Все эти схемы защиты зависят от информации, которая находилась в совместном пользовании ранее. Любой, кому известны ваши фраза-пароль для WPA2, SSID и пароль в Windows, может подключиться к вашей беспроводной сети и даже, возможно, читать файлы на вашем жестком диске. Система строится на конфиденциальности, и для разрушения всей системы достаточно нарушить эту конфиденциальность.

Например, допустим, на вашем небольшом предприятии работают 20 сотрудников и кого-то из них увольняют. Или, скажем, вы живете в многоквартирном доме с совместным доступом к беспроводной сети и кто-то выселяется. В любом из случаев у лица, покинувшего систему, может по-прежнему сохраняться фраза-пароль бес* проводной сети (а в случае предприятия — общий пароль в Windows), и у него будет возможность войти в вашу сеть.

Что же делать? Ну, например, вы можете изменить пароль, а затем снабдить новым паролем остальные компьютеры и сказать всем, чтобы они постарались запомнить новый пароль. Но бывший сотрудник, бывший квартиросъемщик или бывший приятель может узнать новый пароль от друга или во время последующего посещения, и вы возвращаетесь туда, откуда начали. Короче говоря, сеть, защищенная от незваных гостей только с помощью паролей, остается уязвимой.

Одно из решений для домашних сетей и небольших предприятий, имеющих оборудование без возможности установки сервера идентификации, обычно доступного только большим компаниям, — использовать фильтрацию адресов MAC.

Адрес MAC (Media Access Control — Управление доступом к среде передачи данных) является более или менее уникальным идентификатором для каждого сетевого адаптера на вашем компьютере, или, в применении к маршрутизатору, уникальным идентификатором для каждого подключения в вашей сети. Вы можете настроить маршрутизатор так, чтобы он позволял только конкретным адресам MAC подключаться к сети и при этом не пускал кого-либо еще независимо от того, знают ли они фразу-пароль вашего WPA2или нет.

Страница типового беспроводного фильтра MAC показана на рис. 6.13. Если у вашего маршрутизатора нет этой функции, прочитайте раздел «Переход к более новой версии маршрутизатора». Включите здесь параметр Разрешить доступ к беспроводной сети только перечисленным компьютерам (Permit only PCs listed to access the wireless network) и затем введите или скопируйте М AC-адреса беспроводных адаптеров ваших компьютеров. Когда это сделано, сохраните установки.

Для получения М AC-адреса вашего компьютера (это не имеет никакого отношения к компьютерам Macintosh) откройте Центр управления сетями и общим доступом (Network and Sharing Center) в Панели Управления и затем щелкните на ссылке с названием действующего сетевого адаптера, расположенной под названием Просмотр активных сетей (View your active networks). Наконец, нажмите кнопку Сведения (Details), чтобы открыть окно Сведения о сетевом подключении (Network Connection Details), изображенное на рис. 6.14. Строка Физический адрес (Physical Address), состоящая из шести сегментов, является МАС-адресом данного адаптера.

Вам понадобится ввести MAC-адрес всех без исключения компьютеров, которые подключаются к вашей сети беспроводным способом. Стоит пропустить один из них, и он не сможет подключиться, а пользователь этого компьютера не будет знать причины. Не стоит беспокоиться о компьютерах, подключенных к вашей сети с помощью кабелей, — они не пострадают.

Итак, фильтрация МАС-адресов является практичным решением, но она не защищена от неумелого пользования. Например, любой, у кого есть доступ к странице настройки маршрутизатора, может внести изменения в утвержденный список, — если вы этого еще не сделали, измените пароль доступа к вашему маршрутизатору. Следующим шагом будет выключить параметр Дистанционного администрирования (Remote Administration) маршрутизатора для гарантии того, что только лица, подключенные к вашей сети, будут иметь к нему доступ. Наконец, следует учесть потенциально уязвимое место в фильтрации МАС-адресов, о которой идет речь во врезке «Почему фильтрация МАС-адресов не защищена от неумелого пользования» на с, 356.

ПОЧЕМУ ФИЛЬТРАЦИЯ МАС-АДРЕСОВ НЕ ЗАЩИЩЕНА ОТ НЕУМЕЛОГО ПОЛЬЗОВАНИЯ

Все устройства в сети имеют разные МАС-адреса, и это может казаться идеальным способом защиты от злоумышленников, но здесь таится ловушка. Дело в том, что на большей части современного оборудования есть возможность поменять МАС-адрес, поэтому теоретически можно подделать его и подключиться к фильтруемой сети. Получается, что МАС-адреса — это что-то вроде пароля?