Spørsmålet oppstår ofte: hvilken type Wi-Fi-kryptering å velge for en hjemmeruter. Det virker som en bagatell, men med feil parametere kan det oppstå problemer med nettverket, og til og med med overføring av informasjon over en Ethernet-kabel.
Derfor vil vi her vurdere hvilke typer datakryptering som støttes av moderne WiFi-rutere, og hvordan aes-krypteringstypen skiller seg fra de populære wpa og wpa2.
Trådløs krypteringstype: hvordan velge en sikkerhetsmetode?
Så det er 3 typer kryptering totalt:
- 1. WEP-kryptering
WEP-krypteringstypen dukket opp på de fjerne 90-tallet og var det første alternativet for å beskytte Wi-Fi-nettverk: den ble plassert som en analog av kryptering i kablede nettverk og brukte RC4-chifferet. Det var tre vanlige krypteringsalgoritmer for overførte data – Neesus, Apple og MD5 – men hver av dem ga ikke det nødvendige sikkerhetsnivået. I 2004 erklærte IEEE standarden for foreldet på grunn av at den endelig sluttet å gi en sikker tilkobling til nettverket. For øyeblikket anbefales ikke denne typen kryptering for wifi, fordi det er ikke kryptografisk sikkert.
- 2.WPS er en ikke-bruksstandard. For å koble til ruteren, trenger du bare å klikke på den tilsvarende knappen, som vi snakket om i detalj i artikkelen.
I teorien lar WPS deg koble til et tilgangspunkt ved hjelp av en åttesifret kode, men i praksis er ofte bare fire nok.
Dette faktum brukes rolig av mange hackere som raskt nok (på 3 - 15 timer) bryter seg inn i wifi-nettverk, så bruk av denne tilkoblingen anbefales heller ikke.
- 3.Krypteringstype WPA / WPA2
Ting er mye bedre med WPA-kryptering. I stedet for det sårbare RC4-chifferet brukes AES-kryptering her, hvor passordlengden er en vilkårlig verdi (8 - 63 bits). Denne typen kryptering gir et normalt sikkerhetsnivå og er ganske egnet for enkle wifi-rutere. Dessuten er det to typer av det:
PSK-type (Pre-Shared Key) - tilkobling til tilgangspunktet utføres ved hjelp av et forhåndsdefinert passord.
- Enterprise — et passord for hver node genereres automatisk med verifisering på RADIUS-servere.
WPA2-krypteringstypen er en fortsettelse av WPA med sikkerhetsforbedringer. Denne protokollen bruker RSN, som er basert på AES-kryptering.
I likhet med WPA-kryptering har WPA2 to driftsmoduser: PSK og Enterprise.
Siden 2006 er WPA2-krypteringstypen støttet av alt Wi-Fi-utstyr, den tilsvarende geo kan velges for enhver ruter.
Denne artikkelen handler om sikkerhet ved bruk av trådløse WiFi-nettverk.
Introduksjon - WiFi-sårbarheter
Hovedårsaken til sårbarheten til brukerdata når disse dataene overføres over WiFi-nettverk er at utvekslingen skjer over radiobølgen. Og dette gjør det mulig å fange opp meldinger når som helst der WiFi-signalet er fysisk tilgjengelig. Enkelt sagt, hvis signalet til et tilgangspunkt kan fanges i en avstand på 50 meter, er avskjæring av all nettverkstrafikk til dette WiFi-nettverket mulig innenfor en radius på 50 meter fra tilgangspunktet. I et tilstøtende rom, i en annen etasje i bygningen, på gaten.
Se for deg dette bildet. På kontoret bygges det lokale nettverket via WiFi. Signalet fra tilgangspunktet til dette kontoret fanges opp utenfor bygget, for eksempel på en parkeringsplass. En angriper utenfor bygningen kan få tilgang til kontornettverket, det vil si ubemerket av eierne av dette nettverket. WiFi-nettverk kan nås enkelt og diskret. Teknisk mye enklere enn kablede nettverk.
Ja. Til dags dato har midlene for å beskytte WiFi-nettverk blitt utviklet og implementert. Denne beskyttelsen er basert på kryptering av all trafikk mellom tilgangspunktet og sluttenheten som er koblet til det. Det vil si at en angriper kan avskjære et radiosignal, men for ham blir det bare digitalt «søppel».
Hvordan fungerer WiFi-beskyttelse?
Tilgangspunktet inkluderer i sitt WiFi-nettverk bare enheten som vil sende det riktige (spesifisert i tilgangspunktinnstillingene) passord. I dette tilfellet sendes også passordet kryptert, i form av en hash. Hash er et resultat av irreversibel kryptering. Det vil si at data som er oversatt til en hash ikke kan dekrypteres. Hvis en angriper fanger opp passordhashen, vil han ikke kunne få tak i passordet.
Men hvordan vet tilgangspunktet om passordet er riktig eller ikke? Hvis hun også mottar en hash, men ikke kan dekryptere den? Alt er enkelt - i innstillingene til tilgangspunktet er passordet spesifisert i sin rene form. Autorisasjonsprogrammet tar et rent passord, lager en hash fra det, og sammenligner deretter denne hashen med den mottatt fra klienten. Hvis hashen samsvarer, har klienten riktig passord. Den andre funksjonen til hasher brukes her - de er unike. Den samme hashen kan ikke hentes fra to forskjellige sett med data (passord). Hvis de to hashene samsvarer, er de begge opprettet fra samme datasett.
Forresten. På grunn av denne funksjonen brukes hashes til å kontrollere dataintegriteten. Hvis to hashes (opprettet med et tidsintervall) samsvarer, er de opprinnelige dataene (i dette tidsintervallet) ikke endret.
Men selv om den mest moderne metoden for å sikre et WiFi-nettverk (WPA2) er pålitelig, kan dette nettverket hackes. Hvordan?
Det er to metoder for å få tilgang til et WPA2-sikret nettverk:
- Passord brute-force angrep (såkalte ordbok brute-force angrep).
- Utnyttelse av en sårbarhet i WPS-funksjonen.
I det første tilfellet fanger angriperen opp passordhashen for tilgangspunktet. Deretter utføres en hash-sammenligning over en database som inneholder tusenvis eller millioner av ord. Et ord hentes fra ordboken, en hash for dette ordet genereres, og deretter sammenlignes denne hashen med hashen som ble fanget opp. Hvis et primitivt passord brukes på tilgangspunktet, er det et spørsmål om tid å knekke passordet, dette tilgangspunktet. For eksempel er et 8-sifret passord (8 tegn er minimum passordlengde for WPA2) en million kombinasjoner. På en moderne datamaskin er det mulig å telle opp en million verdier på noen få dager eller til og med timer.
I det andre tilfellet utnyttes en sårbarhet i de første versjonene av WPS-funksjonen. Denne funksjonen lar deg koble en enhet til tilgangspunktet der du ikke kan angi et passord, for eksempel en skriver. Når du bruker denne funksjonen, utveksler enheten og tilgangspunktet en digital kode, og hvis enheten sender riktig kode, vil tilgangspunktet autorisere klienten. Det var en sårbarhet i denne funksjonen - koden var på 8 sifre, men unikheten ble kun sjekket med fire av dem! Det vil si at for å hacke WPS, må du telle opp alle verdiene som gir 4 sifre. Som et resultat kan hacking av et tilgangspunkt via WPS utføres bokstavelig talt på noen få timer, på hvilken som helst, den svakeste enheten.
Sette opp WiFi-sikkerhet
Sikkerheten til WiFi-nettverket bestemmes av innstillingene til tilgangspunktet. Flere av disse innstillingene påvirker nettverkssikkerheten direkte.
Wi-Fi-nettverkstilgangsmodus
Tilgangspunktet kan operere i en av to moduser - åpent eller beskyttet. Ved åpen tilgang kan enhver enhet koble seg til tilgangspunktet. Ved sikker tilgang er kun enheten som overfører riktig tilgangspassord tilkoblet.
Det er tre typer (standarder) for å beskytte WiFi-nettverk:
- WEP (Wired Equivalent Privacy)... Den aller første beskyttelsesstandarden. I dag gir det faktisk ikke beskyttelse, siden det er veldig enkelt å hacke på grunn av svakheten i forsvarsmekanismene.
- WPA (Wi-Fi Protected Access)... Kronologisk den andre beskyttelsesstandarden. På tidspunktet for opprettelse og idriftsettelse ga den effektiv beskyttelse for WiFi-nettverk. Men på slutten av 2000-tallet ble det funnet muligheter for å bryte WPA-sikkerhet gjennom sårbarheter i sikkerhetsmekanismer.
- WPA2 (Wi-Fi Protected Access)... Den nyeste beskyttelsesstandarden. Gir pålitelig beskyttelse hvis visse regler følges. Til dags dato er det bare to kjente måter å bryte WPA2-beskyttelsen på. Søke etter et passord i en ordbok og en løsning gjennom WPS-tjenesten.
Derfor, for å sikre sikkerheten til WiFi-nettverket, må du velge WPA2-sikkerhetstypen. Imidlertid kan ikke alle klientenheter støtte det. For eksempel støtter Windows XP SP2 bare WPA.
I tillegg til å velge WPA2-standarden, kreves det ytterligere betingelser:
Bruk AES-krypteringsmetoden.
Passordet for tilgang til WiFi-nettverket må være sammensatt som følger:
- Bruk bokstaver og tall i passordet. Et vilkårlig sett med bokstaver og tall. Eller en svært sjelden, meningsfull bare for deg, ord eller uttrykk.
- Ikke bruk enkle passord som navn + fødselsdato, eller et ord + noen få tall, for eksempel lena 1991 eller dom12345.
- Hvis det bare er nødvendig å bruke et digitalt passord, må lengden være minst 10 tegn. Fordi et digitalt passord på åtte tegn er brute-force i sanntid (fra flere timer til flere dager, avhengig av kraften til datamaskinen).
Hvis du bruker komplekse passord, i samsvar med disse reglene, vil ikke WiFi-nettverket ditt kunne hackes ved å gjette et passord ved hjelp av en ordbok. For eksempel for et passord som 5Fb9pE2a(vilkårlig alfanumerisk), maksimalt mulig 218340105584896 kombinasjoner. I dag er det nesten umulig å matche. Selv om datamaskinen sammenligner 1 000 000 (millioner) ord per sekund, vil det ta nesten 7 år å iterere over alle verdiene.
WPS (Wi-Fi Protected Setup)
Hvis tilgangspunktet ditt har Wi-Fi Protected Setup (WPS), må du deaktivere det. Hvis denne funksjonen er nødvendig, må du sørge for at versjonen er oppdatert til følgende funksjoner:
- Bruker alle de 8 symbolene i pinkoden i stedet for 4, som det var i begynnelsen.
- Aktiverer en forsinkelse etter flere forsøk på å overføre feil PIN-kode fra klienten.
En ekstra mulighet til å forbedre WPS-sikkerheten er bruken av en alfanumerisk pinkode.
Sikkerhet for offentlige WiFi-nettverk
I dag er det fasjonabelt å bruke Internett via WiFi-nettverk på offentlige steder - på kafeer, restauranter, kjøpesentre, etc. Det er viktig å forstå at bruk av slike nettverk kan føre til tyveri av dine personopplysninger. Hvis du går inn på Internett via et slikt nettverk og deretter autoriserer på et hvilket som helst nettsted, kan dataene dine (pålogging og passord) bli fanget opp av en annen person som er koblet til det samme WiFi-nettverket. Faktisk, på en hvilken som helst enhet som har bestått autorisasjon og er koblet til et tilgangspunkt, kan du fange opp nettverkstrafikk fra alle andre enheter på dette nettverket. Og det særegne med offentlige WiFi-nettverk er at alle kan koble til det, inkludert en angriper, og ikke bare til et åpent nettverk, men også til et beskyttet.
Hva kan du gjøre for å beskytte dataene dine når du er koblet til Internett via et offentlig WiFi-nettverk? Det er bare ett alternativ - å bruke HTTPS-protokollen. Denne protokollen etablerer en kryptert forbindelse mellom klienten (nettleseren) og nettstedet. Imidlertid støtter ikke alle nettsteder HTTPS-protokollen. Adresser på et nettsted som støtter HTTPS starter med prefikset https: //. Hvis adressene på nettstedet har http: // prefikset, betyr dette at nettstedet ikke støtter HTTPS eller at det ikke brukes.
Noen nettsteder bruker ikke HTTPS som standard, men de har denne protokollen og du kan bruke den hvis du eksplisitt (manuelt) spesifiserer https: // prefikset.
For andre brukstilfeller som Internett-chatter, skype, etc., kan gratis eller betalte VPN-servere brukes for å beskytte disse dataene. Det vil si først koble til VPN-serveren, og først deretter bruke chat eller en åpen side.
WiFi passordbeskyttelse
I den andre og tredje delen av denne artikkelen skrev jeg at når det gjelder bruk av WPA2-sikkerhetsstandarden, er en av måtene å hacke et WiFi-nettverk på å gjette et passord ved hjelp av en ordbok. Men for en inntrenger er det en annen måte å få passordet til WiFi-nettverket på. Hvis du lagrer passordet ditt på et klistremerke som er limt på skjermen, gjør dette det mulig for en fremmed å se dette passordet. Passordet ditt kan også bli stjålet fra en datamaskin som er koblet til WiFi-nettverket ditt. En utenforstående kan gjøre dette hvis datamaskinene dine ikke er beskyttet mot uautorisert tilgang. Dette kan gjøres ved hjelp av skadelig programvare. I tillegg kan passordet stjeles fra en enhet som tas utenfor kontoret (hjemmet, leiligheten) - fra en smarttelefon, nettbrett.
Derfor, hvis du trenger pålitelig beskyttelse for WiFi-nettverket ditt, må du ta skritt for å lagre passordet ditt på en sikker måte. Beskytt den mot uautorisert tilgang.
Hvis du fant det nyttig eller bare likte denne artikkelen, så ikke nøl - støtt forfatteren økonomisk. Dette er enkelt å gjøre ved å kaste penger på Yandex lommebok nr. 410011416229354... Eller på telefonen +7 918-16-26-331 .
Selv en liten mengde kan hjelpe deg med å skrive nye artikler :)
Hei kjære lesere. Et svakt rutersikkerhetssystem setter nettverket ditt i fare. Vi vet alle hvor viktig sikkerheten til en ruter er, men de fleste innser ikke at noen sikkerhetsinnstillinger kan bremse hele nettverket.
Hovedalternativene for å kryptere data som går gjennom en ruter er protokoller WPA2-AES og WPA2-TKIP... I dag skal vi snakke om hver av dem og forklare hvorfor du bør velge AES.
Vi introduserer WPA
WPA, eller Wi-Fi Protected Access, var Wi-Fi Alliances svar på sikkerhetssårbarhetene som var full av WEP. Det er viktig å merke seg at det ikke var ment å være en komplett løsning. Snarere var det ment å være et midlertidig valg, slik at folk kunne bruke eksisterende rutere uten å ty til WEP, som har merkbare sikkerhetsfeil.
Mens WPA var overlegen WEP, hadde den også sine egne sikkerhetsproblemer. Selv om angrep vanligvis ikke var i stand til å bryte gjennom selve TKIP (Temporary Key Integrity Protocol), som har 256-bits kryptering, kunne de omgå et ekstra system innebygd i denne protokollen kalt WPS eller Wi-Fi-beskyttet installasjon.
Wi-Fi Protected Setup er designet for å gjøre det enkelt for enheter å koble til hverandre. På grunn av de mange sikkerhetshullene den ble utgitt med, begynte imidlertid WPS å forsvinne inn i glemselen og tok WPA med seg.
For øyeblikket brukes ikke lenger både WPA og WEP, så vi vil gå inn i detaljer og i stedet vurdere den nye versjonen av protokollen - WPA2.
Hvorfor WPA2 er bedre
I 2006 ble WPA en eldre protokoll og ble erstattet av WPA2.
Å erstatte TKIP-kryptering med den nye og sikre AES (Advanced Encryption Standard)-algoritmen har resultert i raskere og sikrere Wi-Fi-nettverk. Årsaken er at TKIP ikke var en komplett algoritme, men snarere et midlertidig alternativ. Enkelt sagt var WPA-TKIP det mellomliggende valget som holdt nettverkene i gang i de tre årene som gikk mellom fremkomsten av WPA-TKIP og utgivelsen av WPA2-AES.
Faktum er at AES er en ekte krypteringsalgoritme som ikke bare brukes til å beskytte Wi-Fi-nettverk. Det er en seriøs global standard som brukes av myndighetene, den en gang så populære TrueCrypt-programvaren og mange andre for å beskytte data mot nysgjerrige øyne. Det faktum at denne standarden beskytter hjemmenettverket ditt er en fin bonus, men det krever at du kjøper en ny ruter.
AES vs. TKIP når det gjelder sikkerhet
TKIP er egentlig en WEP-oppdatering som løser et problem der en angriper kan få nøkkelen din etter å ha undersøkt en relativt liten mengde trafikk som gikk gjennom en ruter. TKIP lappet denne sårbarheten ved å utstede en ny nøkkel med noen få minutters mellomrom, noe som i teorien ville hindre en hacker i å samle nok data til å dekryptere nøkkelen eller RC4-strømchifferet som algoritmen er avhengig av.
Mens TKIP en gang var en betydelig sikkerhetsforbedring, vil det i dag bli en utdatert teknologi som ikke lenger anses som sikker nok til å beskytte nettverk mot hackere. For eksempel ble dens største, men ikke den eneste sårbarheten, kjent som chop-chop-angrepet, offentlig kjent allerede før selve krypteringsmetoden dukket opp.
Chop-chop-angrepet lar hackere som vet hvordan de skal avskjære og analysere strømmedata generert av nettverket bruke den til å dekryptere nøkkelen og vise informasjonen som ren tekst i stedet for kodet tekst.
AES er en helt annen krypteringsalgoritme, langt overlegen egenskapene til TKIP. Denne algoritmen er en 128, 192 eller 256-bit blokkchiffer som ikke lider av sårbarhetene som TKIP hadde.
Enkelt sagt tar algoritmen klarteksten og konverterer den til chiffertekst. For en utenforstående observatør som ikke har en nøkkel, ser slik tekst ut som en streng med tilfeldige tegn. Enheten eller personen på den andre siden av overføringen har en nøkkel som låser opp eller dekrypterer dataene. I dette tilfellet har ruteren den første nøkkelen og krypterer dataene før overføring, og datamaskinen har den andre nøkkelen, som dekrypterer informasjonen, slik at den kan vises på skjermen.
Krypteringsnivået (128, 192 eller 256-bit) bestemmer antall permutasjoner som brukes på dataene, og derfor det potensielle antallet mulige kombinasjoner hvis du går for å knekke det.
Selv det svakeste nivået av AES-kryptering (128-bit) er teoretisk umulig å knekke, siden datamaskinens nåværende prosessorkraft vil ta 100 milliarder år å finne den rette løsningen for denne algoritmen.
AES vs. TKIP når det gjelder hastighet
TKIP er en eldre krypteringsmetode, og bortsett fra sikkerhetshensyn bremser den også systemer som fortsatt bruker den.
De fleste nyere rutere (alle 802.11n eller eldre) bruker WPA2-AES-kryptering som standard, men hvis du bruker en eldre ruter eller velger WPA-TKIP-kryptering av en eller annen grunn, er sjansen stor for at du mister en betydelig hastighet.
Enhver ruter som støtter 802.11n (selv om du fortsatt bør få en AC-ruter) bremser ned til 54 Mbps når du aktiverer WPA eller TKIP i sikkerhetsinnstillingene. Dette er for å sikre at sikkerhetsprotokoller fungerer korrekt med eldre enheter.
802.11ac med WPA2-AES-kryptering tilbyr teoretisk en maksimal hastighet på 3,46 Gbps under optimale (les: umulige) forhold. Men selv bortsett fra det er WPA2 og AES fortsatt mye raskere enn TKIP.
Utfall
AES og TKIP kan ikke sammenlignes med hverandre i det hele tatt. AES er mer avansert teknologi i alle betydninger av ordet. Den høye hastigheten til rutere, sikker surfing og en algoritme som selv regjeringene i de største landene er avhengige av, gjør det til det eneste riktige valget for alle nye og eksisterende Wi-Fi-nettverk.
Med alt AES har å tilby, er det en god grunn til å slutte å bruke denne algoritmen på hjemmenettverket ditt? Hvorfor bruker du (eller ikke bruker) den?
Bredbåndstilgang til Internett har lenge sluttet å være en luksus, ikke bare i store byer, men også i avsidesliggende regioner. Samtidig anskaffer mange seg umiddelbart trådløse rutere for å spare penger på mobilt internett og koble smarttelefoner, nettbrett og annet bærbart utstyr til høyhastighetslinjen. Dessuten installerer leverandørene i økende grad rutere med et innebygd trådløst tilgangspunkt til kundene sine.
Samtidig forstår forbrukerne ikke alltid hvordan nettverksutstyr faktisk fungerer og hva slags fare det kan utgjøre. Den største misforståelsen er at en privat klient rett og slett ikke har noen anelse om at en trådløs tilkobling kan skade ham på noen måte - han er tross alt ikke en bank, ikke en hemmelig tjeneste eller eieren av pornolager. Men så snart du begynner å finne ut av det, vil du umiddelbart gå tilbake til den gode gamle kabelen.
1. Ingen vil hacke seg inn på hjemmenettverket mitt
Dette er hovedmisoppfatningen til hjemmebrukere, noe som fører til neglisjering av grunnleggende nettverkssikkerhetsstandarder. Det er generelt akseptert at hvis du ikke er en kjendis, ikke en bank eller en nettbutikk, så vil ingen kaste bort tid på deg, fordi resultatene vil være utilstrekkelige for innsatsen som er gjort.
Dessuten sirkulerer det av en eller annen grunn vedvarende oppfatning om at angivelig små trådløse nettverk er vanskeligere å hacke enn store, som har et korn av sannhet, men generelt er dette også en myte. Åpenbart er denne uttalelsen basert på det faktum at små lokalnettverk har et begrenset utvalg av signalutbredelse, derfor er det nok å senke nivået, og en hacker kan ganske enkelt ikke finne et slikt nettverk fra en nærliggende bil eller kafé i nabolaget .
Dette kan ha vært tilfelle en gang, men dagens crackere er utstyrt med svært følsomme antenner som er i stand til å fange opp selv det svakeste signalet. Og det faktum at nettbrettet ditt stadig mister forbindelsen på kjøkkenet ditt betyr ikke at en hacker som sitter i en bil to hus unna deg ikke vil kunne grave seg inn i det trådløse nettverket ditt.
Når det gjelder oppfatningen om at hacking av nettverket ikke er verdt innsatsen, er dette ikke i det hele tatt tilfelle: gadgetene dine lagrer et hav av alle slags personlig informasjon, som i det minste vil tillate en angriper å bestille kjøp på din på vegne, få et lån, eller, ved hjelp av sosial ingeniørkunst, for å oppnå enda mer obskure mål som å trenge inn i nettverket til arbeidsgiveren din eller til og med hans partnere. Samtidig er holdningen til vanlige brukere til nettverkssikkerhet i dag så avvisende at det ikke vil være vanskelig å hacke et hjemmenettverk selv for nybegynnere.
2. Du trenger ikke en dual- eller tri-band ruter hjemme
Det antas at flerbåndsrutere bare trengs av de mest krevende eierne av et stort antall dingser som ønsker å presse den maksimale tilgjengelige hastigheten ut av trådløs kommunikasjon. I mellomtiden vil enhver av oss ha fordel av minst en dual-band ruter.
Hovedfordelen med en flerbåndsruter er at forskjellige enheter kan "spres" over forskjellige områder, og dermed øke den potensielle dataoverføringshastigheten og, selvfølgelig, påliteligheten til kommunikasjonen. For eksempel vil det være ganske tilrådelig å koble bærbare datamaskiner til det ene båndet, set-top-bokser til det andre og mobile gadgets til det tredje.
3. 5 GHz-båndet er bedre enn 2,4 GHz-båndet
De som har satt pris på fordelene med 5 GHz-frekvensområdet anbefaler vanligvis at alle bytter til det og generelt nekter å bruke 2,4 GHz-frekvensen. Men som vanlig er ikke alt så enkelt.
Ja, 5 GHz er fysisk mindre "befolket" enn den mer massive 2,4 GHz - også fordi de fleste enheter basert på gamle standarder fungerer på 2,4 GHz. Imidlertid er 5 GHz dårligere i kommunikasjonsrekkevidde, spesielt når det kommer til gjennomtrengende betongvegger og andre hindringer.
Generelt er det ikke noe sikkert svar her, vi kan bare råde deg til å bruke området der du spesifikt har et bedre mottak. Tross alt kan det godt vise seg at på et bestemt sted og 5 GHz-båndet er overbelastet med enheter - selv om dette er svært usannsynlig.
4. Du trenger ikke å berøre ruterinnstillingene
Det antas at konfigurasjonen av utstyret best overlates til fagfolk og din inngripen kan bare skade ytelsen til nettverket. En vanlig måte for ISP-representanter (og systemadministratorer) er å skremme brukeren for å redusere sannsynligheten for feilkonfigurasjoner og påfølgende hjemmeanrop.
Det er klart at hvis du ikke aner hva det handler om, er det bedre å ikke røre noe, men selv en ikke-profesjonell er ganske i stand til å endre noen innstillinger, øke sikkerheten, påliteligheten og ytelsen til nettverket. Gå i hvert fall til nettgrensesnittet og se hva du kan endre der – men hvis du ikke vet hva dette vil gi, er det bedre å la det være som det er.
I alle fall er det fornuftig å gjøre fire endringer hvis de ikke allerede er gjort i innstillingene til ruteren din:
1) Bytt til en ny standard når det er mulig- hvis både ruteren og enhetene dine støtter det. Å flytte fra 802.11n til 802.11ac vil gi betydelige hastighetsøkninger, og det samme vil bytte fra den eldre 802.11b/g til 802.11n.
2) Endre krypteringstypen... Noen installatører lar fortsatt trådløse hjemmenettverk enten være helt åpne eller med den eldre WEP-krypteringsstandarden. Sørg for å endre typen til WPA2 med AES-kryptering og et komplekst langt passord.
3) Endre standard brukernavn og passord... Nesten alle leverandører legger igjen disse dataene som standard når de installerer nytt utstyr – med mindre du spesifikt ber dem om å endre. Dette er et velkjent «hull» i hjemmenettverk, og enhver hacker vil definitivt prøve å utnytte det først.
4) Deaktiver WPS (Wi-Fi Protected Setup)... WPS-teknologi er vanligvis aktivert i rutere som standard – den er designet for raskt å koble kompatible mobile enheter til nettverket uten å angi lange passord. Samtidig gjør WPS ditt lokale nettverk svært sårbart for hacking gjennom "brute force"-metoden - et enkelt valg av en WPS-pinkode bestående av 8 sifre, hvoretter en angriper enkelt vil få tilgang til WPA / WPA2 PSK-nøkkelen . Samtidig, på grunn av en feil i standarden, er det nok å definere bare 4 sifre, og dette er allerede bare 11 000 kombinasjoner, og for å knekke vil det ikke være nødvendig å sortere ut dem alle.
5. Skjuling av SSID vil skjule nettverket for hackere
SSID er tjenesteidentifikatoren til nettverket, eller ganske enkelt navnet på nettverket ditt, som brukes til å opprette en tilkobling av ulike enheter som noen gang har koblet til det. Ved å slå av kringkastingen av SSID-en vil du ikke vises i nabolisten over tilgjengelige nettverk, men dette betyr ikke at hackere ikke vil kunne finne den: å avsløre den skjulte SSID-en er en oppgave for en nybegynner.
Samtidig, ved å skjule SSID-en, vil du til og med gjøre livet enklere for hackere: alle enheter som prøver å koble til nettverket ditt, vil søke etter de nærmeste tilgangspunktene og kan koble seg til fellenettverk spesielt opprettet av nettkriminelle. Du kan distribuere et slikt falskt åpent nettverk under din avslørte SSID, som enhetene dine enkelt kobles til automatisk.
Derfor er den generelle anbefalingen som følger: gi nettverket ditt et navn som ikke nevner verken leverandøren eller produsenten av ruteren, eller noen personlig informasjon som lar deg identifisere deg og påføre nøyaktige angrep på svake punkter.
6. Kryptering er ikke nødvendig hvis det er antivirus og brannmur
Et typisk eksempel på å forveksle varm og myk. Programmer beskytter mot programvaretrusler online eller allerede på nettverket ditt, de beskytter deg ikke mot avskjæring av selve dataene som overføres mellom ruteren og datamaskinen din.
For å sikre nettverkssikkerhet trenger du et sett med verktøy, som inkluderer krypteringsprotokoller, maskinvare- eller programvarebrannmurer og antiviruspakker.
7. WEP-kryptering er tilstrekkelig for hjemmenettverk
WEP er uansett usikkert, og kan knekkes på få minutter ved hjelp av smarttelefonen. Sikkerhetsmessig skiller det seg lite fra et helt åpent nettverk, og dette er hovedproblemet. Hvis du er interessert i historien til problemet, kan du finne mye materiale på Internett som WEP lett ble ødelagt i begynnelsen av "null". Trenger du denne typen "sikkerhet"?
8.WPA2-AES kryptert ruter kan ikke hackes
Hvis vi tar en "sfærisk ruter med WPA2-AES-kryptering i et vakuum", så er det sant: ifølge de siste estimatene, med eksisterende datakraft, vil det ta milliarder av år å hacke AES ved å bruke "brute force"-metoder. Ja, milliarder.
Men dette betyr ikke at AES vil hindre en hacker i å komme til dataene dine. Som alltid er hovedproblemet den menneskelige faktoren. I dette tilfellet avhenger mye av hvor komplekst og kompetent passordet ditt vil være. Med en "tilfeldig" tilnærming til passordgenerering, vil sosiale ingeniørmetoder være nok til å knekke WPA2-AES på ganske kort tid.
Vi har vært detaljert om reglene for å lage gode passord for ikke så lenge siden, så vi henviser alle interesserte til denne artikkelen.
9. WPA2-AES-kryptering reduserer dataoverføringshastigheten
Teknisk sett er dette sant, men moderne rutere har maskinvare for å holde denne nedgangen til et minimum. Hvis du ser en betydelig nedgang i forbindelsen, betyr dette at du bruker en utdatert ruter som implementerte litt andre standarder og protokoller. For eksempel WPA2-TKIP. I seg selv var TKIP sikrere enn forgjengeren WEP, men det var en kompromissløsning for å bruke eldre maskinvare med mer moderne og sikrere protokoller. For å «bli venner» med TKIP med den nye typen krypterings-AES, ble det brukt ulike programvaretriks, noe som førte til en nedgang i dataoverføringshastigheten.
Tilbake i 2012 anerkjente 802.11-standarden TKIP som ikke sikker nok, men det er fortsatt vanlig i eldre rutere. Det er bare én løsning på problemet - å kjøpe en moderne modell.
10. En fungerende ruter trenger ikke å endres
Prinsippet for de som i dag er ganske fornøyd med en mekanisk skrivemaskin og en telefon med skive. Nye trådløse standarder dukker opp jevnlig, og øker hver gang ikke bare hastigheten på dataoverføring, men også sikkerheten til nettverket.
I dag, med 802.11ac-standarden som tillater datahastigheter på over 50 Mbps, kan en eldre ruter som støtter 802.11n og alle tidligere standarder begrense potensiell nettverksbåndbredde. Når det gjelder tariffplaner som gir hastigheter over 100 Mbps, betaler du ganske enkelt ekstra penger uten å få full service.
Selvfølgelig er det ikke nødvendig å raskt bytte en fungerende ruter, men en vakker dag kommer det en tid da ingen moderne enhet kan koble til den.
I dag kan man ikke kalle det noe utenom det vanlige. Imidlertid står mange brukere (spesielt eiere av mobile enheter) overfor problemet med hvilket sikkerhetssystem de skal bruke: WEP, WPA eller WPA2-PSK. Hva slags teknologi det er, får vi se nå. Den største oppmerksomheten vil imidlertid bli gitt til WPA2-PSK, siden det er denne beskyttelsen som er mest etterspurt i dag.
WPA2-PSK: hva er det?
La oss si med en gang: dette er et system for å beskytte enhver lokal tilkobling til et trådløst nettverk basert på WI-Fi. Dette har ingenting å gjøre med kablede systemer basert på nettverkskort som bruker direkte Ethernet-tilkoblinger.
Med bruk av WPA2-PSK-teknologi er den den mest "avanserte" i dag. Selv de noe utdaterte metodene som krever påloggings- og passordforespørsel, samt de som involverer kryptering av konfidensielle data under overføring og mottak, ser mildt sagt barnslige ut. Og det er derfor.
Varianter av beskyttelse
Så la oss starte med det faktum at inntil nylig ble WEP-strukturen ansett som den sikreste teknologien for å sikre en tilkobling. Den brukte en nøkkelintegritetssjekk når du koblet til en hvilken som helst enhet trådløst og var IEEE 802.11i-standarden.
WPA2-PSK WiFi-nettverksbeskyttelse fungerer i prinsippet på omtrent samme måte, men den sjekker tilgangsnøkkelen på 802.1X-nivået. Systemet sjekker med andre ord alle mulige alternativer.
Imidlertid er det også en nyere teknologi kalt WPA2 Enterprise. I motsetning til WPA krever det ikke bare en personlig tilgangsnøkkel, men også en Radius-server som gir tilgang. Samtidig kan en slik autentiseringsalgoritme fungere samtidig i flere moduser (for eksempel Enterprise og PSK, ved bruk av AES CCMP-nivåkryptering).
Grunnleggende sikkerhets- og sikkerhetsprotokoller
I tillegg til å trekke seg tilbake i fortiden, bruker moderne sikkerhetsmetoder den samme protokollen. Dette er TKIP (WEP-sikkerhetssystem basert på programvareoppdatering og RC4-algoritme). Alt dette innebærer å legge inn en midlertidig nøkkel for å få tilgang til nettverket.
Som praktisk bruk har vist, ga ikke en slik algoritme i seg selv spesiell sikkerhet for en tilkobling i et trådløst nettverk. Det er derfor nye teknologier ble utviklet: først WPA og deretter WPA2, supplert med PSK (Personal Access Key) og TKIP (Temporary Key). I tillegg inkluderte det også sende og motta data, i dag kjent som AES-standarden.
Utdatert teknologi
WPA2-PSK-sikkerhetstypen er relativt ny. Før det, som nevnt ovenfor, ble WEP-systemet brukt i kombinasjon med TKIP. TKIP-beskyttelse er ikke noe mer enn et middel for å øke bitbredden til tilgangsnøkkelen. For øyeblikket antas det at den grunnleggende modusen lar deg øke nøkkelen fra 40 til 128 biter. Med alt dette kan du også endre én enkelt WEP-nøkkel til flere forskjellige, generert og sendt automatisk av serveren selv, som autentiserer brukeren ved pålogging.
I tillegg sørger selve systemet for bruk av et strengt hierarki av nøkkeldistribusjon, samt en teknikk som lar deg bli kvitt det såkalte forutsigbarhetsproblemet. Med andre ord, når, for eksempel, for et trådløst nettverk som bruker WPA2-PSK-sikkerhet, passordet settes i form av en sekvens som "123456789", er det lett å gjette at de samme nøkkel- og passordgeneratorprogrammene, vanligvis kalt KeyGen eller noe sånt, når du skriver inn de fire første tegnene, kan de neste fire genereres automatisk. Her trenger du, som de sier, ikke være unik for å gjette hvilken type sekvens som brukes. Men dette er, som det sannsynligvis allerede er forstått, det enkleste eksempelet.
Når det gjelder brukerens fødselsdato i passordet er dette ikke diskutert i det hele tatt. Du kan enkelt beregnes ved å bruke de samme registreringsdataene i sosiale nettverk. Digitale passord av denne typen er i seg selv helt upålitelige. Det er bedre å bruke sammen tall, bokstaver og symboler (du kan til og med ikke skrives ut hvis du angir en kombinasjon av "hurtigtaster") og et mellomrom. Men selv med denne tilnærmingen er WPA2-PSK-cracking fortsatt mulig. Her er det nødvendig å forklare metodikken til selve systemet.
Typisk tilgangsalgoritme
Nå noen flere ord om WPA2-PSK-systemet. Hva er det med tanke på praktisk anvendelse? Dette er en kombinasjon av flere algoritmer så å si i en driftsmodus. La oss forklare situasjonen med et eksempel.
Ideelt sett koker sekvensen for utførelse av tog kryptering av overført eller mottatt informasjon ned til følgende:
WPA2-PSK (WPA-PSK) + TKIP + AES.
I dette tilfellet spilles hovedrollen av en delt nøkkel (PSK) med en lengde på 8 til 63 tegn. I hvilken rekkefølge algoritmene skal brukes (om kryptering skjer først, eller etter overføring, eller i prosessen ved å bruke tilfeldige mellomnøkler osv.) er ikke viktig.
Men selv med tilstedeværelsen av beskyttelse og et krypteringssystem på AES 256-nivå (som betyr bitbredden til chiffernøkkelen), vil bryte WPA2-PSK for hackere som er kunnskapsrike i denne saken være en vanskelig oppgave, men mulig.
Sårbarhet
Tilbake i 2008, på PacSec-konferansen, ble det presentert en teknikk som lar deg hacke en trådløs forbindelse og lese de overførte dataene fra ruteren til klientterminalen. Alt dette tok ca 12-15 minutter. Det var imidlertid ikke mulig å knekke postbacken (klient-ruteren).
Faktum er at når QoS-rutermodus er aktivert, kan du ikke bare lese den overførte informasjonen, men også erstatte den med en falsk. I 2009 presenterte japanske eksperter en teknologi som reduserte sprekketiden til ett minutt. Og i 2010 dukket det opp informasjon på nettet som den enkleste måten å hacke Hole 196-modulen, som er til stede i WPA2, ved å bruke din egen private nøkkel.
Vi snakker ikke om noen tukling med de genererte nøklene. Først brukes et såkalt ordbokangrep i kombinasjon med brute-force, og deretter skannes det trådløse rommet for å fange opp de overførte pakkene og deretter registrere dem. Det er nok for brukeren å opprette en tilkobling, og umiddelbart oppstår avautorisering, avskjæring av overføringen av innledende pakker (håndtrykk). Etter det er det ikke nødvendig å være i nærheten av hovedtilgangspunktet. Du kan trygt jobbe offline. Sant nok, for å utføre alle disse handlingene, trenger du spesiell programvare.
Hvordan hacke WPA2-PSK?
Av åpenbare grunner vil ikke hele algoritmen for å knekke forbindelsen bli gitt her, siden den kan brukes som en slags handlingsinstruksjon. La oss dvele bare ved hovedpunktene, og da - bare i generelle termer.
Som regel, med direkte tilgang til ruteren, kan den byttes til den såkalte Airmon-NG-modusen for å overvåke trafikken (airmon-ng start wlan0 - gi nytt navn til den trådløse adapteren). Deretter fanges trafikk opp og fikses ved hjelp av airdump-ng mon0-kommandoen (sporingskanaldata, beaconhastighet, krypteringshastighet og -metode, mengde data som overføres, etc.).
Deretter aktiveres kommandoen for å fikse den valgte kanalen, hvoretter Aireplay-NG Deauth-kommandoen legges inn med de tilhørende verdiene (de er ikke gitt på grunn av lovligheten av å bruke slike metoder).
Etter det (når brukeren allerede har bestått autorisasjon ved tilkobling), kan brukeren ganske enkelt kobles fra nettverket. I dette tilfellet, ved re-entring fra hackersiden, vil systemet autorisere oppføringen på nytt, hvoretter det vil være mulig å avskjære alle tilgangspassord. Deretter vises et håndtrykkvindu. Deretter kan du bruke lanseringen av en spesiell WPAcrack-fil som lar deg knekke et hvilket som helst passord. Naturligvis, nøyaktig hvordan det lanseres, vil ingen fortelle noen. La oss bare merke oss at med viss kunnskap tar hele prosessen fra flere minutter til flere dager. For eksempel kan en prosessor av Intel-klassen som kjører med en nominell klokkehastighet på 2,8 GHz ikke behandle mer enn 500 passord per sekund, eller 1,8 millioner per time. Generelt, som allerede er klart, ikke smigre deg selv.
I stedet for et etterord
Det er det for WPA2-PSK. Hva det er, vil det kanskje ikke være klart fra første lesning. Likevel ser det ut til at enhver bruker vil forstå det grunnleggende om databeskyttelse og krypteringssystemene som brukes. Dessuten står nesten alle eiere av mobile gadgets i dag overfor dette. Har du noen gang lagt merke til at når du oppretter en ny tilkobling på samme smarttelefon, tilbyr systemet å bruke en viss type sikkerhet (WPA2-PSK)? Mange legger rett og slett ikke merke til det, men forgjeves. I avanserte innstillinger kan du bruke et ganske stort antall tilleggsparametere for å forbedre sikkerhetssystemet.
