Innan du läser detta material rekommenderar vi att du läser de tidigare artiklarna i serien:
• Vi bygger ett nätverk med våra egna händer och ansluter det till Internet, del ett - bygger ett trådbundet Ethernet-nätverk(utan switch, i fallet med två datorer och med en switch, såväl som i närvaro av tre eller fler maskiner) och organisera internetåtkomst via en av datorerna i nätverket, som har två nätverkskort och en operationssal installerades Windows-system XP Pro.
• Del två: installation av trådlös utrustning i ett peer-to-peer-nätverk - frågor om att organisera ett nätverk diskuteras när man endast använder trådlösa adaptrar.

I den föregående artikeln ägnades bara några få ord åt kryptering i trådlösa nätverk, det lovades att täcka denna fråga i en separat artikel. Idag fullföljer vi vårt åtagande :)

Först lite teori.

Kryptering av data i trådlösa nätverk får så mycket uppmärksamhet på grund av själva naturen hos sådana nätverk. Data överförs trådlöst med hjälp av radiovågor, vanligtvis med rundstrålande antenner. Således hör alla uppgifterna - inte bara personen som den är avsedd för, utan också grannen som bor bakom väggen eller den "intresserade personen" som stannar med en bärbar dator under fönstret. Naturligtvis de avstånd som demoner verkar på trådbundna nätverk(utan förstärkare eller riktade antenner), liten - cirka 100 meter under idealiska förhållanden. Väggar, träd och andra hinder dämpar signalen kraftigt, men det löser ändå inte problemet.

Från början användes endast SSID (nätverksnamn) för skydd. Men generellt sett kan denna metod kallas skydd med en stor sträcka - SSID:t sänds i klartext och ingen hindrar en angripare från att avlyssna den och sedan ersätta den önskade i sina inställningar. För att inte tala om att (detta gäller åtkomstpunkter) kan sändningsläget för SSID:t aktiveras, d.v.s. den kommer att tvångssändas till alla som lyssnar.

Därför fanns det ett behov av datakryptering. Den första sådana standarden var WEP - Wired Equivalent Privacy. Kryptering utförs med en 40- eller 104-bitars nyckel (strömkryptering med RC4-algoritmen på en statisk nyckel). Och själva nyckeln är en uppsättning ASCII-tecken med en längd på 5 (för en 40-bitars) eller 13 (för en 104-bitars nyckel) tecken. Uppsättningen av dessa tecken översätts till sekvensen hexadecimala siffror, som är nyckeln. Drivrutiner från många tillverkare låter dig ange direkt istället för en uppsättning ASCII-tecken hexadecimala värden(samma längd). Observera att algoritmerna för att konvertera från ASCII-teckensekvenser till hexadecimala nyckelvärden kan variera mellan olika tillverkare. Därför, om ditt nätverk använder heterogen trådlös utrustning och du inte kan konfigurera WEP-kryptering med en ASCII-nyckelfras, försök att ange nyckeln i hexadecimalt format istället.

Men hur är det med tillverkarnas uttalanden om stöd för 64- och 128-bitars kryptering, frågar du dig? Det stämmer, marknadsföring spelar en roll här – 64 är mer än 40 och 128 är 104. I verkligheten sker datakryptering med en nyckellängd på 40 eller 104. Men förutom ASCII-frasen (statisk komponent av nyckeln), det finns också något som initieringsvektor - IV - initieringsvektor. Det tjänar till att randomisera resten av nyckeln. Vektorn väljs slumpmässigt och ändras dynamiskt under drift. I princip är detta en rimlig lösning, eftersom det låter dig införa en slumpmässig komponent i nyckeln. Vektorlängden är 24 bitar, så den totala nyckellängden blir 64 (40+24) eller 128 (104+24) bitar.

Allt skulle vara bra, men krypteringsalgoritmen som används (RC4) är för närvarande inte särskilt stark - om du verkligen vill kan du hitta en nyckel med brute force på relativt kort tid. Men fortfarande är den största sårbarheten hos WEP associerad just med initialiseringsvektorn. IV är bara 24 bitar lång. Detta ger oss cirka 16 miljoner kombinationer - 16 miljoner olika vektorer. Även om siffran "16 miljoner" låter ganska imponerande, är allt i världen relativt. I riktigt arbete alla möjliga nyckelalternativ kommer att användas under en period från tio minuter till flera timmar (för en 40-bitars nyckel). Efter detta kommer vektorerna att börja upprepas. En angripare behöver bara samla ett tillräckligt antal paket genom att helt enkelt lyssna på den trådlösa nätverkstrafiken och hitta dessa upprepningar. Efter detta tar det inte mycket tid att välja nyckelns statiska komponent (ASCII-fras).

Men det är inte allt. Det finns så kallade "instabila" initialiseringsvektorer. Användningen av sådana vektorer i en nyckel tillåter en angripare att nästan omedelbart börja välja den statiska delen av nyckeln, snarare än att vänta flera timmar och passivt ackumulera nätverkstrafik. Många tillverkare bygger in i mjukvaran (eller hårdvaran) trådlösa enheter) leta efter liknande vektorer, och om liknande vektorer hittas kasseras de tyst, d.v.s. deltar inte i krypteringsprocessen. Tyvärr har inte alla enheter denna funktion.

För närvarande erbjuder vissa tillverkare av trådlös utrustning "utökade versioner" av WEP-algoritmen - de använder nycklar som är längre än 128 (mer exakt 104) bitar. Men i dessa algoritmer ökas endast den statiska komponenten av nyckeln. Längden på initialiseringsvektorn förblir densamma, med alla följder (med andra ord, vi ökar bara tiden för att välja en statisk nyckel). Det säger sig självt att WEP-algoritmer med utökade nyckellängder kanske inte är kompatibla mellan olika tillverkare.

Skrämde du mig väl? ;-)

När du använder 802.11b-protokollet kan du tyvärr inte välja något annat än WEP. Mer exakt, vissa (minoritets)tillverkare tillhandahåller olika implementeringar av WPA-kryptering (med mjukvarumetoder), som är mycket stabilare än WEP. Men dessa "patchar" är inkompatibla även inom utrustningen från samma tillverkare. I allmänhet, när du använder 802.11b-utrustning, finns det bara tre sätt att kryptera din trafik:

• 1. Använda WEP med maximal längd nyckel (128 bitar eller högre), om utrustningen stöder cyklisk ändring av nycklar från listan (upp till fyra nycklar i listan), är det lämpligt att aktivera denna ändring.
• 2. Använder 802.1x-standarden
• 3. Använda en tredje part programvara för organisation VPN-tunnlar(krypterade dataströmmar) över ett trådlöst nätverk. För att göra detta, installera på en av maskinerna VPN-server(vanligtvis med pptp-stöd), på andra - konfigurerbar VPN-klienter. Det här ämnet kräver separat övervägande och ligger utanför den här artikelns räckvidd.

802.1x använder ett gäng flera protokoll för sitt arbete:

• EAP (Extensible Authentication Protocol) - protokoll för utökad autentisering av användare eller fjärrenheter;
• TLS (Transport Layer Security) är ett transportlagersäkerhetsprotokoll, det säkerställer integriteten för dataöverföring mellan servern och klienten, såväl som deras ömsesidiga autentisering;
• RADIUS (Remote Authentication Dial-In User Server) - autentiseringsserver för fjärrklienter. Det ger användarverifiering.

802.1x-protokollet ger autentisering till fjärrklienter och ger dem tillfälliga nycklar för att kryptera data. Nycklar (i krypterad form) skickas till klienten under en kort tidsperiod, varefter de genereras och skickas ny nyckel. Krypteringsalgoritmen har inte ändrats - samma RC4, men frekvent nyckelrotation gör det mycket svårt att knäcka. Detta protokoll stöds endast i operativsystem (från Microsoft) Windows XP. Dess stora nackdel (för slutanvändare) är att protokollet kräver en RADIUS-server, som sannolikt inte kommer att finnas i ditt hemnätverk.

Enheter som stöder 802.11g-standarden stöder den förbättrade WPA-krypteringsalgoritmen - Wi-Fi-skyddad Tillgång. Förbi i stort sett Detta är en tillfällig standard utformad för att fylla säkerhetsnischen fram till ankomsten av IEEE 802.11i-protokollet (det så kallade WPA2). WPA inkluderar 802.1X, EAP, TKIP och MIC.

Bland de ogranskade protokollen visas TKIP och MIC här:

• TKIP (Temporal Key Integrity Protocol) är implementeringen av dynamiska krypteringsnycklar, plus att varje enhet i nätverket också får sin egen huvudnyckel (som också ändras från tid till annan). Krypteringsnycklar är 128 bitar långa och genereras av komplex algoritm och det totala antalet möjliga alternativ Det finns hundratals miljarder nycklar, och de ändras väldigt ofta. Den krypteringsalgoritm som används är dock fortfarande RC4.
• MIC (Message Integrity Check) är ett protokoll för paketintegritetskontroll. Protokollet låter dig kassera paket som "insatts" i kanalen av en tredje part, dvs. gick inte från en giltig avsändare.

Det stora antalet fördelar med TKIP-protokollet täcker inte dess största nackdel - RC4-algoritmen som används för kryptering. Fast på det här ögonblicket Det har inte rapporterats några fall av TKIP-baserad WPA-hacking, men vem vet vad framtiden kommer att erbjuda? Därför blir användningen av AES-standarden (Advanced Encryption Standard), som ersätter TKIP, allt mer populär. Förresten, den framtida WPA2-standarden inkluderar obligatoriskt krav Till använder AES för kryptering.

Vilka slutsatser kan dras?

• om det bara finns 802.11g-enheter i nätverket är det bättre att använda WPA-baserad kryptering;
• om möjligt (om det stöds av alla enheter), aktivera AES-kryptering;

Låt oss gå vidare till att direkt ställa in kryptering på enheter. Jag använder samma trådlösa adaptrar som i föregående artikel:

Cardbus-adapter Asus WL-100g är installerad på den bärbara datorn. Korthanteringsgränssnitt - verktyg från ASUS (ASUS WLAN Kontrollcenter).

Extern adapter med USB-gränssnitt ASUS WL-140. Adaptern styrs via det inbyggda gränssnittet i Windows XP (Zero Wireless Configuration). Detta kort är 802.11b, så det stöder inte WPA.

PCI-gränssnittskort Asus WL-130g. Styrgränssnittet är implementerat från (chipset-tillverkaren av detta PCI-kort).

ASUS WLAN Control Center - ASUS WL-100g

Låt oss börja med att ställa in kryptering i gränssnittet ASUS kontroll WLAN Control Center. Alla inställningar är koncentrerade i avsnittet Kryptering. Välj först autentiseringstyp ( nätverksautentisering), har vi tre tillgängliga typer: öppet system, delad nyckel och WPA.

1. WEP-kryptering.

Typer av öppet system/delad nyckel är delmängder av autentiseringsalgoritmen som är inbyggd i WEP. Öppet systemläge är osäkert och avråds starkt från att aktiveras när delad nyckel kan aktiveras. Detta beror på det faktum att i öppet systemläge, för att komma in i ett trådlöst nätverk (association med en annan station eller åtkomstpunkt), räcker det att bara veta Nätverks-SSID, och i läget Delad nyckel måste du också ställa in en WEP-krypteringsnyckel som är gemensam för hela nätverket.

Välj sedan Kryptering - WEP, nyckelstorlek - 128 bitar (det är bättre att inte använda en 64-bitars nyckel alls). Vi väljer nyckelformatet, HEX (ange nyckeln i hexadecimal form) eller genererar en nyckel från en ASCII-sekvens (glöm inte att genereringsalgoritmer kan skilja sig åt mellan tillverkare). Vi tar också hänsyn till att WEP-nyckeln (eller -nycklarna) måste vara densamma på alla enheter i samma nätverk. Du kan ange upp till fyra nycklar totalt. Den sista punkten välj vilken nyckel som ska användas (standardnyckel). I det här fallet finns det ett annat sätt - att börja använda alla fyra nycklar sekventiellt, vilket ökar säkerheten. (kompatibilitet endast för enheter från samma tillverkare).

2. WPA-kryptering.

Om det stöds på alla enheter (vanligtvis 802.11g-enheter) rekommenderas det starkt att du använder det här läget istället för den föråldrade och sårbara WEP:n.

Vanligtvis stöder trådlösa enheter två WPA-lägen:

• Standard WPA. Det är inte lämpligt för oss, eftersom det kräver en RADIUS-server på nätverket (och det fungerar bara i samband med en åtkomstpunkt).
• WPA-PSK - WPA med stöd för Pre Shared Keys (fördefinierade nycklar). Och det här är vad som behövs - nyckeln (samma för alla enheter) ställs in manuellt på alla trådlösa adaptrar och den primära autentiseringen av stationer utförs genom den.

Du kan välja TKIP eller AES som krypteringsalgoritmer. Det senare är inte implementerat alls trådlösa klienter, men om det stöds av alla stationer är det bättre att stanna vid det. Trådlöst nätverk Nyckeln är samma allmänna Pre Shared Key. Det är lämpligt att göra det längre och inte använda ett ord från ordboken eller en uppsättning ord. Helst borde det vara någon form av gobbledygook.

Efter att ha klickat på knappen Apply (eller Ok), angivna inställningar kommer att tillämpas på trådlöst kort. Vid denna tidpunkt kan proceduren för att ställa in kryptering på den anses vara komplett.

Kontrollgränssnitt implementerat av Ralink - Asus WL-130g

Inställningen skiljer sig inte mycket från det redan diskuterade gränssnittet från ASUS WLAN CC. I gränssnittsfönstret som öppnas, gå till fliken Profil, Välj önskad profil och klicka Redigera.

1. WEP-kryptering.

Kryptering konfigureras i fliken Autentisering och säkerhet. Om WEP-kryptering är aktiverad väljer du Delad i Autentiseringstyp(dvs delad nyckel).

Välj krypteringstyp - WEP och ange upp till fyra ASCII- eller hexadecimala nycklar. Nyckellängden kan inte ställas in i gränssnittet en 128-bitars nyckel används omedelbart.

2. WPA-kryptering.

Om i Autentiseringstyp välj WPA-Ingen, då aktiverar vi kryptering av delad WPA-nyckel. Välj krypteringstyp ( Kryptering) TKIP eller AES och ange den delade nyckeln ( WPA fördelad nyckel).

Detta slutför krypteringsinställningen i detta gränssnitt. För att spara inställningar i din profil, klicka bara på knappen Ok.

Noll trådlös konfiguration (Windows inbyggt gränssnitt) - ASUS WL-140

ASUS WL-140 är ett 802.11b-kort, så det stöder endast WEP-kryptering.

1. WEP-kryptering.

I inställningar trådlös adapter gå till bokmärket Trådlöst nätverk. Välj sedan vårt trådlösa nätverk och tryck på knappen Ställa in.

Aktivera i fönstret som visas Datakryptering. Vi aktiverar också Nätverksautentisering, om du inaktiverar det här objektet aktiveras autentisering av typen "Öppet system", dvs. alla klienter kommer att kunna ansluta till nätverket och känna till dess SSID.

Ange nätverksnyckeln (och upprepa det i nästa fält). Vi kontrollerar dess index ( serienummer), vanligtvis är det lika med ett (d.v.s. den första nyckeln). Nyckelnumret måste vara detsamma på alla enheter.

Nyckel ( nätverkslösenord), som operativsystemet säger till oss, måste innehålla 5 eller 13 tecken eller anges helt hexadecimalt. Återigen, observera att algoritmen för att konvertera en nyckel från symbolisk till hexadecimal kan skilja sig åt mellan Microsoft och tillverkare egna gränssnitt för att hantera trådlösa adaptrar, så det skulle vara säkrare att ange nyckeln i hexadecimal form (d.v.s. siffror från 0 till 9 och bokstäver från A till F).

Det finns också en flagga i gränssnittet som ansvarar för Automatisk nyckeltillgång, men jag vet inte exakt var det kommer att fungera. Hjälpavsnittet säger att nyckeln kan kopplas in i den trådlösa adaptern av dess tillverkare. I allmänhet är det bättre att inte aktivera den här funktionen.

Vid denna tidpunkt kan krypteringsinställningen för 802.11b-adaptern anses vara komplett.

Förresten, om hjälpen inbyggd i operativsystemet. Det mesta av det som sägs här och mer finns i Hjälp- och supportcenter, som har ett bra hjälpsystem, behöver du bara gå in nyckelord och klicka på grön pil Sök.

2. WPA-kryptering.

Efter att ha tittat på att ställa in kryptering med 802.11b som exempel ASUS adapter WL-140, vi berörde inte att ställa in WPA i Windows, eftersom kortet inte stöder detta läge. Låt oss överväga denna aspekt med exemplet med en annan adapter - ASUS WL-100g. Möjligheten att konfigurera WPA i Windows XP visas med installationen av tjänsten Packversion 2 (eller motsvarande uppdateringar tillgängliga på Microsofts webbplats).

Service Pack 2 utökar funktionaliteten och bekvämligheten av trådlösa nätverksinställningar avsevärt. Även om huvudmenyn inte har ändrats, har nya lagts till.

Kryptering konfigureras på standardsätt: välj först ikonen för den trådlösa adaptern och tryck sedan på knappen Egenskaper.

Gå till bokmärket Trådlöst nätverk och välj vilket nätverk vi ska konfigurera (vanligtvis finns det bara ett). Klick Egenskaper.

I fönstret som visas väljer du WPA-Ingen, d.v.s. WPA med förskott givna nycklar(om du väljer Kompatibel, då aktiverar vi WEP-krypteringskonfigurationsläget, som redan har beskrivits ovan).

Välj AES eller TKIP (om alla enheter i nätverket stöder AES, då är det bättre att välja det) och ange WPA-nyckeln två gånger (den andra i bekräftelsefältet). Gärna något långt och svårt att hämta.

Efter att ha klickat på Ok WPA-krypteringsinställningen kan också anses vara komplett.

Avslutningsvis några ord om installationsguiden för trådlöst nätverk som dök upp med Service Pack 2.

Välj knappen i nätverkskortets egenskaper Trådlöst nätverk.

Klicka på i fönstret som visas Konfigurera ett trådlöst nätverk.

Här berättar de var vi hamnade. Klick Ytterligare.

Välja Konfigurera ett trådlöst nätverk. (Om du väljer Lägg till, då kan du skapa profiler för andra datorer på samma trådlösa nätverk).

I fönstret som visas, ställ in nätverkets SSID, aktivera WPA-kryptering, om möjligt, och välj metod för att ange nyckeln. Generation kan tillhandahållas operativ system eller skriv in nycklarna manuellt. Om den första är markerad kommer ett fönster att dyka upp som ber dig att gå in rätt nyckel(eller nycklar).

• I en textfil för senare manuell inmatning på andra maskiner.
• Spara en profil på ett USB-minne för automatisk inmatning på andra datorer med Windows XP med integrerat Service Pack version 2.

Om Flash-sparläget är valt kommer du i nästa fönster att uppmanas att infoga Flash-media och välja det från menyn.

Om manuell lagring av parametrar har valts, efter att ha tryckt på knappen Typ…

...kommer att dras tillbaka textfil med de konfigurerade nätverksparametrarna. Observera att slumpmässiga och långa (dvs bra) nycklar genereras, men TKIP används som krypteringsalgoritm. AES algoritm Du kan senare aktivera det manuellt i inställningarna, som beskrivs ovan.

Total

Vi har slutfört inställningen av kryptering på alla trådlösa adaptrar. Nu kan du kontrollera om datorer kan se varandra. Hur man gör detta beskrevs i den andra delen av serien "gör-det-själv-nätverk" (vi fortsätter på samma sätt som metoden när kryptering inte var aktiverad i nätverket).

Om vi ​​har problem och inte alla datorer ser varandra, kontrollerar vi de allmänna inställningarna för adaptrarna:

• Autentiseringsalgoritmen måste vara densamma för alla (Delade nycklar eller WPA);
• Krypteringsalgoritmen måste vara densamma för alla (WEP-128bit, WPA-TKIP eller WPA-AES);
• Nyckellängden (vid WEP-kryptering) måste vara densamma för alla stationer i nätverket (vanlig längd är 128 bitar);
• Själva nyckeln måste vara densamma på alla stationer i nätverket. Om WEP används, då möjlig orsak- användningen av en ASCII-nyckel och nätverket använder heterogen utrustning (från olika tillverkare). Försök att ange nyckeln i hexadecimal notation.

Wi-Fi-kryptering- vilket protokoll att välja?

Jag köpte mig själv ny router och bestämde mig för att sätta upp det själv. Allt är inställt - Internet och trådlöst nätverk fungerar. En fråga uppstod, eftersom radiovågor (Wi-Fi i mitt fall) sprider sig inte bara i min lägenhet. Följaktligen kan de avlyssnas. I teorin. Routern har en krypteringsinställning för trådlöst nätverk. Jag antar att det är just för att utesluta avlyssning och ”avlyssning”. Frågan är, vilket av krypteringsprotokollen som finns i min router ska jag välja? Tillgängliga: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Vilken Wi-Fi-kryptering ska jag använda i mitt fall?

norik | 16 februari 2015, 10:14
Jag kommer att utelämna beskrivningar av alla föråldrade Wi-Fi-krypteringsprotokoll. Därför kommer jag bara att beskriva de som är vettiga att använda. Om protokollet inte beskrivs här, så är det antingen exotiskt eller så behöver du det inte.

WPA och WPA2 (Wi-Fi Protected Access) - tillgängliga på alla routrar. Det mest populära och utbredda protokollet. Det är också en av de modernaste. IMHO - det bästa valet för hem och litet kontor. Men det är också ganska lämpligt för stora kontor, förutom att det är vettigt att göra auktoriseringen mer komplicerad. Dess lösenordslängd är upp till 63 byte, så om du knäcker det genom att gissa kan du bli grå tidigare. Naturligtvis måste du välja WPA2 om det stöds av alla enheter i nätverket (bara mycket gamla prylar förstår det inte).

Det som verkligen är värdefullt är det som finns inuti av denna tjänst Flera krypteringsalgoritmer kan användas. Bland dem: 1. TKIP - Jag rekommenderar det inte, eftersom det är fullt möjligt att hitta ett hål.
2. CCMP - mycket bättre.
3. AES - Jag gillar det mest, men det stöds inte av alla enheter, även om det ingår i WPA2-specifikationen.

WPA2 tillhandahåller också två initiala autentiseringslägen. Dessa lägen är PSK och Enterprise. WPA Personal, även känd som WPA PSK, innebär att alla användare kommer att loggas in på det trådlösa nätverket enda lösenord, som anges på klientsidan vid tidpunkten för anslutning till nätet. Perfekt för hemmet, men problematiskt för ett stort kontor. Det blir svårt att byta lösenord för alla varje gång en annan anställd som kan det slutar.

WPA Enterprise kräver en separat server med en uppsättning nycklar. För ett hem eller kontor med 6 maskiner är detta besvärligt, men om det finns 3 dussin trådlösa enheter på kontoret, då kan du passa på.

Detta förbrukar faktiskt valet av Wi-Fi-kryptering för tillfället. De återstående protokollen har antingen ingen kryptering eller något lösenord alls, eller så har de hål i algoritmerna som bara de mycket lata inte skulle komma in i. Jag rekommenderar kombinationen WPA2 Personal AES för hemmabruk. För stora kontor - WPA2 Enterprise AES. Om det inte finns någon AES kan du klara dig med TKIP, men då kvarstår sannolikheten att paket läses av en utomstående. Det finns en åsikt att WPA2 TKIP aldrig hackades, till skillnad från WPA TKIP, men det var skyddat...

Tillgång till bredband till Internet har länge upphört att vara en lyx, inte bara i stora städer utan även i avlägsna regioner. Samtidigt skaffar många genast trådlösa routrar att spara på mobilt internet och koppla smartphones, surfplattor och annan bärbar utrustning till höghastighetslinjen. Dessutom installerar leverantörer allt oftare omedelbart routrar med inbyggd trådlös punkt tillgång.

Samtidigt förstår konsumenterna inte alltid hur det faktiskt fungerar nätverkshårdvara och vilken fara det kan utgöra. Den huvudsakliga missuppfattningen är att den privata klienten helt enkelt inte inser att trådlös kommunikation kan orsaka honom någon skada - trots allt är han inte en bank, inte Secret Service och inte ägare av pornografiska lager. Men när du väl börjar ta reda på det vill du genast gå tillbaka till den gamla goda kabeln.

1. Ingen kommer att hacka mitt hemnätverk

Detta är den huvudsakliga missuppfattningen av hemanvändare, vilket leder till försummelse av grundläggande standarder nätverkssäkerhet. Det är allmänt accepterat att om du inte är en kändis, inte en bank eller inte en onlinebutik, så kommer ingen att slösa tid på dig, eftersom resultaten kommer att vara otillräckliga för de ansträngningar som görs.

Dessutom cirkulerar åsikten av någon anledning ihärdigt att förment små trådlösa nätverk är svårare att hacka än stora, vilket har ett korn av sanning, men i allmänhet är det också en myt. Uppenbarligen är detta uttalande baserat på det faktum att små lokala nätverk har ett begränsat utbud av signalutbredning, så det räcker med att sänka dess nivå, och en hacker kommer helt enkelt inte att kunna upptäcka ett sådant nätverk från en bil som är parkerad i närheten eller en kafé i grannskapet.

Detta kan ha varit sant en gång, men dagens inbrottstjuvar är utrustade med mycket känsliga antenner som kan upptäcka även de mest svag signal. Och det faktum att din surfplatta i ditt kök hela tiden tappar anslutningen betyder inte att en hacker som sitter i en bil två hus ifrån dig inte kommer att kunna fördjupa sig i ditt trådlösa nätverk.

När det gäller åsikten att det inte är värt ansträngningen att hacka ditt nätverk, är detta inte alls sant: dina prylar lagrar ett hav av alla typer av personlig information, som åtminstone gör det möjligt för en angripare att beställa köp på din för räkning, få ett lån eller, med hjälp av metoder social ingenjörskonst, uppnå ännu mer uppenbara mål som att penetrera nätverket hos din arbetsgivare eller till och med dess partners. Samtidigt, attityden till nätverkssäkerhet vanliga användare idag så föraktfullt att hacka hemnätverk Det kommer inte att vara svårt även för nybörjare.

2. Du behöver inte en dual- eller tri-band router hemma

Man tror att flerbandsroutrar endast behövs av särskilt krävande ägare av ett stort antal prylar som vill få ut det mesta av trådlös kommunikation maximalt tillgänglig hastighet. Under tiden kan vem som helst av oss använda åtminstone en dubbelbandsrouter.

Den största fördelen med en multibandsrouter är att olika enheter kan ”spridas” över olika intervall och därigenom öka den potentiella dataöverföringshastigheten och, naturligtvis, kommunikationens tillförlitlighet. Till exempel skulle det vara ganska lämpligt att ansluta bärbara datorer till samma band, set-top boxar- till den andra, och mobila prylar- till den tredje.

3. 5 GHz-bandet är bättre än 2,4 GHz-bandet

De som uppskattar fördelarna med 5 GHz-frekvensområdet rekommenderar vanligtvis att alla byter till det och helt överger användningen av 2,4 GHz-frekvensen. Men som vanligt är inte allt så enkelt.

Ja, 5 GHz är fysiskt mindre "befolkat" än den mer utbredda 2,4 GHz - också för att de flesta enheter baserade på gamla standarder fungerar på 2,4 GHz. 5 GHz är dock sämre i kommunikationsräckvidd, särskilt när det gäller penetration genom betongväggar och andra hinder.

I allmänhet finns det inget definitivt svar här, vi kan bara råda dig att använda det intervall där din specifika mottagning är bättre. När allt kommer omkring kan det mycket väl visa sig att 5 GHz-bandet på någon specifik plats är överbelastat med enheter - även om detta är mycket osannolikt.

4. Du behöver inte röra routerns inställningar

Det antas att det är bättre att överlåta konfigurationen av utrustningen till proffs och ditt ingripande kan bara skada nätverkets prestanda. Ett vanligt sätt för leverantörsrepresentanter (och systemadministratörer) att skrämma användaren för att minska sannolikheten felaktiga inställningar och efterföljande hembesök.

Det är tydligt att om du inte har någon aning om vad det handlar om är det bättre att inte röra någonting, men även en icke-professionell är ganska kapabel att ändra vissa inställningar, vilket ökar nätverkets säkerhet, tillförlitlighet och prestanda. Gå åtminstone till webbgränssnittet och bekanta dig med vad du kan ändra där - men om du inte vet vad det kommer att göra är det bättre att lämna allt som det är.

I vilket fall som helst är det vettigt att göra fyra justeringar om de inte redan har gjorts i dina routerinställningar:

1) Byt om möjligt till ny standard – om både routern och dina enheter stödjer det. Att byta från 802.11n till 802.11ac kommer att ge en betydande hastighetsökning, liksom byte från äldre 802.11b/g till 802.11n.

2) Ändra krypteringstypen. Vissa installatörer lämnar fortfarande trådlösa hemnätverk antingen helt öppna eller med den föråldrade WEP-krypteringsstandarden. Du måste definitivt ändra typen till WPA2 med AES-kryptering och ett komplext långt lösenord.

3) Ändra standardanvändarnamn och lösenord. Nästan alla leverantörer lämnar denna data som standard när de installerar ny utrustning - om du inte specifikt ber dem att ändra den. Detta är ett välkänt "hål" i hemnätverk, och alla hackare kommer definitivt att försöka dra nytta av det först.

4) Inaktivera WPS (Wi-Fi Protected Setup). WPS-teknik är vanligtvis aktiverad i routrar som standard - den är avsedd för snabb anslutning kompatibel Mobil enheter till nätverket utan att ange långa lösenord. Samtidigt gör WPS din lokalt nätverk mycket sårbara för hacking med hjälp av " råstyrka» – enkelt val WPS PIN-kod, bestående av 8 siffror, varefter angriparen enkelt får tillgång till WPA/WPA2 PSK-nyckeln. Samtidigt, på grund av ett fel i standarden, räcker det att bara bestämma 4 siffror, och detta är bara 11 000 kombinationer, och för att knäcka det behöver du inte gå igenom dem alla.

5. Om du döljer SSID:t döljer du ditt nätverk från hackare

SSID är en nätverkstjänstidentifierare eller helt enkelt namnet på ditt nätverk, som används för att upprätta en anslutning av olika enheter som någonsin har anslutit till det. Genom att inaktivera SSID-sändning kommer du inte att synas på grannlistan tillgängliga nätverk, men detta betyder inte att hackare inte kommer att kunna hitta det: att avmaskera ett dolt SSID är en uppgift för en nybörjare.

Samtidigt, genom att dölja SSID, kommer du till och med att göra livet lättare för hackare: alla enheter som försöker ansluta till ditt nätverk kommer att försöka de närmaste åtkomstpunkterna och kan ansluta till "trap"-nätverk speciellt skapade av angripare. Du kan distribuera ett sådant ersättande öppet nätverk under ditt eget avslöjade SSID, till vilket dina enheter helt enkelt ansluter automatiskt.

Det är därför allmän rekommendationär detta: ge ditt nätverk ett namn som inte nämner vare sig leverantören, routertillverkaren eller någon annan personlig information, vilket gör att du kan identifieras och rikta attacker mot svaga punkter.

6. Kryptering behövs inte om du har antivirus och brandvägg

Ett typiskt exempel på när varm förväxlas med mjuk. Programmen skyddar mot programvaruhot online eller redan på ditt nätverk de skyddar dig inte från avlyssning av själva data som överförs mellan routern och din dator.

För att säkerställa nätverkssäkerhet behöver du en uppsättning verktyg, som inkluderar krypteringsprotokoll, hård- eller mjukvarubrandväggar och antiviruspaket.

7. WEP-kryptering är tillräcklig för ditt hemnätverk

WEP är inte säkert på något sätt och kan hackas på några minuter med en smartphone. Säkerhetsmässigt skiljer det sig lite från ett helt öppet nätverk, och detta är dess största problem. Om du är intresserad av problemets historia kan du hitta en hel del material på Internet som WEP lätt bröts tillbaka i början av 2000-talet. Behöver du den här typen av "säkerhet"?

8. En router med WPA2-AES-kryptering kan inte hackas

Om vi ​​tar en "sfärisk router med WPA2-AES-kryptering i ett vakuum", så är detta sant: enligt de senaste uppskattningarna, med befintliga beräkningskraft att knäcka AES med brute force-metoder kommer att ta miljarder år. Ja, miljarder.

Men detta betyder inte att AES inte kommer att tillåta en hackare att komma till din data. Som alltid är huvudproblemet den mänskliga faktorn. I det här fallet beror mycket på hur komplext och välskrivet ditt lösenord kommer att vara. Med ett "vardagligt" tillvägagångssätt för att komma på lösenord, kommer sociala ingenjörsmetoder att räcka för att knäcka WPA2-AES på ganska kort tid.

Vi pratade om reglerna för att skapa bra lösenord i detalj för inte så länge sedan, så vi hänvisar alla intresserade till den här artikeln.

9. WPA2-AES-kryptering minskar dataöverföringshastigheterna

Tekniskt sett är detta sant, men moderna routrar har hårdvara för att hålla denna minskning till ett minimum. Om du upplever betydande nedgångar i anslutningen betyder det att du använder en föråldrad router som implementerade lite andra standarder och protokoll. Till exempel WPA2-TKIP. TKIP i sig var säkrare än sin föregångare WEP, men var en kompromisslösning som möjliggjorde användningen av äldre hårdvara med modernare och säkrare protokoll. För att "bli vänner" med TKIP med den nya typen av AES-kryptering användes olika mjukvaruknep, vilket ledde till en nedgång i dataöverföringshastigheten.

Redan 2012 ansåg 802.11-standarden att TKIP inte var tillräckligt säker, men den finns fortfarande ofta i äldre routrar. Det finns bara en lösning på problemet - köp en modern modell.

10. Det finns inget behov av att byta en fungerande router

Principen är för den som idag är ganska nöjd med en mekanisk skrivmaskin och en telefon med urtavla. Nya trådlösa kommunikationsstandarder dyker upp regelbundet, och varje gång ökar inte bara dataöverföringshastigheten utan även nätverkets säkerhet.

Idag, med 802.11ac-standarden som tillåter dataöverföringshastigheter över 50 Mbps, kan en äldre router som stöder 802.11n och alla tidigare standarder begränsa den potentiella nätverksgenomströmningen. I fall att tariffplaner, med hastigheter över 100 Mbit/s, betalar du helt enkelt extra pengar utan att få en fullvärdig tjänst.

Naturligtvis är det inte alls nödvändigt att snabbt byta en fungerande router, men en vacker dag kommer det en tid då inte en enda modern enhet kommer att kunna ansluta till den.

God dag kära vänner, bekanta och andra personligheter. Idag ska vi prata om WiFi-kryptering , vilket är logiskt från titeln.

Jag tror att många av er använder något sådant som, vilket med största sannolikhet också betyder WiFi på dem för dina bärbara datorer, surfplattor och andra mobila enheter.

Det säger sig självt att samma Wi-Fi måste låsas med ett lösenord, annars kommer skadliga grannar att använda ditt internet gratis, eller ännu värre, din dator :)

Det säger sig självt att det förutom lösenordet också finns alla möjliga olika typer kryptering av just detta lösenord, mer exakt, din WiFi protokoll så att det inte bara inte används, utan inte heller kan hackas.

I allmänhet skulle jag idag vilja prata lite med dig om en sådan sak som WiFi kryptering, eller snarare just dessa WPE, WPA, WPA2, WPS och andra gillar dem.

Redo? Låt oss börja.

WiFi-kryptering - allmän information

Till att börja med, låt oss prata på ett mycket förenklat sätt om hur autentisering med en router (server) ser ut, det vill säga hur processen för kryptering och datautbyte ser ut. Det här är bilden vi får:

Det vill säga, först, som kund säger vi att vi är vi, det vill säga vi känner till lösenordet (grön pil högst upp). Servern, låt oss säga en router, gläds och ger oss den slumpmässig sträng(det är också nyckeln som vi krypterar data med), och sedan utbyts data krypterad med samma nyckel.

Låt oss nu prata om typer av kryptering, deras sårbarheter och så vidare. Låt oss börja i ordning, nämligen med ÖPPEN, det vill säga från frånvaron av något chiffer, och sedan går vi vidare till allt annat.

Typ 1 - ÖPPEN

Som du redan förstått (och jag sa just), faktiskt, ÖPPEN- detta är frånvaron av något skydd, d.v.s. Wifi Det finns ingen kryptering som klass, och du och din router är absolut inte involverade i att skydda kanalen och överförda data.

Detta är precis principen som trådbundna nätverk fungerar på - de har inte inbyggt skydd och genom att "krascha" in i det eller helt enkelt ansluta till en hubb/switch/router nätverksadapter kommer att ta emot paket från alla enheter i detta nätverkssegment i klartext.

Men med ett trådlöst nätverk kan du "krascha" var som helst - 10-20-50 meter eller mer, och avståndet beror inte bara på kraften hos din sändare, utan också på längden på hackarens antenn. Det är därför öppen överföring data över ett trådlöst nätverk är mycket farligare, eftersom din kanal faktiskt är tillgänglig för alla.

Typ 2 - WEP (Wired Equivalent Privacy)

En av de tidigaste typerna Wifi kryptering är WEP. Kom ut på slutet 90 -x och är för närvarande en av de svagaste typerna av kryptering.

Vill du veta och kunna mer själv?

Vi erbjuder dig utbildning inom följande områden: datorer, program, administration, servrar, nätverk, webbbyggande, SEO med mera. Ta reda på detaljerna nu!

I många moderna routrar är denna typ av kryptering helt utesluten från listan med alternativ att välja mellan:

Det bör undvikas på ungefär samma sätt som öppna nätverk - det ger säkerhet endast under en kort tid, varefter varje överföring kan exponeras helt, oavsett hur komplext lösenordet är.

Situationen förvärras av att lösenord in WEP- det är antingen 40 , eller 104 bit att det är en extremt kort kombination och den kan väljas på några sekunder (detta tar inte hänsyn till fel i själva krypteringen).

Huvudsakligt problem WEP- ett grundläggande konstruktionsfel. WEP sänder faktiskt flera byte av samma nyckel tillsammans med varje datapaket.

Sålunda, oavsett nyckelns komplexitet, kan vilken överföring som helst avslöjas helt enkelt genom att ha ett tillräckligt antal uppfångade paket (flera tiotusentals, vilket är ganska litet för ett aktivt använt nätverk).

Typ 3 - WPA och WPA2 (Wi-Fi Protected Access)

Dessa är några av de mest moderna typerna av en sådan sak som WiFi-kryptering och hittills har faktiskt nästan inga nya uppfunnits.

Egentligen ersatte genereringen av dessa typer av kryptering det långmodiga WEP. Lösenordets längd är godtycklig, från 8 innan 63 byte, vilket gör det mycket svårt att välja (jämför med 3, 6 Och 15 bytes in WEP).

Standarden stöder olika krypteringsalgoritmer för överförda data efter en handskakning: TKIP Och CCMP.

Den första är något som en bro mellan WEP Och WPA, som uppfanns på den tiden IEEE var upptagna med att skapa en fullfjädrad algoritm CCMP. TKIP såväl som WEP, lider av vissa typer av attacker och är i allmänhet inte särskilt säker.

Numera används det sällan (även om varför det fortfarande används överhuvudtaget inte är klart för mig) och i allmänhet användningen WPA Med TKIP nästan samma som att använda enkel WEP.

Förutom olika krypteringsalgoritmer, WPA(2) stöd två olika lägen initial autentisering (lösenordskontroll för klientåtkomst till nätverket) - PSK Och Företag. PSK(kallas ibland WPA Personal) - logga in med ett enda lösenord som klienten anger vid anslutning.

Det är enkelt och bekvämt, men i fall stora företag kan vara ett problem - låt oss säga att din anställd slutade och för att han inte längre ska kunna komma åt nätverket måste du byta lösenord för hela nätverket och meddela andra anställda om detta. Företag eliminerar detta problem på grund av närvaron av många nycklar lagrade på en separat server - RADIE.

Förutom, Företag standardiserar själva autentiseringsprocessen i protokollet EAP (E tänjbar A autentisering P rotocol), som låter dig skriva din egen algoritm.

Typ 4 - WPS/QSS

Wifi kryptering WPS, aka QSS - intressant teknik, vilket gör att vi inte kan tänka på ett lösenord alls, utan helt enkelt trycka på en knapp och omedelbart ansluta till nätverket. Detta är i huvudsak en "laglig" metod för att kringgå lösenordsskydd i allmänhet, men det som är förvånande är att det fick bred användning med en mycket allvarlig missräkning i själva antagningssystemet - detta är år efter den tråkiga erfarenheten med WEP.

WPS låter klienten ansluta till åtkomstpunkten med en 8-teckens kod bestående av siffror ( STIFT). Men på grund av ett fel i standarden behöver du bara gissa 4 av dem. Allt som krävs är alltså 10000 försöker gissa och, oavsett hur komplext lösenordet är för att komma åt det trådlösa nätverket, får du automatiskt denna åtkomst, och med det dessutom samma lösenord som det är.

Med tanke på att denna interaktion sker före eventuella säkerhetskontroller, kan per sekund skickas av 10-50 inloggningsförfrågningar via WPS, och genom 3-15 timmar (ibland mer, ibland mindre) kommer du att få nycklarna till himlen.

När denna sårbarhet upptäcktes började tillverkarna implementera en gräns för antalet inloggningsförsök ( taxegräns), efter att ha överskridit vilket åtkomstpunkten automatiskt stängs av ett tag WPS- Men än så länge finns det inte mer än hälften av sådana enheter från de som redan har släppts utan detta skydd.

Ännu mer - tillfällig inaktivering förändrar ingenting i grunden, eftersom vi med ett inloggningsförsök per minut bara behöver 10000/60/24 = 6,94 dagar. A STIFT hittas vanligtvis innan hela cykeln har slutförts.

Jag vill återigen uppmärksamma er på det faktum att när WPS ditt lösenord kommer oundvikligen att avslöjas, oavsett dess komplexitet. Så om du behöver det alls WPS- slå på den endast när du ansluter till nätverket och håll den avstängd resten av tiden.

Efterord

Faktum är att du kan dra dina egna slutsatser, men generellt sett är det självklart att du bör använda åtminstone WPA, och bättre WPA2.

I nästa artikel om WiFi vi kommer att prata om hur olika typer av kryptering påverkar kanalens och routerns prestanda, och även överväga några andra nyanser.

Som alltid, om du har några frågor, tillägg etc., välkommen till kommentarerna om ämnet om WiFi-kryptering.

PS: För existensen av detta material, tack vare författaren till Habr under smeknamnet ProgerXP. Faktum är att all text är hämtad från hans material, för att inte uppfinna hjulet på nytt med dina egna ord.

), vilket gör att du kan skydda dig från obehöriga anslutningar, till exempel skadliga grannar. Ett lösenord är ett lösenord, men det kan hackas, såvida det naturligtvis inte finns "cracker-hackers" bland dina grannar. Det är därför, Wi-Fi-protokoll Den har också olika typer av kryptering, som gör att du kan skydda Wi-Fi från hackning, men inte alltid.

För närvarande finns det sådana typer av kryptering som ÖPPEN, WEBB, WPA, WPA2, som vi kommer att prata om idag.

ÖPPEN

ÖPPEN kryptering har i princip ingen kryptering alls med andra ord, det finns inget skydd. Därför kan alla som upptäcker din åtkomstpunkt enkelt ansluta till den. Det skulle vara bäst att använda WPA2-kryptering och komma med något komplext lösenord.

WEBB

Den här typen kryptering dök upp i slutet av 90-talet och är den allra första. Just nu WEB ögonblick (Wired Equivalent Privacy) är den svagaste typen av kryptering. Vissa routrar och andra enheter som stöder Wi-Fi stöder inte WEB.

Som jag redan har sagt är WEB-kryptering väldigt opålitlig och undviks bäst, precis som OPEN, eftersom den skapar skydd under en mycket kort tid, varefter du enkelt kan ta reda på ett lösenord av vilken komplexitet som helst. Vanligtvis har WEB-lösenord 40 eller 103 bitar, vilket gör att du kan välja en kombination på några sekunder.

Faktum är att WEB sänder delar av samma lösenord (nyckel) tillsammans med datapaket, och dessa paket kan lätt fångas upp. För tillfället finns det flera program som är engagerade i att fånga upp samma paket, men jag kommer inte att prata om detta i den här artikeln.

WPA/WPA2

Denna typ är den modernaste och det finns inga nya ännu. Du kan ställa in en godtycklig lösenordslängd från 8 till 64 byte, och detta gör det ganska svårt att knäcka.

Under tiden stöder WPA-standarden många krypteringsalgoritmer som sänds efter interaktion TKIP Med CCMP. TKIP var något som en bro mellan WEBB Och WPA, och fanns tills IEEE ( Institutet för Elteknik-och Elektronikingenjörer) skapat en fullfjädrad algoritm CCMP. Samtidigt drabbades TKIP också av vissa typer av attacker, så det anses inte heller vara särskilt säkert.

Dessutom använder WPA2-kryptering två lägen för initial autentisering, med andra ord lösenordsverifiering för användarens (klientens) åtkomst till nätverket. De kallas PSK Och Företag. Det första läget innebär att logga in med ett lösenord, som vi anger när vi ansluter. För stora företag är detta inte särskilt bekvämt, eftersom efter att vissa anställda slutar måste de byta lösenord varje gång så att de inte får tillgång till nätverket, och meddela resten av de anställda som är anslutna till detta nätverk om detta. Därför, för att göra allt detta bekvämare, kom vi med ett läge Företag, vilket gör att du kan använda flera nycklar lagrade på servern RADIE.

WPS

Teknologi WPS eller på annat sätt QSS låter dig ansluta till nätverket med en enkel knapptryckning. I princip behöver du inte ens tänka på ett lösenord. Men detta har också sina nackdelar, som har allvarliga brister i antagningssystemet.

Med WPS kan vi ansluta till nätverket med en 8-teckens kod på ett annat sätt STIFT. Men i denna standard Det finns ett fel på grund av vilket, efter att ha lärt dig bara 4 siffror av en given PIN-kod, kan du ta reda på nyckeln, för detta räcker det 10 tusen försök. På så sätt kan du få ett lösenord, hur komplicerat det än kan vara.

För att logga in via WPS kan du skicka 10-50 förfrågningar per sekund och om 4-16 timmar får du den efterlängtade nyckeln.

Naturligtvis tar allt slut, denna sårbarhet upptäcktes och i framtida teknologier började de införa begränsningar för antalet inloggningsförsök efter att denna period har löpt ut, inaktiverar åtkomstpunkten WPS tillfälligt. För närvarande har mer än hälften av användarna fortfarande enheter utan detta skydd.

Detta är hur du och jag lärde oss om olika typer kryptering Wi-Fi-nätverk vilka är bättre och vilka är sämre. Det är förstås bättre att använda kryptering som börjar med WPA, men WPA2 är mycket bättre.

Om du har några frågor eller har något att tillägga, var noga med att skriva i kommentarerna.

Under tiden kan du se en video om hur man stärker WiFi-anslutning , och stärka USB-modem.