###
  • Programi
  • Sigurnost
  • Vijesti
  • Zanimljiv
  • Savjet
  • Vijesti
  • Recenzije

    • Namjena Bluetootha, opći principi izgradnje Bluetooth mreže, Prijenos podataka Bluetoothom, protokoli. Struktura paketa, rad Bluetooth protokola. Sigurnosni problem u Bluetooth mrežama. Opća načela rada Bluetootha. Potražite dostupnu bežičnu vezu

    10.11.2019 Vijesti

    Ovaj članak posvećen je pitanju sigurnosti pri korištenju bežičnih WiFi mreža.

    Uvod - WiFi Ranjivosti

    Glavni razlog zašto su korisnički podaci ranjivi kada se ti podaci prenose preko WiFi mreža je taj što se razmjena odvija putem radiovalova. A to omogućuje presretanje poruka na bilo kojem mjestu gdje je WiFi signal fizički dostupan. Jednostavno rečeno, ako se signal pristupne točke može detektirati na udaljenosti od 50 metara, tada je moguće presretanje cjelokupnog mrežnog prometa te WiFi mreže u radijusu od 50 metara od pristupne točke. U susjednoj sobi, na drugom katu zgrade, na ulici.

    Zamislite ovu sliku. U uredu je lokalna mreža izgrađena putem WiFi-ja. Signal s pristupne točke ovog ureda hvata se izvan zgrade, na primjer na parkiralištu. Napadač izvan zgrade može dobiti pristup mreži ureda, odnosno neprimijećen od strane vlasnika ove mreže. WiFi mrežama se može pristupiti jednostavno i diskretno. Tehnički puno lakše od žičnih mreža.

    Da. Do danas su razvijena i implementirana sredstva za zaštitu WiFi mreža. Ova se zaštita temelji na kriptiranju cjelokupnog prometa između pristupne točke i krajnjeg uređaja koji je na nju spojen. Odnosno, napadač može presresti radio signal, ali za njega će to biti samo digitalno "smeće".

    Kako radi WiFi zaštita?

    Pristupna točka u svoju WiFi mrežu uključuje samo onaj uređaj koji šalje ispravnu zaporku (određenu u postavkama pristupne točke). U tom slučaju, lozinka se također šalje šifrirana, u obliku hasha. Hash je rezultat nepovratne enkripcije. Odnosno, podaci koji su hashirani ne mogu se dešifrirati. Ako napadač presretne hash lozinke, neće moći doći do lozinke.

    Ali kako pristupna točka zna je li lozinka ispravna ili ne? Što ako i ona primi hash, ali ga ne može dešifrirati? Jednostavno je - u postavkama pristupne točke lozinka je navedena u čistom obliku. Program za autorizaciju uzima praznu lozinku, stvara hash iz nje, a zatim uspoređuje ovaj hash s onom primljenom od klijenta. Ako se hashovi podudaraju, tada je lozinka klijenta ispravna. Ovdje se koristi druga značajka hasheva - oni su jedinstveni. Isti hash se ne može dobiti iz dva različita skupa podataka (lozinki). Ako se dva hash-a podudaraju, tada su oba stvorena iz istog skupa podataka.

    Usput. Zahvaljujući ovoj značajci, hashovi se koriste za kontrolu integriteta podataka. Ako se dva hash-a (stvorena tijekom određenog vremenskog razdoblja) podudaraju, tada izvorni podaci (tijekom tog vremenskog razdoblja) nisu promijenjeni.

    No, usprkos činjenici da je najmodernija metoda osiguranja WiFi mreže (WPA2) pouzdana, ova mreža može biti hakirana. Kako?

    Postoje dvije metode za pristup mreži zaštićenoj WPA2:

    1. Odabir lozinke pomoću baze lozinki (tzv. pretraživanje rječnika).
    2. Iskorištavanje ranjivosti u WPS funkciji.

    U prvom slučaju, napadač presreće hash zaporke za pristupnu točku. Hashevi se zatim uspoređuju s bazom podataka od tisuća ili milijuna riječi. Riječ se uzima iz rječnika, generira se hash za tu riječ i zatim se taj hash uspoređuje s hashom koji je presretnut. Ako se na pristupnoj točki koristi primitivna lozinka, onda je probijanje lozinke ove pristupne točke pitanje vremena. Na primjer, lozinka od 8 znamenki (8 znakova je minimalna duljina lozinke za WPA2) sastoji se od milijun kombinacija. Na moderno računalo Možete sortirati milijun vrijednosti u nekoliko dana ili čak sati.

    U drugom slučaju iskorištava se ranjivost u prvim verzijama WPS funkcije. Ova značajka omogućuje povezivanje uređaja koji nema lozinku, poput pisača, s pristupnom točkom. Kada koristite ovu značajku, uređaj i pristupna točka razmjenjuju digitalni kod i ako uređaj pošalje točan kod, pristupna točka autorizira klijenta. Postojala je ranjivost u ovoj funkciji - kod je imao 8 znamenki, ali samo četiri od njih su provjerene na jedinstvenost! Odnosno, da biste hakirali WPS, morate pretražiti sve vrijednosti koje daju 4 znamenke. Kao rezultat toga, hakiranje pristupne točke putem WPS-a može se izvesti u samo nekoliko sati, na bilo kojem najslabijem uređaju.

    Postavljanje sigurnosti WiFi mreže

    Sigurnost WiFi mreže određena je postavkama pristupne točke. Neke od ovih postavki izravno utječu na sigurnost mreže.

    Način pristupa WiFi mreži

    Pristupna točka može raditi u jednom od dva načina - otvorenom ili zaštićenom. Kada otvoreni pristup, bilo koji uređaj se može spojiti na pristupnu točku. U slučaju zaštićenog pristupa, povezan je samo uređaj koji odašilje ispravnu pristupnu lozinku.

    Postoje tri vrste (standarda) zaštite WiFi mreže:

    • WEP (privatnost ekvivalentna žičanoj mreži). Prvi standard zaštite. Danas zapravo ne pruža zaštitu, jer se vrlo lako može hakirati zbog slabosti zaštitnih mehanizama.
    • WPA (Wi-Fi zaštićeni pristup). Kronološki drugi standard zaštite. U vrijeme stvaranja i puštanja u rad pružao je učinkovitu zaštitu za WiFi mreže. Ali krajem 2000-ih pronađene su mogućnosti za hakiranje WPA zaštite kroz ranjivosti u sigurnosnim mehanizmima.
    • WPA2 (Wi-Fi zaštićeni pristup). Najnoviji standard zaštite. Pruža pouzdanu zaštitu kada se poštuju određena pravila. Do danas postoje samo dva poznata načina za probijanje WPA2 sigurnosti. Rječnička lozinka brute force i zaobilazno rješenje pomoću WPS usluge.

    Stoga, kako biste osigurali sigurnost svoje WiFi mreže, morate odabrati vrstu sigurnosti WPA2. Međutim, ne podržavaju ga svi klijentski uređaji. Na primjer, Windows XP SP2 podržava samo WPA.

    Uz odabir WPA2 standarda potrebni su dodatni uvjeti:

    Koristite AES metodu šifriranja.

    Lozinka za pristup WiFi mreži mora biti sastavljena na sljedeći način:

    1. Koristiti slova i brojke u zaporci. Slučajni skup slova i brojeva. Ili vrlo rijetka riječ ili izraz koji ima značenje samo vama.
    2. Ne koristite jednostavne lozinke kao što su ime + datum rođenja ili neka riječ + nekoliko brojeva, na primjer lena1991 ili dom12345.
    3. Ako trebate koristiti samo digitalnu lozinku, tada njezina duljina mora biti najmanje 10 znakova. Budući da se digitalna lozinka od osam znakova odabire metodama grube sile. stvarno vrijeme(od nekoliko sati do nekoliko dana, ovisno o snazi ​​računala).

    Ako koristite složene lozinke u skladu s ovim pravilima, vaša WiFi mreža ne može biti hakirana pogađanjem lozinke pomoću rječnika. Na primjer, za lozinku poput 5Fb9pE2a(slučajni alfanumerički), maksimalno moguće 218340105584896 kombinacije. Danas je to gotovo nemoguće odabrati. Čak i kad bi računalo uspoređivalo 1.000.000 (milijuna) riječi u sekundi, trebalo bi gotovo 7 godina za ponavljanje svih vrijednosti.

    WPS (Wi-Fi Protected Setup)

    Ako pristupna točka ima funkciju WPS (Wi-Fi Protected Setup), morate je onemogućiti. Ako je ova značajka potrebna, morate osigurati da je njezina verzija ažurirana na sljedeće mogućnosti:

    1. Korištenje svih 8 znakova PIN koda umjesto 4, kao što je bio slučaj u početku.
    2. Omogućite odgodu nakon nekoliko pokušaja slanja netočnog PIN koda od klijenta.

    Dodatna opcija za poboljšanje WPS sigurnosti je korištenje alfanumeričkog PIN koda.

    Javna WiFi sigurnost

    Danas je moderno koristiti internet putem WiFi mreže na javnim mjestima - u kafićima, restoranima, trgovačkim centrima itd. Važno je razumjeti da korištenje takvih mreža može dovesti do krađe vaših osobnih podataka. Ako pristupite Internetu putem takve mreže i zatim se prijavite na web mjesto, vaše podatke (korisničko ime i lozinku) može presresti druga osoba koja je spojena na istu WiFi mrežu. Uostalom, na bilo kojem uređaju koji je prošao autorizaciju i spojen je na pristupnu točku, možete presresti mrežni promet sa svih drugih uređaja na ovoj mreži. A posebnost javnih WiFi mreža je da se na njih može spojiti bilo tko, uključujući i napadača, a ne samo otvorena mreža, ali i zaštićenim.

    Što možete učiniti da zaštitite svoje podatke kada se povezujete na internet putem javne WiFi mreže? Postoji samo jedna opcija - koristiti HTTPS protokol. Ovaj protokol uspostavlja šifriranu vezu između klijenta (preglednika) i stranice. Ali ne podržavaju sve stranice HTTPS protokol. Adrese na stranicama koje podržavaju HTTPS protokol počinju prefiksom https://. Ako adrese na stranici imaju prefiks http://, to znači da stranica ne podržava HTTPS ili ga ne koristi.

    Neka mjesta ne koriste HTTPS prema zadanim postavkama, ali imaju ovaj protokol i mogu se koristiti ako izričito (ručno) navedete prefiks https://.

    Što se tiče ostalih slučajeva korištenja interneta - chatova, Skypea i sl., za zaštitu ovih podataka možete koristiti besplatne ili plaćene VPN poslužitelje. Odnosno, prvo se spojite na VPN poslužitelj, a tek onda koristite chat ili otvorite web mjesto.

    WiFi zaštita lozinkom

    U drugom i trećem dijelu ovog članka napisao sam da je kod korištenja sigurnosnog standarda WPA2 jedan od načina hakiranja WiFi mreže pogađanje lozinke pomoću rječnika. Ali postoji još jedna prilika da napadač dobije lozinku za vašu WiFi mrežu. Ako pohranite lozinku na ljepljivu ceduljicu zalijepljenu na monitor, stranci mogu vidjeti tu lozinku. A vaša lozinka može biti ukradena s računala spojenog na vašu WiFi mrežu. To može učiniti strana ako vaša računala nisu zaštićena od pristupa stranaca. To se može učiniti pomoću malware. Osim toga, lozinka se može ukrasti s uređaja koji se iznese izvan ureda (kuće, stana) – s pametnog telefona, tableta.

    Stoga, ako vam je potrebna pouzdana zaštita za vašu WiFi mrežu, trebate poduzeti korake za sigurno pohranjivanje svoje lozinke. Zaštitite ga od pristupa neovlaštenih osoba.

    Ako vam je ovaj članak bio koristan ili vam se jednostavno svidio, nemojte se ustručavati financijski podržati autora. To je lako učiniti bacanjem novca Yandex novčanik br. 410011416229354. Ili na telefonu +7 918-16-26-331 .

    Čak i mala količina može pomoći u pisanju novih članaka :)

    Sigurnosni problemi bežične mreže, opisani u nizu članaka, izazvali su nepovjerenje u bežične tehnologije. Koliko je to opravdano?

    Zašto se bežične mreže smatraju ranjivijima od kabelskih mreža? U žičane mreže podaci se mogu presresti samo ako napadač dobije fizički pristup prijenosnom mediju. U bežičnim mrežama signal putuje zračnim valovima, tako da svatko u dometu mreže može presresti signal.

    Napadač čak ne mora biti u prostorijama tvrtke, dovoljno je ući u zonu širenja radio signala.

    Prijetnje bežičnim mrežama

    Kada se pripremate zaštititi svoje bežične mreže, prvo morate razumjeti što bi ih moglo ugroziti.

    Pasivni napad

    Presretanje signala bežične mreže slično je slušanju radio prijenosa. Sve što trebate je prijenosno računalo (ili PDA) i analizator bežičnih protokola. Uobičajena je zabluda da se neovlaštena povezivanja na bežičnu mrežu izvan ureda mogu zaustaviti praćenjem izlazne snage signala. To nije istina, budući da napadač može lako prevladati korištenje bežične kartice visoke osjetljivosti i usmjerene antene ovu mjeru mjere predostrožnosti.

    Čak i nakon smanjenja vjerojatnosti neovlaštenog spajanja na mrežu, ne treba zanemariti mogućnost “osluškivanja” prometa, tj. siguran rad U bežičnim mrežama potrebno je šifrirati prenesene informacije.

    Aktivni napad

    Opasno je spajati nezaštićenu bežičnu mrežu na kabelsku mrežu. Nezaštićena pristupna točka povezana s lokalna mreža, predstavlja širom otvorena vrata za uljeze. Za tvrtke, to predstavlja opasnost da konkurenti dobiju pristup povjerljivim dokumentima. Nezaštićene bežične mreže dopuštaju hakerima da zaobiđu vatrozid i sigurnosne postavke koje štite mrežu od internetskih napada. U kućnim mrežama napadači mogu dobiti besplatan pristup Internetu nauštrb svojih susjeda.

    Nekontrolirane pristupne točke spojene na mrežu bez autorizacije treba nadzirati i identificirati. Takve točke, u pravilu, uspostavljaju sami zaposlenici poduzeća. (Na primjer, voditelj prodaje kupio je bežična točka pristup i koristi ga kako bi cijelo vrijeme ostao povezan.) Takvu točku napadač može posebno povezati s mrežom kako bi dobio pristup mreži tvrtke izvan ureda.

    Treba imati na umu da su i računala spojena na bežičnu mrežu i ona koja imaju bežična kartica sa zadanim postavkama (obično ne blokira prodor kroz bežičnu mrežu). Na primjer, dok korisnik čekajući svoj let pregledava internetske resurse putem Wi-Fi mreže postavljene u zračnoj luci, haker koji sjedi u blizini proučava informacije pohranjene na računalu mobilnog zaposlenika. Korisnici koji rade putem bežičnih mreža u kafićima, izložbenim centrima, hotelskim predvorjima itd. mogu biti izloženi sličnim napadima.

    Potražite dostupne bežične mreže

    Za aktivno traženje ranjivih bežičnih mreža (ratna vožnja) obično koristite automobil i set bežične opreme: malu antenu, bežičnu mrežnu karticu, prijenosno računalo i, eventualno, GPS prijemnik. Korištenjem široko korištenih programa za skeniranje kao što je Netstumbler, lako možete pronaći područja prijema bežične mreže.

    Ljubitelji War Drivinga imaju mnogo načina za dijeljenje informacija. Jedan od njih (War Chalking) uključuje crtanje simbola na dijagramima i kartama koji označavaju otkrivene bežične mreže. Ove oznake sadrže informacije o snazi ​​radio signala, prisutnosti jedne ili druge vrste mrežne zaštite i mogućnosti pristupa Internetu. Ljubitelji ovog “sporta” razmjenjuju informacije putem internetskih stranica, posebice “objavama”, detaljne karte s lokacijom otkrivenih mreža. Usput, korisno je provjeriti je li vaša adresa tamo.

    Uskraćivanje usluge

    Slobodan pristup internetu ili korporativnoj mreži nije uvijek cilj napadača. Ponekad cilj hakera može biti onemogućiti bežičnu mrežu.

    Napad uskraćivanjem usluge može se postići na nekoliko načina. Ako haker uspije uspostaviti vezu s bežičnom mrežom, njegove zlonamjerne radnje mogu uzrokovati niz ozbiljnih posljedica, poput slanja odgovora na zahtjeve Address Resolution Protocol (ARP) za promjenu ARP tablica mrežni uređaji kako bi se prekinulo mrežno usmjeravanje ili uvođenje neovlaštenog poslužitelja Dynamic Host Configuration Protocol (DHCP) za izdavanje neoperativnih adresa i mrežnih maski. Ako haker sazna pojedinosti o postavkama bežične mreže, može ponovno spojiti korisnike na svoju pristupnu točku (vidi sliku), a potonji će biti odsječeni od mrežnih resursa koji su bili dostupni preko "legitimne" pristupne točke.

    Predstavljamo neovlaštenu pristupnu točku.

    Napadač također može blokirati frekvencije koje koriste bežične mreže pomoću generatora signala (može se napraviti od dijelova mikrovalna pećnica). Kao rezultat toga, cijela bežična mreža ili njezin dio neće uspjeti.

    Sigurnosna razmatranja u standardima IEEE 802.11

    Izvorni standard 802.11 osigurava sigurnost bežičnih mreža korištenjem Wired Equivalent Privacy (WEP) standarda. Bežične mreže koje koriste WEP zahtijevaju statički WEP ključ za konfiguraciju na pristupnim točkama i svim stanicama. Ovaj ključ se može koristiti za autentifikaciju i šifriranje podataka. Ako je ugrožen (npr. ako se izgubi laptop), potrebno je promijeniti ključ na svim uređajima, što je ponekad vrlo teško. Kada koriste WEP ključeve za autentifikaciju, bežične stanice šalju odgovarajući zahtjev pristupnoj točki, primajući kao odgovor izazov jasnog teksta. Klijent je mora šifrirati pomoću vlastitog WEP ključa i vratiti je pristupnoj točki, koja će dekriptirati poruku pomoću vlastitog WEP ključa. Ako dekriptirana poruka odgovara izvorniku, to znači da klijent zna WEP ključ. Stoga se autentifikacija smatra uspješnom i klijentu se šalje odgovarajuća obavijest.

    Nakon uspješnog dovršetka autentifikacije i pridruživanja, bežični uređaj može koristiti WEP ključ za šifriranje prometa između uređaja i pristupne točke.

    Standard 802.11 definira druge mehanizme kontrole pristupa. Pristupna točka može koristiti hardversko filtriranje adresa (Media Access Control, MAC), odobravajući ili odbijajući pristup na temelju MAC adrese klijenta. Ova metoda otežava, ali ne sprječava spajanje neovlaštenih uređaja.

    Koliko je siguran WEP?

    Jedno od pravila kriptografije je da s obzirom na otvoreni tekst i njegovu šifriranu verziju, možete odrediti korištenu metodu šifriranja. To je osobito istinito kada se koriste slabi algoritmi šifriranja i simetrični ključevi, poput onih koje nudi WEP.

    Ovaj protokol koristi RC4 algoritam za šifriranje. Njegova slabost je da ako šifrirate poznati otvoreni tekst, izlaz će biti tok ključa koji je korišten za šifriranje podataka. Prema standardu 802.11, tok ključeva sastoji se od WEP ključa i 24-bitnog inicijalizacijskog vektora. Za svaki paket koristi se sljedeći vektor i šalje mu se otvorena forma zajedno s paketom tako da ga prijemna stanica može koristiti zajedno s WEP ključem za dekriptiranje paketa.

    Ako primite jedan tok ključa, tada možete dešifrirati bilo koji paket šifriran istim vektorom. Budući da se vektor mijenja za svaki paket, dešifriranje zahtijeva čekanje na sljedeći paket koji koristi isti vektor. Da biste mogli dešifrirati WEP, mora se sastaviti kompletan skup vektora i nizova ključeva. WEP alati za krekiranje rade na ovaj način.

    Možete dobiti otvoreni tekst i šifrirani tekst tijekom procesa provjere autentičnosti klijenta. Presretanjem prometa tijekom određenog vremenskog razdoblja možete prikupiti potrebnu količinu početnih podataka za izvođenje napada. Kako bi prikupili podatke potrebne za analizu, hakeri koriste mnoge druge metode, uključujući napade "ljudi u sredini".

    Prilikom odlučivanja o formatu okvira za bežične mreže, IEEE je predložio svoj vlastiti format pod nazivom protokol adrese podmreže (SNAP).

    Dva bajta koja slijede nakon MAC zaglavlja u 802.11 SNAP okviru uvijek su "AA AA". WEP šifrira sve bajtove nakon MAC zaglavlja, tako da prva dva šifrirana bajta uvijek znaju otvoreni tekst ("AA AA"). Ovaj put pruža mogućnost primanja fragmenata šifrirane i jasne poruke.

    Pomoćni programi za krekiranje WEP-a distribuiraju se besplatno na Internetu. Najpoznatiji od njih su AirSnort i WEPCrack. Da biste pomoću njih uspješno razbili WEP ključ, dovoljno je prikupiti od 100 tisuća do milijun paketa. Novi uslužni programi Aircrack i Weplab za razbijanje WEP ključeva implementiraju učinkovitiji algoritam koji zahtijeva znatno manje paketa. Zbog toga je WEP nepouzdan.

    Bežične tehnologije postaju sigurnije

    Danas mnoge tvrtke koriste praktične i sigurne bežične mreže. Standard 802.11i podigao je sigurnost na sasvim novu razinu.Radna grupa IEEE 802.11i čiji je zadatak bio kreirati novi bežični sigurnosni standard formirana je nakon proučavanja ranjivosti WEP protokola. Bilo je potrebno neko vrijeme za razvoj, tako da je većina proizvođača opreme, ne čekajući da novi standard bude objavljen, počela nuditi vlastite metode (vidi. ). Godine 2004. pojavio se novi standard, ali dobavljači opreme po inerciji nastavljaju koristiti stara rješenja.

    802.11i navodi korištenje naprednog standarda šifriranja (AES) umjesto WEP-a. AES se temelji na implementaciji Rendell algoritma, koji većina kriptoanalitičara prepoznaje kao jak. Ovaj je algoritam značajno poboljšanje u odnosu na svog slabašnog prethodnika RC4, koji se koristi u WEP-u: koristi ključeve od 128, 192 i 256 bita, umjesto 64 bita korištenih u izvornom standardu 802.11. Novi standard 802.11i također definira korištenje TKIP-a, CCMP-a i 802.1x/EAP-a.

    EAP-MD5 provjerava identitet korisnika provjerom lozinke. Pitanje korištenja enkripcije prometa prepušteno je administratoru mreže. Slabost EAP-MD5 je nedostatak obavezna uporaba enkripciju, tako da EAP-MD5 dopušta mogućnost napada "ljudi u sredini".

    Lagani EAP (LEAP) protokol, koji je stvorio Cisco, ne samo da omogućuje šifriranje podataka, već i rotaciju ključa. LEAP ne zahtijeva da klijent ima ključeve jer se oni šalju na siguran način nakon što je korisnik autentificiran. Korisnicima omogućuje jednostavno povezivanje s mrežom pomoću račun i lozinku.

    Rane implementacije LEAP-a pružale su samo jednosmjernu autentifikaciju korisnika. Cisco je kasnije dodao mogućnost međusobne provjere autentičnosti. Međutim, utvrđeno je da je LEAP protokol ranjiv na napade rječnikom. Joshua Wright, zaposlenik Američkog instituta za sistemsku administraciju, telekomunikacije i sigurnost (SANS), razvio je uslužni program ASLEAP koji izvodi sličan napad, nakon čega je Cisco preporučio korištenje jakih lozinki od najmanje osam znakova, uključujući posebne znakove, velika slova , mala slova i brojke. LEAP je siguran u onoj mjeri u kojoj je lozinka otporna na pokušaje pogađanja.

    Jaču implementaciju EAP-a, EAP-TLS, koja koristi unaprijed instalirane digitalne certifikate na klijentu i poslužitelju, razvio je Microsoft. Ova metoda omogućuje uzajamnu provjeru autentičnosti i ne oslanja se samo na korisničku lozinku, već također podržava rotaciju i dinamičku distribuciju ključeva. Nedostatak EAP-TLS-a je što zahtijeva instaliranje certifikata na svakom klijentu, što može biti dosta dugotrajno i skupo. Osim toga, ovu je metodu nepraktično koristiti u mreži u kojoj se zaposlenici često mijenjaju.

    Proizvođači bežičnih mreža promiču rješenja za pojednostavljenje procesa povezivanja ovlaštenih korisnika na bežične mreže. Ova ideja je posve izvediva ako omogućite LEAP i distribuirate korisnička imena i lozinke. Ali ako postoji potreba za korištenjem digitalni certifikat ili unos dugog WEP ključa, proces može postati zamoran.

    Microsoft, Cisco i RSA surađivali su na razvoju novog protokola, PEAP, koji kombinira jednostavnost korištenja LEAP-a sa sigurnošću EAP-TLS-a. PEAP koristi certifikat instaliran na poslužitelju i autentifikaciju lozinkom za klijente. Slično rješenje - EAP-TTLS - izdao je Funk Software.

    Podrška raznih proizvođača Različite vrste EAP, kao i nekoliko vrsta istovremeno. EAP postupak je sličan za sve vrste.

    Tipične EAP operacije

    Što je WPA

    Nakon što su bežične mreže proglašene nesigurnima, proizvođači su počeli implementirati vlastita sigurnosna rješenja. To je tvrtkama ostavilo izbor: koristiti rješenje jednog dobavljača ili čekati da se objavi standard 802.11i. Datum usvajanja standarda bio je nepoznat, pa je Wi-Fi Alliance osnovan 1999. godine. Njegov je cilj bio objediniti interakciju bežičnih mrežnih proizvoda.

    Wi-Fi Alliance odobrio je sigurni protokol bežični pristup(Wireless Protected Access, WPA), smatrajući ga privremenim rješenjem do izlaska standarda 802.11i. WPA protokol koristi TKIP i 802.1x/EAP standarde. Bilo koje Wi-Fi oprema Uređaj certificiran kao usklađen s WPA mora raditi zajedno s drugom certificiranom opremom. Dobavljači mogu koristiti vlastite sigurnosne mehanizme, ali uvijek moraju uključiti podršku za Wi-Fi standarde.

    Nakon početne najave parametara 802.11i, Wi-Fi Alliance stvorio je standard WPA2. Svaka oprema koja ima WPA2 certifikat u potpunosti je kompatibilna s 802.11i. Ako vaša poslovna bežična mreža ne podržava 802.11i, trebali biste prijeći na 802.11i što je prije moguće kako biste osigurali odgovarajuću sigurnost.

    Što je filtriranje MAC adresa?

    Ako WEP nije siguran, može li hardversko filtriranje adrese (Kontrola pristupa medijima (MAC)) zaštititi bežičnu mrežu? Nažalost, filtri MAC adresa dizajnirani su za sprječavanje neovlaštenih veza; oni su nemoćni protiv presretanja prometa.

    Filtriranje MAC adresa nema značajan utjecaj na sigurnost bežičnih mreža. Od napadača zahtijeva samo jedno dodatno djelovanje: Saznajte dopuštenu MAC adresu. (Usput, većina vozača mrežne kartice dopustiti vam da to promijenite.)

    Koliko je lako saznati dopuštenu MAC adresu? Da biste dobili ispravne MAC adrese, dovoljno je neko vrijeme pratiti bežični promet pomoću analizatora protokola. MAC adrese mogu se presresti čak i ako je promet šifriran jer se zaglavlje paketa koje uključuje adresu šalje čisto.

    TKIP protokol

    Temporal Key Integrity Protocol (TKIP) osmišljen je kako bi prevladao nedostatke WEP protokola. TKIP standard se poboljšava WEP sigurnost zahvaljujući rotaciji ključeva, korištenju dužih inicijalizacijskih vektora i provjerama integriteta podataka.

    Programi za krekiranje WEP-a iskorištavaju slabost statičkih ključeva: nakon presretanja potrebnog broja paketa, mogu lako dešifrirati promet. Redovito mijenjanje ključeva sprječava ovu vrstu napada. TKIP dinamički mijenja ključeve svakih 10 tisuća paketa. Kasnije implementacije protokola omogućuju promjenu intervala rotacije ključa i čak postavljanje algoritma za promjenu ključa šifriranja za svaki paket podataka (Per-Packet Keying, PPK).

    Ključ za šifriranje koji se koristi u TKIP-u postao je sigurniji od WEP ključeva. Sastoji se od 128-bitnog dinamičkog ključa, kojemu je dodana MAC adresa stanice i 48-bitnog inicijalizacijskog vektora (dvostruko duži od originalnog 802.11 vektora). Ova metoda je poznata kao "miješanje ključeva" i osigurava da bilo koje dvije postaje ne koriste isti ključ.

    Protokol također ima ugrađenu metodu za osiguranje integriteta podataka (Message Integrity Cheek, MIC, također nazvan Michael).

    Budući da bežične mreže koriste radio valove, kvaliteta mreže ovisi o mnogim čimbenicima. Najupečatljiviji primjer je interferencija radijskih signala, koja može značajno pogoršati performanse propusnost i broja podržanih korisnika, sve do potpune nemogućnosti korištenja mreže. Izvor smetnje može biti bilo koji uređaj koji emitira signal dovoljne snage u istom frekvencijskom rasponu kao pristupna točka: od susjednih pristupnih točaka u gusto naseljenom uredskom centru, do elektromotora u proizvodnji, Bluetooth slušalice pa čak i mikrovalne pećnice. S druge strane, napadači mogu koristiti smetnje za pokretanje DoS napada na mrežu.
    Stranci koji rade na istom kanalu kao i legitimne pristupne točke ne samo da dopuštaju pristup mreži, već i ometaju funkcionalnost "ispravne" bežične mreže. Osim toga, kako bi izvršili napade na krajnje korisnike i prodrli u mrežu korištenjem Man-In-The Middle napada, napadači često ometaju pristupne točke legitimne mreže, ostavljajući samo jednu - svoju pristupnu točku s istim nazivom mreže.
    Veza
    Osim smetnji, postoje i drugi aspekti koji utječu na kvalitetu komunikacije u bežičnim mrežama. Budući da je bežično okruženje medij sa zajednički pristup, svaki pogrešno konfigurirani klijent ili neispravna antena pristupne točke može stvoriti probleme i na fizičkoj i na razini veze, što dovodi do pogoršanja kvalitete usluge za druge klijente na mreži.

    Što uraditi?

    Ukratko, bežične mreže stvaraju nove klase rizika i prijetnji koje se ne mogu zaštititi korištenjem tradicionalnih žičanih sredstava. Čak i ako je Wi-Fi formalno zabranjen u organizaciji, to ne znači da netko od korisnika neće instalirati stranca i time sva ulaganja u sigurnost mreže svesti na nulu. Štoviše, zbog karakteristika bežična komunikacija, važno je kontrolirati ne samo sigurnost pristupne infrastrukture, već i nadzirati korisnike koji mogu postati meta napada napadača ili koji se jednostavno slučajno ili namjerno mogu prebaciti s korporativne mreže na nezaštićenu vezu.
    sigurnost Dodajte oznake

    Kako biste zaštitili svoje Wi-Fi mreža i postavite lozinku, morate odabrati vrstu sigurnosti bežične mreže i način šifriranja. I u ovoj fazi, mnogi ljudi imaju pitanje: koji odabrati? WEP, WPA ili WPA2? Osobni ili poslovni? AES ili TKIP? Koje će sigurnosne postavke najbolje zaštititi vašu Wi-Fi mrežu? Pokušat ću odgovoriti na sva ova pitanja u okviru ovog članka. Razmotrimo sve moguće metode provjere autentičnosti i šifriranja. Otkrijmo koje je sigurnosne parametre Wi-Fi mreže najbolje postaviti u postavkama usmjerivača.

    Imajte na umu da su vrsta sigurnosti, ili autentifikacija, mrežna autentifikacija, sigurnost, metoda autentifikacije sve iste stvari.

    Vrsta provjere autentičnosti i šifriranje glavne su sigurnosne postavke bežični wifi mreže. Mislim da prvo moramo shvatiti što su, koje verzije postoje, njihove mogućnosti itd. Nakon toga ćemo saznati koju vrstu zaštite i enkripcije odabrati. Pokazat ću vam na primjeru nekoliko popularnih usmjerivača.

    Toplo preporučujem postavljanje lozinke i zaštitu bežične mreže. Instalirati maksimalna razina zaštita. Ako ostavite mrežu otvorenom, bez zaštite, svatko se može spojiti na nju. Ovo je prije svega nesigurno. A također i dodatno opterećenje vašeg usmjerivača, pad brzine veze i sve vrste problema s povezivanjem različitih uređaja.

    Zaštita Wi-Fi mreže: WEP, WPA, WPA2

    Postoje tri mogućnosti zaštite. Naravno, ne računajući "Otvoreno" (Bez zaštite).

    • WEP(Wired Equivalent Privacy) je zastarjela i nesigurna metoda autentifikacije. Ovo je prvi i ne baš uspješan način zaštite. Napadači mogu lako pristupiti bežičnim mrežama koje su zaštićene pomoću WEP-a. Nema potrebe postavljati ovaj način rada u postavkama vašeg usmjerivača, iako je tamo prisutan (ne uvijek).
    • WPA(Wi-Fi Protected Access) je pouzdana i moderna vrsta sigurnosti. Maksimalna kompatibilnost sa svim uređajima i operativnim sustavima.
    • WPA2– nova, poboljšana i pouzdanija verzija WPA. Postoji podrška za AES CCMP enkripciju. Na ovaj trenutak, ovo Najbolji način Zaštita Wi-Fi mreže. Ovo je ono što preporučujem.

    WPA/WPA2 mogu biti dvije vrste:

    • WPA/WPA2 - osobno (PSK)- Ovo je uobičajena metoda provjere autentičnosti. Kada samo trebate postaviti lozinku (ključ) i zatim je koristiti za povezivanje s Wi-Fi mrežom. Za sve uređaje koristi se ista lozinka. Sama lozinka pohranjena je na uređajima. Gdje ga možete pogledati ili promijeniti ako je potrebno. Preporučljivo je koristiti ovu opciju.
    • WPA/WPA2 - Enterprise- složenija metoda koja se uglavnom koristi za zaštitu bežičnih mreža u uredima i raznim ustanovama. Omogućuje vam da pružite više visoka razina zaštita. Koristi se samo kada je instaliran RADIUS poslužitelj za autorizaciju uređaja (koji daje lozinke).

    Mislim da smo otkrili metodu autentifikacije. Najbolje je koristiti WPA2 - Personal (PSK). Za bolju kompatibilnost, kako ne bi bilo problema s povezivanjem starijih uređaja, možete postaviti WPA/WPA2 mješoviti način rada. Ovo je zadana postavka na mnogim usmjerivačima. Ili označeno kao "Preporučeno".

    Šifriranje bežične mreže

    Postoje dva načina TKIP I AES.

    Preporuča se koristiti AES. Ako na mreži imate starije uređaje koji ne podržavaju AES enkripciju (već samo TKIP) i bit će problema s njihovim spajanjem na bežičnu mrežu, tada postavite na "Auto". Tip TKIP enkripcija nije podržan u 802.11n načinu rada.

    U svakom slučaju, ako instalirate striktno WPA2 - Personal (preporučeno), tada će biti dostupna samo AES enkripcija.

    Koju zaštitu trebam instalirati na svoj Wi-Fi usmjerivač?

    Koristiti WPA2 - Osobno s AES enkripcijom. Do danas, ovo je najbolje i najviše siguran način. Ovako izgledaju sigurnosne postavke bežične mreže na ASUS usmjerivačima:

    A ovako izgledaju ove sigurnosne postavke na ruterima tvrtke TP-Link (sa starim firmwareom).

    Više detaljne upute za TP-Link možete pogledati.

    Upute za druge rutere:

    Ako ne znate gdje pronaći sve ove postavke na vašem usmjerivaču, napišite u komentarima, pokušat ću vam reći. Samo ne zaboravite navesti model.

    Budući da WPA2 - osobni (AES) stariji uređaji ( Wi-Fi adapteri, telefoni, tableti itd.) možda ga ne podržavaju, tada u slučaju problema s vezom postavite mješoviti način rada (Auto).

    Često primijetim da se nakon promjene lozinke ili drugih sigurnosnih postavki uređaji ne žele spojiti na mrežu. Računala mogu dobiti pogrešku "Mrežne postavke spremljene na ovom računalu ne zadovoljavaju zahtjeve ove mreže." Pokušajte izbrisati (zaboraviti) mrežu na uređaju i ponovno se povezati. Napisao sam kako to učiniti na Windows 7. Ali u sustavu Windows 10 trebate .

    Lozinka (ključ) WPA PSK

    Koju god vrstu sigurnosti i metode šifriranja odabrali, morate postaviti lozinku. Također poznat kao WPA ključ, bežična lozinka, sigurnosni ključ Wi-Fi mreže itd.

    Dužina lozinke je od 8 do 32 znaka. Možete koristiti slova latinične abecede i brojke. Također posebni znakovi: - @ $ # ! itd. Nema razmaka! Lozinka razlikuje velika i mala slova! To znači da su "z" i "Z" različiti znakovi.

    Ne preporučujem postavljanje jednostavnih lozinki. Bolje je stvoriti jaku lozinku koju nitko ne može pogoditi, čak i ako se jako trudi.

    Malo je vjerojatno da ćete se moći sjetiti tako složene lozinke. Bilo bi lijepo to negdje zapisati. Nije neuobičajeno da se lozinke za Wi-Fi jednostavno zaborave. U članku sam napisao što učiniti u takvim situacijama: .

    Ako vam je potrebna još veća sigurnost, možete koristiti vezanje MAC adrese. Istina, ne vidim potrebu za tim. WPA2 - Personal uparen sa AES i kompleksna lozinka je sasvim dovoljna.

    Kako štitite svoju Wi-Fi mrežu? Pišite u komentarima. Pa postavljajte pitanja :)