Паранойя сетевой безопасности.
Вы считаете, что у вас нет паранойи? Значит, она у вас точно есть! ;)
Будем лечить! Оказывается, что «менее» защищенная сеть (домашняя! Не корпоративная!) на практике является более защищенной, при определенных условиях и обстоятельствах. Чтобы это доказать, надо, как говориться, снять и показать...
Наберитесь терпения и прочитайте два старых анекдота:
Еойшм тидис у акно и товориг:
- Аарс, ыт иакт иосмотрп! Нов тдеи Ксааи ос йвоес йюбимол йенщинож!
Аарс тодбегаеп, тмотрис в окно и товориг:
- Курад ыт, Еойшм, но еж oc йвоес йенож тдеи!
- А я отч лказас?
Идет муравей по джунглям, встречает слониху и говорит:
- Мы, муравьи, всю жизнь вкалываем, все в муравейник тащим, строим, добываем. А благодарности никакой - ни отпусков, ни перерывов, ни развлечений. Можно я хоть раз с тобой?.. Ну, эта... Развлекусь...
Слониха усмехнулась и кивнула. И муравей полез делать свое дело. А стояли они под пальмой. И в «процессе» подул порыв ветра, и кокос упал слонихе на голову.
- Ой! - воскликнула слониха. Муравей ответил:
- Сдпоз, лякъчйя, сдпоз!
В левом анекдоте «закодировано» каждое слово. В правом только 3 (даже 2) слова - остальные набраны «открытым текстом».
Сколько слов/предложений/времени вам потребовалось, чтоб разгадать «код» левого анекдота?
И как быстро вы осознали до конца смысл кода нескольких слов из правого анекдота?
Вот, собственно, и все доказательство.
Иными словами, доказанную непрямым методом теорему, можно сформулировать так:
1. Постоянное использование кода имеет больше шансов быть «взломанным», чем эпизодическое.
2. Дополнение: Совмещение кодов, т.е. дополнительное «сильное» кодирование малой части информации в большом количестве «слабо»-кодированной информации равносильно тому, что большое количество информации НЕ закодировано.
3. Следствие 1: Хроническое кодирование всего подряд неменяющимся кодом требует больше вычилительных ресурсов от «переговаривающихся» устройств => меньше производительность и больше затраты энергии.
4. Следствие 2: Использование закономерно меняющегося кода тоже может быть взломано с течением времени.
5. Следствие 3: Использовние кода с человеческой интеракцией снижает устойчивость сети и, помимо увеличения затрат вычилительных ресурсов, требует и затрат человеческого ресурса (как правило, более дорогого и менее надежного).
Например, код WEP кодировки может быть взломан за период времени от 15 минут до суток - в зависимости от скорости сети и интенсивности обмена данными. Код WPA более устойчив и требует больше времени, чтоб быть взломанным - TKIP подвел. WPA2 пока еще не поломали... Но и это решаемая задача. :) Как часто вы меняете код своей беспроводной сети? Раз в неделю? В месяц? В год? Про качество самого кода даже нет смысла спрашивать - от 1 до 0 и далее, название фирмы + цифры, ваше имя + цифры...
Так или иначе, по истечении определенного времени работы сети она уже НЕ закодирована для заинтересованного (под)слушивателя.
Что же это за условия, при которых код может быть взломан?
- Сеть должна быть очень активна (прокачивать много траффика).
- Точка доступа должна быть явно видна (открыто вещать своё имя).
- Точка доступа должна «принимать» «чужие» адреса МАС, а DHCP сервер должен выдавать (иметь свободными) адреса IP. Но это нужно только для активного копания во взломанной сети. Для «прослущивания» этот пункт не актуален.
- Не WPA2 код (пока, временно, скоро и его поломают).
Чего вы боитесь в незащищенной сети?
- Что кто-то узнает, сколько порно вы накачали из сети на ской комп.
- Что кто-то посмотрит ваши Favorites.
- Что кто-то прочитает ваши мейлы ни-о-чем и поймет, что самый страшный секрет в том, что секрета нет!
- Вы действительно набрали кучу компромата на конкурентов. Причем компромат добыт нелегально. Да еще и кучу программ наворовали. А кругом агенты Б.Г. (Билл Гейтс, который) - и они вас ищут!
Почему «незащищенная» (читай - незакодированная) сеть более защищена?
- Незакодированная сеть менее интересна «профессиональным» хакерам. Не ломиться же в открытую дверь! Сеть открыта - значит хозяевам нечего скрывать. А если уж сеть «заказали», то никакой код не спасет.
- Закодированная сеть интересна не только хакерам, но и «любителям», сетевым вандалам. Даже не ради того, чтоб узнать, что в ней «спрятано», а просто чтоб сломать. Сетевые вандалы подсчитывают сети, которые сломали, как подростки считают девушек с которыми переспали.
Как сделать свою беспроводную сеть достаточно безопасной, быстрой и надежной?
- Запретить точке доступа вещать (broadcasting) своё имя (SSID).
- Запретить доступ всем МАС адресам, кроме известных вам (см. МАС адреса своих сетевых устройств - компов, КПК, телефонов с вай-фаем, и пр.)
- Ограничить DHCP сервер в выдаче IP адресов: либо жестко прошить какому МАСу давать какой IP + запретить динамическое распределение адресов, либо просто сказать серверу не выдавать более, чем Х адресов, где Х = числу ваших сетевых устройств (хотя такое ограничение довольно слабое). DHCP сервер может быть частью точки доступа (Access point, AP), раутера (маршрутизатора) или свитча (коммутатора). А может быть и отдельным устройством - редко в домашней сети.
- Если уж ваша паранойя неизлечима, поставьте кодировку сети, но только WPA2. А теперь следите за периодикой на тему «WPA2 взломан»! Убедились, что вы параноик? :)
Почему же в корпоративной сети все-таки стоит применять кодировку? В отличие от домашней сети?
- В крупных фирмах используют более мощные точки доступа, для которых дополнительное сложное кодирование не оказывает влияния на устойчивость и скорость работы.
- В крупных фирмах в сети сидят одновременно очень много устройств. И у каждого свой код. Разобраться в таком «шуме» нетривиально даже хакеру. Приходиться подолгу выстраивать фильтры, чтоб найти что-то полезное.
- Помимо обычного обмена ключами происходит «опрос» пользователей по имени и паролю при входе в сеть и периодически во время работы. Для юзеров это незаметно, а для сети безопасно.- На серверах корпоративной сети (и только там) стоит держать важную и чувствительную информацию. Чтоб добраться до сервера надо сломать сеть и стать ее активным клиентом. А с учетом 3-х пунктов выше - это непросто.
- В корпоративной сети есть автоматические или полуавтоматические механизмы периодической смены ключей, паролей, кодов. При этом все клиенты корпоративки апдейтятся автоматически и без ошибок.
В левом анекдоте в каждом слове первая и последняя буква поменяны местами.
В правом анекдоте в последнем предложении каждая буква заменена на букву, стоящую слева в алфавите.