1. Створюємо захищену wi-fi мережу

Створюємо захищену wi-fi мережу

На перший погляд, створити надійно захищену wi-fi мережу дуже важко. Необхідно придбати "правильне" обладнання, налаштувати сервер аутентифікації, подбати про облік інтернет трафіку і захисту від зовнішніх атак за допомогою фаєрвола.

Все це може відняти масу часу і грошових коштів. У даній статті я розповім про один з найдешевших і простих способів створення захищеної бездротової мережі з загальним виходом в Інтернет.
Частина 1. Трохи про безпеку
Причина уразливості бездротових мереж укладена в принципі їх роботи: перехопити дані, що передаються по радіоканалу, набагато легше, ніж при звичайному кабельному з'єднанні. Це не вимагає дорогого устаткування і піддається реалізації за допомогою звичайного ноутбука, пари хакерських утиліт (таких як airodump і aircrack) і хорошою інструкції по злому wi-fi (як наприклад тут). Тому бездротова мережа повинна бути максимально захищена від різного роду атак: несанкціонованих підключень, перехоплення і прослуховування трафіку, розкрадання важливої ​​інформації, "несправжніх" точок доступу і т.п.
На сьогоднішній день найбільш надійним для бездротових мереж визнаний стандарт безпеки WPA (Wi-Fi Protected Access). Початкову захист wi-fi мережі можна забезпечити за допомогою режиму WPA-PSK (Pre-Shared Key), коли на точці доступу і на комп'ютері користувача вручну вводиться ключ сеансу зв'язку - Pre-Shared Key, що нагадує звичайний пароль. Потенційна уразливість WPA-PSK виникає через те, що в реальних мережах ключова фраза рідко змінюється і однакова для всіх користувачів мережі. При наявності часу і потужного комп'ютера підібрати такий пароль не складе особливих труднощів.
Більш надійний захист мережі досягається при використанні режиму WPA Enterprise, коли в мережі встановлений сервер аутентифікації (RADIUS сервер), який здійснює перевірку прав доступу користувачів. В такому випадку бездротова точка доступу буде блокувати всі підключення до бездротової мережі до тих пір, поки що вводяться користувачем ім'я і пароль не пройдуть перевірку на сервері аутентифікації. Якщо користувача немає в базі даних RADIUS сервера, то він не зможе підключитися до wi-fi мережі.
Максимальний захист бездротової мережі забезпечує використання цифрових сертифікатів і методу аутентифікації EAP-TLS (Extensible Authentication Protocol - Transport Level Security). В такому випадку комп'ютер користувача і RADIUS сервер перевіряють один одного по заздалегідь згенерованих цифрових сертифікатах, що гарантовано захистить вашу мережу від несанкціонованих підключень, а користувачів - від впроваджуваних хакерами "несправжніх" точок доступу.
Для ще більш надійного захисту даних, що передаються можна створити зовнішню захисну оболонку бездротової мережі, використовуючи технологію VPN (Virtual Private Network) поверх WPA, що додасть другий рівень шифрування трафіку.
І, нарешті, захиститися від несанкціонованих точок доступу, таємно встановлюються вашими співробітниками, можна за допомогою спеціального мережевого устаткування, що вміє виявляти подібні пристрої і генерувати відповідні звіти.
Побудувати таку систему захисту бездротової мережі під силу небагатьом: потрібно, як мінімум, правильно налаштувати бездротову точку доступу і сервер авторизації RADIUS, створити Базу даних користувачів, розробити систему управління цією базою і цифровими сертифікатами, і найголовніше - об'єднати всі ці компоненти в єдину мережу .
Але, не дивлячись на складність, створити максимально захищену wi-fi мережу досить легко. Для цього необов'язково бути гуру в інфобезпеки і бездротових стандартах. Все можна зробити за годину-півтора, маючи:

• окремий комп'ютер;
  
• бездротову точку доступу, що підтримує WPA, WPA2 і авторизацію на RADIUS-сервері (дані характеристики точки доступу можна дізнатися з її документації або у консультантів в комп'ютерному магазині);
  
• програму Esomo, яка буде грати роль RADIUS сервера, а також сервера загального доступу в Інтернет. Офіційний сайт розробника програми: www.esomoline.com. Для захисту бездротової мережі Esomo використовує протокол EAP-TLS, що передбачає аутентифікацію користувачів на вбудованому RADIUS сервері та взаємну перевірку справжності між RADIUS сервером Esomo і комп'ютерами користувачів по цифрових сертифікатах.

Частина 2. Приклад створення захищеної бездротової мережі
Тепер розглянемо приклад організації локальної wi-fi мережі на базі Esomo. Мережа включає 11 комп'ютерів, бездротову точку доступу Linksys і підключена до Інтернету через ADSL модем.
Перш за все, викачуємо Esomo з сайту розробника (розмір дистрибутива 135 Мб) і встановлюємо серверну частину програми на окремий комп'ютер з двома мережевими картами. Це буде наш RADIUS сервер, а також VPN сервер і сервер доступу в Інтернет, що дозволяє обмежувати трафік користувачів, переглядати статистику доступу та витрат трафіку. Для роботи Esomo не потрібно операційна система, тому що до складу програми вже входить вільно розповсюджувана ОС FreeBSD. Покрокову інструкцію по установці Esomo Ви можете знайти тут.
Після установки програми підключаємо комп'ютер з Esomo і бездротову точку доступу до мережного комутатора. Через другий мережевий інтерфейс підключаємо сервер Esomo до ADSL-модему (або до кабелю, якщо у вас виділена лінія). На будь-якому Windows-комп'ютері локальної мережі (також підключеному до мережного комутатора) запускаємо Esomo АРМ і підключаємося до сервера Esomo.
Створити захищену бездротову мережу на базі Esomo можна за 4 простих кроки. Спочатку ми займемося налаштуванням Esomo для роботи з бездротовою мережею. Потім налаштуємо бездротову точку доступу і комп'ютери користувачів. І, нарешті, підключимося до wi-fi мережі та встановимо VPN-з'єднання з сервером Esomo для створення другого рівня захисту бездротового трафіку. Після цього можна безпечно працювати в wi-fi мережі та Інтернет. Отже, приступимо.
Крок 1. Налаштування сервера Esomo
Перш за все, видамо постійну IP-адресу бездротової точки доступу для роботи в нашій мережі. Для цього додамо точку доступу в список статичного DHCP (МАС-адреса точки доступу зазвичай вказаний в наклейці на ній). Застосуємо настройки.

Тепер додамо бездротову точку доступу до списку точок доступу на сервері Esomo і вкажемо для неї секретний ключ (пароль). Це необхідно для організації безпечного з'єднання між точкою доступу і Esomo. Застосуємо настройки.

Щоб користувачі мережі могли виходити в Інтернет, а Esomo враховувати їх трафік, необхідно створити тариф, який визначає вартість 1 Мб трафіку або 1 хвилини інтернет з'єднання. Для цього в розділі "Тарифи" додамо новий тариф, визначивши вартість 1 Мб вхідного трафіку, наприклад в 1 рубль.

Оскільки на момент написання статті Esomo дозволяє доступ в Інтернет тільки користувачам, які мають тариф і засоби на індивідуальному рахунку, зайдемо в розділ "Користувачі" і двічі клікнувши по користувачеві testuser дамо йому раніше створений тариф і додамо на його рахунок 500 рублів.

На цьому настройка сервера Esomo завершена. Ми залишаємо вікно Esomo АРМ відкритим і переходимо до налаштування бездротової точки доступу.
Крок 2. Налаштування бездротової точки доступу
Отримати доступ до бездротової мережі можна тільки після успішної авторизації на сервері Esomo, тому заздалегідь необхідно налаштувати бездротову точку доступу на роботу з RADIUS сервером. Для цього підключимося до точки доступу через веб-браузер за IP-адресою, який ми їй раніше привласнили через Esomo АРМ на вкладці "DHCP". Як режим роботи точки доступу вкажемо WPA-Enterprise, в якості протоколу шифрування - TKIP, як RADIUS сервера - IP-адреса комп'ютера з Esomo. Також перевіримо, щоб секретний ключ, прописаний в налаштуваннях точки доступу (Shared Secret) збігався з ключем, зазначеним для точки доступу в Esomo АРМ (розділ "Wi-Fi", вкладка "Точки доступу").
Нижче приведу скріншот з настройками точки доступу Linksys.

Крок 3. Налаштування комп'ютера користувача
Для двосторонньої перевірки автентичності між комп'ютером користувача і сервером Esomo необхідно встановити на ПК користувача цифрові сертифікати і налаштувати його бездротової адаптер на роботу по протоколу EAP-TLS.
Авторизація користувача на сервері Esomo відбувається за участю двох цифрових сертифікатів: кореневого і призначеного для користувача. Дані сертифікати необхідно отримати через Esomo АРМ і встановити на комп'ютер. Для цього зайдемо в розділ "Wi-Fi" на вкладку "Сертифікати" і збережемо на наш комп'ютер кореневий сертифікат і сертифікат користувача testuser.

Тепер встановимо отримані цифрові сертифікати. Для цього досить двічі кликнути мишею по сертифікату і слідувати вказівкам Майстра імпорту сертифікатів.

З установкою кореневого сертифіката не повинно виникнути ніяких складнощів: залиште все настройки за замовчуванням і просто натискайте кнопки "Далі" і "Готово". А ось в процесі установки сертифіката для користувача testuser необхідно буде ввести пароль testuser, яким захищений цей сертифікат.

На сервері Esomo вже присутні готові сертифікати, тому туди встановлювати нічого не потрібно.
Далі налаштуємо бездротової мережевий адаптер нашого ПК на роботу з RADIUS сервером Esomo по протоколу EAP-TLS. Для цього в настройках бездротового адаптера вкажемо використовувати шифрування TKIP і перевірку автентичності по протоколу WPA допомогою цифрових сертифікатів.


Зі списку довірених кореневих центрів сертифікації виберемо встановлений раніше на наш комп'ютер кореневий сертифікат.

Отже, всі налаштування завершені і бездротова мережа готова до роботи. Відключаємо наш комп'ютер від мережевого комутатора і намагаємося підключитися до wi-fi мережі. Після пошуку доступних мереж бездротового адаптер виявить нашу захищену мережу. Після успішної аутентифікації по цифрових сертифікатах і перевірки на RADIUS-сервері наш комп'ютер підключиться до wi-fi мережі. Залишилося зробити останній крок на шляху до суперзащіте нашої бездротової мережі.
Крок 4. Створення другого рівня захисту - установка VPN з'єднання з шифруванням трафіку
Максимальний захист бездротового трафіку в мережі з Esomo досягається за рахунок використання технології VPN поверх вже встановленого бездротового з'єднання по протоколу WPA, що додає другий рівень шифрування трафіку. Створення VPN-з'єднання між комп'ютером користувача і сервером Esomo відбувається автоматично. Потрібно всього лише відкрити веб-браузер і набрати адресу будь-якого існуючого сайту, наприклад, www.google.ru. На сторінці авторизації Esomo в обох полях форми введемо testuser і натиснемо кнопку "З'єднати".

Після успішної перевірки логіна і пароля між нашим ПК і сервером Esomo встановиться VPN з'єднання. Тепер можна безпечно працювати в Інтернеті. Весь переданий трафік буде шифруватися не тільки засобами WPA, але і VPN. А через Esomo АРМ в будь-який час можна подивитися статистику "накоченому" трафіку і за пару кліків імпортувати її в MS Excel.
Перевіривши, що все працює, підключимо інші комп'ютери до бездротової мережі і надамо користувачам доступ в Інтернет. Для цього створимо нових користувачів через Esomo АРМ, дамо їм доданий раніше тариф. Потім створимо для цих користувачів цифрові сертифікати і встановимо на комп'ютер кожного користувача кореневий сертифікат і його власний користувальницький сертифікат. Також не забудьте налаштувати бездротовий адаптер на комп'ютері кожного користувача для роботи з RADIUS сервером по протоколу EAP-TLS.
На цьому налаштування бездротової мережі з загальним доступом в Інтернет повністю завершена. На все про все у мене пішло менше двох годин. Погодьтеся, що за допомогою інших засобів було б проблематично організувати добре захищену wi-fi мережу з такими мінімальними витратами часу і сил. При цьому Esomo відмінно працює як RADIUS сервер і сервер доступу в Інтернет не тільки в wi-fi мережах, але і в дротяних і змішаних ЛАН, коли одні сегменти мережі об'єднані за допомогою кабелю, а інші за допомогою wi-fi.