- Zmień ESSID sieci na nic nie mówiący ciąg znaków. ESSID jest rozgłaszany przez AP co sekundę i jest widoczny nawet do kilku kilometrów od Twojej lokalizacji. Zmień ESSID na przypadkowe słowo i powiedz o tym swoim użytkownikom. Dzięki temu przypadkowy podsłuchiwacz nie powiąże od razu nazwy sieci z nazwą Twojej firmy co odsieje przypadkowych ciekawskich. Całkowite wyłączenie rozgłąszania ESSID nie jest wskazane bo może mieć negatywny wpływ na wydajność sieci.
- Koniecznie włącz szyfrowanie. Najlepsze dla małej sieci będzie WPA2-PSK, wtedy każdy klient będzie musiał znać jedno wspólne hasło dostępu do sieci (PSK). Dla sieci z wieloma użytkownikami lepsze będzie WPA2 z zewnętrznym serwerem Radius, który umożliwia ustawienie każdemu innego hasła. Jeśli nie masz WPA2 to WPA też będzie dobrym zabezpieczeniem, pod warunkiem że nie wybierzesz słabego hasła.
-
- WEP jest martwy - złamanie szyfrowania WEP przy pomocy współczesnych narzędzi zajmuje około 5 minut. Długość klucza (40 czy 128 bitów) nie ma tutaj znaczenia. Jedyne na co możesz liczyć korzystając z WEP to to, że podsłuchiwacz wybierze jednak sieć, która w ogóle nie ma zabezpieczeń.
- Włącz szyfrowanie dla WSZYSTKICH Access Pointów. Jedno niezabezpieczone połączenie może ujawnić włamywaczowi wiele informacji.
- Traktuj ESSID jak hasło. Nawet jeśli masz wyłączone rozgłaszanie ESSID, jest wiele programów błyskawicznie zgadujących prosty ESSID na podstawie słownika. Przypadkowy ESSID (np. "CyprMalajka") nie jest trudny do wpisania, a bardzo przedłuża zgadywanie albo w ogóle je uniemożliwia.
- Stosuj trudne do zgadnięcia hasła. Nawet w przypadku WPA i WEP jest możliwe zgadnięcie hasła. Automatyczne słowniki mogą zgadywać tysiące haseł na sekundę. Dla WPA stosuj bezpieczne hasła będące zbitkami kilku słów z cyframi i innymi znakami (kropka, kreska, plus). Dzięki temu będą i odporne na zgadnięcie i łatwe do wpisywania dla użytkowników. Jeśli używasz WEP - hasło dla 40-bitowego WEP powinno mieć około 20 znaków, a dla 128-bitowego - niemal 85 znaków (wiele urządzeń dopuszczan nawet hasła do 128 znaków).
- Nie zapomnij o zabezpieczeniu koncentratora WLAN. Większość AP przychodzi z domyślnymi hasłami lub w ogóle bez haseł na telnet, SNMP czy zarządzanie po WWW. Pozwala to włamywaczowi bez wysiłku poznać hasła WEP i konfigurację sieci. Zawsze zmieniaj domyślne hasła urządzeń dostępowych i ograniczaj dostęp do nich po adresach MAC lub adresach IP.
- Od czasu do czasu testuj bezpieczeństwo swojej sieci. Sprawdzaj czy nie pojawiły się nieautoryzowane stacje, czy w sieci nie pojawiają się nieszyfrowane pakiety i czy ESSID nie "wycieka" przez którąś ze stacji roboczych lub AP.
- Postaw AP za firewallem. Nie podłączaj AP bezpośrednio do okablowania strukturalnego lub serwera. Postaw go za firewallem, stosując choćby minimalne filtrowanie ruchu generowanego przez stacje, które - w razie włamania do WLAN - będą przecież należeć do włamywacza.
- Do ochrony poważnych danych stosuj poważne protokoły takie jak IPSec. WEP zawsze będzie zabezpieczeniem słabym, a do tego powoduje spadek wydajności WLAN. Jeśli w Twojej sieci przesyłane są ważne dane technologiczne lub biznesowe, rozważ skorzystanie z IPSec.
Rada na koniec: korzystaj ze wszystkich dostępnych zabezpieczeń na które możesz sobie pozwolić, choćby i najprostszych. Zabezpieczenie proste lub słabe jest zawsze lepsze niż żadne. Pamiętaj, że 90% skutecznych włamań do sieci WLAN jest rezultatem braku jakichkolwiek zabezpieczeń.
Polecamy także artykuł Sieć nie do ukrycia w Computer World.