Co je to typ zabezpečení? Typ šifrování WiFi – který byste si měli vybrat, WEP nebo WPA2-PSK Personal-Enterprise pro ochranu zabezpečení sítě? Seznámení s WPA

Co je to typ zabezpečení? Typ šifrování WiFi – který byste si měli vybrat, WEP nebo WPA2-PSK Personal-Enterprise pro ochranu zabezpečení sítě? Seznámení s WPA

Počet lidí, kteří aktivně využívají internet, roste mílovými kroky: v práci pro firemní účely a administrativu, doma, na veřejných místech. Wi-Fi sítě a zařízení, které umožňují neomezený přístup k internetu, jsou stále rozšířenější.

Wi-Fi síť je chráněna formou hesla, bez znalosti kterého bude téměř nemožné se připojit ke konkrétní síti, kromě veřejných sítí (kavárny, restaurace, obchodní centra, přístupové body na ulicích). „Prakticky“ by nemělo být chápáno v doslova: Je dost řemeslníků, kteří dokážou „otevřít“ síť a získat přístup nejen ke zdroji routeru, ale také k datům přenášeným v rámci konkrétní sítě.

Ale v tomhle úvodní poznámky mluvili jsme o připojení k wi-fi - autentizace uživatel (klient), když se klientské zařízení a přístupový bod vzájemně objeví a potvrdí, že spolu mohou komunikovat.

Možnosti autentizace:

  • OTEVŘENO- otevřená síť, ve které jsou všechna připojená zařízení okamžitě autorizována
  • Sdíleno- pravost připojeného zařízení musí být ověřena klíčem/heslem
  • EAP- pravost připojeného zařízení musí být ověřena pomocí protokolu EAP externím serverem

Šifrování je algoritmus pro zašifrování (scramble - zašifrování, mix) přenášených dat, změnu a generování šifrovacího klíče

Pro wifi zařízení Byly vyvinuty různé typy šifrování, aby bylo možné chránit síť před hackery a data před veřejným přístupem.

Dnes existuje několik možností šifrování. Podívejme se na každou z nich podrobněji.

Rozlišují se následující typy a jsou nejběžnější:

  • OTEVŘENO;
  • WPA, WPA2;

První typ s názvem OPEN obsahuje ve svém názvu všechny informace potřebné k poznání. Šifrujte data nebo je chraňte síťová zařízení tento režim nepovolí, protože přístupový bod bude při výběru tohoto typu neustále otevřený a přístupný všem zařízením, kterými bude detekován. Nevýhody a zranitelnosti tohoto typu „šifrování“ jsou zřejmé.

To, že je síť otevřená, neznamená, že ji může používat kdokoli. Aby bylo možné takovou síť používat a přenášet na ní data, musí se použitá metoda šifrování shodovat. A další podmínkou pro použití takové sítě je absence MAC filtru, který určuje MAC adresy uživatelů, aby bylo možné rozpoznat, která zařízení mají zakázáno nebo povoleno používat tuto síť.

WEP

Druhý typ, známý také jako WEP, pochází z 90. let minulého století a byl předchůdcem všech následujících typů šifrování. Šifrování Wep je dnes nejslabší ze všech stávající možnosti ochranné organizace. Většina moderních směrovačů, vytvořených specialisty a s ohledem na zájmy soukromí uživatelů, nepodporuje šifrování wep.

Mezi nevýhodami, přestože existuje alespoň nějaká ochrana (ve srovnání s OPEN), vyniká nespolehlivost: je to způsobeno krátkodobou ochranou, která se aktivuje v určitých časových intervalech. Po uplynutí této doby lze heslo do vaší sítě snadno uhodnout a klíč wep bude hacknut do 1 minuty. To je způsobeno bitovou hloubkou klíče wep, která se pohybuje od 40 do 100 bitů v závislosti na vlastnostech síťového zařízení.

Zranitelnost klíče wep spočívá ve skutečnosti, že části hesla jsou přenášeny společně s datovými pakety. Zachycování paketů je snadný úkol pro specialistu – hackera nebo crackera. Je také důležité pochopit skutečnost, že moderní software je schopen zachytit datové pakety a je vytvořen speciálně pro tento účel.

Šifrování wep je tedy nejspolehlivějším způsobem ochrany vaší sítě a síťového zařízení.

WPA, WPA2

Takové odrůdy jsou v současnosti nejmodernější a nejdokonalejší z hlediska organizace ochrany. Neexistují k nim žádné analogy. Možnost nastavit libovolnou uživatelsky přívětivou délku a alfanumerickou kombinaci klíče wpa dost ztěžuje život těm, kteří chtějí neoprávněně používat konkrétní síť nebo zachytit data z této sítě.

Tyto standardy podporují různé šifrovací algoritmy, které lze přenášet po interakci protokolů TKIP a AES. Typ šifrování aes je pokročilejší protokol než tkip a je podporován a aktivně využíván většinou moderních směrovačů.

U obou je preferovaným typem šifrování wpa nebo wpa2 domácí použití a pro firmy. Ten umožňuje použít dva režimy ověřování: kontrola hesel pro přístup určitých uživatelů sdílená síť se provádí v závislosti na specifikovaných nastaveních v režimu PSK nebo Enterprise.

PSK poskytuje přístup k síťovým zařízením a internetovým zdrojům pomocí jediného hesla, které je nutné zadat při připojení k routeru. Toto je preferovaná možnost pro domácí síť, jejichž připojení je prováděno v malých oblastech pomocí určitých zařízení, například: mobilní, osobní počítač a notebook.

Firmám s velkou pracovní silou PSK nestačí pohodlný režim autentizace, proto byl vyvinut druhý režim - Enterprise. Jeho použití umožňuje použití více klíčů, které budou uloženy na speciálním dedikovaném serveru.

WPS

Opravdu moderní a dělá možné spojení do bezdrátové sítě jediným kliknutím tlačítka. Nemá smysl přemýšlet o heslech nebo klíčích, ale stojí za to zdůraznit a zvážit řadu vážných nevýhod týkajících se přístupu k sítím s WPS.

Připojení pomocí této technologie se provádí pomocí klíče, který obsahuje 8 znaků. Zranitelnost typu šifrování je následující: má závažnou chybu, která umožňuje crackerům nebo hackerům získat přístup k síti, pokud mají k dispozici alespoň 4 číslice z osmimístné kombinace. Počet pokusů o uhodnutí hesla je asi několik tisíc, ale pro moderní software toto číslo je směšné. Pokud měříte proces vynucení WPS v průběhu času, proces nebude trvat déle než jeden den.

Stojí za zmínku, že tato zranitelnost je ve fázi zlepšování a lze ji opravit, proto se v následujících modelech zařízení s režimem WPS začala zavádět omezení počtu pokusů o přihlášení, což výrazně zkomplikovalo úkol neoprávněného přístupu pro uživatele. zájemcům o toto.

A přesto zvýšit obecná úroveň zabezpečení, zkušení uživatelé Doporučuje se zásadně opustit uvažovanou technologii.

Shrnutí

Nejmodernější a skutečně spolehlivá metoda organizací pro ochranu sítě a dat přenášených v ní je WPA nebo její analogový WPA2.

První možnost je vhodnější pro domácí použití určitým počtem zařízení a uživatelů.

Druhý, který má funkci dvourežimového ověřování, je vhodnější velké společnosti. Jeho použití je odůvodněno tím, že při odchodu zaměstnanců není potřeba měnit hesla a klíče, protože určitou částku dynamická hesla jsou uloženy na speciálně vyhrazeném serveru, ke kterému mají přístup pouze současní zaměstnanci společnosti.

Nutno podotknout, že většina pokročilých uživatelů preferuje WPA2 i pro domácí použití. Z hlediska organizace ochrany zařízení a dat je tato metoda šifrování nejpokročilejší, jaká dnes existuje.

Co se týče stále populárnějšího WPS, jeho opuštění znamená do jisté míry chránit síťová zařízení a s jeho pomocí přenášená informační data. Dokud nebude technologie dostatečně vyvinuta a nebude mít všechny výhody, například WPA2, doporučuje se upustit od jejího používání, a to i přes zdánlivou snadnost použití a pohodlí. Bezpečnost sítě a informačních polí přenášených v ní je totiž pro většinu uživatelů prioritou.

Dobrý den milí čtenáři. Slabý systém Ochrana routeru ohrožuje vaši síť. Všichni víme, jak důležité je zabezpečení routeru, ale většina lidí si neuvědomuje, že určitá nastavení zabezpečení mohou zpomalit celou síť.

Hlavními možnostmi pro šifrování dat procházejících routerem jsou protokoly WPA2-AES A WPA2-TKIP. Dnes si povíme o každém z nich a vysvětlíme, proč si vybrat AES.

Seznámení s WPA

WPA, neboli Wi-Fi Protected Access, byla reakce Wi-Fi Alliance na bezpečnostní zranitelnosti, které sužovaly protokol WEP. Je důležité poznamenat, že to nebylo zamýšleno jako úplné řešení. Spíše mělo jít o dočasné řešení, které by lidem umožnilo používat stávající routery bez použití WEP, které má výrazné bezpečnostní chyby.

I když byl WPA lepší než WEP, měl také vlastní problémy s bezpečností. Ačkoli útoky obvykle nedokázaly proniknout do samotného algoritmu TKIP (Temporal Key Integrity Protocol), který má 256bitové šifrování, mohly by obejít přídavný systém, zabudovaný do tento protokol a zavolal WPS nebo Bezpečná instalace Wi-Fi.

Zabezpečená instalace Wi-Fi byla navržena tak, aby usnadnila vzájemné propojení zařízení. Kvůli četným bezpečnostním chybám, se kterými byl vydán, však WPS začalo mizet v zapomnění a vzalo s sebou WPA.

V tuto chvíli se WPA ani WEP již nepoužívají, takže půjdeme do podrobností a místo toho se podíváme na nová verze protokol - WPA2.

Proč je WPA2 lepší

V roce 2006 se WPA stal zastaralým protokolem a byl nahrazen protokolem WPA2.

Nahrazení TKIP šifrování na nový a bezpečný algoritmus AES (Advanced Encryption Standard) vedl k rychlejšímu a bezpečnějšímu Wi-Fi sítě. Důvodem je, že TKIP nebyl plnohodnotným algoritmem, ale spíše dočasnou alternativou. Jednoduše řečeno, WPA-TKIP bylo dočasné řešení, které udrželo sítě v provozu během tří let mezi zavedením WPA-TKIP a vydáním WPA2-AES.

Faktem je, že AES je skutečný šifrovací algoritmus, který se používá nejen k ochraně sítí Wi-Fi. Jedná se o seriózní globální standard, který používají vlády, kdysi populární program TrueCrypt a mnoho dalších k ochraně dat před zvědavýma očima. Skutečnost, že tento standard chrání vaši domácí síť, je pěkný bonus, ale to vyžaduje nákup nový router.

AES vs TKIP z hlediska bezpečnosti

TKIP je v podstatě záplata pro WEP, řešitel problémů díky čemuž by útočník mohl získat váš klíč po prozkoumání relativně malého množství provozu procházejícího routerem. TKIP opravil tuto zranitelnost tím, že každých několik minut uvolnil nový klíč, což by teoreticky zabránilo hackerovi shromáždit dostatek dat k dešifrování klíče nebo proudové šifry RC4, na kterou algoritmus spoléhá.

Ačkoli byl TKIP ve své době významným vylepšením zabezpečení, dnes se jím stane zastaralá technologie, již není považován za dostatečně bezpečný, aby chránil sítě před hackery. Například jeho největší, ale ne jediná zranitelnost, známá jako útok chop-chop, se stala veřejně známou ještě před příchodem samotné metody šifrování.

Útok chop-chop umožňuje hackerům, kteří vědí, jak zachytit a analyzovat streamovaná data generovaná sítí, použít je k dešifrování klíče a zobrazení informací v prostém textu, nikoli v zašifrovaném textu.

AES je zcela odlišný šifrovací algoritmus, který je mnohem lepší než TKIP. Tento algoritmus je 128bitová, 192bitová nebo 256bitová bloková šifra, která netrpí zranitelností jako TKIP.

Pokud vysvětlíme algoritmus jednoduchým jazykem, bere prostý text a převede jej na šifrovaný text. Pro vnější pozorovatel, který nemá klíč, vypadá takový text jako řetězec náhodné symboly. Zařízení nebo osoba na druhé straně přenosu má klíč, který odemyká nebo dešifruje data. V tomto případě má router první klíč a šifruje data před přenosem a počítač má druhý klíč, který dešifruje informace a umožňuje jejich zobrazení na obrazovce.

Úroveň šifrování (128, 192 nebo 256 bitů) určuje počet permutací použitých na data, a tedy potenciální počet možné kombinace, pokud to přijdete hacknout.

Dokonce i nejslabší úroveň šifrování AES (128bitové) je teoreticky nemožné prolomit, protože současný počítač výpočetní výkon Najít správné řešení pro tento algoritmus by trvalo 100 miliard let.

AES vs TKIP z hlediska rychlosti

TKIP je zastaralá metoda šifrování a kromě bezpečnostních problémů zpomaluje i systémy, které ji stále používají.

Většina nových směrovačů (všechny 802.11n nebo starší) standardně používá šifrování WPA2-AES, ale pokud používáte starší směrovač nebo jste z nějakého důvodu zvolili šifrování WPA-TKIP, je pravděpodobné, že ztrácíte značné množství rychlosti.

Každý router, který podporuje 802.11n (ačkoli byste si měli pořídit AC router), se zpomalí na 54 Mb/s, když v nastavení zabezpečení povolíte WPA nebo TKIP. To se provádí za účelem zajištění správného fungování bezpečnostních protokolů se staršími zařízeními.

Teoreticky nabízí 802.11ac se šifrováním WPA2-AES maximální rychlost 3,46 Gbps za optimálních (čti: nemožné) podmínek. Ale i když to neberete v úvahu, WPA2 a AES jsou stále mnohem rychlejší než TKIP.

Výsledky

AES a TKIP se mezi sebou nedají vůbec srovnávat. AES je pokročilejší technologie v každém smyslu slova. Vysoká rychlost routery, bezpečné procházení a algoritmus, na který spoléhají i vlády největších zemí, z něj dělají správná volba pro všechny nové i již stávající Wi-Fi sítí.

Vzhledem ke všemu, co AES nabízí, existuje nějaký dobrý důvod, proč nepoužívat tento algoritmus ve vaší domácí síti? Proč to používáte (nebo nepoužíváte)?

Mnoho směrovačů nabízí jako možnosti následující bezpečnostní standardy: WPA2-PSK (TKIP), WPA2-PSK (AES) a WPA2-PSK (TKIP/AES). Udělejte špatnou volbu a skončíte s pomalejší a méně bezpečnou sítí.

standardy WEP ( Kabelový ekvivalent Ochrana osobních údajů), WPA ( Wi-Fi chráněno Access) a WPA2 (Wi-Fi Protected Access II), z nichž vám bude nabídnut výběr při nastavování nastavení zabezpečení bezdrátové sítě, jsou hlavními algoritmy zabezpečení informací. WEP je nejstarší z nich a nejzranitelnější, protože v průběhu jeho používání bylo objeveno mnoho slabých stránek. WPA nabízí lepší zabezpečení, ale je také údajně náchylné k hackování. WPA2, v současnosti vyvíjející se standard, je v současnosti nejběžnější možností zabezpečení. TKIP (Temporal Key Integrity Protocol) a AES (Advanced Encryption Standard) jsou dva různé typyšifrování, které lze použít ve standardu WPA2. Podívejme se, jak se liší a který z nich je pro vás nejlepší.

AES vs. TKIP

TKIP a AES jsou dva různé standardy šifrování, které lze použít v sítích Wi-Fi. TKIP – více starý protokolšifrování, které bylo zavedeno standardem WPA jako náhrada extrémně nespolehlivého algoritmu WEP. Ve skutečnosti je TKIP velmi podobný algoritmu WEP šifrování. TKIP se již nepovažuje za spolehlivou metodu zabezpečení a v současné době se nedoporučuje. Jinými slovy, neměli byste to používat.

AES je bezpečnější šifrovací protokol zavedený standardem WPA2. AES není nějaký fádní, ten či onen standard určený přímo pro Wi-Fi sítě. Jedná se o seriózní globální šifrovací standard, přijatý dokonce i vládou USA. Například když šifrujete pevný disk používáním Programy TrueCrypt, může k tomu použít algoritmus AES šifrování. AES je všeobecně uznávaný standard, který poskytuje virtuálně úplná bezpečnost a jeho možnými slabinami je jeho potenciální náchylnost k útokům pomocí „ hrubou silou» (které jsou vyrovnány používáním poměrně složitých přístupových frází) a bezpečnostní chyby spojené s dalšími aspekty WPA2.

Zkrácenou verzí zabezpečení je TKIP, starší šifrovací protokol používaný standardem WPA. AES pro Wi-Fi je novější řešení šifrování používané v novém a bezpečném standardu WPA2. Teoreticky by to mohl být konec. Ale v praxi, v závislosti na vašem routeru, jednoduchá volba WPA2 nemusí stačit.

Ačkoli WPA2 používá AES pro optimální zabezpečení, může v případě potřeby používat také TKIP zpětná kompatibilita se zařízeními předchozích generací. V této situaci se zařízení, která podporují WPA2, připojí v souladu s WPA2 a zařízení, která podporují WPA, se připojí v souladu s WPA. To znamená, že „WPA2“ nemusí vždy znamenat WPA2-AES. Nicméně na zařízeních bez explicitní označení Možnosti „TKIP“ nebo „AES“ WPA2 je obvykle synonymem pro WPA2-AES.
Zkratka „PSK“ v celém názvu těchto možností znamená „předsdílený klíč“ – vaše přístupová fráze (šifrový klíč). To odlišuje osobní standardy od WPA-Enterprise, který k vydávání používá server RADIUS unikátní klíče na velkých firemních nebo vládních Wi-Fi sítích.

Možnosti zabezpečení pro síť Wi-Fi

Ještě těžší? Nic překvapivého. Vše, co opravdu potřebujete, je najít v pracovním seznamu vašeho zařízení ten, který poskytuje největší ochranu volba. Zde je nejpravděpodobnější seznam možností pro váš router:

  • Otevřené (rizikové): V otevřených sítích Wi-Fi nejsou žádné přístupové fráze. Tuto možnost byste neměli instalovat – vážně, mohli byste dát policii důvod, aby vás navštívila.
  • WEP 64 (rizikové): Starý standard protokolu WEP je snadno zranitelný a neměli byste jej používat.
  • WEP 128 (rizikové): toto je stejné WEP, ale se zvýšenou délkou šifrovací klíč. Ve skutečnosti není o nic méně zranitelný než WEP 64.
  • WPA-PSK (TKIP): Zde je použita původní verze protokolu WPA (v podstatě WPA1). Není zcela bezpečný a byl nahrazen WPA2.
  • WPA-PSK (AES): Zde je použit původní protokol WPA s TKIP nahrazeným více moderní standard AES šifrování. Tato možnost je nabízena jako dočasné opatření, ale zařízení, která podporují AES, budou téměř vždy podporovat WPA2, zatímco zařízení vyžadující WPA nebudou podporovat AES téměř nikdy. Takže tato varianta nedává moc smysl.
  • WPA2-PSK (TKIP): Používá moderní standard WPA2 se starším šifrovacím algoritmem TKIP. Tato možnost není bezpečná a její jedinou výhodou je, že je vhodná pro starší zařízení, která nepodporují možnost WPA2-PSK (AES).
  • WPA2-PSK (AES): Toto je nejčastěji používaná možnost zabezpečení. Používá WPA2, nejnovější standard šifrování pro sítě Wi-Fi a nejnovější protokol AES šifrování. Tuto možnost byste měli použít. Na některých zařízeních uvidíte možnost nazvanou jednoduše „WPA2“ nebo „WPA2-PSK“, což ve většině případů znamená použití AES.
  • WPAWPA2-PSK (TKIP/AES): Některá zařízení nabízejí – a dokonce doporučují – tuto smíšenou možnost. Tato možnost umožňuje používat WPA i WPA2 – s TKIP i AES. To zajišťuje maximální kompatibilitu s jakýmikoli starými zařízeními, které můžete mít, ale také dává hackerům příležitost proniknout do vaší sítě prolomením zranitelnějších protokolů WPA a TKIP.

    • Certifikace WPA2 je platná od roku 2004 a v roce 2006 se stala závaznou. Každé zařízení s logem „Wi-Fi“ vyrobené po roce 2006 musí podporovat šifrovací standard WPA2.

    Vzhledem k tomu, že vaše zařízení s podporou Wi-Fi je pravděpodobně mladší 11 let, můžete se cítit pohodlně, když zvolíte možnost WPA2-PSK (AES). Instalací této možnosti můžete také zkontrolovat funkčnost vašeho zařízení. Pokud zařízení přestane fungovat, můžete jej kdykoli vrátit nebo vyměnit. I když, pokud vám na bezpečnosti záleží skvělá hodnota, můžete si jednoduše koupit nové zařízení vyrobené nejdříve v roce 2006.

    WPA a TKIP zpomalují vaši Wi-Fi síť

    Možnosti WPA a TKIP zvolené pro účely kompatibility mohou také zpomalit síť Wi-Fi. Mnoho moderní routery Wi-Fi, která podporuje standardy 802.11n nebo novější a rychlejší, sníží rychlost na 54 Mb/s, pokud na nich nastavíte možnost WPA nebo TKIP – abyste zajistili zaručenou kompatibilitu s hypotetickými staršími zařízeními.

    Pro srovnání, při použití WPA2 s AES dokonce 802.11n podporuje rychlosti až 300 Mbps, zatímco 802.11ac nabízí teoretickou maximální rychlost 3,46 Gbps za optimálních (čti: ideálních) podmínek.
    Na většině směrovačů, jak jsme viděli, seznam možností obvykle zahrnuje WEP, WPA (TKIP) a WPA2 (AES) - a možná smíšenou možnost režimu maximální kompatibility WPA (TKIP) + WPA2 (AES) nabízenou s nejlepším záměrů.
    Pokud máte router neobvyklý typ která nabízí WPA2 s TKIP nebo AES, zvolte AES. Téměř všechna vaše zařízení s ním budou určitě fungovat, navíc rychleji a bezpečněji. AES je jednoduchá a racionální volba.

    Před čtením tohoto materiálu, doporučujeme přečíst si předchozí články ze série:
  • Stavíme síť vlastníma rukama a připojujeme ji k internetu, část první - budování kabelové Ethernetové sítě(bez přepínače, v případě dvou počítačů a s přepínačem, stejně jako v přítomnosti tří nebo více strojů) a organizování přístupu k internetu prostřednictvím jednoho z počítačů v síti, který má dva síťové karty a byl instalován operační sál systém Windows XP Pro.
  • Část druhá: nastavení bezdrátového zařízení v síti typu peer-to-peer – jsou diskutovány otázky organizace sítě při použití pouze bezdrátových adaptérů.

V předchozím článku bylo šifrování v bezdrátových sítích věnováno jen pár slov, bylo slíbeno, že se této problematice budeme věnovat v samostatném článku. Dnes svůj závazek plníme :)

Nejprve trocha teorie.

Bezdrátovému šifrování dat se dostává tolik pozornosti kvůli jeho samotné povaze podobné sítě. Data jsou přenášena bezdrátově pomocí rádiových vln a v obecný případ Používají se všesměrové antény. Údaje tak slyší každý – nejen ten, komu jsou určeny, ale i soused bydlící za zdí nebo „zájemce“ pobývající s notebookem pod oknem. Samozřejmě, že vzdálenosti, na které bezdrátové sítě fungují (bez zesilovačů nebo směrových antén), jsou malé – asi 100 metrů v ideálních podmínkách. Zdi, stromy a další překážky signál značně tlumí, ale stále to problém neřeší.

Zpočátku se pro ochranu používal pouze SSID (název sítě). Ale obecně řečeno, tato metoda může být nazývána ochranou s velkým rozsahem - SSID je přenášeno otevřený formulář a nikdo nebrání útočníkovi to odposlouchávat a následně si ve svém nastavení nastavit ten požadovaný. Nemluvě o tom, že (to platí pro přístupové body) lze povolit režim vysílání pro SSID, tzn. bude to vynucené vysílání všem, kteří poslouchají.

Proto byla potřeba šifrování dat. Prvním takovým standardem byl WEP – Wired Equivalent Privacy. Šifrování se provádí pomocí 40 nebo 104bitového klíče (šifrování proudu pomocí algoritmu RC4 na statickém klíči). A samotný klíč je sada znaků ASCII o délce 5 (pro 40bitový) nebo 13 (pro 104bitový klíč) znaků. Sada těchto znaků je přeložena do sekvence hexadecimálních číslic, které jsou klíčem. Ovladače mnoha výrobců umožňují zadávat přímo místo sady znaků ASCII hexadecimální hodnoty(stejná délka). Upozorňujeme, že algoritmy pro převod ze sekvence znaků ASCII na hodnoty hexadecimálního klíče se mohou lišit v závislosti na různých výrobců. Pokud tedy vaše síť používá heterogenní bezdrátové zařízení a nejste schopni nakonfigurovat šifrování WEP pomocí klíčové fráze ASCII, zkuste místo toho zadat klíč v hexadecimálním formátu.

Ale co prohlášení výrobců o podpoře 64 a 128bitového šifrování, ptáte se? Správně, marketing zde hraje roli – 64 je více než 40 a 128 je 104. Ve skutečnosti probíhá šifrování dat pomocí klíče o délce 40 nebo 104. Ale kromě ASCII fráze (statická složka klíče) , existuje také něco jako Initialization Vector - IV - inicializační vektor. Slouží k randomizaci zbytku klíče. Vektor je vybrán náhodně a během provozu se dynamicky mění. V zásadě je to rozumné řešení, protože umožňuje vložit do klíče náhodnou složku. Délka vektoru je 24 bitů, takže celková délka klíče je nakonec 64 (40+24) nebo 128 (104+24) bitů.

Vše by bylo v pořádku, ale použitý šifrovací algoritmus (RC4) momentálně není nijak zvlášť silný – pokud opravdu chcete, můžete klíč najít hrubou silou v relativně krátkém čase. Ale přesto je hlavní zranitelnost WEP spojena právě s inicializačním vektorem. IV je pouze 24 bitů dlouhý. To nám dává přibližně 16 milionů kombinací - 16 milionů různých vektorů. Přestože číslo „16 milionů“ zní docela působivě, vše na světě je relativní. V reálné práci budou všechny možné možnosti klíče použity v období od deseti minut do několika hodin (pro 40bitový klíč). Poté se vektory začnou opakovat. Útočníkovi stačí shromáždit dostatečný počet paketů pouhým nasloucháním provozu bezdrátové sítě a nalezením těchto opakování. Poté výběr statické složky klíče (ASCII fráze) nezabere mnoho času.

Ale to není vše. Existují takzvané „nestabilní“ inicializační vektory. Použití takových vektorů v klíči umožňuje útočníkovi téměř okamžitě začít vybírat statickou část klíče, spíše než čekat několik hodin a pasivně hromadit síťový provoz. Mnoho výrobců zabudovává do softwaru (či hardwaru bezdrátových zařízení) kontrolu takových vektorů, a pokud se podobné najdou, jsou v tichosti vyřazeny, tzn. neúčastníte se procesu šifrování. Bohužel ne všechna zařízení tuto funkci mají.

V současné době někteří výrobci bezdrátové zařízení nabízejí „rozšířené verze“ algoritmu WEP – používají klíče delší než 128 (přesněji 104) bitů. Ale v těchto algoritmech se zvyšuje pouze statická složka klíče. Délka inicializačního vektoru zůstává stejná se všemi z toho plynoucími důsledky (jinými slovy pouze prodlužujeme čas pro výběr statického klíče). Je samozřejmé, že algoritmy WEP s prodlouženou délkou klíče nemusí být kompatibilní mezi různými výrobci.

Vyděsil jsi mě dobře? ;-)

Bohužel při použití protokolu 802.11b nelze vybrat nic jiného než WEP. Přesněji dodávají někteří (menšinoví) výrobci různé implementaceŠifrování WPA (softwarové metody), které je mnohem stabilnější než WEP. Tyto „záplaty“ jsou však nekompatibilní ani v rámci zařízení stejného výrobce. Obecně platí, že při používání zařízení 802.11b existují pouze tři způsoby šifrování vašeho provozu:

  • 1. Pomocí WEP s maximální délkou klíče (128 bitů nebo vyšší), pokud zařízení podporuje cyklickou změnu klíčů ze seznamu (až čtyři klíče v seznamu), je vhodné tuto změnu aktivovat.
  • 2. Použití standardu 802.1x
  • 3. Použití třetí strany software Pro organizace VPN tunely (šifrované datové toky) přes bezdrátovou síť. Chcete-li to provést, nainstalujte na jeden ze strojů VPN server(obvykle s podporou pptp), na ostatních - VPN klienti jsou nakonfigurováni. Toto téma vyžaduje samostatnou úvahu a přesahuje rámec tohoto článku.

802.1x používá pro svou práci spoustu několika protokolů:

  • EAP (Extensible Authentication Protocol) - protokol pro rozšířenou autentizaci uživatelů nebo vzdálených zařízení;
  • TLS (Transport Layer Security) - bezpečnostní protokol transportní vrstva zajišťuje integritu přenosu dat mezi serverem a klientem a jejich vzájemnou autentizaci;
  • RADIUS (Remote Authentication Dial-In User Server) - ověřovací server pro vzdálené klienty. Poskytuje ověření uživatele.

Protokol 802.1x poskytuje autentizaci vzdáleným klientům a poskytuje jim dočasné klíče k šifrování dat. Klíče (v zašifrované podobě) jsou klientovi zaslány na krátkou dobu, poté jsou vygenerovány a odeslány nový klíč. Šifrovací algoritmus se nezměnil - stejný RC4, ale časté střídání klíčů velmi ztěžuje prolomení. Tento protokol je podporován pouze v operačních systémech (od společnosti Microsoft) Windows XP. Jeho velká nevýhoda (např koncový uživatel) je, že protokol vyžaduje server RADIUS, který s největší pravděpodobností nebude ve vaší domácí síti existovat.

Zařízení, která podporují standard 802.11g, podporují vylepšený šifrovací algoritmus WPA - Wi-Fi Protected Access. Celkově se jedná o dočasný standard navržený tak, aby zaplnil bezpečnostní mezeru až do příchodu protokolu IEEE 802.11i (tzv. WPA2). WPA zahrnuje 802.1X, EAP, TKIP a MIC.

Mezi neprozkoumanými protokoly se zde objevují TKIP a MIC:

  • TKIP (Temporal Key Integrity Protocol) je implementace dynamických šifrovacích klíčů, navíc každé zařízení v síti obdrží svůj vlastní hlavní klíč (který se také čas od času mění). Šifrovací klíče jsou dlouhé 128 bitů a jsou generovány pomocí složitý algoritmus a celkový počet možné možnosti Existují stovky miliard klíčů a velmi často se mění. Použitý šifrovací algoritmus je však stále RC4.
  • MIC (Message Integrity Check) je protokol kontroly integrity paketů. Protokol umožňuje vyřadit pakety, které byly do kanálu „vloženy“ třetí stranou, tzn. nepošlo od platného odesílatele.

Velké množství výhod protokolu TKIP nepokrývá jeho hlavní nevýhodu - algoritmus RC4 používaný pro šifrování. Ačkoli dosud nebyly hlášeny žádné případy hackování WPA založeného na TKIP, kdo ví, co přinese budoucnost? Proto je nyní stále populárnější použití standardu AES (Advanced Encryption Standard), který nahrazuje TKIP. Mimochodem, v budoucím standardu WPA2 je povinný požadavek na použití AES pro šifrování.

Jaké závěry lze vyvodit?

  • pokud jsou v síti pouze zařízení 802.11g, je lepší použít šifrování založené na WPA;
  • pokud je to možné (pokud to podporují všechna zařízení), povolte šifrování AES;

Přejděme k přímému nastavení šifrování na zařízeních. Používám stejné bezdrátové adaptéry jako v předchozím článku:

Na notebooku je nainstalován Cardbus adaptér Asus WL-100g. Rozhraní pro správu karet - nástroj od společnosti ASUS (ASUS WLAN Řídicí centrum).

Externí adaptér s USB rozhraním ASUS WL-140. Adaptér se ovládá přes rozhraní zabudované ve Windows XP (Zero Wireless Configuration). Tato karta je 802.11b, takže nepodporuje WPA.

Deska PCI rozhraní Asus WL-130g. Ovládací rozhraní je implementováno od (výrobce čipsetu této PCI karty).

ASUS WLAN Control Center - ASUS WL-100g

Začněme nastavením šifrování v rozhraní správy ASUS WLAN Control Center. Všechna nastavení jsou soustředěna v sekci Šifrování. Nejprve vyberte typ ověření ( Síťová autentizace), máme k dispozici tři typy: Open System, Shared Key a WPA.

1. Šifrování WEP.

Typy otevřeného systému/sdíleného klíče jsou podmnožiny ověřovacího algoritmu zabudovaného do WEP. Režim otevřeného systému je nejistý a důrazně se nedoporučuje jeho aktivaci, pokud lze aktivovat sdílený klíč. To je způsobeno tím, že v režimu Open System pro vstup do bezdrátové sítě (přidružení k jiné stanici nebo přístupovému bodu) stačí znát pouze SSID sítě a v režimu Shared Key je navíc potřeba nastavit WEP šifrovací klíč společný pro celou síť.

Dále vyberte Šifrování – WEP, velikost klíče – 128 bitů (64bitový klíč je lepší vůbec nepoužívat). Zvolíme formát klíče, HEX (zadání klíče v hexadecimálním tvaru) nebo generování klíče z ASCII sekvence (nezapomeňte, že generovací algoritmy se mohou u různých výrobců lišit). Bereme také v úvahu, že klíč (nebo klíče) WEP musí být stejný na všech zařízeních ve stejné síti. Celkem můžete zadat až čtyři klíče. Poslední položkou je výběr, který klíč bude použit (Default Key). V v tomto případě Existuje další způsob - začít používat postupně všechny čtyři klíče, což zvyšuje bezpečnost. (kompatibilita pouze se zařízeními stejného výrobce).

2. Šifrování WPA.

Pokud je podporována na všech zařízeních (obvykle zařízení 802.11g), důrazně se doporučuje použít tento režim namísto zastaralého a zranitelného WEP.

Obvykle bezdrátových zařízení podpora dvou režimů WPA:

  • Standardní WPA. Není to pro nás vhodné, jak to vyžaduje servery RADIUS v síti (kromě toho funguje pouze ve spojení s přístupovým bodem).
  • WPA-PSK - WPA s podporou pre Shared Keys (předdefinované klíče). A to je potřeba - klíč (stejný pro všechna zařízení) se ručně nastavuje na všech bezdrátových adaptérech a přes něj se provádí primární autentizace stanic.

Jako šifrovací algoritmy můžete vybrat TKIP nebo AES. Poslední jmenovaný není implementován na všech bezdrátových klientech, ale pokud je podporován všemi stanicemi, pak je lepší u něj zůstat. Bezdrátová síť Klíč je stejný obecný předsdílený klíč. Je vhodné ji prodloužit a nepoužít slovo ze slovníku nebo množiny slov. V ideálním případě by to měl být nějaký žvanec.

Po kliknutí na tlačítko Použít (nebo Ok) se zadaná nastavení použijí bezdrátová karta. V tomto okamžiku lze postup pro nastavení šifrování na něm považovat za dokončený.

Ovládací rozhraní implementované Ralinkem - Asus WL-130g

Nastavení se příliš neliší od již diskutovaného rozhraní od ASUS WLAN CC. V okně rozhraní, které se otevře, přejděte na kartu Profil, vyberte požadovaný profil a klikněte Upravit.

1. Šifrování WEP.

Šifrování se nastavuje na záložce Autentizace a zabezpečení. Pokud je aktivováno šifrování WEP, vyberte možnost Shared in Typ autentizace(tj. sdílený klíč).

Vyberte typ šifrování – WEP a zadejte až čtyři ASCII nebo hexadecimální klíče. Délku klíče nelze nastavit v rozhraní, okamžitě se použije 128bitový klíč.

2. WPA šifrování.

Pokud v Typ autentizace vyberte WPA-None, poté aktivujeme šifrování sdíleného klíče WPA. Vyberte typ šifrování ( Šifrování) TKIP nebo AES a zadejte sdílený klíč ( Předsdílený klíč WPA).

Tím je nastavení šifrování dokončeno toto rozhraní. Chcete-li uložit nastavení ve svém profilu, stačí kliknout na tlačítko Dobře.

Zero Wireless Configuration (vestavěné rozhraní Windows) - ASUS WL-140

ASUS WL-140 je karta 802.11b, takže podporuje pouze šifrování WEP.

1. Šifrování WEP.

V nastavení bezdrátového adaptéru přejděte na kartu Bezdrátové sítě. Dále vyberte naši bezdrátovou síť a stiskněte tlačítko Naladit.

V okně, které se objeví, aktivujte Šifrování dat. Také aktivujeme Síťová autentizace, vypnutím této položky povolíte autentizaci typu „Otevřený systém“, tzn. každý klient se bude moci připojit k síti s vědomím svého SSID.

Zadejte síťový klíč (a zopakujte jej v dalším poli). Zkontrolujeme jeho index ( sériové číslo), obvykle se rovná jedné (tj. prvnímu klíči). Číslo klíče musí být na všech zařízeních stejné.

Klíč ( síťové heslo), jak nám říká operační systém, musí obsahovat 5 nebo 13 znaků nebo musí být zadáno celé v šestnáctkové soustavě. Ještě jednou upozorňujeme, že algoritmus pro převod klíče ze symbolického na hexadecimální se může u společnosti Microsoft a výrobců jejich vlastních rozhraní pro správu bezdrátových adaptérů lišit, takže by bylo spolehlivější zadávat klíč v šestnáctkové soustavě (tj. čísla od 0 do 9 a písmena A až F).

V rozhraní, za které je zodpovědné, je také příznak Automatické poskytování klíčů, ale nevím přesně, kde to bude fungovat. V části nápovědy je uvedeno, že klíč může být výrobcem pevně zapojen do bezdrátového adaptéru. Obecně je lepší tuto funkci neaktivovat.

V tomto okamžiku lze nastavení šifrování pro adaptér 802.11b považovat za dokončené.

Mimochodem, o nápovědě zabudované v OS. Většinu toho, co je zde řečeno, a další lze nalézt v Centrum nápovědy a podpory, který má dobrý systém nápovědy, stačí zadat klíčová slova a klikněte na zelená šipka vyhledávání.

2. Šifrování WPA.

Po prozkoumání nastavení šifrování na příkladu adaptéru 802.11b ASUS WL-140 jsme se nedotkli nastavení WPA ve Windows, protože karta tento režim nepodporuje. Zvažme tento aspekt na příkladu jiného adaptéru - ASUS WL-100g. Možnost konfigurace WPA v systému Windows XP se objeví při instalaci služby Verze balíčku 2 (nebo odpovídající aktualizace dostupné na webu společnosti Microsoft).

Service Pack 2 výrazně rozšiřuje funkčnost a pohodlí nastavení bezdrátové sítě. Přestože se položky hlavního menu nezměnily, byly přidány nové.

Šifrování je nakonfigurováno standardním způsobem: nejprve vyberte ikonu bezdrátového adaptéru a poté stiskněte tlačítko Vlastnosti.

Přejděte na záložku Bezdrátové sítě a vybrat si, kterou síť budeme konfigurovat (většinou je pouze jedna). Klikněte Vlastnosti.

V okně, které se zobrazí, vyberte WPA-None, tzn. WPA s předsdílenými klíči (pokud zvolíte Kompatibilní, pak povolíme režim konfigurace šifrování WEP, který již byl popsán výše).

Vyberte AES nebo TKIP (pokud všechna zařízení v síti podporují AES, pak je lepší jej vybrat) a dvakrát zadejte klíč WPA (druhý v potvrzovacím poli). Nejlépe něco dlouhého a těžkého na vyzvednutí.

Po kliknutí na Dobře Nastavení WPAšifrování lze také považovat za úplné.

Na závěr několik slov o průvodci nastavením bezdrátové sítě, který se objevil s aktualizací Service Pack 2.

Ve vlastnostech síťového adaptéru vyberte tlačítko Bezdrátové sítě.

V zobrazeném okně klikněte na Nastavte bezdrátovou síť.

Tady nám říkají, kde jsme skončili. Klikněte Další.

Vybrat Nastavte bezdrátovou síť. (Pokud vyberete Přidat, pak můžete vytvořit profily pro další počítače ve stejné bezdrátové síti).

V okně, které se zobrazí, nastavte SSID sítě, aktivujte šifrování WPA, pokud je to možné, a vyberte metodu zadání klíče. Generování můžete nechat na operačním systému nebo klíče zadat ručně. Pokud je vybráno první, zobrazí se okno s výzvou k zadání požadovaného klíče (nebo klíčů).

  • V textovém souboru pro následné ruční zadání na jiných počítačích.
  • Uložení profilu na USB flash disk pro automatický vstup na ostatních počítačích se systémem Windows XP s integrovanou aktualizací Service Pack verze 2.

Pokud je zvolen režim Flash save, pak v dalším okně budete vyzváni k vložení Flash média a jeho výběru z nabídky.

Pokud bylo zvoleno ruční ukládání parametrů, tak po stisku tlačítka Typ

... bude stažena textový soubor s nakonfigurovanými parametry sítě. Upozorňujeme, že jsou generovány náhodné a dlouhé (tj. dobré) klíče, ale jako šifrovací algoritmus se používá TKIP. Algoritmus AES lze později povolit ručně v nastavení, jak je popsáno výše.

Celkový

Dokončili jsme nastavení šifrování na všech bezdrátových adaptérech. Nyní můžete zkontrolovat, zda se počítače navzájem vidí. Jak na to, bylo popsáno v druhém díle série „sítě pro kutily“ (postupujeme obdobně jako u metody, kdy v síti nebylo povoleno šifrování).

Pokud jsme v nesnázích a ne všechny počítače se navzájem vidí, pak kontrolujeme obecná nastavení pro adaptéry:

  • Algoritmus ověřování musí být stejný pro všechny (sdílené klíče nebo WPA);
  • Šifrovací algoritmus musí být pro všechny stejný (WEP-128bit, WPA-TKIP nebo WPA-AES);
  • Délka klíče (v případě šifrování WEP) musí být stejná pro všechny stanice v síti (obvyklá délka je 128bit);
  • Samotný klíč musí být stejný na všech stanicích v síti. Pokud se používá WEP, pak možný důvod- použití klíče ASCII a síť používá heterogenní zařízení (od různých výrobců). Zkuste zadat klíč v hexadecimálním zápisu.

Když jsem poprvé nastavil domácí Wi-Fi router, udělal vážnou chybu: zvolil špatný šifrovací protokol. Výsledkem bylo, že můj bod byl druhý den hacknut, dokonce i s 8místným heslem. Uvědomil jsem si to až po pár týdnech a předtím jsem si vystačil s pomalým načítáním stránek a přerušováním streamované video. A to je jen polovina otázky: zda-li nezabezpečené připojení vysílat důvěrné informace a pracovní dokumenty se mohou „dostavit“ do nesprávných rukou. Chcete se vyhnout podobné problémy? Stačí zvolit optimální šifrovací protokol.

WEP 64 a WEP 128

Nejhorší, co můžete při nastavování routeru udělat, je nainstalovat šifrování WEP. Nemůže zaručit ani minimální úroveň zabezpečení: mohou hacknout váš bod během několika minut. A to nejen k využívání výhod internetu zdarma, ale také k získávání osobních údajů.

WPA-PSK (TKIP) a

Další šifrovací protokol, který nedoporučuji volit: bezpečnost, upřímně řečeno, není 100%. Zvláště pokud jste zvolili typ šifrování TKIP.

WPA2-AES vs WPA2-TKIP

Verze protokolu WPA2 je nejvíce aktuální možnost. Když vyvstane otázka ohledně typu šifrování, zvolte WPA2-AES - poskytne maximální ochranu zabezpečení vaší Wi-Fi sítě a dat. Ve srovnání s tím je typ šifrování TKIP považován za méně bezpečný. Pokud ale máte zastaralé zařízení a



Oblíbené v kategorii:
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přeneste kontakty do nového telefonu Android
Přeneste kontakty do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

Nejnovější články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Nahoru