Kā aizsargāt mājas Wi-Fi tīklu no uzlaušanas. Kā aizsargāt mājas maršrutētāju no hakeriem un kaimiņiem

Droša Wi-Fi tīkla izveide

No pirmā acu uzmetiena ir ļoti grūti izveidot droši aizsargātu Wi-Fi tīklu. Jāiegādājas “pareizais” aprīkojums, jāuzstāda autentifikācijas serveris, jārūpējas par interneta trafika uzskaiti un aizsardzību pret ārējiem uzbrukumiem caur ugunsmūri.

Tas viss var aizņemt daudz laika un naudas. Šajā rakstā es runāšu par vienu no lētākajiem un vienkāršākajiem veidiem, kā izveidot drošu bezvadu tīklu ar kopīgu interneta pieslēgumu.

1. daļa. Nedaudz par drošību

Bezvadu tīklu ievainojamības iemesls ir to darbības princips: ir daudz vieglāk pārtvert datus, kas tiek pārraidīti pa radio kanālu, nekā ar parasto kabeļa savienojumu. Tam nav nepieciešams dārgs aprīkojums, un to var izdarīt, izmantojot parastu klēpjdatoru, pāris uzlaušanas rīkus (piemēram, airodump un aircrack) un labu Wi-Fi uzlaušanas rokasgrāmatu (kā šeit). Tāpēc bezvadu tīkls ir maksimāli jāaizsargā no dažāda veida uzbrukumiem: nesankcionēti savienojumi, trafika pārtveršana un noklausīšanās, svarīgas informācijas zādzība, “viltus” piekļuves punkti utt.

Mūsdienās WPA (Wi-Fi Protected Access) drošības standarts ir atzīts par visuzticamāko bezvadu tīkliem. Wi-Fi tīkla sākotnējo aizsardzību var nodrošināt, izmantojot WPA-PSK (Pre-Shared Key) režīmu, kad piekļuves punktā manuāli tiek ievadīta sakaru sesijas atslēga - Pre-Shared Key, kas atgādina parastu paroli. lietotāja datorā. Iespējamā WPA-PSK ievainojamība izriet no fakta, ka reālos tīklos ieejas frāze mainās reti un visiem tīkla lietotājiem ir vienāda. Ja jums ir laiks un jaudīgs dators, šādas paroles izvēle nebūs grūta.

Drošāka tīkla drošība tiek panākta, izmantojot WPA Enterprise režīmu, kad tīklā ir uzstādīts autentifikācijas serveris (RADIUS serveris), kas pārbauda lietotāja piekļuves tiesības. Šādā gadījumā bezvadu piekļuves punkts bloķēs visus savienojumus ar bezvadu tīklu, līdz autentifikācijas serveris pārbaudīs lietotāja ievadīto lietotājvārdu un paroli. Ja lietotājs neatrodas RADIUS servera datu bāzē, viņš nevarēs izveidot savienojumu ar Wi-Fi tīklu.

Maksimālu bezvadu tīkla drošību nodrošina digitālo sertifikātu izmantošana un EAP-TLS (Extensible Authentication Protocol - Transport Level Security) autentifikācijas metode. Šajā gadījumā lietotāja dators un RADIUS serveris viens otru verificē, izmantojot iepriekš ģenerētus ciparsertifikātus, kas garantē jūsu tīkla aizsardzību no nesankcionētiem savienojumiem un lietotājus no hakeru ieviestiem “viltus” piekļuves punktiem.

Vēl uzticamākai pārsūtīto datu aizsardzībai varat izveidot bezvadu tīkla ārējo aizsargapvalku, izmantojot VPN (Virtual Private Network) tehnoloģiju, izmantojot WPA, kas pievienos otru trafika šifrēšanas līmeni.

Un visbeidzot, jūs varat pasargāt sevi no nesankcionētiem piekļuves punktiem, kurus jūsu darbinieki slepeni uzstāda, izmantojot īpašu tīkla aprīkojumu, kas var noteikt šādas ierīces un ģenerēt atbilstošus ziņojumus.

Tikai daži cilvēki var izveidot šādu bezvadu tīkla drošības sistēmu: jums ir vismaz pareizi jākonfigurē bezvadu piekļuves punkts un RADIUS autorizācijas serveris, jāizveido lietotāju datu bāze, jāizstrādā šīs datu bāzes pārvaldības sistēma un digitālie sertifikāti, un pats galvenais. , apvienot visus šos komponentus vienā tīklā.

Bet, neskatoties uz šķietamo sarežģītību, visdrošākā Wi-Fi tīkla izveide ir diezgan vienkārša. Lai to izdarītu, jums nav jābūt informācijas drošības un bezvadu standartu guru. Visu var izdarīt pusotras stundas laikā, ja:


  • atsevišķs dators;
  • bezvadu piekļuves punkts, kas atbalsta WPA, WPA2 un autorizāciju RADIUS serverī (šīs piekļuves punkta īpašības var atrast tā dokumentācijā vai pie konsultantiem datorveikalā);
  • Esomo programma, kas pildīs RADIUS servera lomu, kā arī publiskā interneta piekļuves serveri. Programmas izstrādātāja oficiālā vietne: www.esomoline.com. Lai aizsargātu bezvadu tīklu, Esomo izmanto EAP-TLS protokolu, kas nodrošina lietotāja autentifikāciju iebūvētajā RADIUS serverī un savstarpēju autentifikāciju starp Esomo RADIUS serveri un lietotāju datoriem, izmantojot digitālos sertifikātus.

2. daļa. Droša bezvadu tīkla izveides piemērs

Tagad apskatīsim piemēru vietējā Wi-Fi tīkla organizēšanai, pamatojoties uz Esomo. Tīkls ietver 11 datorus, Linksys bezvadu piekļuves punktu un ir savienots ar internetu, izmantojot ADSL modemu.

Pirmkārt, lejupielādējiet Esomo no izstrādātāja vietnes (izplatīšanas izmērs 135 MB) un instalējiet programmas servera daļu atsevišķā datorā ar divām tīkla kartēm. Tas būs mūsu RADIUS serveris, kā arī VPN serveris un interneta piekļuves serveris, kas ļaus ierobežot lietotāju trafiku, apskatīt piekļuves statistiku un trafika izmaksas. Esomo darbībai nav nepieciešama operētājsistēma, jo... Programmā jau ir iekļauta brīvi izplatītā FreeBSD OS. Soli pa solim instrukcijas Esomo instalēšanai var atrast šeit.

Pēc programmas instalēšanas pievienojiet datoru ar Esomo un bezvadu piekļuves punktu tīkla slēdzim. Izmantojot otro tīkla interfeisu, mēs savienojam Esomo serveri ar ADSL modemu (vai kabeli, ja jums ir speciāla līnija). Jebkurā Windows datorā lokālajā tīklā (arī savienotā ar tīkla slēdzi) palaidiet Esomo Workstation un izveidojiet savienojumu ar Esomo serveri.

Varat izveidot drošu bezvadu tīklu, pamatojoties uz Esomo, veicot 4 vienkāršas darbības. Pirmkārt, mēs iestatīsim Esomo darbam ar bezvadu tīklu. Pēc tam mēs konfigurēsim bezvadu piekļuves punktu un lietotāju datorus. Un visbeidzot, izveidosim savienojumu ar Wi-Fi tīklu un izveidosim VPN savienojumu ar Esomo serveri, lai izveidotu otru bezvadu trafika aizsardzības līmeni. Pēc tam jūs varat droši strādāt Wi-Fi tīklos un internetā. Tātad sāksim.

1. darbība: Esomo servera iestatīšana

Pirmkārt, mēs izsniegsim pastāvīgu IP adresi bezvadu piekļuves punktam darbam mūsu tīklā. Lai to izdarītu, pievienojiet piekļuves punktu statiskajam DHCP sarakstam (piekļuves punkta MAC adrese parasti ir norādīta uz tā uzlīmes). Pielietosim iestatījumus.

Tagad pievienosim bezvadu piekļuves punktu piekļuves punktu sarakstam Esomo serverī un norādīsim tam slepeno atslēgu (paroli). Tas ir nepieciešams, lai izveidotu drošu savienojumu starp piekļuves punktu un Esomo. Pielietosim iestatījumus.

Lai tīkla lietotāji varētu piekļūt internetam un Esomo ņemtu vērā savu trafiku, ir jāizveido tarifs, kas nosaka 1 MB trafika vai 1 minūtes interneta savienojuma izmaksas. Lai to izdarītu, sadaļā “Tarifi” pievienosim jaunu tarifu, nosakot ienākošās trafika izmaksas 1 MB, piemēram, 1 rublis.

Tā kā rakstīšanas laikā Esomo nodrošina piekļuvi internetam tikai tiem lietotājiem, kuriem ir tarifs un naudas līdzekļi individuālajā kontā, dosimies uz sadaļu “Lietotāji” un veicam dubultklikšķi uz testalietotāja lietotāja, piešķirsim viņam iepriekš izveidoto tarifu un pievienosim 500 rubļu uz viņa kontu.

Tas pabeidz Esomo servera iestatīšanu. Mēs atstājam Esomo Workstation logu atvērtu un turpinām bezvadu piekļuves punkta iestatīšanu.

2. darbība: bezvadu piekļuves punkta iestatīšana

Bezvadu tīklam var piekļūt tikai pēc veiksmīgas autorizācijas Esomo serverī, tāpēc vispirms ir jākonfigurē bezvadu piekļuves punkts darbam ar RADIUS serveri. Lai to izdarītu, izveidojiet savienojumu ar piekļuves punktu, izmantojot tīmekļa pārlūkprogrammu, izmantojot IP adresi, kuru mēs tam iepriekš piešķīrām, izmantojot Esomo Workstation cilnē “DHCP”. Mēs norādīsim WPA-Enterprise kā piekļuves punkta darbības režīmu, TKIP kā šifrēšanas protokolu un datora ar Esomo kā RADIUS serveri IP adresi. Mēs arī pārbaudīsim, vai piekļuves punkta iestatījumos norādītā slepenā atslēga (Shared Secret) atbilst Esomo Workstation piekļuves punktam norādītajai atslēgai (sadaļa "Wi-Fi", cilne "Piekļuves punkti").

Zemāk ir Linksys piekļuves punkta iestatījumu ekrānuzņēmums.

3. darbība. Lietotāja datora iestatīšana

Lai veiktu divvirzienu autentifikāciju starp lietotāja datoru un Esomo serveri, lietotāja datorā ir jāinstalē digitālie sertifikāti un jākonfigurē viņa bezvadu adapteris, lai tas darbotos, izmantojot EAP-TLS protokolu.

Lietotāja autorizācija Esomo serverī notiek, piedaloties diviem digitālajiem sertifikātiem: saknes un lietotāja. Šie sertifikāti ir jāiegūst, izmantojot Esomo AWS, un jāinstalē jūsu datorā. Lai to izdarītu, cilnē “Sertifikāti” dodieties uz sadaļu “Wi-Fi” un saglabājiet saknes sertifikātu un testētāja lietotāja sertifikātu mūsu datorā.

Tagad instalēsim saņemtos ciparsertifikātus. Lai to izdarītu, veiciet dubultklikšķi uz sertifikāta un izpildiet sertifikāta importēšanas vedņa norādījumus.

Instalējot saknes sertifikātu, nevajadzētu rasties grūtībām: atstājiet visus noklusējuma iestatījumus un vienkārši noklikšķiniet uz pogām "Tālāk" un "Pabeigt". Bet, instalējot sertifikātu testuser lietotājam, jums būs jāievada testuser parole, kas aizsargā šo sertifikātu.

Esomo serverī jau ir gatavi sertifikāti, tāpēc tur nekas nav jāinstalē.

Tālāk mēs konfigurēsim sava datora bezvadu tīkla adapteri, lai tas darbotos ar Esomo RADIUS serveri, izmantojot EAP-TLS protokolu. Lai to izdarītu, bezvadu adaptera iestatījumos mēs norādīsim izmantot TKIP šifrēšanu un WPA autentifikāciju, izmantojot digitālos sertifikātus.

Uzticamo saknes sertifikācijas iestāžu sarakstā atlasiet mūsu datorā iepriekš instalēto saknes sertifikātu.

Tātad, visi iestatījumi ir pabeigti, un bezvadu tīkls ir gatavs darbam. Mēs atvienojam datoru no tīkla slēdža un mēģinām izveidot savienojumu ar Wi-Fi tīklu. Pēc pieejamo tīklu meklēšanas bezvadu adapteris noteiks mūsu drošo tīklu. Pēc veiksmīgas autentifikācijas, izmantojot digitālos sertifikātus un verifikācijas RADIUS serverī, mūsu dators izveidos savienojumu ar Wi-Fi tīklu. Atliek spert pēdējo soli mūsu bezvadu tīkla superaizsardzības virzienā.

4. solis. Otrā aizsardzības līmeņa izveide – VPN savienojuma izveide ar trafika šifrēšanu

Maksimālā bezvadu trafika aizsardzība tīklā ar Esomo tiek panākta, izmantojot VPN tehnoloģiju jau izveidotā bezvadu savienojumā, izmantojot WPA protokolu, kas pievieno otro trafika šifrēšanas līmeni. VPN savienojums starp lietotāja datoru un Esomo serveri tiek izveidots automātiski. Jums vienkārši jāatver tīmekļa pārlūkprogramma un jāievada jebkuras esošās vietnes adrese, piemēram, www.google.ru. Esomo pieteikšanās lapā ievadiet testuser abos veidlapas laukos un noklikšķiniet uz pogas "Savienot".

Pēc veiksmīgas pieteikšanās un paroles pārbaudes starp mūsu datoru un Esomo serveri tiks izveidots VPN savienojums. Tagad jūs varat droši sērfot internetā. Visa pārraidītā trafika tiks šifrēta ne tikai ar WPA, bet arī ar VPN. Un, izmantojot Esomo AWS, jūs jebkurā laikā varat apskatīt “uzpumpētās” trafika statistiku un importēt to programmā MS Excel ar pāris klikšķiem.

Pēc pārbaudes, vai viss darbojas, atlikušos datorus pievienosim bezvadu tīklam un nodrošināsim lietotājiem piekļuvi internetam. Lai to izdarītu, mēs izveidosim jaunus lietotājus, izmantojot Esomo AWS, un piešķirsim tiem iepriekš pievienoto tarifu. Pēc tam mēs šiem lietotājiem izveidosim digitālos sertifikātus un katra lietotāja datorā instalēsim saknes sertifikātu un viņu pašu lietotāja sertifikātu. Tāpat neaizmirstiet katra lietotāja datorā konfigurēt bezvadu adapteri darbam ar RADIUS serveri, izmantojot EAP-TLS protokolu.

Tas pabeidz bezvadu tīkla iestatīšanu ar kopīgu interneta piekļuvi. Man vajadzēja nepilnas divas stundas, lai visu paveiktu. Piekrītiet, ka, izmantojot citus līdzekļus, būtu problemātiski izveidot labi aizsargātu Wi-Fi tīklu ar tik minimālu laika un pūļu ieguldījumu. Tajā pašā laikā Esomo lieliski darbojas kā RADIUS serveris un interneta piekļuves serveris ne tikai wi-fi tīklos, bet arī vadu un jauktos LAN, kad daži tīkla segmenti ir savienoti caur kabeli, bet citi caur wi-fi.

Šis raksts ir veltīts drošības jautājumam, lietojot bezvadu WiFi tīklus.

Ievads – WiFi ievainojamības

Galvenais iemesls, kāpēc lietotāju dati ir neaizsargāti, kad šie dati tiek pārraidīti pa WiFi tīkliem, ir tas, ka apmaiņa notiek pa radioviļņiem. Un tas ļauj pārtvert ziņojumus jebkurā vietā, kur ir fiziski pieejams WiFi signāls. Vienkārši sakot, ja piekļuves punkta signālu var uztvert 50 metru attālumā, tad visa šī WiFi tīkla tīkla trafika pārtveršana ir iespējama 50 metru rādiusā no piekļuves punkta. Blakus istabā, citā ēkas stāvā, uz ielas.

Iedomājieties šo attēlu. Birojā lokālais tīkls tiek veidots caur WiFi. Signāls no šī biroja piekļuves punkta tiek uztverts ārpus ēkas, piemēram, autostāvvietā. Uzbrucējs ārpus ēkas var piekļūt biroja tīklam, tas ir, nepamanīts šī tīkla īpašniekiem. WiFi tīkliem var piekļūt viegli un diskrēti. Tehniski daudz vieglāk nekā vadu tīkli.

Jā. Līdz šim ir izstrādāti un ieviesti WiFi tīklu aizsardzības līdzekļi. Šīs aizsardzības pamatā ir visas trafika šifrēšana starp piekļuves punktu un gala ierīci, kas ir savienota ar to. Tas ir, uzbrucējs var pārtvert radio signālu, bet viņam tas būs tikai digitālais “atkritums”.

Kā darbojas WiFi aizsardzība?

Piekļuves punkts savā WiFi tīklā iekļauj tikai to ierīci, kas nosūta pareizo paroli (norādīta piekļuves punkta iestatījumos). Šajā gadījumā parole tiek nosūtīta arī šifrēta, jaucējkoda veidā. Jaucējs ir neatgriezeniskas šifrēšanas rezultāts. Tas nozīmē, ka datus, kas ir sajaukti, nevar atšifrēt. Ja uzbrucējs pārtver paroles jaucējkodu, viņš nevarēs iegūt paroli.

Bet kā piekļuves punkts zina, vai parole ir pareiza vai nē? Ko darīt, ja viņa arī saņem hash, bet nevar to atšifrēt? Tas ir vienkārši - piekļuves punkta iestatījumos parole ir norādīta tīrā veidā. Autorizācijas programma ņem tukšu paroli, izveido no tās jaucējkodu un pēc tam salīdzina šo jaucējkodu ar to, kas saņemta no klienta. Ja jaucējvērtības sakrīt, klienta parole ir pareiza. Šeit tiek izmantota otrā jauktu iezīme - tie ir unikāli. Vienu un to pašu jaucējfunkciju nevar iegūt no divām dažādām datu kopām (parolēm). Ja sakrīt divas jaucējzīmes, tās abas tika izveidotas no vienas un tās pašas datu kopas.

Starp citu. Pateicoties šai funkcijai, datu integritātes kontrolei tiek izmantotas jaucējzīmes. Ja sakrīt divas (izveidotas noteiktā laika periodā) jaukšanas, tad sākotnējie dati (šajā laika periodā) nav mainīti.

Tomēr, neskatoties uz to, ka vismodernākā WiFi tīkla nodrošināšanas metode (WPA2) ir uzticama, šo tīklu var uzlauzt. Kā?

Ir divas metodes, kā piekļūt tīklam, kuru aizsargā WPA2:

  1. Paroles izvēle, izmantojot paroļu datubāzi (tā sauktā meklēšana vārdnīcā).
  2. WPS funkcijas ievainojamības izmantošana.

Pirmajā gadījumā uzbrucējs pārtver piekļuves punkta paroles jaucējkodu. Pēc tam jaucējvērtības tiek salīdzinātas ar datubāzi, kurā ir tūkstošiem vai miljoniem vārdu. Vārds tiek ņemts no vārdnīcas, šim vārdam tiek ģenerēts jauktais un tad šis jauktais tiek salīdzināts ar pārtverto jaucējkodu. Ja piekļuves punktā tiek izmantota primitīva parole, tad šī piekļuves punkta paroles uzlaušana ir laika jautājums. Piemēram, 8 ciparu parole (8 rakstzīmes ir minimālais WPA2 paroles garums) ir viens miljons kombināciju. Mūsdienu datorā dažu dienu vai pat stundu laikā varat šķirot vienu miljonu vērtību.

Otrajā gadījumā tiek izmantota ievainojamība WPS funkcijas pirmajās versijās. Šī funkcija ļauj piekļuves punktam pievienot ierīci, kurai nav paroles, piemēram, printeri. Izmantojot šo funkciju, ierīce un piekļuves punkts apmainās ar digitālo kodu un, ja ierīce nosūta pareizo kodu, piekļuves punkts autorizē klientu. Šajā funkcijā bija ievainojamība - kodā bija 8 cipari, bet tikai četriem no tiem tika pārbaudīta unikalitāte! Tas ir, lai uzlauztu WPS, jums ir jāmeklē visas vērtības, kas dod 4 ciparus. Rezultātā piekļuves punkta uzlaušanu, izmantojot WPS, var veikt tikai dažu stundu laikā jebkurā vājākajā ierīcē.

WiFi tīkla drošības iestatīšana

WiFi tīkla drošību nosaka piekļuves punkta iestatījumi. Vairāki no šiem iestatījumiem tieši ietekmē tīkla drošību.

WiFi tīkla piekļuves režīms

Piekļuves punkts var darboties vienā no diviem režīmiem - atvērts vai aizsargāts. Atvērtas piekļuves gadījumā jebkura ierīce var izveidot savienojumu ar piekļuves punktu. Aizsargātas piekļuves gadījumā ir pievienota tikai tā ierīce, kas pārraida pareizo piekļuves paroli.

Ir trīs WiFi tīkla aizsardzības veidi (standarti):

  • WEP (Wired Equivalent Privacy). Pats pirmais aizsardzības standarts. Mūsdienās tas faktiski nenodrošina aizsardzību, jo to var ļoti viegli uzlauzt aizsardzības mehānismu vājuma dēļ.
  • WPA (Wi-Fi aizsargātā piekļuve). Hronoloģiski otrais aizsardzības standarts. Izveidošanas un nodošanas ekspluatācijā laikā tas nodrošināja efektīvu WiFi tīklu aizsardzību. Taču 2000. gadu beigās tika atrastas iespējas uzlauzt WPA aizsardzību, izmantojot drošības mehānismu ievainojamības.
  • WPA2 (Wi-Fi aizsargāta piekļuve). Jaunākais aizsardzības standarts. Nodrošina drošu aizsardzību, ja tiek ievēroti noteikti noteikumi. Līdz šim ir zināmi tikai divi veidi, kā pārkāpt WPA2 drošību. Vārdnīcas parole brutāls spēks un risinājums, izmantojot WPS pakalpojumu.

Tādējādi, lai nodrošinātu sava WiFi tīkla drošību, ir jāizvēlas WPA2 drošības veids. Tomēr ne visas klientu ierīces to var atbalstīt. Piemēram, Windows XP SP2 atbalsta tikai WPA.

Papildus WPA2 standarta izvēlei ir nepieciešami papildu nosacījumi:

Izmantojiet AES šifrēšanas metodi.

Parolei, lai piekļūtu WiFi tīklam, jābūt šādai:

  1. Izmantot burti un cipari parolē. Nejaušs burtu un ciparu kopums. Vai arī ļoti rets vārds vai frāze, kas ir nozīmīga tikai jums.
  2. Nav izmantojiet vienkāršas paroles, piemēram, vārdu + dzimšanas datumu vai vārdu + dažus ciparus Lena1991 vai dom12345.
  3. Ja jums ir jāizmanto tikai digitālā parole, tad tās garumam jābūt vismaz 10 rakstzīmēm. Jo astoņu zīmju digitālā parole tiek izvēlēta, izmantojot brutālā spēka metodi reāllaikā (no vairākām stundām līdz vairākām dienām, atkarībā no datora jaudas).

Ja izmantojat sarežģītas paroles saskaņā ar šiem noteikumiem, jūsu WiFi tīklu nevar uzlauzt, uzminot paroli, izmantojot vārdnīcu. Piemēram, tādai parolei kā 5Fb9pE2a(izlases burtu un ciparu), maksimāli iespējams 218340105584896 kombinācijas. Mūsdienās ir gandrīz neiespējami izvēlēties. Pat ja dators salīdzinātu 1 000 000 (miljonu) vārdu sekundē, visu vērtību atkārtošanai būtu nepieciešami gandrīz 7 gadi.

WPS (Wi-Fi aizsargāta iestatīšana)

Ja piekļuves punktam ir WPS (Wi-Fi Protected Setup) funkcija, tā ir jāatspējo. Ja šī funkcija ir nepieciešama, jums ir jāpārliecinās, ka tā versija ir atjaunināta uz šādām iespējām:

  1. Izmantojot visas 8 PIN koda rakstzīmes, nevis 4, kā tas bija sākumā.
  2. Iespējojiet aizkavi pēc vairākiem mēģinājumiem nosūtīt nepareizu PIN kodu no klienta.

Papildu iespēja WPS drošības uzlabošanai ir burtciparu PIN koda izmantošana.

Publiskā WiFi drošība

Mūsdienās ir modē internetu lietot caur WiFi tīkliem sabiedriskās vietās – kafejnīcās, restorānos, tirdzniecības centros u.c. Ir svarīgi saprast, ka šādu tīklu izmantošana var izraisīt jūsu personas datu zādzību. Ja piekļūstat internetam, izmantojot šādu tīklu, un pēc tam piesakāties vietnē, jūsu datus (lietotājvārdu un paroli) var pārtvert cita persona, kas ir savienota ar to pašu WiFi tīklu. Galu galā jebkurā ierīcē, kas ir izturējusi autorizāciju un ir savienota ar piekļuves punktu, varat pārtvert tīkla trafiku no visām citām šī tīkla ierīcēm. Un publisko WiFi tīklu īpatnība ir tāda, ka ar to var pieslēgties ikviens, arī uzbrucējs, turklāt ne tikai atvērtam, bet arī aizsargātam tīklam.

Ko jūs varat darīt, lai aizsargātu savus datus, veidojot savienojumu ar internetu, izmantojot publisko WiFi tīklu? Ir tikai viena iespēja - izmantot HTTPS protokolu. Šis protokols izveido šifrētu savienojumu starp klientu (pārlūkprogrammu) un vietni. Bet ne visas vietnes atbalsta HTTPS protokolu. Adreses vietnē, kas atbalsta HTTPS protokolu, sākas ar https:// prefiksu. Ja vietnes adresēm ir prefikss http://, tas nozīmē, ka vietne neatbalsta HTTPS vai to neizmanto.

Dažas vietnes pēc noklusējuma neizmanto HTTPS, taču tām ir šis protokols, un to var izmantot, ja skaidri (manuāli) norādāt https:// prefiksu.

Kas attiecas uz citiem interneta lietošanas gadījumiem – čatiem, Skype u.c., šo datu aizsardzībai varat izmantot bezmaksas vai maksas VPN serverus. Tas ir, vispirms izveidojiet savienojumu ar VPN serveri un tikai pēc tam izmantojiet tērzēšanu vai atveriet vietni.

WiFi paroles aizsardzība

Šī raksta otrajā un trešajā daļā es rakstīju, ka, izmantojot WPA2 drošības standartu, viens no veidiem, kā uzlauzt WiFi tīklu, ir uzminēt paroli, izmantojot vārdnīcu. Bet ir vēl viena iespēja uzbrucējam iegūt paroli jūsu WiFi tīklam. Ja paroli saglabājat uz pielīmētas lapiņas, kas ir pielīmēta pie monitora, svešinieks šo paroli var redzēt. Un jūsu paroli var nozagt no datora, kas savienots ar jūsu WiFi tīklu. To var izdarīt nepiederoša persona, ja jūsu datori nav aizsargāti no nepiederošu personu piekļuves. To var izdarīt, izmantojot ļaunprātīgu programmatūru. Turklāt paroli var nozagt no ierīces, kas tiek izņemta ārpus biroja (mājas, dzīvokļa) – no viedtālruņa, planšetdatora.

Tādējādi, ja jums ir nepieciešama uzticama WiFi tīkla aizsardzība, jums ir jāveic pasākumi, lai droši saglabātu savu paroli. Aizsargājiet to no nepiederošu personu piekļuves.

Ja jums šis raksts šķita noderīgs vai vienkārši patika, tad nevilcinieties finansiāli atbalstīt autoru. To ir viegli izdarīt, izmetot naudu Yandex maka Nr.410011416229354. Vai pa tālruni +7 918-16-26-331 .

Pat neliela summa var palīdzēt uzrakstīt jaunus rakstus :)

Sveiki! Es nolēmu sagatavot rakstu, kurā apkopotu visus pamata un vissvarīgākos efektīvus padomus un atbildētu uz jūsu jautājumu, kā aizsargāt Wi-Fi tīklu. No kā mēs pasargāsim? No kaimiņiem, protams, bet, ja birojā jāsargā savs Wi-Fi tīkls, tad no kaimiņu uzņēmuma kolēģiem :). Bet ja nopietni, tad bezvadu tīklu aizsardzības jautājums šobrīd ir ļoti aktuāls, secinājumus izdarīju no raksta, kurā to aprakstīju. Raksts ātri kļuva populārs un saņēma daudz komentāru.

Iestatiet paroli, lai piekļūtu Wi-Fi maršrutētāja iestatījumiem

Šī ir pirmā lieta, kas jums jādara, iestatot bezvadu Wi-Fi tīkla drošību. Maršrutētāja iestatījumos atrodiet cilni "Sistēmas rīki", pēc tam dodieties uz cilni "Parole".

Ievadiet veco pieteikumvārdu un paroli, pēc tam zemāk esošajā formā ievadiet jauno piekļuves vārdu un jauno paroli divas reizes. Izveidojiet labu un sarežģītu paroli. Sastāv no burtiem un cipariem. Un pats galvenais, atceries to pats :). Lai saglabātu, noklikšķiniet uz "Saglabāt". Mēs turpinām konfigurēt Wi-Fi tīkla aizsardzību.

Iestatiet Wi-Fi tīkla paroli un iestatiet šifrēšanas veidu

Ir obligāti jānorāda tīklam izmantojamās šifrēšanas veids un jāiestata spēcīga parole. Ja vien jums nav kāda veida kafejnīcas un vēlaties apmeklētājiem nodrošināt atvērtu piekļuvi Wi-Fi.

Dodieties uz cilni "Bezvadu savienojumi" un "Bezvadu drošība". Blakus WPA/WPA2 — personiskajam protokolam atzīmējiet atzīmi, iestatiet iestatījumus, kā parādīts zemāk esošajā ekrānuzņēmumā, un rindā pretī “PSK parole:” mēs atrodam labu paroli. Šī parole tiks izmantota, lai izveidotu savienojumu ar Wi-Fi. Lai saglabātu, noklikšķiniet uz "Saglabāt".

Maršrutētājs piedāvās to atsāknēt, taču, ja joprojām veicat iestatījumus, jums pašlaik nav jāveic atkārtota palaišana. Taču jaunie iestatījumi darbosies tikai pēc pārstartēšanas.

Vēl viens lielisks veids, kā sevi pasargāt. Mēs slēpjam Wi-Fi tīkla nosaukumu, un jūs varat izveidot savienojumu ar to tikai tad, ja zināt, kā to sauc. Jūsu tīkls netiks parādīts pieejamo tīklu sarakstā.

Mēs meklējam un pārejam uz cilni “Bezvadu”. Un, lai paslēptu SSID, vienkārši noņemiet atzīmi no vienuma “Iespējot SSID apraidi”. Tas ir viss, tas ir vienkārši. Noklikšķiniet uz pogas "Saglabāt", lai saglabātu izmaiņas.

Iespējot ierīces filtrēšanu pēc MAC adreses

Šīs funkcijas iespējošana ļaus izveidot savienojumu ar maršrutētāju tikai tām ierīcēm, kuru MAC adreses ir norādītas iestatījumos un ir atļautas. Šī ir ļoti efektīva aizsardzība, taču, ja bieži pievienosit jaunas ierīces, nebūs īpaši ērti katru reizi iedziļināties maršrutētāja iestatījumos un ievadīt ierīces MAC adresi.

Vispirms jums ir jānoskaidro to ierīču MAC adreses, kurām vēlaties ļaut izveidot savienojumu ar Wi-Fi tīklu. Tos var apskatīt iestatījumos, lasiet vairāk. Ja tas ir tālrunis vai planšetdators, tad adresi varat redzēt iestatījumos, sadaļā “Par tālruni”. Un, ja ierīce jau ir savienota ar maršrutētāju, visu nepieciešamo informāciju var atrast cilnē “DHCP” - “DHCP klientu saraksts”.

Tātad, dodieties uz cilni "Bezvadu savienojumi" un dodieties uz "Bezvadu MAC filtrēšana". Vispirms iespējojiet šo pakalpojumu, noklikšķinot uz pogas “Iespējot”. Pēc tam atzīmējiet izvēles rūtiņu blakus vienumam "Atļaut piekļūt stacijām, kuras norādītas ar visiem iespējotajiem saraksta ierakstiem.". Tas nozīmē, ka tikai ierīces, kas ir sarakstā, varēs izveidot savienojumu ar Wi-Fi.

Un noklikšķiniet uz pogas "Pievienot jaunu...", lai pievienotu to ierīču MAC adreses, kurām ir jāatļauj piekļuve. Ievadiet MAC adresi, aprakstu (neobligāti), atstājiet statusu Iespējot (atļaut) un noklikšķiniet uz pogas Saglabāt.

Tādā veidā mēs pievienojam visas ierīces, kurām vēlaties ļaut izveidot savienojumu ar maršrutētāju.

Atspējot QSS (WPS) pakalpojumu

Sīkāk par šo pakalpojumu un tā izmantošanu rakstīju rakstā. Bet, ja jūs nepievienojat jaunas ierīces ļoti bieži un jums nav grūti ievadīt Wi-Fi tīkla paroli, labāk ir atspējot šo pakalpojumu.

Lai atspējotu, dodieties uz cilni “QSS”; jums to var saukt arī par “WPS” vai kaut ko tamlīdzīgu. Un noklikšķiniet uz pogas “Atspējots QSS”.

Šis bija pēdējais punkts, ko iesaku darīt, lai pilnībā aizsargātu maršrutētāja Wi-Fi tīklu. Atliek tikai pārstartēt maršrutētāju, noklikšķinot uz saites “noklikšķināt šeit”, vai arī to izdarīt ar pogu pašā maršrutētājā.

Tas ir viss, draugi, tas ir viss, ko es gribēju jums ieteikt aizsargāt savu bezvadu tīklu. Ceru, ka informācija, ko esmu jums sagatavojusi, jums noderēs. Veiksmi!

Arī vietnē:

Kā aizsargāt Wi-Fi tīklu? Pamata un efektīvi padomi atjaunināts: 2018. gada 7. februārī: admin

Kas gan var būt mūsu laikos svarīgāks par mājas Wi-Fi tīkla aizsardzību :) Šī ir ļoti populāra tēma, par kuru šajā vietnē vien ir tapis ne viens vien raksts. Es nolēmu apkopot visu nepieciešamo informāciju par šo tēmu vienā lapā. Tagad mēs detalizēti aplūkosim jautājumu par Wi-Fi tīkla aizsardzību. Es jums pastāstīšu un parādīšu, kā aizsargāt Wi-Fi ar paroli, kā to pareizi izdarīt dažādu ražotāju maršrutētājos, kādu šifrēšanas metodi izvēlēties, kā izvēlēties paroli un kas jums jāzina, ja esat plānojat mainīt bezvadu tīkla paroli.

Šajā rakstā mēs runāsim tieši par mājas bezvadu tīkla aizsardzību. Un tikai par paroles aizsardzību. Ja ņemam vērā dažu lielu tīklu drošību birojos, tad tur labāk pieiet drošībai nedaudz savādāk (vismaz cits autentifikācijas režīms). Ja uzskatāt, ka ar vienu paroli nepietiek, lai aizsargātu savu Wi-Fi tīklu, tad iesaku nesatraukties. Iestatiet labu, sarežģītu paroli, izmantojot šos norādījumus, un neuztraucieties. Maz ticams, ka kāds tērēs laiku un pūles, lai uzlauztu jūsu tīklu. Jā, jūs varat, piemēram, paslēpt tīkla nosaukumu (SSID) un iestatīt filtrēšanu pēc MAC adresēm, taču tās ir liekas grūtības, kas patiesībā radīs tikai neērtības, pieslēdzoties un izmantojot bezvadu tīklu.

Ja domājat par sava Wi-Fi aizsardzību vai tīkla atstāšanu atvērtu, risinājums var būt tikai viens — aizsargāt to. Jā, internets ir neierobežots, un gandrīz katram mājās ir savs maršrutētājs, taču galu galā kāds pieslēgsies jūsu tīklam. Kāpēc mums tas ir vajadzīgs, jo papildu klienti ir papildu slodze maršrutētājam. Un, ja tas nav dārgs, tas vienkārši neizturēs šo slodzi. Turklāt, ja kāds izveidos savienojumu ar jūsu tīklu, viņš varēs piekļūt jūsu failiem (ja ir konfigurēts vietējais tīkls) un piekļūt maršrutētāja iestatījumiem (galu galā jūs, visticamāk, nemainījāt standarta administratora paroli, kas aizsargā vadības paneli).

Noteikti aizsargājiet savu Wi-Fi tīklu ar labu paroli ar pareizo (mūsdienu) šifrēšanas metodi. Iesaku nekavējoties uzstādīt aizsardzību, iestatot maršrutētāju. Tāpat būtu ieteicams laiku pa laikam mainīt paroli.

Ja jūs uztraucaties, ka kāds uzlauzīs jūsu tīklu vai jau ir to izdarījis, vienkārši nomainiet paroli un dzīvojiet mierā. Starp citu, tā kā jūs joprojām piesakāties maršrutētāja vadības panelī, es ieteiktu arī , ko izmanto maršrutētāja iestatījumu ievadīšanai.

Pareiza mājas Wi-Fi tīkla aizsardzība: kādu šifrēšanas metodi izvēlēties?

Paroles iestatīšanas procesa laikā jums būs jāizvēlas Wi-Fi tīkla šifrēšanas metode (autentifikācijas metode). Iesaku tikai instalēt WPA2 — personisks, ar šifrēšanas algoritmu AES. Mājas tīklam tas ir labākais risinājums, šobrīd jaunākais un uzticamākais. Šāda veida aizsardzību maršrutētāju ražotāji iesaka uzstādīt.

Tikai ar vienu nosacījumu, ka jums nav vecu ierīču, kuras vēlaties izveidot savienojumu ar Wi-Fi. Ja pēc iestatīšanas dažas vecās ierīces atsakās izveidot savienojumu ar bezvadu tīklu, varat instalēt protokolu WPA (ar TKIP šifrēšanas algoritmu). Es neiesaku instalēt WEP protokolu, jo tas jau ir novecojis, nav drošs un to var viegli uzlauzt. Jā, un var rasties problēmas, savienojot jaunas ierīces.

Protokolu kombinācija WPA2 — personisks ar AES šifrēšanu, tas ir labākais risinājums mājas tīklam. Pašai atslēgai (parolei) jābūt vismaz 8 rakstzīmēm. Parolei jāsastāv no angļu valodas burtiem, cipariem un simboliem. Parole ir reģistrjutīga. Tas nozīmē, ka “111AA111” un “111aa111” ir dažādas paroles.

Es nezinu, kāds maršrutētājs jums ir, tāpēc es sagatavošu īsas instrukcijas populārākajiem ražotājiem.

Ja pēc paroles maiņas vai iestatīšanas rodas problēmas ar ierīču pievienošanu bezvadu tīklam, skatiet ieteikumus šī raksta beigās.

Es iesaku nekavējoties pierakstīt paroli, kuru iestatīsit. Ja to aizmirsīsit, jums būs jāinstalē jauns vai .

Wi-Fi aizsardzība ar paroli Tp-Link maršrutētājos

Savienojuma izveide ar maršrutētāju (izmantojot kabeli vai Wi-Fi), palaidiet jebkuru pārlūkprogrammu un atveriet adresi 192.168.1.1 vai 192.168.0.1 (jūsu maršrutētāja adrese, kā arī standarta lietotājvārds un parole ir norādīti uz uzlīmes pašas ierīces apakšā). Norādiet savu lietotājvārdu un paroli. Pēc noklusējuma tie ir admin un admin. Sīkāk aprakstīju iestatījumu ievadīšanu.

Iestatījumos dodieties uz cilni Bezvadu(Bezvadu režīms) - Bezvadu drošība(Bezvadu drošība). Atzīmējiet izvēles rūtiņu blakus aizsardzības metodei WPA/WPA2 — personisks (ieteicams). Nolaižamajā izvēlnē Versija(versija) atlasiet WPA2-PSK. Izvēlnē Šifrēšana(šifrēšanas) instalēšana AES. Laukā Bezvadu parole(PSK parole) Ievadiet paroli, lai aizsargātu savu tīklu.

Paroles iestatīšana Asus maršrutētājiem

Iestatījumos mums ir jāatver cilne Bezvadu tīkls un veiciet šādus iestatījumus:

  • Nolaižamajā izvēlnē "Autentifikācijas metode" atlasiet WPA2 — Personisks.
  • "WPA šifrēšana" - instalējiet AES.
  • Laukā "WPA iepriekš koplietotā atslēga" ierakstiet mūsu tīkla paroli.

Lai saglabātu iestatījumus, noklikšķiniet uz pogas Pieteikties.

Savienojiet ierīces ar tīklu, izmantojot jaunu paroli.

D-Link maršrutētāja bezvadu tīkla aizsardzība

Dodieties uz sava D-Link maršrutētāja iestatījumiem vietnē 192.168.0.1. Jūs varat redzēt detalizētus norādījumus. Iestatījumos atveriet cilni Bezvadu internets - Drošības iestatījumi. Iestatiet drošības veidu un paroli, kā parādīts zemāk esošajā ekrānuzņēmumā.

Paroles iestatīšana citiem maršrutētājiem

Mums ir arī detalizētas instrukcijas ZyXEL un Tenda maršrutētājiem. Skatiet saites:

Ja neesat atradis norādījumus savam maršrutētājam, varat iestatīt Wi-Fi tīkla aizsardzību maršrutētāja vadības panelī, iestatījumu sadaļā ar nosaukumu: drošības iestatījumi, bezvadu tīkls, Wi-Fi, bezvadu utt. I domāju, ka varu atrast, tas nebūs grūti. Un es domāju, ka jūs jau zināt, kādus iestatījumus iestatīt: WPA2 - Personal un AES šifrēšana. Nu, tas ir galvenais.

Ja nevarat izdomāt, jautājiet komentāros.

Ko darīt, ja ierīces pēc instalēšanas vai paroles maiņas nepievienojas?

Ļoti bieži pēc instalēšanas un jo īpaši pēc paroles maiņas ierīces, kas iepriekš bija savienotas ar jūsu tīklu, nevēlas ar to izveidot savienojumu. Datoros tās parasti ir kļūdas “Šajā datorā saglabātie tīkla iestatījumi neatbilst šī tīkla prasībām” un “Windows nevarēja izveidot savienojumu ar...”. Planšetdatoros un viedtālruņos (Android, iOS) var parādīties arī tādas kļūdas kā “Nevarēja izveidot savienojumu ar tīklu”, “Savienots, aizsargāts” utt.

Šīs problēmas var atrisināt, vienkārši izdzēšot bezvadu tīklu un atkārtoti izveidojot savienojumu ar jaunu paroli. Es rakstīju, kā izdzēst tīklu operētājsistēmā Windows 7. Ja jums ir Windows 10, jums ir nepieciešams “aizmirst tīklu”, izmantojot . Mobilajās ierīcēs nospiediet un turiet savu tīklu un atlasiet "Dzēst".

Ja vecākām ierīcēm rodas savienojuma problēmas, maršrutētāja iestatījumos iestatiet WPA drošības protokolu un TKIP šifrēšanu.

Mūsdienās bezvadu tīkliem ir liela nozīme lietotāju dzīvē. Ja pirms 10 gadiem tika uzskatīts, ka aiz klēpjdatora ir ierasts nēsāt interneta kabeli, tad mūsdienās katrs tālrunis savienojas ar internetu, izmantojot wi-fi. Datori, klēpjdatori, netbook datori, planšetdatori, viedtālruņi, printeri – visas šīs iekārtas var pieslēgt tīklam un savstarpēji savienot vienkārši pa gaisu. Un dabiski, ka ne tikai tev, bet arī apkārtējiem ir šāds aprīkojums. Tāpēc ir ārkārtīgi svarīgi spēt aizsargāt savu bezvadu tīklu.

1. Paša Wi-Fi tīkla aizsardzība.

Nepieciešams izvēlēties uzticamu drošības veidu un instalēt grūti uzminamu drošības atslēgu. Mēs iesakām izvēlēties WPA2-PSK un drošības atslēgu ar 8-10 rakstzīmēm.

Bieži vien ir arī laba ideja paslēpt Wi-Fi tīklu. Lai to izdarītu, atzīmējiet izvēles rūtiņu Iespējot slēpto bezvadu savienojumu(skat. attēlu augstāk)

Dažos gadījumos ir lietderīgi pielāgot raidītāja jaudu tā, lai piekļuves punkts aptver jūsu dzīvokli, bet nesasniedz jūsu kaimiņus.

2. Aizsargājiet savu piekļuves punktu (vai maršrutētāju)

Izmantojot D-Link DIR-300 kā piemēru:

Dodieties uz sadaļu APKOPE, atlasiet apakšsadaļu Ierīces administrēšana, uzstādījumā Administratora parole Divreiz ievadiet jauno paroli:

Un uzstādījumā Administrācija noņemiet atzīmi no izvēles rūtiņas Iespējot attālo pārvaldību kas padarīs neiespējamu pieteikšanos ierīces tīmekļa saskarnē no interneta.