Как обезопасить себя при подключении к общественной Wi-Fi-сети

Интернет – кладезь полезной информации и огромное хранилище развлечений: здесь есть всё – от мини-игр до шедевров мирового кинематографа в отличном качестве. Большинство интернет-ресурсов безопасны и самое неприятное, что может встретить пользователь – рекламные баннеры. Но такие неудобства необходимы для нормальной работы сайта – рекламодатели платят деньги за размещение рекламы, а это значит, что ресурс может платить достойным специалистам за наполнение достойным контентом.

Не все сайты одинаково полезны, на просторах Сети много тех сайтов, которые могут нанести серьёзный вред компьютеру. В современные браузеры встроена специальная программа, которая предупреждает об опасности перехода на тот или иной ресурс, вот только с развитием антивирусных технологий развиваются и сами вирусные программы, поэтому знать врага в лицо не только полезно, но и безопасно.

Введение

Считается, что безопасность и удобство лежат на разных чашах одних весов. То же самое и относится к сети Wi-Fi: удобно, но не очень безопасно. Уповая на ограниченный радиус действия этой технологии или от недостатка знаний часто специалисты информационной безопасности или системные администраторы не проявляют должной осмотрительности в этом направлении. А ведь такая точка доступа — это дверь в корпоративную сеть и лакомый кусочек для хакеров.

Хакеров, которые профессионально занимаются взломом сетей Wi-Fi, называют вардрайверы. Это целая субкультура, у которой есть свои форумы в подпольных уголках интернета и хорошие знания данной технологии. А потому необходимо знать, как происходит взлом сети, и постараться защитить свою беспроводную сеть так, чтобы ее взлом становился нецелесообразным по времени и трудозатратам.

Цель

В последние годы угроза веб-заражений стремительно растет. Это обусловлено, с одной стороны, увеличением числа активных пользователей и веб-ресурсов, а с другой — жаждой наживы у злоумышленников. На сегодняшний день атаки через интернет лидируют как по количеству, так и по уровню опасности. Достаточно бегло пробежаться по нашим ежемесячным рейтингам вредоносных программ, чтобы убедиться в этом: веб-атак огромное количество, они постоянно совершенствуются. Все наиболее сложные угрозы последнего времени — ZeuS, Sinowal, TDSS — распространяются именно через интернет. Та же история с регулярно досаждающими пользователям фальшивыми антивирусами и программами-блокерами. Через веб была проведена нашумевшая целевая атака «Operation Aurora». И это только видимая часть киберпреступного айсберга.

Основной целью злоумышленника при атаке в интернете является загрузка и установка на атакуемый компьютер вредоносного исполняемого файла. Безусловно, существуют такие атаки, как, например, XSS или CSRF, которые не подразумевают загрузки и инсталляции исполняемых файлов на атакуемые компьютеры. Но контроль изнутри над зараженной системой открывает злоумышленникам широкие возможности: при успешном исходе атаки они получают доступ к пользовательским данным и ресурсам системы. Это позволяет злоумышленникам так или иначе нажиться на пользователях.

О дефолтной защите Wi-Fi

На данный момент самым популярным методом защиты и шифрования трафика Wi-Fi является WPA2 (Wi-Fi Protected Access v.2).

WPA3 уже появилась, но еще толком не введена в эксплуатацию, хотя уже и была взломана хакерами атакой DragonBlood. Эта атака не очень сложная в воспроизведении, и за счет манипуляций с таймингами и побочным кешем позволяет узнать пароль от Wi-Fi. Поэтому самой безопасной все же остается WPA2, которой и рекомендуется пользоваться на сегодняшний день.

Сама же WPA2 бывает двух видов: PSK (Pre-Shared Key) и Enterprise. PSK использует для авторизации пароль (минимум 8 знаков) и применяется в основном в домашних условиях или небольших офисах. Enterprise же в свою очередь использует авторизацию с дополнительным сервером (как правило, RADIUS).

Также стоит упомянуть технологию WPS (Wi-Fi Protected Setup). Это упрощенный метод авторизации устройств с точкой доступа Wi-Fi, основанный на PIN-коде. Но, как уже было сказано — чем удобнее, тем менее безопасно, поэтому эту функцию рекомендуется отключать, если в ней нет крайней необходимости.

Надежный пароль

Как поставить пароль на Wi-Fi, рассказано в следующем видео:

Хорошо составленный сетевой ключ – это самый главный пункт, который обезопасит Wi-Fi. В надежном пароле используются строчные и заглавные буквы («а» и «А» для него – это разные символы), а также цифры и специальные знаки (-, _, !, ~, @, $, #, &, %, *). Избегайте простых комбинаций, вроде цифр или букв, набранных с клавиатуры в ряд.

Шаг 1. Зайдите в панель управления роутером, как было описано в первом пункте.

Шаг 2. Найдите пункт меню «Беспроводной режим», «Wireless» и т.п. и вкладку (или подменю) «Безопасность», «WLAN». У Sagem [email protected] 1744 v2.2, которые использует Ростелеком, защитить Вай-Фай паролем как раз можно с помощью пунктов «Настройка WLAN» – «Безопасность».

Шаг 3. В поле Password / Пароль PSK / Пароль введите выбранный вами код. Его придется вводить при подключении новых устройств или гостей.

Шаг 4. Сохраните изменения. Роутер перезагрузится. После этого придется заново вводить пароль для всех устройств, которые вы хотите подключить к Wi-Fi.

Дополнительно. На этом этапе можно сменить имя сети (SSID) на уникальное – по своему усмотрению. Это нужно, если в стандартном имени было указано название роутера. В некоторых панелях управления SSID изменяется не в этом пункте меню. Тогда проверьте соседние.

Атаки на Wi-Fi глазами вардрайвера

Для взлома сети Wi-Fi из софта можно использовать практически любой дистрибутив Linux, собранный для тестирования на проникновение. Это может быть всем известные Kali Linux, Black Arch или Parrot. Также есть специально собранный под это дистрибутив WifiSlax. С точки зрения атаки на беспроводные сети эти дистрибутивы объединяет пропатченное ядро для корректной работы программы aircrack-ng.

Из железа необходимо иметь лишь Wi-Fi-карту, которая поддерживает режим мониторинга. Они обычно сделаны на базе чипа Atheros, моделей ar*.

Общие данные

Довольно примечательно то, что обычные домашние сети взламываются крайне редко. В основном от перехвата данных или доступа посторонних страдает оборудование различных частных и государственных компаний. В случае с домашним вай фай, попытки взлома могут быть только от соседей, который желают полакомиться бесплатным Интернетом. Независимо от этого, большинством специалистов рекомендуется защищать свое оборудование. Зачастую для этого достаточно:

• Провести установку надежного пароля;
• Изменить стандартный пароль и логин для входа в настройки маршрутизатора;
• Выбрать хороший тип шифрования в настройках;
• Отключить доступ с функцией WPS.

Если же пользователю этого покажется недостаточно, то можно провести более «продвинутый» комплекс мероприятий по тому, как защитить Вай Фай:

• Постоянное обновление прошивки маршрутизатора на новую версию;
• Настроить функции удаленного доступа;
• Создание подсетей с функцией гостевого доступа;
• Установка сети как скрытой;
• Сделать фильтрацию и зашифровать подключение по МАС-адресам;
• Уменьшение дальности передачи сигнала для сужения круга подключаемых;
• Приобретение роутера с функцией файерволла или VPN;
• Регулярная проверка количества подключенных устройств;
• Инсталляция специальных программ и приложений, а также оборудования.

Обратите внимание! Максимальным образом может помочь скрытие маршрутизатора от посторонних глаз. В таком случае он не будет виден в списке доступных устройств.

Для соединения, в таком случае, необходимо точно знать название сети и пароль.

Атака на WPS

Самый первый шаг взлома сети Wi-Fi — это сканирование на наличие включенной функции WPS. Это можно сделать с телефона на операционной системе Android. Программа WPSApp не только «видит» активный WPS. На борту есть небольшая база дефолтных pin-кодов нескольких производителей (его можно узнать по MAC-адресу), которые можно попробовать автоматически подобрать. И если хакер оказывается в уверенном приеме 2-3 точек доступа с включенным WPS, то через 10-20 минут при определенной доле везения он получит доступ к одной из них, не прибегая к помощи компьютера.

Рисунок 1. Интерфейс программы WPSApp

Если такой способ не увенчался успехом, все же придется воспользоваться ноутбуком.

Чтобы просканировать доступные точки доступа, необходимо перевести сетевую карту в режим мониторинга, для чего и нужен aircrack-ng.

airmon-ng start wlan0

После этого появится новый беспроводной интерфейс (как правило, wlan0mon). После этого можно узнать, на каких роутерах включен WPS:

wash –i wlan0mon

Рисунок 2. Результат программы wash

После этого хакер начинает атаковать цель. Атаки на WPS нацелены на получение PIN-кода для авторизации. Многие роутеры до сих пор подвержены атаке Pixie-Dust, которая в случае успеха выдает PIN-код и пароль за 5-15 секунд. Осуществляется такая атака программой reaver:

reaver -i wlan0mon -b 7C:8B:CA:4B:DF:CE -K

Если Pixie-Dust не смог взломать WPS, то можно его попробовать подобрать брутфорсом. Это осуществляется той же самой программой:

reaver -i wlan0mon -b 7C:8B:CA:4B:DF:CE -c 5 –v

Рисунок 3. Работа программы reaver

Такая атака занимает до 30 часов, если точка доступа не заблокирует запросы по таймауту. Защиту от таких атак пользователь настроить не может, она заложена в прошивке роутера. Поэтому необходимо обновлять программное обеспечение до новых версий.

Как не стать жертвой?

Самый очевидный способ обезопасить компьютер от вредоносных программ — установить антивирус, который оповещает о переходе на непроверенные или потенциально опасные сайты. Но, к сожалению, современные мошенники способны обходить защитные программы, и потому стоит предпринимать дополнительные меры, если все-таки нужно перейти на незнакомый сайт.

Обратите внимание! Просто скачать и установить антивирусную программу на компьютер недостаточно, необходимо регулярно проверять её активность и осуществлять обновление программного обеспечения.

1. Самый неочевидный, но всё же показатель опасности сайта – наименование протокола в начале ссылки на ресурс. Аббревиатура https включает в себя первую букву от слова secure, что означает зашифрованность канала передачи данных от сервера к браузеру пользователя и обратно. При отсутствии последней буквы этой аббревиатуры можно быть практически уверенным, что сайт принадлежит мошенникам, не стоит вводить на нём какие-либо персональные данные. К сожалению, злоумышленники научились использовать и защищённый протокол в корыстных целях, поэтому незнакомый сайт стоит проверить дополнительно.
2. Действенный метод проверить сайт – установить специальное расширение для браузера, которое будет оповещать о переходе на вредоносный ресурс. Вот только такие программы склонны «подозревать» огромное количество интернет-ресурсов, а значит, потребуется принять решение – довериться расширению или нет. Проверить опасность сайта можно и на одном из специализированных сервисов, например VirusTotal, который позволяет оценить потенциальную угрозу, исходящую от интернет-ресурса, если таковая имеется.
3. Если сайт представляет собой интернет-магазин, то перед вводом данных банковской карты, электронного кошелька, адреса, паспортных данных, стоит озаботиться поиском отзывов о данном магазине от других пользователей Сети. Достаточно просто «спросить» Яндекс или Google, введя название ресурса, по отзывам пользователей можно понять, является ли сайт мошенническим или оказывает качественные услуги в сфере интернет-торговли.
4. Любой сайт, на котором требуется регистрация или ввод каких-либо данных, должен озаботиться политикой конфиденциальности. Подобную информацию чаще всего можно найти внизу главной страницы сайта: если такая ссылка не обнаружена, сайт с высокой долей вероятности может заниматься сбором и незаконным распространением персональных данных.
5. Тревожный знак, на который следует обратить внимание – запрос на скачивание файла или архива сразу после входа на сайт. Нажимая кнопку «Скачать», пользователь рискует столкнуться с различными неприятностями – от банального и навязчивого браузера Амиго до программы-шпиона, которая будет собирать личные данные пользователя (пароли, логины, данные о паспорте и банковских счетах, а также фото и личные файлы).
6. Самый важный и очевидный признак опасного сайта относится к тем адресам, которые пользователь знает наизусть: обычно это банковские ресурсы, социальные сети или любимые файлообменники. Перед переходом на сайт и тем более, вводом персональных данных крайне необходимо проверить правильность написания адреса в адресной строке браузера и обратить внимание на корректность доменного имени.

По статистике 93% пользователей Интернета по всему миру становятся жертвами вредоносных сайтов, одним удаётся избежать серьёзных последствий, другие лишаются денег, доступа к личным кабинетам и профилям в социальных сетях. Всё та же суровая статистика предупреждает, что подавляющее большинство опасных интернет-ресурсов имеют такие тематики как видео для взрослых, секреты и ключи к популярным играм, а также якобы рассказывают о различных быстрых способах заработка – от казино до брокерских услуг.

Перехват headshake

Зачастую функция WPS на роутере все же выключена, поэтому взлом немного усложняется. Теоретически атака проходит так: при повторном подключении к точке доступа клиент передает так называемый headshake, в котором содержится хеш пароля. Хакеру необходимо прослушивать трафик этой сети и разорвать авторизованную сессию между клиентом и точкой доступа, тем самым заставить передать headshake. В момент передачи он перехватывается, и расшифровывается пароль методом атаки по словарю, или брутфорсом.

Практически это делается следующими командами:

airmon-ng start wlan0 airodump-ng wlan0mon

Рисунок 4. Мониторинг эфира Wi—Fi

Появятся все доступные точки доступа с уровнем сигнала, номером канала и другой полезной информацией. Далее выбираем точку доступа и запускаем мониторинг эфира:

airodump-ng -c 1 —bssid E8:94:F6:8A:5C:FA -w /root/wifi wlan0mon

Следующим шагом необходимо «отсоединить» клиентов от сканируемой точки доступа. Для этого, не прекращая сканирования, в новом терминале вводим команду:

aireplay-ng —deauth 1000 -a E8:94:F6:8A:5C:FA wlan0mon

После этого остается ждать, когда клиенты начнут заново пытаться авторизоваться, и в терминале сканирования появится надпись, символизирующая успешный перехват «рукопожатия».

Рисунок 5. Перехват «рукопожатия»

Осталось взломать хеш пароля. Для этого есть много онлайн-сервисов в глобальной сети, либо, если позволяют вычислительные ресурсы, можно попробовать сделать это на локальном компьютере.

hashcat -m 2500 /root/hs/out.hccap /root/rockyou.txt

Если все грамотно настроено, то перебор может достигать до 1 миллиона комбинаций в секунду.

Ограничьте работу функции AirDrop и передачи файлов

Если вы работаете в открытой сети и не хотите обмениваться файлами с незнакомцами, отключите соответствующие функции. На ноутбуке это можно сделать в Центре управления сетями и общим доступом. Зайдите в Дополнительные параметры общего доступа и выберите «Отключить общий доступ к файлам и принтерам». На Mac зайдите в Системные настройки, затем в раздел Обмен файлами, и уберите галочки со всех пунктов. Затем запустите программу Finder, нажмите на AirDrop и выберите «Кто может меня видеть: никто». На iOS вам нужно просто найти функцию AirDrop в Центре управления и отключить ее.

Готово. Больше никто из окружающих не сможет перехватить ваши файлы и прислать вам что-то ненужное.

Evil Twin

Существует еще один вид атаки, который основан не только на технических моментах, но и на социальной инженерии. Смысл его заключается в том, чтобы заглушить основную точку доступа, развернуть со своего компьютера точно такую же (тот же MAC-адрес, такой же SSID), и обманным путем заставить пользователя ввести пароль, который будет перехвачен. Но для этого необходимо находиться недалеко от клиента, чтобы прием был достаточно сильный.

Для этого приема изобретено достаточно много программ, которые автоматизируют процесс, например wifiphisher. После запуска и создания точки доступа клиент подключается к ней и пробует зайти на любой сайт. Его запрос перенаправляется на локальную страницу хакера, где есть поле для ввода пароля от сети. Оформление страницы зависит от навыков социальной инженерии. К примеру, просьба обновить программное обеспечение для роутера и необходимость ввести пароль от Wi-Fi — придумано может быть что угодно.

Фильтрация устройств через роутер по MAC адресу

Это еще более надежный способ защитить wifi от непрошенных гостей через WiFi роутер. Дело в том, что каждое устройство имеет свой персональный идентификатор, который называется MAC адрес. Вы можете разрешить доступ только своим компьютерам, прописав их ID в настройках домашнего роутера.

Но для начала надо эти MAC узнать. Для этого в Windows 7 надо зайти по цепочке: «Пуск > Панель управления > Сеть и интернет > Центр управления > Изменение параметров адаптера» и дважды кликнуть по своему wifi соединению. Далее жмем на кнопку «Сведения» и смотрим на пункт «Физический адрес» — это оно и есть!

Записываем его без знаком дефиса — только цифры и буквы. После чего заходим в администраторский раздел маршрутизатора во вкладку «Фильтр MAC-адресов беспроводной сети». Выбираем из выпадающего списка пункт «Принимать» и добавляем MAC адреса компьютеров, которые имеются в вашей локалке — повторюсь, без знаков дефиса.

После этого сохраняем настройки и радуемся, что чужое устройство не зайдет!

Итог взлома

Остается лишь сделать небольшую ремарку по данному материалу: приведенный пример охватывает лишь необходимый минимум настроек программ для совершения данной операции. На самом деле, для описания всех опций, методов и хитростей придется написать книгу.

Что касается ограниченного радиуса действия, то это тоже не проблема для хакеров. Существуют узконаправленные антенны, которые могут принимать сигнал издалека, несмотря на ограниченность модуля Wi-Fi-карты. Программными способами ее можно разогнать до 30 dBm.

Продать или купить в интернете

Покупать и продавать через интернет удобно. Но при этом — опасно.

Вы разместили объявление на популярном сайте? Не спешите радоваться, если вам позвонит покупатель, готовый немедленно приобрести ваш товар. Он сообщит, что хочет прямо сейчас перевести на вашу карту необходимую сумму. Всё, что от вас требуется — это реквизиты и несколько кодов, которые придут на ваш телефон. Псевдопокупатель исчезнет сразу же, как вы отправите ему кодовое слово или пароль, пришедшие по смс. Такая история закончится обнулением счёта вашей карточки.

Чтобы обезопасить себя от мошенничества с банковскими картами, помните:

• Нельзя сообщать посторонним людям секретную информацию, размещённую на обороте вашей дебетовой или кредитной карты.
• Для совершения операции по оплате достаточно фамилии, имени и отчества держателя карты, а также номера карты.
• Если у вас возникает хотя бы малейшее сомнение в добросовестности продавца или покупателя, требуйте личной встречи и не передавайте деньги заранее.

Взлом дополнительной защиты

Существуют дополнительные меры защиты беспроводной сети. На сайте «Лаборатории Касперского» опубликованы рекомендации, как сделать сеть более безопасной, но это подойдет больше для сфер применения WPA2 PSK. И вот почему:

1. Какой бы сложный пароль для авторизации ни был, при использовании радужных таблиц и хороших вычислительных ресурсов расшифровка пароля не будет помехой.
2. При использовании скрытого имени сети его не видно только в штатном режиме работы карты. Если запустить режим мониторинга, то SSID виден.

Что касается фильтрации MAC-адресов, то на роутере есть функция, которая позволяет задать определенные адреса, тем самым разрешить подключение к сети. Остальные устройства будут отвергнуты. Эта дополнительная защита сама по себе предполагает наличие у злоумышленника пароля.

Но и эту защиту можно обойти. При мониторинге конкретной точки доступа видно MAC-адреса клиентов, которые подключены.

Рисунок 6. MAC-адрес клиента, подключенного к точке доступа

Меняем MAC-адрес нашего сетевого интерфейса программным путем:

ifconfig wlan0 down macchanger -m 00:d0:70:00:20:69 wlan0 ifconfig wlan0 up macchanger -s wlan0

После этого MAC-адрес будет как у уже подключенного клиента, а это значит, что ему разрешено подключение. Теперь посылаем пакеты деавторизации данного клиента:

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:d0:70:00:20:69 wlan0mon

В тот момент, когда устройство отключится от сети, у хакера будет возможность подключиться к ней.

Безусловно, все приведенные рекомендации влияют на защищенность сети, так как они ставят палки в колеса хакерам, и просто ради интернета он не будет так усложнять себе жизнь. Но если говорить о крупных компаниях, то приведенные выше примеры доказывают, что WPA PSK не способна предоставить соответствующей защиты.

Первичная настройка безопасности сети WiFi роутера

Прежде всего для организации защиты wifi сети позаботьтесь об обязательном шифровании подключения на роутере. Я рекомендую использовать ключ безопасности wifi стандарта WPA2/PSK или более нового WPA3/PSK. Он требует достаточно сложного семизначного пароля, который весьма сложно подобрать.

Александр

специалист по беспроводным сетям

Я серьезно задумался над этой проблемой давно, когда при очередном обзоре входящих в домашнюю сетку устройств обнаружил не одно, не два, а штук 10 компьютеров, ноутбуков и смартфонов! Тогда безопасность локальной wifi сети меня всерьез заинтересовала, и я стал искать дополнительные более надежные способы защитить свой роутер.

Для того, чтобы максимально обезопасить свою сеть, не требуется какая-то специфическая программа защиты. Все обеспечивается в настройках wifi роутера и компьютера. Демонстрация способов будет проводиться на примере модели ASUS WL-520GU.

Безопасности WI-FI в корпоративной среде

Выше упоминалась разница WPA2 PSK и Enterprise. Однако есть еще существенное различие между этими технологиями: PSK использует методы шифрования трафика на основе пароля. Однако хакерам удалось, используя атаку KRACK, расшифровывать трафик без пароля, что позволяет слушать эфир и перехватывать пакеты без авторизации в сети, что вызывает классическую MITM-атаку.

Enterprise использует шифрование трафика на основе внутреннего ключа и сертификата, который генерирует сервер авторизации. Используя эту технологию, каждый пользователь имеет свой логин и пароль от корпоративной сети Wi-Fi. Настройки осуществляются очень тонко: каждому пользователю можно предоставить или запретить те или иные ресурсы, вплоть до определения vlan, в котором будет находиться устройство клиента. Атака KRACK не способна расшифровать трафик WPA2 Enterprise.

Если резюмировать все нюансы, то при использовании PSK базовый минимум защиты — это максимально возможная защита роутера. А именно:

1. Отключение WPS.
2. Сложный пароль от 10 символов, включающий цифры, буквы и спецсимволы (желательно менять раз в квартал).
3. Ограничение всех MAC-адресов, кроме допустимых.
4. Скрытая SSID.
5. Ограничение Wi-Fi-сети от общей корпоративной сети функциями vlan.

При использовании Enterprise достаточно сложных паролей и нестандартных логинов для клиентов, плюс свой сертификат шифрования трафика. Брутфорс «на живую» будет не эффективен, так как проходить будет очень медленно, а расшифровать трафик, не имея ключа, не получится.

Передача учетных данных по сети в открытом виде

Все еще встречается использование сетевых протоколов, в которых в открытом виде передаются учетные данные пользователей, — это HTTP, почтовые протоколы с отсутствием шифрования, LDAP и Telnet. По данным нашего исследования, хранение важной информации в открытом виде на сетевых ресурсах встречается в 44% организаций, в которых мы проводили анализ защищенности. В случае компрометации сети злоумышленник может в пассивном режиме перехватить учетные данные, закрепить свое присутствие в инфраструктуре и повысить свои привилегии.

Пример передаваемых учетных данных, выявленных с помощью
PTNAD
На видео мы показали, как с помощью PT NAD можно проверить, передаются ли по сети учетные данные в открытом виде. Для этого мы отфильтровали в PT NAD сетевые сессии по признаку передачи пароля. Это позволило найти факты передачи учетных данных для веб-приложения, в нашем случае — системы мониторинга Zabbix. Имея привилегированную учетную запись на сервере Zabbix, злоумышленник чаще всего получает возможность удаленного выполнения команд на всех системах, подключенных к мониторингу. Также в демонстрации мы рассмотрели пример анализа трафика на использование отрытых сетевых протоколов (LDAP, FTP, HTTP, POP3, SMTP, Telnet) и извлечение из него учетных записей пользователей.

Подробнее на видео

Перечислим методы устранения передачи учетных данных в открытом виде на разных участках инфраструктуры:

1. Веб-серверы: перейти с протокола
   HTTP наHTTPS
   . Для перехода на защищенный протокол HTTPS требуется настроить SSL-сертификат и переадресацию с HTTP-адресов на HTTPS. На внутренних ресурсах организации допустимо настроить самоподписанные сертификаты, предварительно настроив внутренний центр сертификации. Для общедоступных ресурсов лучше использовать доверенные сертификаты, выпущенные доверенным удостоверяющим центром.
2. 2. Протокол
   LDAP: настроить клиенты на использование аутентификации черезKerberos или использование защищенной версии протокола.
   Для настройки аутентификации через Kerberos, необходимо настроить клиентов на использование SASL-механизмов аутентификации GSSAPI или GSS-SPNEGO. TLS, необходимо активировать LDAPS на сервере согласно инструкции. Далее настроить клиентов на использование TLS (LDAPS) при подключении к LDAP-серверу.
3. Почтовые протоколы: настроить клиенты и серверы на использование
   TLS.
   Вместо стандартных POP3, IMAP и SMTP рекомендуем настроить клиенты и серверы организации на использование их защищенных аналогов POP3S, IMAPS и SMTPS согласно инструкции вашего почтового сервера. Стоит отметить, что при принудительном включении TLS письма могут быть не доставлены на серверы, не поддерживающие шифрование.
4. Протокол
   Telnet: перейти наSSH.
   Следует полностью отказаться от использования протокола Telnet и заменить его на защищенный протокол SSH.
5. FTP: перейти на
   SFTP илиFTPS.
   FTPS — версия FTP с применением протокола SSL, требующая для своей работы SSL-сертификат. SFTP — протокол передачи файлов, чаще всего использующий SSH. Как следствие, требует меньше настроек на серверах, где уже применяется SSH.

Выводы

В статье были рассмотрены способы взлома Wi-Fi, и доказано, что это не так уж сложно. Поэтому, если пользоваться PSK — то защита беспроводной сети должна быть на самом высоком уровне, чтобы хакер потерял интерес еще до того, как он ее взломает. Но это не решает проблемы, например, уволенных сотрудников, поэтому лучше пароль время от времени менять.

При использовании Enterprise взлом маловероятен, и уволенные сотрудники не страшны, так как можно их блокировать (у каждого своя, тонко настроенная учетная запись).

Совет № 6. Настройте private доступ для сотрудников и public доступ для гостей

Таким образом вы разделите вашу сеть на две отдельные точки доступа. Хорошо защищенная и настроенная корпоративная точка доступа будет доступна только вашим сотрудникам для выполнения их рабочих задач, в то время как ваши клиенты и гости для получения беспроводного доступа в Интернет смогут воспользоваться публичной точкой доступа. Это устранит возможность случайного или намеренного доступа гостей к вашей системе, в том числе и к конфиденциальной информации, а также обезопасит ваш корпоративный трафик от прослушивания.

Отключите UPnP (Universal Plug n Play)

UPnP на самом деле очень полезен для роутера, поскольку он позволяет ему взаимодействовать с веб-сайтом производителя для скачивания обновления и других файлов. UPnP – это протокол, который позволяет интеллектуальным устройствам подключаться к Интернету для получения интеллектуальных функций.

К сожалению, UPnP также могут легко использовать хакеры в собственных целях. Был случай, когда киберпреступникам удалось через UPnP добавить около 65 000 роутеров в ботнет для совершения различных преступлений, включая фишинг, мошенничество с кредитными картами, кражу учётных записей, накрутку кликов и распространение вредоносного ПО. Кроме того, UPnP также использовался и для других атак вредоносных программ.

Именно поэтому лучше отключить возможности и совместимость UPnP на роутере и смарт-устройствах. Чтобы вы могли использовать утилиты UPnP и на своих смарт-устройствах, сначала настройте UPnP и запустите его, а затем отключите.

Держите прошивку роутера в актуальном состоянии

В отличие от большинства устройств, обновление прошивки роутера не такой уж удобный процесс. Некоторые модели роутеров не поддерживают функции автоматического обновления, поэтому вам нужно делать это вручную по инструкции на сайте производителя. Что касается большинства роутеров, которые поддерживают автоматические обновления, то эту функцию обязательно нужно включить, так как по умолчанию она отключена.

Но это того стоит. Если вы не обновляете прошивку вашего роутера регулярно, то вы подвергаете себя всевозможным потенциальным киберугрозам. Например, благодаря обновлению прошивки можно исправить критические ошибки, которые позволяют хакерам получить доступ к вашему роутеру.

Убедитесь, что фаервол роутера включён

Большинство роутеров имеют встроенный фаервол. Чтобы проверить, включен ли он, просто откройте консоль роутера и проверьте вкладку по безопасности. Если вы видите, что фаервол не включен, включите его. Фаервол – хороший способ дополнительной защиты для домашнего Wi-Fi, так как он может быть настроен для предотвращения использования вашей сети для вредоносного трафика.

Если ваш роутер не имеет встроенного фаервола, вы всегда можете приобрести аппаратный. Большинство сервисов, о которых мы упоминали выше, отлично работают.