Будуємо захищену Wi-Fi мережу

На перший погляд, створити захищену wi-fi мережу дуже скадно. Необхідно придбати "правильне" обладнання, налаштувати сервер аутентифікації, потурбуватись про облік інтернет трафіку та захисту від зовнішніх атак за допомогою фаєрволу. Все це може забрати багато часу і коштів. У цій статті я розповім про один з найдешевших та найпростіших способів створення захищенної бездротової мережі зі спільним виходом в Інтернет.

Трохи про безпеку

Причина вразливості бездротових мереж закладена в принципі їхньої роботи: перехопити дані, що передаються по радіоканалу, набагато легше, ніж при звичайному кабельному з'єднанні. Це не потребує високовартісного обладнання та реалізується за допомогою звичайного ноутбука, пари хакерських утиліт (таких як airodump та aircrack) та добротної інструкції зі зламу Wi-Fi (як наприклад тут). Тому бездротова мережа повинна бути максимально захищена від різного роду атак: несанкціонованих підключень, перехоплення і прослуховування трафіку, викрадення важливої інформації, "несправжніх" точок доступу, тощо.

На сьогоднішній день найбільш надійним для бездротових мереж визнаний стандарт безпеки WPA (Wi-Fi Protected Access). Початковий захист wi-fi мережі можна забезпечити за допомогою режиму WPA-PSK (Pre-Shared Key), коли на точці доступу та на комп'ютері користувача вручну вводиться ключ сеансу зв'язку - Pre-Shared Key, що нагадує звичайний пароль. Потенційна вразливість WPA-PSK виникає через те, що у реальних мережах ключова фраза рідко змінюється і однакова для всіх користувачів мережі. При наявності часу і потужного комп'ютера підібрати такий пароль не складе особливих труднощів.

Більш надійний захист мережі досягається при використанні режиму WPA Enterprise, коли в мережі встановлений сервер аутентифікації (RADIUS сервер), який здійснює перевірку прав доступу користувачів. У такому випадку бездротова точка доступу буде блокувати всі підключення до бездротової мережі до тих пір, доки ім'я та пароль, які вводить користувач, не пройдуть перевірку на сервері аутентифікації. Якщо користувача немає у базі даних RADIUS сервера, то він не зможе підключитися до wi-fi мережі.

Максимальний захист бездротової мережі забезпечує використання цифрових сертифікатів і методу аутентифікації EAP-TLS (Extensible Authentication Protocol - Transport Level Security). В такому випадку комп'ютер користувача і RADIUS сервер перевіряють один одного за заздалегідь згенерованим цифровим сертифікатам, що гарантовано захистить вашу мережу від несанкціонованих підключень, а користувачів - від впроваджуваних хакерами "несправжніх" точок доступу.

Для ще більш надійного захисту передаваних даних можна створити зовнішню захисну оболонку бездротової мережі, використовуючи технологію VPN (Virtual Private Network) понад WPA, що додасть другий рівень шифрування трафіку.

І, нарешті, захиститися від несанкціонованих точок доступу, що потай встановлюються вашими співробітниками, можна за допомогою спеціального мережевого устаткування, яке вміє виявляти подібні пристрої та генерувати відповідні звіти.

Побудувати таку систему захисту бездротової мережі під силу небагатьом: потрібно, як мінімум, правильно налаштувати бездротову точку доступу і сервер авторизації RADIUS, створити базу даних користувачів, розробити систему управління цією базою і цифровими сертифікатами, та найголовніше - об'єднати всі ці компоненти в єдину мережу.

Але, незважаючи на уявну складність, створити максимально захищену wi-fi мережу досить легко. Для цього необов'язково бути гуру в інфобезпеці та бездротових стандартах. Все можна зробити за годину-півтори, маючи:

• окремий комп'ютер;
• бездротову точку доступу, що підтримує WPA, WPA2 і авторизацію на RADIUS-сервері (дані характеристики точки доступу можна дізнатися з її документації або у консультантів в комп'ютерному магазині);
• програму Esomo, яка буде грати роль RADIUS сервера, а також сервера загального доступу до Інтернет. Офіційний сайт розробника програми: http://www.esomoline.com/. Для захисту бездротової мережі Esomo використовує протокол EAP-TLS, який передбачає аутентифікацію користувачів на вбудованому RADIUS сервері та взаємну перевірку достовірності між RADIUS сервером Esomo і комп'ютерами користувачів за цифровими сертифікатами.

Приклад створення захищеної бездротової мережі

Тепер розглянемо приклад організації локальної wi-fi мережі на базі Esomo. Мережа містить 11 комп'ютерів, бездротову точку доступу Linksys та під'єднана до Інтернет через ADSL модем.

Спочатку звантажуємо Esomo з сайту розробника (розмір дистрибутиву 135 Мб) і встановлюємо серверну частину програми на окремий комп'ютер з двома мережевими картами. Це буде наш RADIUS сервер, а також VPN сервер та сервер доступу в Інтернет, який дозволить обмежувати трафік користувачів, переглядати статистику доступу та витрат трафіку. Для роботи Esomo не потрібно операційна система, тому що до складу програми вже входить вільно розповсюджувана ОС FreeBSD. Покрокову інструкцію по встановленню Esomo Ви можете знайти тут.

Після встановлення програми під'єднуємо комп'ютер з Esomo і бездротову точку доступу до мережевого комутатора. Через другий мережевий інтерфейс підключаємо сервер Esomo до ADSL-модема (або до кабеля, якщо у вас виділена лінія). На будь-якому Windows-комп'ютері локальної мережі (також під'єднаного до мережевого комутатора) запускаємо Esomo АРМ і підключаємся до сервера Esomo.

Створити захищену бездротову мережу на базі Esomo можна за 4 простих кроки. Спочатку ми займемося налаштуванням Esomo для роботи з бездротовою мережею. Потім налаштуємо бездротову точку доступу та комп'ютери користувачів. І, нарешті, під'єднаємось до wi-fi мережі та встановимо VPN-з'єднання з сервером Esomo для створення другого рівня захисту бездротового трафіку. Після цього можна безпечно працювати в wi-fi мережі та Інтернет. Отже, приступимо.

Крок 1. Налаштування сервера Esomo

Спочатку видамо постійну IP-адресу бездротовій точці доступу для работы у нашій мережі. Для цього додамо точку доступу в список статичного DHCP (МАС-адресу точки доступу зазвичай вказаний у наліпці на ній). Застосуємо налаштування.

Тепер додамо бездротову точку доступу у список точок доступу на сервері Esomo та вкажемо для неї секретний ключ (пароль). Це необхідно для організації безпечного з'єднання між точкою доступу і Esomo. Застосуємо налаштування.

Щоб користувачі мережі могли виходити в Інтернет, а Esomo обліковувати їхній трафік, необхідно створити тариф, який встановлює вартість 1 Мб трафіку або 1 хвилини інтернет-з'єднання. Для цього у розділі "Тарифи" додамо новий тариф, встановивши вартість 1 Мб вхідного трафіку, наприклад в 1 рубль.

Оскільки на момент написання статті Esomo дозволяє доступ в Інтернет тільки користувачам, які мають тариф і кошти на індивідуальному рахунку, зайдемо у розділ "Користувачі" та двічі клацнувши по користувачу testuser привласнимо йому раніше створений тариф і додамо на його рахунок 500 рублів.

На цьому налаштування сервера Esomo закінчене. Залишаємо вікно Esomo АРМ відкритим та переходимо до налаштування бездротової точки доступу.

Крок 2. Налаштування бездротової точки доступу

Отримати доступ до бездротової мережі можна тільки після успішної авторизації на сервері Esomo, тому завчасно потрібно налаштувати бездротову точку доступу на роботу з RADIUS сервером. Для цього під'єднаємось до точки доступу через веб-браузер за IP-адресою, яку ми їй раніше привласнили через Esomo АРМ на вкладці "DHCP". В якості режиму роботи точки доступу вкажемо WPA-Enterprise, в якості протоколу шифрування - TKIP, в якості RADIUS сервера - IP-адресу комп'ютера з Esomo. Також перевіримо, щоб секретний ключ, прописаний в налаштуваннях точки доступу (Shared Secret) співпадав з ключем, вказаним для точки доступу в Esomo АРМ (розділ "Wi-Fi", вкладка "Точки доступу").

Нижче наведу скріншот з налаштуваннями точки доступу Linksys.

Крок 3. Налаштування комп'ютера користувача

Для двосторонньої перевірки достовірності між комп'ютером користувача і сервером Esomo необхідно встановити на ПК користувача цифрові сертифікати та налаштувати його бездротовий адаптер на роботу за протоколом EAP-TLS.

Авторизація користувача на сервері Esomo вібувається за участі двох цифрових сертифікатів: кореневого і користувальницького. Ці сертифікати необхідно отримати через Esomo АРМ і встановити на комп'ютер. Для цього зайдемо у розділ "Wi-Fi" на вкладку "Сертифікати" і збережемо на наш комп'ютер кореневий сертифікат та сертифікат користувача testuser.

Тепер встановимо отримані цифрові сертифікати. Для цього достатньо двічі клацнути мишою по сертифікату і виконувати вказівки Майстра імпорту сертифікатів.

Зі встановленням кореневого сертифіката не повинно виникнути ніяких складнощів: залишіть всі налаштування за умовчанням і просто натискайте кнопки "Далі" та "Готово". А ось в процесі встановлення сертифікату для користувача testuser необхідно буде ввести пароль testuser, котрим захищений цей сертифікат.

На сервері Esomo вже присутні готові сертифікати, тому туда встановлювати нічого не треба.

Тепер налаштуємо бездротовий мережевий адаптер нашого ПК на роботу з RADIUS сервером Esomo за протоколом EAP-TLS. Для цього в конфігурації бездротового адаптера вкажемо використовувати шифрування TKIP і перевірку достовірності за протоколом WPA з допомогою цифрових сертифікатів.

Зі списку довіренних кореневих центрів сертифікації виберемо встановленний раніше на наш комп'ютер кореневий сертифікат.

Отже, всі налаштування закінчені і бездротова мережа готова до роботи. Від'єднуємо наш комп'ютер від мережевого комутатора та намагаємось під'єднатись до wi-fi мережі. Після пошуку доступних мереж бездротовий адаптер виявить нашу захищену мережу. Після успішної аутентифікації за цифровими сертифікатами і перевірки на RADIUS-сервері наш комп'ютер під'єднається до wi-fi мережі. Залишилося зробити останній крок на шляху до суперзахисту нашої бездротової мережі.

Крок 4. Створення другого рівня захисту - встановлення VPN з'єднання з шифруванням трафіку

Максимальний захист бездротового трафіку в мережі з Esomo досягається за рахунок використання технології VPN понад вже встановленного бездротового з'єднання за протоколом WPA, що додає другий рівень шифрування трафіку. Створення VPN-з'єднання між комп'ютером користувача і сервером Esomo відбувається автоматично. Потрібно всього лише відкрити веб-браузер та набрати адресу любого існуючого сайта, наприклад, www.google.ru. На сторінці авторизації Esomo в обох полях форми введемо testuser і натиснемо кнопку "З'єднати".

Після успішної перевірки логіна і пароля між нашим ПК і сервером Esomo встановиться VPN з'єднання. Тепер можна безпечно працювати в Інтернеті. Увесь трафік буде шифруватись не тільки засобами WPA, але й VPN. А через Esomo АРМ в будь-який час можна подивитись статистику "накачаного" трафіку та за пару кліків імпортувати її в MS Excel.

Перевіривши, що все працює, підключимо інші комп'ютери до бездротової мережі та надамо користувачам доступ в Інтернет. Для цього створимо нових користувачів через Esomo АРМ, привласнимо їм доданий раніше тариф. Потім створимо для цих користувачів цифрові сертифікати і встановимо на комп'ютер кожного користувача кореневий сертифікат та його власний користувальницький сертифікат. Також не забудьте налаштувати бездротовий адаптер на комп'ютері кожного користувача для роботи з RADIUS сервером за протоколом EAP-TLS.

На цьому налаштування бездротової мережі зі спільним доступом в Інтернет повністю завершена. На все про все в мене пішло менше двох годин. Погодьтесь, що за допомогю інших засобів було б проблематично організувати добре захищену wi-fi мережу з такими мінімальними затратами часу і сил. При цьому Esomo чудово працює як RADIUS сервер і сервер доступу в Інтернет не тільки в wi-fi мережах, але і в проводних та змішаних LAN, коли одні сегменти мережі об'єднані за допомогою кабеля, а інші за допомогою wi-fi.

Автор: Віктор Соколов
Джерело: www.whatis.ru, 16.VII.2008
Переклад: УкрFAQ, I.2011