You are here: Foswiki>Gnumed Web>WirelessSecurityRu (17 Mar 2013, IvanLykov)EditAttach

Безопасность беспроводных сетей


Не означает официальное, а предлагается как учебник для начинающих, кому это может помочь.

"Беспроводная связь", в ее наиболее общем смысле, включает любые технологии, которые используют электромагнитный спектр (световые или радио-волны)... сотовые телефоны несут риск безопасности, как и беспроводная клавиатура. Поразительно, даже нажатия клавиш на проводной клавиатуре могут быть обнаружены с максимум 20 футов, хотя последняя известная атака может быть только этапом в доказательстве правильности концепции.

Любая подключаемая беспроводная сеть уже имеет возможность проникновения "плохих парней". Тот факт, что ответственная сеть может "спрятать" ее (не публикуя его "SSID"), не является реальным препятствием для плохих парней, которые могут ее обнаружить выбором проб потока данных беспроводной передачи. Сети, которые по-прежнему используют устаревший алгоритм безопасности WEP, могут только тривиально отталкивать плохих парней, учетная запись шифрования WEP может быть взломана в течение примерно 60 секунд. Более сильные (и более ресурсоемкие WP2) сертификаты, чем WPA, способны сильнее оттолкнуть плохих парней посредством технических средств, но даже расширенная версия (WPA2 с CCMP/AES или TKIP и <nop>QoS [Quality of Service]) не удержит плохих парней, когда они -- через социальный инженеринг или другими способами -- получат вход в сеть, например после покупки кофе в кибер-кафе.

Следующие уязвимости в кибер-кафе остаются:


- если ваш компьютер имеет какие-либо открытые порты
- если беспроводной адаптер вашего компьютера будет компромиссно автоматически подключаться к сильным сигналам, которые могут находиться под контролем плохих парней
- если ваш компьютер может получить неправильно через скомпрометированные сетевые устройства или программное обеспечение или ISP, чтобы подделать сайты
- если передаете или получаете любую конфиденциальную незашифрованную информацию (userids, пароли и контент), которые могут для кого-либо еще представлять интерес в пределах сети кибер-кафе

Для безопасности:

Первое, что нужно сделать перед входом в беспроводную зону, является, как можно лучшая пуленепробиваемость вашего компьютера. Предполагая, что никому не назначено никакого входящего подключения к вашему компьютеру, нужно гарантировать, что запущен ваш персональный брандмауэр компьютера ("up"), и что все ваши порты закрыты. Интернет-инструменты (например, "Shields Up!" на grc.com) могут проверять устройство, подключенное к Интернету, однако, поскольку большинство компьютеров расположены за маршрутизатором, он должен быть проверяющим, и любая такая проверка должна производиться только с разрешения того, кто за это ответственен.

Особенно, если возможен просмотр сайтов, которые могут быть ненадежными,

  • защитите себя от нажатия на невидимые кнопки. Используйте Firefox с расширением NoScript, которое обеспечивает такую защиту, даже с полностью допускаемыми Java сценариями
  • если это терпимо, запускайте по умолчанию ваш браузер с отключенным Javascript (например с NoScript??), включая JavaScript?? для каждого доверенного сайта отдельно

Если используете Windows XP, как пользователь с правами администратора, защитите эти привилегии получением расширения процессам с выходом в Интернет (электронная почта, браузер) через установку и настройку "Сброса моих прав" и/или запуская в SandboxIE или другой подходящей программе-песочнице.

Избегайте неправильности:

Если используете Windows XP, нужно заверить запуск обновления KB917021 беспроводного клиента Microsoft, с тем чтобы ограничить возможность плохому парню выяснять сети, которые были ранее подключены для использования этой информации, чтобы обмануть вас в подключении с вашего компьютера. Это обновление также может уменьшить, насколько часто вы испытываете "падение" беспроводного подключения в занятых, многосетевых районах.

Храните свои секреты:

Всякий раз, когда являетесь гостем в какой-либо сети (поскольку не можете знать, кто может выбирать поток данных), вы должны убедиться, что можете зашифровать любые и все конфиденциальные данные, передающиеся к и от вашего компьютера. Для веб-почты и других онлайн учетных записей, к которым вы можете получить доступ через ваш браузер, веб-соединения должны быть https (не http) не только для шага входа в систему, но и для чтения и отправки любой потенциально конфиденциальной информации. Подключения не через браузер (если они не https) должны быть через SSH или другие подходящие технологии шифрованного туннеля, включая VPN.

Дополнительная безопасность:

Кейлоггеры являются большой проблемой, поскольку они могут втихомолку захватить и позднее соединять любые данные, чтобы ввести... userids, пароли, номера учетных записей. Можно защититься, если аутентификация требует создания одноразового пароля, как это может быть сделано с Yubikey или с Совершенными паролями документов.
Topic revision: 17 Mar 2013, IvanLykov
 
Download.png
This site is powered by the TWiki collaboration platformCopyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback
Powered by Olark