###
  • Programok
  • Biztonság
  • hírek
  • Érdekes
  • Tippek
  • hírek
  • Vélemények

    • A Bluetooth célja, a Bluetooth hálózatok kiépítésének általános elvei, Adatátvitel Bluetoothban, protokollok. A csomag felépítése, a Bluetooth protokoll működése. Biztonsági probléma a Bluetooth hálózatokban. A Bluetooth működésének általános elvei. Keressen elérhető vezeték nélküli hálózatokat

    10.11.2019 hírek

    Ez a cikk a vezeték nélküli WiFi hálózatok használatakor fennálló biztonság kérdésére összpontosít.

    Bevezetés – WiFi biztonsági rések

    A felhasználói adatok sebezhetőségének fő oka, amikor ezeket az adatokat WiFi hálózaton keresztül továbbítják, az, hogy az adatcsere rádióhullámon keresztül történik. Ez pedig lehetővé teszi az üzenetek lehallgatását minden olyan helyen, ahol fizikailag elérhető a WiFi jel. Egyszerűen fogalmazva, ha a hozzáférési pont jele 50 méteres távolságból fogható, akkor ennek az összes hálózati forgalmának elfogása WiFi hálózatok a hozzáférési pont 50 méteres körzetében lehetséges. A szomszéd szobában, az épület másik emeletén, az utcán.

    Képzelj el egy ilyen képet. Az irodában a helyi hálózat WiFi-n keresztül épül ki. Az iroda hozzáférési pontjának jelét az épületen kívül veszik fel, például egy parkolóban. Az épületen kívüli behatoló hozzáférhet irodai hálózat, vagyis ennek a hálózatnak a tulajdonosai számára észrevehetetlenül. A WiFi hálózatok könnyen és diszkréten elérhetők. Technikailag sokkal könnyebb, mint a vezetékes hálózatok.

    Igen. A mai napig WiFi hálózatvédelmi eszközöket fejlesztettek ki és vezettek be. Az ilyen védelem a hozzáférési pont és a hozzá csatlakozó végeszköz közötti összes forgalom titkosításán alapul. Vagyis a támadó elfoghatja a rádiójelet, de számára ez csak digitális "szemét" lesz.

    Hogyan működik a WiFi biztonság?

    A hozzáférési pont csak azt az eszközt tartalmazza a WiFi hálózatába, amely a helyes (a hozzáférési pont beállításaiban megadott) jelszót küldi. Ebben az esetben a jelszót is titkosítva küldjük el, hash formájában. A hash visszafordíthatatlan titkosítás eredménye. Vagyis a hash-vé konvertált adatokat nem lehet visszafejteni. Ha egy támadó elfogja a jelszókivonatot, nem tudja megszerezni a jelszót.

    De honnan tudja a hozzáférési pont, hogy a jelszó helyes-e vagy sem? Ha ő is kap egy hash-t, de nem tudja visszafejteni? Egyszerű - a hozzáférési pont beállításaiban a jelszó tiszta formában van megadva. Az engedélyező program vesz egy tiszta jelszót, generál belőle egy hash-t, majd ezt összehasonlítja a klienstől kapott kivonattal. Ha a hash-ek egyeznek, akkor az ügyfél jelszava helyes. A hashek második jellemzője itt használatos – egyediek. Ugyanaz a hash nem szerezhető be két különböző adatkészletből (jelszóból). Ha két hash egyezik, akkor mindkettő ugyanabból az adatkészletből jön létre.

    Apropó. Ennek a funkciónak köszönhetően a hash-eket az adatok integritásának ellenőrzésére használják. Ha két (egy bizonyos időtartam alatt létrehozott) hash egyezik, akkor az eredeti adatok (ebben az időszakban) nem változtak.

    Annak ellenére azonban, hogy a WiFi hálózat (WPA2) biztonságossá tételének legmodernebb módja megbízható, ez a hálózat feltörhető. Hogyan?

    A WPA2 védett hálózathoz kétféleképpen lehet hozzáférni:

    1. Jelszókitalálás a jelszó adatbázis alapján (ún. szótári keresés).
    2. A WPS funkció biztonsági résének kihasználása.

    Az első esetben a támadó elfogja a jelszó kivonatát a hozzáférési ponthoz. Ezután egy hash összehasonlítást hajtanak végre egy több ezer vagy millió szót tartalmazó adatbázissal. A rendszer kivesz egy szót a szótárból, létrehoz egy hash-t ehhez a szóhoz, majd ezt a hash-t összehasonlítja az elfogott hash-sel. Ha primitív jelszót használnak a hozzáférési ponton, akkor a hozzáférési pont jelszavának feltörése idő kérdése. Például egy 8 számjegyű jelszó (8 karakter hosszú a WPA2 minimális jelszóhossza) egymillió kombinációból áll. A modern számítógép néhány nap vagy akár óra alatt egymillió értéket lehet számba venni.

    A második esetben a WPS funkció első verzióiban található biztonsági rést használják ki. Ez a funkció lehetővé teszi, hogy olyan eszközt csatlakoztasson a hozzáférési ponthoz, amelyet nem lehet jelszóval megadni, például nyomtatót. A funkció használatakor a készülék és a hozzáférési pont digitális kódot cserél, és ha a készülék helyes kódot küld, a hozzáférési pont engedélyezi a klienst. Ebben a funkcióban volt egy sebezhetőség - a kód 8 számjegyű volt, de az egyediséget csak négyen ellenőrizték! Vagyis a WPS feltöréséhez fel kell sorolnia az összes értéket, amely 4 számjegyet ad. Ennek eredményeként egy hozzáférési pont feltörése WPS-en keresztül néhány óra alatt elvégezhető bármely, a leggyengébb eszközön.

    A WiFi hálózati biztonság konfigurálása

    A WiFi hálózat biztonságát a hozzáférési pont beállításai határozzák meg. Ezen beállítások közül több közvetlenül befolyásolja a hálózat biztonságát.

    WiFi hozzáférési mód

    A hozzáférési pont két üzemmód egyikében működhet - nyitott vagy védett. Mikor nyílt hozzáférésű, bármely eszköz csatlakozhat a hotspothoz. Biztonságos hozzáférés esetén csak az a készülék csatlakozik, amelyik a helyes hozzáférési jelszót továbbítja.

    Három típus (szabvány) létezik a WiFi hálózatok védelmére:

    • WEP (Wired Equivalent Privacy). A legelső biztonsági szabvány. Ma valójában nem nyújt védelmet, mivel a védelmi mechanizmusok gyengesége miatt nagyon könnyen feltörik.
    • WPA (Wi-Fi védett hozzáférés). Kronológiailag a második védelmi szabvány. Létrehozásakor és üzembe helyezésekor hatékony védelmet nyújtott a WiFi hálózatoknak. A 2000-es évek végén azonban lehetőségeket találtak a WPA-védelem feltörésére a védelmi mechanizmusok sebezhetőségein keresztül.
    • WPA2 (Wi-Fi védett hozzáférés). A legújabb biztonsági szabvány. Megbízható védelmet nyújt bizonyos szabályok betartása mellett. A WPA2 biztonság feltörésének eddig csak két módja ismert. A szótári jelszó brute force és a megoldás a WPS szolgáltatáson keresztül.

    Így a WiFi hálózat biztonságának biztosítása érdekében ki kell választania a WPA2 biztonsági típust. Előfordulhat azonban, hogy nem minden klienseszköz támogatja ezt. Például a Windows XP SP2 csak a WPA-t támogatja.

    A WPA2 szabvány kiválasztásán kívül további feltételek szükségesek:

    Használja az AES titkosítási módszert.

    A WiFi hálózat eléréséhez szükséges jelszót a következőképpen kell összeállítani:

    1. Használat betűk és számok a jelszóban. Betűk és számok tetszőleges halmaza. Vagy egy nagyon ritka, csak számodra értelmes szó vagy kifejezés.
    2. Nem használjon egyszerű jelszavakat, például név + születési dátum, vagy néhány szó + néhány szám például lena1991 vagy dom12345.
    3. Ha csak numerikus jelszót kell használni, akkor annak legalább 10 karakter hosszúságúnak kell lennie. Mert egy nyolc karakterből álló numerikus jelszót nyers erővel választanak ki valós idő(több órától több napig, a számítógép teljesítményétől függően).

    Ha ezeknek a szabályoknak megfelelően összetett jelszavakat használ, akkor a WiFi hálózatot nem lehet feltörni szótári jelszókitalálással. Például egy jelszóhoz, mint pl 5Fb9pE2a(tetszőleges alfanumerikus), maximum lehetséges 218340105584896 kombinációk. Ma már szinte lehetetlen kiválasztani. Még akkor is, ha a számítógép másodpercenként 1 000 000 (millió) szót hasonlít össze, majdnem 7 évbe fog telni az összes érték iterációja.

    WPS (Wi-Fi Protected Setup)

    Ha a hozzáférési pont rendelkezik WPS (Wi-Fi Protected Setup) funkcióval, akkor azt le kell tiltani. Ha szükség van erre a funkcióra, győződjön meg arról, hogy a verziója frissítve van a következő szolgáltatásokkal:

    1. Mind a 8 PIN-kód karakter használata 4 helyett, ahogy az elején volt.
    2. Késleltetés engedélyezése többszöri próbálkozás után, hogy hibás PIN-kódot küldjön az ügyféltől.

    Egy további lehetőség a WPS biztonságának javítására az alfanumerikus PIN-kód használata.

    Nyilvános WiFi biztonság

    Manapság divatos az internet használata WiFi hálózaton keresztül nyilvános helyeken - kávézókban, éttermekben, bevásárlóközpontokban stb. Fontos megérteni, hogy az ilyen hálózatok használata az Ön személyes adatainak ellopásához vezethet. Ha egy ilyen hálózaton keresztül éri el az internetet, majd engedélyez egy webhelyet, akkor adatait (bejelentkezési név és jelszó) egy másik személy lehallgathatja, aki ugyanahhoz a WiFi hálózathoz csatlakozik. Valójában minden olyan eszközön, amely engedélyezett és csatlakozik egy hozzáférési ponthoz, elfoghatja a hálózat összes többi eszközétől érkező hálózati forgalmat. A nyilvános WiFi hálózatok sajátossága pedig az, hogy bárki csatlakozhat hozzá, beleértve a behatolót is, és nem csak nyílt, hanem biztonságos hálózatra is.

    Mit tehet adatai védelmében, amikor ezen keresztül csatlakozik az internethez? nyilvános wifi háló? Csak egy lehetőség van - a HTTPS protokoll használata. Ezen a protokollon belül titkosított kapcsolat jön létre a kliens (böngésző) és a webhely között. De nem minden webhely támogatja a HTTPS protokollt. A HTTPS protokollt támogató webhelyek címei https:// előtaggal kezdődnek. Ha az oldalon található címek http:// előtaggal rendelkeznek, ez azt jelenti, hogy a webhely nem támogatja a HTTPS-t, vagy nincs használatban.

    Egyes webhelyek alapértelmezés szerint nem használnak HTTPS-t, de rendelkeznek ezzel a protokollal, és akkor használhatók, ha kifejezetten (manuálisan) megadja a https:// előtagot.

    Ami az internet egyéb felhasználásait illeti – chat, skype stb., ezeknek az adatoknak a védelmére ingyenes vagy fizetős VPN szerverek használhatók. Vagyis először csatlakozzon a VPN-kiszolgálóhoz, és csak ezután használja a csevegést vagy a nyílt webhelyet.

    WiFi jelszavas védelem

    A cikk második és harmadik részében arról írtam, hogy a WPA2 biztonsági szabvány használata esetén a WiFi hálózat feltörésének egyik módja a jelszó kitalálása egy szótárból. De egy támadó számára van egy másik lehetőség, hogy megszerezze a jelszót a WiFi hálózathoz. Ha jelszavát a monitorra ragasztott matricán tartja, ez lehetővé teszi, hogy egy kívülálló is láthassa ezt a jelszót. Ezenkívül a jelszava ellopható a WiFi hálózathoz csatlakoztatott számítógépről. Ezt külső személy is megteheti, ha számítógépe nincs védve a kívülállók hozzáférésétől. Ezt a segítségével lehet megtenni rosszindulatú. Ezenkívül a jelszót olyan eszközről is el lehet lopni, amelyet az irodából (otthon, lakás) - okostelefonról, táblagépről - kivisznek.

    Ezért, ha megbízható védelemre van szüksége WiFi hálózata számára, intézkedéseket kell tennie a jelszó biztonságos tárolására. Védje az illetéktelen személyek hozzáférésétől.

    Ha hasznosnak találta ezt a cikket, vagy egyszerűen csak tetszett, akkor ne féljen – támogassa anyagilag a szerzőt. Ez könnyen megtehető pénzkidobással Yandex pénztárca 410011416229354. Vagy telefonon +7 918-16-26-331 .

    Már egy kis összeg is segíthet új cikkek írásában :)

    A számos cikkben leírt vezeték nélküli hálózat biztonsági problémái bizalmatlanságot váltottak ki vezeték nélküli technológiák. Mennyire indokolt?

    Miért tartják a vezeték nélküli hálózatokat sebezhetőbbnek, mint a kábelhálózatokat? NÁL NÉL vezetékes hálózatok az adatok csak akkor hallgathatók el, ha a támadó fizikailag hozzáfér az adathordozóhoz. A vezeték nélküli hálózatokban a jel a levegőben terjed, így a hálózat hatósugarán belül bárki elfoghatja a jelet.

    A támadónak nem is kell a cég területén tartózkodnia, elég bejutni a rádiójel terjedési zónába.

    Vezeték nélküli hálózatok veszélyei

    A vezeték nélküli hálózatok biztonságossá tételére való felkészülés során az első lépés annak meghatározása, hogy mi fenyegetheti őket.

    Passzív támadás

    A vezeték nélküli hálózati jelek elfogása hasonló a rádióadás hallgatásához. Elég egy laptop (vagy PDA) és egy vezeték nélküli protokollelemző. Gyakori tévhit, hogy az irodán kívüli vezeték nélküli hálózathoz való jogosulatlan csatlakozásokat a kimeneti jelerősség szabályozásával meg lehet állítani. Ez nem így van, mivel egy nagy érzékenységű vezeték nélküli kártya és egy irányított antenna támadó általi használata megkönnyíti a leküzdést. ezt az intézkedéstóvintézkedések.

    Még ha csökkenti is a hálózathoz való jogosulatlan csatlakozás valószínűségét, a forgalom „hallgatásának” lehetőségét nem szabad figyelmen kívül hagyni, így biztonságos munkavégzés vezeték nélküli hálózatokban szükséges a továbbított információ titkosítása.

    Aktív támadás

    Veszélyes a nem biztonságos vezeték nélküli hálózat vezetékes hálózathoz csatlakoztatása. Nem biztonságos hozzáférési pont csatlakozik a következőhöz helyi hálózat, tárva-nyitott ajtót jelent a behatolók számára. A vállalkozások számára ez azzal a ténnyel jár, hogy a versenytársak hozzáférhetnek bizalmas dokumentumokhoz. A nem biztonságos vezeték nélküli hálózatok lehetővé teszik a hackerek számára, hogy megkerüljék azokat a tűzfalakat és biztonsági beállításokat, amelyek megvédik a hálózatot az interneten keresztüli támadásoktól. Otthoni hálózatokon a támadók megkaphatják szabad hozzáférés az internetre a szomszédok rovására.

    Figyelemmel kell kísérnie és azonosítania kell a hálózathoz jogosulatlan módon csatlakoztatott csaló hozzáférési pontokat. Az ilyen pontokat általában a vállalkozás alkalmazottai határozzák meg. (Például egy értékesítési vezető vásárolt egy vezeték nélküli hozzáférési pontot, és folyamatosan kapcsolatban marad vele.) Egy ilyen hozzáférési pontot a támadó szándékosan csatlakoztathat a hálózathoz, hogy az irodán kívülről hozzáférjen a vállalati hálózathoz. .

    Emlékeztetni kell arra, hogy mind a vezeték nélküli hálózathoz csatlakozó számítógépek, mind azok, amelyek engedélyezték vezeték nélküli kártya alapértelmezett beállításokkal (általában nem blokkolja a vezeték nélküli hálózaton keresztüli behatolást). Például miközben a repülőjáratára váró felhasználó a repülőtéren kiépített Wi-Fi hálózaton keresztül internetezik, egy közelben ülő hacker egy mobil alkalmazott számítógépén tárolt információkat vizsgál. A kávézókban, kiállítási központokban, szállodai előcsarnokokban stb. vezeték nélküli hálózaton dolgozó felhasználók hasonló támadásoknak lehetnek kitéve.

    Keressen elérhető vezeték nélküli hálózatokat

    A sebezhető vezeték nélküli hálózatok aktív kereséséhez (War driveing) általában egy autót és egy vezeték nélküli eszközkészletet használnak: egy kis antennát, egy vezeték nélküli hálózati kártyát, egy laptopot és esetleg egy GPS-vevőt. A széles körben használt szkennerprogramok, például a Netstumbler segítségével könnyen megtalálhatja a vezeték nélküli hálózatok vételi területeit.

    A War Driving rajongóinak számos módja van az információk megosztására. Ezek egyike (War Chalking) szimbólumokat rajzol diagramokra és térképekre, amelyek jelzik az észlelt vezeték nélküli hálózatokat. Ezek a megjelölések információkat tartalmaznak a rádiójel nagyságáról, egy vagy másik típusú hálózati védelem meglétéről és az internethez való hozzáférés lehetőségéről. E "sport" rajongói internetes oldalakon keresztül cserélnek információkat, "postáznak", különösen, részletes térképeket az észlelt hálózatok helyével. Egyébként hasznos ellenőrizni, hogy ott van-e a címe.

    Szolgáltatás megtagadása

    Az internethez vagy a vállalati hálózathoz való ingyenes hozzáférés nem mindig a behatolók célja. Néha a hackerek feladata a vezeték nélküli hálózat letiltása.

    A szolgáltatásmegtagadási támadás többféleképpen is megvalósítható. Ha egy hackernek sikerül kapcsolatot létesítenie egy vezeték nélküli hálózattal, rosszindulatú cselekedetei számos ilyen súlyos következménnyel járhatnak: például válaszokat küldhet az Address Resolution Protocol (ARP) kérésére az ARP-táblázatok módosítására. hálózati eszközök a hálózati útválasztás megszakításához, vagy jogosulatlan DHCP (Dynamic Host Configuration Protocol) szerver bevezetéséhez, amely érvénytelen címeket és hálózati maszkokat ad ki. Ha egy hacker megtudja a vezeték nélküli hálózati beállítások részleteit, újra csatlakoztathatja a felhasználókat a hozzáférési pontjához (lásd az ábrát), és ez utóbbiak el lesznek választva azoktól a hálózati erőforrásoktól, amelyek a "legitim" hozzáférési ponton keresztül elérhetőek voltak.

    Rogue hozzáférési pont megvalósítása.

    A támadó a vezeték nélküli hálózatok által használt frekvenciákat is blokkolhatja egy jelgenerátor segítségével (amely mikrohullámú sütő alkatrészeiből készülhet). Ennek eredményeként a teljes vezeték nélküli hálózat vagy annak egy része meghibásodik.

    Biztonsági intézkedések az IEEE 802.11 szabványokban

    Az eredeti 802.11 szabvány a vezeték nélküli hálózatok biztonságát a Wired Equivalent Privacy (WEP) szabvány használatával biztosítja. A WEP-et használó vezeték nélküli hálózatok statikus WEP-kulcsot igényelnek a hozzáférési pontokon és az összes állomáson. Ez a kulcs hitelesítésre és adattitkosításra használható. Ha veszélybe kerül (például egy laptop elvesztése esetén), minden eszközön ki kell cserélni a kulcsot, ami néha nagyon nehéz. Ha WEP-kulcsokat használ a hitelesítéshez, a vezeték nélküli állomások megfelelő kihívást küldenek a hozzáférési pontnak, és válaszul egy titkosítatlan üzenetet (clear text challenge) kapnak. A kliensnek titkosítania kell azt a WEP-kulcsával, majd vissza kell küldenie a hozzáférési ponthoz, amely a saját WEP-kulcsával visszafejti az üzenetet. Ha a visszafejtett üzenet megegyezik az eredetivel, akkor ez azt jelenti, hogy a kliens ismeri a WEP-kulcsot. Ezért a hitelesítés sikeresnek minősül, és erről értesítést küld az ügyfélnek.

    A hitelesítés és társítás sikeres befejezése után vezeték nélküli eszköz WEP-kulcsot használhat az eszköz és a hozzáférési pont közötti forgalom titkosításához.

    A 802.11 szabvány egyéb hozzáférés-vezérlési mechanizmusokat is meghatároz. A hozzáférési pont használhat hardveres címszűrést (Media Access Control, MAC), hozzáférést biztosítva vagy megtagadva a kliens MAC-címe alapján. Ez a módszer megnehezíti, de nem akadályozza meg az illetéktelen eszközök csatlakoztatását.

    Mennyire biztonságos a WEP?

    A kriptográfia egyik szabálya azt mondja: a nyílt szöveg és annak titkosított változata alapján meghatározható az alkalmazott titkosítási módszer. Ez különösen igaz gyenge titkosítási algoritmusok és szimmetrikus kulcsok használatakor, mint például a WEP.

    Ez a protokoll az RC4 algoritmust használja a titkosításhoz. Gyengesége, hogy ha egy ismert egyszerű szöveget titkosít, akkor a kimenet az a kulcsfolyam lesz, amelyet az adatok titkosításához használtak. A 802.11 szabvány szerint a kulcsfolyam egy WEP-kulcsból és egy 24 bites inicializálási vektorból áll. Minden egyes csomaghoz a következő vektor kerül felhasználásra, amelyre elküldésre kerül nyitott forma a csomaggal együtt, hogy a fogadó állomás a WEP kulccsal együtt tudja használni a csomag visszafejtésére.

    Egy kulcsfolyam esetén bármely, ugyanazzal a vektorral titkosított csomag visszafejthető. Mivel a vektor minden csomagnál változik, a dekódolásnak meg kell várnia a következő csomagot ugyanazzal a vektorral. A WEP visszafejtéséhez vektorok és kulcsfolyamok teljes készletét kell összeállítani. A WEP feltörő eszközök ilyen módon működnek.

    Az egyszerű szöveget és a titkosított szöveget a kliens hitelesítési folyamat során kaphatja meg. A forgalom egy ideig történő elfogásával összegyűjtheti a támadás végrehajtásához szükséges mennyiségű kezdeti adatot. A hackerek számos más módszert is alkalmaznak az elemzéshez szükséges adatok összegyűjtésére, beleértve a „men in the middle” támadásokat is.

    Amikor a vezeték nélküli hálózatok keretformátumáról döntöttek, az IEEE azt javasolta saját formátum alhálózati címprotokoll (SNAP) néven.

    A 802.11 SNAP keretben a MAC fejlécet követő két bájt mindig "AA AA". A WEP a MAC fejlécet követő összes bájtot titkosítja, így az első két titkosított bájt mindig ismeri az egyszerű szöveget ("AA AA"). Ez az útvonal lehetőséget biztosít a titkosított és egyértelmű üzenet töredékeinek fogadására.

    A WEP feltörő segédprogramokat ingyenesen terjesztik az interneten. A leghíresebbek közülük az AirSnort és a WEPCrack. Egy WEP-kulcs sikeres feltöréséhez segítségükkel elegendő 100 ezertől 1 millió csomagig tárcsázni. Az új Aircrack és Weplab WEP kulcstörő eszközök hatékonyabb algoritmust valósítanak meg, amely lényegesen kevesebb csomagot igényel. Emiatt a WEP protokoll megbízhatatlan.

    A vezeték nélküli technológia egyre biztonságosabb

    Manapság sok vállalat használ kényelmes és biztonságos vezeték nélküli hálózatokat. A 802.11i szabvány teljesen új szintre emelte a biztonságot, a WEP protokoll sérülékenységének tanulmányozása után alakult meg az IEEE 802.11i munkacsoport, amelynek feladata egy új vezeték nélküli hálózati biztonsági szabvány létrehozása volt. A fejlesztés eltartott egy ideig, így a legtöbb berendezésgyártó anélkül, hogy megvárta volna egy új szabvány megjelenését, elkezdte saját módszereit kínálni (lásd. ). 2004-ben új szabvány jelent meg, azonban a berendezés-beszállítók tehetetlenségből továbbra is a régi megoldásokat használják.

    A 802.11i az Advanced Encryption Standard (AES) használatát határozza meg a WEP helyett. Az AES a Rendel-algoritmus megvalósításán alapul, amelyet a legtöbb kriptoanalitikus biztonságosnak ismer el. Ez az algoritmus jelentős előrelépés a gyenge elődjéhez képest, a WEP-ben használt RC4-hez képest: 128, 192 és 256 bites kulcsokat használ az eredeti 802.11 szabványban használt 64 bit helyett. új szabvány A 802.11i a TKIP, a CCMP és a 802.1x/EAP használatát is meghatározza.

    Az EAP-MD5 a jelszó ellenőrzésével hitelesíti a felhasználót. A forgalom titkosításának problémája a hálózati rendszergazda kegyén múlik. Az EAP-MD5 gyengesége a hiánya kötelező használat titkosítás, így az EAP-MD5 lehetővé teszi a férfi középen támadás lehetőségét.

    A Cisco által létrehozott Lightweight EAP (LEAP) protokoll nemcsak adattitkosítást, hanem kulcsforgatást is biztosít. A LEAP nem követeli meg az ügyféltől, hogy rendelkezzen kulcsokkal, mivel azok biztonságosan átvitelre kerülnek a felhasználó hitelesítése után. Ez lehetővé teszi a felhasználók számára, hogy könnyedén csatlakozzanak a hálózathoz fiókotés jelszót.

    A LEAP korai megvalósításai csak egyirányú felhasználói hitelesítést biztosítottak. A Cisco később hozzáadta a kölcsönös hitelesítés lehetőségét. Kiderült azonban, hogy a LEAP protokoll sebezhető a szótári támadásokkal szemben. Joshua Wright, az Amerikai Rendszeradminisztrációs, Távközlési és Biztonsági Intézet (SANS) alkalmazottja kifejlesztette az ASLEAP segédprogramot, amely ilyen támadást hajt végre, ami után a Cisco erős, legalább nyolc karakter hosszúságú jelszavak használatát javasolta, beleértve a speciális karaktereket is. nagybetűk, kisbetűk és számok. A LEAP csak annyira biztonságos, amennyire erős a jelszó a brutális erőszakkal szemben.

    Az EAP erősebb megvalósítását, az EAP-TLS-t, amely az ügyfélen és a szerveren előre telepített digitális tanúsítványokat használ, a Microsoft fejlesztette ki. Ez a módszer kölcsönös hitelesítést biztosít, és nemcsak a felhasználó jelszavára támaszkodik, hanem támogatja a rotációt és a dinamikus kulcselosztást is. Az EAP-TLS kellemetlensége, hogy minden kliensre tanúsítványt kell telepíteni, ami meglehetősen munkaigényes és költséges lehet. Ráadásul ez a módszer nem praktikus olyan hálózatban, ahol az alkalmazottak gyakran cserélődnek.

    A vezeték nélküli hálózatok gyártói olyan megoldásokat hirdetnek, amelyek leegyszerűsítik a jogosult felhasználók vezeték nélküli hálózatokhoz való csatlakoztatásának folyamatát. Ez az ötlet teljesen megvalósítható, ha engedélyezi a LEAP-ot, és kiosztja a felhasználóneveket és jelszavakat. De ha szükségessé válik a használata digitális tanúsítvány vagy hosszú WEP-kulcsot ír be, a folyamat unalmassá válhat.

    A Microsoft, a Cisco és az RSA közösen kifejlesztett egy új protokollt, a PEAP-et, amely egyesíti a LEAP egyszerű használatát az EAP-TLS biztonságával. A PEAP a kiszolgálóra telepített tanúsítványt és az ügyfelek jelszavas hitelesítését használja. Hasonló megoldást - EAP-TTLS - adott ki a Funk Software.

    Különféle gyártók támogatása különböző típusok EAP, valamint több típus is egyszerre. Az EAP folyamat minden típusnál hasonló.

    Tipikus EAP műveletek

    Mi az a WPA

    Miután a vezeték nélküli hálózatokat nem biztonságosnak nyilvánították, a gyártók elkezdték saját biztonsági megoldásaikat megvalósítani. Ez választási lehetőséget hagyott a cégeknek: ragaszkodnak egyetlen gyártó megoldásához, vagy várják meg a 802.11i szabvány megjelenését. A szabvány elfogadásának időpontja ismeretlen volt, ezért 1999-ben megalakult a Wi-Fi Alliance. Célja a vezeték nélküli hálózati termékek interakciójának egységesítése volt.

    A Wi-Fi Alliance jóváhagyta a biztonságos protokollt vezeték nélküli hozzáférés(Wireless Protected Access, WPA), ideiglenes megoldásnak tekintve a 802.11i szabvány megjelenéséig. A WPA protokoll a TKIP és a 802.1x/EAP szabványokat használja. Bármi WiFi berendezés, amely WPA-kompatibilis, más tanúsítvánnyal rendelkező berendezéssel együtt kell működnie. A szállítók használhatják saját biztonsági mechanizmusaikat, de minden esetben támogatniuk kell a Wi-Fi szabványokat.

    A 802.11i paraméterek kezdeti bejelentése után a Wi-Fi Alliance létrehozta a WPA2 szabványt. Minden WPA2-tanúsítvánnyal rendelkező berendezés teljes mértékben 802.11i-kompatibilis. Ha vállalati vezeték nélküli hálózata nem támogatja a 802.11i szabványt, a megfelelő biztonság érdekében a lehető leghamarabb frissítse a 802.11i szabványt.

    Mi az a MAC-cím szűrés?

    Ha a WEP nem biztonságos, a hardveres címszűrés (Media Access Control, MAC) megvédheti a vezeték nélküli hálózatot? Sajnos a MAC-címszűrőket úgy tervezték, hogy megakadályozzák az illetéktelen kapcsolatokat; tehetetlenek a forgalom lehallgatásával szemben.

    A MAC-cím szűrése nem befolyásolja jelentősen a vezeték nélküli hálózatok biztonságát. Csak egy további műveletet igényel a támadótól: meg kell találnia az engedélyezett MAC-címet. (Mellesleg a legtöbb sofőr hálózati kártyák lehetővé teszi a változtatást.)

    Mennyire egyszerű kideríteni az engedélyezett MAC-címet? A működő MAC-címek megszerzéséhez elegendő a vezeték nélküli forgalmat egy ideig egy protokollelemző segítségével figyelni. A MAC-címeket titkosított forgalom esetén is el lehet fogni, mert az ilyen címet tartalmazó csomag fejléce tisztán kerül továbbításra.

    TKIP protokoll

    A Temporal Key Integrity Protocol (TKIP) célja a WEP gyengeségeinek kiküszöbölése. A TKIP szabvány javul WEP biztonság a kulcsforgatásnak, a hosszabb inicializálási vektorok használatának és az adatok integritásának ellenőrzésének köszönhetően.

    A WEP feltörő programok kihasználják a statikus kulcsok gyengeségét: a szükséges számú csomag rögzítése után megkönnyítik a forgalom visszafejtését. A rendszeres újrakulcsolás megakadályozza az ilyen típusú támadásokat. A TKIP dinamikusan cseréli a kulcsokat 10 000 csomagonként. A protokoll későbbi implementációi lehetővé teszik a kulcsforgatási intervallum megváltoztatását, és még a titkosítási kulcscsere algoritmusának beállítását is minden egyes adatcsomaghoz (Per-Packet Keying, PPK).

    A TKIP-ben használt titkosítási kulcs biztonságosabbá vált, mint a WEP-kulcsok. Ez egy 128 bites dinamikus kulcsból áll, amelyhez hozzáadódik az állomás MAC-címe, és egy 48 bites inicializálási vektorból (kétszer olyan hosszú, mint az eredeti 802.11 vektor). Ezt a módszert "billentyűkeverésnek" nevezik, és biztosítja, hogy két állomás ne használja ugyanazt a billentyűt.

    A protokoll egy beépített módszerrel is rendelkezik a garantált adatintegritás érdekében (Message Integrity Cheek, MIC, más néven Michael).

    Mivel a vezeték nélküli hálózatok rádióhullámokat használnak, a hálózat minősége számos tényezőtől függ. A legszembetűnőbb példa a rádiójelek zavarása, amely jelentősen ronthatja a támogatott felhasználók teljesítményét és számát, egészen a hálózat használatának teljes ellehetetlenüléséig. Az interferencia forrása lehet minden olyan eszköz, amely a hozzáférési ponttal azonos frekvenciatartományban megfelelő teljesítményű jelet bocsát ki: a sűrűn lakott irodaközpont szomszédos hozzáférési pontjaitól a gyártásban lévő villanymotorokig, Bluetooth szabványú fejhallgatóés még a mikrohullámú sütőt is. Másrészt a támadók interferenciával DoS támadást szervezhetnek a hálózaton.
    A legitim hozzáférési pontokkal azonos csatornán működő behatolók nemcsak a hálózathoz való hozzáférést nyitják meg, hanem a „helyes” vezeték nélküli hálózat működését is megzavarják. Ezenkívül a végfelhasználók elleni támadások végrehajtása és a hálózatba való Man-In-The Middle támadás segítségével történő behatolás érdekében a támadók gyakran elfojtják egy legitim hálózat hozzáférési pontjait, és csak egyet hagynak hátra – a hozzáférési pontjukat azonos hálózati névvel.
    Kapcsolat
    Az interferencia mellett más szempontok is befolyásolják a kommunikáció minőségét a vezeték nélküli hálózatokban. Mivel a vezeték nélküli környezet olyan környezet nyilvános hozzáférés, minden rosszul konfigurált kliens vagy egy meghibásodott hozzáférési pont antenna problémákat okozhat mind fizikai, mind adatkapcsolati szinten, ami a szolgáltatás minőségének romlásához vezethet más hálózati kliensek számára.

    Mit kell tenni?

    Ennek eredményeként a vezeték nélküli hálózatok olyan új kockázati osztályokat és fenyegetéseket jelentenek, amelyek ellen hagyományos vezetékes eszközökkel nem lehet megvédeni. Még ha a Wi-Fi formálisan is tiltott egy szervezetben, ez nem jelenti azt, hogy az egyik felhasználó nem telepít egy idegent, és ezáltal nullára csökkenti a hálózat biztonságába fordított összes befektetést. Ráadásul a jellemzők miatt vezeték nélküli kommunikáció, fontos, hogy ne csak a hozzáférési infrastruktúra biztonságát ellenőrizzük, hanem azokat a felhasználókat is figyeljük, akik támadói támadások célpontjává válhatnak, vagy egyszerűen véletlenül vagy szándékosan váltanak át a vállalati hálózatról egy nem biztonságos kapcsolatra.
    biztonság Címkék hozzáadása

    Hogy megvédje a sajátját wifi hálózatés állítson be egy jelszót, ügyeljen arra, hogy válassza ki a vezeték nélküli biztonsági típust és a titkosítási módot. És ebben a szakaszban sokakban felmerül a kérdés: melyiket válasszák? WEP, WPA vagy WPA2? Személyes vagy Vállalati? AES vagy TKIP? Milyen biztonsági beállítások védik legjobban Wi-Fi hálózatát? Ezekre a kérdésekre igyekszem válaszolni ebben a cikkben. Fontolja meg az összes lehetséges hitelesítési és titkosítási módszert. Nézzük meg, mely Wi-Fi hálózat biztonsági beállításai a legjobbak az útválasztó beállításainál.

    Vegye figyelembe, hogy a biztonság vagy a hitelesítés típusa, a hálózati hitelesítés, a biztonság és a hitelesítési mód ugyanaz.

    A hitelesítés típusa és a titkosítás a fő biztonsági beállítások vezeték nélküli wifi hálózatok. Szerintem először azt kell kitalálni, hogy mik ezek, milyen verziók vannak, milyen képességeik vannak, stb. Ezek után már megtudjuk, milyen típusú védelmet és titkosítást válasszunk. Megmutatom néhány népszerű router példáján.

    Erősen javaslom a jelszó beállítását és a vezeték nélküli hálózat védelmét. Telepítés maximális szint védelem. Ha a hálózatot nyitva, védelem nélkül hagyja, akkor bárki csatlakozhat hozzá. Először is nem biztonságos. Valamint az útválasztó extra terhelése, a kapcsolat sebességének csökkenése és mindenféle probléma a különböző eszközök csatlakoztatásával.

    Wi-Fi hálózat biztonsága: WEP, WPA, WPA2

    Három védelmi lehetőség van. Természetesen nem számítva a "Nyitott"-t (nincs védelem).

    • WEP(Wired Equivalent Privacy) egy elavult és nem biztonságos hitelesítési módszer. Ez az első és nem túl sikeres védekezési módszer. A támadók könnyen hozzáférhetnek a WEP-pel védett vezeték nélküli hálózatokhoz. Ezt a módot nem kell beállítania az útválasztó beállításaiban, bár ott van (nem mindig).
    • WPA(Wi-Fi Protected Access) egy megbízható és modern típusú biztonság. Maximális kompatibilitás minden eszközzel és operációs rendszerrel.
    • WPA2 a WPA új, továbbfejlesztett és megbízhatóbb verziója. Támogatja az AES CCMP titkosítást. A Ebben a pillanatban, ez A legjobb mód Wi-Fi hálózat védelem. Ennek használatát javaslom.

    A WPA/WPA2 kétféle lehet:

    • WPA/WPA2 – Személyes (PSK) a normál hitelesítési módszer. Amikor csak jelszót (kulcsot) kell beállítania, majd azt használja a Wi-Fi hálózathoz való csatlakozáshoz. Minden eszközhöz egy jelszó tartozik. Maga a jelszó az eszközökön tárolódik. Ahol megtekinthető, szükség esetén módosítható. Javasoljuk ennek az opciónak a használata.
    • WPA/WPA2-Enterprise- bonyolultabb módszer, amelyet elsősorban az irodákban és különböző intézményekben lévő vezeték nélküli hálózatok védelmére alkalmaznak. Többet tesz lehetővé magas szint védelem. Csak akkor használatos, ha egy RADIUS-kiszolgáló telepítve van az eszköz hitelesítésére (ami jelszavakat ad ki).

    Azt hiszem, rájöttünk a hitelesítési módszerre. A legjobb a WPA2 - Personal (PSK) használata. A jobb kompatibilitás érdekében, hogy ne legyen probléma a régebbi eszközök csatlakoztatásával, beállíthatja a WPA/WPA2 vegyes módot. Sok útválasztónál ez a módszer alapértelmezés szerint be van állítva. Vagy „Ajánlott” megjelöléssel.

    Vezeték nélküli titkosítás

    Két módja van TKIPés AES.

    Az AES ajánlott. Ha régi eszközei vannak a hálózaton, amelyek nem támogatják az AES-titkosítást (de csak a TKIP-t), és problémái lesznek a vezeték nélküli hálózathoz való csatlakozással, állítsa be az "Automatikus" beállítást. A TKIP titkosítási típus nem támogatott 802.11n módban.

    Mindenesetre, ha szigorúan WPA2 - Personal (ajánlott) telepíti, akkor csak az AES titkosítás lesz elérhető.

    Milyen védelmet kell helyezni a Wi-Fi routerre?

    Használat WPA2 – Személyes AES titkosítás . A mai napig ez a legjobb és legtöbb biztonságos út. Így néznek ki a vezeték nélküli biztonsági beállítások az ASUS útválasztókon:

    És így néznek ki ezek a biztonsági beállítások a TP-Link útválasztóin (régi firmware-rel).

    Több részletes utasításokat a TP-Link esetében láthatja.

    Utasítások más útválasztókhoz:

    Ha nem tudja, hol találja meg ezeket a beállításokat az útválasztón, akkor írja meg a megjegyzésekben, megpróbálom javasolni. Csak ne felejtse el megadni a modellt.

    Mivel a WPA2 – Personal (AES) régebbi eszközök ( WiFi adapterek, telefonok, táblagépek stb.) előfordulhat, hogy a rendszer nem támogatja, kérjük, használja a vegyes módot (Automatikus), ha csatlakozási problémái vannak.

    Gyakran észreveszem, hogy a jelszó vagy más biztonsági beállítások megváltoztatása után az eszközök nem akarnak csatlakozni a hálózathoz. A számítógépeken a következő hibaüzenet jelenhet meg: „Az erre a számítógépre mentett hálózati beállítások nem felelnek meg a hálózat követelményeinek”. Próbálja meg törölni (elfelejteni) a hálózatot az eszközön, majd csatlakozzon újra. Hogyan kell ezt megtenni Windows 7-en, írtam. A Windows 10-ben pedig szüksége van rá.

    Jelszó (kulcs) WPA PSK

    Bármelyik típusú biztonsági és titkosítási módszert választja is, be kell állítania egy jelszót. Ez egyben WPA-kulcs, vezeték nélküli jelszó, Wi-Fi hálózati biztonsági kulcs stb.

    A jelszó hossza 8-32 karakter. Latin betűk és számok használhatók. Speciális karakterek is: - @ $ # ! stb. Nincs szóköz! A jelszó megkülönbözteti a kis- és nagybetűket! Ez azt jelenti, hogy a "z" és a "Z" különböző karakterek.

    Nem ajánlom egyszerű jelszavak beállítását. Jobb erős jelszót létrehozni, amelyet senki sem tud biztosan kitalálni, még akkor sem, ha keményen próbálkozik.

    Nem valószínű, hogy képes lesz emlékezni egy ilyen összetett jelszóra. Jó lenne valahova leírni. Nem ritka, hogy elfelejtik a Wi-Fi jelszavát. Mit kell tenni ilyen helyzetekben, írtam a cikkben:.

    Ha még nagyobb biztonságra van szüksége, használhatja a MAC-cím összerendelését. Igaz, én nem látom ennek szükségét. WPA2 - AES-sel párosított személyes és összetett jelszó is elég.

    Hogyan védi Wi-Fi hálózatát? Írd meg kommentben. Nos, kérdezz 🙂