Защита трафика беспроводных сетей (часть 2)

В прошлом месяце я писал первую часть этого цикла статей, в которой были раскрыты некоторые риски, связанные с использованием незащищенных беспроводных сетей. Я был очень удивлен количеством сообщений электронной почты, которые получил в ответ на ту часть, и хочу поблагодарить всех тех, кто написал мне, за их добрые слова. Были также люди, спрашивавшиеся меня о том, не собираюсь ли рассказать об основах защиты беспроводных сетей в своем цикле статей, и именно этим я собираюсь заняться. Тем, кого больше интересуют советы по безопасности производственного класса, скажу, что эти советы я опишу позже в этом цикле статей.

Серьезные дебаты по поводу паролей по умолчанию

Практически каждая точка беспроводного доступа и беспроводной роутер имеют веб-интерфейс, который может использоваться администратором для настройки устройства на работу в сети. Этот интерфейс обычно открывается в веб-браузере при вводе в адресную строку адреса http://192.168.0.1. Хотите, верьте, хотите, нет, именно этот интерфейс представляет собой основную угрозу безопасности беспроводной сети.

Чтобы понять, что я имею в виду, давайте рассмотрим следующее. Пару месяцев назад мне позвонила подруга. Ее интернет провайдер прислал ей письмо, в котором говорилось, что будет переход на новый набор DNS адресов и что клиентам нужно обновить свои интернет роутеры этими новыми адресами. Будучи не очень сведущим человеком в области компьютеров, моя подруга не знала, что это значит и как внести необходимые изменения.

Поскольку она живет на другом конце страны, я не мог просто приехать к ней в офис и изменить настройки. Мне пришлось инструктировать ее по телефону. В самом начале я попросил ее войти в настройки своего роутера. Конечно, она не знала, как это сделать, и я спросил, какой марки роутер она использует. Когда она сказала, что использует роутер Netgear, я поискал в интернете информацию о том, какой пароль используется в Netgear по умолчанию. Я сразу же смог сказать ей, что по умолчанию используется имя пользователя admin (все буквы нижнего регистра) и пароль по умолчанию будет password (тоже нижний регистр). Более старые версии роутеров Netgear используют 1234 в качестве пароля по умолчанию.

Я веду к тому, что я не знал о сети своей подруги абсолютно ничего, и все же смог рассказать ей, как войти в настройки в течение нескольких минут поиска информации в Google. Нет ничего, что не позволило бы хакеру сделать то же самое. В результате, одним из приоритетов в защите своей беспроводной сети является смена пароля точки доступа, используемого по умолчанию.

Несколько лет назад, я проводил презентацию по безопасности беспроводных сетей для группы ИТ специалистов. В конце своей презентации я упомянул о смене стандартных паролей точек доступа в своем списке рекомендаций к безопасности. Представьте себе мое удивление, когда кто-то в зале сказал мне, что лучше сохранить пароль по умолчанию.

Несколько лет назад я слышал миф о неуместности паролей точек беспроводного доступа, но я не придавал этому мифу значения достаточного для того, чтобы провести дополнительные изыскания на этот счет. Но теперь ИТ специалист задал мне такой провоцирующий вопрос по этой теме перед целой аудиторией ИТ профессионалов.

Я не хотел выглядеть глупо из-за того, что даже не воспринимаю всерьез этот миф, но мне и не хотелось просто просить этого специалиста перестать прерывать меня. Я решил попросить его обосновать свою точку зрения, чтобы мы могли поучиться друг у друга.

Он объяснил, что точки доступа не приходится настраивать каждый день, и что можно заблокировать доступ к роутеру, забыв пароль. Он также сказал, что мои опасения на счет безопасности стандартных паролей точек беспроводного доступа были напрасными, так как 192.168.x.x диапазон адресов не маршрутизируется. В результате нужно быть физически подключённым к сети, чтобы иметь возможность работать с точкой доступа.

В одном он был прав. Диапазон адресов 192.168.x.x действительно не маршрутизируется, и необходимо быть подключенным к сети, чтобы иметь возможность работать с точкой доступа. Я думаю, что этот специалист считал, что никто не сможет получить доступ к диапазону адресов 192.168.x.x через интернет подключение.

Хотя вероятность подключения к этому диапазону адресов из интернета низка, суть заключается в том, что в этом нет необходимости. Пользователь может подключиться непосредственно к точке доступа через беспроводное соединение. В результате, любой пользователь, знающий стандартный IP адрес, имя пользователя и пароль точки доступа и находящийся в непосредственной близости к ней, может подключиться к ее веб-интерфейсу.

Что это значит? Если взломщику удастся войти на вашу точку доступа, это не значит, что ему удалось скомпрометировать ваши компьютеры. Беспроводные точки доступа имеют собственные встроенные механизмы проверки подлинности, которые абсолютно отдельны от контроллеров домена Windows. Поэтому пользователь, которому удалось войти в веб-интерфейс вашей точки доступа, не получает автоматического доступа к вашему домену Windows.

Учитывая это, если пользователь способен войти на точку доступа, он по сути становится ее владельцем. Ничего не сможет помешать ему изменить имя пользователя и пароль точки доступа, заблокировав вам доступ к ней. Такой пользователь также может получить иную конфиденциальную информацию путем просмотра журналов точки доступа и параметров безопасности.

Этот ведет нас к следующему моменту. Тот специалист, который поставил под сомнение необходимость смены стандартного пароля точки беспроводного доступа, сказал, что если вы изменяете пароль точки доступа и забываете на что вы его изменили, вы блокируете себе доступ к настройкам этой точки доступа. Однако то же самое можно сказать и о ситуации, в которой злоумышленник вторгается на вашу точку доступа и изменяет на ней пароль от вашего имени.

В любом из этих случаев вы потеряете доступ. Точки беспроводного доступа оснащены кнопками сброса параметров к заводским настройкам. Поэтому, если вы нажмете на эту кнопку, вам придется заново настраивать точку доступа, но это позволяет вам снова получить доступ к ней.

Заключение

На мой взгляд вопрос о необходимости смены стандартного пароля беспроводной точки доступа даже не стоит обсуждения. Невозможно отрицать тот факт, что использование стандартного пароля ставит безопасность под угрозу, которую можно устранить простой сменой пароля. Конечно, есть гораздо больше способов защиты беспроводной сети, чем простая смена стандартного пароля беспроводной точки доступа (хотя это важный первый шаг).

В третьей части этого цикла статей мы поговорим о другом аспекте безопасности беспроводной сети, который часто обсуждается. Некоторые специалисты ИТ настраивают на том, что нельзя вещать Security Set Identifier (SSID) своей сети, в то время как другие утверждают, что это абсолютно безвредно. Я покажу вам обе стороны этой проблемы, а также поделюсь своим мнением на счет необходимости в отключении вещания SSID.