1. Главная
  2. Книги
  3. Росс Джон
  4. Wi-Fi. Беспроводная сеть
  5. Страница 63
Выбрать главу

Рис. 14.6

Не оставляйте шансов захватчикам беспроводной сети

Большинство людей, пытающихся присоединиться к беспроводной сети, не беспокоятся о других компьютерах; их интересует бесплатный высокоскоростной доступ в Интернет. Если они не могут использовать вашу сеть для загрузки файлов или подключения к своим любимым Web-страницам, то, скорее всего, попытаются найти какую-либо другую незащищенную беспроводную точку. Это не означает, что вы должны хранить конфиденциальные данные в доступных файлах на незащищенных компьютерах, но если можно ограничить или запретить доступ в Интернет, вы сделаете свою сеть гораздо менее привлекательной для недоброжелателей. Брандмауэр в беспроводной сети может выполнять несколько функций: он действует как маршрутизатор между беспроводной и проводной сетью или как мост между сетью и Интернетом, блокирует все перемещения трафика с беспроводной части в проводную, которые не исходят от аутентифицированного пользователя. Но он не вмешивается в команды, сообщения и передачу файлов, осуществляемые доверенными пользователями.

Авторизованный пользователь может подключаться к сетевым узлам проводной части смешанной сети или к Интернету, а посторонний будет отсекаться брандмауэром.

Так как и авторизованные пользователи, и посторонние находятся на незащищенной стороне брандмауэра, это не изолирует беспроводные узлы один от другого. Недоброжелатель по-прежнему может получить доступ к другому компьютеру в этой же беспроводной сети и считать доступные файлы, поэтому лучше отключить File Sharing (Доступ к файлам) на любом компьютере, подключенном к беспроводной сети.

Брандмауэр для беспроводной сети должен использовать некий тип аутентификации, чтобы пропускать авторизованных пользователей через шлюз, а всех остальных отсеивать. Если управление доступом, основанное на МАС-адресах, встроено в системы 802.11Ь, а дополнительная аутентификация в802.1х неприемлема, то внешний брандмауэр должен требовать от каждого пользователя ввода логина и пароля до подключения к Интернету.

Если ваша беспроводная сеть содержит компьютеры, работающие под несколькими операционными системами, брандмауэр должен использовать логин, работающий на любой платформе. Самым простым способом выполнения этого условия является использование сервера аутентификации на базе Web, наподобие включенного в Apache Web-сервер (http://httpd.apache.org).

Центр NASA использует Apache на выделенном сервере для создания Web-сайта, уведомляющего пользователей о вводе названия учетной записи и пароля.

Сервер использует скрипт Perl/CGI для сравнения логина и пароля с базой данных. Если они правильные, он инструктирует сервер о принятии команд и данных по IP-адресу пользователя. Если в базе данных логина нет или пароль неточный, сервер Apache отображает Web-страницу «Invalid Username and Password — («Неверный логин и пароль»).

Web-сервер Apache доступен как Unix приложение, которое запускается на старом медленном компьютере с ранним Pentium или лаже 486 CPU, поэтому часто можно заново использовать старый компьютер, который больше не применяется в повседневной работе, чтобы задействовать его в качестве брандмауэра. Как приложение Apache, так и операционная система Unix доступны в качестве открытого программного обеспечения, поэтому далжна быть возможность построить брандмауэр на базе Apache за предельно низкую стоимость.

Если вы предпочитаете вместо Unix использовать Windows, у вас есть несколько вариантов. Можно использовать Windows NT/2000 версию Apache либо такую коммерческую утилиту, как Wireless Enforcer от Sygate (http://www.sygate.com/prodacls/sse/sse_swe_securjty.htm) — Wireless Enforcer работаете другими элементами Sygate Secure Enterprise Suite (Комплект корпоративной защиты Sygate) для назначения и проверки уникального отпечатка пальца каждому авторизованному пользователю. Если посторонние пытаются подключиться к точке доступа без необходимого отпечатка, сеть блокирует их.

Изолирование вашей сети от Интернета

Не все атаки на беспроводную сеть осуществляются по воздуху. Беспроводная сеть требует такого же рода брандмауэрной поддержки против атак из интернета, как и любая другая сеть. Многие точки доступа содержат функции конфигурируемого брандмауэра, но, если ваши этого не обеспечивают, сеть должна содержать один или более следующих брандмауэров:

— программа брандмауэра на каждом компьютере;

— отдельный маршрутизатор или выделенный компьютер для работы в качестве сетевого брандмауэра;

— интегрированный пакет защиты, например пакет Sygate, описанный в предыдущем разделе.

Клиентские программы брандмауэров обеспечивают другую линию защиты от атак вашей сети через Интернет. Некоторые из них исходят от недоброжелателей, ищущих способ прочесть ваши файлы и другие ресурсы, которые вы хотите скрыть от внешнего мира. Другие могут захотеть использовать ваш компьютер в качестве рассыльной точки для спама или попыток внедрения в компьютер в другой точке земного шара, чтобы сделать реальный ресурс сложнее для отслеживания. Остальные распространяют вирусы или используют нежелательные программы, перехватывающие управление компьютером и отображающие устрашающие или рекламные сообщения. К тому же незащищенная машина с большим объемом неиспользуемого пространства хранения может стать привлекательной мишенью для хакеров, желающих распространять пиратское программное обеспечение, музыку или видеофайлы (не думаете же вы, что они хранят этот хлам на своих собственных компьютерах?).

Если вы установите брандмауэр, уведомляющий вас о попытке внешнего компьютера подключиться к сети, то, скорее всего, будете отмечать несколько попыток вторжения каждый день.

Точки доступа с брандмауэрами

Самым простым вариантом использования брандмауэра для беспроводной сети является использование встроенного в точку доступа. Некоторые сочетают функции беспроводной точки доступа с широкополосным маршрутизатором и свитчем Ethernet, поэтому поддерживают как проводных, так и беспроводных сетевых клиентов.

Как известно, сетевой маршрутизатор обеспечивает преобразование между числовым IP-адресом, определяющим шлюз локальной стеи, и внутренними IP-адресами, определяющими индивидуальные компьютеры в ее пределах. Брандмауэр обычно блокирует все входящие запросы данных к локальным сетевым хостам, но это создает проблемы, когда вы хотите использовать один или более компьютеров локальной сети в качестве файловых серверов. Для решения этой проблемы брандмауэр включает виртуальный сервер, который перенаправляет запросы определенного типа на соответствующий компьютер внутри сети.

Каждый запрос на подключение к серверу содержит номер конкретного порта, определяющего тип сервера. Например, Web-серверы работают с портом 80, a FTP используют порт 21, поэтому номера этих портов являются частью запроса на доступ. Принимая запросы на доступ к серверу, вы должны включить в брандмауэре функцию преобразования сетевого адреса — network address translation (NAT) для направления этих запросов на заданный компьютер в пределах локальной сети. На рис. 14.7 виртуальный сервер сконфигурирован для использования компьютера с локальным IP-адресом 192.168.0.177 в качестве Web-сервера и 192.168.0.164 в качестве FTP файлового сервера. В табл. 14.1 приведены наиболее распространенные номера служебных портов.

Табл. 14.1 Распространенные номера служебных портов протокола TCP/IP

В разных сетях используются сотни номеров других портов, но большинство из них вы никогда не встретите в реальном использовании. Официальный список назначенных портов находится на http://www.iana.org/assignments/port-numbers.

Рис. 14.7

~ 63 ~