Šifrování wi-fi sítě, jakou metodu zvolit? Jaký je rozdíl mezi Wi-Fi protokoly WPA, WPA2 a WEP
Bezdrátová síť Wi-Fi je nejen pohodlný způsob připojení zařízení k internetu, ale také nebezpečí. Útočníci často používají Wi-Fi k infikování počítače virem. Pro minimalizaci rizika infekce PC se proto používá spolehlivá struktura různých bezdrátových bezpečnostních protokolů. Zabraňují neoprávněnému přístupu k počítačům šifrováním přenášených dat. Takové protokoly budou dnes diskutovány.
Co je WEP nebo Wired Equivalent Privacy?
Většina bezdrátových přístupových bodů má možnost povolit jeden ze tří standardů bezdrátového šifrování. Tento:
- WEP nebo Wired Equivalent Privacy;
- WPA2.
První protokol WEP nebo Wired Equivalent Privacy začal s 64bitovým šifrováním (slabé) a nakonec přešel až k 256bitovému šifrování (silné).
Dnes je nejoblíbenější implementací tohoto protokolu ve směrovačích 128bitové šifrování, nebo lépe známé jako střední šifrování.
Existují dva typy WEP:
- WEP-40;
- WEP-104.
Jejich rozdíly jsou pouze v délce klíče.
Princip fungování takového protokolu je jasně znázorněn na obrázku.
V současné době je tato technologie zastaralá. Tento typ bezpečnostního protokolu mohou podvodníci napadnout během několika minut.
Co je chráněný přístup WPA nebo Wi-Fi?
K překonání nedostatků WEP byl vyvinut nový bezpečnostní standard WPA. Používal protokol integrity TKIP (Temporal Key Integrity), který se lišil od WEP, který používal CRC nebo Cyclic Redundancy Check.
TKIP byl považován za mnohem silnější než CRC, protože zajistil, že každý datový paket byl přenášen pomocí jedinečného šifrovacího klíče. Kombinace kláves zvýšila obtížnost dekódování kláves a tím snížila počet vniknutí zvenčí.
Stejně jako WEP však měl i WPA nedostatky a byl brzy vylepšen, nazvaný WPA 2.
Rozdíly v protokolu WPA2
WPA 2 je považován za nejbezpečnější protokol. Rozdíl mezi WPA a WPA2 je povinné používání algoritmů AES (Advanced Encryption Standard) a zavedení CCMP (Counter Cipher Mode) s protokolem blockchain autentizačního kódu jako náhrady za TKIP. Režim CCM kombinuje režim důvěrnosti (CTR) a ověřování řetězovým kódem (CBC-MAC) pro ověřování. Použití těchto režimů poskytuje dobré zabezpečení a výkon v softwaru nebo hardwaru.
Chcete-li chránit svou síť Wi-Fi a nastavit heslo, musíte vybrat typ zabezpečení bezdrátové sítě a metodu šifrování. A v této fázi má mnoho lidí otázku: který si vybrat? WEP, WPA nebo WPA2? Osobní nebo podnikový? AES nebo TKIP? Jaká nastavení zabezpečení nejlépe ochrání vaši síť Wi-Fi? Na všechny tyto otázky se pokusím odpovědět v rámci tohoto článku. Zvažme všechny možné metody ověřování a šifrování. Pojďme zjistit, které parametry zabezpečení sítě Wi-Fi jsou nejlépe nastaveny v nastavení routeru.
Vezměte prosím na vědomí, že typ zabezpečení nebo autentizace, síťová autentizace, ochrana, metoda ověřování jsou stejné.
Typ ověřování a šifrování jsou hlavními nastaveními zabezpečení bezdrátové sítě Wi-Fi. Myslím, že nejprve musíme zjistit, jaké to jsou, jaké existují verze, jejich schopnosti atd. Poté zjistíme, jaký typ ochrany a šifrování zvolit. Ukážu vám to na příkladu několika oblíbených routerů.
Vřele doporučuji nastavit heslo a chránit vaši bezdrátovou síť. Nastavte maximální úroveň ochrany. Pokud necháte síť otevřenou, bez ochrany, může se k ní připojit kdokoli. To je především nebezpečné. A také další zatížení vašeho routeru, pokles rychlosti připojení a nejrůznější problémy s připojením různých zařízení.
Ochrana Wi-Fi sítě: WEP, WPA, WPA2
Existují tři možnosti ochrany. Samozřejmě nepočítám "Otevřeno" (Bez ochrany).
- WEP(Wired Equivalent Privacy) je zastaralá a nezabezpečená metoda ověřování. Jde o první a nepříliš úspěšný způsob ochrany. Útočníci mohou snadno přistupovat k bezdrátovým sítím, které jsou chráněny pomocí WEP. Tento režim není potřeba nastavovat v nastavení vašeho routeru, i když tam je (ne vždy) přítomen.
- WPA(Wi-Fi Protected Access) je spolehlivý a moderní typ zabezpečení. Maximální kompatibilita se všemi zařízeními a operačními systémy.
- WPA2– nová, vylepšená a spolehlivější verze WPA. K dispozici je podpora pro šifrování AES CCMP. V tuto chvíli je to nejlepší způsob ochrany Wi-Fi sítě. To je to, co doporučuji používat.
WPA/WPA2 může být dvou typů:
- WPA/WPA2 – osobní (PSK)- Toto je obvyklá metoda ověřování. Když potřebujete pouze nastavit heslo (klíč) a poté jej použít pro připojení k síti Wi-Fi. Pro všechna zařízení se používá stejné heslo. Samotné heslo je uloženo v zařízeních. Kde si jej můžete prohlédnout nebo v případě potřeby změnit. Doporučuje se použít tuto možnost.
- WPA/WPA2 – Enterprise- složitější metoda, která se používá především k ochraně bezdrátových sítí v kancelářích a různých provozovnách. Umožňuje vyšší úroveň ochrany. Používá se pouze v případě, že je k autorizaci zařízení nainstalován server RADIUS (který rozdává hesla).
Myslím, že jsme přišli na způsob ověřování. Nejlepší je použít WPA2 – Personal (PSK). Pro lepší kompatibilitu, aby nebyly problémy s připojením starších zařízení, můžete nastavit smíšený režim WPA/WPA2. Toto je výchozí nastavení na mnoha směrovačích. Nebo označeno jako „Doporučeno“.
Šifrování bezdrátové sítě
Existují dva způsoby TKIP A AES.
Doporučuje se používat AES. Pokud máte v síti starší zařízení, která nepodporují šifrování AES (ale pouze TKIP) a budou problémy s jejich připojením k bezdrátové síti, nastavte ji na „Automaticky“. Typ šifrování TKIP není podporován v režimu 802.11n.
V každém případě, pokud nainstalujete striktně WPA2 - Personal (doporučeno), pak bude k dispozici pouze šifrování AES.
Jakou ochranu bych měl nainstalovat na router Wi-Fi?
Použití WPA2 – osobní se šifrováním AES. Dnes je to nejlepší a nejbezpečnější způsob. Takto vypadá nastavení zabezpečení bezdrátové sítě na routerech ASUS:
A takto vypadají tato nastavení zabezpečení na routerech od TP-Linku (se starým firmwarem).
Můžete vidět podrobnější pokyny pro TP-Link.
Pokyny pro ostatní routery:
Pokud nevíte, kde na vašem routeru najít všechna tato nastavení, napište do komentářů, pokusím se vám to říct. Jen nezapomeňte specifikovat model.
Vzhledem k tomu, že starší zařízení (Wi-Fi adaptéry, telefony, tablety atd.) nemusí podporovat WPA2 - Personal (AES), v případě problémů s připojením nastavte smíšený režim (Auto).
Často si všímám, že po změně hesla nebo jiného nastavení zabezpečení se zařízení nechtějí připojit k síti. Počítačům se může zobrazit chyba „Nastavení sítě uložená v tomto počítači nesplňují požadavky této sítě.“ Zkuste vymazat (zapomenout) síť na zařízení a znovu se připojit. Napsal jsem, jak to udělat ve Windows 7. Ale ve Windows 10 potřebujete .
Heslo (klíč) WPA PSK
Bez ohledu na to, jaký typ zabezpečení a metodu šifrování zvolíte, musíte nastavit heslo. Také známý jako klíč WPA, bezdrátové heslo, klíč zabezpečení sítě Wi-Fi atd.
Délka hesla je od 8 do 32 znaků. Můžete použít písmena latinské abecedy a čísla. Také speciální znaky: - @ $ # ! atd. Žádné mezery! V hesle se rozlišují velká a malá písmena! To znamená, že „z“ a „Z“ jsou různé znaky.
Nedoporučuji nastavovat jednoduchá hesla. Je lepší vytvořit si silné heslo, které nikdo neuhodne, i když se hodně snaží.
Je nepravděpodobné, že si tak složité heslo zapamatujete. Bylo by fajn si to někam zapsat. Není neobvyklé, že se hesla Wi-Fi jednoduše zapomenou. Co dělat v takových situacích jsem psal v článku: .
Pokud potřebujete ještě větší zabezpečení, můžete použít vazbu MAC adresy. Pravda, nevidím v tom potřebu. WPA2 - Personal spárovaný s AES a komplexní heslo je docela dost.
Jak chráníte svou Wi-Fi síť? Pište do komentářů. No, ptejte se :)
Hlavním problémem všech bezdrátových sítí LAN (a všech kabelových sítí LAN) je bezpečnost. Bezpečnost je zde stejně důležitá jako pro každého uživatele internetu. Bezpečnost je komplexní problém a vyžaduje neustálou pozornost. Uživateli může být způsobena obrovská škoda kvůli tomu, že používá náhodné hot spoty (hot-spoty) nebo otevřené přístupové body WI-FI doma nebo v kanceláři a nepoužívá šifrování ani VPN (Virtual Private Network). To je nebezpečné, protože uživatel zadává svá osobní nebo profesní data a síť není chráněna před vniknutím zvenčí.
WEP
Zpočátku bylo obtížné zajistit odpovídající zabezpečení bezdrátových sítí LAN.
Hackeři se snadno připojují k téměř jakékoli WiFi síti prolomením raných verzí bezpečnostních systémů, jako je Wired Equivalent Privacy (WEP). Tyto události zanechaly stopy a po dlouhou dobu se některé společnosti zdráhaly implementovat bezdrátové sítě nebo je neimplementovaly vůbec v obavách, že data přenášená mezi bezdrátovými zařízeními WiFi a přístupovými body Wi-Fi mohou být zachycena a dešifrována. Tento bezpečnostní model tedy zpomalil integraci bezdrátových sítí do podniků a znervózňoval lidi používající doma WiFi sítě. IEEE poté vytvořila 802.11i Working Group, která pracovala na vytvoření komplexního bezpečnostního modelu poskytujícího 128bitové AES šifrování a ověřování pro ochranu dat. Wi-Fi Alliance představila svou vlastní přechodnou verzi této specifikace zabezpečení 802.11i: Wi-Fi Protected Access (WPA). Modul WPA kombinuje několik technologií pro řešení zranitelností systému 802.11 WEP. WPA tak poskytuje spolehlivou autentizaci uživatele pomocí standardu 802.1x (vzájemné ověřování a zapouzdření dat přenášených mezi bezdrátovými klientskými zařízeními, přístupovými body a serverem) a Extensible Authentication Protocol (EAP).
Princip činnosti zabezpečovacích systémů je schematicky znázorněn na obr. 1. Obr
WPA je také vybavena dočasným modulem pro šifrování jádra WEP pomocí 128bitového šifrování klíče a používá protokol Temporal Key Integrity Protocol (TKIP). A kontrola zpráv (MIC) zabraňuje změně nebo formátování datových paketů. Tato kombinace technologií chrání důvěrnost a integritu přenosu dat a zajišťuje bezpečnost řízením přístupu tak, aby do sítě měli přístup pouze oprávnění uživatelé.
WPA
Dalším vylepšením zabezpečení a řízení přístupu WPA je vytvoření nového jedinečného hlavního klíče pro komunikaci mezi bezdrátovým zařízením každého uživatele a přístupovými body a poskytování autentizační relace. A také při vytváření generátoru náhodných klíčů a při procesu generování klíče pro každý balíček.
IEEE ratifikovalo standard 802.11i v červnu 2004, čímž výrazně rozšířilo mnoho možností díky technologii WPA. Wi-Fi Alliance posílila svůj bezpečnostní modul v programu WPA2. Úroveň zabezpečení WiFi přenosu dat standardu 802.11 tak dosáhla požadované úrovně pro implementaci bezdrátových řešení a technologií v podnicích. Jednou z významných změn oproti 802.11i (WPA2) na WPA je použití 128bitového standardu Advanced Encryption Standard (AES). WPA2 AES využívá režim anti-CBC-MAC (režim provozu pro šifrovací blok, který umožňuje použití jediného klíče pro šifrování i autentizaci) k zajištění důvěrnosti dat, autentizace, integrity a ochrany proti přehrávání. Standard 802.11i také nabízí ukládání klíčů do mezipaměti a předběžnou autentizaci pro organizaci uživatelů napříč přístupovými body.
WPA2
S 802.11i se celý řetězec bezpečnostních modulů (přihlášení, pověření, autentizace a šifrování dat) stává robustnějším a účinnějším při ochraně proti necíleným a cíleným útokům. Systém WPA2 umožňuje správci Wi-Fi sítě přejít od bezpečnostních problémů ke správě operací a zařízení.
Standard 802.11r je modifikací standardu 802.11i. Tato norma byla ratifikována v červenci 2008. Technologie standardu rychleji a spolehlivěji přenáší klíčové hierarchie založené na technologii Handoff, když se uživatel pohybuje mezi přístupovými body. Standard 802.11r je plně kompatibilní s WiFi standardy 802.11a/b/g/n.
Existuje také standard 802.11w, který má zlepšit bezpečnostní mechanismus založený na standardu 802.11i. Tato norma je navržena pro ochranu řídicích paketů.
Standardy 802.11i a 802.11w jsou bezpečnostní mechanismy pro WiFi sítě 802.11n.
Šifrování souborů a složek v systému Windows 7
Funkce šifrování umožňuje šifrovat soubory a složky, které následně nebude možné přečíst na jiném zařízení bez speciálního klíče. Tato funkce je přítomna ve verzích Windows 7, jako je Professional, Enterprise nebo Ultimate. Níže budou popsány způsoby, jak povolit šifrování souborů a složek.
Povolení šifrování souborů:
Start -> Počítač (vyberte soubor, který chcete zašifrovat) -> pravé tlačítko myši na souboru -> Vlastnosti -> Upřesnit (karta Obecné) -> Další atributy -> Zaškrtněte možnost Šifrovat obsah pro ochranu dat -> Ok -> Použít -> Ok (Vyberte použít pouze pro soubor)->
Povolení šifrování složek:
Start -> Počítač (vyberte složku, kterou chcete zašifrovat) -> pravé tlačítko myši na složce -> Vlastnosti -> Upřesnit (karta Obecné) -> Další atributy -> Zaškrtněte políčko Šifrovat obsah pro ochranu dat -> Ok -> Použít - > Ok (Vyberte použít pouze pro soubor) -> Zavřete dialogové okno Vlastnosti (klikněte na Ok nebo Zavřít).
Počet lidí, kteří aktivně využívají internet, roste mílovými kroky: v práci pro firemní účely a administrativu, doma, na veřejných místech. Wi-Fi sítě a zařízení, které umožňují neomezený přístup k internetu, jsou stále rozšířenější.
Wi-Fi síť je chráněna formou hesla, bez znalosti kterého bude téměř nemožné se připojit ke konkrétní síti, kromě veřejných sítí (kavárny, restaurace, obchodní centra, přístupové body na ulicích). „Prakticky“ by se nemělo brát v doslovném smyslu: existuje dostatek řemeslníků, kteří dokážou „otevřít“ síť a získat přístup nejen ke zdroji routeru, ale také k datům přenášeným v konkrétní síti.
Ale v této úvodní poznámce jsme mluvili o připojení k wi-fi - autentizace uživatel (klient), když se klientské zařízení a přístupový bod vzájemně objeví a potvrdí, že spolu mohou komunikovat.
Možnosti autentizace:
- OTEVŘENO- otevřená síť, ve které jsou všechna připojená zařízení okamžitě autorizována
- Sdíleno- pravost připojeného zařízení musí být ověřena klíčem/heslem
- EAP- pravost připojeného zařízení musí být ověřena pomocí protokolu EAP externím serverem
Šifrování je algoritmus pro zašifrování (scramble - zašifrování, mix) přenášených dat, změnu a generování šifrovacího klíče
Pro wifi zařízení byly vyvinuty různé typy šifrování, které umožňují chránit síť před hackery a data před veřejným přístupem.
Dnes existuje několik možností šifrování. Podívejme se na každou z nich podrobněji.
Rozlišují se následující typy a jsou nejběžnější:
- OTEVŘENO;
- WPA, WPA2;
První typ s názvem OPEN obsahuje ve svém názvu všechny informace potřebné k poznání. Tento režim vám neumožní šifrovat data ani chránit síťové zařízení, protože přístupový bod bude při výběru tohoto typu neustále otevřený a přístupný všem zařízením, která jej detekují. Nevýhody a zranitelnosti tohoto typu „šifrování“ jsou zřejmé.
To, že je síť otevřená, neznamená, že ji může používat kdokoli. Aby bylo možné takovou síť používat a přenášet na ní data, musí se použitá metoda šifrování shodovat. A další podmínkou pro použití takové sítě je absence MAC filtru, který určuje MAC adresy uživatelů, aby bylo možné rozpoznat, která zařízení mají zakázáno nebo povoleno používat tuto síť.
WEP
Druhý typ, známý také jako WEP, pochází z 90. let minulého století a byl předchůdcem všech následujících typů šifrování. Šifrování Wep je dnes nejslabší ze všech existujících možností zabezpečení. Většina moderních směrovačů, vytvořených specialisty a s ohledem na zájmy soukromí uživatelů, nepodporuje šifrování wep.
Mezi nevýhodami, přestože existuje alespoň nějaká ochrana (ve srovnání s OPEN), vyniká nespolehlivost: je to způsobeno krátkodobou ochranou, která se aktivuje v určitých časových intervalech. Po uplynutí této doby lze heslo do vaší sítě snadno uhodnout a klíč wep bude hacknut do 1 minuty. To je způsobeno bitovou hloubkou klíče wep, která se pohybuje od 40 do 100 bitů v závislosti na vlastnostech síťového zařízení.
Zranitelnost klíče wep spočívá ve skutečnosti, že části hesla jsou přenášeny společně s datovými pakety. Zachycování paketů je snadný úkol pro specialistu – hackera nebo crackera. Je také důležité pochopit skutečnost, že moderní software je schopen zachytit datové pakety a je vytvořen speciálně pro tento účel.
Šifrování wep je tedy nejnespolehlivějším způsobem ochrany vaší sítě a síťového vybavení.
WPA, WPA2
Takové odrůdy jsou v současnosti nejmodernější a nejdokonalejší z hlediska organizace ochrany. Neexistují k nim žádné analogy. Možnost nastavit libovolnou uživatelsky přívětivou délku a alfanumerickou kombinaci klíče wpa značně ztěžuje život těm, kteří chtějí neoprávněně používat konkrétní síť nebo zachytit data z této sítě.
Tyto standardy podporují různé šifrovací algoritmy, které lze přenášet po interakci protokolů TKIP a AES. Typ šifrování aes je pokročilejší protokol než tkip a je podporován a aktivně využíván většinou moderních směrovačů.
Šifrování WPA nebo wpa2 je preferovaným typem pro domácí i firemní použití. Ten umožňuje použít dva režimy ověřování: kontrola hesel pro přístup určitých uživatelů do obecné sítě se provádí v závislosti na specifikovaných nastaveních pomocí režimu PSK nebo Enterprise.
PSK poskytuje přístup k síťovým zařízením a internetovým zdrojům pomocí jediného hesla, které je nutné zadat při připojení k routeru. Toto je preferovaná možnost pro domácí síť, jejíž připojení je prováděno v malých oblastech pomocí určitých zařízení, například: mobilního telefonu, osobního počítače a notebooku.
Pro společnosti s velkým počtem zaměstnanců není PSK vhodným autentizačním režimem, a proto byl vyvinut druhý režim – Enterprise. Jeho použití umožňuje použití více klíčů, které budou uloženy na speciálním dedikovaném serveru.
WPS
Skutečně moderní a umožňuje připojení k bezdrátové síti jediným kliknutím tlačítka. Nemá smysl přemýšlet o heslech nebo klíčích, ale stojí za to zdůraznit a zvážit řadu vážných nevýhod týkajících se přístupu k sítím WPS.
Připojení pomocí této technologie se provádí pomocí klíče, který obsahuje 8 znaků. Zranitelnost typu šifrování je následující: má závažnou chybu, která umožňuje crackerům nebo hackerům získat přístup k síti, pokud mají přístup alespoň ke 4 číslicím z osmimístné kombinace. Počet pokusů o uhodnutí hesla je asi několik tisíc, ale pro moderní software je toto číslo směšné. Pokud měříte proces vynucení WPS v průběhu času, proces nebude trvat déle než jeden den.
Stojí za zmínku, že tato zranitelnost je ve fázi zlepšování a lze ji opravit, proto se v následujících modelech zařízení s režimem WPS začala zavádět omezení počtu pokusů o přihlášení, což výrazně zkomplikovalo úkol neoprávněného přístupu pro uživatele. zájemcům o toto.
Nicméně pro zvýšení celkové úrovně bezpečnosti doporučují zkušení uživatelé uvažovanou technologii zásadně opustit.
Shrnutí
Nejmodernější a skutečně nejspolehlivější metodou organizace ochrany sítě a dat přenášených v ní je WPA nebo její analogový WPA2.
První možnost je vhodnější pro domácí použití určitým počtem zařízení a uživatelů.
Druhý, který má funkci dvourežimového ověřování, je vhodnější pro velké společnosti. Jeho použití je odůvodněno tím, že při odchodu zaměstnanců není potřeba měnit hesla a klíče, protože určitý počet dynamických hesel je uložen na speciálně vyhrazeném serveru, ke kterému mají přístup pouze současní zaměstnanci společnosti.
Nutno podotknout, že většina pokročilých uživatelů preferuje WPA2 i pro domácí použití. Z hlediska organizace ochrany zařízení a dat je tato metoda šifrování nejpokročilejší, jaká dnes existuje.
Co se týče stále populárnějšího WPS, jeho opuštění znamená do jisté míry chránit síťová zařízení a s jeho pomocí přenášená informační data. Dokud nebude technologie dostatečně vyvinuta a nebude mít všechny výhody, například WPA2, doporučuje se upustit od jejího používání, a to i přes zdánlivou snadnost použití a pohodlí. Bezpečnost sítě a informačních polí přenášených v ní je totiž pro většinu uživatelů prioritou.
WEP (Wired Equivalent Privacy) - Zabezpečení ekvivalentní utajení) je charakteristika standardu 802.11, který se používá k zajištění bezpečnosti přenosu dat. Šifrování dat bylo provedeno pomocí algoritmu RC4 na klíči se statickou složkou od 40 do 104 bitů as další náhodnou dynamickou složkou (inicializační vektor) o velikosti 24 bitů; V důsledku toho byla data šifrována pomocí klíče o velikosti od 64 do 128 bitů. WEP nemá za úkol úplně skrýt přenášené informace, stačí je učinit nečitelnými.
Tato technologie byla vyvinuta speciálně pro šifrování toku přenášených dat v rámci lokální sítě. Používá nepříliš silný algoritmus RC4 na statickém klíči. Část klíče WEP je statická (40 bitů v případě 64bitového šifrování) a druhá část (24 bitů) je dynamická (inicializační vektor), to znamená, že se mění během provozu sítě. Hlavní slabinou protokolu WEP je, že inicializační vektory se po určité době opakují a útočníkovi stačí tato opakování shromáždit a vypočítat z nich statickou část klíče. Pro zvýšení úrovně zabezpečení můžete kromě šifrování WEP použít také standard 802.1x nebo VPN.
Pro zvýšení bezpečnosti se používá tzv. Inicializační vektor (IV), který je určen k randomizaci další části klíče, která poskytuje různé varianty šifry pro různé datové pakety. Tento vektor je 24bitový. Ve výsledku tedy získáme obecné šifrování s bitovou hloubkou 64 (40+24) až 128 (104+24) bitů. Myšlenka je to velmi správná, protože při šifrování pracujeme s konstantními i náhodně vybranými znaky.
Takovou ochranu je možné hacknout – příslušné utility jsou dostupné na internetu (například AirSnort, WEPcrack). Jeho hlavní slabinou je právě inicializační vektor. Protože mluvíme o 24 bitech, znamená to asi 16 milionů kombinací (2 až 24. mocnina) - po použití tohoto čísla se klíč začne opakovat. Hacker potřebuje tato opakování najít (15 minut až hodinu u 40bitového klíče) a zbytek klíče prolomit během několika sekund. Poté se může přihlásit do sítě jako běžný registrovaný uživatel.
Bezpečnostní protokol Wep
Také v roce 1997, kdy byl ratifikován základní standard 802.11, IEEE schválila mechanismus Wired Equivalent Privacy (WEP), který používá šifrování jako prostředek k zajištění bezpečnosti v bezdrátových sítích. WEP funguje na vrstvě 2 modelu OSI a používá 40bitový klíč pro šifrování, což zjevně nestačí.
V říjnu 2000 byl zveřejněn dokument IEEE 802.11-00/362 s názvem „Unsafe at any key size; An analysis of the WEP encapsulation“ od Jesse R. Walkera, která popisuje problémy s algoritmem WEP a útoky, které lze spustit pomocí jeho zranitelností. Tento problém byl vyvinut ve dvou dokumentech publikovaných během jednoho měsíce po sobě: „Zachycování mobilních komunikací: Nebezpečnost 802.11“ z University of Berkeley, prezentované na 7. výroční konferenci o mobilních počítačích a sítích v červenci 2001, a „ Slabé stránky v Key Scheduling Algorithm of RC4" (společně připravený specialisty ze společnosti Cisco Systems a oddělením informatiky izraelského Weizmannova institutu), zveřejněným v srpnu 2001.
V témže roce se objevila první utilita, vyvinutá Adamem Stubblefieldem, ve které byly teoretické výpočty výše uvedených autorů implementovány do praxe a která během pár hodin prolomila šifru WEP. Dnes existují nástroje, které umožňují prolomit WEP za 5-30 sekund. Problémy s algoritmem WEP jsou složité a spočívají v řadě slabin:
Mechanismus výměny klíčů (nebo spíše jeho téměř úplná absence);
Malé bitové hloubky klíče a inicializačního vektoru (Initialization Vector -- IV);
Mechanismus pro kontrolu integrity přenášených dat;
Autentizační metoda a šifrovací algoritmus RC4. Proces šifrování WEP probíhá ve dvou fázích.
1 Nejprve je vypočítán kontrolní součet (Integrity Checksum Value -- ICV) pomocí algoritmu Cyclic Redundancy Check (CRC-32), přidán na konec nešifrované zprávy a použit k ověření její integrity přijímající stranou.
2. Ve druhé fázi se šifrování provádí přímo.
Šifrovací klíč WEP je sdílený tajný klíč, který musí znát zařízení na obou stranách kanálu bezdrátového přenosu dat. Tento 40bitový tajný klíč spolu s náhodným 24bitovým IV je vstupní sekvencí do generátoru pseudonáhodných čísel založených na Vernamově šifře, který generuje řetězec náhodných znaků nazývaný proud klíčů.
Tato operace se provádí, aby se zabránilo hackerským metodám založeným na statistických vlastnostech prostého textu.
IV se používá k tomu, aby každá zpráva měla svůj vlastní jedinečný klíčový proud.Zašifrovaná zpráva (obrázek 1) je vytvořena XORingem nešifrované zprávy s ICV a tokem klíčů. Aby si jej příjemce mohl přečíst, je k přenášenému paketu přidána IV v prostém textu. Když je informace přijata na druhé straně, dojde k opačnému procesu (p=c+b). Význam b přijímač vypočítává použitím kódu Vernam na vstupní sekvenci skládající se z klíče NA(který zná předem) a IV, které přišly se stejnou zprávou v čistém textu. Pro každý následující paket se proces opakuje s novou vybranou hodnotou IV. Jednou z dobře známých vlastností algoritmu RC4 je, že pokud použijeme stejnou hodnotu klíče a inicializační vektor, dostaneme vždy stejnou hodnotu b tedy použití operace XOR na dva texty zašifrované pomocí RC4 se stejnou hodnotou b, není nic jiného než operace XOR na dvou počátečních textech.
|
c1=p1+b; |
c2=p2+b; c 1 +c 2 =(p 1 +b)+(p 2 +b)=p 1 +p 2 b Tímto způsobem můžeme získat prostý text, který je výsledkem operace XOR mezi dvěma dalšími původními texty. Postup pro jejich extrakci není obtížný. Přítomnost původního textu a IV umožňuje vypočítat klíč, který v budoucnu umožní číst všechny zprávy dané bezdrátové sítě. Po jednoduchém rozboru si snadno spočítáte, kdy se to bude opakovat . Od klíče K
Situace je podobná s ICV použitým v algoritmu WEP. Hodnota CRC-32 se vypočítá na základě datového pole zprávy. Je to dobrá metoda pro identifikaci chyb, ke kterým dochází při přenosu informací, ale nezajišťuje integritu dat, to znamená, že nezaručuje, že s nimi během přenosu nebylo manipulováno. Kontrolní součet CRC-32 má lineární vlastnost: CRC(A XOR B)=CRC(A)XOR CRC(B), která umožňuje útočníkovi snadno upravit zašifrovaný paket bez znalosti klíče WEP a přepočítat pro něj novou hodnotu ICV. .
