Creați o rețea Wi-Fi securizată, înregistrările de calculator de la A la Z
Creați o rețea Wi-Fi securizată
La prima vedere, pentru a crea o rețea Wi-Fi este extrem de sigur este foarte dificil. Trebuie să achiziționați echipamentul „dreapta“, configurați serverul de autentificare, să aibă grijă de traficul pe Internet de contabilitate și de protecție împotriva atacurilor externe prin firewall.
Toate acestea pot lua o mulțime de timp și bani. In acest articol voi vorbi despre una dintre cele mai ieftine și mai simple moduri de a crea o rețea wireless securizată cu acces la Internet partajat.
Partea 1. Siguranță Puțini
Motivul pentru vulnerabilitatea rețelelor fără fir constă în modul în care acestea funcționează: interceptarea datelor transmise prin aer, mult mai ușoare decât cablurile convenționale. Ea nu are nevoie de echipamente scumpe și realizabile de către un laptop convențional, o pereche de instrumente (cum ar fi airodump și aircrack) și instrucțiuni bune despre cum să hack Wi-Fi (de exemplu, aici) hacking. Prin urmare, rețeaua fără fir ar trebui să fie ca protejate de diferite tipuri de atacuri: conexiuni neautorizate, intercepta și de a asculta de trafic, furtul de informații importante, punctele de acces „false“, etc.
Până în prezent, rețeaua fără fir cele mai fiabile recunoscut standard de securitate (acces protejat Wi-Fi) WPA. Protecția inițială a rețelelor Wi-Fi poate fi facilitată de Mod WPA-PSK (Pre-Shared Key), atunci când punctul de acces și calculatorul utilizatorului este introdus manual cheia de sesiune - Pre-Shared Key, care seamănă cu o parolă normală. potențială vulnerabilitate WPA-PSK rezultă din faptul că, în rețelele reale, fraza cheie este rareori schimbat și este aceeași pentru toți utilizatorii rețelei. Dacă există timp și un computer puternic pentru a alege o parolă nu va fi dificil.
protecție rețea mai fiabilă este atins atunci când se utilizează WPA Enterprise, atunci când este instalat serverul de autentificare de rețea (server RADIUS), care efectuează drepturile de acces ale utilizatorilor. În acest caz, punctul de acces fără fir va bloca toate conexiunile la rețeaua wireless, atâta timp cât de intrare de numele de utilizator și parola nu va fi testat la serverul de autentificare. În cazul în care utilizatorul nu se află în baza de date a datelor de server RADIUS, acesta nu va fi capabil să se conecteze la rețeaua Wi-Fi.
de rețea fără fir de protecție maximă permite utilizarea certificatelor digitale și metoda de autentificare EAP-TLS (Extensible Authentication Protocol - Transport Nivel de securitate). În acest caz, computerul utilizatorului și serverul RADIUS verifică reciproc în avans certificate digitale generate care sunt garantate pentru a proteja rețeaua de conexiuni și utilizatorii neautorizați - de a fi introduse de hackeri hotspoturi „false“.
Pentru mai bună protecție a datelor transmise pot crea o rețea fără fir înveliș exterior de protecție folosind o tehnologie VPN (Virtual Private Network) în partea de sus a WPA, care se adaugă un al doilea nivel de criptare a traficului.
În cele din urmă, pentru a proteja împotriva punctelor de acces neautorizat, în secret instalate de către angajații dvs., puteți utiliza echipamente de rețea specială, capabil să detecteze aceste dispozitive și să genereze rapoartele corespunzătoare.
Dar, în ciuda complexității aparente, a crea cele mai sigure rețeaua Wi-Fi este destul de ușor. Pentru a face acest lucru, nu neapărat să fie un guru în standardele infobezopasnosti și fără fir. Tot ceea ce se poate face într-o oră și jumătate, având:
Partea 2: Un exemplu de creare a unei rețele fără fir securizată
Acum, ia în considerare exemplul organizării rețelei Wi-Fi locale bazate pe Esomo. Rețeaua cuprinde 11 calculatoare, punct de acces Linksys și conectat la Internet prin intermediul unui modem ADSL.
În primul rând, descărcați Esomo dezvoltatorului site-ul (dimensiunea de descărcare 135 Mb) și instalați partea de server a programului pe un computer separat cu două plăci de rețea. Acest lucru va fi serverul nostru RADIUS și serverul VPN și accesul la serverul la Internet, care permite utilizatorilor să limiteze accesul de trafic pentru a vizualiza statistici și cheltuielile de trafic. sistemul de operare nu este necesară pentru Esomo, deoarece Programul include deja un sistem de operare FreeBSD liber distribuibilă. Instrucțiuni pas cu pas pentru instalarea Esomo puteți găsi aici.
După instalarea software-ului conecta cu calculatorul Esomo și punctul de acces fără fir la comutatorul de rețea. Prin al doilea server de interfață de rețea pentru a conecta Esomo ADSL-modem (sau la cablu, dacă aveți o linie inchiriata). Pe orice rețea de calculatoare bazat pe Windows (de asemenea, conectat la un comutator de rețea) rula Esomo stație de lucru și de a vă conecta la serverul Esomo.
Crearea unei rețele fără fir securizată se poate baza Esomo în 4 pași simpli. La început, vom face setarea pentru o rețea fără fir Esomo. Apoi înființat un punct de acces fără fir și computerul. În cele din urmă, conectați la rețeaua Wi-Fi și de a stabili o conexiune VPN-conexiune cu serverul Esomo pentru a crea un al doilea nivel de trafic de protecție fără fir. După aceea puteți lucra în condiții de siguranță în rețeaua Wi-Fi și internet. Să începem.
Pasul 1: Configurare Server Esomo
Acum, adăugați un punct de acces fără fir în lista punctelor de acces de server Esomo și subliniază ei cheia secretă (parola). Acest lucru este necesar pentru a asigura conexiunea între punctul de acces și Esomo. Aplicare setări.
Pentru utilizatorii rețelei pot naviga pe Internet, și să ia în considerare traficul lor Esomo, trebuie să creați o rată care determină costul de 1 MB de trafic, sau 1 minut de conexiune la internet. Pentru a face acest lucru în secțiunea „Rates“ pentru a adăuga un nou tarif, determină costul de 1 MB de trafic de intrare, de exemplu, în 1 rublă.
Ca de acest scris Esomo permite accesul la Internet numai utilizatorilor cu tarifare și fonduri pentru cont individual, du-te la „Utilizatori“, și dublu-clic pe utilizatorul testuser să-l atribuie la rata stabilită anterior, și se adaugă la contul său de 500 de ruble.
La acest server de configurare Esomo este finalizată. Ne rezervăm fereastra Esomo AWS deschisă și se continuă pentru a configura un punct de acces fără fir.
Pasul 2. Configurarea unui punct de acces fără fir
Mai jos este o captură de ecran setările punctului de acces Linksys.
Pasul 3: Configurarea calculatorului unui utilizator
Pentru ambele sensuri de autentificare între utilizator și serverul Esomo computer trebuie să fie instalat pe PC-ul utilizatorului, certificate digitale, și configura propriul său adaptor wireless pentru a lucra la protocolul EAP-TLS.
Acum setați certificatele digitale. Este suficient să faceți dublu clic pe mouse-ul pe certificat și urmați Certificate Import Wizard.
Pe serverul Esomo deja prezente certificate gata, așa că nu are nevoie de nimic pentru a instala.
În continuare, configurați adaptorul de rețea fără fir de PC-ul nostru pentru a lucra cu un server RADIUS Esomo EAP-TLS protocol de autentificare. În acest scop, setările adaptorului fără fir Se specifică utilizarea de criptare TKIP și autentificare pentru protocolul WPA prin utilizarea certificatelor digitale.
Din lista de CAs rădăcină de încredere alege instalate anterior pe calculatorul nostru certificatul rădăcină.
Deci, toate setările sunt complete, iar rețeaua fără fir este gata pentru utilizare. Oprirea computerului nostru de la comutatorul de rețea și să încerce să se conecteze la o rețea Wi-Fi. După căutarea rețelelor disponibile, adaptorul wireless va detecta rețeaua noastră securizată. După autentificarea cu succes, certificate digitale, precum și verificări pe calculatorul RADIUS server se conectează la rețeaua Wi-Fi noastre. Rămâne de a lua ultimul pas pe drumul spre superzaschite rețeaua noastră fără fir.
Pasul 4. Crearea unui al doilea strat de protecție - instalarea unei conexiuni VPN cu o criptare a traficului
După verificarea cu succes a numelui de utilizator și a parolei între PC-ul și serverul nostru Esomo stabili o conexiune VPN. Acum puteți naviga în siguranță pe web. Tot traficul va fi criptat cu WPA înseamnă nu numai, dar, de asemenea, VPN. Și după Esomo stație de lucru în orice moment, puteți vedea statisticile de trafic „umflate“ și un cuplu de click-uri pentru a importa în MS Excel.
După verificarea că totul funcționează, conectați alte computere la rețeaua fără fir și a oferi utilizatorilor acces la Internet. Pentru a face acest lucru, creați un nou utilizator prin intermediul stațiilor de lucru Esomo, le atribuie o rată adăugat anterior. Apoi, creați un certificat digital și instalat pe computerul fiecărui utilizator certificatul rădăcină și propriul său certificat personalizat pentru acești utilizatori. De asemenea, nu uitați să reglați adaptorul wireless de pe computerul fiecărui utilizator pentru a lucra cu un server RADIUS pentru protocolul EAP-TLS.
În această configurare o rețea wireless cu acces la Internet partajat este completă. Pentru tot ceea ce mi-a luat cel puțin două ore. Sunteți de acord că prin alte mijloace ar fi dificil de a organiza o rețea Wi-Fi bine protejate cu un astfel de timp și efort minim. Astfel, Esomo funcționează mare ca un server RADIUS, și serverul de acces la Internet, nu numai în rețelele Wi-Fi, dar, de asemenea, în fir LAN și amestecat, cu unele segmente ale rețelei combinate cu un cablu, iar cealaltă folosind Wi-Fi.