Wi-Fi tehnologija je danas sveprisutna. Ljudi bilo koje dobi, sjedeći na javnom mjestu barem nekoliko minuta, odmah pokušavaju povezati svoj "pametni" uređaj na mrežu. Hajde da shvatimo - da li je vredno povjeriti svoju sigurnost javnim pristupnim tačkama?
Otvorite Wi-Fi
Otvoreni Wi-Fi na javnim mjestima često se distribuira bez ikakvog šifriranja prometa. Korištenje Interneta preko otvorenih pristupnih tačaka je poput vikanja kroz otvoren prozor — nemojte se iznenaditi što svi oko vas „čuju“ vaše podatke. Srećom, mnoge stranice, posebno velike, koriste HTTPS enkripciju, što napadačima ostavlja samo gomilu nedešifrovanog smeća. Međutim, postoji mnogo takvih resursa koji još uvijek koriste nesiguran HTTP protokol, koji omogućava svakome tko se nalazi unutar radijusa Wi-Fi tačke, na primjer, da presretne lozinke sa lokacija koje je posjetio određeni korisnik i preuzme iste datoteke koje preuzimaju. on.
Međutim, ni šifrirani HTTPS protokol nije lijek: štiti prenesene podatke (privatnost), ali ni na koji način ne skriva stranice na koje ili sa kojih se te informacije prenose (anonimnost). Štaviše, ako se napadač prebaci na aktivni napad lažiranja prometa, može natjerati korisnika da otvori stranicu koristeći nezaštićeni protokol umjesto bezbednog, što je posebno kritično za sajtove koji prihvataju plaćanja. Obavezno obratite pažnju na zelenu ikonu lijevo od adresne trake vašeg pretraživača - ako je nema, ni u kojem slučaju ne unosite podatke o bankovnoj kartici.
Ovo nije jedini problem sa otvorenim hotspotovima. Svi mobilni uređaji su podrazumevano podešeni da se automatski povezuju na tačke na koje se korisnik ikada povezao, a odluka o povezivanju se donosi na osnovu imena. Često zaboravimo isključiti Wi-Fi kada više nije potreban, na primjer, kada izađemo iz kuće, što omogućava napadaču da prisili uređaj da se poveže s njim, stvarajući mrežu s tipičnim imenom, koje je javno dostupno. tačke provajdera i, na primjer, moskovski metro. Ali čak i ako se korisnik nikada nije povezao na najpoznatije otvorene mreže, opasnost i dalje postoji: pametni telefon povremeno pokušava da se poveže sa mrežama sa liste memorisanih, šaljući njihova imena preko mreže; Postoje posebni programi koji kreiraju pristupne tačke sa imenima koje šalje pametni telefon, a ako među njima postoji barem jedna otvorena, automatski ćete se povezati na mrežu napadača.
Svaki Wi-Fi adapter, kao i svaka mrežna kartica, ima jedinstvenu adresu uređaja - MAC adresu. Svaki Wi-Fi uređaj može vidjeti sve druge adaptere s omogućenom Wi-Fi mrežom u dometu, čak i ako nisu povezani ni na jednu mrežu. Ovu funkciju koriste veliki trgovački centri, prateći historiju vašeg kretanja: nekoliko pristupnih tačaka se nalazi u trgovačkom centru sa posebnim softverom koji bilježi sve MAC adrese i njihovu jačinu signala. Takve tačke su dovoljno blizu jedna drugoj da preciznije odrede vašu lokaciju unutar zgrade, određuju na koji ulaz ulazite, a koji izlazite, koje spratove i koje prodavnice posećujete i koliko često.
Zatvorene mreže
Razmotrite sada šifrirane mreže. Postoje tri standarda za osiguranje bežičnih mreža: WEP, WPA i WPA2. WEP je prvi Wi-Fi sigurnosni standard. To je skraćenica od Wired Equivalent Privacy ("ekvivalentno zaštiti žičanih mreža"), ali u stvari pruža mnogo manje zaštite od ovih istih žičanih mreža, budući da ima mnogo nedostataka koji vam omogućavaju da ga razbijete u bukvalno nekoliko sekundi, bez obzira na složenost lozinka... Zastario je 2004. i niko ga ne bi trebao koristiti.
WPA je stvoren da zamijeni WEP, ali je doživio prelaznu sudbinu jer je WPA2 ubrzo standardiziran, a WPA izblijedio u pozadini. Inače, WPA, kao i WEP, ima značajne nedostatke i ne bi se trebao koristiti.
Ako postavljate sigurnu Wi-Fi mrežu, treba koristiti samo WPA2 sa CCMP enkripcijom (ponekad se naziva AES). Standard dozvoljava korištenje lozinki dužine od 8 do 63 karaktera, a preporučuje se postavljanje lozinke od 12 znakova ili više.
Međutim, ni sa WPA2 nije sve savršeno. Iako vam haker koji ne zna lozinku, zapravo, ne može ozbiljno naškoditi ni na koji način, on može presresti podatke u trenutku kada je vaš uređaj povezan na pristupnu tačku i grubom silom povratiti vašu lozinku od njih. Ovo je prilično dug proces, a ako ste zaštićeni jakom lozinkom pomoću posebnih znakova, napadaču je lakše pokušati probiti još jednu tačku, jer će za to trebati godine. Međutim, nije sve tako jednostavno. Činjenica je da se u procesu povezivanja kao jedan od parametara koristi naziv mreže i da postoje posebne tablice proračuna za brzo probijanje lozinki do pristupnih tačaka sa standardnim nazivima koje postavljaju proizvođači. Obično je naziv model uređaja. Iako korištenje ovakvih tablica ne garantuje uspjeh u razbijanju, ipak se preporučuje da postavite vlastito ime mreže umjesto da koristite zadani.
Najveća ranjivost koja se relativno brzo i pouzdano može iskoristiti nalazi se u WPS tehnologiji, koja vam omogućava da se povežete na Wi-Fi ne lozinkom, već PIN-om, koji se obično primjenjuje na stražnjoj strani rutera. Takav PIN broj sastoji se od osam znamenki i, općenito gledano, trebalo bi dosta vremena da se izabere, da nije bilo greške u standardu, koji vam omogućava da samostalno odaberete prvo prve četiri cifre, a zatim ostala tri. Posljednji znak - kontrolni zbroj - može se izračunati iz ostalih cifara. Odabir takve lozinke je prethodno trajao nekoliko sati, a zatim su proizvođači počeli implementirati brute-force zaštitu, koja na neko vrijeme isključuje WPS u slučaju pogrešno unesene lozinke. Uprkos tome, vaš PIN će biti razbijen za dane, a ne za sate, a napadač će dobiti pristup vašoj mreži. Jednom u bezbednoj mreži, napadač će imati istu slobodu delovanja kao u otvorenoj mreži.
Moguće je onemogućiti emitovanje naziva mreže u eteru, čineći mrežu „skrivenom“, kao i konfigurisati pristup samo dozvoljenim MAC adresama. Ako koristite ovu funkcionalnost, žurimo da vas razočaramo - ove metode nimalo ne povećavaju zaštitu, jer naziv mreže, poput vaše MAC adrese, napadač može saznati tokom procesa povezivanja vašeg uređaja na tačku i promjene MAC adresa je laka kao ljuštenje krušaka.
Pogovor
Wi-Fi tehnologija pruža prilično dobru zaštitu ako koristite WPA2 sa jakom lozinkom, ne govorite nikome, a također isključite WPS na pristupnoj tački, što se ne može reći za otvorene pristupne točke, gdje se svi podaci prenose u nešifriranom obliku. Ako trebate pristupiti stranici koja ne podržava HTTPS preko otvorenog Wi-Fi-ja, a namjeravate tamo unijeti svoju lozinku, možda bi bilo bolje koristiti VPN - virtuelnu privatnu mrežu koja omogućava šifriranje VPN servera. Postoje besplatne i plaćene aplikacije za mobilne uređaje, a sve ih možete pronaći u trgovini aplikacijama.
I općenito, bez posebne potrebe, bolje je držati Wi-Fi u svom pametnom telefonu izvan kuće u neaktivnom načinu rada.
Mnogim korisnicima je poznata želja koja im se javlja dok čekaju svoj let na aerodromu ili ručak u restoranu - da koriste pristupnu tačku koju pruža ustanova i odu na internet. Praksa besplatnog bežičnog interneta na javnim mjestima danas je rasprostranjena. Pristupna tačka je postala deo marketinške kampanje kako organizacija koje žele da zainteresuju posetioca, tako i operatera koji omogućavaju pristup Internetu bez lozinke na prepunim mestima, u želji da još jednom pokažu kvalitet svojih usluga.
Ova usluga je svuda veoma popularna. Uostalom, mnogi stanovnici modernog grada imaju lošu ideju o ručku bez provjere svoje stranice na društvenim mrežama. Ali u isto vrijeme, na podsvjesnom nivou, mnogi posjetitelji restorana, kafića, aerodroma ne usuđuju se da se obrate svom online bankarstvu, s pravom ne vjerujući javnoj internetskoj pristupnoj tački. Dakle, može li to zaista biti opasno za lične podatke? I da li je podjednako opasno koristiti javni Wi-Fi za sve usluge ili samo one sa slabom zaštitom?
Glavni problemi koji su usko povezani sa upotrebom javne pristupne tačke su nemogućnost da se bude siguran da svi uređaji koriste ovu mrežu, kao i da sama tačka nije zlonamerna. Glavna opasnost je da prilikom korištenja javne mreže vaš promet nije zaštićen, što znači da ga mogu lako pratiti oni koji se povezuju na istu tačku. Vaša kućna mreža je obično šifrirana. Zbog toga komšija koji koristi vaš Wi-Fi neće moći da vidi istoriju vašeg pretraživača ili ono što je trenutno na vašem ekranu. Informacije ostaju između rutera i vašeg uređaja s kojim pristupate Internetu.
Kada je u pitanju javna pristupna tačka, obično mislimo na odsustvo enkripcije, jer u većini slučajeva ne morate unositi lozinku da biste se povezali. Tako članovi mreže mogu vidjeti koje stranice posjećujete, pa čak i koje podatke unosite na njih. Da biste vidjeli promet drugih ljudi, postoje različiti načini. Na primjer, Firesheep je jednostavan za korištenje i pokazuje koliko su vaši podaci ranjivi na javnim mjestima.
Međutim, potencijalna opasnost od praćenja svih radnji koje obavljate na webu ne znači da ne postoje sredstva za zaštitu od toga. Trebalo bi da shvatite da uprkos opštoj ranjivosti vaše veze sa nešifrovanom pristupnom tačkom, postoje lokacije koje su same zaštićene. Inače, većina internet bankarstva je šifrirana. Postoji ekstenzija pretraživača "The HTTPS Everywhere" koja vam omogućava da se povežete samo sa sigurnim sajtovima. Ako se često povezujete na javne pristupne tačke, VPN-ovi bi mogli biti vrijedni pažnje. Oni stvaraju neku vrstu tunela unutar glavne mreže. Obično uz pomoć ovih servisa korisnici izbjegavaju ograničenja pristupa određenim resursima i datotekama na Internetu, koja nisu dostupna ni u jednoj zemlji, ali u opisanoj situaciji mogu postati zaštita od znatiželjnih očiju. Uostalom, uz pomoć VPN-a, zainteresirani mogu vidjeti samo da ste povezani na mrežu, ali neće razumjeti šta tačno radite.
Također se možete zaštititi od prisustva zaraženih uređaja na mreži. Da biste to učinili, pri prvom povezivanju odaberite stavku "Javna mreža" u automatski iskačućem izborniku, a ne "Kućna" ili "Poslovna mreža". Ovo garantuje izvesnu sigurnost, jer je OS sa razlogom zainteresovan za prirodu nove pristupne tačke. Odabir javne mreže će spriječiti vaš uređaj da dijeli datoteke ili druge važne informacije s drugim računarima. Također je važno imati najnoviji softver i koristiti zaštitni zid.
Najveća prijetnja leži u onim hotspotovima koji se namjerno koriste kao mamci za korisnike kojima je potreban pristup internetu da bi provjerili svoj bankovni račun ili nešto jednako važno. Prevaranti mogu djelovati na različite načine. Na primjer, postoji poseban softver "Sslstrip" koji korisnika preusmjerava na druge domene, čija su imena slična, ali sadrže različite znakove. Stoga, koristeći javnu pristupnu tačku, možda nećete primijetiti da dajete lične podatke neprijateljskom resursu sličnom onom koji poznajete. Postoje i posebni uređaji koji omogućavaju konfiguraciju takvih napada gotovo automatski. "The WiFi Ananas" na primjer. Prilično je teško zaštititi se od ljudi koji namjerno traže lozinke iz internet banke. Stoga, ako je moguće, izbjegavajte provjeru ličnih podataka na javnim mrežama. Ali, ako ipak često morate pristupiti svom računu u takvim situacijama, onda biste trebali razmisliti o VPN konekciji.
Postavljanje VPN-a je jednostavno. Prvo odaberite provajdera, a zatim u Windowsu u kontrolnoj tabli idite na karticu "Mrežne veze" i konfigurirajte novu vezu odabirom "Poveži se na virtuelnu privatnu mrežu", gdje u odgovarajućim poljima navedite adresu servera provajdera . Postoje i probne, besplatne verzije. Na primjer, "Itshidden", "SecurityKiSS" i niz drugih. Funkcionalnost takvih javno dostupnih verzija je u pravilu nešto smanjena u odnosu na potpune. Omogućuju pristup ograničenoj količini prometa dnevno. Ali barem možete shvatiti isplati li se kupiti punu verziju i zaštititi se unutar javne mreže.
Poznati stručnjak za IT sigurnost i eminentni kriptolog Bruce Schneier objašnjava zašto je njegova kućna WiFi pristupna tačka uvijek bila otvorena za sve, bez lozinke ili enkripcije. Bruce kaže da je upravo ovaj element njegovog sofisticiranog sigurnosnog sistema ono što najčešće iznenadi druge.
Svako ko ima bežični modem može vidjeti moju mrežu i pristupiti Internetu preko nje. Za mene je ovo jednostavna ljubaznost. Omogućiti gostu internet je kao da mu date krov nad glavom i struju ili ga počastite šoljom toplog čaja. Međutim, neki ljudi misle da je to pogrešno i opasno.
Rečeno mi je da nepozvani stranci mogu doći do moje kuće i poslati neželjenu poštu, presresti lozinke, učitati i preuzeti bilo šta, od piratskih filmova do dječje pornografije. Kao rezultat, mogu mi se desiti razne nevolje: od stavljanja na crnu listu moje IP adrese do posjete policije.
Iako je ovo tehnički tačno, ne mislim da je rizik zaista veliki. Postoji najmanje pet otvorenih hotspotova u krugu od jednog kilometra od moje kuće u različitim kafićima, i veća je vjerovatnoća da će se svaki potencijalni spamer smjestiti u toplu prostoriju sa šoljicom kafe i kolačića nego u automobilu na ledu u blizini moje kuće.
Također, ako neko preko moje mreže počini krivično djelo za koje je policija zainteresirana, koja je bolja zaštita od činjenice da postoji otvorena bežična mreža? Da sam aktivirao zaštitu i neko je hakovao, onda bi mi bilo mnogo teže dokazati svoju nevinost.
Ne sugeriram da je novi WPA bežični sigurnosni protokol loš. On je dobar. Ali u njemu će se naći rupe, one su uvijek tu.
Razgovarao sam sa nekoliko advokata o ovom pitanju. Svojom legalnom metodom otkrili su još nekoliko rizika povezanih s otkrivanjem bežične mreže.
Iako nijedan advokat ne misli da možete biti uspješno osuđeni samo zato što je neko počinio zločin preko vaše mreže, može potrajati mnogo vremena i novca za istragu. Vaš računar može biti zaplijenjen, a ako se tamo nađe bilo šta nezakonito (piratski softver, MP3 muzika), naći ćete se u delikatnoj situaciji. Osim toga, tužioci nisu uvijek korisnici koji se razumiju u tehnologiju, pa ćete na kraju platiti neku vrstu kazne uprkos svojoj nevinosti. Advokati s kojima sam razgovarao preporučili su izbjegavanje sudskih sporova i traženje sporazuma o pomirenju u slučajevima dječije pornografije.
U realnijem slučaju, RIAA je tužila korisnike zbog sumnje da su ilegalno preuzimali muziku, samo na osnovu informacija o njihovim IP adresama. Ovdje su šanse optuženog za pobjedu veće nego u krivičnom postupku, jer je težina dokazne baze manja u parničnom postupku. Opet, advokati kažu da čak i ako pobijedite, to vam neće isplatiti troškove, a i dalje morate platiti nekoliko hiljada dolara.
Međutim, te prijetnje me ne uvjeravaju. U našoj zemlji 15 miliona ljudi ilegalno preuzima muziku, a RIAA je podnijela samo 26.000 tužbi. Što je najbolje od svega, Mark Mulligan iz Jupiter Research-a je rekao: "Ako ste pijani za bujice, znate da je vjerovatnoća da ćete biti uhvaćeni zbog piraterije otprilike ista kao vjerovatnoća da vas asteroid udari."
Ne mogu ni oni koji kažu da ugrožavam svoje podatke, jer hakeri mogu da se parkiraju u blizini moje kuće, uđu u moju javnu mrežu i prisluškuju internet saobraćaj, ili hakuju moje računare, ne mogu da promene moju poziciju. To je tačno, ali moji kompjuteri su u mnogo većoj opasnosti kada ih koristim u bežičnim zonama na aerodromima, kafićima i drugim javnim mjestima. Ako su sigurnosne postavke u sistemu nezavisne od mreže, onda jednostavno nema razlike. A ako moj računar nije zaštićen na javnoj mreži, onda zaštita moje mreže praktički ne smanjuje moje rizike.
Da, kompjuterska sigurnost je težak posao. Ali ako vaši računari povremeno napuste vaš dom, onda ipak morate riješiti ovaj problem. A svako rješenje se može primijeniti i na desktop mašine.
Na kraju krajeva, neki kritičari kažu da bi neko mogao samo da mi ukrade saobraćaj. I pored pojedinačnih sudskih odluka da je to nezakonito, imam osjećaj da se ne radi o kršenju zakona. Zaista mi ne smeta ako moji susjedi koriste moj internet kada im je potreban, a čuo sam nekoliko priča o ljudima koje su bežične mreže njihovih susjeda spašavale iz vanrednog stanja van mreže.
Isto tako, cijenim otvorenu mrežu kada se moja veza izgubi. Da neko učitava moju mrežu toliko da bi narušila moj sopstveni saobraćaj, možda bih razmislio da nešto preduzmem, ali dok su svi međusobno ljubazni, zašto bi me to zabrinjavalo?
Naravno, ovo se ne odnosi na ISP. Podržavanje otvorene bežične pristupne tačke često krši uslove vašeg ugovora sa provajderom. Ali ako ne uzmete u obzir vrlo rijetke slučajeve da pretplatnici dobijaju pisma sa naredbama za zabranu nastavka nezakonitih radnji, kao i bijes provajdera prema ljudima koji prelaze određenu tajnu granicu po obimu prometa, ali ovo je uopšte ne predstavlja rizik. Najgora stvar koja se može desiti je da nađete drugog ISP-a.
Kompanija Fon nudi rješenja za ovaj problem. Njihove bežične pristupne tačke podržavaju dva načina istovremeno: zaštićenu mrežu za vas i otvoreni način za sve ostale. Svoju otvorenu mrežu možete postaviti u Bill ili Linus modu. Prvi način podrazumijeva međusobna poravnanja svih korisnika koji su ga odabrali, au drugom načinu svi ljudi besplatno koriste sve pristupne točke. Zaista pametna ideja.
Sigurnost je uvijek kompromis. Znam ljude koji rijetko zaključavaju ulazna vrata svoje kuće, koji se voze po kiši (sa mobitelom u ruci) i koji razgovaraju sa strancima na ulici. Po mom mišljenju, osiguranje moje bežične mreže se ne isplati. I zahvalan sam svima koji imaju i otvorenu bežičnu mrežu, uključujući sve kafiće, barove i biblioteke koje sam posjetio u prošlosti, Međunarodni aerodrom Dayton, gdje sam počeo pisati ovaj tekst, i Sheraton sa četiri zvjezdice, gdje Diplomirao sam. Svi ćete učiniti svijet boljim mjestom.
Danas je Wi-Fi čvrsto zauzeo svoje mjesto u našim životima, pretvorivši se iz nove tehnologije u svakodnevni život. Nakon što su otišli popiti kafu u kafić ili sjedeći na klupi u parku, mnogi počinju tražiti najbližu pristupnu tačku, uopće ne razmišljajući o sigurnosnim pitanjima. Praksa je pokazala da ne samo korisnici, već i mnogi administratori slabo razumiju prijetnje u bežičnim mrežama, izlažući korporativne sisteme ozbiljnim rizicima.
Zašto Wi-Fi? Zašto je ova tehnologija tako privlačna napadaču? Da biste odgovorili na ovo pitanje, razmotrite kako funkcionišu žičane mreže. Osnova modernih mreža su svičevi (switchi), koji šalju pakete samo na port primaoca, isključujući pristup njima drugih hostova.
Da bi presreo tuđi saobraćaj, napadač mora ne samo da se fizički poveže na mrežu, koja je sama po sebi problematična, već i da se uključi u lanac prenosa paketa. Čak i ako se napadač poveže sa slobodnim portom komutatora, neće moći presresti ili slušati nečiji saobraćaj. Da biste izvršili takav napad, morate imati fizički pristup mrežnoj opremi i administrativna prava, što ga čini gotovo nemogućim.
Bilješka. Namjerno ne razmatramo situacije s unošenjem raznih vrsta zlonamjernog softvera u perimetar mreže, stjecanjem neovlaštenog pristupa aktivnoj mrežnoj opremi itd., jer je to izvan okvira ovog članka.
Zbog prirode prijenosnog medija, bežične mreže ne mogu obezbijediti diferencijaciju pristupa podacima, pakete koje prenosi klijent ili pristupna tačka može primiti bilo koji uređaj unutar područja pokrivenosti mreže.
U normalnom načinu rada mrežna oprema prima samo pakete namijenjene njoj, ali postoji specijalizirani i lako dostupan softver koji vam omogućava da presretnete i analizirate sav mrežni promet.
Čak i ako je ovo vaš gostujući Wi-Fi i pouzdano je izoliran od korporativne mreže, i dalje je podložan istim prijetnjama, posebno ako ga vaši zaposleni koriste sa ličnih uređaja, a ako i dalje pristupaju korporativnim uslugama, onda se rizici povećavaju mnogo puta.
Nećemo davati gotove mehanizme za napade na otvorene mreže, recimo samo da dostupnost odgovarajućeg softvera i uputstava ovaj zadatak čini dostupnim čak i školarcima kojima je dosadno.
Osim toga, savjetujemo i da smatrate da su mreže sa WEP enkripcijom otvorene, ako postoji mrežna aktivnost na mreži, potrebno je 5-10 minuta da se krene, a to se radi specijaliziranim softverom u automatskom načinu rada i ne zahtijeva nikakve posebne saznanja od napadača.
Sa WPA/WPA2 mrežama situacija je mnogo bolja, pri odabiru pouzdanog ključa i odbacivanju kompromitovane TKIP tehnologije (u korist AES-a) takve mreže je gotovo nemoguće hakirati bez upotrebe posebnih alata i dubokog znanja. Opet, ne zaboravimo na sigurne mreže čiji je ključ poznat napadaču, na primjer mreža u restoranu, gdje ključ izdaje konobar uz narudžbu.
Postoji softver, npr. CommView za WiFi, koji vam omogućava da uhvatite i dešifrujete pakete čak iu zatvorenim mrežama. Stoga, sigurne mreže, čiji je ključ poznat širokom krugu ljudi, također treba smatrati otvorenim, uz sve sljedeće mjere opreza.
Glavna prijetnja otvorenim mrežama je presretanje i analiza vašeg prometa. Stoga, sjedeći na klupi u parku i pronalazeći otvorenu mrežu, nemojte žuriti da se povežete s njom, već razmislite kome može pripadati.
Može biti da je onaj tip sa naočalama u obližnjoj radnji uljez koji je pomoću laptopa i 3G modema podigao pristupnu tačku, prikupljajući lozinke, kolačiće i druge "zanimljive" informacije iz saobraćaja u prolazu.
Stoga, uzmite to kao aksiom, koristeći otvorene mreže, nemojte autorizirati nikakve resurse koji prenose autorizacijske podatke u čistom tekstu. Napadaču nije potrebna ni vaša lozinka, koja se može prenijeti u šifriranom obliku, sasvim je dovoljno da presretne kolačić, nakon čega će se bez problema autorizirati pod vašim računom.
Ako se i dalje trebate prijaviti, provjerite podržava li web mjesto SSL i certifikat zaista pripada ovoj stranici. Kada to radite, izbjegavajte povezivanje s resursima sa samopotpisanim certifikatom koji ne možete provjeriti. O tome ćemo razgovarati detaljnije.
Također, izbjegavajte, a najbolje od svega, nikada ne koristite otvorene mreže za pristup finansijskim informacijama ili plaćanje.
Čeka nas još jedna opasnost gdje se čini da je poznat identitet pristupne tačke. Napadač može koristiti još jedno svojstvo Wi-Fi mreža - ako u mreži postoji više pristupnih tačaka, automatski se prebacuje na onu sa boljim signalom.
Šema napada je krajnje jednostavna, napadač kreira pristupnu tačku sa istim SSID-om kao i postojeća mreža, nakon čega će se svi obližnji klijenti automatski prebaciti na tačku napadača, a da ne sumnjaju da im se promet presreće. Kao rezultat toga, sjedenje sa tabletom u vašem omiljenom kafiću može završiti vrlo tužno i dobro je čak i ako stradaju lični podaci, a detalji o pristupu korporativnoj mreži nisu izgubljeni.
Ovdje nastaje problem sigurnog pristupa korporativnim resursima, čak i ako vaša organizacija ne koristi Wi-Fi. Gdje je garancija da zaposlenik koji sjedi u parku ili kafiću neće odlučiti provjeriti poslovnu poštu?
Ali čak i ako ste uvjereni da postoji samo jedna pristupna tačka i da pripada onome kome je potrebna, nemojte žuriti da se radujete. Postoji vrsta napada ARP-spoofing koji može usmjeriti vaš promet preko napadačevog uređaja.
Konačno, napadač može jednostavno prikupiti i analizirati Wi-Fi promet bez ometanja rada bežične mreže prebacivanjem svog Wi-Fi adaptera u način nadzora.
Jasno je da ne možemo uticati na mogućnost presretanja paketa u Wi-Fi mrežama zbog prirode distributivnog okruženja. Izbjegavanje Wi-Fi mreže u vašoj organizaciji također neće osigurati vašu infrastrukturu ni na koji način. Ne možete priložiti čuvara svakom zaposlenom i ne možete zabraniti korištenje korporativnih resursa putem otvorenih mreža.
šta da radim? Potpuno napustite kanale za pristup nešifriranim podacima. Koristite SSL gdje je moguće, gdje ne - VPN. Još jedna stvar se odnosi na samopotpisane certifikate. Mogu se koristiti isključivo unutar sigurnosnog perimetra, a bolje ih je uopće ne koristiti. Ako ste zabrinuti za sigurnost - nabavite normalan sertifikat, nemojte obučavati zaposlene da ignorišu sigurnosna upozorenja.
U suprotnom, možete postati žrtva napada čovjeka u sredini. Njegovo značenje se svodi na činjenicu da prilikom povezivanja na zaštićeni host napadač samostalno dobije certifikat od hosta, prenoseći vlastiti certifikat klijentu.
Sasvim je razumljivo da će pretraživač na takve smetnje odgovoriti sigurnosnim upozorenjem.
Međutim, ako ste svoje zaposlenike naučili da ignorišu ovo upozorenje koristeći samopotpisani certifikat, tada, kako kažu, neće primijetiti razliku i sada će je sigurno ignorirati.
Stoga, ako i dalje koristite samopotpisane certifikate, nemojte biti lijeni instalirati root certifikat na svaki uređaj kako biste izbjegli pojavu ovog upozorenja, što će vam pomoći da izbjegnete naviku ignoriranja.
Iz istog razloga, ne preporučujemo korištenje ssl-bump tehnologije, koja je dizajnirana da filtrira SSL promet na gatewayu. Želja za filtriranjem saobraćaja je razumljiva, ali sigurnost je skuplja, osim toga, ako je pristupnik kompromitovan, vlastitim rukama vršite napad čovjeka u sredini na svoju organizaciju.
Tagovi:
Ni za koga nije tajna da su, uprkos deklarisanim mogućnostima Wi-Fi prenosa signala na udaljenosti do 400 metara na otvorenom prostoru i do 100 metara u zatvorenom prostoru, stvarne performanse znatno niže.
Šta je problem sa Wi-Fi mrežom
To je zbog barijera u vidu zidova, smetnji u drugim bežičnim mrežama koje vrve u modernom svijetu, a sama moć bežičnih uređaja često je ograničena zbog zakonske regulative i banalnih ekonomskih razloga.
Kao rezultat toga, mnogi korisnici se suočavaju s problemima pri bežičnom povezivanju putem Wi-Fi mreže u obliku usporavanja, zamrzavanja i periodičnog pada interneta.
Iznenađujuće, s tim se ne suočavaju samo vlasnici velikih imanja i uredski radnici, već i relativno malih stanova, jer signal u njima često prekidaju smetnje susjednih rutera. Više puta sam vidio takvu sliku u Wi-Fi analizatoru.
Najčešća 802.11n Wi-Fi tehnologija radi na 2,4 GHz i pruža samo 3 opsega koji se ne preklapaju. To znači da ako postoji više bežičnih mreža koje vidite na svom laptopu ili pametnom telefonu, one počinju da ometaju jedna drugu. Postoji nekoliko izlaza iz ove situacije.
Nadogradite na 5 GHz
Ova opcija je radikalnija i uključuje prelazak na moderniji standard od 5 GHz 802.11ac, koji pruža znatno više opsega koji se ne preklapaju. Štaviše, ova frekvencija još nije zagušena drugim mrežama.
Ali prijelaz na frekvenciju od 5 GHz ima nekoliko značajnih nedostataka. Prije svega, ovo je potreba za kupovinom skupljeg Wi-Fi rutera.
Takođe ćete morati da kupite poseban 802.11ac adapter za svaki uređaj (računar, laptop) koji ne podržava ovaj standard. Ovo je još uvijek značajan dodatni trošak.
Mnogi pametni telefoni i tableti se uopće ne mogu povezati, jer ne podržavaju frekvenciju od 5 GHz, a povezivanje adaptera na njih je prilično problematično i nezgodno.
Osim toga, Wi-Fi na 5GHz ima znatno kraći domet i više ga zaglušuju prepreke. Dakle, u slučaju čak i srednjeg stana, 2-3 zida od rutera mogu značajno utopiti signal odašiljača.
Pojačavanje signala 2,4 GHz
U ovom slučaju sve je mnogo jednostavnije i jeftinije, samo trebate pojačati signal u širokom rasponu 802.11n koji podržavaju svi moderni uređaji.
Jači signal će bolje prodrijeti kroz zidove, dalje, i dominirati konkurentskim mrežama bez da ga priguše smetnje.
Često je dovoljno promijeniti ruter na drugi sa snažnijim predajnikom i antenama većeg pojačanja.
Ne morate kupovati dodatne adaptere za druge uređaje, a pametni telefoni i tableti će se povezati bez ikakvih problema.
Ali ova metoda također ima nekoliko nedostataka. Snažniji ruter koštat će 1,5-2 puta više od običnog. Nakon što ste instalirali takav ruter, već ćete ometati svoje susjede i prekidati njihov Wi-Fi. Osim toga, višak zračenja u opsegu od 2,4 GHz nije dobar za zdravlje.
Postavljanje pristupne tačke
Najrazumnija i najispravnija opcija bi bila instaliranje dodatne pristupne tačke, koje su i u opsegu od 5 GHz i u dobrim starim 2,4 GHz. Ova metoda ima niz značajnih prednosti.
Pristupna tačka obično košta manje od sličnog rutera u istom frekventnom opsegu i posebno je dizajnirana za prenošenje signala, dok svi ruteri ne mogu da rade u bridge modu.
U velikoj kući ili stanu može se ugraditi nekoliko dodatnih pristupnih tačaka, koje će osigurati dobru pokrivenost u cijeloj prostoriji. Obično su male i mogu se okačiti bilo gde - na zid, plafon ili jednostavno staviti na noćni ormarić.
Pristupna tačka je prilično kompaktna, ne zahteva polaganje informacionog kabla, potrebna je samo obližnja utičnica ili posebno razvučeni kabl za napajanje, a neki se mogu jednostavno uključiti u utičnicu.
Snaga pristupne tačke je ograničena standardnim vrednostima, neće smetati vašim susedima, imati nepotrebno negativan uticaj na vaše zdravlje, a istovremeno će obezbediti pouzdanu vezu vaših uređaja na Internet, jer će jednostavno budite bliže njima.
Pristupnu tačku možete kupiti u bilo kojoj prodavnici računara. Ali, ako ste zainteresirani za visokokvalitetnu profesionalnu opremu za veliki životni prostor ili ured u Ukrajini, preporučujemo da posjetite web stranicu http://www.technotrade.com.ua/catalog-654, možete kupiti i odvojene moćne antene za udaljena područja ili ruralna područja i širok izbor mrežne opreme.
