Expres Internet prin cablu devine din ce în ce mai accesibil. Și odată cu dezvoltarea tehnologie mobilă problema utilizării devine relevantă internet de acasă pe fiecare dispozitiv. Un router Wi-Fi servește acestui scop scopul său este de a distribui Internetul între diferiți utilizatori în timpul unei conexiuni wireless.

O atenție deosebită trebuie acordată securității rețelei dvs.

Când cumpărați, trebuie doar să îl configurați prima dată când îl porniți. Un disc cu un utilitar de configurare este furnizat împreună cu routerul. Folosiți-l pentru a configura rețeaua de acasă usor ca o placinta. Dar cu toate acestea, utilizatori neexperimentați Problemele apar adesea în stadiul setărilor de securitate a rețelei. Sistemul vă solicită să selectați o metodă de autentificare și există cel puțin patru opțiuni din care să alegeți. Fiecare dintre ele are anumite avantaje și dezavantaje, iar dacă doriți să vă protejați de acțiunile intrușilor, ar trebui să alegeți cel mai mult opțiune de încredere. Despre asta este articolul nostru.

Metode de autentificare

Majoritatea modelelor de routere de acasă acceptă următoarele metode de autentificare în rețea: fără criptare, WEP, WPA/WPA2-Enterprise, WPA/WPA2-Personal (WPA/WPA2-PSK). Ultimele trei au și mai mulți algoritmi de criptare. Să aruncăm o privire mai atentă.

Lipsa de protectie

Această metodă vorbește de la sine. Conexiunea este complet deschisă, absolut oricine se poate conecta la ea. De obicei, această metodă este utilizată în în locuri publice, dar este mai bine să nu-l folosești acasă. Minimul cu care acest lucru te amenință este că vecinii tăi îți vor ocupa canalul atunci când sunt conectați și pur și simplu nu vei putea primi viteza maxima conform ta plan tarifar. În cel mai rău caz, atacatorii pot folosi acest lucru în propriile lor scopuri, furându-ți informații confidențiale sau săvârșirea altor acte ilegale. Dar nu trebuie să vă amintiți parola, dar trebuie să recunoașteți că acesta este un avantaj destul de dubios.

WEP

Când utilizați această metodă de autentificare în rețea, informațiile transmise sunt protejate de cheie secreta. Tipul de protecție este " Sistem deschis„ și „Cheie partajată”. În primul caz, identificarea are loc prin filtrarea după adresa MAC fără utilizarea unei chei suplimentare. Protecția este, de fapt, cea mai minimă și, prin urmare, nesigură. În a doua trebuie să vii cod secret, care va fi folosit ca cheie de securitate. Poate fi de 64, 128 din 152 de biți. Sistemul vă va spune cât de lung ar trebui să fie codul, în funcție de codificarea acestuia - hexazecimal sau ASCII. Puteți seta mai multe astfel de coduri. Fiabilitatea protecției este relativă și a fost mult timp considerată depășită.

WPA/WPA2 – Enterprise și WPA/WPA2-Personal

Foarte metoda de incredere autentificarea în rețea, în primul caz este folosită în întreprinderi, în al doilea - acasă și în birouri mici. Diferența dintre ele este că versiunea de acasă folosește o cheie permanentă, care este configurată la punctul de acces. Împreună cu algoritmul de criptare și SSID-ul conexiunii, formează o conexiune sigură. Pentru a obține acces la o astfel de rețea, trebuie să cunoașteți parola. Prin urmare, dacă este de încredere și nu îl dezvăluiți nimănui, pentru un apartament sau o casă - acesta este varianta perfecta. În plus, aproape toți producătorii îl marchează ca fiind recomandat.

În al doilea caz, se folosește o cheie dinamică și fiecărui utilizator i se atribuie una individuală. Nu are rost să te deranjezi cu asta acasă, așa că este folosit doar în întreprinderile mari unde securitatea datelor corporative este foarte importantă.

Fiabilitatea suplimentară depinde și de algoritmul de criptare. Există două dintre ele: AES și TKIP. Este mai bine să îl folosiți pe primul, deoarece acesta din urmă este un derivat al WEP și s-a dovedit a fi un eșec.

Cum se schimbă metoda de autentificare Wi-Fi

Dacă ați configurat anterior autentificarea conexiunii, dar nu sunteți sigur de alegerea dvs metoda corecta, asigurați-vă că îl verificați acum. Accesați setările routerului introducând adresa IP, login-ul și parola acestuia în browser (puteți citi mai multe în articolul Adresa IP a routerului de pe site-ul nostru). Trebuie să accesați fila Setări de securitate a rețelei. ÎN diferite modele router, acesta poate fi localizat diferit. Apoi selectați o metodă de autentificare în rețea, veniți cu parola puternica, faceți clic pe „Salvare” și reporniți routerul. Nu uitați să vă reconectați la rețea de pe toate dispozitivele.

Concluzie

Sperăm că ați găsit aceste informații utile. Nu neglijați setările de securitate Wi-Fi. Nu-l lăsați deschis, ci selectați metoda de autentificare recomandată și algoritm corect criptare.

Ce metodă de securitate a conexiunii folosești? Distribuie cu noi în comentarii.

Astăzi mulți oameni au case Router Wi-Fi. La urma urmei, wireless este mult mai ușor să conectezi la internet un laptop, o tabletă și un smartphone, dintre care există mai mulți decât oameni în fiecare familie. Și acesta (routerul) este, în esență, poarta de acces către universul informațional. Citit Usa de intrare. Și depinde de această ușă dacă un oaspete neinvitat va veni la tine fără permisiunea ta. Prin urmare, este foarte important să acordați atenție setare corectă router, astfel încât rețeaua dvs. wireless să nu fie vulnerabilă.

Nu cred că trebuie să vă reamintesc că ascunderea SSID-ului punctului de acces nu vă protejează. Restricționarea accesului prin adresa MAC nu este eficientă. Prin urmare numai metode moderne criptare și parolă complexă.

De ce criptați? Cine are nevoie de mine? nu am nimic de ascuns

Nu este atât de înfricoșător dacă îți este furat codul PIN Card de creditși vor lua toți banii de la ea. Mai mult, dacă cineva navighează pe internet pe cheltuiala dvs., cunoscând parola Wi-Fi. Și nu este atât de înfricoșător dacă îți publică fotografiile de la petreceri corporative în care arăți inestetic. Este mult mai ofensator când atacatorii intră în computerul tău și șterg fotografii cu cum ți-ai luat fiul de la maternitate, cum a făcut primii pași și a trecut în clasa întâi. Backup-urile sunt un subiect aparte, bineînțeles că trebuie făcute... Dar în timp, reputația îți poate fi restabilită, poți câștiga bani, dar fotografiile care îți sunt dragi nu mai sunt acolo. Cred că toată lumea are ceva ce nu vrea să piardă.
Routerul dvs. este un dispozitiv de frontieră între privat și public, așa că asigurați-vă că este complet protejat. În plus, nu este atât de dificil.

Tehnologii și algoritmi de criptare

Omit teoria. Nu contează cum funcționează, principalul lucru este să știi cum să-l folosești.
Tehnologii de securitate wireless dezvoltate în următoarea ordine cronologică: WEP, WPA, WPA2. Au evoluat și metodele de criptare RC4, TKIP, AES.
Cea mai bună în ceea ce privește securitatea astăzi este combinația WPA2-AES. Exact așa ar trebui să încercați să configurați Wi-Fi. Ar trebui să arate cam așa:

WPA2 este obligatoriu din 16 martie 2006. Dar uneori mai poți găsi echipamente care nu-l suportă. În special, dacă aveți Windows XP instalat pe computer fără al treilea pachet de servicii, atunci WPA2 nu va funcționa. Prin urmare, din motive de compatibilitate, pe routere găsiți opțiuni de configurare WPA2-PSK -> AES+TKIP și o altă menajerie.
Dar dacă flota dvs. de dispozitive este modernă, atunci este mai bine să utilizați WPA2 (WPA2-PSK) -> AES, ca opțiune cea mai sigură astăzi.

Care este diferența dintre WPA(WPA2) și WPA-PSK(WPA2-PSK)

Standardul WPA oferă Protocolul de autentificare extensibil (EAP) ca bază pentru mecanismul de autentificare a utilizatorului. O condiție indispensabilă pentru autentificare este prezentarea de către utilizator a unui certificat (altfel numit acreditiv) care confirmă dreptul său de acces la rețea. Pentru a obține acest drept, utilizatorul este verificat cu o bază de date specială de utilizatori înregistrați. Fără autentificare, utilizatorului i se va interzice utilizarea rețelei. Baza de utilizatori înregistrați și sistemul de verificare în rețele mari situat de obicei pe un server special (cel mai adesea RADIUS).
Modul cheie pre-partajată simplificat (WPA-PSK, WPA2-PSK) vă permite să utilizați o singură parolă, care este stocată direct în router. Pe de o parte, totul este simplificat, nu este nevoie să creați și să mențineți o bază de utilizatori, pe de altă parte, toată lumea se conectează cu aceeași parolă.
Acasă, este mai indicat să folosiți WPA2-PSK, adică modul simplificat al standardului WPA. Securitatea Wi-Fi nu suferă de această simplificare.

Parola de acces Wi-Fi

Totul este simplu aici. Parola pentru dvs punct fără fir accesul (routerul) trebuie să aibă mai mult de 8 caractere și să conțină litere cu majuscule diferite, numere, semne de punctuație. Și nu ar trebui să fie asociat cu tine în niciun fel. Aceasta înseamnă că datele de naștere, numele dvs., numerele de mașină, numerele de telefon etc. nu pot fi folosite ca parolă.
Deoarece este aproape imposibil să spargeți WPA2-AES frontal (au fost doar câteva cazuri simulate în condiții de laborator), principalele metode de spargere a WPA2 sunt atacul de dicționar și forța brută (căutarea secvențială a tuturor opțiunilor de parole). Prin urmare decât o parolă mai complexă, cu atât mai puține șanse au atacatorii.

... în URSS, dulapurile automate de depozitare au devenit larg răspândite în gările de cale ferată. Codul de blocare era o literă și trei cifre. Cu toate acestea, puțini oameni știu că prima versiune a dulapurilor de depozitare a folosit 4 cifre ca o combinație de cod. Ce diferență ar părea? La urma urmei, numărul de combinații de coduri este același - 10.000 (zece mii). Dar, după cum a arătat practica (în special Departamentul de Investigații Criminale din Moscova), când unei persoane i s-a cerut să folosească o combinație de 4 cifre ca parolă pentru o celulă de depozitare, mulți oameni și-au folosit anul nașterii (pentru a nu uita ). Ceea ce atacatorii au folosit cu succes. La urma urmei, se cunoșteau primele două cifre din data nașterii majorității absolute a populației țării - 19. Tot ce rămâne este să se determine cu ochi vârsta aproximativă a persoanei de înregistrare a bagajelor și oricare dintre noi poate face asta cu o precizie de +/- 3 ani, iar restul pe care îl primim (mai precis, atacatorii) este mai puțin de 10 combinații pentru selectarea unui cod de acces la un dulap automat de stocare...

Cea mai populară parolă

Lenea și iresponsabilitatea umană își iau pragul. Iată o listă cu cele mai populare parole:

1. 123456
2. qwerty
3. 111111
4. 123123
5. 1a2b3c
6. Data nașterii
7. Număr de telefon

Reguli de securitate la crearea unei parole

1. Fiecare a lui. Adică, parola routerului nu ar trebui să se potrivească cu nicio altă parolă pe care o aveți. Din poștă, de exemplu. Faceți o regulă ca toate conturile să aibă propriile parole și toate să fie diferite.
2. Utilizare parole puternice, care nu poate fi ghicit. De exemplu: 2Rk7-kw8Q11vlOp0

U Parola Wi-Fi există un plus uriaș. Nu trebuie să-ți amintești. Puteți să-l scrieți pe o bucată de hârtie și să o lipiți de partea de jos a routerului.

Zona Wi-Fi pentru oaspeți

Dacă routerul vă permite să organizați o zonă pentru oaspeți. Atunci asigurați-vă că o faceți. Protejându-l în mod natural cu WPA2 și o parolă puternică. Și acum, când prietenii vin la tine acasă și cer acces la internet, nu trebuie să le spui parola ta principală. în plus zona oaspetilor in routere este izolat de reteaua principala. Și orice problemă cu dispozitivele oaspeților dvs. nu va afecta rețeaua dvs. de acasă.

Criptare Wi-Fi - ce protocol să alegeți?

M-am cumpărat router nouși m-am hotărât să-l instalez singur. Totul este configurat - Internetul și rețeaua wireless funcționează. A apărut o întrebare, pentru că undele radio (Wi-Fi în cazul meu) se propagă nu numai în apartamentul meu. În consecință, ele pot fi interceptate. Teoretic. Routerul are o setare de criptare retea fara fir. Presupun că este tocmai pentru a exclude interceptarea și „interceptarea cu urechea”. Întrebarea este, care dintre protocoalele de criptare disponibile în routerul meu ar trebui să aleg? Disponibil: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Ce criptare Wi-Fi ar trebui să folosesc în cazul meu?

norik | 16 februarie 2015, ora 10:14
Voi omite descrierile oricăror protocoale învechite Criptare Wi-Fi. Prin urmare, le voi descrie numai pe cele care au sens să le folosești. Dacă protocolul nu este descris aici, atunci fie este exotic, fie nu aveți nevoie de el.

WPA și WPA2 (Wi-Fi Protected Access) - disponibile pe toate routerele. Cel mai popular și răspândit protocol. Este, de asemenea, una dintre cele mai moderne. DIN PUNCTUL MEU DE VEDERE - cea mai buna alegere pentru casă și birou mic. Cu toate acestea, este destul de potrivit și pentru birourile mari, cu excepția faptului că are sens să complicem autorizarea. Lungimea parolei sale este de până la 63 de octeți, așa că dacă o spargeți ghicind, puteți deveni gri mai devreme. Desigur, trebuie să alegeți WPA2 dacă este acceptat de toate dispozitivele din rețea (numai gadgeturile foarte vechi nu îl înțeleg).

Ceea ce este cu adevărat valoros este ceea ce este înăuntru a acestui serviciu Pot fi utilizați mai mulți algoritmi de criptare. Printre acestea: 1. TKIP - Nu-l recomand, deoarece este foarte posibil să găsești o gaură.
2. CCMP - mult mai bine.
3. AES - Cel mai mult îmi place, dar nu este suportat de toate dispozitivele, deși este inclus în specificația WPA2.

WPA2 oferă, de asemenea, două moduri autentificarea initiala. Aceste moduri sunt PSK și Enterprise. WPA Personal, alias WPA PSK, înseamnă că toți utilizatorii se vor conecta la rețeaua wireless o singură parolă, introdus pe partea client la momentul racordarii la retea. Excelent pentru acasă, dar problematic pentru un birou mare. Va fi dificil să schimbi parola pentru toată lumea de fiecare dată când un alt angajat care o știe renunță.

WPA Enterprise necesită server separat cu un set de chei. Pentru o casă sau un birou cu 6 mașini, acest lucru este greoi, dar dacă există 3 duzini de dispozitive wireless în birou, atunci poți avea grijă.

De fapt, acest lucru epuizează opțiunea de criptare Wi-Fi activată acest moment. Protocoalele rămase fie nu au deloc criptare sau parolă, fie au găuri în algoritmi în care doar cei foarte lenesi nu ar intra. Recomand combinația WPA2 Personal AES pentru uz casnic. Pentru birouri mari - WPA2 Enterprise AES. Dacă nu există AES, atunci te poți descurca cu TKIP, dar probabilitatea ca pachetele să fie citite rămâne de un străin. Există o părere că WPA2 TKIP nu a fost niciodată piratat, spre deosebire de WPA TKIP, dar a fost protejat...

O zi bună, dragi cititori ai blogului! Astăzi vom vorbi despre Securitate wireless DIR-615, aproximativ securitatea retelei în general. Vă voi spune care este conceptul de WPA. În continuare voi da instrucțiuni pas cu pas configurarea unei rețele fără fir folosind un expert, despre automată și moduri manuale numiri parolă de rețea. În continuare vom arăta cum adăugați un dispozitiv fără fir utilizând expertul WPS. În cele din urmă, voi oferi o descriere a configurațiilor WPA-Personal (PSK) și WPA-Enterprise (RADIUS).

Securitatea retelei

În acest articol, așa cum am promis, voi scrie despre diferitele niveluri de securitate pe care le puteți folosi pentru a vă proteja datele de intruși. DIR-615 oferă următoarele tipuri de securitate:

Ce este WPA?

WPA sau acces protejat prin Wi-Fi Acces Wi-Fi), - Acest Standard Wi-Fi, care a fost conceput pentru a îmbunătăți capacitățile de securitate WEP.

2 îmbunătățiri majore față de WEP:

• Criptare îmbunătățită a datelor prin TKIP. TKIP amestecă cheile folosind un algoritm de hashing și adăugând o funcție de verificare a integrității, asigurându-se astfel că cheile nu pot fi modificate. WPA2 se bazează pe 802.11i și folosește AESîn loc de TKIP.
• Autentificarea utilizatorului, care este în general absentă în WEP, prin EAP. WEP reglementează accesul la o rețea fără fir pe baza hardware-ului specific adrese MAC un computer care este relativ ușor de aflat și de furat. EAP este construit pe un sistem de criptare cu chei publice mai sigur pentru a se asigura că este doar autorizat utilizatorii rețelei va putea accesa rețeaua.

WPA-PSK/WPA2-PSK utilizează o expresie de acces sau o cheie pentru a vă autentifica conexiune fără fir. Această cheie este o parolă alfanumerică cu lungimea cuprinsă între 8 și 63 de caractere. Parola poate include caractere (!?*&_) și spații. Această cheie trebuie să fie exact aceeași cheie care este introdusă pe dvs router wireless sau punct de acces.

WPA/WPA2 permite autentificarea utilizatorului prin EAP. EAP este construit pe un sistem de criptare cu chei publice mai sigur pentru a se asigura că numai utilizatorii autorizați de rețea pot accesa rețeaua.

Expert de configurare fără fir

Pentru a lansa expertul de securitate, deschideți dimineața Înființatși apoi faceți clic pe butonul Expert de configurare a rețelei fără fir .

Alocarea automată a cheii de rețea

Odată ce acest ecran apare, instalarea este finalizată. Vi se va furniza un raport detaliat al setărilor de securitate a rețelei.
Clic Salvați , a continua.

Alocarea manuală a cheii de rețea

Selectați parola wireless Securitate. trebuie să aibă exact 5 sau 13 caractere. De asemenea, poate avea exact 10 sau 26 de caractere folosind 0-9 și A-F.
Apasă pentru a continua.

Instalare completă. Vi se va furniza un raport detaliat al setărilor dvs. de securitate wireless. Clic Salvați pentru a finaliza Expertul de securitate.

Adăugați un dispozitiv fără fir utilizând expertul WPS

PBC: Selectați această opțiune pentru a utiliza metoda PBC, a adauga client wireless. Clic Conectați .

Configurație WPA-Personal (PSK).

Este recomandat să activați criptarea pe routerul dumneavoastră fără fir înainte de a porni adaptoarele de rețea fără fir. Vă rugăm să instalați opțiunea conexiune fără firînainte de a activa criptarea. Ta semnal wireless se poate agrava atunci când criptarea este activată din cauza supraîncărcării suplimentare.

Configurație WPA-Enterprise (RADIUS).

Este recomandat să activați criptarea pe routerul dumneavoastră fără fir înainte de a porni adaptoarele de rețea fără fir. Vă rugăm să stabiliți conexiunea fără fir înainte de a activa criptarea. Semnalul dvs. fără fir se poate degrada atunci când activați criptarea din cauza supraîncărcării suplimentare.

1. Conectați-vă la utilitarul de configurare bazat pe web deschizând o fereastră de browser web și introducând adresa IP a routerului (192.168.0.1). Clic Înființat , și apoi Setări wireless Din partea stângă.
2. Următorul în Modul de securitate , Selectați WPA-Enterprise.
   cometariu: Ar trebui dezactivat

Informațiile pe care le puteți obține în acest articol pot fi folosite pentru a obține acces neautorizat la rețele, iar acțiunile dvs. pot intra sub incidența articolelor 272-273 din Codul penal al Federației Ruse. Aceste informații sunt publicate aici doar în scop informativ și sunteți singurul responsabil pentru utilizarea lor în scopuri ilegale. Acest articol este dedicat subiectului care a fost abordat la reuniunea Grupului de utilizatori MGUPI „Asigurarea securității rețelelor fără fir (WPA2)”.

Introducere

Despre articolul anterior se vorbea principii generale operarea rețelelor fără fir și asigurarea securității acestora. Au fost discutate tipurile de rețele fără fir și principiile generale ale securității acestora, precum și un exemplu de acces cu ușurință la o rețea criptată WEP.
Acest articol va explica cum funcționează WPA și care sunt principalele vulnerabilități din acesta pot fi folosite de atacatori pentru a pătrunde ilegal în rețeaua dvs.

Avantajele WPA față de WEP

WPA Protejat WiFi Accesul este un mecanism nou, cel mai modern în prezent, pentru protejarea rețelelor wireless împotriva accesului neautorizat. WPA și dezvoltarea sa ulterioară WPA2, au înlocuit mecanismul WEP, care începuse să devină învechit în acel moment. Încă o dată, să vedem cum funcționează WEP:

1. Un cadru de date este format dintr-o parte criptată și una necriptată. Partea criptată conține date și sume de control (CRC32), partea necriptată conține vectorul de inițializare și identificatorul cheii.

2. Fiecare cadru de date este criptat cu un cifr de flux RC4 folosind un vector de inițializare cu o cheie WEP atașată ca cheie de criptare.

Astfel, pentru fiecare cadru de date se generează propria sa cheie de criptare, dar, în același timp, fiecare nouă cheie de criptare diferă de cealaltă doar prin vectorul de inițializare. (24 de biți, când lungimea cheii poate fi de 40 sau 104 de biți) Astfel, dacă un atacator interceptează un număr mare de pachete, va primi următoarele: -un numar mare de vectori de inițializare
-o cantitate mare de date criptate
-cheie de criptare pentru fiecare cadru următor diferă de cel precedent cu doar 4 biți (lungimea vectorului de inițializare)
Deci, este posibil să extrageți cheia făcând operatii matematice peste pachete.
Pentru a primi cu succes cheie WEP, atacatorul are nevoie de următoarele:
- fiți într-un loc în care este posibil să primiți un semnal de rețea (RSSI de -85 dBm este suficient)
-captură aproximativ 100-200 de mii de vectori de inițializare, în funcție de lungimea cheii (WEP-40 sau WEP-104). De obicei, acest lucru necesită interceptarea a 25-50 MB de trafic transmis în rețea. În prezența înaltei activitatea de rețea(descărcarea fișierelor (în special folosind rețele peer-to-peer) conferințe video), 5-10 minute vor fi suficiente pentru a capta cantitatea necesară de trafic.

De asemenea, acordați atenție modului în care atacatorul realizează captarea traficului.
De obicei, adaptoarele de rețea fără fir funcționează în Mod normal– acceptați numai acele pachete care sunt trimise la adresa lor MAC, cu condiția să fie conectate la această rețea fără fir. Cu toate acestea, nimic nu interferează fizic cu wireless-ul adaptor de retea captați toate pachetele care se află în intervalul său pe canalul selectat. Pentru a implementa această caracteristică, există drivere speciali neoficiale și software. În plus, un astfel de software este vândut destul de legal și este folosit pentru a monitoriza rețelele wireless. Un exemplu de astfel de program este CommView pentru WiFi de la TamoSoft. Apoi, atacatorul analizează traficul capturat. Deoarece WEP a fost spart cu mulți ani în urmă, puteți găsi utilitare pe Internet care mod automat extrage cheia dintr-un fișier CAP cu trafic, cel mai comun dintre ele este Aircrack.
Astfel, WEP are următoarele dezavantaje
-predictibilitatea cheii de criptare pentru cadru
-lipsa mijloacelor de autentificare in retea
-mecanism slab de verificare a integrității datelor
Prin urmare, multe întreprinderi au refuzat să folosească rețelele fără fir pentru a evita scurgerile informație corporativă. Cu toate acestea, odată cu apariția WPA și, ulterior, WPA2, situația s-a schimbat și tot mai mulți utilizatori de întreprinderi au început să folosească WPA. Într-adevăr, în comparație cu WEP are o serie de avantaje:
-independența matematică a cheilor de criptare pentru fiecare pachet unul față de celălalt
-nou mecanism de numărare suma de control
-WPA include autentificarea protocolului 802.1X

Cum funcționează WPA

Primele modificări ale WPA au fost o îmbunătățire a WEP.
Să ne uităm la unul dintre primele protocoale WPA, WPA-TKIP
Folosește un vector de inițializare de 48 de biți, iar regulile de construire a vectorului sunt modificate, de asemenea, folosește MIC (Message Integrity Code) pentru a calcula suma de control, care este utilizată în locul CRC32 învechit și mai puțin fiabil;
Și cea mai importantă îmbunătățire este că lungimea cheii de criptare este acum de 128 de biți, în loc de 40. Există o ierarhie specială pentru managementul cheilor, care este concepută pentru a preveni ca cheia de criptare să fie previzibilă pentru fiecare cadru. Cu TKIP, cheia de criptare pentru fiecare cadru de date este generată în așa fel încât acestea să nu se repete, chiar dacă doar parțial.
Astfel, rețelele WPA sunt complet protejate de atacurile de reluare (repetare cheie) și falsificare (înlocuire a conținutului pachetului), ceea ce nu s-a putut spune despre WEP, unde a fost posibil să ocoliți verificarea sumei de control CRC32 și, de asemenea, să trimiteți un cadru cu exact același cheie de criptare, ca și cea anterioară.
În același timp, WPA are mecanisme de autentificare integrate: EAP și oferă, de asemenea, suport complet pentru standardele 802.1X pentru autentificare. EAP - extensibil Protocol de autentificare, unul dintre cele mai comune protocoale de autentificare. Folosit pentru autentificare în rețelele cu fir, și, prin urmare, o rețea wireless WPA poate fi integrată cu ușurință într-o infrastructură existentă. O condiție obligatorie pentru autentificare este ca utilizatorul să prezinte un token de acces care confirmă dreptul său de acces la rețea. Pentru a obține un token, se face o solicitare către o bază de date specială, iar fără autentificare, utilizatorului i se va interzice să lucreze în rețea. Sistemul de verificare se află pe un server special RADIUS și este folosit ca bază de date Director activ(pe sisteme Windows)
Deci WPA este o sinteză următoarele tehnologii si standarde:
WPA = 802.1X + EAP + TKIP + MIC
Cu toate acestea, protecția TKIP a fost parțial ruptă în 2008. Pentru a o ocoli cu succes, routerul dumneavoastră wireless trebuie să utilizeze QoS. Un atacator poate fi capabil să intercepteze și să decripteze datele transmise prin rețea, precum și să falsifice pachete transmise prin rețea. Prin urmare, a fost dezvoltat WPA2, care este o îmbunătățire a WPA.

Cum funcționează WPA2

Descoperirea vulnerabilităților în WPA a condus la crearea metodei de securitate WPA2. Diferența sa semnificativă față de WPA este că traficul în rețea este criptat nu numai de la dispozitivele care nu sunt conectate la această rețea, ci și unul de la celălalt. Cu alte cuvinte, fiecare dispozitiv are propriile chei de criptare pentru schimbul de date cu punctul de acces. Există mai multe chei de criptare în rețea:
1) Cheie tranzitorie în pereche (PTK). Cu ajutor de acest tip cheia este criptată trafic personal fiecare client. Astfel, rețeaua este protejată din interior astfel încât un client autorizat în rețea să nu poată intercepta traficul altuia.
2) Cheie temporală de grup (GTK). Această cheie criptează datele difuzate.
WPA2 este folosit ca algoritm de criptare CCMP

CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), un protocol de criptare bloc cu un cod de autentificare a mesajelor și un mod de blocare și contor înlănțuire - un protocol de criptare pentru o rețea WPA2 care utilizează algoritmul AES ca bază pentru criptarea datelor. O cheie de criptare pe 128 de biți este utilizată în conformitate cu standardul FIPS-197.
Principala diferență față de TKIP și WEP este gestionarea centralizată a integrității pachetelor, care se realizează la nivel AES.
Structura unui pachet criptat CCMP

Pachetul CCMP este extins cu 16 octeți. Antetul CCMP constă din trei părți: PN (număr de pachet, 48 de biți), ExtIV (vector de inițializare) și identificatorul cheii.
Încapsularea datelor folosind CCMP:
1) Numărul pachetului este mărit cu un anumit număr pentru a evita pachetele repetate
2) Sunt create date suplimentare de autentificare
3) Se creează un câmp service nonce
4) Numărul pachetului și identificatorul cheii sunt plasate în antetul pachetului
5) Câmpul nonce și datele suplimentare de autentificare sunt criptate folosind o cheie temporară.


Decapsularea datelor folosind CCMP:
1) Câmpurile de identificare suplimentare și un câmp nonce sunt create folosind datele de pachet.
2) Câmpul suplimentar de date de identificare este extras din antetul pachetului criptat
3) Câmpul A2, numărul pachetului și câmpul prioritar sunt extrase
4) Câmpul MIC este extras
5) Pachetul este decriptat și integritatea acestuia este verificată folosind textul cifrat al pachetului, date suplimentare de identificare, o cheie temporară și MIC-ul însuși
6) Pachetul este asamblat în formă decriptată.
7) Pachetele cu un număr duplicat sunt aruncate

Aceasta metoda criptarea în rețea este în prezent cea mai fiabilă.

Metode de autentificare în WPA\WPA2

Autentificarea, adică confirmarea de către utilizator a drepturilor de acces la resurse, este condiție prealabilă lucru WPA\WPA2
În acest scop, implementarea clasică a WAP\WPA2 include suport pentru 802.11 și EAP.
Cu alte cuvinte, pentru ca un dispozitiv client să finalizeze cu succes procesul de conectare, acesta trebuie să se identifice. În practică, acesta arată astfel: utilizatorului i se cere să introducă un login și o parolă pentru a accesa rețeaua. Verificarea acreditărilor se realizează pe serverul RADIUS, care la rândul său comunică cu serverul de autentificare. Controlerul este folosit ca server de autentificare domeniul Windows Server 2008R2, este folosit și ca server RADIUS.
O abordare similară a implementării WPA\WPA2 se numește WPA-Enterprise. Este folosit în mare rețelele de producție, unde infrastructura Active Directory a fost deja implementată.
Cu toate acestea, este evident că implementarea Active Directory și RADIUS într-o afacere mică sau într-un mediu acasă este aproape imposibilă. Prin urmare, pentru ca standardele WPA\WPA2 să fie utilizate acasă, Organizare Wi-Fi Alliance a dezvoltat o implementare simplificată numită WPA-PSK (Pre-Shared Key). Folosește aceleași protocoale de criptare, dar schema de autentificare a utilizatorilor este mult simplificată. Pentru ca un dispozitiv să primească un token de acces la rețea, trebuie introdusă pe dispozitiv o expresie de acces specială numită cheie pre-partajată. Lungimea ar trebui să fie de la 8 la 32 de caractere și puteți utiliza Simboluri speciale, precum și simboluri ale alfabetelor naționale. După introducerea frazei de acces, aceasta este plasată într-un pachet special de asociere (pachet de schimb de chei, strângere de mână), care este transmis către punctul de acces. Dacă fraza de acces este corectă, dispozitivului i se emite un jeton de acces la rețea. Această abordare este de multe ori mai simplă decât WPA-Enterprise și, prin urmare, este utilizată pe scară largă în rândul întreprinderilor mici și al utilizatorilor casnici.

Vulnerabilități în WPA\WPA2

Cu toate avantajele sale, WPA\WPA2 nu este lipsit de vulnerabilități.
Să începem cu faptul că în 2006, criptarea TKIP în WPA a fost întreruptă. Exploatarea vă permite să citiți datele transmise de la punctul de acces la computerul client, precum și să transmiteți informații false către mașină client. Pentru a implementa acest atac, rețeaua trebuie să folosească QoS.
Prin urmare, nu recomand să utilizați WPA pentru a vă securiza rețeaua wireless. Desigur, este mai dificil de spart decât WEP, iar WPA te va proteja de un atac al școlarilor cu Aircrack, cu toate acestea, nu va rezista unui atac țintit asupra organizației tale. Pentru cea mai mare securitate, recomand folosirea WPA2
Cu toate acestea, WPA2 nu este lipsit de vulnerabilități. În 2008, a fost descoperită o vulnerabilitate care ar putea permite un atac de tip om-in-the-middle. Acesta a permis unui participant la rețea să intercepteze și să decripteze datele transmise între alți participanți la rețea folosind cheia lor tranzitorie în pereche. Prin urmare, atunci când lucrați la o astfel de rețea, este logic să utilizați fonduri suplimentare criptarea informațiilor transmise (PSKZI „Shipka” de exemplu) În același timp, rețineți că pentru a profita de această vulnerabilitate, un atacator trebuie să fie autorizat și conectat la rețea.
Cu toate acestea, aș dori să mă concentrez pe implementarea „acasă” a WPA-PSK. Simplifica schema de autorizare, blocajul din ea este cheia pre-partajată, deoarece introducerea acestei chei dă dispozitivului acces completîn rețea (dacă filtrarea MAC nu este activată).
Cheia în sine este stocată la punctul de acces. În funcție de modelul și firmware-ul dispozitivului, sunt implementate metode de protecție a acestuia. În unele cazuri, este suficient ca un atacator să obțină acces la panoul de control web și să obțină Cheia Pre-Partajată, care este stocată acolo în text clar. În unele cazuri, câmpul cu acesta este protejat ca un câmp de parolă, dar este totuși posibil să îl extragi dacă un atacator este capabil să elimine cipul de memorie de pe dispozitiv și să obțină acces la el la nivel scăzut. Prin urmare, acordați atenție securității fizice a echipamentului dumneavoastră wireless.
Și, în sfârșit, cea mai recentă vulnerabilitate este capacitatea de a intercepta pachete de strângere de mână, în care Cheia Pre-Partajată este transmisă atunci când un dispozitiv se conectează la rețea. Atâta timp cât cheia Pre-Partajată este criptată, atacatorului îi rămâne o singură opțiune - atac forta bruta pe pachetele de asociere capturate. Pe de o parte, acest lucru este irațional, dar merită să înțelegeți că pentru aceasta nu trebuie să fiți deloc aproape de punctul de acces și, pentru un astfel de atac de forță brută (sau dicționar), un atacator poate folosi resurse de calcul mari.
De asemenea, este de remarcat faptul că, pentru a intercepta o strângere de mână, un atacator nu trebuie să aștepte până când un nou dispozitiv este conectat la rețea. Pe unele adaptoare wireless, atunci când se utilizează drivere non-standard, este posibil să se trimită pachete de reasociere în rețea, care vor întrerupe conexiunile la rețea și vor iniția schimb nou cheile din rețeaua dintre clienți și punctul de acces. În acest caz, pentru a captura pachetele necesare, este necesar ca cel puțin un client să fie conectat la rețea. De asemenea, atacatorul trebuie să fie aproape de punctul de acces, astfel încât puterea adaptorului său (și astfel de adaptoare sunt de obicei cu sensibilitate scăzută și cu putere redusă și se supraîncălzi foarte mult în timpul funcționării) să fie suficientă pentru a TRIMITE pachete de reasociere (rețineți WEP, unde trebuia doar să „prindeți” o cantitate suficientă de trafic). În cele din urmă, un atac cu forță brută durează mult timp, dar utilizarea unui cluster de calcul face sarcina mult mai ușoară.

Concluzie

Acest articol a discutat cum funcționează mecanismul WPA\WPA2, precum și principalele sale vulnerabilități.
Prin urmare, pentru a proteja WPA\WPA2 acasă, utilizați parole lungi și complexe (nedicționare) și utilizați caractere speciale și, de preferință, cele care nu pot fi imprimate caractere ASCII. Cu toate acestea, merită să înțelegeți că, în acest caz, capacitatea de a conecta mulți dispozitive mobile va fi limitată dacă parola nu poate fi introdusă de pe acest dispozitiv.
La locul de muncă, utilizați întotdeauna WPA-Enterprise, mai ales dacă aveți deja o rețea Active Directory implementată. Acest lucru vă va proteja rețeaua de majoritatea atacurilor. Dar, de asemenea, nu uitați de alte mijloace de a vă proteja infrastructura.
Următorul articol din această serie va oferi un exemplu despre modul în care un atacator poate obține acces la o rețea WPA2-PSK folosind o parolă slabă și, de asemenea, poate dezactiva temporar rețeaua WPA printr-un atac Denial of Service.