• hjem
  •  > 
  • Mobile enheder
  •  > 
  • Hvad er forskellen mellem Wi-Fi-protokollerne WPA, WPA2 og WEP? Wi-Fi sikkerhedsnøgle.

Hvad er forskellen mellem Wi-Fi-protokollerne WPA, WPA2 og WEP? Wi-Fi sikkerhedsnøgle.

En stor bekymring for alle trådløse LAN'er (og alle kablede LAN'er, for den sags skyld) er sikkerhed. Sikkerhed er lige så vigtig her som for enhver internetbruger. Sikkerhed er et komplekst spørgsmål og kræver konstant opmærksomhed. Enorme skade kan forårsages af brugeren på grund af det faktum, at han bruger tilfældige hot-spots (hot-spots) eller åbne WI-FI-adgangspunkter i hjemmet eller på kontoret og ikke bruger kryptering eller VPN (Virtual Private Network). privat netværk). Dette er farligt, fordi brugeren indtaster sine personlige eller professionelle data, og netværket er ikke beskyttet mod indtrængen udefra.

WEP

I starten var det vanskeligt at levere tilstrækkelig sikkerhed til trådløse LAN'er.

Hackere nemt forbundet til næsten enhver WiFi netværk ved at bryde indledende versioner af sikkerhedssystemer såsom Wired Equivalent Privacy (WEP). Disse begivenheder satte deres spor, og i lang tid Nogle virksomheder var tilbageholdende eller implementerede slet ikke trådløse netværk, frygtede, at data blev overført mellem trådløse netværk WiFi-enheder Og Wi-Fi-hotspots adgang kan opsnappes og dekrypteres. Denne sikkerhedsmodel bremsede således integrationen af ​​trådløse netværk i virksomheder og gjorde folk, der brugte WiFi-netværk derhjemme, nervøse. IEEE oprettede derefter 802.11i Working Group, som arbejdede på at skabe en omfattende sikkerhedsmodel til at levere 128-bit AES-kryptering og autentificering for at beskytte data. Wi-Fi Alliance introducerede sin egen mellemversion af denne 802.11i-sikkerhedsspecifikation: Wi-Fi Protected Access (WPA). WPA-modulet kombinerer flere teknologier for at løse sårbarhederne i 802.11 WEP-systemet. WPA giver således pålidelig brugergodkendelse ved hjælp af 802.1x-standarden (gensidig godkendelse og indkapsling af data transmitteret mellem trådløse klientenheder, adgangspunkter og server) og Extensible Authentication Protocol (EAP).

Driftsprincippet for sikkerhedssystemer er vist skematisk i fig. 1

WPA er også udstyret med et midlertidigt modul til at kryptere WEP-motoren gennem 128-bit nøglekryptering og bruger TKIP (Temporal Key Integrity Protocol). Og med hjælpen kontrolsum besked (MIC) forhindrer datapakker i at blive ændret eller formateret. Denne kombination af teknologier beskytter datatransmissionens fortrolighed og integritet og sikrer sikkerhed ved at kontrollere adgangen, så kun autoriserede brugere har adgang til netværket.

WPA

Yderligere forbedring af WPA-sikkerhed og adgangskontrol er skabelsen af ​​en ny, unik nøglemaster til kommunikation mellem hver brugers trådløse udstyr og adgangspunkter og til at give en godkendelsessession. Og også ved at skabe en tilfældig nøglegenerator og i færd med at generere en nøgle for hver pakke.

I IEEE standard 802.11i, ratificeret i juni 2004, udvidede mange funktioner betydeligt gennem WPA-teknologi. Wi-Fi Alliance har styrket sit sikkerhedsmodul i WPA2-programmet. Dermed er sikkerhedsniveauet for WiFi-datatransmissionsstandard 802.11 nået påkrævet niveau til implementering trådløse løsninger og teknologier i virksomheder. En af de væsentlige ændringer fra 802.11i (WPA2) til WPA er brugen af ​​128-bit Advanced Encryption Standard (AES). WPA2 AES bruger anti-CBC-MAC-tilstand (en driftstilstand for en chifferblok, der gør det muligt at bruge en enkelt nøgle til både kryptering og autentificering) for at give datafortrolighed, godkendelse, integritet og genafspilningsbeskyttelse. 802.11i-standarden tilbyder også nøglecaching og præ-godkendelse til at organisere brugere på tværs af adgangspunkter.

WPA2

Med 802.11i-standarden bliver hele sikkerhedsmodulkæden (login, udveksling af legitimationsoplysninger, autentificering og datakryptering) mere pålidelig og effektiv beskyttelse mod umålrettede og målrettede angreb. WPA2-systemet tillader Wi-Fi administrator netværk til at skifte fra sikkerhedsproblemer til drift og enhedsadministration.

802.11r-standarden er en modifikation af 802.11i-standarden. Denne standard blev ratificeret i juli 2008. Standardens teknologi overfører hurtigere og mere pålideligt nøglehierarkier baseret på Handoff-teknologi, når brugeren bevæger sig mellem adgangspunkter. 802.11r-standarden er fuldt ud kompatibel med 802.11a/b/g/n WiFi-standarderne.

Der er også 802.11w-standarden, som er beregnet til at forbedre sikkerhedsmekanismen baseret på 802.11i-standarden. Denne standard er designet til at beskytte kontrolpakker.

802.11i- og 802.11w-standarderne er sikkerhedsmekanismer for 802.11n WiFi-netværk.

Kryptering af filer og mapper i Windows 7

Krypteringsfunktionen giver dig mulighed for at kryptere filer og mapper, som efterfølgende vil være umulige at læse på en anden enhed uden en særlig nøgle. Denne funktion er til stede i versioner af Windows 7, såsom Professional, Enterprise eller Ultimate. Det følgende vil dække måder til at aktivere kryptering af filer og mapper.

Aktivering af filkryptering:

Start -> Computer (vælg filen, der skal krypteres) -> højre museknap på filen -> Egenskaber -> Avanceret (fanen Generelt) -> Yderligere attributter -> Marker afkrydsningsfeltet Krypter indhold for at beskytte data -> Ok -> Anvend - > Ok(Vælg gælder kun for fil)->

Aktivering af mappekryptering:

Start -> Computer (vælg den mappe, der skal krypteres) -> højre museknap på mappen -> Egenskaber -> Avanceret (fanen Generelt) -> Yderligere attributter -> Marker afkrydsningsfeltet Krypter indhold for at beskytte data -> Ok -> Anvend - > Ok (Vælg gælder kun for fil) -> Luk dialogboksen Egenskaber (Klik på Ok eller Luk).

Et trådløst Wi-Fi-netværk er ikke kun en bekvem måde at forbinde din enhed til internettet på, men også en fare. Angribere bruger ofte Wi-Fi til at inficere din computer med en virus. Derfor, for at minimere risikoen for pc-infektion, anvendes en pålidelig struktur af forskellige trådløse sikkerhedsprotokoller. Det er dem, der forhindrer uautoriseret adgang til computere ved at kryptere overførte data. Sådanne protokoller vil blive diskuteret i dag.

Hvad er WEP eller Wired Equivalent Privacy?

Flest point trådløs adgang har mulighed for at aktivere en af ​​tre trådløse krypteringsstandarder. Det her:

  • WEP eller Wired Equivalent Privacy;
  • WPA2.

Den første WEP eller Wired Equivalent Privacy-protokol begyndte med 64-bit kryptering (svag) og gik til sidst hele vejen til 256-bit kryptering (stærk).

I dag er den mest populære implementering af denne protokol i routere 128-bit kryptering, eller bedre kendt som mellemkryptering.

Der er to typer WEP:

  • WEP-40;
  • WEP-104.

Deres forskelle er kun i længden af ​​nøglen.

Princippet om driften af ​​en sådan protokol er tydeligt vist på billedet.

I øjeblikket denne teknologi er forældet. Denne type sikkerhedsprotokol kan hackes af svindlere på få minutter.

Hvad er WPA- eller Wi-Fi-beskyttet adgang?

For at overvinde manglerne ved WEP blev der udviklet en ny sikkerhedsstandard, WPA. Den brugte TKIP (Temporal Key Integrity) integritetsprotokollen, som adskilte sig fra WEP, som brugte CRC eller Cyclic Redundancy Check.

TKIP blev anset for at være meget stærkere end CRC, fordi det sikrede, at hver datapakke blev transmitteret ved hjælp af en unik krypteringsnøgle. Tastekombinationen øgede vanskeligheden ved at afkode tasterne og reducerede derved antallet af indtrængen udefra.

Men ligesom WEP havde WPA også mangler og blev hurtigt forbedret, kaldet WPA 2.

Forskelle i WPA2-protokollen

WPA 2-protokollen betragtes som den mest sikker protokol. Forskellen mellem WPA og WPA2 er den obligatoriske brug af AES (Advanced Encryption Standard) algoritmer og introduktionen af ​​CCMP (Counter Cipher Mode) med blockchain-godkendelseskodeprotokol som erstatning for TKIP. CCM-tilstand kombinerer fortrolighedstilstand (CTR) og kædekodegodkendelse (CBC-MAC) til godkendelse. Brugen af ​​disse tilstande giver god sikkerhed og ydeevne i software eller hardware.

I dag vil vi grave lidt dybere ned i emnet beskyttelse. trådløs forbindelse. Lad os finde ud af, hvad det er - det kaldes også "godkendelse" - og hvilken der er bedre at vælge. Du er sikkert stødt på forkortelser som WEP, WPA, WPA2, WPA2/PSK. Og også nogle af deres varianter - Personal eller Enterprice og TKIP eller AES. Nå, lad os se nærmere på dem alle og finde ud af, hvilken type kryptering vi skal vælge for at sikre maksimal hastighed uden at ofre hastigheden.

Jeg bemærker, at det er bydende nødvendigt at beskytte din WiFi med en adgangskode, uanset hvilken type kryptering du vælger. Selv den enkleste godkendelse vil undgå ret alvorlige problemer i fremtiden.

Hvorfor siger jeg dette? Det er ikke engang et spørgsmål om, at tilslutning af mange forkerte klienter vil bremse dit netværk - det er kun begyndelsen. hovedårsagen Pointen er, at hvis dit netværk ikke er adgangskodebeskyttet, så kan en angriber knytte sig til det og fra under din router udføre ulovlige handlinger, og så skal du svare for hans handlinger, så tag wifi-beskyttelse alvorligt.

WiFi-datakryptering og godkendelsestyper

Så vi er overbeviste om behovet for at kryptere wifi-netværket, lad os nu se, hvilke typer der er:

Hvad er WEP wifi-beskyttelse?

WEP(Wired Equivalent Privacy) er den allerførste standard, der dukker op, men dens pålidelighed opfylder ikke længere moderne krav. Alle programmer, der er konfigureret til at hacke et wifi-netværk ved hjælp af brute force-metoder, er primært rettet mod at vælge en WEP-krypteringsnøgle.

Hvad er en WPA-nøgle eller adgangskode?

WPA(Wi-Fi Protected Access) er en mere moderne godkendelsesstandard, der giver dig mulighed for pålideligt at beskytte dit lokale netværk og internettet mod ulovlig indtrængning.

Hvad er WPA2-PSK - Personal eller Enterprise?

WPA2- en forbedret version af den tidligere type. Hacking WPA2 er næsten umuligt, det giver den maksimale grad af sikkerhed, så i mine artikler siger jeg altid uden forklaring, at du skal installere det - nu ved du hvorfor.

WiFi-sikkerhedsstandarderne WPA2 og WPA har yderligere to varianter:

  • Personlig, betegnet som WPA/PSK eller WPA2/PSK. Denne type er den mest udbredte og optimale til brug i de fleste tilfælde – både derhjemme og på kontoret. I WPA2/PSK sætter vi en adgangskode på mindst 8 tegn, som er gemt i hukommelsen på den enhed, som vi forbinder til routeren.
  • Enterprise- en mere kompleks konfiguration, der kræver, at RADIUS-funktionen er aktiveret på routeren. Det fungerer efter princippet, det vil sige, at der tildeles en separat adgangskode til hver enkelt tilsluttet gadget.

WPA-krypteringstyper - TKIP eller AES?

Så det besluttede vi optimale valg for netværkssikkerhed vil der være WPA2/PSK (Personlig), men den har yderligere to typer datakryptering til godkendelse.

  • TKIP- i dag er dette en forældet type, men den er stadig meget brugt, da mange enheder i et vist antal år kun understøtter den. Virker ikke med WPA2/PSK-teknologi og understøtter ikke 802.11n WiFi.
  • AES- sidste dette øjeblik og det meste pålidelig type WiFi-kryptering.

Hvilken type kryptering skal jeg vælge og indstille WPA-nøglen på min WiFi-router?

Vi har ordnet teorien - lad os gå videre til praksis. Fordi WiFi-standarder 802.11 "B" og "G", som har maksimal hastighed op til 54 Mbit/s, ingen har brugt det i lang tid - i dag er normen 802.11 "N" eller "AC", som understøtter hastigheder op til 300 Mbit/s og højere, så overvej at bruge WPA sikkerhed/PSK med TKIP-krypteringstype giver ingen mening. Derfor, når du opsætter et trådløst netværk, skal du indstille det til standard

WPA2/PSK - AES

Eller som en sidste udvej, angiv "Auto" som krypteringstypen for stadig at tillade tilslutning af enheder med et forældet WiFi-modul.

I dette tilfælde skal WPA-nøglen, eller ganske enkelt sagt, adgangskoden til at oprette forbindelse til netværket have fra 8 til 32 tegn, inklusive engelske små bogstaver og store bogstaver, samt forskellige specialtegn.

Trådløs sikkerhed på din TP-Link router

Skærmbillederne ovenfor viser kontrolpanelet på en moderne TP-Link router V ny version firmware. Opsætning af netværkskryptering her er i " Yderligere indstillinger- Trådløs tilstand.

I den gamle "grønne" version er de WiFi-netværkskonfigurationer, der interesserer os, placeret i " Trådløs tilstand - Sikkerhed". Hvis du gør alt som på billedet, vil det være fantastisk!

Hvis du har bemærket, er der også et element som "WPA-gruppenøgleopdateringsperiode". Faktum er, at for at give større sikkerhed ændres den faktiske digitale WPA-nøgle til kryptering af forbindelsen dynamisk. Her indstiller du værdien i sekunder, hvorefter ændringen sker. Jeg anbefaler at lade det være og lade det stå som standard - opdateringsintervallet varierer fra model til model.

Godkendelsesmetode på ASUS router

ASUS routere Alle WiFi-indstillinger er placeret på én side "Trådløst netværk"

Netværksbeskyttelse via Zyxel Keenetic router

Ligeledes for Zyxel Keenetic— afsnittet "WiFi-netværk - Adgangspunkt"

I Keenetic routere Uden "Zyxel"-præfikset ændres krypteringstypen i afsnittet "Hjemmenetværk".

Opsætning af D-Link-routersikkerhed

På D-Link kigger vi efter afsnittet " Wi-Fi - Sikkerhed»

Nå, i dag forstod vi typerne af WiFi-kryptering og udtryk som WEP, WPA, WPA2-PSK, TKIP og AES og lærte, hvilken der er bedre at vælge. Læs også om andre netværkssikkerhedsmuligheder i en af ​​mine tidligere artikler, hvor jeg taler om MAC- og IP-adresser og andre sikkerhedsmetoder.

Video om indstilling af krypteringstypen på routeren

    Før læsning af dette materiale, anbefales det, at du læser de tidligere artikler i serien:
  • Vi bygger et netværk med vores egne hænder og forbinder det til internettet, del et - opbygning af et kablet Ethernet-netværk (uden en switch, i tilfælde af to computere og med en switch, såvel som i nærværelse af tre eller flere maskiner ) og organisere internetadgang via en af ​​netværkscomputere, hvorpå der er to netværkskort og Windows XP Pro-operativsystemet er installeret.
  • Anden del: opsætning af trådløst udstyr i et peer-to-peer-netværk - problemer med at organisere et netværk diskuteres, når der kun bruges trådløse adaptere.

I den forrige artikel blev kun et par ord afsat til kryptering i trådløse netværk; det blev lovet at dække dette problem i en separat artikel. I dag opfylder vi vores forpligtelse :)

Først lidt teori.

Kryptering af data i trådløse netværk får så meget opmærksomhed på grund af selve naturen af ​​sådanne netværk. Data overføres trådløst ved hjælp af radiobølger, generelt ved hjælp af rundstrålende antenner. Således hører alle dataene - ikke kun den person, de er beregnet til, men også naboen, der bor bag væggen, eller den "interesserede person", der opholder sig med en bærbar computer under vinduet. De afstande, som trådløse netværk fungerer over (uden forstærkere eller retningsantenner) er naturligvis små - omkring 100 meter pr. ideelle forhold. Vægge, træer og andre forhindringer dæmper signalet kraftigt, men det løser stadig ikke problemet.

Oprindeligt blev kun SSID (netværksnavn) brugt til beskyttelse. Men generelt set kan denne metode kaldes beskyttelse med en stor strækning - SSID'et overføres til åben form og ingen forhindrer en angriber i at aflytte den og derefter indstille den ønskede i sine indstillinger. For ikke at nævne, at (dette gælder for adgangspunkter) kan broadcast-tilstanden for SSID'et aktiveres, dvs. det vil blive tv-udsendt til alle, der lytter.

Derfor var der behov for datakryptering. Den første sådan standard var WEP - Wired Equivalent Privacy. Kryptering udføres ved hjælp af en 40- eller 104-bit nøgle (streamkryptering ved hjælp af RC4-algoritmen på en statisk nøgle). Og selve nøglen er et sæt ASCII-tegn med en længde på 5 (for en 40-bit) eller 13 (for en 104-bit nøgle) tegn. Sættet af disse tegn er oversat til en sekvens af hexadecimale cifre, som er nøglen. Drivere fra mange producenter giver dig mulighed for at indtaste hexadecimale værdier (af samme længde) direkte i stedet for et sæt ASCII-tegn. Bemærk venligst, at algoritmerne til konvertering fra en ASCII-tegnsekvens til hexadecimale nøgleværdier kan variere afhængigt af forskellige producenter. Derfor, hvis dit netværk bruger heterogent trådløst udstyr, og du ikke er i stand til at konfigurere WEP-kryptering ved hjælp af en ASCII-nøglesætning, kan du prøve at indtaste nøglen i hexadecimalt format i stedet.

Men hvad med producenternes udtalelser om understøttelse af 64 og 128-bit kryptering, spørger du? Det er rigtigt, marketing spiller en rolle her – 64 er mere end 40, og 128 er 104. I virkeligheden sker datakryptering ved hjælp af en nøglelængde på 40 eller 104. Men udover ASCII-sætningen (statisk komponent af nøglen), der er også sådan noget som initialiseringsvektor - IV - initialiseringsvektor. Det tjener til at randomisere resten af ​​nøglen. Vektoren vælges tilfældigt og ændres dynamisk under drift. I princippet er dette en rimelig løsning, da det giver dig mulighed for at indføre en tilfældig komponent i nøglen. Vektorlængden er 24 bit, så den samlede nøglelængde ender med at blive 64 (40+24) eller 128 (104+24) bit.

Alt ville være fint, men den anvendte krypteringsalgoritme (RC4) er i øjeblikket ikke særlig stærk - hvis du virkelig vil, kan du finde en nøgle med brute force på relativt kort tid. Men stadig er hovedsårbarheden ved WEP netop forbundet med initialiseringsvektoren. IV'en er kun 24 bit lang. Dette giver os cirka 16 millioner kombinationer - 16 millioner forskellige vektorer. Selvom tallet "16 millioner" lyder ret imponerende, er alt i verden relativt. I rigtigt arbejde alle mulige nøglemuligheder vil blive brugt i en periode fra ti minutter til flere timer (for en 40-bit nøgle). Efter dette vil vektorerne begynde at gentage sig. En angriber behøver kun at indsamle et tilstrækkeligt antal pakker ved blot at lytte til trafikken trådløst netværk, og find disse gentagelser. Herefter tager det ikke meget tid at vælge den statiske komponent af nøglen (ASCII-sætning).

Men det er ikke alt. Der er såkaldte "ustabile" initialiseringsvektorer. Brugen af ​​sådanne vektorer i en nøgle tillader en angriber næsten øjeblikkeligt at begynde at vælge den statiske del af nøglen i stedet for at vente flere timer, passivt akkumulere netværkstrafik. Mange producenter indbygger i softwaren (eller hardwaren til trådløse enheder) en check for sådanne vektorer, og hvis lignende vektorer findes, kasseres de lydløst, dvs. ikke deltage i krypteringsprocessen. Desværre er det ikke alle enheder, der har denne funktion.

I øjeblikket tilbyder nogle producenter af trådløst udstyr "udvidede versioner" af WEP-algoritmen - de bruger nøgler, der er længere end 128 (mere præcist 104) bit. Men i disse algoritmer øges kun den statiske komponent af nøglen. Længden af ​​initialiseringsvektoren forbliver den samme med alle de deraf følgende konsekvenser (med andre ord øger vi kun tiden for at vælge en statisk nøgle). Det siger sig selv, at WEP-algoritmer med udvidede nøglelængder muligvis ikke er kompatible mellem forskellige producenter.

Skræmte du mig godt? ;-)

Når du bruger 802.11b-protokollen, kan du desværre ikke vælge andet end WEP. Mere præcist leverer nogle (minoritets)producenter forskellige implementeringer af WPA-kryptering (ved hjælp af softwaremetoder), som er meget mere stabil end WEP. Men disse "patches" er inkompatible selv inden for udstyr fra samme producent. Generelt, når du bruger 802.11b-udstyr, er der kun tre måder at kryptere din trafik på:

  • 1. Brug af WEP med maksimal længde nøgle (128 bit eller højere), hvis udstyret understøtter cyklisk ændring af nøgler fra listen (op til fire nøgler på listen), er det tilrådeligt at aktivere denne ændring.
  • 2. Brug af 802.1x-standarden
  • 3. Brug af en tredjepart software til at organisere VPN-tunneler (krypterede datastrømme) over et trådløst netværk. For at gøre dette installeres en VPN-server (normalt med pptp-understøttelse) på en af ​​maskinerne, og VPN-klienter konfigureres på de andre. Dette emne kræver særskilt overvejelse og ligger uden for denne artikels omfang.

802.1x bruger en masse flere protokoller til sit arbejde:

  • EAP (Extensible Authentication Protocol) - protokol til udvidet godkendelse af brugere eller fjerntliggende enheder;
  • TLS (Transport Layer Security) er en transportlagssikkerhedsprotokol, den sikrer integriteten af ​​datatransmission mellem serveren og klienten, samt deres gensidige autentificering;
  • RADIUS (Remote Authentication Dial-In User Server) - godkendelsesserver (godkendelse) fjernklienter. Det giver brugergodkendelse.

802.1x-protokollen giver godkendelse til fjernklienter og udsteder dem midlertidige nøgler til datakryptering. Nøglerne (i krypteret form) sendes til klienten i en kort periode, hvorefter en ny nøgle genereres og sendes. Krypteringsalgoritmen har ikke ændret sig - den samme RC4, men hyppig nøglerotation gør det meget svært at knække. Denne protokol understøttes kun i operativsystemer (fra Microsoft) Windows XP. Dens store ulempe (f slutbruger) er, at protokollen kræver tilstedeværelsen af ​​en RADIUS-server, som i hjemmenetværk, højst sandsynligt vil det ikke.

Enheder, der understøtter 802.11g-standarden, understøtter den forbedrede krypteringsalgoritme WPA - Wi-Fi Protected Access. I det store og hele er dette en midlertidig standard designet til at udfylde sikkerhedsnichen indtil ankomsten af ​​IEEE 802.11i-protokollen (den såkaldte WPA2). WPA inkluderer 802.1X, EAP, TKIP og MIC.

Blandt de ikke-undersøgte protokoller vises TKIP og MIC her:

  • TKIP (Temporal Key Integrity Protocol) er implementeringen af ​​dynamiske krypteringsnøgler, plus hver enhed på netværket modtager også sin egen hovednøgle (som også ændres fra tid til anden). Krypteringsnøgler er 128 bit lange og genereres af kompleks algoritme, og det samlede antal mulige nøglemuligheder når op på hundredvis af milliarder, og de ændrer sig meget ofte. Den anvendte krypteringsalgoritme er dog stadig RC4.
  • MIC (Message Integrity Check) er en pakkeintegritetskontrolprotokol. Protokollen giver dig mulighed for at kassere pakker, der blev "indsat" i kanalen af ​​en tredjepart, dvs. gik ikke fra en gyldig afsender.

Det store antal fordele ved TKIP-protokollen dækker ikke dens største ulempe - RC4-algoritmen, der bruges til kryptering. Selvom der ikke har været rapporteret tilfælde af TKIP-baseret WPA-hacking lige nu, hvem ved, hvad fremtiden vil bringe? Derfor bliver brugen af ​​AES (Advanced Encryption Standard) standarden, som erstatter TKIP, stadig mere populær. I den fremtidige WPA2-standard er der i øvrigt et obligatorisk krav om at bruge AES til kryptering.

Hvilke konklusioner kan man drage?

  • hvis der kun er 802.11g-enheder på netværket, er det bedre at bruge WPA-baseret kryptering;
  • hvis det er muligt (hvis det understøttes af alle enheder), skal du aktivere AES-kryptering;

Lad os gå videre til direkte opsætning af kryptering på enheder. Jeg bruger de samme trådløse adaptere som i den forrige artikel:

Cardbus-adapter Asus WL-100g er installeret på den bærbare computer. Kortstyringsgrænseflade - værktøj fra ASUS (ASUS WLAN Kontrolcenter).

Ekstern adapter med USB-interface ASUS WL-140. Adapterstyring sker via grænsefladen indbygget i Windows XP ( Nul trådløs konfiguration). Dette kort er 802.11b, så det understøtter ikke WPA.

Gebyr med PCI interface Asus WL-130g. Kontrolgrænsefladen er implementeret fra (chipset-producenten af ​​dette PCI-kort).

ASUS WLAN Control Center - ASUS WL-100g

Lad os starte med at konfigurere kryptering i ASUS WLAN Control Center-administrationsgrænsefladen. Alle indstillinger er koncentreret i sektionen Kryptering. Først skal du vælge godkendelsestypen ( Netværksgodkendelse), har vi tre tilgængelige typer: Åbent system, delt nøgle og WPA.

1. WEP-kryptering.

Åbent system/delt nøgletyper er undersæt af godkendelsesalgoritmen indbygget i WEP. Åbent system-tilstand er usikker og frarådes på det kraftigste at blive aktiveret, når Delt nøgle kan aktiveres. Dette skyldes det faktum, at i åben systemtilstand for at komme ind i et trådløst netværk (tilknytning til en anden station eller adgangspunkt), er det nok kun at kende netværkets SSID, og ​​i delt nøgletilstand skal du også indstille en WEP krypteringsnøgle, der er fælles for hele netværket.

Vælg derefter Kryptering - WEP, nøglestørrelse - 128 bit (det er bedre slet ikke at bruge en 64-bit nøgle). Vi vælger nøgleformatet, HEX (indtastning af nøglen i hexadecimal form) eller generering af en nøgle fra en ASCII-sekvens (glem ikke, at genereringsalgoritmer kan variere mellem producenter). Vi tager også højde for, at WEP-nøglen (eller nøglerne) skal være ens på alle enheder på samme netværk. Du kan indtaste op til fire nøgler i alt. Det sidste punkt er at vælge hvilken tast der skal bruges (standardnøgle). I I dette tilfælde Der er en anden måde - at begynde at bruge alle fire nøgler sekventielt, hvilket øger sikkerheden. (kun kompatibilitet for enheder fra samme producent).

2. WPA-kryptering.

Hvis det understøttes på alle enheder (normalt 802.11g-enheder), anbefales det stærkt at bruge denne tilstand i stedet for den forældede og sårbare WEP.

Som regel trådløse enheder understøtter to WPA-tilstande:

  • Standard WPA. Det er ikke egnet til os, da det kræver en RADIUS-server på netværket (og det fungerer kun i forbindelse med et adgangspunkt).
  • WPA-PSK - WPA med understøttelse af Pre Shared Keys (foruddefinerede nøgler). Og det er det, der er brug for - nøglen (den samme for alle enheder) indstilles manuelt på alle trådløse adaptere, og den primære godkendelse af stationer udføres gennem den.

Du kan vælge TKIP eller AES som krypteringsalgoritmer. Sidstnævnte er ikke implementeret på alle trådløse klienter, men hvis det understøttes af alle stationer, er det bedre at holde sig til det. Wireless Network Key er den samme generelle Pre Shared Key. Det er tilrådeligt at gøre det længere og ikke bruge et ord fra ordbogen eller et sæt ord. Ideelt set skulle det være en slags gobbledygook.

Efter at have klikket på knappen Anvend (eller Ok), vil de angivne indstillinger blive anvendt på trådløst kort. På dette tidspunkt kan proceduren for opsætning af kryptering på den betragtes som komplet.

Kontrolgrænseflade implementeret af Ralink - Asus WL-130g

Opsætningen er ikke meget forskellig fra den allerede omtalte grænseflade fra ASUS WLAN CC. I det grænsefladevindue, der åbnes, skal du gå til fanen Profil, Vælg ønskede profil og klik Redigere.

1. WEP-kryptering.

Kryptering er konfigureret i fanen Autentificering og sikkerhed. Hvis WEP-kryptering er aktiveret, skal du vælge Delt i Godkendelsestype(dvs. delt nøgle).

Vælg krypteringstypen - WEP, og indtast op til fire ASCII- eller hexadecimalnøgler. Nøglens længde kan ikke indstilles i grænsefladen; en 128-bit nøgle bruges straks.

2. WPA-kryptering.

Hvis i Godkendelsestype vælg WPA-Ingen, så aktiverer vi WPA delt nøglekryptering. Vælg krypteringstypen ( Kryptering) TKIP eller AES og indtast den delte nøgle ( WPA foruddelt nøgle).

Dette afslutter krypteringsopsætningen i denne grænseflade. For at gemme indstillinger i din profil skal du blot klikke på knappen Okay.

Nul trådløs konfiguration (Windows indbygget interface) - ASUS WL-140

ASUS WL-140 er et 802.11b-kort, så det understøtter kun WEP-kryptering.

1. WEP-kryptering.

I indstillinger trådløs adapter gå til bogmærket Trådløst netværk. Vælg derefter vores trådløse netværk og tryk på knappen Tune.

Aktiver i det vindue, der vises Datakryptering. Vi aktiverer også Netværksgodkendelse, vil deaktivering af dette element aktivere godkendelse af typen "Åbent system", dvs. enhver klient vil være i stand til at oprette forbindelse til netværket ved at kende dens SSID.

Indtast netværksnøglen (og gentag den i næste felt). Vi tjekker dets indeks ( serienummer), normalt han lig med én(dvs. den første nøgle). Nøglenummeret skal være det samme på alle enheder.

Nøgle ( netværksadgangskode), som operativsystemet fortæller os, skal indeholde 5 eller 13 tegn eller indtastes helt i hexadecimal. Endnu en gang skal du bemærke, at algoritmen til at konvertere en nøgle fra symbolsk til hexadecimal kan variere mellem Microsoft og producenter af deres egne grænseflader til styring af trådløse adaptere, så det ville være mere pålideligt at indtaste nøglen i hexadecimal (dvs. tal fra 0 til 9 og bogstaverne fra A til F).

Der er også et flag i grænsefladen ansvarlig for Automatisk nøgleklargøring, men jeg ved ikke præcis, hvor det vil virke. Hjælpeafsnittet siger, at nøglen kan tilsluttes den trådløse adapter af producenten. Generelt er det bedre ikke at aktivere denne funktion.

På dette tidspunkt kan krypteringsopsætningen for 802.11b-adapteren betragtes som komplet.

Forresten om hjælpen indbygget i OS. Det meste af det, der bliver sagt her og mere, kan findes i Hjælp og supportcenter, som har et godt hjælpesystem, skal du blot indtaste nøgleord og klikke på den grønne søgepil.

2. WPA-kryptering.

Efter at have set på opsætning af kryptering med 802.11b som eksempel ASUS adapter WL-140, vi berørte ikke opsætning af WPA i Windows, da kortet ikke understøtter denne tilstand. Lad os overveje dette aspekt ved at bruge eksemplet med en anden adapter - ASUS WL-100g. Muligheden for at konfigurere WPA i Windows XP vises med installationen af ​​Service Pack version 2 (eller de tilsvarende opdateringer på Microsofts websted).

Service Pack 2 udvider funktionaliteten og bekvemmeligheden ved trådløse netværksindstillinger betydeligt. Selvom hovedmenupunkterne ikke er ændret, er der tilføjet nye.

Kryptering er konfigureret på en standard måde: Vælg først ikonet for den trådløse adapter, og tryk derefter på knappen Ejendomme.

Gå til bogmærket Trådløst netværk og vælg hvilket netværk vi vil konfigurere (normalt er der kun ét). Klik Ejendomme.

I vinduet der kommer frem skal du vælge WPA-Ingen, dvs. WPA med foruddelte nøgler (hvis du vælger Kompatibel, så aktiverer vi WEP-krypteringskonfigurationstilstanden, som allerede er beskrevet ovenfor).

Vælg AES eller TKIP (hvis alle enheder på netværket understøtter AES, så er det bedre at vælge det) og indtast WPA-nøglen to gange (den anden i bekræftelsesfeltet). Helst noget langt og svært at hente.

Efter at have klikket på Okay WPA-krypteringsopsætningen kan også betragtes som komplet.

Afslutningsvis et par ord om den trådløse netværkskonfigurationsguide, der dukkede op med Service Pack 2.

I ejendomme Netværksadapter vælg en knap Trådløst netværk.

Klik på i det vindue, der kommer frem Konfigurer et trådløst netværk.

Her fortæller de os, hvor vi er endt. Klik Yderligere.

Vælge Konfigurer et trådløst netværk. (Hvis du vælger Tilføje, så kan du oprette profiler til andre computere på det samme trådløse netværk).

Indstil netværkets SSID i vinduet, der vises, aktiver WPA-kryptering, hvis det er muligt, og vælg metoden til indtastning af nøglen. Generation kan leveres operativ system eller indtast tasterne manuelt. Hvis den første er valgt, vil et vindue dukke op, der beder dig om at komme ind den rigtige nøgle(eller nøgler).

  • I en tekstfil til senere manuel indtastning på andre maskiner.
  • Gem profilen på et USB-flashdrev til automatisk indtastning på andre maskiner med Windows XP med integreret Service Pack version 2.

Hvis Flash-lagringstilstanden er valgt, vil du i det næste vindue blive bedt om at indsætte Flash-medie og vælge det fra menuen.

Hvis manuel lagring af parametre blev valgt, så efter tryk på knappen Type

... vil blive trukket tilbage tekstfil med de konfigurerede netværksparametre. Bemærk venligst, at der genereres tilfældige og lange (dvs. gode) nøgler, men TKIP bruges som krypteringsalgoritme. AES-algoritmen kan senere aktiveres manuelt i indstillingerne, som beskrevet ovenfor.

Total

Vi har afsluttet opsætningen af ​​kryptering på alle trådløse adaptere. Nu kan du tjekke, om computere kan se hinanden. Hvordan man gør dette blev beskrevet i anden del af serien "gør-det-selv-netværk" (vi fortsætter på samme måde som metoden, når kryptering ikke var aktiveret på netværket).

Hvis vi er i problemer, og ikke alle computere ser hinanden, så kontrollerer vi de generelle indstillinger for adapterne:

  • Godkendelsesalgoritmen skal være den samme for alle (delte nøgler eller WPA);
  • Krypteringsalgoritmen skal være den samme for alle (WEP-128bit, WPA-TKIP eller WPA-AES);
  • Nøglængden (i tilfælde af WEP-kryptering) skal være den samme for alle stationer på netværket (den sædvanlige længde er 128 bit);
  • Selve nøglen skal være den samme på alle stationer på netværket. Hvis der bruges WEP, så mulig årsag- brugen af ​​en ASCII-nøgle og netværket bruger heterogent udstyr (fra forskellige producenter). Prøv at indtaste nøglen i hexadecimal notation.

Denne artikel er afsat til spørgsmålet om sikkerhed, når du bruger trådløse WiFi-netværk.

Introduktion - WiFi-sårbarheder

Hovedårsagen til, at brugerdata er sårbare, når disse data transmitteres over WiFi-netværk, er, at udvekslingen sker over radiobølger. Og dette gør det muligt at opsnappe beskeder på ethvert tidspunkt, hvor et WiFi-signal er fysisk tilgængeligt. Kort sagt, hvis signalet fra et adgangspunkt kan detekteres i en afstand af 50 meter, så er aflytning af al netværkstrafik på dette WiFi-netværk muligt inden for en radius af 50 meter fra adgangspunktet. I det næste værelse, på en anden etage i bygningen, på gaden.

Forestil dig dette billede. På kontoret det lokale netværk bygget via WiFi. Signalet fra dette kontors adgangspunkt opfanges uden for bygningen, fx på en parkeringsplads. En angriber uden for bygningen kunne få adgang til kontor netværk, det vil sige ubemærket af ejerne af dette netværk. WiFi-netværk kan tilgås nemt og diskret. Teknisk meget nemmere end kablede netværk.

Ja. Til dato er midler til at beskytte WiFi-netværk blevet udviklet og implementeret. Denne beskyttelse er baseret på kryptering af al trafik mellem adgangspunktet og den slutenhed, der er tilsluttet det. Det vil sige, at en angriber kan opsnappe et radiosignal, men for ham vil det blot være digitalt "skrald".

Hvordan fungerer WiFi-beskyttelse?

Adgangspunktet inkluderer i sit WiFi-netværk kun den enhed, der sender den korrekte adgangskode (angivet i adgangspunktets indstillinger). I dette tilfælde sendes adgangskoden også krypteret, i form af en hash. Hash er resultatet af irreversibel kryptering. Det vil sige, at data, der er blevet hashed, ikke kan dekrypteres. Hvis en angriber opsnapper adgangskodehashen, vil han ikke være i stand til at få adgangskoden.

Men hvordan ved adgangspunktet, om adgangskoden er korrekt eller ej? Hvad hvis hun også modtager en hash, men ikke kan dekryptere den? Det er enkelt - i adgangspunktindstillingerne angives adgangskoden i sin rene form. Autorisationsprogrammet tager en tom adgangskode, opretter en hash fra den og sammenligner derefter denne hash med den, der er modtaget fra klienten. Hvis hasherne matcher, er klientens adgangskode korrekt. Den anden funktion af hash bruges her - de er unikke. Den samme hash kan ikke opnås fra to forskellige sæt data (adgangskoder). Hvis to hashes matcher, blev de begge oprettet ud fra det samme sæt data.

I øvrigt. Takket være denne funktion bruges hashes til at kontrollere dataintegriteten. Hvis to hashes (oprettet over en periode) matcher, så er de originale data (i denne periode) ikke blevet ændret.

Dog på trods af, at de mest moderne metode WiFi-netværksbeskyttelse (WPA2) er pålidelig, dette netværk kan hackes. Hvordan?

Der er to metoder til at få adgang til et netværk beskyttet af WPA2:

  1. Valg af adgangskode ved hjælp af en adgangskodedatabase (såkaldt ordbogssøgning).
  2. Udnyttelse af en sårbarhed i WPS-funktionen.

I det første tilfælde opsnapper angriberen adgangskodens hash for adgangspunktet. Hasherne sammenlignes derefter med en database med tusinder eller millioner af ord. Et ord er taget fra ordbogen, en hash genereres for dette ord og derefter sammenlignes denne hash med den hash, der blev opsnappet. Hvis der bruges en primitiv adgangskode på et adgangspunkt, er det et spørgsmål om tid at knække adgangskoden til dette adgangspunkt. For eksempel er en 8-cifret adgangskode (8 tegn lang er den mindste adgangskodelængde for WPA2) en million kombinationer. På moderne computer Du kan sortere gennem en million værdier på få dage eller endda timer.

I det andet tilfælde udnyttes en sårbarhed i de første versioner af WPS-funktionen. Denne funktion giver dig mulighed for at tilslutte en enhed, der ikke har en adgangskode, såsom en printer, til adgangspunktet. Når du bruger denne funktion, udveksler enheden og adgangspunktet en digital kode, og hvis enheden sender den korrekte kode, autoriserer adgangspunktet klienten. Der var en sårbarhed i denne funktion - koden havde 8 cifre, men kun fire af dem blev kontrolleret for unikke! Det vil sige, for at hacke WPS skal du søge gennem alle de værdier, der giver 4 cifre. Som et resultat kan hacking af et adgangspunkt via WPS udføres på blot et par timer, på enhver svageste enhed.

Opsætning af WiFi-netværkssikkerhed

Sikkerheden for WiFi-netværket bestemmes af adgangspunktets indstillinger. Flere af disse indstillinger påvirker netværkssikkerheden direkte.

WiFi-netværksadgangstilstand

Adgangspunktet kan fungere i en af ​​to tilstande - åbent eller beskyttet. I tilfælde af åben adgang kan enhver enhed oprette forbindelse til adgangspunktet. I tilfælde af beskyttet adgang, kun den enhed, der sender korrekt adgangskode adgang.

Der er tre typer (standarder) af WiFi-netværksbeskyttelse:

  • WEP (Wired Equivalent Privacy). Den allerførste standard for beskyttelse. I dag yder den faktisk ikke beskyttelse, da den meget nemt kan hackes på grund af beskyttelsesmekanismernes svaghed.
  • WPA (Wi-Fi Protected Access). Kronologisk den anden beskyttelsesstandard. På tidspunktet for oprettelse og idriftsættelse gav den effektiv beskyttelse WiFi-netværk. Men i slutningen af ​​2000'erne fandt man muligheder for at hacke WPA-beskyttelse gennem sårbarheder i sikkerhedsmekanismerne.
  • WPA2 (Wi-Fi beskyttet adgang). Den nyeste beskyttelsesstandard. Giver pålidelig beskyttelse, når visse regler følges. Til dato er der kun to kendte måder at bryde WPA2-sikkerheden på. Ordbog password brute force og en løsning ved hjælp af WPS-tjenesten.

For at sikre sikkerheden på dit WiFi-netværk skal du derfor vælge WPA2-sikkerhedstypen. Dog ikke alle klientenheder kan støtte det. For eksempel understøtter Windows XP SP2 kun WPA.

Ud over at vælge WPA2-standarden kræves yderligere betingelser:

Brug AES-krypteringsmetoden.

Adgangskoden for at få adgang til WiFi-netværket skal være sammensat som følger:

  1. Brug bogstaver og tal i adgangskoden. Et tilfældigt sæt bogstaver og tal. Eller et meget sjældent ord eller en sætning, der kun er meningsfuld for dig.
  2. Ikke brug simple adgangskoder f.eks. navn + fødselsdato eller et ord + et par tal lena 1991 eller dom12345.
  3. Hvis du kun skal bruge digital adgangskode, så skal dens længde være mindst 10 tegn. Fordi et digitalt kodeord på otte tegn vælges ved hjælp af en brute force-metode i realtid (fra flere timer til flere dage, afhængigt af computerens kraft).

Hvis du bruger komplekse adgangskoder, i overensstemmelse med disse regler kan dit WiFi-netværk ikke hackes ved at gætte en adgangskode ved hjælp af en ordbog. For eksempel til en adgangskode som 5Fb9pE2a(tilfældig alfanumerisk), maksimalt muligt 218340105584896 kombinationer. I dag er det næsten umuligt at vælge. Selv hvis en computer skulle sammenligne 1.000.000 (millioner) ord i sekundet, ville det tage næsten 7 år at gentage alle værdierne.

WPS (Wi-Fi Protected Setup)

Hvis adgangspunktet har WPS funktion(Wi-Fi Protected Setup), skal du deaktivere den. Hvis denne funktion er påkrævet, skal du sikre dig, at dens version er opdateret til følgende funktioner:

  1. Bruger alle 8 pinkodetegn i stedet for 4, som det var tilfældet i starten.
  2. Aktiver en forsinkelse efter flere forsøg på at sende en forkert PIN-kode fra klienten.

En yderligere mulighed for at forbedre WPS-sikkerheden er at bruge en alfanumerisk PIN-kode.

Offentlig WiFi-sikkerhed

I dag er det moderne at bruge internettet via WiFi-netværk på offentlige steder - caféer, restauranter, indkøbscentre og så videre. Det er vigtigt at forstå, at brug af sådanne netværk kan føre til tyveri af dine personlige data. Hvis du får adgang til internettet via et sådant netværk og derefter logger ind på en hjemmeside, kan dine data (brugernavn og adgangskode) blive opsnappet af en anden person, der er forbundet til det samme WiFi-netværk. Når alt kommer til alt, på enhver enhed, der har bestået autorisation og er forbundet til adgangspunktet, kan du opsnappe netværkstrafik fra alle andre enheder på dette netværk. Og det særlige ved offentlige WiFi-netværk er, at alle kan oprette forbindelse til det, inklusive en angriber, og ikke kun til åbent netværk, men også til beskyttet.

Hvad kan du gøre for at beskytte dine data, når du opretter forbindelse til internettet via et offentligt WiFi-netværk? Der er kun én mulighed - at bruge HTTPS-protokollen. Denne protokol etablerer en krypteret forbindelse mellem klienten (browseren) og webstedet. Men ikke alle websteder understøtter HTTPS protokol. Adresser på et websted, der understøtter HTTPS-protokollen, begynder med https://-præfikset. Hvis adresserne på et websted har http://-præfikset, betyder det, at webstedet ikke understøtter HTTPS eller ikke bruger det.

Nogle websteder bruger ikke HTTPS som standard, men har denne protokol og kan bruges, hvis du udtrykkeligt (manuelt) angiver https://-præfikset.

Hvad angår andre tilfælde af brug af internet - chats, Skype osv., for at beskytte disse data kan du bruge gratis eller betalte servere VPN. Det vil sige først oprette forbindelse til VPN-server, og kun derefter bruge chat eller et åbent websted.

WiFi adgangskodebeskyttelse

I anden og tredje del af denne artikel skrev jeg, at når du bruger WPA2-sikkerhedsstandarden, er en af ​​måderne at hacke et WiFi-netværk på ved at gætte adgangskoden ved hjælp af en ordbog. Men der er endnu en mulighed for en angriber at få adgangskoden til dit WiFi-netværk. Hvis du gemmer din adgangskode på en klæbe seddel på skærmen, gør dette det muligt for en fremmed at se denne adgangskode. Og din adgangskode kan blive stjålet fra en computer, der er tilsluttet dit WiFi-netværk. Det kan det fremmed, hvis dine computere ikke er beskyttet mod uautoriseret adgang. Dette kan gøres ved hjælp af malware. Derudover kan adgangskoden stjæles fra en enhed, der tages uden for kontoret (hus, lejlighed) - fra en smartphone, tablet.

Så hvis du har brug for pålidelig beskyttelse af dit WiFi-netværk, skal du tage skridt til at opbevare din adgangskode sikkert. Beskyt den mod adgang fra uautoriserede personer.

Hvis du fandt denne artikel nyttig eller bare kunne lide den, så tøv ikke med at støtte forfatteren økonomisk. Dette er nemt at gøre ved at smide penge efter Yandex tegnebog nr. 410011416229354. Eller i telefonen +7 918-16-26-331 .

Selv et lille beløb kan hjælpe med at skrive nye artikler :)