Phát triển bảo vệ Wi-Fi. Bảo vệ mạng WiFi gia đình của bạn khỏi bị hack. Tối đa hóa bảo mật

Bảo mật không dây

Mạng không dây được sử dụng rộng rãi trong các công ty ở mọi quy mô. Do chi phí thấp và dễ triển khai, mạng không dây có thể mang lại lợi thế hơn so với mạng có dây trong các doanh nghiệp vừa và nhỏ. Trong các tổ chức lớn, mạng không dây cung cấp các kết nối mạng cần thiết cho giao tiếp công việc giữa các nhân viên trong khu vực làm việc hoặc phòng nghỉ.

Để tận dụng lợi thế của mạng không dây, chúng phải được bảo mật. Mạng không dây không an toàn cung cấp quyền truy cập hầu như không giới hạn vào mạng công ty cho tin tặc và những kẻ xâm nhập khác, những người thường chỉ tìm kiếm quyền truy cập miễn phí vào Internet. Trong các tổ chức lớn, các mạng không dây trái phép đôi khi tồn tại - các thành viên của nhóm làm việc hoặc người dùng cuối đôi khi bỏ qua các chính sách của công ty và cài đặt các điểm truy cập (Access Point, AP), và điều này đầy nguy hiểm cho doanh nghiệp. Những kẻ gửi thư rác và kẻ lừa đảo có kinh nghiệm sử dụng mạng không dây không an toàn để gửi hàng loạt thư email. Họ đi lang thang trong các thành phố và khu vực công nghiệp để tìm kiếm các mạng không dây dễ bị tấn công và khi tìm thấy chúng, họ định cấu hình máy tính di động của mình để kết nối với mạng, lấy địa chỉ IP hợp lệ, DNS và thông tin cổng tiêu chuẩn qua DHCP, sau đó phát các thông điệp của họ. Người dùng các sản phẩm như NetStumbler hoặc công cụ quản lý mạng không dây tích hợp được tìm thấy trong hầu hết các máy tính xách tay và PDA, có lẽ đã phải phát hiện các mạng không dây không an toàn trong nhà, khu vực lân cận hoặc trong doanh nghiệp của họ.

Chủ sở hữu của các mạng không an toàn phải chuẩn bị sẵn sàng để giảm băng thông của kết nối Internet và để vi-rút và sâu xâm nhập, thậm chí phải chịu trách nhiệm hình sự hoặc dân sự vì sử dụng mạng không an toàn để thực hiện các cuộc tấn công chống lại bên thứ ba. Bài viết này thảo luận về các bước thực tế mà bạn có thể thực hiện để bảo mật mạng không dây, các phương pháp triển khai tự động cài đặt và các công cụ để phân tích mạng không dây không an toàn và giả mạo.

Khái niệm cơ bản về không dây

Trước khi bắt đầu bảo mật mạng không dây, bạn cần hiểu các nguyên tắc cơ bản về tổ chức của nó. Như một quy luật, mạng không dây bao gồm các nút truy cập và máy khách có bộ điều hợp không dây. Các nút truy cập và bộ điều hợp không dây được trang bị bộ thu phát để giao tiếp với nhau. Mỗi AP và bộ điều hợp không dây được gán một địa chỉ MAC 48 bit, có chức năng tương đương với địa chỉ Ethernet. Các điểm truy cập liên kết mạng không dây và có dây, cho phép các máy khách không dây truy cập vào mạng có dây. Có thể giao tiếp giữa các máy khách không dây trong mạng ngang hàng mà không cần AP, nhưng phương pháp này hiếm khi được sử dụng trong các tổ chức. Mỗi mạng không dây được xác định bởi một SSID do quản trị viên chỉ định (Mã định danh nhóm dịch vụ). Máy khách không dây có thể giao tiếp với AP nếu họ nhận ra SSID của điểm truy cập. Nếu mạng không dây có một số điểm truy cập có cùng SSID (và cùng cài đặt xác thực và mã hóa), thì các máy khách không dây di động có thể chuyển đổi giữa chúng.

Các tiêu chuẩn không dây phổ biến nhất là 802.11 và các cải tiến của nó. Thông số kỹ thuật 802.11 xác định các đặc điểm của mạng hoạt động ở tốc độ lên đến 2 Mbps. Các phiên bản cải tiến cung cấp tốc độ cao hơn. Đầu tiên, 802.11b, được sử dụng rộng rãi nhất, nhưng nhanh chóng bị thay thế bởi 802.11g. Mạng không dây 802.11b hoạt động ở băng tần 2.4GHz và cung cấp tốc độ dữ liệu lên đến 11Mbps. Một cải tiến, 802.11a, đã được phê chuẩn sớm hơn 802.11b nhưng được đưa ra thị trường muộn hơn. Các thiết bị của tiêu chuẩn này hoạt động ở băng tần 5,8 GHz với tốc độ điển hình là 54 Mb / giây, nhưng một số nhà cung cấp cung cấp tốc độ cao hơn, lên đến 108 Mb / giây, ở chế độ turbo. Phiên bản cải tiến thứ ba, 802.11g, hoạt động ở băng tần 2,4 GHz, giống như 802.11b, ở tốc độ tiêu chuẩn 54 Mbps và cao hơn (lên đến 108 Mbps) ở chế độ turbo. Hầu hết các mạng không dây 802.11g có khả năng làm việc với các máy khách 802.11b do khả năng tương thích ngược được tích hợp trong tiêu chuẩn 802.11g, nhưng khả năng tương thích thực tế phụ thuộc vào việc triển khai cụ thể của nhà cung cấp. Hầu hết các thiết bị không dây hiện đại đều hỗ trợ hai hoặc nhiều biến thể của 802.11. Một tiêu chuẩn không dây mới, 802.16, được gọi là WiMAX, đang được thiết kế với mục tiêu cụ thể là cung cấp truy cập không dây đến các doanh nghiệp và gia đình thông qua các trạm giống như di động. Công nghệ này không được đề cập trong bài viết này.

Phạm vi thực tế của một AP phụ thuộc vào nhiều yếu tố, bao gồm biến thể 802.11 và tần số hoạt động của thiết bị, nhà sản xuất, nguồn điện, ăng-ten, tường bên ngoài và bên trong cũng như các tính năng cấu trúc liên kết mạng. Tuy nhiên, bộ điều hợp không dây có ăng ten chùm tia hẹp, độ lợi cao có thể giao tiếp với AP và mạng không dây trên một khoảng cách đáng kể, lên đến khoảng một km rưỡi, tùy thuộc vào điều kiện.

Do tính chất công cộng của phổ vô tuyến, có những vấn đề bảo mật duy nhất không được tìm thấy trong mạng có dây. Ví dụ: để nghe trộm tin nhắn trên mạng có dây, bạn cần truy cập vật lý vào một thành phần mạng như điểm đính kèm mạng LAN của thiết bị, bộ chuyển mạch, bộ định tuyến, tường lửa hoặc máy tính chủ. Một mạng không dây chỉ cần một bộ thu, chẳng hạn như một máy quét tần số thông thường. Do tính mở của mạng không dây, các nhà phát triển tiêu chuẩn đã chuẩn bị thông số kỹ thuật về Quyền riêng tư tương đương có dây (WEP), nhưng việc sử dụng nó là tùy chọn. WEP sử dụng một khóa chia sẻ được biết đến với các máy khách không dây và các điểm truy cập mà chúng giao tiếp với nhau. Khóa có thể được sử dụng cho cả xác thực và mã hóa. WEP sử dụng thuật toán mã hóa RC4. Khóa 64 bit bao gồm 40 bit do người dùng định nghĩa và một vectơ khởi tạo 24 bit. Trong nỗ lực cải thiện tính bảo mật của mạng không dây, một số nhà sản xuất thiết bị đã phát triển các thuật toán nâng cao với khóa WEP 128 bit hoặc dài hơn, bao gồm phần người dùng 104 bit trở lên và vectơ khởi tạo. WEP được sử dụng với thiết bị tương thích 802.11a, 802.11b và 802.11g. Tuy nhiên, mặc dù độ dài khóa tăng lên, nhưng các sai sót của WEP (cụ thể là cơ chế xác thực yếu và khóa mã hóa có thể được tiết lộ bằng các phương pháp phân tích mật mã) đã được ghi nhận đầy đủ và ngày nay WEP không được coi là một thuật toán đáng tin cậy.

Để đối phó với những thiếu sót của WEP, Wi-Fi Alliance, một hiệp hội ngành với hơn 200 thành viên bao gồm Apple Computer, Cisco Systems, Dell, IBM và Microsoft, đã quyết định phát triển tiêu chuẩn Wi-Fi Protected Access (WPA). WPA vượt trội hơn WEP bằng cách thêm TKIP (Giao thức toàn vẹn khóa tạm thời) và cơ chế xác thực mạnh dựa trên 802.1x và EAP (Giao thức xác thực có thể mở rộng). WPA được cho là một tiêu chuẩn làm việc có thể được đệ trình lên ủy ban IEEE để phê duyệt như một phần mở rộng cho các tiêu chuẩn 802.11. Một phần mở rộng, 802.11i, đã được phê chuẩn vào năm 2004 và WPA được nâng cấp lên WPA2 để tương thích với Tiêu chuẩn mã hóa nâng cao (AES) thay vì WEP và TKIP. WPA2 tương thích ngược và có thể được sử dụng cùng với WPA. WPA được thiết kế dành cho các mạng doanh nghiệp có cơ sở hạ tầng xác thực RADIUS (Dịch vụ người dùng quay số xác thực từ xa), nhưng một phiên bản của WPA được gọi là WPA Pre-Shared Key (WPAPSK) đã nhận được sự hỗ trợ từ một số nhà sản xuất và đang được triển khai trong các doanh nghiệp nhỏ. . Giống như WEP, WPAPSK hoạt động với khóa chia sẻ, nhưng WPAPSK an toàn hơn WEP.

Nhiều người có quan niệm sai lầm về 802.1x. Tiêu chuẩn này được sử dụng để kiểm soát quyền truy cập vào các cổng trong các thiết bị chuyển mạch mạng có dây và các nút truy cập trong các AP mạng không dây. 802.1x không chỉ định phương thức xác thực (ví dụ: có thể sử dụng phiên bản 3 của đặc tả X.509 hoặc Kerberos) và không có cơ chế mã hóa hoặc yêu cầu nào để mã hóa dữ liệu.

Ba bước để bảo mật

Có ba cơ chế bảo mật mạng không dây: định cấu hình máy khách và AP để sử dụng cùng một SSID (không mặc định), cho phép AP chỉ giao tiếp với các máy khách có địa chỉ MAC được AP biết và cấu hình máy khách để xác thực với AP và mã hóa lưu lượng. Hầu hết các AP được định cấu hình để hoạt động với SSID mặc định, không có danh sách các địa chỉ MAC của máy khách được phép và một khóa chia sẻ trước đã biết để xác thực và mã hóa (hoặc hoàn toàn không xác thực và mã hóa). Thông thường, các cài đặt này được ghi lại trong hệ thống trợ giúp trực tuyến trên trang Web của nhà sản xuất. Những tùy chọn này giúp người dùng thiếu kinh nghiệm dễ dàng thiết lập và khởi động mạng không dây, nhưng chúng cũng khiến tin tặc xâm nhập vào mạng dễ dàng hơn. Để làm cho vấn đề tồi tệ hơn, hầu hết các AP đều được định cấu hình để phát SSID. Do đó, kẻ tấn công có thể tìm thấy các mạng dễ bị tấn công bằng cách sử dụng SSID tiêu chuẩn.

Bước đầu tiên đối với mạng không dây an toàn là thay đổi SSID mặc định của điểm truy cập. Ngoài ra, bạn phải thay đổi cài đặt này trên máy khách để kích hoạt giao tiếp với AP. Thật thuận tiện khi chỉ định một SSID phù hợp với quản trị viên và người dùng của doanh nghiệp, nhưng không xác định rõ ràng mạng không dây này khỏi các SSID khác bị chặn bởi những người không có thẩm quyền.

Bước tiếp theo là chặn AP phát SSID nếu có thể. Do đó, kẻ tấn công sẽ khó phát hiện ra sự hiện diện của mạng không dây và SSID hơn (mặc dù vẫn có thể xảy ra). Một số AP không thể hủy phát SSID. Trong những trường hợp như vậy, bạn nên tăng khoảng thời gian phát sóng càng nhiều càng tốt. Ngoài ra, một số máy khách chỉ có thể giao tiếp nếu AP phát SSID. Do đó, bạn có thể cần thử nghiệm với cài đặt này để tìm chế độ phù hợp với tình huống của mình.

Sau đó, bạn chỉ có thể cho phép truy cập vào các nút truy cập từ các máy khách không dây có địa chỉ MAC đã biết. Biện pháp như vậy hầu như không phù hợp trong một tổ chức lớn, nhưng trong một doanh nghiệp nhỏ với số lượng khách hàng không dây nhỏ, đây là một tuyến phòng thủ bổ sung đáng tin cậy. Những kẻ tấn công sẽ cần tìm ra các địa chỉ MAC được phép kết nối với AP doanh nghiệp và thay đổi địa chỉ MAC của bộ điều hợp không dây của riêng chúng thành địa chỉ được phép (trên một số kiểu bộ điều hợp, địa chỉ MAC có thể được thay đổi).

Lựa chọn các tùy chọn xác thực và mã hóa có thể là phần khó nhất trong việc bảo mật mạng không dây. Trước khi ấn định các tham số, cần kiểm kê các điểm truy cập và bộ điều hợp không dây để thiết lập các giao thức bảo mật mà chúng hỗ trợ, đặc biệt nếu mạng không dây đã được tổ chức bằng cách sử dụng nhiều thiết bị từ các nhà cung cấp khác nhau. Một số thiết bị, đặc biệt là các AP cũ hơn và bộ điều hợp không dây, có thể không tương thích với các khóa WPA, WPA2 hoặc WEP mở rộng.

Một tình huống khác cần lưu ý là một số thiết bị cũ hơn yêu cầu người dùng nhập một số thập lục phân đại diện cho một khóa và các AP cũ hơn và bộ điều hợp không dây yêu cầu cụm mật khẩu để được chuyển đổi thành khóa. Do đó, rất khó để đạt được việc sử dụng một phím cho tất cả các thiết bị. Chủ sở hữu thiết bị đó có thể sử dụng các tài nguyên như Trình tạo khóa WEP () để tạo khóa WEP ngẫu nhiên và chuyển đổi cụm mật khẩu thành số thập lục phân.

Nói chung, chỉ nên sử dụng WEP khi thực sự cần thiết. Nếu việc sử dụng WEP là bắt buộc, bạn nên chọn độ dài tối đa của các khóa và đặt mạng thành Chế độ mở thay vì Chia sẻ. Ở chế độ Mở, không có xác thực máy khách nào được thực hiện trên mạng và bất kỳ ai cũng có thể thiết lập kết nối với các nút truy cập. Các kết nối chuẩn bị này tải một phần liên kết không dây, nhưng những kẻ tấn công thiết lập kết nối tại AP sẽ không thể tiếp tục giao tiếp vì chúng không biết khóa mã hóa WEP. Bạn thậm chí có thể chặn các kết nối dự kiến ​​bằng cách định cấu hình AP để chỉ chấp nhận các kết nối từ các địa chỉ MAC đã biết. Không giống như Mở, ở chế độ Chia sẻ, điểm truy cập sử dụng khóa WEP để xác thực máy khách không dây trong quy trình phản hồi thử thách và kẻ tấn công có thể giải mã trình tự và xác định khóa mã hóa WEP.

Nếu bạn có thể sử dụng WPA, thì bạn phải chọn giữa WPA, WPA2 và WPA-PSK. Yếu tố chính trong việc lựa chọn WPA hoặc WPA2 một mặt và WPA-PSK là khả năng triển khai cơ sở hạ tầng theo yêu cầu của WPA và WPA2 để xác thực người dùng. WPA và WPA2 yêu cầu triển khai các máy chủ RADIUS và có thể là Cơ sở hạ tầng khóa công khai (PKI). WPA-PSK, giống như WEP, hoạt động với một khóa chia sẻ được biết đến với máy khách và AP không dây. WPA-PSK có thể sử dụng khóa chia sẻ trước WPA-PSK một cách an toàn để xác thực và mã hóa, vì nó không có nhược điểm của WEP (khả năng tìm ra khóa mã hóa bằng cách phân tích mật mã của quy trình xác thực).

Đương nhiên, các điểm truy cập từ các nhà cung cấp khác nhau có giao diện người dùng và phương pháp cấu hình khác nhau, vì vậy không thể cung cấp một danh sách hướng dẫn chi tiết cho tất cả các thiết bị. Nhưng thông tin trên sẽ hữu ích khi thiết lập các nút truy cập.

Thiết lập máy khách Windows

Windows Server 2003 và Windows XP giúp bạn dễ dàng cấu hình máy khách cho các mạng không dây, đặc biệt là các mạng có WEP. Microsoft đã giới thiệu dịch vụ Cấu hình Zero không dây trong XP và đặt tên nó là dịch vụ Cấu hình Không dây trong Windows 2003. Dịch vụ đang chạy giám sát các bộ điều hợp không dây để nhận các chương trình phát sóng SSID từ các điểm truy cập. Nếu chương trình phát sóng của một SSID đã biết được nhận và có đủ thông tin cấu hình, thì Windows sẽ tự động kết nối với mạng (nếu được định cấu hình để kết nối). Dịch vụ cấu hình không dây hiển thị hộp thoại tiêu chuẩn để định cấu hình cài đặt mạng không dây, bất kể bộ điều hợp không dây được cài đặt là gì. Thật không may, dịch vụ không hoạt động với tất cả các bộ điều hợp không dây; nếu nó không hoạt động với một thẻ cụ thể, bạn phải tắt nó và sử dụng trình điều khiển và bộ công cụ cấu hình đi kèm với bộ điều hợp mạng.

Để sử dụng dịch vụ cấu hình, hãy mở tiện ích Kết nối Mạng trong Pa-nen Điều khiển, nhấp chuột phải vào biểu tượng bộ điều hợp không dây, chọn Thuộc tính và điều hướng đến tab Mạng Không dây. Đảm bảo Sử dụng Windows để định cấu hình cài đặt mạng không dây của tôi đã được bật và nhấp vào nút Thêm để định cấu hình mạng không dây của bạn. Hình 1 cho thấy một hộp thoại để nhập cài đặt mạng không dây. Sau đó nhập SSID cho mạng không dây bạn muốn kết nối, chọn phương thức Xác thực mạng. Nếu bạn chọn Mở hoặc Chia sẻ, thì bạn có thể chỉ định một trong các giá trị \ u200b \ u200trong trường Mã hóa dữ liệu - WEP hoặc Đã tắt. Nếu WPA hoặc WPA-PSK được chọn, các thuật toán mã hóa TKIP hoặc AES có thể được sử dụng.

Khi sử dụng WPA hoặc WPA-PSK để xác thực hoặc mã hóa, bạn có thể nhập khóa xác thực hoặc mã hóa (để bật trường Khóa mạng và trường Xác nhận khóa mạng, bạn phải bỏ chọn Khóa được cung cấp tự động cho tôi). Nếu tồn tại nhiều hơn một khóa, thì số khóa hoặc chỉ mục phải được chọn. Một số điểm truy cập và bộ điều hợp không dây có thể lưu trữ và sử dụng tối đa bốn khóa để tăng tính linh hoạt. Ví dụ: các khóa có thể được thay đổi hàng tuần bằng cách chọn thủ công một khóa từ danh sách vào sáng thứ Hai hàng tuần.

Phát hiện điểm truy cập giả mạo

Như đã nói ở trên, các nút truy cập giả mạo có thể là một mối đe dọa lớn đối với một doanh nghiệp. Nhưng vì những lợi ích và sự dễ dàng của việc thiết lập một AP (đặc biệt nếu sử dụng các tùy chọn mặc định), rất có thể một ngày nào đó ai đó sẽ cài đặt một điểm truy cập trên mạng doanh nghiệp.

Việc tìm kiếm các điểm truy cập trái phép có thể khó khăn, nhưng nó là cần thiết để bảo vệ đáng tin cậy. Windows 2003 đã giới thiệu một phần mềm Microsoft Management Console (MMC) mới có tên là Wireless Network Monitor có thể được sử dụng để ghi nhật ký hoạt động của máy khách mạng và định vị các nút truy cập. Tuy nhiên, việc cài đặt Windows 2003 trên máy tính xách tay chỉ với MMC snap-in là bất tiện, tốn kém và nói chung là không cần thiết. Hầu hết các máy tính xách tay và PDA có bộ điều hợp không dây tích hợp đều có các công cụ thích hợp để tìm các AP giả mạo.

Nếu máy tính xách tay hoặc PDA của bạn không đi kèm với công cụ này hoặc bạn cần các tính năng nâng cao như GPS (hệ thống định vị toàn cầu kết hợp với ăng-ten hai chiều và la bàn để xác định vị trí của một AP giả mạo), thì một công cụ miễn phí như NetStumbler có thể được ưu tiên. Có hai phiên bản có sẵn tại địa chỉ, một cho Windows 2000 trở lên và một cho các thiết bị Windows CE được gọi là MiniStumbler. Hình 2 cho thấy NetStumbler đang chạy trên máy tính xách tay Dell với XP Service Pack 2 (SP2) và Dell TrueMobile 1400, một trong nhiều bộ điều hợp không dây tương thích với NetStumbler.

Với NetStumbler, bạn có thể phát hiện các AP giả mạo chỉ bằng cách chạy chương trình trên máy tính xách tay và dạo quanh doanh nghiệp bằng máy tính xách tay. Các nút truy cập đã phát hiện được hiển thị trên màn hình. Do đó, bạn có thể nhận được thông tin về địa chỉ MAC của điểm truy cập, kênh đang được lắng nghe, mã hóa và nhà cung cấp. Ngoài ra, NetStumbler còn hiển thị tỷ lệ tín hiệu trên nhiễu cho tín hiệu radio. Con số càng cao thì khoảng cách đến AP càng ngắn.

Trước khi các AP giả mạo có thể được phát hiện, địa chỉ MAC và SSID của từng AP hợp pháp trong doanh nghiệp phải được xác định. Khi triển khai các nút truy cập, hãy ghi lại địa chỉ MAC, SSID và vị trí của chúng. Khi bỏ qua NetStumbler, bạn nên tìm các nút truy cập có SSID không xác định và địa chỉ MAC không xác định. Khi tìm thấy các thiết bị bất hợp pháp, bạn nên ghi lại vị trí của chúng, sau đó đi theo các hướng khác nhau và ghi lại hướng mà SNR tăng lên. Nếu chúng ta tiếp tục đi theo hướng này, sớm muộn gì AP cũng sẽ được phát hiện, hoặc ít nhất một khu vực gần đúng của vị trí \ u200b \ u200bits sẽ được vạch ra để nghiên cứu đầy đủ hơn trong tương lai. Lưu ý rằng AP có thể ở trên sàn nhà hoặc trên trần nhà.

Điều đặc biệt quan trọng cần lưu ý là một tin tặc có kỹ năng có thể thiết lập một AP với cùng một SSID có sẵn trên mạng, hy vọng sẽ gây bất ngờ cho những người dùng không nghi ngờ. Bằng cách kết nối với một AP trái phép, người dùng sẽ cố gắng truy cập các tài nguyên mạng như máy chủ thư và các ứng dụng được lưu trữ trên Web. Họ sẽ không thể truy cập tài nguyên thông qua AP của kẻ tấn công, nhưng cho đến khi phát hiện ra, họ có thể tiết lộ mật khẩu và tên của mình. Nhân viên hỗ trợ nên được đào tạo để theo dõi các cuộc gọi liên quan đến sự cố mạng không dây có thể là dấu hiệu của các điểm truy cập giả mạo và yêu cầu người dùng báo cáo vị trí của họ. Các tín hiệu đến nên được điều tra bằng cách sử dụng NetStumbler hoặc các công cụ khác và kiểm tra địa chỉ MAC của tất cả các AP trong khu vực để đảm bảo chúng được cài đặt hợp pháp.

Để biết thêm thông tin về bảo mật mạng không dây cho các doanh nghiệp thuộc mọi quy mô và thậm chí cả người dùng gia đình, hãy xem cuốn sách tuyệt vời của Joseph Davis về Triển khai Mạng không dây An toàn 802.11 với Microsoft Windows (Microsoft Press, 2003). Tại địa chỉ, bạn có thể nhận được thông tin về cuốn sách và cách mua nó, cũng như tìm thấy liên kết đến các tài liệu bổ sung. Một nguồn lực hoạt động tuyệt vời -. Trang này nằm trong phần Windows 2003 của Web site Microsoft, nhưng nó cũng có các liên kết đến thông tin dành cho XP.

Mạng không dây thuận tiện hơn mạng có dây, nhưng chúng cũng có thể dễ bị tấn công bởi tin tặc và phần mềm độc hại (chẳng hạn như sâu). Bởi vì mạng không dây sử dụng sóng vô tuyến có thể truyền xuyên qua tường, tín hiệu mạng có thể truyền ra bên ngoài nhà.

Nếu bạn không cố gắng bảo mật mạng, người dùng máy tính gần đó sẽ có thể truy cập dữ liệu được lưu trữ trên máy tính mạng và sử dụng kết nối Internet của bạn. Bằng cách đặt khóa bảo mật trên mạng không dây, bạn có thể bảo vệ khỏi truy cập trái phép.

Các cách bảo mật mạng không dây của bạn

Mạng không dây phải được định cấu hình để chỉ những người dùng được chọn mới có quyền truy cập vào mạng đó.

Một số cài đặt bảo mật không dây được mô tả bên dưới:

Công nghệ truy cập được bảo vệ bằng Wi-Fi (WPA và WPA2)

Công nghệ truy cập được bảo vệ bằng Wi-Fi mã hóa thông tin và xác minh rằng khóa bảo mật mạng không bị thay đổi. Ngoài ra, công nghệ Wi-Fi Protected Access thực hiện xác thực người dùng để đảm bảo rằng chỉ những người dùng được ủy quyền mới truy cập vào mạng.

Có hai loại xác thực WPA: WPA và WPA2.

Loại WPAđược thiết kế để hoạt động với tất cả các bộ điều hợp mạng không dây, nhưng không tương thích với các bộ định tuyến hoặc điểm truy cập cũ hơn. Nhập WPA2 an toàn hơn WPA, nhưng không tương thích với một số bộ điều hợp mạng cũ hơn.

WPA được thiết kế để sử dụng với máy chủ xác thực 802.1x tạo khóa khác nhau cho mỗi người dùng. Sau đó, nó được gọi là WPA-Enterprise hoặc WPA2-Enterprise. Nó cũng có thể được sử dụng trong chế độ khóa chia sẻ trước (PSK), nơi mỗi người dùng nhận được cùng một cụm mật khẩu. Sau đó, nó được gọi là WPA-Personal hoặc WPA2-Personal.

Giao thức bảo mật tương đương có dây (WEP)

WEP như một phương pháp bảo mật mạng cũ vẫn có sẵn để hỗ trợ các thiết bị cũ hơn, hơn thế nữa sử dụng không được khuyến khích. Khi WEP được bật, khóa bảo mật mạng sẽ được đặt. Khóa mã hóa này được gửi qua mạng từ máy tính này sang máy tính khác. Tuy nhiên, bảo mật của WEP tương đối dễ bị bẻ khóa.

Chú ý! Bạn nên sử dụng WPA2 bất cứ khi nào có thể. WEP không được khuyến khích. WPA hoặc WPA2 an toàn hơn. Nếu WPA hoặc WPA2 không hoạt động khi bạn cố gắng khởi động, chúng tôi khuyên bạn nên cập nhật bộ điều hợp mạng của mình để hoạt động với một trong các công nghệ WPA hoặc WPA2 đang hoạt động.

Xác thực 802.1x

Xác thực 802.1x có thể tăng cường bảo mật của mạng không dây 802.11 và mạng Ethernet. Xác thực 802.1x sử dụng máy chủ xác thực để xác minh người dùng và cấp quyền truy cập mạng. Trên mạng không dây, xác thực 802.1x có thể được sử dụng với các khóa giao thức WPA, WPA2 hoặc WEP. Loại xác thực này thường được sử dụng để kết nối với mạng tại nơi làm việc.

Vì vậy, bạn đã mua một bộ điều hợp không dây, kết nối nó với mạng, thiết lập kết nối Internet - và bạn hoàn toàn có quyền tự do không dây. Giờ đây, để truy cập mạng, bạn không cần phải kết nối dây cáp mà chỉ cần ở trong vùng phủ sóng của mạng không dây - và điều này dễ dàng và thuận tiện hơn rất nhiều. Tuy nhiên, nó đơn giản và tiện lợi không chỉ dành cho bạn. Thật vậy, không giống như mạng có dây, để hack được mạng không dây, chỉ cần ở trong vùng phủ sóng của chúng, có thể mở rộng ra ngoài các tòa nhà là đủ.

Đừng nghĩ rằng bạn không có gì phải sợ nếu đã lắp đặt mạng không dây tại nhà. Tất nhiên, không có khả năng là bất kỳ thông tin bí mật nào sẽ được lưu trữ trên máy tính tại nhà của bạn (mặc dù có thể là như vậy), và phần lớn kẻ tấn công có thể tin tưởng là kho lưu trữ ảnh cá nhân của bạn và tuyển chọn các bản nhạc yêu thích của bạn. Tuy nhiên, mối nguy hiểm chính của việc hack mạng không dây gia đình không phải là điều này. Tin tặc thường quan tâm đến việc bạn truy cập Internet.

Nếu bạn trả tiền cho Internet tùy thuộc vào lưu lượng bạn sử dụng, một kết nối trái phép như vậy có thể dẫn đến các khoản phí bổ sung. Tất nhiên, chủ sở hữu hạnh phúc của mức thuế không giới hạn cũng không thể cảm thấy bình tĩnh, nếu ai đó bắt đầu sử dụng truy cập Internet của họ, họ sẽ không bị thiệt hại về tài chính. Nhưng đồng thời, có một nguy cơ là tốc độ kết nối của bạn sẽ giảm xuống - điều này đặc biệt đúng nếu người yêu thích freebie không khiêm tốn và bắt đầu sử dụng toàn bộ kênh của bạn.

Chà, không cần phải nói về sự cần thiết phải bảo vệ mạng không dây trong một doanh nghiệp - công việc của một tổ chức hiện đại thường phụ thuộc vào cơ sở hạ tầng CNTT đến mức các lỗi và vi phạm bảo vệ mạng cục bộ có thể phá hủy hoàn toàn hoạt động hiệu quả.

Mã hóa

Mã hóa là một trong những cách rõ ràng nhất để bảo mật mạng không dây. Về lý thuyết, mọi thứ đều đơn giản - để thiết bị người dùng có thể kết nối với mạng không dây, họ phải chứng minh quyền của mình bằng cách này hay cách khác bằng cách sử dụng xác thực. Như vậy, để bảo vệ thông tin trong mạng máy tính, chỉ cần hạn chế truy cập vào mạng bằng mật khẩu hoặc các phương tiện xác thực khác là đủ.

Trong lịch sử, phương pháp bảo mật mạng không dây đầu tiên như vậy là mã hóa WEP. Một thời gian trước, thuật toán cung cấp khả năng bảo vệ khá đáng tin cậy cho các mạng không dây, nhưng vào năm 2001, các nhà phân tích mật mã đã tiến hành một số nghiên cứu thu hút sự chú ý đến một số lỗ hổng nhất định trong thuật toán này, do đó kết nối được bảo vệ bởi thuật toán này sẽ bị tấn công trong vòng vài phút. Mặc dù mã hóa như vậy tốt hơn việc truyền dữ liệu qua kết nối trực tiếp, không được mã hóa, nhưng nó không thích hợp để bảo vệ mạng không dây khỏi các tin tặc mạng không dây. Mặc dù vậy, vẫn có một số lượng lớn các mạng không dây được bảo vệ bởi thuật toán cụ thể này. Điều này là do thiết bị lạc hậu không hỗ trợ các phương pháp bảo vệ thông tin hiện đại trong mạng máy tính. Tuy nhiên, bất chấp những sai sót trong việc thực hiện một phương pháp mã hóa, cách tiếp cận này để bảo vệ thông tin trong mạng là khá hiệu quả. Do đó, sau WEP, một thuật toán khác đã xuất hiện, không còn những thiếu sót của người tiền nhiệm - WPA.

Ngoài việc loại bỏ các lỗi trong thuật toán mã hóa, phương pháp bảo mật này đã sử dụng giao thức xác thực mở rộng EAP mới, giao thức toàn vẹn khóa tạm thời TKIP và cơ chế kiểm tra tính toàn vẹn của thông điệp MIC. Có vẻ như bộ công nghệ ấn tượng này sẽ cung cấp mức độ bảo vệ cao cho mạng máy tính. Tuy nhiên, cách đây không lâu, vào năm 2009, bằng chứng đã được đưa ra cho thấy bất kỳ kết nối nào được bảo vệ bởi giao thức này đều có thể bị tấn công (hơn nữa, với sự kết hợp thành công của các cài đặt, phải mất khoảng 1 phút để vượt qua sự bảo vệ của mạng máy tính). Tuy nhiên, mã hóa như một phương pháp bảo vệ mạng không dây sẽ không từ bỏ vị trí của nó. Vào năm 2004, rất lâu trước khi WPA bị xâm phạm, một giao thức WPA mới đã được phát triển. Sự khác biệt chính so với WPA là sự thay đổi từ phương pháp mã hóa RC4 cơ bản dễ bị tấn công sang thuật toán AES an toàn hơn. Hiện tại, không có báo cáo nào cho thấy việc bảo vệ mạng máy tính như vậy có thể bị tấn công.

Tuy nhiên, một trở ngại nghiêm trọng đối với việc triển khai đầy đủ các cách thức hiện đại và có khả năng chống lại sự bảo vệ của mạng không dây khỏi tin tặc mạng không dây vì WPA2 là sự hỗ trợ của nó từ các thiết bị khách. Không có vấn đề gì nếu bạn đang triển khai mạng từ đầu - tất cả các thiết bị hiện đại được phát hành sau năm 2006 đều hỗ trợ phương pháp bảo vệ thông tin trong mạng này. Tuy nhiên, nếu bạn có thiết bị không dây mà bạn muốn sử dụng trong mạng không dây và chúng không hỗ trợ WPA2, thì đừng quên rằng mã hóa không phải là cách hiệu quả duy nhất để bảo vệ mạng máy tính.

Lọc địa chỉ MAC

Một phương pháp bảo vệ mạng cục bộ như lọc truy cập theo địa chỉ MAC là khá hiệu quả. Địa chỉ MAC là số duy nhất của giao diện mạng (card mạng). Do đó, biết trước địa chỉ MAC của các thiết bị đáng tin cậy, bạn có thể định cấu hình bảo mật cho mạng không dây của mình. Tuy nhiên, do có thể thay đổi địa chỉ MAC của nhà máy trên các thiết bị mạng hiện đại nên phương pháp bảo vệ thông tin trên mạng này có thể không hiệu quả. Rốt cuộc, nếu kẻ tấn công bằng cách nào đó có được quyền truy cập vào một thiết bị đáng tin cậy, hắn có thể sao chép địa chỉ MAC của nó và trong tương lai, sử dụng nó để xâm nhập mạng từ bất kỳ thiết bị nào khác (tất nhiên, nếu nó hỗ trợ thay đổi địa chỉ MAC) . Tuy nhiên, phương pháp này có thể được sử dụng cùng với các phương pháp khác và do đó tăng tính bảo mật của mạng không dây.

Ẩn SSID

Để một thứ gì đó có thể bị tấn công, nó cần phải được nhìn thấy, hoặc ít nhất là được biết là có tồn tại. Và nếu phương pháp này không phù hợp để bảo vệ mạng cục bộ (cố gắng giấu dây), thì để bảo vệ mạng không dây, đây là một cách khá tốt. Thực tế là theo mặc định, điểm truy cập liên tục phát SSID của nó - mã định danh mạng không dây. Chính mã nhận dạng này mà thẻ mạng của máy tính xách tay hoặc thiết bị giao tiếp của bạn thông báo khi xuất hiện thông báo rằng một mạng không dây mới đã được phát hiện. Mặc dù nó không làm cho các mạng không thể phát hiện ra nếu SSID không được phát sóng, nhưng nó sẽ khiến kẻ tấn công khó phát hiện ra nó hơn và thậm chí khó kết nối hơn với một mạng như vậy. Tuy nhiên, phương pháp bảo vệ thông tin trong mạng này có một số nhược điểm nhất định: khi kết nối thiết bị mới với mạng không dây hiện có, bạn sẽ cần phải nhập tên mạng theo cách thủ công.

Nói chung, một phương pháp bảo vệ thông tin như VPN được phát minh ra không phải để bảo vệ các mạng không dây mà để tổ chức một kết nối an toàn tới một mạng cục bộ từ xa thông qua Internet. Tuy nhiên, công nghệ này hoạt động hiệu quả trên mạng không dây và rất tốt để bảo mật mạng LAN. Trong trường hợp này, bản thân mạng không dây có thể hoàn toàn không có các biện pháp bảo vệ khác, nhưng sẽ không có tài nguyên mở trong đó - tất cả các tài nguyên dễ bị tấn công đều nằm trong mạng ảo, giao diện duy nhất chỉ có sẵn thông qua mạng không dây. Các thuật toán mã hóa hiện đại cung cấp khả năng chống kết nối cao và bảo vệ thông tin đáng tin cậy trong mạng máy tính.

Chủ đề bảo vệ mạng không dây khá rộng, nhưng các quy tắc chung để bảo vệ thông tin trong mạng nhìn chung là giống nhau. Nếu bạn muốn có được sự bảo vệ thực sự chống lại sự tấn công của mạng máy tính, thì tốt hơn hết là bạn nên kết hợp một số phương pháp bảo vệ.

Sự kết hợp của hệ thống bảo vệ mạng cục bộ nhiều lớp (tùy chọn mã hóa tiên tiến nhất, ẩn SSID, lọc địa chỉ MAC và truyền dữ liệu qua VPN) sẽ bảo vệ thông tin hiệu quả trong mạng máy tính. Tuy nhiên, để theo đuổi hiệu quả, hãy cố gắng cân bằng giữa độ tin cậy của khả năng bảo vệ và tính dễ sử dụng - xét cho cùng, càng nhiều kiểm tra và trở ngại trong mạng không dây của bạn, thì càng khó sử dụng. Do đó, khi nghĩ đến việc bảo vệ mạng cục bộ của bạn, hãy nghĩ đến khả năng bị hacker tấn công vào mạng của bạn - đừng làm mạng quá tải với các biện pháp bảo mật không chính đáng, điều này có thể ảnh hưởng xấu đến hiệu suất và dẫn đến mất băng thông.

Truy cập trái phép - đọc, cập nhật hoặc phá hủy thông tin khi không có cơ quan có thẩm quyền thích hợp.

Theo quy định, truy cập trái phép được thực hiện, sử dụng tên của người khác, thay đổi địa chỉ thực của thiết bị, sử dụng thông tin còn lại sau khi giải quyết sự cố, sửa đổi phần mềm và thông tin hỗ trợ, đánh cắp phương tiện thông tin, cài đặt thiết bị ghi âm.

Để bảo vệ thành công thông tin của họ, người dùng phải có một ý tưởng hoàn toàn rõ ràng về các cách truy cập trái phép có thể xảy ra. Các cách thu thập thông tin trái phép điển hình chính:

· Trộm phương tiện lưu trữ và chất thải công nghiệp;

sao chép của người mang thông tin với các biện pháp bảo vệ đã vượt qua;

cải trang thành một người dùng đã đăng ký;

chơi khăm (che mặt theo yêu cầu của hệ thống);

sử dụng những thiếu sót của hệ điều hành và ngôn ngữ lập trình;

· Việc sử dụng các dấu trang phần mềm và các khối phần mềm như "con ngựa thành Troy";

đánh chặn bức xạ điện tử;

đánh chặn bức xạ âm thanh;

chụp ảnh từ xa;

việc sử dụng các thiết bị nghe;

Vô hiệu hóa độc hại các cơ chế bảo vệ, v.v.

Để bảo vệ thông tin khỏi bị truy cập trái phép, hãy áp dụng:

1) các biện pháp tổ chức;

2) phương tiện kỹ thuật;

3) phần mềm;

4) mã hóa.

Các hoạt động tổ chức bao gồm:

· chế độ truy cập;

lưu trữ phương tiện và thiết bị trong một két an toàn (đĩa mềm, màn hình, bàn phím, v.v.);

Hạn chế quyền truy cập của người vào phòng máy tính, v.v.

Các phương tiện kỹ thuật bao gồm:

bộ lọc, màn hình cho thiết bị;

phím để khóa bàn phím;

Thiết bị xác thực - để đọc dấu vân tay, hình dạng bàn tay, mống mắt, tốc độ và kỹ thuật in, v.v.;

· Các phím điện tử trên microcircuits, v.v.

Các công cụ phần mềm bao gồm:

truy cập mật khẩu - thiết lập quyền hạn của người dùng;

Khóa màn hình và bàn phím bằng tổ hợp phím trong tiện ích Diskreet từ gói Norton Utilites;

Sử dụng các công cụ bảo vệ bằng mật khẩu BIOS - trên chính BIOS và trên PC nói chung, v.v.

Mã hóa là sự biến đổi (mã hóa) thông tin mở thành thông tin được mã hóa, không thể tiếp cận được đối với sự hiểu biết của người ngoài. Các phương pháp mã hóa và giải mã thông điệp được nghiên cứu bởi khoa học mật mã học, có lịch sử khoảng bốn nghìn năm tuổi.

2.5. Bảo mật thông tin trong mạng không dây

Tốc độ áp dụng cực kỳ nhanh chóng của các giải pháp không dây trong các mạng ngày nay khiến chúng ta phải suy nghĩ về độ tin cậy của việc bảo vệ dữ liệu.

Nguyên tắc truyền dữ liệu không dây bao gồm khả năng kết nối trái phép đến các điểm truy cập.

Một mối đe dọa nguy hiểm không kém là khả năng bị mất cắp thiết bị. Nếu chính sách bảo mật mạng không dây dựa trên địa chỉ MAC, thì thẻ mạng hoặc điểm truy cập bị kẻ xâm nhập đánh cắp có thể mở quyền truy cập vào mạng.

Thông thường, việc kết nối trái phép các điểm truy cập vào mạng LAN được thực hiện bởi chính các nhân viên của doanh nghiệp, những người không nghĩ đến việc bảo vệ.

Những vấn đề như thế này cần phải được giải quyết một cách toàn diện. Các biện pháp tổ chức được lựa chọn dựa trên các điều kiện hoạt động của từng mạng cụ thể. Đối với các biện pháp kỹ thuật, một kết quả rất tốt sẽ đạt được khi sử dụng xác thực lẫn nhau bắt buộc của các thiết bị và giới thiệu các biện pháp kiểm soát tích cực.

Năm 2001, việc triển khai trình điều khiển và chương trình đầu tiên xuất hiện để đối phó với mã hóa WEP. Thành công nhất là PreShared Key. Nhưng thậm chí nó chỉ tốt khi có mã hóa đáng tin cậy và thường xuyên thay thế mật khẩu chất lượng cao (Hình 1).

Hình 1 - Thuật toán phân tích dữ liệu được mã hóa

Yêu cầu hiện đại để bảo vệ

Xác thực

Hiện tại, trong các thiết bị mạng khác nhau, bao gồm cả các thiết bị không dây, phương pháp xác thực hiện đại hơn được sử dụng rộng rãi, được định nghĩa trong tiêu chuẩn 802.1x - cho đến khi thực hiện xác minh lẫn nhau, người dùng không thể nhận hoặc truyền bất kỳ dữ liệu nào.

Một số nhà phát triển sử dụng giao thức EAP-TLS và PEAP để xác thực trong thiết bị của họ, Cisco Systems cung cấp các giao thức sau cho mạng không dây của họ, ngoài các giao thức đã đề cập: EAP-TLS, PEAP, LEAP, EAP-FAST.

Tất cả các phương pháp xác thực hiện đại đều ngụ ý hỗ trợ cho các khóa động.

Nhược điểm chính của LEAP và EAP-FAST là các giao thức này được hỗ trợ chủ yếu trong thiết bị Cisco Systems (Hình 2).

Hình 2 - Cấu trúc gói 802.11x sử dụng mã hóa TKIP-PPK, MIC và WEP.

Mã hóa và tính toàn vẹn

Dựa trên các khuyến nghị 802.11i, Cisco Systems đã triển khai giao thức TKIP (Giao thức toàn vẹn tạm thời), cung cấp sự thay đổi của khóa mã hóa PRK (Per Packet Keying) trong mỗi gói và kiểm soát tính toàn vẹn của thông điệp MIC (Message Integrity Check).

Một giao thức mã hóa và toàn vẹn đầy hứa hẹn khác là AES (Tiêu chuẩn mã hóa nâng cao). Nó có sức mạnh mật mã tốt hơn so với DES và GOST 28147-89. Nó cung cấp cả mã hóa và tính toàn vẹn.

Lưu ý rằng thuật toán được sử dụng trong nó (Rijndael) không yêu cầu tài nguyên lớn trong quá trình thực hiện hoặc trong quá trình hoạt động, điều này rất quan trọng để giảm độ trễ dữ liệu và tải bộ xử lý.

Tiêu chuẩn bảo mật cho mạng LAN không dây là 802.11i.

Tiêu chuẩn Wi-Fi Protected Access (WPA) là một tập hợp các quy tắc thực thi bảo vệ dữ liệu qua mạng 802.11x. Kể từ tháng 8 năm 2003, tuân thủ WPA đã là một yêu cầu đối với thiết bị được Chứng nhận Wi-Fi.

Đặc tả WPA bao gồm một giao thức TKOP-PPK đã được sửa đổi. Mã hóa được thực hiện trên sự kết hợp của một số khóa - hiện tại và sau đó. Đồng thời, độ dài IV được tăng lên 48 bit. Điều này làm cho nó có thể thực hiện các biện pháp bổ sung để bảo vệ thông tin, ví dụ, để thắt chặt các yêu cầu liên kết lại, xác thực lại.

Các thông số kỹ thuật bao gồm hỗ trợ 802.1x / EAP, xác thực khóa chia sẻ và tất nhiên, quản lý khóa.

Bảng 3 - Các cách thực hiện chính sách bảo mật

Bảng 3 tiếp tục

Với việc sử dụng phần cứng và phần mềm hiện đại, hoàn toàn có thể xây dựng một mạng không dây an toàn và chống tấn công dựa trên các tiêu chuẩn dòng 802.11x.

Hầu như luôn luôn, mạng không dây được kết nối với mạng có dây, và điều này, ngoài nhu cầu bảo vệ các kênh không dây, nó còn cần thiết phải cung cấp bảo vệ trong mạng có dây. Nếu không, mạng sẽ có bảo vệ phân mảnh, trên thực tế, là một rủi ro bảo mật. Bạn nên sử dụng thiết bị có chứng chỉ Wi-Fi Certified, nghĩa là xác nhận tuân thủ WPA.

Triển khai 802.11x / EAP / TKIP / MIC và quản lý khóa động. Trong trường hợp mạng hỗn hợp, nên sử dụng các VLAN; với ăng-ten bên ngoài, công nghệ VPN được sử dụng.

Cần phải kết hợp cả phương pháp bảo vệ giao thức và phần mềm, cũng như các phương pháp quản trị.

Lọc mật khẩu và địa chỉ MAC sẽ bảo vệ bạn khỏi bị tấn công. Trên thực tế, sự an toàn phụ thuộc nhiều hơn vào quyết định của bạn. Các phương pháp bảo mật không phù hợp, mật khẩu đơn giản và thái độ bất cẩn đối với người lạ trên mạng gia đình tạo cơ hội cho kẻ tấn công tấn công thêm. Trong bài viết này, bạn sẽ tìm hiểu cách bẻ khóa mật khẩu WEP, tại sao bạn nên từ bỏ các bộ lọc và cách bảo mật mạng không dây của bạn từ mọi phía.

Bảo vệ khỏi những vị khách không mời

Mạng của bạn không an toàn, do đó, sớm hay muộn, người ngoài sẽ kết nối với mạng không dây của bạn - thậm chí có thể không có chủ đích, vì điện thoại thông minh và máy tính bảng có thể tự động kết nối với các mạng không an toàn. Nếu anh ta chỉ mở một vài trang web, thì rất có thể, sẽ không có gì khủng khiếp xảy ra ngoại trừ việc tiêu thụ lưu lượng truy cập. Tình hình sẽ trở nên phức tạp hơn nếu khách bắt đầu tải xuống nội dung bất hợp pháp thông qua kết nối Internet của bạn.

Nếu bạn chưa thực hiện bất kỳ biện pháp bảo mật nào, hãy truy cập giao diện bộ định tuyến thông qua trình duyệt và thay đổi dữ liệu truy cập mạng. Địa chỉ bộ định tuyến thường có dạng như sau: http://192.168.1.1. Nếu không đúng như vậy, bạn có thể tìm ra địa chỉ IP của thiết bị mạng của mình thông qua dòng lệnh. Trong hệ điều hành Windows 7, nhấp vào nút "Bắt đầu" và nhập "cmd" vào thanh tìm kiếm. Gọi cài đặt mạng bằng lệnh "ipconfig" và tìm dòng "Cổng mặc định". IP được chỉ định là địa chỉ của bộ định tuyến, bạn cần nhập địa chỉ này vào thanh địa chỉ của trình duyệt. Vị trí cài đặt bảo mật của bộ định tuyến khác nhau tùy theo nhà sản xuất. Theo quy định, chúng nằm trong phần có tên như “WLAN | Bảo vệ".

Nếu mạng không dây của bạn sử dụng kết nối không an toàn, bạn nên đặc biệt cẩn thận với nội dung nằm trong các thư mục chia sẻ, vì nếu không được bảo vệ, nội dung đó sẽ thuộc quyền sở hữu hoàn toàn của người dùng khác. Đồng thời, trong hệ điều hành Windows XP Home, tình trạng truy cập thông thường đơn giản là rất thảm khốc: theo mặc định, không thể đặt mật khẩu ở đây - chức năng này chỉ có trong phiên bản chuyên nghiệp. Thay vào đó, tất cả các yêu cầu mạng được thực hiện thông qua một tài khoản khách không an toàn. Bạn có thể bảo mật mạng trong Windows XP với sự trợ giúp của một chút thao tác: khởi chạy dấu nhắc lệnh, nhập "net user guest YourNewPassword" và xác nhận thao tác bằng cách nhấn phím "Enter". Sau khi khởi động lại Windows, chỉ có thể truy cập tài nguyên mạng nếu bạn có mật khẩu, tuy nhiên, rất tiếc, không thể điều chỉnh tốt hơn trong phiên bản hệ điều hành này. Quản lý cài đặt chia sẻ thuận tiện hơn nhiều được thực hiện trong Windows 7. Tại đây, để giới hạn vòng kết nối người dùng, chỉ cần truy cập "Network and Sharing Center" trong Control Panel và tạo một nhóm nhà được bảo vệ bằng mật khẩu là đủ.

Việc thiếu sự bảo vệ thích hợp trong mạng không dây là một nguồn nguy hiểm khác, vì tin tặc có thể sử dụng các chương trình đặc biệt (trình đánh hơi) để xác định tất cả các kết nối không an toàn. Do đó, tin tặc sẽ dễ dàng đánh cắp dữ liệu nhận dạng của bạn từ các dịch vụ khác nhau.

tin tặc

Nếu như trước đây, hai phương pháp bảo mật phổ biến nhất hiện nay là lọc địa chỉ MAC và ẩn SSID (tên mạng): các biện pháp bảo mật này sẽ không giúp bạn an toàn. Để tiết lộ tên mạng, kẻ tấn công chỉ cần một bộ điều hợp WLAN, bộ điều hợp này sẽ chuyển sang chế độ giám sát với sự trợ giúp của trình điều khiển đã sửa đổi và một trình đánh giá - ví dụ, Kismet. Cracker giám sát mạng cho đến khi người dùng (máy khách) kết nối với nó. Sau đó, nó điều khiển các gói dữ liệu và do đó loại bỏ máy khách ra khỏi mạng. Khi người dùng kết nối lại, kẻ tấn công sẽ nhìn thấy tên mạng. Nó có vẻ phức tạp, nhưng trên thực tế toàn bộ quá trình chỉ diễn ra trong vài phút. Vượt qua bộ lọc MAC cũng dễ dàng: kẻ tấn công xác định địa chỉ MAC và gán nó cho thiết bị của mình. Vì vậy, kết nối của người ngoài vẫn không được chủ sở hữu của mạng chú ý.

Nếu thiết bị của bạn chỉ hỗ trợ mã hóa WEP, hãy hành động ngay lập tức - ngay cả những người không chuyên nghiệp cũng có thể bẻ khóa mật khẩu như vậy trong vài phút.

Gói phần mềm Aircrack-ng, ngoài trình đánh hơi, bao gồm một ứng dụng để tải xuống và sửa đổi trình điều khiển bộ điều hợp WLAN, đồng thời cho phép bạn khôi phục khóa WEP, đặc biệt phổ biến trong số những kẻ lừa đảo trên mạng. Các phương pháp hack được biết đến là các cuộc tấn công PTW và FMS / KoreK, trong đó lưu lượng bị chặn và khóa WEP được tính toán dựa trên phân tích của nó. Trong tình huống này, bạn chỉ có hai lựa chọn: đầu tiên, bạn nên tìm kiếm chương trình cơ sở mới nhất cho thiết bị của mình để hỗ trợ các phương pháp mã hóa mới nhất. Nếu nhà sản xuất không cung cấp bản cập nhật, tốt hơn hết bạn nên từ chối sử dụng một thiết bị như vậy, vì làm như vậy bạn sẽ gây nguy hiểm cho an ninh mạng gia đình của mình.

Lời khuyên phổ biến là cắt giảm phạm vi Wi-Fi chỉ mang lại vẻ ngoài của sự bảo vệ. Hàng xóm vẫn có thể kết nối với mạng của bạn và những kẻ tấn công thường sử dụng bộ điều hợp Wi-Fi với phạm vi xa.

Điểm truy cập công cộng

Những nơi có Wi-Fi miễn phí thu hút những kẻ lừa đảo qua mạng vì lượng thông tin khổng lồ truyền qua chúng và bất kỳ ai cũng có thể sử dụng các công cụ hack. Các điểm truy cập công cộng có thể được tìm thấy trong các quán cà phê, khách sạn và những nơi công cộng khác. Nhưng những người dùng khác của cùng một mạng có thể chặn dữ liệu của bạn và chẳng hạn, kiểm soát tài khoản của bạn trên các dịch vụ web khác nhau.

Bảo vệ cookie. Một số phương pháp tấn công thực sự đơn giản đến mức ai cũng có thể sử dụng chúng. Tiện ích mở rộng Firesheep của Firefox tự động đọc và liệt kê tài khoản của những người dùng khác, bao gồm Amazon, Google, Facebook và Twitter. Nếu hacker nhấp vào một trong các mục trong danh sách, ngay lập tức anh ta sẽ có toàn quyền truy cập vào tài khoản và có thể thay đổi dữ liệu của người dùng theo ý muốn. Firesheep không bẻ khóa mật khẩu mà chỉ sao chép các cookie chưa được mã hóa đang hoạt động. Để tự bảo vệ mình khỏi những hành vi như vậy, bạn nên sử dụng tiện ích bổ sung HTTPS Everywhere đặc biệt dành cho Firefox. Tiện ích mở rộng này buộc các dịch vụ trực tuyến luôn sử dụng kết nối được mã hóa qua HTTPS nếu được hỗ trợ bởi máy chủ của nhà cung cấp dịch vụ.

Bảo vệ Android. Trong quá khứ gần đây, một lỗ hổng trong hệ điều hành Android đã thu hút sự chú ý của mọi người, do đó những kẻ lừa đảo có thể truy cập vào tài khoản của bạn trong các dịch vụ như Picasa và Lịch Google, cũng như đọc danh bạ. Google đã sửa lỗ hổng này trong Android 2.3.4, nhưng hầu hết các thiết bị mà người dùng mua trước đây đều đã cài đặt phiên bản hệ thống cũ hơn. Bạn có thể sử dụng ứng dụng SyncGuard để bảo vệ chúng.

WPA2

Công nghệ WPA2 đã được các nhà sản xuất thiết bị máy tính sử dụng từ năm 2004. Hầu hết các thiết bị đều hỗ trợ loại mã hóa này. Tuy nhiên, giống như các công nghệ khác, WPA2 cũng có điểm yếu: sử dụng phương pháp tấn công từ điển hoặc phương pháp bạo lực (“brute force”), tin tặc có thể bẻ khóa mật khẩu - tuy nhiên, chỉ khi chúng không đáng tin cậy. Từ điển chỉ cần lặp lại các khóa được lưu trữ trong cơ sở dữ liệu của chúng - như một quy luật, tất cả các kết hợp số và tên có thể có. Các mật khẩu như "1234" hoặc "Ivanov" được đoán nhanh đến mức máy tính của kẻ bẻ khóa thậm chí không có thời gian để khởi động.

Phương pháp bruteforce không liên quan đến việc sử dụng cơ sở dữ liệu làm sẵn, mà ngược lại, đoán mật khẩu bằng cách liệt kê tất cả các tổ hợp ký tự có thể có. Bằng cách này, người bẻ khóa có thể tính toán bất kỳ khóa nào - câu hỏi duy nhất là anh ta sẽ mất bao lâu. Trong hướng dẫn bảo mật của NASA, NASA khuyến nghị mật khẩu có ít nhất tám ký tự và tốt nhất là mười sáu. Trước hết, điều quan trọng là nó bao gồm chữ thường và chữ hoa, số và các ký tự đặc biệt. Phải mất hàng thập kỷ để một hacker có thể bẻ khóa một mật khẩu như vậy.

Mạng của bạn vẫn chưa hoàn toàn an toàn vì tất cả người dùng bên trong mạng đều có quyền truy cập vào bộ định tuyến của bạn và có thể thực hiện các thay đổi đối với cài đặt của nó. Một số thiết bị cung cấp các tính năng bảo mật bổ sung mà bạn cũng nên tận dụng.

Trước hết, hãy tắt khả năng thao tác với bộ định tuyến qua Wi-Fi. Thật không may, tính năng này chỉ khả dụng trên một số thiết bị, chẳng hạn như bộ định tuyến Linksys. Tất cả các mẫu bộ định tuyến hiện đại cũng có khả năng đặt mật khẩu cho giao diện quản lý, cho phép bạn hạn chế quyền truy cập vào cài đặt.

Giống như bất kỳ chương trình nào, phần sụn của bộ định tuyến không hoàn hảo - không loại trừ các lỗi nhỏ hoặc lỗ hổng quan trọng trong hệ thống bảo mật. Thông thường, thông tin về điều này được phân phối ngay lập tức trên Web. Thường xuyên kiểm tra chương trình cơ sở mới cho bộ định tuyến của bạn (một số kiểu máy thậm chí còn có tính năng cập nhật tự động). Một điểm cộng khác của flash là họ có thể thêm các tính năng mới cho thiết bị.

Phân tích định kỳ lưu lượng mạng giúp nhận ra sự hiện diện của những kẻ xâm nhập. Trong giao diện quản lý bộ định tuyến, bạn có thể tìm thấy thông tin về thiết bị nào được kết nối với mạng của mình và khi nào. Khó khăn hơn để tìm ra lượng dữ liệu mà một người dùng cụ thể đã tải xuống.

Quyền truy cập của khách - một phương tiện bảo vệ mạng gia đình của bạn

Nếu bạn bảo vệ bộ định tuyến của mình bằng mật khẩu mạnh khi sử dụng mã hóa WPA2, bạn sẽ không còn gặp nguy hiểm nữa. Nhưng chỉ cho đến khi bạn chia sẻ mật khẩu của mình với những người dùng khác. Bạn bè và người quen sử dụng điện thoại thông minh, máy tính bảng hoặc máy tính xách tay của họ muốn truy cập Internet thông qua kết nối của bạn là một yếu tố rủi ro. Ví dụ, không thể loại trừ khả năng thiết bị của họ bị nhiễm phần mềm độc hại. Tuy nhiên, vì điều này, bạn sẽ không phải từ chối bạn bè của mình, vì các mẫu bộ định tuyến hàng đầu, chẳng hạn như Belkin N hoặc Netgear WNDR3700, có quyền truy cập dành riêng cho những trường hợp như vậy. Ưu điểm của chế độ này là router tạo ra một mạng riêng với mật khẩu riêng, mạng gia đình không được sử dụng.

Độ tin cậy của khóa bảo mật

WEP (QUYỀN RIÊNG TƯ TƯƠNG ĐƯƠNG CÓ DÂY). Sử dụng trình tạo số giả ngẫu nhiên (thuật toán RC4) để lấy khóa, cũng như các vectơ khởi tạo. Vì thành phần cuối cùng không được mã hóa nên các bên thứ ba có thể can thiệp và tạo lại khóa WEP.

WPA (TRUY CẬP ĐƯỢC BẢO VỆ WI-FI) Dựa trên cơ chế WEP, nhưng cung cấp khóa động để bảo mật nâng cao. Các khóa được tạo bằng thuật toán TKIP có thể bị bẻ khóa thông qua một cuộc tấn công Beck-Tews hoặc Ohigashi-Moriya. Để làm điều này, các gói tin riêng lẻ được giải mã, thao tác và gửi trở lại mạng.

WPA2 (TRUY CẬP ĐƯỢC BẢO VỆ WI-FI 2) Sử dụng thuật toán AES (Tiêu chuẩn mã hóa nâng cao) an toàn để mã hóa. Cùng với TKIP, CCMP (Counter-Mode / CBC-MAC Protocol) đã được thêm vào, cũng dựa trên thuật toán AES. Cho đến nay, mạng được bảo vệ bởi công nghệ này vẫn chưa bị tấn công. Khả năng duy nhất của tin tặc là tấn công từ điển hoặc tấn công "brute force", khi đoán khóa bằng cách đoán, nhưng với một mật khẩu phức tạp thì không thể nào đoán được.