Организация надежно защищенной Wi-Fi сети - дело довольно непростое. Нужно выбрать оборудование, правильно настроить беспроводную точку доступа, а главное - позаботиться о безопасности. Несмотря на многочисленные технологии защиты беспроводных сетей, эта проблема всегда была, есть и будет актуальной.
От чего следует защищать Wi-Fi сеть?
- от несанкционированных подключений как простых пользователей, не всегда понимающих, что они делают, так и злоумышленников, намеренно пытающихся пробраться к вашим ресурсам или попользоваться Интернетом "нахаляву";
- от перехвата и прослушивания вашего беспроводного трафика;
- от внедрения хакерами "ложных" точек доступа где-нибудь поблизости от вашей сети, с целью проникнуть на компьютеры ничего не подозревающих пользователей и похитить конфиденциальную информацию, а может просто заразить ПК каким-нибудь трояном или превратить в зомби, рассылающего спам и устраивающего DDoS-атаки на сетевые ресурсы.
Как защитить беспроводную сеть?
Основные способы обеспечения безопасности Wi-Fi следующие:
- сменить настройки "по умолчанию": как минимум, измените пароль администратора (и имя пользователя, если можно) и идентификатор SSID (имя сети) на точке доступа;
- установить фильтрацию по MAC-адресам, чтобы доступ к сети могли получить только те компьютеры, чьи адреса указаны в списке.
- использовать шифрование. Разные точки доступа поддерживают различные типы шифрования. Вы можете выбрать WEP, WPA или WPA2.
- WEP (Wired Equivalent Privacy - безопасность, эквивалентная проводной сети) использует статические ключи шифрования. Является наиболее старым и слабым протоколом, взламывается за считанные минуты.
- WPA (Wi-Fi Protected Access) и WPA2, использующие шифрование с динамическими ключами (то есть ключи часто меняются). WPA и WPA2 обеспечивают хорошую защиту беспроводной сети, но и их можно взломать. Различий между взломом WPA и WPA2 практически нет, т.к. используется одинаковая аутентификация, однако, на взлом WPA2 затрачивается намного больше времени. Ни WPA, ни WPA2 не защитят ваших пользователей от "ложных" точек доступа и взлома путём перебора паролей. Такая защита недостаточна для корпоративной сети. - использовать аутентификацию при помощи сертификатов, маркеров или паролей (также известных как Pre-Shared-Key), которые проверяются точкой доступа или внешним сервером аутентификации. Можно использовать различные методы и алгоритмы аутентификации: EAP-MD5, EAP-PEAP, EAP-LEAP, EAP-TLS и т.д. Аутентификация добавляет ещё один уровень безопасности, требуя, чтобы компьютер пользователя зарегистрировался в сети, однако настройка аутентификации – очень трудная и дорогая задача, особенно, если в компании ещё не развернут RADIUS-сервер.
Данные способы являются "защитой от дурака", для продвинутых пользователей и хакеров не составит никакого труда обойти их. Тут вам уже придется настраивать шифрование данных и аутентификацию.
Где найти решение?
Как видите, обезопасить беспроводную сеть довольно непросто. Придется перерыть гору документации, поэкспериментировать с настройками, поотвечать на вопросы недоуменных пользователей… Но зачем делать кучу работы, если есть готовое решение - маршрутизатор Esomo для wi-fi сетей.
С Esomo Вы сможете создать защищенную беспроводную сеть за час. К вашим услугам не только шифрование всего беспроводного трафика, аутентификация по цифровым сертификатам EAP-TLS, защита WPA и WPA2, но и firewall, NAT, DHCP-сервер, учёт трафика, детальная статистика доступа, монитор online-пользователей и возможность запретить любому пользователю доступ в сеть одним кликом мыши. Но самое приятное, что всё это быстро настраивается через удобный и понятный графический интерфейс.
Как Esomo защитит вашу беспроводную сеть?
Esomo использует механизм двусторонней аутентификации по протоколу EAP-TLS (Extensible Authentication Protocol - Transport Level Security), в основе которого лежит протокол SSL v3.0, применяемый при организации защищенных http-соединений - HTTPS. EAP-TLS наиболее часто используется в корпоративных беспроводных сетях и отличается достаточно высокой степенью защищённости. Кроме того, EAP-TLS часто является основным методом защиты трафика в сетях беспроводных провайдеров.
Esomo устанавливается на отдельный компьютер, подключенный к Интернету и беспроводной точке доступа (либо к коммутатору, к которому подключено несколько точек доступа). Точки доступа обязательно должны поддерживать аутентификацию на RADIUS-сервере (802.1x / EAP) и шифрование WPA / WPA2.
Пользователи получают доступ к беспроводной сети c Esomo только после успешной авторизации на RADIUS-сервере Esomo. Для авторизации используется проверка подлинности по протоколу EAP-TLS, основанная на взаимной аутентификации компьютера пользователя и сервера Esomo по заранее созданным и установленным на компьютеры пользователей цифровым сертификатам.
Когда пользователь пытается подключиться к беспроводной сети с Esomo, входящий в состав Esomo RADIUS-сервер устанавливает с компьютером пользователя сеанс TLS с последующей отправкой ему цифрового сертификата сервера. Компьютер пользователя проверяет этот сертификат, и в ответ отправляет свой сертификат пользователя, который Esomo проверяет по базе пользователей. Если каждая из сторон доверяет сертификату другой стороны, и пользователь зарегистрирован в базе данных Esomo, проверка подлинности прошла успешно и между компьютером пользователя и сервером Esomo устанавливается беспроводное соединение.
Принцип работы EAP-TLS изображен на рисунке ниже.
Итак, компьютер пользователя подключен к беспроводной сети. Но для выхода в Интернет этого недостаточно! Пользователю еще нужно установить VPN-соединение с сервером Esomo, загрузив веб-страницу авторизации и введя логин и пароль для выхода в Интернет. Поверх беспроводной сети между компьютером пользователя и сервером Esomo устанавливается защищенное VPN-соединение с шифрованием трафика.
Такая схема двойной безопасности (EAP-TLS + VPN) позволяет создать максимально защищенную беспроводную сеть на базе Esomo, исключающую несанкционированное подключение пользователей, прослушивание трафика и внедрение "ложных" точек доступа.
