Criptare EAP. EAP (Extensible Authentication Protocol). Cum să alegeți tipul de criptare și să setați cheia WPA pe routerul WiFi

7 Protocolul EAP

Protocolul EAP (Extensible Authentication Protocol) este o extensie a protocolului PPP. Conține un mecanism standard pentru a accepta o serie de metode de autentificare, inclusiv token-uri, protocol Kerberos, chei publice și chei private S/Key. Acest mecanism este pe deplin acceptat atât de serverele dial-up Windows NT, cât și de clienții de rețea dial-up. Protocolul EAP este o componentă extrem de importantă a VPN-urilor securizate, oferind protecție împotriva atacurilor de putere, a ghicirii parolelor de dicționar și a încercărilor de ghicire a parolei.

Utilizarea EAP extinde capacitățile VPN bazate pe serverul de acces la distanță Windows NT Remote Access Service, permițând autentificarea folosind module terțe. Implementarea acestui protocol în mediul Windows NT a fost răspunsul Microsoft la numeroase solicitări din partea utilizatorilor care nu doresc să renunțe la caracteristicile obișnuite de securitate hardware.

EAP a fost propus de Grupul operativ de asistență tehnică pe internet ca o extensie a PPP. Conține mecanisme de autentificare suplimentare necesare pentru verificarea conexiunilor PPP. Sarcina principală a EAP este să conecteze în mod dinamic modulele de autentificare atât pe partea client, cât și pe partea serverului unei astfel de conexiuni. Acest protocol este foarte flexibil, oferind autentificare unică și variabilă. O implementare practică a EAP este inclusă în Microsoft Windows 2000.

7.1 Asigurarea securității la nivel de tranzacție

Un nivel foarte ridicat de securitate VPN este asigurat prin utilizarea cardurilor cu microprocesor și a jetoanelor de autentificare. Cardurile cu microprocesor sunt dispozitive în miniatură de dimensiunea unui card de credit, cu un procesor încorporat și o cantitate mică de RAM. Aceasta include de obicei informații de identificare a utilizatorului (cum ar fi certificatele de cheie publică), cheile de criptare și setările contului. Unele dintre cardurile cu microprocesor conțin și un algoritm de criptare, datorită căruia cheile cripto nu sunt niciodată transmise în exterior. În sistemele de securitate a accesului la distanță, cardurile cu microprocesor sunt rar folosite astăzi, deoarece doar câteva pachete de acest tip le suportă. Situația ar trebui să se schimbe odată cu apariția Windows 2000. Acest sistem de operare va permite utilizarea unor astfel de carduri pentru o mare varietate de tipuri de autentificare, inclusiv RAS, L2TP și PPTP.

Jetoanele de autentificare sunt produse de diverși producători, fiecare având propriul algoritm de operare. Dar toate acestea nu sunt altceva decât un generator hardware de parole. Unele jetoane sunt echipate cu un afișaj și o tastatură cu cristale lichide în miniatură, care amintesc de calculatoare în aparență. După ce utilizatorul introduce numărul de identificare digitală, pe ecranul de afișare apare un cod digital secret, care acționează ca o parolă. De obicei, codul secret este unic și nu se repetă niciodată chiar și pe un anumit dispozitiv. Tokenurile de autentificare sunt foarte utile pentru accesul dial-up (de exemplu, atunci când lucrați cu un serviciu de acces la distanță), precum și pentru autentificarea computerelor gazdă. Utilizarea în rețea a unor astfel de jetoane, de regulă, se bazează pe tehnologii client-server (sau construite conform altor scheme folosind parole) și, prin urmare, nu exclude interceptarea informațiilor secrete transmise.

Suport pentru jetoanele de autentificare, precum și certificatele de cheie publică de utilizator, vor fi furnizate de protocolul sintetic EAP-TLS (Extended Authentication Protocol-Transaction Layer Security). Acesta a fost deja înaintat Grupului operativ de tehnologie pentru internet ca proiect de specificație pentru o metodă de autentificare îmbunătățită folosind certificate de cheie publică. Când lucrează în schema EAP-TLS, clientul trimite un certificat de utilizator către serverul de acces la distanță și, în schimb, primește un certificat de server de la acesta. Primul dintre ele asigură autentificarea fiabilă a utilizatorului pe server, iar al doilea asigură că clientul a luat contact exact cu serverul de care are nevoie. Pentru a verifica autenticitatea datelor primite, ambii participanți la un astfel de schimb se bazează pe un lanț de autorități de certificare de încredere.

Certificatul de utilizator poate fi stocat direct pe PC-ul client de pe care se realizează accesul de la distanță, sau pe un card extern cu microprocesor. În ambele cazuri, certificatul poate fi utilizat numai după ce utilizatorul a fost identificat, ceea ce se realizează prin schimbul de anumite informații (număr de identificare, combinație de nume de utilizator și parolă etc.) între utilizator și PC-ul client. Această abordare respectă pe deplin principiul protecției software și hardware recomandat de majoritatea experților în domeniul securității comunicațiilor.

EAP-TLS este în esență o variantă a protocolului EAP implementat în Windows 2000. La fel ca MS-CHAP, este folosit pentru a obține o cheie cripto, care este folosită de protocolul MPPE pentru a cripta toate datele ulterioare.

7.2 Autentificare folosind serviciul RADIUS

RADIUS (Remote Authentication Dial-in User Service) este un server central cu o bază de date de autentificare și servește ca o completare a altor protocoale de autentificare de solicitare. Acest serviciu se bazează pe protocolul UDP, care acceptă protocoalele PPP, PAP și CHAP, precum și funcția de autentificare pentru sistemele Unix și o serie de alte mecanisme de autentificare. Pe lângă scopul său direct, serviciul RADIUS vă permite și să luați în considerare bugetul VPN.

La primirea unei cereri de conectare a utilizatorului de la serviciul de autentificare a rețelei NAS, serverul RADIUS compară datele primite cu informațiile din baza sa de date. Există, de asemenea, o stocare centrală a setărilor de conexiune pentru toți utilizatorii înregistrați. Dacă este necesar, serverul nu se limitează la un simplu răspuns la cerere (DA/NU), ci raportează la NAS o serie de informații referitoare la un anumit utilizator. În special, poate specifica durata cea mai lungă de sesiune, adresa IP statică alocată și informații pentru a apela înapoi utilizatorul.

Serviciul RADIUS poate accesa nu numai baza de date în sine pentru a procesa cereri de autentificare, ci o poate furniza și altor servere de baze de date. În special, poate fi utilizat de un server de conexiune la rețea deschisă partajată sau de un controler de domeniu principal. Acesta din urmă este adesea găzduit pe același computer cu serverul RADIUS, deși acest lucru nu este necesar. Printre altele, serverul RADIUS poate acționa ca un proxy client pentru un server RADIUS la distanță.

7.3 Contabilizarea bugetului VPN utilizând serviciul RADIUS

Serviciul RADIUS permite administrarea centralizată și bugetarea mai multor servere de tunel. Majoritatea serverelor RADIUS pot fi configurate să înregistreze cererile de autentificare într-un fișier special de acreditări. Specificațiile oferă un set de mesaje standard prin care serviciul NAS notifică serverul RADIUS să transmită contul de utilizator la începutul fiecărui apel, la sfârșitul acestuia, sau îl repetă în timpul sesiunii de comunicare la intervale specificate. Și dezvoltatorii terți oferă o serie de pachete de facturare și auditare care generează diverse documente analitice bazate pe conturile RADIUS.

7.4 Protocolul EAP și RADIUS

Pentru a partaja EAP cu un server RADIUS, trebuie să faceți ajustări atât la serviciul NAS, cât și la serviciul RADIUS. Într-o schemă de autentificare tradițională, aceste servicii produc o singură tranzacție constând dintr-o provocare și un răspuns. Cu toate acestea, cu autentificarea EAP, NAS nu poate colecta în mod independent informațiile despre client necesare pentru a se autentifica pe serverul RADIUS. Pentru a rezolva această problemă, administratorul de sistem poate configura NAS pentru a transmite ID-ul către client, incluzându-l în mesajul EAP. El va răspunde raportând numele de utilizator și informațiile despre domeniu către serviciul de autentificare în rețea. Serviciul NAS le include în cererea de pornire EAP și le transmite ca atare către serverul RADIUS. Restul procesului de autentificare continuă ca de obicei: serviciul RADIUS trimite mesaje EAP către client prin serviciul NAS și le răspunde până când autentificarea eșuează (sau eșuează).




Numele și parola lui și dă permisiunea de a accesa serverul de permisiuni, care, la rândul său, dă voie pentru a utiliza resursele de rețea necesare. Cu toate acestea, acest model nu răspunde la întrebarea privind fiabilitatea protecției informațiilor, deoarece, pe de o parte, utilizatorul nu își poate trimite parola către serverul de identificare prin rețea și, pe de altă parte, permisiunea de a accesa serviciile din rețea. ...



Protocolul VPN este un protocol de tunel punct la punct (PPTP). A fost dezvoltat de 3Com și Microsoft pentru a oferi acces securizat de la distanță la rețelele corporative prin Internet. PPTP utilizează standardele deschise TCP/IP existente și se bazează în mare măsură pe protocolul PPP punct la punct. În practică, RRR rămâne același...

Scopul procedurii de autentificare și acord de cheie (AKA) este de a efectua autentificarea reciprocă între terminalul utilizatorului și rețea și de a genera cheia funcției de securitate KSEAF (vezi Figura 7). Odată generată, cheia KSEAF poate fi folosită pentru a genera mai multe contexte de securitate, inclusiv. pentru acces 3GPP și non-3GPP.
Versiunea 15 3GPP definește două metode obligatorii pentru procedura de autentificare și acordul cheii - EPS-AKA" și 5G-AKA, care vor fi discutate mai jos.
Ambele metode apelează la o funcție de derivare (KDF), care, pe baza unui șir de caractere de control, realizează o conversie a cheii criptografice. Șirul de caractere de control poate include numele rețelei de oaspeți care deservește abonatul (Serving Network Name - SN-name). În special, numele SN este utilizat în calcul:
- tasta functie de securitate KSEAF;
- răspuns de autentificare (RES*, XRES*);
- cheile intermediare CK’ și IK’.
Numele SN este construit prin combinarea codului de serviciu ("5G") și a identificatorului rețelei invitate care autentifică utilizatorul (identificatorul de rețea sau SN Id). ID-ul SN este calculat pe baza codului de țară mobil (MCC) și a codului de rețea mobilă (MNC) - vezi Fig. 3.

Orez. 3 (identificatorul rețelei sau codul SN)

Utilizarea numelui rețelei de difuzare (SN-name) vă permite să legați fără ambiguitate rezultatele algoritmilor criptografici la o anumită rețea de oaspeți.

Inițierea și selectarea unei metode de autentificare

În conformitate cu politica de securitate a operatorului de transport, modulul funcțional SEAF poate iniția autentificarea terminalului utilizator (UE) ca parte a oricărei proceduri care implică stabilirea unei conexiuni de semnalizare cu UE, de exemplu, la înregistrarea în rețea (atașare) sau actualizarea zonei de urmărire (actualizarea zonei de urmărire). Pentru a „intra în aer”, UE trebuie să folosească fie identificatorul SUCI ascuns (în cazul înregistrării inițiale în rețea), fie 5G-GUTI (într-o situație diferită).
Pentru a autentifica terminalul utilizatorului, SEAF folosește un vector de autentificare creat anterior și încă neutilizat, sau trimite o solicitare „Authentication Initiation Request” (5G-AIR) către AUSF, setând SUCI ca identificator de utilizator (în cazul înregistrării inițiale în rețea). ), sau SUPI (la primirea de la un 5G-GUTI UE valid). Cererea de autentificare (5G-AIR), pe lângă ID-ul utilizatorului, trebuie să includă și tipul de acces (3GPP sau non-3GPP), precum și numele rețelei de deservire (SN-name).
În continuare, AUSF verifică legalitatea utilizării numelui rețelei de deservire (SN-name) și, dacă este verificată cu succes, traduce cererea primită într-un bloc de bază de date unificată (UDM), unde (dacă este necesar) modulul funcțional de extracție a identificatorului utilizatorului (SIDF) decriptează identificatorul de utilizator ascuns (SUCI) ), după care Depozitul de acreditări de autentificare (ARPF) selectează algoritmul de autentificare adecvat - 5G-AKA sau EAP-AKA."

Metoda de autentificare „EAP-AKA”

Metoda de autentificare EAP-AKA este o dezvoltare ulterioară a EAP-AKA și introduce o nouă funcție de derivare care asigură că cheile criptografice sunt legate de numele rețelei de acces Metoda EAP-AKA, descrisă în RFC 5448, este lansată de UDM/. ARPF atunci când primește o solicitare de la AUSF pentru autentificarea utilizatorului (Authentication Information Request – Auth Info-Req messages). În fig. Figura 4 este o diagramă care include pașii de mai jos.

Orez. 4 (EPS-AKA Metoda de autentificare)

1. Modulul de depozit și procesare a acreditărilor utilizatorului (UDM/ARPF) generează un vector de autentificare care include RAND, AUTN, XRES, CK, IK. Pentru a calcula vectorul de autentificare, sunt utilizate cinci funcții unidirecționale f1-f5, implementate pe baza cifrului bloc MILENAGE (în conformitate cu 3GPP TS 33.102 - vezi Fig. 5) cu bitul AMF setat la „1”. La calcularea f1-f5, se folosește un câmp de configurare a algoritmului de 128 de biți - OP (câmp de configurare a algoritmului variantă operator). OP vă permite să faceți o implementare unică (secretă) a algoritmului pentru fiecare operator. Valoarea OP (sau OPc calculată din OP și KI prin intermediul funcției de criptare bloc) trebuie să fie stocată în ARPF și pe USIM-ul utilizatorului.

Orez. 5 (vector de autentificare)

2. UDM/ARPF, prin funcția de derivare și folosind numele rețelei de deservire (SN-name), calculează valorile „legate” CK”, IK” și transmite vectorul (RAND, AUTN, XRES, CK" , IK") către serverul de autentificare (AUSF) de la care a fost primită cererea.
3. AUSF rulează funcția criptografică PRF a metodei EAP-AKA, descrisă în RFC5448. Parametrii de intrare ai funcției sunt cheile CK și IK, precum și numele rețelei de deservire (SN-name). funcția este următoarele câmpuri:
- K_encr – cheie (128 de biți) utilizată pentru criptarea atributelor individuale ale mesajelor EAP-AKA (în conformitate cu politica de securitate a operatorului de telecomunicații);
- K_aut – cheie (256 biți) utilizată pentru calcularea codurilor de control al integrității mesajelor EAP-AKA (MAC – Message Authentication Code);
- K_re – cheie (256 biți) folosită pentru reautentificare;
- MSK (Master Session Key) – cheie master (512 biți);
- EMSK (Extended Master Session Key) – cheie master extinsă (512 biți).
4. AUSF trimite o cerere EAP-Request/AKA"-Challenge către funcția de ancorare de securitate (SEAF), care este apoi transmisă în mod transparent către terminalul utilizatorului într-un mesaj NAS. EAP-Request/AKA"-Challenge conține următoarele atribute:
- AT_RAND (număr aleatoriu);
- AT_AUTN (jeton de autentificare);
- AT_KDF (identificatorul funcției de derivare utilizată, unde 1 – corespunde utilizării funcției de derivare implicite);
- AT_KDF_INPUT (numele rețelei de deservire – nume SN);
- AT_MAC (Codul de autentificare a mesajelor).

- calculează valorile XMAC, RES, CK" și IK";
- rulează funcția criptografică PRF a algoritmului EAP-AKA (similar cu funcția realizată de serverul de autentificare);
- verifică corectitudinea codului de control al integrității mesajului (atributul AT_MAC);
- verifică dacă bitul AMF al atributului AT_AUTN este setat la „1”;

- trimite un răspuns EAP-Response/AKA"-Challenge cu atributele AT_RES și AT_MAC către funcția de securitate ancoră (SEAF), care este apoi difuzată în mod transparent către serverul de autentificare (AUSF).
6. AUSF verifică codul de integritate a mesajului (atributul AT_MAC) și autentifică terminalul utilizator prin compararea valorilor RES și XRES primite de la UE și, respectiv, ARPF/UDM.
7. Dacă are succes, AUSF trimite un răspuns EAP-Success către UE prin funcția de ancorare de securitate (SEAF). Dacă politica de securitate a operatorului de telecomunicații necesită transmiterea EAP-Success în formă criptată - „indicații de rezultat protejat cu succes”, mai întâi se fac schimb de mesaje de notificare. De asemenea (dacă este necesar), printr-un apel la funcția SIDF, se realizează decriptarea identificatorului ascuns (SUCI) și extragerea 5G SUPI.
8. La pasul final, ARPF/UDM generează o cheie funcțională de autentificare KAUSF, care utilizează primii 256 de biți ai cheii master extinse (EMSK). Ulterior, pe baza KAUSF, cheile de criptare și control al integrității sunt calculate în conformitate cu ierarhia cheilor criptografice prezentată în Fig. 7.

Metoda de autentificare 5G-AKA este o dezvoltare ulterioară a EPS-AKA descrisă în recomandarea 3GPP TS 33.401 și utilizată pe rețelele 4G-LTE. Metoda 5G-AKA este lansată de UDM/ARPF atunci când primește o solicitare de autentificare a utilizatorului de la AUSF (Authentication Information Request - Auth Info-Req message). În fig. Figura 6 este o diagramă care include următorii pași.

Orez. 6 (Metoda de autentificare 5G-AKA)

1. Prin analogie cu algoritmul EAP-AKA, depozitul de acreditări utilizator și modulul de procesare (UDM/ARPF) bazat pe cifrul bloc MILENAGE generează un vector de autentificare care include RAND, AUTN, XRES, CK, IK (bitul AMF trebuie setat la unitate).
2. UDM/ARPF, folosind funcția de derivare și folosind numele rețelei de deservire (SN-name), calculează:
- valoarea legată a răspunsului așteptat XRES*,
- valoarea tastei funcționale de autentificare KAUSF,
generează vectorul „5G HE AV” (Home Environment Authentication Vector), care include RAND, AUTN, XRES*, KAUSF și îl trimite către serverul de autentificare (AUSF).
3. AUSF calculează:
- valoarea lui HXRES*, care este un hash trunchiat la 128 de biți din concatenarea răspunsului de autentificare așteptat XRES* și un număr aleator RAND: HXRES*  128 de biți mai mici de SHA-256;
- valoarea tastei funcționale de securitate KSEAF.
Apoi, AUSF generează un vector „5G AV” (5G Authentication Vector), incluzând RAND, AUTN, HXRES*, KSEAF și îl transmite către funcția de ancorare de securitate (SEAF) printr-un mesaj 5G-AIA (Răspuns la inițierea autentificării). În cazul în care cererea de autentificare (5G-AIR) conținea un identificator de utilizator ascuns (SUCI), AUSF, printr-un apel de funcție SIDF, obține 5G SUPI și îl adaugă la 5G-AIA.
4. SEAF monitorizează temporizatorul de viață al vectorului recepționat și trimite un mesaj Auth-Req către terminalul utilizatorului NAS cu parametrii RAND și AUTN activați.
5. Terminal utilizator:
- prin apelarea funcțiilor corespunzătoare ale modulului USIM, calculează valorile RES, AUTN, CK, IK;
- realizeaza autentificarea retelei prin compararea valorilor AUTN calculate si primite;
- calculează valorile cheilor KAUSF și KSEAF;
- calculează valoarea răspunsului de autentificare legată RES*;
- trimite un mesaj Auth-Resp care conține RES* către funcția de ancorare de securitate (SEAF).
6. SEAF calculează hash-ul HRES* (similar cu AUSF) și autentifică terminalul utilizatorului comparând HRES* și HXRES*.
7. După autentificarea cu succes, SEAF trimite un mesaj de confirmare 5G-AC (Confirmare autentificare) către AUSF, inclusiv: Valoarea răspunsului RES* primită de la UE. Acest pas este opțional și nu poate fi utilizat la înregistrarea unui utilizator într-o rețea de domiciliu.
8. AUSF verifică cronometrul de viață al vectorului de autentificare, compară valorile răspunsurilor calculate (XRES*) și primite (RES*) și apoi finalizează procedura de autentificare.
3GPP recomandă ca un singur vector să fie generat și utilizat pentru fiecare procedură de autentificare. Acest lucru va permite ca fiecare procedură de autentificare să fie finalizată cu un mesaj de confirmare.

Astăzi, mulți oameni au acasă un router Wi-Fi. La urma urmei, wireless este mult mai ușor să conectezi la internet un laptop, o tabletă și un smartphone, dintre care există mai mulți decât oameni în fiecare familie. Și acesta (routerul) este, în esență, poarta de acces către universul informațional. Citiți ușa din față. Și depinde de această ușă dacă un oaspete neinvitat va veni la tine fără permisiunea ta. Prin urmare, este foarte important să acordați atenție configurației corecte a routerului, astfel încât rețeaua dvs. wireless să nu fie vulnerabilă.

Nu cred că trebuie să vă reamintesc că ascunderea SSID-ului punctului de acces nu vă protejează. Restricționarea accesului prin adresa MAC nu este eficientă. Prin urmare, numai metode moderne de criptare și o parolă complexă.

De ce criptați? Cine are nevoie de mine? nu am nimic de ascuns

Nu este atât de înfricoșător dacă fură codul PIN de pe cardul tău de credit și retrag toți banii de pe acesta. Mai mult, dacă cineva navighează pe internet pe cheltuiala ta, cunoscând parola Wi-Fi. Și nu este atât de înfricoșător dacă îți publică fotografiile de la petreceri corporative în care arăți inestetic. Este mult mai ofensator când atacatorii intră în computerul tău și șterg fotografii cu cum ți-ai luat fiul de la maternitate, cum a făcut primii pași și a trecut în clasa întâi. Backup-urile sunt un subiect aparte, bineînțeles că trebuie făcute... Dar în timp, reputația îți poate fi restabilită, poți câștiga bani, dar fotografiile care îți sunt dragi nu mai sunt acolo. Cred că toată lumea are ceva ce nu vrea să piardă.
Routerul dvs. este un dispozitiv de frontieră între privat și public, așa că asigurați-vă că este complet protejat. În plus, nu este atât de dificil.

Tehnologii și algoritmi de criptare

Omit teoria. Nu contează cum funcționează, principalul lucru este să știi cum să-l folosești.
Tehnologii de securitate wireless dezvoltate în următoarea ordine cronologică: WEP, WPA, WPA2. Au evoluat și metodele de criptare RC4, TKIP, AES.
Cea mai bună în ceea ce privește securitatea astăzi este combinația WPA2-AES. Exact așa ar trebui să încercați să configurați Wi-Fi. Ar trebui să arate cam așa:

WPA2 este obligatoriu din 16 martie 2006. Dar uneori mai poți găsi echipamente care nu-l suportă. În special, dacă aveți Windows XP instalat pe computer fără al treilea pachet de servicii, atunci WPA2 nu va funcționa. Prin urmare, din motive de compatibilitate, pe routere găsiți opțiuni de configurare WPA2-PSK -> AES+TKIP și o altă menajerie.
Dar dacă flota dvs. de dispozitive este modernă, atunci este mai bine să utilizați WPA2 (WPA2-PSK) -> AES, ca opțiune cea mai sigură astăzi.

Care este diferența dintre WPA(WPA2) și WPA-PSK(WPA2-PSK)

Standardul WPA oferă Protocolul de autentificare extensibil (EAP) ca bază pentru mecanismul de autentificare a utilizatorului. O condiție indispensabilă pentru autentificare este prezentarea de către utilizator a unui certificat (altfel numit acreditiv) care confirmă dreptul său de acces la rețea. Pentru a obține acest drept, utilizatorul este verificat cu o bază de date specială de utilizatori înregistrați. Fără autentificare, utilizatorului i se va interzice utilizarea rețelei. Baza de utilizatori înregistrați și sistemul de verificare în rețelele mari se află de obicei pe un server special (cel mai adesea RADIUS).
Modul cheie pre-partajată simplificat (WPA-PSK, WPA2-PSK) vă permite să utilizați o singură parolă, care este stocată direct în router. Pe de o parte, totul este simplificat, nu este nevoie să creați și să mențineți o bază de utilizatori, pe de altă parte, toată lumea se conectează cu aceeași parolă.
Acasă, este mai indicat să folosiți WPA2-PSK, adică modul simplificat al standardului WPA. Securitatea Wi-Fi nu suferă de această simplificare.

Parola de acces Wi-Fi

Totul este simplu aici. Parola pentru punctul dvs. de acces wireless (router) trebuie să aibă mai mult de 8 caractere și să conțină litere cu majuscule, numere și semne de punctuație diferite. Și nu ar trebui să fie asociat cu tine în niciun fel. Aceasta înseamnă că datele de naștere, numele dumneavoastră, numerele de mașină, numerele de telefon etc. nu pot fi folosite ca parolă.
Deoarece este aproape imposibil să spargeți WPA2-AES frontal (au fost doar câteva cazuri simulate în condiții de laborator), principalele metode de spargere a WPA2 sunt atacul de dicționar și forța brută (căutarea secvențială a tuturor opțiunilor de parole). Prin urmare, cu cât parola este mai complexă, cu atât mai puține șanse au atacatorii.

... în URSS, dulapurile automate de depozitare au devenit larg răspândite în gările de cale ferată. Codul de blocare era o literă și trei cifre. Cu toate acestea, puțini oameni știu că prima versiune a dulapurilor de depozitare folosea 4 cifre ca o combinație de cod. Ce diferență ar părea? La urma urmei, numărul de combinații de coduri este același - 10.000 (zece mii). Dar, după cum a arătat practica (în special Departamentul de Investigații Criminale din Moscova), când unei persoane i s-a cerut să folosească o combinație de 4 cifre ca parolă pentru o celulă de depozitare, mulți oameni și-au folosit anul nașterii (pentru a nu uita ). Ceea ce atacatorii au folosit cu succes. La urma urmei, se cunoșteau primele două cifre din data nașterii majorității absolute a populației țării - 19. Tot ce rămâne este să se determine cu ochi vârsta aproximativă a persoanei de înregistrare a bagajelor și oricare dintre noi poate face asta cu o precizie de +/- 3 ani, iar restul pe care îl primim (mai precis, atacatorii) este mai puțin de 10 combinații pentru selectarea unui cod de acces la un dulap automat de stocare...

Cea mai populară parolă

Lenea și iresponsabilitatea umană își iau pragul. Iată o listă cu cele mai populare parole:

  1. 123456
  2. qwerty
  3. 111111
  4. 123123
  5. 1a2b3c
  6. Data nașterii
  7. Număr de telefon

Reguli de securitate la crearea unei parole

  1. Fiecare a lui. Adică, parola routerului nu ar trebui să se potrivească cu nicio altă parolă pe care o aveți. Din poștă, de exemplu. Faceți o regulă ca toate conturile să aibă propriile parole și toate să fie diferite.
  2. Folosiți parole puternice care nu pot fi ghicite. De exemplu: 2Rk7-kw8Q11vlOp0

Parola Wi-Fi are un avantaj imens. Nu trebuie să-ți amintești. Puteți să-l scrieți pe o bucată de hârtie și să o lipiți de partea de jos a routerului.

Zona Wi-Fi pentru oaspeți

Dacă routerul vă permite să organizați o zonă pentru oaspeți. Atunci asigurați-vă că o faceți. Protejându-l în mod natural cu WPA2 și o parolă puternică. Și acum, când prietenii vin la tine acasă și cer acces la internet, nu trebuie să le spui parola ta principală. În plus, zona de oaspeți din routere este izolată de rețeaua principală. Și orice problemă cu dispozitivele oaspeților dvs. nu va afecta rețeaua dvs. de acasă.

Tema securității rețelelor fără fir rămâne în continuare relevantă, deși metode de încredere (în acest moment, desigur) pentru protejarea acestor rețele există de ceva timp. Desigur, vorbim despre tehnologia WPA (Wi-Fi Protected Access).

Majoritatea echipamentelor Wi-Fi existente în prezent acceptă această tehnologie, dar, din păcate, încă întâlnim în laboratorul nostru echipamente care nu știu despre WPA. Acest lucru este mai mult decât ciudat - 2005 se termină, iar unii producători încă cred că tehnologia WEP va salva utilizatorii de rețele wireless de la scurgerea de informații. WEP a fost de mult învechit. Această tehnologie a fost înlocuită cu WPA, iar noul standard 802.11i este și el la orizont (unii producători îl prezintă ca WPA2).

Tehnologia WPA, concepută pentru a închide temporar (în așteptarea tranziției la 802.11i) golurile WEP, constă din mai multe componente:

  • Protocol 802.1x - protocol universal pentru autentificare, autorizare și contabilitate (AAA)
  • Protocolul EAP - Protocolul de autentificare extensibil
  • Protocol TKIP - Temporal Key Integrity Protocol, o altă opțiune de traducere - Temporal Key Integrity Protocol
  • MIC - verificarea integrității pachetului criptografic (Codul de integritate a mesajului)
  • Protocolul RADIUS

Protocolul TKIP este responsabil pentru criptarea datelor în WPA, care, deși folosește același algoritm de criptare - RC4 - ca și în WEP, dar spre deosebire de acesta din urmă, folosește chei dinamice (adică cheile se schimbă frecvent). Utilizează un vector de inițializare mai lung și utilizează o sumă de control criptografică (MIC) pentru a verifica integritatea pachetelor (acesta din urmă fiind o funcție a adreselor sursă și destinație și a câmpului de date).

Protocolul RADIUS este proiectat să funcționeze împreună cu un server de autentificare, care este de obicei un server RADIUS. În acest caz, punctele de acces fără fir funcționează în modul întreprindere.

Dacă nu există un server RADIUS în rețea, atunci rolul serverului de autentificare este îndeplinit de punctul de acces însuși - așa-numitul mod WPA-PSK (cheie pre-partajată, cheie partajată). În acest mod, o cheie comună este preînregistrată în setările tuturor punctelor de acces. De asemenea, este înregistrată pe dispozitivele wireless client. Această metodă de protecție este, de asemenea, destul de sigură (în raport cu WEP), dar este foarte incomod din punct de vedere al managementului. Cheia PSK trebuie să fie înregistrată pe toate dispozitivele fără fir; utilizatorii de dispozitive fără fir o pot vedea. Dacă trebuie să blocați accesul la o rețea pentru un client, va trebui să reînregistrați un nou PSK pe toate dispozitivele din rețea și așa mai departe. Cu alte cuvinte, modul WPA-PSK este potrivit pentru o rețea de acasă și poate un birou mic, dar nimic mai mult.

Această serie de articole va analiza modul în care funcționează WPA împreună cu un server RADIUS extern. Dar înainte de a ajunge la el, să ne uităm puțin mai atent la mecanismele WPA. Înainte de asta, să ne uităm la tehnologia WPA2.

Tehnologia WPA a fost o măsură temporară până când standardul 802.11i a intrat în uz. Unii producători, înainte de adoptarea oficială a acestui standard, au introdus tehnologia WPA2, care utilizează tehnologii de la 802.11i în diferite grade. Cum ar fi utilizarea protocolului CCMP (Modul de contor cu protocolul de cod de autentificare a mesajelor în lanț de blocuri de cifrat), în loc de TKIP, standardul avansat de criptare AES (Advanced Encryption Standard) este utilizat ca algoritm de criptare. Și protocolul 802.1x este încă folosit pentru gestionarea și distribuirea cheilor.

După cum sa menționat mai sus, protocolul 802.1x poate îndeplini mai multe funcții. În acest caz, ne interesează funcțiile de autentificare a utilizatorilor și distribuirea cheilor de criptare. De menționat că autentificarea are loc „la nivel de port” – adică până când utilizatorul este autentificat, acesta are voie să trimită/primiți pachete legate doar de procesul său de autentificare (acreditările) și nimic mai mult. Și numai după autentificarea cu succes, portul dispozitivului (fie că este un punct de acces sau un comutator inteligent) va fi deschis și utilizatorul va avea acces la resursele rețelei.

Funcțiile de autentificare sunt atribuite protocolului EAP, care în sine este doar un cadru pentru metodele de autentificare. Frumusețea protocolului este că este foarte simplu de implementat pe autentificator (punctul de acces), deoarece nu trebuie să cunoască caracteristici specifice ale diferitelor metode de autentificare. Autentificatorul servește doar ca o legătură de transmisie între client și serverul de autentificare. Există destul de multe metode de autentificare:

  • EAP-SIM, EAP-AKA - utilizat în rețelele mobile GSM
  • LEAP - metoda proprioretorie din sistemele Cisco
  • EAP-MD5 - cea mai simplă metodă, similară cu CHAP (nu robust)
  • EAP-MSCHAP V2 - metodă de autentificare bazată pe autentificarea/parola utilizatorului în rețelele MS
  • EAP-TLS - autentificare bazată pe certificate digitale
  • EAP-SecureID - metodă bazată pe parole unice

Fig. 1, structura cadrului EAP

În plus față de cele de mai sus, trebuie remarcate următoarele două metode, EAP-TTLS și EAP-PEAP. Spre deosebire de cele anterioare, aceste două metode creează mai întâi un tunel TLS între client și serverul de autentificare înainte de a autentifica direct utilizatorul. Și deja în interiorul acestui tunel se realizează autentificarea în sine, folosind fie EAP standard (MD5, TLS), fie metode vechi non-EAP (PAP, CHAP, MS-CHAP, MS-CHAP v2), acestea din urmă funcționând numai cu EAP- TTLS (PEAP utilizat numai împreună cu metodele EAP). Tunnelul prealabil îmbunătățește securitatea autentificării prin protejarea împotriva atacurilor de tip man-in-middle, a hackingului de sesiune sau a atacurilor de dicționar.

Figura 1 prezintă structura unui cadru EAP. Protocolul PPP a apărut acolo deoarece EAP a fost inițial planificat să fie utilizat peste tunelurile PPP. Dar, deoarece utilizarea acestui protocol numai pentru autentificare printr-o rețea locală este o redundanță inutilă, mesajele EAP sunt împachetate în pachete „EAP over LAN” (EAPOL), care sunt folosite pentru a face schimb de informații între client și autentificator (punct de acces).


Fig. 2, 802.1x în acțiune

Schema de autentificare constă din trei componente:

  • Supplicant - software care rulează pe o mașină client care încearcă să se conecteze la rețea
  • Autentificator - nod de acces, autentificare (punct de acces fără fir sau comutator cu fir care acceptă protocolul 802.1x)
  • Server de autentificare - server de autentificare (de obicei un server RADIUS)

Acum să ne uităm la procesul de autentificare în sine. Se compune din următoarele etape:

  1. Clientul poate trimite o cerere de autentificare (mesaj EAP-start) către punctul de acces
  2. Punctul de acces (Authenticator) răspunde trimițând clientului o cerere de identificare a clientului (EAP-request/identity message). Autentificatorul poate trimite o solicitare EAP pe cont propriu dacă vede că oricare dintre porturile sale a devenit activ.
  3. Clientul răspunde prin trimiterea unui pachet de răspuns EAP cu datele necesare, pe care punctul de acces (autentificatorul) le redirecționează către serverul Radius (serverul de autentificare).
  4. Serverul de autentificare trimite un pachet de provocare (o cerere de informații despre autenticitatea clientului) către autentificator (punctul de acces). Autentificatorul îl transmite clientului.
  5. În continuare, are loc procesul de identificare reciprocă a serverului și clientului. Numărul de etape de redirecționare a pachetelor înainte și înapoi variază în funcție de metoda EAP, dar pentru rețelele fără fir doar autentificare „puternică” cu autentificare reciprocă a clientului și serverului (EAP-TLS, EAP-TTLS, EAP-PEAP) și pre- criptarea canalului de comunicare este acceptabilă.
  6. În etapa următoare, serverul de autentificare, după ce a primit informațiile necesare de la client, permite (accepta) sau refuză (respinge) accesul, redirecționând acest mesaj către autentificator. Autentificatorul (punctul de acces) deschide portul pentru solicitant dacă se primește un răspuns pozitiv (Accept) de la serverul RADIUS.
  7. Portul se deschide, autentificatorul trimite clientului un mesaj de succes, iar clientul obține acces la rețea.
  8. După ce clientul este deconectat, portul de pe punctul de acces revine la starea „închis”.

Procesul descris este ilustrat în Fig. 3 (una dintre cele mai simple metode EAP este prezentată acolo):


Fig.3, procesul de autentificare

După cum se poate observa din figură, pachetele EAPOL sunt folosite pentru comunicarea între client (solicitant) și punctul de acces (autentificator). Protocolul RADIUS este utilizat pentru a face schimb de informații între autentificator (punct de acces) și serverul RADIUS (server de autentificare). Când se tranzitează informații între client și serverul de autentificare, pachetele EAP sunt reambalate dintr-un format în altul la autentificator.

O analiză detaliată a algoritmilor de criptare, precum și a metodelor de generare a cheilor de criptare a sesiunii, este probabil dincolo de scopul acestui material, așa că le voi lua în considerare doar pe scurt.

Autentificarea inițială se realizează pe baza datelor comune despre care atât clientul, cât și serverul de autentificare le cunosc (cum ar fi autentificare/parolă, certificat etc.) - în această etapă este generată Cheia principală. Folosind cheia principală, serverul de autentificare și clientul generează o cheie principală pentru perechi, care este transmisă autentificatorului de către serverul de autentificare. Și pe baza Pairwise Master Key, sunt generate toate celelalte chei dinamice, care închid traficul transmis. Trebuie remarcat faptul că Pairwise Master Key în sine este, de asemenea, supusă unei schimbări dinamice.

Acum să trecem de la teoria uscată la realitate și anume implementarea WPA în Windows XP. Suportul WPA normal (cu suport AES) a apărut doar începând cu pachetul de servicii Windows 2.


Fig.4

Marcat autentificare metode disponibile

  • MD5-Challenge este cel mai primitiv și mai slab, nu îl vom lua în considerare;
  • PEAP (Protected EAP) permite autentificarea bazată pe certificate sau login/parolă. Este interesant pentru noi în primul rând datorită capacității de a autentifica utilizatorul utilizând un login/parolă. În acest caz, nu trebuie să configuram o infrastructură cu cheie publică (PKI). Este suficient să conectați serverul RADIUS la orice bază de date (fișier obișnuit, mysql, ldap) cu utilizatori stocați și să autentificați utilizatorii care îl folosesc.
  • Smart Card sau alt certificat - EAP-TLS obișnuit. Necesită o PKI configurată, utilizează certificate pentru autentificarea clientului. Mai flexibil (desigur, după configurarea PKI) decât autentificarea de conectare/parolă. Este, de asemenea, singura modalitate de a obține o mulțime de utilizatori wireless care lucrează într-un domeniu Windows.

A doua parte a articolului va discuta despre configurarea clienților Windows (Windows XP SP2), serverului RADIUS (FreeRadius) și PKI bazat pe OpenSSL. Ultimele două componente rulează pe sistemul de operare Gentoo Linux.

Navigare

  • Partea întâi - Aspecte teoretice ale Protocolului WPA

Să ne uităm la mai multe metode de autentificare LAN fără fir, și anume: autentificare deschisă, PSK și EAP.

Deschideți autentificarea

În mod implicit, autentificarea dispozitivului fără fir nu este necesară. Toate dispozitivele au voie să stabilească conexiuni, indiferent de tipul sau de proprietate. Se numeste autentificare deschisă. Autentificarea deschisă ar trebui utilizată numai în rețelele publice wireless, cum ar fi școli și cafenele internet (restaurante). Poate fi folosit în rețele în care autentificarea se va realiza prin alte mijloace odată conectat la rețea.

Cheie pre-partajată (PSK)

Când utilizați modul PSK punctul de acces și clientul trebuie să utilizeze o cheie sau o parolă partajată. Punctul de acces trimite un șir de octeți aleatoriu către client. Clientul preia acest șir, îl criptează (sau îl amestecă) folosind cheia și îl trimite înapoi la punctul de acces. Punctul de acces primește șirul criptat și își folosește cheia pentru a-l decripta. Dacă șirul decriptat primit de la client se potrivește cu șirul original trimis clientului, atunci clientului i se dă permisiunea de a stabili o conexiune.

În acest caz, se realizează autentificarea unidirecțională, adică punctul de acces verifică detaliile nodului conectat. PSK nu implică verificarea nodului a identității punctului de acces și nici a identității utilizatorului care se conectează la nod.

Protocolul de autentificare extensibil (EAP)

EAP oferă autentificare reciprocă sau bidirecțională, precum și autentificarea utilizatorului. Dacă software-ul EAP este instalat pe partea clientului, clientul comunică cu un server de autentificare back-end, cum ar fi Serviciul de utilizator cu apelare la autentificare la distanță (RADIUS). Acest server back-end funcționează independent de punctul de acces și menține o bază de date cu utilizatorii autorizați să acceseze rețeaua. Când folosește EAP, utilizatorul, nu doar gazda, trebuie să furnizeze un nume de utilizator și o parolă, care sunt apoi verificate în baza de date a serverului RADIUS. Dacă acreditările furnizate sunt valide, utilizatorul este considerat autentificat.



Vă recomandăm alte articole
Cele mai bune programe pentru a vă defragmenta hard disk-ul pe Windows
Cele mai bune programe pentru a vă defragmenta hard disk-ul pe Windows
YouTube: cum să scrieți comentarii în
YouTube: cum să scrieți comentarii pe YouTube pentru un videoclip Cum să adăugați comentarii pe YouTube
Reparație telefon Meizu în aceeași zi Cele mai frecvente apeluri către centrul nostru de reparații Meizu
Reparație telefon Meizu în aceeași zi Cele mai frecvente apeluri către centrul nostru de reparații Meizu