###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Scopul Bluetooth, principii generale de construire a rețelelor Bluetooth, transfer de date către Bluetooth, protocoale. Structura pachetului, funcționarea protocolului Bluetooth. Problemă de securitate în rețelele Bluetooth. Principii generale de funcționare Bluetooth. Căutați wireless disponibil

    10.11.2019 Știri

    Acest articol este dedicat problemei securității atunci când utilizați rețele WiFi wireless.

    Introducere - Vulnerabilități WiFi

    Principalul motiv pentru care datele utilizatorului sunt vulnerabile atunci când aceste date sunt transmise prin rețele WiFi este că schimbul are loc prin unde radio. Și acest lucru face posibilă interceptarea mesajelor în orice punct în care un semnal WiFi este disponibil fizic. Mai simplu spus, dacă semnalul unui punct de acces poate fi detectat la o distanță de 50 de metri, atunci interceptarea întregului trafic de rețea al acestei rețele WiFi este posibilă pe o rază de 50 de metri de punctul de acces. În camera alăturată, la un alt etaj al blocului, pe stradă.

    Imaginează-ți această imagine. La birou, rețeaua locală este construită prin WiFi. Semnalul de la punctul de acces al acestui birou este preluat în afara clădirii, de exemplu într-o parcare. Un atacator din afara clădirii poate obține acces la rețeaua de birouri, adică neobservat de proprietarii acestei rețele. Rețelele WiFi pot fi accesate ușor și discret. Din punct de vedere tehnic, mult mai ușor decât rețelele cu fir.

    Da. Până în prezent, au fost dezvoltate și implementate mijloace de protecție a rețelelor WiFi. Această protecție se bazează pe criptarea întregului trafic dintre punctul de acces și dispozitivul final care este conectat la acesta. Adică, un atacator poate intercepta un semnal radio, dar pentru el va fi doar „gunoaie” digitală.

    Cum funcționează protecția WiFi?

    Punctul de acces include în rețeaua sa WiFi doar dispozitivul care trimite parola corectă (specificată în setările punctului de acces). În acest caz, parola este trimisă și criptată, sub formă de hash. Hash-ul este rezultatul criptării ireversibile. Adică, datele care au fost hashing nu pot fi decriptate. Dacă un atacator interceptează hash-ul parolei, el nu va putea obține parola.

    Dar de unde știe punctul de acces dacă parola este corectă sau nu? Ce se întâmplă dacă ea primește și un hash, dar nu-l poate decripta? Este simplu - în setările punctului de acces parola este specificată în forma sa pură. Programul de autorizare ia o parolă goală, creează un hash din ea și apoi compară acest hash cu cel primit de la client. Dacă hashe-urile se potrivesc, atunci parola clientului este corectă. A doua caracteristică a hashurilor este folosită aici - sunt unice. Același hash nu poate fi obținut din două seturi diferite de date (parole). Dacă două hashuri se potrivesc, atunci ambele au fost create din același set de date.

    Apropo. Datorită acestei caracteristici, hashurile sunt folosite pentru a controla integritatea datelor. Dacă două hashe-uri (create într-o perioadă de timp) se potrivesc, atunci datele originale (în acea perioadă de timp) nu au fost modificate.

    Cu toate acestea, în ciuda faptului că cea mai modernă metodă de securizare a unei rețele WiFi (WPA2) este fiabilă, această rețea poate fi piratată. Cum?

    Există două metode pentru a accesa o rețea protejată prin WPA2:

    1. Selectarea unei parole folosind o bază de date de parole (așa-numita căutare în dicționar).
    2. Exploatarea unei vulnerabilități în funcția WPS.

    În primul caz, atacatorul interceptează hash-ul parolei pentru punctul de acces. Hashurile sunt apoi comparate cu o bază de date de mii sau milioane de cuvinte. Un cuvânt este luat din dicționar, un hash este generat pentru acest cuvânt și apoi acest hash este comparat cu hash-ul care a fost interceptat. Dacă o parolă primitivă este utilizată pe un punct de acces, atunci spargerea parolei acestui punct de acces este o chestiune de timp. De exemplu, o parolă de 8 cifre (lungimea de 8 caractere este lungimea minimă a parolei pentru WPA2) este de un milion de combinații. Pe calculator modern Puteți sorta un milion de valori în câteva zile sau chiar ore.

    În al doilea caz, este exploatată o vulnerabilitate din primele versiuni ale funcției WPS. Această caracteristică vă permite să conectați un dispozitiv care nu are o parolă, cum ar fi o imprimantă, la punctul de acces. Când utilizați această funcție, dispozitivul și punctul de acces schimbă un cod digital și dacă dispozitivul trimite codul corect, punctul de acces autorizează clientul. A existat o vulnerabilitate în această funcție - codul avea 8 cifre, dar doar patru dintre ele au fost verificate pentru unicitate! Adică, pentru a pirata WPS, trebuie să căutați prin toate valorile care dau 4 cifre. Drept urmare, piratarea unui punct de acces prin WPS se poate face în doar câteva ore, pe orice dispozitiv cel mai slab.

    Configurarea securității rețelei WiFi

    Securitatea rețelei WiFi este determinată de setările punctului de acces. Câteva dintre aceste setări afectează direct securitatea rețelei.

    Mod de acces la rețeaua WiFi

    Punctul de acces poate funcționa în unul dintre cele două moduri - deschis sau protejat. Când acces deschis, orice dispozitiv se poate conecta la punctul de acces. În cazul accesului protejat, este conectat doar dispozitivul care transmite parola de acces corectă.

    Există trei tipuri (standarde) de protecție a rețelei WiFi:

    • WEP (confidențialitate echivalentă prin cablu). Primul standard de protecție. Astăzi, de fapt, nu oferă protecție, deoarece poate fi spart foarte ușor din cauza slăbiciunii mecanismelor de protecție.
    • WPA (Acces protejat Wi-Fi). Cronologic al doilea standard de protecție. La momentul creării și punerii în funcțiune, acesta a oferit protecție eficientă pentru rețelele WiFi. Dar la sfârșitul anilor 2000, s-au găsit oportunități de a pirata protecția WPA prin vulnerabilități în mecanismele de securitate.
    • WPA2 (Acces protejat prin Wi-Fi). Cel mai recent standard de protecție. Oferă protecție fiabilă atunci când sunt respectate anumite reguli. Până în prezent, există doar două moduri cunoscute de a rupe securitatea WPA2. Forța brută a parolei de dicționar și o soluție care utilizează serviciul WPS.

    Astfel, pentru a asigura securitatea rețelei tale WiFi, trebuie să selectezi tipul de securitate WPA2. Cu toate acestea, nu toate dispozitivele client îl pot suporta. De exemplu, Windows XP SP2 acceptă numai WPA.

    Pe lângă alegerea standardului WPA2, sunt necesare condiții suplimentare:

    Utilizați metoda de criptare AES.

    Parola pentru accesarea rețelei WiFi trebuie să fie compusă după cum urmează:

    1. Utilizare litere și cifre din parolă. Un set aleatoriu de litere și numere. Sau un cuvânt sau o expresie foarte rară care are sens numai pentru tine.
    2. Nu utilizați parole simple, cum ar fi numele + data nașterii sau un cuvânt + câteva numere, de exemplu lena1991 sau dom12345.
    3. Dacă trebuie să utilizați doar o parolă digitală, atunci lungimea acesteia trebuie să fie de cel puțin 10 caractere. Deoarece o parolă digitală de opt caractere este selectată folosind metode de forță brută. în timp real(de la câteva ore la câteva zile, în funcție de puterea computerului).

    Dacă utilizați parole complexe în conformitate cu aceste reguli, atunci rețeaua dvs. WiFi nu poate fi piratată prin ghicirea unei parole folosind un dicționar. De exemplu, pentru o parolă ca 5Fb9pE2a(alfanumeric aleatoriu), maxim posibil 218340105584896 combinatii. Astăzi este aproape imposibil de selectat. Chiar dacă un computer ar compara 1.000.000 (milioane) de cuvinte pe secundă, ar dura aproape 7 ani pentru a repeta peste toate valorile.

    WPS (Configurare protejată prin Wi-Fi)

    Dacă punctul de acces are funcția WPS (Wi-Fi Protected Setup), trebuie să o dezactivați. Dacă această caracteristică este necesară, trebuie să vă asigurați că versiunea sa este actualizată la următoarele capabilități:

    1. Folosind toate cele 8 caractere de cod PIN în loc de 4, așa cum a fost cazul la început.
    2. Activați o întârziere după mai multe încercări de a trimite un cod PIN incorect de la client.

    O opțiune suplimentară pentru a îmbunătăți securitatea WPS este utilizarea unui cod PIN alfanumeric.

    Securitate WiFi publică

    Astăzi este la modă utilizarea internetului prin rețele WiFi în locuri publice - în cafenele, restaurante, centre comerciale etc. Este important să înțelegeți că utilizarea unor astfel de rețele poate duce la furtul datelor dumneavoastră cu caracter personal. Dacă accesați Internetul printr-o astfel de rețea și apoi vă conectați la un site web, datele dumneavoastră (nume de utilizator și parolă) pot fi interceptate de o altă persoană care este conectată la aceeași rețea WiFi. La urma urmei, pe orice dispozitiv care a trecut autorizarea și este conectat la punctul de acces, puteți intercepta traficul de rețea de la toate celelalte dispozitive din această rețea. Și particularitatea rețelelor WiFi publice este că oricine se poate conecta la el, inclusiv un atacator, și nu numai rețea deschisă, dar și la protejat.

    Ce puteți face pentru a vă proteja datele atunci când vă conectați la Internet printr-o rețea WiFi publică? Există o singură opțiune - să utilizați protocolul HTTPS. Acest protocol stabilește o conexiune criptată între client (browser) și site. Dar nu toate site-urile acceptă protocolul HTTPS. Adresele de pe un site care acceptă protocolul HTTPS încep cu prefixul https://. Dacă adresele de pe un site au prefixul http://, aceasta înseamnă că site-ul nu acceptă HTTPS sau nu îl folosește.

    Unele site-uri nu folosesc HTTPS în mod implicit, dar au acest protocol și pot fi folosite dacă specificați explicit (manual) prefixul https://.

    Ca și în alte cazuri de utilizare a Internetului - chat-uri, Skype etc., puteți folosi servere VPN gratuite sau plătite pentru a proteja aceste date. Adică, mai întâi conectați-vă la serverul VPN și abia apoi utilizați chatul sau site-ul web deschis.

    Protecție prin parolă WiFi

    În partea a doua și a treia a acestui articol, am scris că atunci când utilizați standardul de securitate WPA2, una dintre modalitățile de a pirata o rețea WiFi este să ghiciți parola folosind un dicționar. Dar există o altă oportunitate pentru un atacator de a obține parola rețelei tale WiFi. Dacă vă stocați parola pe un bilețel lipit de monitor, acest lucru face posibil ca un străin să vadă această parolă. Și parola îți poate fi furată de pe un computer conectat la rețeaua WiFi. Acest lucru poate fi făcut de un străin dacă computerele dumneavoastră nu sunt protejate de accesul străinilor. Acest lucru se poate face folosind malware. În plus, parola poate fi furată de pe un dispozitiv care este luat în afara biroului (casă, apartament) - de pe un smartphone, tabletă.

    Astfel, dacă aveți nevoie de protecție fiabilă pentru rețeaua dvs. WiFi, trebuie să luați măsuri pentru a vă stoca în siguranță parola. Protejați-l de accesul persoanelor neautorizate.

    Dacă ați găsit acest articol util sau pur și simplu v-a plăcut, atunci nu ezitați să susțineți financiar autorul. Acest lucru este ușor de făcut aruncând cu bani Portofel Yandex nr. 410011416229354. Sau la telefon +7 918-16-26-331 .

    Chiar și o sumă mică vă poate ajuta să scrieți articole noi :)

    Problemele de securitate a rețelei fără fir, descrise într-o serie de articole, au provocat neîncredere în tehnologii wireless. Cât de justificat este?

    De ce rețelele wireless sunt considerate mai vulnerabile decât rețelele prin cablu? ÎN rețelele cu fir datele pot fi interceptate numai dacă atacatorul obține acces fizic la mediul de transmisie. În rețelele fără fir, semnalul se deplasează prin undele, astfel încât oricine din raza de acțiune a rețelei poate intercepta semnalul.

    Atacatorul nici măcar nu trebuie să se afle în sediul companiei; este suficient să intri în zona de propagare a semnalului radio.

    Amenințări la adresa rețelelor wireless

    Când vă pregătiți să vă securizați rețelele wireless, mai întâi trebuie să înțelegeți ce le-ar putea amenința.

    Atacul pasiv

    Interceptarea semnalelor rețelei fără fir este similară cu ascultarea transmisiilor radio. Tot ce aveți nevoie este un laptop (sau PDA) și un analizor de protocol wireless. Este o concepție greșită comună că conexiunile neautorizate la o rețea fără fir din afara biroului pot fi oprite prin monitorizarea puterii de ieșire a semnalului. Acest lucru nu este adevărat, deoarece utilizarea unei plăci fără fir de înaltă sensibilitate și a unei antene direcționale de către un atacator poate depăși cu ușurință această măsură precauții.

    Chiar și după reducerea probabilității unei conexiuni neautorizate la rețea, nu trebuie ignorată posibilitatea de a „asculta” traficul, deci pentru munca siguraÎn rețelele fără fir, este necesară criptarea informațiilor transmise.

    Atacul activ

    Este periculos să conectați o rețea fără fir nesecurizată la o rețea prin cablu. Un punct de acces nesecurizat conectat la retea locala, prezintă o ușă larg deschisă pentru intruși. Pentru companii, acest lucru riscă să permită concurenților să obțină acces la documente confidențiale. Rețelele fără fir nesecurizate permit hackerilor să ocolească firewall-urile și setările de securitate care protejează rețeaua de atacurile pe internet. În rețelele de acasă, atacatorii pot obține acces gratuit la Internet în detrimentul vecinilor.

    Punctele de acces necontrolate conectate la rețea fără autorizație ar trebui monitorizate și identificate. Astfel de puncte, de regulă, sunt stabilite de către angajații întreprinderii înșiși. (De exemplu, un manager de vânzări a cumpărat punct fără fir accesează și îl folosește pentru a rămâne conectat tot timpul.) Un astfel de punct poate fi conectat special la rețea de către un atacator pentru a obține acces la rețeaua companiei în afara biroului.

    Trebuie amintit că atât computerele conectate la o rețea wireless, cât și cele care au card wireless cu setări implicite (de obicei nu blochează pătrunderea printr-o rețea wireless). De exemplu, în timp ce un utilizator care își așteaptă zborul navighează prin resursele de internet prin rețeaua Wi-Fi instalată în aeroport, un hacker care stă în apropiere studiază informațiile stocate pe computerul unui angajat mobil. Utilizatorii care lucrează prin rețele wireless în cafenele, centre expoziționale, holuri ale hotelurilor etc. pot fi supuși unor atacuri similare.

    Căutați rețele wireless disponibile

    Pentru a căuta în mod activ rețelele fără fir vulnerabile (conducerea războiului), utilizați de obicei o mașină și un set de echipamente wireless: o antenă mică, o placă de rețea fără fir, un laptop și, eventual, un receptor GPS. Folosind programe de scanare utilizate pe scară largă, cum ar fi Netstumbler, puteți găsi cu ușurință zone de recepție a rețelei wireless.

    Fanii War Driving au multe modalități de a împărtăși informații. Una dintre ele (War Chalking) implică desenarea simbolurilor pe diagrame și hărți care indică rețelele wireless detectate. Aceste desemnări conțin informații despre puterea semnalului radio, prezența unuia sau altuia tip de protecție a rețelei și capacitatea de a accesa Internetul. Fanii acestui „sport” fac schimb de informații prin intermediul site-urilor de internet, „postări”, în special, hărți detaliate cu locația rețelelor detectate. Apropo, este util să verificați dacă adresa dvs. este acolo.

    Refuzarea serviciului

    Accesul gratuit la internet sau la rețeaua corporativă nu este întotdeauna scopul atacatorilor. Uneori, scopul hackerilor poate fi dezactivarea unei rețele wireless.

    Un atac de tip denial of service poate fi realizat în mai multe moduri. Dacă un hacker reușește să stabilească o conexiune la o rețea fără fir, acțiunile sale rău intenționate pot provoca o serie de consecințe grave, cum ar fi trimiterea de răspunsuri la solicitările ARP (Address Resolution Protocol) de modificare a tabelelor ARP. dispozitive de rețea pentru a perturba rutarea rețelei sau introducerea unui server DHCP (Dynamic Host Configuration Protocol) neautorizat pentru a emite adrese și măști de rețea neoperante. Dacă un hacker află detaliile setărilor rețelei wireless, poate reconecta utilizatorii la punctul său de acces (vezi figura), iar acesta din urmă va fi tăiat de resursele de rețea care erau accesibile prin punctul de acces „legitim”.

    Introducerea unui punct de acces neautorizat.

    Un atacator poate bloca, de asemenea, frecvențele utilizate de rețelele fără fir folosind un generator de semnal (acesta poate fi făcut din părți cuptor cu microunde). Ca rezultat, întreaga rețea wireless sau o parte a acesteia va eșua.

    Considerații de securitate în standardele IEEE 802.11

    Standardul original 802.11 asigură securitatea rețelelor fără fir folosind standardul Wired Equivalent Privacy (WEP). Rețelele wireless care utilizează WEP necesită configurarea unei chei WEP statice pe punctele de acces și pe toate stațiile. Această cheie poate fi utilizată pentru autentificare și criptarea datelor. Dacă este compromisă (de exemplu, dacă se pierde un laptop), este necesară schimbarea cheii pe toate dispozitivele, ceea ce uneori este foarte dificil. Când se utilizează chei WEP pentru autentificare, stațiile wireless trimit o provocare adecvată punctului de acces, primind un text clar ca răspuns. Clientul trebuie să-l cripteze folosind propria sa cheie WEP și să-l returneze la punctul de acces, care va decripta mesajul folosind propria sa cheie WEP. Dacă mesajul decriptat se potrivește cu originalul, aceasta înseamnă că clientul cunoaște cheia WEP. Prin urmare, autentificarea este considerată reușită și o notificare corespunzătoare este trimisă clientului.

    După ce ați finalizat cu succes autentificarea și asocierea, dispozitiv fără fir poate folosi o cheie WEP pentru a cripta traficul dintre dispozitiv și punctul de acces.

    Standardul 802.11 definește alte mecanisme de control al accesului. Punctul de acces poate utiliza filtrarea adreselor hardware (Media Access Control, MAC), acordând sau refuzând accesul pe baza adresei MAC a clientului. Aceasta metodaîngreunează, dar nu împiedică, conectarea dispozitivelor neautorizate.

    Cât de sigur este WEP?

    Una dintre regulile criptografiei este că, având în vedere textul simplu și versiunea sa criptată, puteți determina metoda de criptare utilizată. Acest lucru este valabil mai ales atunci când se utilizează algoritmi de criptare slabi și chei simetrice, cum ar fi cele furnizate de WEP.

    Acest protocol folosește algoritmul RC4 pentru criptare. Punctul său slab este că, dacă criptați un text simplu cunoscut, rezultatul va fi fluxul de chei care a fost folosit pentru a cripta datele. Conform standardului 802.11, fluxul de chei constă dintr-o cheie WEP și un vector de inițializare pe 24 de biți. Pentru fiecare pachet, următorul vector este utilizat și trimis către formă deschisăîmpreună cu pachetul, astfel încât stația de recepție să îl poată utiliza împreună cu cheia WEP pentru a decripta pachetul.

    Dacă primiți un flux de chei, atunci puteți decripta orice pachet criptat cu același vector. Deoarece vectorul se modifică pentru fiecare pachet, decriptarea necesită așteptarea următorului pachet folosind același vector. Pentru a putea decripta WEP, trebuie asamblat un set complet de vectori și fluxuri de chei. Instrumentele de cracare WEP funcționează astfel.

    Puteți obține text simplu și text criptat în timpul procesului de autentificare a clientului. Interceptând traficul într-o perioadă de timp, puteți colecta cantitatea necesară de date inițiale pentru a efectua un atac. Pentru a acumula datele necesare analizei, hackerii folosesc multe alte metode, inclusiv atacuri „bărbați la mijloc”.

    Când a decis formatul de cadru pentru rețelele fără fir, IEEE l-a propus format propriu numit Subnetwork Address Protocol (SNAP).

    Cei doi octeți care urmează antetului MAC într-un cadru SNAP 802.11 sunt întotdeauna „AA AA”. WEP criptează toți octeții după antetul MAC, astfel încât primii doi octeți criptați cunosc întotdeauna textul simplu („AA AA”). Această cale oferă posibilitatea de a primi fragmente din mesajul criptat și clar.

    Utilitățile pentru cracarea WEP sunt distribuite gratuit pe Internet. Cele mai cunoscute dintre ele sunt AirSnort și WEPCrack. Pentru a sparge cu succes o cheie WEP folosindu-le, este suficient să colectați de la 100 de mii la 1 milion de pachete. Noile utilitare Aircrack și Weplab pentru spargerea cheilor WEP implementează un algoritm mai eficient care necesită mult mai puține pachete. Din acest motiv, WEP nu este de încredere.

    Tehnologiile wireless devin din ce în ce mai sigure

    Astăzi, multe companii folosesc rețele wireless convenabile și sigure. Standardul 802.11i a dus securitatea la un nivel cu totul nou.Grupul de lucru IEEE 802.11i, a cărui sarcină era să creeze un nou standard de securitate fără fir, a fost format după studierea vulnerabilității protocolului WEP. A durat ceva timp pentru a se dezvolta, așa că majoritatea producătorilor de echipamente, fără să aștepte lansarea noului standard, au început să ofere propriile metode (vezi. ). În 2004, a apărut un nou standard, însă furnizorii de echipamente, prin inerție, continuă să folosească soluții vechi.

    802.11i specifică utilizarea standardului de criptare avansată (AES) în loc de WEP. AES se bazează pe o implementare a algoritmului Rendell, pe care majoritatea criptoanaliștilor îl recunosc ca fiind puternic. Acest algoritm este o îmbunătățire semnificativă față de predecesorul său slab RC4, care este folosit în WEP: folosește chei de 128, 192 și 256 de biți, în loc de cei 64 de biți utilizați în standardul original 802.11. Standard nou 802.11i definește, de asemenea, utilizarea TKIP, CCMP și 802.1x/EAP.

    EAP-MD5 verifică identitatea utilizatorului prin verificarea parolei. Problema utilizării criptării traficului este lăsată în sarcina administratorului de rețea. Punctul slab al lui EAP-MD5 este lipsa utilizare obligatorie criptare, astfel încât EAP-MD5 permite posibilitatea unui atac „bărbați la mijloc”.

    Protocolul Lightweight EAP (LEAP), care a fost creat de Cisco, oferă nu numai criptarea datelor, ci și rotația cheilor. LEAP nu cere clientului să aibă chei deoarece acestea sunt trimise în siguranță după ce utilizatorul a fost autentificat. Permite utilizatorilor să se conecteze cu ușurință la rețea folosind cont si parola.

    Implementările LEAP timpurii au oferit doar autentificarea utilizatorului într-un singur sens. Cisco a adăugat ulterior capacitatea de autentificare reciprocă. Cu toate acestea, sa constatat că protocolul LEAP este vulnerabil la atacurile de dicționar. Joshua Wright, angajat al Institutului American de Administrare a Sistemelor, Telecomunicații și Securitate (SANS), a dezvoltat utilitarul ASLEAP, care efectuează un atac similar, după care Cisco a recomandat utilizarea parolelor puternice de cel puțin opt caractere, inclusiv caractere speciale, majuscule. , caractere mici și numere. LEAP este sigur în măsura în care parola este rezistentă la încercările de ghicire.

    O implementare mai puternică a EAP, EAP-TLS, care utilizează certificate digitale preinstalate pe client și server, a fost dezvoltată de Microsoft. Această metodă oferă autentificare reciprocă și se bazează nu numai pe parola utilizatorului, dar acceptă și rotația și distribuția dinamică a cheilor. Dezavantajul EAP-TLS este că necesită instalarea unui certificat pe fiecare client, ceea ce poate fi destul de consumator de timp și de costisitor. În plus, această metodă nu este practic de utilizat într-o rețea în care angajații se schimbă frecvent.

    Producătorii de rețele fără fir promovează soluții pentru a simplifica procesul pentru utilizatorii autorizați de a se conecta la rețelele fără fir. Această idee este pe deplin fezabilă dacă activați LEAP și distribuiți nume de utilizator și parole. Dar dacă este nevoie de utilizare certificat digital sau introducând o cheie WEP lungă, procesul poate deveni plictisitor.

    Microsoft, Cisco și RSA au colaborat pentru a dezvolta un nou protocol, PEAP, care combină ușurința de utilizare a LEAP cu securitatea EAP-TLS. PEAP folosește un certificat instalat pe server și autentificare cu parolă pentru clienți. O soluție similară - EAP-TTLS - a fost lansată de Funk Software.

    Suport diverși producători Tipuri variate EAP, precum și mai multe tipuri în același timp. Procesul EAP este similar pentru toate tipurile.

    Operațiuni tipice EAP

    Ce este WPA

    După ce rețelele wireless au fost declarate nesigure, producătorii au început să implementeze propriile soluții de securitate. Acest lucru a lăsat companiile cu o alegere: să folosească o soluție cu un singur furnizor sau să aștepte lansarea standardului 802.11i. Data adoptării standardului era necunoscută, așa că Wi-Fi Alliance a fost formată în 1999. Scopul său a fost de a unifica interacțiunea produselor de rețea fără fir.

    Alianța Wi-Fi a aprobat un protocol securizat acces wireless(Wireless Protected Access, WPA), considerând-o ca o soluție temporară până la lansarea standardului 802.11i. Protocolul WPA utilizează standardele TKIP și 802.1x/EAP. Orice Echipament Wi-Fi Un dispozitiv certificat pentru a fi compatibil WPA trebuie să funcționeze împreună cu alte echipamente certificate. Furnizorii pot folosi propriile mecanisme de securitate, dar trebuie să includă întotdeauna suport pentru standardele Wi-Fi.

    După anunțul inițial al parametrilor 802.11i, Wi-Fi Alliance a creat standardul WPA2. Orice echipament care este certificat WPA2 este pe deplin compatibil cu 802.11i. Dacă rețeaua wireless a întreprinderii dumneavoastră nu acceptă 802.11i, ar trebui să migrați la 802.11i cât mai curând posibil pentru a asigura securitatea adecvată.

    Ce este filtrarea adresei MAC?

    Dacă WEP nu este securizat, poate filtrarea adreselor hardware (Media Access Control (MAC)) să protejeze rețeaua wireless? Din păcate, filtrele de adrese MAC sunt concepute pentru a preveni conexiunile neautorizate; sunt neputincioși împotriva interceptării traficului.

    Filtrarea adreselor MAC nu are un impact vizibil asupra securității rețelelor wireless. Este nevoie de un singur lucru de la atacator acțiune suplimentară: Aflați adresa MAC permisă. (Apropo, majoritatea șoferilor plăci de rețea vă permit să-l schimbați.)

    Cât de ușor este să afli adresa MAC permisă? Pentru a obține adrese MAC funcționale, este suficient să monitorizați traficul wireless pentru ceva timp folosind un analizor de protocol. Adresele MAC pot fi interceptate chiar dacă traficul este criptat deoarece antetul pachetului care include adresa este trimis în clar.

    Protocolul TKIP

    Temporal Key Integrity Protocol (TKIP) a fost conceput pentru a depăși deficiențele protocolului WEP. Standardul TKIP se îmbunătățește Securitate WEP datorită rotației cheilor, utilizării vectorilor de inițializare mai lungi și verificărilor integrității datelor.

    Programele de cracare WEP profită de slăbiciunea cheilor statice: după interceptarea numărului necesar de pachete, pot decripta cu ușurință traficul. Schimbarea regulată a tastelor previne acest tip de atac. TKIP schimbă dinamic cheile la fiecare 10 mii de pachete. Implementările ulterioare ale protocolului vă permit să schimbați intervalul de rotație a cheilor și chiar să setați un algoritm pentru schimbarea cheii de criptare pentru fiecare pachet de date (Per-Packet Keying, PPK).

    Cheia de criptare folosită în TKIP a devenit mai sigură decât cheile WEP. Este format dintr-o cheie dinamică de 128 de biți, la care se adaugă adresa MAC a stației și un vector de inițializare de 48 de biți (de două ori lungimea vectorului original 802.11). Această metodă este cunoscută sub denumirea de „mixare a tastelor” și asigură că oricare două stații nu utilizează aceeași cheie.

    Protocolul are și o metodă încorporată pentru asigurarea integrității datelor (Message Integrity Cheek, MIC, numit și Michael).

    Deoarece rețelele fără fir folosesc unde radio, calitatea rețelei depinde de mulți factori. Cel mai izbitor exemplu este interferența semnalelor radio, care poate degrada semnificativ performanța lățime de bandă si numarul de utilizatori suportati, pana la imposibilitatea completa a utilizarii retelei. Sursa de interferență poate fi orice dispozitiv care emite un semnal de putere suficientă în același interval de frecvență ca și punctul de acces: de la punctele de acces învecinate într-un centru de birou dens populat, până la motoare electrice în producție, Căști Bluetoothși chiar cuptorul cu microunde. Pe de altă parte, atacatorii pot folosi interferența pentru a lansa un atac DoS în rețea.
    Necunoscuții care operează pe același canal ca punctele de acces legitime nu numai că permit accesul la rețea, ci și perturbă funcționalitatea rețelei wireless „corecte”. În plus, pentru a efectua atacuri asupra utilizatorilor finali și pentru a pătrunde în rețea folosind atacul Man-In-The Middle, atacatorii blochează adesea punctele de acces ale unei rețele legitime, lăsând doar unul - punctul lor de acces cu același nume de rețea.
    Conexiune
    Pe lângă interferențe, există și alte aspecte care afectează calitatea comunicației în rețelele wireless. Deoarece mediul wireless este un mediu cu acces partajat, fiecare client configurat greșit sau antenă de punct de acces defectuoasă poate crea probleme atât la nivel fizic, cât și la nivel de legătură, ducând la o deteriorare a calității serviciului pentru alți clienți din rețea.

    Ce să fac?

    Pe scurt, rețelele fără fir dau naștere la noi clase de riscuri și amenințări care nu pot fi protejate de utilizarea mijloacelor tradiționale prin cablu. Chiar dacă Wi-Fi este interzis în mod oficial într-o organizație, asta nu înseamnă că unul dintre utilizatori nu va instala un străin și, prin urmare, va reduce toate investițiile în securitatea rețelei la zero. Mai mult, datorită caracteristicilor comunicații fără fir, este important să controlăm nu numai securitatea infrastructurii de acces, ci și să monitorizăm utilizatorii care pot deveni ținta unui atac al unui atacator sau care pot trece pur și simplu accidental sau intenționat de la rețeaua corporativă la o conexiune nesecurizată.
    securitate Adăugați etichete

    Pentru a vă proteja Rețea Wi-Fiși setați o parolă, trebuie să selectați tipul de securitate al rețelei fără fir și metoda de criptare. Și în această etapă, mulți oameni au o întrebare: pe care să o aleagă? WEP, WPA sau WPA2? Personal sau Enterprise? AES sau TKIP? Ce setări de securitate vă vor proteja cel mai bine rețeaua Wi-Fi? Voi încerca să răspund la toate aceste întrebări în cadrul acestui articol. Să luăm în considerare toate metodele posibile de autentificare și criptare. Să aflăm ce parametri de securitate a rețelei Wi-Fi sunt cel mai bine setați în setările routerului.

    Vă rugăm să rețineți că tipul de securitate sau autentificarea, autentificarea în rețea, protecția, metoda de autentificare sunt toate același lucru.

    Tipul de autentificare și criptarea sunt principalele setări de securitate wifi wireless retelelor. Cred că mai întâi trebuie să ne dăm seama care sunt, ce versiuni există, capabilitățile lor etc. După care vom afla ce tip de protecție și criptare să alegem. Vă voi arăta folosind exemplul mai multor routere populare.

    Recomand cu căldură să configurați o parolă și să vă protejați rețeaua wireless. Instalare nivel maxim protecţie. Dacă lăsați rețeaua deschisă, fără protecție, atunci oricine se poate conecta la ea. Acest lucru este în primul rând nesigur. Și, de asemenea, o încărcare suplimentară pe router, o scădere a vitezei de conectare și tot felul de probleme cu conectarea diferitelor dispozitive.

    Protecția rețelei Wi-Fi: WEP, WPA, WPA2

    Există trei opțiuni de protecție. Desigur, fără a lua în calcul „Open” (Fără protecție).

    • WEP(Wired Equivalent Privacy) este o metodă de autentificare învechită și nesigură. Aceasta este prima și nu foarte reușită metodă de protecție. Atacatorii pot accesa cu ușurință rețelele wireless care sunt protejate folosind WEP. Nu este nevoie să setați acest mod în setările routerului dvs., deși este prezent acolo (nu întotdeauna).
    • WPA(Wi-Fi Protected Access) este un tip de securitate fiabil și modern. Compatibilitate maximă cu toate dispozitivele și sistemele de operare.
    • WPA2– o versiune nouă, îmbunătățită și mai fiabilă de WPA. Există suport pentru criptarea AES CCMP. Pe acest moment, Acest Cel mai bun mod Protecția rețelei Wi-Fi. Acesta este ceea ce recomand să folosești.

    WPA/WPA2 poate fi de două tipuri:

    • WPA/WPA2 - Personal (PSK)- Aceasta este metoda obișnuită de autentificare. Când trebuie doar să setați o parolă (cheie) și apoi să o utilizați pentru a vă conecta la o rețea Wi-Fi. Aceeași parolă este utilizată pentru toate dispozitivele. Parola în sine este stocată pe dispozitive. Unde îl puteți vizualiza sau schimba dacă este necesar. Se recomandă utilizarea acestei opțiuni.
    • WPA/WPA2 - Enterprise- o metodă mai complexă care este utilizată în principal pentru protejarea rețelelor wireless din birouri și diverse unități. Vă permite să oferiți mai mult nivel inalt protecţie. Folosit numai atunci când este instalat un server RADIUS pentru a autoriza dispozitivele (care emite parole).

    Cred că ne-am dat seama de metoda de autentificare. Cel mai bun lucru de utilizat este WPA2 - Personal (PSK). Pentru o mai bună compatibilitate, astfel încât să nu existe probleme la conectarea dispozitivelor mai vechi, puteți seta modul mixt WPA/WPA2. Aceasta este setarea implicită pe multe routere. Sau marcat ca „Recomandat”.

    Criptarea rețelei fără fir

    Există două moduri TKIPȘi AES.

    Se recomandă utilizarea AES. Dacă aveți dispozitive mai vechi în rețea care nu acceptă criptarea AES (ci doar TKIP) și vor apărea probleme la conectarea lor la rețeaua wireless, atunci setați-l pe „Automat”. Tip Criptare TKIP nu este acceptat în modul 802.11n.

    În orice caz, dacă instalați strict WPA2 - Personal (recomandat), atunci va fi disponibilă doar criptarea AES.

    Ce protecție ar trebui să instalez pe routerul meu Wi-Fi?

    Utilizare WPA2 - Personal cu criptare AES. Până în prezent, acesta este cel mai bun și cel mai mult cale sigura. Iată cum arată setările de securitate a rețelei wireless pe routerele ASUS:

    Și așa arată aceste setări de securitate pe routerele de la TP-Link (cu firmware vechi).

    Mai mult instrucțiuni detaliate pentru TP-Link puteți căuta.

    Instrucțiuni pentru alte routere:

    Dacă nu știți unde să găsiți toate aceste setări pe router, atunci scrieți în comentarii, voi încerca să vă spun. Doar nu uitați să specificați modelul.

    De la WPA2 - Dispozitive mai vechi personale (AES) ( Adaptoare Wi-Fi, telefoane, tablete etc.) s-ar putea să nu-l accepte, apoi, în caz de probleme de conexiune, setați modul mixt (Auto).

    Observ adesea că după schimbarea parolei sau a altor setări de securitate, dispozitivele nu doresc să se conecteze la rețea. Calculatoarele pot primi eroarea „Setările de rețea salvate pe acest computer nu îndeplinesc cerințele acestei rețele”. Încercați să ștergeți (uitați) rețeaua de pe dispozitiv și să vă conectați din nou. Am scris cum se face asta pe Windows 7. Dar în Windows 10 aveți nevoie de .

    Parolă (cheie) WPA PSK

    Indiferent de tipul de securitate și metodă de criptare pe care o alegeți, trebuie să setați o parolă. Cunoscută și sub numele de cheie WPA, parolă wireless, cheie de securitate a rețelei Wi-Fi etc.

    Lungimea parolei este de la 8 la 32 de caractere. Puteți folosi litere din alfabetul latin și numere. De asemenea, caractere speciale: - @ $ # ! etc. Fara spatii! Parola face distincție între majuscule și minuscule! Aceasta înseamnă că „z” și „Z” sunt caractere diferite.

    Nu recomand să setați parole simple. Este mai bine să creați o parolă puternică pe care nimeni nu o poate ghici, chiar dacă încearcă din greu.

    Este puțin probabil să vă puteți aminti o parolă atât de complexă. Ar fi bine să-l notezi undeva. Nu este neobișnuit ca parolele Wi-Fi să fie pur și simplu uitate. Am scris in articol ce sa fac in astfel de situatii: .

    Dacă aveți nevoie de și mai multă securitate, puteți utiliza legarea adresei MAC. Adevărat, nu văd necesitatea asta. WPA2 - Personal asociat cu AES și o parolă complexă este suficient.

    Cum vă protejați rețeaua Wi-Fi? Scrieți în comentarii. Ei bine, pune intrebari :)