Există mai multe proceduri prin care puteți îmbunătăți securitatea rețelei dvs. De fapt, toate punctele enumerate mai jos sunt necesare în stadiul dezvoltării rețelei, dar dacă nu le puneți în aplicare, atunci este mai bine să le faceți - cu atât mai rapid cu atât mai bine.
Utilizați cheile WEP lungi, acest lucru va face dificil pentru hackeri să lucreze. Dacă echipamentul acceptă criptarea pe 128 de biți, atunci, desigur, utilizați-l. Schimbați periodic tastele. Plasați punctele de acces în spatele paravanului de protecție, în afara rețelei locale. Utilizați VPN pentru toate protocoalele care pot transmite informații importante. Utilizați mai multe tehnici pentru a cripta traficul, de exemplu IPSec. Probabil va fi necesar să instalați software pe clienți, să instalați un server IPSec în rețeaua locală, să utilizați VLAN-ul între punctul de acces și server. În acest caz, utilizatorii de rețea vor organiza tunelul IPSec pe server și vor transfera toate datele prin acesta.
Dacă este posibil, trebuie să schimbați firmware-ul pe toate dispozitivele de rețea. De exemplu, dezvoltatorii AirSnort (a se vedea articolul precedent) rețineți că nu toate punctele de acces sunt vulnerabile la hacking și nu pot sparge cheia WEP. Aceasta este lucrarea producătorilor - actualizările îmbunătățesc în mod constant dispozitivele lor și cu cât mai rapid implementați aceste îmbunătățiri în rețea, cu atât mai bine.
Dar cu siguranță nu este un panaceu. WEP utilizează algoritmul RC-4, care, prin definiție, este vulnerabil din cauza persistenței cheii. Singurul lucru din protocol ajută la rezolvarea acestei probleme și la schimbarea valorii cheii - valoarea pe 16 biți a lui IV. Este la fiecare 65.536 de pachete își modifică valoarea, iar în ceea ce privește hacker nu contează ce firmware-ul utilizat în echipamente de rețea - dacă se repetă, astfel încât să poată ridica și de a lua în interior. Echipamentele de upgrade nu trebuie ignorate, dar este mai bine să se acorde atenție algoritmilor de protecție a rețelei.
WPA-PSK și WPA-Enterprise
Firește, tehnologia WPA nu este lipsită de probleme proprii. Robert Moskowitz de la ICSA Labs a constatat că fraza cheie a WPA poate fi hacked. Acest lucru se datorează faptului că hackerul poate forța punctul de acces pentru a regenera schimbul de taste în mai puțin de 60 de secunde. Și chiar dacă schimbul de chei este suficient de sigur pentru hacking instant, acesta poate fi salvat și utilizat pentru enumerarea offline. O altă problemă este că EAP transmite date în text clar. Inițial, Transport Layer Security (TLS) a fost folosit pentru a cripta sesiunile EAP, dar necesită un certificat pentru fiecare client. TTLS a corectat această problemă într-o oarecare măsură, dar Microsoft (în Windows XP SP1 există suport pentru WPA) și Cisco au rezolvat problema în mod propriu și au creat Protecție EAP, altele decât TTLS. Acum, două tehnologii concurează și, probabil, sprijinul acordat de astfel de granturi va câștiga victoria asupra PEAP.
În viitor ne așteptăm caietul de sarcini 802.11i (comisia de specialitate a Institutului de Inginerilor electronice (IEEE) Electrică și au votat pentru a aproba un nou standard pentru rețelele locale fără fir 802.11i doar ultima lună), care este un adevarat panaceu pentru toate durerile de cap cu criptare. Noua specificație include o modalitate mai eficientă de prinderea intruși, rezistente la TKIP, Advanced Encryption Standard (AES), care suportă fluxuri de date lungi și mai sigure, mai degrabă decât singur TKIP (deși lungimea cheii este același algoritm de criptare pe 128 de biți este mult mai rezistent). AES este deja utilizat pe scară largă, în special de către guvernul SUA.
802.11i sprijină, în plus toate 802.1x, precum EAP, și autentificare, prin urmare, pe bază de RADIUS, actualizarea periodică a clienților cheie, distribuirea de chei unice pentru fiecare client în parte (care reduce în continuare riscul de atac, pentru că nimeni nu va da un acces cheie la tot traficul alți clienți).
Articole similare
Trimiteți-le prietenilor: