Важно знать. Как защитить свой Wi-Fi

Александр Хазов avatar | 46
FavoriteLoading В закладки
Важно знать. Как защитить свой Wi-Fi

Как показывает практика, большинство пользователей забывают или пренебрегают защитой своей домашней сети сразу после установки пароля на Wi-Fi.

Защита беспроводной сети – не самая простая, но очень важная задача.

Получив доступ к вашей сети, злоумышленник может безнаказанно размещать нелегальный контент или занять ваш канал и значительно снизить скорость соединения, за которое вы, кстати, платите. Он также может получить доступ не только к вашему компьютеру, но и ко всем устройствам в вашей сети.

Вместо того, чтобы испытывать судьбу – давайте пройдёмся по простым и очевидным мероприятиям, которыми пользователи частенько пренебрегают.

IMG_4544

Скрываем SSID

Имя сети или SSID (Service Set Identifier), которое мы видим, сканируя пространство вокруг, в поисках Wi-Fi. Зная это имя сети можно подключиться к той или иной Wi-Fi сети. По умолчанию роутеры и точки доступа показывают SSID вашей сети всем желающим. Однако, его можно отключить в разделе “настройки беспроводных сетей” (Wireless Settings) вашего роутера или точки доступа. В данном разделе есть опция “включить SSID” (Enable SSID) или “отключить SSID” (Disable SSID). Устанавливаем или убираем галочку, в зависимости от названия опции в соответствующей настройке роутера.

Включаем шифрование

Следующий момент – шифрование канала. Эта опция так же находится в разделе “настройки беспроводных сетей” (Wireless Settings) и называется “тип шифрования” (Encryption settings). Раскрываем выпадающий список и видим штук 5 вариантов на выбор (в зависимости от модели роутера). Чем отличаются одни типы шифрования от других?

WEP (WIRED EQUIVALENT PRIVACY).
Вышел еще в конце 90-х и является одним из самых слабых типов шифрования. Во многих современных роутерах этот тип шифрования вовсе исключен из списка возможных вариантов шифрования. Основная проблема WEP — заключается в ошибке при его проектировании. WEP фактически передаёт несколько байт ключа шифрования (пароля) вместе с каждым пакетом данных. Таким образом, вне зависимости от сложности пароля можно взломать любую точку доступа зашифрованную при помощи WEP, перехватив достаточное для взлома пароля число пакетов.

WPS/QSS
WPS, он же QSS — позволяет забыть о пароле и подключаться к сети простым нажатием на кнопку на роутере. WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр. Но не всё так радужно. За счет использования только цифр, криптостойкость WPS намного ниже чем у WEP и получить доступ к вашей сети не составит особого труда.

WPA и WPA2 (WI-FI PROTECTED ACCESS)
Одни из самых современных на данный момент типов шифрования и новых пока не придумали. WPA/WPA2 поддерживают два разных режима начальной аутентификации (проверка пароля для доступа клиента к сети) — PSK и Enterprise.

WPA PSK или WPA Personal – это самый распространённый вариант шифрования для домашних Wi-Fi сетей. Подключение к сети осуществляется по единому паролю, который вводится на устройстве при подключении.

WPA Enterprise отличается от WPA Personal тем, что для его использования необходим отдельный сервер — RADIUS (Remote Authentication Dial In User Service). По сути RADIUS сервер – это служба удалённой аутентификации пользователей, которая проверяет учетные данные пользователя для аутентификации.

Настраиваем фильтр MAC адресов

Самый радикальный способ обезопасить вашу домашнюю Wi-Fi сеть – это настроить фильтрацию устройств по MAC-адресу. MAC-адрес – это уникальный идентификатор вашего устройства в сети. По нему можно отфильтровать устройства, которым разрешён доступ в вашу сеть или наоборот.

Идем в раздел настроек роутера, который называется “фильтрация MAC-адресов” (MAC Filtering). В нём добавляем МАС-адреса, которые могут авторизоваться в вашей сети. МАС-адрес вашего устройства можно посмотреть либо в свойствах беспроводного соединения, в разделе “дополнительно”, если это компьютер, либо в настройках смартфона или планшета , в разделе “Об устройстве”. МАС-адрес состоит из 6 блоков по 2 цифры в шестнадцатеричной системе счисления, разделённых дефисами. Например: A0-23-1D-14-8C-C9.

Включаем гостевой доступ

Ограничив доступ к сети по MAC-адресу, вы значительно повысите уровень безопасности вашей сети. А как же друзья и знакомые, которые захотят выйти в Интернет через ваше подключение, со своих смартфонов или планшетов? Добавлять MAC-адрес каждого устройства явно дольше, чем просто дать пароль от Wi-Fi. На такой случай в большинстве современных роутеров предусмотрен гостевой доступ. Гостевой доступ подразумевает, что роутер создает отдельную сеть с собственным паролем, никак не связанную с вашей домашней. Включить гостевой доступ (при его наличии) можно в разделе “настройки домашней сети” (Home Network) или в “настройки беспроводной сети” (Wireless Network).

Отключаем удаленное администрирование

Некоторые беспроводные маршрутизаторы оснащены функцией удаленного администрирования, через интернет. У большинства пользователей нет необходимости в этой функции, а оставив её включённой вы создаете дополнительную точку входа, которым может воспользоваться злоумышленники, чтобы получить доступ к вашей Wi-Fi сети. Так же стоит отключить возможность настройки роутера через Wi-Fi. Изменения в настройки роутера после его первичной настройки вносятся очень редко, поэтому не стоит оставлять еще одну “дыру” в безопасности. Данную функцию стоит поискать в разделе безопасность (network security).

Описанные выше меры по повышению безопасности вашей Wi-Fi сети не могут гарантировать абсолютную защиту вашей сети. Не стоит пренебрегать профилактикой и изредка просматривать список подключенных устройств к вашей сети. В интерфейсе управления роутером можно найти информацию о том, какие устройства подключались или подключены к вашей сети.

wifi zone

Wi-Fi мы используем не только дома или на работе. Не стоит забывать об опасности использования публичных Wi-Fi сетей в кафе, торговых комплексах, аэропортах и других общественных местах. Все мы любим халявный бесплатный Wi-Fi, посидеть в социальных сетях, проверить почту за чашечкой кофе или просто полазить по любимым сайтам, ожидая посадки на рейс в аэропорту. Места с бесплатным Wi-Fi привлекают кибермошенников, так как через них проходят огромные объемы информации, а воспользоваться инструментами взлома может каждый.

Наиболее распространёнными вариантами атак и угрозами в публичных Wi-Fi сетях можно назвать:

Sniffing – перехват данных в wi-fi сети. Перехватывая пакеты на пути от вашего устройства к роутеру злоумышленник может перехватить абсолютно любую информацию, в том числе логины и пароли от сайтов.

Sidejacking – вклинивание в канал связи между вашим устройством и роутером. На многих сайтах безопасные протоколы (https://) используются только на странице с авторизацией, после которой связь устанавливается через небезопасное соединение (http://). После процесса авторизации устройство пользователя получает идентификатор сеанса, сгенерированный случайным образом. Перехватив этот идентификатор, злоумышленник получает полный доступ к аккаунту без необходимости перехвата логина и пароля.

Ewil twin – сеть созданная злоумышленником, который находится неподалёку от вас. Создав такую сеть ему остаётся лишь дождаться, пока кто-нибудь к ней подключится. Соответственно вся информация о всех ваших действиях будет проходить через ноутбук злоумышленника.

Что мы можем посоветовать, если вы всё-таки решили поработать из кофейни или аэропорта? Рекомендации опять же общеизвестны, но мало кем соблюдаются.

  • Отключите автоматическое подключение устройства к Wi-Fi-точкам. Осуществляйте выбор Wi-Fi-сети вручную.
  • Посмотрите все доступные Wi-Fi сети, которые предлагают услуги Wi-Fi, чтобы выбрать того, кто использует надежные параметры настроек безопасности.
  • Избегаем подключения к точкам доступа с подозрительными именами (например, FreeInternet, FreeWiFi, Dan’s_Point) и отключённым шифрованием.
  • Выбирайте точки доступа с включенным WPA/WPA2-шифрованием (пароль всегда можно узнать у владельца общественной точки доступа).
  • Не осуществляйте финансовые операции, покупки в интернет-магазинах, проверку рабочей и личной электронной почты, находясь в общественной Wi-Fi-сети. Выбирайте для этого более защищённую сеть, а по возможности “расшарьте” свою Wi-Fi сеть с телефона.
  • Старайтесь не использовать общественные Wi-Fi-сети для передачи конфиденциальной информации.
  • Будьте внимательны к окружающим людям. Убедитесь, что никто не подглядывает за вами, когда вы вводите логины, пароли и другую конфиденциальную информацию.
  • Выключайте адаптер Wi-Fi если не требуется подключения к сети (это сэкономит заряд батареи).

Помните! Злоумышленники для взлома используют человеческий фактор, и только потом прибегают к сложным техническим манипуляциим. Будьте бдительны и не забывайте элементарные меры по защите ваших устройств и данных.

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (5 голосов, общий рейтинг: 4.40 из 5)
undefined
iPhones.ru
Как показывает практика, большинство пользователей забывают или пренебрегают защитой своей домашней сети сразу после установки пароля на Wi-Fi. Защита беспроводной сети – не самая простая, но очень важная задача. Получив доступ к вашей сети, злоумышленник может безнаказанно размещать нелегальный контент или занять ваш канал и значительно снизить скорость соединения, за которое вы, кстати, платите. Он...
Прокомментировать

🙈 Комментарии 46

  1. Eps1971 avatar
    Eps197125 июня 2015
    2

    Статья не о чем, очередная писулька с простора инета, где можно узнать о минимальной защите.

  2. AZ avatar
    AZ25 июня 2015
    3

    Даёшь: https://iphones.ru !!!

    Безопасно и без WWW!

  3. vozz avatar
    vozz25 июня 2015
    0

    У меня фильтрация по МАк адресам , без всяких паролей .

    Frez avatar
    Frez16 августа 2015
    0

    @vozz, это будто и нет защиты. Ломается легко, т.к. ваш мак передается в каждом пакете, а пакеты не зашифрованы. Поэтому злоумышленник после перехвата вашего трафика может просто присвоить себе ваш МАК и войти в вашу сеть, когда вас в ней не будет.

  4. rasweb avatar
    rasweb25 июня 2015
    5

    Очередная (к сожалению) бессмысленная статья от писаки, далекого от темы. Предлагаю владельцам ресурса денег ему не платить вообще – не заслужил.

    1. Скрытие SSID не дает ничего (!), кроме определенного неудобства для пользователей. Все программы для взлома видят скрытые сетки.

    2. Шифрование стоит включать только WPA2. Остальные взламываются за минуты/часы.

    3. Гостевой доступ при включенном ограничении по MAC будет также ограничивать по MAC, как и в основной сети. Гостевой отличается от основного только доступностью внутренних ресурсов – гостям не доступны устройства основной сети.

    При этом есть вполне известные способы выявления MAC адреса “разрешенного” устройства с последующим копированием этого MAC в “пиратское” (с получением доступа).

  5. gibsn avatar
    gibsn25 июня 2015
    2

    Стоит добавить, что шифрование серьезно понижает скорость в отличие от варианта с фильтрацией MAC-адресов

    rasweb avatar
    rasweb25 июня 2015
    0

    @gibsn, на очень древних устройствах? На современных – такого не замечено.

    flowrun avatar
    flowrun25 июня 2015
    0

    @gibsn, откуда вы взяли про понижение скорости при шифровании? По MAC можно фильтровать только в дополнение к шифрованию, иначе информацию все еще можно перехватывать.

    gibsn avatar
    gibsn25 июня 2015
    1

    @flowrun, @Varian, я не могу качественно объяснить из-за чего это происходит, поскольку лишь передаю информацию, полученную из нескольких различных источников ранее (в т.ч. из тех. поддержки моего интернет-провайдера). Могу ошибаться

    AppleStyle avatar
    AppleStyle25 июня 2015
    1

    @gibsn, объяснение простое. В каналах с шифрованием передаётся большой объем дополнительной информации.
    Т.о. реальная скорость канала та же, а полезная ниже.

    Arsunt avatar
    Arsunt26 июня 2015
    0

    @AppleStyle, не совсем. В большинстве случаев, проблема касается дешевых роутеров, оборудованных медленными процессорами, которым “тяжело” быстро шифровать данные, тем самым они провисают и режут скорость. Не такой уж большой объем дополнительной информации передается в каналах с шифрованием. И разумеется, речь о чистом WPA2-AES, поскольку WPA2-TKIP давно не актуален, и часто причина тормозов кроется во включенном TKIP или AES+TKIP.

    Pavel Loskutov avatar
    Pavel Loskutov26 июня 2015
    0

    @Arsunt, всё зависит от процессоров установленных в железке.
    На шифрование WiFi уже давно все рассчитаны.
    На шифрование аплинка все по разному до сих пор.

    Я сам оператор связи канального уровня – у меня железки гигабитами ворочают.
    Не снижают производительности при шифровании только железки которые называются FireWall … все остальные почти в 2 раза падает производительность за счет загрузки процессора (увеличение служебного трафика относительно не велико)

    migmit avatar
    migmit25 июня 2015
    0

    @gibsn, чушь собачья.

    Varian avatar
    Varian25 июня 2015
    0

    @gibsn, я правильно вас понял?
    Если есть пароль то скорость ниже?

    peper- avatar
    peper-26 июня 2015
    1

    @gibsn, фильтрация по мак-адресам не является защитой – перехват вашего мак-адреса и подмена его на своем устройстве – плевое дело. Только шифрование WPA2. Для любого современного Wi-Fi устройства это не проблема. Хорошая точка доступа держит по 50-100 устройств. Уж с 3-5 и средняя как-нибудь спроавится. Падение скорости в этом случае уж точно будет меньше, чем если на вашем канале будет еще половина соседских детей-кулхацкеров сидеть. ;)

  6. lurker avatar
    lurker25 июня 2015
    6

    В сокрытии SSID и фильтрации по MAC нет ни малейшего смысла – и то, и другое элементарно обходится, достаточно взять kali linux и загрузиться с флешки. А вот включение WPA2 и отключение WPS – это обязательные действия.

    vozz avatar
    vozz25 июня 2015
    0

    @lurker,
    Куча танцев с бубном , если захотят взломать то wpa2 взломают .

    migmit avatar
    migmit25 июня 2015
    0

    @lurker, что именно загружать с флэшки?

    evil.box avatar
    evil.box25 июня 2015
    1

    @lurker, добавлю что wps сейчас тоже можно не отключать, большинство новых прошивок в роутере имеют защиту от подбора и после 4-5 неправильных пинкодов wps блокируется на 1-10 минут или вообще пока пользователь физическую кнопку не нажмет, с такой защитой подбор может занять месяцы. Вывод: регулярно Обновлять ПО на роутере и жить можно спокойно ;)

  7. mark2b avatar
    mark2b25 июня 2015
    1

    статья для параноиков.
    Подходит когда ты единственный домочадец у себя дома.
    Упоминания об элементарных вешах типа пароль с WPA – это как руки мыть перед едой, все и так знают.

  8. migmit avatar
    migmit25 июня 2015
    0

    > Получив доступ к вашей сети, злоумышленник может безнаказанно размещать нелегальный контент

    Бред. Во-первых, куда он его положит? Недостаточно быть в одной сети с другим компьютером, чтобы положить на него что-нибудь. Во-вторых, что он с ним будет делать? Чтобы куда-то его раздавать, нужен сервер, торчащий в интернет; а большинство роутеров по умолчанию не открывают порты.

    > Скрываем SSID

    И говорим “до свидания” автоматическому подключению телефона/планшета/ноутбука к домашней сети. Нет, спасибо.

    > На такой случай в большинстве современных роутеров предусмотрен гостевой доступ. Гостевой доступ подразумевает, что роутер создает отдельную сеть с собственным паролем, никак не связанную с вашей домашней.

    Ни разу не видел — но если это и есть, то чем такой вариант лучше, чем отсутствие MAC-фильтрации совсем? Точно так же можно подключиться к гостевой сети и забить весь канал.

    > Перехватывая пакеты на пути от вашего устройства к роутеру злоумышленник может перехватить абсолютно любую информацию, в том числе логины и пароли от сайтов.

    Фиг ему по всей морде. Если сайт принимает логин и пароль, то там практически наверняка https, а он шифрованный. Если же сайт хоть что-то запароливает, но при этом передаёт пароль через голый http, то… не надо пользоваться таким сайтом, вообще, вне зависимости от того, из дома или из кафе.

    > сеть созданная злоумышленником, который находится неподалёку от вас. Создав такую сеть ему остаётся лишь дождаться, пока кто-нибудь к ней подключится. Соответственно вся информация о всех ваших действиях будет проходить через ноутбук злоумышленника.

    О, халявный инет!

    Серьёзно, это ничем не оправданная паранойя. Да, в принципе, мне могут подменить страничку с расписанием и я опоздаю на рейс. Но мои данные пострадать не могут.

    > Избегаем подключения к точкам доступа с подозрительными именами (например, FreeInternet, FreeWiFi, Dan’s_Point) и отключённым шифрованием.

    Подключаемся только к точкам с крутыми именами типа Cy||eP}{aKeR и включённым шифрованием (пароль 123).

    > Выключайте адаптер Wi-Fi если не требуется подключения к сети (это сэкономит заряд батареи).

    И снижает точность GPS.

    310 avatar
    31026 июня 2015
    1

    @migmit,
    > Скрываем SSID

    И говорим “до свидания” автоматическому подключению телефона/планшета/ноутбука к домашней сети. Нет, спасибо.

    че за бред? у меня дома скрыт SSID, на работе нет, имя сети, пароли одинаковые и нормально все само подключается и тут и там

    peper- avatar
    peper-26 июня 2015
    0

    @migmit, у вас к самого ошибок больше, чем у автора, которого вы комментируете.

  9. Smolny avatar
    Smolny25 июня 2015
    0

    @Кот Стива Джобса, кто это?

  10. sergxmr avatar
    sergxmr25 июня 2015
    1

    Для чайников статья норм. Хоть азы какие. Только про скрытие ssid и привязку mac можно не писать, это фигня.
    А то люди поверят. Вообще безопасность это отключение wifi, а то перемещаясь по городу и цепляясь к хрен знает к
    Каким точкам можно всех паролей лишиться.

    migmit avatar
    migmit26 июня 2015
    0

    @sergxmr, по умолчанию к “хрен знает каким точкам” никто не цепляется. Можно настроить айфон так, чтобы он и к знакомым точкам не цеплялся (правда, опять прощай автоматическое подключение к домашней сети).
    И никуда ваши пароли не денутся.

    sergxmr avatar
    sergxmr26 июня 2015
    0

    @migmit, хм. А если “хрен знает какая точка” называется так же к которой подключение разрешено на вашем телефоне?

    EvGeniyLell avatar
    EvGeniyLell26 июня 2015
    0

    @sergxmr, название не имеет значения, у точки доступа есть ид-идентификатор, по этому ид и происходит идентификация тд с уже знакомой устройству.

    peper- avatar
    peper-26 июня 2015
    0

    @migmit, хватит уже писать о том, в чем вы не разбираетесь. Сокрытие SSID и отключение автоподключения к неизвестным сетям никак не мешает автоматически подключаться к известной вашему айфону скрытой домашней сети.

  11. raveforever avatar
    raveforever26 июня 2015
    0

    Sidejacking обычно называется MiTM, термин избыточен. Не забывайте раз в 3 месяца менять пароль (PSK) для доступа в вашу сеть.

  12. Andrey34 avatar
    Andrey3426 июня 2015
    2

    Держу гостевую сетку открытой, бояться нечего, иначе получается что когда меня нет дома или я сплю, сеть простаивает

    friend avatar
    friend26 июня 2015
    2

    @Andrey34, красавчик -)

  13. t-n avatar
    t-n26 июня 2015
    0

    @lurker, а какой роутер самый хороший?

    t-n avatar
    t-n26 июня 2015
    0

    @lurker, Спасибо за инфо

    fixa_fixa_fixa avatar
    fixa_fixa_fixa26 июня 2015
    0

    @lurker, 68 мой.

    peper- avatar
    peper-26 июня 2015
    2

    @t-n, mikrotik наиболее функционален. Но требует курить мануалы (а без этого его мощь не имеет смысла). Так что, если у вас встает такой вопрос, то ASUS или Zyxel. Попадаются неплохие tp-link. Не рекомендую: D-Link (слабая поддержка ПО), Netgear (дорогие, но ограничены по функционалу).

    GoSo avatar
    GoSo26 июня 2015
    0

    @peper-, микротик уже давно упростил настройки до уровня домохозяйки.. Так что никаких мануалов для старта не нужно ;)

    Skrat avatar
    Skrat26 июня 2015
    0

    @GoSo, для старта да, базовая настройка микротика проста, но шаг влево/вправо моментально парализует неподготовленного пользователя.
    А так да, шикарная штука, поставил себе домой, забыл о проблемах

  14. SeaMonkey avatar
    SeaMonkey26 июня 2015
    0

    А почему в комментариях говорят, что фильтрация по mac бессмысленна? Насколько я знаю, чтобы ее обойти надо знать разрешенный MAC или что-то изменилось, когда я последний раз этим интересовался?

    sergxmr avatar
    sergxmr26 июня 2015
    0

    @SeaMonkey, да элементарно, например ставим свою открытую точку и собираем маки устройств клиентов которые туда подключаться. Еще вроде со сканирования эфира можно, но тут я не профи.

    SeaMonkey avatar
    SeaMonkey26 июня 2015
    0

    @sergxmr, Но абсолютно не обязательно, что из собранных mac адресов, вы сможете узнать mac, который разрешен на нужном Вам роуторе.

  15. andwhite avatar
    andwhite26 июня 2015
    0

    Напишите как безопасно и при этом полноценно пользоваться открытым wifi соединением, например я дома пользуюсь открытым wifi от доброго неизвестного соседа. Какими средствами можно повысить безопасность? кроме запретительных мер – не вводить важные пароли, данные платежных карт и т.д.

    peper- avatar
    peper-26 июня 2015
    2

    @andwhite, сосед может и неизвестный, но не факт, что добрый. ;)

  16. iamfine56 avatar
    iamfine5626 июня 2015
    1

    почему все так сложно?

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь