Wi fi роутер. Как защитить домашнюю и Wi Fi сеть в офисе

Cеть Wi-Fi

В любом доме есть роутер, который обеспечивает многие устройства беспроводным доступом в интернет и домашнюю сеть, очень важно позаботиться о ее безопасности.

В конце концов, мы не хотим, чтобы кто-либо вломился в нашу сеть и причинил ущерб.

сеть Wi Fi в офисе

В настоящее время мало кто планирует проводную сеть в квартире — гораздо проще и удобнее использовать беспроводную сеть

Эффективность такого решения обычно является удовлетворительной. Кроме того, многие устройства, такие как планшеты и смартфоны, не могут быть подключены к проводной сети (LAN).

На самом деле, только если нам нужна стабильная и очень быстрая передача данных по локальной сети, например, между настольным компьютером и сервером NAS, стоит выбрать проводную сеть дома — такую как Gigabit Ethernet, которая обеспечивает скорость передачи по сети до 125 МБ/с с помощью одного кабеля.

Как правило, мы все пользуемся интернетом по беспроводной связи

Однако, есть одна вещь, которую мы должны помнить. Беспроводная сеть должна быть соответствующим образом защищена. Подключение постороннего лица к сети может привести к повреждению устройства или нанести нам вред.

Половина беды, если это сосед, использующий наш интернет, чтобы сэкономить на счете. Гораздо большие проблемы могут быть вызваны человеком, который взламывает сеть с определенной целью — для кражи личных данных, например, в банке или других виртуальных счетах.

Для защиты домашней Wi-Fi мы можем подойти несколькими способами

Каждый метод повышает общий уровень безопасности, поэтому рекомендуется пошагово защитить вашу wi fi сеть. Помните, что люди, которые нарушают безопасность, могут использовать многие детали для большинства из нас, которые легко пропустить.

WPA2-Personal с шифрованием AES

Лучшим компромиссом между безопасностью и простотой настройки для домашних пользователей является использование WPA2-Personal с шифрованием AES.

Есть более безопасные решения, такие как WPA2 Enterprise с сервером RADIUS

но для большинства пользователей это слишком сложно.

сеть Wi Fi

Сложные понятия

MAC-адрес

— индивидуальный аппаратный адрес сетевой карты, предоставленный производителем, который может быть изменен.

DHCP

— протокол динамического конфигурирования хостов — протокол связи, который позволяет хостам получать данные конфигурации с сервера, например, IP-адрес хоста, адрес шлюза IP, также адрес DNS-сервера и маску подсети.

Сервер Radius

— услуга удаленной идентификации пользователей, пытающихся подключиться к сети, используется для телефонных сетей, туннельных соединений и беспроводных сетей.

SSID (Service Set Set Identifier — идентификатор набора услуг)

— сетевой идентификатор, состоящий максимум из 32 символов. Он действует как логин в сети и в то же время имя сети в том виде, в каком его видит пользователь.

AES шифрование

— это симметричное блочное шифрование, каждый блок состоит из 128 бит. Длина ключа может составлять 128, 192 и 256 бит. Это шифр, используемый во всем мире даже американскими ведомствами для шифрования секретных документов.

Аутентификация

— процесс, который заключается в подтверждении личности субъекта, участвующего в процессе коммуникации (например, является ли компьютер А на самом деле компьютером А).

WPA2

– протокол защиты беспроводных сетей, использующих шифрование AES, который использует динамические, 128-битные ключи шифрования, исправлены все уязвимости, найденные в протоколе WEP и WPA.

WPA не является безопасным примерно с 2010 года, и в настоящее время рекомендуется использовать только протокол WPA2-AES.

Выбор протокола сетевой безопасности и шифрования

Выбор протокола сетевой безопасности и шифрования

В зависимости от модели роутера, мы можем столкнуться с различными настройками по умолчанию. Они не всегда оптимальны с точки зрения безопасности пользователя.

Домашние пользователи должны выбрать персональный протокол WPA2 с шифрованием AES.

WPA по умолчанию использует шифрование TKIP, уязвимое для криптографических атак, которые имеют оптимизированные версии доступные в сети. Что касается безопасности WPA-PSK, она уязвима для специально генерируемых атак по словарю и также не рекомендуется.

Чтобы изменить настройки безопасности сети

войдите в панель управления роутером и найдите вкладку Wireless (Беспроводная связь) или Advanced (Дополнительно). Потом надо справа выбрать необходимые параметры и подтвердить изменения.

В большинстве случаев это означает необходимость повторного входа в систему на любом устройстве, соединенном с роутером по беспроводной сети.

Пароли сетевого доступа по умолчанию

Это очень важно, чтобы изменить стандартное пароль доступа и имя беспроводной сети. Если ваш роутер предоставляет две частоты, мы вносим изменения для каждой из них.

К счастью, в новых моделях сразу при первом подключении нас попросят ввести новый пароль доступа к устройству, а также запрос на ввод нового пароля доступа к беспроводной сети.

Изменить пароль очень просто, просто войдите в панель администрирования нашего устройства, найдите раздел Беспроводная связь, затем введите новый пароль и сохраните внесенные изменения.

Активная функция WPS

Активная функция WPS

На многих роутерах по умолчанию включена функция WPS, что является потенциально опасным. Эта функция позволяет быстро и легко подключать устройства к сети с помощью простого PIN-кода.

Тем не менее, WPS имеет уязвимости в области безопасности и не рекомендуется по соображениям безопасности.

  1. Во-первых, уязвимости позволяют злоумышленнику достаточно просто взломать систему безопасности.
  2. Во-вторых, защита от атак на WPS не обеспечивает 100% защиту. Поэтому, если вы не используете эту опцию, ее стоит полностью отключить.

Мифы о безопасности беспроводных сетей

Во многих инструкциях в интернете мы можем найти информацию о повышении безопасности сети.

Однако все ли они настоящие?

Давайте познакомимся с несколькими самыми популярными мифами о безопасности Wi-Fi.

Скрыть SSID сети

Практически каждый роутер позволяет скрыть свой сетевой ID. Теоретически, человек, который не знает названия нашей сети, не сможет подключиться к ней, даже если он знает пароль.

Каково это на самом деле? Это ложь.

Обнаружение скрытого сетевого SSID не сложно

Достаточно одного мгновения, если сеть активно используют несколько пользователей. Кроме того, если мы скрываем нашу сеть, мы становимся более уязвимыми для атак.

Человек, который хочет знать сетевой пароль, должен только создать поддельную точку доступа и заставить ее отключиться от нашей сети (что не сложно). Тогда наша сеть подключится к видимой ложной сети.

Нас попросят ввести пароль, и мы инстинктивно введем его, полагая, что это необходимо, и таким образом предадим нашу безопасность взломщику.

Отключение сервера DHCP

DHCP позволяет роутеру назначать динамические IP-адреса устройствам, подключенным к сети. Выключив такой сервер, вы можете назначить статические IP-адреса, индивидуальные для каждого устройства.

Таким образом, злоумышленник, взломавший сеть, не получит выделенный адрес и не будет иметь доступа к нашей домашней сети. Это ложь.

С одной стороны, в случае активного DHCP-сервера

мы более подвержены атакам MitM (Man in the Middle) и после взлома злоумышленнику сразу же назначается адрес. Однако в случае статического IP-адреса процесс подключения к сети может показаться более сложным, но только на первый взгляд.

Злоумышленник может ожидать и отслеживать входящие пакеты и, таким образом, обнаруживать IP-адреса, которые разрешают доступ к сети.

Таким образом, отключение DHCP

значительно усложняет использование сети обычным пользователем и не остановит злоумышленника, взломавшего пароль доступа к Wi-Fi.

Фильтрация по MAC-адресам

Фильтрация по MAC-адресам

Поскольку каждое сетевое устройство, включая сетевые карты, имеет собственный уникальный MAC-адрес, то при использовании фильтрации MAC-адресов в роутере и предоставлении доступа только выбранным пользователям, мы будем в безопасности, поскольку даже если кто-то нарушит безопасность нашей сети, он не получит к ней доступа. Это ложь.

Теоретически, приведенная выше информация максимально достоверна, но если у злоумышленника есть соответствующая сетевая карта, он может легко присвоить ей любой MAC-адрес.

С помощью сканера, он очень быстро найдет адреса устройств, которые соединяются с роутером, изменит свой адрес на один из них, а затем без проблем получит доступ к нашей сети. Это несложная процедура.

Поэтому данное решение, которое является очень обременительным для повседневного использования роутера, не является вообще препятствием для опытного злоумышленника.

Фильтрация MAC-адресов

может выполнять свою работу, если на нашу сеть нападает любитель.

Что еще предпринять для улучшения сетевой безопасности?

Выключаем удаленный доступ к роутеру

В настоящее время эта функция отключена по умолчанию на большинстве новых устройств, но нужно убедиться в этом. Эта функция позволяет получить доступ извне, из интернета.

Это означает, что если кто-то знает наш публичный IP-адрес

а наше оборудование имеет уязвимость, злоумышленник может получить легкий доступ к роутеру и до всего трафика, генерируемого сетью.

Если вы хотите проверить состояние этой опции, войдите на панель управления роутера и найдите вкладку «контроль доступа». На данной вкладке вы найдете опцию доступа к роутеру из сети интернет. Он должен быть отключен.

Настройки брандмауэра

По умолчанию подавляющее большинство роутеров имеют специализированную защиту от DoS-атак, поскольку они неоправданно потребляют ресурсы устройства и очень редко кто подвергается такому виду атак.

Однако, если вы хотите чувствовать себя более защищенным, вы можете активировать все функции безопасности — ведь лишь немногие люди используют все возможности своего роутера, а дополнительная активная безопасность всегда пригодится.

Наиболее подходящие настройки можно найти на вкладке «Безопасность», «Брандмауэр» — все, что вам нужно сделать, это активировать их.

Снижение мощности передачи

Это довольно необычное решение, благодаря которому мы снижаем мощность сигнала, передаваемого нашим роутером.

Что это дает?

Например, это помешает человеку с ноутбуком, даже находящемуся в машине рядом с нашим домом, он не сможет подключиться к нашей сети — потому что просто не будет достаточного радиуса действия.

Мы также должны знать, что ограничиваем пропускную способность и своей сети в таком случае, наши устройства не будут работать с максимальной дальностью действия.

Такие настройки можно найти на вкладке:

  • «Дополнительные настройки»,
  • «Настройки беспроводной связи»,
  • «Беспроводная связь»
  • или «Настройки беспроводной связи».

Надо найти Transmit Power или Rx Power

Соответственно, следует уменьшить мощность, так, чтобы в нашем доме охват был хороший, а за его стенами посторонние лица не могли получить соединение.

Использование беспроводных сетей общего пользования

Использование беспроводных сетей общего пользования

Если мы заботимся о безопасности, то должны помнить, что при использовании публичных точек доступа, следует соответствующим образом защитить себя от разного типа атак.

Наибольший риск несет за собой возможность перехвата пакетов данных

которые выходят и приходят на наше устройство. Если нет необходимости, не нужно входить в онлайн счета в банке, на почту и т.д.

Более подробную информацию о поддержании безопасности в открытых сетях, можно найти в инструкциях безопасного использования Wi-Fi.

Что делать, если кто-то атакует домашнюю сеть. Как защитить себя от хакеров

Безопасность в нашей сети должна быть первостепенной задачей. Вот почему стоит знать методы, которыми хакеры и взломщики пользуются для взлома сети.

Домашние сетевые атаки можно разделить на две основные категории —

  • пассивные
  • и активные.

Первый заключается в сборе информации:

  • отслеживание,
  • прослушивание,
  • анализ сетевого трафика.

Они приводят к соответствующей активной атаке, целью которой является изменение данных пользователя, контроль над его устройством или вмешательство в его работу.

Как остановить хакера

Конечно, продвинутые хакеры используют новые, сложные методы вторжения, но их немного. Есть много обычных любителей, которые используют самые простые средства вторжения, которые могут быть легко заблокированы, когда вы знаете как это сделать.

Если вы хотите защитить себя от атак, то должны начать думать как хакер.

На самом деле, самое главное — защитить беспроводную сеть, потому что если злоумышленник получит к ней доступ, он сможет атаковать ее.

Самая большая угроза — это нарушение безопасности домашней сети

поскольку она открывает двери для последующих атак и позволяет захватывать ваши данные.

Как остановить хакера

Для взлома беспроводной сети чаще всего используется инструмент aircrack-ng

Он позволяет взломать сетевую безопасность, и единственной защитой от него является надежный пароль.

Зная IP-адрес и адрес электронной почты жертвы, злоумышленник также может попытаться атаковать, но в этом случае достаточно не открывать подозрительные файлы и не устанавливать опасные программы, чтобы избежать опасности.

Стоит знать

Атака по словарю

— попытка взлома пароля, при использовании обширного списка возможных паролей.Словари могут достигать очень больших размеров.Как правило, являются компиляцией наиболее часто используемых статистически паролей и комбинаций слов из языковых словарей.

Firewall- брандмауэр

Такая защита не позволяет проникнуть в сеть. Данное программное обеспечение определяет, какие данные авторизованы. Обычно он расположен в выделенных серверах.

MitM — Man in the Middle

— криптологическая атака, состоящая из прослушивания и модификации сообщений, передаваемых между двумя сторонами без их ведома. Злоумышленник может заставить данные с вашего компьютера проходить через его компьютер, и только позднее они попадут на внешний сервер.

Радужные таблицы

— специально скомпилированные обширные базы данных возможных сокращений паролей.

Обычные массивы данных занимают до нескольких сотен гигабайт — записанный с помощью строк радужный массив экономит дисковое пространство и сокращает время взлома пароля на несколько сотен процентов.

MitM - Man in the Middle

Пассивные атаки

В этой категории можно выделить несколько примеров таких атак:

Социальная инженерия

— это способ получения конфиденциальных данных, использующий глупость человека и недостаток знаний. Злоумышленники отправляют поддельные электронные письма, просматривают документацию, просматривают пользователей при входе в систему и так далее.

Сканирование сети

— этот метод позволяет узнать больше о сети, подвергающейся атаке, узнать, какие устройства ее используют, какие порты открыты и так далее.

Sniffing

— эта пассивная атака заключается в мониторинге и записи всего сетевого трафика или его части в атакуемую сеть. Правильно выполненный, он может обнаружить пароли, логины и даже приватные разговоры пользователей.

Взлом пароля

— практически незаметен для пользователя, также считается пассивной атакой. Благодаря этому методу, злоумышленник, используя метод перебора, может взломать защиту, достаточно времени и вычислительной мощности.

Активные атаки

Таких атак гораздо больше, чем пассивных, только самые важные из них перечислены ниже.

Spoofing

— данный тип атак заключается в имитации другого компьютера, авторизованного в сети. Целью является обман систем безопасности, позволяющих легко получить доступ, например, к сети, в которой активна фильтрация MAC-адресов.

Угон

— это захват сессии в протоколе TCP. Происходит это после того, как злоумышленник разрывает соединение между сервером и клиентом, чтобы иметь возможность заменить клиента и без необходимости входа в систему продолжить взаимодействие.

Троянский конь

— широко известный как троян. Это программа, которая может выдавать себя за доверенное приложение или быть его частью. После установки троянца пользователем, он выполняет операции в фоновом режиме, которые были запрограммированы злоумышленником, например, сохраняет пароли или другие данные.

DoS-атаки

— это тип атаки, целью которого является предотвращение доступа пользователей к сервисам. Они состоят в основном из рассылки спама и предназначены для истощения ресурсов сервера или любого сетевого устройства, независимо от того, является ли оно сетевым устройством или нет.

Пример пошаговой хакерской атаки

1. Взлом Wi-Fi программой aircrack-ng.

2. Сканирование сети в поисках целей для атаки и проверки, какие порты открыты – инструмент Nmap.

3. Если система не защищена или есть дыры в безопасности, возможно, что без особого труда удастся получить доступ, используя инструмент Metasploit. Если нет, злоумышленник ищет другую точку привязки.

4. Подслушивание в сети, анализ всего трафика для захвата паролей доступа, адресов электронной почты и других конфиденциальных данных — инструмент Wireshark.

5. Атака по электронной почте с помощью Metasploit или других подобных инструментов.

6. Установка на бэкдор устройства жертвы, то есть уязвимости, созданной злоумышленником, которая позволяет получить доступ к устройству, когда оно доступно в сети, чтобы сохранить контроль над ним.

Надежность пароля и время, которое требуется для взлома пароля

Наиболее часто выбираемым методом защиты Wi-Fi является использование персональной аутентификации WPA2 и шифрования AES.

Однако надежность вашего пароля гораздо больше зависит от его сложности и количества используемых символов.

Использование словарей значительно ускоряет возможность взлома пароля обычного пользователя. Поэтому вы должны создать максимально длинные пароли, состоящие из различных символов, цифр и символов — тогда они будут практически неразрывными.

Пример пошаговой хакерской атаки

Нарушение безопасности сети Wi-Fi

Вы уже знаете, что безопасная сеть — это правильный пароль и тип аутентификации. Но как проверить надежность вашего пароля?

Мы будем использовать специальный пакет airrack-ng. Этот пакет состоит из нескольких инструментов с четкой и специфической целью — анализ беспроводных сетей и взлом их безопасности.

В интернете есть список адаптеров и сетевых карт, которые одобрены разработчиками данной программы.

1. Введите команду: airmon-ng start wlan0 и подтвердите ввод клавишей Enter. Это активирует режим wlan0mon монитора на вкладке Wi-Fi и позволит вам сканировать на наличие сети.

2. Затем вписываем airodump-ng wlan0mon – начнется сканирование сети в нашем окружении.

3. Таким образом, мы сможем узнать, среди прочего, как защищены отдельные сети. Конечно, мы взламываем нашу сеть, к которой мы знаем пароль — это Test WiFI для взлома.

4. Мы должны ввести команду airodump-ng -bssid XX: XX: XX: XX: XX — c X — написать File1 wlan0mon. Вместо X мы приводим данные в нашей сети. BSSID находится в первом столбце, а c — обозначение канала, т. е. колонка CH.

5. Теперь мы должны перехватить зашифрованный пароль доступа к сети. Получится это в том случае, когда какой-то пользователь подключается к этой сети, или мы выбьем отключение пользователя, который через некоторое время автоматически к ней подключится, и мы сможем тогда поймать зашифрованный пароль.

6. В новом окне терминала вводим команду aireplay-ng —deauth 100 -a XX:XX:XX:XX:XX:XX wlan0mon, снова в место Х, мы приводим данные маршрутизатора.

7. Теперь в главном окне из точки 4 в правом углу видна надпись WPA Handshake и MAC-адрес точки доступа. Мы можем закрыть все входы и выходы, потому что зашифрованный пароль уже сохранен в файле File1 на нашем компьютере.

8. Затем нужно ввести команду aircrack-ng File1-01.cap -w [расположение словаря] в новом терминале и подтвердить. После этого «словарный» метод начнет взламывать пароль. Взлом пароля с помощью этого метода может быть очень трудоемким и неэффективным. Если в словаре нет пароля, он не будет найден.

9. в случае таких паролей -123456678, время взлома будет очень коротким, так как это простой пароль. Компьютер среднего класса проверяет около 2000 паролей в секунду.

Весь этот процесс довольно трудный и сложный, однако мы можем извлечь из этого науку – чем длиннее и сложнее пароль, тем труднее взломать.

Рекомендуется использовать пароли не менее 16 символов

которые состоят из больших и маленьких букв или цифр и специальных сложных символов. Такой пароль практически не взломать, так что мы будем в безопасности.

Нет смысла использовать фильтрацию MAC-адресов

потому что злоумышленник может быстро притвориться нашим MAC-адресом и добраться до сети описанным выше способом. Надежный пароль — важнейший пункт защиты.

Проверьте, не использует ли кто-то ваш Wi-Fi

Проверьте, не использует ли кто-то ваш Wi-Fi

Для этого мы будем использовать Who Is On My WiFi. Благодаря ему, мы сможем сканировать нашу сеть в режиме реального времени и видеть информацию о том, какие устройства ее используют.

После добавления в список доверенных устройств позволит легко распознать нарушителя.

1. После установки программы щелкните Scan Now (Сканировать сейчас).

2. Затем нажмите на опцию Always Scan.

3. Через некоторое время сканирование будет завершено, а все найденные устройства, мы увидим в главном окне интерфейса программы. Достаточно проверить IP-адреса наших устройств и изменить их статус с Unknown в Known.

4. Программа будет работать в фоновом режиме и выполняет сканирование каждые 5 минут. Если найдет какое-нибудь новое устройство, которое подключается к нашей сети, то есть потенциального злоумышленника, мы получим уведомление.

После этого мы должны как можно скорее изменить пароль доступа к сети.

Как работает Sniffing

Используя утилиту Ettercap, мы также можем увидеть, как выглядит типичная атака типа » sniffing, которая включает прослушивание пакетов и перехват ключевых данных из них.

1. Запустите программу Ettercap — щелкните на Программы, 09 Sniffing & Spoofing, Ettercap gui.

2. Нажмите на Sniff, Unified Sniffing.

3. Выбираем интерфейс для этой задачи, в нашем случае wlan0.

4. Щелкаем на Hosts, Scan for Hosts.

5. Затем нажмите на Mitm, ARP Poisoning.

6. Отмечаем опцию Sniff remote connections и нажмите на ОК.

7. Теперь в нижней части экрана вы можете наблюдать, какие пароли и адреса перехвачены. Таким образом, вы сможете увидеть, какие веб-сайты и программы не обеспечивают достаточную защиту.

Этот пример показывает, как легко захватить данные при использовании HTTP.

Если мы подключимся к веб-сайтам с помощью HTTPS и в панели браузера появится значок замка, мы можем быть уверены, что данные зашифрованы и не смогут использованы хакером при перехвате.