Я использую беспроводной маршрутизатор Netgear, к которому подключаются различные беспроводные устройства. Одно из моих беспроводных устройств не поддерживает безопасность WPA2, поэтому мне пришлось понизить уровень безопасности маршрутизатора до WEP.
Мы все знаем, что WEP не работает, поэтому в качестве дополнительной меры я включил список беспроводного доступа на маршрутизаторе, чтобы только устройства с указанными MAC-адресами, которые есть в моем списке доступа, могли подключаться к маршрутизатору.
Я знаю, что можно подделать MAC-адрес устройства для доступа к такой защищенной сети. Но легко ли? Использует WEP и список беспроводного доступа достаточно хорошо чтобы предотвратить большинство хакерских атак? Или мне следует сделать все возможное, чтобы в будущем все устройства поддерживали WPA2?
Нет.
WEP легко сломать. MAC-адреса небезопасны. Их можно банально подделать. Взгляни на Шесть самых глупых способов защитить беспроводную локальную сеть:
Фильтрация MAC: Это все равно, что передать охраннику блокнот со списком имен. Затем, когда кто-то подходит к двери и хочет войти, охранник смотрит на табличку с именем человека, сравнивает ее со своим списком имен и определяет, открывать дверь или нет.
WEP легко взломать (есть видео, как это делается за 10 минут и т. Д.), А MAC-адреса можно подделать. Однако что вы «обеспечиваете»? Если это бизнес, то НЕТ, этого явно недостаточно. Если это ваш домашний Интернет, и все ваши 10 соседей оставляют свою беспроводную сеть открытой, и у вас есть программный брандмауэр на вашем компьютере, то, возможно, этого достаточно.
Это как когда я хожу в лес со своей девушкой. Я не боюсь медведей ... Возможно, я не смогу убежать от них, но я, по крайней мере, смогу обогнать ее!
Нет WEP не является адекватной безопасностью. Mac-адреса отправляются как часть беспроводного пакета, поэтому их легко перехватить и подделать.
Если вам нужно использовать WEP, вам необходимо установить маршрутизатор с 3 NAT, как показано ниже. Маршрутизатор NAT 1 (NR1) подключен к Интернету через порт WAN. Порт WAN маршрутизатора NAT 2 (NR2) подключен к порту LAN NR1. Порт WAN маршрутизатора NAT 3 (NR3) подключен к порту LAN NR1.
----------NR2--------------Wireless WEP Unsecure
|
Internet ----- NR1----|
|
|
----------NR3--------------Wireless WPA Secure
Это позволит доступу WEP к Интернету. Маршрутизатор NR3 заблокирует доступ к вашей защищенной сети. Еще одно преимущество - разрешить гостевой доступ к NR2. Это позволит получить доступ в Интернет без предоставления доступа к вашей локальной защищенной сети.
Технически это не очень безопасно, но я думаю, это зависит от того, где вы находитесь; Если вы находитесь в здании, полном технарей, то это действительно небезопасно, если вы находитесь на частном острове посреди Тихого океана, то, вероятно, будет лишним иметь какую-либо безопасность. Сначала вы должны измерить свою потребность.
В лучшем случае вы предотвращаете случайное вторжение. Использование WEP, занесение определенных MAC-адресов в белый список, отключение DHCP и отключение широковещательной передачи SSID создают несколько препятствий, через которые люди могут прыгнуть, но это все банальный победить.
Если вам нужна поддержка WEP, продолжайте и выполните эти шаги, но также примите тот факт, что сеть небезопасна. Вы захотите изолировать его от остальной сети, используя настройку с несколькими маршрутизаторами, как описано в Гид Стива Гибсона. По сути, вы помещаете один маршрутизатор с WEP «снаружи», подключенный к вашему восходящему интернет-соединению. Злоумышленники могут проникнуть в этот беспроводной сегмент. Затем вы подключаете второй «внутренний» маршрутизатор к одному из портов LAN внешнего маршрутизатора. Подключите к этому маршрутизатору все, что не требует WEP.
Нет, защиты MAC-адреса недостаточно, так как MAC-адреса легко подделать - http://www.think-security.com/wireless-wep-insecurity/ . Даже если хакер не сможет его подделать, он, по крайней мере, сможет перехватить ваш трафик.