Ce înseamnă wpa2 psk. Puncte de acces public. Ce e mai bine? WEP, WPA sau WPA2

Expres Internet prin cablu devine din ce în ce mai accesibil. Și odată cu dezvoltarea tehnologie mobilă chestiunea utilizării devine relevantă internet de acasă pe fiecare dispozitiv. Un router Wi-Fi servește acestui scop scopul său este de a distribui Internetul între diferiți utilizatori în timpul unei conexiuni wireless.

O atenție deosebită trebuie acordată securității rețelei dvs.

Când cumpărați, trebuie doar să îl configurați prima dată când îl porniți. Un disc cu un utilitar de configurare este furnizat împreună cu routerul. Face configurarea rețelei dvs. de acasă la fel de ușoară precum decojirea perelor. Dar, cu toate acestea, utilizatorii fără experiență au adesea probleme în stadiul setărilor de securitate a rețelei. Sistemul vă solicită să selectați o metodă de autentificare și există cel puțin patru opțiuni din care să alegeți. Fiecare dintre ele are anumite avantaje și dezavantaje, iar dacă doriți să vă protejați de acțiunile intrușilor, ar trebui să alegeți cel mai mult opțiune de încredere. Despre asta este articolul nostru.

Metode de autentificare

Majoritatea modelelor de routere de acasă acceptă următoarele metode de autentificare în rețea: fără criptare, WEP, WPA/WPA2-Enterprise, WPA/WPA2-Personal (WPA/WPA2-PSK). Ultimele trei au și mai mulți algoritmi de criptare. Să aruncăm o privire mai atentă.

Lipsa de protectie

Această metodă vorbește de la sine. Conexiunea este complet deschisă, absolut oricine se poate conecta la ea. De obicei, această metodă este utilizată în în locuri publice, dar este mai bine să nu-l folosești acasă. Minimul cu care te amenință acest lucru este că vecinii tăi îți vor ocupa canalul atunci când sunt conectați și pur și simplu nu vei putea primi viteza maxima conform ta plan tarifar. În cel mai rău caz, atacatorii pot folosi acest lucru în propriile lor scopuri, furând informațiile dvs. confidențiale sau comitând alte acțiuni ilegale. Dar nu trebuie să vă amintiți parola, dar trebuie să recunoașteți că acesta este un avantaj destul de dubios.

WEP

Când utilizați această metodă de autentificare în rețea, informațiile transmise sunt protejate de cheie secreta. Tipul de protecție este " Sistem deschis„ și „Cheie partajată”. În primul caz, identificarea are loc prin filtrarea după adresa MAC fără utilizarea unei chei suplimentare. Protecția este, de fapt, cea mai minimă și, prin urmare, nesigură. În a doua trebuie să vii cu cod secret, care va fi folosit ca cheie de securitate. Poate fi de 64, 128 din 152 de biți. Sistemul vă va spune cât de lung ar trebui să fie codul, în funcție de codificarea acestuia - hexazecimal sau ASCII. Puteți seta mai multe astfel de coduri. Fiabilitatea protecției este relativă și a fost mult timp considerată depășită.

WPA/WPA2 – Enterprise și WPA/WPA2-Personal

Foarte metoda de incredere autentificarea în rețea, în primul caz este folosită în întreprinderi, în al doilea - acasă și în birouri mici. Diferența dintre ele este că versiunea de acasă folosește o cheie permanentă, care este configurată la punctul de acces. Împreună cu algoritmul de criptare și SSID-ul conexiunii, formează o conexiune sigură. Pentru a obține acces la o astfel de rețea, trebuie să cunoașteți parola. Prin urmare, dacă este de încredere și nu îl dezvăluiți nimănui, pentru un apartament sau o casă - acesta este varianta perfecta. În plus, aproape toți producătorii îl marchează ca fiind recomandat.

În al doilea caz, se folosește o cheie dinamică și fiecărui utilizator i se atribuie una individuală. Nu are rost să te deranjezi cu asta acasă, așa că este folosit doar în întreprinderile mari unde securitatea datelor corporative este foarte importantă.

Fiabilitatea suplimentară depinde și de algoritmul de criptare. Există două dintre ele: AES și TKIP. Este mai bine să îl folosiți pe primul, deoarece acesta din urmă este un derivat al WEP și s-a dovedit a fi un eșec.

Cum se schimbă metoda de autentificare Wi-Fi

Dacă ați configurat anterior autentificarea conexiunii, dar nu sunteți sigur de alegerea dvs metoda corecta, asigurați-vă că îl verificați acum. Accesați setările routerului introducând adresa IP, login-ul și parola acestuia în browser (puteți citi mai multe în articolul Adresa IP a routerului de pe site-ul nostru). Trebuie să accesați fila Setări de securitate a rețelei. ÎN diferite modele router, acesta poate fi localizat diferit. Apoi selectați o metodă de autentificare în rețea, veniți cu parola puternica, faceți clic pe „Salvare” și reporniți routerul. Nu uitați să vă reconectați la rețea de pe toate dispozitivele.

Concluzie

Sperăm că ați găsit aceste informații utile. Nu neglijați setările de securitate Wi-Fi. Nu-l lăsați deschis, ci selectați metoda de autentificare recomandată și algoritm corect criptare.

Ce metodă de securitate a conexiunii folosești? Distribuie cu noi în comentarii.

Astăzi nu poate fi numită ceva ieșit din comun. Cu toate acestea, mulți utilizatori (în special proprietarii de dispozitive mobile) se confruntă cu problema ce sistem de securitate să folosească: WEP, WPA sau WPA2-PSK. Vom vedea acum ce fel de tehnologii sunt acestea. Cu toate acestea, cea mai mare atenție va fi acordată WPA2-PSK, deoarece această protecție este cea mai solicitată astăzi.

WPA2-PSK: ce este?

Să spunem imediat: acesta este un sistem pentru a proteja pe oricine conexiune locală La retea fara fir pe Bazat pe WIFI. La sistemele cu fir bazate pe plăci de rețea folosind conexiune directă la Ajutor Ethernet, nu are nimic de-a face cu asta.

Cu ajutorul tehnologiei, WPA2-PSK este cel mai „avansat” astăzi. Chiar și metodele oarecum învechite care necesită un nume de utilizator și o parolă și implică, de asemenea, criptarea datelor confidențiale în timpul transmiterii și recepționării, uite, pentru a spune ușor, cum ar fi baby talk. Si de aceea.

Tipuri de protecție

Deci, să începem cu faptul că până de curând structura WEP era considerată cea mai sigură tehnologie de securitate a conexiunii. A folosit verificarea integrității cheii atunci când a conectat orice dispozitiv fără fir și a fost un standard IEEE 802.11i.

Protecția rețelei WiFi WPA2-PSK funcționează, în principiu, aproape la fel, dar verifică cheia de acces la nivelul 802.1X. Cu alte cuvinte, sistemul verifică toate opțiunile posibile.

Cu toate acestea, există o tehnologie mai nouă numită WPA2 Enterprise. Spre deosebire de WPA, necesită nu numai o cheie de acces personală, ci și prezența unui server Radius care oferă acces. Mai mult, un astfel de algoritm de autentificare poate funcționa simultan în mai multe moduri (de exemplu, Enterprise și PSK, folosind criptarea la nivel AES CCMP).

Protocoale de bază de protecție și securitate

La fel ca cei care merg în trecut, metode moderne protecțiile folosesc același protocol. Acesta este TKIP (sistem Securitate WEP bazat pe actualizare softwareși algoritmul RC4). Toate acestea necesită introducerea unei chei temporare pentru a accesa rețeaua.

Așa cum se arată uz practic, un astfel de algoritm în sine nu a oferit nicio securitate specială pentru conectarea la o rețea fără fir. De aceea s-au dezvoltat noi tehnologii: mai întâi WPA și apoi WPA2, completate de PSK (acces personal la cheie) și TKIP (cheie temporară). În plus, a inclus și date de transmisie-recepție, cunoscute astăzi ca standardul AES.

Tehnologie învechită

Tipul de securitate WPA2-PSK este relativ nou. Înainte de aceasta, după cum sa menționat mai sus, sistemul WEP a fost utilizat în combinație cu TKIP. Protecția TKIP nu este altceva decât un mijloc de creștere a adâncimii de biți a cheii de acces. În prezent, se crede că modul de bază vă permite să creșteți cheia de la 40 la 128 de biți. Cu toate acestea, puteți schimba și singurul cheie WEP la mai multe excelente, generate și trimise către mod automat serverul însuși, care autentifică utilizatorul la conectare.

În plus, sistemul în sine implică utilizarea unei ierarhii stricte a distribuției cheilor, precum și a unei tehnici care vă permite să scăpați de așa-numita problemă de predictibilitate. Cu alte cuvinte, atunci când, să zicem, pentru o rețea fără fir care utilizează securitatea WPA2-PSK, parola este setată sub forma unei secvențe precum „123456789”, nu este greu de ghicit că aceleași programe generatoare de chei și parole, numite de obicei KeyGen sau ceva de genul acesta, Când introduceți primele patru caractere, următoarele patru caractere pot fi generate automat. Aici, după cum se spune, nu trebuie să fii o persoană unică pentru a ghici tipul de secvență folosit. Dar acesta, după cum probabil s-a înțeles deja, este cel mai simplu exemplu.

În ceea ce privește data de naștere a utilizatorului în parolă, acest lucru nu este deloc discutat. Puteți fi ușor identificat folosind aceleași date de înregistrare pe rețelele sociale. Înșiși parole digitale Acest tip este complet nesigur. Este mai bine să folosiți numere, litere, precum și simboluri (chiar și cele care nu pot fi imprimate dacă specificați o combinație de taste „hot”) și un spațiu. Cu toate acestea, chiar și cu această abordare, WPA2-PSK poate fi spart. Aici este necesar să se explice metodologia de operare a sistemului în sine.

Algoritm de acces tipic

Acum câteva cuvinte despre sistemul WPA2-PSK. Ce este aceasta în ceea ce privește aplicarea practică? Aceasta este o combinație de mai mulți algoritmi, ca să spunem așa, în modul de lucru. Să explicăm situația cu un exemplu.

În mod ideal, succesiunea de execuție a procedurii de protejare a conexiunii și de criptare a informațiilor transmise sau primite se rezumă la următoarele:

WPA2-PSK (WPA-PSK) + TKIP + AES.

În același timp aici rol principal redă o cheie publică (PSK) cu o lungime de la 8 la 63 de caractere. În ce secvență exactă vor fi utilizați algoritmii (dacă criptarea are loc mai întâi, sau după transmitere, sau în procesul folosind chei intermediare aleatorii etc.) nu este important.

Dar chiar și cu protecție și un sistem de criptare la nivel AES 256 (adică adâncimea de biți a cheii de criptare), piratarea WPA2-PSK pentru hackeri cunoscători în această problemă va fi o sarcină dificilă, dar posibilă.

Vulnerabilitate

În 2008, la conferința PacSec, a fost prezentată o tehnică care permite hacking-ul conexiune fără firși citiți datele transmise de la router către terminalul client. Toate acestea au durat aproximativ 12-15 minute. Cu toate acestea, nu a fost posibilă piratarea transmisiei inverse (client-router).

Faptul este că atunci când modul router QoS este pornit, nu numai că puteți citi informațiile transmise, ci și le puteți înlocui cu informații false. În 2009, experții japonezi au prezentat o tehnologie care ar putea reduce timpul de hacking la un minut. Și în 2010, pe internet au apărut informații conform cărora cel mai simplu mod de a pirata modulul Hole 196 prezent în WPA2 este să folosești propria cheie privată.

Nu se vorbește despre vreo interferență cu cheile generate. În primul rând, un așa-numit atac de dicționar este folosit în combinație cu forța brută, iar apoi spațiul este scanat conexiune fără firîn scopul interceptării pachetele transmiseși înregistrarea lor ulterioară. Este suficient ca utilizatorul să facă o conexiune, iar acesta este imediat dezautorizat și transmisia pachetelor inițiale este interceptată (strângere de mână). După aceasta, nici măcar nu trebuie să fii aproape de punctul de acces principal. Puteți lucra cu ușurință offline. Cu toate acestea, pentru a efectua toate aceste acțiuni veți avea nevoie de software special.

Cum să piratați WPA2-PSK?

Din motive evidente, algoritmul complet pentru piratarea unei conexiuni nu va fi dat aici, deoarece acesta poate fi folosit ca un fel de instrucțiune pentru acțiune. Să ne oprim doar asupra punctelor principale și apoi numai în termeni generali.

De regulă, atunci când accesați direct routerul, acesta poate fi comutat la așa-numitul mod Airmon-NG pentru a monitoriza traficul (airmon-ng start wlan0 - redenumirea adaptorului wireless). După aceasta, traficul este capturat și înregistrat utilizând comanda airdump-ng mon0 (urmărirea datelor canalului, viteza beaconului, viteza și metoda de criptare, cantitatea de date transferată etc.).

În continuare, se folosește comanda de remediere a canalului selectat, după care se introduce comanda Aireplay-NG Deauth cu valori însoțitoare (acestea nu sunt date din motive de legalitate a utilizării unor astfel de metode).

După aceasta (când utilizatorul a fost deja autorizat la conectare), utilizatorul poate fi pur și simplu deconectat de la rețea. În același timp reintrare din partea hackingului, sistemul va repeta autorizarea de conectare, după care va fi posibilă interceptarea tuturor parolelor de acces. În continuare, va apărea o fereastră cu o „strângere de mână”. Apoi puteți aplica lansarea dosar special WPACrack, care vă permite să spargeți orice parolă. Desigur, nimeni nu va spune nimănui exact cum este lansat. Să remarcăm doar că, dacă aveți anumite cunoștințe, întregul proces durează de la câteva minute la câteva zile. De exemplu, un procesor la nivel Intel care rulează pe standard frecvența ceasului 2,8 GHz, capabil să proceseze nu mai mult de 500 de parole pe secundă sau 1,8 milioane pe oră. În general, așa cum este deja clar, nu trebuie să vă amăgiți.

În loc de postfață

Asta este pentru WPA2-PSK. Ce este, probabil, nu va fi clar din prima lectură. Cu toate acestea, cred că orice utilizator va înțelege elementele de bază ale protecției datelor și sistemele de criptare utilizate. Mai mult, astăzi aproape toți proprietarii se confruntă cu această problemă. gadgeturi mobile. Ați observat vreodată că atunci când creați o nouă conexiune pe același smartphone, sistemul vă solicită să utilizați anumit tip securitate (WPA2-PSK)? Mulți pur și simplu nu acordă atenție acestui lucru, dar în zadar. În setările avansate puteți utiliza un număr destul de mare parametri suplimentariîn scopul îmbunătățirii sistemului de securitate.

WPA2 (Wireless Protected Access ver. 2.0) este a doua versiune a unui set de algoritmi și protocoale care asigură protecția datelor în rețelele wireless Wi-Fi. Se așteaptă ca WPA2 să îmbunătățească semnificativ securitatea wireless. Rețele Wi-Fi comparativ cu tehnologiile anterioare. Standard nou prevede, în special, utilizarea obligatorie a algoritmului mai puternic de criptare AES ( Criptare avansată Standard) și autentificare 802.1X.

Astăzi, pentru a asigura un mecanism de securitate fiabil într-o rețea wireless corporativă, este necesar (și obligatoriu) să se utilizeze dispozitive și software care acceptă WPA2. Generațiile anterioare de protocoale - WEP și WPA conțin elemente cu insuficiente apărare puternicăși algoritmi de criptare. Mai mult, au fost deja dezvoltate programe și tehnici pentru a pirata rețelele bazate pe WEP, care pot fi descărcate cu ușurință de pe Internet și utilizate cu succes chiar și de hackeri începători neinstruiți.

Protocoalele WPA2 funcționează în două moduri de autentificare: personal (Personal) și corporativ (Enterprise). În modul WPA2-Personal, o PSK (PreShared Key) pe 256 de biți este generată din fraza de acces cu text simplu introdusă. Cheia PSK împreună cu SSID (Service Set Identifier) ​​sunt folosite pentru a genera chei de sesiune temporară PTK (Pairwise Transient Key) pentru interacțiunea dispozitivelor fără fir. La fel ca protocolul static WEP, protocolul WPA2-Personal are anumite probleme asociate cu necesitatea de a distribui și menține chei în întreaga dispozitive fără fir rețele, făcându-l mai potrivit pentru utilizare în rețele mici de la o duzină de dispozitive, în timp ce WPA2-Enterprise este optim pentru rețelele corporative.

Modul WPA2-Enterprise rezolvă problemele de distribuție și gestionare a cheilor statice și se integrează cu majoritatea servicii corporatiste autentificarea asigură controlul accesului bazat pe cont. Acest mod necesită informații de conectare, cum ar fi un nume de utilizator și o parolă, un certificat de securitate sau parolă de unică folosință, autentificarea se realizează între stație de lucruși un server central de autentificare. Punctul de acces sau controlerul wireless monitorizează conexiunile și redirecționează cererile de autentificare către serverul de autentificare corespunzător (de obicei, un server RADIUS, cum ar fi Cisco ACS). Modul WPA2-Enterprise se bazează pe standardul 802.1X, care acceptă autentificarea utilizatorului și a dispozitivului, potrivită atât pentru comutatoare cu fir, cât și pentru puncte wireless acces.

Spre deosebire de WPA, se folosește algoritmul de criptare AES mai puternic. Similar cu WPA, WPA2 este, de asemenea, împărțit în două tipuri: WPA2-PSK și WPA2-802.1x.

Oferă mecanisme noi și mai fiabile pentru asigurarea integrității și confidențialității datelor:

CCMP (Counter-Mode-CBC-MAC Protocol), bazat pe Counter Cipher-Block Chaining Mode (CCM) al algoritmului de criptare Advanced Encryption Standard (AES). CCM combină două mecanisme: Counter (CTR) pentru confidențialitate și Cipher Block Chaining Message Authentication Code (CBC-MAC) pentru autentificare.

Protocol WRAP (Wireless Robust). Protocol de autentificare), bazat pe modul Offset Codebook (OCB) al algoritmului de criptare AES.

Protocolul TKIP a furniza compatibilitate inversă cu echipamente produse anterior. Autentificare reciprocă și livrarea cheilor bazate pe protocoalele IEEE 802.1x/EAP. Secure Independent Basic Service Set (IBSS) pentru a spori securitatea în rețelele Ad-Hoc. Suport pentru roaming.

Contribuția la securitatea rețelelor wireless este mecanismul CCMP și standardul IEEE 802.11i. Acesta din urmă introduce conceptul de rețea securizată (Robust Rețea de securitate, RSN) și o conexiune de rețea sigură și sigură (Robust Security Network Association, RSNA), după care împarte toți algoritmii în:

algoritmi RSNA (pentru crearea și utilizarea RSNA);

Algoritmi pre-RSNA.

Algoritmii pre-RSNA includ:

autentificarea IEEE 802.11 existentă (referitor la autentificarea definită în ediția din 1999 a standardului).

Adică, aceste tipuri de algoritmi includ autentificarea Open System cu sau fără criptare WEP (mai precis, fără autentificare) și cheia partajată.

Algoritmii RSNA includ:

TKIP; CCMP; Procedura de stabilire și terminare a RSNA (inclusiv utilizarea autentificării IEEE 802.1x); procedura de schimb de chei.

În același timp, algoritmul CCMP este obligatoriu, iar TKIP este opțional și are scopul de a asigura compatibilitatea cu dispozitivele mai vechi.

Standardul oferă două modele funcționale: cu autentificare prin IEEE 802.1x, adică folosind protocolul EAP, și folosind o cheie predefinită înregistrată pe autentificator și client (acest mod se numește Preshared Key, PSK). În acest caz, cheia PSK acționează ca o cheie PMK, iar procedura ulterioară pentru autentificarea și generarea lor nu este diferită.

Deoarece algoritmii de criptare care folosesc procedura TKIP sunt deja numiți WPA, iar procedura CCMP este WPA2, putem spune că metodele de criptare care satisfac RSNA sunt: ​​WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key , WPA- Personal), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-Preshared Key, WPA2-Personal).

Stabilirea conexiunii și procedura de schimb de chei pentru algoritmii TKIP și CCMP este aceeași. CCMP propriu-zis (modul de contor (CTR) cu CBC-MAC (Cipher-Block Chaining (CBC) cu protocol de cod de autentificare a mesajelor (MAC)), precum TKIP, este conceput pentru a oferi confidențialitate, autentificare, integritate și protecție împotriva atacurilor de reluare. Acest algoritm se bazează pe metoda algoritmului de criptare AES CCM, care este definită în specificația FIPS PUB 197. Toate procesele AES utilizate în CCMP utilizează AES cu o cheie de 128 de biți și o dimensiune de bloc de 128 de biți.

Cea mai recentă inovație a standardului este suportul pentru tehnologia de roaming rapid între punctele de acces, folosind memorarea în cache a cheilor PMK și pre-autentificare.

Procedura de memorare în cache PMK este că, dacă clientul a trecut o singură dată autentificarea completă atunci când se conectează la un punct de acces, atunci salvează cheia PMK primită de la acesta și când următoarea conexiune Până în acest punct, ca răspuns la o solicitare de autentificare, clientul va trimite cheia PMK primită anterior. Aceasta va încheia autentificarea, adică 4-Way Handshake nu va fi efectuată.

Procedura de pre-autentificare este ca, după ce clientul s-a conectat și a trecut autentificarea la punctul de acces, el poate trece simultan (în prealabil) autentificarea la alte puncte de acces (pe care le „aude”) cu același SSID, adică să primească în avans acestora cheia este PMK. Și dacă în viitor punctul de acces la care este conectat eșuează sau semnalul său se dovedește a fi mai slab decât alt punct cu același nume de rețea, atunci clientul se va reconecta folosind o schemă rapidă cu o cheie PMK memorată în cache.

Specificația WEP2, apărută în 2001, care a mărit lungimea cheii la 104 biți, nu a rezolvat problema, deoarece lungimea vectorului de inițializare și metoda de verificare a integrității datelor au rămas aceleași. Cele mai multe tipuri de atacuri au fost implementate la fel de simplu ca înainte.

Concluzie

În concluzie, aș dori să rezum toate informațiile și să dau recomandări pentru protejarea rețelelor wireless.

Există trei mecanisme pentru securizarea unei rețele fără fir: configurați clientul și AP să utilizeze același SSID (nu este implicit), permiteți AP-ului să comunice numai cu clienții ale căror adrese MAC sunt cunoscute de AP și configurați clienții pentru a se autentifica la AP și criptați traficul. Majoritatea AP-urilor sunt configurate să funcționeze cu un SSID implicit, fără o listă de adrese MAC permise de client și cu o cheie partajată cunoscută pentru autentificare și criptare (sau fără autentificare sau criptare). De obicei, aceste setări sunt documentate în ajutorul online de pe site-ul Web al producătorului. Datorită acestor opțiuni utilizator neexperimentat pot configura cu ușurință o rețea wireless și pot începe să lucreze cu ea, dar în același timp facilitează pătrunderea hackerilor în rețea. Situația este agravată de faptul că majoritatea nodurilor de acces sunt configurate pentru a difuza SSID-ul. Prin urmare, un hoț poate găsi rețele vulnerabile prin SSID standard.

Primul pas către o rețea wireless securizată este schimbarea SSID-ului AP implicit. În plus, ar trebui să te schimbi acest parametru pe client pentru a permite comunicarea cu AP-ul. Este convenabil să atribuiți un SSID care are sens pentru administratorul și utilizatorii întreprinderii, dar nu identifică clar această rețea fără fir printre alte SSID-uri care sunt interceptate de persoane neautorizate.

Următorul pas este să blocați nodul de acces de la difuzarea SSID-ului, dacă este posibil. Ca urmare, devine mai dificil (deși încă posibil) pentru un atacator să detecteze prezența unei rețele wireless și a unui SSID. În unele AP-uri, nu puteți anula difuzarea SSID. În astfel de cazuri, ar trebui să măriți cât mai mult intervalul de difuzare. În plus, unii clienți pot comunica doar dacă SSID-ul este difuzat de nodul de acces. Prin urmare, poate fi necesar să experimentați cu această setare pentru a determina ce mod este potrivit pentru situația dvs. specifică.

Apoi puteți permite accesarea nodurilor de acces numai de la clienți wireless cu adrese MAC cunoscute. Acest lucru poate să nu fie potrivit pentru o organizație mare, dar pentru o afacere mică cu un număr mic de clienți wireless, este o linie suplimentară de apărare de încredere. Atacatorii vor trebui să descopere adresele MAC cărora li se permite să se conecteze la AP-ul întreprinderii și să înlocuiască adresa MAC a propriului adaptor wireless cu unul autorizat (la unele modele de adaptoare, adresa MAC poate fi schimbată).

Selectarea opțiunilor de autentificare și criptare poate fi cea mai dificilă parte a securizării unei rețele fără fir. Înainte de a atribui setările, ar trebui să inventariați nodurile de acces și adaptoarele wireless pentru a determina protocoalele de securitate pe care le acceptă, mai ales dacă rețeaua dvs. fără fir este deja configurată cu o varietate de echipamente de la diferiți furnizori. Este posibil ca unele dispozitive, în special punctele de acces mai vechi și adaptoarele fără fir, să nu fie compatibile cu WPA, WPA2 sau cheile WEP cu lungime extinsă.

O altă situație de care trebuie să fiți conștienți este că unele dispozitive mai vechi solicită utilizatorilor să introducă un număr hexazecimal reprezentând cheia, iar în alte AP-uri mai vechi și adaptoare wireless Trebuie să introduceți o expresie de acces care este convertită într-o cheie. Ca urmare, este dificil să se asigure că o singură cheie este utilizată de toate echipamentele. Proprietarii unor astfel de echipamente pot folosi resurse precum WEP Key Generator pentru a genera chei WEP aleatoare și pentru a converti frazele de acces în numere hexazecimale.

În general, WEP ar trebui utilizat numai atunci când este absolut necesar. Dacă folosirea WEP este obligatorie, ar trebui să alegeți cheile lungime maximași configurați rețeaua în modul Open în loc de Shared. În modul Open în rețea, nu se realizează autentificarea clientului și oricine poate stabili o conexiune cu nodurile de acces. Aceste legături pregătitoareîncărcați parțial canalul de comunicație fără fir, dar atacatorii care au stabilit o conexiune în AP nu vor putea continua să schimbe date deoarece nu cunosc cheia de criptare WEP. Puteți chiar să blocați conexiuni preliminare prin configurarea AP-ului să accepte numai conexiuni de la adrese MAC cunoscute. Spre deosebire de Open, în modul Partajat, nodul de acces folosește cheia WEP pentru a autentifica clienții wireless într-o procedură de provocare-răspuns, iar un atacator poate decripta secvența și poate determina cheia de criptare WEP.

Dacă puteți utiliza WPA, trebuie să alegeți între WPA, WPA2 și WPA-PSK. Principalul factor atunci când alegeți WPA sau WPA2, pe de o parte, și WPA-PSK, pe de altă parte, este capacitatea de a implementa infrastructura necesară pentru WPA și WPA2 pentru autentificarea utilizatorilor. WPA și WPA2 necesită implementarea serverelor RADIUS și, eventual, a infrastructurii cu chei publice (PKI). WPA-PSK, ca și WEP, funcționează cu o cheie partajată care este cunoscută client wirelessși AP. WPA-PSK Puteți utiliza în siguranță cheia partajată WPA-PSK pentru autentificare și criptare, deoarece nu are dezavantajul WEP.

Bibliografie

1. Goralski V. Tehnologii xDSL. M.: Lori, 2006, 296 p.

2. www.vesna.ug.com;

3. www.young.shop.narod.com;

7. www.opennet.ru

8. www.pulscen.ru

9. www.cisco.com

10. Baranovskaya T.P., Loiko V.I. Arhitectura sistemelor si retelelor de calculatoare. M.: Finanțe și Statistică, 2003, 256 p.

11. Mann S., Krell M. Linux. Administrarea rețelelor TCP/IP. M.: Binom-Press, 2004, 656 p.

12. Smith R. Instrumente de rețea Linux. M.: Williams, 2003, 672 p.

13. Kulgin M. Rețele de calculatoare. Practica constructiilor. Sankt Petersburg: Peter, 2003, 464 p.

14. Tanenbaum E. Reţele de calculatoare. Sankt Petersburg: Peter, 2005, 992 p.

15. Olifer V.G., Olifer N.A. Bazele rețelelor de date. Curs de curs. M.: Universitatea de Internet Tehnologia Informatiei, 2003, 248 p.

16. Vișnevski V.M. Bazele teoretice ale designului retele de calculatoare. M.: Tehnosfera, 2003, 512 p.

Judecând după faptul că ați dat peste acest articol pe Internet, știți despre problemele de securitate ale rețelelor Wi-Fi și despre necesitatea acestuia configurație adecvată. Dar este puțin probabil ca o persoană neinstruită să-și dea seama și să o configureze corect imediat. Și mulți utilizatori cred, în general, că totul de pe router „din cutie” este deja configurat cu nivelul maxim de securitate. În cele mai multe cazuri, aceasta este o opinie greșită. Prin urmare, acum voi da regulile de bază pentru setare Securitate WiFi rețele folosind exemplul unui router TP-Link.

1. Asigurați-vă că activați criptarea rețelei.
Nu lăsați niciodată rețeaua deschisă. Dacă WiFi de acasă nu este criptat, acest lucru nu este corect. Oricine se poate conecta la tine și poate folosi accesul la internet în propriile scopuri.

2. Dacă este posibil, utilizați numai tipul de criptare WPA2-PSK

Dacă setările routerului folosesc WEP Criptare, asigurați-vă că îl schimbați în WPA2, deoarece WEP (Wired Equivalent Privacy) este depășit și are vulnerabilități grave. Și WPA2 este cel mai puternic utilizat în acest moment. WPA ar trebui utilizat numai dacă aveți dispozitive care nu pot funcționa cu WPA2.

3. Dezactivați WPS.

Daca nu folosesti Funcția WPS- asigurați-vă că îl opriți. În unele modele de router, aceasta este o vulnerabilitate gravă din cauza configurație tipică. După cum arată practica, în 90% din cazuri WPS nu este folosit deloc.

4. Schimbați numele de rețea SSID implicit.

Foarte des modelul folosit ca SSID (Service Set Identifier) router wireless, ceea ce face mai ușor ca un atacator să pirateze Wi-Fi. Prin urmare, trebuie neapărat să-l schimbați cu oricare altul. Numele poate fi orice cuvânt în latină și numere. Nu folosiți chirilic.

5. Schimbați parola implicită a routerului.

Un exemplu sunt terminalele GPON ONT de la ZTE. Datorită faptului că toți au folosit în mod implicit aceeași parolă, pe care nimeni nu a schimbat-o la configurarea dispozitivului. Din această cauză, multe rețele de acasă din Moscova și Sankt Petersburg au fost sparte. În consecință, un atacator ar putea obține acces la setările routerului, canalul de internet și rețeaua de domiciliu.

6. Activați firewall-ul routerului.

Aproape toate routerele sunt echipate cu un firewall încorporat (aka firewall), care poate fi dezactivat implicit. Asigurați-vă că este pornit. Pentru o securitate și mai mare, ar trebui să vă asigurați că fiecare computer din rețeaua dvs. rulează, de asemenea, firewall și software antivirus.

7. Activați filtrarea adreselor MAC ale clienților Wi-Fi.

Fiecare computer, laptop sau dispozitiv mobil are un identificator unic în rețea numit adresă MAC. Acest lucru permite routerului WiFi să țină evidența tuturor dispozitivelor conectate la acesta. Mulți Routere WiFi permite administratorilor să introducă fizic adresele MAC ale dispozitivelor care se pot conecta la rețea.

În acest fel, numai acele dispozitive care sunt în tabel se vor putea conecta la rețeaua dvs. de acasă. Alții nu o vor putea face deloc, chiar dacă ghicesc parola.

8. Dezactivați administrarea de la distanță.
Majoritatea routerelor permit administratorilor să se conecteze de la distanță de pe Internet la interfața web sau linia de comandă a dispozitivului. Dacă nu aveți nevoie, dezactivați această funcție. Din retea locala Setările dispozitivului vor fi în continuare disponibile.

Deci, după ce am luat câteva minute pentru a ne asigura că casa noastră Rețea WiFi configurat la un nivel optim de securitate, puteți evita problemele și le puteți preveni pe viitor.

TKIP și AES sunt două tipuri alternative de criptare care sunt utilizate în modurile de securitate WPA și WPA2. În setările de securitate a rețelei fără fir din routere și puncte de acces, puteți selecta una dintre trei variante criptare:

• TKIP;
• TKIP+AES.

Dacă selectați ultima opțiune (combinată), clienții se vor putea conecta la punctul de acces folosind oricare dintre cei doi algoritmi.

TKIP sau AES? Ce e mai bine?

Răspunde pentru aparate moderne, algoritmul AES este cu siguranță mai potrivit.

Folosiți TKIP doar dacă aveți probleme în alegerea primului (se întâmplă uneori ca la utilizarea criptării AES, conexiunea cu punctul de acces să fie întreruptă sau să nu fie stabilită deloc. De obicei aceasta se numește incompatibilitate echipament).

Care este diferența

AES este un algoritm modern și mai sigur. Este compatibil cu standardul 802.11n și oferă viteze mari de transfer de date.

TKIP este depreciat. Are mai multe nivel scăzut securitate și acceptă rate de transfer de date de până la 54 Mbit/s.

Cum se trece de la TKIP la AES

Cazul 1. Punctul de acces funcționează în modul TKIP+AES

În acest caz, trebuie doar să schimbați tipul de criptare pe dispozitivele client. Cel mai simplu mod de a face acest lucru este să ștergeți profilul de rețea și să vă conectați din nou la el.

Cazul 2: Punctul de acces utilizează numai TKIP

În acest caz:

1. Mai întâi, accesați interfața web a punctului de acces (sau, respectiv, a routerului). Schimbați criptarea în AES și salvați setările (citiți mai multe mai jos).

2. Schimbați criptarea pe dispozitivele client (mai multe detalii în paragraful următor). Și din nou, este mai ușor să uiți rețeaua și să te conectezi din nou la ea introducând cheia de securitate.

Activarea criptării AES pe router

Folosind D-Link ca exemplu

Accesați secțiunea Configurare wireless.

Faceți clic pe butonul Configurare manuală a conexiunii fără fir.

Setați modul de securitate WPA2-PSK.

Găsiți un articol Tip de cifrăși setați valoarea AES.

Clic Salvează setările.

Folosind TP-Link ca exemplu

Deschideți secțiunea Fără fir.

Selectați un articol Securitate wireless.

În câmp Versiune Selectați WPA2-PSK.

În câmp Criptare Selectați AES.

Faceți clic pe butonul Salvați:

Schimbați tipul de criptare wireless în Windows

Windows 10 și Windows 8.1

Aceste versiuni ale sistemului de operare nu au un . Prin urmare, există trei opțiuni pentru modificarea criptării.

Opțiunea 1. Windows însuși va detecta o nepotrivire în setările de rețea și vă va solicita să introduceți din nou cheia de securitate. În acest caz, algoritmul de criptare corect va fi instalat automat.

Opțiunea 2. Windows nu se va putea conecta și va oferi să uite rețeaua prin afișarea butonului corespunzător:

După aceasta, vă veți putea conecta la rețea fără probleme, deoarece... profilul ei va fi șters.

Opțiunea 3. Va trebui să ștergeți manual profilul de rețea prin Linie de comandași abia apoi conectați din nou la rețea.

Urmați acești pași:

1 Lansați promptul de comandă.

2 Introduceți comanda:

Netsh wlan arată profiluri

pentru a afișa o listă de profiluri de rețea fără fir salvate.

3 Acum introduceți comanda:

Netsh wlan șterge profilul „numele rețelei tale”

pentru a șterge profilul selectat.

Dacă numele rețelei conține un spațiu (de exemplu „wifi 2”), pune-l între ghilimele.

Imaginea prezintă toate acțiunile descrise:

4 Acum faceți clic pe pictograma rețelei wireless din bara de activități:

5 Selectați o rețea.

6 Faceți clic Conectați:

7 Introduceți cheia de securitate.

Windows 7

Totul este mai simplu și mai clar aici.

1 Faceți clic pe pictograma rețelei fără fir din bara de activități.

3 Faceți clic pe link Managementul rețelei fără fir:

4 Faceți clic Click dreapta mouse-ul pe profilul rețelei dorite.

5 Selectați Proprietăți:

Atenţie! La acest pas puteți, de asemenea, să faceți clic Ștergeți rețeauași conectați-vă la el din nou! Dacă decideți să faceți acest lucru, nu trebuie să citiți mai departe.

6 Accesați fila Siguranță.