Итак, вы установили шифрование и скрытый SSID. Вы установили пароли и ограничили права доступа к папкам совместного пользования (см. главу 7). Вы, вероятно, думаете, что теперь самая большая проблема в том, что никто не может запомнить свои пароли, но, может быть, все совсем наоборот.

Все эти схемы защиты зависят от информации, которая находилась в совместном пользовании ранее. Любой, кому известны ваши фраза-пароль для WPA2, SSID и пароль в Windows, может подключиться к вашей беспроводной сети и даже, возможно, читать файлы на вашем жестком диске. Система строится на конфиденциальности, и для разрушения всей системы достаточно нарушить эту конфиденциальность.

Например, допустим, на вашем небольшом предприятии работают 20 сотрудников и кого-то из них увольняют. Или, скажем, вы живете в многоквартирном доме с совместным доступом к беспроводной сети и кто-то выселяется. В любом из случаев у лица, покинувшего систему, может по-прежнему сохраняться фраза-пароль бес* проводной сети (а в случае предприятия — общий пароль в Windows), и у него будет возможность войти в вашу сеть.

Что же делать? Ну, например, вы можете изменить пароль, а затем снабдить новым паролем остальные компьютеры и сказать всем, чтобы они постарались запомнить новый пароль. Но бывший сотрудник, бывший квартиросъемщик или бывший приятель может узнать новый пароль от друга или во время последующего посещения, и вы возвращаетесь туда, откуда начали. Короче говоря, сеть, защищенная от незваных гостей только с помощью паролей, остается уязвимой.

Одно из решений для домашних сетей и небольших предприятий, имеющих оборудование без возможности установки сервера идентификации, обычно доступного только большим компаниям, — использовать фильтрацию адресов MAC.

Адрес MAC (Media Access Control — Управление доступом к среде передачи данных) является более или менее уникальным идентификатором для каждого сетевого адаптера на вашем компьютере, или, в применении к маршрутизатору, уникальным идентификатором для каждого подключения в вашей сети. Вы можете настроить маршрутизатор так, чтобы он позволял только конкретным адресам MAC подключаться к сети и при этом не пускал кого-либо еще независимо от того, знают ли они фразу-пароль вашего WPA2или нет.

Страница типового беспроводного фильтра MAC показана на рис. 6.13. Если у вашего маршрутизатора нет этой функции, прочитайте раздел «Переход к более новой версии маршрутизатора». Включите здесь параметр Разрешить доступ к беспроводной сети только перечисленным компьютерам (Permit only PCs listed to access the wireless network) и затем введите или скопируйте М AC-адреса беспроводных адаптеров ваших компьютеров. Когда это сделано, сохраните установки.

Для получения М AC-адреса вашего компьютера (это не имеет никакого отношения к компьютерам Macintosh) откройте Центр управления сетями и общим доступом (Network and Sharing Center) в Панели Управления и затем щелкните на ссылке с названием действующего сетевого адаптера, расположенной под названием Просмотр активных сетей (View your active networks). Наконец, нажмите кнопку Сведения (Details), чтобы открыть окно Сведения о сетевом подключении (Network Connection Details), изображенное на рис. 6.14. Строка Физический адрес (Physical Address), состоящая из шести сегментов, является МАС-адресом данного адаптера.

Вам понадобится ввести MAC-адрес всех без исключения компьютеров, которые подключаются к вашей сети беспроводным способом. Стоит пропустить один из них, и он не сможет подключиться, а пользователь этого компьютера не будет знать причины. Не стоит беспокоиться о компьютерах, подключенных к вашей сети с помощью кабелей, — они не пострадают.

Итак, фильтрация МАС-адресов является практичным решением, но она не защищена от неумелого пользования. Например, любой, у кого есть доступ к странице настройки маршрутизатора, может внести изменения в утвержденный список, — если вы этого еще не сделали, измените пароль доступа к вашему маршрутизатору. Следующим шагом будет выключить параметр Дистанционного администрирования (Remote Administration) маршрутизатора для гарантии того, что только лица, подключенные к вашей сети, будут иметь к нему доступ. Наконец, следует учесть потенциально уязвимое место в фильтрации МАС-адресов, о которой идет речь во врезке «Почему фильтрация МАС-адресов не защищена от неумелого пользования» на с, 356.

ПОЧЕМУ ФИЛЬТРАЦИЯ МАС-АДРЕСОВ НЕ ЗАЩИЩЕНА ОТ НЕУМЕЛОГО ПОЛЬЗОВАНИЯ

Все устройства в сети имеют разные МАС-адреса, и это может казаться идеальным способом защиты от злоумышленников, но здесь таится ловушка. Дело в том, что на большей части современного оборудования есть возможность поменять МАС-адрес, поэтому теоретически можно подделать его и подключиться к фильтруемой сети. Получается, что МАС-адреса — это что-то вроде пароля?

Не совсем так. Во-первых, в сети не могут одновременно существовать два устройства с одинаковым МАС-адресом, поэтому если ваш компьютер подключен к сети, а кто-то чужой пытается подсоединиться, подделав ваш МАС-адрес, эта попытка не удастся. Во-вторых, у каждого компьютера свой МАС-адрес, отображающийся на странице фильтра МАС-адресов, а это означает, что администратор может удалить сомнительную строку, не влияя на работу остальных компьютеров. В этом заключается отличие от единой персональной фразы-пароля в WPA или ключа шифрования в WEP, которыми совместно пользуются все, кто находится в сети.

Настоящая проблема заключается в том, что, как и в случае с дилеммой скрытого SSID, рассмотренной в разделе «Выискивание зон доступа WiFi», пронырливый взломщик может с помощью отслеживающих программ перехватить МАС-адреса в эфире и использовать их для подключения.

Вы считаете, что изменить МАС-адрес компьютера трудно? Не торопитесь. Воспользуйтесь программой MAC Makeup, которую можно бесплатно скачать но адресу http:// ^{www.gorlani.com/publicpri/macmakeup/}, а также бесплатной программой MadMACs на сайте http://www.irongeek.com/i.php?page=security/madmacs-mac-spoofer или программой Technitium MAC Address Changer на ^{http://www.technitium.com/tmac/}. С помощью этих программ можно в течение нескольких минут изменить МАС-адрес беспроводного адаптера.

Вы также можете изменить МАС-адрес, не используя специальные программы, внесением правок в системный реестр. Откройте Редактор реестр (см. главу 3) и перейдите к ветви HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ Class\{4D36E972-E325-llCE-BFCl-08002BE10318}. Нажмите Ctrl+F, введите Driver Desc и нажмите кнопку Найти далее (Find Next). Нажимайте F3 для циклического прохождения подразделов (например, 0001, 0002 и т. д.) до тех пор, пока не наткнетесь на тот подраздел, содержимое которого будет соответствовать названию вашего беспроводного адаптера.ите на новом названии, введите МАС-адрес, который вы хотите использовать, в строку Значение (Value data) без каких-либо черточек, например 040815162342, и нажмите ОК. Для задействования нового адреса используйте окно Сетевые подключения (Network Connections), чтобы выключить и затем снова включить сетевой адаптер (или перезагрузите Windows).

У вас могут быть различные причины для изменения МАС-адреса, например поиск и устранение неисправностей или отладка конфликтов. Даже у вашего маршрутизатора имеется способ поменять его МАС-адрес — с помощью функции Дублирование МАС-адреса (MAC Address Clone), для приведения в соответствие с адресом вашего компьютера, для того чтобы удаленные серверы, настроенные на разрешение доступа вашему компьютеру, не отказали в нем вашему маршрутизатору.

Все вышеизложенное означает, что не существует такого понятия, как «непроницаемая беспроводная сеть». Если вы очень беспокоитесь о защите, откажитесь от беспроводной сети и придерживайтесь кабельного варианта.

При использовании фильтрации МАС-адресов все, что вам нужно делать, — это создавать запись для каждого нового компьютера, которому вы хотите разрешить беспроводное соединение. И, естественно, нужно удалять записи тех компьютеров, у которых вы хотите изъять разрешение. По этой причине полезно вести учет МАС-адресов всех компьютеров в сети, например, в виде текстового файла и хранить его где-нибудь в безопасном месте.

Если вы обеспокоены тем, что другие пользователи вашей сети могут проникнуть в ваш компьютер и прочитать ваши файлы, то для закрытия еще одной лазейки обратитесь к разделу «Отключение административных общих ресурсов».