Висновок. На сьогодні існує три технології захисту бездротових мереж: налаштувати клієнт і точку доступу до використання SSID

На сьогодні існує три технології захисту бездротових мереж: налаштувати клієнт і точку доступу до використання SSID, це дозволити точці доступу зв'язатися тільки з клієнтами, MAC-адреси, яких відомі точці доступу, і налаштувати клієнтів на аутентификацию в точці доступу і шифрування трафіку. Більшість точок лоступу настроюється працювати з обираним за умовчанням SSID, без ведення списку дозволених MAC-адрес клієнтів - із загальним ключем для аутентифікації і шифрування (чи взагалі без аутентифікації і шифрування). Зазвичай це параметри документовані оперативному довідкової системі на Web-вузлі виготовлювача. Завдяки цим параметрам недосвідчений користувач може легко організувати бездротову мережу і почати працювати із нею, але водночас вони спрощують хакерам завдання проникнення в мережу. Становище поглиблюється тим, що більшість вузлів доступу налаштовані на широкомовну передачу SSID. Тому зломщик може відшукати уразливі мережі за стандартними SSID.

Перший крок до безпечної бездротового мережі — змінити обираний за умовчанням SSID вузла доступу. З іншого боку, потрібно змінити даний параметр на клієнта, щоб забезпечити зв'язк з вузлом доступу. Зручно призначити SSID, має сенс для адміністратора і користувачів підприємства, але з явно ідентифікуючий цю бездротову мережу серед інших SSID, перехоплюваних сторонніми особами.

Наступний крок — блокувати широкомовну передачу SSID вузлом доступу. Через протидію зломщику стає важче (хоча можливість така зберігається) знайти присутність бездротової мережі і SSID. У деяких вузла доступу скасувати широкомовну передачу SSID не можна. У цьому разі слід максимально збільшити інтервал широкомовної передачі. З іншого боку, деякі клієнти можуть встановлювати зв'язок лише за умови широкомовної передачі SSID вузлом доступу. Отже, можливо, доведеться здійснити експерименти з цим параметром, аби вибрати режим, підходящий у певній ситуації.

Після цього можна вирішити звернення до вузлів доступу тільки від бездротових клієнтів із відомими MAC-адресами. Такий захід не доречний у великій організації, але на підприємстві з великим числом бездротових клієнтів це може бути надійна додаткова лінія захисту. Взломщикам знадобиться з'ясувати MAC-адреси, яким дозволено підключатися до вузла доступу підприємства, і замінити MAC-адрес власного бездротового адаптера дозволеним (у деяких моделях адаптерів MAC-адреси можна змінювати).

Вибір параметрів аутентифікації і шифрування може бути дуже складнішою операцією захисту бездротової мережі. Перш ніж призначити параметри, необхідно провести інвентаризацію вузлів доступу і бездротових адаптерів, аби з'ясувати, які протоколи безпеки ними підтримуються, якщо бездротову мережу організовано з використанням різного обладнання від різних постачальників. Деякі пристрої, особливо старі вузли доступу і бездротові адаптери, можуть бути несумісними з WPA, WPA2 чи ключами WEP із більшеною довжиною.

Ще одина ситуація, про яку слід пам'ятати, — необхідність введення користувачами деяких старих пристроїв шістнадцатерічного числа, що є ключем, а інших старих вузлів доступу і бездротових адаптерів потрібно запровадити фразу-пароль, яка буде ключем. Через конфлікти важко домогтися застосування одного ключа для усього обладнання. Власники такого обладнання можуть використовувати такі ресурси, як WEP Key Generator, для генерації випадкових ключів WEP і перетворення фраз-паролів в шістнадцатерічні числа.

В загалі WEP треба використовувати лише у випадках нагальної необхідності. Якщо використання WEP обов'язково, необхідно вибирати ключі максимальної довжини і налаштувати мережу на режим Open замість Shared. У режимі Open у мережі аутентификациї клієнтів не виконується, та намагання встановити з'єднання з вузлами доступу може кожен. Ці підготовчі сполуки частково завантажують бездротового канал зв'язку, але зловмисники, котрі встановили з'єднання в AP, не зможуть продовжувати обмін даними, бо знають ключа шифрування WEP. Можна блокувати навіть попередні сполуки, налаштувавши AP приймання сполук тільки від відомих MAC-адресов. На відміну від Open, як Shared вузол доступу використовує ключ WEP для аутентифікації бездротових клієнтів у процедурі запрос-відгук, і зломщик може розшифрувати послідовність і побачити ключ шифрування WEP.

Якщо можна застосувати WPA, необхідно вибрати між WPA, WPA2 і WPA-PSK. Головним чинником під час виборів WPA чи WPA2, з одного боку, і WPA-PSK — з іншого, є розгорнуті інфраструктури, необхідну WPA і WPA2 для аутентифікації користувачів. Для WPA і WPA2 потрібно розгорнути сервери RADIUS і, можливо, Public KeyInfrastructure (PKI).WPA-PSK, як і WEP, працює із загальним ключем, відомим беспроводному до клієнта і AP.WPA-PSK можна використовувати загальний ключ WPA-PSK для аутентифікації і шифрування, тому що йому не притаманний недолік WEP.