суббота, 30 июля 2011 г.

Хочу поделиться, к чему я пришёл. Точка доступа – очень удобная вещь. Удобства, которые привносят слабости, которые надо учитывать и предотвращать их использование хорошими людьми, которым вы не очень доверяете: использование вашего канала связи в непонятных целях, прослушивание вашего канала.

Раскрою свой взгляд на это. Думаю, будет кратко и доходчево даже неподготовленным людям, которые никогда при появлении первых трудностей не бегут за помощью  к специализированным работникам.  

Работая с различными точками доступа, скажу, что установки по умолчанию достаточно безопасные, достаточно – но можно поэксперементировать.



Шифрование – это самое главное, но не забывайте про окна, тем более, если вы живёте на первом этаже. Точка Доступа(ТД) может работать и без шифрования, что снимает на нагрузку с ТД, разгружает канал связи внутри сети, примите это во внимание при использовании ТД в общественных местах, как открытые сети. Шифрование всегда влечёт за собой использования больших ресурсов, понижая производительность, привнося излишества данных, занимая канал связи. По умолчанию во всех ТД используется тип шифрования WEP. Стойкость которого является низкой. Почему производители по умолчанию оставляют тип шифрования WEP, нет не потому, что хотят дать кому-нибудь дать возможность воспользоваться этой уязвимостью, производители пытаются сохранить баланс между производительностью и конфиденциальностью. Думайте сами, делайте сами, но имейте в виду. Есть возможность использовать WPA. WPA значительно стойкий. Чем же он лучший? Основным значительным отличием является использование временных ключей, которые периодически меняются. При взломе временного ключа, не даёт возможность долгого сбора информации, постоянный ключ используется только для авторизации на ТД для получения временного ключа.

Типы раздачи ключей. Социальную инженерию никто не отменял. Надо сводить все риски к минимуму. Первый вариант – когда один ключ раздаётся всем клиентам. При попадании ключа в очень хорошие руки, даст им возможность мониторинга всех каналов связи работающих с данной  ТД. Второй вариант – один ключ одному клиенту. При взломе одного клиента не даст возможности хорошему мозгу властвовать над всей сетью, сводя все усилия на безопасность на нет.  

Статические IP адреса. DHCP автоматическое получение сетевого адреса – очень удобно. Но при ведении статистики или анализа работы в сети может вносить путаницу. Потому необходимо пожертвовать удобствами в пользу стабильности. Не говорите, что все машины могут использовать одинаковые IP адреса(при отдельной работе), возможно подменять MAC адрес. Да, это всё это надо учитывать. Данными действиями сводим вероятность к минимуму.  

Фильтр MAC адресов. Необходимо отслеживать работу машин в сети, давать возможность работать, только доверенным.  Определённый IP под определённый MAC адрес. MAC является дополнительным уровнем безопасности, фильтрации станций.

Изменения логин/пароля установленных на заводе. На это надо тоже обратить внимание, так как если это домашняя сеть, и все компьютеры данной сети доверенные, тогда нет смысла менять логин/пароль. Так как при заводских настройках удалённое администрирование отключено, а менять логин/пароль для того, чтобы потом забыть, сбивать ТД и настраивать всё заново – не вижу смысла. На ваше усмотрение. При взломе временного ключа WPA определенной ТД, их паролей по умолчанию у злоумышленника появится возможность получить реальный ключ при доступе к панели администрирования.

Удалённое администрирование. Обратите внимание на разрешение   удалённого администрирования ТД. Если действительно необходимо, измените логин/пароль администратора ТД, обеспечьте стойкость пароля его длинной и нестандартностью.

Отключение вешания SSID. Отключение вещания SSID  - эффект молчания в эфире снижает вероятность обнаружения вашей точки доступа.

Тунелирование. Ваша точка доступа обеспечивает коммуникацию и безопасность только внутри сети, обращайте на это внимание. Для некоторых случаев необходимо продумать тунелирование. Большинство точек доступа поддерживают несколько типов тунелирования. При использовании нескольких туннелей в определённой схеме возможно реализовать виртуальные сети, используя только ТД. 

1 комментарий:

  1. спасибо за помощь в установке домашней ТД!

    ОтветитьУдалить