Анонимность и безопасность в Интернете. От «чайника» к пользователю
Шрифт:
8.4. Изменение IP-адреса маршрутизатора
IP-адрес маршрутизатора по умолчанию тоже легко вычислить, зная, хотя бы, производителя устройства. Поэтому не помешает изменить и IP-адрес маршрутизатора. Это можно сделать в разделе General Settings | LAN (рис. 8.6).
Внимание!
При назначении нового IP-адреса маршрутизатору будьте осторожны. Параметры Start IP и End IP задают диапазон арендуемых IP-адресов: из этого диапазона IP-адреса
Рис. 8.6. Установка IP-адреса маршрутизатора
8.5. Используйте WPA или WPA2
Протоколы WPA (Wi-Fi Protected Access), WPA2 и WEP (Wired Equivalent Privacy) обеспечивают защиту и шифрование данных, передаваемых беспроводным маршрутизатором и беспроводным клиентом. Предпочтительнее использовать WPA2, но если этот протокол устройством не поддерживается, следует использовать WPA. Шифрование WEP заметно хуже, чем WPA, но это лучше, чем вообще ничего. Хотя взломать защиту WEP можно с помощью ряда стандартных инструментов, что означает, что взлом WEP – весьма обычная процедура.
Примечание
По адресу http://www.thg.ru/network/20050806/index.html вы найдете пошаговую инструкцию взлома протокола WEP.
На смену WEP пришел протокол WPA. Для управления ключом и шифрования в WPA применяются несколько алгоритмов, в их числе TKIP (Temporal Key Integrity Protocol) и AES (Advanced Encryption Standard). Для использования WPA необходимо, чтобы все клиенты были совместимы с этим протоколом (не говоря уже о маршрутизаторе). Впрочем, все современные точки доступа поддерживают WPA.
При шифровании данных, которые передаются между маршрутизатором и беспроводным клиентом, протоколы WPA и WEP используют специальный ключ (пароль). Завладев ключом, злоумышленник сможет не только установить соединение с беспроводной точкой доступа, но и расшифровать данные, передающиеся между клиентами беспроводной сети.
Если используется протокол WEP, то ключ приходится вводить вручную. Это существенный недостаток, поскольку пользователи вводят ключ всего лишь раз, а затем им его менять лень. Протокол WPA периодически сам меняет ключ, причем делает он это автоматически. Даже если злоумышленник каким-нибудь образом узнает ключ, то он будет действовать только до момента изменения ключа беспроводным маршрутизатором. Во многих точках доступа ключи меняются один раз в час.
Параметры шифрования маршрутизатора Edimax устанавливаются в разделе General Setup | Wireless | Security Settings (рис. 8.7). Кроме шифрования по протоколу WPA2 маршрутизатор использует и WPA-аутентификацию – при подключении к сети пользователь должен ввести пароль, указанный параметром Pre-shared Key.
Рис. 8.7.
8.6. Фильтрация MAC-адресов
В качестве дополнительного барьера можно указать список MAC-адресов сетевых адаптеров компьютеров, которые смогут получить доступ к вашему маршрутизатору. Нужно отметить, что фильтрация MAC-адресов не обеспечивает надежной защиты. Опытный злоумышленник всегда сможет перехватить MAC-адреса и подменить свой адрес одним из разрешенных адресов. Зато фильтрация MAC-адресов эффективно срабатывает против дилетантов. Это как сигнализация в автомобиле – какая бы она ни была хорошая, опытный злоумышленник обойдет ее, а вот дилетанты и близко к машине не подойдут.
Примечание
Вы немного удивлены, что MAC-адрес можно перехватить и изменить? Перехват MAC-адресов сетевых адаптеров, работающих в беспроводной сети, возможен, если злоумышленник находится в радиусе действия сети. Поскольку пакеты передаются "по воздуху", перехватить их с помощью специальной программы (например, NetStumbler) – вообще не проблема. Что же касается изменения MAC-адреса, то это – довольно-таки тривиальная задача для квалифицированного пользователя, причем в любой операционной системе. Как изменять MAC-адрес, показывать я не буду, – книга посвящена защите, а не взлому беспроводной сети.
Рис. 8.8. Фильтрация по MAC-адресам
Добавить MAC-адреса в список разрешенных можно в разделе General Setup | Wireless | MAC Address Filtering (рис. 8.8). Как видите, пока не добавлено ни одного MAC-адреса. Для добавления адреса установите флажок Enable Wireless Access Control, затем введите MAC-адрес и нажмите кнопку Add. Добавив нужное количество адресов (всего их можно добавить 20), нажмите кнопку Apply, чтобы изменения вступили в силу.
8.7. Понижение мощности передачи
Некоторые маршрутизаторы дают возможность понизить мощность передачи, что позволяет снизить число как преднамеренных, так и случайных несанкционированных подключений к сети. Понизив мощность передачи, можно добиться того, что точка доступа будет доступна только в пределах вашей квартиры. Вообще-то, использование мощной направленной антенны, позволяющей обнаружить даже самый слабый сигнал, сведет на нет все ваши старания, но, во всяком случае, от случайных подключений к своей сети вы себя оградите.
После понижения мощности передачи запустите на компьютере программу мониторинга уровня сигнала (подойдет NetStumbler, http://www.netstumbler.com/) и исследуйте этот уровень в различных зонах вашего помещения. Если у граничных стен сигнал слабый, можно его еще понизить так, чтобы у границ вашей территории сигнала вообще не было. Однако после этого следует произвести повторное исследование уровня сигнала, чтобы убедиться, что беспроводная сеть есть там, где она должна быть.