Typen af ​​trådløs sikkerhed og kryptering. Hvilken skal man vælge? WiFi sikkerhed

WEP (Wired Equivalent Privacy) - Sikkerhed svarende til hemmeligholdelse) er et kendetegn ved 802.11-standarden, der bruges til at sikre sikkerheden ved datatransmission. Datakryptering blev udført ved hjælp af RC4-algoritmen på en nøgle med en statisk komponent på 40 til 104 bit og med en yderligere tilfældig dynamisk komponent (initialiseringsvektor) på 24 bit i størrelse; Som et resultat blev data krypteret ved hjælp af en nøgle i størrelse fra 64 til 128 bit. WEP har ikke til opgave fuldstændigt at skjule den overførte information, den skal kun gøre den ulæselig.

Denne teknologi blev udviklet specifikt til at kryptere strømmen af ​​transmitterede data inden for et lokalt netværk. Den bruger den ikke særlig stærke RC4-algoritme på en statisk nøgle. En del af WEP-nøglen er statisk (40 bit i tilfælde af 64-bit kryptering), og den anden del (24 bit) er dynamisk (initialiseringsvektor), det vil sige ændres under netværksdrift. Hovedsårbarhed WEP protokol er, at initialiseringsvektorerne gentages efter et vist tidsrum, og angriberen behøver kun at indsamle disse gentagelser og beregne den statiske del af nøglen ud fra dem. For at øge sikkerhedsniveauet kan du bruge 802.1x- eller VPN-standarden ud over WEP-kryptering.

For at øge sikkerheden bruges den såkaldte Initialization Vector (IV), som er designet til at randomisere en ekstra del af nøglen, som giver forskellige variationer af chifferen til forskellige datapakker. Denne vektor er 24-bit. Som et resultat får vi således generel kryptering med en bitdybde på 64 (40+24) til 128 (104+24) bit. Ideen er meget god, da vi ved kryptering arbejder med både konstante og tilfældigt udvalgte tegn.

Det er muligt at hacke en sådan beskyttelse - de tilsvarende hjælpeprogrammer er tilgængelige på internettet (for eksempel AirSnort, WEPcrack). Dens vigtigste svage punkt er netop initialiseringsvektoren. Da vi taler om 24 bit, indebærer dette omkring 16 millioner kombinationer (2 til 24. potens) - efter at have brugt dette tal, begynder tasten at gentage sig selv. En hacker skal finde disse gentagelser (15 minutter til en time for en 40-bit nøgle) og knække resten af ​​nøglen på få sekunder. Herefter kan han logge ind på netværket som en almindelig registreret bruger.

Wep sikkerhedsprotokol

Også i 1997, da 802.11-basisstandarden blev ratificeret, godkendte IEEE mekanismen Wired Equivalent Privacy (WEP), som bruger kryptering som et middel til at levere trådløs sikkerhed. kablede netværk. WEP opererer på Layer 2 af OSI-modellen og bruger en 40-bit nøgle til kryptering, hvilket tydeligvis ikke er nok.

Tilbage i oktober 2000 blev et dokument offentliggjort IEEE 802.11-00/362 kaldet "Usikre kl Enhver nøgle størrelse; En analyse af WEP-indkapslingen" af Jesse R. Walker, som beskriver problemerne med WEP-algoritmen og de angreb, der kan iværksættes ved hjælp af dens sårbarheder. Dette problem blev udviklet i to artikler udgivet med en måneds mellemrum: "Intercepting Mobile Communications: The Insecurity of 802.11" fra University of Berkeley, præsenteret på den 7. årlige konference om mobil computing og netværk i juli 2001, og "Weaknesses in the Key Scheduling Algorithm of RC4" (udarbejdet i fællesskab af specialister fra Cisco Systems og Department of Computer Science ved det israelske Weizmann Institute), udgivet i august 2001.

Samme år dukkede det første hjælpeprogram, udviklet af Adam Stubblefield, op, hvor ovennævnte forfatteres teoretiske beregninger blev implementeret i praksis, og som knækkede WEP-chifferet i løbet af få timer. I dag er der hjælpeprogrammer, der giver dig mulighed for at knække WEP på 5-30 sekunder. Problemerne med WEP-algoritmen er komplekse og ligger i en hel række af svage punkter:

Nøgleudvekslingsmekanismen (eller rettere, dens næsten fuldstændige fravær);

Små bitdybder af nøglen og initialiseringsvektor (initialiseringsvektor -- IV);

En mekanisme til kontrol af integriteten af ​​transmitterede data;

Autentificeringsmetode og krypteringsalgoritme RC4. WEP-krypteringsprocessen foregår i to trin.

1 Først beregnes en kontrolsum (Integrity Checksum Value -- ICV) ved hjælp af Cyclic Redundancy Check (CRC-32) algoritmen, tilføjet til slutningen af ​​den ukrypterede meddelelse og brugt til at verificere dens integritet af den modtagende part.

2. På anden fase udføres kryptering direkte.

WEP-krypteringsnøglen er en delt hemmelig nøgle, som enheder på begge sider af den trådløse datatransmissionskanal skal kende. Denne 40-bit hemmelige nøgle, sammen med en tilfældig 24-bit IV, er inputsekvensen til en pseudorandom-talgenerator baseret på Vernam-chifferet til at generere en streng af tilfældige tegn kaldet en nøglestrøm.

Denne handling udføres for at undgå hackingmetoder baseret på de statistiske egenskaber af klarteksten.

IV bruges til at give hver besked sin egen unikke nøglestrøm.

Den krypterede meddelelse (figur 1) er produceret ved at XORinge den ukrypterede meddelelse med ICV'en og nøglestrømmen. Så modtageren kan læse det ind i den transmitterede pakke i åben form IV tilsættes. Når information modtages på den anden side, sker den omvendte proces (p=c+b). Betyder b modtageren beregner ved at anvende Vernam-koden på inputsekvensen bestående af nøglen TIL(som han kender i forvejen) og IV, som kom med samme besked i klartekst. For hver efterfølgende pakke gentages processen med en ny valgt IV-værdi. Til nummeret kendte egenskaber RC4-algoritmen er, at hvis vi bruger den samme nøgleværdi og initialiseringsvektor, vil vi altid få den samme værdi b derfor anvender XOR-operationen på to tekster krypteret af RC4 med samme værdi b, er intet andet end en XOR-operation på to indledende tekster.

c1=pi+b; c2=p2+b; c 1 + c 2 =(p 1 +b)+(p 2 +b) = p 1 + p 2

På denne måde kan vi få den almindelige tekst, der er resultatet af en XOR-operation mellem to andre originaltekster. Proceduren for at udtrække dem er ikke vanskelig. Tilstedeværelsen af ​​den originale tekst og IV giver dig mulighed for at beregne nøglen, som i fremtiden vil gøre det muligt at læse alle beskeder i denne trådløst netværk. Efter en simpel analyse kan du nemt beregne, hvornår det sker igen b. Siden nøglen K konstant, og antallet af IV-indstillinger er 2 24 = 16 777 216, så med tilstrækkelig belastning på adgangspunktet er den gennemsnitlige pakkestørrelse i det trådløse netværk 1500 bytes (12 000 bits), og gennemsnitshastighed dataoverførsel, for eksempel 5 Mbps (med et maksimum på 11 Mbps), får vi, at adgangspunktet vil transmittere 416 beskeder i sekundet, eller 1.497.600 beskeder i timen, dvs. gentagelse vil ske på 11 timer 12 minutter (2 24 / 1,497,600= 11,2 timer). Dette problem kaldes "vektorkollision". Eksisterer et stort antal af måder at fremskynde denne proces. Derudover kan "kendte" angreb bruges. i almindelig tekst", når en besked med et tidligere kendt indhold sendes til en af ​​netværksbrugerne og krypteret trafik aflyttes. I dette tilfælde kan nøglen beregnes med tre komponenter ud af fire (almindelig tekst, initialiseringsvektor og chiffertekst). .

Situationen ligner den ICV, der bruges i WEP-algoritmen. CRC-32-værdien beregnes baseret på meddelelsesdatafeltet. Det her god metode at fastslå fejl, der opstår under transmissionen af ​​information, men det sikrer ikke dataenes integritet, dvs. det garanterer ikke, at de ikke er blevet erstattet under transmissionsprocessen. Tjek sum CRC-32 har en lineær egenskab: CRC(A XOR B)=CRC(A)XOR CRC(B), som gør det muligt for en angriber nemt at ændre en krypteret pakke uden at kende WEP-nøglen og genberegne en ny ICV-værdi for den.

Wired Equivalent Privacy (WEP) er en forældet algoritme til at sikre sikkerheden i et IEEE 802.11 trådløst netværk.

Trådløse netværk, der bruger radio, er mere modtagelige for aflytning end kablede netværk.

I 1999 var WEP beregnet til at give privatliv, der kan sammenlignes med et kablet netværk. Også WEP er en valgfri funktion IEEE standard 802.11, som bruges til at sikre sikker datatransmission. Den er identisk med sikkerhedsprotokollen i lokale kabelnetværk uden brug af yderligere metoder kryptering.

WEP teknologi

I henhold til 802.11-standarden bruges WEP-datakryptering til følgende formål:

1. Forhindring af uautoriseret adgang til data ved brug af trådløse netværksenheder.

2. Forhindring af aflytning af trådløs trafik lokale netværk.

WEP giver den trådløse netværksadministrator mulighed for at definere et sæt nøgler for hver bruger baseret på en "nøglestreng", der behandles af WEP-algoritmen. Enhver bruger, der ikke har den nødvendige nøgle, kan ikke få adgang til netværket.

Som angivet i specifikationen bruger WEP RC4-krypteringsalgoritmen med en 40-bit eller 128-bit nøgle. Når WEP er aktiveret, modtager alle stationer (både klient og adgangspunkter) deres egen nøgle, som bruges til at kryptere data, før de sendes til senderen. Hvis en station modtager en pakke, der ikke er krypteret med den passende nøgle, udelukkes den fra trafikken. Denne metode tjener til at beskytte mod uautoriseret adgang og aflytning af data.

Siden 2001 har en række alvorlige fejl identificeret af kryptoanalytikere vist, at nutidens WEP-kommunikation kan hackes på få minutter. Et par måneder senere oprettede IEEE en ny 802.11i-taskforce for at bekæmpe problemerne. I 2003 annoncerede Wi-Fi Alliance, at WEP var blevet erstattet af WPA, som var en ændring af 802.11i. I 2004, med den fulde vedtagelse af 802.11i (eller WPA2) standarden, erklærede IEEE, at WEP-40 og WEP-104 ikke blev anbefalet, fordi de ikke opfyldte deres sikkerhedsansvar. På trods af dets mangler er WEP stadig meget udbredt i dag.

Informationssikkerhedsforskere har udgivet en detaljeret rapport om svagheder i de krypteringsmetoder, der i vid udstrækning anvendes til at beskytte information, der transmitteres over trådløse netværk.

Roden til problemet er de eksisterende smuthuller i privatlivets fred, som opstår på grund af fejl i kodetildelingsalgoritmen, der bruges i Wired Equivalent Privacy (WEP), en protokol, der er en del af 802.11 netværksradiostandarden.

Radiosikkerhedssårbarheder er blevet bredt dokumenteret før, men den største forskel med den nyopdagede fejl er, at den er meget nemmere at udnytte. Ifølge EE-Times vil passiv opsnatning af chiffertekst og derefter bearbejde den ved hjælp af den metode, forskerne har foreslået, give en angriber med en radio-LAN-forbindelse mulighed for at opfange sikkerhedskoder på mindre end 15 minutter. At øge længden af ​​nøglen, der bruges til kodning, ville ikke være til gavn for at bekæmpe angreb, der udnytter en grundlæggende fejl i metoden for den anvendte kodningsteknik.

WEP-krypteringsmekanisme

WEP (Wired Equivalent Privacy) kryptering er baseret på RC4 (Rivest's Cipher v.4) algoritme, som er en symmetrisk strømkryptering. Som bemærket tidligere skal abonnentens og radioadgangspunktets krypteringsnøgler for normal udveksling af brugerdata være identiske.

Kernen i algoritmen består af en nøglestrømgenereringsfunktion. Denne funktion genererer en sekvens af bit, som derefter kombineres med i klartekst ved at summere modulo to. Dekryptering består i at regenerere denne nøglestrøm og summere den modulo to med chiffergrammet for at gendanne den originale tekst. Den anden hoveddel af algoritmen er initialiseringsfunktionen, som bruger en nøgle med variabel længde til at skabe starttilstanden for keystream-generatoren.

RC4 er faktisk en klasse af algoritmer defineret af dens blokstørrelse. Denne parameter n er ordstørrelsen for algoritmen. Typisk er n = 8, men til analyseformål kan dette reduceres. Men for at øge sikkerhedsniveauet er det nødvendigt at indstille denne værdi til en højere værdi. Intern tilstand RC4 består af en række af 2n ord og to tællere, hver et ord i størrelse. Arrayet er kendt som en S-boks og vil i det følgende blive omtalt som S. Det indeholder altid en permutation af de 2n mulige betydninger af et ord. De to tællere er betegnet med i og j.

RC4 initialiseringsalgoritme

Denne algoritme bruger en nøgle, der er gemt i Key og har en længde på l bytes. Initialisering begynder med at fylde arrayet S, derefter blandes dette array af permutationer bestemt af nøglen. Da der kun udføres én handling på S, skal udsagnet holde, at S altid indeholder alle værdier kodeord.

Indledende matrixfyldning:

for i = 0 til 2n – 1

Scrabling:

for i = 0 til 2n – 1

j = j + S[i] + nøgle

Permutation (S[i], S[j])

RC4-nøglestrømsgeneratoren omarrangerer værdierne gemt i S og vælger en ny værdi fra S som resultat hver gang. I en RC4-cyklus bestemmes et n-bit ord K ud fra nøglestrømmen, som yderligere summeres med den originale tekst for at opnå chifferteksten.

Initialisering:

Generationscyklus:

Permutation (S[i], S[j])

Resultat: K = S + S[j]].

Funktioner i WEP-protokollen

Tilstrækkelig modstandsdygtig over for angreb forbundet med simpel opregning af krypteringsnøgler, hvilket sikres af den nødvendige nøglelængde og hyppigheden af ​​ændring af nøgler og initialiseringsvektor;

Selvsynkronisering for hver besked. Denne egenskab er nøglen til medieadgangslagsprotokoller, hvor antallet af forvrængede og tabte pakker er højt;

Effektivitet: WEP er let at implementere;

Åbenhed;

Brugen af ​​WEP-kryptering er valgfri på IEEE 802.11-netværk.

Stream- og blokkryptering bruges til løbende at kryptere datastrømmen.

Stream kryptering

Streamkryptering udfører bitvis addition modulo 2 (eksklusiv ELLER-funktion, XOR) af nøglesekvensen genereret af krypteringsalgoritmen baseret på forhånd givet nøgle og den oprindelige besked. Nøglesekvensen har en længde svarende til længden af ​​den oprindelige meddelelse, der skal krypteres.

Bloker kryptering

Blokkryptering fungerer med blokke af en forudbestemt længde, som ikke ændres under krypteringsprocessen. Den oprindelige besked er fragmenteret i blokke, og XOR-funktionen beregnes på nøglesekvensen og hver blok. Blokstørrelsen er fast, og det sidste fragment af den originale besked er polstret med tomme tegn i længden af ​​en normal blok. For eksempel, i blokkryptering med 16-byte blokke, er den originale 38-byte meddelelse fragmenteret i to 16-byte blokke og 1 6-byte blok, som derefter udfyldes med 10 bytes nul-tegn til længden af ​​en normal blok .

Streamkryptering og blokkryptering bruger metoden Electronic Code Book (ECB). ECB-metoden er kendetegnet ved, at den samme originale meddelelse ved indgangen altid genererer den samme krypterede meddelelse ved udgangen. Dette er et potentielt sikkerhedshul, fordi en udefrakommende observatør, efter at have detekteret gentagne sekvenser i en krypteret meddelelse, er i stand til at foretage kvalificerede gæt med hensyn til identiteten af ​​indholdet af den originale meddelelse.

For at løse dette problem skal du bruge:

· Initialiseringsvektorer (IV'er).

· Feedback(feedback-tilstande).

Inden krypteringsprocessen begynder, fordeles en 40- eller 104-bit hemmelig nøgle mellem alle stationer i det trådløse netværk. En initialiseringsvektor (IV) tilføjes til den hemmelige nøgle.

Initialiseringsvektor

Initialiseringsvektoren (IV) bruges til at ændre nøglesekvensen. Ved brug af en initialiseringsvektor genereres nøglesekvensen af ​​en krypteringsalgoritme, hvis input er en hemmelig nøgle kombineret med IV. Når initialiseringsvektoren ændres, ændres nøglesekvensen også. I fig. 8.3, krypteres den oprindelige meddelelse ved hjælp af en ny nøglesekvens genereret af krypteringsalgoritmen efter at have sendt en kombination af den hemmelige nøgle og initialiseringsvektoren til dens input, som genererer en krypteret meddelelse ved udgangen.

Den samme ukrypterede ramme, der transmitteres flere gange, vil således producere en unik krypteret ramme hver gang.

Initialiseringsvektoren er 24 bit lang og kombineres med en 40- eller 104-bit WEP-krypteringsbasisnøgle for at producere en 64- eller 128-bit nøgle som input til krypteringsalgoritmen. Initialiseringsvektoren er til stede i ukrypteret form i rammeheaderen på radiokanalen, således at den modtagende ende med succes kan afkode rammen. Selvom WEP-kryptering almindeligvis taler om at bruge 64-bit eller 128-bit nøgler, er den effektive nøglelængde kun 40 eller 104 bit, fordi initialiseringsvektoren sendes ukrypteret. Når krypteringsindstillingerne i udstyret er på 40-bit på en effektiv måde 5 byte ASCII-tegn indtastes (5×8=40) eller 10 hexadecimale tal(10x4=40), og med en 104-bit effektiv nøgle indtastes 13 byte ASCII-tegn (3x8=104) eller 26 hexadecimale tal (26x4=104). Noget udstyr kan håndtere en 128-bit nøgle.

Svagheder ved WEP-kryptering og eksempler på angreb

Alle angreb på WEP er baseret på fejl i RC4-chifferet, såsom muligheden for og rammemodifikationer. Alle typer angreb kræver aflytning og analyse af trådløse netværksrammer. Afhængigt af typen af ​​angreb varierer antallet af frames, der kræves til hacking. Ved at bruge programmer som Aircrack-ng er hacking af et trådløst netværk med WEP-kryptering meget hurtigt og kræver ikke særlige færdigheder.

Flarere-Mantin-Shamir angreb

Det blev foreslået i 2001 af Scott Flurer, Itzik Mantin og Adi Shamir. Kræver tilstedeværelsen af ​​svage initialiseringsvektorer i frames. I gennemsnit skal omkring en halv million frames opsnappes for at hacke. Kun svage vektorer anvendes i analysen. Hvis de er fraværende (for eksempel efter korrektion af krypteringsalgoritmen) dette angreb ineffektiv.

KoreK angreb

Det blev foreslået i 2004 af en hacker, der kalder sig KoreK. Dets ejendommelighed er, at angrebet ikke kræver svage initialiseringsvektorer. For at hacke skal du opsnappe flere hundrede tusinde frames. Kun initialiseringsvektorer bruges i analysen.

Tevs-Weinman-Pyshkin angreb

Det blev foreslået i 2007 af Erik Tews, Ralf-Philipp Weinmann og Andrey Pyshkin. Bruger muligheden for at injicere ARP-anmodninger i et trådløst netværk. På dette øjeblik Dette er det mest effektive angreb, der kun kræver et par titusindvis af frames at bryde. Hele frames er brugt i analysen. Afslutningsvis kan det erindres, at algoritmen har mange svagheder:

• mekanismer til nøgleudveksling og kontrol af dataintegritet
• lille bredde af nøglen og initialiseringsvektor (engelsk initialiseringsvektor)
• autentificeringsmetode
• krypteringsalgoritme.

I 2001 dukkede WEP-104-specifikationen op, som dog ikke løste problemet, da længden af ​​initialiseringsvektoren og metoden til kontrol af dataintegritet forblev den samme. I 2004 godkendte IEEE de nye mekanismer WPA og WPA2. Siden da er WEP blevet betragtet som forældet. I 2008 blev DSS-standarden (Data Security Standard) udgivet af SSC (Security Standards Council) i PCI-organisationen (Payment Card Industry), som anbefalede at stoppe brugen af ​​WEP til kryptering efter den 30. juni 2010.

Personlige data og filer placeret på et trådløst netværk kan nogle gange ses af personer, der modtager dit netværks radiosignal. Dette kan føre til identitetstyveri og andre ondsindede aktiviteter.

Netværkssikkerhedsnøgle eller adgangskode vil hjælpe med at beskytte dit trådløse netværk mod sådan uautoriseret adgang.

Network Setup Wizard hjælper dig med at installere netværkssikkerhedsnøgle.

Bemærk Bemærk: Det anbefales ikke at bruge Wired Equivalent Privacy (WEP) som en måde at sikre dit trådløse netværk på. Sikker teknologi Wi-Fi adgang(WPA eller WPA2) er mere sikker. Hvis WPA- eller WPA2-teknologien ikke virker, anbefales det at udskifte netværksadapteren med en, der fungerer med WPA eller WPA2. Alle netværksenheder Computere, routere og adgangspunkter understøtter også WPA eller WPA2.

Krypteringsmetoder til trådløse netværk

Der er i øjeblikket tre krypteringsmetoder til trådløse netværk: Wi-Fi Protected Access (WPA og WPA2), Wired Equivalent Privacy (WEP) og 802.1x. De to første metoder er beskrevet mere detaljeret nedenfor. 802.1x, som normalt bruges til virksomhedsnetværk, er ikke beskrevet i dette afsnit.

Wi-Fi Protected Access Technology (WPA og WPA2)

For at oprette forbindelse ved hjælp af WPA og WPA2 skal du have en sikkerhedsnøgle. Når nøglen er verificeret, vil alle data, der sendes mellem din computer eller enhed og adgangspunktet, blive krypteret.

Der er to typer WPA-godkendelse: WPA og WPA2. Brug WPA2 når det er muligt, da det er det mest sikre. Næsten alle nye trådløse adaptere understøtter WPA og WPA2, men der er nogle ældre modeller, der ikke understøtter dem.

WPA-Personal og WPA2-Personal giver brugerne den samme adgangssætning. Disse typer anbefales til brug i hjemmenetværk. WPA-Enterprise og WPA2-Enterprise er designet til brug med en 802.1x-godkendelsesserver, som genererer en forskellig nøgle for hver bruger. Denne type bruges typisk i arbejdsnetværk.

Wired Equivalent Privacy (WEP) Protocol

WEP er en måde at sikre dit netværk på tidligere generation, er stadig tilgængelig og understøtter ældre enhedsmodeller, men det anbefales ikke at bruge det. Når du aktiverer WEP, skal du konfigurere en netværkssikkerhedsnøgle. Denne krypteringsnøgle sendes over et netværk fra en computer til en anden. WEP-sikkerheden er dog relativt let at bryde.

Der er to typer WEP: åben systemgodkendelse og delt nøglegodkendelse. Ingen af ​​dem er helt sikre, men delt nøglegodkendelse er den mindst sikre type.

For de fleste trådløse computere og adgangspunkter, er den offentlige godkendelsesnøgle den samme som den statiske WEP-krypteringsnøgle, der bruges til at sikre netværket. En angriber kan opsnappe den vellykkede meddelelse om autentificering af delt nøgle og bruge sniffningsværktøjer til at bestemme den delte godkendelsesnøgle og den statiske WEP-krypteringsnøgle.

Når den statiske WEP-krypteringsnøgle er fastlagt, har angriberen fuld adgang til netværket. Af denne grund dette Windows version ikke understøtter automatisk opsætning netværk ved hjælp af WEP-delt nøglegodkendelse.

Hvis du på trods af disse forbehold stadig ønsker at konfigurere WEP-godkendelse ved hjælp af en delt nøgle, kan du gøre det ved at følge disse trin.

Oprettelse af en profil ved hjælp af WEP-godkendelse med delt nøgle

1. Åbn vinduet Netværks- og delingscenter.
2. Klik Konfigurer en ny forbindelse eller et nyt netværk.
3. Vælg Manuel tilslutning til et trådløst netværk og klik på Næste.
4. På siden Indtast oplysninger om det trådløse netværk, du vil tilføje under overskriften Type beskyttelse vælg WEP.
5. Udfyld de resterende sider, og klik på Næste.
6. Klik Opsætning af forbindelse.
7. Gå til fanen Sikkerhed, på listen Type beskyttelse Vælg Generel.
8. Klik på OK.

WEP-kryptering er en funktion i hvert 802.11b-system, så det er vigtigt at vide, hvordan det fungerer, selvom du vælger ikke at bruge det. Som navnet antyder, var det oprindelige formål med Wired Equivalent Privacy (WEP) at give et sikkerhedsniveau for trådløse netværk, der kan sammenlignes med et kablet netværk. Men der er en meget almindelig påstand om, at et netværk baseret på WEP-kryptering er næsten lige så sårbart over for indtrængen som et netværk med absolut ingen sikkerhed. Det vil beskytte mod lejlighedsvis spion, men vil ikke være særlig effektivt mod en vedvarende indbrudstyv.

WEP udfører tre funktioner: det forhindrer uautoriseret adgang til netværket, verificerer integriteten af ​​hver pakke og beskytter data mod uønskede. For at kryptere datapakker bruger WEP en hemmelig krypteringsnøgle, før netværksklienten eller adgangspunktet transmitterer dem, og bruger den samme nøgle til at afkode dataene, efter de er modtaget.

Når en klient forsøger at kommunikere med netværket ved hjælp af en anden nøgle, bliver resultatet forvansket og ignoreret. Derfor skal WEP-indstillingerne være nøjagtig de samme på alle adgangspunkter og klientadaptere på netværket. Dette lyder simpelt nok, men er problematisk, fordi producenterne bruger forskellige metoder for at bestemme størrelsen og formatet af WEP-nøglen. Funktionerne er konsekvente fra mærke til mærke, men de samme indstillinger har ikke altid de samme betegnelser.

Hvor mange bits er der i din WEP-nøgle?

For det første kan WEP-nøglen være enten 64 eller 128 bit. 128-bit nøgler er sværere at knække, men de øger også den tid, det tager at sende hver pakke.

Forvirring i implementeringer forskellige producenter opstår, fordi 40-bit WEP er det samme som en 64-bit WEP-nøgle, og en 104-bit nøgle er det samme som en 128-bit nøgle. En standard 64-bit WEP-nøgle er en streng, der indeholder en internt genereret 24-bit initialiseringsvektor og en 40-bit hemmelig nøgle tildelt af netværksadministratoren. Nogle producenters specifikationer og konfigurationsprogrammer kalder dette "64-bit kryptering", og andre kalder det "40-bit kryptering". I begge tilfælde forbliver krypteringsskemaet det samme, så en adapter, der bruger 40-bit kryptering, er fuldt ud kompatibel med et adgangspunkt eller en adapter, der bruger 64-bit kryptering.

Mange netværksadaptere og adgangspunkter indeholder også en "stærk kryptering", der bruger en 128-bit nøgle (som faktisk er en 104-bit hemmelig nøgle med en 24-bit initialiseringsvektor).

Stærk kryptering er envejskompatibel med 64-bit kryptering, men er ikke automatisk, så alle komponenter i et blandet netværk af enheder med en 128-bit og 64-bit nøgle vil fungere med 64-bit kryptering. Hvis adgangspunktet og alle adaptere understøtter 128-bit kryptering, skal du bruge en 128-bit nøgle. Men hvis du ønsker, at dit netværk skal være kompatibelt med adaptere og adgangspunkter, der kun genkender 64-bit kryptering, skal du konfigurere hele dit netværk til at bruge 64-bit nøgler.

ASCII eller hexadecimal nøgle?

Men nøglelængden alene er forvirrende, når du opsætter WEP-kryptering. Nogle programmer kræver nøglen som en streng fra tekst tegn, og andre som hexadecimale tal. Andre kan generere en nøgle fra en valgfri adgangssætning.

Hvert ASCII-tegn består af 8 bit, så en 40-bit (eller 64-bit) WEP-nøgle indeholder 5 tegn, og en 104-bit (eller 128-bit) nøgle består af 13 tegn. I hexadecimalt system hvert tal er 4 bit, så en 40-bit nøgle indeholder 10 hexadecimale tegn, og 128-bit har 26 tegn.

I fig. 14.2, der viser vinduet Trådløs indstilling for punktet D-Link adgang Feltet 40-bit Shared Key Security bruger hexadecimale tegn og har plads til ti tegn. D-Link program indeholder alle ti tegn på én linje, men nogle andre opdeler dem i fem grupper med to tal eller to grupper af fem tal.

Ris. 14.2

For en computer ser nøglen ens ud, men det er nemmere at kopiere strengen, når den er opdelt i dele.

Mange klientværktøjer, såsom dialogboksen Egenskaber for trådløst netværk i Windows XP (vist i figur 14.3), tilbyder et valg af enten hexadecimal kode, eller tekst, så du kan bruge det passende format til adgangspunktet.

Adgangssætningen er tekststreng, som adaptere og adgangspunkter automatisk konverterer til en streng af hexadecimale tegn. Da folk generelt husker meningsfulde ord eller sætninger lettere end hexadecimal gobbledygook, er en adgangssætning lettere at formidle end en hexadecimal streng. En adgangssætning er dog kun nyttig, når alle adaptere og adgangspunkter på netværket er lavet af den samme producent.

Ris. 14.3

Hvilke funktioner er til stede?

I lighed med næsten alle indstillinger i 802.11b-konfigurationsværktøjet er navnene på WEP-funktioner ikke konstante fra et program til et andet.

Nogle bruger åbent sæt funktioner som "aktiver WEP-kryptering", og andre bruger teknisk terminologi hentet fra den officielle 802.11-specifikation. Åben systemgodkendelse er den anden variant af navnet "WEP Encryption Disabled".

Nogle adgangspunkter har også en valgfri godkendelsesfunktion med offentlig nøgle, som bruger WEP-kryptering, når netværksklienten har nøglen, men ukrypterede data accepteres fra andre netværksknuder.

Kombination af hexadecimal- og tekstnøgler

Opsætning af et blandet netværk bliver mere kompliceret, når nogle netværksknuder kun bruger hexadecimale nøgler, mens andre kræver tekstnøgler. Hvis denne situation opstår på dit netværk, skal du følge nedenstående regler for at konfigurere dem med WEP:

Konverter alle tekstnøgler til hexadecimal. Hvis konfigurationsprogrammet kræver en teksttast, skal du indtaste tegnene Åh(nul efterfulgt af lille bogstav x) før den hexadecimale streng. Hvis du bruger software Apples AirPort i stedet Åh I begyndelsen af ​​hessadecimalnøglen skal du indtaste et dollarsymbol ( $ );

Sørg for, at alle dine krypteringsnøgler har det korrekte antal tegn;

Hvis tingene stadig ikke virker, skal du læse sikkerhedsafsnittene i dine manualer. netværksadaptere og adgangspunkter. Det er muligt, at en eller flere af disse enheder på netværket har en form for skjult individuel funktion, som du ikke kender til.

Ændring af WEP-nøgler

Mange adgangspunkter og adaptere netværksklienter kan understøtte op til fire forskellige 64-bit WEP-nøgler, men kun én er aktiv ad gangen, som vist i figuren. 14.4. Andre nøgler er reservenøgler, hvilket evt netværksadministrator juster netværksbeskyttelsen med en kort meddelelse. Adaptere og adgangspunkter, der understøtter 128-bit kryptering, bruger kun én 128-bit WEP-nøgle ad gangen.

Ris. 14.4

På et netværk, hvor WEP-kryptering er organiseret seriøst. WEP-nøgler skal ændres regelmæssigt i henhold til en tidsplan. En måned er tilstrækkelig for et netværk, der ikke overfører vigtige data, men for et mere seriøst netværk skal der installeres en ny nøgle en eller to gange om ugen. Husk at skrive dine nuværende WEP-nøgler ned på et sikkert sted.

Spørgsmålet opstår ofte: hvilken type Wi-Fi-kryptering du skal vælge til din hjemmerouter. Det kan virke som en lille ting, men hvis parametrene er forkerte, kan der opstå problemer med netværket, og endda med overførsel af information via et Ethernet-kabel.

Derfor vil vi her se på, hvilke typer datakryptering der understøttes af moderne WiFi-routere, og hvordan aes-krypteringstypen adskiller sig fra de populære wpa og wpa2.

Krypteringstype for trådløst netværk: hvordan vælger man en sikkerhedsmetode?

Så der er 3 typer kryptering i alt:

1. 1. WEP-kryptering

WEP-krypteringstypen dukkede op tilbage i 90'erne og var den første mulighed Wi-Fi beskyttelse netværk: det var placeret som en analog af kryptering i kablede netværk og brugte RC4-krypteringen. Der var tre almindelige krypteringsalgoritmer for transmitterede data - Neesus, Apple og MD5 - men hver af dem gav ikke det nødvendige sikkerhedsniveau. I 2004 erklærede IEEE standarden for forældet på grund af det faktum, at den endelig ophørte med at levere sikre netværksforbindelser. I øjeblikket anbefales det ikke at bruge denne type kryptering til wifi, fordi... det er ikke kryptosikkert.

1. 2.WPS er en standard, der ikke giver mulighed for brug af . For at oprette forbindelse til routeren skal du blot klikke på den relevante knap, som vi beskrev detaljeret i artiklen.

Teoretisk giver WPS dig mulighed for at oprette forbindelse til et adgangspunkt ved hjælp af en ottecifret kode, men i praksis er kun fire ofte nok.

Denne kendsgerning udnyttes let af adskillige hackere, der hurtigt (på 3 - 15 timer) hacker wifi-netværk, så brug denne forbindelse heller ikke anbefalet.

1. 3.Krypteringstype WPA/WPA2

Tingene er meget bedre med WPA-kryptering. I stedet for den sårbare RC4-chiffer bruger vi AES-kryptering, hvor adgangskodens længde er en vilkårlig værdi (8 – 63 bit). Denne type kryptering giver et normalt sikkerhedsniveau, og er ganske velegnet til simpel wifi routere. Der er to typer af det:

Type PSK (Pre-Shared Key) – forbindelse til adgangspunktet udføres vha angivne adgangskode.
- Enterprise – adgangskoden til hver node genereres automatisk og kontrolleres på RADIUS-servere.

WPA2-krypteringstypen er en fortsættelse af WPA med sikkerhedsforbedringer. I denne protokol Der anvendes RSN, som er baseret på AES-kryptering.

Ligesom WPA-kryptering har WPA2 to driftsformer: PSK og Enterprise.

Siden 2006 er WPA2-krypteringstypen blevet understøttet af alle Wi-Fi udstyr, kan den tilsvarende geo vælges for enhver router.

Fordele ved WPA2-kryptering i forhold til WPA:

Krypteringsnøgler genereres under forbindelsen til routeren (i stedet for statiske);
- Brug af Michael-algoritmen til at kontrollere integritet overførte beskeder
- Brug af en initialiseringsvektor af væsentligt større længde.
Derudover bør du vælge typen af ​​Wi-Fi-kryptering afhængigt af hvor din router bruges:

WEP-, TKIP- og CKIP-kryptering bør slet ikke bruges;

Til hjemmepunkt WPA/WPA2 PSK er ganske velegnet til adgang;

Til dette bør du vælge WPA/WPA2 Enterprise.