Будуємо захищену wi-fi мережу
Частина 1. Небагато про безпеку
Причина уразливості безпровідних мереж поміщена в принципі їх роботи: перехопити дані, що передаються по радіоканалу, набагато легше, ніж при звичайному кабельному з'єднанні. Це не вимагає дорогого устаткування і реалізовується за допомогою звичайного ноутбука, пари хакреських утиліт (таких як airodump і aircrack) і хорошої інструкції по злому wi-fi (наприклад, Ferra. Ru/online/networks/s26260/page-1/). Тому безпровідна мережа має бути максимально захищена від різного роду атак: несанкціонованих підключень, перехоплення і прослуховування трафіку, розкрадання важливої інформації, помилкових точок доступу і тому подібне
На сьогоднішній день найбільш надійним для безпровідних мереж визнаний стандарт безпеки WPA (Wi-fi Protected Access). Початковий захист wi-fi мережі можна забезпечити за допомогою режиму WPA-PSK (Pre-shared Кеу), коли на точці доступу і на комп'ютері користувача уручну вводиться ключ сеансу зв'язку – Pre-shared Кеу, що нагадує звичайний пароль. Потенційна уразливість WPA-PSK виникає через те, що в реальних мережах ключова фраза рідко міняється і однакова для всіх користувачів мережі. За наявності часу і могутнього комп'ютера підібрати такий пароль не складе особливих труднощів.
надійніший захист мережі досягається при використанні режиму WPA Enterprise, коли в мережі встановлений сервер аутентифікації (RADIUS сервер), що здійснює перевірку прав доступу користувачів. У такому разі безпровідна точка доступу блокуватиме всі підключення до безпровідної мережі до тих пір, поки що вводяться користувачем ім'я і пароль не пройдуть перевірку на сервері аутентифікації. Якщо користувача немає в базі даних RADIUS сервера, то він не зможе підключитися до wi-fi мережі.
Максимальний захист безпровідної мережі забезпечує використання цифрових сертифікатів і методу аутентифікації EAP-TLS (Extensible Authentication Protocol - Transport Level Security). У такому разі комп'ютер користувача і RADIUS сервер перевіряють один одного по цифрових сертифікатах, що заздалегідь згенерували, що гарантоване захистить вашу мережу від несанкціонованих підключень, а користувачів – від упроваджуваних хакерами помилкових точок доступу.
Для ще надійнішого захисту передаваних даних можна створити зовнішню захисну оболонку безпровідної мережі, використовуючи технологію VPN (Virtual Private Network) поверх WPA, що додасть другий рівень шифрування трафіку. І, нарешті, захиститися від несанкціонованих точок доступу, що таємно встановлюються вашими співробітниками, можна за допомогою спеціального мережевого устаткування, що уміє виявляти подібні пристрої і генерувати відповідні звіти.
Побудувати таку систему захисту безпровідної мережі під силу небагато чим: потрібно, як мінімум, правильно набудувати безпровідну точку доступу і сервер авторизації RADIUS, створити Базу даних користувачів, розробити систему управління цією базою і цифровими сертифікатами, і найголовніше - об'єднати всі ці компоненти в єдину мережу.
Але, не дивлячись на складність, що здається, створити максимально захищену wi-fi мережу досить легко. Для цього необов'язково бути гуру в інфобезопасності і безпровідних стандартах. Все можна зробити за годину-півтора, маючи:
окремий комп'ютер;
безпровідну точку доступу, підтримуючу WPA, Wpa2 і авторизацію на RADIUS-сервере (дані характеристики точки доступу можна дізнатися з її документації або у консультантів в комп'ютерному магазині);
програму Esomo, яка гратиме роль RADIUS сервера, а також сервера загального доступу в Інтернет. Офіційний сайт розробника програми: Esomoline. Com. Для захисту безпровідної мережі Esomo використовує протокол EAP-TLS, що передбачає аутентифікацію користувачів на вбудованому сервері RADIUS і взаємну перевірку достовірності між RADIUS сервером Esomo і комп'ютерами користувачів по цифрових сертифікатах.
Частина 2. Приклад створення захищеної безпровідної мережі
Тепер розглянемо приклад організації локальної wi-fi мережі на базі Esomo. Мережу включає 11 комп'ютерів, безпровідну точку доступу Linksys і підключена до Інтернету через ADSL модем.
Перш за все, викачуємо Esomo з офіційного сайту розробника (esomoline. Com/ru/esomo/download. Html, розмір дистрибутива 135 Мб) і встановлюємо серверну частину програми на окремий комп'ютер з двома мережевими картами. Це буде наш RADIUS сервер, а також VPN сервер і сервер доступу в Інтернет, що дозволяє обмежувати трафік користувачів, проглядати статистику доступу і витрат трафіку. Для роботи Esomo не потрібна операційна система, оскільки до складу програми вже входить вільно поширювана ОС FREEBSD. Покрокову інструкцію по установці Esomo Ви можете знайти тут: Esomoline. Com/ru/shareddocs/esomo_installiso. Pdf.
Після установки програми підключаємо комп'ютер з Esomo і безпровідною точкою доступу до мережевого комутатора. Через другий мережевий інтерфейс підключаємо сервер Esomo до ADSL-модему (або до кабелю, якщо у вас виділена лінія). На будь-якому Windows-компьютере локальної мережі (також підключеному до мережевого комутатора) запускаємо Esomo АРМ і підключаємося до сервера Esomo.
Створити захищену безпровідну мережу на базі Esomo можна за 4 простих кроку. Спочатку ми займемося налаштуванням Esomo для роботи з безпровідною мережею. Потім набудуємо безпровідну точку доступу і комп'ютери користувачів. І, нарешті, підключимося до wi-fi мережі і встановимо VPN-соединение з сервером Esomo для створення другого рівня захисту безпровідного трафіку. Після цього можна безпечно працювати в wi-fi мережі і Інтернет. Отже, приступимо.
Крок 1. Налаштування сервера Esomo
Перш за все, видамо постійну IP-адрес безпровідній точці доступу для роботи в нашій мережі. Для цього додамо точку доступу в список статичного DHCP (МАС-адрес точки доступу зазвичай вказана в наклейці на ній). Застосуємо налаштування.
Тепер додамо безпровідну точку доступу в список точок доступу на сервері Esomo і вкажемо для неї секретний ключ (пароль). Це необхідно для організації безпечного з'єднання між точкою доступу і Esomo. Застосуємо налаштування.
Щоб користувачі мережі могли виходити в Інтернет, а Esomo враховувати їх трафік, необхідно створити тариф, що визначає вартість 1 Мб трафіку або 1 хвилини інтернет з'єднання. Для цього в розділі Тарифи додамо новий тариф, визначивши вартість 1 Мб вхідного трафіку, наприклад в 1 рубель.
Оскільки на момент написання статті Esomo вирішує доступ в Інтернет тільки користувачам, що мають тариф і засоби на індивідуальному рахунку, зайдемо в розділ Користувачі і двічі кликнувши по користувачеві testuser привласнимо йому раніше створений тариф і додамо на його рахунок 500 рублів.
На цьому налаштування сервера Esomo завершене. Залишаємо вікно Esomo АРМ відкритим і переходиться до налаштування безпровідної точки доступу.
Крок 2. Налаштування безпровідної точки доступу
Дістати доступ до безпровідної мережі можна тільки після успішної авторизації на сервері Esomo, тому заздалегідь необхідно набудувати безпровідну точку доступу на роботу з RADIUS сервером. Для цього підключимося до точки доступу через веб-сервер-браузер по IP-адресу, яка ми їй раніше привласнили через Esomo АРМ на вкладці DHCP. Як режим роботи точки доступу вкажемо Wpa-enterprise, як протокол шифрування – TKIP, як RADIUS сервера – IP-адрес комп'ютера з Esomo. Також перевіримо, щоб секретний ключ, прописаний в налаштуваннях точки доступу (Shared Secret) збігався з ключем, вказаним для точки доступу в Esomo АРМ (розділ Wi-fi, вкладка Точки доступу).
Нижче приведу ськріншот з налаштуваннями точки доступу Linksys.
Крок 3. Налаштування комп'ютера користувача
Для двосторонньої перевірки достовірності між комп'ютером користувача і сервером Esomo необхідно встановити на ПК користувача цифрові сертифікати і набудувати його безпровідною адаптер на роботу по протоколу EAP-TLS.
Авторизація користувача на сервері Esomo відбувається за участю двох цифрових сертифікатів: кореневого і призначеного для користувача. Дані сертифікати необхідно отримати через Esomo АРМ і встановити на комп'ютер. Для цього зайдемо в розділ Wi-fi на вкладку Сертифікати і збережемо на наш комп'ютер кореневий сертифікат і сертифікат користувача testuser.
Тепер встановимо отримані цифрові сертифікати. Для цього достатньо двічі кликнути мишею по сертифікату і слідувати вказівкам Майстра імпорту сертифікатів.
З установкою кореневого сертифікату не повинно виникнути ніяких складнощів: залиште всі налаштування за умовчанням і просто натискайте кнопки Далі і Готово. А ось в процесі установки сертифікату для користувача testuser необхідно буде ввести пароль testuser, яким захищений цей сертифікат.
На сервері Esomo вже присутні готові сертифікати, тому туди встановлювати нічого не потрібно.
Далі набудуємо безпровідною мережевий адаптер нашого ПК на роботу з RADIUS сервером Esomo по протоколу EAP-TLS. Для цього в налаштуваннях безпровідного адаптера вкажемо використовувати шифрування TKIP і перевірку достовірності по протоколу WPA за допомогою цифрових сертифікатів.
Із списку довірених кореневих центрів сертифікації виберемо встановлений раніше на наш комп'ютер кореневий сертифікат.
Отже, всі налаштування завершені і безпровідна мережа готова до роботи. Відключаємо наш комп'ютер від мережевого комутатора і намагаємося підключитися до wi-fi мережі. Після пошуку доступних мереж безпровідною адаптер виявить нашу захищену мережу. Після успішної аутентифікації по цифрових сертифікатах і перевірки на RADIUS-сервере наш комп'ютер підключиться до wi-fi мережі. Залишилося зробити останній крок на шляху до суперзахисту нашої безпровідної мережі.
Крок 4. Створення другого рівня захисту – установка VPN з'єднання з шифруванням трафіку
Максимальний захист безпровідного трафіку в мережі з Esomo досягається за рахунок використання технології VPN поверх вже встановленого безпровідного з'єднання по протоколу WPA, що додає другий рівень шифрування трафіку. Створення VPN-соединения між комп'ютером користувача і сервером Esomo відбувається автоматично. Потрібно всього лише відкрити веб-сервер-браузер і набрати адресу будь-якого існуючого сайту, наприклад, Google. Ru. На сторінці авторизації Esomo в обох полях форми введемо testuser і натиснемо кнопку З'єднати.
Після успішної перевірки логіна і пароля між нашим ПК і сервером Esomo встановиться VPN з'єднання. Тепер можна безпечно працювати в Інтернеті. Весь передаваний трафік шифруватиметься не тільки засобами WPA, але і VPN. А через Esomo АРМ у будь-який час можна подивитися статистику накоченого трафіку і за пару кліков імпортувати її в MS Excel.
Перевіривши, що все працює, підключимо решту комп'ютерів до безпровідної мережі і надамо користувачам доступ в Інтернет. Для цього створимо нових користувачів через Esomo АРМ, привласнимо їм доданий раніше тариф. Потім створимо для цих користувачів цифрові сертифікати і встановимо на комп'ютер кожного користувача кореневий сертифікат і його власний призначений для користувача сертифікат. Також не забудьте набудувати безпровідною адаптер на комп'ютері кожного користувача для роботи з RADIUS сервером по протоколу EAP-TLS.
На цьому налаштування безпровідної мережі із загальним доступом в Інтернет повністю завершене. На все про все у мене пішли менше двох годин. Погодитеся, що за допомогою інших засобів було б проблематично організувати добре захищену wi-fi мережу з такими мінімальними витратами часу і сил. При цьому Esomo відмінно працює як RADIUS сервер і сервер доступу в Інтернет не тільки в wi-fi мережах, але і в дротяних і змішаних ЛАН, коли одні сегменти мережі об'єднані за допомогою кабелю, а інші за допомогою wi-fi.
Автор: Віктор Соколов
- Прокладка мережі в рамках іт аутсорсинга
- Інтернет в нашому житті
- Як защетіть свій комп'ютер від вірусів
- Установка BFD (Brute Force Detection) від R-fx Networks
- Малярійні комарі Біла Гейтса куснули багатих людей
- Каталоги статей в просуванні сайтів
- Google продовжить фотографувати вулиці в чотирьох країнах