Stvaranje sigurne wi-fi mreže
Na prvi pogled vrlo je teško stvoriti pouzdano zaštićenu Wi-Fi mrežu. Potrebno je nabaviti „ispravnu“ opremu, postaviti poslužitelj za autentifikaciju, pobrinuti se za snimanje internetskog prometa i zaštitu od vanjskih napada putem vatrozida.
Sve to može oduzeti dosta vremena i Novac. U ovom ću članku govoriti o jednom od najjeftinijih i jednostavnih načina stvaranje sigurnog bežična mreža s općim pristupom internetu.
Dio 1. Malo o sigurnosti
Razlog ranjivosti bežičnih mreža leži u principu njihovog rada: presretanje podataka koji se prenose putem radijskog kanala mnogo je lakše nego kod normalnog kabelska veza. To ne zahtijeva skupu opremu i može se učiniti pomoću običnog prijenosnog računala, par hakerski uslužni programi(kao što su airodump i aircrack) i dobre upute za hakiranje wi-fija(kao ovdje na primjer). Stoga bežična mreža mora biti maksimalno zaštićena od raznih vrsta napada: neovlaštenih veza, presretanja i prisluškivanja prometa, krađa. važna informacija, "lažne" pristupne točke itd.
Danas je sigurnosni standard WPA (Wi-Fi Protected Access) prepoznat kao najpouzdaniji za bežične mreže. Inicijalna zaštita Wi-Fi mreže može se osigurati korištenjem načina WPA-PSK (Pre-Shared Key), kada se ključ komunikacijske sesije - Pre-Shared Key, koji podsjeća na običnu lozinku, ručno unese na pristupnu točku i na korisnikovo računalo. Potencijalna ranjivost WPA-PSK nastaje jer se u stvarnim mrežama šifra rijetko mijenja i ista je za sve korisnike na mreži. Ako imate vremena i moćno računalo odabir takve lozinke neće biti težak.
Pouzdanija sigurnost mreže postiže se korištenjem WPA Enterprise moda, kada je na mreži instaliran autentifikacijski poslužitelj (RADIUS poslužitelj) koji provjerava prava pristupa korisnika. U tom će slučaju bežična pristupna točka blokirati sve veze s bežičnom mrežom dok poslužitelj za provjeru autentičnosti ne potvrdi korisničko ime i lozinku koje je korisnik unio. Ukoliko korisnik nije u bazi RADIUS poslužitelja, tada se neće moći spojiti na Wi-Fi mrežu.
Maksimalna sigurnost bežične mreže osigurana je upotrebom digitalnih certifikata i EAP-TLS (Extensible Authentication Protocol - Transport Level Security) metode autentifikacije. U ovom slučaju, računalo korisnika i RADIUS poslužitelj međusobno se provjeravaju pomoću unaprijed generiranih digitalnih certifikata, koji će zajamčeno zaštititi vašu mrežu od neovlaštenih veza, a korisnike od "lažnih" pristupnih točaka koje su uveli hakeri.
Za još pouzdaniju zaštitu prenesenih podataka, možete stvoriti vanjsku zaštitnu školjku bežične mreže koristeći VPN (Virtual Private Network) tehnologiju preko WPA, koja će dodati drugu razinu enkripcije prometa.
I konačno, možete se zaštititi od neovlaštenih pristupnih točaka koje vaši zaposlenici potajno instaliraju pomoću posebne mrežne opreme koja može otkriti takve uređaje i generirati odgovarajuća izvješća.
Rijetki ljudi mogu izgraditi takav sigurnosni sustav bežične mreže: trebate, najmanje, ispravno konfigurirati bežičnu pristupnu točku i RADIUS autorizacijski poslužitelj, stvoriti korisničku bazu podataka, razviti sustav upravljanja za ovu bazu podataka i digitalne certifikate, i što je najvažnije , kombiniraju sve te komponente u jednu mrežu.
No, unatoč prividnoj složenosti, stvaranje najsigurnije Wi-Fi mreže prilično je jednostavno. Da biste to učinili, ne morate biti guru informacijske sigurnosti i bežični standardi. Sve se može napraviti za sat i pol, uz:
- zasebno računalo;
- bežična pristupna točka koja podržava WPA, WPA2 i autorizaciju na RADIUS poslužitelju (ove karakteristike pristupne točke možete pronaći u njezinoj dokumentaciji ili kod konzultanata u trgovini računalima);
- Esomo program koji će imati ulogu RADIUS poslužitelja, kao i javnog poslužitelja za pristup internetu. Službena web stranica programera programa: www.esomoline.com. Za zaštitu bežične mreže Esomo koristi EAP-TLS protokol koji omogućuje autentifikaciju korisnika na ugrađenom RADIUS serveru te međusobnu autentifikaciju između Esomo RADIUS servera i korisničkih računala pomoću digitalnih certifikata.
Dio 2. Primjer stvaranja sigurne bežične mreže
Sada pogledajmo primjer organizacije lokalni wi-fi mreže temeljene na Esomu. Mreža uključuje 11 računala, Linksys bežičnu pristupnu točku, a na Internet je povezana putem ADSL modema.
Najprije preuzmite Esomo s web stranice programera (veličina distribucije 135 MB) i instalirajte poslužiteljski dio programa na zasebno računalo s dva mrežne kartice. Ovo će biti naš RADIUS poslužitelj i također VPN poslužitelj te poslužitelj za pristup Internetu koji omogućuje ograničavanje korisničkog prometa, pregled statistike pristupa i troškova prometa. Esomo ne zahtijeva operativni sustav za rad, jer... Program već uključuje besplatno distribuirani FreeBSD OS. Korak po korak upute upute za instalaciju za Esomo možete pronaći ovdje.
Nakon instalacije programa povežite računalo s Esomom i bežičnom pristupnom točkom na mrežni preklopnik. Preko drugog mrežnog sučelja spajamo Esomo server na ADSL modem (ili na kabel ako imate namjensku liniju). Na bilo kojem Windows računalu lokalna mreža(također spojen na mrežni prekidač) pokrenite Esomo Workstation i spojite se na Esomo poslužitelj.
Možete stvoriti sigurnu bežičnu mrežu temeljenu na Esomu u 4 jednostavnih koraka. Prvo ćemo postaviti Esomo za rad s bežičnom mrežom. Zatim ćemo konfigurirati bežičnu pristupnu točku i korisnička računala. I na kraju, spojimo se na Wi-Fi mrežu i uspostavimo VPN vezu s Esomo serverom kako bismo stvorili drugu razinu zaštite bežičnog prometa. Nakon toga možete sigurno raditi na Wi-Fi mrežama i internetu. Pa krenimo.
Korak 1: Postavljanje Esomo poslužitelja
Prije svega, dodijelit ćemo stalnu IP adresu bežičnoj pristupnoj točki za rad u našoj mreži. Da biste to učinili, dodajte pristupnu točku na statički DHCP popis (MAC adresa pristupne točke obično je navedena na naljepnici). Primijenimo postavke.
Dodajmo sada bežičnu pristupnu točku na popis pristupnih točaka na Esomo poslužitelju i odredimo tajni ključ (lozinku) za nju. Ovo je neophodno za organizaciju sigurna veza između pristupne točke i Esoma. Primijenimo postavke.
Kako bi korisnici mreže mogli pristupiti internetu, a Esomo uzeo u obzir njihov promet, potrebno je kreirati tarifu koja određuje cijenu 1 MB prometa ili 1 minute internet veze. Da biste to učinili, u odjeljku "Tarife" ćemo dodati nova tarifa, određivanje cijene 1 MB dolaznog prometa, na primjer, 1 rublja.
Kako u trenutku pisanja Esomo dopušta pristup internetu samo korisnicima koji imaju tarifu i sredstva na individualnom računu, idemo u odjeljak “Korisnici” i dvaput kliknemo na korisnika testuser, dodijelimo mu prethodno kreiranu tarifu i dodamo 500 rubalja na njegov račun.
Ovo dovršava postavljanje Esomo poslužitelja. Ostavite Esomo AWP prozor otvoren i prijeđite na konfiguraciju bežična točka pristup.
Korak 2: Postavljanje bežične pristupne točke
Bežičnoj mreži možete pristupiti tek nakon uspješne autorizacije na Esomo poslužitelju, stoga prvo morate bežičnu pristupnu točku konfigurirati za rad s RADIUS poslužiteljem. Da biste to učinili, spojite se na pristupnu točku putem web-preglednika koristeći IP adresu koju smo joj prethodno dodijelili putem Esomo Workstation na kartici “DHCP”. Kao način rada pristupne točke navest ćemo WPA-Enterprise, kao protokol šifriranja TKIP, a kao RADIUS poslužitelj IP adresu računala s Esomom. Također ćemo provjeriti odgovara li tajni ključ naveden u postavkama pristupne točke (Shared Secret) ključu navedenom za pristupnu točku u Esomo Workstation (odjeljak "Wi-Fi", kartica "Pristupne točke").
Ispod je snimak zaslona postavki pristupne točke Linksys.
Korak 3: Postavljanje korisničkog računala
Za dvosmjernu autentifikaciju između korisničkog računala i Esomo poslužitelja, digitalni certifikati moraju biti instalirani na korisničkom računalu i konfigurirani bežični adapter za rad koristeći EAP-TLS protokol.
Autorizacija korisnika na Esomo poslužitelju odvija se uz sudjelovanje dva digitalna certifikata: root i user. Ovi certifikati moraju se dobiti putem Esomo AWS-a i instalirati na vaše računalo. Da biste to učinili, idite na odjeljak "Wi-Fi" na kartici "Certifikati" i spremite korijenski certifikat i korisnički certifikat testuser na naše računalo.
Sada idemo instalirati primljene digitalne certifikate. Da biste to učinili, samo dvaput kliknite na certifikat i slijedite upute čarobnjaka za uvoz certifikata.
Sa ugradnjom korijenski certifikat Ne bi trebalo biti nikakvih poteškoća: ostavite sve zadane postavke i samo kliknite gumbe "Dalje" i "Završi". Ali tijekom instalacije certifikata za korisnika testuser, morat ćete unijeti lozinku testuser koja štiti ovaj certifikat.
Esomo poslužitelj već sadrži gotove certifikate, tako da tamo nema potrebe ništa instalirati.
Zatim, idemo konfigurirati bežičnu vezu mrežni adapter naše računalo za rad s Esomo RADIUS poslužiteljem koristeći EAP-TLS protokol. Da bismo to učinili, u postavkama bežičnog adaptera odredit ćemo korištenje TKIP enkripcije i WPA provjere autentičnosti pomoću digitalnih certifikata.
S popisa pouzdanih korijenskih certifikacijskih tijela odaberite korijenski certifikat prethodno instaliran na našem računalu.
Dakle, sve postavke su završene i bežična mreža je spremna za rad. Odspojimo računalo s mrežnog prekidača i pokušamo se spojiti na wi-fi mrežu. Nakon traženja dostupne mreže bežični adapter će otkriti našu sigurnu mrežu. Nakon uspješne autentifikacije pomoću digitalnih certifikata i verifikacije na RADIUS serveru, naše računalo će se spojiti na wi-fi mrežu. Ostalo je napraviti posljednji korak prema super-zaštiti naše bežične mreže.
Korak 4. Stvaranje druge razine zaštite - VPN instalacija veze s enkripcijom prometa
Maksimalna zaštita bežičnog prometa na mreži uz Esomo postiže se korištenjem VPN tehnologije preko već uspostavljene bežične veze korištenjem WPA protokola, koja dodaje drugu razinu enkripcije prometa. VPN veza između računala korisnika i Esomo poslužitelja kreira se automatski. Samo trebate otvoriti web preglednik i upisati adresu bilo kojeg postojećeg mjesta, na primjer, www.google.ru. Na Esomo stranici za prijavu unesite testuser u oba polja obrasca i kliknite na gumb "Poveži se".
Nakon uspješne provjere logina i lozinke, uspostavit će se veza između našeg računala i Esomo servera VPN veza. Sada možete sigurno surfati internetom. Sav preneseni promet bit će šifriran ne samo WPA-om, već i VPN-om. A putem Esomo AWS-a u svakom trenutku možete pogledati statistiku “napumpanog” prometa i u par klikova je uvesti u MS Excel.
Nakon što provjerimo da li sve radi, spojit ćemo preostala računala na bežičnu mrežu i omogućiti korisnicima pristup internetu. Da bismo to učinili, kreirat ćemo nove korisnike putem Esomo AWS-a i dodijeliti im prethodno dodanu tarifu. Zatim ćemo izraditi digitalne certifikate za te korisnike i instalirati korijenski certifikat i vlastiti korisnički certifikat na računalo svakog korisnika. Također, ne zaboravite konfigurirati bežični adapter na računalu svakog korisnika za rad s RADIUS poslužiteljem koristeći EAP-TLS protokol.
Ovime je dovršeno postavljanje bežične mreže s zajednički pristup Internet je u potpunosti završen. Za sve mi je trebalo manje od dva sata. Slažem se da bi korištenjem drugih sredstava bilo problematično organizirati dobro zaštićenu Wi-Fi mrežu s takvim minimalni troškovi vremena i truda. U isto vrijeme, Esomo radi savršeno kao RADIUS poslužitelj i poslužitelj za pristup internetu ne samo u wi-fi mreže, ali i u žičanim i mješovitim LAN-ovima, kada su neki mrežni segmenti povezani kabelom, a drugi wi-fijem.
Pretpostavimo da ste kupili Wi-Fi usmjerivač i adapter, ako nemate mobilne uređaje s već ugrađenim adapterima. Prvo morate raspakirati opremu i spojiti usmjerivač na mrežu.
Da biste otišli na postavke usmjerivača, on mora biti spojen putem patch kabela ( mrežni kabel, koji se obično nalazi u paketu s routerom) na računalo - jedan kraj na LAN priključak routera (žuti priključak na slici), drugi na odgovarajući priključak na računalu. Morate spojiti kabel vašeg Internet providera na WAN port (plavi port). Priključci na usmjerivačima drugih tvrtki obično su potpisani, bit će izuzetno teško pogriješiti.
Provjerite jeste li povezani sa svojim Wi-Fi usmjerivač— ikona na traci bi trebala svijetliti. Idite na izbornik Start - Upravljačka ploča - Mreža i internet - Mrežne veze. Ovdje ćete vidjeti novu vezu. Kliknite na njega desni klik mišem i pozovite Svojstva. Zatim odaberite “Internet Protocol Version 4” i kliknite “Properties”.
Zatim u svojstvima ove veze postavite sljedeće postavke:
- IP adresa: 192.168.0.2
- Maska podmreže: 255.255.255.0
- Zadani pristupnik: 192.168.0.1
- DNS: 192.168.0.1
Priručnik za instalaciju usmjerivača trebao bi vam reći kako pristupiti upravljačkom sučelju usmjerivača. Ako ovo ne pronađete, otvorite preglednik i unesite adresna traka“192.168.1.0” ili “192.168.1.1” (različiti usmjerivači imaju različite vrijednosti). Trebao bi se otvoriti prozor za prijavu. Unesite prijavu admin lozinka - lozinka ili admin.
Nalazite se u konfiguracijskom sučelju vašeg routera. Možda izgleda drugačije od našeg, no sve osnovne koncepte i postavke koje nas zanimaju pronaći ćete bez problema.
Kada prvi put uđete u sučelje, ruter obično traži novo softver. Ako ga pronađete, instalirajte ga - gotovo svi uređaji rade stabilnije s novim verzijama firmvera.
Idite na glavni izbornik postavki. Moramo povezati naš router s internetom kako bi ga mogao prebaciti.
U polja za korisničko ime i zaporku unesite podatke primljene prilikom spajanja na internet od svog davatelja usluga. Ostale vrijednosti ostavite nepromijenjene.
U polje za unos SSID-a unesite naziv mreže koja će biti prikazana kada se otkrije. Regija - Rusija.
Postoji mnogo preporuka za odabir broja kanala radne frekvencije, morate uzeti u obzir mnoge čimbenike, od kojih je glavni činjenica zagušenja radija u određenom području. Preporučamo da prvo odaberete kanal 6, budući da je srednji Raspon frekvencija osigurat će maksimalnu snagu na izlazu odašiljača.
Za smisleniji izbor kanala preporuča se analizirati mreže na određenom području kako bi se identificirale mreže koje ometaju i frekvencije na kojima rade te se odabrao "najslobodniji" kanal. Program će vam pomoći u ove svrhe WI-FI analizator , radi u Android okruženju. Također možete koristiti njegove analoge.
Odaberite način rada od 150 Mbps ili veći ako vaš usmjerivač to dopušta. Ako padajući izbornik nudi standarde, odaberite 802.11n.
U sigurnosnim postavkama odaberite WPA-PSK (TKIP) ili WPA2-PSK ili kombinaciju oba.
U polje za ključ ili lozinku unesite lozinku koja će vam biti potrebna za spajanje na novu mrežu.
Obavezno pohranite unesene podatke. Pričekajte nekoliko minuta dok sve napravljene promjene bit će prihvaćeno. Ovo dovršava postavljanje vaše bežične mreže.
Otkrivanje i povezivanje s mrežom
U okruženju operacijske sale Windows sustavi Kliknite na ikonu mreže u traci i otkrijte mreže. Vaša bi se mreža trebala pojaviti s nazivom koji ste naveli u postavkama usmjerivača. Samo kliknite na ovaj gumb, unesite mrežni ključ koji ste također sami registrirali i veza će biti uspostavljena.
Za pristup lokalnim datotekama preporučujemo postavljanje kućna mreža. Kada se prvi put povežete na bežičnu mrežu, od vas će se automatski tražiti da stvorite matičnu grupu. Ako se to ne dogodi, ova se opcija može pronaći na upravljačkoj ploči. Sve što trebate učiniti je stvoriti lozinku za svoju matičnu grupu i koristiti je na različitim računalima. Zatim kliknite na datoteke ili mape kojima je potreban lokalni pristup i odaberite "Dijeljenje - HomeGroup." Na taj način će te datoteke i mape biti dostupne s drugih računala u ovoj matičnoj grupi.
Na Mobilni uredaji na Temeljen na Androidu i iOS sve je također vrlo jednostavno. U Wi-Fi postavke Morate otkriti svoju mrežu i spojiti se na nju pomoću mrežnog ključa.
p.s.
Samostalno postavljanje bežične mreže vrlo je jednostavno i brzo. To će vam uštedjeti novac, riješiti se nepotrebnih žica i dati vam mogućnost pristupa internetu s nekoliko uređaja odjednom. Treba imati na umu da će ukupna brzina mreže biti podijeljena s brojem uređaja koji su istovremeno povezani na ovu mrežu. Zaključno, vrijedi reći da je sam usmjerivač najbolje postaviti u središte planiranog područja radio pokrivenosti na visini nešto iznad 1-1,5 metara.
Čemu služi?
Ovo je rješenje idealno za one koji se planiraju spojiti na internet kod kuće mobilni gadget ili bilo koji drugi uređaj (na primjer, TV, igraća konzola itd.).
Što nam treba za ovo?:
1. Osobno računalo/prijenosno računalo opremljeno Wifi modulom i spojeno na internet;
2. operacijski sustav prozori;
3. Ravne ruke!
Pa počnimo!
Otvorite datoteku naredbenog retka cmd.exe s bilo kojim na pristupačan način. Na primjer, možete upisati cmd u traku za pretraživanje koja se nalazi u izborniku Start:
Kreirajmo sada našu pristupnu točku. U naredbeni redak kopirajte kod: netsh wlan set hostednetwork mode=allow ssid=naziv pristupne točke ključ=lozinka za pristup (desnom tipkom miša kliknite polje prozora cmd i odaberite funkciju “Zalijepi”).
Pažnja! Morate zamijeniti "naziv pristupne točke" i "zaporku za pristup" svojim podacima.
Na primjer, stvorimo pristupnu točku s imenom sm i lozinkom 1231231. Da bismo to učinili, morat ćemo unijeti naredbu u naredbeni redak:
netsh wlan postavi hostednetwork mode=dopusti ssid= sm key=1231231
Svi, Wifi točka pristup stvoren! Ostaje samo pokrenuti ga.
Da biste to učinili, unesite naredbu u naredbeni redak netsh wlan pokrenuti hostednetwork . Ovaj postupak morat ćete izvršiti svaki put kada ponovno pokrenete računalo.
Hajdemo malo automatizirati ovu operaciju. Da biste to učinili, stvorite običnu tekstualnu datoteku i kopirajte tekst netsh wlan start hostednetwork u nju. Spremite i zatvorite datoteku. Sada njegovu razlučivost preimenujemo u *.bat (umjesto * unesite bilo koji naziv). Ova datoteka možete ga dodati na popis za pokretanje i tada će se Wifi pristupna točka pokrenuti automatski (ili možete samostalno pokrenuti *.bat datoteku svaki put kada trebate spojiti svoj gadget na Internet).
Pažnja! Kako biste promijenili dopuštenje datoteke, morate izvršiti sljedeću operaciju:
1. Dok ste u mapi u kojoj ste stvorili Tekstualni dokument sa sadržajem netsh wlan pokrenite hostednetwork, kliknite na gumb alt. Ispod adresne trake mape pojavljuje se popis izbornika.
2. Odaberite “Alati -> Mogućnosti mape”.
3. U prozoru koji se otvori idite na karticu "Prikaz" i poništite potvrdni okvir "Sakrij proširenja za registrirane vrste datoteka".
I zadnji korak! Potrebno je podijeliti pristup glavnog priključka na našu pristupnu točku. Da biste to učinili, idite na "Upravljačka ploča -> Centar za mrežu i dijeljenje -> Promjena postavki adaptera." Zatim desnom tipkom miša kliknite glavnu vezu (u mom slučaju to je Beeline) i odaberite "Svojstva".
U prozoru koji se otvori idite na karticu "Pristup", potvrdite okvir pored "Dopusti drugim korisnicima mreže da koriste internetsku vezu" ovog računala" i na padajućem popisu odaberite pristupnu točku koju smo stvorili (u mom slučaju to je Wireless Mrežna veza 2 s imenom sm).
Dakle, pristupna točka je stvorena, ali ste nakon povezivanja s njom otkrili da internet ne radi? U ovom slučaju imam samo jednu preporuku: onemogućite sve vatrozide (kao standardni Windows, i antivirus). Ako nakon ovoga internet radi, unesite ovu vezu na iznimke vatrozida.
U slučaju NOD-a, sve je vrlo jednostavno! Idite na "napredne postavke" i postavite "Način filtriranja" na trening.
Ako se nakon svih poduzetih koraka klijentski uređaj ne može spojiti na pristupnu točku koju ste stvorili, tada vaše prijenosno računalo/računalo s distribucijom interneta nema DHCP poslužitelj koji daje IP adrese. U tom slučaju ćete sami morati dodijeliti IP adrese. U tome nema ništa komplicirano, samo točno slijedite ove upute.
Ići " Mrežna okruženja" i desnom tipkom miša kliknite na "Bežična mrežna veza" (ne onu koju smo stvorili, već onu koja je izvorno) -> Svojstva -> Internet Protocol verzija 4 (TCP/IPv4) -> unesite sljedeće vrijednosti:
IP adresa: 192.168.2.1
Maska podmreže: 255.255.255.0
Zadani pristupnik: 192.168.2.1
Sada idite na svojstva virtualne pristupne točke koju smo stvorili (“Bežična mrežna veza”) -> Internet Protocol verzija 4 (TCP/IPv4) -> unesite sljedeće vrijednosti:
IP adresa: 192.168.2.3
Maska podmreže: 255.255.255.0
Zadani pristupnik: 192.168.2.1
Preferirani DNS poslužitelj: 192.168.2.1
I na kraju članka par korisnih naredbi:
netsh wlan prikaži profile- pregled naziva svih prethodno kreiranih točaka;
netsh wlan brisanje profila name="ProfileName"- brisanje prethodno kreiranog profila bežične pristupne točke (umjesto ProfileName, naravno, morate staviti naziv svoje pristupne točke);
netsh wlan show profile name="ProfileName" key=clear- prikazuje sigurnosni ključ navedene pristupne točke;