Защитить Wi-Fi, как повысить безопасность беспроводной сети?

Пользоваться Интернетом гораздо удобнее, имея дома Wi-Fi. Но позаботились ли вы о безопасности своей сети?

Ищете надёжный VPN-Сервис?

Тогда у нас для вас есть отличное предложение. CactusVPN предлагает высококачественные VPN-услуги, среди которых шифрование на военном уровне, круглосуточная поддержку, функция Kill Switch, более 30 высокоскоростных серверов с неограниченной пропускной способностью, а также до шести VPN-протоколов на выбор. Более того, мы не записываем ваши данные, и наш Сервис работает на нескольких платформах.

И если вы захотите попробовать другие способы разблокировки веб-сайтов, мы также предлагаем услугу Smart DNS, которая открывает доступ к более 300 сайтов. Кроме всего прочего, все наши VPN-серверы дополняются прокси-серверами.

Специальное предложение! Получите CactusVPN за 3.5$ в месяц!

Ищете надёжный VPN-Сервис?

И как только вы станете клиентом CactusVPN, у вас будет 30-дневная гарантия возврата денег.

Сэкономьте 64% сейчас

Как защитить домашние сети WiFi

Прежде чем переходить к вопросу, как защитить частную домашнюю WiFi сеть, следует понять, как она работает. Итак, для организации домашней беспроводной сети, как правило, используется роутер, который выполняет функции точки доступа. Для того чтобы стать участником группы необходимо подключиться к нему.

Это говорит о том, что для защиты конфиденциальной информации необходимо закрыть доступ к роутеру посторонним людям. Как это делается? Здесь есть несколько пунктов:

  • Длинный и сложный пароль для входа в меню настроек роутера.
  • Надежный пароль для подключения к вай-фай сети.
  • Выбор безопасного типа шифрования.
  • Использование MAC-фильтра.
  • Настройки доступа в операционной системе.

Как видим настроек безопасности достаточно много. Это необходимо, так как от этого зависит защита конфиденциальности вай-фай сети. При этом большинство из них находятся в параметрах роутера.

Итак, давайте разберем все эти пункты по порядку.

Как заблокировать беспроводной доступ с помощью групповой политики

Если вы хотите полностью запретить вашим пользователям подключаться к Wi-Fi сетям, пропустите шаг 6 в процедуре создания доверенного списка сетей, просто включите опции “Prevent connections to ad-hoc networks” и “Prevent connections to infrastructure networks”.

Теперь пользователи не смогут подключиться ни к одной из доступных беспроводных сетей, а при попытке подключения будут получать сообщение “Your network administrator has blocked you from connecting to this network”.

Аналогичные операции можно выполнить и без помощи групповых политик, подробности в статье  Настраиваем фильтрацию Wi-Fi сетей в Windows 8  с помощью команды netsh.

Читайте также:  Windows: как добавить что-либо в PATH

По теме еще можно познакомиться со статьями: «Точка доступа WiFi на базе Windows 7«, «Создаем Wi-Fi точку доступа на Windows 8«, «Управление WiFi подключениями из командной строки Windows 8«

Процедура взлома Wi-Fi

Для максимально быстрого взлома близлежащих сетей Wifite2 использует простую, но достаточно эффективную процедуру. Он доводит каждую тактику, которую пытается применить, до предела ее практического применения, может даже зайти так далеко, что будет пытаться взломать любые входящие рукопожатия.

Первым делом Wifite2 сканирует все каналы в поисках всех сетей в зоне покрытия. Затем он ранжирует найденные сети по уровню сигнала, поскольку факт обнаружения сети совершенно не гарантирует надежную связь с ним.

Кроме сортировки обнаруженных сетей в порядке убывания сигнала, этап разведки включает в себя сбор информации о том, к каким методам взлома эти сети могут быть уязвимы.

Благодаря организации Wifite2 можно легко добавить направленную Wi-Fi антенну, и использовать Wifite2 для определения местоположения источника любой ближайшей Wi-Fi сети при проведении сканирования окрестностей.

После завершения сканирования округи все отраженные цели будут также содержать информацию о том, подключены ли к ним клиенты, объявляет ли сеть об использовании WPS, и какой тип шифрования использует сеть. Исходя из этого, хакер на основе собранной информации выбирает для атаки любую цель, группу или все цели.

Wifite2 пройдет по всему списку целей, начиная с самых быстрых и простых атак, таких как WPS-Pixie, которые в считанные секунды могут взломать пароль, до менее надежных тактик, вроде проверок на использование слабых паролей с помощью «атаки по словарю». Если атака не удается или ее завершение занимает слишком много времени, то Wifite2 перейдет к следующей возможной в конкретном случае атаке, чтобы не терять времени, как это делал его предшественник.

Поиск данных DNS-запросов

Для передачи зашифрованного интернет-трафика (HTTPS) по умолчанию используется TCP-порт 443. Поэтому для того, чтобы понять, какие веб-сайты просматривает выбранный пользователь, на первый взгляд было бы логично воспользоваться фильтром отображения « == 443». Но это обычно приводит к получению большого списка необработанных IP-адресов (в цифровом виде) в столбце назначения, что не очень удобно для быстрой идентификации доменов. Фактически, более эффективным способом для идентификации веб-сайтов, отправляющих и получающих зашифрованные данные, является фильтрация DNS-запросов.

Система доменных имен (Domain Name System, DNS) используется для преобразования имен веб-сайтов в машиночитаемые IP-адреса, такие как «». Таким образом, когда мы посещаем, к примеру, такой домен, как «», наш компьютер преобразует понятное человеку доменное имя в IP-адрес. Это происходит каждый раз, когда мы используем доменное имя для просмотра веб-сайтов, отправки электронной почты или общения онлайн.

Читайте также:  iPhone 11/X(s/r)/8/7/6 не обновляется iOS по воздуху или через iTunes

Поиск DNS-запросов в файле с разрешением «.cap» (с перехваченным беспроводным трафиком) поможет злоумышленникам понять, какие веб-сайты часто посещают люди, подключенные к целевому маршрутизатору. Злоумышленники также смогут увидеть доменные имена, принадлежащие веб-сайтам, которые получают и отправляют зашифрованные данные на такие веб-сайты, как Facebook, Twitter и Google.

Чтобы использовать фильтр для получения данных, содержащих DNS-запросы, введите приведенную ниже строку в поле ввода фильтра отображения Wireshark:

«dns»

Рисунок 16. Скриншот примера использования фильтра отображения для идентификации данных DNS-запросов в Wireshark

Анализ DNS-запросов может дать некоторую интересную информацию. К примеру, если вернуться к нашему практическому примеру, то мы можем увидеть (смотрите рисунок 16), что пользователь целевого маршрутизатора часто просматривает туристические сайты, такие как «» и «». И с большой долей вероятности это может означать, что пользователь скоро будет отсутствовать дома в течение длительного периода времени.

Сами данные зашифрованы, поэтому таким образом злоумышленники не смогут узнать ни время отъезда, ни место назначения. Но злоумышленники могут использовать информацию, полученную благодаря анализу DNS-запросов, для оттачивания методов социальной инженерии, направленных на этого пользователя, с целью получения от него личной и/или финансовой информации.

Например, если среди DNS-запросов был обнаружен домен веб-сайта одного из банков, то хакеры могли бы попытаться подделать электронное письмо от этого банка, в котором бы сообщалось, что только что произошла крупная транзакция по кредитной карте Expedia. Это поддельное письмо также могло бы содержать некую дополнительную информацию, собранную в ходе анализа беспроводного трафика и нацеленную непосредственно на жертву, чтобы заставить его или ее зайти по ссылке на поддельный веб-сайт банка (который на самом деле контролируется злоумышленником и предназначен для сбора банковских учетных данных).

Отключите удалённое администрирование

Для удобства технической поддержки (в основном) во многих бытовых роутерах реализована функция удалённого администрирования, при помощи которой настройки роутера становятся доступны через интернет. Поэтому, если мы не хотим проникновения извне, эту функцию лучше отключить.

При этом, однако, остаётся возможность зайти в веб-интерфейс через Wi-Fi, если злоумышленник находится в поле действия вашей сети и знает логин и пароль. В некоторых роутерах есть функция ограничить доступ к панели только при наличии проводного подключения, однако, к сожалению, эта опция встречается довольно редко.

Отключение DHCP сервера

Есть один интересный момент, который вы можете проделать в настройках роутера. Найдите там пункт DHCP-сервер и выключите его, обычно он находится в настройках LAN-сети.

Читайте также:  Как управлять группами и пользователями в Linux

Таким образом, пользователи, которые захотят к вам подключиться должны будут ввести соответствующий адрес, указываемый вами в настройках роутера. Обычно IP-адрес стоит такой: , тогда вы можете поменять его на любой другой, например, Заметьте, что с других ваших устройств вы тоже должны указать этот адрес.

Ну вот мы и разобрались с повышением безопасности беспроводной сети Wi-Fi. Теперь вы можете не бояться, что вашу сеть взломают, а информация будет утеряна. Я думаю, использование хотя бы нескольких способов из этой статьи сильно повысят безопасность Wi-Fi.

Заключение

Когда я писал эту статью, то ставил перед собой цель помочь читателям как можно быстрее получить практический результат с нуля и почти без ущерба для понимания сути процесса. Мне хотелось уместить в одну публикацию все для мощного старта и зажечь искру интереса, которая подвигнет на самостоятельное продолжение.

На курсах по пентестам я не раз обращал внимание, что за свои кровные вы получаете инфу не первой свежести. В ответ преподаватели обычно говорили, что рассказывают основы, суть не меняется годами, поэтому вы уж сами погуглите и доработайте наши материалы напильником. На мой взгляд, суть как раз в деталях, а они меняются очень быстро. Надеюсь, мой вымученный конспект поможет набрать крутизны вашей кривой обучения.

Сделайте вашу сеть Wi-Fi невидимой

В настройках роутера скройте имя сети. Ваша сеть Wi-Fi не будет отображаться в списке доступных беспроводных сетей. Обнаружить ее без специального программного обеспечения будет невозможно.

Интерфейсы роутеров различаются в зависимости от производителя, конкретной модели и версии прошивки. Чтобы ориентироваться в настройках роутера, используйте руководство пользователя для вашей модели. Как правило, оно прилагается к роутеру, или вы можете скачать его на сайте производителя устройства.

Для примера мы показываем настройку роутера TP-Link TL-WR841N. Чтобы сделать сеть Wi-Fi невидимой для прочих устройств:

Сделайте вашу сеть Wi-Fi невидимой
  1. Введите IP-адрес роутера в адресную строку браузера. Вы попадете на страницу авторизации к настройкам роутера. IP‑адрес роутера указан на задней стороне устройства и в руководстве пользователя.
  2. На странице авторизации введите логин и пароль. Если вы не меняли их, они указаны на задней стороне роутера.
  3. На странице настроек роутера перейдите в раздел Беспроводной режим → Основные настройки (Wireless → Basic Settings ).
  4. Снимите флажок Включить широковещание SSID (Enable SSID Broadcast ).
  5. Нажмите Сохранить (Save ).

Ваша сеть Wi-Fi будет невидима для прочих устройств.