• dom
  •  > 
  • Gry
  •  > 
  • Rodzaj zabezpieczeń sieci bezprzewodowej i szyfrowania. Które wybrać? Bezpieczeństwo Wi-Fi

Rodzaj zabezpieczeń sieci bezprzewodowej i szyfrowania. Które wybrać? Bezpieczeństwo Wi-Fi

WEP (Przewodowy odpowiednik prywatności) - Bezpieczeństwo równoważne tajemnicy) to cecha standardu 802.11 stosowana w celu zapewnienia bezpieczeństwa transmisji danych. Szyfrowanie danych przeprowadzono przy użyciu algorytmu RC4 na kluczu ze składową statyczną o długości od 40 do 104 bitów i dodatkową losową składową dynamiczną (wektor inicjujący) o wielkości 24 bitów; W rezultacie dane zostały zaszyfrowane przy użyciu klucza o długości od 64 do 128 bitów. WEP nie ma za zadanie całkowitego ukrywania przesyłanych informacji, ma jedynie sprawić, że staną się one nieczytelne.

Technologia ta została opracowana specjalnie w celu szyfrowania przepływu przesyłanych danych w sieci lokalnej. Wykorzystuje niezbyt silny algorytm RC4 na kluczu statycznym. Część klucza WEP jest statyczna (40 bitów w przypadku szyfrowania 64-bitowego), a druga część (24 bity) jest dynamiczna (wektor inicjujący), czyli zmienia się podczas pracy sieci. Główna luka Protokół WEP polega na tym, że wektory inicjujące powtarzają się po pewnym czasie, a atakujący musi jedynie zebrać te powtórzenia i obliczyć z nich statyczną część klucza. Aby zwiększyć poziom bezpieczeństwa, oprócz szyfrowania WEP można zastosować standard 802.1x lub VPN.

Aby zwiększyć bezpieczeństwo, stosuje się tzw. wektor inicjujący (IV), który ma na celu losowanie dodatkowej części klucza, co zapewnia różne warianty szyfru dla różnych pakietów danych. Ten wektor jest 24-bitowy. W rezultacie otrzymujemy szyfrowanie ogólne o głębokości bitowej od 64 (40+24) do 128 (104+24) bitów. Pomysł jest bardzo rozsądny, ponieważ podczas szyfrowania operujemy zarówno stałymi, jak i losowo wybranymi znakami.

Możliwe jest złamanie takiej ochrony - odpowiednie narzędzia są dostępne w Internecie (na przykład AirSnort, WEPcrack). Jego głównym słabym punktem jest właśnie wektor inicjujący. Ponieważ mówimy o 24 bitach, oznacza to około 16 milionów kombinacji (2 do potęgi 24) - po użyciu tej liczby klucz zaczyna się powtarzać. Haker musi znaleźć te powtórzenia (od 15 minut do godziny w przypadku klucza 40-bitowego) i złamać resztę klucza w ciągu kilku sekund. Po tym może zalogować się do sieci jako zwykły zarejestrowany użytkownik.

Protokół bezpieczeństwa Wep

Również w 1997 r., kiedy ratyfikowano podstawowy standard 802.11, IEEE zatwierdziło mechanizm Wired Equivalent Privacy (WEP), który wykorzystuje szyfrowanie jako sposób zapewnienia bezpieczeństwa sieci bezprzewodowej. sieci przewodowe. WEP działa w warstwie 2 modelu OSI i do szyfrowania wykorzystuje 40-bitowy klucz, co oczywiście nie jest wystarczające.

Już w październiku 2000 roku opublikowano dokument IEEE 802.11-00/362 zatytułowany „Niebezpieczny w Jakikolwiek klucz rozmiar; Analiza enkapsulacji WEP” Jessego R. Walkera, który opisuje problemy z algorytmem WEP oraz ataki, które można przeprowadzić wykorzystując jego luki. Ten problem został opracowany w dwóch artykułach opublikowanych w odstępie miesiąca: „Intercepting Mobile Communications: The Insecurity of 802.11” z Uniwersytetu w Berkeley, zaprezentowanym na 7. dorocznej konferencji na temat mobilnych komputerów i sieci w lipcu 2001 r. oraz „Weaknesses in the Key Scheduling Algorithm of RC4” (opracowany wspólnie przez specjalistów z Cisco Systems i Zakładu Informatyki izraelskiego Instytutu Weizmanna), opublikowany w sierpniu 2001 roku.

W tym samym roku pojawiło się pierwsze narzędzie Adama Stubblefielda, w którym teoretyczne obliczenia powyższych autorów zastosowano w praktyce i które w ciągu kilku godzin złamało szyfr WEP. Obecnie istnieją narzędzia, które pozwalają złamać WEP w 5-30 sekund. Problemy z algorytmem WEP są złożone i obejmują cały szereg problemów słabe punkty:

Mechanizm wymiany kluczy (a raczej jego prawie całkowity brak);

Małe głębie bitowe klucza i wektora inicjującego (wektor inicjujący - IV);

Mechanizm sprawdzający integralność przesyłanych danych;

Metoda uwierzytelniania i algorytm szyfrowania RC4. Proces szyfrowania WEP przebiega w dwóch etapach.

1 Najpierw obliczana jest suma kontrolna (wartość sumy kontrolnej integralności – ICV) przy użyciu algorytmu cyklicznej kontroli nadmiarowej (CRC-32), dodawana na końcu niezaszyfrowanej wiadomości i wykorzystywana do sprawdzenia jej integralności przez stronę odbierającą.

2. W drugim etapie szyfrowanie odbywa się bezpośrednio.

Klucz szyfrowania WEP to wspólny tajny klucz, który muszą znać urządzenia po obu stronach kanału bezprzewodowej transmisji danych. Ten 40-bitowy tajny klucz wraz z losowym 24-bitowym IV stanowi sekwencję wejściową do generatora liczb pseudolosowych opartego na szyfrze Vernama w celu wygenerowania ciągu losowych znaków zwanego strumieniem klucza.

Ta operacja jest wykonywana, aby uniknąć metod hakerskich opartych na statystycznych właściwościach zwykłego tekstu.

IV służy do zapewnienia każdej wiadomości własnego, unikalnego strumienia klucza.

Zaszyfrowana wiadomość (rysunek 1) jest tworzona poprzez XORowanie niezaszyfrowanej wiadomości za pomocą ICV i strumienia klucza. Aby odbiorca mógł go wczytać do przesyłanego pakietu otwarta forma Dodaje się IV. Gdy informacja dociera do drugiej strony, zachodzi proces odwrotny (p=c+b). Oznaczający B odbiornik oblicza, stosując kod Vernama do sekwencji wejściowej składającej się z klucza DO(które zna z góry) i IV, które zawierały tę samą wiadomość w postaci zwykłego tekstu. Dla każdego kolejnego pakietu proces jest powtarzany z nową wybraną wartością IV. Do numeru znane właściwości Algorytm RC4 polega na tym, że jeśli użyjemy tej samej wartości klucza i wektora inicjującego, zawsze otrzymamy tę samą wartość B stąd zastosowanie operacji XOR do dwóch tekstów zaszyfrowanych przez RC4 o tej samej wartości B, to nic innego jak operacja XOR na dwóch początkowych tekstach.

do 1 = p 1 +b; do 2 = p 2 + b; do 1 + do 2 =(p 1 +b)+(p 2 +b)=p 1 +p 2

W ten sposób możemy uzyskać tekst jawny będący wynikiem operacji XOR pomiędzy dwoma innymi oryginalnymi tekstami. Procedura ich ekstrakcji nie jest trudna. Obecność oryginalnego tekstu i IV pozwala obliczyć klucz, który w przyszłości umożliwi odczytanie wszystkich wiadomości tego Sieć bezprzewodowa. Po prostej analizie można łatwo obliczyć, kiedy taka sytuacja się powtórzy B. Od klucza K stała, a liczba opcji IV wynosi 2 24 = 16 777 216, wówczas przy wystarczającym obciążeniu punktu dostępowego średni rozmiar pakietu w sieci bezprzewodowej wynosi 1500 bajtów (12 000 bitów), oraz Średnia prędkość transfer danych np. 5 Mbps (maksymalnie 11 Mbps) otrzymujemy, że punkt dostępowy będzie przesyłał 416 komunikatów na sekundę, czyli 1 497 600 komunikatów na godzinę, czyli powtórzenie nastąpi za 11 godzin 12 minut (2 24 / 1 497 600= 11,2 godz.). Problem ten nazywany jest „kolizją wektorów”. Istnieje duża liczba sposoby na przyspieszenie tego procesu. Ponadto mogą być stosowane „znane” ataki. zwykłym tekstem", gdy do jednego z użytkowników sieci zostanie wysłana wiadomość o znanej wcześniej treści i zaszyfrowany ruch zostanie podsłuchany. W tym przypadku, mając trzy z czterech komponentów (zwykły tekst, wektor inicjujący i tekst zaszyfrowany), można obliczyć klucz .

Podobnie sytuacja wygląda w przypadku ICV zastosowanego w algorytmie WEP. Wartość CRC-32 jest obliczana na podstawie pola danych komunikatu. Ten dobra metoda w celu ustalenia błędów powstałych podczas transmisji informacji, nie zapewnia jednak integralności danych, tj. nie daje gwarancji, że nie zostały one zastąpione w procesie transmisji. Sprawdź sumę CRC-32 ma właściwość liniową: CRC(A XOR B)=CRC(A)XOR CRC(B), która umożliwia atakującemu łatwą modyfikację zaszyfrowanego pakietu bez znajomości klucza WEP i ponowne obliczenie dla niego nowej wartości ICV.

Wired Equivalent Privacy (WEP) to przestarzały algorytm zapewniający bezpieczeństwo sieci bezprzewodowej IEEE 802.11.

Sieci bezprzewodowe wykorzystujące radio są bardziej podatne na podsłuchiwanie niż sieci przewodowe.

W 1999 r. protokół WEP miał zapewniać prywatność porównywalną z siecią przewodową. Również WEP jest funkcją opcjonalną Standard IEEE 802.11, który służy do zapewnienia bezpiecznej transmisji danych. Jest identyczny z protokołem bezpieczeństwa w lokalnych sieciach kablowych bez użycia dodatkowe metody szyfrowanie.

Technologia WEP

Zgodnie ze standardem 802.11 szyfrowanie danych WEP służy do następujących celów:

1. Zapobieganie nieautoryzowanemu dostępowi do danych podczas korzystania z urządzeń sieci bezprzewodowej.

2. Zapobieganie przechwytywaniu ruchu bezprzewodowego sieci lokalne.

WEP umożliwia administratorowi sieci bezprzewodowej zdefiniowanie zestawu kluczy dla każdego użytkownika na podstawie „ciągu klucza” przetwarzanego przez algorytm WEP. Żaden użytkownik, który nie posiada wymaganego klucza, nie będzie mógł uzyskać dostępu do sieci.

Jak podano w specyfikacji, WEP wykorzystuje algorytm szyfrowania RC4 z kluczem 40-bitowym lub 128-bitowym. Po włączeniu protokołu WEP wszystkie stacje (zarówno klienckie, jak i punkty dostępowe) otrzymują własny klucz, który służy do szyfrowania danych przed ich przesłaniem do nadajnika. Jeżeli stacja odbierze pakiet, który nie jest zaszyfrowany odpowiednim kluczem, zostaje wykluczony z ruchu. Metoda ta służy zabezpieczeniu przed nieuprawnionym dostępem i przechwyceniem danych.

Od 2001 roku szereg poważnych błędów zidentyfikowanych przez kryptoanalityków pokazało, że dzisiejszą komunikację WEP można złamać w ciągu kilku minut. Kilka miesięcy później IEEE utworzyło nową grupę zadaniową ds. standardu 802.11i, która miała zaradzić tym problemom. W 2003 roku organizacja Wi-Fi Alliance ogłosiła, że ​​protokół WEP został zastąpiony przez WPA, co stanowiło poprawkę do standardu 802.11i. W 2004 roku, po pełnym przyjęciu standardu 802.11i (lub WPA2), IEEE stwierdziło, że protokoły WEP-40 i WEP-104 nie są zalecane, ponieważ nie spełniają swoich obowiązków związanych z bezpieczeństwem. Pomimo swoich wad, protokół WEP jest nadal szeroko stosowany.

Badacze zajmujący się bezpieczeństwem danych opublikowali szczegółowy raport na temat słabych punktów w metodach szyfrowania powszechnie stosowanych do ochrony informacji przesyłanych w sieciach bezprzewodowych.

Źródłem problemu są istniejące luki w prywatności, które wynikają z błędów w algorytmie przypisywania kodu stosowanym w protokole Wired Equivalent Privacy (WEP), będącym częścią standardu sieci radiowej 802.11.

Luki w zabezpieczeniach radiowych były już szeroko dokumentowane, ale główna różnica w stosunku do nowo odkrytej luki polega na tym, że znacznie łatwiej jest ją wykorzystać. Według EE-Times bierne przechwytywanie zaszyfrowanego tekstu, a następnie przetwarzanie go przy użyciu metody zaproponowanej przez badaczy umożliwiłoby atakującemu posiadającemu połączenie radiowe LAN kody zabezpieczające w niecałe 15 minut. Zwiększanie długości klucza używanego do kodowania nie przyniosłoby żadnej korzyści w odpieraniu ataków wykorzystujących fundamentalną wadę metodologii stosowanej techniki kodowania.

Mechanizm szyfrowania WEP

Szyfrowanie WEP (Wired Equivalent Privacy) opiera się na algorytmie RC4 (Rivest's Cipher v.4), który jest symetrycznym szyfrowaniem strumieniowym. Jak wspomniano wcześniej, w przypadku normalnej wymiany danych użytkownika klucze szyfrujące abonenta i radiowego punktu dostępowego muszą być identyczne.

Rdzeń algorytmu składa się z funkcji generowania strumienia klucza. Funkcja ta generuje sekwencję bitów, która jest następnie łączona czystym tekstem sumując modulo dwa. Deszyfrowanie polega na ponownym wygenerowaniu strumienia klucza i zsumowaniu go modulo dwa z szyfrogramem w celu odzyskania oryginalnego tekstu. Drugą główną częścią algorytmu jest funkcja inicjująca, która wykorzystuje klucz o zmiennej długości do utworzenia stanu początkowego generatora strumienia klucza.

RC4 jest w rzeczywistości klasą algorytmów zdefiniowanych na podstawie rozmiaru bloku. Ten parametr n oznacza rozmiar słowa dla algorytmu. Zwykle n = 8, ale do celów analizy można to zmniejszyć. Aby jednak zwiększyć poziom bezpieczeństwa należy ustawić tę wartość na wyższą. Stan wewnętrzny RC4 składa się z tablicy 2n słów i dwóch liczników, każdy o rozmiarze jednego słowa. Tablica jest znana jako S-box i w dalszej części będzie nazywana S. Zawsze zawiera permutację 2n możliwych znaczeń słowa. Obydwa liczniki są oznaczone przez i oraz j.

Algorytm inicjalizacji RC4

Algorytm ten wykorzystuje klucz przechowywany w Key i mający długość l bajtów. Inicjalizacja rozpoczyna się od wypełnienia tablicy S, następnie tablica ta jest mieszana permutacjami określonymi kluczem. Ponieważ na S wykonywana jest tylko jedna akcja, instrukcja musi utrzymywać, że S zawsze zawiera wszystkie wartości słowo kodowe.

Początkowe wypełnienie tablicy:

dla i = 0 do 2n – 1

Szyfrowanie:

dla i = 0 do 2n – 1

j = j + S[i] + klucz

Permutacja (S[i], S[j])

Generator strumienia klucza RC4 porządkuje wartości zapisane w S i za każdym razem wybiera nową wartość z S jako wynik. W jednym cyklu RC4 ze strumienia klucza wyznaczane jest jedno n-bitowe słowo K, które jest następnie sumowane z tekstem oryginalnym w celu otrzymania tekstu zaszyfrowanego.

Inicjalizacja:

Cykl generacji:

Permutacja (S[i], S[j])

Wynik: K = S + S[j]].

Cechy protokołu WEP

Wystarczająco odporny na ataki związane z prostym wyliczeniem kluczy szyfrujących, co zapewnia wymagana długość klucza oraz częstotliwość zmiany kluczy i wektora inicjującego;

Samosynchronizacja każdej wiadomości. Ta właściwość jest kluczowa w przypadku protokołów warstwy dostępu do mediów, gdzie liczba zniekształconych i utraconych pakietów jest duża;

Efektywność: WEP jest łatwy do wdrożenia;

Otwartość;

Korzystanie z szyfrowania WEP jest opcjonalne w sieciach IEEE 802.11.

Szyfrowanie strumieniowe i blokowe służy do ciągłego szyfrowania strumienia danych.

Szyfrowanie strumieniowe

Szyfrowanie strumienia polega na dodawaniu bitowym modulo 2 (wyłączna funkcja OR, XOR) sekwencji kluczy wygenerowanej przez algorytm szyfrowania oparty na dany klucz i oryginalną wiadomość. Sekwencja kluczy ma długość odpowiadającą długości oryginalnej wiadomości, która ma być zaszyfrowana.

Blokuj szyfrowanie

Szyfrowanie blokowe działa z blokami o określonej długości, która nie zmienia się podczas procesu szyfrowania. Oryginalna wiadomość jest dzielona na bloki, a funkcja XOR jest obliczana na podstawie sekwencji klawiszy i każdego bloku. Rozmiar bloku jest stały, a ostatni fragment oryginalnej wiadomości jest dopełniany pustymi znakami do długości normalnego bloku. Na przykład w szyfrowaniu blokowym za pomocą bloków 16-bajtowych oryginalna wiadomość 38-bajtowa jest dzielona na dwa bloki 16-bajtowe i 1 blok 6-bajtowy, który następnie jest dopełniany 10 bajtami znaków zerowych do długości normalnego bloku .

Szyfrowanie strumieniowe i szyfrowanie blokowe wykorzystują metodę Elektronicznej Książki Kodowej (ECB). Metodę EBC charakteryzuje to, że ten sam oryginalny komunikat na wejściu generuje zawsze ten sam zaszyfrowany komunikat na wyjściu. Jest to potencjalna luka w zabezpieczeniach, ponieważ zewnętrzny obserwator po wykryciu powtarzających się sekwencji w zaszyfrowanej wiadomości może zgadnąć, jaka jest tożsamość treści oryginalnej wiadomości.

Aby rozwiązać ten problem, użyj:

· Wektory inicjujące (IV).

· Informacja zwrotna(tryby sprzężenia zwrotnego).

Przed rozpoczęciem procesu szyfrowania 40- lub 104-bitowy tajny klucz jest rozprowadzany pomiędzy wszystkimi stacjami w sieci bezprzewodowej. Do tajnego klucza dodawany jest wektor inicjujący (IV).

Wektor inicjujący

Wektor inicjujący (IV) służy do modyfikowania sekwencji klawiszy. Podczas korzystania z wektora inicjującego sekwencja kluczy jest generowana przez algorytm szyfrowania, którego wejściem jest tajny klucz połączony z IV. Kiedy zmienia się wektor inicjujący, zmienia się także sekwencja klawiszy. Na ryc. 8.3, oryginalna wiadomość jest szyfrowana przy użyciu nowej sekwencji kluczy wygenerowanej przez algorytm szyfrowania po przesłaniu na jej wejście kombinacji tajnego klucza i wektora inicjującego, co generuje na wyjściu zaszyfrowaną wiadomość.

Zatem ta sama niezaszyfrowana ramka transmitowana wielokrotnie będzie generować za każdym razem unikalną zaszyfrowaną ramkę.

Wektor inicjujący ma długość 24 bitów i jest łączony z 40- lub 104-bitowym kluczem bazowym szyfrowania WEP w celu utworzenia 64- lub 128-bitowego klucza jako danych wejściowych algorytmu szyfrowania. Wektor inicjujący występuje w postaci niezaszyfrowanej w nagłówku ramki w kanale radiowym, dzięki czemu strona odbiorcza może pomyślnie zdekodować ramkę. Chociaż powszechnie mówi się o szyfrowaniu WEP przy użyciu kluczy 64-bitowych lub 128-bitowych, efektywna długość klucza wynosi tylko 40 lub 104 bity, ponieważ wektor inicjujący jest wysyłany w postaci niezaszyfrowanej. Gdy ustawienia szyfrowania w urządzeniu są ustawione na 40-bitowe w skuteczny sposób Wprowadza się 5-bajtowe znaki ASCII (5×8=40) lub 10 liczby szesnastkowe(10x4=40), a przy 104-bitowym efektywnym kluczu wprowadza się 13 bajtowych znaków ASCII (3x8=104) lub 26 liczb szesnastkowych (26x4=104). Niektóre urządzenia obsługują klucz 128-bitowy.

Słabe strony szyfrowania WEP i przykłady ataków

Wszystkie ataki na WEP opierają się na wadach szyfru RC4, takich jak możliwość kolizji wektorów inicjujących i modyfikacji ramek. Wszystkie rodzaje ataków wymagają przechwycenia i analizy ramek sieci bezprzewodowej. W zależności od rodzaju ataku liczba klatek wymaganych do włamania jest różna. Za pomocą programów takich jak Aircrack-ng włamanie się do sieci bezprzewodowej z szyfrowaniem WEP jest bardzo szybkie i nie wymaga specjalnych umiejętności.

Atak Flarere-Mantina-Shamira

Została zaproponowana w 2001 roku przez Scotta Flurera, Itzika Mantina i Adi Shamira. Wymaga obecności słabych wektorów inicjujących w ramkach. Aby zhakować, trzeba przechwycić średnio około pół miliona klatek. W analizie wykorzystywane są wyłącznie słabe wektory. Jeśli ich nie ma (np. po poprawieniu algorytmu szyfrowania) ten atak nieskuteczny.

Atak KoreK

Został zaproponowany w 2004 roku przez hakera nazywającego się KoreK. Jego osobliwością jest to, że atak nie wymaga słabych wektorów inicjujących. Aby się zhakować, musisz przechwycić kilkaset tysięcy klatek. W analizie wykorzystywane są wyłącznie wektory inicjujące.

Atak Tevsa-Weinmana-Pyszkina

Został on zaproponowany w 2007 roku przez Erika Tewsa, Ralfa-Philippa Weinmanna i Andreya Pyshkina. Wykorzystuje możliwość wstrzykiwania żądań ARP do sieci bezprzewodowej. NA ten moment Jest to najskuteczniejszy atak, którego złamanie wymaga zaledwie kilkudziesięciu tysięcy klatek. Do analizy wykorzystywane są całe klatki. Podsumowując, można przypomnieć, że algorytm ma wiele słabych punktów:

  • mechanizmy wymiany kluczy i sprawdzania integralności danych
  • mała szerokość klucza i wektora inicjującego (angielski wektor inicjujący)
  • Metoda Uwierzytelnienia
  • algorytm szyfrowania.

W 2001 roku pojawiła się specyfikacja WEP-104, która jednak nie rozwiązała problemu, ponieważ długość wektora inicjującego i sposób sprawdzania integralności danych pozostały takie same. W 2004 roku IEEE zatwierdziło nowe mechanizmy WPA i WPA2. Od tego czasu protokół WEP uznano za przestarzały. W 2008 roku standard DSS (Data Security Standard) został wydany przez SSC (Security Standards Council) organizacji PCI (Payment Card Industry), która zaleciła zaprzestanie stosowania protokołu WEP do szyfrowania po 30 czerwca 2010 roku.

Dane osobiste i pliki znajdujące się w sieci bezprzewodowej mogą czasami być widoczne dla osób odbierających sygnał radiowy Twojej sieci. Może to prowadzić do kradzieży tożsamości i innych złośliwych działań.

Klucz bezpieczeństwa sieci lub hasło pomoże chronić Twoją sieć bezprzewodową przed nieautoryzowanym dostępem.

Kreator konfiguracji sieci pomoże Ci w instalacji klucz bezpieczeństwa sieci.

Notatka Uwaga: nie zaleca się stosowania protokołu WEP (Wired Equivalent Privacy) w celu zabezpieczenia sieci bezprzewodowej. Bezpieczna technologia Dostęp do Wi-Fi(WPA lub WPA2) jest bezpieczniejsze. Jeśli technologia WPA lub WPA2 nie działa, zaleca się wymianę karty sieciowej na taką, która współpracuje z WPA lub WPA2. Wszystko urządzenia sieciowe Komputery, routery i punkty dostępu obsługują również WPA lub WPA2.

Metody szyfrowania w sieciach bezprzewodowych

Obecnie istnieją trzy metody szyfrowania sieci bezprzewodowych: Wi-Fi Protected Access (WPA i WPA2), Wired Equivalent Privacy (WEP) i 802.1x. Pierwsze dwie metody opisano bardziej szczegółowo poniżej. Standard 802.1x, który jest zwykle używany sieci korporacyjne, nie jest opisane w tej sekcji.

Technologia chronionego dostępu Wi-Fi (WPA i WPA2)

Aby połączyć się za pomocą WPA i WPA2, musisz mieć klucz bezpieczeństwa. Po zweryfikowaniu klucza wszystkie dane przesyłane pomiędzy Twoim komputerem lub urządzeniem a punktem dostępowym zostaną zaszyfrowane.

Istnieją dwa typy uwierzytelniania WPA: WPA i WPA2. Jeśli to możliwe, używaj protokołu WPA2, ponieważ jest on najbezpieczniejszy. Prawie wszystko nowe adaptery bezprzewodowe obsługują WPA i WPA2, ale niektóre starsze modele ich nie obsługują.

WPA-Personal i WPA2-Personal zapewniają użytkownikom to samo hasło. Te typy są zalecane do stosowania w sieciach domowych. WPA-Enterprise i WPA2-Enterprise są przeznaczone do użytku z serwerem uwierzytelniania 802.1x, który generuje inny klucz dla każdego użytkownika. Ten typ jest zwykle używany w sieciach roboczych.

Protokół Wired Equivalent Privacy (WEP).

WEP to sposób na zabezpieczenie sieci Poprzednia generacja, jest nadal dostępny i obsługuje starsze modele urządzeń, ale nie zaleca się go używać. Aktywując WEP, musisz skonfigurować klucz bezpieczeństwa sieci. Ten klucz szyfrowania jest przesyłany przez sieć z jednego komputera do drugiego. Jednak bezpieczeństwo WEP jest stosunkowo łatwe do złamania.

Istnieją dwa typy protokołu WEP: uwierzytelnianie w systemie otwartym i uwierzytelnianie za pomocą klucza współdzielonego. Żadne z nich nie jest całkowicie bezpieczne, ale uwierzytelnianie za pomocą klucza współdzielonego jest najmniej bezpiecznym typem.

Dla większości komputery bezprzewodowe i punktach dostępu publiczny klucz uwierzytelniania jest taki sam, jak statyczny klucz szyfrowania WEP używany do zabezpieczania sieci. Osoba atakująca może przechwycić pomyślną wiadomość dotyczącą uwierzytelnienia za pomocą klucza współdzielonego i użyć narzędzi do podsłuchiwania w celu ustalenia udostępnionego klucza uwierzytelnienia i statycznego klucza szyfrowania WEP.

Po ustaleniu statycznego klucza szyfrowania WEP atakujący będzie go miał pełny dostęp do sieci. Z tego powodu to Wersja Windowsa nie wspieraj automatyczna konfiguracja sieci przy użyciu uwierzytelniania za pomocą klucza współdzielonego WEP.

Jeśli pomimo tych zastrzeżeń nadal chcesz skonfigurować uwierzytelnianie WEP przy użyciu klucza współdzielonego, możesz to zrobić, wykonując poniższe kroki.

Tworzenie profilu przy użyciu uwierzytelniania WEP z kluczem wspólnym

  1. Otwórz okno Centrum sieci i udostępniania.
  2. Kliknij Skonfiguruj nowe połączenie lub sieć.
  3. Wybierać Ręczne łączenie z siecią bezprzewodową i kliknij Dalej.
  4. Na stronie Wprowadź informacje o sieci bezprzewodowej, którą chcesz dodać pod nagłówkiem Rodzaj ochrony wybierz WEP.
  5. Wypełnij pozostałe strony i kliknij Dalej.
  6. Kliknij Konfiguracja połączenia.
  7. Przejdź do zakładki Bezpieczeństwo, na liście Rodzaj ochrony wybierać Ogólny.
  8. Kliknij OK.

Szyfrowanie WEP jest funkcją każdego systemu 802.11b, dlatego ważne jest, aby wiedzieć, jak to działa, nawet jeśli zdecydujesz się z niego nie korzystać. Jak sama nazwa wskazuje, pierwotnym celem protokołu Wired Equivalent Privacy (WEP) było zapewnienie poziomu bezpieczeństwa sieci bezprzewodowych porównywalnego z siecią przewodową. Jednak bardzo powszechne jest twierdzenie, że sieć oparta na szyfrowaniu WEP jest prawie tak samo podatna na włamania, jak sieć pozbawiona jakichkolwiek zabezpieczeń. Będzie chronić przed sporadycznym szpiegiem, ale nie będzie szczególnie skuteczny w przypadku uporczywego włamywacza.

WEP spełnia trzy funkcje: zapobiega nieautoryzowanemu dostępowi do sieci, weryfikuje integralność każdego pakietu i chroni dane przed złymi życzeniami. Do szyfrowania pakietów danych protokół WEP wykorzystuje tajny klucz szyfrowania przed przesłaniem go przez klienta sieci lub punkt dostępu i używa tego samego klucza do dekodowania danych po ich odebraniu.

Gdy klient próbuje komunikować się z siecią przy użyciu innego klucza, wynik jest zniekształcony i ignorowany. Dlatego ustawienia WEP muszą być dokładnie takie same w każdym punkcie dostępu i karcie klienta w sieci. Brzmi to dość prosto, ale jest problematyczne, ponieważ producenci tego używają różne metody w celu określenia rozmiaru i formatu klucza WEP. Funkcje są spójne w zależności od marki, ale te same ustawienia nie zawsze mają te same oznaczenia.

Ile bitów zawiera klucz WEP?

Po pierwsze, klucz WEP może mieć długość 64 lub 128 bitów. Klucze 128-bitowe są trudniejsze do złamania, ale wydłużają także czas potrzebny na przesłanie każdego pakietu.

Zamieszanie w implementacjach różni producenci Dzieje się tak, ponieważ 40-bitowy klucz WEP to to samo, co 64-bitowy klucz WEP, a 104-bitowy klucz to to samo, co 128-bitowy klucz. Standardowy 64-bitowy klucz WEP to ciąg znaków zawierający wewnętrznie wygenerowany 24-bitowy wektor inicjujący i 40-bitowy tajny klucz przypisany przez administratora sieci. Specyfikacje i programy konfiguracyjne niektórych producentów nazywają to „szyfrowaniem 64-bitowym”, a inni nazywają to „szyfrowaniem 40-bitowym”. W obu przypadkach schemat szyfrowania pozostaje taki sam, więc adapter korzystający z szyfrowania 40-bitowego jest w pełni kompatybilny z punktem dostępowym lub adapterem korzystającym z szyfrowania 64-bitowego.

Wiele kart sieciowych i punktów dostępu zawiera także funkcję „silnego szyfrowania”, która wykorzystuje 128-bitowy klucz (który w rzeczywistości jest 104-bitowym tajnym kluczem z 24-bitowym wektorem inicjującym).

Silne szyfrowanie jest jednokierunkowo kompatybilne z szyfrowaniem 64-bitowym, ale nie jest automatyczne, więc wszystkie elementy mieszanej sieci urządzeń z kluczem 128-bitowym i 64-bitowym będą działać z szyfrowaniem 64-bitowym. Jeśli punkt dostępu i wszystkie adaptery obsługują szyfrowanie 128-bitowe, użyj klucza 128-bitowego. Jeśli jednak chcesz, aby Twoja sieć była kompatybilna z kartami i punktami dostępu, które rozpoznają tylko szyfrowanie 64-bitowe, skonfiguruj całą sieć tak, aby korzystała z kluczy 64-bitowych.

Klucz ASCII czy szesnastkowy?

Jednak sama długość klucza jest myląca podczas konfigurowania szyfrowania WEP. Niektóre programy wymagają klucza jako ciągu znaków znaki tekstowe, a inne jako liczby szesnastkowe. Inni mogą wygenerować klucz na podstawie opcjonalnego hasła.

Każdy znak ASCII składa się z 8 bitów, zatem 40-bitowy (lub 64-bitowy) klucz WEP zawiera 5 znaków, a 104-bitowy (lub 128-bitowy) klucz składa się z 13 znaków. W system szesnastkowy każda liczba ma 4 bity, więc 40-bitowy klucz zawiera 10 znaki szesnastkowe, a 128-bitowy ma 26 znaków.

Na ryc. 14.2 przedstawiający okno ustawień bezprzewodowych dla punktu Dostęp do D-Link W polu 40-bitowy klucz wspólny używane są znaki szesnastkowe i jest w nim miejsce na dziesięć znaków. programu D-Link zawiera wszystkie dziesięć znaków w jednym wierszu, ale inne dzielą je na pięć grup po dwie liczby lub dwie grupy po pięć liczb.


Ryż. 14.2

Dla komputera klucz wygląda tak samo w obu przypadkach, ale łatwiej jest skopiować ciąg, gdy jest on podzielony na części.

Wiele narzędzi klienckich, takich jak okno dialogowe Właściwości sieci bezprzewodowej w systemie Windows XP (pokazane na rysunku 14.3), oferuje możliwość wyboru: kod szesnastkowy lub tekst, aby można było użyć formatu odpowiedniego dla punktu dostępu.

Hasło jest Ciąg tekstowy, który karty i punkty dostępu są automatycznie konwertowane na ciąg znaków szesnastkowych. Ponieważ ludzie na ogół łatwiej zapamiętują znaczące słowa lub frazy niż szesnastkowy bełkot, hasło jest łatwiejsze do przekazania niż ciąg szesnastkowy. Hasło jest jednak przydatne tylko wtedy, gdy wszystkie karty i punkty dostępu w sieci pochodzą od tego samego producenta.


Ryż. 14.3

Jakie funkcje są obecne?

Podobnie jak w przypadku prawie wszystkich ustawień narzędzia konfiguracyjnego 802.11b, nazwy funkcji WEP nie są stałe w poszczególnych programach.

Niektórzy korzystają zestaw otwarty funkcje, takie jak „włącz szyfrowanie WEP”, a inne korzystają z terminologii technicznej zaczerpniętej z oficjalnej specyfikacji 802.11. Uwierzytelnianie systemu otwartego to drugi wariant nazwy „Szyfrowanie WEP wyłączone”.

Niektóre punkty dostępu oferują także opcjonalną funkcję uwierzytelniania klucz publiczny, który wykorzystuje szyfrowanie WEP, gdy klient sieci ma klucz, ale niezaszyfrowane dane są akceptowane z innych węzłów sieci.

Łączenie kluczy szesnastkowych i tekstowych

Konfigurowanie sieci mieszanej staje się bardziej skomplikowane, gdy niektóre węzły sieci używają tylko kluczy szesnastkowych, a inne wymagają kluczy tekstowych. Jeśli taka sytuacja wystąpi w Twojej sieci, musisz postępować zgodnie z poniższymi zasadami, aby skonfigurować je z WEP:

Konwertuj wszystkie klucze tekstowe na format szesnastkowy. Jeśli program konfiguracyjny wymaga klucza tekstowego, wprowadź znaki Oh(zero, po którym następuje mała litera x) przed ciągiem szesnastkowym. Jeśli używasz oprogramowanie Zamiast tego Apple AirPort Oh Na początku klucza szesnastkowego należy wpisać symbol dolara ( $ );

Upewnij się, że wszystkie klucze szyfrujące mają prawidłową liczbę znaków;

Jeśli nadal nie wszystko działa, przeczytaj sekcje dotyczące bezpieczeństwa w swoich instrukcjach. karty sieciowe i punkty dostępowe. Możliwe, że jedno lub więcej z tych urządzeń w sieci jest w jakiś sposób ukryte cecha indywidualna, o którym nie wiesz.

Zmiana kluczy WEP

Wiele punktów dostępowych i adapterów klienci sieciowi może obsługiwać do czterech różnych 64-bitowych kluczy WEP, ale tylko jeden jest aktywny w danym momencie, jak pokazano na rysunku. 14.4. Pozostałe klucze to klucze zapasowe, które mogą na to pozwolić Administrator sieci dostosuj ochronę sieci za pomocą krótkiego powiadomienia. Adaptery i punkty dostępowe obsługujące szyfrowanie 128-bitowe korzystają jednocześnie tylko z jednego 128-bitowego klucza WEP.


Ryż. 14.4

W sieci, w której szyfrowanie WEP jest zorganizowane poważnie. Klucze WEP należy wymieniać regularnie, zgodnie z harmonogramem. W przypadku sieci, która nie przesyła ważnych danych, wystarczy miesiąc, ale w przypadku poważniejszej sieci raz lub dwa razy w tygodniu należy zainstalować nowy klucz. Pamiętaj, aby zapisać swoje aktualne klucze WEP w bezpiecznym miejscu.

Często pojawia się pytanie: jaki rodzaj szyfrowania Wi-Fi wybrać dla swojego domowego routera. Może się to wydawać drobnostką, ale jeśli parametry będą nieprawidłowe, mogą pojawić się problemy z siecią, a nawet z przesyłaniem informacji kablem Ethernet.

Dlatego tutaj przyjrzymy się, jakie rodzaje szyfrowania danych są obsługiwane przez nowoczesne routery Wi-Fi oraz czym typ szyfrowania aes różni się od popularnych szyfrowań wpa i wpa2.

Typ szyfrowania sieci bezprzewodowej: jak wybrać metodę bezpieczeństwa?

W sumie istnieją 3 rodzaje szyfrowania:

  1. 1. Szyfrowanie WEP

Typ szyfrowania WEP pojawił się w latach 90. i był pierwszą opcją Ochrona Wi-Fi sieci: był pozycjonowany jako analog szyfrowania w sieciach przewodowych i wykorzystywał szyfr RC4. Istniały trzy powszechne algorytmy szyfrowania przesyłanych danych – Neesus, Apple i MD5 – ale każdy z nich nie zapewniał wymaganego poziomu bezpieczeństwa. W 2004 roku IEEE uznało ten standard za przestarzały, gdyż ostatecznie przestał zapewniać bezpieczne połączenia sieciowe. W tej chwili nie zaleca się stosowania tego typu szyfrowania dla Wi-Fi, ponieważ... nie jest kryptoodporny.

  1. 2.WPS to standard, który nie przewiduje użycia . Aby połączyć się z routerem wystarczy kliknąć w odpowiedni przycisk, który szczegółowo opisaliśmy w artykule.

Teoretycznie WPS pozwala połączyć się z punktem dostępowym za pomocą ośmiocyfrowego kodu, ale w praktyce często wystarczą tylko cztery.

Fakt ten jest łatwo wykorzystywany przez licznych hakerów, którzy szybko (w ciągu 3 - 15 godzin) włamują się do sieci Wi-Fi, dlatego skorzystaj z to połączenie również nie zalecane.

  1. 3.Typ szyfrowania WPA/WPA2

Sprawa wygląda znacznie lepiej w przypadku szyfrowania WPA. Zamiast podatnego na ataki szyfru RC4 używamy Szyfrowanie AES, gdzie długość hasła jest dowolną wartością (8 – 63 bity). Ten typ szyfrowanie zapewnia normalny poziom bezpieczeństwa i jest całkiem odpowiednie proste Wi-Fi routery. Istnieją dwa jego rodzaje:

Typ PSK (Pre-Shared Key) – połączenie z punktem dostępowym odbywa się za pomocą określone hasło.
- Enterprise – hasło dla każdego węzła jest generowane automatycznie i sprawdzane na serwerach RADIUS.

Typ szyfrowania WPA2 jest kontynuacją WPA z ulepszonymi zabezpieczeniami. W ten protokół Stosowany jest RSN, który opiera się na szyfrowaniu AES.

Podobnie jak szyfrowanie WPA, WPA2 ma dwa tryby działania: PSK i Enterprise.

Od 2006 roku wszyscy obsługują szyfrowanie WPA2 Sprzęt Wi-Fi, odpowiednie położenie geograficzne można wybrać dla dowolnego routera.

Zalety szyfrowania WPA2 w porównaniu z WPA:

Klucze szyfrujące generowane są podczas połączenia z routerem (zamiast kluczy statycznych);
- Wykorzystanie algorytmu Michaela do kontroli integralności przesyłane wiadomości
- Użycie wektora inicjującego o znacznie większej długości.
Ponadto należy wybrać rodzaj szyfrowania Wi-Fi w zależności od tego, gdzie używany jest router:

W ogóle nie należy stosować szyfrowania WEP, TKIP i CKIP;

Dla punkt startowy WPA/WPA2 PSK jest całkiem odpowiedni do dostępu;

W tym celu należy wybrać WPA/WPA2 Enterprise.