Как показывает практика, большинство пользователей забывают или пренебрегают защитой своей домашней сети сразу после установки пароля на Wi-Fi.
Защита беспроводной сети – не самая простая, но очень важная задача.
Получив доступ к вашей сети, злоумышленник может безнаказанно размещать нелегальный контент или занять ваш канал и значительно снизить скорость соединения, за которое вы, кстати, платите. Он также может получить доступ не только к вашему компьютеру, но и ко всем устройствам в вашей сети.
Вместо того, чтобы испытывать судьбу – давайте пройдёмся по простым и очевидным мероприятиям, которыми пользователи частенько пренебрегают.
Скрываем SSID
Имя сети или SSID (Service Set Identifier), которое мы видим, сканируя пространство вокруг, в поисках Wi-Fi. Зная это имя сети можно подключиться к той или иной Wi-Fi сети. По умолчанию роутеры и точки доступа показывают SSID вашей сети всем желающим. Однако, его можно отключить в разделе “настройки беспроводных сетей” (Wireless Settings) вашего роутера или точки доступа. В данном разделе есть опция “включить SSID” (Enable SSID) или “отключить SSID” (Disable SSID). Устанавливаем или убираем галочку, в зависимости от названия опции в соответствующей настройке роутера.
Включаем шифрование
Следующий момент – шифрование канала. Эта опция так же находится в разделе “настройки беспроводных сетей” (Wireless Settings) и называется “тип шифрования” (Encryption settings). Раскрываем выпадающий список и видим штук 5 вариантов на выбор (в зависимости от модели роутера). Чем отличаются одни типы шифрования от других?
WEP (WIRED EQUIVALENT PRIVACY).
Вышел еще в конце 90-х и является одним из самых слабых типов шифрования. Во многих современных роутерах этот тип шифрования вовсе исключен из списка возможных вариантов шифрования. Основная проблема WEP — заключается в ошибке при его проектировании. WEP фактически передаёт несколько байт ключа шифрования (пароля) вместе с каждым пакетом данных. Таким образом, вне зависимости от сложности пароля можно взломать любую точку доступа зашифрованную при помощи WEP, перехватив достаточное для взлома пароля число пакетов.
WPS/QSS
WPS, он же QSS — позволяет забыть о пароле и подключаться к сети простым нажатием на кнопку на роутере. WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр. Но не всё так радужно. За счет использования только цифр, криптостойкость WPS намного ниже чем у WEP и получить доступ к вашей сети не составит особого труда.
WPA и WPA2 (WI-FI PROTECTED ACCESS)
Одни из самых современных на данный момент типов шифрования и новых пока не придумали. WPA/WPA2 поддерживают два разных режима начальной аутентификации (проверка пароля для доступа клиента к сети) — PSK и Enterprise.
WPA PSK или WPA Personal – это самый распространённый вариант шифрования для домашних Wi-Fi сетей. Подключение к сети осуществляется по единому паролю, который вводится на устройстве при подключении.
WPA Enterprise отличается от WPA Personal тем, что для его использования необходим отдельный сервер — RADIUS (Remote Authentication Dial In User Service). По сути RADIUS сервер – это служба удалённой аутентификации пользователей, которая проверяет учетные данные пользователя для аутентификации.
Настраиваем фильтр MAC адресов
Самый радикальный способ обезопасить вашу домашнюю Wi-Fi сеть – это настроить фильтрацию устройств по MAC-адресу. MAC-адрес – это уникальный идентификатор вашего устройства в сети. По нему можно отфильтровать устройства, которым разрешён доступ в вашу сеть или наоборот.
Идем в раздел настроек роутера, который называется “фильтрация MAC-адресов” (MAC Filtering). В нём добавляем МАС-адреса, которые могут авторизоваться в вашей сети. МАС-адрес вашего устройства можно посмотреть либо в свойствах беспроводного соединения, в разделе “дополнительно”, если это компьютер, либо в настройках смартфона или планшета , в разделе “Об устройстве”. МАС-адрес состоит из 6 блоков по 2 цифры в шестнадцатеричной системе счисления, разделённых дефисами. Например: A0-23-1D-14-8C-C9
.
Включаем гостевой доступ
Ограничив доступ к сети по MAC-адресу, вы значительно повысите уровень безопасности вашей сети. А как же друзья и знакомые, которые захотят выйти в Интернет через ваше подключение, со своих смартфонов или планшетов? Добавлять MAC-адрес каждого устройства явно дольше, чем просто дать пароль от Wi-Fi. На такой случай в большинстве современных роутеров предусмотрен гостевой доступ. Гостевой доступ подразумевает, что роутер создает отдельную сеть с собственным паролем, никак не связанную с вашей домашней. Включить гостевой доступ (при его наличии) можно в разделе “настройки домашней сети” (Home Network) или в “настройки беспроводной сети” (Wireless Network).
Отключаем удаленное администрирование
Некоторые беспроводные маршрутизаторы оснащены функцией удаленного администрирования, через интернет. У большинства пользователей нет необходимости в этой функции, а оставив её включённой вы создаете дополнительную точку входа, которым может воспользоваться злоумышленники, чтобы получить доступ к вашей Wi-Fi сети. Так же стоит отключить возможность настройки роутера через Wi-Fi. Изменения в настройки роутера после его первичной настройки вносятся очень редко, поэтому не стоит оставлять еще одну “дыру” в безопасности. Данную функцию стоит поискать в разделе безопасность (network security).
Описанные выше меры по повышению безопасности вашей Wi-Fi сети не могут гарантировать абсолютную защиту вашей сети. Не стоит пренебрегать профилактикой и изредка просматривать список подключенных устройств к вашей сети. В интерфейсе управления роутером можно найти информацию о том, какие устройства подключались или подключены к вашей сети.
Wi-Fi мы используем не только дома или на работе. Не стоит забывать об опасности использования публичных Wi-Fi сетей в кафе, торговых комплексах, аэропортах и других общественных местах. Все мы любим халявный бесплатный Wi-Fi, посидеть в социальных сетях, проверить почту за чашечкой кофе или просто полазить по любимым сайтам, ожидая посадки на рейс в аэропорту. Места с бесплатным Wi-Fi привлекают кибермошенников, так как через них проходят огромные объемы информации, а воспользоваться инструментами взлома может каждый.
Наиболее распространёнными вариантами атак и угрозами в публичных Wi-Fi сетях можно назвать:
Sniffing – перехват данных в wi-fi сети. Перехватывая пакеты на пути от вашего устройства к роутеру злоумышленник может перехватить абсолютно любую информацию, в том числе логины и пароли от сайтов.
Sidejacking – вклинивание в канал связи между вашим устройством и роутером. На многих сайтах безопасные протоколы (https://) используются только на странице с авторизацией, после которой связь устанавливается через небезопасное соединение (http://). После процесса авторизации устройство пользователя получает идентификатор сеанса, сгенерированный случайным образом. Перехватив этот идентификатор, злоумышленник получает полный доступ к аккаунту без необходимости перехвата логина и пароля.
Ewil twin – сеть созданная злоумышленником, который находится неподалёку от вас. Создав такую сеть ему остаётся лишь дождаться, пока кто-нибудь к ней подключится. Соответственно вся информация о всех ваших действиях будет проходить через ноутбук злоумышленника.
Что мы можем посоветовать, если вы всё-таки решили поработать из кофейни или аэропорта? Рекомендации опять же общеизвестны, но мало кем соблюдаются.
- Отключите автоматическое подключение устройства к Wi-Fi-точкам. Осуществляйте выбор Wi-Fi-сети вручную.
- Посмотрите все доступные Wi-Fi сети, которые предлагают услуги Wi-Fi, чтобы выбрать того, кто использует надежные параметры настроек безопасности.
- Избегаем подключения к точкам доступа с подозрительными именами (например, FreeInternet, FreeWiFi, Dan’s_Point) и отключённым шифрованием.
- Выбирайте точки доступа с включенным WPA/WPA2-шифрованием (пароль всегда можно узнать у владельца общественной точки доступа).
- Не осуществляйте финансовые операции, покупки в интернет-магазинах, проверку рабочей и личной электронной почты, находясь в общественной Wi-Fi-сети. Выбирайте для этого более защищённую сеть, а по возможности “расшарьте” свою Wi-Fi сеть с телефона.
- Старайтесь не использовать общественные Wi-Fi-сети для передачи конфиденциальной информации.
- Будьте внимательны к окружающим людям. Убедитесь, что никто не подглядывает за вами, когда вы вводите логины, пароли и другую конфиденциальную информацию.
- Выключайте адаптер Wi-Fi если не требуется подключения к сети (это сэкономит заряд батареи).
Помните! Злоумышленники для взлома используют человеческий фактор, и только потом прибегают к сложным техническим манипуляциим. Будьте бдительны и не забывайте элементарные меры по защите ваших устройств и данных.
46 комментариев
Форум →Статья не о чем, очередная писулька с простора инета, где можно узнать о минимальной защите.
Даёшь: https://iphones.ru !!!
Безопасно и без WWW!
У меня фильтрация по МАк адресам , без всяких паролей .
@vozz, это будто и нет защиты. Ломается легко, т.к. ваш мак передается в каждом пакете, а пакеты не зашифрованы. Поэтому злоумышленник после перехвата вашего трафика может просто присвоить себе ваш МАК и войти в вашу сеть, когда вас в ней не будет.
Очередная (к сожалению) бессмысленная статья от писаки, далекого от темы. Предлагаю владельцам ресурса денег ему не платить вообще – не заслужил.
1. Скрытие SSID не дает ничего (!), кроме определенного неудобства для пользователей. Все программы для взлома видят скрытые сетки.
2. Шифрование стоит включать только WPA2. Остальные взламываются за минуты/часы.
3. Гостевой доступ при включенном ограничении по MAC будет также ограничивать по MAC, как и в основной сети. Гостевой отличается от основного только доступностью внутренних ресурсов – гостям не доступны устройства основной сети.
При этом есть вполне известные способы выявления MAC адреса “разрешенного” устройства с последующим копированием этого MAC в “пиратское” (с получением доступа).
Стоит добавить, что шифрование серьезно понижает скорость в отличие от варианта с фильтрацией MAC-адресов
@gibsn, на очень древних устройствах? На современных – такого не замечено.
@gibsn, откуда вы взяли про понижение скорости при шифровании? По MAC можно фильтровать только в дополнение к шифрованию, иначе информацию все еще можно перехватывать.
@flowrun, @Varian, я не могу качественно объяснить из-за чего это происходит, поскольку лишь передаю информацию, полученную из нескольких различных источников ранее (в т.ч. из тех. поддержки моего интернет-провайдера). Могу ошибаться
@gibsn, объяснение простое. В каналах с шифрованием передаётся большой объем дополнительной информации.
Т.о. реальная скорость канала та же, а полезная ниже.
@AppleStyle, не совсем. В большинстве случаев, проблема касается дешевых роутеров, оборудованных медленными процессорами, которым “тяжело” быстро шифровать данные, тем самым они провисают и режут скорость. Не такой уж большой объем дополнительной информации передается в каналах с шифрованием. И разумеется, речь о чистом WPA2-AES, поскольку WPA2-TKIP давно не актуален, и часто причина тормозов кроется во включенном TKIP или AES+TKIP.
@Arsunt, всё зависит от процессоров установленных в железке.
На шифрование WiFi уже давно все рассчитаны.
На шифрование аплинка все по разному до сих пор.
Я сам оператор связи канального уровня – у меня железки гигабитами ворочают.
Не снижают производительности при шифровании только железки которые называются FireWall … все остальные почти в 2 раза падает производительность за счет загрузки процессора (увеличение служебного трафика относительно не велико)
@gibsn, чушь собачья.
@gibsn, я правильно вас понял?
Если есть пароль то скорость ниже?
@gibsn, фильтрация по мак-адресам не является защитой – перехват вашего мак-адреса и подмена его на своем устройстве – плевое дело. Только шифрование WPA2. Для любого современного Wi-Fi устройства это не проблема. Хорошая точка доступа держит по 50-100 устройств. Уж с 3-5 и средняя как-нибудь спроавится. Падение скорости в этом случае уж точно будет меньше, чем если на вашем канале будет еще половина соседских детей-кулхацкеров сидеть. ;)
В сокрытии SSID и фильтрации по MAC нет ни малейшего смысла – и то, и другое элементарно обходится, достаточно взять kali linux и загрузиться с флешки. А вот включение WPA2 и отключение WPS – это обязательные действия.
@lurker,
Куча танцев с бубном , если захотят взломать то wpa2 взломают .
@lurker, что именно загружать с флэшки?
@lurker, добавлю что wps сейчас тоже можно не отключать, большинство новых прошивок в роутере имеют защиту от подбора и после 4-5 неправильных пинкодов wps блокируется на 1-10 минут или вообще пока пользователь физическую кнопку не нажмет, с такой защитой подбор может занять месяцы. Вывод: регулярно Обновлять ПО на роутере и жить можно спокойно ;)
статья для параноиков.
Подходит когда ты единственный домочадец у себя дома.
Упоминания об элементарных вешах типа пароль с WPA – это как руки мыть перед едой, все и так знают.
> Получив доступ к вашей сети, злоумышленник может безнаказанно размещать нелегальный контент
Бред. Во-первых, куда он его положит? Недостаточно быть в одной сети с другим компьютером, чтобы положить на него что-нибудь. Во-вторых, что он с ним будет делать? Чтобы куда-то его раздавать, нужен сервер, торчащий в интернет; а большинство роутеров по умолчанию не открывают порты.
> Скрываем SSID
И говорим “до свидания” автоматическому подключению телефона/планшета/ноутбука к домашней сети. Нет, спасибо.
> На такой случай в большинстве современных роутеров предусмотрен гостевой доступ. Гостевой доступ подразумевает, что роутер создает отдельную сеть с собственным паролем, никак не связанную с вашей домашней.
Ни разу не видел — но если это и есть, то чем такой вариант лучше, чем отсутствие MAC-фильтрации совсем? Точно так же можно подключиться к гостевой сети и забить весь канал.
> Перехватывая пакеты на пути от вашего устройства к роутеру злоумышленник может перехватить абсолютно любую информацию, в том числе логины и пароли от сайтов.
Фиг ему по всей морде. Если сайт принимает логин и пароль, то там практически наверняка https, а он шифрованный. Если же сайт хоть что-то запароливает, но при этом передаёт пароль через голый http, то… не надо пользоваться таким сайтом, вообще, вне зависимости от того, из дома или из кафе.
> сеть созданная злоумышленником, который находится неподалёку от вас. Создав такую сеть ему остаётся лишь дождаться, пока кто-нибудь к ней подключится. Соответственно вся информация о всех ваших действиях будет проходить через ноутбук злоумышленника.
О, халявный инет!
Серьёзно, это ничем не оправданная паранойя. Да, в принципе, мне могут подменить страничку с расписанием и я опоздаю на рейс. Но мои данные пострадать не могут.
> Избегаем подключения к точкам доступа с подозрительными именами (например, FreeInternet, FreeWiFi, Dan’s_Point) и отключённым шифрованием.
Подключаемся только к точкам с крутыми именами типа Cy||eP}{aKeR и включённым шифрованием (пароль 123).
> Выключайте адаптер Wi-Fi если не требуется подключения к сети (это сэкономит заряд батареи).
И снижает точность GPS.
@migmit,
> Скрываем SSID
И говорим “до свидания” автоматическому подключению телефона/планшета/ноутбука к домашней сети. Нет, спасибо.
че за бред? у меня дома скрыт SSID, на работе нет, имя сети, пароли одинаковые и нормально все само подключается и тут и там
@migmit, у вас к самого ошибок больше, чем у автора, которого вы комментируете.
@Кот Стива Джобса, кто это?
Для чайников статья норм. Хоть азы какие. Только про скрытие ssid и привязку mac можно не писать, это фигня.
А то люди поверят. Вообще безопасность это отключение wifi, а то перемещаясь по городу и цепляясь к хрен знает к
Каким точкам можно всех паролей лишиться.
@sergxmr, по умолчанию к “хрен знает каким точкам” никто не цепляется. Можно настроить айфон так, чтобы он и к знакомым точкам не цеплялся (правда, опять прощай автоматическое подключение к домашней сети).
И никуда ваши пароли не денутся.
@migmit, хм. А если “хрен знает какая точка” называется так же к которой подключение разрешено на вашем телефоне?
@sergxmr, название не имеет значения, у точки доступа есть ид-идентификатор, по этому ид и происходит идентификация тд с уже знакомой устройству.
@migmit, хватит уже писать о том, в чем вы не разбираетесь. Сокрытие SSID и отключение автоподключения к неизвестным сетям никак не мешает автоматически подключаться к известной вашему айфону скрытой домашней сети.
Sidejacking обычно называется MiTM, термин избыточен. Не забывайте раз в 3 месяца менять пароль (PSK) для доступа в вашу сеть.
Держу гостевую сетку открытой, бояться нечего, иначе получается что когда меня нет дома или я сплю, сеть простаивает
@Andrey34, красавчик -)
@lurker, а какой роутер самый хороший?
@lurker, Спасибо за инфо
@lurker, 68 мой.
@t-n, mikrotik наиболее функционален. Но требует курить мануалы (а без этого его мощь не имеет смысла). Так что, если у вас встает такой вопрос, то ASUS или Zyxel. Попадаются неплохие tp-link. Не рекомендую: D-Link (слабая поддержка ПО), Netgear (дорогие, но ограничены по функционалу).
@peper-, микротик уже давно упростил настройки до уровня домохозяйки.. Так что никаких мануалов для старта не нужно ;)
@GoSo, для старта да, базовая настройка микротика проста, но шаг влево/вправо моментально парализует неподготовленного пользователя.
А так да, шикарная штука, поставил себе домой, забыл о проблемах
А почему в комментариях говорят, что фильтрация по mac бессмысленна? Насколько я знаю, чтобы ее обойти надо знать разрешенный MAC или что-то изменилось, когда я последний раз этим интересовался?
@SeaMonkey, да элементарно, например ставим свою открытую точку и собираем маки устройств клиентов которые туда подключаться. Еще вроде со сканирования эфира можно, но тут я не профи.
@sergxmr, Но абсолютно не обязательно, что из собранных mac адресов, вы сможете узнать mac, который разрешен на нужном Вам роуторе.
Напишите как безопасно и при этом полноценно пользоваться открытым wifi соединением, например я дома пользуюсь открытым wifi от доброго неизвестного соседа. Какими средствами можно повысить безопасность? кроме запретительных мер – не вводить важные пароли, данные платежных карт и т.д.
@andwhite, сосед может и неизвестный, но не факт, что добрый. ;)
почему все так сложно?
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Совместимы ли аксессуары от Apple Watch 1 с Apple Watch 2?
Как на iPhone создавать текстовые заметки голосом
Как играть в игры на старом Mac
Почему режим Не беспокоить на iPhone не работает по геолокации
Как отслеживать местоположение ребёнка с iPhone
Как научить iPhone принимать звонки только от известных контактов
Как после обновления iTunes загружать книги и рингтоны на iPhone
Как на iPhone объединить разные облачные хранилища в одном приложении