Traadita turvalisus
Traadita võrke kasutatakse laialdaselt igas suuruses ettevõtetes. Tänu oma madalatele kuludele ja hõlpsasti juurutamisele võivad traadita võrgud anda eelise juhtmega võrkude ees väikestes ja keskmise suurusega ettevõtetes. Suurtes asutustes pakuvad traadita võrgud töötajatevaheliseks ärisuhtluseks vajalikke võrguühendusi tööpiirkondades või puhkeruumides.
Traadita võrkude eeliste kasutamiseks peavad need olema kaitstud. Turvamata traadita võrgud pakuvad häkkeritele ja teistele sissetungijatele praktiliselt piiramatut juurdepääsu ettevõtte võrgule, kes otsivad sageli ainult tasuta juurdepääsu Internetile. Suurtes asutustes eksisteerivad mõnikord volitamata traadita võrgud - töörühmade liikmed või lõppkasutajad ignoreerivad mõnikord ettevõtte eeskirju ja installivad pääsupunkte (pääsupunktid, AP) ning see on ettevõttele väga ohtlik. Kogenud rämpspostitajad ja petturid kasutavad meilisõnumite hulgi saatmiseks turvamata traadita võrke. Nad rändavad linnades ja tööstuspiirkondades, otsides haavatavaid traadita võrke ning kui nad need leiavad, konfigureerivad nad oma mobiilsed arvutid võrguga ühenduse loomiseks, saavad DHCP kaudu kehtiva IP-aadressi, DNS-i ja standardse lüüsiteabe ning edastavad seejärel oma sõnumeid. Selliste toodete nagu NetStumbler või enamikus sülearvutites ja pihuarvutites leiduva sisseehitatud traadita võrgu haldustööriista kasutajad on tõenäoliselt pidanud tuvastama turvamata traadita võrgud oma kodudes, naabruskonnas või ettevõttes.
Ebaturvaliste võrkude omanikud peavad olema valmis vähendama Interneti-ühenduse ribalaiust ning immitsema viiruseid ja usse ning võtma isegi kriminaal- või tsiviilvastutuse ebaturvaliste võrkude kasutamise eest rünnete sooritamiseks kolmandate isikute vastu. Selles artiklis käsitletakse praktilisi samme, mida saate teha traadita võrkude kaitsmiseks, seadete automaatse juurutamise meetodeid ning turvamata ja võltsitud traadita võrkude analüüsimise tööriistu.
Traadita ühenduse põhitõed
Enne traadita võrgu turvalisuse alustamist peate mõistma selle korraldamise põhiprintsiipe. Traadita võrgud koosnevad reeglina pääsusõlmedest ja traadita adapteritega klientidest. Pöördussõlmed ja juhtmevabad adapterid on varustatud transiiveritega, et omavahel suhelda. Igale pääsupunktile ja juhtmeta adapterile on määratud 48-bitine MAC-aadress, mis on funktsionaalselt samaväärne Etherneti aadressiga. Pöörduspunktid ühendavad traadita ja traadiga võrke, võimaldades traadita klientidel juhtmega võrkudele juurde pääseda. Side traadita klientide vahel peer-to-peer võrkudes on võimalik ilma AP-deta, kuid asutustes kasutatakse seda meetodit harva. Iga traadita võrku tuvastab administraatori määratud SSID (teenusekomplekti identifikaator). Traadita ühenduse kliendid saavad AP-ga suhelda, kui nad tunnevad ära pääsupunkti SSID-i. Kui traadita võrgul on mitu sama SSID-ga pääsupunkti (ja samad autentimis- ja krüpteerimisseaded), saavad mobiilsed traadita kliendid nende vahel vahetada.
Levinumad traadita ühenduse standardid on 802.11 ja selle täiustused. 802.11 spetsifikatsioon määratleb kiirusega kuni 2 Mbps töötava võrgu omadused. Täiustatud versioonid pakuvad suuremat kiirust. Esimene, 802.11b, on kõige laialdasemalt kasutatav, kuid asendatakse kiiresti 802.11g-ga. 802.11b traadita võrgud töötavad sagedusalas 2,4 GHz ja pakuvad andmeedastuskiirust kuni 11 Mbps. Täiendus 802.11a ratifitseeriti varem kui 802.11b, kuid see tuli turule hiljem. Selle standardi seadmed töötavad sagedusalas 5,8 GHz tüüpilise kiirusega 54 Mbps, kuid mõned müüjad pakuvad turborežiimis suuremat kiirust, kuni 108 Mbps. Kolmas, täiustatud versioon, 802.11g, töötab 2,4 GHz sagedusalas, nagu 802.11b, standardkiirusel 54 Mbps ja rohkem (kuni 108 Mbps) turborežiimis. Enamik 802.11g traadita võrke on 802.11g standardi sisseehitatud tagasiühilduvuse tõttu võimelised töötama 802.11b klientidega, kuid praktiline ühilduvus sõltub müüja konkreetsest rakendusest. Enamik kaasaegseid traadita seadmeid toetab kahte või enamat 802.11 varianti. Uut traadita ühenduse standardit 802.16, nimega WiMAX, kavandatakse konkreetse eesmärgiga pakkuda ettevõtetele ja kodudele mobiilsidetaoliste jaamade kaudu traadita juurdepääsu. Seda tehnoloogiat selles artiklis ei käsitleta.
AP tegelik ulatus sõltub paljudest teguritest, sealhulgas 802.11 variandist ja seadme töösagedusest, tootjast, toitest, antennist, välis- ja siseseintest ning võrgu topoloogia funktsioonidest. Suure võimendusega kitsa valgusvihuga antenniga traadita adapter suudab aga AP ja traadita võrguga suhelda üsna suure vahemaa tagant, olenevalt tingimustest kuni umbes poolteist kilomeetrit.
Raadiospektri avaliku olemuse tõttu on unikaalseid turvaprobleeme, mida juhtmega võrkudes ei leidu. Näiteks juhtmega võrgus olevate sõnumite pealtkuulamiseks on teil vaja füüsilist juurdepääsu võrgukomponendile, nagu seadme LAN-ühenduspunktile, kommutaatorile, ruuterile, tulemüürile või hostarvutile. Traadita võrk vajab ainult vastuvõtjat, näiteks tavalist sagedusskannerit. Traadita võrkude avatuse tõttu koostasid standardi arendajad Wired Equivalent Privacy (WEP) spetsifikatsiooni, kuid muutsid selle kasutamise vabatahtlikuks. WEP kasutab jagatud võtit, mis on teada traadita side klientidele ja pääsupunktidele, millega nad suhtlevad. Võtit saab kasutada nii autentimiseks kui ka krüptimiseks. WEP kasutab RC4 krüpteerimisalgoritmi. 64-bitine võti koosneb 40 kasutaja määratud bitist ja 24-bitisest lähtestamisvektorist. Püüdes parandada traadita võrkude turvalisust, on mõned seadmetootjad välja töötanud täiustatud algoritmid 128-bitiste või pikemate WEP-võtmetega, mis koosnevad 104-bitisest või pikemast kasutajaosast ja initsialiseerimisvektorist. WEP-i kasutatakse 802.11a, 802.11b ja 802.11g ühilduvate seadmetega. Vaatamata suurenenud võtme pikkusele on WEP-i vead (eelkõige nõrgad autentimismehhanismid ja krüpteerimisvõtmed, mida on võimalik krüptoanalüüsi meetoditega paljastada) siiski hästi dokumenteeritud ning tänapäeval ei peeta WEP-i usaldusväärseks algoritmiks.
Vastuseks WEP-i puudujääkidele otsustas Wi-Fi Alliance, tööstusühendus, kuhu kuulub enam kui 200 liiget, sealhulgas Apple Computer, Cisco Systems, Dell, IBM ja Microsoft, välja töötada Wi-Fi Protected Access (WPA) standardi. WPA ületab WEP-i, lisades TKIP-i (Temporal Key Integrity Protocol) ja tugeva autentimismehhanismi, mis põhineb 802.1x-l ja EAP-l (Extensible Authentication Protocol). WPA pidi olema tööstandard, mille saab 802.11 standardite laiendusena esitada IEEE komiteele kinnitamiseks. Laiendus 802.11i ratifitseeriti 2004. aastal ja WPA täiendati WPA2-ks, et see ühilduks WEP ja TKIP asemel täiustatud krüpteerimisstandardiga (AES). WPA2 on tagasiühilduv ja seda saab kasutada koos WPA-ga. WPA oli mõeldud RADIUS-i (Remote Authentication Dial-In User Service) autentimisinfrastruktuuriga ettevõttevõrkudele, kuid WPA versioon nimega WPA eeljagatud võti (WPAPSK) on saanud mõnelt tootjalt tuge ja on valmis. Väikeettevõtetes . Nagu WEP, töötab ka WPAPSK jagatud võtmega, kuid WPAPSK on turvalisem kui WEP.
Paljudel inimestel on 802.1x kohta vale ettekujutus. Standardit kasutatakse juurdepääsu kontrollimiseks juhtmega võrgu lülitite portidele ja traadita võrgu AP-de juurdepääsusõlmedele. 802.1x ei määra autentimismeetodit (näiteks saab kasutada X.509 või Kerberose spetsifikatsiooni versiooni 3) ning krüpteerimismehhanismi ega andmete krüptimise nõuet pole.
Kolm sammu turvalisuseni
Traadita võrgu turvamehhanisme on kolm: konfigureerige klient ja AP kasutama sama (mitte-vaikimisi) SSID-d, lubage AP-l suhelda ainult klientidega, kelle MAC-aadressid on AP-le teada, ja konfigureerige kliendid AP-le autentima ja krüptida liiklust. Enamik AP-sid on konfigureeritud töötama vaike-SSID-ga, lubatud kliendi MAC-aadresside loendita ja teadaoleva eeljagatud võtmega autentimiseks ja krüptimiseks (või üldse mitte autentimise ja krüptimiseta). Tavaliselt on need sätted dokumenteeritud tootja veebisaidi veebiabisüsteemis. Need valikud muudavad kogenematu kasutaja jaoks traadita võrgu seadistamise ja käivitamise lihtsaks, kuid hõlbustavad ka häkkeritel võrku sissemurdmist. Asja teeb hullemaks see, et enamik AP-sid on konfigureeritud edastama SSID-d. Seetõttu võib ründaja standardsete SSID-de abil leida haavatavaid võrke.
Esimene samm turvalise traadita võrgu loomisel on pääsupunkti vaike-SSID muutmine. Lisaks peate muutma seda sätet kliendis, et võimaldada side AP-ga. Mugav on määrata SSID, mis on mõistlik ettevõtte administraatorile ja kasutajatele, kuid ei erista seda traadita võrku selgelt teiste volitamata isikute poolt pealtkuulatud SSID-de hulgast.
Järgmine samm on võimaluse korral blokeerida AP-l SSID levitamine. Selle tulemusena muutub ründajal traadita võrgu ja SSID olemasolu tuvastamine keerulisemaks (kuigi see on siiski võimalik). Mõned AP-d ei saa SSID-edastust tühistada. Sellistel juhtudel peaksite saateintervalli nii palju kui võimalik suurendama. Lisaks võivad mõned kliendid suhelda ainult siis, kui AP edastab SSID-d. Seega peate võib-olla selle sättega katsetama, et leida teie olukorrale sobiv režiim.
Pärast seda saate lubada juurdepääsu sõlmedele ainult teadaolevate MAC-aadressidega traadita klientidelt. Selline meede on suures organisatsioonis vaevalt asjakohane, kuid väikeses ettevõttes, kus on vähe traadita kliente, on see usaldusväärne täiendav kaitseliin. Ründajad peavad välja selgitama MAC-aadressid, millel on lubatud ettevõtte AP-ga ühenduda, ja muutma oma traadita adapteri MAC-aadressi lubatud aadressiks (mõnedel adapterimudelitel saab MAC-aadressi muuta).
Autentimis- ja krüptimisvalikute valimine võib olla traadita võrgu turvalisuse kõige keerulisem osa. Enne parameetrite määramist on vaja pääsupunktid ja traadita adapterid inventeerida, et luua nende toetatavad turbeprotokollid, eriti kui traadita võrk on juba korraldatud erinevate tarnijate mitmesuguste seadmete abil. Mõned seadmed, eriti vanemad AP-d ja traadita ühenduse adapterid, ei pruugi WPA, WPA2 või laiendatud WEP-võtmetega ühilduda.
Veel üks olukord, mida tasub meeles pidada, on see, et mõned vanemad seadmed nõuavad, et kasutajad sisestaksid võtit tähistava kuueteistkümnendsüsteemi numbri ning teised vanemad AP-d ja traadita ühenduse adapterid nõuavad võtmeks teisendamiseks parooli. Seetõttu on raske saavutada kõigi seadmete jaoks ühe võtme kasutamist. Selliste seadmete omanikud saavad juhuslike WEP-võtmete genereerimiseks ja paroolide kuueteistkümnendarvudeks teisendamiseks kasutada ressursse, nagu WEP-võtmegeneraator ().
Üldiselt tuleks WEP-i kasutada ainult siis, kui see on hädavajalik. Kui WEP kasutamine on kohustuslik, tasub valida võtmete maksimaalne pikkus ja seada võrk Shared asemel Open režiimi. Avatud režiimis ei teostata võrgus kliendi autentimist ja igaüks saab luua ühenduse pääsusõlmedega. Need ettevalmistavad ühendused laadivad osaliselt traadita ühenduse, kuid ründajad, kes loovad ühenduse pääsupunktis, ei saa suhtlust jätkata, kuna nad ei tea WEP-krüpteerimisvõtit. Saate isegi esialgseid ühendusi blokeerida, konfigureerides AP nii, et see aktsepteeriks ainult teadaolevate MAC-aadresside ühendusi. Erinevalt avatud režiimist kasutab pääsupunkt jagatud režiimis traadita klientide autentimiseks väljakutse-vastuse protseduuris WEP-võtit ning ründaja saab järjestuse dekrüpteerida ja määrata WEP-krüpteerimisvõtme.
Kui saate kasutada WPA-d, peate valima WPA, WPA2 ja WPA-PSK vahel. Peamine tegur ühelt poolt WPA või WPA2 ja teiselt poolt WPA-PSK valimisel on võime juurutada WPA ja WPA2 poolt kasutaja autentimiseks vajalik infrastruktuur. WPA ja WPA2 nõuavad RADIUSe ja võib-olla avaliku võtme infrastruktuuri (PKI) serverite juurutamist. WPA-PSK, nagu ka WEP, töötab traadita ühenduse kliendile ja AP-le teadaoleva jagatud võtmega. WPA-PSK saab turvaliselt kasutada WPA-PSK eeljagatud võtit autentimiseks ja krüptimiseks, kuna sellel ei ole WEP-i puudust (võimalus krüpteerimisvõtit tuvastada autentimisprotseduuri krüptoanalüüsi abil).
Loomulikult on erinevate tarnijate pääsupunktidel erinevad kasutajaliidesed ja konfiguratsioonimeetodid, mistõttu ei ole võimalik esitada ühtset loendit üksikasjalike juhistega kõigi seadmete jaoks. Kuid ülaltoodud teave on pääsusõlmede seadistamisel kasulik.
Windowsi kliendi seadistamine
Windows Server 2003 ja Windows XP muudavad kliendi konfigureerimise traadita võrkude jaoks lihtsaks, eriti WEP-võrkude jaoks. Microsoft tutvustas XP-s teenust Wireless Zero Configuration ja nimetas selle Windows 2003 traadita ühenduse konfiguratsiooni teenuseks. Töötav teenus jälgib traadita side adaptereid, et võtta vastu SSID-saateid AP-delt. Kui vastu võetakse teadaoleva SSID leviedastus ja saadaval on piisavalt konfiguratsiooniteavet, loob Windows automaatselt ühenduse võrguga (kui see on ühenduse loomiseks konfigureeritud). Traadita ühenduse konfiguratsiooniteenus kuvab standardse dialoogiboksi traadita võrgu sätete konfigureerimiseks, olenemata installitud traadita ühenduse adapterist. Kahjuks ei tööta teenus kõigi juhtmevabade adapteritega; kui see konkreetse kaardiga ei tööta, peate selle keelama ja kasutama võrguadapteriga kaasas olevat draiveri ja konfiguratsioonitööriistade komplekti.
Konfiguratsiooniteenuse kasutamiseks avage juhtpaneelil võrguühenduste utiliit, paremklõpsake juhtmeta adapteri ikoonil, valige Atribuudid ja navigeerige vahekaardile Traadita võrgud. Veenduge, et suvand Kasuta Windowsi traadita võrgu sätete konfigureerimiseks on lubatud ja klõpsake traadita võrgu konfigureerimiseks nuppu Lisa. Joonisel 1 on näidatud dialoogiboks traadita võrgu sätete sisestamiseks. Seejärel sisestage selle traadita võrgu SSID, millega soovite ühenduse luua, ja valige võrguautentimise meetod. Kui valite Open või Shared, saate väljal Andmete krüpteerimine määrata ühe väärtustest - WEP või Disabled. Kui valitud on WPA või WPA-PSK, saab kasutada TKIP või AES krüpteerimisalgoritme.
| Joonis 1: Traadita ühenduse sätete konfigureerimine XP-s |
Kui kasutate autentimiseks või krüptimiseks WPA-d või WPA-PSK-d, saate sisestada autentimis- või krüpteerimisvõtme (välja Võrguvõti ja välja Kinnita võrguvõti lubamiseks peate tühistama valiku Võti antakse mulle automaatselt). Kui on rohkem kui üks võti, tuleks valida võtme number või indeks. Mõned pääsupunktid ja juhtmevabad adapterid võivad paindlikkuse suurendamiseks salvestada ja kasutada kuni nelja võtit. Näiteks saab võtmeid vahetada kord nädalas, valides igal esmaspäeva hommikul loendist võtme käsitsi.
Rogue pääsupunkti tuvastamine
Nagu eespool märgitud, võivad petturlikud juurdepääsusõlmed olla ettevõttele tohutuks ohuks. Kuid AP seadistamise eeliste ja lihtsuse tõttu (eriti kui kasutate vaikesätteid) on väga tõenäoline, et keegi paigaldab ühel päeval ettevõtte võrku pääsupunkti.
Volitamata juurdepääsupunktide leidmine võib olla keeruline, kuid see on usaldusväärse kaitse tagamiseks vajalik. Windows 2003 tutvustas uut Microsofti halduskonsooli (MMC) lisandmoodulit nimega Wireless Network Monitor, mida saab kasutada võrgukliendi tegevuste logimiseks ja juurdepääsusõlmede leidmiseks. Windows 2003 installimine sülearvutitesse ainult MMC lisandmooduli jaoks on aga ebamugav, kulukas ja üldiselt mittevajalik. Enamikul sisseehitatud juhtmevabade adapteritega sülearvutitel ja pihuarvutitel on tööriistad, mis sobivad petturlike AP-de leidmiseks.
Kui teie sülearvuti või pihuarvutiga pole seda tööriista kaasas või vajate täiustatud funktsioone, nagu GPS (globaalne positsioneerimissüsteem kombineerituna kahesuunalise antenni ja kompassiga, et määrata võltsitud pääsupunkti asukoht), võib tasuta tööriist, nagu NetStumbler. eelistatav olla. Sellel aadressil on saadaval kaks versiooni, üks Windows 2000 ja uuemate versioonide jaoks ning üks Windows CE seadmete jaoks nimega MiniStumbler. Joonisel 2 on kujutatud NetStumbler, mis töötab Delli sülearvutis XP hoolduspaketiga Service Pack 2 (SP2) ja Dell TrueMobile 1400, mis on üks paljudest NetStumbleriga ühilduvatest juhtmevabadest adapteritest.
NetStumbleri abil saate tuvastada petturlikud AP-d, käivitades programmi lihtsalt sülearvutis ja kõndides sülearvutiga ettevõttes ringi. Avastatud pääsusõlmed kuvatakse ekraanil. Nii saate teavet pääsupunkti MAC-aadressi, kuulatava kanali, krüptimise ja pakkuja kohta. Lisaks näitab NetStumbler raadiosignaali signaali ja müra suhet. Mida suurem number, seda lühem on kaugus AP-st.
Enne võltsitud AP-de tuvastamist tuleb määrata ettevõtte iga seadusliku AP-i MAC-aadress ja SSID. Pöördussõlmede juurutamisel salvestage nende MAC-aadress, SSID ja asukoht. NetStumblerist mööda minnes peaksite otsima tundmatute SSID-de ja tundmatute MAC-aadressidega juurdepääsusõlmi. Kui leiate ebaseaduslikke seadmeid, peaksite salvestama nende asukoha, seejärel liikuma erinevatesse suundadesse ja märkima, millises suunas SNR suureneb. Kui jätkame selles suunas liikumist, siis varem või hiljem avastatakse AP või joonistatakse vähemalt selle asukoha ligikaudne piirkond, et tulevikus põhjalikumalt uurida. Pange tähele, et AP võib olla põrandal või laes.
Eriti oluline on tähele panna, et vilunud häkker saab seadistada AP sama SSID-ga, mis on võrgus saadaval, lootes pahaaimamatuid kasutajaid üllatusena tabada. Volitamata AP-ga ühenduse loomisel püüavad kasutajad pääseda juurde võrguressurssidele, nagu meiliserver ja veebis hostitud rakendused. Nad ei pääse ründaja AP kaudu ressurssidele juurde, kuid kuni nad seda teada saavad, saavad nad avaldada oma paroolid ja nimed. Tugipersonali tuleks koolitada, et leida üles traadita võrgu probleemidega seotud kõned, mis võivad viidata võltsitud pääsupunktidele, ja paluda kasutajatel oma asukohast teada anda. Sissetulevaid signaale tuleks uurida NetStumbleri või muude tööriistade abil ja kontrollida kõigi piirkonnas asuvate AP-de MAC-aadresse, et veenduda, et need on seaduslikult installitud.
Lisateavet traadita võrgu turvalisuse kohta igas suuruses ettevõtetele ja isegi kodukasutajatele leiate Joseph Davise suurepärasest raamatust Turvaliste 802.11 traadita võrkude juurutamine Microsoft Windowsiga (Microsoft Press, 2003). Aadressil saate teavet raamatu ja selle ostmise kohta, samuti leiate lingi lisamaterjalidele. Suurepärane tegevusressurss - . See leht asub Microsofti veebisaidi jaotises Windows 2003, kuid sellel on ka lingid XP teabele.
Traadita võrgud on mugavamad kui juhtmega võrgud, kuid need võivad olla haavatavad ka häkkerite ja pahavara (nt usside) suhtes. Kuna traadita võrgud kasutavad raadiolaineid, mis võivad levida läbi seinte, võib võrgusignaal levida väljaspool kodu.
Kui te ei püüa võrku kaitsta, pääsevad lähedalasuvad arvutikasutajad ligi võrguarvutites salvestatud andmetele ja saavad kasutada teie Interneti-ühendust. Traadita võrgus turvavõtme määramisega saate kaitsta end volitamata juurdepääsu eest.
Traadita võrgu turvalisuse viisid
Traadita võrk tuleks konfigureerida nii, et sellele pääsevad ligi ainult valitud kasutajad.
Allpool kirjeldatakse mitmeid traadita ühenduse turvaseadeid.
Wi-Fi kaitstud juurdepääsu tehnoloogia (WPA ja WPA2)
Wi-Fi kaitstud juurdepääsu tehnoloogia krüpteerib teabe ja kontrollib, et võrgu turvavõtit pole muudetud. Lisaks teostab Wi-Fi Protected Access tehnoloogia kasutaja autentimist, et tagada võrgule juurdepääs ainult volitatud kasutajatele.
WPA autentimist on kahte tüüpi: WPA ja WPA2.
WPA tüüp on loodud töötama kõigi traadita võrguadapteritega, kuid ei ühildu vanemate ruuterite ega pääsupunktidega. Tüüp WPA2 turvalisem kui WPA, kuid ei ühildu mõne vanema võrguadapteriga.
WPA on mõeldud kasutamiseks koos 802.1x autentimisserveriga, mis genereerib iga kasutaja jaoks erineva võtme. Siis nimetatakse seda WPA-Enterprise või WPA2-Enterprise. Seda saab kasutada ka eeljagatud võtme (PSK) režiimis, kus iga kasutaja saab sama parooli. Siis nimetatakse seda WPA-Personal või WPA2-Personal.
Wired Equivalent Privacy Protocol (WEP)
WEP kui vana võrguturbe meetod on endiselt saadaval vanemate seadmete toetamiseks kasutamine ei ole soovitatav. Kui WEP on lubatud, määratakse võrgu turvavõti. See krüpteerimisvõti saadetakse võrgu kaudu ühest arvutist teise. WEP-i turvalisust on aga suhteliselt lihtne murda.
Tähelepanu! Võimaluse korral on soovitatav kasutada WPA2. WEP ei ole soovitatav. WPA või WPA2 on turvalisem. Kui WPA või WPA2 ei tööta käivitamisel, soovitame värskendada oma võrguadapterit, et see töötaks mõne töötava WPA või WPA2 tehnoloogiaga.
802.1x autentimine
802.1x autentimine võib suurendada 802.11 traadita võrkude ja Etherneti võrkude turvalisust. 802.1x autentimine kasutab kasutajate kontrollimiseks ja võrgule juurdepääsuks loa andmiseks autentimisserverit. Traadita võrkudes saab 802.1x autentimist kasutada WPA-, WPA2- või WEP-protokolli võtmetega. Seda tüüpi autentimist kasutatakse tavaliselt töökohal võrguga ühenduse loomiseks.
Niisiis, ostsite juhtmevaba adapteri, ühendasite selle võrku, seadistasite Interneti-ühenduse – ja teil on täielik juhtmevabadus. Nüüd ei pea te võrgule juurdepääsuks kaablit ühendama, peate lihtsalt olema traadita võrgu levialas – ja see on palju lihtsam ja mugavam. Kuid see on lihtne ja mugav mitte ainult teile. Lõppude lõpuks, erinevalt traadiga võrkudest, piisab traadita võrkude häkkimiseks viibimisest nende levialas, mis võib ulatuda hoonetest kaugemale.
Ärge arvake, et teil pole midagi karta, kui olete kodus traadita võrgu installinud. Muidugi on ebatõenäoline, et teie koduarvutisse salvestatakse konfidentsiaalset teavet (kuigi võib-olla) ja kõige rohkem, millele ründaja võib loota, on teie isiklik fotoarhiiv ja valik teie lemmikmuusikat. Koduste traadita võrkude häkkimise peamine oht pole aga see. Häkkerid on tavaliselt huvitatud teie juurdepääsust Internetile.
Kui maksate Interneti eest olenevalt tarbitavast liiklusest, võib selline volitamata ühendus kaasa tuua lisatasusid. Ka õnnelikud piiramatute tariifide omanikud ei saa end rahulikult tunda, kui keegi teine hakkab nende internetiühendust kasutama, siis rahaliselt ei kannata. Kuid samal ajal on oht, et teie ühenduse kiirus langeb - see kehtib eriti siis, kui tasuta kingituste armastaja pole tagasihoidlik ja hakkab teie kanalit täiel rinnal piiluma.
Noh, pole vaja rääkida traadita võrkude kaitsmise vajadusest ettevõttes - kaasaegse organisatsiooni töö on sageli IT-infrastruktuurist nii sõltuv, et tõrked ja kohalike võrkude kaitse rikkumised võivad tõhusa tegevuse täielikult hävitada.
Krüpteerimine
Krüpteerimine on üks ilmsemaid viise traadita võrgu kaitsmiseks. Teoreetiliselt on kõik lihtne – selleks, et kasutaja seade saaks juhtmevaba võrguga ühenduse luua, peab ta oma õigust ühel või teisel viisil autentimise abil tõestama. Seega piisab teabe kaitsmiseks arvutivõrkudes võrgule juurdepääsu piiramisest paroolide või muude autentimisvahendite abil.
Ajalooliselt oli esimene selline traadita võrkude turvamise meetod WEP-krüptimine. Mõni aeg tagasi pakkus algoritm traadita võrkudele üsna usaldusväärset kaitset, kuid 2001. aastal viisid krüptoanalüütikud läbi mitmeid uuringuid, mis juhtisid tähelepanu selle algoritmi teatud haavatavustele, mille tõttu häkitakse selle algoritmiga kaitstud ühendus mõne minuti jooksul sisse. Kuigi selline krüpteerimine on parem kui andmete edastamine otse krüptimata ühenduse kaudu, ei sobi see traadita võrkude kaitsmiseks traadita võrgu häkkerite eest. Sellele vaatamata on endiselt suur hulk traadita võrke, mis on selle konkreetse algoritmiga kaitstud. Selle põhjuseks on asjaolu, et vananenud seadmed ei toeta kaasaegseid meetodeid teabe kaitsmiseks arvutivõrkudes. Vaatamata ühe krüpteerimismeetodi rakendamisel esinevatele vigadele on see lähenemisviis teabe kaitsmisel võrkudes siiski üsna tõhus. Seetõttu ilmus pärast WEP-i teine algoritm, millel puudusid selle eelkäija - WPA - puudused.
Lisaks krüpteerimisalgoritmi vigade kõrvaldamisele kasutas see turvameetod uut laiendatud autentimisprotokolli EAP, ajutise võtme terviklikkuse protokolli TKIP ja MIC sõnumi terviklikkuse mehhanismi. Näib, et see muljetavaldav tehnoloogiate komplekt peaks pakkuma arvutivõrkudele kõrgetasemelist kaitset. Kuid mitte nii kaua aega tagasi, 2009. aastal, esitati tõendid selle kohta, et iga selle protokolliga kaitstud ühendust saab häkkida (pealegi kulub seadete edukate kombinatsioonide korral arvutivõrkude kaitsest ülesaamiseks umbes 1 minut). Kuid krüpteerimine kui traadita võrkude kaitsmise meetod ei kavatse oma positsioone loobuda. Aastal 2004, ammu enne WPA ohustamist, töötati välja uus protokoll WPA 2. Peamine erinevus WPA-st seisneb põhimõtteliselt haavatava RC4 krüpteerimismeetodi üleminek turvalisemale AES-algoritmile. Hetkel pole teateid selle kohta, et sellisele arvutivõrkude kaitsele saaks häkkida.
Tõsiseks komistuskiviks sellise kaasaegse ja vastupidava viisidele, kuidas traadita võrkude kaitsmisest traadita võrkude häkkerite eest mööda minna, nagu WPA2, on aga selle kliendiseadmete toetus. Pole probleemi, kui juurutate võrku nullist – kõik pärast 2006. aastat välja antud kaasaegsed seadmed toetavad seda teabe kaitsmise meetodit võrkudes. Kui teil on aga traadita seadmeid, mida soovite traadita võrkudes kasutada ja need ei toeta WPA2, siis ärge unustage, et krüpteerimine pole ainus tõhus viis arvutivõrkude kaitsmiseks.
MAC-aadressi filtreerimine
Selline kohtvõrkude kaitsmise meetod nagu juurdepääsu filtreerimine MAC-aadresside järgi on üsna tõhus. MAC-aadress on võrguliidese (võrgukaardi) kordumatu number. Seega, teades eelnevalt usaldusväärsete seadmete MAC-aadresse, saate konfigureerida oma traadita võrgu turvalisust. Kuna aga kaasaegsetel võrguseadmetel on võimalik tehase MAC-aadressi muuta, ei pruugi see võrgus oleva teabe kaitsmise meetod olla tõhus. Lõppude lõpuks, kui ründaja saab mingil moel juurdepääsu usaldusväärsele seadmele, saab ta selle MAC-aadressi kopeerida ja tulevikus kasutada seda mis tahes muust seadmest võrku tungimiseks (kui see muidugi toetab MAC-aadressi muutmist) . Seda meetodit saab aga kasutada lisaks teistele ja seeläbi suurendada traadita võrgu turvalisust.
SSID peitmine
Selleks, et midagi sisse häkkida, on vaja seda näha või vähemalt teada, et see on olemas. Ja kui see meetod ei sobi kohaliku võrgu kaitsmiseks (proovige juhtmeid peita), siis traadita võrkude kaitsmiseks on see üsna hea väljapääs. Fakt on see, et vaikimisi edastab pääsupunkt pidevalt oma SSID-d - traadita võrgu identifikaatorit. Just seda identifikaatorit märkab teie sülearvuti või kommunikaatori võrgukaart, kui sellele ilmub teade, et on tuvastatud uus traadita võrk. Kuigi see ei muuda võrkude tuvastamist võimatuks, kui SSID-d ei levitata, muudab see ründaja jaoks palju raskemaks selle tuvastamise ja veelgi keerulisemaks sellise võrguga ühenduse loomise. Sellel teabe kaitsmise meetodil võrkudes on aga teatud puudused: uute seadmete ühendamisel olemasoleva traadita võrguga peate võrgu nime käsitsi sisestama.
Üldiselt leiutati selline teabe kaitsmise meetod nagu VPN mitte niivõrd traadita võrkude kaitsmiseks, vaid selleks, et korraldada Interneti kaudu turvaline ühendus kaugkohavõrguga. See tehnoloogia töötab aga suurepäraselt traadita võrkudes ja sobib suurepäraselt kohtvõrkude turvamiseks. Sel juhul võib traadita võrk ise muust kaitsest täielikult puududa, kuid selles ei ole avatud ressursse - kõik haavatavad ressursid on virtuaalses võrgus, mille ainus liides on saadaval ainult traadita võrgu kaudu. Kaasaegsed krüpteerimisalgoritmid tagavad sellise ühenduse kõrge vastupidavuse ja teabe usaldusväärse kaitse arvutivõrkudes.
Traadita võrkude kaitsmise teema on üsna ulatuslik, kuid üldreeglid teabe kaitsmiseks võrkudes on üldiselt samad. Kui soovite saada arvutivõrkude tõeliselt häkkimiskindlat kaitset, on parem kombineerida mitut kaitsemeetodit.
Mitmekihilise kohaliku võrgu kaitsesüsteemi (kõige täiustatud krüpteerimisvõimalus, SSID peitmine, MAC-aadresside filtreerimine ja andmete edastamine VPN-i kaudu) kombinatsioon tagab arvutivõrkudes tõhusa teabekaitse. Siiski püüdke tõhususe poole püüdlemisel leida tasakaal kaitse usaldusväärsuse ja kasutuslihtsuse vahel – lõppude lõpuks, mida rohkem on teie traadita võrgul kontrolle ja takistusi, seda keerulisem on selle kasutamine. Seetõttu mõelge oma kohaliku võrgu kaitsmisele mõeldes häkkerite rünnaku tõenäosusele teie võrgu vastu – ärge koormake võrku põhjendamatute turvameetmetega, see võib jõudlust negatiivselt mõjutada ja põhjustada ribalaiuse kadu.
Volitamata juurdepääs – teabe lugemine, värskendamine või hävitamine vastavate volituste puudumisel.
Volitamata juurdepääs toimub reeglina kellegi teise nime kasutades, seadmete füüsiliste aadresside muutmise, probleemide lahendamise järel allesjäänud teabe kasutamise, tarkvara ja teabetoe muutmise, teabekandjate varastamise, salvestusseadmete paigaldamisega.
Oma teabe edukaks kaitsmiseks peab kasutajal olema täiesti selge ettekujutus võimalikest volitamata juurdepääsu viisidest. Peamised tüüpilised teabe loata hankimise viisid:
· andmekandjate ja tööstusjäätmete vargus;
infokandjate kopeerimine kaitsemeetmete ületamise abil;
maskeerida end registreeritud kasutajaks;
hoax (maskimine süsteemipäringute all);
operatsioonisüsteemide ja programmeerimiskeelte puuduste kasutamine;
· tarkvara järjehoidjate ja tarkvaraplokkide (nt "Trooja hobune") kasutamine;
elektroonilise kiirguse pealtkuulamine;
akustilise kiirguse pealtkuulamine;
kaugfotograafia;
kuulamisseadmete kasutamine;
Kaitsemehhanismide pahatahtlik keelamine jne.
Teabe kaitsmiseks volitamata juurdepääsu eest rakendage:
1) korralduslikud meetmed;
2) tehnilised vahendid;
3) tarkvara;
4) krüpteerimine.
Organisatsioonilised tegevused hõlmavad järgmist:
· juurdepääsurežiim;
kandjate ja seadmete hoidmine seifis (disketid, monitor, klaviatuur jne);
Isikute juurdepääsu piiramine arvutiruumidesse jne.
Tehniliste vahendite hulka kuuluvad:
filtrid, seadmete ekraanid;
võti klaviatuuri lukustamiseks;
Autentimisseadmed - sõrmejälgede, käekuju, vikerkesta, printimiskiiruse ja -tehnikate jms lugemiseks;
· elektroonilised võtmed mikroskeemidel jne.
Tarkvaratööriistade hulka kuuluvad:
parooli juurdepääs – kasutaja volituste seadmine;
Ekraani ja klaviatuuri lukustamine Norton Utilitesi utiliidi utiliidi Diskreet klahvikombinatsiooni abil;
BIOS-i paroolikaitse tööriistade kasutamine - BIOS-is endas ja arvutis tervikuna jne.
Krüpteerimine on avatud teabe muutmine (kodeerimine) krüpteerituks, mis pole kõrvalistele isikutele kättesaadav. Sõnumite krüpteerimise ja dekrüpteerimise meetodeid uurib krüptoloogiateadus, mille ajalugu on umbes neli tuhat aastat vana.
2.5. Infoturve traadita võrkudes
Uskumatult kiire traadita lahenduste kasutuselevõtt tänapäeva võrkudes paneb meid mõtlema andmekaitse usaldusväärsusele.
Traadita andmeedastuse põhimõte hõlmab juurdepääsupunktidega volitamata ühenduste võimalust.
Sama ohtlik oht on seadmete varguse tõenäosus. Kui traadita võrgu turvapoliitika põhineb MAC-aadressidel, võib ründaja varastatud võrgukaart või pääsupunkt avada juurdepääsu võrgule.
Sageli ühendavad pääsupunktid LAN-iga volitamata ettevõtte töötajad ise, kes ei mõtle kaitsele.
Selliseid probleeme tuleb käsitleda terviklikult. Organisatsioonilised meetmed valitakse iga konkreetse võrgu töötingimustest lähtuvalt. Tehniliste meetmete osas saavutatakse väga hea tulemus seadmete kohustusliku vastastikuse autentimise kasutamisega ja aktiivkontrollide kasutuselevõtuga.
2001. aastal ilmusid esimesed draiverite ja programmide rakendused, mis käsitlevad WEP-krüptimist. Edukaim on PreShared Key. Kuid isegi see on hea ainult usaldusväärse krüptimise ja kvaliteetsete paroolide korrapärase asendamise korral (joonis 1).
Joonis 1 – Algoritm krüptitud andmete analüüsimiseks
Kaasaegsed nõuded kaitsele
Autentimine
Praegu on erinevates võrguseadmetes, sealhulgas juhtmevabades seadmetes, laialdaselt kasutusel kaasaegsem autentimismeetod, mis on defineeritud standardis 802.1x – kuni vastastikuse kontrollimiseni ei saa kasutaja andmeid vastu võtta ega edastada.
Mitmed arendajad kasutavad oma seadmetes autentimiseks EAP-TLS ja PEAP protokolle, Cisco Systems pakub oma traadita võrkude jaoks lisaks nimetatutele järgmisi protokolle: EAP-TLS, PEAP, LEAP, EAP-FAST.
Kõik kaasaegsed autentimismeetodid eeldavad dünaamiliste võtmete tuge.
LEAP-i ja EAP-FAST-i peamiseks puuduseks on see, et neid protokolle toetatakse peamiselt Cisco Systemsi seadmetes (joonis 2).
Joonis 2 – 802.11x paketistruktuur, mis kasutab TKIP-PPK, MIC ja WEP krüptimist.
Krüpteerimine ja terviklikkus
802.11i soovituste põhjal rakendas Cisco Systems TKIP (Temporal Integrity Protocol) protokolli, mis võimaldab muuta PRK krüpteerimisvõtit (Per Packet Keying) igas paketis ja MIC (Message Integrity Check) sõnumi terviklikkuse kontrolli.
Veel üks paljutõotav krüptimise ja terviklikkuse protokoll on AES (Advanced Encryption Standard). Sellel on parem krüptograafiline tugevus võrreldes DES ja GOST 28147-89-ga. See pakub nii krüptimist kui ka terviklikkust.
Pange tähele, et selles kasutatav algoritm (Rijndael) ei nõua suuri ressursse ei juurutamise ega töötamise ajal, mis on väga oluline andmete latentsuse ja protsessori koormuse vähendamiseks.
Juhtmeta kohtvõrkude turvastandard on 802.11i.
Wi-Fi kaitstud juurdepääsu (WPA) standard on reeglite kogum, mis jõustab andmekaitse 802.11x võrkude kaudu. Alates 2003. aasta augustist on Wi-Fi-sertifikaadiga seadmete puhul nõutav WPA-vastavus.
WPA spetsifikatsioon sisaldab muudetud TKOP-PPK protokolli. Krüpteerimine toimub mitme võtme - praeguse ja järgneva - kombinatsiooniga. Samal ajal suurendatakse IV pikkust 48 bitini. See võimaldab rakendada täiendavaid meetmeid teabe kaitsmiseks, näiteks karmistada nõudeid uuesti seostamisele, taasautentimisele.
Tehnilised andmed hõlmavad 802.1x/EAP tuge, jagatud võtme autentimist ja loomulikult võtmehaldust.
Tabel 3 – Turvapoliitika rakendamise viisid
|
Näitaja | ||||
|
Kaasaegse OS-i tugi | ||||
|
Tarkvara keerukus ja autentimise ressursimahukus | ||||
|
Juhtimise keerukus | ||||
|
Ühekordne sisselogimine (Windowsis ühekordne sisselogimine) | ||||
|
Dünaamilised võtmed | ||||
|
Ühekordsed paroolid | ||||
Tabel 3 jätkus
Arvestades kaasaegse riist- ja tarkvara kasutamist, on praegu täiesti võimalik ehitada turvaline ja ründekindel traadita võrk, mis põhineb 802.11x seeria standarditel.
Peaaegu alati on traadita võrk ühendatud traadiga võrguga ja lisaks traadita kanalite kaitsmise vajadusele on vaja tagada kaitse ka juhtmega võrkudes. Vastasel juhul on võrgul killustunud kaitse, mis on tegelikult turvarisk. Soovitatav on kasutada seadmeid, millel on Wi-Fi Certified sertifikaat, st mis kinnitab WPA vastavust.
Rakendage 802.11x/EAP/TKIP/MIC ja dünaamiline võtmehaldus. Segavõrgu puhul tuleks kasutada VLAN-e; välisantennidega kasutatakse VPN-tehnoloogiat.
On vaja kombineerida nii protokolli- kui ka tarkvaralisi kaitsemeetodeid, aga ka administratiivseid.
Parooli ja MAC-aadressi filtreerimine peaks teid kaitsma häkkimise eest. Tegelikult sõltub ohutus rohkem teie äranägemisest. Ebasobivad turvameetodid, lihtne parool ja hoolimatu suhtumine võõrastesse koduvõrgus annavad ründajatele täiendavaid võimalusi rünnata. Sellest artiklist saate teada, kuidas saate WEP-parooli lahti murda, miks peaksite filtritest loobuma ja kuidas kaitsta oma traadita võrku igast küljest.
Kaitse kutsumata külaliste eest
Teie võrk pole turvaline, mistõttu varem või hiljem loob kõrvalseisja teie traadita võrguga ühenduse – võib-olla isegi mitte meelega, sest nutitelefonid ja tahvelarvutid saavad automaatselt ühenduse luua ebaturvaliste võrkudega. Kui ta lihtsalt avab mõne saidi, siis tõenäoliselt ei juhtu midagi kohutavat peale liikluse tarbimise. Olukord muutub keerulisemaks, kui külaline hakkab teie Interneti-ühenduse kaudu ebaseaduslikku sisu alla laadima.
Kui te pole veel turvameetmeid võtnud, minge brauseri kaudu ruuteri liidesesse ja muutke võrgu juurdepääsuandmeid. Ruuteri aadress näeb tavaliselt välja selline: http://192.168.1.1. Kui see nii ei ole, saate oma võrguseadme IP-aadressi käsurea kaudu teada saada. Operatsioonisüsteemis Windows 7 klõpsake nuppu "Start" ja tippige otsinguribale "cmd". Helistage võrgusätetele käsuga "ipconfig" ja leidke rida "Default gateway". Määratud IP on teie ruuteri aadress, mille peate sisestama brauseri aadressiribale. Ruuteri turbesätete asukoht on tootjati erinev. Reeglina asuvad need jaotises, mille nimi on "WLAN | Turvalisus".
Kui teie traadita võrk kasutab ebaturvalist ühendust, peaksite olema eriti ettevaatlik jagatud kaustades asuva sisuga, sest kaitse puudumisel on see täielikult teiste kasutajate valduses. Samal ajal on Windows XP Home operatsioonisüsteemis olukord üldise juurdepääsuga lihtsalt katastroofiline: vaikimisi ei saa siin paroole üldse määrata - see funktsioon on olemas ainult professionaalses versioonis. Selle asemel tehakse kõik võrgupäringud ebaturvalise külaliskonto kaudu. Windows XP-s saate võrgu turvaliseks teha väikese manipuleerimisega: käivitage käsuviip, sisestage "net user guest YourNewPassword" ja kinnitage toiming, vajutades klahvi "Enter". Pärast Windowsi taaskäivitamist on võrguressurssidele juurdepääs võimalik ainult siis, kui teil on parool, kuid OS-i selle versiooni täpsem häälestamine pole kahjuks võimalik. Palju mugavam ühiskasutussätete haldamine on juurutatud Windows 7-s. Siin piisab kasutajate ringi piiramiseks sellest, kui minna juhtpaneelil "Võrgu- ja ühiskasutuskeskus" ning luua parooliga kaitstud kodugrupp.
Nõuetekohase kaitse puudumine traadita võrgus on muude ohtude allikas, sest häkkerid saavad kasutada spetsiaalseid programme (nuusutajad), et tuvastada kõik turvamata ühendused. Seega on häkkeritel lihtne teie isikuandmeid erinevatest teenustest kinni püüda.
häkkerid
Nagu varemgi, on tänapäeval kaks kõige populaarsemat turbemeetodit MAC-aadressi filtreerimine ja SSID (võrgunime) peitmine: need turvameetmed ei kaitse teid. Võrgunime paljastamiseks vajab ründaja vaid WLAN-adapterit, mis lülitub muudetud draiveri abil jälgimisrežiimi, ja nuuskijat – näiteks Kismet. Kreeker jälgib võrku seni, kuni kasutaja (klient) sellega ühenduse loob. Seejärel manipuleerib see andmepakettidega ja lükkab seega kliendi võrgust välja. Kui kasutaja uuesti ühenduse loob, näeb ründaja võrgu nime. Tundub keeruline, kuid tegelikult võtab kogu protsess vaid mõne minuti. MAC-filtrist mööda hiilimine on samuti lihtne: ründaja määrab MAC-aadressi ja määrab selle oma seadmele. Seega jääb kõrvalseisja ühendus võrgu omanikule märkamatuks.
Kui teie seade toetab ainult WEP-krüptimist, tegutsege kohe – isegi mitteprofessionaalid võivad sellise parooli mõne minutiga lahti murda.
Küberpetturite seas on eriti populaarne tarkvarapakett Aircrack-ng, mis sisaldab lisaks nuusutajale rakendust WLAN-i adapteri draiverite allalaadimiseks ja muutmiseks ning võimaldab taastada ka WEP-võtme. Tuntud häkkimismeetodid on PTW ja FMS/KoreK rünnakud, mille puhul liiklus pealtkuulatakse ja selle analüüsi põhjal arvutatakse WEP-võti. Sellises olukorras on teil ainult kaks võimalust: esiteks peaksite otsima oma seadme uusimat püsivara, mis toetab uusimaid krüptimismeetodeid. Kui tootja uuendusi ei paku, on parem sellise seadme kasutamisest keelduda, sest sellega seate ohtu oma koduvõrgu turvalisuse.
Populaarne nõuanne Wi-Fi leviala vähendamiseks annab ainult kaitse välimuse. Naabrid saavad endiselt teie võrguga ühenduse luua ja ründajad kasutavad sageli pika levialaga WiFi-adaptereid.
Avalikud levialad
Tasuta WiFi-ga kohad tõmbavad ligi küberpettureid, sest neid liigub läbi tohutul hulgal infot ning häkkimistööriistu saab kasutada igaüks. Avalikke levialasid võib leida kohvikutest, hotellidest ja muudest avalikest kohtadest. Kuid samade võrkude teised kasutajad saavad teie andmeid pealt kuulata ja näiteks erinevates veebiteenustes teie kontosid kontrollida.
Küpsiste kaitse. Mõned ründemeetodid on tõesti nii lihtsad, et igaüks saab neid kasutada. Firesheep Firefoxi laiendus loeb ja loetleb automaatselt teiste kasutajate kontod, sealhulgas Amazoni, Google'i, Facebooki ja Twitteri. Kui häkker klõpsab mõnel loendis oleval kirjel, saab ta kohe täieliku juurdepääsu kontole ja saab kasutaja andmeid oma äranägemise järgi muuta. Firesheep ei murra paroole, vaid kopeerib ainult aktiivseid krüptimata küpsiseid. Enda kaitsmiseks selliste pealtkuulamiste eest peaksite kasutama Firefoxi jaoks spetsiaalset HTTPS Everywhere lisandmoodulit. See laiendus sunnib võrguteenuseid alati kasutama HTTPS-i kaudu krüpteeritud ühendust, kui teenusepakkuja server seda toetab.
Androidi kaitse. Lähiminevikus äratas kõigi tähelepanu Androidi operatsioonisüsteemi viga, mille tõttu võisid petturid pääseda ligi teie kontodele sellistes teenustes nagu Picasa ja Google Calendar ning lugeda kontakte. Google parandas selle haavatavuse operatsioonisüsteemis Android 2.3.4, kuid enamikule kasutajate poolt varem ostetud seadmetest on installitud süsteemi vanemad versioonid. Nende kaitsmiseks saate kasutada rakendust SyncGuard.
WPA2
Parimat kaitset pakub WPA2 tehnoloogia, mida arvutiseadmete tootjad on kasutanud alates 2004. aastast. Enamik seadmeid toetab seda tüüpi krüptimist. Kuid nagu ka teistel tehnoloogiatel, on ka WPA2-l oma nõrk koht: kasutades sõnaraamaturünnakut või toore jõu meetodit ("toore jõud"), saavad häkkerid paroole murda - aga ainult siis, kui need pole usaldusväärsed. Sõnastikud lihtsalt kordavad oma andmebaasidesse salvestatud võtmeid – reeglina kõiki võimalikke numbrite ja nimede kombinatsioone. Paroolid nagu "1234" või "Ivanov" arvatakse ära nii kiiresti, et kräkkeri arvutil pole aega isegi soojeneda.
Bruteforce meetod ei hõlma valmis andmebaasi kasutamist, vaid vastupidi, parooli äraarvamist, loetledes kõik võimalikud märgikombinatsioonid. Nii saab kraakker välja arvutada mis tahes võtme – küsimus on vaid selles, kui kaua tal selleks aega kulub. NASA soovitab oma turvajuhistes kasutada vähemalt kaheksast ja eelistatavalt kuueteistkümnest tähemärgist koosnevat parooli. Esiteks on oluline, et see koosneks väike- ja suurtähtedest, numbritest ja erimärkidest. Häkkeril kuluks sellise parooli lahtimurdmiseks aastakümneid.
Teie võrk pole veel täiesti turvaline, kuna kõigil selle sees olevatel kasutajatel on juurdepääs teie ruuterile ja nad saavad selle seadeid muuta. Mõned seadmed pakuvad täiendavaid turvafunktsioone, mida peaksite ka ära kasutama.
Kõigepealt keelake ruuteriga Wi-Fi kaudu manipuleerimine. Kahjuks on see funktsioon saadaval ainult mõnes seadmes, näiteks Linksysi ruuterites. Kõigil kaasaegsetel ruuterimudelitel on ka võimalus seada haldusliidese parool, mis võimaldab piirata juurdepääsu seadetele.
Nagu iga programmi puhul, on ka ruuteri püsivara ebatäiuslik - väikesed vead või kriitilised augud turvasüsteemis pole välistatud. Tavaliselt levitatakse selle kohta teavet koheselt üle veebi. Kontrollige regulaarselt oma ruuteri uue püsivara olemasolu (mõnel mudelil on isegi automaatse värskendamise funktsioon). Veel üks vilkumise pluss on see, et nad saavad seadmele uusi funktsioone lisada.
Võrguliikluse perioodiline analüüs aitab tuvastada sissetungijate olemasolu. Ruuteri haldusliidesest leiate teavet selle kohta, millised seadmed on teie võrku ühendatud ja millal. Keerulisem on välja selgitada, kui palju andmeid konkreetne kasutaja on alla laadinud.
Külalisjuurdepääs – vahend koduvõrgu kaitsmiseks
Kui kaitsete oma ruuterit WPA2-krüptimise ajal tugeva parooliga, pole teid enam ohus. Kuid ainult seni, kuni jagate oma parooli teiste kasutajatega. Riskiteguriks on sõbrad ja tuttavad, kes soovivad oma nutitelefoni, tahvelarvuti või sülearvutiga teie ühenduse kaudu Internetti pääseda. Näiteks ei saa välistada võimalust, et nende seadmed on nakatunud pahavaraga. Kuid seetõttu ei pea te oma sõpradest keelduma, kuna ruuterite tippmudelitel, nagu Belkin N või Netgear WNDR3700, on külaliste juurdepääs spetsiaalselt sellistel juhtudel. Selle režiimi eeliseks on see, et ruuter loob eraldi võrgu oma parooliga ja koduvõrku ei kasutata.
Turvavõtmete töökindlus
WEP (juhtmega samaväärne PRIVAATSUS). Kasutab võtme saamiseks pseudojuhuslike arvude generaatorit (RC4 algoritm), samuti initsialiseerimisvektoreid. Kuna viimane komponent pole krüptitud, on kolmandatel osapooltel võimalik sekkuda ja WEP-võti uuesti luua.
WPA (WI-FI KAITSE PÄÄS) Põhineb WEP-mehhanismil, kuid pakub täiustatud turvalisuse tagamiseks dünaamilist võtit. TKIP-algoritmi abil loodud võtmeid saab murda Beck-Tewsi või Ohigashi-Moriya rünnaku kaudu. Selleks dekrüpteeritakse üksikud paketid, manipuleeritakse ja saadetakse tagasi võrku.
WPA2 (WI-FI PROTECTED ACCESS 2) Kasutab krüptimiseks turvalist AES-algoritmi (Advanced Encryption Standard). Koos TKIP-ga on lisatud CCMP (Counter-Mode/CBC-MAC Protocol), mis samuti põhineb AES-algoritmil. Seni pole selle tehnoloogiaga kaitstud võrku häkitud. Ainus võimalus häkkerite jaoks on sõnaraamaturünnak ehk "toore jõu meetod", kui võti arvatakse ära arvamise teel, kuid keerulise parooliga pole seda võimalik ära arvata.
Laadimine...