Призначення Bluetooth, загальні принципи побудови мереж Bluetooth, Передача даних в Bluetooth, протоколи. Структура пакета, робота Bluetooth. Проблема безпеки в мережах Bluetooth. Загальні принципи роботи Bluetooth. Пошук доступних бездротових з

Ця стаття присвячена питанню безпеки під час використання бездротових мереж WiFi.

Вступ - вразливість WiFi

Головна причина вразливості даних, коли ці дані передаються через мережі WiFi, полягає в тому, що обмін відбувається по радіохвилі. А це дає можливість перехопити повідомлення в будь-якій точці, де фізично доступний сигнал WiFi. Спрощено кажучи, якщо сигнал точки доступу можна вловити на дистанції 50 метрів, то перехоплення всього мережного трафіку цієї WiFi мережіможливий у радіусі 50 метрів від точки доступу. У сусідньому приміщенні, на іншому поверсі будівлі, на вулиці.

Уявіть таку картину. В офісі локальна мережа збудована через WiFi. Сигнал точки доступу цього офісу ловиться за межами будівлі, наприклад, на автостоянці. Зловмисник, за межами будівлі, може отримати доступ до офісної мережі, тобто непомітно для власників цієї мережі. До мереж WiFi можна отримати доступ легко та непомітно. Технічно значно легше, ніж до провідних мереж.

Так. На сьогоднішній день розроблено та впроваджено засоби захисту WiFi мереж. Такий захист заснований на шифруванні всього трафіку між точкою доступу та кінцевим пристроєм, який підключений до неї. Тобто радіосигнал перехопити зловмисник може, але для нього це буде просто цифрове сміття.

Як працює захист WiFi?

Точка доступу включає в свою WiFi мережу тільки той пристрій, який надішле правильний (вказаний в налаштуваннях точки доступу) пароль. У цьому пароль теж пересилається зашифрованим, як хеша. Хеш це результат незворотного шифрування. Тобто дані, переведені в хеш, розшифрувати не можна. Якщо зловмисник перехопить хеш пароля, він не зможе отримати пароль.

Але як точка доступу дізнається правильний вказаний пароль чи ні? Якщо вона також отримує хеш, а розшифрувати його не може? Все просто – в налаштуваннях точки доступу пароль вказаний у чистому вигляді. Програма авторизації бере чистий пароль, створює з нього хеш і потім порівнює цей хеш із отриманим від клієнта. Якщо хеші збігаються означає у клієнта пароль правильний. Тут використовується друга особливість хешей – вони унікальні. Одноманітний хеш не можна отримати із двох різних наборів даних (паролей). Якщо два хеші збігаються, то вони обидва створені з однакового набору даних.

До речі. Завдяки цій особливості хеш використовуються для контролю цілісності даних. Якщо два хеші (створені з проміжком часу) збігаються, значить вихідні дані (за цей проміжок часу) не були змінені.

Тим не менш, незважаючи на те, що найбільш сучасний метод захисту WiFi мережі (WPA2) надійний, ця мережа може бути зламана. Яким чином?

Є дві методики доступу до мережі під захистом WPA2:

1. Підбір пароля на основі паролів (так званий перебір за словником).
2. Використання вразливості у функції WPS.

У першому випадку зловмисник перехоплює хеш пароля до точки доступу. Потім за базою даних, у якій записані тисячі, чи мільйони слів, виконується порівняння хешів. Зі словника береться слово, генерується хеш для цього слова і потім цей хеш порівнюється з тим хешом, який був перехоплений. Якщо на точці доступу використовується примітивний пароль, тоді зламування пароля, цієї точки доступу, питання часу. Наприклад, пароль з 8 цифр (довжина 8 символів це мінімальна довжина пароля для WPA2) це один мільйон комбінацій. на сучасному комп'ютерізробити перебір одного мільйона значень можна за кілька днів або навіть годинника.

У другому випадку використовується вразливість у перших версіях функції WPS. Ця функція дозволяє підключити до точки доступу пристрій, на якому не можна ввести пароль, наприклад, принтер. При використанні цієї функції пристрій та точка доступу обмінюються цифровим кодом і якщо пристрій надішле правильний код, точка доступу авторизує клієнта. У цій функції була вразливість – код був із 8 цифр, але унікальність перевірялася лише чотирма з них! Тобто для злому WPS потрібно зробити перебір всіх значень, які дають 4 цифри. В результаті зламування точки доступу через WPS може бути виконаний буквально за кілька годин, на будь-якому, найслабшому пристрої.

Налаштування захисту мережі WiFi

Безпека мережі WiFi визначається настройками точки доступу. Декілька цих налаштувань прямо впливають на безпеку мережі.

Режим доступу до мережі WiFi

Точка доступу може працювати в одному з двох режимів – відкритому або захищеному. В разі відкритого доступу, підключитися до точки досуту може будь-який пристрій. У разі захищеного доступу підключається лише той пристрій, який передає правильний пароль доступу.

Існує три типи (стандарту) захисту WiFi мереж:

• WEP (Wired Equivalent Privacy). Найперший стандарт захисту. Сьогодні фактично не забезпечує захист, оскільки зламується дуже легко завдяки слабкості механізмів захисту.
• WPA (Wi-Fi Protected Access). Хронологічно другий стандарт захисту. На момент створення та введення в експлуатацію забезпечував ефективний захист WiFi мереж. Але наприкінці нульових років було знайдено можливості для злому захисту WPA через уразливість у механізмах захисту.
• WPA2 (Wi-Fi Protected Access). Останній стандарт захисту. Забезпечує надійний захист за дотримання певних правил. На сьогоднішній день відомі лише два способи злому захисту WPA2. Перебір пароля за словником та обхідний шлях через службу WPS.

Таким чином, для забезпечення безпеки WiFi необхідно вибирати тип захисту WPA2. Однак, не всі клієнтські пристрої можуть його підтримувати. Наприклад, Windows XP SP2 підтримує лише WPA.

Крім вибору стандарту WPA2, необхідні додаткові умови:

Використовувати метод шифрування AES.

Пароль для доступу до мережі WiFi необхідно складати так:

1. Використовуйтелітери та цифри у паролі. Довільний набір букв і цифр. Або дуже рідкісне, значуще лише для вас, слово чи фразу.
2. Невикористовуйте прості паролі на кшталт ім'я + дата народження, або якесь слово + кілька цифр, наприклад lena1991або dom12345.
3. Якщо потрібно використовувати тільки цифровий пароль, його довжина повинна бути не менше 10 символів. Тому що восьмисимвольний цифровий пароль підбирається шляхом перебору за реальний час(від кількох годин до кількох днів, залежно від потужності комп'ютера).

Якщо ви будете використовувати складні паролі відповідно до цих правил, то вашу WiFi мережу не можна буде зламати методом підбору пароля за словником. Наприклад, для пароля виду 5Fb9pE2a(довільний буквено-цифровий), максимально можливо 218340105584896 комбінацій. Сьогодні це практично неможливо для підбору. Навіть якщо комп'ютер порівнюватиме 1 000 000 (мільйон) слів на секунду, йому знадобиться майже 7 років для перебору всіх значень.

WPS (Wi-Fi Protected Setup)

Якщо точка доступу має функцію WPS (Wi-Fi Protected Setup), потрібно вимкнути її. Якщо ця функція необхідна, переконайтеся, що її версія оновлена ​​до наступних можливостей:

1. Використання всіх 8 символів пінкод замість 4-х, як це було спочатку.
2. Увімкнення затримки після кількох спроб передачі неправильного пінкоду з боку клієнта.

Додаткова можливість покращити захист WPS – це використання цифробуквенного пінода.

Безпека громадських мереж WiFi

Сьогодні модно користуватися Інтернет через WiFi мережі у громадських місцях – у кафе, ресторанах, торгових центрах тощо. Важливо розуміти, що використання таких мереж може призвести до крадіжки ваших персональних даних. Якщо ви входите в Інтернет через таку мережу і потім виконуєте авторизацію на будь-якому сайті, ваші дані (логін і пароль) можуть бути перехоплені іншою людиною, яка підключена до цієї ж мережі WiFi. Адже на будь-якому пристрої, який пройшов авторизацію і підключений до точки доступу, можна перехоплювати мережевий трафік з усіх інших пристроїв цієї мережі. А особливість громадських мереж WiFi у тому, що до неї може підключитися будь-який бажаючий, у тому числі зловмисник, причому не лише до відкритої мережі, а й захищеної.

Що можна зробити для захисту своїх даних, при підключенні до Інтернету через громадську мережу WiFi? Є лише одна можливість – використовувати протокол HTTPS. В рамках цього протоколу встановлюється зашифроване з'єднання між клієнтом (браузером) та сайтом. Але не всі веб-сайти підтримують протокол HTTPS. Адреси на сайті, що підтримує протокол HTTPS, починаються з префіксу https://. Якщо адреси на сайті мають префікс http:// це означає, що на сайті немає підтримки HTTPS або вона не використовується.

Деякі сайти за умовчанням не використовують HTTPS, але мають цей протокол і його можна використовувати, якщо явним чином (вручну) вказати префікс https://.

Що стосується інших випадків використання Інтернету - чати, скайп і т.д, то для захисту цих даних можна використовувати безкоштовні або платні сервери VPN. Тобто спочатку підключатися до сервера VPN, а потім використовувати чат або відкритий сайт.

Захист пароля WiFi

У другій і третій частинах цієї статті я писав про те, що у разі використання стандарту захисту WPA2, один із шляхів злому WiFi мережі полягає у підборі пароля за словником. Але для зловмисника є ще одна можливість отримати пароль до вашої мережі WiFi. Якщо ви зберігаєте пароль на стікері, приклеєному до монітора, це дає можливість побачити цей пароль сторонній людині. А ще ваш пароль може бути викрадений з комп'ютера, який підключений до вашої WiFi мережі. Це може зробити стороння людина, якщо ваші комп'ютери не захищені від доступу сторонніх. Це можна зробити за допомогою шкідливої ​​програми. Крім того пароль можна вкрасти і з пристрою, який виноситься за межі офісу (будинки, квартири) - зі смартфона, планшета.

Таким чином, якщо вам потрібний надійний захист вашої мережі WiFi, необхідно вживати заходів і для надійного зберігання пароля. Захищати його від сторонніх осіб.

Якщо вам виявилася корисною або просто сподобалася ця стаття, тоді не соромтеся - підтримайте матеріально автора. Це легко зробити закинувши грошики на Яндекс Гаманець № 410011416229354. Або на телефон +7 918-16-26-331 .

Навіть невелика сума може допомогти написання нових статей:)

Проблеми безпеки бездротових мереж, описані у низці статей, спровокували недовіру до бездротовим технологіям. Наскільки воно виправдане?

Чому бездротові мережі вважаються більш вразливими, ніж кабельні? У провідних мережахдані можуть бути перехоплені лише у тому випадку, якщо зловмисник отримає фізичний доступ до середовища передачі. У бездротових мережах сигнал поширюється в ефірі, тому будь-який, що знаходиться в зоні дії мережі, може перехопити цей сигнал.

Зловмиснику навіть не обов'язково перебувати на території компанії, достатньо потрапити до зони поширення радіосигналу.

Загрози бездротовим мережам

Готуючись до безпеки бездротових мереж, передусім необхідно встановити, що може їм загрожувати.

Пасивна атака

Перехоплення сигналів бездротової мережі подібне до прослуховування радіо. Достатньо мати ноутбук (або КПК) та аналізатор бездротових протоколів. Широко поширена помилка, що несанкціоноване підключення до бездротової мережі поза офісом можна припинити, контролюючи вихідну потужність сигналу. Це не так, оскільки використання зловмисником бездротової карти підвищеної чутливості та спрямованої антени дозволяє легко подолати цей західобережності.

Навіть зменшивши ймовірність несанкціонованого підключення до мережі, не слід залишати без уваги можливість «прослуховування» трафіку, тому безпечної роботиу бездротових мережах необхідно шифрувати передану інформацію.

Активна атака

Небезпечно підключати бездротову мережу до кабельної мережі. Незахищена точка доступу, приєднана до локальної мережі, є широко відкриті двері для зловмисників. Для підприємств це може призвести до того, що конкуренти можуть отримати доступ до конфіденційних документів. Незахищені бездротові мережі дозволяють хакерам обійти міжмережеві екрани та налаштування безпеки, які захищають мережу від атак через Internet. У домашніх мережах зловмисники можуть отримати безкоштовний доступ до Інтернету за рахунок своїх сусідів.

Слід відстежувати та виявляти неконтрольовані точки доступу, підключені до мережі несанкціоновано. Такі точки, зазвичай, встановлюють самі співробітники підприємства. (Наприклад, менеджер відділу продажів придбав бездротову точку доступу та використовує її, щоб весь час залишатися на зв'язку.) Така точка може бути спеціально підключена до мережі зловмисником з метою отримання доступу до мережі компанії поза офісом.

Слід пам'ятати про те, що вразливими є як підключені до бездротової мережі комп'ютери, так і ті, в яких включена бездротова картаза замовчуванням (вона, як правило, не блокує проникнення через бездротову мережу). Наприклад, поки користувач, який очікує на свій рейс, переглядає ресурси Internet через розгорнуту в аеропорту мережу Wi-Fi, хакер, що сидить неподалік, вивчає інформацію, що зберігається на комп'ютері мобільного співробітника. Аналогічним атакам можуть зазнати користувачі, які працюють за допомогою бездротових мереж у приміщеннях кафе, виставкових центрів, холах готелів та ін.

Пошук доступних бездротових мереж

Для активного пошуку вразливих бездротових мереж (War driving) зазвичай використовується автомобіль та комплект бездротового обладнання: невелика антена, бездротова мережна карта, переносний комп'ютер і можливо GPS-приймач. Використовуючи поширені програми-сканери, такі як Netstumbler, можна легко знайти зони прийому бездротових мереж.

Шанувальники War Driving мають багато способів обмінюватися інформацією. Один з них (War Chalking) має на увазі нанесення на схемах і картах символів, що вказують на виявлені бездротові мережі. Ці позначення містять відомості про величину радіосигналу, наявність того чи іншого різновиду захисту мережі та можливість доступу в Internet. Любителі такого "спорту" обмінюються інформацією через Internet-сайти, "вивішуючи", зокрема, докладні картиз місцезнаходженням виявлених мереж. До речі, корисно перевірити, чи немає вашої адреси.

Відмова в обслуговуванні

Безкоштовний доступ до Інтернету чи корпоративну мережу який завжди є метою зловмисників. Іноді завданням хакерів може бути виведення з ладу бездротової мережі.

Атака «відмова в обслуговуванні» може бути досягнута декількома способами. Якщо хакеру вдається встановити з'єднання з бездротовою мережею, його зловмисні дії можуть викликати ряд таких серйозних наслідків: наприклад, розсилання відповідей на запити протоколу дозволу адрес (Address Resolution Protocol, ARP) для зміни ARP-таблиць мережевих пристроївз метою порушення маршрутизації в мережі або запровадження несанкціонованого сервера протоколу динамічної конфігурації хостів (Dynamic Host Configuration Protocol, DHCP) для видачі непрацездатних адрес та масок мереж. Якщо хакер з'ясує подробиці налаштувань бездротової мережі, то зможе перепідключити користувачів до своєї точки доступу (див. малюнок), а останні виявляться відрізаними від мережевих ресурсів, які були доступні через «законну» точку доступу.

Використання несанкціонованої точки доступу.

Зловмисник може також заблокувати частоти, які використовуються бездротовими мережами, застосовуючи для цього генератор сигналів (його можна виготовити з деталей мікрохвильової печі). В результаті вся бездротова мережа або її частина вийдуть із ладу.

Заходи безпеки у стандартах IEEE 802.11

Оригінальний стандарт 802.11 передбачає для забезпечення безпеки бездротових мереж використання стандарту «конфіденційності, еквівалентної проводової» (Wired Equivalent Privacy, WEP). Бездротові мережі, що використовують WEP, потребують налаштування статичного WEP-ключа на точках доступу та всіх станціях. Цей ключ можна використовувати для автентифікації та шифрування даних. При його компрометації (наприклад, у разі втрати переносного комп'ютера) необхідно змінити ключ на всіх пристроях, що дуже важко. При використанні ключів WEP для аутентифікації бездротові станції надсилають точці доступу відповідний запит, отримуючи у відповідь незашифроване повідомлення (clear text challenge). Клієнт повинен зашифрувати його, використовуючи свій WEP-ключ, і повернути точці доступу, яка розшифрує повідомлення за допомогою власного WEP-ключа. Якщо розшифроване повідомлення збігається з оригінальним, це означає, що клієнт знає WEP-ключ. Отже, автентифікація вважається успішною, і клієнту надсилається відповідне повідомлення.

Успішно завершивши аутентифікацію та асоціацію, бездротовий пристрійможе використовувати WEP-ключ для шифрування трафіку, що передається між пристроєм та точкою доступу.

Стандарт 802.11 визначає інші механізми контролю доступу. Точка доступу може використовувати фільтрацію за апаратними адресами (Media Access Control, MAC), надаючи або забороняючи доступ на основі MAC-адреси клієнта. Цей методускладнює, але не запобігає підключенню несанкціонованих пристроїв.

Наскільки безпечним є WEP?

Одне з правил криптографії свідчить: маючи відкритий текст та його зашифровану версію, можна встановити використаний метод шифрування. Це особливо актуально при використанні слабких алгоритмів шифрування та симетричних ключів, такі, наприклад, передбачає WEP.

Цей протокол використовує алгоритм RC4 для шифрування. Слабкість його полягає в тому, що якщо зашифрувати відомий відкритий текст, то на виході вийде ключовий потік, який використовувався для шифрування даних. Відповідно до стандарту 802.11, ключовий потік складається з WEP-ключа та 24-розрядного вектора ініціалізації. Для кожного пакета використовується наступний вектор, який відправляється в відкритому виглядіразом з пакетом, так що станція, що приймає, може використовувати його спільно з WEP-ключом, щоб розшифрувати пакет.

Якщо отримати один ключовий потік, то можна розшифрувати будь-який пакет, зашифрований тим самим вектором. Так як вектор змінюється для кожного пакета, то для розшифровки потрібно дочекатися наступного пакета, що використовує той же вектор. Щоб розшифровувати WEP, необхідно зібрати повний комплект векторів і ключових потоків. Утиліти зі злому WEP працюють саме таким чином.

Добути відкритий та зашифрований текст можна в процесі автентифікації клієнта. Перехоплюючи трафік протягом деякого часу, можна набрати необхідну кількість вихідних даних щодо атаки. Щоб зібрати необхідні для аналізу дані, хакери використовують безліч інших методів, включаючи атаки типу «men in the middle».

Коли ухвалювалося рішення про формат кадру для бездротових мереж, IEEE запропонувала свій власний форматпід назвою Subnetwork Address Protocol (SNAP).

Два байти, що йдуть за MAC-заголовком у кадрі SNAP стандарту 802.11, завжди мають значення «AA AA». Протокол WEP шифрує всі байти, що йдуть за MAC-заголовком, тому перших двох зашифрованих байт завжди відомий відкритий текст («АА АА»). Цей шлях надає можливість отримати фрагменти зашифрованого та відкритого повідомлення.

В Internet безкоштовно поширюються утиліти для злому WEP. Найвідоміші з них - AirSnort та WEPCrack. Для успішного злому WEP-ключа за їх допомогою достатньо набрати від 100 тис. до 1 млн. пакетів. Нові утиліти Aircrack і Weplab для злому WEP-ключів реалізують ефективніший алгоритм, при якому потрібно значно менше пакетів. Тому WEP є ненадійним.

Бездротові технології стають безпечнішими

Сьогодні багато компаній використовують зручні та безпечні бездротові мережі. Стандарт 802.11i підняв безпеку на якісно новий рівень. Робоча група IEEE 802.11i, до якої входило створення нового стандарту безпеки бездротових мереж, була сформована після вивчення відомостей про вразливість протоколу WEP. На розробку потрібен деякий час, тому більшість виробників обладнання, не дочекавшись виходу нового стандарту, почали пропонувати свої методи (див. ). У 2004 році з'явився новий стандарт, проте постачальники обладнання за інерцією продовжують використовувати старі рішення.

802.11i визначає використання стандарту розширеного шифрування (Advanced Encryption Standard, AES) замість WEP. В основі AES лежить реалізація алгоритму Рендела, який більшість криптоаналітиків визнає стійким. Цей алгоритм істотно кращий за свого слабкого попередника RC4, який використовується в WEP: він передбачає використання ключів довжиною 128, 192 і 256 розрядів, замість 64 біт, що використовуються в оригінальному стандарті 802.11. Новий стандарт 802.11i також визначає використання TKIP, CCMP та 802.1x/EAP.

EAP-MD5 підтверджує автентифікацію користувача шляхом перевірки пароля. Питання використання шифрування трафіку віддано на відкуп адміністратору мережі. Слабкість EAP-MD5 полягає у відсутності обов'язкового використанняшифрування, тому EAP-MD5 допускає можливість атаки типу "men in the middle".

Протокол "легковажний EAP" (Lightweight EAP, LEAP), який створила компанія Cisco, передбачає не тільки шифрування даних, а й ротацію ключів. LEAP не вимагає наявності ключів у клієнта, оскільки вони безпечно пересилаються після того, як користувач пройшов аутентифікацію. Це дозволяє користувачам легко підключатися до мережі, використовуючи обліковий записта пароль.

Ранні реалізації LEAP забезпечували лише односторонню автентифікацію користувачів. Пізніше Cisco додала можливість взаємної автентифікації. Проте з'ясувалося, що протокол LEAP уразливий до атак за словником. Співробітник американського Інституту системного адміністрування, телекомунікацій та безпеки (SANS) Джошуа Райт розробив утиліту ASLEAP, яка здійснює подібну атаку, після чого компанія Cisco рекомендувала використовувати сильні паролі завдовжки не менше восьми знаків, включаючи спецсимволи, символи верхнього, нижнього регістру та цифри. LEAP безпечний в тій мірі, наскільки стійким є пароль до спроб підбору.

Більш сильний варіант реалізації EAP - EAP-TLS, який використовує встановлені цифрові сертифікати на клієнті та сервері, був розроблений у Microsoft. Цей метод забезпечує взаємну аутентифікацію і покладається не тільки на пароль користувача, але також підтримує ротацію та динамічний розподіл ключів. Незручність EAP-TLS полягає в необхідності встановлення сертифіката на кожному клієнті, що може виявитися досить трудомісткою та дорогою операцією. До того ж, цей метод непрактично використовувати в мережі, де часто змінюються співробітники.

Виробники бездротових мереж просувають рішення спрощення процедури підключення до бездротових мереж авторизованих користувачів. Ця ідея цілком здійсненна, якщо включити LEAP і роздати імена користувачів та паролі. Але якщо виникає необхідність використання цифрового сертифікатаабо введення довгого WEP-ключа, процес може стати стомлюючим.

Компанії Microsoft, Cisco та RSA спільними зусиллями розробили новий протокол – PEAP, який об'єднав простоту використання LEAP та безпеку EAP-TLS. PEAP використовує сертифікат, встановлений на сервері, та автентифікацію за паролем для клієнтів. Аналогічне рішення – EAP-TTLS – випустила компанія Funk Software.

Різні виробники підтримують різні типи EAP, а також кілька типів одночасно. Процес EAP аналогічний всім типів.

Типові операції EAP

Що таке WPA

Після того, як бездротові мережі були оголошені небезпечними, виробники розпочали реалізацію власних рішень щодо забезпечення безпеки. Це поставило компанії перед вибором: використовувати рішення одного виробника або чекати на вихід стандарту 802.11i. Дата прийняття стандарту була невідома, тому 1999 року було сформовано альянс Wi-Fi. Його метою була уніфікація взаємодії бездротових мережних продуктів.

Альянс Wi-Fi затвердив протокол захищеного бездротового доступу(Wireless Protected Access, WPA), розглядаючи його як тимчасове рішення до виходу стандарту 802.11i. Протокол WPA передбачає використання стандартів TKIP та 802.1x/EAP. Будь-яке обладнання Wi-Fi, Сертифіковане на сумісність з WPA, має працювати разом з іншим сертифікованим обладнанням. Постачальники можуть використовувати і власні механізми забезпечення безпеки, але повинні в будь-якому випадку включати підтримку стандартів Wi-Fi.

Після початкового оголошення параметрів 802.11i альянс Wi-Fi створив стандарт WPA2. Будь-яке обладнання, яке має сертифікат WPA2, повністю сумісне з 802.11i. Якщо бездротова мережа підприємства не підтримує стандарт 802.11i, то для забезпечення адекватної безпеки слід якнайшвидше перейти на 802.11i.

Що таке фільтрація MAC-адрес?

Якщо WEP небезпечний, то чи зможе захистити бездротову мережу фільтрація апаратних адрес (Media Access Control, MAC)? На жаль, фільтри МАС-адрес призначені для запобігання несанкціонованим підключенням, проти перехоплення трафіку вони безсилі.

Фільтрування МАС-адрес не надає помітного впливу на безпеку бездротових мереж. Вона вимагає від зловмисника лише одного додаткової дії: дізнатися дозволену MAC-адресу. (До речі, більшість драйверів мережевих картдозволяють його поміняти.)

Наскільки легко дізнатися дозволена MAC-адреса? Щоб отримати працюючі МАС-адреси, достатньо протягом деякого часу стежити за бездротовим трафіком за допомогою аналізатора протоколів. МАС-адреси можна перехопити, навіть якщо трафік шифрується, оскільки заголовок пакета, який включає таку адресу, передається у відкритому вигляді.

Протокол TKIP

Тимчасовий протокол забезпечення цілісності ключа (TKK) розроблений для усунення недоліків, властивих протоколу WEP. Стандарт TKIP покращує безпека WEPзавдяки ротації ключів, використанню довших векторів ініціалізації та перевірки цілісності даних.

Програми зламу WEP використовують слабкість статичних ключів: після перехоплення необхідного числа пакетів вони дозволяють легко розшифрувати трафік. Регулярна зміна ключів запобігає цьому типу атак. TKIP динамічно змінює ключі через кожних 10 тис. пакетів. Пізні реалізації протоколу дозволяють змінювати інтервал ротації ключів і навіть встановити алгоритм зміни ключа шифрування кожного пакета даних (Per-Packet Keying, PPK).

Ключ шифрування, застосовуваний у TKIP, став надійнішим проти WEP-ключами. Він складається з 128-розрядного динамічного ключа, до якого додається MAC-адреса станції і 48-розрядний вектор ініціалізації (удвічі довше оригінального вектора стандарту 802.11). Цей метод відомий як «ключове змішування» і дає впевненість у тому, що будь-які дві станції не використовують один і той самий ключ.

У протоколі також вбудований метод гарантованого забезпечення цілісності даних (Message Integrity Cheek, MIC, званий також Michael).

Оскільки бездротові мережі використовують радіохвилі, якість роботи мережі залежить від багатьох факторів. Найбільш яскравим прикладом є інтерференція радіосигналів, здатна значно погіршити показники пропускної спроможності та кількості користувачів, що підтримуються, аж до повної неможливості використання мережі. Джерелом інтерференції може бути будь-який пристрій, що випромінює сигнал достатньої потужності в тому ж частотному діапазоні, що і точка доступу: від сусідніх точок доступу в умовах густонаселеного офісного центру до електромоторів на виробництві, гарнітур Bluetoothі навіть мікрохвильові печі. З іншого боку, зловмисники можуть використовувати інтерференцію для організації атак атаки на мережу.
Чужаки, які працюють на тому ж каналі, що й легітимні точки доступу, відкривають не тільки доступ до мережі, а й порушують працездатність «правильної» бездротової мережі. Крім того, для реалізації атак на кінцевих користувачів і для проникнення в мережу за допомогою атаки Man-In-The Middle зловмисники часто заглушають точки доступу легітимної мережі, залишаючи тільки одну - свою точку доступу з тим самим ім'ям мережі.

Зв'язок

Крім інтерференції, існують інші аспекти, що впливають якість зв'язку в бездротових мережах. Оскільки бездротове середовище є середовищем з спільним доступом, кожен неправильно налаштований клієнт, або збіжна антена точки доступу можуть створювати проблеми, як на фізичному, так і на канальному рівні, призводячи до погіршення якості обслуговування інших клієнтів мережі.

Що робити?

Бездротові мережі породжують нові класи ризиків і загроз, від яких неможливо захиститися традиційними провідними засобами. Навіть якщо в організації формально заборонено Wi-Fi - це ще не означає, що хтось із користувачів не встановить чужинця і зведе цим всі вкладення в безпеку мережі до нуля. Крім того, через особливості бездротового зв'язку, важливо контролювати не тільки безпеку інфраструктури доступу, а й стежити за користувачами, які можуть стати об'єктом атаки зловмисника або просто можуть випадково чи навмисне перейти з корпоративної мережі на незахищене з'єднання.
безпека Додати теги

Щоб захистити свою Wi-Fi мережата встановити пароль, необхідно обов'язково вибрати тип безпеки бездротової мережі та метод шифрування. І на цьому етапі у багатьох виникає питання: а який вибрати? WEP, WPA, чи WPA2? Personal чи Enterprise? AES, чи TKIP? Які налаштування безпеки найкраще захистять мережу Wi-Fi? На всі ці питання я намагатимусь відповісти в рамках цієї статті. Розглянемо всі можливі методи аутентифікації та шифрування. З'ясуємо, які параметри безпеки Wi-Fi мережі краще встановити у налаштуваннях маршрутизатора.

Зверніть увагу, що тип безпеки, або аутентифікації, мережна автентифікація, захист, метод автентифікації - це все одно і те ж.

Тип аутентифікації та шифрування – це основні налаштування захисту бездротовий Wi-Fiмережі. Думаю, спочатку потрібно розібратися, які вони бувають, які є версії, їх можливості і т. д. Після чого вже з'ясуємо, який тип захисту та шифрування вибрати. Покажу на прикладі кількох популярних роутерів.

Я настійно рекомендую налаштовувати пароль та захищати свою бездротову мережу. Встановлювати максимальний рівеньзахисту. Якщо ви залишите мережу відкритою, без захисту, то до неї зможуть підключитися будь-хто. Це насамперед небезпечно. А також зайве навантаження на ваш маршрутизатор, падіння швидкості з'єднання та всілякі проблеми із підключенням різних пристроїв.

Захист Wi-Fi мережі: WEP, WPA, WPA2

Є три варіанти захисту. Зрозуміло, крім "Open" (Немає захисту).

• WEP(Wired Equivalent Privacy) – застарілий та небезпечний метод автентифікації. Це перший і не дуже зручний метод захисту. Зловмисники без проблем отримують доступ до бездротових мереж, захищених за допомогою WEP. Не потрібно встановлювати цей режим у налаштуваннях свого роутера, хоч він там і присутній (не завжди).
• WPA(Wi-Fi Protected Access) – надійний та сучасний тип безпеки. Максимальна сумісність з усіма пристроями та операційними системами.
• WPA2– нова, доопрацьована та більш надійна версія WPA. Існує підтримка шифрування AES CCMP. на Наразі, це кращий спосіб захисту Wi-Fiмережі. Саме його я рекомендую використати.

WPA/WPA2 може бути двох видів:

• WPA/WPA2 - Personal (PSK)– це типовий метод аутентифікації. Коли потрібно встановити тільки пароль (ключ) і потім використовувати його для підключення до Wi-Fi мережі. Використовується один пароль для всіх пристроїв. Сам пароль зберігається на пристроях. Де його за потреби можна подивитися, або змінити. Рекомендується використовувати цей варіант.
• WPA/WPA2 - Enterprise– більш складний метод, який використовується переважно для захисту бездротових мереж в офісах та різних закладах. Дозволяє забезпечити більше високий рівеньзахисту. Використовується лише в тому випадку, коли для авторизації пристроїв встановлений сервер RADIUS (який видає паролі).

Думаю, зі способом автентифікації ми розібралися. Найкраще використовувати WPA2 - Personal (PSK). Для кращої сумісності, щоб не було проблем зі з'єднанням старих пристроїв, можна встановити змішаний режим WPA/WPA2. На багатьох маршрутизаторах цей спосіб встановлено за умовчанням. Або позначений як "Рекомендується".

Шифрування бездротової мережі

Є два способи TKIPі AES.

Рекомендується використовувати AES. Якщо у мережі є старі пристрої, які не підтримують шифрування AES (а тільки TKIP) і будуть проблеми з їх підключенням до бездротової мережі, то встановіть "Авто". Тип шифрування TKIPне підтримується у режимі 802.11n.

У будь-якому випадку, якщо ви встановлюєте строго WPA2 - Personal (рекомендується), то буде доступне лише шифрування AES.

Який захист ставити на Wi-Fi роутері?

Використовуйте WPA2 - Personal із шифруванням AES. На сьогоднішній день, це найкращий і самий безпечний спосіб. Ось так налаштування захисту бездротової мережі виглядає на маршрутизаторах ASUS:

А ось так ці налаштування безпеки виглядають на роутерах від TP-Link (Зі старою прошивкою).

Більше докладну інструкціюдля TP-Link можете переглянути .

Інструкції для інших маршрутизаторів:

Якщо ви не знаєте, де знайти всі ці налаштування на своєму маршрутизаторі, то напишіть у коментарях, постараюся підказати. Тільки не забудьте вказати модель.

Оскільки WPA2 - Personal (AES) старі пристрої ( Wi-Fi адаптери, телефони, планшети і т. д.) можуть не підтримувати, то у разі проблем із підключенням встановлюйте змішаний режим (Авто).

Не рідко помічаю, що після зміни пароля або інших параметрів захисту пристрої не хочуть підключатися до мережі. На комп'ютерах може бути помилка "Параметри мережі, збережені на цьому комп'ютері, не відповідають вимогам мережі". Спробуйте видалити (забути) мережу на пристрої та підключиться заново. Як це зробити на Windows 7, я писав. А в Windows 10 потрібно.

Пароль (ключ) WPA PSK

Який би тип безпеки та метод шифрування ви не вибрали, необхідно встановити пароль. Він також ключ WPA, Wireless Password, ключ безпеки мережі Wi-Fi і т.д.

Довжина пароля від 8 до 32 символів. Можна використовувати літери латинського алфавіту та цифри. Також спеціальні знаки: - @ $ # ! і т. д. Без прогалин! Пароль чутливий до регістру! Це означає, що "z" та "Z" це різні символи.

Не раджу ставити прості паролі. Краще створити надійний пароль, який точно ніхто не зможе підібрати, навіть якщо добре постарається.

Навряд чи вдасться запам'ятати такий складний пароль. Добре було б його десь записати. Не рідко пароль від Wi-Fi просто забувають. Що робити у таких ситуаціях, писав у статті: .

Якщо вам потрібно ще більше захисту, можна використовувати прив'язку за MAC-адресою. Щоправда, не бачу у цьому потреби. WPA2 - Personal у парі з AES та складним паролем – цілком достатньо.

А як ви захищаєте свою мережу Wi-Fi? Напишіть у коментарях. Ну і питання ставте 🙂