Крок 1. Налаштування сервера Esomo

Спочатку видамо постійну IP-адресу бездротовій точці доступу для работы у нашій мережі. Для цього додамо точку доступу в список статичного DHCP (МАС-адресу точки доступу зазвичай вказаний у наліпці на ній). Тепер додамо бездротову точку доступу у список точок доступу на сервері Esomo та вкажемо для неї секретний ключ (пароль). Це необхідно для організації безпечного з'єднання між точкою доступу і Esomo. Щоб користувачі мережі могли виходити в Інтернет, а Esomo обліковувати їхній трафік, необхідно створити тариф, який встановлює вартість 1 Мб трафіку або 1 хвилини інтернет-з'єднання. На цьому налаштування сервера Esomo закінчене.

Крок 2. Налаштування бездротової точки доступу

Отримати доступ до бездротової мережі можна тільки після успішної авторизації на сервері Esomo, тому завчасно потрібно налаштувати бездротову точку доступу на роботу з RADIUS сервером. Для цього під'єднаємось до точки доступу через веб-браузер за IP-адресою, яку ми їй раніше привласнили через Esomo АРМ. В якості режиму роботи точки доступу вкажемо WPA-Enterprise, в якості протоколу шифрування - TKIP, в якості RADIUS сервера - IP-адресу комп'ютера з Esomo. Також перевіримо, щоб секретний ключ, прописаний в налаштуваннях точки доступу (Shared Secret) співпадав з ключем, вказаним для точки доступу в Esomo АРМ.

Крок 3. Налаштування комп'ютера користувача

Для двосторонньої перевірки достовірності між комп'ютером користувача і сервером Esomo необхідно встановити на ПК користувача цифрові сертифікати та налаштувати його бездротовий адаптер на роботу за протоколом EAP-TLS.Авторизація користувача на сервері Esomo вібувається за участі двох цифрових сертифікатів: кореневого і користувальницького. Ці сертифікати необхідно отримати через Esomo АРМ і встановити на комп'ютер. Тепер встановимо отримані цифрові сертифікати. Зі встановленням кореневого сертифіката не повинно виникнути ніяких складнощів.В процесі встановлення сертифікату для користувача testuser необхідно буде ввести пароль testuser, котрим захищений цей сертифікат. Тепер налаштуємо бездротовий мережевий адаптер нашого ПК на роботу з RADIUS сервером Esomo за протоколом EAP-TLS. Для цього в конфігурації бездротового адаптера вкажемо використовувати шифрування TKIP і перевірку достовірності за протоколом WPA з допомогою цифрових сертифікатів. Отже, всі налаштування закінчені і бездротова мережа готова до роботи. Від'єднуємо наш комп'ютер від мережевого комутатора та намагаємось під'єднатись до wi-fi мережі. Після пошуку доступних мереж бездротовий адаптер виявить нашу захищену мережу. Після успішної аутентифікації за цифровими сертифікатами і перевірки на RADIUS-сервері наш комп'ютер під'єднається до wi-fi мережі. Залишилося зробити останній крок на шляху до суперзахисту нашої бездротової мережі.

Крок 4. Створення другого рівня захисту - встановлення vpn з'єднання з шифруванням трафіку

Максимальний захист бездротового трафіку в мережі з Esomo досягається за рахунок використання технології VPN понад вже встановленного бездротового з'єднання за протоколом WPA, що додає другий рівень шифрування трафіку. Створення VPN-з'єднання між комп'ютером користувача і сервером Esomo відбувається автоматично. Після успішної перевірки логіна і пароля між нашим ПК і сервером Esomo встановиться VPN з'єднання. Тепер можна безпечно працювати в Інтернеті. Увесь трафік буде шифруватись не тільки засобами WPA, але й VPN. А через Esomo АРМ в будь-який час можна подивитись статистику "накачаного" трафіку та за пару кліків імпортувати її в MS Excel.

Перевіривши, що все працює, підключимо інші комп'ютери до бездротової мережі та надамо користувачам доступ в Інтернет. Для цього створимо нових користувачів через Esomo АРМ, привласнимо їм доданий раніше тариф. Потім створимо для цих користувачів цифрові сертифікати і встановимо на комп'ютер кожного користувача кореневий сертифікат та його власний користувальницький сертифікат. Також треба налаштувати бездротовий адаптер на комп'ютері кожного користувача для роботи з RADIUS сервером за протоколом EAP-TLS.

На цьому налаштування бездротової мережі зі спільним доступом в Інтернет повністю завершена. Esomo чудово працює як RADIUS сервер і сервер доступу в Інтернет не тільки в wi-fi мережах, але і в проводних та змішаних LAN, коли одні сегменти мережі об'єднані за допомогою кабеля, а інші за допомогою wi-fi.

Висновок

Змінення на маршрутизаторі або точці доступу ім'я та пароля адміністратора за промовчанням

Якщо у вас є маршрутизатор або точка доступу, можливо, для настроювання обладнання ви користувалися ім'ям і паролем за промовчанням. Більшість виробників використовують однакові ім'я та пароль за промовчанням для всього обладнання, чим зловмисники можуть скористатися для отримання доступу до маршрутизатора або точки доступу без вашого дозволу. Щоб уникнути ризику, змініть на маршрутизаторі ім'я адміністратора та пароль за промовчанням. Інструкції щодо зміни імені та пароля можна знайти в документації відповідного пристрою.

Змінення ідентифікатора SSID за промовчанням

Маршрутизатори та точки доступу використовують ім'я безпроводової мережі, яке називається ідентифікатором безпроводової мережі (SSID). Більшість виробників використовують однаковий ідентифікатор SSID для всіх маршрутизаторів і точок доступу. Рекомендовано змінити ідентифікатор SSID за промовчанням, щоб запобігти накладанню вашої та інших безпроводових мереж, які теж використовують ідентифікатор SSID за промовчанням. Це полегшує розпізнавання власної безпроводової мережі, якщо поблизу є кілька таких мереж, тому що ідентифікатор SSID зазвичай відображається у списку доступних мереж.

Правильне розташування маршрутизатора та точки доступу

Безпроводові сигнали можуть передаватися на відстань у кілька сотень метрів, тому сигнал вашої мережі може транслюватися за межі дому. Можна обмежити область розповсюдження безпроводового сигналу, розташувавши маршрутизатор або точку доступу ближче до центра дому, а не поруч із зовнішньою стіною чи вікном.