Текст книги "Wi-Fi. Беспроводная сеть"

Автор книги: Джон Росс

сообщить о нарушении

Текущая страница: 15 (всего у книги 19 страниц)

Подключение групповой сети

Беспроводные групповые сети используют сетевую технологию 802.11b для организации высокоскоростного доступа в Интернет в окрестностях или в пределах целого города. Операторы этих сетей размещают антенны для своих точек доступа на крышах и других местах, выбранных для организации максимально широкой зоны покрытия.

Несмотря на истинность утверждения, что максимальная дальность действия полезного сигнала беспроводной Ethernet составляет лишь 90 м, если вы не используете некую разновидность антенны с высоким коэффициентом усиления, этого достаточно для предоставления услуги половине городского квартала. И чем больше добровольцев установят дополнительные точки доступа на своих крышах, тем шире будет зона покрытия. Некоторые групповые сети также используют связь точка-точка с направленными антеннами (часто используемые кустарные рефлекторы изготовлены из жестяных банок и других дешевых компонентов, как описано в главе 11) для расширения зоны покрытия до мест, расположенных за пределами действия локальных точек доступа.

Со временем организаторы таких сетей рассчитывают создать беспроблемные «альтернативные сети», обеспечивающие бесплатный или очень дешевый доступ в Интернет для целых районов. Если им это удастся, можно будет реализовать бесплатное или недорогое беспроводное интернет-подключение отовсюду в пределах зоны покрытия сети. Сейчас количество обслуживаемых мест все еще очень мало, поэтому окажетесь вы или нет в пределах действия сетевого сигнала – вопрос чистого везения.

Если неколько подобных некоммерческих сетей, наспех собранных с помощью клейкой ленты и старых банок из-под чипсов, смогут когда-нибудь приблизиться к обеспечению зоны покрытия целого города со скоростью 11 Мбит/с, персонал сотовых сетей 3G столкнется с множеством проблем, пытаясь убедить покупателей приобретать их дорогие службы со скоростью 9600 бит/с. Поэтому операторы коммерческих сотовых и беспроводных сетей очень внимательно следят за движением сетевого сообщества.

Групповые беспроводные сети обычно реализуются энтузиастами, кооперативными службами, которые обслуживают коллективные сети для обеспечения доступа в Интернет крупных или небольших районов. В некоторых больших городах, включая Сиэтл, Сан-Франциско и Лондон, локальные групповые сети задействуют десятки базовых станций и ретрансляционных точек. В Австралии коллективные радиосети работают в нескольких крупных городах, а другая группа сообщает об обслуживании целого островного государства Тасмании.

Многие группы коллективных сетей имеют амбициозные планы по обеспечению услуги для широкой зоны покрытия, но к их реальным действиям часто относится лишь использование точек доступа. На данный момент групповые сети представляют собой скорее развлечение, нежели полезный ресурс, так как все еще не имеют значительных зон покрытия. В наши дни большинство групповых сетей на самом деле занимает меньшую нишу, чем малая доля изолированных точек, которые могут обслуживать один и тот же SSID. Если ситуация изменится, они станут весьма важной частью городской коммуникационной инфраструктуры.

Personal Telco Project публикует каталог ссылок на действующие по всему миру сети на http://www.personaltelco.net/index.cgi/WirelessCommunies. Большинство сетей в списке Personal Telco Project имеет online-карты и перечни узлов, отображающие месторасположения обслуживаемых точек доступа. Например, на рис. 12.5 показаны точки доступа сети PDX Wireless в деловом центре и окрестностях Портленда, Орегон.

В зависимости от вашей точки зрения групповые сети являются либо полезным дополнением, либо серьезной конкуренцией коммерческим сетям 802.11b.

Когда T-Mobile устанавливал беспроводную точку в магазине Starbucks в Pioneer Courthouse Square Портленда, был выбран канал, на котором работает групповая сеть, используемая для обеспечения бесплатной услуги на площади. Разумеется, такая реализация создавала значительные помехи обеим сетям. Через пару дней споров T-Mobile перешел на другой канал.

Если вы можете найти сигнал групповой сети, обычно можно использовать ее как интернет-подключение, но не рассчитывайте получить от операторов техническую поддержку или другую помощь. Некоторые групповые сетевики помогут, но обычно подобные сети являются бесплатными службами. Не требуйте того же типа поддержки, которую могли бы получить у коммерческого провайдера.

Если вам нужна помощь, попробуйте отправить вежливый запрос электронной почтой на адрес сетевого координатора, указанный в сетевом каталоге.

Рис. 12.5

Владельцы некоторых групповых точек накладывают ограничения на использование своих сетей, но они обычно представляют собой разновидность очевидных правил, с которыми легко примириться: не используйте сеть для отправки спама, не пытайтесь пересылать большие файлы и т. д. Основным правилом должно стать «Не делай ничего, что может помешать работе сети».

Если вы рассчитываете использовать соединение по групповой беспроводной сети как постоянное интернет-подключение, сообщите владельцу точки доступа о вашем присутствии. Владельцем, возможно, является сосед, который будет поражен и польщен, если вы время от времени будете заходить к нему с пачкой домашнего печенья. Групповые сети обычно реализуются энтузиастами; если вы хотите пользоваться их преимуществами, задумайтесь о возможности вступления в группу и содействия в выполнении какой-либо работы. Даже если у вас нет значительного технического опыта, существуют другие пути внести свой вклад.

Перед тем как вы сможете использовать групповую сеть, вы должны найти сигнал и определить, каким образом сконфигурировать сетевые настройки своего компьютера. Может быть полезным запуск программы-сканера, например Network Slumbler, Boingo, или инструментов конфигурирования беспроводной сети в Windows ХР и AirPort, но даже если вы обнаружите устойчивый сигнал, то, вероятно, не сможете сказать, принадлежит ли он групповой сети, рассчитанной на ваш трафик, или частной сети, где не была включена сетевая защита. Лучше использовать online-руководства, опубликованные в Интернете для групповых сетей. Описание каждой сетевой точки доступа должно предоставить вам информацию, необходимую для реализации подключения: месторасположение, SSID сети, является ли DHCP активным и т. д.

Защита коллективной сети

Когда вы регистрируетесь в коллективной сети, то должны соблюсти некоторые меры предосторожности для предотвращения чтения ваших файлов кем-либо посторонним. Перед подключением к коллективной сети вы должны отключить File Sharing (Доступ к файлам).

В Windows 95, Windows 98 и Windows ME используйте следующую процедуру:

1. В Control Panel (Панель управления) откройте диалоговое окно Network (Сеть).

2. Выберите команду File and Printer Sharing (Доступ к файлам и принтерам).

3. В диалоговом окне File and Printer Sharing (Доступ к файлам и принтерам) отключите функцию I Want to Give Others Access to My Files (Разрешить доступ к файлам другим пользователям).

В Windows 2000 и Windows ХР отсутствует общее место для отключения доступа к файлам, поэтому вы должны отключать каждый доступ отдельно.[2]2
  Для централизованного управления доступом к файлам в Windows ХР и Windows 2000 откройте правой кнопкой мыши контекстное меню My Computer и выберите Manage. В правой панели выберите закладку Shared Folder, затем Shares – Прим науч ред.


[Закрыть] Выполните следующие действия для отключения доступа:

1. Откройте окно My Computer (Мой компьютер).

2. Иконки для всех ваших дисков и папок с открытым доступом отмечены изображением руки. Для отключения доступа щелкните правой клавишей мыши по иконке и выберите Sharing and Security (Доступ и безопасность) в меню.

3. Отключите функцию Share This Folder on the Network (Доступ к этой папке по сети).

4. Щелкните по кнопке ОК. (Да) для закрытия диалогового окна.

5. Повторите процесс для каждой папки или файла с открытым доступом.

Не забудьте о папке Shared Documents (Общие документы).

Когда вы возвращаетесь обратно в офисную или домашнюю сеть, следует снова вернуться к процедуре обеспечения доступа к файлам.

А как насчет опасности того, что кто-либо похитит ваши данные в момент, когда они пересылаются по радиосвязи? Такое может произойти, даже если вы используете WEP-шифрование, но маловероятно, пока вы не являетесь объектом правительственной слежки или промышленного шпионажа. Вам следует учитывать, что любые данные, передаваемые через беспроводную сеть, не являются защищенными. Шпион с соответствующим оборудованием и программным обеспечением может скопировать пакеты ваших данных, когда они передаются по радио.

Единственный способ быть абсолютно уверенным в том, что никто не отслеживает вашу беспроводную сеть, – это прекратить ее использовать. По сравнению с подключением к вашей собственной сети подключение через коллективную сеть является в большей или меньшей степени незащищенным. Если кто-либо серьезно настроен похитить ваши сетевые пакеты, он, скорее всего, найдет способ сделать это. Наилучшим способом защиты является минимизация количества важных данных, отправляемых по сети, и постоянное использование надежного метода шифрования, такого как SSH (защищенный телнет) или VPN (виртуальная частная сеть, используемая многими компаниями для обеспечения безопасного доступа к корпоративной сети для внешних пользователей), при отправке информации. Такой вид защиты напрямую не связан с коллективными сетями. Для получения большей информации о сетевой защите (или ее недостатках) читайте главу 14.

Глава 13. Сеть Guerilla

Сеть Guerilia (также известная как wardriving) является смягченным названием незаконного доступа в Интернет через незащищенные беспроводные сети. Она нелегальна, неэтична и с легкостью получается там, где владельцы или администраторы беспроводных сетей не удосужились использовать WEP-шифрование или как-нибудь по-другому обезопасить свои сети. Во многих деловых районах, высокотехнологичных промышленных парках и высококачественных жилищных коммуникациях случайный посетитель часто может зарегистрироваться в полудюжине или более беспроводных сетей в пределах пары кварталов.

Если вам удалось обнаружить сетевой сигнал, вы должны быть способны зарегистрироваться или подключаться через найденную сеть к Интернету. Имея необходимое программное обеспечение, вы можете отслеживать данные других пользователей, когда они пересылаются по сети, и взламывать их ключи WEP-шифрования. Разумеется, никто из читателей никогда даже не подумал бы о попытке зарегистрироваться в чьей-либо сети или вести прослушивание чужого сетевого трафика без разрешения, поэтому я не буду вдаваться в детали об установке подобного подключения. Если вы хотите попробовать, рассчитывайте на себя. Нескольких минут работы с хорошим интернет-поисковиком достаточно для получения списка принятых по умолчанию заводских SSID и WEP-ключей многих популярных сетевых точек доступа и программного обеспечения для взлома WEP-шифрования. Многие пользователи, особенно в домашних и малых офисных сетях, не включают WEP-шифрование, так как оно «чересчур сложное» и «связано с большим количеством проблем». А подавляющее большинство никогда не пытались сменить принятые по умолчанию настройки.

В какой-то степени жестоко утверждать, что люди, не защищающие свои сети, заслуживают того, чтобы посторонние вторгались в их системы. Но и самые надежные инструменты защиты вообще не помогут, если вы их не используете.

Такой тип квазилегального взлома беспроводной сети, или wardriving, представляет собой модернизацию старой практики хакеров – wardialing – использования модема для набора случайных телефонных номеров в поиске других компьютеров с незащищенными портами вызова.

Некоторые беспроводные сети, аналогичные описанным в главе 12, на самом деле приветствуют коллективный доступ, поэтому законное основание для применения warwatking с использованием PDA с активированной функцией Wi-Fi здесь имеется. Даже если вы и не пытаетесь настроить подключение к сети, побродить окрест и посмотреть, что можно обнаружить, может быть познавательно (и, разумеется, любопытно).

Защищена ли ваша сеть?

С точки зрения администратора вашей собственной беспроводной сети, у вас должен возникнуть целый ряд вопросов типа «Защищена ли моя сеть? Может ли кто-нибудь с улицы подключиться к сети без моего ведома? Каким образом я могу держать этих #*@&$! подальше от моей сети?. Для получения ответов о защите беспроводной сети обращайтесь сразу к главе 14.

По крайней мере, вы должны понять, что сети Wi-Fi не являются абсолютно защищенными. Каждая точка доступа 802.11b и сетевой адаптер излучают сигналы, которые могут быть обнаружены посторонними. Принять меры по ограничению доступа к сети в ваших силах, но вы не можете скрыть ее существование от опытного шпиона.

Инструменты сканирования

Инструмент сканирования представляет собой программу, которая использует беспроводной сетевой адаптер для сканирования активных сетей и отображения характеристик каждой их них. Я описывал подобные инструменты в предыдущих главах, но они также важны для поиска сигналов Wi-Fi.

Наиболее широко используемым сканером для Windows является Network Stumbler

Однако это не единственные варианты. Программное обеспечение конфигурирования и управления беспроводной сетью в Windows ХР, программы, поставляемые с сетевыми адаптерами нескольких марок (включая Orinoco и HP-Compaq) и инструмент Boingo Wireless (доступный на http://www.boingo.com) могут предоставить похожую информацию.

Процесс использования любого из вышеперечисленных средств во многом идентичен: запустите компьютер с установленным беспроводным адаптером и сканером, работающим на обнаружение и отображение ближних сигналов. Используйте информацию, предоставленную инструментом сканирования, для конфигурирования вашего адаптера с целью реализации подключения.

Поиск сигнала

Если вы планируете много времени проводить с ноутбуком в поиске сетей, следует задуматься о специальном wardriving-комплекте, который содержит наиболее подходящие для работы инструменты. Вам понадобятся сетевой адаптер с внешней антенной (например, Orinoco или Zoom), кабель для питания портативного компьютера от автомобильного прикуривателя и антенна с большим, чем у встроенной в адаптер, коэффициентом усиления.

Если вы не знаете, откуда исходят соседние Wi-Fi-сигналы, наилучшим выбором станет всенаправленная антенна, смонтированная на крыше вашего автомобиля. Orinoco, Hyperlink и другие производители создают готовые мобильные антенны на частоту 2,4 ГГц, хорошо справляющиеся с работой, но если вы не хотите тратить деньги на установку, можно воспользоваться устройством с адаптером-переходником, несколькими зажимами и антенной от беспроводного телефона с частотой 2,4 ГГц. Это вполне подойдет для дешевого временного приспособления, сделанного на скорую руку. Многие конструкции всенаправленных антенн имеются в Интернете.

У вас также есть возможность попробовать одну из кустарных направленных антенн, встроенных внутрь жестяной банки или упаковки из-под картофельных чипсов Pringles, но направленная антенна не лучший инструмент для поиска неизвестных точек доступа. Вам придется поворачивать антенну по направлению к каждому зданию, которое вы проходите. Очевидно, что, если у вас нет желания привлекать к своим поискам внимание, это не лучшая идея.

Еще одно предупреждение: следите за дорогой. Не пытайтесь смотреть в компьютер во время управления машиной. Либо возьмите с собой человека для работы с компьютером, либо припаркуйте машину перед поиском радиосигналов. Наезд на случайного пешехода или столкновение с другим автомобилем может испортить целый день.

Поиск без сканирования – warchalking

Еще не ясно, является ли warchalking новым стандартом для определения доступных Wi-Fi-сигналов или временным увлечением. В любом случае феномен этот чрезвычайно интересен. Как высокотехнологичное расширение традиционных указателей людей (например, символов «здесь проживает добрая леди» или «осторожно, злая собака»), warchalking-символы, обозначающие места наличия сигнала Wi-Ei-сети, – это сообщения знающим код пользователям, как к данной сети подключиться.

Предложенные английским Web-дизайнером Мэттом Джонсом (Matt Jones) летом 2002 года символы warchalking (изображенные на рис. 13.1) быстро стали известны во всем мире. Код простой. Узкий круг обозначает сеть для избранных; два встречно-параллельных полукруга – доступную («открытую») сеть; а круг с расположенной внутри буквой W – сеть с WEP-шифрованием. Сетевой SSID появляется над символом, а частотная полоса указывается под ним.

Рис. 13.1

Warchalking обладает всеми элементами для статьи о примечательных новинках на тему «Фанаты техники, использующие необычные изображения для своего тайного хобби», поэтому десятки газет и дикторов по всему миру сообщают об этом странном новом виде деятельности.

На практике еще рано говорить, станут ли warchalking-символы действительно распространенными, когда пройдет первоначальный интерес. Владельцы большинства частных сетей не хотят, чтобы посторонние знали о существовании их сетей, a oneраторы коллективных сетей обычно помещают объявление открытым текстом в окнах магазинов или на своих территориях. Большинство людей, работающих с беспроводными точками Wi-Fi, не поощряют использование их посторонними.

Тем не менее, если вы хотите поиграть, сделать это достаточно легко. Просто носите кусок мела вместе с wardriving-комплектом и делайте незаметные пометки на стенах или тротуаре, в тех местах, где находите сигнал. Добавьте сетевой SSID и полосу частот, если они вам известны, и следуйте далее. Не используйте краску или несмываемый маркер: если владелец сети захочет стереть отметку, он должен быть способен сделать это без особого труда.

Если вы уже обнаружили один из таких символов, это говорит о том, что вы нашли подходящее место для реализации беспроводного подключения. Но не рассчитывайте найти большое количество warehalking-символов – возможно, журналистов, рассказывающих о данном феномене, гораздо больше, чем реальных пользователей. Если вы обнаружили один из таких символов, когда прогуливались по деловому центру Сан-Хосе или Лондона, можете удивить своих друзей, указав на него и объяснив, что он означает.

Вообще, сеть guerilla или wardriving, как и прослушивание телефонных переговоров ваших соседей по беспроводной связи, является разновидностью развлечения, но лежит за пределами границ вежливости. Конечно, можно аргументировать это тем, что любой, работая с незащищенной сетью, заслуживает, чтобы ею воспользовались другие. Аргумент о пропускной способности, которой хватает для всеобщего пользования, тоже звучит довольно сносно.

Однако это вряд ли убедит владельца сети (или бдительного полицейского, постучавшего в дверь вашей машины, когда вы находитесь в online-режиме), что ваши намерения полностью честны и никому не причинят никакого вреда.

И они, скорее всего, будут правы.

Если вы воспринимаете wardriving как неагрессивное хобби, подобно тем, кто использует радиосканеры на железнодорожную станцию и прослушивает диалоги между диспетчерами и машинистами электровозов, то это, скорее всего, достаточно безобидное увлечение. Но когда вы переступаете черту и на самом деле реализуете неавторизованное подключение, вы должны точно осознавать, чем занимаетесь – воровством частотной полосы, и быть готовым к последствиям.

Хорошо, настал конец проповеди. В следующей главе мы поговорим о защите беспроводной сети и предотвращении доступа в вашу сеть людей, прочитавших эту главу.

Глава 14. Защита беспроводной сети

Беспроводные сети не являются защищенными. Позвольте повторить: беспроводные сети не являются защищенными. Большую часть времени они достаточно безопасны для большинства пользователей, но абсолютно частными такие сети сделать невозможно.

Простая истина состоит в том, что беспроводная сеть использует радиосигналы с четко определенным набором характеристик, поэтому любой, желающий уделить достаточное количество времени и усилий отслеживанию этих сигналов, скорее всего, сможет найти способ перехватить и прочитать данные, содержащиеся в них. Если вы посылаете конфиденциальную информацию по беспроводному соединению, недоброжелатель может скопировать ее. Номера кредитных карт, пароли учетных записей и другая персональная информация является уязвимой.

Шифрование и другие методы защиты могут слегка усложнить перехват данных, но они не обеспечивают полной защиту от действительно опытного шпиона. Как вам может сказать любой полицейский, замки хороши от честных людей, но опытные воры знают, как справиться с ними. В Интернете легко найти целый каталог инструментов для взлома WEP-шифрования.

Делая ситуацию еще более опасной, многие сетевые администраторы и пользователи домашней беспроводной сети оставляют двери и окна своих сетей широко открытыми, не используя шифрование и другие функции защиты, интегрированные в каждую беспроводную точку 802.11b и сетевой узел. «Вход по логинам» в незащищенные частные сети возможен во многих городских районах и в огромном количестве местных сетей. Весной 2001 года San Francisco Chronicle сообщила, что эксперт по сетевой защите с направленной антенной, смонтированной на крыше фургона, в деловом районе Сан-Франциско смог зарегистрироваться в среднем в полудюжине беспроводных сетей на квартал. Число таких сетей неуклонно растет. Годом позже группа сотрудников Microsoft, проводящая «неофициальный тест», обнаружила более 200 незащищенных точек с открытым доступом в пригородной окрестной сети Сиэтла. А магазины Tully's Coffee сообщают, что замечают, как их клиенты регистрируются в Wi-Fi-сетях через точки доступа в магазинах Starbucks, расположенных напротив.

Простых арифметических действий достаточно: ваша точка доступа имеет дальность действия 100 м или более во всех направлениях, поэтому сигнал, скорее всего, распространяется за пределы вашей собственности (или стен ваших апартаментов). Сетевое устройство в соседней комнате здания или через улицу, скорее всего, может сеть обнаружить. На подобное действие способен и ноутбук или PDA, размешенный в припаркованной на улице машине. Если не выполнить некоторых мер предосторожности, оператор данного устройства сможет зарегистрироваться в вашей сети, похитить файлы с серверов и внедриться в интернет-подключение с потоковым видео или сетевыми играми.

Важно понимать, что мы говорим о двух разных типах угроз безопасности беспроводной сети. Первой является опасность подключения к вашей сети постороннего лица без вашего ведома или разрешения; второй является возможность того, что опытный взломщик может похитить данные, когда вы передаете и принимаете их. Каждая из них – отдельная потенциальная проблема, и каждая требует специального метода профилактики и защиты. Несмотря на определенную правоту утверждения, что ни один из ныне доступных инструментов не может обеспечить полной защиты, они могут значительно усложнить жизнь большинству случайных недоброжелателей.

Беспроводные сети представляют собой компромисс между защитой и удобством использования. Очевидные преимущества беспроводного сетевого подключения – быстрый и простой доступ в сеть с портативного компьютера или из изолированного месторасположения – требуют затрат. Для большинства пользователей эти затраты не перевешивают удобства работы с беспроводной сетью. Но аналогично тому, как, паркуясь, вы запираете двери своей машины, вы должны принять похожие меры для защиты сети и данных.

Защита вашей сети и данных

Что вы можете предпринять для защиты от посторонних как оператор беспроводной сети? У вас есть два пути: вы можете смириться с фактом, что сети 802.11b не являются полностью защищенными, но использовать встроенные функции сетевой защиты для замедления работы недоброжелателей; можно отказаться от встроенных инструментов и вместо этого для изолирования использовать брандмауэр.

Понятно, что функции защиты, интегрированные в протоколы 802.11b.

неприемлемы для абсолютной защиты передаваемых данных. Если вы читали статьи о защите беспроводной сети в отраслевых журналах и изучали дискуссии на сетевых форумах, легко поверить, что Wi-Fi-сети такие же дырявые, как и вошедшее в пословицу решето. Но, возможно, реальная угроза вашей собственной сети этим преувеличивается. Помните, что большинство людей, близких к похищению ваших сообщений или проникновению в вашу сеть, не будут просто сидеть и ждать, когда вы начнете передавать данные. И, говоря совсем начистоту, большинство данных, пересылаемых через вашу сеть, на самом деле не представляют никакого интереса. Но инструменты шифрования доступны в каждой Wi-Fi-сети, поэтому вам на самом деле стоит их использовать.

Более серьезная угроза заключается не в том, что ваши сообщения будут перехватываться, а в том, что будут создаваться нелегальные к ней подключения. При этом неавторизованный пользователь сможет либо читать файлы, хранящиеся на других сетевых компьютерах, либо использовать ваше широкополосное подключение к интернету без вашего ведома или разрешения.

Имеет смысл позаботиться об управлении вашей сетью. Если вы выбрали реализацию защиты 802.11b, следует выполнить специальные шаги:

– расположите вашу точку доступа в середине здания, а не рядом с окном. Это уменьшит расстояние, которое должны преодолевать ваши сигналы, проходящие через стены;

– используйте шифрование WEP (Wired Equivalent Privacy – защита, эквивалентная проводной), имеющееся во всех сетевых узлах 802.11b. При наличии достаточного количества времени и нужного оборудования WEP несложно взломать, но шифрованные пакеты прочитать все же труднее, чем данные, пересылаемые без шифрования. В этой главе приводится больше информации о WEP-шифроваиии;

– чаще меняйте WEP-ключи. Извлечение ключей WEP-шифрования из потока данных требует времени, и каждый раз при смене ключей недоброжелателям, пытающимся похитить ваши данные, приходится все начинать сначала. Поменять ключи раз или два за месяц – это не слишком часто;

– не храните WEP-ключи в легкодоступном месте. В крупной сети может быть предпринята попытка сохранить их на локальной Web-странице или в текстовом файле. Не делайте этого;

– не используйте электронную почту для передачи WEP-ключей. Если посторонний украл названия учетных записей и пароли, похититель будет получать сообщения с вашими новыми ключами до того, как их получат ваши законные пользователи;

– добавьте другой уровень шифрования, например Kerberos, SSH или VPN поверх WEP-шифрования, интегрированного в беспроводную сеть;

– не используйте принятый по умолчанию SSID вашей точки доступа. Эти настройки хорошо известны сетевым хакерам;

– смените SSID на что-либо, не определяющее вашу работу или месторасположение. Если недоброжелатель обнаружит название BigCorpNet и, оглядевшись, увидит штаб-квартиру BigCorp напротив через улицу, он, скорее всего, целенаправленно проникнет в вашу сеть. То же касается домашней сети. Не называйте ее Перкинсы (Perkins), если это имя написано на внешней стороне вашего почтового ящика. Не используйте SSID, который звучит так, как будто ваша сеть содержит некоторого рода заманчивую информацию, – используйте непримечательное название, например пустое поле, «сеть– или даже строку из случайных символов (W24rnQ);

– смените IP-адрес и пароль вашей точки доступа. Принятые по умолчанию пароли для большинства инструментов конфигурирования точек доступа найти легко (и они часто повторяются от одного производителя к другому – совет: не используйте «admin»), поэтому они недостаточно хороши даже для защиты от ваших собственных пользователей, не говоря уже о посторонних недоброжелателях, намеревающихся использовать вашу сеть в своих собственных целях;

– отключите функцию «широковещательный SSID» для точки доступа, которая допускает реализацию подключений от клиентов без наличия правильного SSID. Это не дает гарантии, что ваша сеть будет невидима, но может помочь;

– включите функцию управления доступом для своей точки доступа. Управление доступом ограничивает подключения к сетевым клиентам с заданными МАС-адресами. Точка доступа будет отказывать в соединении любому адаптеру, чей адрес не присутствует в списке. Это может быть непрактично, если вы хотите разрешить другим посетителям пользоваться вашей сетью, но это полезный инструмент для домашней и малой офисной сети, где вы знаете всех своих потенциальных пользователей. Аналогично функции «широковещательный SSID» это не дает гарантии, но и не повредит;

– протестируйте защиту своей сети, попробовав найти ее с улицы. Возьмите портативный компьютер с запущенной программой сканирования, такой как Network Stumbler или утилита отображения состояния вашего сетевого адаптера, и начинайте отходить от здания. Если вы можете обнаружить свою сеть на расстоянии квартала, это же сможет и посторонний. Помните, что недоброжелатели могут использовать направленные антенны с высоким коэффициентом усиления, которые это расстояние увеличивают;

– воспринимайте сеть как широко открытую для коллективного доступа. Удостоверьтесь, что все использующие сеть сознают, что они используют небезопасную систем;

– распространяйте файловый доступ только на файлы, которые действительно хотите сделать доступными. Не открывайте весь диск. Используйте защиту паролем для каждого доступного элемента;

– используйте тс же инструменты защиты, которые использовали бы в проводной сети. В лучшем случае беспроводная часть вашей локальной сети является не более защищенной, чем проводная часть, поэтому вы должны соблюдать все те же предосторожности. В большинстве случаев беспроводная часть сети является гораздо менее защищенной, чем проводная;

– рассмотрите использование виртуальной частной сети (VPN) для дополнительной защиты.

Некоторые специалисты используют другой метод защиты беспроводной сети. Они принимают идею о том, что сеть 802.11b является незащищенной, поэтому даже не пытаются использовать встроенные функции защиты. Например, группа сетевой защиты Advanced Supercomputing Division NASA в Калифорнии установила, что «сеть сама по себе не обеспечивает надежной аутентификации и защиты от взлома» и что «функции защиты 802.11b лишь потребляют ресурсы, не обеспечивая взамен никакой реальной защиты». Поэтому она отключила все функции защиты 802.11b и использует вместо этого свой собственный файерволл беспроводной сети – Wireless Firewall Gateway (WFG). WFG представляет собой маршрутизатор, расположенный между беспроводной и остальной частью сети, поэтому весь входящий и исходящий сетевой трафик с беспроводных устройств (включая доступ в Интернет) должен проходить через шлюз.