Zabezpečení ve WiFi sítích. Šifrování WEP, WPA, WPA2. Telefon (tablet) se nepřipojuje k Wi-Fi, hlásí „Uloženo, chráněno WPA\WPA2

Chcete-li chránit svou síť Wi-Fi a nastavit heslo, musíte vybrat typ zabezpečení bezdrátové sítě a metodu šifrování. A v této fázi má mnoho lidí otázku: který si vybrat? WEP, WPA nebo WPA2? Osobní nebo podnikový? AES nebo TKIP? Jaká nastavení zabezpečení nejlépe ochrání vaši síť Wi-Fi? Na všechny tyto otázky se pokusím odpovědět v rámci tohoto článku. Zvažme všechny možné metody ověřování a šifrování. Pojďme zjistit, které parametry zabezpečení sítě Wi-Fi jsou nejlépe nastaveny v nastavení routeru.

Vezměte prosím na vědomí, že typ zabezpečení nebo autentizace, síťová autentizace, ochrana, metoda ověřování jsou stejné.

Typ ověřování a šifrování jsou hlavními nastaveními zabezpečení bezdrátové sítě Wi-Fi. Myslím, že nejprve musíme zjistit, jaké to jsou, jaké existují verze, jejich schopnosti atd. Poté zjistíme, jaký typ ochrany a šifrování zvolit. Ukážu vám to na příkladu několika oblíbených routerů.

Vřele doporučuji nastavit heslo a chránit vaši bezdrátovou síť. Nastavte maximální úroveň ochrany. Pokud necháte síť otevřenou, bez ochrany, může se k ní připojit kdokoli. To je především nebezpečné. A také další zatížení vašeho routeru, pokles rychlosti připojení a nejrůznější problémy s připojením různých zařízení.

Ochrana Wi-Fi sítě: WEP, WPA, WPA2

Existují tři možnosti ochrany. Samozřejmě nepočítám "Otevřeno" (Bez ochrany).

• WEP(Wired Equivalent Privacy) je zastaralá a nezabezpečená metoda ověřování. Jde o první a nepříliš úspěšný způsob ochrany. Útočníci mohou snadno přistupovat k bezdrátovým sítím, které jsou chráněny pomocí WEP. Tento režim není potřeba nastavovat v nastavení vašeho routeru, i když tam je (ne vždy) přítomen.
• WPA(Wi-Fi Protected Access) je spolehlivý a moderní typ zabezpečení. Maximální kompatibilita se všemi zařízeními a operačními systémy.
• WPA2– nová, vylepšená a spolehlivější verze WPA. K dispozici je podpora pro šifrování AES CCMP. V tuto chvíli je to nejlepší způsob ochrany Wi-Fi sítě. To je to, co doporučuji používat.

WPA/WPA2 může být dvou typů:

• WPA/WPA2 – osobní (PSK) Toto je normální metoda ověřování. Když potřebujete pouze nastavit heslo (klíč) a poté jej použít pro připojení k síti Wi-Fi. Pro všechna zařízení se používá stejné heslo. Samotné heslo je uloženo v zařízeních. Kde si jej můžete prohlédnout nebo v případě potřeby změnit. Doporučuje se použít tuto možnost.
• WPA/WPA2 – Enterprise- složitější metoda, která se používá především k ochraně bezdrátových sítí v kancelářích a různých provozovnách. Umožňuje vyšší úroveň ochrany. Používá se pouze v případě, že je k autorizaci zařízení nainstalován server RADIUS (který rozdává hesla).

Myslím, že jsme přišli na způsob ověřování. Nejlepší je použít WPA2 – Personal (PSK). Pro lepší kompatibilitu, aby nebyly problémy s připojením starších zařízení, můžete nastavit smíšený režim WPA/WPA2. Toto je výchozí nastavení na mnoha směrovačích. Nebo označeno jako „Doporučeno“.

Šifrování bezdrátové sítě

Existují dva způsoby TKIP A AES.

Doporučuje se používat AES. Pokud máte v síti starší zařízení, která nepodporují šifrování AES (ale pouze TKIP) a budou problémy s jejich připojením k bezdrátové síti, nastavte ji na „Automaticky“. Typ šifrování TKIP není podporován v režimu 802.11n.

V každém případě, pokud nainstalujete striktně WPA2 - Personal (doporučeno), pak bude k dispozici pouze šifrování AES.

Jakou ochranu bych měl nainstalovat na router Wi-Fi?

Použití WPA2 – osobní se šifrováním AES. Dnes je to nejlepší a nejbezpečnější způsob. Takto vypadá nastavení zabezpečení bezdrátové sítě na routerech ASUS:

A takto vypadají tato nastavení zabezpečení na routerech od TP-Linku (se starým firmwarem).

Můžete vidět podrobnější pokyny pro TP-Link.

Pokyny pro ostatní routery:

Pokud nevíte, kde na vašem routeru najít všechna tato nastavení, napište do komentářů, pokusím se vám to říct. Jen nezapomeňte specifikovat model.

Vzhledem k tomu, že starší zařízení (Wi-Fi adaptéry, telefony, tablety atd.) nemusí podporovat WPA2 - Personal (AES), v případě problémů s připojením nastavte smíšený režim (Auto).

Často si všímám, že po změně hesla nebo jiného nastavení zabezpečení se zařízení nechtějí připojit k síti. Počítačům se může zobrazit chyba „Nastavení sítě uložená v tomto počítači nesplňují požadavky této sítě.“ Zkuste vymazat (zapomenout) síť na zařízení a znovu se připojit. Napsal jsem, jak to udělat ve Windows 7. Ale ve Windows 10 potřebujete .

Heslo (klíč) WPA PSK

Bez ohledu na to, jaký typ zabezpečení a metodu šifrování zvolíte, musíte nastavit heslo. Také známý jako klíč WPA, bezdrátové heslo, klíč zabezpečení sítě Wi-Fi atd.

Délka hesla je od 8 do 32 znaků. Můžete použít písmena latinské abecedy a čísla. Také speciální znaky: - @ $ # ! atd. Žádné mezery! V hesle se rozlišují velká a malá písmena! To znamená, že „z“ a „Z“ jsou různé znaky.

Nedoporučuji nastavovat jednoduchá hesla. Je lepší vytvořit si silné heslo, které nikdo neuhodne, i když se hodně snaží.

Je nepravděpodobné, že si tak složité heslo zapamatujete. Bylo by fajn si to někam zapsat. Není neobvyklé, že hesla Wi-Fi jsou jednoduše zapomenuta. Co dělat v takových situacích jsem psal v článku: .

Pokud potřebujete ještě větší zabezpečení, můžete použít vazbu MAC adresy. Pravda, nevidím v tom potřebu. WPA2 - Personal spárovaný s AES a komplexní heslo je docela dost.

Jak chráníte svou Wi-Fi síť? Pište do komentářů. No, ptej se :)

WPA2-Enterprise. Jak vytvořit zabezpečenou Wi-Fi síť

Problém ochrany firemních dat je každým rokem naléhavější. Přes bezdrátové sítě se přenáší stále více důležitých dat a informační bezpečnost (IS) stále více závisí na kvalifikaci IT specialistů.

V roce 2015 se hackerům v Rusku poprvé podařilo spáchat tři velké krádeže za rekordní celkovou částku 721 milionů rublů. Zdánlivě dobře chráněné finanční organizace utrpěly. K těmto významným událostem došlo na pozadí nepříznivé ekonomické situace, která ztěžuje investice do informační bezpečnosti.

Wi-Fi – příběh o úspěchu hackerů

Zpočátku standard Wi-Fi 802.11 zahrnoval režim ověřování WEP s šifrovacím algoritmem RC4, který používá běžný statický nebo dynamický klíč o délce 64 nebo 128 bitů. WEP byl poprvé prolomen v roce 2000. Počítač s procesorem Pentium 4, populárním v těch letech, potřeboval asi 1 hodinu na dešifrování. Využití prostředků moderních cloudových serverů a dostupného mobilního internetu přes 3G/LTE vám umožní otevřít ochranu během několika sekund.

Foto 1: Typy sítí v závislosti na síle šifrování

V roce 2003 se objevilo WPA s algoritmem TKIP, který generuje klíč pro každý paket. Dnes, s trochou štěstí, lze WPA-TKIP prolomit za pár hodin. Například v létě 2015 dokázali belgičtí vědci zachytit šifrované soubory cookie a získat přístup k počítači během hodiny.

Od roku 2006 je podpora pokročilejšího šifrovacího algoritmu WPA2 AES povinným standardem pro zařízení Wi-Fi. Je spolehlivější, takže nemá smysl používat předchozí algoritmy. Nicméně, stejně jako TKIP, může být tento algoritmus také hacknut přímo pomocí brutálního vynucení hesel pomocí slovníku. Speciální software využívá masivní DDoS útok k deaktivaci přístupového bodu. Dále emuluje provoz bodu se stejným SSID. Po pokusu o autorizaci „oběti“ v takovém okamžiku hacker obdrží hashovací funkci klíče PMK-R0. Dalším krokem je proces výběru hesla. Jednoduchá hesla lze uhodnout během několika hodin, zatímco složitá hesla mohou trvat několik týdnů nebo dokonce měsíců.

Dodatečná ochranná opatření

Někdy se k další ochraně sítě používá filtrování MAC adres (jedinečné číslo pro každou aktivní jednotku v síti). Při filtrování se k síti mohou připojit pouze zařízení, jejichž MAC adresy administrátor zadal do důvěryhodné tabulky na routeru nebo přístupovém bodu. Teoreticky to může zabránit neoprávněnému připojení. V praxi se ale filtrování MAC adres rychle zhroutí, například pomocí „hrubé síly“ (brute force), tedy skenování MAC adresy připojeného klienta a následného „drzého“ útoku zvaného deautentizace a spojení vašeho zařízení se změněným MAC adresa.

Filtrování MAC adres tedy není vážná ochrana, ale přináší spoustu nepříjemností. Zejména musíte ručně přidat každé nové zařízení do důvěryhodné tabulky.

Režim skrytého SSID- oblíbený způsob dodatečné ochrany sítě Wi-Fi. Každá síť má své vlastní jedinečné SSID (název sítě). V režimu skrytých identifikátorů klientská zařízení nevidí síť v seznamu dostupných. K síti se v režimu Hide SSID můžete připojit pouze v případě, že znáte přesně její identifikátor a máte předem připravený profil připojení.

Detekce skryté sítě je poměrně snadná pomocí nástrojů jako Kismet. Pouhé připojení ke skryté síti hackerovi odhalí její existenci a identifikátor. Pak je scénář hackování stejný jako v běžných Wi-Fi sítích. Jak vidíte, Hide SSID také není spolehlivý způsob ochrany, ale také způsobuje problémy. Nejprve musíte ručně připojit nová zařízení. Kromě toho standardy Wi-Fi původně poskytovaly otevřené vysílání SSID, takže většina zařízení bude mít problémy s automatickým připojením k Hide SSID. Obecně se použití Hide SSID nedoporučuje.

Rozdíly mezi osobním (PSK) a firemním (Enterprise)

Je nutné rozlišovat různé přístupy k poskytování osobních a firemních sítí. Doma a v malých kancelářích se obvykle používá PSK (Pre-Shared Key) – heslo o délce 8 znaků. Toto heslo je pro všechny stejné a je často příliš jednoduché, takže je náchylné k uhodnutí nebo úniku (propuštění zaměstnance, chybějící notebook, nálepka s heslem nedbale přilepená na očích atd.). Ani nejnovější šifrovací algoritmy využívající PSK nezaručují spolehlivou ochranu, a proto se nepoužívají v seriózních sítích. Podniková řešení používají k ověřování dynamický klíč, který mění každou relaci pro každého uživatele. Klíč lze během relace pravidelně aktualizovat pomocí autorizačního serveru – obvykle serveru RADIUS.

WPA2-Enterprise + 802.1X a bezpečnostní certifikáty - nejspolehlivější ochrana

Firemní sítě se šifrováním WPA2-Enterprise jsou postaveny na ověřování pomocí protokolu 802.1x prostřednictvím serveru RADIUS. Protokol 802.1x (EAPOL) definuje metody pro odesílání a přijímání požadavků na autentizační data a je obvykle zabudován do operačních systémů a speciálních softwarových balíčků.

802.1x přebírá v síti tři role:

• klient (supplicant) - klientské zařízení, které potřebuje přístup k síti;
• autentizační server (obvykle RADIUS);
• autentizátor – router/switch, který připojuje mnoho klientských zařízení k ověřovacímu serveru a odpojuje/připojuje klientská zařízení.

Fotografie 3: Schéma provozu WPA2-Enterprise 802.1x

Existuje několik provozních režimů 802.1x, ale nejběžnější a nejspolehlivější je následující:

• Ověřovatel vydá požadavek EAP na klientské zařízení, jakmile detekuje aktivní připojení.
• Klient odešle EAP odpověď – identifikační paket. Ověřovatel předá tento paket ověřovacímu serveru (RADIUS).
• RADIUS zkontroluje paket a přístupová práva klientského zařízení podle databáze uživatele nebo jiných kritérií a poté odešle autentizátor, aby spojení povolil nebo zakázal. V souladu s tím autentizátor povolí nebo zakáže přístup k síti.

Foto 2: Interní protokoly (metody) EAP

Použití serveru RADIUS vám umožňuje opustit PSK a vygenerovat jednotlivé klíče, které jsou platné pouze pro konkrétní relaci připojení. Jednoduše řečeno, šifrovací klíče nelze získat z klientského zařízení. Ochrana proti zachycení paketů je zajištěna šifrováním pomocí různých interních protokolů EAP, z nichž každý má své vlastní vlastnosti. Protokol EAP-FAST vám tedy umožňuje přihlásit se pomocí přihlašovacího jména a hesla a PEAP-GTC - pomocí speciálního tokenu (přístupová karta, karty s jednorázovými hesly, flash disky atd.). Protokoly PEAP-MSCHAPv2 a EAP-TLS poskytují autorizaci pomocí klientských certifikátů.

Pouze certifikáty WPA2-Enterprise a digitální zabezpečení v kombinaci s EAP-TLS nebo EAP-TTLS poskytují maximální zabezpečení sítě Wi-Fi. Certifikát jsou předem vygenerované soubory na serveru RADIUS a klientském zařízení. Klient a autentizační server tyto soubory vzájemně ověřují, čímž je zaručena ochrana před neoprávněným připojením cizích zařízení a falešnými přístupovými body. Protokoly EAP-TTL/TTLS jsou součástí standardu 802.1X a pro komunikaci mezi klientem a RADIUS používají infrastrukturu veřejných klíčů (PKI). PKI pro autorizaci používá soukromý klíč (uživatel zná) a veřejný klíč (uložený v certifikátu, potenciálně známý všem). Kombinace těchto klíčů poskytuje silnou autentizaci.

Pro každé bezdrátové zařízení musí být vytvořeny digitální certifikáty. Jedná se o proces náročný na práci, takže certifikáty se obvykle používají pouze v sítích Wi-Fi, které vyžadují maximální zabezpečení. Zároveň můžete certifikát jednoduše zrušit a klienta zablokovat.

Dnes WPA2-Enterprise v kombinaci s bezpečnostními certifikáty poskytuje spolehlivou ochranu firemním Wi-Fi sítím. Pokud je správně nakonfigurován a používán, je téměř nemožné hacknout takovou ochranu „z ulice“, tedy bez fyzického přístupu k autorizovaným klientským zařízením. Správci sítě však někdy dělají chyby, které zanechávají „mezery“ pro útočníky k pronikání do sítě. Problém je komplikován dostupností hackerského softwaru a podrobných pokynů, které mohou používat i amatéři.

Hackerský software je dostupný všem

WPA2-Enterprise s ověřováním přihlašovacího jména a hesla bez použití certifikátů lze hacknout pomocí hackerské distribuce Kali Linux a Wi-Fi karty v režimu přístupového bodu. Podstatou hacku je vytvořit falešný přístupový bod se serverem RADIUS pro příjem paketů EAP a přihlášení do zabezpečené sítě. Vytvoření falešného bodu dnes není problém s pomocí utilit, jako je Mana Toolkit zabudovaný do Kali.

Foto 4: Útočníci obvykle používají smartphone s připojenou kartou a mobilní verzi Kali NetHunter

Pomocí falešného přístupového bodu MANA získá hacker hash hesel a přihlašovací údaje uživatelů sítě a poté pomocí hrubé síly uhodne hesla na výkonném PC. To se děje poměrně rychle díky vysokému výpočetnímu výkonu moderních procesorů. Kromě toho existují algoritmy pro hrubé vynucení hesel pomocí grafických karet GPU, což urychluje proces na několik hodin.

Výsledkem je, že hacker získá přístup k přihlašovacím účtům v podnikové síti Wi-Fi nebo VPN.

Aby se takovým útokům zabránilo, je nutné používat bezpečnostní certifikáty na všech mobilních a stolních zařízeních, která mají přístup do sítě. Rovněž se nedoporučuje používat certifikáty s vlastním podpisem, tedy certifikáty vytvořené správcem sítě. Faktem je, že při připojování nových zařízení mohou důvěryhodní uživatelé vidět zprávy o potenciální nejistotě certifikátů s vlastním podpisem. Poté, co si uživatel na takové zprávy zvykne, nemusí věnovat pozornost zprávě, která se objeví při připojování k falešnému přístupovému bodu. Pro maximální ochranu je lepší používat certifikáty od oficiálních dodavatelů.

"Muž uprostřed" je hlavní hrozbou

Hackerský útok zvaný „Man in the middle“ (zkráceně MITM) je nejvážnější hrozbou pro řádně organizovaný podnik WPA2 s bezpečnostními certifikáty.

Foto 5: Podstata útoku „man in the middle“: hacker promění přímé zabezpečené spojení na dvě různá s hackerským klientem uprostřed

Schéma je velmi jednoduché: na žádost o veřejný klíč neodpovídá důvěryhodný uživatel, ale prostředník, který se za důvěryhodného uživatele vydává. Počítač útočníka funguje jako PROXY server. Výsledkem je výměna důvěrných informací a útočník může zachytit, nahradit, odstranit nebo změnit datové pakety.

Podobné schéma zavádění důvěrné komunikace bylo vynalezeno ještě před internetem - v dobách papírových dopisů, kdy byly původní dopisy nahrazeny falešnými.

K infiltraci do sítě dochází prostřednictvím již autorizovaného účtu, to znamená, že vyžaduje počáteční hacknutí sítě Wi-Fi. Jinými slovy, pro úspěšný útok musí hacker najít slabé místo v síti WPA2-Enterprise. Typicky se jedná o útok přes podvodný přístupový bod, jak je popsáno výše, nebo autorizované zařízení bez nainstalovaných bezpečnostních certifikátů. Útok přes HTTPS je ještě jednodušší: prohlížeč naváže certifikátem chráněné SSL spojení s man-in-the-middle a útočník naváže další SSL spojení s webovým serverem. Prohlížeč uživatele varuje, že certifikát SSL není bezpečný, ale toto varování je často ignorováno.

Takové útoky jsou nebezpečné zejména pro finanční systémy, které provádějí platby prostřednictvím online platebních systémů. Hacker může infikovat e-maily, webové stránky, DBMS škodlivým kódem, získat přístup k online bankovnictví, účtům na sociálních sítích, webovým CMS atd.

Ochrana před prostředníkem

Útok MITM není konečnou zbraní hackerů. Pokud jsou splněny všechny požadavky na bezpečnost informací, zavedení prostředníka je nemožné.

Za prvé, pro skrytý útok musí muž-in-the-middle zachytit všechny zprávy mezi klientem a serverem, to znamená být nepřetržitě v oblasti pokrytí podnikové Wi-Fi.

Proto je při nasazování bezdrátové sítě důležité kontaktovat specialisty a navrhnout ji s minimálním pokrytím mimo budovu (objednejte si plánování rádia - http://site/pred_obsledovanie/). Existují také neviditelná zranitelnosti. Uživatel si například může do kanceláře přinést bezdrátovou klávesnici (pro chytré telefony, PC), čímž vzniká riziko vzdáleného zachycení přihlašovacího jména a hesla. Abyste takovým případům předešli, měli byste používat pouze kabelové klávesnice nebo speciální bezdrátové klávesnice s vestavěným šifrováním AES. Pak je použití keyloggerů nemožné.

Zaměstnanci by si také měli dávat pozor na nezabezpečené certifikáty, aby se nestali obětí připojení k falešnému přístupovému bodu. Klientské a serverové SSL certifikáty musí být ověřeny vzájemně důvěryhodnou certifikační autoritou, aby se zabránilo útokům HTTPs v převzetí účtů na webových stránkách, včetně online bankovnictví organizace.

Zvláštní místo v prevenci MITM zaujímá odmítnutí použití filtrování ssl-bump. Často se používá v kancelářích k zákazu vstupu na určité stránky (sociální sítě, zábavní zdroje atd.). V zabezpečeném připojení je provoz šifrován na straně příjemce a odesílatele a při použití filtrování ssl-bump je šifrován na bráně. To znamená, že samotné filtrování ssl-bump je útokem MITM přes HTTPs. Především to vyvolává právní otázky ohledně skrytého přístupu správce sítě k osobním údajům zaměstnanců, například k účtům na sociálních sítích nebo online bankovnictví. Ale co je nejdůležitější, ssl-bump „otevře bránu“ pro hackera, který potřebuje pouze ovládnout bránu. Ve skutečnosti správce sám provádí všechny přípravné operace pro útok na jeho síť.

Závěr: Na prvním místě je proto školení specialistů a efektivní využívání stávajících technologií ochrany dat. Šifrování WPA2-Enterprise se tak může stát pro útočníky neproniknutelnou bariérou, pokud víte, jak jej správně zorganizovat. Svěřte problematiku informační bezpečnosti profesionálům!

Potřebuji poradit. Kontaktujte mě.

Hezký den, vážení přátelé, známí a další osobnosti. Dnes budeme mluvit o WiFi šifrování , což je logické z názvu.

Myslím, že mnoho z vás používá něco jako, což s největší pravděpodobností znamená také WiFi na nich pro vaše notebooky, tablety a další mobilní zařízení.

Je samozřejmé, že stejná Wi-Fi musí být uzamčena heslem, jinak škodliví sousedé budou používat váš internet zdarma, nebo ještě hůř, váš počítač :)

Je samozřejmé, že kromě hesla existují i ​​nejrůznější druhy šifrování právě tohoto hesla, přesněji řečeno vašeho WiFi protokol, aby se nejen nepoužíval, ale ani nemohl být hacknut.

Obecně bych dnes rád s vámi trochu promluvil o takové věci, jako je WiFišifrování, nebo spíše právě tyto WPE, WPA, WPA2, WPS a další jim podobní.

Jste připraveni? Začněme.

Šifrování WiFi – obecné informace

Pro začátek si velmi zjednodušeně povíme, jak vypadá autentizace pomocí routeru (serveru), tedy jak vypadá proces šifrování a výměny dat. Toto je obrázek, který dostaneme:

To znamená, že nejprve jako klient říkáme, že jsme my, to znamená, že známe heslo (zelená šipka nahoře). Server, řekněme router, se zaraduje a dává nám náhodný řetězec (je to také klíč, kterým šifrujeme data), a poté se data zašifrovaná stejným klíčem vymění.

Nyní si povíme něco o typech šifrování, jejich zranitelnostech a tak dále. Začněme popořadě, totiž s OTEVŘENO, tedy z absence jakékoliv šifry, a pak přejdeme ke všemu ostatnímu.

Typ 1 - OTEVŘENO

Jak jste již pochopili (a já jsem právě řekl), ve skutečnosti, OTEVŘENO- jedná se o absenci jakékoliv ochrany, tzn. Wifi jako třída neexistuje žádné šifrování a vy a váš router se absolutně nepodílíte na ochraně kanálu a přenášených dat.

Přesně na tomto principu fungují drátové sítě – nemají vestavěnou ochranu a „nabouráním“ do ní nebo jednoduchým připojením k rozbočovači/přepínači/routeru bude síťový adaptér přijímat pakety ze všech zařízení v této síti segment v čistém textu.

S bezdrátovou sítí však můžete „spadnout“ odkudkoli - 10-20-50 metrů a více a vzdálenost závisí nejen na výkonu vašeho vysílače, ale také na délce hackerovy antény. Otevřený přenos dat přes bezdrátovou síť je proto mnohem nebezpečnější, protože váš kanál je ve skutečnosti dostupný všem.

Typ 2 – WEP (Wired Equivalent Privacy)

Jeden z úplně prvních typů Wifišifrování je WEP. Vyšel na konci 90 -x a je v současnosti jedním z nejslabších typů šifrování.

Chcete sami vědět a umět více?

Nabízíme Vám školení v těchto oblastech: počítače, programy, administrace, servery, sítě, tvorba webových stránek, SEO a další. Zjistěte podrobnosti hned teď!

V mnoha moderních směrovačích je tento typ šifrování zcela vyloučen ze seznamu možností, ze kterých si můžete vybrat:

Je třeba se mu vyhnout podobně jako otevřeným sítím – poskytuje zabezpečení pouze na krátkou dobu, po které může být jakýkoli přenos plně odhalen, bez ohledu na složitost hesla.

Situaci zhoršuje skutečnost, že hesla v WEP- je to buď 40 nebo 104 bit, že existuje extrémně krátká kombinace a lze ji vybrat během několika sekund (toto nezohledňuje chyby v samotném šifrování).

Hlavní problém WEP- zásadní konstrukční chyba. WEP ve skutečnosti přenáší několik bajtů stejného klíče spolu s každým datovým paketem.

Bez ohledu na složitost klíče lze tedy jakýkoli přenos odhalit jednoduše dostatečným počtem zachycených paketů (několik desítek tisíc, což je na aktivně používanou síť docela málo).

Typ 3 – WPA a WPA2 (Wi-Fi Protected Access)

Jedná se o některé z nejmodernějších typů takové věci, jako je WiFi šifrování a zatím vlastně skoro žádné nové nebyly vynalezeny.

Ve skutečnosti generování těchto typů šifrování nahradilo dlouhé utrpení WEP. Délka hesla je libovolná, od 8 na 63 bajtů, což velmi ztěžuje výběr (srov 3, 6 A 15 bajtů v WEP).

Standard podporuje různé šifrovací algoritmy pro přenášená data po podání ruky: TKIP A CCMP.

První je něco jako most mezi WEP A WPA, který byl v té době vynalezen IEEE byli zaneprázdněni vytvářením plnohodnotného algoritmu CCMP. TKIP stejně jako WEP, trpí některými typy útoků a obecně není příliš bezpečný.

V dnešní době se používá jen zřídka (i když proč se vůbec ještě používá mi není jasné) a obecně použití WPA S TKIP téměř stejné jako při použití jednoduchých WEP.

Kromě různých šifrovacích algoritmů, WPA(2) podpora dvou různých režimů počáteční autentizace (ověření hesla pro klientský přístup do sítě) - PSK A Podnik. PSK(někdy nazývané Osobní WPA) - přihlášení pomocí jediného hesla, které klient zadá při připojování.

To je jednoduché a pohodlné, ale v případě velkých společností to může být problém - dejme tomu, že váš zaměstnanec odešel a aby se již nedostal do sítě, musíte změnit heslo pro celou síť a upozornit ostatní zaměstnance na to. Podnik eliminuje tento problém díky přítomnosti mnoha klíčů uložených na samostatném serveru - POLOMĚR.

Kromě, Podnik standardizuje samotný proces autentizace v protokolu EAP (E roztažitelný A autentizace P rotocol), který vám umožní napsat svůj vlastní algoritmus.

Typ 4 – WPS/QSS

Wifišifrování WPS, aka QSS- zajímavá technologie, která nám umožňuje na heslo vůbec nemyslet, ale jednoduše stisknout tlačítko a okamžitě se připojit k síti. V podstatě se jedná o „legální“ metodu obcházení ochrany heslem obecně, ale překvapivé je, že se rozšířila kvůli velmi vážnému chybnému výpočtu v samotném přístupovém systému – to bylo roky po smutné zkušenosti s WEP.

WPS umožňuje klientovi připojit se k přístupovému bodu pomocí 8místného kódu složeného z čísel ( KOLÍK). Kvůli chybě v normě však stačí jen hádat 4 z nich. Takže vše, co je potřeba, je 10000 pokusí uhodnout a bez ohledu na složitost hesla pro přístup k bezdrátové síti tento přístup automaticky získáte a s ním navíc stejné heslo, jaké je.

Vzhledem k tomu, že k této interakci dochází před jakoukoli bezpečnostní kontrolou, může být odeslána za sekundu 10-50 požadavky na přihlášení přes WPS a přes 3-15 hodin (někdy více, někdy méně) obdržíte klíče od nebe.

Když byla tato chyba zabezpečení objevena, výrobci začali zavádět limit na počet pokusů o přihlášení ( limit sazby), po jehož překročení se přístupový bod na chvíli automaticky vypne WPS- zatím však není více než polovina takových zařízení z těch, které již byly vydány bez této ochrany.

Ještě více - dočasná deaktivace nic zásadně nemění, protože s jedním pokusem o přihlášení za minutu budeme potřebovat pouze 10000/60/24 = 6,94 dní. A KOLÍK obvykle nalezen před dokončením celého cyklu.

Rád bych vás ještě jednou upozornil na skutečnost, že při WPS vaše heslo bude nevyhnutelně odhaleno, bez ohledu na jeho složitost. Pokud to tedy vůbec potřebujete WPS- zapněte jej pouze při připojení k síti a po zbytek času jej nechte vypnutý.

Doslov

Ve skutečnosti si můžete vyvodit své vlastní závěry, ale obecně je samozřejmé, že byste měli používat alespoň WPA, nebo lépe WPA2.

V dalším článku o WiFi budeme hovořit o tom, jak různé typy šifrování ovlivňují výkon kanálu a routeru, a také zvážíme některé další nuance.

Jako vždy, pokud máte nějaké dotazy, doplnění atd., uvítejte komentáře k tématu WiFi šifrování.

PS: Za existenci tohoto materiálu děkuji autorovi Habr pod nickem ProgerXP. Ve skutečnosti je veškerý text převzat z jeho materiálu, abyste znovu nevynalezli kolo svými vlastními slovy.

V poslední době se objevilo mnoho „odhalujících“ publikací o hacknutí jiného protokolu nebo technologie, která ohrožuje bezpečnost bezdrátových sítí. Je to skutečně tak, čeho byste se měli bát a jak zajistit, aby byl přístup do vaší sítě co nejbezpečnější? Neříkají vám slova WEP, WPA, 802.1x, EAP, PKI málo? Tento krátký přehled pomůže shromáždit všechny používané technologie šifrování a autorizace rádiového přístupu. Pokusím se ukázat, že správně nakonfigurovaná bezdrátová síť představuje pro útočníka nepřekonatelnou bariéru (samozřejmě do určité hranice).

Základy

Jakákoli interakce mezi přístupovým bodem (sítí) a bezdrátovým klientem je založena na:

• Autentizace- jak se klient a přístupový bod navzájem představí a potvrdí, že mají právo spolu komunikovat;
• Šifrování- jaký šifrovací algoritmus se používá pro přenášená data, jak je generován šifrovací klíč a kdy se mění.

Parametry bezdrátové sítě, především její název (SSID), jsou pravidelně inzerovány přístupovým bodem v paketech broadcast beacon. Kromě očekávaného nastavení zabezpečení se přenášejí požadavky na QoS, parametry 802.11n, podporované rychlosti, informace o dalších sousedech atd. Autentizace určuje, jak se klient k věci prezentuje. Možné možnosti:

• OTEVŘENO- tzv. otevřená síť, ve které jsou všechna připojená zařízení okamžitě autorizována
• Sdíleno- pravost připojeného zařízení musí být ověřena klíčem/heslem
• EAP- pravost připojeného zařízení musí být ověřena pomocí protokolu EAP externím serverem

Otevřenost sítě neznamená, že s ní může kdokoli beztrestně pracovat. Pro přenos dat v takové síti se musí použitý šifrovací algoritmus shodovat, a proto musí být šifrované spojení správně vytvořeno. Šifrovací algoritmy jsou:

• Žádný- žádné šifrování, data jsou přenášena v čistém textu
• WEP- šifra založená na algoritmu RC4 s různými délkami statického nebo dynamického klíče (64 nebo 128 bitů)
• CKIP- proprietární náhrada za Cisco WEP, ranou verzi TKIP
• TKIP- Vylepšená náhrada WEP s dalšími kontrolami a ochranou
• AES/CCMP- nejpokročilejší algoritmus založený na AES256 s dalšími kontrolami a ochranou

Kombinace Otevřené ověřování, žádné šifrováníširoce používané v systémech přístupu pro hosty, jako je poskytování internetu v kavárně nebo hotelu. Pro připojení potřebujete znát pouze název bezdrátové sítě. Často se takové připojení kombinuje s dodatečným ověřením na Captive Portal přesměrováním uživatelského HTTP požadavku na další stránku, kde si můžete vyžádat potvrzení (přihlašovací heslo, souhlas s pravidly atd.).

Šifrování WEP je kompromitován a nelze jej použít (ani v případě dynamických klíčů).

Běžně se vyskytující pojmy WPA A WPA2 ve skutečnosti určit šifrovací algoritmus (TKIP nebo AES). Vzhledem k tomu, že klientské adaptéry již poměrně dlouho podporují WPA2 (AES), nemá smysl používat šifrování TKIP.

Rozdíl mezi WPA2 Osobní A WPA2 Enterprise odtud pocházejí šifrovací klíče používané v mechanice algoritmu AES. Pro privátní (domácí, malé) aplikace se používá statický klíč (heslo, kódové slovo, PSK (Pre-Shared Key)) o minimální délce 8 znaků, který se nastavuje v nastavení přístupového bodu, a je stejný pro všechny klienty dané bezdrátové sítě. Kompromit takového klíče (vysypali fazole sousedovi, zaměstnanec byl vyhozen, notebook ukraden) vyžaduje okamžitou změnu hesla pro všechny zbývající uživatele, což je reálné pouze v případě, že jich je malý počet. Pro podnikové aplikace, jak název napovídá, se používá dynamický klíč, individuální pro každého aktuálně spuštěného klienta. Tento klíč lze během provozu periodicky aktualizovat bez přerušení spojení a za jeho generování je zodpovědná další komponenta - autorizační server a téměř vždy se jedná o server RADIUS.

Všechny možné bezpečnostní parametry jsou shrnuty na tomto štítku:

Vlastnictví	Statické WEP	Dynamický WEP	WPA	WPA 2 (Enterprise)
Identifikace	Uživatel, počítač, karta WLAN	Uživatel, počítač	Uživatel, počítač	Uživatel, počítač
Povolení	Sdílený klíč	EAP	EAP nebo sdílený klíč	EAP nebo sdílený klíč
Integrita	32bitová hodnota kontroly integrity (ICV)	32bitové ICV	64bitový kód integrity zprávy (MIC)	CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code – CCM) Součást AES
Šifrování	Statický klíč	Klíč relace	Klíč pro paket přes TKIP	CCMP (AES)
Distribuce klíčů	Jednorázové, manuální	Segment PMK (Pair-wise Master Key).	Odvozeno od PMK	Odvozeno od PMK
Inicializační vektor	Text, 24 bitů	Text, 24 bitů	Pokročilý vektor, 65 bitů	48bitové číslo paketu (PN)
Algoritmus	RC4	RC4	RC4	AES
Délka klíče, bity	64/128	64/128	128	až 256
Požadovaná infrastruktura	Žádný	POLOMĚR	POLOMĚR	POLOMĚR

Zatímco WPA2 Personal (WPA2 PSK) je jasný, podnikové řešení vyžaduje další zvážení.

WPA2 Enterprise

Zde se zabýváme další sadou různých protokolů. Na straně klienta, speciální softwarová komponenta, žadatel (obvykle součást OS) spolupracuje s autorizační částí, AAA serverem. Tento příklad ukazuje provoz jednotné rádiové sítě postavené na lehkých přístupových bodech a řadiči. V případě použití přístupových bodů s „mozkem“ může celou roli prostředníka mezi klienty a serverem převzít samotný bod. V tomto případě jsou data klientského žadatele přenášena rádiem vytvořeným v protokolu 802.1x (EAPOL) a na straně řadiče jsou zabalena do paketů RADIUS.

Použití autorizačního mechanismu EAP ve vaší síti vede k tomu, že po úspěšné (téměř jistě otevřené) autentizaci klienta přístupovým bodem (společně s kontrolérem, pokud existuje), tento požádá klienta o autorizaci (potvrzení jeho oprávnění) s infrastrukturou RADIUS serverem:

Používání WPA2 Enterprise vyžaduje ve vaší síti server RADIUS. V současné době jsou nejúčinnějšími produkty:

• Microsoft Network Policy Server (NPS), bývalý IAS- konfigurováno přes MMC, zdarma, ale musíte si koupit Windows
• Cisco Secure Access Control Server (ACS) 4.2, 5.3- konfigurováno přes webové rozhraní, sofistikované ve funkčnosti, umožňuje vytvářet distribuované systémy odolné proti chybám, drahé
• FreeRADIUS- zdarma, konfigurováno pomocí textových konfigurací, není vhodné pro správu a sledování

Správce v tomto případě pečlivě sleduje probíhající výměnu informací a čeká na úspěšnou autorizaci nebo zamítnutí. V případě úspěchu je server RADIUS schopen přenést další parametry do přístupového bodu (například do které VLAN umístit účastníka, jakou IP adresu přidělit, profil QoS atd.). Na konci výměny umožňuje server RADIUS klientovi a přístupovému bodu generovat a vyměňovat si šifrovací klíče (individuální, platné pouze pro tuto relaci):

EAP

Samotný protokol EAP je založen na kontejnerech, což znamená, že skutečný mechanismus autorizace je ponechán na interních protokolech. V současné době byly významně distribuovány následující položky:

• EAP-RYCHLE(Flexible Authentication via Secure Tunneling) – vyvinuto společností Cisco; umožňuje autorizaci pomocí přihlašovacího jména a hesla přenášeného v tunelu TLS mezi žadatelem a serverem RADIUS
• EAP-TLS(Zabezpečení transportní vrstvy). Používá infrastrukturu veřejných klíčů (PKI) k autorizaci klienta a serveru (předmět a server RADIUS) prostřednictvím certifikátů vydaných důvěryhodnou certifikační autoritou (CA). Vyžaduje vydání a instalaci klientských certifikátů na každé bezdrátové zařízení, takže je vhodné pouze pro spravované podnikové prostředí. Certifikační server Windows má zařízení, která klientovi umožňují generovat vlastní certifikát, pokud je klient členem domény. Zablokování klienta lze snadno provést revokací jeho certifikátu (nebo prostřednictvím účtů).
• EAP-TTLS(Tunneled Transport Layer Security) je podobný EAP-TLS, ale při vytváření tunelu nevyžaduje klientský certifikát. V takovém tunelu, podobně jako u SSL připojení prohlížeče, se provádí další autorizace (pomocí hesla nebo něčeho jiného).
• PEAP-MSCHAPv2(Protected EAP) – podobný EAP-TTLS v tom, že zpočátku vytváří šifrovaný tunel TLS mezi klientem a serverem, který vyžaduje certifikát serveru. Následně v takovém tunelu probíhá autorizace pomocí známého protokolu MSCHAPv2.
• PEAP-GTC(Generic Token Card) – podobná předchozí, ale vyžaduje karty s jednorázovým heslem (a odpovídající infrastrukturu)

Všechny tyto metody (kromě EAP-FAST) vyžadují certifikát serveru (na serveru RADIUS) vydaný certifikační autoritou (CA). V tomto případě musí být samotný certifikát CA přítomen na klientském zařízení v důvěryhodné skupině (což lze snadno implementovat pomocí zásad skupiny ve Windows). EAP-TLS navíc vyžaduje individuální klientský certifikát. Autenticita klienta je ověřena jak digitálním podpisem, tak (volitelně) porovnáním certifikátu poskytnutého klientem serveru RADIUS s tím, co server získal z infrastruktury PKI (Active Directory).

Podporu pro kteroukoli z metod EAP musí poskytovat žadatel na straně klienta. Standardní vestavěný Windows XP/Vista/7, iOS, Android poskytuje alespoň EAP-TLS a EAP-MSCHAPv2, díky čemuž jsou tyto metody populární. Klientské adaptéry Intel pro Windows jsou dodávány s nástrojem ProSet, který rozšiřuje dostupný seznam. Cisco AnyConnect Client dělá totéž.

Jak je spolehlivý?

Koneckonců, co je potřeba k tomu, aby útočník hacknul vaši síť?

Pro Open Authentication, No Encryption – nic. Připojeno k síti a je to. Protože je rádiové médium otevřené, signál se šíří různými směry a není snadné jej zablokovat. Pokud máte příslušné klientské adaptéry, které vám umožňují poslouchat vzduch, je síťový provoz viditelný stejným způsobem, jako kdyby se útočník připojil k drátu, k rozbočovači, k portu SPAN přepínače.
Šifrování založené na WEP vyžaduje pouze IV hrubou sílu a jeden z mnoha volně dostupných skenovacích nástrojů.
Pro šifrování založené na TKIP nebo AES je přímé dešifrování teoreticky možné, ale v praxi se nevyskytly žádné případy hackování.

Samozřejmě můžete zkusit uhodnout PSK klíč nebo heslo pro některou z metod EAP. Nejsou známy žádné běžné útoky proti těmto metodám. Můžete zkusit využít metody sociálního inženýrství, popř

Ahoj všichni!

Trochu jsem analyzoval komentáře, které návštěvníci zanechávají na webu, zkontroloval dotazy a zjistil, že je zde velmi častý problém s připojením k Wi-Fi, o kterém jsem ještě nepsal. Na webu však bylo zanecháno mnoho komentářů s žádostí o pomoc při řešení tohoto problému. Něco jsem tam poradil, ale nevím, jestli ti moje rada pomohla (málokdy někdo píše o výsledcích 🙁).

A včera, Romane (Děkuji milý člověče :) Zanechal jsem komentář k článku, ve kterém jsem sdílel informace o tom, jak problém vyřešil „Uloženo, ochrana WPA\WPA2“. Tento komentář mi pomohl problém trochu pochopit a rozhodl jsem se shromáždit všechny tipy na řešení této chyby do jednoho článku.

Podstata problému

Při připojení telefonu nebo tabletu (s největší pravděpodobností na Androidu), do vaší domácí sítě nebo někde v kavárně se vedle názvu sítě objeví nápis „Uloženo, ochrana WPA\WPA2“. A nic jiného se neděje. Pokud kliknete na tuto síť a vyberete Připojit, tak se nic nestane. Jak tato chyba vypadá, můžete vidět na snímku obrazovky výše.

Konkrétně jsem tento problém vyvolal na svém Wi-Fi routeru Asus RT-N13U a pokusil jsem se připojit telefon HTC One V (Android 4.0). Dostal jsem tedy zprávu „Uloženo, ochrana WPA\WPA2“. Navíc vše vyšlo napoprvé. Jak? Ano, velmi jednoduché. V nastavení mého routeru byl „Wireless Network Mode“ nastaven na Auto a já jsem jej nastavil na n Only. Uložil jsem nastavení, odpojil telefon od Wi-Fi, ale už se nešlo připojit :)

Hlavní příčiny chyby „Uloženo, ochrana WPA\WPA2“

Přátelé, nemohu říci přesně vše a poradit, které budou stoprocentně fungovat, doufám, že rozumíte. Všechna zařízení jsou jiná, každý má jiné nastavení a mnoho dalších nuancí.

Pokusím se však shromáždit důvody, které jsou mi známé, a způsoby, jak je vyřešit, díky nimž může takový problém s připojením k bezdrátové síti nastat.

Pokud se při připojování k bezdrátové síti na telefonu zobrazí zpráva „Uloženo, chráněno WPA\WPA2“ (možná trochu jinak), pak se vyplatí tato nastavení zkontrolovat (Doporučuji zkontrolovat ve stejném pořadí):

Chcete-li začít, jednoduše restartujte router.

Tento problém jsem již několikrát zaznamenal: Internet v telefonu prostě přestane fungovat, ale připojení je a síť je dobrá. Vypnu a zapnu Wi-Fi na svém telefonu, ale už se nepřipojuje k síti, zobrazuje se „Uloženo, ochrana WPA2“. Pomůže pouze restart routeru.

1. Nastavte správný region v nastavení routeru
2. Zkontrolujte, zda je heslo pro síť Wi-Fi správné
3. Zkontrolujte (změňte) provozní režim bezdrátové sítě v nastavení routeru
4. Zkontrolujte (změňte) typ šifrování a typ zabezpečení, změňte heslo v nastavení routeru
5. Experimentujte se změnou kanálu, na kterém funguje vaše bezdrátová síť.
6. Zkuste změnit šířku kanálu.

A nyní podrobněji ke všem bodům

Nastavte správný region v nastavení routeru

Velmi často se tato chyba vyskytuje právě proto, že nastavení Wi-Fi je nastaveno na nesprávnou oblast.

Na příkladu Tp-Link vám ukážu, jak změnit region. Pokud máte router od jiné společnosti, pak se tato nastavení s největší pravděpodobností mění na stejné stránce, kde nastavujete název a další nastavení bezdrátové sítě.

V Ovládacích panelech přejděte na kartu Bezdrátový (Bezdrátový režim) a naproti tomu Kraj uveďte zemi, ve které se nacházíte.

Uložte nastavení kliknutím na tlačítko Uložit(Uložit).

Zkontrolujte heslo a znovu se připojte

Možná jste prostě zadali špatně heslo (v tomto případě však s největší pravděpodobností dojde ke stálému spojení v kruhu. Ale musíte zkontrolovat) a než se dostanete do nastavení routeru, doporučuji vám to zkontrolovat.

Můžete se zeptat, jak mohu znovu zadat heslo, protože požadavek na heslo se neobjeví. Je potřeba spojení smazat. Stačí kliknout na svou síť a vybrat Vymazat.

Nyní znovu klikněte na svou síť a zadejte heslo Wi-Fi. Jen se ujistěte, že je to správné. Pokud jste zapomněli, podívejte se na heslo v nastavení routeru nebo na připojeném počítači (pokud nějaké jsou). Více se dočtete v článku.

Kontrola provozního režimu bezdrátové sítě

Zdá se mi, že toto je hlavní důvod. Jen vaše zařízení (telefon, tablet) nemusí podporovat provozní režim, ve kterém router pracuje.

Provozním režimem jsou ta nesrozumitelná písmena b/g/n, kterého jste si již pravděpodobně všimli v nastavení routeru. Zkuste experimentovat se změnou režimů. Nezapomeňte po každé změně restartovat router a vypnout/zapnout Wi-Fi na telefonu (tabletu).

Nainstaloval jsem tedy n Only místo Auto a vyskočila chyba. Co když například již v nastavení máte n Only? Zde jsou vaše problémy.

Změna typu šifrování/zabezpečení, hesla

Může se stát, že vašemu zařízení prostě nevyhovuje typ zabezpečení nebo šifrování, které router používá. Nebo se vám nelíbí heslo.

Doporučuji nastavit následující hodnoty:

WPA/WPA2 – osobní (doporučeno)

Verze: WPA-PSK

Šifrování: AES

Heslo (klíč) PSK – pouze minimálně osm znaků a číslic.

Uložíme, restartujeme router, smažeme spojení v telefonu a připojíme se zadáním nového hesla.

Pozor! Po změně hesla nebo jiných nastavení zabezpečení mohou nastat problémy s připojením dalších zařízení, která již byla k této síti připojena (počítače, notebooky, televize).

Experimentování s kanálem, na kterém funguje síť Wi-Fi

Je to samozřejmě nepravděpodobné, ale může být. O tom, co je kanál bezdrátové sítě, jak jej změnit a proč, jsem psal v článku -.

Zkuste experimentovat a uvidíte, zda to pomůže.

Šířka kanálu

V nastavení Wi-Fi routeru je taková položka jako Šířka kanálu. Pokud máte např. TP-Link a menu je v angličtině, tak se to nazývá Šířka kanálu.

Zde můžete vybrat několik možností: Auto, 20MHz a 40MHz - v závislosti na routeru. Zkuste nejprve nainstalovat Auto(nebo v Asus 20MHz/40MHz), pokud to nepomůže, tak samostatně.

Kde mohu změnit šířku kanálu?

Přejděte do nastavení routeru ( adresa 192.168.1.1, nebo 192.168.0.1, zadejte login/heslo – podívejte se na spodní stranu routeru).

Asus

Přejděte na kartu Bezdrátová síť a změňte hodnotu opačnou Šířka kanálu.

TP-Link

Tab Bezdrátový – Nastavení bezdrátového připojení, odstavec Šířka kanálu.

Nezapomeňte uložit nastavení a restartujte router.

Doslov

Zdá se, že jsem napsal vše, co jsem chtěl. Opravdu doufám, že vám moje rada pomůže. Zbavíte se tohoto problému a propojíte svůj telefon nebo tablet s Wi-Fi routerem :)

Možná znáte další řešení tohoto problému, podělte se o ně v komentářích - budu vděčný!

Všechno nejlepší!

Také na webu:

Telefon (tablet) se nepřipojuje k Wi-Fi, hlásí „Uloženo, chráněno WPA\WPA2“ aktualizováno: 7. února 2018 od: admin