Информационные технологии, интернет, веб программирование, IT, Hi-Tech, …
Настройка безопасности Wi-Fi маршрутизаторов и точек доступа
Настройка шифрации данных
Технология WPA пришла на замену технологии защиты беспроводной Wi-Fi сети WEP. Плюсами WPA являются усиленная безопасность данных и ужесточённый контроль доступа к беспроводным сетям. Немаловажной характеристикой является совместимость между множеством беспроводных устройств как на аппаратном уровне, так и на программном. На данный момент WPA и WPA2 разрабатываются и продвигаются организацией Wi-Fi Alliance. В WPA обеспечена поддержка стандартов Стоит заметить, что в WPA2 поддерживается шифрование в соответствии со стандартом AES Advanced Encryption Standard, усовершенствованный стандарт шифрования , который имеет ряд преимуществ над используемым в WEP RC4 , например гораздо более стойкий криптоалгоритм. Большим плюсом при внедрении WPA является возможность работы технологии на существующем аппаратном обеспечении Wi-Fi. Как упомянуто выше, в стандарте WPA используется Расширяемый протокол аутентификации EAP как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства иначе называют мандатом , подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена. База зарегистрированных пользователей и система проверки в больших сетях, как правило, расположены на специальном сервере чаще всего RADIUS. Следует отметить, что WPA имеет упрощённый режим. Он получил название Pre-Shared Key WPA-PSK. При применении режима PSK необходимо ввести один пароль для каждого отдельного узла беспроводной сети беспроводные маршрутизаторы , точки доступа, мосты, клиентские адаптеры. Если пароли совпадают с записями в базе, пользователь получит разрешение на доступ в сеть. Даже не принимая во внимание тот факт что WEP, предшественник WPA, не обладает какими-либо механизмами аутентификации пользователей как таковой, его ненадёжность состоит, прежде всего, в криптографической слабости алгоритма шифрования. Ключевая проблема WEP заключается в использовании слишком похожих ключей для различных пакетов данных. TKIP , MIC и TKIP отвечает за увеличение размера ключа с 40 до бит , а также за замену одного статического ключа WEP ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того, в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость, которая использовалась для несанкционированного снятия защиты WEP ключей. Сервер аутентификации, после получения сертификата от пользователя, использует TKIP осуществляет передачу сгенерированного ключа пользователю и точке доступа, после чего выстраивает иерархию ключей плюс систему управления. Для этого используется двусторонний ключ для динамической генерации ключей шифрования данных, которые в свою очередь используются для шифрования каждого пакета данных. Подобная иерархия ключей TKIP заменяет один ключ WEP статический на миллиардов возможных ключей, которые будут использованы для шифрования данного пакета данных. Другим важным механизмом является проверка целостности сообщений Message Integrity Check, MIC. Её используют для предотвращения перехвата пакетов данных, содержание которых может быть изменено, а модифицированный пакет вновь передан по сети. MIC построена на основе мощной математической функции, которая применяется на стороне отправителя и получателя, после чего сравнивается результат. Если проверка показывает на несовпадение результатов вычислений, данные считаются ложными и пакет отбрасывается. При этом механизмы шифрования, которые используются для WPA и WPA-PSK, являются идентичными. Единственное отличие WPA-PSK состоит в том, что аутентификация производится с использованием пароля, а не по сертификату пользователя. WPA2 определяется стандартом IEEE В нём реализовано CCMP и шифрование AES , за счёт чего WPA2 стал более защищённым, чем свой предшественник. С 13 марта года поддержка WPA2 является обязательным условием для всех сертифицированных Wi-Fi устройств [1]. Этот метод позволяет прочитать данные, передаваемые от точки доступа клиентской машине, а также передавать поддельную информацию на клиентскую машину. Данные, передаваемые от клиента к маршрутизатору, пока прочитать не удалось. Ещё одним условием успешной атаки было включение QoS на маршрутизаторе. В году сотрудниками университета Хиросимы и университета Кобе, Тосихиру Оигаси и Масакату Мории был разработан и успешно реализован на практике новый метод атаки, который позволяет взломать любое WPA соединение без ограничений, причём, в лучшем случае, время взлома составляет 1 минуту [3]. Необходимо заметить, что соединения WPA, использующие более защищённый стандарт шифрования ключа AES , а также WPA2-соединения, не подвержены этим атакам. Используя эту уязвимость, авторизовавшийся в сети злонамеренный пользователь может расшифровывать данные других пользователей, используя свой закрытый ключ. Никакого взлома ключей или брут-форса не требуется [4]. Тем не менее, на данный момент основными методами взлома WPA2 PSK являются атака по словарю и брутфорс. Для этого в режиме мониторинга беспроводной карты сканируется эфир и записываются необходимые пакеты. Далее проводится деавторизация клиента для захвата начального обмена пакетами handshake , либо нужно ждать пока клиент совершит подключение. После этого уже нет необходимости находиться недалеко от атакуемой точки доступа. Атака проводится офлайн с помощью специальной программы и файла с хэндшейком. Материал из Википедии — свободной энциклопедии. Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии , проверенной 28 июня ; проверки требуют 3 правки. Архивировано 25 августа года. Беспроводные сети Сетевые протоколы Wi-Fi IEEE Навигация Персональные инструменты Вы не представились системе Обсуждение Вклад Создать учётную запись Войти. Пространства имён Статья Обсуждение. Просмотры Читать Текущая версия Править Править вики-текст История. Эта страница последний раз была отредактирована 24 июня в Текст доступен по лицензии Creative Commons Attribution-ShareAlike ; в отдельных случаях могут действовать дополнительные условия. Свяжитесь с нами Политика конфиденциальности Описание Википедии Отказ от ответственности Разработчики Соглашение о cookie Мобильная версия.
Шифрованию данных в беспроводных сетях уделяется так много внимания из-за самого характера подобных сетей. Данные передаются беспроводным способом, используя радиоволны, причем в общем случае используются всенаправленные антенны. Конечно, расстояния, на которых работают беспроводные сети без усилителей или направленных антенн , невелики — около метров в идеальных условиях. Стены, деревья и другие препятствия сильно гасят сигнал, но это все равно не решает проблему. Изначально для защиты использовался лишь SSID имя сети. Но, вообще говоря, именно защитой такой способ можно называть с большой натяжкой — SSID передается в открытом виде и никто не мешает злоумышленнику его подслушать, а потом подставить в своих настройках нужный. Не говоря о том, что это касается точек доступа может быть включен широковещательный режим для SSID, то есть он будет принудительно рассылаться в эфир для всех слушающих. Поэтому возникла потребность именно в шифровании данных. Первым таким стандартом стал WEP — Wired Equivalent Privacy. Шифрование осуществляется с помощью 40 или битного ключа поточное шифрование с использованием алгоритма RC4 на статическом ключе. А сам ключ представляет собой набор ASCII-символов длиной 5 для битного или 13 для битного ключа символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Драйвера многих производителей позволяют вводить вместо набора ASCII-символов напрямую шестнадцатеричные значения той же длины. Обращаю внимание, что алгоритмы перевода из ASCII-последовательности символов в шестнадцатеричные значения ключа могут различаться у разных производителей. Поэтому, если в сети используется разнородное беспроводное оборудование и никак не удается настройка WEP шифрования с использованием ключа-ASCII-фразы, - попробуйте ввести вместо нее ключ в шестнадцатеричном представлении. А как же заявления производителей о поддержке 64 и битного шифрования, спросите вы? Все правильно, тут свою роль играет маркетинг — 64 больше 40, а — Реально шифрование данных происходит с использованием ключа длиной 40 или Но кроме ASCII-фразы статической составляющей ключа есть еще такое понятие, как Initialization Vector — IV — вектор инициализации. Он служит для рандомизации оставшейся части ключа. Вектор выбирается случайным образом и динамически меняется во время работы. В принципе, это разумное решение, так как позволяет ввести случайную составляющую в ключ. Все бы хорошо, но используемый алгоритм шифрования RC4 в настоящее время не является особенно стойким — при большом желании, за относительно небольшое время можно подобрать ключ перебором. Но все же главная уязвимость WEP связана как раз с вектором инициализации. Длина IV составляет всего 24 бита. Это дает нам примерно 16 миллионов комбинаций — 16 миллионов различных векторов. В реальной работе все возможные варианты ключей будут использованы за промежуток от десяти минут до нескольких часов для битного ключа. После этого вектора начнут повторяться. Злоумышленнику стоит лишь набрать достаточное количество пакетов, просто прослушав трафик беспроводной сети, и найти эти повторы. После этого подбор статической составляющей ключа ASCII-фразы не занимает много времени. Но это еще не все. Использование подобных векторов в ключе дает возможность злоумышленнику практически сразу приступить к подбору статической части ключа, а не ждать несколько часов, пассивно накапливая трафик сети. Многие производители встраивают в софт или аппаратную часть беспроводных устройств проверку на подобные вектора, и, если подобные попадаются, они молча отбрасываются, то есть не участвуют в процессе шифрования. К сожалению, далеко не все устройства обладают подобной функцией. Но в этих алгоритмах увеличивается лишь статическая составляющая ключа. Длина инициализационного вектора остается той же самой, со всеми вытекающими отсюда последствиями другими словами, мы лишь увеличиваем время на подбор статического ключа. Само собой разумеется, что алгоритмы WEP с увеличенной длиной ключа у разных производителей могут быть не совместимы. К сожалению, при использовании протокола Точнее, некоторые меньшинство производители поставляют различные реализации WPA шифрования софтовыми методами , которое гораздо более устойчиво, чем WEP. В общем, при использовании оборудования стандарта Ключи в зашифрованном виде высылаются клиенту на незначительный промежуток времени, после которого генерируется и высылается новый ключ. Алгоритм шифрования не изменился — тот же RC4, но частая ротация ключей очень сильно затрудняет вероятность взлома. Поддержка этого протокола есть только в операционных системах от Microsoft Windows XP. Его большой минус для конечного пользователя в том, что протокол требует наличие RADIUS-сервера, которого в домашней сети, скорее всего, не будет. Устройства, поддерживающие стандарт По большому счету это временный стандарт, призванный заполнить нишу безопасности до прихода протокола IEEE WPA включает в себя Большое число достоинств протокола TKIP не покрывает его основной недостаток— используемый для шифрования алгоритм RC4. Хотя на данный момент случаев взлома WPA на основе TKIP зарегистрировано не было, но кто знает, что преподнесет нам будущее? Поэтому сейчас все популярнее становится использование стандарта AES Advanced Encryption Standard , который приходит на замену TKIP. К слову, в будущем стандарте WPA2 есть обязательное требование к использованию AES для шифрования. Переходим к непосредственной настройке шифрования на устройствах. Я использую те же беспроводные адаптеры, что и в предыдущей статье:. Cardbus адаптер Asus WLg установлен на ноутбуке. Интерфейс управления картой — утилита от ASUS ASUS WLAN Control Center. Внешний адаптер с USB-интерфейсом ASUS WL Управление адаптером — через встроенный в Windows XP интерфейс Zero Wireless Configuration. Эта карта стандарта Плата с PCI интерфейсом Asus WLg. Интерфейс управления в реализации от Ralink производитель чипсета данной PCI карты. Начнем с настройки шифрования в интерфейсе управления ASUS WLAN Control Center. Все настройки сосредоточены в разделе Encryption. Сначала выберем тип аутентификации Network Authentication , нам доступны три типа: Open System, Shared Key и WPA. Режим Open System является небезопасным, и его категорически не рекомендуется включать при возможности активации Shared Key. Это связано с тем, что в режиме Open System для входа в беспроводную сеть ассоциации с другой станцией или точкой доступа достаточно знать лишь SSID сети, а в режиме Shared Key — нужно еще установить общий для всей сети WEP-ключ шифрования. Далее выбираем шифрование Encryption — WEP, размер ключа — бит битный ключ лучше не использовать вовсе. Выбираем формат ключа, HEX ввод ключа в шестнадцатеричном виде или генерация ключа из ASCII последовательности не забываем, что алгоритмы генерации могут различаться у производителей. Так же учитываем, что WEP-ключ или ключи должны быть одинаковы на всех устройствах в одной сети. Всего можно ввести до четырех ключей. Последним пунктом выбираем, какой из ключей будет использоваться Default Key. В данном случае есть еще один способ — запустить использовать все четыре ключа последовательно, что повышает безопасность. При поддержке на всех устройствах обычно это В качестве алгоритмов шифрования можно выбрать TKIP или AES. Последний реализован не на всех беспроводных клиентах, но если он поддерживается всеми станциями, то лучше остановиться именно на нем. Wireless Network Key — это тот самый общий Pre Shared Key. Желательно сделать его длиннее и не использовать слово из словаря или набор слов. В идеале это должна быть какая-нибудь абракадабра. После нажатия на кнопку Apply или Ok , заданные настройки будут применены к беспроводной карте. На этом процедуру настройки шифрования на ней можно считать законченной. Настройка не очень отличается от уже рассмотренного интерфейса от ASUS WLAN CC. В окне открывшегося интерфейса идем на закладку Profile , выбираем нужный профиль и жмем Edit. Настройка шифрования осуществляется в закладке Authentication and Security. В случае активации WEP шифрования, выбираем Shared в Authentication type то есть общий ключ. Выбираем тип шифрования — WEP и вводим до четырех ASCII или шестнадцатеричных ключей. Длину ключа в интерфейсе задать нельзя, сразу используется битный ключ. Если в Authentication type выбрать WPA-None, то мы активируем WPA-шифрование с общим ключом. На этом и заканчивается настройка шифрования в данном интерфейсе. Для сохранения настроек в профиле достаточно нажать кнопку Ok. В настройках беспроводного адаптера переходим на закладку Беспроводные сети. Далее выбираем нашу беспроводную сеть и жмем кнопку Настроить. В появившемся окне активируем Шифрование данных. Вводим ключ сети и повторно его же в следующем поле. Проверяем его индекс порядковый номер , обычно он равен единице то есть первый ключ. Номер ключа должен быть одинаков на всех устройствах. Ключ сетевой пароль , как нам подсказывает операционная система, должен содержать 5 или 13 символов или быть полностью введен в шестнадцатеричном виде. Еще раз обращаю внимание, что алгоритм перевода ключа из символьного вида в шестнадцатеричной может отличаться у Microsoft и производителей собственных интерфейсов к управлению беспроводными адаптерами, поэтому надежнее будет ввести ключ в шестнадцатеричном виде то есть цифрами от 0 до 9 и буквами от A до F. В интерфейсе есть еще флаг, отвечающий за Автоматическое предоставление ключа , но я точно не знаю, где это будет работать. В разделе помощи сказано, что ключ может быть зашит в беспроводной адаптер производителем оного. В общем, лучше не активировать эту функцию. Кстати, о встроенной в ОС помощи. Большинство из сказанного здесь и даже более того можно найти в Центре справки и поддержки , которая обладает хорошей системой помощи, достаточно лишь ввести ключевые слова и нажать на зеленую стрелку поиска. Рассмотрев настройку шифрования на примере Рассмотрим этот аспект на примере другого адаптера — ASUS WLg. Возможность настройки WPA в Windows XP появляется с установкой Service Pack версии 2 или же соответствующими обновлениями, лежащими на сайте Microsoft. Service Pack 2 сильно расширяет функции и удобство настроек беспроводной сети. Хотя основные элементы меню не изменились, но к ним добавились новые. Настройка шифрования производится стандартным образом: Переходим на закладку Беспроводные сети и выбираем, какую сеть будем настраивать обычно она одна. В появившемся окне выбираем WPA-None, то есть WPA с заранее заданными ключами если выбрать Совместимая , то мы включим режим настройки WEP шифрования, который уже был описан выше. Выбираем AES или TKIP если все устройства в сети поддерживают AES, то лучше выбрать его и вводим два раза второй в поле подтверждения WPA-ключ. Желательно какой-нибудь длинный и трудноподбираемый. Выбираем Установить беспроводную сеть. Если выбрать Добавить , то можно создать профили для других компьютеров в той же беспроводной сети. В появившемся окне устанавливаем SSID сети, активируем, если возможно, WPA шифрование и выбираем способ ввода ключа. Генерацию можно предоставить операционной системе или ввести ключи вручную. Если выбрано первое, то далее выскочит окошко с предложением ввести нужный ключ или ключи. Если выбран режим сохранения на Flash, то в следующем окне предложат вставить Flash-носитель и выбрать его в меню. Если было выбрано ручное сохранение параметров, то после нажатия кнопки Напечатать Обращаю внимание, что генерируется случайный и длинные то есть хороший ключи, но в качестве алгоритма шифрования используется TKIP. Алгоритм AES можно позже включить вручную в настройках, как было описано выше. Мы закончили настройку шифрования на всех адаптерах беспроводной сети. Теперь можно проверить видят ли компьютеры друг друга. Если нас постигла неприятность, и не все компьютеры видят друг друга, то проверяем общие настройки у адаптеров:. Web Доктор Веб Антивирус. CorelDRAW Graphics Suite X8 Russian. Windows 10 Профессиональная bit Russian OEM. Windows Server Standard Adobe Photoshop CC лицензия на 1 год. Антивирус Касперского Kaspersky Anti-Virus. Для начала, немного теории. Использование WEP с максимальной длиной ключа бит или выше , если оборудование поддерживает циклическую смену ключей из списка в списке — до четырех ключей , желательно эту смену активировать. Использование стороннего программного обеспечения для организации VPN туннелей шифрованных потоков данных по беспроводной сети. Для этого на одной из машин ставится VPN сервер обычно с поддержкой pptp , на других — настраиваются VPN клиенты. Эта тема требует отдельного рассмотрения и выходит за рамки этой статьи. EAP Extensible Authentication Protocol — протокол расширенной аутентификации пользователей или удаленных устройств; TLS Transport Layer Security — протокол защиты транспортного уровня, он обеспечивает целостность передачи данных между сервером и клиентом, а так же их взаимную аутентификацию; RADIUS Remote Authentication Dial-In User Server — сервер аутентификации проверки подлинности удаленных клиентов. Он и обеспечивает аутентификацию пользователей. Из нерассмотренных протоколов тут фигурируют TKIP и MIC: TKIP Temporal Key Integrity Protocol — реализация динамических ключей шифрования, плюс к этому, каждое устройство в сети так же получает свой Master-ключ который тоже время от времени меняется. Ключи шифрования имеют длину бит и генерируются по сложному алгоритму, а общее кол-во возможных вариантов ключей достигает сотни миллиардов, а меняются они очень часто. Тем не менее, используемый алгоритм шифрования — по--прежнему RC4. MIC Message Integrity Check — протокол проверки целостности пакетов. Какие выводы можно сделать? Я использую те же беспроводные адаптеры, что и в предыдущей статье: ASUS WLAN Control Center — ASUS WLg Начнем с настройки шифрования в интерфейсе управления ASUS WLAN Control Center. Обычно беспроводные устройства поддерживают два режима WPA: Нам он не подходит, так как требует наличие RADIUS сервера в сети к тому же работает лишь в связке с точкой доступа. WPA-PSK — WPA с поддержкой Pre Shared Keys заранее заданных ключей. А это то, что нужно — ключ одинаковый для всех устройств вручную задается на всех беспроводных адаптерах и первичная аутентификация станций осуществляется через него. Интерфейс управления в реализации от Ralink — Asus WLg Настройка не очень отличается от уже рассмотренного интерфейса от ASUS WLAN CC. Zero Wireless Configuration встроенный в Windows интерфейс — ASUS WL ASUS WL является картой стандарта На этом настройку шифрования для После нажатия на Ok настройку WPA шифрования также можно считать законченной. В заключении пару слов о появившемся с Service Pack 2 мастере настройки беспроводной сети. В свойствах сетевого адаптера выбираем кнопку Беспроводные сети. В появившемся окне — жмем на Установить беспроводную сеть. Тут нам рассказывают, куда мы попали. Далее предлагается два способа сохранения установок беспроводной сети: В текстовом файле, для последующего ручного ввода на остальных машинах. Сохранение профиля на USB-флешке, для автоматического ввода на других машинах с Windows XP с интегрированным Service Pack версии 2. Итого Мы закончили настройку шифрования на всех адаптерах беспроводной сети. Если нас постигла неприятность, и не все компьютеры видят друг друга, то проверяем общие настройки у адаптеров: Алгоритм аутентификации должен быть одинаков у всех Shared Keys или WPA ; Алгоритм шифрования должен быть одинаков у всех WEPbit, WPA-TKIP или WPA-AES ; Длина ключа в случае WEP-шифрования должна быть одинаковой у всех станций в сети обычная длина — bit ; Сам ключ должен быть одинаковым на всех станциях сети. Если используется WEP, то возможная причина — использование ASCII-ключа и в сети используется разнородное оборудование от разных производителей. Попробуйте ввести ключ в шестнадцатеричном представлении. В случае WEP шифрования, номер ключа порядковый номер, индекс должен быть одинаков на всех станциях, т.
Сонник любимый поцеловал
Примерная характеристика студента на практике
Сколько ампер надо магнитоле
В салде расписание городских автобусов
Как испечь французский хлеб в хлебопечке