Создание домашней сети wifi. Создание беспроводной сети в пределах дома. Обнаружение сети и подключение к ней

Безопасность

Создаем защищенную wi-fi сеть

На первый взгляд, создать надежно защищенную wi-fi сеть очень трудно. Необходимо приобрести "правильное" оборудование, настроить сервер аутентификации, позаботиться об учете интернет трафика и защите от внешних атак посредством фаервола.

Всё это может отнять массу времени и денежных средств. В данной статье я расскажу об одном из самых дешевых и простых способов создания защищенной беспроводной сети с общим выходом в Интернет.

Помните, вы можете спросить у нас. С широко распространенной популярностью ноутбуков, многофункциональных устройств и смартфонов также значительно расширилось использование беспроводных сетей. Также некоторые советы по безопасности. Системы шифрования, используемые беспроводными сетями, имеют долгую историю проблем безопасности.

Часто меняйте свой пароль



Эта мера не очень полезна для людей, живущих в одиночку или не имеющих доступа к сети ни с кем. Однако, когда многие люди обращаются к одной и той же сети, рекомендуется часто менять пароль, например, раз в месяц. Это всего лишь предосторожное действие, и это хорошо, потому что, если кто-то может определить сетевой пароль, они не смогут использовать его в течение длительного времени.

Часть 1. Немного о безопасности

Причина уязвимости беспроводных сетей заключена в принципе их работы: перехватить данные, передающиеся по радиоканалу, намного легче, чем при обычном кабельном соединении. Это не требует дорогостоящего оборудования и реализуемо при помощи обычного ноутбука, пары хакерских утилит (таких как airodump и aircrack) и хорошей инструкции по взлому wi-fi (как например здесь). Поэтому беспроводная сеть должна быть максимально защищена от различного рода атак: несанкционированных подключений, перехвата и прослушивания трафика, хищения важной информации, "ложных" точек доступа и т.п.

По этой причине рекомендуется использовать имя, которое сообщает наименьшее количество информации тем, кто ищет сеть. В имени сети вы можете поместить свое имя или использовать творчество и добавить какое-то смешное имя. Компании всегда выпускают обновления прошивки для обеспечения безопасности своих маршрутизаторов и защиты компьютера от тех, кто их использует.

Создать новую сеть для посетителей

Это вариант, который практически каждый маршрутизатор сегодня имеет. Таким образом, одна сеть будет уникальной для личного использования, а другая будет доступна для всех. Эта вторая сеть также будет иметь разную частоту, что означает, что одна сеть не мешает другой, что делает обе сети более безопасными.

На сегодняшний день наиболее надежным для беспроводных сетей признан стандарт безопасности WPA (Wi-Fi Protected Access). Начальную защиту wi-fi сети можно обеспечить при помощи режима WPA-PSK (Pre-Shared Key), когда на точке доступа и на компьютере пользователя вручную вводится ключ сеанса связи - Pre-Shared Key, напоминающий обычный пароль. Потенциальная уязвимость WPA-PSK возникает из-за того, что в реальных сетях ключевая фраза редко меняется и одинакова для всех пользователей сети. При наличии времени и мощного компьютера подобрать такой пароль не составит особого труда.

Выключите маршрутизатор, когда он не используется

Поэтому, если сеть неактивна, нет никаких способов кибератакинга. Вам понравилась статья или у вас есть другие советы?

Как установить беспроводной адаптер

Для этого нажмите кнопку «Добавить», и откроется новое диалоговое окно. Другие варианты служат для повышения безопасности. Чтобы начать работу, оставьте сеть полностью открытой, поэтому вы не будете умножать параметры, которые могут помешать первичной конфигурации сети.

Дважды щелкните имя для подключения. Если он не отображается, откройте свойства беспроводного сетевого подключения, нажмите «Дополнительно» и убедитесь, что компьютер не настроен для сетей с точкой доступа. Если он все еще не работает, временно отключите личные брандмауэры, чтобы уменьшить количество возможных причин сбоя.

Более надежная защита сети достигается при использовании режима WPA Enterprise, когда в сети установлен сервер аутентификации (RADIUS сервер), осуществляющий проверку прав доступа пользователей. В таком случае беспроводная точка доступа будет блокировать все подключения к беспроводной сети до тех пор, пока вводимые пользователем имя и пароль не пройдут проверку на сервере аутентификации. Если пользователя нет в базе данных RADIUS сервера, то он не сможет подключиться к wi-fi сети.

Другие машины будут иметь адреса того же диапазона адресов: 2 и т.д. Чтобы установить аппарат, просто щелкните правой кнопкой мыши значок, соответствующий беспроводному сетевому соединению, и выберите «Свойства». Затем в списке протоколов выберите «Интернет-протокол» и нажмите «Свойства».

Чтобы проверить, просто введите команду на компьютере, подключенном к Интернету. Это руководство поможет вам создать специальную беспроводную сеть между вашим персональным компьютером и мобильным устройством. В отличие от типичной локальной сети, сервер или маршрутизатор не требуется.

Максимальную защиту беспроводной сети обеспечивает использование цифровых сертификатов и метода аутентификации EAP-TLS (Extensible Authentication Protocol - Transport Level Security). В таком случае компьютер пользователя и RADIUS сервер проверяют друг друга по заранее сгенерированным цифровым сертификатам, что гарантировано защитит вашу сеть от несанкционированных подключений, а пользователей - от внедряемых хакерами "ложных" точек доступа.

Часть 2. Подключение мобильного устройства

Перейдите к части 2 ниже. Установите флажок Сохранить эту сеть.

  • Нажмите кнопку «Пуск».
  • Нажмите «Подключиться».
  • Нажмите «Настройка соединения» или «Сеть».
  • Нажмите на значок «Настройки».
  • Нажмите на свою сеть.
Вы можете решить заменить старый Интернет беспроводным шнуром для удобства или потому, что владеете ноутбуком и устали использовать его в том же месте.

Если вы приобрели точку доступа, первое, что нужно сделать, - это подключить ее к сетевому кабелю, поставляемому с коробкой, непосредственно к гнезду за модемом и подключить адаптер питания к розетке. Основная проблема с этим типом сети - безопасность, радиосигналы могут быть безопасно перехвачены. В руководстве по эксплуатации, которое вы найдете в поле «Точка доступа», будет указана вся необходимая информация: вам будет предложено выполнить поиск с вашим навигатором по адресу, и вам будут предложены имена пользователей и пароли, значения по умолчанию, записи и записи.

Для ещё более надежной защиты передаваемых данных можно создать внешнюю защитную оболочку беспроводной сети, используя технологию VPN (Virtual Private Network) поверх WPA, что добавит второй уровень шифрования трафика.

И, наконец, защититься от несанкционированных точек доступа, втайне устанавливаемых вашими сотрудниками, можно при помощи специального сетевого оборудования, умеющего выявлять подобные устройства и генерировать соответствующие отчеты.

Первое, что нужно сделать, это изменить пароль для доступа к области администрирования, и для этого найдите конкретный значок в интерфейсе. Точка доступа автоматически перезапустится после перезагрузки, введите свое имя пользователя и пароль и войдет в систему.

Все, что вам нужно сделать, это настроить дополнительный пароль для просмотра в Интернете. Ищите голос внутри интерфейса администрирования. Когда вы сохраняете выполняемые вами операции, система перезапустится автоматически, и вам придется работать на компьютере, к которому вы хотите подключиться.

Построить такую систему защиты беспроводной сети под силу немногим: нужно, как минимум, правильно настроить беспроводную точку доступа и сервер авторизации RADIUS, создать Базу данных пользователей, разработать систему управления этой базой и цифровыми сертификатами, и самое главное - объединить все эти компоненты в единую сеть.

Радиус покрытия этих антенн может быть двух типов: прямого или всенаправленного. Первый из них непригоден для жилья, а второй имеет функции, которые позволяют покрыть ширину около 100 метров широкополосным и, следовательно, более уместны и менее дороги.

Лучшим советом является покупка модема со встроенной точкой доступа и концентратор, по меньшей мере, четырех портов, который обеспечивает доступ в Интернет и в то же время распределяет соединение со всеми компьютерами по беспроводной сети. Другие соображения требуют антенны, особенно если у вас есть возможность выбрать разъединение, так как вам может потребоваться изменить его с более мощным в случае помех или препятствий. Это своего рода временный канал, который позволяет изолировать сеть, полностью запретив доступ к ней, разрешив только просмотр веб-страниц без необходимости связывать пароль «основной линии», который остается зарезервированным для администратора.

Но, несмотря на кажущуюся сложность, создать максимально защищенную wi-fi сеть достаточно легко. Для этого необязательно быть гуру в инфобезопасности и беспроводных стандартах. Всё можно сделать за час-полтора, имея:


  • отдельный компьютер;
  • беспроводную точку доступа, поддерживающую WPA, WPA2 и авторизацию на RADIUS-сервере (данные характеристики точки доступа можно узнать из её документации или у консультантов в компьютерном магазине);
  • программу Esomo, которая будет играть роль RADIUS сервера, а также сервера общего доступа в Интернет. Официальный сайт разработчика программы: www.esomoline.com. Для защиты беспроводной сети Esomo использует протокол EAP-TLS, предусматривающий аутентификацию пользователей на встроенном RADIUS сервере и взаимную проверку подлинности между RADIUS сервером Esomo и компьютерами пользователей по цифровым сертификатам.

Часть 2. Пример создания защищенной беспроводной сети

Теперь рассмотрим пример организации локальной wi-fi сети на базе Esomo. Сеть включает 11 компьютеров, беспроводную точку доступа Linksys и подключена к Интернету через ADSL модем.

Прежде всего, скачиваем Esomo с сайта разработчика (размер дистрибутива 135 Мб) и устанавливаем серверную часть программы на отдельный компьютер с двумя сетевыми картами. Это будет наш RADIUS сервер, а также VPN сервер и сервер доступа в Интернет, позволяющий ограничивать трафик пользователей, просматривать статистику доступа и расходов трафика. Для работы Esomo не требуется операционная система, т.к. в состав программы уже входит свободно распространяемая ОС FreeBSD. Пошаговую инструкцию по установке Esomo Вы можете найти здесь.

После установки программы подключаем компьютер с Esomo и беспроводную точку доступа к сетевому коммутатору. Через второй сетевой интерфейс подключаем сервер Esomo к ADSL-модему (или к кабелю, если у вас выделенная линия). На любом Windows-компьютере локальной сети (также подключенному к сетевому коммутатору) запускаем Esomo АРМ и подключаемся к серверу Esomo.

Создать защищенную беспроводную сеть на базе Esomo можно за 4 простых шага. Вначале мы займемся настройкой Esomo для работы с беспроводной сетью. Затем настроим беспроводную точку доступа и компьютеры пользователей. И, наконец, подключимся к wi-fi сети и установим VPN-соединение с сервером Esomo для создания второго уровня защиты беспроводного трафика. После этого можно безопасно работать в wi-fi сети и Интернет. Итак, приступим.

Шаг 1. Настройка сервера Esomo

Прежде всего, выдадим постоянный IP-адрес беспроводной точке доступа для работы в нашей сети. Для этого добавим точку доступа в список статического DHCP (МАС-адрес точки доступа обычно указан в наклейке на ней). Применим настройки.

Теперь добавим беспроводную точку доступа в список точек доступа на сервере Esomo и укажем для нее секретный ключ (пароль). Это необходимо для организации безопасного соединения между точкой доступа и Esomo. Применим настройки.

Чтобы пользователи сети могли выходить в Интернет, а Esomo учитывать их трафик, необходимо создать тариф, определяющий стоимость 1 Мб трафика или 1 минуты интернет соединения. Для этого в разделе "Тарифы" добавим новый тариф, определив стоимость 1 Мб входящего трафика, например в 1 рубль.

Поскольку на момент написания статьи Esomo разрешает доступ в Интернет только пользователям, имеющим тариф и средства на индивидуальном счете, зайдем в раздел "Пользователи" и дважды кликнув по пользователю testuser присвоим ему ранее созданный тариф и добавим на его счет 500 рублей.

На этом настройка сервера Esomo завершена. Оставляем окно Esomo АРМ открытым и переходим к настройке беспроводной точки доступа.

Шаг 2. Настройка беспроводной точки доступа

Получить доступ к беспроводной сети можно только после успешной авторизации на сервере Esomo, поэтому заранее необходимо настроить беспроводную точку доступа на работу с RADIUS сервером. Для этого подключимся к точке доступа через веб-браузер по IP-адресу, который мы ей ранее присвоили через Esomo АРМ на вкладке "DHCP". В качестве режима работы точки доступа укажем WPA-Enterprise, в качестве протокола шифрования - TKIP, в качестве RADIUS сервера - IP-адрес компьютера с Esomo. Также проверим, чтобы секретный ключ, прописанный в настройках точки доступа (Shared Secret) совпадал с ключом, указанным для точки доступа в Esomo АРМ (раздел "Wi-Fi", вкладка "Точки доступа").

Ниже приведу скриншот с настройками точки доступа Linksys.

Шаг 3. Настройка компьютера пользователя

Для двусторонней проверки подлинности между компьютером пользователя и сервером Esomo необходимо установить на ПК пользователя цифровые сертификаты и настроить его беспроводной адаптер на работу по протоколу EAP-TLS.

Авторизация пользователя на сервере Esomo происходит при участии двух цифровых сертификатов: корневого и пользовательского. Данные сертификаты необходимо получить через Esomo АРМ и установить на компьютер. Для этого зайдем в раздел "Wi-Fi" на вкладку "Сертификаты" и сохраним на наш компьютер корневой сертификат и сертификат пользователя testuser.

Теперь установим полученные цифровые сертификаты. Для этого достаточно дважды кликнуть мышью по сертификату и следовать указаниям Мастера импорта сертификатов.

С установкой корневого сертификата не должно возникнуть никаких сложностей: оставьте все настройки по умолчанию и просто нажимайте кнопки "Далее" и "Готово". А вот в процессе установки сертификата для пользователя testuser необходимо будет ввести пароль testuser, которым защищен этот сертификат.

На сервере Esomo уже присутствуют готовые сертификаты, поэтому туда устанавливать ничего не нужно.

Далее настроим беспроводной сетевой адаптер нашего ПК на работу с RADIUS сервером Esomo по протоколу EAP-TLS. Для этого в настройках беспроводного адаптера укажем использовать шифрование TKIP и проверку подлинности по протоколу WPA посредством цифровых сертификатов.

Из списка доверенных корневых центров сертификации выберем установленный ранее на наш компьютер корневой сертификат.

Итак, все настройки завершены и беспроводная сеть готова к работе. Отключаем наш компьютер от сетевого коммутатора и пытаемся подключиться к wi-fi сети. После поиска доступных сетей беспроводной адаптер обнаружит нашу защищенную сеть. После успешной аутентификации по цифровым сертификатам и проверки на RADIUS-сервере наш компьютер подключится к wi-fi сети. Осталось сделать последний шаг на пути к суперзащите нашей беспроводной сети.

Шаг 4. Создание второго уровня защиты - установка VPN соединения с шифрованием трафика

Максимальная защита беспроводного трафика в сети с Esomo достигается за счет использования технологии VPN поверх уже установленного беспроводного соединения по протоколу WPA, что добавляет второй уровень шифрования трафика. Создание VPN-соединения между компьютером пользователя и сервером Esomo происходит автоматически. Нужно всего лишь открыть веб-браузер и набрать адрес любого существующего сайта, например, www.google.ru. На странице авторизации Esomo в обоих полях формы введем testuser и нажмем кнопку "Соединить".

После успешной проверки логина и пароля между нашим ПК и сервером Esomo установится VPN соединение. Теперь можно безопасно работать в Интернете. Весь передаваемый трафик будет шифроваться не только средствами WPA, но и VPN. А через Esomo АРМ в любое время можно посмотреть статистику "накаченного" трафика и за пару кликов импортировать её в MS Excel.

Проверив, что всё работает, подключим остальные компьютеры к беспроводной сети и предоставим пользователям доступ в Интернет. Для этого создадим новых пользователей через Esomo АРМ, присвоим им добавленный ранее тариф. Потом создадим для этих пользователей цифровые сертификаты и установим на компьютер каждого пользователя корневой сертификат и его собственный пользовательский сертификат. Также не забудьте настроить беспроводной адаптер на компьютере каждого пользователя для работы с RADIUS сервером по протоколу EAP-TLS.

На этом настройка беспроводной сети с общим доступом в Интернет полностью завершена. На всё про всё у меня ушло менее двух часов. Согласитесь, что при помощи других средств было бы проблематично организовать хорошо защищенную wi-fi сеть с такими минимальными затратами времени и сил. При этом Esomo отлично работает как RADIUS сервер и сервер доступа в Интернет не только в wi-fi сетях, но и в проводных и смешанных ЛАН, когда одни сегменты сети объединены при помощи кабеля, а другие при помощи wi-fi.