Бештар

Истиноди шабакаро бо парол муҳофизат кунед Geoserver


Ман нақша дорам, ки маълумотро бо geoserver ба одамони сершумори ташкилоти худ пешкаш кунам. Маълумот то ҳадде ҳассос аст ва ман ҳайрон будам, ки оё роҳи муҳофизати иттилоот вуҷуд дорад, то барои он ки онро дар Google Earth ҳамчун истиноди шабакавӣ тасаввур кунед, ба шумо пароли глобалӣ лозим аст?


Ман боварӣ дорам, ки ба шумо лозим аст, ки бо истифодаи аутентификатсияи HTTP Basic дар GeoServer (бо нобаёнӣ дастгирӣ карда мешавад), махсусан барои маълумот нигаред. Шумо метавонед онро танҳо барои қабатҳои муайян фаъол созед, дар зер баъзе захираҳои хуб:

  1. Амният дар GeoServer
  2. Амнияти қабатҳои

Умедворам, ки ин кӯмак мекунад.


Фарз мекунем, ки ячейкаи ибтидоӣ ҳамчун (StartRow, StartCol) ва ячейкаи хотимавӣ ҳамчун (EndRow, EndCol) дода шудааст, ман чизҳои зеринро барои ман кор кардаам:

Эзоҳ: Excel Cell B5 дар win32com ҳамчун сатри 5, сутуни 2 дода мешавад. Инчунин, ба мо рӯйхати (.) Лозим аст, ки аз маҷмӯаи лӯлаҳо ба рӯйхати феҳристҳо табдил ёбад, зеро конструктори pandas.DataFrame барои як ҷуфт дона вуҷуд надорад.

Xlwings -ро истифода баред, кушодани файл аввал барномаи Excel -ро оғоз мекунад, то шумо паролро ворид кунед.

Дар асоси пешниҳоди @ikeoddy, ин бояд қисмҳоро якҷоя кунад:

Фарз мекунем, ки шумо метавонед бо истифода аз win32com API файли рамзгузоришударо ба диск захира кунед (ки ман дарк мекунам, ки ин ҳадафро мағлуб карда метавонад), шумо метавонед фавран ба вазифаи пандаҳои сатҳи боло read_excel занг занед. Ба шумо лозим аст, ки аввал якчанд комбинатсияи xlrd (барои Excel 2003), xlwt (инчунин барои 2003) ва openpyxl (барои Excel 2007) -ро насб кунед. Ин аст ҳуҷҷатҳо барои хондан дар файлҳои Excel. Ҳоло pandas барои истифодаи win32com API барои хондани файлҳои Excel дастгирӣ намекунад. Хуш омадед, агар хоҳед, як масъалаи GitHub кушоед.


Чӣ гуна бояд роутери Wi-Fi-и худро ҳифз кард ва шабакаи хонагии худро муҳофизат кард

Барои аз нав барқарор кардани ин мақола, ба Профили ман равед ва баъд Ҳикояҳои захирашударо бинед.

Сурат: Олли Кертис/Маҷаллаи MacFormat/Getty Images

Барои аз нав барқарор кардани ин мақола, ба Профили ман равед ва баъд Ҳикояҳои захирашударо бинед.

Роутери шумо шояд муҳимтарин гаҷет дар хонаи шумо бошад. Он ҳама трафики воридотӣ ва хориҷиро месанҷад ва ҳамчун посбон амал мекунад, то боварӣ ҳосил кунад, ки ягон чизи хатарнок ворид намешавад ва ҳеҷ чизи ҳассосе хомӯш намешавад. Он дастрасӣ ба шабакаи Wi-Fi-и хонагии шуморо назорат мекунад ва тавассути он ҳамаи телефонҳо, планшетҳо, ноутбукҳо ва ғайра. Агар ягон каси дигар ба он шабака дастрасӣ пайдо кунад-хоҳ ҳакерҳои дурдаст ва хоҳ ҳамсояи ҳамсояи шумо-ин метавонад кори зуд бо созиш додани ин дастгоҳҳо бошад.

Бо дарназардошти он, ки бехатарии роутери шумо муҳим аст. Хабари хуш ин аст, ки ин қадамҳо на он қадар душвор ва вақти зиёдро талаб мекунанд ва онҳо хатари шуморо ба таври назаррас коҳиш медиҳанд.

Ин маслиҳатҳо аз шумо талаб мекунанд, ки ба танзимоти роутер ва#x27s дастрасӣ пайдо кунед, ки шумо одатан онро тавассути браузери веб тавассути чоп кардани суроғаи IP иҷро карда метавонед, ё агар шумо бахти худро тавассути як барномаи телефони худ дастрас кунед. Агар шумо намедонед, ки чӣ гуна ин танзимотро пайдо кунед, ҳуҷҷатҳои бо роутер омадаро тафтиш кунед ё бо истифода аз модел ва модели роутератон ҷустуҷӯи фаврии интернетро иҷро кунед.

Шумо бояд амнияти WPA2 -ро барои муҳофизат кардани дастрасӣ ба роутери худ истифода баред, ки аслан ҳар як дастгоҳи навро барои пайвастшавӣ парол пешниҳод мекунад. Ин бо нобаёнӣ тақрибан дар ҳама роутерҳо фаъол аст, аммо агар он дар дастгоҳи шумо фаъол набошад, онро тавассути танзимоти роутер фурӯзон кунед.

Ба таври мунтазам иваз кардани пароли Wi-Fi як фикри хуб аст. Бале, ин маънои онро дорад, ки ба шумо лозим аст, ки ҳамаи дастгоҳҳои худро дубора пайваст кунед, аммо он инчунин ҳама меҳмонони нохостаро, ки метавонанд пинҳон шаванд, оғоз мекунад. Панели танзимоти роутери шумо бояд ба шумо рӯйхати дастгоҳҳои пайвастшударо диҳад, гарчанде тафсир кардан душвор аст.

Мо инчунин тавсия медиҳем, ки гузарвожаро барои дастрасӣ ба худи танзимоти роутер иваз кунем, зеро бисёр одамон танҳо пешфарзҳоро дар ҷои худ мегузоранд ва ин маънои онро дорад, ки шахсе, ки пешфарзҳоро медонад ё тахмин карда метавонад, метавонад роутератонро аз нав танзим кунад. Мисли ҳама гуна парол, тахмин кардан хеле душвор аст, аммо фаромӯш кардан ғайриимкон аст.

Ин танзимоти парол бояд дар панели танзимоти роутер ба таври возеҳ намоён карда шаванд ва агар шумо роутер модели навтарин бошад, шумо шояд огоҳӣ гиред, агар паролҳои нави интихобкардаатон барои тахмин кардан хеле осон ё қувваи бераҳмона бошанд. Дере нагузашта, WPA2 ба WPA3 роҳ медиҳад, ки он маҷмӯи бештари онро пешниҳод мекунад ва амниятро фаромӯш мекунад, аммо то он вақт ба гигиенаи пароли Wi-Fi диққати ҷиддӣ диҳед.

Роутери шумо нармафзори сатҳи сатҳи пастро идора мекунад, ки аслан ҳама чизеро, ки роутер мекунад, назорат мекунад. Он стандартҳои амниятро барои шабакаи шумо муқаррар мекунад, қоидаҳоро дар бораи пайваст кардани кадом дастгоҳҳо ва ғайра муайян мекунад.

Баъзе роутерҳои муосир худро дар замина навсозӣ мекунанд, аммо ҳар кадом модели шумо, он ҳамеша арзанда аст, то боварӣ ҳосил кунед, ки нармафзори нармафзор нав аст. Ин маънои онро дорад, ки шумо 've навтарин ислоҳи хатогиҳо ва часбҳои амниятӣ доред ва аз ҳама гуна истисморҳои тоза кашфшуда муҳофизат кардаед.

Раванд аз роутер то роутер фарқ мекунад, аммо ба мисли танзимоти парол, интихоби навсозии нармафзори роутер ва#x27s набояд дар панели идоракунии роутер пайдо шавад. Агар шумо дармонда бошед, ҳуҷҷатҳои роутер ё сайти расмии дастгирии вебро тафтиш кунед.

Агар шумо хушбахт бошед, ин раванд автоматӣ хоҳад буд, шумо ҳатто метавонед ҳар дафъа ҳангоми навсозии нармафзори нармафзор дар телефони худ огоҳӣ гиред, ки одатан дар як шаб сурат мегирад. Агар шумо бадбахт набошед, ба шумо лозим меояд, ки аз сайти истеҳсолкунанда нармафзори навро зеркашӣ кунед ва роутери худро ба он нишон диҳед. Агар ин тавр бошад, он саъю кӯшиши зиёдеро талаб мекунад.

Бисёре аз роутерҳо дорои хусусиятҳое мебошанд, ки дастрасии дурдастро аз берун аз хонаи шумо осонтар мекунанд, аммо агар ба шумо дастрасии сатҳи администратор аз дигар ҷой лозим набошад, шумо одатан метавонед ин хусусиятҳоро аз панели танзимоти роутер бехатар хомӯш кунед. Ғайр аз он, аксари барномаҳои дастрасии дурдаст бе онҳо хуб кор мекунанд.

Хусусияти дигаре, ки бояд ба назар гирифта шавад, Universal Plug and Play мебошад. UPnP-ро барои осон кардани дастрасӣ ба дастгоҳҳо ба монанди консолҳои бозиҳо ва телевизорҳои интеллектуалӣ, ки шуморо дар экранҳои зиёди конфигуратсия маҷбур накардаанд, тарҳрезӣ шудааст, инчунин барномаҳои зараровар барои дастрасии сатҳи баланд ба танзимоти амнияти роутер ва#x27s истифода бурда метавонанд.

Нигоҳ доштани дастрасии дурдаст ва UPnP фаъол нест 't ногаҳон шуморо ба бадтарин интернет дучор мекунад, аммо агар шумо мехоҳед то ҳадди имкон бехатар бошед, онҳоро хомӯш кунед. Агар маълум шавад, ки баъзе барномаҳо ва дастгоҳҳои шабакаи шумо ба онҳо такя мекунанд, шумо метавонед ин хусусиятҳоро бе ташвиши зиёд дубора фаъол созед.

Шумо инчунин бояд дар бораи хомӯш кардани танзимоти ҳифзшудаи Wi-Fi фикр кунед. WPS нияти хуб дорад, ки ба шумо имкон медиҳад дастгоҳҳои навро бо пахши тугма ё PIN -код пайваст кунед, аммо ин инчунин дастрасии дастгоҳҳои беиҷозатро ба PIN -и рақамӣ осонтар мекунад. Агар ба шумо махсусан лозим набошад, онро хомӯш кунед.

Агар роутери шумо имкони пахши шабакаи ба истилоҳ меҳмононро дошта бошад, аз он истифода баред. Тавре ки аз номаш бармеояд, ин маънои онро дорад, ки шумо метавонед ба меҳмонони худ дастрасии Wi-Fi-ро иҷозат диҳед, бе он ки онҳо дар қисми боқимондаи шабакаи шумо дастрас бошанд-баландгӯякҳои Sonos, ҷузвдонҳои муштараки ноутбук, чопгарҳои шумо ва ғайра.

Ин маъқул нест, ки дӯстон ва оилаи шумо ҳакерҳои пинҳоншуда ҳастанд, аммо иҷозати онҳо дар шабакаи аввалияи шумо маънои онро дорад, ки онҳо метавонанд ба файле дастрасӣ пайдо кунанд, ки шумо онро надидаед ва ё нохост танзимотро дар ҷое, ки боиси мушкилот мегардад, иваз кунед. Он инчунин боз як суръатро дар роҳи шахсе мегузорад, ки пинҳонӣ бе иҷозати шумо ба шабакаи шумо дастрасӣ пайдо кардан мехоҳад - ҳатто агар онҳо ба шабакаи меҳмонон ворид шуда натавонанд ҳам, онҳо наметавонанд назорати дигарии шуморо назорат кунанд дастгоҳҳо ё роутери шумо.

Роутери шумо бояд имкони пинҳон кардани SSID-и шабакаи асосии худро дошта бошад-асосан номи шабакае, ки ҳангоми ҷустуҷӯи дастгоҳҳои шумо барои Wi-Fi пайдо мешавад. Агар меҳмонон наметавонанд ин шабакаро бинанд, онҳо наметавонанд ба он пайваст шаванд, аммо шумо метавонед ба он дастгоҳҳо илова кунед, зеро шумо медонед, ки он чӣ ном дорад. (Ва агар шумо мутмаин набошед, он дар танзимоти роутери шумо номбар карда мешавад.)

Сарфи назар аз даҳсолаҳои беэътиноӣ нисбати аксари роутерҳое, ки дар ду соли охир ба кор андохта шудаанд, бо амнияти аълои дарунсохташуда меоянд. Истеҳсолкунандагон аҳамияти амният ва эътимоднокии роутерро аз ҳарвақта бештар қадр мекунанд, аз ин рӯ маҳсулот нисбат ба пештара нисбатан қулай мебошанд. Ҳоло онҳо бисёр танзимоти асосии амниятро барои шумо идора мекунанд.

Бо дарназардошти ин, яке аз хатарҳои баландтарин барои роутери шумо он аст, ки он аз ҷониби дастгоҳе, ки ба бовариаш метавонад бовар кунад, осеб дидааст - ба ибораи дигар, чизе дар телефон ё ноутбуки шумо ба он дастрасӣ пайдо мекунад ва боиси бадбахтиҳо мегардад, шояд пинҳонӣ нуқтаи вурудро ба роутери шумо мекушояд, ки онро аз фосилаи дур дастрас кардан мумкин аст.


Мундариҷа

Ҳар касе, ки дар доираи шабакаи ҷуғрофии шабакаи бесими кушод ва рамзкунонидашуда мавҷуд нест, метавонад трафикро "бӯбад" ё сабт кунад, дастрасии беиҷозат ба захираҳои дохилии шабака ва инчунин интернетро ба даст орад ва сипас маълумот ва захираҳоро барои вайрон кардани он истифода барад. ё амалҳои ғайриқонунӣ. Чунин вайронкунии амният ҳам боиси нигаронии муҳими ҳам корхонаҳо ва ҳам шабакаҳои хонагӣ шудааст.

Агар амнияти роутер фаъол набошад ё соҳиби он барои роҳатӣ онро ғайрифаъол кунад, он нуқтаи дастраси ройгон эҷод мекунад. Азбаски аксари компютерҳои ноутбукҳои асри 21 шабакаи бесими дарунсохташуда доранд (нигаред ба технологияи Intel "Centrino"), ба онҳо адаптери тарафи сеюм ба монанди PCMCIA Card ё дастгоҳи USB лозим нест. Шабакаи бесими дарунсохт метавонад бо нобаёнӣ бидуни соҳиби он фаъол карда шавад ва ҳамин тариқ дастрасии ноутбукро ба ҳама гуна компютери наздик паҳн мекунад.

Системаҳои оператсионии муосир, ба монанди Linux, macOS ё Microsoft Windows, бо истифода аз пайвасти Интернет пайвасти компютерро ҳамчун "истгоҳи базавии" бесими LAN насб кардан хеле осон мекунанд ва ҳамин тариқ ба ҳама компютерҳои хонагӣ ба интернет тавассути "пойгоҳ" дастрасӣ пайдо мекунанд. "PC. Аммо, надонистани маълумот дар байни корбарон дар бораи масъалаҳои амниятӣ, ки ба ташкили чунин системаҳо хос аст, аксар вақт метавонад ба дигарон дастрасии наздикро ба пайвастшавӣ фароҳам орад. Чунин "piggybacking" одатан бидуни огоҳии оператори шабакаи бесим ба даст меояд, ҳатто агар он бе огоҳии корбари вурудкунанда ҳам бошад, агар компютери онҳо ба таври худкор шабакаи бесими наздики бесимро ҳамчун нуқтаи дастрасӣ интихоб кунад.

Амнияти бесим танҳо як ҷанбаи амнияти компютер аст, аммо созмонҳо метавонанд махсусан ба вайронкунии амният осебпазир бошанд [6], ки аз нуқтаҳои дастрасии қаллобӣ ба вуҷуд омадаанд.

Агар корманд (шахси боэътимод) роутери бесимро ворид кунад ва онро ба гузаргоҳи боэътимод васл кунад, тамоми шабака метавонад ба ҳама дар доираи сигналҳо дучор шавад. Ба ҳамин монанд, агар корманд интерфейси бесимро ба компютери шабакавӣ бо истифода аз порти кушодаи USB илова кунад, онҳо метавонанд вайронкунии амнияти шабакаро эҷод кунанд, ки дастрасӣ ба маводи махфиро фароҳам меорад. Бо вуҷуди ин, чораҳои муассири таъсирбахш мавҷуданд (ба монанди ғайрифаъол кардани гузаргоҳҳои кушод ҳангоми конфигуратсияи коммутатор ва конфигуратсияи VLAN барои маҳдуд кардани дастрасӣ ба шабака), ки барои муҳофизат кардани ҳам шабака ва ҳам иттилооти дар он мавҷудбуда дастрасанд, аммо чунин чораҳои муқобил бояд ба ҳама дастгоҳҳои шабака яксон татбиқ карда шаванд.

Таҳдидҳо ва осебпазирӣ дар заминаи саноатӣ (M2M) Таҳрир

Аз сабаби мавҷудияти он ва арзиши пасти он, истифодаи технологияҳои алоқаи бесим дар доменҳо берун аз минтақаҳои истифодаи ибтидоӣ пешбинӣ шудааст, масалан. Алоқаи M2M дар барномаҳои саноатӣ. Чунин барномаҳои саноатӣ аксар вақт талаботҳои мушаххаси амниятӣ доранд. Аз ин рӯ, фаҳмидани хусусиятҳои ин гуна барномаҳо ва арзёбии осебпазирии дорои хатари баландтарин дар ин замина муҳим аст. Арзёбии ин осебҳо ва феҳристҳои осебпазирии натиҷа дар заминаи саноатӣ ҳангоми баррасии WLAN, NFC ва ZigBee дастрас аст. [7]

Шабакаҳои бесим ҳам барои созмонҳо ва ҳам шахсони алоҳида хеле маъмуланд. Бисёре аз ноутбукҳо кортҳои бесимро пешакӣ насб кардаанд. Қобилияти ворид шудан ба шабака ҳангоми мобилӣ манфиатҳои зиёд дорад. Аммо, шабакаи бесим ба баъзе масъалаҳои амниятӣ дучор мешавад. [8] Ҳакерҳо ёфтани шабакаҳои бесимро нисбатан осонтар донистанд ва ҳатто технологияи бесимро барои рахна кардани шабакаҳои симдор истифода мебаранд. [9] Дар натиҷа, хеле муҳим аст, ки корхонаҳо сиёсати муассири амнияти бесимро муайян кунанд, ки аз дастрасии беиҷозат ба захираҳои муҳим муҳофизат кунанд. [4] Системаҳои пешгирии беиҷозати бесим (WIPS) ё Системаҳои ошкоркунии беиҷозати бесим (WIDS) одатан барои иҷрои сиёсати амнияти бесим истифода мешаванд.

Интерфейси ҳавоӣ ва истинод ба хатари коррупсия Таҳрир

Ҳангоми бори аввал ҷорӣ шудани технологияи бесим хатарҳо нисбатан кам буданд, зеро талош барои нигоҳ доштани алоқа баланд буд ва талоши ворид шудан ҳамеша баландтар аст. Гуногунии хатарҳо барои корбарони технологияи бесим афзоиш ёфтааст, зеро ин хидмат маъмултар ва технология бештар дастрас аст. Имрӯз шумораи зиёди хавфҳои амниятӣ бо протоколҳои мавҷудаи бесим ва усулҳои рамзгузорӣ алоқаманданд, зеро дар сатҳи корбарон ва корпоративии IT беэҳтиётӣ ва нодонӣ вуҷуд дорад. [5] Усулҳои ҳакерӣ бо бесим хеле мураккабтар ва навовартар шуданд.

Усулҳои дастрасии беиҷозат ба истинодҳо, функсияҳо ва додаҳо, чунон ки субъектҳои дахлдор рамзи барномаро истифода мебаранд, тағйирёбандаанд. Модели пурраи чунин таҳдид вуҷуд надорад. То андозае пешгирӣ ба усулҳо ва усулҳои ҳамлаи маълум ва усулҳои дахлдори бартараф кардани усулҳои татбиқшаванда такя мекунад. Аммо, ҳар як ҳолати нави амал имконоти нави таҳдидро эҷод мекунад. Аз ин рӯ, пешгирӣ кӯшиши устуворро барои беҳбудӣ талаб мекунад. Усулҳои тавсифшудаи ҳамла танҳо як лаҳзаи усулҳо ва сенарияҳои маъмулӣ дар куҷо истифода мешаванд.

Ассотсиатсияи тасодуфӣ Таҳрир

Вайрон кардани периметри амнияти шабакаи корпоративӣ метавонад аз як қатор усулҳо ва ниятҳои гуногун ба вуҷуд ояд. Яке аз ин усулҳоро "ассотсиатсияи тасодуфӣ" меноманд. Вақте ки корбар компютерро фурӯзон мекунад ва он аз шабакаи такрории ширкати ҳамсоя ба нуқтаи дастрасии бесим пайваст мешавад, корбар ҳатто намедонад, ки ин ҳодиса рух додааст. Аммо, ин вайронкунии амният дар он аст, ки маълумоти ширкатҳои хусусӣ фош карда мешавад ва акнун метавонад пайванде аз як ширкат ба ширкати дигар вуҷуд дошта бошад. Ин хусусан дуруст аст, агар ноутбук низ ба шабакаи симдор пайваст бошад.

Ассотсиатсияи тасодуфӣ як ҳолати осебпазирии бесим аст, ки онро "ассотсиатсияи нодуруст" меноманд. [10] Ассотсиатсияи нодуруст метавонад тасодуфӣ, дидаву дониста бошад (масалан, барои гузаштани девори корпоративӣ) ё он метавонад аз кӯшиши барқасдона ба мизоҷони бесим ҷалб кардани онҳо ба пайвастшавӣ ба AP-ҳои ҳамлагар оварда расонад.

Ассотсиатсияи зараровар Таҳрир

"Ассотсиатсияҳои зараровар" он вақтест, ки ҳамлагарон метавонанд ба шабакаи ширкат тавассути ноутбуки худ ба ҷои нуқтаи дастрасии ширкат (AP) ба шабакаҳои ширкат фаъолона пайваст шаванд. Ин намуди ноутбукҳо бо номи "AP -ҳои нарм" маъруфанд ва вақте офарида мешаванд, ки ҷинояткори кибер баъзе нармафзорро идора мекунад, ки корти шабакавии бесими ӯро ба нуқтаи дастрасии қонунӣ монанд мекунад. Пас аз он ки дузд дастрасӣ пайдо кард, вай метавонад паролҳоро дуздида, ҳамлаҳоро ба шабакаи симдор оғоз кунад ё троянҳо шинонад. Азбаски шабакаҳои бесим дар сатҳи Layer 2 кор мекунанд, муҳофизати Layer 3 ба монанди аутентификатсияи шабака ва шабакаҳои хусусии виртуалӣ (VPN) ҳеҷ монеае пешкаш намекунад. Аутентификатсияи бесими 802.1X ба баъзе муҳофизатҳо кумак мекунад, аммо то ҳол ба ҳакерӣ осебпазиранд. Идеяи ин гуна ҳамла метавонад шикастан ба VPN ё дигар чораҳои амниятӣ набошад. Эҳтимол, ҷинояткор танҳо кӯшиш мекунад, ки муштариро дар сатҳи Layer 2 ба даст гирад.

Шабакаҳои муваққатӣ Таҳрир

Шабакаҳои муваққатӣ метавонанд ба амният таҳдид кунанд. Шабакаҳои муваққатӣ ҳамчун шабакаҳои [ҳамсол ба ҳамсол] байни компютерҳои бесим муайян карда мешаванд, ки дар байни онҳо нуқтаи дастрасӣ надоранд. Гарчанде ки ин намуди шабакаҳо одатан муҳофизати кам доранд, методҳои рамзгузорӣ метавонанд барои таъмини амният истифода шаванд. [11]

Сӯрохии амниятӣ, ки аз ҷониби шабакаи муваққатӣ пешкаш карда мешавад, худи шабакаи муваққатӣ нест, балки пулест, ки онро ба дигар шабакаҳо, одатан дар муҳити корпоративӣ медиҳад ва танзимоти пешфарзи бадбахтона дар аксари версияҳои Microsoft Windows барои фаъол кардани ин хусусият, агар ба таври возеҳ хомӯш карда нашуда бошад . Ҳамин тариқ, корбар ҳатто намедонад, ки онҳо дар компютери худ шабакаи таъминнашудаи муваққатӣ доранд. Агар онҳо ҳамзамон шабакаи зерсохтории бесим ё бесимро истифода баранд, онҳо тавассути шабакаи таъминнашудаи муваққатӣ ба шабакаи таъминшудаи ташкилӣ пул медиҳанд. Пардохт дар ду шакл сурат мегирад. Пули мустақим, ки аз корбар талаб мекунад, ки пули байни ду пайвастшавиро воқеан танзим кунад ва аз ин рӯ гумон аст, ки агар ба таври возеҳ хоҳиш карда нашавад, ва пули ғайримустақим, ки захираҳои муштарак дар компютери корбар аст. Пули ғайримустақим метавонад маълумоти хусусиро, ки аз компютери корбар ба пайвастҳои LAN, ба монанди ҷузвдонҳои муштарак ё анбори хусусии замимашудаи шабака фош карда мешавад, фош кунад, ки байни пайвастҳои тасдиқшуда ё хусусӣ ва шабакаҳои тасдиқнашудаи Ad-Hoc фарқияте вуҷуд надорад. Ин ҳеҷ гуна таҳдидҳоеро, ки ба нуқтаҳои дастрасии кушод/оммавӣ ё таъминнашудаи Wi -Fi шинос нестанд, пешкаш намекунад, аммо қоидаҳои файервол дар сурати суст танзим шудани системаҳои оператсионӣ ё танзимоти маҳаллӣ метавонанд аз байн раванд. [12]

Шабакаҳои ғайри анъанавӣ Таҳрир

Шабакаҳои ғайримуқаррарӣ ба монанди дастгоҳҳои шахсии Bluetooth аз ҳакерӣ эмин нестанд ва бояд ҳамчун хатари амниятӣ баррасӣ карда шаванд. Ҳатто хонандагони штрих -кодҳо, PDAҳои дастӣ ва принтерҳо ва нусхабардорони бесим бояд таъмин карда шаванд. Ин шабакаҳои ғайри анъанавиро кормандони IT, ки ба ноутбукҳо ва нуқтаҳои дастрасӣ таваҷҷӯҳ зоҳир мекунанд, ба осонӣ нодида мегиранд.

Дуздии шахсият (қаллобӣ дар MAC) Таҳрир

Дуздии шахсият (ё қаллобии MAC) вақте рух медиҳад, ки ҳакер тавонад трафики шабакаро гӯш кунад ва суроғаи MAC -и компютерро бо имтиёзҳои шабака муайян кунад. Аксари системаҳои бесим ба як навъ филтри MAC имкон медиҳанд, ки танҳо ба компютерҳои ваколатдор бо мушаххасоти MAC -и мушаххас дастрасӣ пайдо кунанд ва аз шабака истифода баранд. Бо вуҷуди ин, барномаҳое мавҷуданд, ки қобилияти "бӯй" -и шабакаро доранд. Ин барномаҳоро бо нармафзори дигар, ки ба компютер имкон медиҳад вонамуд кунад, ки гӯё суроғаи MAC дорад, ки онро ҳакер мехоҳад, муттаҳид созад [13] ва ҳакер метавонад ба осонӣ ин монеаро паси сар кунад.

Филтркунии MAC танҳо барои шабакаҳои хурди истиқоматӣ (SOHO) муассир аст, зеро он танҳо вақте муҳофизат мекунад, ки дастгоҳи бесим "дар ҳаво" бошад. Ҳама гуна дастгоҳи 802.11 "дар ҳаво" суроғаи MAC -и рамзкушудаи худро дар сарлавҳаҳои 802.11 озодона интиқол медиҳад ва барои ошкор кардани он ягон таҷҳизот ё нармафзори махсус лозим нест. Ҳар касе, ки дорои қабулкунандаи 802.11 (ноутбук ва адаптери бесим) ва таҳлилгари пакети бесими ройгон мебошад, метавонад суроғаи MAC -и ҳама гуна интиқолдиҳандаи 802.11 -ро дар доираи худ дастрас кунад. Дар муҳити ташкилӣ, ки аксари дастгоҳҳои бесим дар тӯли сменаи кории фаъол "дар ҳаво" ҳастанд, филтри MAC танҳо ҳисси бардурӯғи амниятро таъмин мекунад, зеро он танҳо пайвастҳои "тасодуфӣ" ё ғайричашмдошт ба инфрасохтори ташкилиро пешгирӣ мекунад ва барои пешгирии ҳамлаи ҳадафмандона.

Man-in-the-миёна ҳамлаҳо Таҳрир

Ҳамлагари одами миёнаҳол компютерҳоро водор мекунад, ки ба компютере ворид шаванд, ки ҳамчун AP-и нарм (нуқтаи дастрасӣ) насб шудааст. Пас аз анҷом додани ин кор, ҳакер тавассути корти дигари бесим ба нуқтаи дастрасии воқеӣ пайваст мешавад, ки ҷараёни устувори трафикро тавассути компютери ҳакерии шаффоф ба шабакаи воқеӣ пешкаш мекунад. Ҳакер пас метавонад трафикро бифаҳмад. Як намуди ҳамлаи миёнаравӣ ба хатогиҳои амниятӣ дар мушкилот ва протоколҳои дастфишорӣ барои иҷрои "ҳамлаи аутентификатсия" такя мекунад. Ин ҳамла компютерҳои ба AP пайвастшударо маҷбур мекунад, ки алоқаҳояшонро қатъ кунанд ва бо AP-и нармафзори ҳакер дубора пайваст шаванд (корбарро аз модем ҷудо мекунад, бинобарин онҳо бояд бо истифода аз пароли худ, ки аз сабти ҳодиса метавон истихроҷ кард, дубора пайваст шаванд). Ҳамлаҳои одам дар миёна ба воситаи нармафзор ба монанди LANjack ва AirJack такмил дода мешаванд, ки қадамҳои сершумори ин равандро автоматӣ мекунанд, яъне он чизеро, ки қаблан баъзе малакаҳоро талаб мекард, ҳоло тавассути кудакони скрипт иҷро кардан мумкин аст. Нуқтаҳои доғ махсусан ба ҳама ҳамлаҳо осебпазиранд, зеро дар ин шабакаҳо амният хеле кам аст.

Рад кардани хидмат Таҳрир

Ҳамлаи рад кардани хидмат (DoS) вақте рух медиҳад, ки ҳамлагар пайваста AP (Нуқтаи дастрасӣ) ё шабакаро бо дархостҳои бардурӯғ, паёмҳои барвақти пайвастшавӣ, паёмҳои нокомӣ ва/ё дигар фармонҳо бомбаборон мекунад. Инҳо боиси он мешаванд, ки корбарони қонунӣ наметавонанд ба шабака ворид шаванд ва ҳатто метавонанд боиси вайрон шудани шабака шаванд. Ин ҳамлаҳо ба сӯиистифодаи протоколҳо ба монанди Протоколи васеъшавандаи аутентификатсия (EAP) такя мекунанд.

Худи ҳамлаи DoS барои ифшои маълумоти ташкилӣ ба як ҳамлагари шубҳанок чандон таъсир намерасонад, зеро қатъи шабака ҷараёни маълумотро пешгирӣ мекунад ва воқеан бавосита маълумотро тавассути пешгирии интиқоли он муҳофизат мекунад. Сабаби маъмулии ҳамлаи DoS мушоҳида кардани барқарорсозии шабакаи бесим мебошад, ки дар давоми он ҳамаи рамзҳои дастфишории аввалия аз ҷониби ҳама дастгоҳҳо дубора интиқол дода мешаванд ва ба ҳамлагари шубҳанок имкон медиҳад, ки ин рамзҳоро сабт кунанд ва асбобҳои гуногуни крекингро истифода баранд. таҳлили заифиҳои амниятӣ ва истифодаи онҳо барои дастрасии беиҷозат ба система. Ин беҳтарин дар системаҳои сусти рамзкунонидашуда ба монанди WEP кор мекунад, ки дар он ҷо як қатор асбобҳо мавҷуданд, ки метавонанд ҳамлаи услуби луғати калидҳои "эҳтимолан қабулшудаи" амниятро дар асоси калиди "модели" амниятӣ, ки ҳангоми барқарорсозии шабака гирифта шудааст, оғоз кунанд.

Таҳрири тазриқи шабака

Ҳангоми ҳамлаи тазриқии шабака, ҳакер метавонад нуқтаҳои дастрасиро, ки ба трафики шабакаи филтрнашуда дучор мешаванд, махсусан пахши трафики шабакавӣ ба мисли "Spanning Tree" (802.1D), OSPF, RIP ва HSRP истифода барад. Хакер фармонҳои азнавсозии шабакаҳои бардурӯғро, ки ба роутерҳо, коммутаторҳо ва марказҳои интеллектуалӣ таъсир мерасонанд, ворид мекунад. Ҳама гуна шабакаро метавон бо чунин роҳ хароб кард ва бозсозӣ ё ҳатто дубора барномарезии ҳама дастгоҳҳои шабакавии оқилро талаб мекунад.

Ҳамлаи Caffe Latte Таҳрир

Ҳамлаи Caffe Latte роҳи дигари мағлуб кардани WEP мебошад. Истифодаи ин истисмор барои ҳамлагар дар минтақаи шабака будан шарт нест. Бо истифода аз раванде, ки ба стеки бесими Windows нигаронида шудааст, калиди WEP -ро аз муштарии дурдаст гирифтан мумкин аст. [14] Бо фиристодани тӯфони дархостҳои рамзшудаи ARP, ҳамлагар аз аутентификатсияи калидҳои муштарак ва камбудиҳои тағир додани паём дар 802.11 WEP истифода мебарад. Ҳамлагар посухҳои ARP -ро барои гирифтани калиди WEP дар камтар аз 6 дақиқа истифода мебарад. [15]

Се роҳи асосии таъмини шабакаи бесим вуҷуд дорад.

  • Барои шабакаҳои пӯшида (ба монанди корбарони хонагӣ ва ташкилотҳо) роҳи маъмултарин танзими маҳдудиятҳои дастрасӣ дар нуқтаҳои дастрасӣ мебошад. Ин маҳдудиятҳо метавонанд рамзгузорӣ ва санҷиши суроғаи MAC -ро дар бар гиранд. Системаҳои пешгирии дахолати бесим метавонанд барои таъмини амнияти LAN дар ин модели шабака истифода шаванд.
  • Барои провайдерҳои тиҷоратӣ, нуқтаҳои доғ ва ташкилотҳои калон, ҳалли афзалиятнок аксар вақт доштани шабакаи бесими кушод ва рамзкунонидашуда, вале комилан ҷудошуда мебошад. Истифодабарандагон дар аввал ба Интернет ва ба ягон манбаи шабакаи маҳаллӣ дастрасӣ надоранд. Провайдерҳои тиҷоратӣ одатан тамоми трафики вебро ба портали асир интиқол медиҳанд, ки пардохт ва/ё иҷозатро пешбинӣ мекунад. Ҳалли дигар ин талаб кардани корбарон ба шабакаи имтиёзнок бо истифода аз VPN мебошад.
  • Шабакаҳои бесим нисбат ба шабакаҳои ноқилӣ дар бисёре аз офисҳо камтар амнтаранд, вайронкорон метавонанд ба осонӣ компютери шахсии худро дидан ва ба шабакаи симдор пайваст кунанд, ки ба шабака дастрасӣ пайдо кунанд ва аксар вақт дастраскунандагони дурдаст ба шабака тавассути дарҳои паси монанди Back Orifice. Як ҳалли умумӣ метавонад рамзгузории ниҳоӣ бошад ва бо аутентификатсияи мустақил дар ҳама захираҳое, ки набояд барои омма дастрас бошанд.

Ягон системаи омодашуда барои пешгирии истифодаи қаллобонаи алоқаи бесим ё ҳифзи маълумот ва функсияҳо бо компютерҳои бесими иртиботи бесим ва дигар объектҳо вуҷуд надорад. Аммо, системаи баҳодиҳии чораҳои андешидашуда дар маҷмӯъ мувофиқи як фаҳмиши умумӣ вуҷуд дорад, ки он ҳамчун ҳолати пешрафта ба назар мерасад. Системаи тахассус мувофиқати байналмилалӣ мебошад, ки дар ISO/IEC 15408 муайян карда шудааст.

Системаи пешгирии дахолати бесим Edit

Системаи пешгирии дахолати бесим (WIPS) консепсияи роҳи боэътимоди муқовимат ба хатарҳои амнияти бесим мебошад. [16] Аммо, чунин WIPS ҳамчун як ҳалли омодашудаи тарҳрезишуда ҳамчун бастаи нармафзор вуҷуд надорад. WIPS одатан ҳамчун қабати зерсохтори мавҷудаи LAN бесим амалӣ карда мешавад, гарчанде ки он метавонад мустақилона барои татбиқи сиёсати бесим дар дохили созмон ҷойгир карда шавад. WIPS барои амнияти бесим он қадар муҳим ҳисобида мешавад, ки дар моҳи июли соли 2009 Шӯрои Стандартҳои Амнияти Кортҳои Пардохт дастурҳои бесимро нашр кард [17] барои PCI DSS истифодаи WIPS -ро барои автоматизатсияи сканкунии бесим ва ҳифзи созмонҳои калон тавсия медиҳад.

Як қатор чораҳои амнияти бесим мавҷуданд, ки самаранокӣ ва амалии гуногун доранд.

SSID пинҳон Таҳрир

Усули оддӣ, вале бесамари кӯшиши таъмини шабакаи бесим пинҳон кардани SSID (Identifier Service Set) мебошад. [18] Ин аз ҳама чиз ҷуз як кӯшиши мудохилаи дахолати хеле кам муҳофизат мекунад.

Филтри MAC ID Таҳрир

Яке аз усулҳои соддатарин танҳо иҷозат додан ба дастрасӣ аз суроғаҳои MAC-и қаблан тасдиқшуда мебошад. Аксари нуқтаҳои дастрасии бесим дорои як намуди филтри MAC ID мебошанд. Аммо, ҳамлагар метавонад танҳо суроғаи MAC -и муштарии ваколатдорро бифаҳмад ва ин адресро фиреб диҳад.

Суроғаи статикӣ IP Таҳрир

Нуқтаҳои маъмулии дастрасии бесим ба мизоҷон тавассути DHCP суроғаҳои IP медиҳанд. Талаб кардани мизоҷон барои таъин кардани суроғаҳои худ, ворид шудани як ҳамлагари тасодуфӣ ё ғайриоддиро ба шабака мушкилтар мекунад, аммо аз як ҳамлагари мураккаб каме муҳофизат мекунад. [18]

Таҳрири амният 802.11

IEEE 802.1X механизми аутентификатсияи IEEE Standard ба дастгоҳҳое мебошад, ки мехоҳанд ба LANи бесим пайваст шаванд.

Таҳрири мунтазами WEP

Стандарти рамзгузории Wired Equivalent Privacy (WEP) стандарти аслии рамзгузории бесим буд, аммо аз соли 2004 бо тасдиқи WPA2, IEEE онро "кӯҳна" эълон кард [19] ва дар ҳоле ки аксар вақт дастгирӣ мешавад, он хеле кам аст ё ҳеҷ гоҳ пешфарз дар муосир нест таҷҳизот.

Нигарониҳо дар бораи амнияти он ҳанӯз дар соли 2001 ба миён омада буданд, [20] дар соли 2005 аз ҷониби FBI ба таври назаррас нишон дода шуда буд, [21] ҳанӯз дар соли 2007 T.J. Maxx як вайронкунии азими амниятро қисман ба эътимод ба WEP [22] эътироф кард ва саноати кортҳои пардохтӣ то соли 2008 истифодаи онро манъ кард - ва ҳатто баъд иҷозат дод, ки истифодаи мавҷуда то моҳи июни соли 2010 идома ёбад. [23]

WPAv1 Таҳрир

Баъдтар протоколҳои амнияти Wi-Fi Protected Access (WPA ва WPA2) барои ҳалли мушкилот бо WEP сохта шуданд. Агар пароли заиф, ба монанди калимаи луғат ё сатри аломатҳои кӯтоҳ истифода шавад, WPA ва WPA2 -ро шикастан мумкин аст. Истифодаи пароли тасодуфии ба қадри кофӣ дароз (масалан, 14 ҳарфи тасодуфӣ) ё ибораи гузарвожа (масалан, 5 калимаи ба таври тасодуфӣ интихобшуда) калиди муштаракии WPA-ро амалан шикастнопазир месозад. Насли дуюми протоколи амнияти WPA (WPA2) ба ислоҳи ниҳоии IEEE 802.11i ба стандарти 802.11 асос ёфтааст ва барои мутобиқати FIPS 140-2 мувофиқ аст. Бо ин ҳама схемаҳои рамзгузорӣ, ҳар як муштарӣ дар шабака, ки калидҳоро медонад, метавонад тамоми трафикро хонад.

Дастрасии муҳофизатшавандаи Wi-Fi (WPA) як такмили нармафзор/нармафзор тавассути WEP мебошад. Ҳама таҷҳизоти муқаррарии WLAN, ки бо WEP кор мекарданд, метавонанд танҳо такмил дода шаванд ва ҳеҷ таҷҳизоти нав харидан лозим нест. WPA як версияи буридаи стандарти амнияти 802.11i мебошад, ки онро IEEE 802.11 барои иваз кардани WEP таҳия кардааст. Алгоритми рамзгузории TKIP барои WPA таҳия карда шуд, то ба WEP такмил диҳад, ки метавонад ҳамчун такмили нармафзор ба дастгоҳҳои мавҷудаи 802.11 пешниҳод карда шавад. Профили WPA инчунин дастгирии ихтиёриро барои алгоритми AES-CCMP, ки алгоритми афзалиятнок дар 802.11i ва WPA2 мебошад, таъмин мекунад.

WPA Enterprise аутентификатсияро дар асоси RADIUS бо истифода аз 802.1X таъмин мекунад. WPA Personal барои таъсиси амният бо истифода аз гузарвожаи 8 то 63 аломати Калидҳои муштараки пешакӣ (PSK) истифода мебарад. PSK инчунин метавонад ҳамчун сатри шонздаҳии 64 аломат дохил карда шавад. Ибораҳои возеҳи PSK-ро метавон бо истифода аз ҳамлаҳои луғатии офлайнӣ бо сабти паёмҳо дар мубодилаи чорҷониба ҳангоми дубора пайваст шудани муштарӣ пас аз тасдиқи аутентификатсия шикастан мумкин аст. Сюитаҳои бесим, ба монанди aircrack-ng, метавонанд дар тӯли камтар аз як дақиқа ибораи заифро бишикананд. Дигар крекерҳои WEP/WPA ин AirSnort ва Collection Auditor Collection мебошанд. [24] Бо вуҷуди ин, WPA Personal ҳангоми истифода бо ибораҳои гузарвожаи 'хуб' ё калиди шонздаҳии пурраи 64 аломат бехатар аст.

Аммо, маълумоте мавҷуд буд, ки Erik Tews (марде, ки ҳамлаи парокандагиро бар зидди WEP офаридааст) дар конфронси амнияти PacSec дар Токио дар моҳи ноябри соли 2008 роҳи вайрон кардани татбиқи WPA TKIP -ро ошкор карда, рамзгузории бастаро дар байни 12 - 15 дақиқа. [25] Бо вуҷуди ин, эълони ин "тарқиш" то ҳадде расонаӣ карда шуд, зеро то моҳи августи соли 2009 беҳтарин ҳамла ба WPA (ҳамлаи Бек-Тюс) танҳо қисман муваффақ аст, зеро он танҳо дар маълумоти кӯтоҳ кор мекунад пакетҳо наметавонанд калиди WPA -ро рамзкушоянд ва барои кор амалисозии мушаххаси WPA -ро талаб мекунад. [26]

Иловаҳо ба WPAv1 Таҳрир

Илова ба WPAv1, TKIP, WIDS ва EAP метавонанд дар паҳлӯ илова карда шаванд. Инчунин, VPN-шабакаҳо (пайвастҳои бефосилаи шабакавии бехавф) метавонанд дар асоси стандарти 802.11 насб карда шаванд. Амалисозии VPN иборатанд аз PPTP, L2TP, IPsec ва SSH. Аммо, ин қабати иловагии амният инчунин метавонад бо асбобҳое ба мисли хашм, фиреб ва Ettercap барои PPTP [27] ва ike-scan, IKEProbe, ipsectrace ва IKEcrack барои пайвастҳои IPsec шикаста шавад.

Таҳрири TKIP

Ин маънои Протоколи якпорчагии муваққатиро дорад ва ихтисор ҳамчун tee-kip талаффуз карда мешавад. Ин як қисми стандарти IEEE 802.11i аст. TKIP омехтаи калидҳо ба як бастаро бо системаи такрории калид татбиқ мекунад ва инчунин санҷиши якпорчагии паёмҳоро таъмин мекунад. Инҳо аз мушкилоти WEP канорагирӣ мекунанд.

Таҳрири EAP

Такмили WPA аз стандарти IEEE 802.1X аллакай аутентификатсия ва иҷозатро барои дастрасӣ ба LANҳои бесим ва симӣ беҳтар кард. Илова бар ин, чораҳои иловагӣ ба монанди Протоколи васеъшавандаи аутентификатсия (EAP) миқдори бештари амниятро оғоз карданд. Ин, зеро EAP сервери марказии аутентификатсияро истифода мебарад. Мутаассифона, дар давоми соли 2002 профессори Мэриленд баъзе камбудиҳоро ошкор кард [ иқтибос лозим аст ]. Дар тӯли чанд соли оянда ин камбудиҳо бо истифода аз TLS ва дигар замимаҳо бартараф карда шуданд. [28] Ин версияи нави EAP ҳоло EAP Extended номида мешавад ва дар якчанд версияҳо дастрас аст: EAP-MD5, PEAPv0, PEAPv1, EAP-MSCHAPv2, LEAP, EAP-FAST, EAP-TLS, EAP-TTLS, MSCHAPv2, ва EAP-SIM.

Версияҳои EAP Таҳрир

Версияҳои EAP LEAP, PEAP ва дигар EAP-ро дар бар мегиранд.

Ин маънои Протоколи аутентификатсияи сабукро дорад. Ин протокол ба 802.1X асос ёфтааст ва бо истифода аз WEP ва системаи мураккаби идоракунии калидҳо ба кам кардани камбудиҳои аслии амният мусоидат мекунад. Ин версияи EAP нисбат ба EAP-MD5 бехатартар аст. Ин инчунин аутентификатсияи суроғаи MAC -ро истифода мебарад. LEAP бехатар нест THC-LeapCracker метавонад барои вайрон кардани версияи CEEE LEAP ва дар муқобили компютерҳое, ки ба нуқтаи дастрасӣ дар шакли ҳамлаи луғат пайвастанд, истифода шавад. Anwrap ва asleap дар ниҳоят дигар крекерҳо мебошанд, ки қодиранд LEAP -ро вайрон кунанд. [24]

This stands for Protected Extensible Authentication Protocol. This protocol allows for a secure transport of data, passwords, and encryption keys without the need of a certificate server. This was developed by Cisco, Microsoft, and RSA Security.

Other EAPs There are other types of Extensible Authentication Protocol implementations that are based on the EAP framework. The framework that was established supports existing EAP types as well as future authentication methods. [29] EAP-TLS offers very good protection because of its mutual authentication. Both the client and the network are authenticated using certificates and per-session WEP keys. [30] EAP-FAST also offers good protection. EAP-TTLS is another alternative made by Certicom and Funk Software. It is more convenient as one does not need to distribute certificates to users, yet offers slightly less protection than EAP-TLS. [31]

Restricted access networks Edit

Solutions include a newer system for authentication, IEEE 802.1X, that promises to enhance security on both wired and wireless networks. Wireless access points that incorporate technologies like these often also have routers built in, thus becoming wireless gateways.

End-to-end encryption Edit

One can argue that both layer 2 and layer 3 encryption methods are not good enough for protecting valuable data like passwords and personal emails. Those technologies add encryption only to parts of the communication path, still allowing people to spy on the traffic if they have gained access to the wired network somehow. The solution may be encryption and authorization in the application layer, using technologies like SSL, SSH, GnuPG, PGP and similar.

The disadvantage with the end-to-end method is, it may fail to cover all traffic. With encryption on the router level or VPN, a single switch encrypts all traffic, even UDP and DNS lookups. With end-to-end encryption on the other hand, each service to be secured must have its encryption "turned on", and often every connection must also be "turned on" separately. For sending emails, every recipient must support the encryption method, and must exchange keys correctly. For Web, not all web sites offer https, and even if they do, the browser sends out IP addresses in clear text.

The most prized resource is often access to the Internet. An office LAN owner seeking to restrict such access will face the nontrivial enforcement task of having each user authenticate themselves for the router.

802.11i security Edit

The newest and most rigorous security to implement into WLAN's today is the 802.11i RSN-standard. This full-fledged 802.11i standard (which uses WPAv2) however does require the newest hardware (unlike WPAv1), thus potentially requiring the purchase of new equipment. This new hardware required may be either AES-WRAP (an early version of 802.11i) or the newer and better AES-CCMP-equipment. One should make sure one needs WRAP or CCMP-equipment, as the 2 hardware standards are not compatible.

WPAv2 Edit

WPA2 is a WiFi Alliance branded version of the final 802.11i standard. [32] The primary enhancement over WPA is the inclusion of the AES-CCMP algorithm as a mandatory feature. Both WPA and WPA2 support EAP authentication methods using RADIUS servers and preshared key (PSK).

The number of WPA and WPA2 networks are increasing, while the number of WEP networks are decreasing, [33] because of the security vulnerabilities in WEP.

WPA2 has been found to have at least one security vulnerability, nicknamed Hole196. The vulnerability uses the WPA2 Group Temporal Key (GTK), which is a shared key among all users of the same BSSID, to launch attacks on other users of the same BSSID. It is named after page 196 of the IEEE 802.11i specification, where the vulnerability is discussed. In order for this exploit to be performed, the GTK must be known by the attacker. [34]

Additions to WPAv2 Edit

Unlike 802.1X, 802.11i already has most other additional security-services such as TKIP. Just as with WPAv1, WPAv2 may work in cooperation with EAP and a WIDS.

WAPI Edit

This stands for WLAN Authentication and Privacy Infrastructure. This is a wireless security standard defined by the Chinese government.

Smart cards, USB tokens, and software tokens Edit

Security token use is a method of authentication relying upon only authorized users possessing the requisite token. Smart cards are physical tokens in the cards that utilize an embedded integrated circuit chip for authentication, requiring a card reader. [35] USB Tokens are physical tokens that connect via USB port to authenticate the user. [36]

RF shielding Edit

It's practical in some cases to apply specialized wall paint and window film to a room or building to significantly attenuate wireless signals, which keeps the signals from propagating outside a facility. This can significantly improve wireless security because it's difficult for hackers to receive the signals beyond the controlled area of a facility, such as from a parking lot. [37]

Denial of service defense Edit

Most DoS attacks are easy to detect. However, a lot of them are difficult to stop even after detection. Here are three of the most common ways to stop a DoS attack.

Black holing Edit

Black holing is one possible way of stopping a DoS attack. This is a situation where we drop all IP packets from an attacker. This is not a very good long-term strategy because attackers can change their source address very quickly.

This may have negative effects if done automatically. An attacker could knowingly spoof attack packets with the IP address of a corporate partner. Automated defenses could block legitimate traffic from that partner and cause additional problems.

Validating the handshake Edit

Validating the handshake involves creating false opens, and not setting aside resources until the sender acknowledges. Some firewalls address SYN floods by pre-validating the TCP handshake. This is done by creating false opens. Whenever a SYN segment arrives, the firewall sends back a SYN/ACK segment, without passing the SYN segment on to the target server.

Only when the firewall gets back an ACK, which would happen only in a legitimate connection, would the firewall send the original SYN segment on to the server for which it was originally intended. The firewall doesn't set aside resources for a connection when a SYN segment arrives, so handling a large number of false SYN segments is only a small burden.

Rate limiting Edit

Rate limiting can be used to reduce a certain type of traffic down to an amount the can be reasonably dealt with. Broadcasting to the internal network could still be used, but only at a limited rate for example. This is for more subtle DoS attacks. This is good if an attack is aimed at a single server because it keeps transmission lines at least partially open for other communication.

Rate limiting frustrates both the attacker, and the legitimate users. This helps but does not fully solve the problem. Once DoS traffic clogs the access line going to the internet, there is nothing a border firewall can do to help the situation. Most DoS attacks are problems of the community which can only be stopped with the help of ISP's and organizations whose computers are taken over as bots and used to attack other firms.

With increasing number of mobile devices with 802.1X interfaces, security of such mobile devices becomes a concern. While open standards such as Kismet are targeted towards securing laptops, [38] access points solutions should extend towards covering mobile devices also. Host based solutions for mobile handsets and PDA's with 802.1X interface.

Security within mobile devices fall under three categories:

  1. Protecting against ad hoc networks
  2. Connecting to rogue access points
  3. Mutual authentication schemes such as WPA2 as described above

Wireless IPS solutions now offer wireless security for mobile devices. [39]

Mobile patient monitoring devices are becoming an integral part of healthcare industry and these devices will eventually become the method of choice for accessing and implementing health checks for patients located in remote areas. For these types of patient monitoring systems, security and reliability are critical, because they can influence the condition of patients, and could leave medical professionals in the dark about the condition of the patient if compromised. [40]

In order to implement 802.11i, one must first make sure both that the router/access point(s), as well as all client devices are indeed equipped to support the network encryption. If this is done, a server such as RADIUS, ADS, NDS, or LDAP needs to be integrated. This server can be a computer on the local network, an access point / router with integrated authentication server, or a remote server. AP's/routers with integrated authentication servers are often very expensive and specifically an option for commercial usage like hot spots. Hosted 802.1X servers via the Internet require a monthly fee running a private server is free yet has the disadvantage that one must set it up and that the server needs to be on continuously. [41]

To set up a server, server and client software must be installed. Server software required is an enterprise authentication server such as RADIUS, ADS, NDS, or LDAP. The required software can be picked from various suppliers as Microsoft, Cisco, Funk Software, Meetinghouse Data, and from some open-source projects. Software includes:

  • Aradial RADIUS Server
  • Cisco Secure Access Control Software (open-source)
  • Funk Software Steel Belted RADIUS (Odyssey)
  • Microsoft Internet Authentication Service
  • Meetinghouse Data EAGIS
  • SkyFriendz (free cloud solution based on freeRADIUS)

Client software comes built-in with Windows XP and may be integrated into other OS's using any of following software:

  • AEGIS-client
  • Cisco ACU-client
  • Intel PROSet/Wireless Software
  • Odyssey client (open1X)-project

RADIUS Edit

Remote Authentication Dial In User Service (RADIUS) is an AAA (authentication, authorization and accounting) protocol used for remote network access. RADIUS, developed in 1991, was originally proprietary but then published in 1997 under ISOC documents RFC 2138 and RFC 2139. [42] [43] The idea is to have an inside server act as a gatekeeper by verifying identities through a username and password that is already pre-determined by the user. A RADIUS server can also be configured to enforce user policies and restrictions as well as record accounting information such as connection time for purposes such as billing.

Today, there is almost full wireless network coverage in many urban areas – the infrastructure for the wireless community network (which some consider to be the future of the internet [ Ташкили Тандурустии Ҷаҳон? ] ) is already in place. One could roam around and always be connected to Internet if the nodes were open to the public, but due to security concerns, most nodes are encrypted and the users don't know how to disable encryption. Many people [ Ташкили Тандурустии Ҷаҳон? ] consider it proper etiquette to leave access points open to the public, allowing free access to Internet. Others [ Ташкили Тандурустии Ҷаҳон? ] think the default encryption provides substantial protection at small inconvenience, against dangers of open access that they fear may be substantial even on a home DSL router.

The density of access points can even be a problem – there are a limited number of channels available, and they partly overlap. Each channel can handle multiple networks, but places with many private wireless networks (for example, apartment complexes), the limited number of Wi-Fi radio channels might cause slowness and other problems.

According to the advocates of Open Access Points, it shouldn't involve any significant risks to open up wireless networks for the public:

  • The wireless network is after all confined to a small geographical area. A computer connected to the Internet and having improper configurations or other security problems can be exploited by anyone from anywhere in the world, while only clients in a small geographical range can exploit an open wireless access point. Thus the exposure is low with an open wireless access point, and the risks with having an open wireless network are small. However, one should be aware that an open wireless router will give access to the local network, often including access to file shares and printers.
  • The only way to keep communication truly secure is to use end-to-end encryption. For example, when accessing an internet bank, one would almost always use strong encryption from the web browser and all the way to the bank – thus it shouldn't be risky to do banking over an unencrypted wireless network. The argument is that anyone can sniff the traffic applies to wired networks too, where system administrators and possible hackers have access to the links and can read the traffic. Also, anyone knowing the keys for an encrypted wireless network can gain access to the data being transferred over the network.
  • If services like file shares, access to printers etc. are available on the local net, it is advisable to have authentication (i.e. by password) for accessing it (one should never assume that the private network is not accessible from the outside). Correctly set up, it should be safe to allow access to the local network to outsiders.
  • With the most popular encryption algorithms today, a sniffer will usually be able to compute the network key in a few minutes.
  • It is very common to pay a fixed monthly fee for the Internet connection, and not for the traffic – thus extra traffic will not be detrimental.
  • Where Internet connections are plentiful and cheap, freeloaders will seldom be a prominent nuisance.

On the other hand, in some countries including Germany, [44] persons providing an open access point may be made (partially) liable for any illegal activity conducted via this access point. Also, many contracts with ISPs specify that the connection may not be shared with other persons.


2 Ҷавоб 2

CIFS is a file sharing protocol. NFS is a volume sharing protocol. The difference between the two might not initially be obvious.

NFS is essentially a tiny step up from directly sharing /dev/sda1. The client actually receives a naked view of the shared subset of the filesystem, including (at least as of NFSv4) a description of which users can access which files. It is up to the client to actually manage the permissions of which user is allowed to access which files.

CIFS, on the other hand, manages users on the server side, and may provide a per-user view and access of files. In that respect, it is similar to FTP or WebDAV, but with the ability to read/write arbitrary subsets of a file, as well as a couple of other features related to locking.

This may sound like NFS is distinctively inferior to CIFS, but they are actually meant for a different purpose. NFS is most useful for external hard drives connected via Ethernet, and virtual cloud storage. In such cases, it is the intention to share the drive itself with a machine, but simply do it over Ethernet instead of SATA. For that use case, NFS offers greater simplicity and speed. A NAS, as you're using, is actually a perfect example of this. It isn't meant to manage access, it's meant to not be exposed to systems that shouldn't access it, in the first place.

If you absolutely MUST use NFS, there are a couple of ways to secure it. NFSv4 has an optional security model based on Kerberos. Good luck using that. A better option is to not allow direct connection to the NFS service from the host, and instead require going through some secure tunnel, like SSH port forwarding. Then the security comes down to establishing the tunnel. However, either one of those requires cooperation from the host, which would probably not be possible in the case of your NAS.

Mind you, if you're already using CIFS and it's working well, and it's giving you good access control, there's no good reason to switch (although, you'd have to turn the NFS off for security). However, if you have a docker-styled host, it might be worthwhile to play with iptables (or the firewall of your choice) on the docker-host, to prevent the other containers from having access to the NAS in the first place. Rather than delegating security to the NAS, it should be done at the docker-host level.


Update Protect’s Wi-Fi information

Маслиҳат: You should update Wi-Fi information for any Nest cameras before you update your Nest Protects. Your Nest Protects should talk to each other during setup and share Wi-Fi information. If your Protect doesn’t ask you for new Wi-Fi information, one of your other Nest products may be sharing Wi-Fi information with it.

2nd gen Nest Protect

On the Nest app home screen, tap Танзимот .

Under “Device options,” tap Wi-Fi connection.

Ламс кунед Баъдӣ. Nest will attempt to connect to your Protect, and it will start looking for nearby Wi-Fi networks.

Select your Wi-Fi network and enter the password. Your Protect should automatically reconnect.

1st gen Nest Protect

Once it’s removed, set up Protect in the Nest app again. The app should walk you through connecting Protect to Wi-Fi.

Маслиҳат: For 1st gen Nest Protects, write down the entry key for each of your Protects and put it in a safe space. That way if you ever need to update its Wi-Fi information again, you won’t have to remove your Protect from the wall or ceiling to re-add it to the app.


What security threats are associated with network infrastructure devices?

Network infrastructure devices are often easy targets for attackers. Once installed, many network devices are not maintained at the same security level as general-purpose desktops and servers. The following factors can also contribute to the vulnerability of network devices:

  • Few network devices—especially small office/home office and residential-class routers—run antivirus, integrity-maintenance, and other security tools that help protect general-purpose hosts.
  • Manufacturers build and distribute these network devices with exploitable services, which are enabled for ease of installation, operation, and maintenance.
  • Owners and operators of network devices often do not change vendor default settings, harden them for operations, or perform regular patching.
  • Internet service providers may not replace equipment on a customer’s property once the equipment is no longer supported by the manufacturer or vendor.
  • Owners and operators often overlook network devices when they investigate, look for intruders, and restore general-purpose hosts after cyber intrusions.

Guidelines for Securing Wireless Local Area Networks (WLANs)

A wireless local area network (WLAN) is a group of wireless networking devices within a limited geographic area, such as an office building, that exchange data through radio communications. The security of each WLAN is heavily dependent on how well each WLAN component—including client devices, access points (AP), and wireless switches—is secured throughout the WLAN lifecycle, from initial WLAN design and deployment through ongoing maintenance and monitoring. The purpose of this publication is to help organizations improve their WLAN security by providing recommendations for WLAN security configuration and monitoring. This publication supplements other NIST publications by consolidating and strengthening their key recommendations.

A wireless local area network (WLAN) is a group of wireless networking devices within a limited geographic area, such as an office building, that exchange data through radio communications. The security of each WLAN is heavily dependent on how well each WLAN component—including client devices, access points (AP), and wireless switches—is secured throughout the WLAN lifecycle, from initial WLAN design and deployment through ongoing maintenance and monitoring. The purpose of this publication is to help organizations improve their WLAN security by providing recommendations for WLAN security configuration and monitoring. This publication supplements other NIST publications by consolidating and strengthening their key recommendations.

Калидвожаҳо

Control Families

Access Control Configuration Management Planning Risk Assessment System and Communications Protection

Ҳуҷҷатгузорӣ

Document History:
02/21/12: SP 800-153 (Final)


How to Secure wireless networks

  • Changing default passwords that come with the hardware
  • Enabling the authentication mechanism
  • Access to the network can be restricted by allowing only registered MAC addresses.
  • Use of strong WEP and WPA-PSK keys, a combination of symbols, number and characters reduce the chance of the keys been cracking using dictionary and brute force attacks.
  • Сипар Software can also help reduce unauthorized access.

5. PLAN AHEAD. Create a plan for responding to security incidents.

Taking steps to protect data in your possession can go a long way toward preventing a security breach. Nevertheless, breaches can happen. Here’s how you can reduce the impact on your business, your employees, and your customers:

  • Have a plan in place to respond to security incidents. Designate a senior member of your staff to coordinate and implement the response plan.
  • If a computer is compromised, disconnect it immediately from your network.
  • Investigate security incidents immediately and take steps to close off existing vulnerabilities or threats to personal information.
  • Consider whom to notify in the event of an incident, both inside and outside your organization. You may need to notify consumers, law enforcement, customers, credit bureaus, and other businesses that may be affected by the breach. In addition, many states and the federal bank regulatory agencies have laws or guidelines addressing data breaches. Consult your attorney.

SECURITY CHECK

Савол:
I own a small business. Aren’t these precautions going to cost me a mint to implement?

Ҷавоб:
No. There’s no one-size-fits-all approach to data security, and what’s right for you depends on the nature of your business and the kind of information you collect from your customers. Some of the most effective security measures—using strong passwords, locking up sensitive paperwork, training your staff, etc.—will cost you next to nothing and you’ll find free or low-cost security tools at non-profit websites dedicated to data security. Furthermore, it’s cheaper in the long run to invest in better data security than to lose the goodwill of your customers, defend yourself in legal actions, and face other possible consequences of a data breach.