Създаване на защитен Wi-Fi мрежа, компютърни записи от А до Я
Създаване на защитен Wi-Fi мрежа
На пръв поглед, да се създаде висока степен на защита Wi-Fi мрежа е много трудно. Трябва да закупите "правилната" оборудване, конфигурирате сървъра за удостоверяване, да се грижи за счетоводната Интернет трафик и защита срещу външни атаки през защитната стена.
Всичко това може да отнеме много време и пари. В тази статия ще говорим за един от най-евтините и най-лесните начини да се създаде сигурна безжична мрежа с общ достъп до Интернет.
Част 1. безопасност Малцина
Причината за уязвимостта на безжични мрежи се крие в начина им на работа: прихващат данни, предавани по въздуха, много по-леки в сравнение с конвенционалните окабеляване. То не изисква скъпо оборудване и постижими чрез конвенционален лаптоп, чифт хакерски инструменти (като airodump и Aircrack) и добри инструкции за това как да проникна Wi-Fi (например тук). Ето защо, в безжичната мрежа трябва да бъде защитена от различни видове атаки: неоторизирани връзки, пресичане и да слушате трафик, кражба на важна информация, "фалшиви" точки за достъп и т.н.
Към днешна дата, най-надеждният безжична мрежа признат сертификат за сигурност стандарт WPA (Wi-Fi Protected Access). Първоначалната защита на безжични мрежи може да бъде улеснено чрез Mode WPA-PSK (предварително споделен ключ), когато точката за достъп и компютъра на потребителя, се въвежда ръчно ключовете на сесията - предварително споделен ключ, наподобяваща нормално парола. WPA-PSK потенциална уязвимост произтича от факта, че в реални мрежи, ключовата фраза рядко се променила и е еднаква за всички потребители на мрежата. Ако има време и мощен компютър, за да изберете парола няма да бъде трудно.
По-надеждна защита на мрежата се постига при използване на WPA Enterprise, когато е инсталирана програмата за удостоверяване на мрежата (RADIUS сървър), който изпълнява потребителски права за достъп. В този случай, безжична точка за достъп ще блокира всички връзки към безжичната мрежа, докато на входа от потребителско име и парола, няма да бъдат тествани в сървъра за удостоверяване. Ако потребителят не е в базата данни на данните за RADIUS сървър, тя няма да бъде в състояние да се свърже с Wi-Fi мрежа.
Максимална защита на безжична мрежа дава възможност за използване на цифрови сертификати и метод за идентификация EAP-TLS (разширяем протокол за удостоверяване - Транспорт ниво на сигурност). В този случай, компютъра на потребителя и сървъра на RADIUS провери помежду си предварително генерирани цифрови сертификати, които са гарантирани за да защитите своята мрежа от неоторизирани връзки и потребители - от внасянето на хакери и "фалшиви" горещи точки.
За още по-добра защита на предаваните данни може да създаде външна безжична мрежа защитна обвивка с помощта на VPN (Virtual Private Network) технология на върха на WPA, което добавя второ ниво на криптиране на трафика.
Накрая, за да се защитят срещу неоторизирани точки за достъп, тайно монтирани от служителите си, можете да използвате специалната мрежово оборудване, може да открива тези устройства и генериране на съответните доклади.
Но въпреки очевидната сложност, създаване на най-сигурната Wi-Fi мрежа е сравнително лесно. За да направите това, не е задължително да бъде гуру в infobezopasnosti и безжични стандарти. Всичко може да се направи в един час и половина, като:
Част 2: Пример за създаване на сигурна безжична мрежа
А сега да разгледаме примера на организацията на местно Wi-Fi мрежа, въз основа на Esomo. Мрежата включва 11 компютри, безжичен Linksys точка за достъп и свързан към интернет чрез ADSL модем.
На първо място, да изтеглите Esomo сайт (изтегляне размер 135 Mb) на разработчика и да инсталирате на сървъра част от програмата на отделен компютър с две мрежови карти. Това ще бъде нашата RADIUS сървър и VPN и достъп до сървъра с интернет, което позволява на потребителите да ограничават достъпа на трафика, за да видите статистиката и разходите за трафик. операционната система не се изисква за Esomo, защото Програмата предвижда и разпространява свободно OS FreeBSD. Стъпка по стъпка инструкции за инсталиране Esomo можете да намерите тук.
След като инсталирате софтуера свържете с Esomo компютър и точката за безжичен достъп до мрежов комутатор. Чрез втория мрежов интерфейс сървъра, за да се свържете Esomo ADSL-модем (или към кабела, ако имате наета линия). На всяко Windows-базирана компютърна мрежа (също свързан с мрежов комутатор) тече Esomo работна станция и се свържете с Esomo на сървъра.
Създаване на сигурна безжична мрежа може да се основава Esomo в 4 лесни стъпки. На първо място, ние ще се занимаваме Esomo настройката за безжична мрежа. Тогава се създаде безжична точка за достъп и компютъра ви. И накрая, за да се свържете Wi-Fi мрежа и да се създаде VPN-връзка с Esomo сървър, за да се създаде второ ниво на защита на безжичната трафик. След това можете да работите безопасно в Wi-Fi мрежа и Интернет в. Да започваме.
Стъпка 1: Конфигуриране на сървър Esomo
Сега добавете безжична точка за достъп в списъка на точки за достъп Esomo сървър и се отбележи, за да я тайния ключ (парола). Това е необходимо, за да се осигури връзка между точката за достъп и Esomo. Нанесете Settings.
За потребителите на мрежата да могат да сърфират в интернет, както и да се прецени тяхната Esomo трафик, трябва да създадете със скорост, която определя цената на 1 МВ трафик, или 1 минута на интернет връзка. За да направите това в рубриката "такси", за да добавите нова тарифа, определяне на цената на 1 МВ входящия трафик, например в една рубла.
Както и на това писание Esomo позволява достъп до Интернет само за потребители с тарифа и средства за индивидуална сметка, отидете на "Потребители" и кликнете два пъти върху потребителя testuser да го възложи на установеното по-рано процент, и се добавя към сметката си 500 рубли.
В тази настройка Esomo сървър е завършена. Ние си запазваме прозорец Esomo AWS отворен и се пристъпи към създаване на безжична точка за достъп.
Стъпка 2. Създаване на безжична точка за достъп
По-долу е снимка на настройките на точка за достъп Linksys.
Стъпка 3: Създаване на компютъра на потребителя
За двупосочна удостоверяване между потребителя и Esomo сървъра на компютър трябва да бъде инсталиран на компютъра на потребителя, цифрови сертификати, и настроите своята безжичен адаптер за работа по протокола за EAP-TLS.
Сега зададете вашите цифрови сертификати. Това е достатъчно, за да се удвои бутон на мишката върху сертификата, и следвайте помощника за импортиране на сертификат.
На сървъра Esomo вече присъстват сертификати готов, така че не се нуждае от нищо, за да се инсталира.
На следващо място, създаване на безжичен мрежов адаптер на нашия компютър да работи с RADIUS сървъра Esomo EAP-TLS протокол за автентикация. За тази цел, настройките на безжичния адаптер Посочете употреба TKIP криптиране и автентификация за WPA протокол използването на цифрови сертификати.
От списъка с надеждни основни сертифициращи изберете предварително инсталиран на компютъра ни основен сертификат.
Така че, всички настройки са пълни, и безжичната мрежа е готова за използване. Изключването на нашия компютър от мрежов комутатор и се опитайте да се свържете към Wi-Fi мрежа. След търсене за налични мрежи, безжичния адаптер ще открие в нашия защитен мрежа. След успешна автентикация, цифрови сертификати, както и проверки на RADIUS сървър компютър се свързва с нашата Wi-Fi мрежа. Остава да се вземе последната стъпка по пътя към superzaschite нашата безжична мрежа.
Стъпка 4. Създаване на втори слой на защита - монтаж на VPN връзка с криптиране на трафика
След успешна проверка на потребителско име и парола между нашия компютър и сървър Esomo създаде VPN връзка. Вече спокойно можете да сърфирате в интернет. Целият трафик ще бъде криптирана с WPA означава не само, но и VPN. И след Esomo работно място, по всяко време, можете да видите статистиката на "напомпани" трафик и с няколко кликвания да го импортирате в MS Excel.
След като проверите дали всичко работи, свържете други компютри към вашата безжична мрежа и предоставят на потребителите с достъп до Интернет. За да направите това, да създадете нов потребител чрез Esomo работни станции, да ги възлагат на добавили преди процент. След това създайте цифров сертификат и инсталиран на компютъра на всеки потребител главния сертификат и собствения си обичай сертификат за тези потребители. Също така, не забравяйте да настроите безжичен адаптер на компютъра на всеки потребител да работи с RADIUS сървър за EAP-TLS протокол.
При тази настройка на безжична мрежа с общ достъп до Интернет е пълно. За всичко това ми отне най-малко два часа. Вие се съгласявате, че по друг начин би било трудно да се организира добре защитена Wi-Fi мрежа с такова минимално време и усилия. Така Esomo работи чудесно като сървър RADIUS и сървъра достъп до Интернет, не само в безжични мрежи, но и в кабелен LAN и смесена, с някои сегменти на мрежата комбинирана с кабел, а другата с помощта на Wi-Fi.