Безопасность в сети

Безопасность при работе в сети
Вторник, Октябрь 26th, 2010 | Автор:

Любой компьютер в сети может представлять определенный интерес для хакеров. Сейчас на компьютерах хранится много интересной ин­формации. Это могут быть, например, пароли доступа к различным ресурсам (Интернету, электронным кошелькам Webmoney и т. п.). После атаки хакера любой компьютер может быть использован для атак на другие компьютеры в локальной сети или в Интернете. С него может производиться рассылка почтовых сообщений (спама), в том числе и содержащих вредоносные программы. Даже если компьютер исполь­зуется только для развлечений, то коллекции музыкальных файлов, домашних фотографий и видеосъемки могут представлять большую ценность для их владельцев. Никто не хочет, чтобы они попали в чужие руки. Кроме того, заражение компьютера вирусами может поставить под угрозу сохранность информации и его общую работоспособность. В особо тяжелых случаях может быть потеряно буквально все!

Беспроводной сегмент сети всегда таит дополнительную опасность, тре­буя большего внимания при установке и настройке. При настройке защиты беспроводной сети обычно рассматриваются несколько мето­дов.

  • Установка паролей.
  • Отключение трансляции SSID. U Создание списка МАС-адресов.
  • Выбор метода шифрования.
  • Снижение мощности передатчика.
Рубрика: Безопасность в сети  | Комментирование отключено
Изменение пароля администратора
Вторник, Октябрь 26th, 2010 | Автор:

Изменению стандартного пароля всегда уделяется особое внимание при настройке точки доступа или маршрутизатора. Устройства выпускают­ся со стандартными (одинаковыми для всех подобных устройств) па­ролями. В некоторых устройствах первоначально пароль администра­тора вообще не задан. В одном из окон настройки пользователь должен ввести новый пароль и подтвердить его для проверки правильности ввода. Если настройка устройства снабжена специальным мастером, то смена пароля является одним из первых пунктов в его работе. Пароль обязательно должен быть изменен.

Рубрика: Безопасность в сети  | Комментирование отключено
Отключение трансляции SSID сети
Вторник, Октябрь 26th, 2010 | Автор:

В нормальном режиме точка доступа сообщает свой сетевой идентифи­катор (SSID), чтобы облегчить поиск и подключение к беспроводной сети. Это сообщение является широковещательным, то есть его могут услышать не только компьютеры вашей сети, но и все посторонние, находящиеся в ее зоне действия. Во многих случаях нет никакой необходимости демонстрировать свою беспроводную сеть всем желающим, поэтому этот режим можно отключить. Все устройства имеют установ­ленный по умолчанию SSID сети. Если изменить SSID и одновременно с этим отключить его трансляцию, то подключиться к сети сможет толь­ко тот, кто заранее знает SSID. Очевидно, что такая мера также повышает защищенность беспроводной сети.

Рубрика: Безопасность в сети  | Комментирование отключено
Фильтрация по МАС-адресу
Вторник, Октябрь 26th, 2010 | Автор:

Если настраивается небольшая беспроводная сеть дома или в офисе, то, как правило, редко возникает необходимость подключать дополнитель­ные компьютеры. В этом случае можно использовать фильтрацию по МАС-адресам. Этот режим позволит подключаться к сети только задан­ным устройствам с их уникальными МАС-адресами. Можно установить и иную настройку — разрешить подключение всем устройствам, кроме заданных МАС-адресов. Так, например, можно заблокировать компью­тер, с которого уже пытались подключиться к сети без соответствую­щего разрешения.

Однако изменить МАС-адрес сетевого устройства не очень сложно, и при необходимости хакер может проделать такую операцию со своим устройством. Гораздо сложнее узнать адреса разрешенных для данной сети МАС-адресов. Таким образом, как и пароли, их следует хранить втайне от посторонних лиц. Необходимо понимать, что фильтрация по МАС-адресам не может обеспечить стопроцентную защиту. Она рассматривается как одна из мер по обеспечению безопасной работы.

Рубрика: Безопасность в сети  | Комментирование отключено
Шифрование данных
Вторник, Октябрь 26th, 2010 | Автор:

Чтобы защитить данные во время передачи от одного сетевого устрой­ства к другому, используется шифрование данных. При шифровании данных необходимо на каждом из устройств настроить протокол шиф­рования и ключи.

Первый и наиболее простой способ шифрования — использование WEP-протокола. Первоначально реклама утверждала, что WEP (Wired Equivalence Privacy) позволяет добиться такой же безопасности, как при использовании проводных сетей. На практике такая защита данных уже не считается очень надежной. Использование недостаточно длин­ных ключей позволяет дешифровать сообщения. При использовании WEP-шифрования необходимо, чтобы на всех подключенных точках применялись идентичные ключи. Чем длиннее ключ, тем сложнее де­шифровать сообщение. Современное беспроводное оборудование ис­пользует 64-битные (пять текстовых символов), 128-битные (13 сим­волов) и 256-битные (34 символа) ключи.

В современном сетевом оборудовании может задаваться до четырех ключей WEP. По согласованию с клиентами один из них выбирается в качестве активного ключа и используется для шифрования. Периоди­чески (например, раз в неделю) можно менять активный ключ. Ключи задаются идентичным способом на всех устройствах беспроводной сети.

На компьютерах пользователей для этой цели может применяться программное обеспечение производителя сетевого оборудования или же сама операционная система.

Протокол WEP-шифрования даже со 128-битным ключом считает­ся не очень стойким, поэтому в устройствах стандарта 802.11g поддер­живается улучшенный алгоритм шифрования WPA (Wi-Fi Protected Access). Во многих устройствах при выполнении настроек программы рекомендуют использовать именно этот метод. В этот стандарт объеди­няется два метода: TKIP и MIC.

Протокол TKIP (Temporal Key Integrity Protocol) — это реализация динамических ключей шифрования. Ключи шифрования имеют длину 128 бит и генерируются при посылке каждых 10 Кбайт данных по сложному алгоритму. При этом общее количество возможных вариантов ключей исчисляется сотнями миллиардов. Такая система дает самые высокие гарантии надежности шифровки данных.

Протокол MIC (Message Integrity Check) — это протокол проверки целостности пакетов. При его использовании сверяются отправленные и полученные данные. Это должно исключить их изменения в пути. Протокол позволяет отбрасывать пакеты, которые были добавлены в канал третьим лицом. Таким образом, хакер не может встроить вре­доносные коды в данные во время их передачи.

Рубрика: Безопасность в сети  | Комментирование отключено
WPA-шифрование данных
Вторник, Октябрь 26th, 2010 | Автор:

Помимо упомянутых протоколов, многие производители беспро­водного оборудования встраивают в свои решения поддержку стандар­та AES (Advanced Encryption Standard), который приходит на замену TKIP.

Существует два типа WPA-шифрования: стандартный режим WPA (иногда встречается название WPA-Enterprise) и WPA-PSK (Pre-Shared Key) или WPA-Personal.

Режим WPA-Enterprise используется в корпоративных сетях, по­скольку требует наличия RADIUS-cepeepa. По этой причине он не может использоваться в домашних условиях.

Для персонального использования предназначен режим WPA-PSK. Он предусматривает применение заранее заданных ключей шифрования (пароль доступа), одинаковых для всех сетевых устройств, а первичная аутентификация пользователей осуществляется с использованием дан­ного ключа.

Для настройки WPA-шифрования в окне настройки точки доступа или маршрутизатора необходимо выбрать тип аутентификации WPA-PSK и установить тип шифрования (WPA Encryption) TKIP или AES. Затем задается ключ шифрования (WPA-PSK Passphrase). В качестве ключа может быть любое слово. Этот ключ, как и ключ в случае WEP-шифрования, задается на всех устройствах.

В качестве алгоритмов шифрования при использовании стандарта WPA можно выбрать TKIP или AES.

Существует также алгоритм WPA2 (следующая версия протокола WPA). Если все устройства беспроводной сети поддерживают данный режим, то можно воспользоваться им. Настройки в данном случае осу­ществляются точно такие же, как и в случае WPA-шифрования.

Шифрование WPA-PSK по методу TKIP считается неприступной стеной для хакеров, но шифрование по методу AES (Advance Encryption Standard) представляет собой еще более мощный способ защиты, ранее используемый в сетях VPN. Эта технология поддерживается не всем современным сетевым оборудованием.

Рубрика: Безопасность в сети  | Комментирование отключено
Дополнительные меры
Вторник, Октябрь 26th, 2010 | Автор:

Многие руководства по настройке безопасной работы в беспроводной сети рекомендуют по возможности ограничивать ее дальность действия. Для этого достаточно проверить работу устройств в различных точках помещения. Если за пределами квартиры или офиса сигнал слишком мал для подключения, то это будет являться еще одним способом за­щиты. В качестве примера рассмотрим настройку параметра Transmit Power (мощность передачи) для маршрутизатора D-Link DI-524UP. Для этого необходимо открыть окно Advanced – Performance.

Здесь же можно увидеть переключатель режима вещания иден­тификатора сети (SSID) SSID Broadcast: Enable (включено) или Disable (выключено).

Если точка доступа или маршрутизатор позволяет настраивать дан­ное устройство по проводному подключению при отключенной беспро­водной настройке, то целесообразно применить этот метод. Настройка точки доступа через Wi-Fi отключается для того, чтобы хакер не мог подключиться к ней, даже зная пароль администратора.

При подключении по беспроводной сети к Интернету с помощью маршрутизатора можно использовать его встроенные средства защи­ты. Обычно маршрутизаторы имеют встроенный брандмауэр (firewall). Настройка его параметров не очень сложна, и не следует пренебрегать такой возможностью, так как в этом случае от угроз проникновения ха­керов из Интернета может быть защищена целиком вся сеть.

Дополнительная настройка родительского контроля (Advanced – Control) может быть использована для блокировки доступа к некоторым сайтам или, наоборот, для разрешения доступа только к определенным сайтам в Интернете.

Рубрика: Безопасность в сети  | Комментирование отключено
Защита компьютера
Вторник, Октябрь 26th, 2010 | Автор:

Если все компьютеры пользователей настроены для подключения к точ­ке доступа, то на них можно запретить соединение по типу Ad-hoc. Что­бы выполнить такую настройку, достаточно в настройках сетевых карт выбрать тип сети «Инфраструктура». В этом случае к компьютерам будет невозможно подключиться, минуя настройки безопасности точки доступа.

Все перечисленные ранее меры безопасности относятся к беспро­водным сетям. Однако нельзя забывать и об обычных мерах предосто­рожности. На компьютерах нужно установить и постоянно обновлять платные или бесплатные антивирусные программы, а также должны быть включены встроенные в операционные системы брандмауэры. Многие разработчики программ­ных средств предлагают комплексные решения, содержащие антиви­русную программу и брандмауэр. Обычно в названиях таких продуктов присутствуют слова «Internet Security». Подобные программные средства также пользуются большой популярностью.

Рубрика: Безопасность в сети  | Комментирование отключено