Wi-Fi Блог

Без проводов, без платы, без лимита. RSS

Защищаем домашнюю сеть
Гаджеты | Воскресенье, 11 Ноябрь 2007

Хочется верить, что наши призывы ко всеобщей доступности беспроводного интернета правильно поняты читателем. Мы обеими руками голосуем за расширение сети бесплатных хот-спотов, но это должны быть официальные публичные зоны Wi-Fi. Что же касается домашних точек доступа, то частная информация неприкосновенна и нуждается в надежной защите. На примере комикса о настройке своего ADSL-маршрутизатора мы хотим показать, что запустить в действие механизмы безопасности WPA по силам любому пользователю.

Не будет лишним напомнить читателю, что шифрование WEP уже много лет не воспринимается специалистами в качестве реальной защиты от вторжения в беспроводную сеть. Обсуждая этот вопрос, мы ссылались на разработки германских криптографов, создателей aircrack-ptw. Утилиту свободно может скачать в интернете любой желающий, в той же мировой сети достаточно толковых инструкций по использованию этого продукта. Как результат, в течение трех минут ваша сеть может быть вскрыта начинающим хакером.

Да что там WEP! Ведь в городе столько невменяемых альтруистов, вообще не думающих о безопасности домашнего Wi-Fi или ограничивающихся включением фильтра MAC-адресов. Во втором случае необходимый для входа в сеть набор символов без труда подбирается программными методами. Если же вы избрали первый вариант, то становитесь не только лучшим другом всех соседей, обладателей ноутбуков и КПК, но и привлекаете к своей точке доступа внимание потенциальных злоумышленников. Мы же на примере личного опыта покажем простоту установки достаточно надежного шифрования WPA-PSK.

Используемый нами прибор может вызвать снисходительную улыбку у сетевых специалистов – D-Link DSL-G604T. Да, этот маршрутизатор уже снят с производства и вообще считается морально устаревшим, но благодаря надежности и простоте настроек G604T получил большое распространение в нашей стране. И вряд ли применение его в качестве образца можно считать неуместным: по тому же алгоритму нетрудно настроить и более современные аппараты. И, в конце концов, я пишу не для специалистов. Они и сами все знают лучше меня. Вот только поделиться знаниями с нашим братом-ламером чаще всего не хотят. Наверное потому, что писать не умеют. А если пишут, то на таком языке, что...

Впрочем, я отвлекся. Беремся за выстраивание оборонительных схем. Для начала подключим компьютер к Ethernet-порту маршрутизатора с помощью сетевого кабеля. Открываем Internet Explorer. Применение IE – это, на самом деле, важный момент, потому что из других броузеров вы рискуете не обнаружить некоторые необходимые в процессе настройки кнопки Web-интерфейса (говорю об этом на основе личного опыта). В адресной строке IE набираем http://192.168.1.1 (по умолчанию это IP-адрес G604T).

Появляется окно с запросом пароля. Опять-таки по умолчанию вводится слово admin – и как логин, и как пароль. Если вашу точку доступа устанавливал знакомый сисадмин и внес какие-то изменения, узнайте пароль у него, ибо нам нужно попасть на страницу управления маршрутизатора. Выглядит она вот так:

Нажимаем слева кнопку Wireless и попадаем в режим выбора параметров безопасности (SSID – имя точки доступа – мы взяли наиболее типичное). Переставляем жирную точку в строке Security к аббревиатуре WPA. Другую точку опускаем к строке PSK String. В окошке справа вводим свой ключевой набор символов – латиницей и более 6 знаков. В нашем случае мы выбрали слово vzlomneproidjot.

Давим на зеленую кнопку Apply, а для вечного закрепления достигнутого выбираем в верхних закладках Tools, затем слева – System. Нашему взору открылась кнопка Save and Reboot, после нажатия на которую выбранные нами настройки сохраняются, точка доступа перезагружается, а мы со спокойным сердцем выкуриваем сигаретку.

Теперь отключим свой компьютер от Ethernet-порта маршрутизатора и запустим подключение по Wi-Fi. Забираемся в список доступных беспроводных соединений: какой ужас, в поле зрения адаптера оказалась точка доступа DLINK, защищенная шифрованием WPA! Так ведь это наша точка и есть. Нажимаем кнопку «Подключиться», а в появившемся окошке для пароля дважды вводим все то же vzlomneproidjot (или что вы там выбрали в качестве своего сим-сима). Несколько мгновений на получение сетевого адреса – и мы работаем уже в безопасной сети. Теперь и на остальных наших домашних компьютерах для подключения к Wi-Fi нужно будет ввести придуманный нами пароль.

Установив шифрование WPA, мы можем применить и дополнительные средства обороны. Некоторые практикуют скрытие SSID (ваш Wi-Fi не будет виден в списке доступных беспроводных сетей в соседских ноутбуках), хотя это довольно наивный метод: множество бесплатно распространяемых программ с ходу выявляют такие точки доступа. Попробуем в качестве лишнего барьера (но никак не в виде основной защиты!) ввести фильтр MAC-адресов.

Делается это тоже весьма просто. Сначала в своем компьютере открываем основное меню нажатием кнопки «Пуск». Выбираем «Выполнить» и в появившемся окне пишем cmd. Открывается еще окно, в котором среди прочего мигает курсор на черном фоне. Вот тут и вводим следующий текст: ipconfig/all. Нам откроется масса увлекательной информации, но в данном случае нас интересует физический адрес для беспроводного подключения. Ищем соответствующий набор из шести пар символов, разделенных дефисами. Вот что-то вроде такого: 00-17-F0-98-EE-23. Аккуратно и внимательно запишем его на специальную бумажку. Совершим ту же процедуру с другими домашними компьютерами и соберем их адреса на приготовленном листке.

Теперь вернемся к нашему G604T и снова подключимся к нему через сетевой кабель. Заходим в Web-интерфейс, выбираем сверху вкладку Advanced, после чего слева нажимаем кнопку Wireless Management. Видим следующее:

На картинке у нас уже поставлены «галочки» рядом с Access List, Enable Access List и Allow. То есть мы выбрали ограничение доступа по MAC-адресам с применением «белого списка»: подключиться смогут только устройства с физическими адресами, которые мы сейчас введем. И мы аккуратно переписываем их со своей специальной бумажки в рамку Mac Address, после каждого введенного адреса нажимая кнопку Add. Выстроив столбик из адресов наших компьютеров, действуем по знакомой схеме: нажимаем зеленый кружок Apply, потом в верхних закладках Tools, затем слева – System, и уже там давим Save and Reboot. Маршрутизатор перезагружается и в дальнейшем еще более надежно прикрывает нашу виртуальную задницу.
 

Комментарии 

 
#1 Андрей 2009-06-28 17:03 Круто! Спасибо. Цитировать
 
 
#2 maxifed 2009-06-28 19:43 не за что, заглядывайте еще! Цитировать
 
 
#3 sprinter 2009-08-02 13:37 Спасибо за помощь. Цитировать
 
 
#4 Влад 2009-10-05 12:47 Спосибо очень выручили Цитировать
 
 
#5 Рогатый Трупоед 2009-10-22 22:39 Уважуха автору =)))) Цитировать
 
 
#6 Руслан 2010-02-05 17:36 А как же с мобильным телефоном быть?

Его МАК адрес как узнать? Часто захожу с мобильного..

Заранее благодарен за ответ. Цитировать
 
 
#7 борзун 2010-02-05 18:09 Цитирую Руслан:
А как же с мобильным телефоном быть?

Его МАК адрес как узнать? Часто захожу с мобильного..

Заранее благодарен за ответ.

Отключите фильтрацию мак-адресов в роутере. Подключитесь к сети с телефона. В меню роутера зайдите в Вайрлесс и посмотрите Статус - там будут айпишники и мак-адреса подключенных в этот момент устройств. Уж там сможете определиться, какой из адресов принадлежит телефону. Внесите его в "белый" список. После чего снова включите фильтрацию по мак-адресам. Цитировать
 
 
#8 Руслан 2010-02-05 18:53 Спасибо! Всё получилось…! Ещё раз СПАСИБО! Цитировать
 
 
#9 maxifed 2010-02-05 22:42 ну вот, даже не успел влезть с ответом
Спасибо, борзун! Цитировать
 
 
#10 Анатолий 2010-03-28 16:40 Нельзя ли чуть подробнее про отсутствие смысла в опции "Hide (скрыть) SSID" ?
Везде пишут - лучше скрыть имя сети! Цитировать
 

Добавить комментарий

Защитный код
Обновить

[Назад]