Зашита беспроводной сети

Экран 1. Настройка  беспроводных параметров в XP  
 

При использовании WPA или WPA-PSK для аутентификации или  шифрования можно ввести ключ аутентификации или шифрования (чтобы активизировать поле Network key и поле Confirm network key, требуется отменить режим The key is provided for me automatically). Если существует более одного ключа, следует выбрать номер ключа, или индекс. В некоторых узлах доступа и беспроводных адаптерах можно хранить и использовать до четырех ключей в целях повышения гибкости. Например, ключи можно менять еженедельно, вручную выбирая ключ из списка каждый понедельник утром.

Обнаружение несанкционированных  узлов доступа 

Как отмечалось выше, ложные узлы доступа могут  представлять огромную опасность для  предприятия. Но из-за преимуществ и  простоты установки AP (особенно если используются выбираемые по умолчанию параметры) очень вероятно, что кто-то в один прекрасный момент установит узел доступа  в сети предприятия. 

Отыскать несанкционированные  узлы доступа может быть сложно, но это необходимо для надежной защиты. В Windows 2003 появилась новая оснастка консоли Microsoft Management Console (MMC), называемая Wireless Network Monitor, с помощью которой можно протоколировать активность сетевых клиентов и находить узлы доступа. Однако устанавливать Windows 2003 в ноутбуках только ради оснастки MMC неудобно, дорого и вообще необязательно. Большинство ноутбуков и PDA со встроенными беспроводными адаптерами располагают инструментарием, пригодным для поиска несанкционированных AP. 

Если ноутбук  или PDA поставляются без такого инструмента  или необходимы передовые функции, например GPS (глобальная система позиционирования в сочетании с двунаправленной  антенной и компасом позволяет вычислить  методом триангуляции местоположение несанкционированного AP), то предпочтительным может оказаться такой бесплатный инструмент, как NetStumbler. По адресу http://www.netstumbler.com/downloads можно получить две версии: одну для Windows 2000 и более поздних версий и одну для устройств на базе Windows CE, называемую MiniStumbler. На экране 2 показан NetStumbler, работающий на ноутбуке Dell с пакетом XP Service Pack 2 (SP2) и Dell TrueMobile 1400, одним из многих беспроводных адаптеров, совместимых с NetStumbler. 

С помощью NetStumbler можно обнаружить несанкционированные AP, просто запустив программу на портативном компьютере и пройдя по территории предприятия с ноутбуком. Обнаруженные узлы доступа отображаются на экране. Таким образом можно получить информацию о MAC-адресе узла доступа, прослушиваемом канале, шифровании и поставщике. Кроме того, NetStumbler показывает отношение сигнал-шум для радиосигнала. Чем выше число, тем меньше расстояние до AP. 

Прежде чем  удастся обнаружить несанкционированные  узлы доступа, необходимо выяснить MAC-адрес  и SSID каждого законно установленного AP на предприятии. Развертывая узлы доступа, следует записывать их MAC-адреса, SSID и местоположение. Делая обход  с NetStumbler, следует искать узлы доступа с незнакомыми SSID и неизвестными MAC-адресами. Обнаружив незаконные устройства, следует записать их местоположение, затем пройти в разных направлениях и отметить то направление, в котором показатель SNR увеличивается. Если продолжать идти в эту сторону, рано или поздно будет обнаружена AP или по крайней мере очерчена примерная область ее местонахождения для более полного исследования в будущем. Следует учитывать, что AP может находиться на полу или на потолке. 

Особенно важно  отметить, что опытный хакер может  установить AP с таким же SSID, который  имеется в сети, в надежде застать  врасплох ничего не подозревающих пользователей. Подключившись к несанкционированному AP, пользователи попытаются обратиться к сетевым ресурсам, таким как почтовый сервер и приложения, размещенные в Web. Им не удастся получить доступ к ресурсам через AP взломщика, но пока это выяснится, они могут раскрыть свои пароли и имена. Следует научить сотрудников службы поддержки отслеживать вызовы, связанные с проблемами беспроводной

сети, которые  могут свидетельствовать о незаконных узлах доступа, и попросить пользователей  сообщать об их местонахождении. По поступающим  сигналам следует проводить расследование  с использованием NetStumbler или других инструментов и проверять MAC-адреса всех AP в этом районе, чтобы убедиться в законности их установки.

Дополнительную  информацию о защите беспроводной сети для предприятий любых размеров и даже домашних пользователей можно  почерпнуть в превосходной книге  Джозефа Дэвиса Deploying Secure 802.11 Wireless Networks with Microsoft Windows (издательство Microsoft Press, 2003). По адресу http://www.microsoft.com/mspress/books/6749.asp можно получить сведения о книге и о том, как ее приобрести, а также найти ссылку на дополнительные материалы. Отличный оперативный ресурс — http://www.microsoft.com/windowsserver2003/ technologies/networking/wifi/default.mspx. Данная страница находится в разделе Windows 2003 Web-узла Microsoft, но в ней есть ссылки и на информацию для XP.