Создаем защищенную wi-fi сеть часть #1
На первый взгляд, создать
надежно защищенную wi-fi сеть очень трудно. Необходимо приобрести
"правильное" оборудование, настроить сервер аутентификации,
позаботиться об учете интернет трафика и защите от внешних атак
посредством фаервола.
Всё это может отнять
массу времени и денежных средств. В данной статье я расскажу об одном
из самых дешевых и простых способов создания защищенной беспроводной
сети с общим выходом в Интернет.
Часть 1. Немного о безопасности
Причина
уязвимости беспроводных сетей заключена в принципе их работы:
перехватить данные, передающиеся по радиоканалу, намного легче, чем при
обычном кабельном соединении. Это не требует дорогостоящего
оборудования и реализуемо при помощи обычного ноутбука, пары хакерских
утилит (таких как airodump и aircrack) и хорошей инструкции по взлому
wi-fi (как например здесь). Поэтому беспроводная сеть должна быть
максимально защищена от различного рода атак: несанкционированных
подключений, перехвата и прослушивания трафика, хищения важной
информации, "ложных" точек доступа и т.п.
На сегодняшний день
наиболее надежным для беспроводных сетей признан стандарт безопасности
WPA (Wi-Fi Protected Access). Начальную защиту wi-fi сети можно
обеспечить при помощи режима WPA-PSK (Pre-Shared Key), когда на точке
доступа и на компьютере пользователя вручную вводится ключ сеанса связи
– Pre-Shared Key, напоминающий обычный пароль. Потенциальная уязвимость
WPA-PSK возникает из-за того, что в реальных сетях ключевая фраза редко
меняется и одинакова для всех пользователей сети. При наличии времени и
мощного компьютера подобрать такой пароль не составит особого труда.
Более
надежная защита сети достигается при использовании режима WPA
Enterprise, когда в сети установлен сервер аутентификации (RADIUS
сервер), осуществляющий проверку прав доступа пользователей. В таком
случае беспроводная точка доступа будет блокировать все подключения к
беспроводной сети до тех пор, пока вводимые пользователем имя и пароль
не пройдут проверку на сервере аутентификации. Если пользователя нет в
базе данных RADIUS сервера, то он не сможет подключиться к wi-fi сети.
Максимальную
защиту беспроводной сети обеспечивает использование цифровых
сертификатов и метода аутентификации EAP-TLS (Extensible Authentication
Protocol - Transport Level Security). В таком случае компьютер
пользователя и RADIUS сервер проверяют друг друга по заранее
сгенерированным цифровым сертификатам, что гарантировано защитит вашу
сеть от несанкционированных подключений, а пользователей – от
внедряемых хакерами "ложных" точек доступа.
Для ещё более
надежной защиты передаваемых данных можно создать внешнюю защитную
оболочку беспроводной сети, используя технологию VPN (Virtual Private
Network) поверх WPA, что добавит второй уровень шифрования трафика.
И,
наконец, защититься от несанкционированных точек доступа, втайне
устанавливаемых вашими сотрудниками, можно при помощи специального
сетевого оборудования, умеющего выявлять подобные устройства и
генерировать соответствующие отчеты.
Построить такую систему
защиты беспроводной сети под силу немногим: нужно, как минимум,
правильно настроить беспроводную точку доступа и сервер авторизации
RADIUS, создать Базу данных пользователей, разработать систему
управления этой базой и цифровыми сертификатами, и самое главное -
объединить все эти компоненты в единую сеть.
Но, несмотря на
кажущуюся сложность, создать максимально защищенную wi-fi сеть
достаточно легко. Для этого необязательно быть гуру в инфобезопасности
и беспроводных стандартах. Всё можно сделать за час-полтора, имея:
- отдельный компьютер;
- беспроводную
точку доступа, поддерживающую WPA, WPA2 и авторизацию на RADIUS-сервере
(данные характеристики точки доступа можно узнать из её документации
или у консультантов в компьютерном магазине);
- программу
Esomo, которая будет играть роль RADIUS сервера, а также сервера общего
доступа в Интернет. Официальный сайт разработчика программы:
www.esomoline.com. Для защиты беспроводной сети Esomo использует
протокол EAP-TLS, предусматривающий аутентификацию пользователей на
встроенном RADIUS сервере и взаимную проверку подлинности между RADIUS
сервером Esomo и компьютерами пользователей по цифровым сертификатам.
Часть 2. Пример создания защищенной беспроводной сети
Теперь
рассмотрим пример организации локальной wi-fi сети на базе Esomo. Сеть
включает 11 компьютеров, беспроводную точку доступа Linksys и
подключена к Интернету через ADSL модем.
Прежде всего, скачиваем
Esomo с сайта разработчика (размер дистрибутива 135 Мб) и устанавливаем
серверную часть программы на отдельный компьютер с двумя сетевыми
картами. Это будет наш RADIUS сервер, а также VPN сервер и сервер
доступа в Интернет, позволяющий ограничивать трафик пользователей,
просматривать статистику доступа и расходов трафика. Для работы Esomo
не требуется операционная система, т.к. в состав программы уже входит
свободно распространяемая ОС FreeBSD.
После установки программы подключаем компьютер с Esomo и
беспроводную точку доступа к сетевому коммутатору. Через второй сетевой
интерфейс подключаем сервер Esomo к ADSL-модему (или к кабелю, если у
вас выделенная линия). На любом Windows-компьютере локальной сети
(также подключенному к сетевому коммутатору) запускаем Esomo АРМ и
подключаемся к серверу Esomo. Создать защищенную беспроводную
сеть на базе Esomo можно за 4 простых шага. Вначале мы займемся
настройкой Esomo для работы с беспроводной сетью. Затем настроим
беспроводную точку доступа и компьютеры пользователей. И, наконец,
подключимся к wi-fi сети и установим VPN-соединение с сервером Esomo
для создания второго уровня защиты беспроводного трафика. После этого
можно безопасно работать в wi-fi сети и Интернет. Итак, приступим. Шаг 1. Настройка сервера EsomoПрежде
всего, выдадим постоянный IP-адрес беспроводной точке доступа для
работы в нашей сети. Для этого добавим точку доступа в список
статического DHCP (МАС-адрес точки доступа обычно указан в наклейке на
ней). Применим настройки. 
Теперь
добавим беспроводную точку доступа в список точек доступа на сервере
Esomo и укажем для нее секретный ключ (пароль). Это необходимо для
организации безопасного соединения между точкой доступа и Esomo.
Применим настройки.
Чтобы
пользователи сети могли выходить в Интернет, а Esomo учитывать их
трафик, необходимо создать тариф, определяющий стоимость 1 Мб трафика
или 1 минуты интернет соединения. Для этого в разделе "Тарифы" добавим
новый тариф, определив стоимость 1 Мб входящего трафика, например в 1
рубль.
Поскольку
на момент написания статьи Esomo разрешает доступ в Интернет только
пользователям, имеющим тариф и средства на индивидуальном счете, зайдем
в раздел "Пользователи" и дважды кликнув по пользователю testuser
присвоим ему ранее созданный тариф и добавим на его счет 500 рублей.
На этом настройка сервера Esomo завершена. Оставляем окно Esomo АРМ открытым и переходим к настройке беспроводной точки доступа.
Шаг 2. Настройка беспроводной точки доступа - читаем в следующей статье |
