Текст книги "Анонимность и безопасность в Интернете. От «чайника» к пользователю"

В качестве дополнительного барьера можно указать список MAC-адресов сетевых адаптеров компьютеров, которые смогут получить доступ к вашему маршрутизатору. Нужно отметить, что фильтрация MAC-адресов не обеспечивает надежной защиты. Опытный злоумышленник всегда сможет перехватить MAC-адреса и подменить свой адрес одним из разрешенных адресов. Зато фильтрация MAC-адресов эффективно срабатывает против дилетантов. Это как сигнализация в автомобиле – какая бы она ни была хорошая, опытный злоумышленник обойдет ее, а вот дилетанты и близко к машине не подойдут.

Примечание

Вы немного удивлены, что MAC-адрес можно перехватить и изменить? Перехват MAC-адресов сетевых адаптеров, работающих в беспроводной сети, возможен, если злоумышленник находится в радиусе действия сети. Поскольку пакеты передаются "по воздуху", перехватить их с помощью специальной программы (например, NetStumbler) – вообще не проблема. Что же касается изменения MAC-адреса, то это – довольно-таки тривиальная задача для квалифицированного пользователя, причем в любой операционной системе. Как изменять MAC-адрес, показывать я не буду, – книга посвящена защите, а не взлому беспроводной сети.

Рис. 8.8. Фильтрация по MAC-адресам

Добавить MAC-адреса в список разрешенных можно в разделе General Setup | Wireless | MAC Address Filtering (рис. 8.8). Как видите, пока не добавлено ни одного MAC-адреса. Для добавления адреса установите флажок Enable Wireless Access Control, затем введите MAC-адрес и нажмите кнопку Add. Добавив нужное количество адресов (всего их можно добавить 20), нажмите кнопку Apply, чтобы изменения вступили в силу.

Некоторые маршрутизаторы дают возможность понизить мощность передачи, что позволяет снизить число как преднамеренных, так и случайных несанкционированных подключений к сети. Понизив мощность передачи, можно добиться того, что точка доступа будет доступна только в пределах вашей квартиры. Вообще-то, использование мощной направленной антенны, позволяющей обнаружить даже самый слабый сигнал, сведет на нет все ваши старания, но, во всяком случае, от случайных подключений к своей сети вы себя оградите.

После понижения мощности передачи запустите на компьютере программу мониторинга уровня сигнала (подойдет NetStumbler, http://www.netstumbler.com/) и исследуйте этот уровень в различных зонах вашего помещения. Если у граничных стен сигнал слабый, можно его еще понизить так, чтобы у границ вашей территории сигнала вообще не было. Однако после этого следует произвести повторное исследование уровня сигнала, чтобы убедиться, что беспроводная сеть есть там, где она должна быть.

Если у вас частный дом или отдельно стоящее офисное здание, выйдите из него и обойдите с ноутбуком здание вокруг – cигнала за его пределами быть не должно. Только так вы можете быть уверены, что никто случайно не подключится к вашей сети. Намеренное подключение с использованием направленных антенн, сигнал которых может проникать даже через стены вашего здания, исключать все же не стоит. Поэтому не нужно думать, что если вы понизили до минимума мощность передатчика маршрутизатора, то к вашей сети никто не сможет подключиться, и можно игнорировать остальные правила безопасности!

Параметр Tx Power (см. рис. 8.5) – это как раз и есть мощность передатчика. Уменьшите ее, затем (с помощью программы NetStumbler) убедитесь, что беспроводная сеть есть в вашем помещении – во всех необходимых местах (проверьте силу и качество сигнала по всему помещению). В идеале за пределами вашего помещения сила сигнала должна быть минимальной, но добиться этого получается далеко не всегда.

Вы работаете ночью? Нет? Тогда выключайте маршрутизатор, когда не работаете. Можно настроить автоматическое выключение, а можно выключать все самому, – так вы на 100 % будете уверены, что никто не проникнет в вашу сеть. Заодно и сэкономите электроэнергию. К тому же отключение маршрутизатора имеет и третье преимущество (первое – безопасность, второе – экономия). Маршрутизаторы, особенно наружные и без громоотвода, желательно выключать во время грозы, иначе разряд молнии может вывести из строя само устройство и оборудование, к которому оно подключено (например, коммутатор). Днем вы сразу заметите грозу и успеете выключить устройство. А вот ночью отключить его может не получиться – дома вы будете спать и вряд ли о нем вспомните. Если же устройство установлено в офисе, то тем более – вы не поедете в грозу на работу, чтобы его выключить.

Как уже было отмечено, все современные версии беспроводных маршрутизаторов поддерживают протокол шифрования WPA. Устаревшие же версии поддерживают только WEP. Иногда с помощью обновления прошивки удается добавить маршрутизатору поддержку WPA. Удается, но не всегда – далеко не все производители устройств выпускают прошивки для своих устаревших моделей.

Но даже если у вас самое современное устройство, все равно рекомендуется зайти на сайт производителя – вдруг обнаружится свежая версия прошивки. Дело в том, что в новой версии прошивки могут быть устранены ошибки, имеющиеся в ее текущей версии, а также добавлены новые методы шифрования. Одним словом, обновление прошивки – дело полезное.

Выполнить прошивку можно в сервисном центре – это одно из самых правильных решений. Если сервисный центр находится далеко или нет возможности на долгое время отключить беспроводную сеть, тогда инструкцию по перепрошивке можно скачать с сайта ее производителя. Там же можно скачать и новую версию прошивки.

Все современные беспроводные маршрутизаторы оснащены брандмауэром. Не исключение и рассматриваемый маршрутизатор – настройки брандмауэра находятся в разделе General Setup | Advanced Settings | Firewall (рис. 8.9). Да, возможности настройки встроенного брандмауэра маршрутизатора обычно оставляют желать лучшего – уж больно все просто. А все это из-за погони за легкостью – дабы обычный пользователь не испугался огромного числа параметров. А с другой стороны, перед нами устройство для домашнего, а не корпоративного применения, поэтому не следует ждать от него гибкости в настройке. Примечательно, что большая часть подобных маршрутизаторов работает под управлением ОС Linux, но брандмауэры маршрутизаторов – максимально урезанные и не дотягивают до стандартного брандмауэра Linux (iptables).

Рис. 8.9. Настройка брандмауэра маршрутизатора

В погоне за легкостью настройки разработчики нашего маршрутизатора оставили нам немного:

Access Control – управление доступом. Вы можете ограничить доступ по MAC-адресу или же по IP-адресу. При указании MAC-адреса вы можете только разрешить или запретить доступ этого компьютера к сети, а в случае с IP-адресом – даже указать разрешенный диапазон портов. В большинстве случаев управление доступом применяется редко. Его следует включать только, если вы развернули дома (пусть даже для экспериментов) небольшой сервер (например, веб-сервер) и хотите разрешить к нему доступ из Интернета. С одной стороны, можно таким образом получить доступ к файлам на домашнем компьютере из любой точки земного шара. С другой стороны, для хранения личных файлов дешевле купить хостинг на каком-нибудь публичном сервере. Тогда не придется обеспечивать бесперебойную работу домашнего компьютера. Тем более, что цены на хостинг постоянно падают. Хороший хостинг на 4,5 Гбайт можно купить всего за 7 долларов в месяц…

URL Blocking – задает черный список интернет-адресов, доступ к которым будет закрыт. Можно использовать, чтобы ограничить доступ детей к сайтам, которые вы считаете «плохими». Но помните, что если эта книга попадет в руки вашему ребенку, он без проблем обойдет блокировку URL с помощью Tor;

DoS – позволяет включить защиту от разного вида атак на отказ (Ping of Death, Sync Flod) и защитить сеть от сканирования портов. На мой взгляд, довольно полезные функции. Использовать их или нет – решайте сами, на своем маршрутизаторе я только запретил сканирование портов – с его помощью можно вычислить открытые порты.

В своей домашней сети я заменил службу общих ресурсов Windows на FTP-сервер. Конечно, общие ресурсы – это не только обмен файлами, но еще и общие принтеры. Однако необходимости в разделении принтера у меня нет – я могу распечатать документ с того компьютера, к которому подключен принтер. В конце-концов, площадь помещения не 500 квадратных метров, и особого труда не составит перейти в соседнюю комнату. Так что мне, как и большинству домашних пользователей, общий доступ к принтеру ни к чему.

Но обмениваться файлами между компьютерами мне нужно. Для этого я и развернул FTP-сервер, который в моей сети стал использоваться вместо службы общего доступа к файлам. На такую замену я пошел сознательно, и тому есть несколько причин.

✓ Во-первых, в моей сети, хотя она и домашняя, используются несколько операционных систем: Windows XP, Windows Vista, Windows 7, разные дистрибутивы Linux и Mac OS X. Не всегда получается настроить службу общего доступа в Windows и ее аналоги в других системах так, чтобы обмен файлами работал. Иногда проще перезагрузиться в другую операционную систему, чем разбираться, почему не происходит подключение к общему диску, особенно, если накануне все работало нормально. Другими словами, возникла потребность в универсальном способе передачи файлов, который бы работал в любой операционной системе. Конечно, не у каждого в домашней сети установлены такие разношерстные операционные системы, и поэтому для некоторых читателей универсальность не будет на первом месте.

✓ Во-вторых, скорость передачи файлов по FTP выше, чем с использованием службы общего доступа, что заметно при передаче больших файлов.

✓ В-третьих, вандалы, ворвавшиеся в вашу сеть, первым делом ищут общие ресурсы, но здесь они ничего не найдут, поскольку таковых ресурсов на ваших компьютерах не будет. А FTP-сервер ко всему прочему можно запустить на нестандартном порту, номер которого будете знать только вы (у меня FTP использует порт 2100).

Мой FTP-сервер работает на компьютере под управлением Linux. Понимаю, что не всем знакома эта операционная система, поэтому здесь мы рассмотрим решение для Windows-компьютеров. Самый простой и удобный FTP-сервер, с которым мне приходилось работать в Windows, – FileZilla Server, скачать который можно по адресу: http://filezilla-project.org/download.php?type=server. Устанавливается программа безо всяких проблем.

Совет

Перед использованием FileZilla Server отключите на всех компьютерах службу Сервер – она обеспечивает поддержку общего доступа к файлам и принтерам. Эта служба не влияет на работу FTP-сервера, но отключить ее нужно до того, как вы настроите FTP, иначе вы о ней забудете, и лишняя "дыра" останется.

Для отключения службы Сервер нажмите кнопку Пуск, введите команду services.msc, нажмите клавишу <Enter>. Затем найдите в списке служб Сервер, щелкните на этой службе двойным щелчком и в открывшемся окне выберите из списка Тип запуска значение Отключена. Нажмите кнопку OK.

После установки FileZilla Server запустите интерфейс управления программой: Пуск | Все программы | FileZilla Server | FileZilla Server Interface (рис. 8.10). По умолчанию у администратора сервера нет пароля, поэтому просто нажмите OK, когда увидите окно регистрации на сервере.

Рис. 8.10. FileZilla Server Interface

Первым делом следует изменить пароль администратора. Для этого выберите команду Edit | Settings, в открывшемся окне перейдите в раздел Admin Interface settings (рис. 8.11), установите флажок Change admin password и введите новый пароль и его подтверждение.

Затем нужно создать пользователей, которым разрешено подключаться к нашему будущему серверу. Так как сеть у нас домашняя, вполне хватит и одного пользователя, пароль которого вы пропишете в каждом FTP-клиенте на каждом компьютере вашей сети – так вам будет проще его запомнить. Дома нет особой необходимости заводить отдельного FTP-пользователя для каждого родственника.

Рис. 8.11. Изменение пароля администратора

Рис. 8.12. Создание учетной записи и установка ее параметров

Выберите команду Edit | Users. В открывшемся окне (рис. 8.12) нажмите кнопку Add для добавления пользователя, введите имя пользователя, установите для него флажок Enable account (этим вы активируете учетную запись), установите флажок Password и введите пароль. Если параметрPassword выключен, доступ будет производиться без пароля, а это не очень хорошо – помните о возможной «оккупации» вашей сети.

Создав учетную запись пользователя, выберите учетную запись guest и снимите для нее флажок Enable account – этим вы отключите гостевую учетную запись. Она нам просто не нужна.

Затем перейдите в раздел Shared folders (рис. 8.13). Здесь указываются папки, к которым будет обеспечен доступ по FTP. Нажмите кнопку Add в области Shared folders и выберите существующий каталог, в котором будут храниться доступные по FTP файлы. Затем в области Users выберите созданную учетную запись и установите для нее права доступа. В области Files устанавливаются права доступа конкретного пользователя к файлам из выбранного общего каталога, а в области Directories – к подкаталогам. Учитывая, что сервер создается для себя любимого, не будем себя ограничивать – разрешите себе все действия.

Рис. 8.13. Установка общей папки и прав доступа к ней

Теперь командой Edit | Settings снова откройте окно параметров (рис. 8.14) и в поле Listen on theese ports впишите нестандартный номер порта (лучше устанавливать номер, превышающий значение 1024). Я установил номер 2100.

Рис. 8.14. Установка нестандартного порта для FTP-сервера

Почти все готово. Мы проделали основную работу по настройке домашнего FTP-сервера, а именно:

✓ установили пароль для доступа к интерфейсу администратора;

✓ создали учетную запись и установили для нее пароль;

✓ отключили гостевую учетную запись;

✓ выбрали общие папки и установили к ним права доступа;

✓ установили нестандартный номер порта.

Осталось только испытать наш FTP-сервер в действии. Запустите любой FTP-клиент (я рекомендую FileZilla) и подключитесь к нашему серверу по его IP-адресу. Укажите введенные имя пользователя, пароль и номер порта (рис. 8.15).

Рис. 8.15. Мы подключились к домашнему FTP-серверу

Но еще и это не все. Дело в том, что DHCP-сервер маршрутизатора каждый раз присваивает компьютерам сети другие адреса, и сегодня у нашего сервера может быть IP-адрес 192.168.2.100, а завтра 192.168.2.101 – все зависит от того, в какой последовательности вы включите компьютеры, что немного неудобно, ведь при каждом подключении к серверу нужно будет проверять его IP-адрес.

Чтобы избежать подобного, заставьте маршрутизатор выделять один и тот же IP-адрес компьютеру с заданным MAC-адресом. Узнать MAC-адрес сетевого адаптера довольно просто. Откройте командную строку (Пуск | Все программы | Стандартные | Командная строка) и введите команду: ipconfig /all.

В выводе этой команды будет много разной информации, нас интересуют параметры вашего беспроводного адаптера:

Физический адрес – это и есть MAC-адрес вашего компьютера. Откройте панель управления маршрутизатором и найдите раздел, в котором можно задать IP-адрес статически.

Для маршрутизатора Edimax следует перейти в раздел General Setup | LAN (рис. 8.16). Здесь установите флажок Enable Static DHCP Leases и впишите MAC-адрес и соответствующий ему IP-адрес. Затем нажмите кнопку Add и, убедившись, что добавление произошло, кнопку Apply.

Вот теперь вы можете приступить к полноценному использованию своего FTP-сервера.

Рис. 8.16. Статическая аренда IP-адреса

Глава 9. Хороший пароль. Как защитить свою страничку в социальной сети от кражи?

Многие пользователи используют пароли вроде 1, 1234, qwerty, а потом удивляются, почему их почтовый ящик или страничка в социальной сети взломана. Ответ прост – к ней подобрали пароль. Причем злоумышленнику было это сделать очень просто (точнее программе, которую запустил хакер, не пришлось долго работать) – такие пароли подбираются очень быстро.

Некоторые сервисы не позволяют вводить слишком простые пароли – например, ограничивают их по минимальной длине и требуют наличия в пароле как букв, так и цифр. Но пользователи и тут выкрутились. Например, если требуется длина 8 символов, то вводят пароль 12345678, а если требуется наличие как букв, так и цифр, – qwerty11. Но все это неправильные пароли.

Существует два основных способа подбора пароля: по словарю и методом грубой силы (от англ. brute force). Первый способ заключается в использовании словаря наиболее популярных слов – программа последовательно перебирает весь свой словарь. Если пароля нет в словаре, то и его подбор невозможен. Второй способ заключается в подборе перестановок букв в слове. Эффективность этого метода зависит от длины пароля – чем меньше длина, тем выше эффективность. Теоретически методом грубой силы можно подобрать любой пароль. Но если пароль длинный (как минимум – 8 символов), на его подбор будет потрачено очень много времени. А за это время может произойти что угодно: или администратор сервера определит, что идет атака brute force, или вы поменяете пароль (и сделаете его еще сильнее), или информация потеряет актуальность… Мы разберемся, как создать хороший пароль, устойчивый к обоим видам атак.

Вот несколько советов, которые помогут вам создать "хороший" пароль.

✓ Минимальная длина пароля – 8 символов. Чем больше – тем лучше. От количества символов (длины пароля) зависит количество перестановок букв в слове. Чем больше перестановок, тем сложнее программе подобрать пароль. Наверняка такой подбор будет замечен сервером и попытка взлома вашего почтового ящика окажется неудачной. Если длина пароля 8 символов, то перестановок может быть 8! (8 факториал, если кто забыл математику), то есть программе нужно будет сделать 8! попыток, чтобы подобрать пароль. Но попыток будет еще больше, поскольку программа заведомо не знает, сколько символов в пароле. Следовательно, ей придется проделать гораздо больше попыток, чем 8! (хотя и первая может быть удачной – все зависит от сложности пароля). Многие серверы блокируют на несколько часов доступ к аккаунту после 3–5 неудачных попыток ввода пароля. Следовательно, программе нужно будет трудиться очень долго. Если вы можете запомнить пароль из 10 символов, это еще лучше. Если же с памятью совсем плохо, то далее будут рассмотрены программы для автоматического ввода паролей.

✓ В пароле должны быть как буквы, так и цифры, причем регистр букв должен меняться. Желательно, чтобы цифры не повторялись. Вот пример пароля с изменяющимся регистром символов и цифрами: BroaD17.

✓ Используйте не только алфавитно-цифровые символы. Самый обычный знак подчеркивания существенно усложняет пароль и увеличивает количество перестановок. Вот пример усложненного пароля: B_roaD17.

✓ С одной стороны, хорошо, когда пароль хорошо запоминается. Так меньше вероятность, что вы его забудете. С другой стороны, старайтесь, чтобы последовательность символов в пароле не являлась значащим словом – такие пароли быстро подбираются с помощью словаря. Наши пароли BroaD17 и B_roaD17 не идеальны с точки зрения словарной атаки. Ведь оба пароля содержат значащие (словарные) слова: broad и road. Идеальная защита от словарной атаки – пароль, сгенерированный из случайных символов, например: sRkTnbs19.

Однако такой пароль ничего не означает и не вызывает у человека никаких ассоциаций, поэтому сложен для запоминания. Чтобы защитить пароль и от словарной атаки, и от brute force, комбинируйте в пароле как словарные слова, так и случайные символы. Например: road_sjt_91. Такой пароль сложен для двух способов подбора. Для brute force он довольно длинный (11 символов) и к тому же содержит знак подчеркивания. А для словарной атаки тоже не по зубам – в словаре будет слово road, но в нем вряд ли будет последовательность sjt.

✓ Некоторые пользователи вводят русские слова при включенной английской раскладке. Например, последовательность символов ljhjuf означает всего лишь слово "дорога". Но такие "перевернутые" словари уже давно есть у хакеров, так что этот метод уже не действует, и хотя сам пароль выглядит грозно, однако толку от него – 0.

✓ Не используйте в пароле ваши личные данные (номер паспорта, номер телефона, дату рождения), имена близких и родственников, домашних питомцев и т. п. Все это – общедоступная информация, следовательно, если злоумышленник – кто-то из близкого вам окружения, он сможет подобрать пароль.

✓ Некоторые сервисы, например, Mail.Ru, для восстановления пароля требуют ввести ответ на контрольный вопрос. Контрольные вопросы очень просты: номер паспорта, имя любимого питомца и т. п. Этим могут воспользоваться злоумышленники – ведь узнать номер вашего паспорта или имя питомца, думаю, можно, особенно, если пароль пытаются подобрать люди, с которыми вы знакомы. Поэтому выберите любой контрольный вопрос, но в качестве ответа введите заранее подготовленный второй пароль.

✓ Опять-таки для восстановления пароля может быть использован второй ваш e-mail. Но если к нему получит доступ злоумышленник (по причине простого пароля), он сможет легко взломать ваш основной почтовый ящик – почтовый сервер сам отправит новый пароль по указанному в настройках адресу…

Используйте эти рекомендации для создания сложного пароля. И если нужен действительно серьезный пароль, тогда лучше всего использовать генератор паролей, который будет рассмотрен в разд. 9.2.

Помните, что пароль должен периодически меняться. Конечно, каждый день его менять не стоит, иначе сами запутаетесь. Меняйте пароль, например, раз в три месяца. Но смените пароль сразу же, если была замечена попытка входа с другого IP-адреса. Некоторые сервисы, например тот же Mail.Ru, сообщают, с какого адреса был выполнен последний заход и когда именно. Если вы видите, что IP-адрес не ваш, этот почтовый ящик уже кто-то взломал. А то, что вы еще можете войти в него под своим паролем, означает, что злоумышленник не хочет, чтобы вы знали о том, что ящик взломан, – он просто хочет читать вашу почту и надеется, что вы не заметите попытки взлома. Сложнее, если вы и злоумышленник находитесь в сети одного провайдера – тогда адреса, скорее всего, будут одинаковыми – вы подумаете, что в прошлый раз вам просто был назначен другой адрес… Вот для этого и нужно периодически менять пароли – даже если вы не заметите, что ящик кто-то взломал, вы рано или поздно все равно поменяете пароль, и злоумышленнику придется начать его подбор сначала.