Что такое скрытая Wi-Fi сеть (<hidden>), кому и зачем она нужна, как подключиться к скрытой Wi-Fi сети (Недоступна; Вы не находитесь в зоне действия сети.).
Что такое скрытая Wi-Fi сеть
Wi-Fi сеть становится скрытой (<hidden>, «нас тут нет»), когда в настройках роутера (модема) отключена широковещательная трансляция SSID (Wi-Fi Settings -> Main SSID -> SSID Broadcast: No):
SSID (Service Set Identifier) — это символьное название беспроводной точки доступа Wi-Fi, служащее для идентификации её среди других точек пользователями или устройствами, подключающимися к сети. SSID представляет собой строку, размером до 32 байт, которая передается широковещательно в эфир. Расположенные рядом с сетью устройства принимают название и если им разрешено присоединиться к точке доступа, то соединяются с ней. С точки зрения безопасности сети администраторы иногда запрещают точке доступа вещать идентификатор, тогда такое устройство в списке видимых точек доступа не отображается, чтобы подключиться к такой сети необходимо ввести идентификатор в подключаемом устройстве вручную. Существуют точки доступа, позволяющие разделять абонентов по сегментам, в таких случаях одна точка доступа может иметь несколько идентификаторов SSID. Обмен данными в Wi-Fi сетях регламентируется стандартом IEEE 802.11.
В некоторых приложениях скрытые сети могут отображаться как <hidden> или *hidden*, но это не точно потому, что некоторые маршрутизаторы допускают использование в названии SSID не только спецсимволы !#()+-./%=?@^_{|}~, а и символ астерикса * также.
Кому нужна скрытая Wi-Fi сеть
Скрытая Wi-Fi сеть в первую очередь нужна конспирологам, параноикам, сказочным ахинейщикам и маразматикам.
Впрочем, скрытая Wi-Fi сеть будет полезна администраторам и всем остальным, кто ценит свою приватность, время и деньги. Отключение широковещательной трансляции SSID, например:
- избавляет от массовых попыток подключения в людных местах;
- снижает расход заряда аккумулятора на обработку попыток авторизации;
- уменьшает риск взлома, утечки предоплаченного трафика и/или порчи устройства;
- усложняет отслеживание перемещения в пространстве.
Преимущества очевидны.
Такая практика также применяется в торговых центрах, где обычно намного больше безпроводных сетей, чем в своих смартфонах видят посетители. Скрытые беспроводные сети там нужны для внутреннего пользования сотрудниками и/или работы кассового оборудования.
Безопасна ли скрытая Wi-Fi сеть
Всё зависит от того, с какой точки зрения смотреть на предмет. С точки зрения клиента или с точки зрения её администратора?
Для клиента, скрытая Wi-Fi сеть условно безопасна и условно небезопасна ровно на столько, как и все остальные Wi-Fi сети.
Для администратора, отключение широковещательной трансляции SSID уменьшает уязвимость сети.
Вместе с тем, SSID не является скрытым на 100% и может быть определён спец.программами типа aircrack-ng (wireshark и т.п.) с правами root для перехвата трафика сетевого интерфейса, но - это дополнительный геморрой и по известным причинам не каждый будет им заниматься.
Какие-то там эксперты говорят, что сокрытие SSID не самый лучший способ защиты от взлома. Однако, - это всё же способ?! А в тандеме с ровными руками и сильными паролями получится неприступная крепость.
Подключение к скрытой Wi-Fi сети
Для подключения к скрытой Wi-Fi сети нужно знать:
- SSID (регистр символов важен!);
- Security Mode: WPA2(AES)-PSK (на роутере) ака WPA/WPA2-Personal (в Android)
- Pass Phrase *: mypassword
Андроид 10
В некоторых случаях попытки подключения могут завершаться ошибками: Недоступна; Вы не находитесь в зоне действия сети. Содержимое текста о статусе сети и сообщений про ошибки зависит от используемой версии Андроид.
Статус сети Недоступна
для не подключённой скрытой Wi-Fi сети всегда будет таким на Андроид 10, а на Андроид 11 Не подключена
.
Подключение завершается сообщением Вы не находитесь в зоне действия сети
, значит нужно удалить сохранённую сеть и добавить заново, только на этот раз не забыть развернуть Дополнительные настройки и Скрытая сеть установить в Да. На Андроид 11 при добавлении сети Скрытая сеть по-умолчанию Да.
Скрытая сеть -> Да
Если ваш маршрутизатор не транслирует идентификатор сети, но вы хотели бы подключиться к ней в будущем, можно присвоить этой сети статус скрытой.
При этом телефон будет постоянно транслировать сигнал, пытаясь найти эту сеть, что может отрицательно повлиять на безопасность вашего устройства.
Сохранение скрытой сети не повлияет на настройки вашего маршрутизатора.
Если это не помогло, значит действительно Вы не находитесь в зоне действия сети
и нужно ближе подойти к зоне Вай-Фай покрытия.
Debian 10
В менеджере управления сетевыми подключениями, Wicd в данном случае, нажимаем Сеть -> Найти скрытую сеть (Введите SSID скрытой сети), в открывшемся окне Hidden Network вводим Идентификатор (ESSID) скрытой сети и Подключиться.
Если с первого раза сеть не обнаружена (так бывает, из-за загруженной частоты например), тогда повторяем попытку Обновить ещё несколько раз, а если не помогло, то можно сбросить Сеть -> Забыть настройки сети и попробовать снова.
Теоретически, подключение может быть и по BSSID (Basic Service Set Identification), который собой представляет MAC-адрес беспроводного устройства.
Бывают случаи, когда Авторизация проходит успешно, - это можно видеть в статистике роутера Подключённые устройства, но на стороне клиента на этапе Проверка ассоциаций соединение обрывается и нам выдаёт сообщение Нет подключения. В журнале dmesg этот процесс выглядит следующим образом:
[ ОБНОВИТЬ список доступных сетей ] [Пн янв 15 17:01:06 2024] r8188eu 1-1:1.0: firmware: direct-loading firmware rtlwifi/rtl8188eufw.bin [ ПОДКЛЮЧИТСЯ к точке доступа] [Пн янв 15 17:02:01 2024] RTL8211B Gigabit Ethernet r8169-0-100:00: attached PHY driver [RTL8211B Gigabit Ethernet] (mii_bus:phy_addr=r8169-0-100:00, irq=IGNORE) [Пн янв 15 17:02:01 2024] r8169 0000:01:00.0 enp1s0: Link is Down [Пн янв 15 17:02:02 2024] r8188eu 1-1:1.0: firmware: direct-loading firmware rtlwifi/rtl8188eufw.bin [Пн янв 15 17:02:05 2024] r8188eu 1-1:1.0: firmware: direct-loading firmware rtlwifi/rtl8188eufw.bin [Пн янв 15 17:02:12 2024] r8188eu 1-1:1.0: firmware: direct-loading firmware rtlwifi/rtl8188eufw.bin [Пн янв 15 17:02:15 2024] R8188EU: assoc success [Пн янв 15 17:02:15 2024] IPv6: ADDRCONF(NETDEV_CHANGE): wlx1c61b616f466: link becomes ready [ ИМЯ_ТОЧКИ: Проверка ассоциации с точкой доступа... (сообщение статусной строки) ] [Пн янв 15 17:02:52 2024] R8188EU: indicate disassoc [Пн янв 15 17:02:52 2024] R8188EU: indicate disassoc [Пн янв 15 17:02:53 2024] R8188EU: indicate disassoc [Пн янв 15 17:02:53 2024] RTL8211B Gigabit Ethernet r8169-0-100:00: attached PHY driver [RTL8211B Gigabit Ethernet] (mii_bus:phy_addr=r8169-0-100:00, irq=IGNORE) [Пн янв 15 17:02:53 2024] r8169 0000:01:00.0 enp1s0: Link is Down
Открываем Параметры -> Расширенные настройки -> Беспроводной интерфейс и отключаем:
- Пинговать статические шлюзы после соединения, для проверки ассоциаций - Нет/Выкл
Тогда с установкой соединения проблем не будет, но в таких случаях передача данных может начаться не сразу, а с задержкой в 1-2 мин - нужно будет подождать.
Укрепляем рубежи
Как ещё можно обезопасить свою точку доступа и предотвратить вторжение непрошенных гостей?
Уменьшаем зону Wi-Fi покрытия
Сигнал Wi-Fi может передаваться на километры даже при низкой мощности передачи, но для приема Wi-Fi-сигнала с обычного Wi-Fi-маршрутизатора на большом расстоянии нужна антенна с высоким коэффициентом усиления (например, параболическая антенна или WiFi-Пушка).
Обычные бытовые Wi-Fi-маршрутизаторы покрывают зону в пределах 50-300 метров, а мобильные 4G модемы в радиусе 10-15 метров.
Зачем нам передавать Wi-Fi сигнал на километры, сотни или даже десятки метров, когда он нам нужен в радиусе всего 3-5 м? Во-первых это не рационально в силу избыточного расхода электроэнергии, а во-вторых не совсем безопасно...для здравия в том же числе.
Некоторые мобильные 4G Wi-Fi модемы и бытовые Wi-Fi-маршрутизаторы имеют соответствующие настройки, как например Advanced Settings -> Power-save -> Wi-Fi Coverage где можно выбрать:
- Short Wi-Fi Coverage - Best battery life
- Medium Wi-Fi Coverage
- Long Wi-Fi Coverage
Уменьшив зону покрытия Wi-Fi мы сократим излишний расход электроэнергии, также обрубим врагу саму физическую возможность подключения к нашей точке доступа. А когда у врагов нет физической возможности подключения к точке доступа, то и угрозы взлома быть не может.
Отключаем DHCP Server
Ещё больше усложнить жизнь врагам можно отключив DHCP Server в настройках Advanced Settings -> Router -> DHCP Server = Disable и изменив IP Address роутера по-умолчанию:
- IP Address *: 192.168.100.1
- Subnet Mask *: 255.255.255.0
Поменять его с 192.168.100.1 скажем на 192.168.99.20, тогда при подключении нужно будет вручную вводить:
- IP Address *: 192.168.99.10
- Gateway: 192.168.99.20
- Subnet Mask *: 255.255.255.0
- DNS: 192.168.99.20
Где 10 в 4-м октете IP Address-а может быть любым свободным от устройств номером в диапазоне от 2 до 254.
Можно использовать любой другой Частный IP-адрес из диапазонов:
10.0.0.0 — 10.255.255.255(маска подсети для бесклассовой (CIDR) адресации: 255.0.0.0 или /8)172.16.0.0 — 172.31.255.255(маска подсети: 255.240.0.0 или /12)192.168.0.0 — 192.168.255.255(маска подсети: 255.255.0.0 или /16)
Используйте только частные IP-адреса из rfc1918!
Крайне не рекомендуется использовать любые другие зарезервированные под локальные нужды ИП-диапазоны адресов потому, что пакеты исходящие из них дальше локального пространства не пропустит канальный маршрутизатор провайдера, правила NAT не сработают и Интернета не будет! Будет, как в анекдоте:
- ОоОо да! Давай-давай! Глубже, дальше..!
- А дальше яйца не пускают.
Теперь, даже если теоретически взломщик как-то (соседи сдадут например) узнает SSID и пароль, но не будет знать адрес подсети и шлюза, то подключится к точке доступа он никак не сможет.
Подсказки
Если в настройках маршрутизатора что-то накрутили и оно перестало работать, а исправить можно только сбросом настроек к заводским, то при этом желательно всегда использовать ИБП или повербанк (для мобильных модемов). Иначе, если в процессе пропадёт электричество, то роутер превратится в бездыханный кирпич.
По той самой причине рекомендуется отключать автоматическое обновление прошивки и всегда выполнять его вручную с обязательным наличием ИБП (Источника Безперебойного Питания).
Ссылки по теме
- RFC 1918 - Address Allocation for Private Internets
- WiFiAnalyzer | F-Droid - Free and Open Source Android App Repository
- Приложения в Google Play – WiFi Analyzer (open-source)
- Как проверить мощность сигнала и зону покрытия беспроводной сети Wi-Fi роутера? – Keenetic
