WPA-codering omvat het gebruik van een beveiligd Wi-Fi-netwerk. Over het algemeen staat WPA voor Wi-Fi Protected Access, dat wil zeggen beveiligde toegang tot Wi-Fi.
De meeste systeembeheerders weten hoe ze dit protocol moeten configureren en weten er veel over.
Maar gewone mensen kunnen veel leren over wat WPA is, hoe het in te stellen en te gebruiken.
Toegegeven, op internet kun je veel artikelen over deze kwestie vinden, waarvan het onmogelijk is om iets te begrijpen. Daarom zullen we vandaag in eenvoudige taal spreken over moeilijke dingen.
Een beetje theorie
WPA is dus een protocol, technologie, programma dat een set certificaten bevat die worden gebruikt om een Wi-Fi-signaal te verzenden.
Simpel gezegd: met deze technologie kunt u verschillende authenticatiemethoden gebruiken om uw wifi-netwerk te beveiligen.
Dit kan een elektronische sleutel zijn, het is ook een speciaal certificaat van het recht om dit netwerk te gebruiken (hier komen we later op terug).
Over het algemeen kunnen met behulp van dit programma alleen degenen die het recht hebben het netwerk te gebruiken, en dat is alles wat u hoeft te weten.
Ter referentie: authenticatie is een beschermingsmiddel waarmee u de identiteit van een persoon en zijn recht op toegang tot het netwerk kunt vaststellen door de gerapporteerde en verwachte gegevens te matchen.
Een persoon kan zich bijvoorbeeld authenticeren wanneer hij zijn vinger op een vingerafdrukscanner legt. Als hij alleen een gebruikersnaam en wachtwoord invoert, is dit slechts autorisatie.
Maar met de vingerafdruk kun je controleren of deze persoon echt inlogt, en niet dat iemand zijn gegevens heeft gepakt en met hun hulp is ingevoerd.
Rijst. 1. Smartphone-vingerafdrukscanner
In computernetwerken worden dus ook bepaalde methoden gebruikt om te bevestigen dat het apparaat dat recht heeft op toegang tot het netwerk.
WPA heeft zijn eigen set van dergelijke methoden. We zullen er verder over praten en daarvoor zullen we verschillende belangrijke punten verduidelijken.
Wat u moet weten over WPA?
- Deze technologie kan niet door alle apparaten worden gebruikt, maar alleen door degenen die deze op softwareniveau ondersteunen. Dat wil zeggen, als de fabrikant de WPA-ondersteuningsfunctie in het apparaat heeft ingebouwd, kan deze worden gebruikt.
- WPA is een erfenis van WEP, een andere technologie die op zich geen authenticatie had.
- WPA gebruikt speciale sleutels die worden verzonden naar alle apparaten die verbinding mogen maken met het netwerk. En dan is alles eenvoudig:
- het signaal bereikt een nieuw apparaat en vraagt er een sleutel van;
- als het apparaat de sleutel geeft, maakt het verbinding met het netwerk;
- en als dat niet het geval is, wordt hierover een signaal naar het centrale apparaat gestuurd en komt de verbinding niet tot stand.
Als u ooit met Cisco Pocket Tracer (een netwerksimulator van dit bedrijf) hebt gewerkt, kunt u het werkingsprincipe van deze technologie begrijpen als u naar afbeelding 2 kijkt.
Waarschuwing! Kortom, als u nog nooit met een Cisco Pocket Tracer hebt gewerkt, hoeft u zich geen zorgen te maken. En zonder dit schema is alles duidelijk voor u.
Er is een LAP - een apparaat dat afstandsbediening uitvoert en een signaal verzendt naar een client, dat wil zeggen een computer die een wifi-signaal gebruikt.
En ook op het diagram staat een WLC - een draadloze LAN-controller. Aan de rechterkant bevindt zich de authenticatieserver.
Dit alles is verbonden door een gewone Switch (een apparaat dat eenvoudig verschillende netwerkapparaten met elkaar verbindt). De sleutel wordt van de controller naar de authenticatieserver gestuurd en daar opgeslagen.
Wanneer de client verbinding probeert te maken met het netwerk, moet hij een sleutel naar de LAP verzenden die hij kent. Deze sleutel gaat naar de authenticatieserver en wordt vergeleken met de gewenste sleutel.
Als de sleutels overeenkomen, wordt het signaal vrijelijk naar de klant gedistribueerd.
Rijst. 2. Een voorbeeldig WPA-schema in Cisco Pocket Tracer
Onderdelen van WPA
Zoals we hierboven al zeiden, gebruikt WPA speciale sleutels die worden gegenereerd telkens wanneer u probeert de signaaloverdracht te starten, dat wil zeggen, wifi inschakelt en ook af en toe verandert.
WPA bevat verschillende technologieën tegelijk die helpen bij het genereren en verzenden van dezelfde sleutels.
De onderstaande figuur toont de algemene formule, die alle componenten van de beschouwde technologie omvat.
Rijst. 3. Formule met WPA-componenten
Laten we nu elk van deze componenten afzonderlijk bekijken:
- 1X is een standaard die wordt gebruikt om die zeer unieke sleutel te genereren, waarmee in de toekomst authenticatie plaatsvindt.
- EAP is het zogenaamde Extensible Authentication Protocol. Het is verantwoordelijk voor het formaat van de berichten waarmee de sleutels worden verzonden.
- TKIP is een protocol waarmee de sleutelgrootte kon worden uitgebreid tot 128 bytes (vroeger was dit in WEP slechts 40 bytes).
- MIC is een mechanisme voor het controleren van berichten (met name worden ze gecontroleerd op integriteit). Als de berichten niet aan de criteria voldoen, worden ze teruggestuurd.
Het is de moeite waard om te zeggen dat er nu WPA2 is, dat naast al het bovenstaande ook CCMP- en AES-codering gebruikt.
We zullen niet praten over wat het nu is, maar WPA2 is betrouwbaarder dan WPA. Dat is alles wat je echt moet weten.
Nog een keer vanaf het begin
Je hebt dus wifi. Het netwerk maakt gebruik van WPA-technologie.
Om verbinding te maken met Wi-Fi, moet elk apparaat een gebruikerscertificaat verstrekken, of, eenvoudiger, een speciale sleutel die is uitgegeven door de authenticatieserver.
Alleen dan kan hij gebruik maken van het netwerk. Dat is alles!
Nu weet je wat WPA is. Laten we het nu hebben over wat goed en slecht is aan deze technologie.
Voor- en nadelen van WPA-codering
De voordelen van deze technologie zijn onder meer:
- Verbeterde beveiliging van gegevensoverdracht (vergeleken met WEP, zijn voorganger, WPA).
- Nauwere controle over wifi-toegang.
- Compatibel met een breed scala aan apparaten die worden gebruikt om een draadloos netwerk te organiseren.
- Gecentraliseerd beveiligingsbeheer. Het centrum is in dit geval de authenticatieserver. Dit voorkomt dat aanvallers toegang krijgen tot verborgen gegevens.
- Bedrijven kunnen hun eigen beveiligingsbeleid gebruiken.
- Eenvoudig in te stellen en te gebruiken.
Natuurlijk heeft deze technologie ook nadelen, en die blijken vaak erg groot te zijn. We hebben het met name over het volgende:
- De TKIP kan in maximaal 15 minuten worden gekraakt. Dat maakte een groep specialisten in 2008 bekend op de PacSec-conferentie.
- In 2009 ontwikkelden specialisten van de Universiteit van Hiroshima een methode om elk netwerk met WPA in één minuut te hacken.
- Met behulp van de kwetsbaarheid, genoemd door de Hole196-specialisten, kun je WPA2 gebruiken met je sleutel, en niet met degene die vereist is door de authenticatieserver.
- In de meeste gevallen kan elke WPA worden gehackt met behulp van de gebruikelijke opsomming van alle mogelijke opties (brute-force), evenals met behulp van de zogenaamde woordenboekaanval. In het tweede geval worden de opties niet in een chaotische volgorde gebruikt, maar volgens het woordenboek.
Om van al deze kwetsbaarheden en problemen te kunnen profiteren, is natuurlijk speciale kennis nodig op het gebied van het bouwen van computernetwerken.
Voor de meeste gewone gebruikers is dit allemaal niet beschikbaar. Je hoeft je dus geen zorgen te maken dat iemand toegang krijgt tot je wifi.
Rijst. 4. Cracker en computer
Over het instellen van WPA-codering
Voor de gebruiker ziet de installatie er heel eenvoudig uit - hij kiest WPA-technologie om het wachtwoord te coderen waarmee hij verbinding zal maken met het netwerk.
Om precies te zijn, het gebruikt WPA-PSK, dat wil zeggen, WPA niet met een sleutel, maar met een wachtwoord. Hiervoor gaat hij naar de instellingen van de router, zoekt daar het type netwerkauthenticatie en stelt het wachtwoord in.
In meer detail wordt deze procedure als volgt uitgevoerd:
- Om naar de routerinstellingen te gaan, voert u in uw browser 192.168.0.1 of 192.168.1.1 in de adresbalk in. Als u niets in dit venster hebt gewijzigd, zijn de login en het wachtwoord hetzelfde - "admin" en "admin".
- Zoek vervolgens het item met betrekking tot de authenticatiemethode. Als bijvoorbeeld de Asus RT-N12 wordt gebruikt, bevindt dit item zich in de sectie "Geavanceerde instellingen" en in de subsectie "Draadloos" (dit is in het menu aan de linkerkant). WPA is geselecteerd naast "Verificatiemethode".
- Naast belangrijke parameters worden "WPA Pre-Shared Key" aangegeven, dat wil zeggen het wachtwoord voor verbinding met het netwerk en "SSID", dat wil zeggen de naam van het netwerk.
Rijst. 5. Venster met routerinstellingen
Zoals u in afbeelding 5 kunt zien, is er ook een veld voor WPA-codering. Gewoonlijk worden deze twee parameters (en "Verificatiemethode") samen gespecificeerd.
De parameter "Encryptie" verwijst naar het type encryptie. Er zijn slechts twee typen die worden gebruikt in combinatie met WPA - TKIP en AES.
En combinaties van deze twee typen worden ook gebruikt.
Wat betreft de keuze van het type codering, hier zijn instructies voor u over dit onderwerp:
- Als de beveiliging van je netwerk echt belangrijk voor je is, gebruik dan AES. Gebruik in dit geval geen combinatie met TKIP.
- Als u oudere apparaten gebruikt die geen WPA2 ondersteunen, is het beter om TKIP te gebruiken.
- Voor een thuisnetwerk is TKIP ook prima. Dit zorgt voor minder belasting van het netwerk, maar vermindert ook de beveiliging.
Een ander advies is in dit geval niet mogelijk. TKIP heeft een zwakkere beveiliging en dat zegt alles.
Eigenlijk is dat alles wat er is met WPA-codering.
Hierboven hadden we het over het feit dat deze technologie veel kwetsbaarheden heeft. Hieronder zie je hoe ze worden gebruikt om het netwerk te hacken.
Onlangs zijn er veel "onthullende" publicaties verschenen over het hacken van elk volgend protocol of volgende technologie die de veiligheid van draadloze netwerken in gevaar brengt. Is dit echt zo, waar moet je bang voor zijn en hoe maak je de toegang tot je netwerk zo veilig mogelijk? WEP, WPA, 802.1x, EAP, PKI betekenen weinig voor u? Dit korte overzicht zal helpen om alle coderings- en autorisatietechnologieën voor radiotoegang samen te brengen. Ik zal proberen aan te tonen dat een goed geconfigureerd draadloos netwerk een onoverkomelijke barrière is voor een aanvaller (tot een bepaalde limiet natuurlijk).
De basis
Elke interactie tussen een toegangspunt (netwerk) en een draadloze client is gebaseerd op:- authenticatie- hoe de cliënt en het toegangspunt zich aan elkaar voorstellen en bevestigen dat ze het recht hebben om met elkaar te communiceren;
- Encryptie- welk scrambling-algoritme voor de verzonden gegevens wordt gebruikt, hoe de coderingssleutel wordt gegenereerd en wanneer deze wordt gewijzigd.
Draadloze netwerkparameters, voornamelijk de naam (SSID), worden regelmatig aangekondigd door het toegangspunt in broadcast-bakenpakketten. Naast de verwachte beveiligingsinstellingen worden wensen voor QoS, 802.11n-parameters, ondersteunde snelheden, informatie over andere buren, enz. verzonden. Authenticatie definieert hoe de cliënt to the point wordt gepresenteerd. Mogelijke opties:
- Open- het zogenaamde open netwerk, waarin alle aangesloten apparaten tegelijk worden geautoriseerd
- Gedeeld- de authenticiteit van het aangesloten apparaat moet worden geverifieerd met een sleutel / wachtwoord
- EAP- de authenticiteit van het aangesloten apparaat moet worden geverifieerd met behulp van het EAP-protocol door een externe server
- Geen- geen codering, gegevens worden verzonden in leesbare tekst
- WEP- codering gebaseerd op het RC4-algoritme met verschillende statische of dynamische sleutellengtes (64 of 128 bits)
- CKIP- een eigen vervanging voor WEP van Cisco, een vroege versie van TKIP
- TKIP- verbeterde WEP-vervanging met extra controles en beveiliging
- AES / CCMP- het meest geavanceerde algoritme op basis van AES256 met extra controles en bescherming
Combinatie Open authenticatie, geen codering veel gebruikt in gasttoegangssystemen, zoals het verstrekken van internet in een café of hotel. Om verbinding te maken, hoeft u alleen de naam van het draadloze netwerk te weten. Vaak wordt een dergelijke verbinding gecombineerd met een extra controle op de Captive Portal door het HTTP-verzoek van de gebruiker om te leiden naar een extra pagina waar u om bevestiging kunt vragen (login-wachtwoord, toestemming voor de regels, enz.).
Encryptie WEP is aangetast en kan niet worden gebruikt (zelfs met dynamische sleutels).
Veelgebruikte termen WPA en WPA2 bepalen, in feite, het coderingsalgoritme (TKIP of AES). Omdat clientadapters al geruime tijd WPA2 (AES) ondersteunen, heeft het geen zin om TKIP-codering te gebruiken.
Verschil tussen WPA2 persoonlijk en WPA2 Enterprise is waar de coderingssleutels die worden gebruikt in de mechanica van het AES-algoritme vandaan komen. Voor privétoepassingen (thuis, kleine) wordt een statische sleutel (wachtwoord, codewoord, PSK (Pre-Shared Key)) met een minimumlengte van 8 tekens gebruikt, die is opgegeven in de instellingen van het toegangspunt, en die voor alle clients van dit draadloze netwerk. Compromis met zo'n sleutel (buurman laten uitglijden, werknemer ontslagen, laptop gestolen) vereist een onmiddellijke wachtwoordwijziging voor alle resterende gebruikers, wat alleen realistisch is in het geval van een klein aantal van hen. Voor bedrijfsapplicaties wordt, zoals de naam al doet vermoeden, een dynamische sleutel gebruikt die voor elke werkende klant individueel is dit moment... Deze sleutel kan tijdens het gebruik periodiek worden bijgewerkt zonder de verbinding te verbreken, en een extra component is verantwoordelijk voor het genereren ervan - een autorisatieserver, en bijna altijd is dit een RADIUS-server.
Alle mogelijke veiligheidsparameters zijn samengevat in deze plaat:
| Eigendom | Statische WEP | Dynamische WEP | WPA | WPA 2 (Onderneming) |
| Identificatie | Gebruiker, computer, WLAN-kaart | Gebruiker, computer |
Gebruiker, computer |
Gebruiker, computer |
| autorisatie |
Gedeelde sleutel |
EAP |
EAP of gedeelde sleutel |
EAP of gedeelde sleutel |
Integriteit |
32-bits integriteitscontrolewaarde (ICV) |
32-bits ICV |
64-bits berichtintegriteitscode (MIC) |
CRT / CBC-MAC (Counter mode Cipher Block Chaining Auth Code - CCM) Onderdeel van AES |
Encryptie |
Statische sleutel |
Sessiesleutel |
Per pakketsleutel via TKIP |
CCMP (AES) |
Sleuteldistributie |
Eenmalig, handmatig |
Segment paarsgewijze hoofdsleutel (PMK) |
Afgeleid van PMK |
Afgeleid van PMK |
Initialisatie vector |
Tekst, 24 bit |
Tekst, 24 bit |
Uitgebreide vector, 65 bit |
48-bits pakketnummer (PN) |
Algoritme |
RC4 |
RC4 |
RC4 |
AES |
Sleutellengte, bit |
64/128 |
64/128 |
128 |
tot 256 |
Vereiste infrastructuur |
Niet |
STRAAL |
STRAAL |
STRAAL |
Hoewel WPA2 Personal (WPA2 PSK) duidelijk is, vereist een bedrijfsoplossing extra aandacht.
WPA2 Enterprise
Hier hebben we te maken met een extra set van verschillende protocollen. Aan de clientzijde werkt een speciale softwarecomponent, de aanvrager (meestal een onderdeel van het besturingssysteem) samen met het autoriserende gedeelte, de AAA-server. Dit voorbeeld toont de werking van een verenigd radionetwerk gebouwd op lichtgewicht toegangspunten en een controller. In het geval van het gebruik van access points "met hersens" kan de volledige rol van intermediair tussen de clients en de server door het point zelf worden overgenomen. In dit geval worden de gegevens van de aanvrager via de radio verzonden, gevormd in het 802.1x-protocol (EAPOL), en aan de zijkant van de controller worden ze verpakt in RADIUS-pakketten.
Het gebruik van het EAP-autorisatiemechanisme in uw netwerk leidt ertoe dat na succesvolle (vrijwel zeker open) authenticatie van de client door het toegangspunt (samen met de eventuele controller), deze laatste de client vraagt om te autoriseren (bevestig zijn instantie) met de infrastructuur-RADIUS-server:
Gebruik WPA2 Enterprise vereist een RADIUS-server op uw netwerk. Op dit moment zijn de volgende producten het meest efficiënt:
- Microsoft Network Policy Server (NPS), voorheen IAS- configureerbaar via MMC, gratis, maar je moet Windows kopen
- Cisco Secure Access Control Server (ACS) 4.2, 5.3- configureerbaar via een webinterface, boordevol functionaliteit, stelt u in staat om gedistribueerde en fouttolerante systemen te creëren, is duur
- GratisRADIUS- gratis, configureerbaar via tekstconfiguraties, niet handig bij beheer en monitoring
In dit geval houdt de verwerkingsverantwoordelijke de voortdurende uitwisseling van informatie nauwlettend in de gaten en wacht op een succesvolle autorisatie of weigering daarin. Als dit lukt, kan de RADIUS-server aanvullende parameters naar het toegangspunt verzenden (bijvoorbeeld in welk VLAN de abonnee moet worden geplaatst, welk IP-adres eraan moet worden toegewezen, QoS-profiel, enz.). Aan het einde van de uitwisseling stelt de RADIUS-server de client en het toegangspunt in staat om coderingssleutels te genereren en uit te wisselen (individueel, alleen geldig voor deze sessie):
EAP
Het EAP-protocol zelf is gecontaineriseerd, dat wil zeggen, het eigenlijke autorisatiemechanisme is overgeleverd aan de interne protocollen. Op dit moment hebben de volgende een significante verspreiding gekregen:- EAP-SNEL(Flexibele authenticatie via Secure Tunneling) - ontwikkeld door Cisco; staat autorisatie toe door een login-wachtwoord verzonden binnen de TLS-tunnel tussen de aanvrager en de RADIUS-server
- EAP-TLS(Transportlaagbeveiliging). Maakt gebruik van een openbare-sleutelinfrastructuur (PKI) om de client en server (aanbieder en RADIUS-server) te verifiëren via certificaten die zijn uitgegeven door een vertrouwde certificeringsinstantie (CA). Vereist het ondertekenen en installeren van clientcertificaten voor elk draadloos apparaat, daarom alleen geschikt voor een beheerde bedrijfsomgeving. Windows Certificate Server heeft een middel waarmee een client een certificaat voor zichzelf kan genereren als de client lid is van een domein. Het blokkeren van een klant kan eenvoudig door zijn certificaat in te trekken (of via accounts).
- EAP-TTLS(Tunneled Transport Layer Security) is vergelijkbaar met EAP-TLS, maar er is geen clientcertificaat vereist bij het maken van een tunnel. In zo'n tunnel wordt, vergelijkbaar met een SSL-browserverbinding, extra autorisatie uitgevoerd (met een wachtwoord of iets anders).
- PEAP-MSCHAPv2(Beschermde EAP) - Vergelijkbaar met EAP-TTLS omdat het in eerste instantie een versleutelde TLS-tunnel tot stand brengt tussen een client en een server, waarvoor een servercertificaat vereist is. Later vindt autorisatie in zo'n tunnel plaats met het bekende MSCHAPv2-protocol.
- PEAP-GTC(Generic Token Card) - vergelijkbaar met de vorige, maar vereist eenmalige wachtwoordkaarten (en de bijbehorende infrastructuur)
Voor al deze methoden (behalve EAP-FAST) is een servercertificaat (op de RADIUS-server) vereist dat is uitgegeven door een certificeringsinstantie (CA). In dit geval moet het CA-certificaat zelf aanwezig zijn op het apparaat van de client in de vertrouwde groep (wat eenvoudig te implementeren is met Groepsbeleid in Windows). Bovendien vereist EAP-TLS een individueel clientcertificaat. Clientauthenticatie gebeurt zowel door digitale handtekening als (optioneel) door het door de client aan de RADIUS-server geleverde certificaat te vergelijken met het certificaat dat de server uit de PKI-infrastructuur (Active Directory) haalt.
Ondersteuning voor een van de EAP-methoden moet worden geleverd door een aanvrager aan de clientzijde. De standaard ingebouwd in Windows XP / Vista / 7, iOS, Android biedt minimaal EAP-TLS en EAP-MSCHAPv2, wat de populariteit van deze methoden verklaart. Het ProSet-hulpprogramma wordt geleverd met Intel Windows Client Adapters om de beschikbare lijst uit te breiden. De Cisco AnyConnect Client doet hetzelfde.
Hoe betrouwbaar is het?
Wat is er nodig voor een aanvaller om uw netwerk te compromitteren?Voor open authenticatie is geen codering niets. Verbonden met het netwerk, en dat is alles. Omdat de radioomgeving open is, gaat het signaal in verschillende richtingen, het is niet eenvoudig om het te blokkeren. Als er geschikte clientadapters zijn die het mogelijk maken om naar de lucht te luisteren, wordt het netwerkverkeer gezien alsof de aanvaller was aangesloten op de draad, op de hub, op de SPAN-poort van de switch.
Op WEP gebaseerde codering vereist alleen een brute-force IV en een van de vele gratis beschikbare scanhulpprogramma's.
Voor encryptie op basis van TKIP of AES is in theorie directe decryptie mogelijk, maar in de praktijk is hacking niet aangetroffen.
Natuurlijk kunt u proberen de PSK-sleutel of het wachtwoord voor een van de EAP-methoden te raden. Er zijn geen veelvoorkomende aanvallen op deze methoden bekend. Je kunt social engineering-technieken proberen, of
), waarmee u zich kunt beschermen tegen ongeautoriseerde verbindingen, bijvoorbeeld schadelijke buren. Het wachtwoord is een wachtwoord, maar het kan worden gehackt, als er natuurlijk geen "hackers-crackers" onder uw buren zijn. Daarom heeft het wifi-protocol ook verschillende soorten codering, waarmee je wifi alleen kunt beschermen tegen hacking, hoewel niet altijd.
Op dit moment zijn er soorten encryptie zoals: OPEN, WEB, WPA, WPA2, waar we het vandaag over zullen hebben.
OPEN
OPEN encryptie heeft in feite geen encryptie, met andere woorden, er is geen bescherming. Daarom kan iedereen die uw toegangspunt vindt er gemakkelijk verbinding mee maken. U kunt het beste WPA2-codering gebruiken en een soort complex wachtwoord bedenken.
WEB
Dit type codering verscheen eind jaren 90 en is de allereerste. Op dit moment WEB ( Wired Equivalent Privacy) Is het zwakste coderingstype. Sommige routers en andere apparaten die Wi-Fi ondersteunen, ondersteunen WEB niet.
Zoals ik al zei, is WEB-encryptie erg onbetrouwbaar en kun je het beter vermijden, net als OPEN, omdat het een zeer korte tijd bescherming biedt, waarna je gemakkelijk een wachtwoord van enige complexiteit kunt achterhalen. WEB-wachtwoorden zijn doorgaans 40 of 103 bits, waardoor u binnen enkele seconden een combinatie kunt kiezen.
Feit is dat WEB delen van dit wachtwoord (sleutel) samen met datapakketten verzendt, en deze pakketten kunnen gemakkelijk worden onderschept. Op dit moment zijn er verschillende programma's die zich bezighouden met het onderscheppen van deze pakketten, maar daar zal ik het in dit artikel niet over hebben.
WPA / WPA2
Dit type is het modernst en er zijn nog geen nieuwe. U kunt een willekeurige wachtwoordlengte instellen van 8 tot 64 bytes, en dit maakt het vrij moeilijk te kraken.
Ondertussen ondersteunt de WPA-standaard veel coderingsalgoritmen die na interactie worden verzonden TKIP Met CCMP... TKIP was als een brug tussen WEB en WPA, en bestond tot IEEE ( Instituut voor elektrische en elektronische ingenieurs) een volwaardig algoritme gemaakt CCMP... Ondertussen leed TKIP ook aan sommige soorten aanvallen, dus het wordt ook als niet erg veilig beschouwd.
WPA2-codering maakt ook gebruik van twee modi van initiële authenticatie, met andere woorden, wachtwoordverificatie voor gebruikers (client) toegang tot het netwerk. Ze worden genoemd PSK en Onderneming... De eerste modus betekent de toegang met één wachtwoord, dat we invoeren bij het verbinden. Dit is niet erg handig voor grote bedrijven, aangezien sommige werknemers nadat ze zijn vertrokken, elke keer het wachtwoord moeten wijzigen om geen toegang tot het netwerk te krijgen, en de rest van de werknemers die op dit netwerk zijn aangesloten, hiervan op de hoogte moeten stellen. Daarom hebben ze, om het allemaal gemakkelijker te maken, een modus bedacht Onderneming waarmee u veel sleutels kunt gebruiken die op de server zijn opgeslagen STRAAL.
WPS
Technologie WPS of op een andere manier QSS maakt het mogelijk om met een simpele druk op de knop verbinding te maken met het netwerk. Over een wachtwoord hoef je in principe niet eens na te denken. Maar dit heeft ook zijn nadelen, die ernstige misrekeningen hebben in het toelatingssysteem.
Met WPS kunnen we op een andere manier verbinding maken met het netwerk met een code die uit 8 tekens bestaat PIN... Maar in deze standaard is er een fout waardoor u, nadat u slechts 4 cijfers van deze pincode hebt geleerd, de hele sleutel kunt achterhalen, hiervoor is het voldoende 10 duizend pogingen... U kunt dus het wachtwoord krijgen, hoe complex het ook is.
Bij de ingang kunnen via WPS 10-50 verzoeken per seconde worden verzonden en binnen 4-16 uur ontvang je de langverwachte sleutel.
Natuurlijk komt er een einde aan, deze kwetsbaarheid werd onthuld en al in toekomstige technologieën begonnen ze beperkingen in te voeren op het aantal inlogpogingen, na het verstrijken van deze periode schakelt het toegangspunt WPS tijdelijk uit. Tegenwoordig heeft meer dan de helft van de gebruikers nog steeds apparaten zonder deze bescherming.
Dit is hoe we hebben geleerd over de verschillende soorten Wi-Fi-netwerkcodering, welke beter zijn en welke slechter. Het is natuurlijk beter om codering te gebruiken die begint met WPA, maar WPA2 is veel beter.
Voor vragen of iets toe te voegen, zorg ervoor dat je je afmeldt in de comments.
In de tussentijd kun je een video bekijken over hoe de wifi-verbinding te versterken, net zoals USB-tethering versterken.
Hallo beste lezers. Een zwak routerbeveiligingssysteem brengt uw netwerk in gevaar. We weten allemaal hoe belangrijk de beveiliging van een router is, maar de meeste mensen realiseren zich niet dat sommige beveiligingsinstellingen het hele netwerk kunnen vertragen.
De belangrijkste opties voor het versleutelen van gegevens die door een router gaan, zijn protocollen WPA2-AES en WPA2-TKIP... Vandaag zullen we over elk van hen praten en uitleggen waarom u voor AES zou moeten kiezen.
Introductie van WPA
WPA, of Wi-Fi Protected Access, was het antwoord van de Wi-Fi Alliance op de beveiligingsproblemen waarmee WEP te maken had. Het is belangrijk op te merken dat het niet bedoeld was als een complete oplossing. Het was eerder bedoeld als een tijdelijke keuze, waardoor mensen bestaande routers konden gebruiken zonder hun toevlucht te nemen tot WEP, dat merkbare beveiligingsfouten vertoont.
Hoewel WPA superieur was aan WEP, had het ook zijn eigen beveiligingsproblemen. Hoewel aanvallen meestal niet in staat waren om het TKIP (Temporary Key Integrity Protocol) zelf te doorbreken, dat 256-bits codering heeft, konden ze een extra systeem omzeilen dat in dit protocol is ingebouwd, genaamd WPS of Wi-Fi beveiligde installatie.
Wi-Fi Protected Setup is ontworpen om het voor apparaten gemakkelijk te maken om verbinding met elkaar te maken. Vanwege de vele beveiligingslekken waarmee het werd uitgebracht, begon WPS echter in de vergetelheid te raken en WPA mee te nemen.
Op dit moment worden zowel WPA als WEP niet meer gebruikt, dus we zullen in detail treden en in plaats daarvan de nieuwe versie van het protocol overwegen - WPA2.
Waarom WPA2 beter is
In 2006 werd WPA een legacy-protocol en werd het vervangen door WPA2.
Het vervangen van TKIP-codering door het nieuwe en veilige AES-algoritme (Advanced Encryption Standard) heeft geleid tot snellere en veiligere wifi-netwerken. De reden is dat TKIP geen compleet algoritme was, maar eerder een tijdelijk alternatief. Simpel gezegd, WPA-TKIP was de tussenkeuze die netwerken in stand hield in de drie jaar die tussen de komst van WPA-TKIP en de release van WPA2-AES verliepen.
Feit is dat AES een echt coderingsalgoritme is dat niet alleen wordt gebruikt om wifi-netwerken te beschermen. Het is een serieuze wereldwijde standaard die wordt gebruikt door de overheid, de ooit populaire TrueCrypt-software en vele andere om gegevens te beschermen tegen nieuwsgierige blikken. Dat deze standaard je thuisnetwerk beschermt is mooi meegenomen, maar je moet wel een nieuwe router aanschaffen.
AES vs. TKIP op het gebied van beveiliging
TKIP is in wezen een WEP-patch die een probleem verhelpt waarbij een aanvaller uw sleutel kan krijgen na onderzoek van een relatief kleine hoeveelheid verkeer dat via een router is gegaan. TKIP heeft deze kwetsbaarheid gepatcht door om de paar minuten een nieuwe sleutel uit te geven, wat in theorie zou voorkomen dat een hacker voldoende gegevens verzamelt om de sleutel of RC4-stroomcodering te decoderen waarop het algoritme vertrouwt.
Hoewel TKIP ooit een aanzienlijke verbetering van de beveiliging was, wordt het vandaag een verouderde technologie die niet langer als veilig genoeg wordt beschouwd om netwerken tegen hackers te beschermen. De grootste, maar niet de enige kwetsbaarheid, bekend als de chop-chop-aanval, werd bijvoorbeeld algemeen bekend nog voordat de versleutelingsmethode zelf verscheen.
De chop-chop-aanval stelt hackers die weten hoe ze streaminggegevens die door het netwerk worden gegenereerd, kunnen onderscheppen en analyseren, deze te gebruiken om de sleutel te ontsleutelen en de informatie weer te geven als platte tekst in plaats van gecodeerde tekst.
AES is een heel ander coderingsalgoritme, veel beter dan de mogelijkheden van TKIP. Dit algoritme is een 128, 192 of 256-bit block cipher die geen last heeft van de kwetsbaarheden die TKIP had.
In eenvoudige bewoordingen neemt het algoritme de leesbare tekst en converteert deze naar cijfertekst. Voor een externe waarnemer die geen sleutel heeft, ziet zo'n tekst eruit als een reeks willekeurige tekens. Het apparaat of de persoon aan de andere kant van de transmissie heeft een sleutel die de gegevens ontgrendelt of decodeert. In dit geval heeft de router de eerste sleutel en codeert de gegevens vóór verzending, en de computer heeft de tweede sleutel, die de informatie decodeert, zodat deze op uw scherm kan worden weergegeven.
Het coderingsniveau (128, 192 of 256-bit) bepaalt het aantal permutaties dat op de gegevens wordt toegepast, en dus het potentiële aantal mogelijke combinaties als je het gaat kraken.
Zelfs het zwakste niveau van AES-codering (128-bit) is theoretisch onmogelijk te kraken, aangezien de huidige rekenkracht van de computer 100 miljard jaar nodig zou hebben om de juiste oplossing voor dit algoritme te vinden.
AES vs. TKIP in termen van snelheid
TKIP is een verouderde versleutelingsmethode en, afgezien van veiligheidsproblemen, vertraagt het ook systemen die het nog steeds gebruiken.
De meeste nieuwere routers (allemaal 802.11n of ouder) gebruiken standaard WPA2-AES-codering, maar als u een oudere router gebruikt of om de een of andere reden voor WPA-TKIP-codering kiest, is de kans groot dat u een aanzienlijke hoeveelheid snelheid verliest.
Elke router die 802.11n ondersteunt (hoewel je nog steeds een AC-router zou moeten hebben) vertraagt tot 54 Mbps wanneer je WPA of TKIP inschakelt in je beveiligingsinstellingen. Dit is om ervoor te zorgen dat beveiligingsprotocollen correct werken met oudere apparaten.
802.11ac met WPA2-AES encryptie biedt theoretisch een maximale snelheid van 3,46 Gbps onder optimale (lees: onmogelijke) omstandigheden. Maar los daarvan zijn WPA2 en AES nog steeds veel sneller dan TKIP.
resultaten
AES en TKIP zijn helemaal niet met elkaar te vergelijken. AES is meer geavanceerde technologie in elke zin van het woord. De hoge snelheid van routers, veilig browsen en een algoritme waar zelfs de regeringen van de grootste landen op vertrouwen, maken het de enige juiste keuze voor alle nieuwe en bestaande wifi-netwerken.
Is er, met alles wat AES te bieden heeft, een goede reden om dit algoritme niet meer te gebruiken op je thuisnetwerk? Waarom gebruik je het (of niet)?
- Voordat u dit materiaal leest, is het raadzaam om vertrouwd te raken met de vorige artikelen van de cyclus:
- We bouwen een netwerk met onze eigen handen en verbinden het met internet, deel één - het bouwen van een bekabeld Ethernet-netwerk (zonder een switch, in het geval van twee computers en met een switch, evenals in de aanwezigheid van drie of meer machines ) en het organiseren van internettoegang via een van de netwerkcomputers, waarop twee netwerkkaarten staan en het besturingssysteem Windows XP Pro is.
- Deel twee: Draadloze apparatuur configureren in een peer-to-peer netwerk - Behandelt netwerkproblemen bij gebruik van alleen draadloze adapters.
In het vorige artikel werden slechts enkele woorden gewijd aan encryptie in draadloze netwerken - er werd beloofd dit probleem in een apart artikel te behandelen. Vandaag komen we onze belofte na :)
Eerst een beetje theorie.
Gegevensversleuteling in draadloze netwerken heeft zoveel aandacht gekregen vanwege de aard van draadloze netwerken. Gegevens worden draadloos verzonden met behulp van radiogolven en in het algemeen worden omnidirectionele antennes gebruikt. Zo worden de gegevens door iedereen gehoord - niet alleen de persoon voor wie het bedoeld is, maar ook de buurman die achter de muur woont of "geïnteresseerd" is die stopt met een laptop onder het raam. Natuurlijk zijn de afstanden waarover draadloze netwerken werken (geen versterkers of richtantennes) kort - ongeveer 100 meter in ideale omstandigheden. Muren, bomen en andere obstakels verzwakken het signaal veel, maar dat lost het probleem nog steeds niet op.
Aanvankelijk werd alleen de SSID (netwerknaam) gebruikt voor beveiliging. Maar over het algemeen kan deze methode bescherming met een grote strekking worden genoemd - de SSID wordt verzonden in duidelijke tekst en niemand stoort de aanvaller om deze af te luisteren en vervolgens de gewenste te vervangen in hun instellingen. Om nog maar te zwijgen van het feit dat (dit geldt voor toegangspunten), de uitzendmodus kan worden ingeschakeld voor de SSID, d.w.z. het zal met geweld worden uitgezonden naar alle luisteraars.
Daarom was er behoefte aan gegevensversleuteling. De eerste dergelijke standaard was WEP - Wired Equivalent Privacy. Versleuteling wordt uitgevoerd met behulp van een 40- of 104-bits sleutel (stroomversleuteling met behulp van het RC4-algoritme op een statische sleutel). En de sleutel zelf is een set ASCII-tekens met een lengte van 5 (voor een 40-bits) of 13 (voor een 104-bits sleutel) tekens. De set van deze karakters wordt vertaald in een reeks hexadecimale cijfers, die de sleutel vormen. Drivers van veel fabrikanten laten toe dat hexadecimale waarden (van dezelfde lengte) direct worden ingevoerd in plaats van ASCII-tekens. Houd er rekening mee dat de algoritmen voor het vertalen van een ASCII-tekenreeks naar hexadecimale sleutelwaarden kunnen verschillen van fabrikant tot fabrikant. Als uw netwerk daarom verschillende draadloze apparatuur gebruikt en u geen WEP-codering kunt configureren met een ASCII-sleutelzin, kunt u proberen de sleutel in plaats daarvan hexadecimaal in te voeren.
Maar hoe zit het met de verklaringen van de fabrikanten over ondersteuning voor 64- en 128-bits codering, vraagt u zich af? Dat klopt, marketing speelt hier een rol - 64 is meer dan 40 en 128 is 104. In werkelijkheid vindt gegevensversleuteling plaats met een sleutel met een lengte van 40 of 104. Maar naast de ASCII-zin (de statische component van de sleutel), is er is ook zoiets als initialisatievector - IV is de initialisatievector. Het dient om de rest van de sleutel willekeurig te maken. De vector wordt willekeurig geselecteerd en verandert dynamisch tijdens bedrijf. In principe is dit een redelijke oplossing, omdat je hiermee een willekeurig onderdeel in de sleutel kunt invoeren. De vector is 24 bits lang, dus de totale sleutellengte is 64 (40 + 24) of 128 (104 + 24) bits.
Alles zou goed zijn, maar het gebruikte coderingsalgoritme (RC4) is momenteel niet bijzonder sterk - met een sterk verlangen kun je in relatief korte tijd de sleutel brute-forceren. Toch is de belangrijkste kwetsbaarheid van WEP gerelateerd aan de initialisatievector. De IV is slechts 24 bits lang. Dit geeft ons ongeveer 16 miljoen combinaties - 16 miljoen verschillende vectoren. Hoewel het cijfer "16 miljoen" behoorlijk indrukwekkend klinkt, is alles in de wereld relatief. In het echte werk, alles mogelijke opties sleutels worden gebruikt in het interval van tien minuten tot enkele uren (voor een 40-bits sleutel). Daarna zullen de vectoren zich gaan herhalen. Een aanvaller hoeft alleen een voldoende aantal pakketten te verzamelen door simpelweg naar het draadloze netwerkverkeer te luisteren en deze herhalingen te vinden. Daarna kost de selectie van de statische component van de sleutel (ASCII-zin) niet veel tijd.
Maar dat is niet alles. Er zijn zogenaamde "vluchtige" initialisatievectoren. Door dergelijke vectoren in een sleutel te gebruiken, kan een aanvaller vrijwel onmiddellijk beginnen met het raden van het statische deel van de sleutel, in plaats van enkele uren te wachten en passief netwerkverkeer te verzamelen. Veel fabrikanten bouwen software (of het hardwaregedeelte van draadloze apparaten) in om dergelijke vectoren te controleren, en als er vergelijkbare zijn, worden ze stil weggegooid, d.w.z. niet deelnemen aan het versleutelingsproces. Helaas hebben niet alle apparaten deze functie.
Momenteel bieden sommige fabrikanten van draadloze apparatuur "uitgebreide versies" van het WEP-algoritme aan - ze gebruiken sleutels die langer zijn dan 128 (meer precies 104) bits. Maar in deze algoritmen neemt alleen de statische component van de sleutel toe. De lengte van de initialisatievector blijft hetzelfde, met alle gevolgen van dien (met andere woorden, we verlengen alleen de tijd om een statische sleutel te vinden). Het spreekt voor zich dat WEP-algoritmen met een grotere sleutellengte mogelijk niet compatibel zijn met verschillende fabrikanten.
Goed bang? ;-)
Helaas kan bij gebruik van het 802.11b-protocol niets anders dan WEP worden geselecteerd. Om precies te zijn, sommige (minderheids)leveranciers leveren verschillende implementaties van WPA-codering (zachte methoden), die veel robuuster zijn dan WEP. Maar deze "patches" zijn zelfs niet compatibel met de apparatuur van dezelfde fabrikant. Over het algemeen zijn er bij het gebruik van apparatuur van de 802.11b-standaard slechts drie manieren om uw verkeer te versleutelen:
- 1. Als u WEP gebruikt met een maximale sleutellengte (128 bit of hoger), als de apparatuur een cyclische verandering van sleutels uit de lijst ondersteunt (maximaal vier sleutels in de lijst), is het raadzaam om deze verandering te activeren.
- 2. De 802.1x-standaard gebruiken
- 3. Software van derden gebruiken om VPN-tunnels (gecodeerde gegevensstromen) via het draadloze netwerk te organiseren. Om dit te doen, wordt op een van de machines een VPN-server geïnstalleerd (meestal met pptp-ondersteuning), op de andere worden VPN-clients geconfigureerd. Dit onderwerp vereist een aparte overweging en valt buiten het bestek van dit artikel.
802.1x gebruikt een aantal verschillende protocollen voor zijn werk:
- EAP (Extensible Authentication Protocol) - protocol voor uitgebreide authenticatie van gebruikers of externe apparaten;
- TLS (Transport Layer Security) is een beveiligingsprotocol voor de transportlaag, het zorgt voor de integriteit van de gegevensoverdracht tussen de server en de client, evenals voor hun wederzijdse authenticatie;
- RADIUS (Remote Authentication Dial-In User Server) - server voor authenticatie (authenticatie) van externe clients. Het biedt gebruikersauthenticatie.
802.1x-protocol biedt authenticatie van externe clients en levering van tijdelijke sleutels voor gegevenscodering. Sleutels (versleuteld) worden korte tijd naar de klant gestuurd, waarna een nieuwe sleutel wordt gegenereerd en verzonden. Het coderingsalgoritme is niet veranderd - dezelfde RC4, maar de frequente rotatie van de sleutels maakt het erg moeilijk om te worden gehackt. Dit protocol wordt alleen ondersteund in besturingssystemen (van Microsoft) Windows XP. Het grote nadeel (voor de eindgebruiker) is dat het protocol een RADIUS-server vereist, die zich hoogstwaarschijnlijk niet op het thuisnetwerk zal bevinden.
802.11g-apparaten ondersteunen het verbeterde WPA-coderingsalgoritme, Wi-Fi Protected Access. Over het algemeen is het een tijdelijke standaard die is ontworpen om de beveiligingsniche te vullen vóór de komst van het IEEE 802.11i-protocol (het zogenaamde WPA2). WPA omvat 802.1X, EAP, TKIP en MIC.
Van de ondoordachte protocollen verschijnen TKIP en MIC hier:
- TKIP (Temporal Key Integrity Protocol) is een implementatie van dynamische coderingssleutels, plus elk apparaat op het netwerk krijgt ook zijn eigen hoofdsleutel (die ook van tijd tot tijd verandert). Versleutelingssleutels zijn 128 bits lang en worden gegenereerd volgens een complex algoritme, en het totale aantal mogelijke sleutelvarianten bereikt honderden miljarden, en ze veranderen heel vaak. Het gebruikte coderingsalgoritme is echter nog steeds RC4.
- MIC (Message Integrity Check) is een protocol voor pakketintegriteitscontrole. Met het protocol kunt u pakketten laten vallen die door een derde partij in het kanaal zijn "ingevoegd", d.w.z. geen geldige afzender achtergelaten.
Het grote aantal voordelen van het TKIP-protocol dekt niet het belangrijkste nadeel ervan: het RC4-algoritme dat wordt gebruikt voor codering. Hoewel er tot nu toe geen op TKIP gebaseerde WPA-hacks zijn gemeld, wie weet wat de toekomst voor ons in petto heeft? Daarom wordt nu het gebruik van de AES-standaard (Advanced Encryption Standard) steeds populairder, die TKIP gaat vervangen. Overigens is er in de toekomstige WPA2-standaard een verplichte vereiste voor het gebruik van AES voor codering.
Welke conclusies kunnen worden getrokken?
- Als er alleen 802.11g-apparaten op het netwerk zijn, is het beter om WPA-gebaseerde codering te gebruiken;
- indien mogelijk (met ondersteuning van alle apparaten) AES-codering inschakelen;
Laten we verder gaan met het instellen van codering rechtstreeks op apparaten. Ik gebruik dezelfde draadloze adapters als in het vorige artikel:
De Asus WL-100g cardbus-adapter is op de laptop geïnstalleerd. De interface voor kaartbeheer is een hulpprogramma van ASUS (ASUS WLAN Control Center).
Externe adapter met USB-interface ASUS WL-140. De adapter wordt bestuurd via de interface die is ingebouwd in Windows XP (Zero Wireless Configuration). Deze kaart is 802.11b-standaard en heeft dus geen WPA-ondersteuning.
Bord met PCI-interface Asus WL-130g. De besturingsinterface in de uitvoering is van (de fabrikant van de chipset van deze PCI-kaart).
ASUS WLAN-controlecentrum - ASUS WL-100g
Laten we beginnen met het instellen van codering in de beheerinterface van ASUS WLAN Control Center. Alle instellingen zijn geconcentreerd in de sectie Encryptie... Laten we eerst het type authenticatie kiezen ( Netwerkverificatie), zijn er drie typen voor ons beschikbaar: Open System, Shared Key en WPA.
1. WEP-codering.
De typen Open systeem/Gedeelde sleutel zijn subsets van het authenticatie-algoritme dat in WEP is ingebouwd. De open systeemmodus is onveilig en het wordt sterk afgeraden om deze in te schakelen wanneer de gedeelde sleutel kan worden geactiveerd. Dit komt door het feit dat in de Open Systeem-modus, om toegang te krijgen tot het draadloze netwerk (koppeling met een ander station of toegangspunt), het voldoende is om alleen de SSID van het netwerk te kennen, en in de modus Gedeelde sleutel hebt u ook om een gemeenschappelijke WEP-coderingssleutel voor het hele netwerk in te stellen.
Selecteer vervolgens Encryptie - WEP, de sleutelgrootte is 128 bits (het is beter om helemaal geen 64-bits sleutel te gebruiken). We selecteren het sleutelformaat, HEX (invoeren van de sleutel in hexadecimale vorm) of het genereren van een sleutel uit een ASCII-reeks (vergeet niet dat de generatie-algoritmen voor fabrikanten kunnen verschillen). We houden er ook rekening mee dat de WEP-sleutel (of sleutels) op alle apparaten in hetzelfde netwerk hetzelfde moet zijn. U kunt in totaal maximaal vier sleutels invoeren. Het laatste punt is om te kiezen welke van de toetsen zal worden gebruikt (standaardsleutel). In dit geval is er een andere manier - om alle vier de toetsen opeenvolgend te gebruiken, wat de veiligheid verhoogt. (alleen compatibel met apparaten van dezelfde fabrikant).
2. WPA-codering.
Indien ondersteund op alle apparaten (meestal 802.11g-apparaten), wordt sterk aanbevolen om deze modus te gebruiken in plaats van de verouderde en kwetsbare WEP.
Doorgaans ondersteunen draadloze apparaten twee WPA-modi:
- Standaard WPA. Het past niet bij ons, omdat het een RADIUS-server op het netwerk vereist (bovendien werkt het alleen in combinatie met een toegangspunt).
- WPA-PSK - WPA met ondersteuning voor Pre Shared Keys. En dit is wat je nodig hebt - de sleutel (dezelfde voor alle apparaten) wordt handmatig ingesteld op alle draadloze adapters en de primaire authenticatie van stations wordt hierdoor uitgevoerd.
U kunt TKIP of AES kiezen als coderingsalgoritmen. Dit laatste is niet op alle draadloze clients geïmplementeerd, maar als het door alle stations wordt ondersteund, is het beter om het hierbij te laten. Wireless Network Key is dezelfde Pre Shared Key. Het is raadzaam om het langer te maken en geen woord uit een woordenboek of een reeks woorden te gebruiken. Idealiter zou het een soort gebrabbel moeten zijn.
Nadat u op de knop Toepassen (of OK) hebt geklikt, worden de opgegeven instellingen toegepast op de draadloze kaart. Hiermee is de procedure voor het instellen van codering erop voltooid.
Besturingsinterface in uitvoering van Ralink - Asus WL-130g
De instelling verschilt niet veel van de reeds geteste interface van ASUS WLAN CC. Ga in het venster van de interface die wordt geopend naar het tabblad Profiel, selecteer het gewenste profiel en klik op Bewerk.
1. WEP-codering.
Versleuteling is geconfigureerd in het tabblad Authenticatie en beveiliging... Als WEP-codering is geactiveerd, selecteert u Gedeeld in Verificatietype(d.w.z. de gedeelde sleutel).
We selecteren het type codering - WEP en voeren maximaal vier ASCII- of hexadecimale sleutels in. De lengte van de sleutel kan niet in de interface worden gespecificeerd, een 128-bits sleutel wordt direct gebruikt.
2. WPA-codering.
Als in Verificatietype selecteer WPA-None, dan zullen we WPA Shared Key Encryption inschakelen. We selecteren het type codering ( Encryptie) TKIP of AES en voer de gedeelde sleutel in ( WPA vooraf gedeelde sleutel).
Hiermee is de coderingsinstelling in deze interface voltooid. Om de instellingen in het profiel op te slaan, klikt u op de knop OK.
Geen draadloze configuratie (ingebouwde Windows-interface) - ASUS WL-140
ASUS WL-140 is een 802.11b-kaart en ondersteunt dus alleen WEP-codering.
1. WEP-codering.
Ga in de instellingen van de draadloze adapter naar het tabblad Draadloze netwerken... Selecteer vervolgens ons draadloze netwerk en druk op de knop Afstemmen.
Activeer in het venster dat verschijnt Data encryptie... Wij activeren ook Netwerkverificatie, zal het uitschakelen van dit item de authenticatie van het type "Open systeem" inschakelen, d.w.z. elke client kan verbinding maken met het netwerk, wetende zijn SSID.
Voer de netwerksleutel in (en typ deze opnieuw in het volgende veld). We controleren de index (serienummer), meestal is deze gelijk aan één (d.w.z. de eerste sleutel). Het sleutelnummer moet op alle apparaten hetzelfde zijn.
De sleutel (netwerkwachtwoord), zoals het besturingssysteem ons vertelt, moet 5 of 13 tekens bevatten of volledig hexadecimaal worden ingevoerd. Nogmaals, ik vestig uw aandacht op het feit dat het algoritme voor het vertalen van de sleutel van symbolische naar hexadecimale vorm kan verschillen voor Microsoft en fabrikanten van hun eigen interfaces voor het beheren van draadloze adapters, dus het is veiliger om de sleutel in hexadecimale vorm in te voeren ( dwz cijfers van 0 tot 9 en letters van A tot F).
Er is ook een vlag in de interface die verantwoordelijk is voor: Automatische sleutelregistratie maar ik weet niet precies waar dit zal werken. De help-sectie zegt dat de dongle door de fabrikant in de draadloze adapter kan worden genaaid. Over het algemeen is het het beste om deze functie niet in te schakelen.
Hiermee is de coderingsinstelling voor de 802.11b-adapter voltooid.
Trouwens, over de ingebouwde hulp van het besturingssysteem. Het meeste van wat hier is gezegd en nog meer is te vinden in Help- en ondersteuningscentrum, die een goed helpsysteem heeft, hoeft u alleen maar trefwoorden in te voeren en op de groene zoekpijl te klikken.
2. WPA-codering.
Nadat we de coderingsinstelling op het voorbeeld van de 802.11b ASUS WL-140-adapter hebben onderzocht, hebben we de WPA-instelling in Windows niet aangeraakt, omdat de kaart deze modus niet ondersteunt. Laten we dit aspect eens bekijken aan de hand van het voorbeeld van een andere adapter - ASUS WL-100g. De mogelijkheid om WPA in Windows XP te configureren verschijnt met de installatie van Service Pack versie 2 (of de bijbehorende updates op de Microsoft-website).
Service Pack 2 breidt de functionaliteit en het gemak van draadloze instellingen aanzienlijk uit. Hoewel de hoofdmenu-items niet zijn gewijzigd, zijn er nieuwe aan toegevoegd.
De codering is standaard geconfigureerd: selecteer eerst het pictogram van de draadloze adapter en druk vervolgens op de knop Eigenschappen.
Ga naar de bladwijzer Draadloze netwerken en kies welk netwerk we zullen configureren (meestal is het er een). wij drukken op Eigenschappen.
Selecteer in het venster dat verschijnt WPA-None, d.w.z. Pre-keyed WPA (als u kiest) Compatibel, dan zullen we de WEP-coderingsconfiguratiemodus inschakelen, die hierboven al werd beschreven).
Kies AES of TKIP (als alle apparaten op het netwerk AES ondersteunen, dan is het beter om deze te kiezen) en voer de WPA-sleutel twee keer in (de tweede in het bevestigingsveld). Het is wenselijk om lang en moeilijk te passen.
Na het klikken op OK de WPA-coderingsinstelling kan ook als voltooid worden beschouwd.
Tot slot nog een paar woorden over de Wireless Setup Wizard die bij Service Pack 2 is verschenen.
Selecteer in de eigenschappen van de netwerkadapter de knop Draadloze netwerken.
Klik in het venster dat verschijnt op Een draadloos netwerk instellen.
Hier vertellen ze ons waar we zijn gekomen. wij drukken op Verder.
We kiezen Een draadloos netwerk instellen... (Als jij kiest Toevoegen kunt u profielen maken voor andere computers op hetzelfde draadloze netwerk).
Stel in het venster dat verschijnt de SSID van het netwerk in, activeer indien mogelijk WPA-codering en selecteer de methode voor het invoeren van de sleutel. De generatie kan aan het besturingssysteem worden doorgegeven of de sleutels kunnen handmatig worden ingevoerd. Als de eerste is geselecteerd, verschijnt er een venster waarin u wordt gevraagd de gewenste sleutel (of sleutels) in te voeren.
- In een tekstbestand, voor latere handmatige invoer op andere machines.
- Een profiel opslaan op een USB-flashstation voor automatische invoer op andere Windows XP-machines met geïntegreerd Service Pack versie 2.
Als de modus voor opslaan in Flash is geselecteerd, wordt u in het volgende venster gevraagd om het Flash-medium in te voegen en uit het menu te selecteren.
Als handmatig opslaan van parameters is geselecteerd, dan na het indrukken van de knop Type…
... een tekstbestand met de parameters van het geconfigureerde netwerk wordt weergegeven. Ik vestig uw aandacht op het feit dat willekeurige en lange (d.w.z. goede) sleutels worden gegenereerd, maar TKIP wordt gebruikt als het coderingsalgoritme. Het AES-algoritme kan later handmatig worden ingeschakeld in de instellingen, zoals hierboven beschreven.
Totaal
We zijn klaar met het configureren van codering op alle draadloze adapters. Nu kunt u controleren of computers elkaar kunnen zien. Hoe u dit moet doen, werd beschreven in het tweede deel van de serie "DIY-netwerken" (we handelen op dezelfde manier wanneer codering in het netwerk niet was ingeschakeld).
Als we in de problemen zitten en niet alle computers elkaar kunnen zien, dan controleren we de algemene instellingen van de adapters:
- Het authenticatie-algoritme moet voor iedereen hetzelfde zijn (Shared Keys of WPA);
- Het encryptie-algoritme moet voor iedereen hetzelfde zijn (WEP-128bit, WPA-TKIP of WPA-AES);
- De sleutellengte (in het geval van WEP-codering) moet hetzelfde zijn voor alle stations in het netwerk (de gebruikelijke lengte is 128 bit);
- De sleutel zelf moet op alle stations op het netwerk hetzelfde zijn. Als WEP wordt gebruikt, is een mogelijke reden het gebruik van een ASCII-sleutel en gebruikt het netwerk verschillende apparatuur (van verschillende fabrikanten). Probeer de sleutel in hexadecimale notatie in te voeren.
