Vytvoření zabezpečené wi-fi sítě
Na první pohled je vytvoření spolehlivě chráněné Wi-Fi sítě velmi obtížné. Je nutné zakoupit „správné“ vybavení, nastavit autentizační server, postarat se o účtování internetového provozu a ochranu před vnějšími útoky přes firewall.
To vše může zabrat spoustu času a Peníze. V tomto článku budu mluvit o jednom z nejlevnějších a jednoduchými způsoby vytvoření bezpečného bezdrátová síť s obecným přístupem k internetu.
Část 1. Něco málo o bezpečnosti
Důvod zranitelnosti bezdrátových sítí spočívá v principu jejich fungování: zachycení dat přenášených rádiovým kanálem je mnohem jednodušší než u běžných kabelové připojení. To nevyžaduje drahé vybavení a lze to provést pomocí běžného notebooku, páru hackerské nástroje(jako je airodump a aircrack) a dobré instrukce pro hackování wi-fi(jako například zde). Bezdrátová síť proto musí být maximálně chráněna před různými typy útoků: neoprávněným připojením, odposlechem a odposlechem provozu, krádeží důležitá informace, „falešné“ přístupové body atd.
Dnes je bezpečnostní standard WPA (Wi-Fi Protected Access) uznáván jako nejspolehlivější pro bezdrátové sítě. Prvotní ochranu wi-fi sítě lze zajistit pomocí režimu WPA-PSK (Pre-Shared Key), kdy je na přístupovém bodu ručně zadán klíč komunikační relace - Pre-Shared Key, připomínající běžné heslo. počítač uživatele. Potenciální zranitelnost WPA-PSK vzniká, protože ve skutečných sítích se heslo mění jen zřídka a je stejné pro všechny uživatele v síti. Pokud máte čas a výkonný počítač výběr takového hesla nebude obtížný.
Spolehlivějšího zabezpečení sítě je dosaženo při použití režimu WPA Enterprise, kdy je v síti nainstalován ověřovací server (server RADIUS), který kontroluje přístupová práva uživatelů. V tomto případě bezdrátový přístupový bod zablokuje všechna připojení k bezdrátové síti, dokud uživatelské jméno a heslo zadané uživatelem neověří ověřovací server. Pokud uživatel není v databázi serveru RADIUS, nebude se moci připojit k síti Wi-Fi.
Maximální zabezpečení bezdrátové sítě je zajištěno použitím digitálních certifikátů a autentizační metody EAP-TLS (Extensible Authentication Protocol - Transport Level Security). V tomto případě se počítač uživatele a server RADIUS vzájemně ověřují pomocí předem vygenerovaných digitálních certifikátů, které zaručeně ochrání vaši síť před neoprávněným připojením a uživatele před „falešnými“ přístupovými body zavedenými hackery.
Pro ještě spolehlivější ochranu přenášených dat můžete vytvořit externí ochranný plášť bezdrátové sítě pomocí technologie VPN (Virtual Private Network) přes WPA, která přidá druhou úroveň šifrování provozu.
A konečně se můžete chránit před neoprávněnými přístupovými body, které vaši zaměstnanci tajně instalují, pomocí speciálního síťového vybavení, které dokáže detekovat taková zařízení a generovat příslušné zprávy.
Málokdo dokáže sestavit takový bezpečnostní systém bezdrátové sítě: musíte minimálně správně nakonfigurovat bezdrátový přístupový bod a autorizační server RADIUS, vytvořit databázi uživatelů, vyvinout systém správy této databáze a digitálních certifikátů, a co je nejdůležitější , spojit všechny tyto komponenty do jediné sítě .
Ale i přes zdánlivou složitost je vytvoření nejbezpečnější sítě Wi-Fi docela snadné. Abyste toho dosáhli, nemusíte být guru informační bezpečnosti a bezdrátové standardy. Vše lze stihnout za hodinu a půl s:
- samostatný počítač;
- bezdrátový přístupový bod, který podporuje WPA, WPA2 a autorizaci na serveru RADIUS (tyto charakteristiky přístupového bodu lze nalézt v jeho dokumentaci nebo od konzultantů v obchodě s počítači);
- Program Esomo, který bude hrát roli RADIUS serveru i veřejného serveru pro přístup k internetu. Oficiální stránky vývojáře programu: www.esomoline.com. K ochraně bezdrátové sítě používá Esomo protokol EAP-TLS, který zajišťuje ověřování uživatelů na vestavěném serveru RADIUS a vzájemné ověřování mezi serverem Esomo RADIUS a počítači uživatelů pomocí digitálních certifikátů.
Část 2. Příklad vytvoření zabezpečené bezdrátové sítě
Nyní se podívejme na příklad organizace místní wi-fi sítě založené na Esomo. Síť zahrnuje 11 počítačů, bezdrátový přístupový bod Linksys a je připojena k internetu přes ADSL modem.
Nejprve si stáhněte Esomo z webu vývojáře (velikost distribuce 135 MB) a nainstalujte serverovou část programu na samostatný počítač se dvěma síťové karty. Toto bude také náš RADIUS server VPN server a server pro přístup k internetu, který vám umožňuje omezit uživatelský provoz, zobrazit statistiky o přístupu a nákladech na provoz. Esomo ke svému provozu nevyžaduje operační systém, protože... Program již obsahuje volně distribuovaný OS FreeBSD. Pokyny krok za krokem návod k instalaci Esomo naleznete zde.
Po instalaci programu připojte počítač s Esomo a bezdrátový přístupový bod k síťovému přepínači. Přes druhé síťové rozhraní připojíme server Esomo k ADSL modemu (nebo ke kabelu, pokud máte vyhrazenou linku). Na libovolném počítači se systémem Windows lokální síť(také připojeno k síťovému přepínači) spusťte Esomo Workstation a připojte se k serveru Esomo.
Můžete vytvořit bezpečnou bezdrátovou síť založenou na Esomo ve 4 jednoduché kroky. Nejprve nastavíme Esomo pro práci s bezdrátovou sítí. Poté nakonfigurujeme bezdrátový přístupový bod a uživatelské počítače. A nakonec se připojte k síti Wi-Fi a vytvořte připojení VPN se serverem Esomo, abyste vytvořili druhou úroveň ochrany bezdrátového provozu. Poté můžete bezpečně pracovat na sítích Wi-Fi a internetu. Pojďme tedy začít.
Krok 1: Nastavení serveru Esomo
Nejprve bezdrátovému přístupovému bodu přidělíme trvalou IP adresu, aby fungoval v naší síti. Chcete-li to provést, přidejte přístupový bod do statického seznamu DHCP (adresa MAC přístupového bodu je obvykle uvedena na štítku na něm). Aplikujme nastavení.
Nyní přidejte bezdrátový přístupový bod do seznamu přístupových bodů na serveru Esomo a zadejte pro něj tajný klíč (heslo). To je pro organizaci nezbytné zabezpečené připojení mezi přístupovým bodem a Esomo. Aplikujme nastavení.
Aby uživatelé sítě měli přístup k internetu a Esomo zohledňovalo jejich provoz, je nutné vytvořit tarif, který určuje cenu 1 MB provozu nebo 1 minuty připojení k internetu. Za tímto účelem přidáme sekci „Tarify“. nový tarif, stanovení nákladů na 1 MB příchozího provozu, například 1 rubl.
Protože v době psaní tohoto článku Esomo umožňuje přístup k internetu pouze uživatelům, kteří mají tarif a prostředky na individuálním účtu, přejděte do sekce „Uživatelé“ a dvakrát klikněte na uživatele testuser, přiřaďte mu dříve vytvořený tarif a přidejte 500 rublů na jeho účet.
Tím je nastavení serveru Esomo dokončeno. Nechte okno Esomo AWP otevřené a pokračujte v konfiguraci bezdrátový bod přístup.
Krok 2: Nastavení bezdrátového přístupového bodu
K bezdrátové síti můžete přistupovat pouze po úspěšné autorizaci na serveru Esomo, takže nejprve musíte nakonfigurovat bezdrátový přístupový bod, aby fungoval se serverem RADIUS. Chcete-li to provést, připojte se k přístupovému bodu prostřednictvím webového prohlížeče pomocí adresy IP, kterou jsme mu dříve přiřadili prostřednictvím pracovní stanice Esomo na kartě „DHCP“. Jako provozní režim přístupového bodu určíme WPA-Enterprise, jako šifrovací protokol TKIP a jako server RADIUS IP adresu počítače s Esomo. Také zkontrolujeme, zda tajný klíč zadaný v nastavení přístupového bodu (Shared Secret) souhlasí s klíčem zadaným pro přístupový bod v Esomo Workstation (sekce „Wi-Fi“, záložka „Přístupové body“).
Níže je snímek obrazovky nastavení přístupového bodu Linksys.
Krok 3: Nastavení počítače uživatele
Pro obousměrnou autentizaci mezi počítačem uživatele a serverem Esomo musí být na počítači uživatele nainstalovány a nakonfigurovány digitální certifikáty. bezdrátový adaptér pracovat pomocí protokolu EAP-TLS.
Autorizace uživatele na serveru Esomo probíhá za účasti dvou digitálních certifikátů: root a user. Tyto certifikáty je nutné získat prostřednictvím Esomo AWS a nainstalovat je na váš počítač. Chcete-li to provést, přejděte do části „Wi-Fi“ na kartě „Certifikáty“ a uložte kořenový certifikát a uživatelský certifikát testuser do našeho počítače.
Nyní nainstalujme přijaté digitální certifikáty. K tomu stačí dvakrát kliknout na certifikát a postupovat podle pokynů Průvodce importem certifikátu.
S instalací kořenový certifikát Neměly by být žádné potíže: ponechte všechna výchozí nastavení a klikněte na tlačítka "Další" a "Dokončit". Během instalace certifikátu pro uživatele testuser však budete muset zadat heslo testuser, které tento certifikát chrání.
Server Esomo již obsahuje hotové certifikáty, takže tam není potřeba nic instalovat.
Dále nakonfigurujeme bezdrátovou síť síťový adaptér naše PC pracovat se serverem Esomo RADIUS pomocí protokolu EAP-TLS. Chcete-li to provést, v nastavení bezdrátového adaptéru určíme použití šifrování TKIP a ověřování WPA pomocí digitálních certifikátů.
Ze seznamu důvěryhodných kořenových certifikačních autorit vyberte kořenový certifikát dříve nainstalovaný na našem počítači.
Všechna nastavení jsou tedy dokončena a bezdrátová síť je připravena k práci. Odpojíme náš počítač od síťového přepínače a pokusíme se připojit k wi-fi síti. Po hledání dostupné sítě bezdrátový adaptér detekuje naši zabezpečenou síť. Po úspěšné autentizaci pomocí digitálních certifikátů a ověření na serveru RADIUS se náš počítač připojí k wi-fi síti. Zbývá udělat poslední krok k superochraně naší bezdrátové sítě.
Krok 4. Vytvoření druhé úrovně ochrany - Instalace VPN spojení s šifrováním provozu
Maximální ochrany bezdrátového provozu v síti s Esomo je dosaženo použitím technologie VPN přes již vytvořené bezdrátové připojení pomocí protokolu WPA, který přidává druhou úroveň šifrování provozu. Připojení VPN mezi počítačem uživatele a serverem Esomo se vytvoří automaticky. Stačí otevřít webový prohlížeč a zadat adresu jakékoli existující stránky, například www.google.ru. Na přihlašovací stránce Esomo zadejte testuser do obou polí formuláře a klikněte na tlačítko „Připojit“.
Po úspěšné kontrole přihlašovacího jména a hesla bude navázáno spojení mezi naším PC a serverem Esomo VPN připojení. Nyní můžete bezpečně surfovat na internetu. Veškerý přenášený provoz bude šifrován nejen pomocí WPA, ale také pomocí VPN. A prostřednictvím Esomo AWS si můžete kdykoli zobrazit statistiky „napumpovaného“ provozu a na pár kliknutí je importovat do MS Excel.
Po kontrole, že vše funguje, připojíme zbývající počítače k bezdrátové síti a poskytneme uživatelům přístup k internetu. K tomu vytvoříme nové uživatele prostřednictvím Esomo AWS a přiřadíme jim dříve přidaný tarif. Poté pro tyto uživatele vytvoříme digitální certifikáty a nainstalujeme kořenový certifikát a jejich vlastní uživatelský certifikát na počítač každého uživatele. Nezapomeňte také nakonfigurovat bezdrátový adaptér na počítači každého uživatele pro práci se serverem RADIUS pomocí protokolu EAP-TLS.
Tím je nastavení bezdrátové sítě dokončeno s sdílený přístup Internet je zcela dokončen. Všechno mi trvalo necelé dvě hodiny. Souhlasíte s tím, že pomocí jiných prostředků by bylo problematické uspořádat dobře chráněnou síť Wi-Fi s takovými minimální nákladyčas a úsilí. Esomo přitom perfektně funguje jako RADIUS server a server pro přístup k internetu nejen v wi-fi sítí, ale také v drátových a smíšených LAN, kdy jsou některé síťové segmenty propojeny kabelem a jiné pomocí wi-fi.
Předpokládejme, že jste si zakoupili Wi-Fi router a adaptér, pokud nemáte mobilní zařízení s adaptéry již vestavěnými uvnitř. Nejprve musíte vybalit zařízení a připojit router k síti.
Chcete-li přejít do nastavení routeru, musí být připojen pomocí propojovacího kabelu ( síťový kabel, obvykle součástí balení s routerem) do počítače - jeden konec do LAN portu routeru (na obrázku žlutý port), druhý do odpovídajícího portu na počítači. Musíte připojit kabel poskytovatele internetu k portu WAN (modrý port). Porty na routerech od jiných společností jsou obvykle podepsané, bude velmi obtížné udělat chybu.
Ujistěte se, že jste připojeni k vašemu Wi-Fi router— ikona na hlavním panelu by se měla rozsvítit. Přejděte do nabídky Start - Ovládací panely - Síť a Internet - Síťová připojení. Zde uvidíte nové připojení. Klikněte na to klikněte pravým tlačítkem myši myši a zavolejte Vlastnosti. Dále vyberte „Internet Protocol Version 4“ a klikněte na „Vlastnosti“.
Dále ve vlastnostech tohoto připojení nastavte následující nastavení:
- IP adresa: 192.168.0.2
- Maska podsítě: 255.255.255.0
- Výchozí brána: 192.168.0.1
- DNS: 192.168.0.1
Návod k instalaci routeru by vám měl říci, jak získat přístup k rozhraní pro správu routeru. Pokud toto nenajdete, otevřete prohlížeč a zadejte adresní řádek„192.168.1.0“ nebo „192.168.1.1“ (různé směrovače mají různé hodnoty). Mělo by se otevřít přihlašovací okno. Zadejte přihlašovací jméno admin Heslo - Heslo nebo admin.
Nacházíte se v konfiguračním rozhraní vašeho routeru. Může vypadat jinak než u nás, nicméně všechny základní pojmy a nastavení, které nás zajímají, najdete bez problémů.
Když poprvé vstoupíte do rozhraní, router obvykle hledá nové software. Pokud nějaký najdete, nainstalujte jej – téměř všechna zařízení fungují stabilněji s novými verzemi firmwaru.
Přejděte do hlavní nabídky nastavení. Musíme náš router připojit k internetu, aby jej mohl přepínat.
Do polí uživatelského jména a hesla zadejte údaje obdržené při připojení k internetu od vašeho poskytovatele. Zbývající hodnoty ponechte beze změny.
Do pole pro zadání SSID zadejte název sítě, která se zobrazí, když bude nalezena. Oblast - Rusko.
Existuje mnoho doporučení pro výběr čísla pracovního frekvenčního kanálu, je třeba vzít v úvahu mnoho faktorů, z nichž hlavním je skutečnost, že v dané oblasti je rádiová kongesce. Doporučujeme nejprve vybrat kanál 6, protože je uprostřed frekvenční rozsah poskytne maximální výkon na výstupu vysílače.
Pro smysluplnější výběr kanálu se doporučuje analyzovat sítě v dané oblasti, aby se identifikovaly rušící sítě a frekvence, na kterých pracují, a vybral se nejvíce „volný“ kanál. Program vám k těmto účelům pomůže WI-FI analyzátor , běžící v prostředí Android. Můžete také použít jeho analogy.
Vyberte režim 150 Mb/s nebo vyšší, pokud to váš router umožňuje. Pokud rozbalovací nabídka nabízí standardy, vyberte 802.11n.
V nastavení zabezpečení vyberte WPA-PSK (TKIP) nebo WPA2-PSK nebo kombinaci obou.
Do pole klíče nebo přístupové fráze zadejte heslo, které budete potřebovat pro připojení k nové síti.
Zadané údaje nezapomeňte uložit. Počkejte několik minut, dokud nebude vše provedené změny bude přijat. Tím je nastavení vaší bezdrátové sítě dokončeno.
Zjišťování a připojení k síti
V prostředí operačního sálu Systémy Windows Klikněte na ikonu sítě v zásobníku a objevte sítě. Vaše síť by se měla zobrazit s názvem, který jste zadali v nastavení routeru. Stačí kliknout na toto tlačítko, zadat síťový klíč, který jste si také sami zaregistrovali, a spojení se naváže.
Pro přístup k místním souborům doporučujeme nastavení domácí síť. Při prvním připojení k bezdrátové síti budete automaticky vyzváni k vytvoření domácí skupiny. Pokud se tak nestane, tuto možnost naleznete v Ovládacích panelech. Vše, co musíte udělat, je vytvořit heslo pro vaši domácí skupinu a používat jej na různých počítačích. Dále klikněte na soubory nebo složky, které vyžadují místní přístup, a vyberte „Sdílení – domácí skupina“. Tímto způsobem budou tyto soubory a složky přístupné z jiných počítačů v této domácí skupině.
Na mobilní zařízení na založené na Androidu a iOS je vše také docela jednoduché. V Nastavení Wi-Fi Musíte najít svou síť a připojit se k ní pomocí síťového klíče.
P.S.
Vlastní nastavení bezdrátové sítě je velmi snadné a rychlé. To vám ušetří peníze, zbavíte se zbytečných drátů a získáte možnost přístupu k internetu z několika zařízení najednou. Je třeba si uvědomit, že celková rychlost sítě bude vydělena počtem zařízení současně připojených k této síti. Na závěr stojí za to říci, že samotný router je nejlépe umístěn ve středu plánované oblasti rádiového pokrytí ve výšce těsně nad 1-1,5 metru.
K čemu to je?
Toto řešení je ideální pro ty, kteří se plánují připojit k internetu doma mobilní gadget nebo jakékoli jiné zařízení (například TV, herní konzole atd.).
Co k tomu potřebujeme?:
1. Osobní počítač/notebook vybavený Wifi modulem a připojený k internetu;
2. operační systém Okna;
3. Rovné paže!
Pojďme tedy začít!
Otevřete soubor příkazového řádku cmd.exe s libovolným přístupným způsobem. Můžete například zadat cmd do vyhledávacího pole v nabídce Start:
Nyní vytvoříme náš přístupový bod. V příkazový řádek zkopírujte kód: netsh wlan set hostednetwork mode=allow ssid=název přístupového bodu klíč=přístupové heslo (klikněte pravým tlačítkem myši do pole cmd a vyberte funkci „Vložit“).
Pozornost! Musíte nahradit „název přístupového bodu“ a „přístupové heslo“ svými údaji.
Vytvořme si například přístupový bod s názvem sm a heslem 1231231. K tomu budeme muset zadat příkaz do příkazového řádku:
netsh wlan set hostednetwork mode=allow ssid= sm key=1231231
Všechno, Wifi bod přístup vytvořen! Zbývá jej pouze spustit.
Chcete-li to provést, zadejte příkaz na příkazovém řádku netsh wlan start hostednetwork . Tento postup bude nutné provést při každém restartování počítače.
Pojďme si tuto operaci trochu zautomatizovat. Chcete-li to provést, vytvořte běžný textový soubor a zkopírujte do něj text netsh wlan start hostednetwork. Uložte a zavřete soubor. Nyní jeho rozlišení přejmenujeme na *.bat (místo * zadejte libovolný název). Tento soubor můžete jej přidat do spouštěcího seznamu a poté se Wifi přístupový bod spustí automaticky (nebo můžete nezávisle spustit soubor *.bat pokaždé, když potřebujete připojit svůj gadget k internetu).
Pozornost! Chcete-li změnit oprávnění k souboru, musíte provést následující operaci:
1. Ve složce, kde jste vytvořili Textový dokument s obsahem netsh wlan start hostednetwork klikněte na tlačítko alt. Pod adresním řádkem složky se zobrazí seznam nabídek.
2. Vyberte „Nástroje -> Možnosti složky“.
3. V okně, které se otevře, přejděte na kartu „Zobrazit“ a zrušte zaškrtnutí políčka „Skrýt přípony pro registrované typy souborů“.
A poslední krok! Je nutné sdílet přístup hlavního připojení k našemu přístupovému bodu. Chcete-li to provést, přejděte na „Ovládací panely -> Centrum sítí a sdílení -> Změnit nastavení adaptéru“. Dále klikněte pravým tlačítkem na hlavní připojení (v mém případě je to Beeline) a vyberte „Vlastnosti“.
V okně, které se otevře, přejděte na kartu „Přístup“, zaškrtněte políčko „Povolit ostatním uživatelům sítě používat připojení k internetu“ tohoto počítače“ a v rozevíracím seznamu vyberte přístupový bod, který jsme vytvořili (v mém případě je to Wireless internetové připojení 2 s názvem sm).
Přístupový bod byl tedy vytvořen, ale po připojení k němu jste zjistili, že internet nefunguje? V tomto případě mám pouze jedno doporučení: vypněte všechny firewally (např standardní Windows a antivirus). Pokud poté internet funguje, zadejte toto spojení na výjimky firewallu.
V případě NOD je vše velmi jednoduché! Přejděte na „pokročilá nastavení“ a nastavte „Režim filtrování“ na trénink.
Pokud se po všech provedených krocích nemůže klientské zařízení připojit k vámi vytvořenému přístupovému bodu, pak váš notebook/počítač pro distribuci Internetu nemá server DHCP, který poskytuje adresy IP. V tomto případě budete muset IP adresy přidělit sami. Na tom není nic složitého, stačí přesně dodržet tyto pokyny.
Jít do " Síťová prostředí“ a klikněte pravým tlačítkem na „Bezdrátové připojení k síti“ (ne to, které jsme vytvořili, ale to, které bylo původně) -> Vlastnosti -> Internetový protokol verze 4 (TCP/IPv4) -> zadejte následující hodnoty:
IP adresa: 192.168.2.1
Maska podsítě: 255.255.255.0
Výchozí brána: 192.168.2.1
Nyní přejděte do vlastností virtuálního přístupového bodu, který jsme vytvořili („Bezdrátové připojení k síti“) -> Internetový protokol verze 4 (TCP/IPv4) -> zadejte následující hodnoty:
IP adresa: 192.168.2.3
Maska podsítě: 255.255.255.0
Výchozí brána: 192.168.2.1
Preferovaný server DNS: 192.168.2.1
A na konci článku pár užitečných příkazů:
netsh wlan zobrazit profily- zobrazit názvy všech dříve vytvořených bodů;
netsh wlan delete profile name="ProfileName"- smazání dříve vytvořeného profilu bezdrátového přístupového bodu (místo ProfileName musíte samozřejmě zadat název vašeho přístupového bodu);
netsh wlan show profile name="ProfileName" key=clear- zobrazuje bezpečnostní klíč zadaného přístupového bodu;