Какой метод шифрования беспроводной сети наименее надежен - Настройка безопасности Wi-Fi маршрутизаторов и точек доступа
Что нужно использовать для более быстрой работы Wi-Fi сети: AES или TKIP?
WPA2-PSK - что это? Тип безопасности WPA2-PSK
Защита в сетях Wi-Fi
Защита и безопасность WiFi сети
Несколько слов о шифровании Wi-Fi протокола: что к чему и зачем?
Сфера применения
Стандарт Wi-Fi разработан на основе IEEE Institute of Electrical and Electronics Engineers , используется для широкополосных беспроводных сетей связи. Изначально технология Wi-Fi была ориентирована на организацию точек быстрого доступа в Интернет hotspot для мобильных пользователей. Преимущества беспроводного доступа очевидны, а технология Wi-Fi изначально стала стандартом, которого придерживаются производители мобильных устройств. Постепенно сети Wi-Fi стали использовать малые и крупные офисы для организации внутренних сетей и подсетей, а операторы создавать собственную инфраструктуру предоставления беспроводного доступа в Интернет на основе технологии Wi-Fi. Таким образом в настоящее время сети Wi-Fi распространены повсеместно и зачастую имеют зоны покрытия целых районов города. С точки зрения безопасности, следует учитывать не только угрозы, свойственные проводным сетям, но также и среду передачи сигнала. В беспроводных сетях получить доступ к передаваемой информации намного проще, чем в проводных сетях, равно как и повлиять на канал передачи данных. Достаточно поместить соответствующее устройство в зоне действия сети. В Hot-spot сетях присутствует точка доступа англ. Access point , посредством которой происходит не только взаимодействие внутри сети, но и доступ к внешним сетям. Hot-spot представляет наибольший интерес с точки зрения защиты информации, так как, взломав точку доступа, злоумышленник может получить информацию не только со станций, размещенных в данной беспроводной сети. Угрозы информационной безопасности, возникающие при использовании Wi-Fi сетей, можно условно разделить на два класса:. Радиоканал передачи данных, используемый в Wi-Fi, потенциально подвержен вмешательству с целью нарушения конфиденциальности, целостности и доступности информации. В Wi-Fi предусмотрены как аутентификация, так и шифрование, но эти элементы защиты имеют свои изъяны. Шифрование значительно снижает скорость передачи данных, и, зачастую, оно осознанно отключается администратором для оптимизации трафика. Первоначальный стандарт шифрования WEP Wired Equivalent Privacy был дискредитирован за счёт уязвимостей в алгоритме распределения ключей RC4. Это несколько притормозило развитие Wi-Fi рынка и вызвало создание институтом IEEE рабочей группы WPA использует протокол целостности временных ключей TKIP Temporal Key Integrity Protocol. Также в нём используется метод контрольной суммы MIC Message Integrity Code , которая позволяет проверять целостность пакетов. В Wi-Fi Alliance выпустили стандарт WPA2 , который представляет собой улучшенный WPA. Основное различие между WPA и WPA2 заключается в технологии шифрования: Угроза блокирования информации в канале Wi-Fi практически оставлена без внимания при разработке технологии. Такое вмешательство позволяет удалять, искажать или навязывать ложную информацию. Чужаками RogueDevices, Rogues называются устройства, предоставляющие возможность неавторизованного доступа к корпоративной сети, обычно в обход механизмов защиты, определенных политикой безопасности. Запрет на использование устройств беспроводной связи не защитит от беспроводных атак, если в сети, умышленно или нет, появится чужак. В роли чужака может выступать всё, у чего есть проводной и беспроводной интерфейсы: Беспроводные устройства могут менять точки подключения к сети прямо в процессе работы. К тому же многие пользователи, подключённые к внутренней сети и имеющие Wi-Fi интерфейс, недовольные качеством и политикой работы сети, переключаются на ближайшую доступную точку доступа или операционная система делает это автоматически при отказе проводной сети. При этом вся защита сети терпит крах. Но такая организация сетей не поддерживает многие методы обеспечения безопасности, что делает их лёгкой добычей для нарушителя. Новые технологии Virtual WiFi и Wi-Fi Direct только ухудшили ситуацию. Согласно отчётам аналитиков, большая часть успешных взломов происходит как раз из-за неправильных настроек точек доступа и программного обеспечения клиента. Достаточно подключить неправильно настроенную точку доступа к сети для взлома последней. Маловероятно, что пользователи достаточно серьёзно озаботятся безопасной конфигурацией устройств. Именно такие привнесённые точки доступа и создают основные угрозы защищённым сетям. Это устройства пользователей и они не конфигурируются специально в целях безопасности внутренней сети предприятия. К тому же они находятся за периметром контролируемой зоны, так и внутри него, позволяя злоумышленнику проводить всевозможные атаки, как то распространять вредоносное программное обеспечение или просто обеспечивая удобную точку входа. О защищённости WEP и речи уже нет. Интернет полон специального и удобного в использовании ПО для взлома этого стандарта, которое собирает статистику трафика до тех пор, пока её не станет достаточно для восстановления ключа шифрования. Стандарты WPA и WPA2 также имеют ряд уязвимостей разной степени опасности, позволяющих их взлом. Однако в беспроводной сети определить подлинность пользователя сложнее. Имперсонация пользователя возможна не только в случае MAC-аутентификации или использования статических ключей. Схемы на основе Некоторые механизмы LEAP имеют сложность взлома, схожую со взломом WEP. Другие механизмы, EAP-FAST или PEAP-MSCHAPv2, хотя и надёжнее, но не гарантируют устойчивость к комплексной атаке. DoS атаки направлены на нарушение качества функционирования сети или на абсолютное прекращение доступа пользователей. Сигналы WiFi-устройств имеют достаточно сложную структуру и широкий спектр, поэтому эти сигналы, а тем более, окружающие устройства Wi-Fi невозможно идентифицировать обычными средствами радиомониторинга. Сигналы точек доступа, находящихся в дальней зоне, оказываются ниже уровня шумов приёмника. Обнаружение Wi-Fi-передатчиков при последовательном сканировании узкополосными приёмниками вообще невозможно. Пропускная способность Wi-Fi сетей позволяет передавать звук и видео в реальном времени. Как правило беспроводные сети соединяются с проводными. Значит через точку доступа можно атаковать проводную сеть. А если наличествуют ошибки в настройке как проводной, так и беспроводной сети, то открывается целый плацдарм для атак. Если на такой точке настроена как защищённая сеть, так и публичная, при неправильной конфигурации широковещательные пакеты будут отправляться в обе сети. Это позволит злоумышленнику, например, нарушить работу DHCP или ARP в защищённом сегменте сети. Это можно запретить, организовав привязку ESS к BSS , что поддерживается практически всеми производителями оборудования класса Enterprise и мало кем из класса Consumer. У беспроводных сетей наличествуют некоторые особенности, отсутствующие в проводных сетях. Эти особенности в целом влияют на производительность, безопасность, доступность и стоимость эксплуатации беспроводной сети. Их приходится учитывать, хотя они и не относятся напрямую к шифрованию или аутентификации. Для решения этих вопросов требуется специальный инструментарий и механизмы администрирования и мониторинга. Исходя из того, что политикой безопасности логично ограничить доступ к сети вне рабочего времени вплоть до физического отключения , беспроводная активность сети в нерабочее время должна отслеживаться, считаться подозрительной и подлежать расследованию. Также все служебные кадры, а также бродкасты, отправляются на самой нижней скорости. Это означает, что сеть будет видно на значительном расстоянии. Также можно отключить низкие скорости, тем самым повысив скорость передачи информации в сети. Качество работы Wi-Fi сети как радиоэфира зависит от многих факторов. В качестве источника может выступать любое устройство, излучающее на той же частоте сигнал достаточной мощности. Это могут быть как соседние точки доступа, так и микроволновки. Существуют и другие особенности беспроводных сетей помимо интерференции. Неправильно настроенный клиент или сбоящая антенна могут ухудшить качество обслуживания всех остальных пользователей. Или вопрос стабильности связи. Не только сигнал точки доступа должен достичь клиента, но и сигнал клиента должен достичь точки. Обычно точки мощнее, и чтобы добиться симметрии, возможно придётся снизить мощность сигнала. Для 5 ГГц следует помнить, что надежно работают только 4 канала: На остальных включен режим сосуществования с радарами DFS. В итоге, связь может периодически пропадать. Наиболее надежным с точки зрения безопасности является второй вариант, хотя он не рассчитан на подмену MAC-адреса, что легко осуществить злоумышленнику. Для своего обнаружения точка доступа периодически рассылает кадры-маячки англ. Каждый такой кадр содержит служебную информацию для подключения и, в частности, присутствует SSID идентификатор беспроводной сети. В случае скрытого SSID это поле пустое, то есть невозможно обнаружение вашей беспроводной сети и нельзя к ней подключиться, не зная значение SSID. Но все станции в сети, подключенные к точке доступа, знают SSID и при подключении, когда рассылают Probe Request запросы, указывают идентификаторы сетей, имеющиеся в их профилях подключений. Прослушивая рабочий трафик, с легкостью можно получить значение SSID, необходимое для подключения к желаемой точке доступа. Рабочая станция делает запрос аутентификации, в котором присутствует только MAC-адрес клиента. Точка доступа отвечает либо отказом, либо подтверждением аутентификации. Решение принимается на основе MAC-фильтрации, то есть по сути это защита беспроводной Wi-Fi сети на основе ограничения доступа, что не безопасно. Необходимо настроить статический ключ шифрования алгоритма WEP англ. Клиент делает запрос у точки доступа на аутентификацию, на что получает подтверждение, которое содержит байт случайной информации. Станция шифрует полученные данные алгоритмом WEP проводится побитовое сложение по модулю 2 данных сообщения с последовательностью ключа и отправляет зашифрованный текст вместе с запросом на ассоциацию. Точка доступа расшифровывает текст и сравнивает с исходными данными. В случае совпадения отсылается подтверждение ассоциации, и клиент считается подключенным к сети. Данный метод не предусмотрен в IEEE Происходит сравнение МАС-адреса клиента с таблицей разрешённых MAC-адресов, хранящейся на точке доступа, либо используется внешний сервер аутентификации. Используется как дополнительная мера защиты. IEEE начал разработки нового стандарта IEEE Wi-Fi Alliance совместно с IEEE анонсировали стандарт WPA англ. В WPA используется TKIP англ. Temporal Key Integrity Protocol , протокол проверки целостности ключа , который использует усовершенствованный способ управления ключами и покадровое изменение ключа. После первых успешных атак на WEP было принято разработать новый стандарт Существуют два варианта аутентификации: TKIP стандарт , AES-CCMP расширение , WEP в качестве обратной совместимости. WPA2 или стандарт В качестве основного шифра был выбран стойкий блочный шифр AES. Система аутентификации по сравнению с WPA претерпела минимальные изменения. Также как и в WPA, в WPA2 есть два варианта аутентификации WPA2-Enterprise с аутентификацией на RADIUS сервере и WPA2-PSK с предустановленным ключом. Вариант аутентификации от фирмы CISCO. Поддерживает роуминг между точками доступа. Клиент один раз проходит аутентификацию на RADIUS-сервере, после чего может переключаться между точками доступа. Аналог шифрования трафика в проводных сетях. Используется симметричный потоковый шифр RC4 англ. Rivest Cipher 4 , который достаточно быстро функционирует. На сегодняшний день WEP и RC4 не считаются криптостойкими. Есть два основных протокола WEP: Используется тот же симметричный потоковый шифр RC4, но является более криптостойким. Вектор инициализации составляет 48 бит. Учтены основные атаки на WEP. Используется протокол Message Integrity Check для проверки целостности сообщений, который блокирует станцию на 60 секунд, если были посланы в течение 60 секунд два сообщения не прошедших проверку целостности. С учётом всех доработок и усовершенствований TKIP все равно не считается криптостойким. Имеет сходства с протоколом TKIP. Используется протокол CMIC англ. Cisco Message Integrity Check для проверки целостности сообщений. Вместо уязвимого RC4, используется криптостойкий алгоритм шифрования AES англ. Возможно использование EAP англ. Extensible Authentication Protocol , расширяемый протокол аутентификации. Принят в году, с года WPA2 должно поддерживать все выпускаемое Wi-Fi оборудование. В данном протоколе применяется RSN англ. Robust Security Network , сеть с повышенной безопасностью. Изначально в WPA2 используется протокол CCMP англ. Counter Mode with Cipher Block Chaining Message Authentication Code Protocol , протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счетчика. Основой является алгоритм AES. Для совместимости со старым оборудованием имеется поддержка TKIP и EAP англ. Extensible Authentication Protocol с некоторыми его дополнениями. Как и в WPA есть два режима работы: Pre-Shared Key и Enterprise. При этом крайне проблематично выяснить, кто легальный пользователь, пытающийся подключиться к сети, а кто собирает информацию. После разведки принимаются решения о дальнейших шагах атаки. Защита сети с помощью отключения ответа на широковещательный запрос ESSID и скрытия название сети в служебных пакетах Beacon frame является недостаточной, так как сеть всё равно видна на определённом радиоканале и атакующий просто ждёт авторизованного подключения к сети, так как при этом в незашифрованном виде передаётся ESSID. На этом защитная мера теряет смысл. Хуже того, некоторые системы например WinXp Sp2 непрерывно рассылают имя сети в эфир, пытаясь подключиться. Это также является интересной атакой, так как в таком случае можно пересадить пользователя на свою точку доступа и получать всю информацию, что он передаёт по сети. Можно уменьшить подверженность разведке, разместив точку доступа так, чтобы она обеспечивала необходимое покрытие, и это покрытие минимально выходило за контролируемую территорию. Нужно регулировать мощность точки доступа и использовать специальные инструменты для контроля распространения сигнала. Также можно полностью экранировать помещение с точкой доступа для полной невидимости сети извне. В случае анализа небольшой территории подойдёт встроенный Wi-Fi адаптер ноутбука, но на большее не хватит. Нужен более мощный адаптер с разъёмом для внешней антенны. Многие используют такие, как Alfa networks AWUSH, Ubiquiti SRC, Linksys WUSB54GC. Существуют антенны направленные и всенаправленные. Первые имеют большую дальность при таком же коэффициенте усиления, но меньший угол работы и больше подходят для изучения ограниченной территории. Вторые имеют худшие характеристики, но больше подходят для сбора информации с обширной территории. Для целей сбора информации подойдут антенны с коэффициентом усиления dbi. При сборе информации будет нелишним наносить на карту координаты найденных и изучаемых точках доступа. Для этого потребуется GPS, неважно, подключаемые ли к компьютеру внешние GPS-приёмники или смартфон с встроенным GPS. Важно лишь чтобы такой девайс мог передавать данные по протоколу nmea или garmin. В Linux-подобных системах настроить работу адаптера на приём всех пакетов, а не только тех, которые предназначены именно ему проще, чем на Windows. В некоторых драйверах такой режим поддерживается изначально, другие нужно изменять. Kismet может не только перехватывать пакеты и обнаруживать скрытые сети, это также и инструмент для мониторинга и отладки сети, причём не только Wi-Fi, программа может работать с телефонными и Bluetooth сетями. Aircrack-NG представляет собой набор инструментов для аудита беспроводных сетей. Dwepcrack улучшенная FMS атака , AirSnot FMS , WepLab улучшенная FMS атака, атака Koreka. Объясняются уязвимостью RC4, в любой из такого рода атак, необходимо получить какое-то количество пакетов из сети. Атаки на протокол WEP условно можно разделить на активные и пассивные. В году криптоаналитики Флурер Fluhrer , Мантин Mantin и Шамир Shamir показали, что можно вычислить секретный ключ на основе определённых кадров, собранных в сети. Слабые векторы инициализации позволяют с помощью статистического анализа восстановить секретный ключ. Требуется собрать около 4 миллионов кадров, это около 4 часов работы сети. Взломаны как битные, так и битные ключи, причём защищённость ключа не возросла. Нарушитель воздействует на сеть для получения определенной информации для индуктивного вычисления секретного ключа. В основе активной атаки WEP лежит то, что при потоковом шифровании происходит XOR первоначального сообщения и ключа для вычисления зашифрованного сообщения. Индуктивное вычисление ключа эффективно в силу отсутствия хорошего метода контроля целостности сообщений. Значение идентификатора ключа ICV , завершающего кадр WEP, вычисляется с помощью функции CRC32 циклический избыточный битный код , подверженной атакам с манипуляцией битами. В итоге существуют атаки, основанные на повторном использовании вектора инициализации IV Replay и манипуляции битами Bit-Flipping. Пара вектора инициализации и секретного ключа, а следовательно и порождаемая ими ключевая последовательность может использоваться повторно. Преследуется та же цель, что и при использовании вектора инициализации. Идея в том, что многое служебные поля и их положение в кадре не меняются. Злоумышленник меняет биты пользовательских данных в кадре на канальном уровне модель OSI , тем самым изменяя пакеты на сетевом уровне. Процедура манипуляции с ICV, расположенного в зашифрованной части кадра, для обеспечения его корректности для модифицированного кадра. В WEP поддерживаются только статические ключи, и их нужно заранее распространять между клиентами и точками доступа. В небольшой локальной сети это ещё реально, но не более. Требуется тщательно следить за оборудованием сети и не допускать утечек ключей. WPA обычно использует алгоритм шифрования TKIP. WPA2 в обязательном порядке использует алгоритм шифрования AES-CCMP , который более мощный и надежный по сравнению с TKIP. Считается, что взлом WPA2 практически неосуществим. Были проведены только атаки на аутентификацию обоих методов шифрования, после чего методом грубой силы можно подобрать PSK-ключ. Скорость перебора можно увеличить, если заранее вычислить необходимые данные и составить таблицы для перебора. Однако, если для аутентификации используется технология WPS, использующая PIN-код, то атака сводится к перебору всех возможных кодов. Этот метод позволяет прочитать данные, передаваемые от точки доступа клиентской машине, а также передавать поддельную информацию на клиентскую машину. Ещё одним условием успешной атаки было включение QoS на маршрутизаторе. В году сотрудниками Университета Хиросимы и Университета Кобе , Тосихиру Оигаси и Масакату Мории был разработан и успешно реализован на практике новый метод атаки, который позволяет взломать любое WPA соединение без ограничений, причём, в лучшем случае, время взлома составляет 1 минуту. WPA с включённым AES и WPA2 не подвержены этим атакам. Используя эту уязвимость, авторизовавшийся в сети злонамеренный пользователь может расшифровывать данные других пользователей, используя свой закрытый ключ. Никакого взлома ключей или брут-форса не требуется. Этот ключ в дальнейшем использует шифрование между точкой доступа АР и WiFi-клиентом. Злоумышленник, который в этот момент времени прослушивает эфир, может перехватить все пять параметров. Pre-Shared key получается благодаря использованию парольной фразы WPA-PSK, которую отправляет пользователь, вместе с SSID. PTK будет использоваться для проверки Message Integrity Check MIC в одном из пакетов handshake. Если они совпадут, то парольная фраза в словаре будет верной. Сообщения 4 стороннего рукопожатия 4 кадра канального уровня содержат в себе информационные поля следующего содержимого:. Материал из Википедии — свободной энциклопедии. Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии , проверенной 11 января ; проверки требует 1 правка. WiFi-сети и угрозы информационной безопасности. Безопасность в условиях разнообразия устройств: Спектр уязвимостей беспроводных сетей стандарта IEEE Игорь Баскаков, Александр Бобков, Вадим Платонов и др. Страницы, использующие волшебные ссылки ISBN. Навигация Персональные инструменты Вы не представились системе Обсуждение Вклад Создать учётную запись Войти. Пространства имён Статья Обсуждение. Просмотры Читать Текущая версия Править Править вики-текст История. Эта страница последний раз была отредактирована 22 мая в Текст доступен по лицензии Creative Commons Attribution-ShareAlike ; в отдельных случаях могут действовать дополнительные условия. Свяжитесь с нами Политика конфиденциальности Описание Википедии Отказ от ответственности Разработчики Соглашение о cookie Мобильная версия.
Проблемы теории государства и права учебник марченко
Грудь вид сверху
Статья 87 88 семейного кодекса рф
Методы исследования в экологии
Видео минет от сестры
Все для фидерной ловли интернет магазин