8 советов как обеспечить безопасность домашней сети wifi

В отношении домашнего беспроводного интернета никогда нет стопроцентной гарантии, что кто-то чужой не подключится к сети. В этой статье Технический директор Starman Ханно Лийва перечисляет восемь простых рекомендаций, выполняя которые можно существенно повысить уровень безопасности домашнего wifi и снизить вероятность недоброжелательного вторжения.

1. Название сети (SSID).

Речь идет об идентификаторе, который точка доступа wifi посылает, чтобы дать знать, что такая сеть существует. В первую очередь нужно подумать, зачем вообще нам нужно показывать название своей сети – мы ведь в любом случае его знаем. Практически каждый роутер или опорная станция позволяют запретить трансляцию SSID (Broadcast SSID).

 

Если мы имеем дело с сетью, предназначенной для общественного пользования, то такой подход к делу, разумеется, неразумен. Но в домашней сети – почему бы и нет? Тут нужно отметить, что некоторое оборудование (компьютеры, смартфоны) могут отказаться от подсоединения к засекреченной сети, но в большинстве случаев проблем не возникает.

 

При выборе названия для сети (SSID), будь то засекреченная или открытая сеть, разумно воздерживаться от излишней персонализации и от отсылок к типу оборудования или провайдеру. Чем более безлико название сети, тем меньше мы выдаем информации потенциальным преступникам о происхождении сети, типе используемого оборудования и провайдере интернет-соединения. Совершенно свободно можно для этих целей использовать случайный набор цифр и букв.

 

2. Шифрование сети (Security encryption).

Обязательно нужно включить шифрование сети, то есть технологию, которая шифрует передачу данных между роутером и компьютером таким образом, чтобы ее было невозможно подглядеть простыми средствами. По сравнению с обычным сетевым кабелем, на который мы можем установить физическую преграду, иной защиты, чем шифр, в случае передачи данных по воздуху нет.

 

Сегодня можно с уверенностью сказать, что метод шифрования WEP отжил свое и его использование мало чем отличается от обычной открытой сети. Интересующиеся могут очень быстро найти ключ к шифру, поэтому, если у нас нет возможности использовать иные протоколы чем WEP, будет разумным заменить роутер и сопутствующее оборудование.

 

Разумно было бы использовать WPA или WPA2, которые поддерживают все современные роутеры и виды оборудования. При выборе ключа WPA и WPA2 (passphrase) опять же нужно исходить из принципа, чем сложнее и длиннее, тем лучше. Совершенно точно нельзя использовать легко угадываемые комбинации. Прослушка и взлом в случае этих протоколов тем сложнее, чем сложнее ключ.

 

3. Пароль роутера и ограничение доступа.

Элементарно, что имеющийся по умолчанию пароль роутера (а у более продвинутых роутеров также и логин) нужно сменить при первой же возможности. При выборе пароля снова нужно исходить их принципа, чем сложнее, тем безопаснее.

 

Помимо этого стоит обратить внимание на дополнительные возможности: часто возможно запретить доступ к интерфейсу администрирования роутера из сети wifi. Это означает, что к интерфейсу можно получить доступ только через провода, что хотя бы теоретически добавляет безопасности, особенно в открытых или полуоткрытых сетях.

 

Было бы также разумно проверить, как (если вообще) роутер администрируется из интернета. Это разумеется напрямую не касается wifi, но с точки зрения безопасности сети достаточно важно. Если роутер позволяет на базе IP-адреса получить доступ из интернета к интерфейсу администрирования, было бы разумно это запретить или использовать только в крайнем случае. 

 

4. AP isolation

Речь идет о возможности отделить друг от друга клиентов wifi, создав для каждого отдельное виртуальное соединение (невидимый провод) только между опорной станцией и клиентом. Это позволяет снизить опасность прослушки другого клиента, пользующегося wifi. Особенно важно использовать эту возможность в общественных или полуоткрытых сетях.

 

5. Список адресов MAC

Большинство роутеров позволяет задать список клиентов, имеющих доступ к wifi сети, на базе персональных адресов MAC. Это напрямую не является мерой по защите безопасности, поскольку адреса MAC легко подделываются, но для того, чтобы их угадать, необходимо все же прослушивать сеть и это является для злоумышленника головной болью даже в том случае, если он смог угадать пароль сети. Если дома имеется определенное количество компьютеров, а «гости» или бывают редко, или вообще не бывают, использование списков будет разумным. При этом несомненно нужно обратить внимание, что эти списки можно создавать двумя способами: разрешая доступ только тем, кто содержится в списке, или наоборот – пользование сетью запрещено тем, кто внесен в список.

 

6. Конфигурация сервера DHCP.

И снова мы имеем дело не с прямым методом по обеспечению безопасности, но он может быть в известной степени полезным. Если в вашем доме имеется определенное количество компьютеров, то роутер мог бы выдавать ровно столько же IP-адресов, не больше. Это хорошо, поскольку, когда все компьютеры находятся в работе или IP-адреса поделены, для «новичков» не остается свободных адресов и подсоединение становится невозможным. Разумеется, чужак может вписать себе IP-адрес вручную, но это опять же неудобная преграда, на преодоление которой потребуется потратить время. Существуют и такие роутеры, которые вообще не принимают в расчет клиентов со статичным IP-адресом (если их так настроить). Также часть роутеров позволяют адрес MAC конкретного клиента связать с конкретным IP-адресом (ip reservation) и исключить остальных. Очередной щелчок по носу непрошенному гостю.

 

7. Всевозможные временные ограничения.

Некоторые роутеры позволяют ограничить пользование интернетом во времени, то есть если вы ночью не  пользуетесь интернетом, роутеру можно приказать, чтобы и он отправился на это время на отдых. Иной раз такой отдых можно установить наоборот в дневное время, когда вы сами находитесь на учебе или на работе.

 

8. Сеть 5GHz вместо 2,4GHz.

Не у всех имеется оборудование wifi, работающее на частоте 5GHz (и не у всех злоумышленников тоже), но если у вас оно есть, то почему бы им не воспользоваться? Дополнительным бонус в таком случае очевиден: если эфирный шум на частоте 2,4Ghz  на сегодняшний день уже достигли пика и местами сделали пользование практически невозможным, то в частоте 5GHz с большой вероятностью вы сможете насладиться приватной тишиной.

 

Так что на самом деле для увеличения уровня безопасности можно много чего сделать. В общем случае действует правило: чем более качественный/дорогой роутер, тем больше различных дополнительных возможностей начиная от нескольких разделенных друг от друга точек доступа (SSID), заканчивая мощными и очень детально настраиваемыми файрволами.

Jaga