вторник, 16 ноября 2010 г.

Безопасность точек доступа

В настоящее время часто находят применение технологии предоставления беспроводного доступа в домашнюю или корпоративную сеть. Перечислю тезисами меры, которые необходимо предпринять для того, чтобы обезопасить сети от угроз, возникающих при использовании беспроводных технологий:
  • изменить имя и пароль на точку доступа, присвоенные производителем оборудования;
  • ограничить возможность администрирования точки доступа только через проводной интерфейс;
  • при небольшом количестве беспроводных устройств, настроить MAC-фильтрацию хостов сети;
  • изменить идентификатор сети (SSID) на уникальный;
  • отключить широковещательную трансляцию идентификатора сети (SSID broadcast);
  • по возможности не размещать точки доступа на границах контролируемой зоны. Если это невозможно нужно подумать об уменьшении мощности передатчика на точке доступа.
  • установить шифрование трафика по стандарту WPA (стандарт шифрование WEP не является надежным – взламывается за минуты).
Самое главное, на что следует обратить внимание - это на установку длины ключа шифрования не менее 128 бит, а также сложной парольной фразы для начального общего ключа (pre-shared key).

Дополнительные меры безопасности
  • не использовать DHCP;
  • настроить IP-фильтрацию;
  • задействовать технологию AAA для предварительной аутентификации (Radius, Tacacs+);
  • настроить фильтрацию на уровне имен пользователей, протоколов, времени и т.д.;
  • туннелировать соединение при помощи IPSec;

Параноидальная мера безопасности
  • не использовать беспроводные сети!