Има няколко процедури, чрез които можете да подобрите сигурността на мрежата си. В действителност всички от следните елементи са необходими на етапа на образуване на мрежата, но когато не са изпълнени, по-добре е да ги направят - Колкото по-скоро, толкова по-добре.
Използвайте дължина на WEP ключ, това ще усложни работата на хакер. Хардуер, който поддържа 128-битово криптиране, а след това, разбира се, yuzayte. Периодично променяйте ключовете. Поставете защитна стена точка за достъп извън локалната мрежа. Използвайте VPN за всички протоколи, които могат да предават важна информация. Използвайте няколко техники за криптиране на трафика, като IPSec. Вероятно ще се наложи да инсталирате софтуер на клиента, задаване на сървъра IPSec на LAN, се използва VLAN между точката за достъп и сървъра. В този аспект, потребителите на мрежата ще организира IPSec тунела към сървъра и да преминат през всички данни.
Ако е възможно, е необходимо да се промени на фърмуера на всички мрежови устройства. Например, разработчиците AirSnort (см. Предишна статия) отбеляза, че вече не се поддават на всички точки за достъп и чупене тях е невъзможно да се справи ключ WEP. Това е работа на производителите - актуализиране на непрекъснато подобряване на техните устройства и толкова по-бързо можете да се приложат тези подобрения в мрежата си по-добре.
Но това със сигурност не е панацея. WEP алгоритъм използва RC-4, която по дефиниция е уязвима поради постоянството на ключа. Единственото нещо, в помощ на протокол, за да се справят с това и променете стойността на ключа - 16-битова стойност IV. Той е на всеки 65,536 пакети променя стойността си, а от гледна точка на хакера не е от значение какво фърмуер използва в Мрежово оборудване - ако се повтори, така че може да се вдигне и да влезем вътре. Надграждане хардуер не трябва да се пренебрегва, но това е по-добре да се обърне внимание на себе си и алгоритми за защита на мрежата.
WPA-PSK и WPA-Enterprise
Естествено, WPA технология не е без проблеми. Робърт Московиц от ICSA Labs установено, че ключови фрази WPA могат да се пукнат. Това се дължи на факта, че хакерът може да получи точка за достъп за възстановяване на обмен на ключове за по-малко от 60 секунди. И дори ако обмен на ключове е достатъчно безопасна за миг на пречупване, тя може да бъде спасен и се използва за онлайн търсене. Друг въпрос е, че EAP предава данни в обикновен текст. Първоначално за шифроване на EAP сесии, използвани от Transport Layer Security (TLS), но за да работи на всеки клиентски сертификат се изисква. TTLS донякъде да реши проблема, но Microsoft (в Windows XP SP1 има поддръжка за WPA) и Cisco уреден въпросът сам и е създал защитения програма за действие, с изключение на TTLS. Сега двете технологии се състезават и вероятно поддържат такива гиганти наклон победа на PEAP.
В бъдеще чакаме спецификация 802.11i (съответната комисия на Института на електроинженерите и инженерите по електроника (IEEE) гласува да одобри нов стандарт за безжични локални мрежи 802.11i миналия месец), което е истински панацея за главоболията с криптиране. Новата спецификация включва по-ефективен начин за залавяне на нарушители, устойчиви на TKIP, Advanced Encryption Standard (AES), която поддържа дълги и по-сигурни потоци от данни, а не само TKIP (въпреки че дължината на ключа е същият 128-битово криптиране алгоритъм е много по-устойчиви). AES е вече широко се използва, особено от страна на правителството на САЩ.
Освен 802.11i поддържа всички 802.1x, както и програма за действие, и следователно RADIUS-базирано идентифициране, редовно актуализиране на ключови клиенти, разпределението на уникални ключове за всеки отделен клиент (който все още намалява риска от инфаркт, защото никой няма да даде ключ за достъп до целия трафик други клиенти).
Свързани статии