Защитен и незащитен Wi-Fi. Задайте парола за достъп до настройките на Wi-Fi рутера. Спрете да използвате WEP алгоритъма

Филтрирането на парола и MAC адрес трябва да ви предпази от хакване. Всъщност безопасността до голяма степен зависи от вашата предпазливост. Неподходящи методи за сигурност, неусложнени пароли и несериозно отношение към потребители на трети страни в домашна мрежадават на нападателите допълнителни функцииза атака. В тази статия ще научите как да разбиете WEP парола, защо трябва да изоставите филтрите и как да защитите вашата безжична мрежа от всички страни.

Защита от неканени гости

Вашата мрежа не е защитена, следователно рано или късно вашата безжична мрежавъншен човек ще се свърже - може би дори не нарочно, тъй като смартфоните и таблетите могат автоматично да се свързват към незащитени мрежи. Ако той просто отвори няколко сайта, тогава най-вероятно няма да се случи нищо лошо, освен консумацията на трафик. Ситуацията ще стане по-сложна, ако гост започне да тегли незаконно съдържание през вашата интернет връзка.

Ако все още не сте предприели никакви мерки за сигурност, отидете на интерфейса на рутера чрез браузър и променете данните си за достъп до мрежата. Адресът на рутера обикновено изглежда така: http://192.168.1.1. Ако това не е така, тогава можете да разберете IP адреса на вашия мрежово устройствопрез командна линия. В операционната Windows система 7 Щракнете върху бутона "Старт" и въведете командата "cmd" в лентата за търсене. Извикайте мрежовите настройки с командата „ipconfig“ и намерете реда „Шлюз по подразбиране“. Посоченият IP е адресът на вашия рутер, който трябва да бъде въведен в адресната лента на браузъра. Местоположението на настройките за сигурност на вашия рутер варира според производителя. По правило те се намират в раздел с името „WLAN | Безопасност".

Ако вашата безжична мрежа използва незащитена връзка, трябва да сте особено внимателни със съдържанието, намиращо се в папки с споделен достъп, тъй като при липса на защита е на пълно разположение на другите потребители. В същото време в операционната система Windows XP Home ситуацията със споделения достъп е просто катастрофална: по подразбиране тук изобщо не могат да се задават пароли - тази функция присъства само в професионалната версия. Вместо това всички мрежови заявки се правят през незащитен гост акаунт. Можете да защитите мрежата си в Windows XP, като използвате малка манипулация: стартирайте командния ред, въведете „net user guest YourNewPassword“ и потвърдете операцията, като натиснете клавиша „Enter“. След рестартирайте Windowsдостъп мрежови ресурсище бъде възможно само ако имате парола, но повече фина настройкав тази версия на ОС, за съжаление, не е възможно. Управлението на настройките за споделяне е много по-удобно в Windows 7. Тук, за да ограничите броя на потребителите, просто отидете в „Център за мрежи и споделяне“ в контролния панел и създайте домашна групазащитен с парола.

Липсата на подходяща сигурност в безжичната мрежа е източник на други опасности, които хакерите могат да използват специални програми(снифери) идентифицира всички незащитени връзки. По този начин ще бъде лесно за хакерите да прихванат вашите идентификационни данни от различни услуги.

Хакери

Както и преди, двата най-популярни метода за сигурност днес са филтриране на MAC адреси и скриване на SSID (името на мрежата): тези мерки за сигурност няма да ви предпазят. За да идентифицира името на мрежата, атакуващият се нуждае само от WLAN адаптер, който превключва в режим на наблюдение с помощта на модифициран драйвер и снифър - например Kismet. Нападателят наблюдава мрежата, докато потребител (клиент) не се свърже с нея. След това манипулира пакетите с данни и по този начин изхвърля клиента от мрежата. Когато потребителят се свърже отново, нападателят вижда името на мрежата. Изглежда сложно, но всъщност целият процес отнема само няколко минути. Заобикалянето на MAC филтъра също е лесно: атакуващият определя MAC адреса и го присвоява на своето устройство. По този начин връзката на външен човек остава незабелязана от собственика на мрежата.

Ако вашето устройство поддържа само WEP криптиране, вземете незабавни мерки - такава парола може да бъде разбита дори от непрофесионалисти за няколко минути.

Особено популярен сред кибер измамниците е софтуерният пакет Aircrack-ng, който в допълнение към снифера включва приложение за изтегляне и модифициране на драйвери на WLAN адаптер, а също така ви позволява да възстановите WEP ключа. Добре познати методи за хакване са PTW и FMS/KoreK атаките, при които трафикът се прихваща и на базата на неговия анализ се изчислява WEP ключ. В тази ситуация имате само две възможности: първо, трябва да потърсите най-новия фърмуер за вашето устройство, който ще поддържа най-новите методи за криптиране. Ако производителят не предоставя актуализации, по-добре е да откажете да използвате такова устройство, тъй като по този начин застрашавате сигурността на вашата домашна мрежа.

Популярни съвети за намаляване на радиуса Wi-Fi действиядава само вид на защита. Съседите все още ще могат да се свързват с вашата мрежа, но нападателите често използват Wi-Fi адаптери с по-голям обхват.

Публични горещи точки

Местата с безплатен Wi-Fi привличат кибер измамници, защото през тях преминават огромни количества информация и всеки може да използва хакерски инструменти. Публичните горещи точки могат да бъдат намерени в кафенета, хотели и други обществени места. Но други потребители на същите мрежи могат да прихванат вашите данни и например да поемат контрола върху вашите Сметкина различни уеб услуги.

Защита от бисквитки.Някои методи за атака са наистина толкова прости, че всеки може да ги използва. Firesheep разширение за Браузър Firefoxавтоматично чете и показва в списък акаунтите на други потребители, включително Amazon, Google, Facebook и Twitter. Ако хакер кликне върху един от записите в списъка, той незабавно ще получи пълен достъп до акаунта и ще може да променя данните на потребителя по свое усмотрение. Firesheep не разбива пароли, а само копира активни, некриптирани бисквитки. За да се предпазите от подобни прихващания, трябва да използвате специалната добавка HTTPS Everywhere за Firefox. Това разширение принуждава онлайн услугите винаги да използват криптирана връзка чрез HTTPS, ако се поддържа от сървъра на доставчика на услуги.

Защита на Android.В близкото минало един дефект в операционната зала привлече вниманието на всички. Android система, което може да позволи на измамниците да получат достъп до вашите акаунти в услуги като Picasa и Google Calendar, както и да прочетат вашите контакти. Google поправи тази уязвимост в Android 2.3.4, но повечето устройства, закупени преди това от потребители, имат инсталирани по-стари версии на системата. За да ги защитите, можете да използвате приложението SyncGuard.

WPA 2

Най-добрата защита се осигурява от технологията WPA2, която се използва от производителите компютърно оборудванеот 2004г. Повечето устройства поддържат този тип криптиране. Но, подобно на други технологии, WPA2 също има своето слабо място: използвайки речникова атака или метода bruteforce, хакерите могат да разбият пароли - но само ако те са ненадеждни. Речниците просто преминават през ключовете, съхранявани в техните бази данни - като правило, всички възможни комбинации от числа и имена. Пароли като „1234“ или „Иванов“ се отгатват толкова бързо, че компютърът на хакера дори няма време да загрее.

Методът bruteforce не включва използване на готова база данни, а напротив, избор на парола чрез изброяване на всички възможни комбинации от знаци. По този начин нападателят може да изчисли всеки ключ - единственият въпрос е колко време ще му отнеме. NASA, в своите указания за сигурност, препоръчва парола от най-малко осем знака и за предпочитане шестнадесет. На първо място, важно е да се състои от малки букви и главни букви, цифри и специални знаци. На един хакер ще му отнеме десетилетия, за да разбие такава парола.

Вашата мрежа все още не е напълно защитена, тъй като всички потребители в нея имат достъп до вашия рутер и могат да променят настройките му. Някои устройства предоставят допълнителни функциизащити, от които също трябва да се възползвате.

На първо място, деактивирайте възможността за манипулиране на рутера чрез Wi-Fi. За съжаление, тази функция е достъпна само на определени устройства, като например маршрутизаторите на Linksys. Всички съвременни модели рутери също имат възможност за задаване на парола за интерфейса за управление, което ви позволява да ограничите достъпа до настройките.

Като всяка програма, фърмуерът на рутера е несъвършен - не са изключени малки недостатъци или критични дупки в системата за сигурност. Обикновено информацията за това незабавно се разпространява в интернет. Проверявайте редовно за нов фърмуер за вашия рутер (някои модели дори имат функция автоматична актуализация). Друго предимство на мигащия фърмуер е, че той може да добавя нови функции към устройството.

Периодичният анализ на мрежовия трафик помага да се разпознае наличието на неканени гости. В интерфейса за управление на рутера можете да намерите информация за това кои устройства са свързани към вашата мрежа и кога. По-трудно е да разберете колко данни е изтеглил даден потребител.

Достъп за гости - средство за защита на вашата домашна мрежа

Ако защитите вашия рутер със силна парола, използвайки WPA2 криптиране, вече няма да сте в опасност. Но само докато не споделите паролата си с други потребители. Приятели и познати, които със своите смартфони, таблети или лаптопи искат да влязат в интернет през вашата връзка, са рисков фактор. Например не може да се изключи възможността техните устройства да са заразени зловреден софтуер. Въпреки това, няма да се налага да отказвате на приятелите си поради това, тъй като моделите рутери от най-висок клас, като Belkin N или Netgear WNDR3700, осигуряват достъп за гости специално за такива случаи. Предимството на този режим е, че рутерът създава отделна мрежа със собствена парола и не се използва домашната.

Надеждност на ключа за сигурност

WEP (КАБЕЛНА ЕКВИВАЛЕНТНА ПОВЕРИТЕЛНОСТ).Използва генератор на псевдослучайни числа (RC4 алгоритъм), за да получи ключа, както и вектори за инициализация. Тъй като последният компонент не е криптиран, е възможно трети страни да се намесят и да създадат отново WEP ключа.

WPA (WI-FI ЗАЩИТЕН ДОСТЪП)Базиран на WEP механизма, но предлага динамичен ключ за разширена сигурност. Ключовете, генерирани с помощта на алгоритъма TKIP, могат да бъдат разбити с помощта на атаката Bek-Tevs или Ohigashi-Moriya. За това индивидуални пакетидешифриран, манипулиран и изпратен обратно в мрежата.

WPA2 (WI-FI ЗАЩИТЕН ДОСТЪП 2)Използва надеждния AES (Advanced Encryption Standard) алгоритъм за криптиране. Заедно с TKIP е добавен и CCMP протокол (Counter-Mode/CBC-MAC Protocol), който също е базиран на AES алгоритъма. Досега мрежа, защитена с тази технология, не можеше да бъде хакната. Единствената възможност за хакерите е речникова атака или „метод на груба сила“, където ключът се отгатва чрез отгатване, но със сложна парола е невъзможно да се отгатне.

Какво може да бъде по-важно в наше време от защитата на вашата домашна Wi-Fi мрежа :) Това е много популярна тема, по която само на този сайт е написана повече от една статия. Реших да събера всички необходимата информацияпо тази тема на една страница. Сега ще разгледаме подробно въпроса за защитата на Wi-Fi мрежа. Ще ви кажа и ще ви покажа как да защитите Wi-Fi с парола, как да го направите правилно на рутери от различни производители, кой метод за криптиране да изберете, как да изберете парола и какво трябва да знаете, ако сте планирате да промените паролата на вашата безжична мрежа.

В тази статия ще говорим точно относно защитата на вашата домашна безжична мрежа. И само относно защитата с парола. Ако разгледаме сигурността на някои големи мрежи в офиси, тогава е по-добре да подходим към сигурността там малко по-различно (поне различен режим на удостоверяване). Ако смятате, че една парола не е достатъчна, за да защитите вашата Wi-Fi мрежа, тогава бих ви посъветвал да не се притеснявате. Инсталирайте добър, сложна пароласледвайте тези инструкции и не се притеснявайте. Малко вероятно е някой да отдели време и усилия, за да хакне вашата мрежа. Да, можете например да скриете името на мрежата (SSID) и да зададете филтриране по MAC адреси, но това са ненужни проблеми, които в действителност ще причинят само неудобство при свързване и използване на безжична мрежа.

Ако мислите да защитите своя Wi-Fi или да оставите мрежата отворена, тогава може да има само едно решение - да го защитите. Да, интернетът е неограничен и почти всеки у дома има собствен рутер, но в крайна сметка някой ще се свърже с вашата мрежа. Защо имаме нужда от това, защото допълнителните клиенти са допълнително натоварване на рутера. И ако не е скъпо, тогава просто няма да издържи на това натоварване. Освен това, ако някой се свърже с вашата мрежа, той ще има достъп до вашите файлове (ако е конфигурирана локална мрежа)и достъп до настройките на вашия рутер (след всичко стандартна паролаадминистратор, който защитава контролния панел, най-вероятно не сте променили).

Не забравяйте да защитите вашата Wi-Fi мрежа добра паролас правилния (модерен) метод за криптиране. Препоръчвам незабавно да инсталирате защита при настройка на рутера. Също така би било добра идея да променяте паролата си от време на време.

Ако се притеснявате, че някой ще хакне мрежата ви или вече го е направил, тогава просто сменете паролата си и живейте в мир. Между другото, тъй като все още ще влизате в контролния панел на вашия рутер, бих препоръчал също , който се използва за влизане в настройките на рутера.

Правилна защита на вашата домашна Wi-Fi мрежа: кой метод за криптиране да изберете?

По време на процеса на настройка на паролата ще трябва да изберете метод за криптиране на Wi-Fi мрежа (метод за удостоверяване). Препоръчвам да инсталирате само WPA2 - Лично, с алгоритъм за криптиране AES. За домашна мрежа това е най-добрите решения, за момента най-новият и надежден. Това е вид защита, който производителите на рутери препоръчват да инсталирате.

Само при едно условие, че нямате стари устройства, които искате да свържете към Wi-Fi. Ако след настройка някои от старите ви устройства откажат да се свържат с безжичната мрежа, можете да инсталирате протокол WPA (с TKIP алгоритъм за криптиране). Не препоръчвам инсталирането на WEP протокола, тъй като вече е остарял, не е защитен и може лесно да бъде хакнат. Да, и може да има проблеми при свързването на нови устройства.

Комбинация от протоколи WPA2 - Лично с AES криптиране, това е най-добрият вариант за домашна мрежа. Самият ключ (парола) трябва да е поне 8 знака. Паролата трябва да се състои от английски букви, цифри и символи. Паролата е чувствителна към главни и малки букви. Тоест „111AA111“ и „111aa111“ са различни пароли.

Не знам какъв рутер имате, така че ще се подготвя малки инструкцииза най-популярните производители.

Ако след промяна или задаване на парола имате проблеми със свързването на устройства към безжичната мрежа, вижте препоръките в края на тази статия.

Съветвам ви веднага да запишете паролата, която ще зададете. Ако го забравите, ще трябва да инсталирате нов или .

Защита на Wi-Fi с парола на рутери Tp-Link

Свързване към рутера (чрез кабел или Wi-Fi), стартирайте който и да е браузър и отворете адреса 192.168.1.1 или 192.168.0.1 (адресът на вашия рутер, както и стандартното потребителско име и парола са посочени на стикера в долната част на самото устройство). Въведете вашето потребителско име и парола. По подразбиране това са admin и admin. В описах по-подробно въвеждането на настройките.

В настройките отидете на раздела Безжичен(Безжичен режим) - Безжична сигурност(Защита безжичен режим). Поставете отметка в квадратчето до метода на защита WPA/WPA2 - лични (препоръчително). В падащото меню Версия(версия) изберете WPA2-PSK. В менюто Шифроване(криптиране) инсталиране AES. В полето Безжична парола(PSK парола) Въведете парола, за да защитите вашата мрежа.

Задаване на парола на рутери Asus

В настройките трябва да отворим раздела Безжична мрежаи направете следните настройки:

• В падащото меню „Метод на удостоверяване“ изберете WPA2 – Персонален.
• "WPA криптиране" - инсталирайте AES.
• В полето "WPA Pre-Shared Key" запишете паролата за нашата мрежа.

За да запазите настройките, щракнете върху бутона Приложи.

Свържете устройствата си към мрежата с нова парола.

Защита на безжичната мрежа на вашия D-Link рутер

Отидете на вашите настройки D-Link рутерна 192.168.0.1. Можете да видите подробни инструкции. В настройките отворете раздела WiFi - Настройки на сигурността. Задайте типа защита и паролата, както е показано на екранната снимка по-долу.

Задаване на парола на други рутери

Имаме още подробни инструкцииЗа ZyXEL рутерии Тенда. Вижте връзките:

Ако не сте намерили инструкции за вашия рутер, тогава можете да настроите защита на Wi-Fi мрежа в контролния панел на вашия рутер, в секцията с настройки, наречена: настройки за сигурност, безжична мрежа, Wi-Fi, безжична мрежа и т.н. мисля, че мога да го намеря, няма да е трудно. И мисля, че вече знаете какви настройки да зададете: WPA2 - Personal и AES криптиране. Е, това е ключът.

Ако не можете да разберете, попитайте в коментарите.

Какво да направите, ако устройствата не се свързват след инсталиране или промяна на паролата?

Много често след инсталиране и особено след смяна на паролата устройствата, които преди са били свързани към вашата мрежа, не искат да се свържат с нея. На компютрите това обикновено са грешки „Мрежовите настройки, записани на този компютър, не отговарят на изискванията на тази мрежа“ и „Windows не можа да се свърже с...“. На таблети и смартфони (Android, iOS) също могат да се появят грешки като „Не може да се свърже с мрежата“, „Свързан, защитен“ и др.

Тези проблеми могат да бъдат решени чрез просто изтриване на безжичната мрежа и повторно свързване с нова парола. Написах как да изтрия мрежа в Windows 7. Ако имате Windows 10, тогава трябва да „забравите мрежата“, като използвате . На мобилни устройстванатиснете и задръжте вашата мрежа и изберете "Изтрий".

Ако възникнат проблеми с връзката на по-стари устройства, задайте протокола за защита WPA и TKIP криптиране в настройките на рутера.

Днес ще има доста голяма публикация за това как да създадете защитена Wi-Fi мрежа у дома, да защитите домашните компютри, свързани към тази мрежа, смартфони и таблети от хакване, като използвате RT-N12VP като пример.

Така че, нека първо разберем, че сигурността на вашата безжична мрежа се определя от нейната най-слаба връзка. Днес ще разгледаме основните настройки за сигурност, които трябва да имате.

Да приемем, че имате 2 у дома настолни компютри, 2 лаптопа, 3 таблета и 4 смартфона.Не говоря за други неща, като телевизионни приставки, Wi-Fi многофункционални устройства и сървъри за медийни центрове на Android.

Проверете дали имате инсталирана антивирусна програма на всички устройства.

Важно е. Ако едно от устройствата е заразено, то останалите ще бъдат заразени в близко бъдеще. По този начин смартфоните с Android могат да разпространяват рекламни вирусиот локална мрежас голям успех.

Деактивиране автоматично търсенемрежи на мобилни устройства. Факт е, че може да станете жертва на измамници, които умишлено създават отворени точки за достъп с цел кражба на данни.

Изчистете списъка с мрежи, запомнени от вашите устройства. Оставете само познатите си защитени мрежи: домашна работа.

За да предотвратите кражба на средства, „отклоняване“ на пощенски акаунти, социални мрежии други сайтове, използвайте двуфакторно удостоверяване, където е възможно.

Е, защитихте устройствата си и не попаднахте на измамниците с „безплатен“ wi-fi. Какво следва? Настройване на защитен wi-fi.

Центърът на вашата Wi-Fi вселена във вашия апартамент е вашата точка за достъп (рутер). В по-голямата част от случаите той е защитен само с парола и вход. Нека се опитаме да направим вашето домашен wi-fiмрежата е по-сигурна.

Инсталирай - Метод за удостоверяване(ниво на сигурност) - WPA2-Лично

WPA-PSK ключ(мрежова парола) - нещо подобно FD5#2dsa/dSx8z0*65FdqZzb38. Да, такава парола е трудна за запомняне, но и по-трудна за отгатване. Факт е, че има програми за подбор wi-fi пароличрез пълно търсене. Изборът на парола в този случай е въпрос на време. Можете дори да изтеглите подобна програма на вашия смартфон, например, и да опитате колко време ще отнеме, преди да познаете паролата за вашата мрежа.

Отидете на настройките Безжична мрежа — Филтър за безжични MAC адреси

Филтърът за безжичен MAC адрес ви позволява да контролирате пакети от устройства с конкретен MAC адрес в безжична LAN.

Просто казано, само тези устройства, чиито MAC адреси имат разрешение за свързване, ще могат да се свържат с вашата точка за достъп. Как мога да разбера тези адреси? Можете да погледнете в настройките на устройството и да го въведете в настройките на рутера. Можете да включите Wi-Fi на всеки един от тях, да сравните данните с данните, показани в мрежовата карта на рутера, и да въведете тези адреси във филтъра за безжични MAC адреси.

На смартфон с Android Мак адресразположен Настройки -> Относно телефона -> Главна информация ->Wi-Fi MAC адрес.

Ако живеете сами или поне има период от време, когато не използвате безжичната мрежа, можете да я изключите. Тези настройки се намират в раздела Безжична мрежа — Професионално

Също така в секцията Администрация —Системазабранете достъпа чрез TelnetИ уеб достъп от WAN. Това ще затрудни дистанционното свързване с рутера. Ако в настройките има защитна стена, активирайте я.

Следва продължение.

Създаване на защитена wi-fi мрежа

На пръв поглед създаването на надеждно защитена Wi-Fi мрежа е много трудно. Необходимо е да закупите „правилното“ оборудване, да настроите сървър за удостоверяване, да се погрижите за запис на интернет трафик и защита срещу външни атаки чрез защитна стена.

Всичко това може да отнеме много време и Пари. В тази статия ще говоря за един от най-евтините и прости начинисъздаване на защитена безжична мрежа със споделена интернет връзка.

Част 1. Малко за сигурността

Причината за уязвимостта на безжичните мрежи се крие в принципа на тяхната работа: много по-лесно е да се прихванат данни, предавани по радиоканал, отколкото с конвенционална кабелна връзка. Това не изисква скъпо оборудване и може да се реализира с помощта на обикновен лаптоп, няколко помощни програми за хакване (като airodump и aircrack) и добри инструкции за хакване на wi-fi(като тук например). Следователно безжичната мрежа трябва да бъде максимално защитена от различни видове атаки: неразрешени връзки, прихващане и подслушване на трафик, кражба важна информация, "фалшиви" точки за достъп и др.

Днес стандартът за сигурност WPA (Wi-Fi Protected Access) е признат за най-надежден за безжични мрежи. Първоначално wi-fi защитамрежите могат да бъдат защитени с помощта на режим WPA-PSK (предварително споделен ключ), когато ключът за комуникационна сесия - предварително споделен ключ, напомнящ обикновена парола, се въвежда ръчно в точката за достъп и на компютъра на потребителя. Потенциалната уязвимост на WPA-PSK произтича от факта, че в реални мрежи паролата рядко се променя и е една и съща за всички потребители в мрежата. Ако имате време и мощен компютър, изборът на такава парола няма да е труден.

По-надеждна мрежова сигурност се постига при използване на режим WPA Enterprise, когато в мрежата е инсталиран сървър за удостоверяване (RADIUS сървър), който проверява правата за достъп на потребителите. В този случай безжичната точка за достъп ще блокира всички връзки към безжичната мрежа, докато потребителското име и паролата, въведени от потребителя, не бъдат потвърдени от сървъра за удостоверяване. Ако потребителят не е в базата данни на RADIUS сървъра, той няма да може да се свърже с Wi-Fi мрежата.

Максималната сигурност на безжичната мрежа се осигурява от използването на цифрови сертификати и метода за удостоверяване EAP-TLS (Extensible Authentication Protocol - Transport Level Security). В този случай компютърът на потребителя и RADIUS сървърът се проверяват взаимно с помощта на предварително генерирани цифрови сертификати, което гарантирано защитава вашата мрежа от неоторизирани връзки и потребителите от „фалшиви“ точки за достъп, въведени от хакери.

За още по-надеждна защита на предаваните данни можете да създадете външна защитна обвивка на безжична мрежа, използвайки технологията VPN (Virtual Private Network) през WPA, която ще добави второ ниво на криптиране на трафика.

И накрая, можете да се предпазите от неоторизирани точки за достъп, които вашите служители тайно инсталират с помощта на специално мрежово оборудване, което може да открие такива устройства и да генерира подходящи отчети.

Малко хора могат да изградят такава система за сигурност на безжичната мрежа: трябва най-малкото да конфигурирате правилно безжична точка за достъп и RADIUS сървър за оторизация, да създадете потребителска база данни, да разработите система за управление на тази база данни и цифрови сертификати и най-важното , комбинирайте всички тези компоненти в една мрежа.

Но въпреки привидната сложност, създаването на най-сигурната Wi-Fi мрежа е доста лесно. За да направите това, не е нужно да сте гуру в информационната сигурност и безжичните стандарти. Всичко може да се направи за час и половина, като имате:

• отделен компютър;
• безжична точка за достъп, която поддържа WPA, WPA2 и оторизация на RADIUS сървър (тези характеристики на точката за достъп могат да бъдат намерени в нейната документация или от консултанти в компютърен магазин);
• Програма Esomo, която ще играе ролята на RADIUS сървър, както и на публичен сървър за достъп до Интернет. Официален уебсайт на разработчика на програмата: www.esomoline.com. За да защити безжичната мрежа, Esomo използва протокола EAP-TLS, който осигурява удостоверяване на потребителя на вградения RADIUS сървър и взаимно удостоверяване между RADIUS сървъра на Esomo и потребителските компютри с помощта на цифрови сертификати.

Част 2. Пример за създаване на защитена безжична мрежа

Сега нека да разгледаме пример за организиране на локална Wi-Fi мрежа, базирана на Esomo. Мрежата включва 11 компютъра, безжична точка за достъп на Linksys и е свързана с интернет чрез ADSL модем.

Първо, изтеглете Esomo от уебсайта на разработчика (размер на разпространение 135 MB) и инсталирайте сървърната част на програмата на отделен компютър с два мрежови карти. Това ще бъде нашият RADIUS сървър, както и VPN сървър и сървър за достъп до Интернет, което ще ви позволи да ограничите потребителския трафик, да видите статистика за достъп и разходи за трафик. Esomo не е необходим за работа операционна система, защото Програмата вече включва свободно разпространяваната операционна система FreeBSD. Инструкции стъпка по стъпкаИнструкции за инсталиране на Esomo можете да намерите тук.

След като инсталирате програмата, свържете компютъра с Esomo и безжичната точка за достъп към мрежовия комутатор. Чрез втория мрежов интерфейс свързваме Esomo сървъра към ADSL модема (или към кабела, ако имате специална линия). На всеки компютър с Windows в локалната мрежа (също свързан към мрежов превключвател), стартирайте Esomo Workstation и се свържете със сървъра на Esomo.

Можете да създадете защитена безжична мрежа, базирана на Esomo в 4 прости стъпки. Първо, ще настроим Esomo да работи с безжична мрежа. След това ще конфигурираме безжичната точка за достъп и потребителските компютри. И накрая, нека се свържем с Wi-Fi мрежата и да установим VPN връзка със сървъра Esomo, за да създадем второ ниво на защита за безжичния трафик. След това можете безопасно да работите в Wi-Fi мрежи и интернет. Така че да започваме.

Стъпка 1: Настройване на сървъра Esomo

Първо, ще издадем постоянен IP адрес на безжичната точка за достъп, за да работи в нашата мрежа. За да направите това, добавете точката за достъп към статичния DHCP списък (MAC адресът на точката за достъп обикновено е посочен на стикера върху нея). Да приложим настройките.

Сега нека добавим безжична точка за достъп към списъка с точки за достъп на сървъра Esomo и да посочим таен ключ (парола) за нея. Това е необходимо за организацията сигурна връзкамежду точката за достъп и Esomo. Да приложим настройките.

За да могат потребителите на мрежата да имат достъп до Интернет и Esomo да вземе предвид техния трафик, е необходимо да се създаде тарифа, която определя цената на 1 MB трафик или 1 минута интернет връзка. За да направите това, в секцията „Тарифи“ ще добавим нова тарифа, определяйки цената на 1 MB входящ трафик, например 1 рубла.

Тъй като към момента на писане Esomo позволява достъп до интернет само на потребители, които имат тарифа и средства в индивидуална сметка, нека отидем в секцията „Потребители“ и щракнете двукратно върху потребителя testuser, задайте му създадената преди това тарифа и добавете 500 рубли по сметката му.

Това завършва настройката на сървъра Esomo. Оставяме прозореца Esomo Workstation отворен и продължаваме към настройка на безжична точка за достъп.

Стъпка 2: Настройване на безжична точка за достъп

Можете да получите достъп до безжичната мрежа само след успешна авторизация на сървъра Esomo, така че първо трябва да конфигурирате безжичната точка за достъп за работа с RADIUS сървъра. За да направите това, свържете се с точката за достъп през уеб браузър, като използвате IP адреса, който преди това сме му присвоили чрез Esomo Workstation в раздела „DHCP“. Ще посочим WPA-Enterprise като режим на работа на точката за достъп, TKIP като протокол за криптиране и IP адреса на компютъра с Esomo като RADIUS сървър. Ние също така ще проверим дали секретният ключ, посочен в настройките на точката за достъп (Споделена тайна), съвпада с ключа, посочен за точката за достъп в Esomo Workstation (раздел „Wi-Fi“, раздел „Точки за достъп“).

По-долу е екранна снимка на настройките на точката за достъп на Linksys.

Стъпка 3: Настройка на компютъра на потребителя

За двупосочна автентификация между компютъра на потребителя и сървъра Esomo, цифровите сертификати трябва да бъдат инсталирани на компютъра на потребителя и конфигурирани безжичен адаптерза работа с помощта на протокола EAP-TLS.

Упълномощаването на потребителя на сървъра Esomo става с участието на два цифрови сертификата: root и потребител. Тези сертификати трябва да бъдат получени чрез Esomo AWS и инсталирани на вашия компютър. За да направите това, отидете в секцията „Wi-Fi“ в раздела „Сертификати“ и запазете главния сертификат и потребителския сертификат на testuser на нашия компютър.

Сега нека инсталираме получените цифрови сертификати. За да направите това, просто щракнете двукратно върху сертификата и следвайте инструкциите на съветника за импортиране на сертификати.

С монтаж основен сертификатНе би трябвало да има никакви затруднения: оставете всички настройки по подразбиране и просто щракнете върху бутоните "Напред" и "Край". Но по време на инсталирането на сертификат за потребителя на testuser ще трябва да въведете паролата на testuser, която защитава този сертификат.

Сървърът Esomo вече съдържа готови сертификати, така че не е необходимо да инсталирате нищо там.

След това нека конфигурираме безжичната връзка мрежов адаптернашият компютър да работи със сървъра Esomo RADIUS, използвайки протокола EAP-TLS. За да направите това, в настройките на безжичния адаптер ще посочим да се използва TKIP криптиране и WPA удостоверяване с помощта на цифрови сертификати.

От списъка с доверени главни сертифициращи органи изберете главния сертификат, който преди това е бил инсталиран на нашия компютър.

И така, всички настройки са завършени и безжичната мрежа е готова за работа. Изключваме компютъра си от мрежов превключватели се опитва да се свърже с wi-fi мрежата. След търсене на налични мрежи безжичният адаптер ще открие нашата защитена мрежа. След успешно удостоверяване с помощта на цифрови сертификати и проверка на RADIUS сървъра, нашият компютър ще се свърже с wi-fi мрежата. Остава да направим последната крачка към супер защитата на нашата безжична мрежа.

Стъпка 4. Създаване на второ ниво на защита - VPN инсталациявръзки с криптиране на трафика

Максимална защита на безжичния трафик в мрежа с Esomo се постига чрез използване на VPN технология през вече установена безжична връзка чрез WPA протокол, който добавя второ ниво на криптиране на трафика. VPN връзката между компютъра на потребителя и сървъра на Esomo се създава автоматично. Просто трябва да отворите уеб браузър и да въведете адреса на всеки съществуващ сайт, например www.google.ru. На страницата за вход на Esomo въведете testuser в двете полета на формуляра и щракнете върху бутона „Свързване“.

След успешна проверка на данните за вход и парола, връзката между нашия компютър и сървъра на Esomo ще бъде установена VPN връзка. Сега можете безопасно да сърфирате в Интернет. Целият предаван трафик ще бъде криптиран не само чрез WPA, но и чрез VPN. А чрез Esomo AWS можете да видите статистиката на „напомпания“ трафик по всяко време и да я импортирате в MS Excel с няколко кликвания.

След като проверим дали всичко работи, ще свържем останалите компютри към безжичната мрежа и ще предоставим на потребителите достъп до Интернет. За да направим това, ще създадем нови потребители чрез Esomo AWS и ще им присвоим предварително добавената тарифа. След това ще създадем цифрови сертификати за тези потребители и ще инсталираме основен сертификат и техен собствен потребителски сертификат на компютъра на всеки потребител. Също така не забравяйте да конфигурирате безжичния адаптер на компютъра на всеки потребител, за да работи с RADIUS сървъра, използвайки протокола EAP-TLS.

Това завършва настройката на безжична мрежа със споделен достъп до Интернет. Отне ми по-малко от два часа, за да направя всичко. Съгласете се, че с помощта на други средства би било проблематично да се организира добре защитена Wi-Fi мрежа с такава минимални разходивреме и усилия. В същото време Esomo работи перфектно като RADIUS сървър и сървър за достъп до Интернет не само в wi-fi мрежи, но също и в кабелни и смесени LAN мрежи, когато някои мрежови сегменти са свързани чрез кабел, а други чрез wi-fi.

19.10.16 63 380 0

Защо да си голям може да ти струва пари

Евгений не е задал парола за Wi-Fi в апартамента си. Защо да се занимавам? Можете да забравите паролата си. И това, че съседите могат да го използват, не е жалко, интернетът все още е неограничен. Така мисли Евгений и сериозно греши.

Николай Кругликов

млад хакер

Нека да разберем защо отворен интернету дома - лоша идея и какво може да означава за вас.

Слушане

Точките за достъп без парола също се наричат ​​отворени и не става въпрос само за паролата. В такива точки данните чрез Wi-Fi се предават без криптиране, в отворена форма. Тъй като Wi-Fi е същото като радиовълните, е много лесно да прихванете трафик: просто настройте антената на желаната честотаи ще чуете всичко, което се предава между рутера и компютъра. Без парола на рутера, вие просто излъчвате към цялата област какво правите в момента в интернет.

Ако сте в порно сайт, всеки от вашите съседи ще може да разбере кой видеоклип гледате. Ако изпратите писмо, има голяма вероятност то да бъде прихванато в момента на изпращане. Ако имате VKontakte без криптиране, тогава всеки съсед ще може да чете вашите лични съобщения.

Wifi без парола се слуша лесно

Как да се предпазите

Трябва да зададете парола за Wi-Fi. Разбира се, връзките към някои сайтове са криптирани чрез HTTPS и можете също да активирате VPN, но все пак е много по-надеждно да защитите целия комуникационен канал наведнъж.

Упражнение: задайте парола за Wi-Fi

1. Отворете браузъра си и въведете числата 192.168.0.1 в адресната лента. Ако нищо не се случи, опитайте 192.168.1.1 и 10.0.0.1. Ще се появи прозорец с полета за вход и парола.
2. Въведете потребителското име admin и паролата admin. Ако не работи, вижте стандартната парола в инструкциите за рутера. Най-вероятно е нещо просто. Понякога данните за вход и парола са написани директно върху тялото на рутера.
3. Намерете връзката на страницата, която казва Wi-Fi или Wireless. Ще се отвори екран, където можете да промените паролата си.

Ако нищо друго не помага, обадете се на професионалист. Задачата на капитана е да защити с парола вашия Wi-Fi.

Задайте Wi-Fi парола от поне десет знака, състоящи се от цифри и букви. Парола 12​345​678 е същата като без парола.

Всички инструкции са предназначени за домашен рутер. Малко вероятно е да работят на работа или в кафене, защото мрежови администраторизабранете достъпа до настройките на рутера за външни лица

В настройките може да има няколко опции за криптиране. Всеки рутер има различен набор от опции, така че изберете опцията, която е най-близка до WPA2-PSK (AES). Това е най-сигурният достъпен протокол за криптиране днес. В комбинация с добра парола, това ще ви осигури възможно най-добрата защита.

Силният протокол за криптиране е важен. Лошият протокол, подобно на лошата парола, улеснява разбиването. Например наследеният WEP протокол може да бъде кракнат за няколко часа.

Избор на алгоритъм за криптиране в настройките на рутера. WPA2-PSK е най-добрият вариант от този набор

Уверете се, че WPS е изключен. Тази технология ви позволява да се свържете с рутера с помощта на осемцифрен щифт. За съжаление, след широкото въвеждане на WPS се оказа, че той е изключително несигурен: отнема само 10 часа, за да хакнете връзка дори и с най-сигурния протокол. Настройките за WPS са някъде на същото място като настройките за Wi-Fi.

Манипулиране на настройките на рутера

Когато хакерите се свържат с вашия Wi-Fi, те получават достъп до контролния панел на рутера и могат да го преконфигурират по свой начин. За да влезете във вашия рутер, просто трябва да се свържете с Wi-Fi - не е необходимо да сте в апартамента. Някой гаден ученик може да бърка в настройките на вашия рутер в момента.

Обикновено влизането в настройките на рутера не е толкова лесно: трябва да въведете вашето потребителско име и парола. Но повечето хора имат стандартно влизане и парола на своя рутер - admin / admin. Ако не сте променили тази настройка нарочно, има голяма вероятност всеки хакер да успее да проникне в рутера.

След като получат достъп до контролния панел, хакерите могат лесно да извършат атака "човек по средата": те ще се уверят, че между вас и сайта има злонамерена услуга, която краде пароли. Например адресът tinkoff.ru ще отвори не истински, а фалшив сайт, който ще им изпрати всичко, което въведете. Дори няма да разберете, че сте имали достъп до злонамерена услуга: тя ще изглежда точно като истинска онлайн банка и дори ще ви позволи да използвате вашето потребителско име и парола. Но в този случай данните за вход и парола ще бъдат в ръцете на хакери.

Рутер с стандартни настройкилесен за пренасочване към фалшив сайт

Как да се предпазите

Променете администраторската парола по подразбиране на своя в настройките на рутера. Тя трябва да бъде не по-малко сигурна от паролата за Wi-Fi и в същото време трябва да е различна.

Отдалечен достъп

Хакерите рядко се интересуват конкретно от вас, освен ако не сте топ мениджър голяма компания. По-често обикновените хора попадат под автоматизирани атаки, когато хакерска програма търси потенциални жертви и се опитва да приложи стандартен алгоритъм за хакване.

Някои рутери имат възможност да се свързват към уеб интерфейса от външна мрежа - тоест можете да влезете в настройките на рутера от всяко място, където има интернет, а не само от дома.

Това означава, че вашият рутер може да бъде атакуван не само от палави ученици. Атаката може да не е насочена: просто някой хакер в Перу сканира определен диапазон от адреси за отворени рутери. Неговата програма вижда вашия рутер. Свързва се. Хакерът дори не знае кой сте или къде се намирате - той просто настройва пренасочване и се връща към бизнеса си. И влизането ви във Facebook, например, попада в неговата хакерска програма.