Je koopt een dure router, installeert complex wachtwoord en je vertelt het aan niemand, maar je merkt nog steeds dat de snelheid soms op de een of andere manier zakt ... Het is erger, alleen als je identiteitsdiefstal, een vergrendelde computer en andere geneugten ontdekt. Ondanks antivirus en andere bescherming.
Het blijkt dat wifi thuis lang niet zo veilig is als je zou denken. Laten we uitzoeken waarom.
Kwetsbare WPA2
Moderne punten Wi-Fi-toegang voornamelijk beschermd door het WPA2-protocol. Het implementeert CCMP- en AES-codering. CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) is een protocol encryptie blokkeren met Message Authentication Code (MAC) en Block and Counter Chaining Mode, die is gemaakt om de zwakkere TKIP (gebruikt in zijn voorgangers, WPA en WEP) te vervangen. Eigenlijk gebruikt CCMP AES (Advanced Encryption Standard) - symmetrisch algoritme blokcodering (blokgrootte 128 bits, sleutel 128/192/256 bits).
Objectief gezien is WPA2 een vrij oud protocol
Er zijn dan ook veel kwetsbaarheden in het protocol gevonden. Op 23 juli 2010 werden bijvoorbeeld gegevens gepubliceerd over een gat met de naam Hole196. Hiermee kan een gebruiker die op het netwerk is ingelogd zijn prive sleutel om de gegevens van andere gebruikers te decoderen en MAC-adressen te vervalsen, wat betekent dat de bronnen van het aangetaste netwerk kunnen worden gebruikt om verschillende webbronnen aan te vallen zonder het risico te worden ontdekt. Zonder brute kracht en sleutel kraken!
Ik moet zeggen dat niet iedereen patches heeft uitgebracht. En dan gaan we...
WPA2 hacken
Tegenwoordig wordt wifi met WPA2 meestal gehackt met brute kracht en woordenboekaanvallen. Hackers monitoren draadloze kaart, scan de lucht, volg en registreer de vereiste pakketten.
Daarna wordt de machtiging ingetrokken. Dit is nodig voor een handshake - het vastleggen van de initiële pakketuitwisseling. U kunt natuurlijk wachten tot de client verbinding maakt. Maar dit kan niet gebeuren, omdat minstens, in de komende minuten.
WPS hacken
Veel moderne routers ondersteuningsprotocol Wi-Fi beveiligd Setup, die wordt gebruikt voor semi-automatische verbinding met demon bedraad netwerk Wifi. Het is ontworpen om het gemakkelijk te maken om verbinding te maken met WPS. Vereenvoudigd natuurlijk ook het proces voor aanvallers.
De WPS-pincode waarmee u verbinding kunt maken met het netwerk, heeft acht tekens. Bovendien is het achtste teken de controlesom.
Door een kwetsbaarheid in het WPS-protocol kunnen pincodes in blokken worden gecontroleerd: het eerste blok bevat vier cijfers, het tweede - drie (het achtste cijfer wordt berekend). Hierdoor hebben we 9999 + 999 = 10998 PIN-code mogelijkheden.
Het hulpprogramma Reaver is geschikt voor het kraken van WPS. Het zit bijvoorbeeld in de Kali Linux-distributie.
Het algoritme van acties is eenvoudig:
- -i mon0 is de interface,
- -b 64: XX: XX: XX: XX: F4 is de BSSID van het aangevallen punt,
- -vv is een optionele schakelaar die uitgebreide uitvoer mogelijk maakt.
Het brute-force proces kan enkele uren duren. Het resultaat is een overeenkomende pincode en een netwerkbeveiligingssleutel.
Alternatieven zijn WPS Connect-apps, WIFI WPS WPA TESTER voor Android en meer. iPhone harder omdat van de officiële app Apps opslaan ze worden in het begin snel verwijderd of afgewezen, en vanuit niet-officiële winkels installeer je programma's op eigen risico en risico.
Om deze aanval te bestrijden, moet u WPS op uw router of toegangspunt uitschakelen. Dan valt er niets te hacken.
Nasleep van aanvallen
Het eenvoudigste is om je wifi-netwerk te gebruiken om gratis internettoegang te krijgen. "Symptomen": snelheidsdaling, overschrijding van verkeerslimieten, toename van ping.
Hackers kunnen uw wifi gebruiken om illegale activiteiten te plegen. Bijvoorbeeld het hacken van netwerken en accounts, het versturen van spam, etc. Indien politie criminelen terug te traceren naar uw IP, moet u uitleggen. De kans is klein, maar onaangenaam.
Tot slot, het ergste is als hackers besluiten uw verkeer te onderscheppen en te decoderen. En krijg gegevens die u niet aan iemand zou willen verstrekken: wachtwoorden van sociale netwerken en bankrekeningen, intieme foto's, persoonlijke correspondentie.
Ten slotte is er de mogelijkheid om man-in-the-middle-aanvallen uit te voeren. U kunt TCP-sessies onderscheppen, informatie in HTTP-sessies invoegen en adres- of broadcast-pakketten afspelen.
Samenvatting
Routers die een signaal naar aangesloten apparaten distribueren, zijn relatief recentelijk in het leven van de meeste mensen verschenen, maar hebben al aan populariteit gewonnen. Het is niet overdreven om te zeggen dat internet tegenwoordig overal wordt gebruikt: afstandsonderwijs breidt zich uit, mensen communiceren op sociale netwerken, documentatie wordt opgeslagen in in elektronisch formaat, Zakelijke correspondentie uitgevoerd door "soap". Met een router is het mogelijk om je eigen ...
Opgeslagen wifi-wachtwoorden - beveiligde verbinding een netwerk dat op media opgeslagen informatie beschermt. Daarom zijn gebruikers geïnteresseerd in hoe ze het wifi-wachtwoord op een computer kunnen bekijken. De veiligheid van toegang tot internet wordt gegarandeerd met betere prestaties als de gebruiker het wachtwoord weet te vinden via de wifi op de router. vertrouwde apparaten, omdat...
Veiligheid Wi-Fi-netwerken hangt af van een goed gekozen wachtwoord. Je zult zeggen "wat is het verschil, onbeperkt, er is genoeg snelheid, het is logisch om te rommelen met het wijzigen van het wifi-wachtwoord." Als vrienden en buren gewoon internet gebruiken, en op een moment dat toegang tot het netwerk niet nodig is , het is niet zo eng. Maar over de optie "wijzig het wachtwoord in wacht ...
Tegenwoordig is het onmogelijk om je een persoon voor te stellen die geen internet gebruikt, maar bijna iedereen wordt geconfronteerd met het feit dat ze hun wifi-wachtwoord vergeten. Wanneer je voor de eerste keer een thuisrouter instelt, adviseert de wizard je om een wachtwoord op te stellen dat je niet vergeet en op te schrijven. Maar vaker wel dan niet, worden deze tips genegeerd. Mogelijk hebt u het opnieuw nodig bij het aansluiten ...
Door apparaten te voorzien van persoonlijke merk voor het gemak van klanten stelt Beeline dat de routers al zijn geconfigureerd door: noodzakelijke parameters: en klaar voor gebruik, u hoeft alleen maar verbinding te maken. Tegelijkertijd adviseren wij u, ondanks dergelijke stellingen, het wachtwoord op de Beeline wifi-router onmiddellijk te wijzigen. Helaas is het niet nodig om te praten over individuele bescherming van de router ...
Vaak vragen mensen: "Waarom het wachtwoord voor wifi wijzigen?" Het antwoord is simpel. Soms is dit nodig om te voorkomen dat gewetenloze buren verbinding maken met uw netwerk en het verkeer te verminderen. Verderop in het artikel zullen we bekijken hoe we het wachtwoord voor wifi byfly kunnen wijzigen. (Verder…)...
De noodzaak om het wachtwoord te achterhalen bestandsvensters 7 vindt plaats net wanneer het onmogelijk is om de keygen te herstellen. Standaardsituatie: het wachtwoord met de login is opgeschreven, maar het ongelukkige stukje papier is al lang verloren in de weidsheid van je huis. Gebruikers geven niet altijd om de veiligheid van toegangsgegevens, in de hoop dat ze gemakkelijk kunnen worden hersteld. Wij vertellen ...
Wanneer het wachtwoord op de router wijzigen Er zijn situaties waarin voor de gebruiker van de tplink-router het wijzigen van het wachtwoord van het wifi-netwerk noodzakelijk is. Waaronder volgende gevallen:: (Verder…)...
Het beveiligen van een privé wifi-netwerk is: het belangrijkste moment tijdens het creëren thuisgroep... Feit is dat het access point een voldoende groot bereik heeft waar aanvallers misbruik van kunnen maken. Wat kan er gedaan worden om dit te voorkomen? Hoe kan ik mijn privé draadloze netwerk beschermen tegen inbraak door gewetenloze mensen? Dit is waar dit artikel over gaat...
In dit artikel zullen we analyseren wat een beveiligingssleutel is. draadloze wifi netwerk en waar het voor dient. het eigenlijke vraag dit is hoe draadloze netwerken gebruiken wijd verspreid wereldwijd. Tegelijkertijd bestaat het risico om het doelwit te worden van indringers of gewoon liefhebbers van "Freebie". (Verder…)...
Hoe het wachtwoord voor een wifi-netwerk te achterhalen is: actueel onderwerp, aangezien er heel vaak gevallen zijn waarin gebruikers gewoon hun sleutel zijn vergeten. Natuurlijk kunt u de parameters van de router (access point) resetten, maar dit is niet altijd mogelijk en niet iedereen zal de router later opnieuw kunnen configureren. (Verder…)...
Soms vergeten gebruikers hun wifi-wachtwoord. Tegelijkertijd kan niet iedereen verbinding maken met de router en de instellingen invoeren om de beveiligingssleutel te bekijken. En die kans is er niet altijd. De vraag is dus hoe je erachter komt Wifi wachtwoord op Android is vrij gebruikelijk. (Verder…)...
Vanwege het wijdverbreide gebruik van draadloze netwerken, rijst een zeer redelijke vraag of dit de oorzaak is: schade aan wifi? Inderdaad, in onze tijd draadloze router komt in bijna elk gezin voor. (Verder…)...
tegenwoordig technologie draadloze WiFi waarmee u thuisnetwerken kunt maken, is diep verankerd in dagelijks leven van mensen. Het is erg handige manier combineer thuisapparaten zoals een laptop, smartphone, tablet, vaste pc enzovoort in één groep met toegang tot het wereldwijde netwerk. Het komt echter heel vaak voor dat de gebruiker het is vergeten ....
Nu vindt u in bijna elk appartement en huis dat is aangesloten op internet: Wifi router... Sommige gebruikers plaatsen er een wachtwoord op om het alleen te gebruiken, en sommigen laten het erin vrije toegang... Dit is een persoonlijke kwestie, maar het komt voor dat het internet langzamer begint te worden of je je bijvoorbeeld gewoon afvraagt of je wel verbinding hebt...
Ondanks alle waarschuwingen en aanbevelingen gebruiken de meeste gebruikers draadloze routers en toegangspunten die zijn ingesteld in de apparaatinstellingen standaard wachtwoorden Wifi. Wat dit bedreigt en hoe u uzelf ertegen kunt beschermen, zullen we verder overwegen. Waarom standaardcodes gevaarlijk zijn Dit gedrag komt alleen voor omdat mensen vaak gewoon niet begrijpen hoe gevaarlijk het kan zijn. Het leek ...
Het komt vaak voor dat u de toegang tot uw wifi thuis, maar daarvoor stond het zonder wachtwoord en nu kunnen nogal wat buitenstaanders het absoluut gewoon blijven gebruiken, maar vanuit uw oogpunt is dit niet goed. Nu gaan we kijken wat we moeten doen en hoe we de hoeveelheid kunnen beperken ...
Misschien ben je het zat om elke keer een wachtwoord in te voeren voor nieuwe apparaten? Of ben je gewoon een genereus persoon en heb je besloten om de jouwe te maken Wi-Fi openbaar? Op de een of andere manier heb je onze instructies nodig over hoe je een wachtwoord van wifi kunt verwijderen. Dit is geen erg arbeidsintensief proces, dus nu zullen we een dergelijke bewerking op de meest voorkomende routers beschrijven ...
Moderne communicatietechnologieën maken het mogelijk om thuisnetwerken te creëren, waarbij hele groepen computers worden verenigd voor communicatie, gegevensuitwisseling, enzovoort. Hun organisatie vereist geen speciale kennis en groot afval. Stel je voor, 10 jaar geleden had niet iedereen een computer, laat staan internet, en tegenwoordig heeft bijna elk appartement een eigen ...
Het onderwerp van dit artikel is hoe u een wachtwoord aanbrengt WiFi-netwerk... Dergelijke netwerken zijn wijdverbreid. Bijna elk huis heeft al een draadloze router of modem. De fabrikant installeert echter geen sleutels voor draadloze verbinding op apparaten. Dit wordt gedaan zodat de koper vrij het instellingenmenu kan betreden en ...
Voor moderne samenleving het internet is zo gewoon geworden dat een persoon niet kan lange tijd afzien van sociale media of Google-toegang. Vind Nodige informatie, het downloaden van muziek of een film, het spelen van een online game kan veel sneller en gemakkelijker met de komst van routers die een signaal naar andere apparaten distribueren. Stationaire pc's, laptops, smartphones, zelfs tv's ...
De beveiliging van een wifi-netwerk hangt af van een goed gekozen wachtwoord. Je zult zeggen "ja, wat is het verschil, onbeperkt internet, er is genoeg snelheid, het is logisch om te rommelen om erachter te komen hoe je het wachtwoord op een wifi-router kunt wijzigen. ”Tegenwoordig spelen thuisnetwerken belangrijke rol in het leven moderne mensen... Met hun hulp combineren gebruikers computers in groepen, waardoor ze informatie kunnen uitwisselen en ...
U heeft dus een Wi-Fi-router aangeschaft - dit geeft u een handig en niet minder snelle toegang overal in uw huis of appartement naar internet, wat al uitstekend is. In de regel kopen de meeste gebruikers de dispenser zelf en het komt voor dat ze hem bijna niet configureren, behalve dat ze alleen de basisinstellingen aanpassen voor een optimale werking ...
Als je naast je computer ook een laptop, tablet of smartphone hebt, dan wil je waarschijnlijk vanaf elk punt in het appartement of huis vanaf deze apparaten toegang tot het netwerk kunnen krijgen. De oplossing voor zo'n probleem kan natuurlijk een wifi-router zijn, die binnen een bepaalde straal een draadloos internetbereik creëert. Als je installeert...
Vroeg of laat heeft elke internetgebruiker de behoefte om de toegang tot het netwerk gemakkelijker te maken, en dan verschijnt er een wifi-router in huis, die helpt om zich te ontdoen van extra draden en geniet draadloos internet bijna overal in een appartement of huis. Vergeet echter niet om uw draadloze hotspot toegang - precies ...
Draadloos netwerken is de afgelopen jaren steeds populairder geworden. Steeds populairder draadloze toegang factoren zoals integratie in moderne laptops draadloze toegangskaarten, de opkomst van PDA-apparaten, radio-IP-telefoons, enz. Volgens IDC is het de bedoeling dat de verkoop van draadloze toegangsapparatuur tegen eind 2004 64 miljoen apparaten zal bereiken (ter vergelijking: in 2002 verkocht het 24 miljoen apparaten). Nu is draadloze toegang te vinden in restaurants, hotels en luchthavens, veel bedrijven gebruiken draadloze netwerken om gebruikers te verbinden met hun IT-infrastructuur, gebruikers van thuisnetwerken gebruiken draadloze toegang om verbinding te maken met internet. Maar weinig mensen geven prioriteit aan draadloze beveiliging.
Invoering
Draadloos netwerken is de afgelopen jaren steeds populairder geworden. De groeiende populariteit van draadloze toegang wordt grotendeels beïnvloed door factoren als de integratie van draadloze toegangskaarten in moderne laptops, de opkomst van PDA-apparaten, radio-IP-telefoons, enz. Volgens IDC is het de bedoeling dat de verkoop van draadloze toegangsapparatuur tegen eind 2004 64 miljoen apparaten zal bereiken (ter vergelijking: in 2002 verkocht het 24 miljoen apparaten). Nu is draadloze toegang te vinden in restaurants, hotels en luchthavens, veel bedrijven gebruiken draadloze netwerken om gebruikers te verbinden met hun IT-infrastructuur, gebruikers van thuisnetwerken gebruiken draadloze toegang om verbinding te maken met internet. Maar weinig mensen geven prioriteit aan draadloze beveiliging.
Draadloze beveiligingsproblemen
1. SSID positioneren
De SSID is de identificatie voor het draadloze netwerk. Het wordt gebruikt om draadloze gebruikers in logische groepen te verdelen. De SSID stelt de gebruiker in staat om verbinding te maken met het gewenste draadloze netwerk en kan, indien nodig, worden toegewezen aan de virtuele identifier lokaal netwerk(VLAN). Een dergelijke vergelijking is nodig om de afbakening van toegangsniveaus te organiseren. draadloze gebruikers aan de middelen van de bedrijfsinfrastructuur.
Sommige netwerkingenieurs beschouwen de SSID bij het ontwerpen van een draadloos netwerk als een beveiligingsmaatregel en het uitschakelen van de uitzending van de SSID-waarde zal de beveiliging van het netwerk verbeteren. In feite zal het uitschakelen van de uitzending van deze instelling niet alleen de beveiliging van het draadloze netwerk niet verbeteren, maar het netwerk ook minder flexibel maken ten opzichte van clients. Sommige clients zullen niet correct kunnen werken met een radiotoegangspunt waarop de uitzending van de SSID-waarde is uitgeschakeld. Houd er rekening mee dat zelfs als de uitzending van de SSID is uitgeschakeld, de mogelijkheid om deze identifier te bepalen nog steeds bestaat, omdat de waarde ervan wordt verzonden in de probe-responsframes. U moet ook begrijpen dat door gebruikers in verschillende logische groepen te verdelen met behulp van de SSID, de kans op afluisteren van verkeer blijft bestaan, zelfs voor gebruikers die niet zijn geregistreerd bij een draadloos toegangspunt.
2. Authenticatie met MAC-adres
Authenticatie is het proces waarbij een klant wordt geïdentificeerd aan de hand van door hem verstrekte informatie, zoals een naam en wachtwoord. Veel draadloze fabrikanten ondersteunen MAC-authenticatie voor gebruikersapparaten, maar IEEE (Institut of Electrical and Electronic Engineers) 802.11 biedt dit type authenticatie niet.
Authenticatie op MAC-adres zonder gebruik complementaire methoden beveiliging is niet effectief. Het is voldoende voor een aanvaller om eenvoudig toegang te krijgen tot een draadloos netwerk waarin alleen software-authenticatie is geconfigureerd. Mac adres Bij. Om dit te doen, moet u het radiokanaal analyseren waarop het radiotoegangspunt met clients werkt en een lijst krijgen met MAC-adressen van apparaten die toegang hebben tot het netwerk. Om draadloos toegang te krijgen tot netwerkbronnen, moet u het MAC-adres van uw draadloze kaart vervangen door het bekende MAC-adres van de client.
3. Problemen met codering met statische WEP-sleutels
WEP (Wired Equivalent Privacy) is een sleutel die wordt gebruikt om verkeer tussen een radiotoegangspunt en zijn gebruikers te versleutelen. WEP-codering is gebaseerd op een onvoldoende sterk coderingsalgoritme RC4. De WEP-sleutel is 40 of 104 bits lang. Een niet-versleutelde reeks tekens wordt aan de sleutel toegevoegd om het signaal met succes te decoderen achterkant in maat 24 bits. Zo is het gebruikelijk om te spreken over sleutellengtes van 64 en 128 bits, maar het effectieve deel van de sleutel is slechts 40 en 104 bits. Opgemerkt moet worden dat met een dergelijke lengte van de statische sleutel er niet hoeft te worden gesproken over een verhoogde crypto-weerstand van het draadloze netwerk. Op internet kunt u eenvoudig programma's vinden waarmee u een WEP-sleutel kunt verkrijgen op basis van het verkeer dat door de analysator wordt verzameld. Deze programma's zijn bijvoorbeeld WEPCrack en AirSnort. Om de cryptografische stabiliteit te vergroten, moet een 64-bits statische sleutel ongeveer eens per 20 minuten worden gewijzigd en een 128-bits sleutel eenmaal per uur. Stel u voor dat u elk uur de statische WEP-sleutel op het toegangspunt en al zijn clients moet wijzigen. Wat als het aantal gebruikers 100 of 1000 is? Een dergelijke oplossing zal niet in trek zijn vanwege de ongerechtvaardigde complexiteit van de operatie.
4. Netwerkaanvallen
Netwerkaanvallen kunnen worden onderverdeeld in actief en passief.
Passieve aanvallen zijn aanvallen die de werking van het draadloze netwerk niet actief verstoren. Een aanvaller berekent bijvoorbeeld met behulp van WEPCrack- of AirSnort-software: De geheime sleutel WEP Encryptie lengte 128 bits.
De essentie van actieve aanvallen is om in te grijpen op een draadloos netwerk om gegevens te verkrijgen, die na verwerking toegang krijgen tot de bronnen van het radionetwerk. Deze omvatten aanvallen zoals hergebruik van initialisatievectoren en aanvallen van bitmanipulatie.
Hergebruik van de initialisatievector.
De aanvaller stuurt herhaaldelijk dezelfde informatie (voorheen bekende inhoud) naar de gebruiker die actief is in het aangevallen draadloze segment via extern netwerk... Terwijl de aanvaller informatie naar de gebruiker verzendt, luistert hij ook naar het radiokanaal (het kanaal tussen de gebruiker en het aangevallen radiotoegangspunt) en verzamelt hij versleutelde gegevens, die de informatie bevatten die naar hem is verzonden. De aanvaller berekent vervolgens de sleutelreeks met behulp van de ontvangen versleutelde gegevens en de bekende niet-versleutelde gegevens.
Klop manipulatie.
De aanval is gebaseerd op de kwetsbaarheid van de integriteitscontrolevector. Een aanvaller manipuleert bijvoorbeeld stukjes gebruikersgegevens binnen een frame om informatie te vervormen e peil. Het frame is niet veranderd voor datalink niveau, is de integriteitscontrole op het radiotoegangspunt geslaagd en wordt het frame doorgestuurd. De router, die het frame van het radiotoegangspunt heeft ontvangen, pakt het uit en controleert de checksum van het netwerklaagpakket, check som pakket blijkt niet te kloppen. De router genereert een foutmelding en stuurt het frame terug naar het radiotoegangspunt. Het radiotoegangspunt versleutelt het pakket en stuurt het naar de client. Een aanvaller vangt een versleuteld pakket met een bekende foutmelding en berekent vervolgens de sleutelreeks.
5. DoS-aanvallen
DoS-aanvallen (Deny of Service) zijn soorten aanvallen die leiden tot denial of service aan draadloze clients. De essentie van deze aanvallen is om de werking van het draadloze netwerk te verlammen.
Specialisten van de Queensland University of Technology hebben informatie gepubliceerd over de ontdekte kwetsbaarheid in verband met het beoordelen van de beschikbaarheid van een radiokanaal in Direct Sequence Spread Spectrum (DSSS)-technologie. Op basis van deze technologie is de veelgebruikte 802.11b-standaard geïmplementeerd.
Een aanvaller simuleert met behulp van de kwetsbaarheid de constante drukte van het draadloze netwerk. Als gevolg van een dergelijke aanval worden alle gebruikers die werken met het radiotoegangspunt waarop de aanval plaatsvond, uitgeschakeld.
Er moet ook worden opgemerkt dat deze aanval niet alleen kan worden toegepast op apparatuur die werkt volgens de 802.11b-standaard, maar ook op apparatuur die werkt volgens de 802.11g-standaard, hoewel deze geen DSSS-technologie gebruikt. Dit is mogelijk wanneer het 802.11g-radiotoegangspunt achterwaarts compatibel is met de 802.11b-standaard.
Tot op heden is er geen bescherming tegen DoS-aanvallen voor 802.11b-apparatuur, maar om een dergelijke aanval te voorkomen, is het raadzaam om 802.11g-apparatuur (zonder achterwaartse compatibiliteit met 802.11b).
Wat is de beste manier om een veilig draadloos netwerk te bouwen?
Bij het ontwerpen en bouwen van een draadloos netwerk is het noodzakelijk om te focussen op veiligheid, betrouwbaarheid en ook om het operationele proces zoveel mogelijk te vereenvoudigen.
Laten we als voorbeeld de volgende taak nemen, waarbij het nodig is om de gebruikers van de vergaderruimte toegang te verlenen tot: bedrijfsmiddelen... In dit voorbeeld zullen we overwegen om zo'n netwerk te bouwen op basis van apparatuur die door verschillende bedrijven wordt aangeboden.
Voordat een draadloos toegangsnetwerk wordt gebouwd, is het noodzakelijk om het gebied te bestuderen, d.w.z. gewapend met een radiotoegangspunt en een laptop, ga naar het object van de voorgestelde installatie. Hiermee kunt u de plaatsen van de meest succesvolle locatie van de radiotoegangspunten bepalen, zodat u het maximale dekkingsgebied van het gebied kunt bereiken. Bij het bouwen van een draadloos beveiligingssysteem zijn er drie dingen om in gedachten te houden:
authenticatie architectuur,
authenticatie mechanisme,
mechanisme voor het waarborgen van vertrouwelijkheid en gegevensintegriteit.
De IEEE 802.1X-standaard wordt gebruikt als authenticatie-architectuur. Het beschrijft een uniforme architectuur voor het regelen van toegang tot apparaatpoorten met behulp van verschillende authenticatiemethoden voor abonnees.
We zullen het Extensible Authentication Protocol (EAP) gebruiken als authenticatiemechanisme. EAP maakt op gebruikersnaam en wachtwoord gebaseerde authenticatie mogelijk en ondersteunt ook de mogelijkheid om de coderingssleutel dynamisch te wijzigen. Gebruikersnamen en wachtwoorden moeten op de RADIUS-server worden opgeslagen.
We zullen WEP- en TKIP-protocollen (Temporal Key Integrity Protocol) gebruiken als mechanisme om vertrouwelijkheid en gegevensintegriteit te waarborgen. TKIP-protocol stelt u in staat om te verbeteren WEP-beveiliging encryptie via mechanismen zoals MIC en PPK. Laten we hun doel nader bekijken.
De MIC (Message Integrity Check) verbetert de efficiëntie van de IEEE 802.11 Integrity Check-functie door de volgende velden, SEC (volgnummer) en MIC, aan het frame toe te voegen, om hergebruik van initialisatievectoren en bitmanipulatieaanvallen te voorkomen.
PPK (Per-Packet Keying) wijziging per pakket van de coderingssleutel. Het verkleint de kans op succesvolle aanvallen gericht op het bepalen van de WEP-sleutel, maar garandeert geen volledige bescherming.
Om denial of service-aanvallen op basis van de kwetsbaarheid van DSSS-technologie te voorkomen, wordt het draadloze netwerk gebouwd op basis van apparatuur van de nieuwe 802.11g-standaard (terwijl de 802.11g-standaard niet achterwaarts compatibel hoeft te zijn met de 802.11b-standaard) . De 802.11g-standaard is gebaseerd op het gebruik van OFDM-technologie (Orthogonal Frequency Division Multiplexing), deze technologie kunt u snelheden tot 54 Mbps bereiken.
Overweeg het gebruik van een Cisco WLSE-server (Wireless LAN Solution Engine) om de beveiliging van uw draadloze netwerk te verbeteren. Het gebruik van dit apparaat stelt u in staat om ongeautoriseerde instelpunten radiotoegang, en om gecentraliseerde controle van het radionetwerk uit te voeren.
Om fouttolerantie van draadloze toegangspunten te garanderen, is het raadzaam om de stand-bymodus te gebruiken. Het blijkt dus dat 2 punten op één radiokanaal werken, één in de rol van actief, de andere in de rol van back-up.
Als u fouttolerantie wilt bieden bij geverifieerde toegang, moet u twee ACS-authenticatieservers installeren. In dit geval wordt er een gebruikt als hoofd en de tweede als back-up.
Dus bij het bouwen van een draadloos netwerk, rekening houdend met de vereisten voor beveiliging en veerkracht, hebben we een breed scala aan componenten gebruikt die ons beschermen tegen indringers en mogelijke aanvallen voorkomen.
Natuurlijk is de beschreven oplossing niet minimaal in termen van prijskenmerken, maar door prioriteit te geven aan beveiligingsproblemen in het draadloze netwerk, minimaliseerden de risico's de risico's die gepaard gaan met mogelijke lekkage van interne bedrijfsinformatie.
Porshakov Evgeniy, systeemingenieur INLINE-TECHNOLOGIEN www.in-line.ru
Aangezien draadloze netwerken radiogolven gebruiken, zijn de prestaties van het netwerk afhankelijk van veel factoren. Het meest prominente voorbeeld is RF-interferentie, die de prestaties aanzienlijk kan verminderen. bandbreedte en het aantal ondersteunde gebruikers, tot het punt dat het volledig onbruikbaar is. De storingsbron kan elk apparaat zijn dat een signaal met voldoende vermogen afgeeft in hetzelfde frequentiebereik als toegangspunt: van aangrenzende toegangspunten in een dichtbevolkt kantoorcentrum tot elektromotoren in productie, Bluetooth koptelefoon en zelfs magnetrons. Aan de andere kant kunnen aanvallers interferentie gebruiken om zich te organiseren DoS-aanvallen naar het netwerk.Vreemdelingen die op hetzelfde kanaal werken als legitieme toegangspunten, openen niet alleen de toegang tot het netwerk, maar verstoren ook de werking van het "juiste" draadloze netwerk. Daarnaast, om aanvallen uit te voeren tegen: eindgebruikers en het netwerk binnen te dringen met een aanval Man in het midden Aanvallers blokkeren vaak de toegangspunten van een legitiem netwerk, zodat er maar één overblijft: hun eigen toegangspunt met dezelfde netwerknaam.
Verbinding
Naast interferentie zijn er nog andere aspecten die de kwaliteit van communicatie in draadloze netwerken beïnvloeden. Aangezien de draadloze omgeving een algemene toegang, elke verkeerd geconfigureerde client of een defecte antenne van een toegangspunt kan problemen veroorzaken, zowel op fysiek als op verbindingsniveau, wat leidt tot een verslechtering van de servicekwaliteit voor andere clients op het netwerk.Wat te doen?
Al met al creëren draadloze netwerken nieuwe soorten risico's en bedreigingen die niet kunnen worden beschermd met traditionele bekabelde middelen. Zelfs als wifi formeel verboden is in een organisatie, betekent dit niet dat een deel van de gebruikers geen vreemde zal installeren en daarmee alle investeringen in netwerkbeveiliging tot nul terugbrengt. Bovendien is het vanwege de aard van draadloze communicatie belangrijk om niet alleen de beveiliging van de toegangsinfrastructuur te controleren, maar ook om gebruikers te monitoren die het doelwit kunnen worden van een aanvaller of gewoon per ongeluk of opzettelijk overschakelen van bedrijfsnetwerk naar een onbeveiligde verbinding.beveiliging Tags toevoegen
Bij het bouwen van draadloze netwerken is er ook het probleem van het waarborgen van hun veiligheid. Als in conventionele netwerken informatie wordt via draden verzonden, waarna de radiogolven worden gebruikt om draadloze oplossingen is gemakkelijk genoeg om te onderscheppen met de juiste apparatuur. Hoe het draadloze netwerk werkt leidt tot: een groot aantal mogelijke kwetsbaarheden voor aanvallen en inbraken.
Apparatuur voor draadloze lokale netwerken WLAN (Wireless Lokaal gebied netwerk) omvat draadloze toegangspunten en werkstations voor elke abonnee.
AP-toegangspunten(Access Point) fungeren als knooppunten voor communicatie tussen abonnees en onderling, evenals de functie van bruggen die communiceren met het kabel-LAN en internet. Elk toegangspunt kan meerdere abonnees bedienen. Verschillende nabijgelegen toegangspunten vormen een toegangsgebied Wifi, waarbinnen alle abonnees uitgerust met draadloze adapters toegang krijgen tot het netwerk. Dergelijke toegangszones worden gecreëerd op drukke plaatsen: op luchthavens, universiteitscampussen, bibliotheken, winkels, zakencentra, enz.
Het toegangspunt heeft een Service Set Identifier (SSID). De SSID is een 32-bits tekenreeks die wordt gebruikt als de naam van het draadloze netwerk waaraan alle knooppunten zijn gekoppeld. De SSID is nodig om het werkstation met het netwerk te verbinden. Om een werkstation aan een toegangspunt te koppelen, moeten beide systemen dezelfde SSID hebben. Indien werkstation niet de vereiste SSID heeft, kan het niet communiceren met het toegangspunt en geen verbinding maken met het netwerk.
Het belangrijkste verschil tussen bekabelde en draadloze netwerken is de aanwezigheid van een ongecontroleerd gebied tussen de eindpunten van het draadloze netwerk. Hierdoor kunnen aanvallers in de nabijheid van draadloze structuren een reeks aanvallen uitvoeren die niet mogelijk zijn in de bekabelde wereld.
Bij gebruik van draadloze LAN-toegang nemen de beveiligingsrisico's aanzienlijk toe (Fig. 2.5).
Rijst. 2.5.
Laten we de belangrijkste kwetsbaarheden en bedreigingen van draadloze netwerken opsommen.
Radio baken uitzending. Het toegangspunt schakelt een uitzendbaken in op een bepaalde frequentie om nabijgelegen draadloze knooppunten op de hoogte te stellen van zijn aanwezigheid. Deze uitgezonden signalen bevatten basisinformatie over het draadloze toegangspunt, inclusief typisch de SSID, en nodigen draadloze knooppunten uit om zich in het gebied te registreren. Elk werkstation in de standby-modus kan de SSID verkrijgen en zichzelf toevoegen aan het bijbehorende netwerk. Beacon broadcasting is een "aangeboren pathologie" van draadloze netwerken. Bij veel modellen kun je het deel van deze uitzending dat de SSID bevat uitschakelen om draadloos afluisteren enigszins moeilijk te maken, maar de SSID wordt niettemin verzonden wanneer deze is verbonden, dus het bestaat nog steeds klein raam kwetsbaarheden.
WLAN-detectie. Voor de detectie van draadloze WLAN-netwerken wordt bijvoorbeeld de NetStumber-utility gebruikt in combinatie met de satellietnavigator van het Global Positioning System GPS. Dit hulpprogramma identificeert Netwerk SSID WLAN en bepaalt ook of het WEP-codering gebruikt. Sollicitatie externe antenne Aan laptop maakt het mogelijk om WLAN's te ontdekken terwijl u door een bepaald gebied wandelt of door de stad rijdt. Door een betrouwbare methode WLAN-detectie is een overzicht van een kantoorgebouw met een laptop in de hand.
Afluisteren. Afluisteren wordt uitgevoerd om informatie te verzamelen over het netwerk, dat later zou moeten worden aangevallen. Een interceptor kan de gedolven data gebruiken om toegang te krijgen tot netwerkbronnen. De apparatuur die wordt gebruikt om een netwerk af te luisteren, mag niet geavanceerder zijn dan de apparatuur die wordt gebruikt om routinematig toegang te krijgen tot dat netwerk. Met draadloze netwerken kunt u van nature verbinding maken met fysiek netwerk computers die zich op enige afstand daarvan bevinden, alsof deze computers direct op het netwerk zijn aangesloten. Een persoon die bijvoorbeeld in een auto op een nabijgelegen parkeerplaats zit, kan verbinding maken met een draadloos netwerk in een gebouw. Passieve afluisteraanvallen zijn bijna onmogelijk te detecteren.
Valse netwerktoegangspunten. Een ervaren aanvaller kan een nep-hotspot opzetten netwerkbronnen... Abonnees, die niets vermoeden, wenden zich tot dit nep-toegangspunt en vertellen het hun belangrijke details, bijvoorbeeld authenticatie-informatie. Dit type aanval wordt soms gebruikt in combinatie met directe jamming van het echte netwerktoegangspunt.
Dienstweigering. Een denial of service (DoS)-aanval kan het netwerk volledig lamleggen. Het doel is om de toegang van de gebruiker tot netwerkbronnen te verstoren. Draadloze systemen bijzonder gevoelig voor dergelijke aanvallen. De fysieke laag in een draadloos netwerk is de abstracte ruimte rond het toegangspunt. Een aanvaller kan een apparaat inschakelen dat het hele spectrum op de werkfrequentie vult met interferentie en illegaal verkeer - deze taak levert geen bijzondere problemen op. Het feit alleen al van het uitvoeren van een DoS-aanval op fysiek niveau in een draadloos netwerk is moeilijk te bewijzen.
Man-in-the-middle-aanvallen. Aanvallen van dit type worden veel gemakkelijker uitgevoerd op draadloze netwerken dan op bekabelde, omdat het in het geval van een bekabeld netwerk noodzakelijk is om een bepaald type toegang ertoe te implementeren. Meestal worden man-in-the-middle-aanvallen gebruikt om de vertrouwelijkheid en integriteit van een communicatiesessie te vernietigen. MITM-aanvallen zijn geavanceerder dan de meeste andere aanvallen en vereisen gedetailleerde netwerkinformatie. Een aanvaller vervalst meestal de identiteit van een van de netwerkbronnen. Het gebruikt de mogelijkheid om de gegevensstroom af te luisteren en illegaal vast te leggen om de inhoud ervan te wijzigen, wat nodig is om aan sommige van zijn doeleinden te voldoen, bijvoorbeeld om IP-adressen te vervalsen, het MAC-adres te wijzigen om zich voor een andere host uit te geven, enz.
Anonieme internettoegang. Onbeveiligde WLAN's bieden hackers het best mogelijke anonieme toegang voor aanvallen via internet. Hackers kunnen het onbeveiligde WLAN van een organisatie gebruiken om toegang te krijgen tot internet, waar ze illegale activiteiten kunnen uitvoeren zonder een spoor achter te laten. Een organisatie met een onbeschermd LAN wordt formeel een bron van aanvallend verkeer gericht op een ander computer systeem, die gepaard gaat met het potentiële risico van wettelijke aansprakelijkheid voor schade die wordt toegebracht aan het slachtoffer van een hackeraanval.
De hierboven beschreven aanvallen zijn niet de enige aanvallen die door hackers worden gebruikt om draadloze netwerken te compromitteren.
