I det siste har det vært mange "avslørende" publikasjoner om hacking av neste protokoll eller teknologi som kompromitterer sikkerheten til trådløse nettverk. Er dette virkelig slik, hva er verdt å frykte, og hvordan gjøre tilgangen til nettverket ditt så sikkert som mulig? WEP, WPA, 802.1x, EAP, PKI betyr lite for deg? Denne korte oversikten vil bidra til å samle alle krypterings- og radiotsom er i bruk. Jeg skal prøve å vise at et riktig konfigurert trådløst nettverk er en uoverkommelig barriere for en angriper (opp til en viss grense, selvfølgelig).
Det grunnleggende
Enhver interaksjon mellom et tilgangspunkt (nettverk) og en trådløs klient er basert på:- Godkjenning- hvordan klienten og tilgangspunktet presenterer seg for hverandre og bekrefter at de har rett til å kommunisere med hverandre;
- Kryptering- hvilken krypteringsalgoritme for de overførte dataene som brukes, hvordan krypteringsnøkkelen genereres, og når den endres.
Parametere for trådløst nettverk, først og fremst navnet (SSID), kunngjøres regelmessig av tilgangspunktet i kringkastede beacon-pakker. I tillegg til de forventede sikkerhetsinnstillingene, overføres ønsker om QoS, 802.11n parametere, støttede hastigheter, informasjon om andre naboer osv. Autentisering definerer hvordan klienten presenteres til poenget. Mulige alternativer:
- Åpen- det såkalte åpne nettverket, der alle tilkoblede enheter er autorisert på en gang
- Delt- autentisiteten til den tilkoblede enheten må verifiseres med en nøkkel / passord
- EAP- autentisiteten til den tilkoblede enheten må verifiseres ved hjelp av EAP-protokollen av en ekstern server
- Ingen- ingen kryptering, data overføres i klartekst
- WEP- chiffer basert på RC4-algoritmen med forskjellige statiske eller dynamiske nøkkellengder (64 eller 128 biter)
- CKIP- en proprietær erstatning for WEP fra Cisco, en tidlig versjon av TKIP
- TKIP- forbedret WEP-erstatning med ekstra kontroller og sikkerhet
- AES / CCMP- den mest avanserte algoritmen basert på AES256 med ekstra kontroller og beskyttelse
Kombinasjon Åpen autentisering, ingen kryptering mye brukt i gjestetilgangssystemer som å tilby Internett på en kafé eller et hotell. For å koble til trenger du bare å vite navnet på det trådløse nettverket. Ofte kombineres en slik tilkobling med en ekstra sjekk på Captive Portal ved å omdirigere brukerens HTTP-forespørsel til en ekstra side hvor du kan be om bekreftelse (påloggingspassord, samtykke til reglene osv.).
Kryptering WEP er kompromittert og kan ikke brukes (selv med dynamiske nøkler).
Vanlige begreper WPA og WPA2 bestemme, faktisk, krypteringsalgoritmen (TKIP eller AES). På grunn av det faktum at klientadaptere har støttet WPA2 (AES) en god stund, er det ingen vits i å bruke TKIP-kryptering.
Forskjell mellom WPA2 personlig og WPA2 Enterprise er hvor krypteringsnøklene som brukes i mekanikken til AES-algoritmen kommer fra. For private (hjemme, små) applikasjoner brukes en statisk nøkkel (passord, kodeord, PSK (Pre-Shared Key)) med en minimumslengde på 8 tegn, som er spesifisert i tilgangspunktinnstillingene, og er lik for alle klienter til dette trådløse nettverket. Å kompromittere en slik nøkkel (å la en nabo skli, en ansatt sparken, en bærbar datamaskin stjålet) krever en umiddelbar passordendring for alle gjenværende brukere, noe som bare er realistisk i tilfelle av et lite antall av dem. For bedriftsapplikasjoner, som navnet antyder, brukes en dynamisk nøkkel som er individuell for hver fungerende klient i dette øyeblikket... Denne nøkkelen kan oppdateres periodisk under drift uten å bryte forbindelsen, og en ekstra komponent er ansvarlig for genereringen - en autorisasjonsserver, og nesten alltid er dette en RADIUS-server.
Alle mulige sikkerhetsparametere er oppsummert på denne platen:
| Eiendom | Statisk WEP | Dynamisk WEP | WPA | WPA 2 (Enterprise) |
| Identifikasjon | Bruker, datamaskin, WLAN-kort | Bruker, datamaskin |
Bruker, datamaskin |
Bruker, datamaskin |
| Autorisasjon |
Delt nøkkel |
EAP |
EAP eller delt nøkkel |
EAP eller delt nøkkel |
Integritet |
32-biters integritetssjekkverdi (ICV) |
32-biters ICV |
64-biters meldingsintegritetskode (MIC) |
CRT / CBC-MAC (Counter mode Cipher Block Chaining Auth Code - CCM) En del av AES |
Kryptering |
Statisk nøkkel |
Sesjonsnøkkel |
Per-pakke nøkkel via TKIP |
CCMP (AES) |
Nøkkelfordeling |
One-shot, manuelt |
Segmenter parvis hovednøkkel (PMK) |
Avledet fra PMK |
Avledet fra PMK |
Initialiseringsvektor |
Tekst, 24 bit |
Tekst, 24 bit |
Utvidet vektor, 65 bit |
48-biters pakkenummer (PN) |
Algoritme |
RC4 |
RC4 |
RC4 |
AES |
Nøkkellengde, bit |
64/128 |
64/128 |
128 |
opptil 256 |
Nødvendig infrastruktur |
Ikke |
RADIUS |
RADIUS |
RADIUS |
Mens WPA2 Personal (WPA2 PSK) er tydelig, krever en bedriftsløsning ytterligere vurdering.
WPA2 Enterprise
Her har vi å gjøre med et ekstra sett med forskjellige protokoller. På klientsiden, en spesiell programvarekomponent, supplikanten (vanligvis en del av operativsystemet) samhandler med den autoriserende delen, AAA-serveren. Dette eksemplet viser driften av et enhetlig radionettverk bygget på lette tilgangspunkter og en kontroller. Ved bruk av tilgangspunkter "med hjerner" kan hele rollen som en mellommann mellom klientene og serveren overtas av punktet selv. I dette tilfellet overføres dataene til klientsupplikanten over radioen, dannet i 802.1x-protokollen (EAPOL), og på siden av kontrolleren er de pakket inn i RADIUS-pakker.
Bruken av EAP-autorisasjonsmekanismen i nettverket ditt fører til det faktum at etter vellykket (nesten helt åpen) autentisering av klienten av tilgangspunktet (sammen med kontrolleren, hvis noen), ber sistnevnte klienten om å autorisere (bekrefte sin autoritet) med infrastrukturens RADIUS-server:
Bruk WPA2 Enterprise krever en RADIUS-server på nettverket ditt. For øyeblikket er følgende produkter de mest effektive:
- Microsoft Network Policy Server (NPS), tidligere IAS- konfigurerbar via MMC, gratis, men du må kjøpe Windows
- Cisco Secure Access Control Server (ACS) 4.2, 5.3- konfigurerbar via et nettgrensesnitt, full av funksjonalitet, lar deg lage distribuerte og feiltolerante systemer, er dyrt
- FreeRADIUS- gratis, konfigurerbar med tekstkonfigurasjoner, ikke praktisk i administrasjon og overvåking
I dette tilfellet overvåker kontrolleren nøye den pågående utvekslingen av informasjon, og venter på en vellykket autorisasjon, eller avslag i den. Hvis det lykkes, kan RADIUS-serveren overføre ytterligere parametere til tilgangspunktet (for eksempel i hvilket VLAN abonnenten skal plasseres i, hvilken IP-adresse den skal tildeles, QoS-profil, etc.). På slutten av utvekslingen lar RADIUS-serveren klienten og tilgangspunktet generere og utveksle krypteringsnøkler (individuelle, kun gyldig for denne økten):
EAP
Selve EAP-protokollen er containerisert, det vil si at selve autorisasjonsmekanismen er prisgitt de interne protokollene. For øyeblikket har følgende fått en betydelig distribusjon:- EAP-RASK(Fleksibel autentisering via Secure Tunneling) - utviklet av Cisco; tillater autorisasjon med påloggingspassord overført i TLS-tunnelen mellom supplikanten og RADIUS-serveren
- EAP-TLS(Transport Layer Security). Bruker en offentlig nøkkelinfrastruktur (PKI) for å autentisere klienten og serveren (supplikant og RADIUS-server) gjennom sertifikater utstedt av en betrodd sertifiseringsinstans (CA). Krever signering og installasjon av klientsertifikater for hver trådløs enhet, og er derfor kun egnet for et administrert bedriftsmiljø. Windows Certificate Server har en måte å tillate en klient å generere et sertifikat for seg selv hvis klienten er medlem av et domene. Blokkering av en klient gjøres enkelt ved å tilbakekalle sertifikatet hans (eller gjennom kontoer).
- EAP-TTLS(Tunneled Transport Layer Security) ligner på EAP-TLS, men det kreves ikke noe klientsertifikat når du oppretter en tunnel. I en slik tunnel, i likhet med en SSL-nettlesertilkobling, utføres ytterligere autorisasjon (ved hjelp av et passord eller noe annet).
- PEAP-MSCHAPv2(Beskyttet EAP) - Ligner på EAP-TTLS ved at den i utgangspunktet etablerer en kryptert TLS-tunnel mellom en klient og en server, som krever et serversertifikat. Senere skjer autorisasjon i en slik tunnel ved bruk av den velkjente MSCHAPv2-protokollen.
- PEAP-GTC(Generisk tokenkort) - ligner på det forrige, men krever engangspassordkort (og den tilsvarende infrastrukturen)
Alle disse metodene (bortsett fra EAP-FAST) krever et serversertifikat (på RADIUS-serveren) utstedt av en sertifiseringsinstans (CA). I dette tilfellet må selve CA-sertifikatet være til stede på klientens enhet i den klarerte gruppen (som er enkel å implementere ved hjelp av gruppepolicy i Windows). I tillegg krever EAP-TLS et individuelt klientsertifikat. Klientautentisering utføres både ved digital signatur og (valgfritt) ved å sammenligne sertifikatet gitt av klienten til RADIUS-serveren med det som hentes av serveren fra PKI-infrastrukturen (Active Directory).
Støtte for noen av EAP-metodene må gis av en leverandør på klientsiden. Standarden innebygd i Windows XP / Vista / 7, iOS, Android gir minst EAP-TLS og EAP-MSCHAPv2, noe som forklarer populariteten til disse metodene. ProSet-verktøyet leveres med Intel Windows Client Adapters for å utvide den tilgjengelige listen. Cisco AnyConnect-klienten gjør det samme.
Hvor pålitelig er den
Tross alt, hva skal til for at en angriper skal kompromittere nettverket ditt?For åpen autentisering er ingen kryptering ingenting. Koblet til nettverket, og det er det. Siden radiomiljøet er åpent, beveger signalet seg i forskjellige retninger, det er ikke lett å blokkere det. Hvis det er passende klientadaptere som tillater å lytte til luften, blir nettverkstrafikken sett på som om angriperen var koblet til ledningen, til huben, til SPAN-porten på svitsjen.
WEP-basert kryptering krever bare en brute-force IV og ett av mange fritt tilgjengelige skanneverktøy.
For kryptering basert på TKIP eller AES er direkte dekryptering mulig i teorien, men i praksis har man ikke støtt på hacking.
Selvfølgelig kan du prøve å gjette PSK-nøkkelen, eller passordet for en av EAP-metodene. Ingen vanlige angrep mot disse metodene er kjent. Du kan prøve sosiale ingeniørteknikker, eller
Protokoll WPA2 definert av IEEE 802.11i-standarden opprettet i 2004 for å erstatte. Den implementerer CCMP og kryptering AES, på grunn av hva WPA2 ble sikrere enn forgjengeren. Siden 2006 støtte WPA2 er en forutsetning for alle sertifiserte enheter.
Forskjellen mellom WPA og WPA2
Å søke etter forskjellen mellom WPA2 og WPA2 er ikke relevant for de fleste brukere, siden all beskyttelse av trådløst nettverk går ut på å velge et mer eller mindre komplekst passord for tilgang. I dag er situasjonen slik at alle enheter som opererer i Wi-Fi-nettverk må støtte WPA2, så valget av WPA kan kun skyldes ikke-standardiserte situasjoner. Operativsystemer eldre enn Windows XP SP3 støtter for eksempel ikke WPA2 uten patcher, så maskiner og enheter som kontrolleres av slike systemer krever oppmerksomhet fra en nettverksadministrator. Selv noen moderne smarttelefoner støtter kanskje ikke den nye krypteringsprotokollen, hovedsakelig for asiatiske gadgets uten merke. På den annen side støtter noen versjoner av Windows eldre enn XP ikke WPA2 på GPO-nivå, og krever derfor mer finjustering av nettverkstilkoblinger i dette tilfellet.
Den tekniske forskjellen mellom WPA og WPA2 ligger i krypteringsteknologien, spesielt i protokollene som brukes. WPA bruker TKIP, WPA2 bruker AES. I praksis betyr dette at den mer moderne WPA2 gir høyere grad av nettverkssikkerhet. For eksempel lar TKIP-protokollen deg lage en autentiseringsnøkkel på opptil 128 biter, AES - opptil 256 biter.
Forskjellen mellom WPA2 og WPA er som følger:
- WPA2 er en forbedret WPA.
- WPA2 bruker AES-protokollen, WPA bruker TKIP-protokollen.
- WPA2 støttes av alle moderne trådløse enheter.
- WPA2 støttes kanskje ikke av eldre operativsystemer.
- WPA2 er sikrere enn WPA.
WPA2-autentisering
Både WPA og WPA2 fungerer i to autentiseringsmoduser: personlig og bedrift (bedrift)... I WPA2-Personal-modus genereres en 256-bits nøkkel, noen ganger referert til som en forhåndsdelt nøkkel, fra klartekstpassordet som er angitt. PSK-nøkkelen, samt identifikatoren og lengden på sistnevnte, danner sammen det matematiske grunnlaget for dannelsen av hovedparnøkkelen. PMK (parvis hovednøkkel) som brukes til å initialisere et fireveis håndtrykk og generere et midlertidig par eller øktnøkkel PTK (Pairwise Transient Key) for å samhandle med den trådløse brukerenheten med tilgangspunktet. I likhet med statisk har WPA2-Personal viktige distribusjons- og vedlikeholdsproblemer iboende, noe som gjør den mer egnet for bruk på små kontorer enn i bedrifter.
Imidlertid løser WPA2-Enterprise med suksess problemer med statiske nøkkeldistribusjon og administrasjon, og integreres med de fleste bedriftsautentiseringstjenester for å gi kontobasert tilgangskontroll. Denne modusen krever legitimasjon som brukernavn og passord, sikkerhetssertifikat eller engangspassord; autentisering utføres mellom arbeidsstasjonen og den sentrale autentiseringsserveren. Tilgangspunktet eller den trådløse kontrolleren overvåker tilkoblingen og ruter autentiseringspakkene til riktig autentiseringsserver, vanligvis denne. WPA2-Enterprise-modus er basert på 802.1X, som støtter portbasert bruker- og maskinautentisering for både kablede brytere og trådløse tilgangspunkter.
WPA2-kryptering
WPA2 er basert på AES-krypteringsmetoden, som erstattet DES og 3DES som de facto industristandard. Beregningsintensiv, AES krever maskinvarestøtte som ikke alltid er tilgjengelig i eldre WLAN-maskinvare.
WPA2 bruker protokollen Cipher Block Chaining Message Authentication Code (CBC-MAC) for å autentisere og sikre dataintegritet, og Counter Mode (CTR) for å kryptere data og MIC-sjekksum. Meldingsintegritetskoden (MIC) til WPA2-protokollen er ikke noe mer enn en kontrollsum og sikrer, i motsetning til WPA, dataintegritet for uendrede 802.11-overskriftsfelt. Dette forhindrer pakkereplay-angrep for å dekryptere pakker eller kompromittere kryptografisk informasjon.
MIC-en beregnes ved hjelp av en 128-bits initialiseringsvektor (IV), og IV-en krypteres ved hjelp av AES og en midlertidig nøkkel, noe som resulterer i et 128-bits resultat. Deretter utføres en XOR-operasjon på dette resultatet og de neste 128 bitene med data. Resultatet krypteres med AES og TK, og deretter utføres en XOR-operasjon over det siste resultatet og de neste 128 databitene. Prosedyren gjentas til hele nyttelasten er oppbrukt. De første 64 bitene av resultatet oppnådd i det aller siste trinnet brukes til å beregne MIC-verdien.
En tellermodusbasert algoritme brukes til å kryptere data og MIC. Som med krypteringen av MIC-initialiseringsvektoren, starter denne algoritmen med forhåndsinnlasting av en 128-bit teller, hvor tellerverdien settes til én i tellerfeltet i stedet for verdien som tilsvarer datalengden. Dermed brukes en separat teller for å kryptere hver pakke.
Ved å bruke AES og TK blir de første 128 bitene med data kryptert, og deretter utføres en eksklusiv ELLER på 128-bits resultatet av denne krypteringen. De første 128 bitene med data gir den første 128-biters krypterte blokken. Den forhåndsinnlastede tellerverdien økes og krypteres med AES og en datakrypteringsnøkkel. Deretter blir resultatet av denne krypteringen og de neste 128 bitene med data XORed igjen.
Prosedyren gjentas til alle 128-biters datablokker er kryptert. Deretter tilbakestilles den endelige verdien i tellerfeltet til null, telleren krypteres ved hjelp av AES-algoritmen, og deretter utføres en eksklusiv ELLER på resultatet av krypteringen og MIC. Resultatet av den siste operasjonen dokkes til den krypterte rammen.
Etter MIC-telling ved bruk av CBC-MAC-protokollen, krypteres data og MIC. Deretter legges 802.11-headeren og CCMP-pakkenummerfeltet til denne informasjonen foran, 802.11-traileren dokkes, og det hele sendes sammen til destinasjonsadressen.
Datadekryptering utføres i omvendt rekkefølge av kryptering. For å hente telleren brukes samme algoritme som for kryptering. For å dekryptere telleren og den krypterte delen av nyttelasten, brukes en tellermodusbasert dekrypteringsalgoritme og TK. Resultatet av denne prosessen er de dekrypterte dataene og MIC-sjekksummen. Etter det, ved å bruke CBC-MAC-algoritmen, beregnes MIC på nytt for de dekrypterte dataene. Hvis MIC-verdiene ikke stemmer overens, blir pakken forkastet. Hvis de angitte verdiene samsvarer, sendes de dekrypterte dataene til nettverksstakken og deretter til klienten.
I dag skal vi grave litt dypere inn i temaet trådløs sikkerhet. La oss finne ut hva det er - det kalles også "autentisering" - og hvilken som er bedre å velge. Sikkert når du kom over slike forkortelser som WEP, WPA, WPA2, WPA2 / PSK. Og også noen av deres varianter - Personal eller Enterprice og TKIP eller AES. Vel, la oss se nærmere på dem alle og finne ut hvilken type kryptering vi skal velge for å sikre maksimal hastighet uten tap av hastighet.
Merk at det er viktig å beskytte WiFi-en din med et passord, uansett hvilken type kryptering du velger. Selv den enkleste autentisering vil unngå alvorlige problemer i fremtiden.
Hvorfor sier jeg det? Det er ikke engang det at tilkoblingen til mange venstrehendte klienter vil bremse nettverket ditt – dette er bare blomster. Hovedårsaken er at hvis nettverket ditt ikke er passordbeskyttet, kan en inntrenger holde seg til det, som vil utføre ulovlige handlinger fra under ruteren din, og da må du svare for handlingene hans, så ta beskyttelsen av wifi med alle alvor.
WiFi-datakryptering og autentiseringstyper
Så vi var overbevist om behovet for å kryptere wifi-nettverket, la oss nå se hvilke typer det er:
Hva er WEP wifi-beskyttelse?
WEP(Wired Equivalent Privacy) er den aller første standarden som har dukket opp, som ikke lenger oppfyller moderne krav når det gjelder pålitelighet. Alle programmer som er konfigurert til å hacke et wifi-nettverk ved å telle opp tegn, er først og fremst rettet mot å velge en WEP-krypteringsnøkkel.
Hva er WPA-nøkkel eller passord?
WPA(Wi-Fi Protected Access) er en mer moderne autentiseringsstandard som lar deg på en pålitelig måte beskytte det lokale nettverket og Internett mot ulovlig penetrering.
Hva er WPA2-PSK - Personal eller Enterprise?
WPA2- en forbedret versjon av den forrige typen. Å hacke WPA2 er nesten umulig, det gir maksimal grad av sikkerhet, så i artiklene mine sier jeg alltid uten forklaring at du må installere det - nå vet du hvorfor.
Det er to flere varianter av WiFi-sikkerhetsstandardene WPA2 og WPA:
- Personlig refereres til som WPA / PSK eller WPA2 / PSK. Denne typen er den mest brukte og optimal for bruk i de fleste tilfeller – både hjemme og på kontoret. I WPA2 / PSK setter vi et passord på minst 8 tegn, som er lagret i minnet til enheten som vi kobler til ruteren.
- Bedriften- en mer kompleks konfigurasjon som krever at RADIUS-funksjonen på ruteren er aktivert. Det fungerer i henhold til prinsippet, det vil si at det tildeles et eget passord for hver separat tilkoblet gadget.
WPA-krypteringstyper - TKIP eller AES?
Så vi bestemte oss for at WPA2 / PSK (Personlig) ville være det beste valget for nettverkssikkerhet, men det har ytterligere to typer datakryptering for autentisering.
- TKIP- i dag er det allerede en foreldet type, men det er fortsatt mye brukt, siden mange enheter for et visst antall år med utgivelse kun støtter det. Fungerer ikke med WPA2 / PSK-teknologi og støtter ikke 802.11n WiFi.
- AES- den nyeste og mest pålitelige typen WiFi-kryptering for øyeblikket.
Hvordan velge type kryptering og sette WPA-nøkkelen på WiFi-ruteren?
Med teorien på plass – la oss gå videre til praksis. Siden WiFi 802.11 "B" og "G"-standardene, som har en maksimal hastighet på opptil 54 Mbps, ikke har blitt brukt på lenge - i dag er normen 802.11 "N" eller "AC", som støtter hastigheter opp til 300 Mbps og høyere, så gir det ingen mening å vurdere muligheten for å bruke WPA / PSK-beskyttelse med TKIP-krypteringstypen. Derfor, når du konfigurerer et trådløst nettverk, må du angi standarden
WPA2 / PSK - AES
Eller, som en siste utvei, spesifiser "Auto" som krypteringstype for å sørge for tilkobling av enheter med en utdatert WiFi-modul.
I dette tilfellet må WPA-nøkkelen, eller enkelt sagt, passordet for å koble til nettverket ha fra 8 til 32 tegn, inkludert engelske små og store bokstaver, samt forskjellige spesialtegn.
Trådløs sikkerhet på TP-Link-ruteren
Skjermbildene ovenfor viser kontrollpanelet til en moderne TP-Link-ruter i den nye fastvareversjonen. Innstillingen for nettverkskryptering finner du her i delen "Avanserte innstillinger - Trådløs modus".
I den gamle "grønne" versjonen er WiFi-nettverkskonfigurasjonene av interesse for oss plassert i " Trådløs modus - Sikkerhet". Gjør alt som på bildet - det blir supert!
Hvis du la merke til det, er det fortsatt et element som "WPA Group Key Renewal Period". Poenget er at den virkelige digitale WPA-nøkkelen for kryptering av forbindelsen endres dynamisk for å gi mer beskyttelse. Her setter du verdien i sekunder hvoretter endringen skjer. Jeg anbefaler å ikke røre den og la den stå som standard - oppdateringsintervallet varierer fra modell til modell.
ASUS-ruterautentiseringsmetode
På ASUS-rutere er alle WiFi-parametere plassert på én side "Trådløst nettverk"
Nettverksbeskyttelse gjennom Zyxel Keenetic-ruter
Tilsvarende, for Zyxel Keenetic - delen "WiFi-nettverk - tilgangspunkt"
I Keenetic-rutere uten "Zyxel"-prefikset, endres krypteringstypen i delen "Hjemmenettverk".
Konfigurere sikkerheten til D-Link-ruteren
På D-Link ser vi etter seksjonen " Wi-Fi - Sikkerhet»
Vel, i dag fant vi ut hvilke typer WiFi-kryptering og termer som WEP, WPA, WPA2-PSK, TKIP og AES og fant ut hvilken som er bedre å velge. Du kan også lese om andre nettverkssikkerhetsalternativer i en av de forrige artiklene, der jeg snakker om MAC- og IP-adresser og andre beskyttelsesmetoder.
Video om konfigurering av kryptering på ruteren
Spørsmålet oppstår ofte: hvilken type Wi-Fi-kryptering å velge for en hjemmeruter. Det virker som en bagatell, men med feil parametere kan det oppstå problemer med nettverket, og til og med med overføring av informasjon over en Ethernet-kabel.
Derfor vil vi her vurdere hvilke typer datakryptering som støttes av moderne WiFi-rutere, og hvordan aes-krypteringstypen skiller seg fra de populære wpa og wpa2.
Trådløs krypteringstype: hvordan velge en sikkerhetsmetode?
Så det er 3 typer kryptering totalt:
- 1. WEP-kryptering
WEP-krypteringstypen dukket opp på de fjerne 90-tallet og var det første alternativet for å beskytte Wi-Fi-nettverk: den ble plassert som en analog av kryptering i kablede nettverk og brukte RC4-chifferet. Det var tre vanlige krypteringsalgoritmer for overførte data – Neesus, Apple og MD5 – men hver av dem ga ikke det nødvendige sikkerhetsnivået. I 2004 erklærte IEEE standarden for foreldet på grunn av at den endelig sluttet å gi en sikker tilkobling til nettverket. For øyeblikket anbefales ikke denne typen kryptering for wifi, fordi det er ikke kryptografisk sikkert.
- 2.WPS er en ikke-bruksstandard. For å koble til ruteren, trenger du bare å klikke på den tilsvarende knappen, som vi snakket om i detalj i artikkelen.
I teorien lar WPS deg koble til et tilgangspunkt ved hjelp av en åttesifret kode, men i praksis er ofte bare fire nok.
Dette faktum brukes rolig av mange hackere som raskt nok (på 3 - 15 timer) hacker wifi-nettverk, så bruk av denne tilkoblingen anbefales heller ikke.
- 3.Krypteringstype WPA / WPA2
Ting er mye bedre med WPA-kryptering. I stedet for det sårbare RC4-chifferet brukes AES-kryptering her, hvor passordlengden er en vilkårlig verdi (8 - 63 bits). Denne typen kryptering gir et normalt sikkerhetsnivå og er ganske egnet for enkle wifi-rutere. Dessuten er det to typer av det:
PSK-type (Pre-Shared Key) - tilkobling til tilgangspunktet utføres ved hjelp av et forhåndsdefinert passord.
- Enterprise — et passord for hver node genereres automatisk med verifisering på RADIUS-servere.
WPA2-krypteringstypen er en fortsettelse av WPA med sikkerhetsforbedringer. Denne protokollen bruker RSN, som er basert på AES-kryptering.
I likhet med WPA-kryptering har WPA2 to driftsmoduser: PSK og Enterprise.
Siden 2006 er WPA2-krypteringstypen støttet av alt Wi-Fi-utstyr, den tilsvarende geo kan velges for enhver ruter.
), som lar deg beskytte deg mot uautoriserte tilkoblinger, for eksempel skadelige naboer. Passordet er et passord, men det kan hackes, hvis det selvfølgelig ikke er noen "hacker-crackere" blant naboene dine. Derfor har Wi-Fi-protokollen også ulike typer kryptering, som bare lar deg beskytte Wi-Fi mot hacking, men ikke alltid.
For øyeblikket finnes det typer kryptering som f.eks ÅPEN, WEB, WPA, WPA2, som vi skal snakke om i dag.
ÅPEN
ÅPEN kryptering har faktisk ingen kryptering, med andre ord er det ingen beskyttelse. Derfor kan alle som finner tilgangspunktet ditt enkelt koble til det. Det beste alternativet ditt ville være å bruke WPA2-kryptering og komme opp med et slags komplekst passord.
WEB
Denne typen kryptering dukket opp på slutten av 90-tallet og er den aller første. For øyeblikket WEB ( Wired Equivalent Privacy) Er den svakeste krypteringstypen. Noen rutere og andre enheter som støtter Wi-Fi, støtter ikke WEB.
Som jeg sa, WEB-kryptering er veldig upålitelig og unngås best, som OPEN, siden det skaper beskyttelse i svært kort tid, hvoretter du enkelt kan finne ut et passord av enhver kompleksitet. Vanligvis er WEB-passord 40 eller 103 biter, noe som lar deg velge en kombinasjon på noen få sekunder.
Faktum er at WEB overfører deler av nettopp dette passordet (nøkkelen) sammen med datapakker, og disse pakkene kan enkelt fanges opp. For øyeblikket er det flere programmer som driver med å bare avskjære disse pakkene, men jeg skal ikke snakke om dette i denne artikkelen.
WPA / WPA2
Denne typen er den mest moderne og det er ingen nye ennå. Du kan angi en vilkårlig passordlengde fra 8 til 64 byte, og dette gjør det ganske vanskelig å knekke.
I mellomtiden støtter WPA-standarden mange krypteringsalgoritmer som overføres etter interaksjon TKIP Med CCMP... TKIP var som en bro mellom WEB og WPA, og eksisterte til IEEE ( Institutt for elektro- og elektronikkingeniører) laget en fullverdig algoritme CCMP... I mellomtiden led TKIP også av noen typer angrep, så det anses også som lite sikkert.
Dessuten bruker WPA2-kryptering to moduser for innledende autentisering, med andre ord, passordverifisering for bruker (klient) tilgang til nettverket. De kalles PSK og Bedriften... Den første modusen betyr inngangen med ett passord, som vi oppgir når vi kobler til. For store bedrifter er dette ikke særlig praktisk, for etter at noen ansatte slutter, må du endre passordet hver gang slik at han ikke får tilgang til nettverket, og varsle resten av de ansatte som er koblet til dette nettverket om det. Derfor, for å gjøre det hele mer praktisk, kom de med en modus Bedriften som lar deg bruke mange nøkler som er lagret på serveren RADIUS.
WPS
Teknologi WPS eller på annen måte QSS lar deg koble til nettverket med et enkelt trykk på en knapp. I prinsippet trenger du ikke engang tenke på passord. Men dette har også sine ulemper, som har alvorlige feilberegninger i opptakssystemet.
Med WPS kan vi koble til nettverket ved hjelp av en kode bestående av 8 tegn, på en annen måte PIN-kode... Men i denne standarden er det en feil på grunn av at du, etter å ha lært bare 4 sifre i denne pinkoden, kan finne ut hele nøkkelen, for dette er det nok 10 tusen forsøk... Dermed kan du få passordet, uansett hvor komplekst det er.
Ved inngangen via WPS kan 10-50 forespørsler sendes i sekundet, og i løpet av 4-16 timer får du den etterlengtede nøkkelen.
Selvfølgelig tar alt slutt, denne sårbarheten ble avslørt, og allerede i fremtidige teknologier begynte de å innføre begrensninger på antall påloggingsforsøk, etter utløpet av denne perioden deaktiverer tilgangspunktet WPS midlertidig. I dag har mer enn halvparten av brukerne fortsatt enheter uten denne beskyttelsen.
Dette er hvordan vi lærte om de forskjellige typene Wi-Fi-nettverkskryptering, hvilke som er bedre og hvilke som er dårligere. Bedre, selvfølgelig, å bruke kryptering som starter med WPA, men WPA2 er mye bedre.
For spørsmål eller har noe å legge til, sørg for å avslutte abonnementet i kommentarfeltet.
I mellomtiden kan du se en video om hvordan styrke Wi-Fi-tilkoblingen, i tillegg til styrke usb-tilknytning.
