Принцип меньших полномочий 6 страница

Перед покупкой сетевых устройств следует внимательно ознакомиться с документацией, узнать, какие протоколы или технологии шифрования ими поддерживаются, проверить, поддерживают ли эти технологии шифрования операционные системы (ОС), установленные на компьютерах сети. Если ряд технологий не поддерживается со стороны ОС, то это должно поддерживаться на уровне драйверов сетевых устройств.

Если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то необходимо использовать эту возможность. Абонентский пункт должен настраиваться только по проводной сети. Не следует использовать по радиоканалу протокол управления SNMP, web-интерфейс и telnet.

Если точка доступа позволяет управлять доступом клиентов по MAC-адресам (Media Access Control, в настройках может называться Access List), нужно использовать эту возможность. Хотя MAC-адрес и можно подменить, тем не менее, это дополнительный барьер на пути злоумышленника.

Если оборудование позволяет запретить трансляцию в эфир идентификатора SSID, надо использовать эту возможность (опция может называться «closed network»), но и в этом случае SSID может быть перехвачен при подключении легитимного клиента.

Необходимо запретить доступ для клиентов с SSID по умолчанию «ANY» (все), если оборудование позволяет это делать. Не нужно использовать в своих сетях простые SSID — лучше придумать что-нибудь уникальное, не завязанное на названии организации и отсутствующее в словарях.

Антенны должны располагаться как можно дальше от окон, внешних стен здания, а также следует ограничить мощность радиоизлучения, чтобы снизить вероятность подключения «с улицы». Целесообразно использовать направленные антенны и не использовать радиоканал по умолчанию.

Если при установке драйверов сетевых устройств предлагается выбор между технологиями шифрования WEP, WEP/WPA (средний вариант), WPA, лучше выбрать WPA (в малых сетях можно использовать режим Pre-Shared Key (PSK)). Если устройства не поддерживают WPA, то обязательно нужно включить хотя бы WEP. При выборе устройства никогда нельзя приобретать то, что не поддерживает даже 128-битный WEP.

Всегда нужно использовать максимально длинные ключи. 128 бит — это минимум (но если в сети есть карты 40/64 бит, то в этом случае с ними вы не сможете соединиться). Никогда нельзя прописывать в настройках простые или очевидные ключи и пароли (например, день рождения, 12345), периодически их нужно менять (в настройках обычно имеется удобный выбор из четырех заранее заданных ключей — пользователям можно сообщите о том, в какой день недели какой ключ используется).

Ни в коем случае нельзя разглашать посторонним информацию о том, каким образом и с какими паролями вы подключаетесь (если используются пароли). Искажение данных или их воровство, а также прослушивание трафика путем внедрения в передаваемый поток — очень трудоемкая задача при условиях, что применяются длинные динамически изменяющиеся ключи. Поэтому хакерам проще использовать человеческий фактор.

Если используются статические ключи и пароли, следует позаботиться об их частой смене. Делать это лучше одному человеку — администратору.
Если в настройках устройства предлагается выбор между методами WEP-аутентификации «Shared Key» и «Open System», следует выбрать «Shared Key». Если AP не поддерживает фильтрацию по MAC-адресам, то для входа в «Open System» достаточно знать SSID, в случае же «Shared Key» клиент должен знать WEP-ключ. Впрочем, в случае «Shared Key» возможен перехват ключа, а ключ доступа одинаков для всех пользователей. В связи с этим многие источники рекомендуют «Open System».

Обязательно нужно использовать сложный пароль для доступа к настройкам точки доступа.

Если для генерации ключа предлагается ввести ключевую фразу, лучше использовать набор букв и цифр без пробелов. При ручном вводе ключа WEP следует вводить значения для всех полей ключа (при шестнадцатеричной записи вводить можно цифры 0—9 и буквы a—f).

По возможности не нужно использовать в беспроводных сетях протокол TCP/IP для организации папок, файлов и принтеров общего доступа. Организация разделяемых ресурсов средствами NetBEUI в данном случае безопаснее. Лучше запретить гостевой доступ к ресурсам общего доступа и использовать длинные сложные пароли.

Желательно не использовать в беспроводной сети DHCP, значительно безопаснее вручную распределить статические IP-адреса между легитимными клиентами.

На всех компьютерах внутри беспроводной сети должны быть установлены межсетевые экраны (файерволлы, брандмауэры), лучше стараться не устанавливать точку доступа вне брандмауэра, используя при этом минимум протоколов внутри WLAN (например, только HTTP и SMTP).
Регулярно необходимо исследовать уязвимость своей сети с помощью специализированных сканеров безопасности (в том числе хакерских типа NetStumbler), обновлять прошивки и драйвера устройств, устанавливать обновления безопасности для Windows.