• hjem
  •  > 
  • Mobile enheter
  •  > 
  • Hva er forskjellen mellom Wi-Fi-protokollene WPA, WPA2 og WEP? Wi-Fi sikkerhetsnøkkel.

Hva er forskjellen mellom Wi-Fi-protokollene WPA, WPA2 og WEP? Wi-Fi sikkerhetsnøkkel.

En stor bekymring for alle trådløse LAN (og alle kablede LAN, for den saks skyld) er sikkerhet. Sikkerhet er like viktig her som for alle Internett-brukere. Sikkerhet er et komplekst spørsmål og krever konstant oppmerksomhet. Enorme skade kan påføres brukeren på grunn av at han bruker tilfeldige hot-spots (hot-spots) eller åpne WI-FI-tilgangspunkter hjemme eller på kontoret og ikke bruker kryptering eller VPN (Virtual Private Network). privat nettverk). Dette er farlig fordi brukeren legger inn sine personlige eller profesjonelle data, og nettverket er ikke beskyttet mot inntrenging utenfra.

WEP

I utgangspunktet var det vanskelig å gi tilstrekkelig sikkerhet for trådløse LAN.

Hackere lett koblet til nesten noe WiFi nettverk ved å bryte innledende versjoner av sikkerhetssystemer som Wired Equivalent Privacy (WEP). Disse hendelsene satte sine spor, og i lang tid Noen selskaper var motvillige eller implementerte ikke trådløse nettverk i det hele tatt, i frykt for at data overføres mellom trådløse WiFi-enheter Og Wi-Fi-hotspots tilgang kan avskjæres og dekrypteres. Dermed bremset denne sikkerhetsmodellen integreringen av trådløse nettverk i bedrifter og gjorde folk som brukte WiFi-nettverk hjemme nervøse. IEEE opprettet deretter 802.11i Working Group, som jobbet for å lage en omfattende sikkerhetsmodell for å gi 128-biters AES-kryptering og autentisering for å beskytte data. Wi-Fi Alliance introduserte sin egen mellomversjon av denne 802.11i-sikkerhetsspesifikasjonen: Wi-Fi Protected Access (WPA). WPA-modulen kombinerer flere teknologier for å løse sårbarhetene til 802.11 WEP-systemet. Dermed gir WPA pålitelig brukerautentisering ved bruk av 802.1x-standarden (gjensidig autentisering og innkapsling av data som overføres mellom trådløse klientenheter, tilgangspunkter og server) og Extensible Authentication Protocol (EAP).

Driftsprinsippet for sikkerhetssystemer er vist skjematisk i fig. 1

WPA er også utstyrt med en midlertidig modul for å kryptere WEP-motoren gjennom 128-bits nøkkelkryptering og bruker TKIP (Temporal Key Integrity Protocol). Og med hjelp sjekksum melding (MIC) forhindrer at datapakker blir endret eller formatert. Denne kombinasjonen av teknologier beskytter konfidensialiteten og integriteten til dataoverføring og sikrer sikkerhet ved å kontrollere tilgangen slik at kun autoriserte brukere har tilgang til nettverket.

WPA

Ytterligere forbedring av WPA-sikkerhet og tilgangskontroll er etableringen av en ny, unik nøkkelmaster for kommunikasjon mellom hver brukers trådløse utstyr og tilgangspunkter og gir en autentiseringsøkt. Og også ved å lage en tilfeldig nøkkelgenerator og i ferd med å generere en nøkkel for hver pakke.

I IEEE standard 802.11i, ratifisert i juni 2004, utvidet mange funksjoner betydelig gjennom WPA-teknologi. Wi-Fi Alliance har styrket sin sikkerhetsmodul i WPA2-programmet. Dermed har sikkerhetsnivået til WiFi-dataoverføringsstandard 802.11 nådd nødvendig nivå for gjennomføring trådløse løsninger og teknologier i bedrifter. En av de betydelige endringene fra 802.11i (WPA2) til WPA er bruken av 128-bit Advanced Encryption Standard (AES). WPA2 AES bruker anti-CBC-MAC-modus (en driftsmodus for en chifferblokk som lar en enkelt nøkkel brukes til både kryptering og autentisering) for å gi datakonfidensialitet, autentisering, integritet og avspillingsbeskyttelse. 802.11i-standarden tilbyr også nøkkelbufring og forhåndsgodkjenning for å organisere brukere på tvers av tilgangspunkter.

WPA2

Med 802.11i-standarden blir hele sikkerhetsmodulkjeden (pålogging, legitimasjonsutveksling, autentisering og datakryptering) mer pålitelig og effektiv beskyttelse mot umålrettede og målrettede angrep. WPA2-systemet tillater Wi-Fi-administrator nettverk for å bytte fra sikkerhetsproblemer til drift og enhetsadministrasjon.

802.11r-standarden er en modifikasjon av 802.11i-standarden. Denne standarden ble ratifisert i juli 2008. Standardens teknologi overfører raskere og mer pålitelig nøkkelhierarkier basert på Handoff-teknologi når brukeren beveger seg mellom tilgangspunkter. 802.11r-standarden er fullt kompatibel med 802.11a/b/g/n WiFi-standardene.

Det er også 802.11w-standarden, som er ment å forbedre sikkerhetsmekanismen basert på 802.11i-standarden. Denne standarden er utformet for å beskytte kontrollpakker.

Standardene 802.11i og 802.11w er sikkerhetsmekanismer for 802.11n WiFi-nettverk.

Kryptering av filer og mapper i Windows 7

Krypteringsfunksjonen lar deg kryptere filer og mapper som senere vil være umulig å lese på en annen enhet uten en spesiell nøkkel. Denne funksjonen finnes i versjoner av Windows 7 som Professional, Enterprise eller Ultimate. Følgende vil dekke måter å aktivere kryptering av filer og mapper på.

Aktiverer filkryptering:

Start -> Datamaskin (velg filen som skal krypteres) -> høyre museknapp på filen -> Egenskaper -> Avansert (fanen Generelt) -> Tilleggsattributter -> Merk av for Krypter innhold for å beskytte data -> Ok -> Bruk - > Ok(Velg gjelder kun for fil)->

Aktiverer mappekryptering:

Start -> Datamaskin (velg mappen som skal krypteres) -> høyre museknapp på mappen -> Egenskaper -> Avansert (fanen Generelt) -> Tilleggsattributter -> Merk av for Krypter innhold for å beskytte data -> Ok -> Bruk - > Ok (Velg gjelder bare for fil) -> Lukk dialogboksen Egenskaper (klikk Ok eller Lukk).

Et trådløst Wi-Fi-nettverk er ikke bare en praktisk måte å koble enheten til Internett på, men også en fare. Angripere bruker ofte Wi-Fi for å infisere datamaskinen med virus. Derfor, for å minimere risikoen for PC-infeksjon, brukes en pålitelig struktur av ulike trådløse sikkerhetsprotokoller. Det er de som forhindrer uautorisert tilgang til datamaskiner ved å kryptere overførte data. Slike protokoller vil bli diskutert i dag.

Hva er WEP eller Wired Equivalent Privacy?

Flest poeng trådløs tilgang har muligheten til å aktivere en av tre trådløse krypteringsstandarder. Dette:

  • WEP eller Wired Equivalent Privacy;
  • WPA2.

Den første WEP- eller Wired Equivalent Privacy-protokollen begynte med 64-bits kryptering (svak) og gikk til slutt hele veien til 256-biters kryptering (sterk).

I dag er den mest populære implementeringen av denne protokollen i rutere 128-bits kryptering, eller bedre kjent som mellomkryptering.

Det finnes to typer WEP:

  • WEP-40;
  • WEP-104.

Deres forskjeller er bare i lengden på nøkkelen.

Prinsippet for drift av en slik protokoll er tydelig vist på bildet.

For tiden denne teknologien er utdatert. Denne typen sikkerhetsprotokoll kan hackes av svindlere på noen få minutter.

Hva er WPA- eller Wi-Fi-beskyttet tilgang?

For å overvinne manglene ved WEP ble det utviklet en ny sikkerhetsstandard, WPA. Den brukte TKIP-integritetsprotokollen (Temporal Key Integrity), som skilte seg fra WEP, som brukte CRC eller Cyclic Redundancy Check.

TKIP ble ansett for å være mye sterkere enn CRC fordi det sikret at hver datapakke ble overført ved hjelp av en unik krypteringsnøkkel. Tastekombinasjonen økte vanskeligheten med å dekode nøklene og reduserte dermed antallet inntrengninger utenfra.

Men i likhet med WEP hadde WPA også mangler og ble snart forbedret, kalt WPA 2.

Forskjeller i WPA2-protokollen

WPA 2-protokollen regnes som den mest sikker protokoll. Forskjellen mellom WPA og WPA2 er obligatorisk bruk av AES (Advanced Encryption Standard) algoritmer og introduksjonen av CCMP (Counter Cipher Mode) med bloksom erstatning for TKIP. CCM-modus kombinerer konfidensialitetsmodus (CTR) og kjedekodeautentisering (CBC-MAC) for autentisering. Bruken av disse modusene gir god sikkerhet og ytelse i programvare eller maskinvare.

I dag skal vi grave litt dypere inn i temaet beskyttelse. trådløs tilkobling. La oss finne ut hva det er - det kalles også "autentisering" - og hvilken som er bedre å velge. Du har sikkert kommet over forkortelser som WEP, WPA, WPA2, WPA2/PSK. Og også noen av deres varianter - Personal eller Enterprice og TKIP eller AES. Vel, la oss se nærmere på dem alle og finne ut hvilken type kryptering vi skal velge for å sikre maksimal hastighet uten å ofre hastigheten.

Jeg legger merke til at det er viktig å beskytte WiFi-en din med et passord, uansett hvilken type kryptering du velger. Selv den enkleste autentisering vil unngå ganske alvorlige problemer i fremtiden.

Hvorfor sier jeg dette? Det er ikke engang et spørsmål om at det å koble til mange feil klienter vil bremse nettverket ditt – det er bare begynnelsen. hovedårsaken Poenget er at hvis nettverket ditt ikke er passordbeskyttet, kan en angriper koble seg til det og, fra under ruteren din, utføre ulovlige handlinger, og da må du svare for handlingene hans, så ta wifi-beskyttelse på alvor.

WiFi-datakryptering og autentiseringstyper

Så vi er overbevist om behovet for å kryptere wifi-nettverket, la oss nå se hvilke typer det er:

Hva er WEP wifi-beskyttelse?

WEP(Wired Equivalent Privacy) er den aller første standarden som dukket opp, men dens pålitelighet oppfyller ikke lenger moderne krav. Alle programmer som er konfigurert til å hacke et wifi-nettverk ved hjelp av brute force-metoder, er først og fremst rettet mot å velge en WEP-krypteringsnøkkel.

Hva er en WPA-nøkkel eller et passord?

WPA(Wi-Fi Protected Access) er en mer moderne autentiseringsstandard som lar deg på en pålitelig måte beskytte ditt lokale nettverk og Internett mot ulovlig penetrering.

Hva er WPA2-PSK - Personal eller Enterprise?

WPA2- en forbedret versjon av den forrige typen. Hacking WPA2 er nesten umulig, det gir maksimal grad av sikkerhet, så i artiklene mine sier jeg alltid uten forklaring at du må installere det - nå vet du hvorfor.

WiFi-sikkerhetsstandardene WPA2 og WPA har ytterligere to varianter:

  • Personlig, betegnet som WPA/PSK eller WPA2/PSK. Denne typen er den mest brukte og optimal for bruk i de fleste tilfeller – både hjemme og på kontoret. I WPA2/PSK setter vi et passord på minst 8 tegn, som er lagret i minnet til enheten som vi kobler til ruteren.
  • Bedriften- en mer kompleks konfigurasjon som krever at RADIUS-funksjonen er aktivert på ruteren. Det fungerer etter prinsippet, det vil si at det tildeles et eget passord for hver enkelt tilkoblet gadget.

WPA-krypteringstyper - TKIP eller AES?

Så det bestemte vi oss for optimalt valg for nettverkssikkerhet vil det være WPA2/PSK (Personlig), men den har to flere typer datakryptering for autentisering.

  • TKIP- i dag er dette en utdatert type, men den er fortsatt mye brukt, siden mange enheter i et visst antall år kun støtter den. Fungerer ikke med WPA2/PSK-teknologi og støtter ikke 802.11n WiFi.
  • AES- den siste dette øyeblikket og det meste pålitelig type WiFi-kryptering.

Hvilken type kryptering bør jeg velge og installere WPA-nøkkelen på min WiFi-ruter?

Vi har ordnet teorien - la oss gå videre til praksis. Fordi det WiFi-standarder 802.11 "B" og "G", som har topphastighet opptil 54 Mbit/s, ingen har brukt det på lenge - i dag er normen 802.11 "N" eller "AC", som støtter hastigheter på opptil 300 Mbit/s og høyere, så vurder å bruke WPA-sikkerhet/PSK med TKIP-krypteringstype gir ingen mening. Derfor, når du setter opp et trådløst nettverk, sett det til standard

WPA2/PSK - AES

Eller, som en siste utvei, spesifiser "Auto" som krypteringstype for fortsatt å tillate tilkobling av enheter med en utdatert WiFi-modul.

I dette tilfellet må WPA-nøkkelen, eller enkelt sagt, passordet for å koble til nettverket ha fra 8 til 32 tegn, inkludert engelske små bokstaver og store bokstaver, samt ulike spesialtegn.

Trådløs sikkerhet på TP-Link-ruteren

Skjermbildene ovenfor viser kontrollpanelet til en moderne TP-Link ruter V ny verson fastvare. Konfigurering av nettverkskryptering her er i " Tilleggsinnstillinger- Trådløs modus.

I den gamle "grønne" versjonen er WiFi-nettverkskonfigurasjonene som interesserer oss plassert i " Trådløs modus - Sikkerhet". Hvis du gjør alt som på bildet, blir det flott!

Hvis du la merke til, er det også et element som "WPA-gruppenøkkeloppdateringsperiode". Faktum er at for å gi større sikkerhet, endres den faktiske digitale WPA-nøkkelen for kryptering av forbindelsen dynamisk. Her setter du verdien i sekunder hvoretter endringen skjer. Jeg anbefaler å la den være i fred og la den stå som standard - oppdateringsintervallet varierer fra modell til modell.

Autentiseringsmetode på ASUS-ruteren

ASUS rutere Alle WiFi-innstillinger er plassert på én side "Trådløst nettverk"

Nettverksbeskyttelse via Zyxel Keenetic-ruter

Likeså for Zyxel Keenetic— delen "WiFi-nettverk - Tilgangspunkt"

I Keenetic rutere Uten "Zyxel"-prefikset endres krypteringstypen i delen "Hjemmenettverk".

Sette opp D-Link-rutersikkerhet

På D-Link ser vi etter seksjonen " Wi-Fi - Sikkerhet»

Vel, i dag forsto vi typene WiFi-kryptering og termer som WEP, WPA, WPA2-PSK, TKIP og AES og lærte hvilken som er bedre å velge. Les også om andre nettverkssikkerhetsalternativer i en av mine tidligere artikler, der jeg snakker om MAC- og IP-adresser og andre sikkerhetsmetoder.

Video om innstilling av krypteringstype på ruteren

    Før du leser av dette materialet, anbefales det at du leser de tidligere artiklene i serien:
  • Vi bygger et nettverk med egne hender og kobler det til Internett, del én - bygger et kablet Ethernet-nettverk (uten en svitsj, i tilfelle av to datamaskiner og med en svitsj, så vel som i nærvær av tre eller flere maskiner ) og organisere Internett-tilgang via en av nettverksdatamaskinene, som har to nettverkskort og Windows XP Pro-operativsystemet er installert.
  • Del to: oppsett av trådløst utstyr i et peer-to-peer-nettverk - problemer med organisering av et nettverk diskuteres når man kun bruker trådløse adaptere.

I den forrige artikkelen ble bare noen få ord viet til kryptering i trådløse nettverk; det ble lovet å dekke dette problemet i en egen artikkel. I dag oppfyller vi vårt engasjement :)

Først en liten teori.

Kryptering av data i trådløse nettverk får så mye oppmerksomhet på grunn av selve naturen til slike nettverk. Data overføres trådløst ved hjelp av radiobølger, vanligvis ved bruk av rundstrålende antenner. Dermed hører alle dataene - ikke bare personen de er ment for, men også naboen som bor bak veggen eller den "interesserte personen" som sitter med en bærbar datamaskin under vinduet. Selvfølgelig er avstandene som trådløse nettverk opererer over (uten forsterkere eller retningsantenner) små - ca 100 meter pr. ideelle forhold. Vegger, trær og andre hindringer demper signalet kraftig, men dette løser likevel ikke problemet.

Opprinnelig ble bare SSID (nettverksnavn) brukt til beskyttelse. Men generelt sett kan denne metoden kalles beskyttelse med stor strekk - SSID-en overføres til åpen form og ingen hindrer en angriper i å avlytte den og deretter sette den ønskede i innstillingene sine. For ikke å snakke om at (dette gjelder tilgangspunkter) kringkastingsmodusen for SSID kan aktiveres, dvs. den vil bli tvungen kringkasting til alle som lytter.

Derfor var det behov for datakryptering. Den første slike standard var WEP - Wired Equivalent Privacy. Kryptering utføres ved hjelp av en 40 eller 104-bits nøkkel (strømkryptering ved hjelp av RC4-algoritmen på en statisk nøkkel). Og selve nøkkelen er et sett med ASCII-tegn med en lengde på 5 (for en 40-bit) eller 13 (for en 104-bit nøkkel) tegn. Settet med disse tegnene er oversatt til en sekvens av heksadesimale sifre, som er nøkkelen. Drivere fra mange produsenter lar deg legge inn heksadesimale verdier (av samme lengde) direkte i stedet for et sett med ASCII-tegn. Vær oppmerksom på at algoritmene for konvertering fra en ASCII-tegnsekvens til heksadesimale nøkkelverdier kan variere avhengig av forskjellige produsenter. Derfor, hvis nettverket ditt bruker heterogent trådløst utstyr og du ikke er i stand til å konfigurere WEP-kryptering ved hjelp av en ASCII-nøkkelfrase, prøv å skrive inn nøkkelen i heksadesimalt format i stedet.

Men hva med produsentenes uttalelser om støtte for 64- og 128-bits kryptering, spør du? Det stemmer, markedsføring spiller en rolle her – 64 er mer enn 40, og 128 er 104. I virkeligheten skjer datakryptering ved å bruke en nøkkellengde på 40 eller 104. Men i tillegg til ASCII-frasen (statisk komponent av nøkkelen), det er også noe slikt som initialiseringsvektor - IV - initialiseringsvektor. Det tjener til å randomisere resten av nøkkelen. Vektoren velges tilfeldig og endres dynamisk under drift. I prinsippet er dette en rimelig løsning, siden den lar deg introdusere en tilfeldig komponent i nøkkelen. Vektorlengden er 24 biter, så den totale nøkkellengden ender opp med å være 64 (40+24) eller 128 (104+24) biter.

Alt ville vært bra, men krypteringsalgoritmen som brukes (RC4) er foreløpig ikke spesielt sterk - hvis du virkelig vil, kan du finne en nøkkel med brute force på relativt kort tid. Men likevel er hovedsårbarheten til WEP assosiert nettopp med initialiseringsvektoren. IV er bare 24 biter lang. Dette gir oss omtrent 16 millioner kombinasjoner - 16 millioner forskjellige vektorer. Selv om tallet "16 millioner" høres ganske imponerende ut, er alt i verden relativt. I ekte arbeid alle mulige nøkkelalternativer vil bli brukt i en periode fra ti minutter til flere timer (for en 40-bits nøkkel). Etter dette vil vektorene begynne å gjenta seg. En angriper trenger bare å samle et tilstrekkelig antall pakker ved å lytte til trafikken trådløst nettverk, og finn disse repetisjonene. Etter dette tar det ikke mye tid å velge den statiske komponenten til nøkkelen (ASCII-frase).

Men det er ikke alt. Det er såkalte "ustabile" initialiseringsvektorer. Bruken av slike vektorer i en nøkkel lar en angriper nesten umiddelbart begynne å velge den statiske delen av nøkkelen, i stedet for å vente flere timer, passivt akkumulere nettverkstrafikk. Mange produsenter bygger inn i programvaren (eller maskinvaren til trådløse enheter) en sjekk for slike vektorer, og hvis lignende blir funnet, blir de stille forkastet, dvs. ikke delta i krypteringsprosessen. Dessverre er det ikke alle enheter som har denne funksjonen.

For øyeblikket tilbyr noen produsenter av trådløst utstyr "utvidede versjoner" av WEP-algoritmen - de bruker nøkler som er lengre enn 128 (mer presist 104) biter. Men i disse algoritmene økes bare den statiske komponenten av nøkkelen. Lengden på initialiseringsvektoren forblir den samme, med alle de påfølgende konsekvensene (med andre ord, vi øker bare tiden for å velge en statisk nøkkel). Det sier seg selv at WEP-algoritmer med utvidede nøkkellengder kanskje ikke er kompatible mellom ulike produsenter.

Skremte du meg godt? ;-)

Når du bruker 802.11b-protokollen, kan du dessverre ikke velge noe annet enn WEP. Mer presist leverer noen (minoritets)produsenter ulike implementeringer av WPA-kryptering (ved hjelp av programvaremetoder), som er mye mer stabil enn WEP. Men disse "patchene" er inkompatible selv innenfor utstyret til samme produsent. Generelt, når du bruker 802.11b-utstyr, er det bare tre måter å kryptere trafikken din på:

  • 1. Bruke WEP med maksimal lengde nøkkel (128 biter eller høyere), hvis utstyret støtter syklisk endring av nøkler fra listen (opptil fire nøkler i listen), er det tilrådelig å aktivere denne endringen.
  • 2. Bruke 802.1x-standarden
  • 3. Bruke en tredjepart programvare for organisering av VPN-tunneler (krypterte datastrømmer) over et trådløst nettverk. For å gjøre dette installeres en VPN-server (vanligvis med pptp-støtte) på en av maskinene, og VPN-klienter konfigureres på de andre. Dette emnet krever separat vurdering og er utenfor rammen av denne artikkelen.

802.1x bruker en haug med flere protokoller for sitt arbeid:

  • EAP (Extensible Authentication Protocol) - protokoll for utvidet autentisering av brukere eller eksterne enheter;
  • TLS (Transport Layer Security) er en, den sikrer integriteten til dataoverføring mellom serveren og klienten, samt deres gjensidige autentisering;
  • RADIUS (Remote Authentication Dial-In User Server) - autentiseringsserver (autentisering) eksterne klienter. Det gir brukerautentisering.

802.1x-protokollen gir autentisering til eksterne klienter og utsteder dem midlertidige nøkler for datakryptering. Nøklene (i kryptert form) sendes til klienten for en kort periode, hvoretter en ny nøkkel genereres og sendes. Krypteringsalgoritmen har ikke endret seg - samme RC4, men hyppig nøkkelrotasjon gjør det svært vanskelig å knekke. Denne protokollen støttes kun i operativsystemer (fra Microsoft) Windows XP. Dens store ulempe (for slutt bruker) er at protokollen krever tilstedeværelsen av en RADIUS-server, som i hjemmenettverk, mest sannsynlig vil det ikke.

Enheter som støtter 802.11g-standarden støtter den forbedrede krypteringsalgoritmen WPA - Wi-Fi Protected Access. I det store og hele er dette en midlertidig standard designet for å fylle sikkerhetsnisjen frem til ankomsten av IEEE 802.11i-protokollen (den såkalte WPA2). WPA inkluderer 802.1X, EAP, TKIP og MIC.

Blant de ukontrollerte protokollene vises TKIP og MIC her:

  • TKIP (Temporal Key Integrity Protocol) er implementeringen av dynamiske krypteringsnøkler, pluss at hver enhet på nettverket også mottar sin egen hovednøkkel (som også endres fra tid til annen). Krypteringsnøkler er 128 bit lange og genereres av kompleks algoritme, og det totale antallet mulige nøkkelalternativer når hundrevis av milliarder, og de endres veldig ofte. Imidlertid er krypteringsalgoritmen som brukes fortsatt RC4.
  • MIC (Message Integrity Check) er enl. Protokollen lar deg forkaste pakker som ble "satt inn" i kanalen av en tredjepart, dvs. gikk ikke fra en gyldig avsender.

Det store antallet fordeler med TKIP-protokollen dekker ikke dens største ulempe - RC4-algoritmen som brukes til kryptering. Selv om det ikke har vært rapporterte tilfeller av TKIP-basert WPA-hacking per nå, hvem vet hva fremtiden vil bringe? Derfor blir nå bruken av AES-standarden (Advanced Encryption Standard), som erstatter TKIP, stadig mer populær. Forresten, i den fremtidige WPA2-standarden er det et obligatorisk krav om å bruke AES for kryptering.

Hvilke konklusjoner kan trekkes?

  • hvis det bare er 802.11g-enheter på nettverket, er det bedre å bruke WPA-basert kryptering;
  • hvis mulig (hvis støttet av alle enheter), aktiver AES-kryptering;

La oss gå videre til å sette opp kryptering direkte på enheter. Jeg bruker de samme trådløse adaptere som i forrige artikkel:

Cardbus-adapter Asus WL-100g er installert på den bærbare datamaskinen. Kortadministrasjonsgrensesnitt - verktøy fra ASUS (ASUS WLAN Kontroll senter).

Ekstern adapter med USB-grensesnitt ASUS WL-140. Adapterkontroll er via grensesnittet innebygd i Windows XP ( Null trådløst konfigurasjon). Dette kortet er 802.11b, så det støtter ikke WPA.

Avgift med PCI-grensesnitt Asus WL-130g. Kontrollgrensesnittet er implementert fra (brikkesettprodusenten av dette PCI-kortet).

ASUS WLAN-kontrollsenter - ASUS WL-100g

La oss starte med å sette opp kryptering i ASUS WLAN Control Center-administrasjonsgrensesnittet. Alle innstillinger er konsentrert i seksjonen Kryptering. Velg først autentiseringstype ( Nettverksgodkjenning), har vi tre tilgjengelige typer: åpent system, delt nøkkel og WPA.

1. WEP-kryptering.

Åpent system/delt nøkkeltyper er undersett av autentiseringsalgoritmen innebygd i WEP. Åpent system-modus er usikker og frarådes på det sterkeste å bli aktivert når Delt nøkkel kan aktiveres. Dette skyldes det faktum at i åpen systemmodus, for å gå inn i et trådløst nettverk (tilknytning til en annen stasjon eller tilgangspunkt), er det nok å bare kjenne nettverkets SSID, og ​​i delt nøkkelmodus må du også angi en WEP krypteringsnøkkel felles for hele nettverket.

Deretter velger du Kryptering - WEP, nøkkelstørrelse - 128 biter (det er bedre å ikke bruke en 64-bits nøkkel i det hele tatt). Vi velger nøkkelformatet, HEX (skriver inn nøkkelen i heksadesimal form) eller genererer en nøkkel fra en ASCII-sekvens (ikke glem at generasjonsalgoritmer kan variere mellom produsenter). Vi tar også hensyn til at WEP-nøkkelen (eller -nøklene) må være den samme på alle enheter på samme nettverk. Du kan legge inn opptil fire nøkler totalt. Det siste elementet er å velge hvilken nøkkel som skal brukes (standardnøkkel). I i dette tilfellet Det er en annen måte - å begynne å bruke alle fire nøklene sekvensielt, noe som øker sikkerheten. (kompatibilitet kun for enheter fra samme produsent).

2. WPA-kryptering.

Hvis det støttes på alle enheter (vanligvis 802.11g-enheter), anbefales det sterkt å bruke denne modusen i stedet for den utdaterte og sårbare WEP-en.

Som oftest trådløse enheter støtter to WPA-moduser:

  • Standard WPA. Det er ikke egnet for oss, siden det krever en RADIUS-server på nettverket (og det fungerer kun i forbindelse med et tilgangspunkt).
  • WPA-PSK - WPA med støtte for forhåndsdelte nøkler (forhåndsdefinerte nøkler). Og dette er det som trengs - nøkkelen (den samme for alle enheter) settes manuelt på alle trådløse adaptere og den primære autentiseringen av stasjoner utføres gjennom den.

Du kan velge TKIP eller AES som krypteringsalgoritmer. Sistnevnte er ikke implementert på alle trådløse klienter, men hvis det støttes av alle stasjoner, er det bedre å holde seg til det. Wireless Network Key er den samme generelle forhåndsdelte nøkkelen. Det anbefales å gjøre det lengre og ikke bruke et ord fra ordboken eller et sett med ord. Ideelt sett bør det være en slags gobbledygook.

Etter å ha klikket på Bruk (eller Ok)-knappen, vil de angitte innstillingene bli brukt på trådløst kort. På dette tidspunktet kan prosedyren for å sette opp kryptering på den anses som fullført.

Kontrollgrensesnitt implementert av Ralink - Asus WL-130g

Oppsettet er ikke veldig forskjellig fra det allerede diskuterte grensesnittet fra ASUS WLAN CC. Gå til fanen i grensesnittvinduet som åpnes Profil, plukke ut ønsket profil og klikk Redigere.

1. WEP-kryptering.

Kryptering er konfigurert i fanen Autentisering og sikkerhet. Hvis WEP-kryptering er aktivert, velg Delt i Autentiseringstype(dvs. delt nøkkel).

Velg krypteringstypen - WEP og skriv inn opptil fire ASCII- eller heksadesimale nøkler. Nøkkellengden kan ikke angis i grensesnittet; en 128-bits nøkkel brukes umiddelbart.

2. WPA-kryptering.

Hvis i Autentiseringstype velg WPA-Ingen, så aktiverer vi WPA delt nøkkelkryptering. Velg krypteringstype ( Kryptering) TKIP eller AES og skriv inn den delte nøkkelen ( WPA forhåndsdelt nøkkel).

Dette fullfører krypteringsoppsettet i dette grensesnittet. For å lagre innstillinger i profilen din, klikk bare på knappen Ok.

Null trådløs konfigurasjon (Windows innebygd grensesnitt) - ASUS WL-140

ASUS WL-140 er et 802.11b-kort, så det støtter kun WEP-kryptering.

1. WEP-kryptering.

I innstillinger trådløs adapter gå til bokmerket Trådløst nettverk. Deretter velger du vårt trådløse nettverk og trykker på knappen Melodi.

Aktiver i vinduet som vises Datakryptering. Vi aktiverer også Nettverksgodkjenning, vil deaktivering av dette elementet aktivere "Åpent system" type autentisering, dvs. enhver klient vil kunne koble seg til nettverket og kjenne sin SSID.

Skriv inn nettverksnøkkelen (og gjenta den i neste felt). Vi sjekker indeksen ( serienummer), vanligvis han lik en(dvs. den første nøkkelen). Nøkkelnummeret må være det samme på alle enheter.

Nøkkel ( nettverkspassord), som operativsystemet forteller oss, må inneholde 5 eller 13 tegn eller skrives helt inn i heksadesimal. Nok en gang, vær oppmerksom på at algoritmen for å konvertere en nøkkel fra symbolsk til heksadesimal kan variere mellom Microsoft og produsenter av deres egne grensesnitt for å administrere trådløse adaptere, så det ville være mer pålitelig å angi nøkkelen i heksadesimal (dvs. tall fra 0 til 9 og bokstavene fra A til F).

Det er også et flagg i grensesnittet som er ansvarlig for Automatisk nøkkelklargjøring, men jeg vet ikke nøyaktig hvor det vil fungere. Hjelpedelen sier at nøkkelen kan kobles til den trådløse adapteren av produsenten. Generelt er det bedre å ikke aktivere denne funksjonen.

På dette tidspunktet kan krypteringsoppsettet for 802.11b-adapteren anses som fullført.

Forresten, om hjelpen innebygd i OS. Det meste av det som sies her og mer finnes i Hjelpe- og støttesenter, som har et godt hjelpesystem, trenger du bare å skrive inn nøkkelord og klikke på den grønne søkepilen.

2. WPA-kryptering.

Etter å ha sett på å sette opp kryptering med 802.11b som eksempel ASUS adapter WL-140, vi berørte ikke å sette opp WPA i Windows, siden kortet ikke støtter denne modusen. La oss vurdere dette aspektet ved å bruke eksempelet på en annen adapter - ASUS WL-100g. Muligheten til å konfigurere WPA i Windows XP vises med installasjonen av Service Pack versjon 2 (eller de tilsvarende oppdateringene på Microsofts nettsted).

Service Pack 2 utvider funksjonaliteten og bekvemmeligheten til trådløse nettverksinnstillinger betraktelig. Selv om hovedmenyelementene ikke er endret, er nye lagt til.

Kryptering er konfigurert på en standard måte: velg først ikonet for trådløs adapter, og trykk deretter på knappen Egenskaper.

Gå til bokmerket Trådløst nettverk og velg hvilket nettverk vi vil konfigurere (vanligvis er det bare ett). Klikk Egenskaper.

I vinduet som kommer opp velger du WPA-Ingen, dvs. WPA med forhåndsdelte nøkler (hvis du velger Kompatibel, så vil vi aktivere WEP-krypteringskonfigurasjonsmodusen, som allerede er beskrevet ovenfor).

Velg AES eller TKIP (hvis alle enheter på nettverket støtter AES, er det bedre å velge det) og skriv inn WPA-nøkkelen to ganger (den andre i bekreftelsesfeltet). Gjerne noe langt og vanskelig å hente.

Etter å ha klikket på Ok WPA-krypteringsoppsettet kan også betraktes som komplett.

Avslutningsvis, noen få ord om oppsettsveiviseren for trådløst nettverk som dukket opp med Service Pack 2.

I eiendommer nettverksadapter velg en knapp Trådløst nettverk.

Klikk på i vinduet som vises Sett opp et trådløst nettverk.

Her forteller de hvor vi havnet. Klikk Lengre.

Velge Sett opp et trådløst nettverk. (Hvis du velger Legg til, så kan du opprette profiler for andre datamaskiner på samme trådløse nettverk).

I vinduet som vises, angi nettverks-SSID, aktiver WPA-kryptering, hvis mulig, og velg metoden for å legge inn nøkkelen. Generasjon kan gis operativsystem eller tast inn tastene manuelt. Hvis den første er valgt, vil et vindu dukke opp som ber deg om å gå inn høyre nøkkel(eller nøkler).

  • I en tekstfil for senere manuell inntasting på andre maskiner.
  • Lagre profilen på en USB-flash-stasjon for automatisk inntasting på andre maskiner med Windows XP med integrert Service Pack versjon 2.

Hvis Flash-lagringsmodus er valgt, vil du i neste vindu bli bedt om å sette inn Flash-medier og velge det fra menyen.

Hvis manuell lagring av parametere ble valgt, etter å ha trykket på knappen Type

... vil bli trukket tilbake tekstfil med de konfigurerte nettverksparametrene. Vær oppmerksom på at tilfeldige og lange (dvs. gode) nøkler genereres, men TKIP brukes som krypteringsalgoritme. AES-algoritmen kan senere aktiveres manuelt i innstillingene, som beskrevet ovenfor.

Total

Vi er ferdig med å sette opp kryptering på alle trådløse adaptere. Nå kan du sjekke om datamaskiner kan se hverandre. Hvordan du gjør dette ble beskrevet i den andre delen av "gjør-det-selv-nettverk"-serien (vi fortsetter på samme måte som metoden når kryptering ikke var aktivert på nettverket).

Hvis vi er i trøbbel og ikke alle datamaskiner ser hverandre, kontrollerer vi de generelle innstillingene til adapterene:

  • Autentiseringsalgoritmen må være den samme for alle (delte nøkler eller WPA);
  • Krypteringsalgoritmen må være den samme for alle (WEP-128bit, WPA-TKIP eller WPA-AES);
  • Nøkkellengden (i tilfelle WEP-kryptering) må være den samme for alle stasjoner på nettverket (vanlig lengde er 128bit);
  • Selve nøkkelen må være lik på alle stasjoner på nettet. Hvis WEP brukes, da mulig årsak- bruk av en ASCII-nøkkel og nettverket bruker heterogent utstyr (fra forskjellige produsenter). Prøv å skrive inn nøkkelen i heksadesimal notasjon.

Denne artikkelen er viet til spørsmålet om sikkerhet ved bruk av trådløse WiFi-nettverk.

Introduksjon - WiFi-sårbarheter

Hovedårsaken til at brukerdata er sårbare når disse dataene overføres over WiFi-nettverk er at utvekslingen skjer over radiobølger. Og dette gjør det mulig å fange opp meldinger når som helst der et WiFi-signal er fysisk tilgjengelig. Enkelt sagt, hvis signalet til et tilgangspunkt kan oppdages i en avstand på 50 meter, er avskjæring av all nettverkstrafikk til dette WiFi-nettverket mulig innenfor en radius på 50 meter fra tilgangspunktet. I neste rom, i en annen etasje i bygningen, på gaten.

Se for deg dette bildet. På kontoret det lokale nettverket bygget via WiFi. Signalet fra dette kontorets aksesspunkt fanges opp utenfor bygget, for eksempel på en parkeringsplass. En angriper utenfor bygningen kan få tilgang til kontornettverk, det vil si ubemerket av eierne av dette nettverket. WiFi-nettverk kan nås enkelt og diskret. Teknisk mye enklere enn kablede nettverk.

Ja. Til dags dato har midler for å beskytte WiFi-nettverk blitt utviklet og implementert. Denne beskyttelsen er basert på kryptering av all trafikk mellom tilgangspunktet og sluttenheten som er koblet til det. Det vil si at en angriper kan avskjære et radiosignal, men for ham vil det bare være digitalt "søppel".

Hvordan fungerer WiFi-beskyttelse?

Tilgangspunktet inkluderer i sitt WiFi-nettverk kun enheten som sender riktig passord (spesifisert i innstillingene for tilgangspunkt). I dette tilfellet sendes også passordet kryptert, i form av en hash. Hash er et resultat av irreversibel kryptering. Det vil si at data som er hashed ikke kan dekrypteres. Hvis en angriper fanger opp passordhashen, vil han ikke kunne få tak i passordet.

Men hvordan vet tilgangspunktet om passordet er riktig eller ikke? Hva om hun også mottar en hash, men ikke kan dekryptere den? Det er enkelt - i tilgangspunktinnstillingene spesifiseres passordet i sin rene form. Autorisasjonsprogrammet tar et tomt passord, lager en hash fra det, og sammenligner deretter denne hashen med den mottatt fra klienten. Hvis hashen samsvarer, er klientens passord riktig. Den andre funksjonen til hash brukes her - de er unike. Den samme hashen kan ikke hentes fra to forskjellige sett med data (passord). Hvis to hashes samsvarer, ble de begge opprettet fra samme sett med data.

Forresten. Takket være denne funksjonen brukes hashes til å kontrollere dataintegriteten. Hvis to hashes (opprettet over en tidsperiode) samsvarer, har ikke de opprinnelige dataene (i løpet av denne perioden) blitt endret.

Men til tross for at de mest moderne metode WiFi-nettverksbeskyttelse (WPA2) er pålitelig, dette nettverket kan hackes. Hvordan?

Det er to metoder for å få tilgang til et nettverk beskyttet av WPA2:

  1. Valg av passord ved hjelp av passorddatabase (såkalt ordboksøk).
  2. Utnyttelse av en sårbarhet i WPS-funksjonen.

I det første tilfellet fanger angriperen opp passordhashen for tilgangspunktet. Hasjene blir deretter sammenlignet med en database med tusenvis eller millioner av ord. Et ord hentes fra ordboken, en hash genereres for dette ordet og deretter sammenlignes denne hashen med hashen som ble fanget opp. Hvis et primitivt passord brukes på et tilgangspunkt, er det et spørsmål om tid å knekke passordet til dette tilgangspunktet. For eksempel er et 8-sifret passord (8 tegn langt er minimum passordlengde for WPA2) en million kombinasjoner. På moderne datamaskin Du kan sortere gjennom én million verdier på noen få dager eller til og med timer.

I det andre tilfellet blir en sårbarhet i de første versjonene av WPS-funksjonen utnyttet. Denne funksjonen lar deg koble en enhet som ikke har et passord, for eksempel en skriver, til tilgangspunktet. Når du bruker denne funksjonen, utveksler enheten og tilgangspunktet en digital kode, og hvis enheten sender riktig kode, autoriserer tilgangspunktet klienten. Det var en sårbarhet i denne funksjonen - koden hadde 8 sifre, men bare fire av dem ble sjekket for unikhet! Det vil si, for å hacke WPS må du søke gjennom alle verdiene som gir 4 sifre. Som et resultat kan hacking av et tilgangspunkt via WPS gjøres på bare noen få timer, på enhver svakeste enhet.

Sette opp WiFi-nettverkssikkerhet

Sikkerheten til WiFi-nettverket bestemmes av innstillingene til tilgangspunktet. Flere av disse innstillingene påvirker nettverkssikkerheten direkte.

Wi-Fi-nettverkstilgangsmodus

Tilgangspunktet kan operere i en av to moduser - åpent eller beskyttet. Ved åpen tilgang kan enhver enhet koble seg til tilgangspunktet. Ved beskyttet tilgang, kun enheten som sender riktig passord adgang.

Det er tre typer (standarder) for WiFi-nettverksbeskyttelse:

  • WEP (Wired Equivalent Privacy). Den aller første beskyttelsesstandarden. I dag gir den faktisk ikke beskyttelse, siden den kan hackes veldig enkelt på grunn av svakheten til beskyttelsesmekanismene.
  • WPA (Wi-Fi Protected Access). Kronologisk den andre beskyttelsesstandarden. På tidspunktet for opprettelse og idriftsettelse ga den effektiv beskyttelse WiFi-nettverk. Men på slutten av 2000-tallet ble det funnet muligheter for å hacke WPA-beskyttelse gjennom sårbarheter i sikkerhetsmekanismene.
  • WPA2 (Wi-Fi Protected Access). Den nyeste beskyttelsesstandarden. Gir pålitelig beskyttelse når visse regler følges. Til dags dato er det bare to kjente måter å bryte WPA2-sikkerheten på. Ordbok passord brute force og en løsning ved å bruke WPS-tjenesten.

Derfor, for å sikre sikkerheten til WiFi-nettverket ditt, må du velge WPA2-sikkerhetstypen. Imidlertid ikke alle klientenheter kan støtte det. For eksempel støtter Windows XP SP2 bare WPA.

I tillegg til å velge WPA2-standarden, kreves det ytterligere betingelser:

Bruk AES-krypteringsmetoden.

Passordet for å få tilgang til WiFi-nettverket må være sammensatt som følger:

  1. Bruk bokstaver og tall i passordet. Et tilfeldig sett med bokstaver og tall. Eller et veldig sjeldent ord eller uttrykk som bare er meningsfullt for deg.
  2. Ikke bruk enkle passord som navn + fødselsdato, eller et ord + noen få tall, for eksempel lena 1991 eller dom12345.
  3. Hvis du bare trenger å bruke digitalt passord, må lengden være minst 10 tegn. Fordi et digitalt passord på åtte tegn velges ved hjelp av en brute force-metode i sanntid (fra flere timer til flere dager, avhengig av datamaskinens kraft).

Hvis du bruker komplekse passord, i samsvar med disse reglene kan ikke WiFi-nettverket ditt hackes ved å gjette et passord ved hjelp av en ordbok. For eksempel for et passord som 5Fb9pE2a(tilfeldig alfanumerisk), maksimalt mulig 218340105584896 kombinasjoner. I dag er det nesten umulig å velge. Selv om en datamaskin skulle sammenligne 1 000 000 (millioner) ord per sekund, ville det ta nesten 7 år å iterere over alle verdiene.

WPS (Wi-Fi Protected Setup)

Hvis tilgangspunktet har WPS funksjon(Wi-Fi Protected Setup), må du deaktivere det. Hvis denne funksjonen er nødvendig, må du sørge for at versjonen er oppdatert til følgende funksjoner:

  1. Bruker alle 8 PIN-kodetegn i stedet for 4, slik tilfellet var i begynnelsen.
  2. Aktiver en forsinkelse etter flere forsøk på å sende feil PIN-kode fra klienten.

Et ekstra alternativ for å forbedre WPS-sikkerheten er å bruke en alfanumerisk PIN-kode.

Offentlig WiFi-sikkerhet

I dag er det fasjonabelt å bruke Internett via WiFi-nettverk på offentlige steder - kafeer, restauranter, kjøpesentre og så videre. Det er viktig å forstå at bruk av slike nettverk kan føre til tyveri av dine personlige data. Hvis du får tilgang til Internett via et slikt nettverk og deretter logger inn på en nettside, kan dataene dine (brukernavn og passord) bli fanget opp av en annen person som er koblet til det samme WiFi-nettverket. Tross alt, på enhver enhet som har bestått autorisasjon og er koblet til tilgangspunktet, kan du avskjære nettverkstrafikk fra alle andre enheter på dette nettverket. Og det særegne med offentlige WiFi-nettverk er at alle kan koble til det, inkludert en angriper, og ikke bare til åpent nettverk, men også beskyttet.

Hva kan du gjøre for å beskytte dataene dine når du kobler til Internett via et offentlig WiFi-nettverk? Det er bare ett alternativ - å bruke HTTPS-protokollen. Denne protokollen etablerer en kryptert forbindelse mellom klienten (nettleseren) og nettstedet. Men ikke alle nettsteder støtter HTTPS-protokoll. Adresser på et nettsted som støtter HTTPS-protokollen begynner med https://-prefikset. Hvis adressene på et nettsted har http://-prefikset, betyr dette at nettstedet ikke støtter HTTPS eller ikke bruker det.

Noen nettsteder bruker ikke HTTPS som standard, men har denne protokollen og kan brukes hvis du eksplisitt (manuelt) spesifiserer https://-prefikset.

Som for andre tilfeller av bruk av Internett - chatter, Skype, etc., for å beskytte disse dataene kan du bruke gratis eller betalte servere VPN. Det vil si først koble til VPN-server, og kun da bruke chat eller et åpent nettsted.

WiFi passordbeskyttelse

I den andre og tredje delen av denne artikkelen skrev jeg at når du bruker WPA2-sikkerhetsstandarden, er en av måtene å hacke et WiFi-nettverk på å gjette passordet ved hjelp av en ordbok. Men det er en annen mulighet for en angriper til å få passordet til WiFi-nettverket ditt. Hvis du lagrer passordet ditt på en lapp limt til skjermen, gjør dette det mulig for en fremmed å se dette passordet. Og passordet ditt kan bli stjålet fra en datamaskin som er koblet til WiFi-nettverket ditt. Det kan gjøre fremmed, hvis datamaskinene dine ikke er beskyttet mot uautorisert tilgang. Dette kan gjøres ved hjelp av skadelig programvare. I tillegg kan passordet stjeles fra en enhet som er tatt utenfor kontoret (hus, leilighet) - fra en smarttelefon, nettbrett.

Derfor, hvis du trenger pålitelig beskyttelse for WiFi-nettverket ditt, må du ta skritt for å lagre passordet ditt på en sikker måte. Beskytt den mot tilgang av uautoriserte personer.

Hvis du fant denne artikkelen nyttig eller bare likte den, så ikke nøl med å støtte forfatteren økonomisk. Dette er enkelt å gjøre ved å kaste penger på Yandex lommebok nr. 410011416229354. Eller på telefonen +7 918-16-26-331 .

Selv en liten mengde kan hjelpe med å skrive nye artikler :)