Domov › Nastavení › Telefon (tablet) se nepřipojí k Wi-Fi, hlásí „Uloženo, ochrana WPA\WPA2. Šifrování Wi-Fi – jaký protokol zvolit

Telefon (tablet) se nepřipojí k Wi-Fi, hlásí „Uloženo, ochrana WPA\WPA2. Šifrování Wi-Fi – jaký protokol zvolit

Chcete-li chránit svou síť Wi-Fi a nastavit heslo, musíte vybrat typ zabezpečení bezdrátové sítě a metodu šifrování. A v této fázi má mnoho lidí otázku: který si vybrat? WEP, WPA nebo WPA2? Osobní nebo podnikový? AES nebo TKIP? Jaká nastavení zabezpečení nejlépe ochrání vaši síť Wi-Fi? Na všechny tyto otázky se pokusím odpovědět v rámci tohoto článku. Zvažme všechny možné metody ověřování a šifrování. Pojďme zjistit, které parametry zabezpečení sítě Wi-Fi jsou nejlépe nastaveny v nastavení routeru.

Vezměte prosím na vědomí, že typ zabezpečení nebo autentizace, síťová autentizace, ochrana, metoda ověřování jsou stejné.

Typ ověřování a šifrování jsou hlavními nastaveními zabezpečení bezdrátové sítě Wi-Fi. Myslím, že nejprve musíme zjistit, jaké to jsou, jaké existují verze, jejich schopnosti atd. Poté zjistíme, jaký typ ochrany a šifrování zvolit. Ukážu vám to na příkladu několika oblíbených routerů.

Vřele doporučuji nastavit heslo a chránit vaši bezdrátovou síť. Nastavte maximální úroveň ochrany. Pokud necháte síť otevřenou, bez ochrany, může se k ní připojit kdokoli. To je především nebezpečné. A také další zatížení vašeho routeru, pokles rychlosti připojení a nejrůznější problémy s připojením různých zařízení.

Ochrana Wi-Fi sítě: WEP, WPA, WPA2

Existují tři možnosti ochrany. Samozřejmě nepočítám "Otevřeno" (Bez ochrany).

WEP(Wired Equivalent Privacy) je zastaralá a nezabezpečená metoda ověřování. Jde o první a nepříliš úspěšný způsob ochrany. Útočníci mohou snadno přistupovat k bezdrátovým sítím, které jsou chráněny pomocí WEP. Tento režim není potřeba nastavovat v nastavení vašeho routeru, i když tam je (ne vždy) přítomen.
WPA(Wi-Fi Protected Access) je spolehlivý a moderní typ zabezpečení. Maximální kompatibilita se všemi zařízeními a operačními systémy.
WPA2– nová, vylepšená a spolehlivější verze WPA. K dispozici je podpora pro šifrování AES CCMP. V tuto chvíli je to nejlepší způsob ochrany Wi-Fi sítě. To je to, co doporučuji používat.

WPA/WPA2 může být dvou typů:

WPA/WPA2 – osobní (PSK)- Toto je obvyklá metoda ověřování. Když potřebujete pouze nastavit heslo (klíč) a poté jej použít pro připojení k síti Wi-Fi. Pro všechna zařízení se používá stejné heslo. Samotné heslo je uloženo v zařízeních. Kde si jej můžete prohlédnout nebo v případě potřeby změnit. Doporučuje se použít tuto možnost.
WPA/WPA2 – Enterprise- složitější metoda, která se používá především k ochraně bezdrátových sítí v kancelářích a různých provozovnách. Umožňuje vyšší úroveň ochrany. Používá se pouze v případě, že je k autorizaci zařízení nainstalován server RADIUS (který rozdává hesla).

Myslím, že jsme přišli na způsob ověřování. Nejlepší je použít WPA2 – Personal (PSK). Pro lepší kompatibilitu, aby nebyly problémy s připojením starších zařízení, můžete nastavit smíšený režim WPA/WPA2. Toto je výchozí nastavení na mnoha směrovačích. Nebo označeno jako „Doporučeno“.

Šifrování bezdrátové sítě

Existují dva způsoby TKIP A AES.

Doporučuje se používat AES. Pokud máte v síti starší zařízení, která nepodporují šifrování AES (ale pouze TKIP) a budou problémy s jejich připojením k bezdrátové síti, nastavte ji na „Automaticky“. Typ šifrování TKIP není podporován v režimu 802.11n.

V každém případě, pokud nainstalujete striktně WPA2 - Personal (doporučeno), pak bude k dispozici pouze šifrování AES.

Jakou ochranu bych měl nainstalovat na router Wi-Fi?

Použití WPA2 – osobní se šifrováním AES. Dnes je to nejlepší a nejbezpečnější způsob. Takto vypadá nastavení zabezpečení bezdrátové sítě na routerech ASUS:

A takto vypadají tato nastavení zabezpečení na routerech od TP-Linku (se starým firmwarem).

Můžete vidět podrobnější pokyny pro TP-Link.

Pokyny pro ostatní routery:

Pokud nevíte, kde na vašem routeru najít všechna tato nastavení, napište do komentářů, pokusím se vám to říct. Jen nezapomeňte specifikovat model.

Vzhledem k tomu, že starší zařízení (Wi-Fi adaptéry, telefony, tablety atd.) nemusí podporovat WPA2 - Personal (AES), v případě problémů s připojením nastavte smíšený režim (Auto).

Často si všímám, že po změně hesla nebo jiného nastavení zabezpečení se zařízení nechtějí připojit k síti. Počítačům se může zobrazit chyba „Nastavení sítě uložená v tomto počítači nesplňují požadavky této sítě.“ Zkuste vymazat (zapomenout) síť na zařízení a znovu se připojit. Napsal jsem, jak to udělat ve Windows 7. Ale ve Windows 10 potřebujete .

Heslo (klíč) WPA PSK

Bez ohledu na to, jaký typ zabezpečení a metodu šifrování zvolíte, musíte nastavit heslo. Také známý jako klíč WPA, bezdrátové heslo, klíč zabezpečení sítě Wi-Fi atd.

Délka hesla je od 8 do 32 znaků. Můžete použít písmena latinské abecedy a čísla. Také speciální znaky: - @ $ # ! atd. Žádné mezery! V hesle se rozlišují velká a malá písmena! To znamená, že „z“ a „Z“ jsou různé znaky.

Nedoporučuji nastavovat jednoduchá hesla. Je lepší vytvořit si silné heslo, které nikdo neuhodne, i když se hodně snaží.

Je nepravděpodobné, že si tak složité heslo zapamatujete. Bylo by fajn si to někam zapsat. Není neobvyklé, že se hesla Wi-Fi jednoduše zapomenou. Co dělat v takových situacích jsem psal v článku: .

Pokud potřebujete ještě větší zabezpečení, můžete použít vazbu MAC adresy. Pravda, nevidím v tom potřebu. WPA2 - Personal spárovaný s AES a komplexní heslo je docela dost.

Jak chráníte svou Wi-Fi síť? Pište do komentářů. No, ptej se :)

V poslední době se objevilo mnoho „odhalujících“ publikací o hacknutí jiného protokolu nebo technologie, která ohrožuje bezpečnost bezdrátových sítí. Je to skutečně tak, čeho byste se měli bát a jak zajistit, aby byl přístup do vaší sítě co nejbezpečnější? Neříkají vám slova WEP, WPA, 802.1x, EAP, PKI málo? Tento krátký přehled pomůže shromáždit všechny používané technologie šifrování a autorizace rádiového přístupu. Pokusím se ukázat, že správně nakonfigurovaná bezdrátová síť představuje pro útočníka nepřekonatelnou bariéru (samozřejmě do určité hranice).

Základy

Jakákoli interakce mezi přístupovým bodem (sítí) a bezdrátovým klientem je založena na:

Autentizace- jak se klient a přístupový bod navzájem představí a potvrdí, že mají právo spolu komunikovat;
Šifrování- jaký šifrovací algoritmus se používá pro přenášená data, jak je generován šifrovací klíč a kdy se mění.

Parametry bezdrátové sítě, především její název (SSID), jsou pravidelně inzerovány přístupovým bodem v paketech broadcast beacon. Kromě očekávaného nastavení zabezpečení se přenášejí požadavky na QoS, parametry 802.11n, podporované rychlosti, informace o dalších sousedech atd. Autentizace určuje, jak se klient k věci prezentuje. Možné možnosti:

OTEVŘENO- tzv. otevřená síť, ve které jsou všechna připojená zařízení okamžitě autorizována
Sdíleno- pravost připojeného zařízení musí být ověřena klíčem/heslem
EAP- pravost připojeného zařízení musí být ověřena pomocí protokolu EAP externím serverem

Otevřenost sítě neznamená, že s ní může kdokoli beztrestně pracovat. Pro přenos dat v takové síti se musí použitý šifrovací algoritmus shodovat, a proto musí být šifrované spojení správně vytvořeno. Šifrovací algoritmy jsou:

Žádný- žádné šifrování, data jsou přenášena v čistém textu
WEP- šifra založená na algoritmu RC4 s různými délkami statického nebo dynamického klíče (64 nebo 128 bitů)
CKIP- proprietární náhrada za Cisco WEP, ranou verzi TKIP
TKIP- Vylepšená náhrada WEP s dalšími kontrolami a ochranou
AES/CCMP- nejpokročilejší algoritmus založený na AES256 s dalšími kontrolami a ochranou

Kombinace Otevřené ověřování, žádné šifrováníširoce používané v systémech přístupu pro hosty, jako je poskytování internetu v kavárně nebo hotelu. Pro připojení potřebujete znát pouze název bezdrátové sítě. Často se takové připojení kombinuje s dodatečným ověřením na Captive Portal přesměrováním uživatelského HTTP požadavku na další stránku, kde si můžete vyžádat potvrzení (přihlašovací heslo, souhlas s pravidly atd.).

Šifrování WEP je kompromitován a nelze jej použít (ani v případě dynamických klíčů).

Běžně se vyskytující pojmy WPA A WPA2 ve skutečnosti určit šifrovací algoritmus (TKIP nebo AES). Vzhledem k tomu, že klientské adaptéry již poměrně dlouho podporují WPA2 (AES), nemá smysl používat šifrování TKIP.

Rozdíl mezi WPA2 Osobní A WPA2 Enterprise odtud pocházejí šifrovací klíče používané v mechanice algoritmu AES. Pro privátní (domácí, malé) aplikace se používá statický klíč (heslo, kódové slovo, PSK (Pre-Shared Key)) o minimální délce 8 znaků, který se nastavuje v nastavení přístupového bodu, a je stejný pro všechny klienty dané bezdrátové sítě. Kompromit takového klíče (vysypali fazole sousedovi, zaměstnanec byl vyhozen, notebook ukraden) vyžaduje okamžitou změnu hesla pro všechny zbývající uživatele, což je reálné pouze v případě, že jich je malý počet. Pro podnikové aplikace, jak název napovídá, se používá dynamický klíč, individuální pro každého aktuálně spuštěného klienta. Tento klíč lze během provozu periodicky aktualizovat bez přerušení spojení a za jeho generování je zodpovědná další komponenta - autorizační server a téměř vždy se jedná o server RADIUS.

Všechny možné bezpečnostní parametry jsou shrnuty na tomto štítku:

Vlastnictví	Statické WEP	Dynamický WEP	WPA	WPA 2 (Enterprise)
Identifikace	Uživatel, počítač, karta WLAN	Uživatel, počítač	Uživatel, počítač	Uživatel, počítač
Povolení	Sdílený klíč	EAP	EAP nebo sdílený klíč	EAP nebo sdílený klíč
Integrita	32bitová hodnota kontroly integrity (ICV)	32bitové ICV	64bitový kód integrity zprávy (MIC)	CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code – CCM) Součást AES
Šifrování	Statický klíč	Klíč relace	Klíč pro paket přes TKIP	CCMP (AES)
Distribuce klíčů	Jednorázové, manuální	Segment PMK (Pair-wise Master Key).	Odvozeno od PMK	Odvozeno od PMK
Inicializační vektor	Text, 24 bitů	Text, 24 bitů	Pokročilý vektor, 65 bitů	48bitové číslo paketu (PN)
Algoritmus	RC4	RC4	RC4	AES
Délka klíče, bity	64/128	64/128	128	až 256
Požadovaná infrastruktura	Žádný	POLOMĚR	POLOMĚR	POLOMĚR

Zatímco WPA2 Personal (WPA2 PSK) je jasný, podnikové řešení vyžaduje další zvážení.

WPA2 Enterprise

Zde se zabýváme další sadou různých protokolů. Na straně klienta, speciální softwarová komponenta, žadatel (obvykle součást OS) spolupracuje s autorizační částí, AAA serverem. Tento příklad ukazuje provoz jednotné rádiové sítě postavené na lehkých přístupových bodech a řadiči. V případě použití přístupových bodů s „mozky“ může celou roli prostředníka mezi klienty a serverem převzít samotný bod. V tomto případě jsou data klientského žadatele přenášena rádiem vytvořeným v protokolu 802.1x (EAPOL) a na straně řadiče jsou zabalena do paketů RADIUS.

Použití autorizačního mechanismu EAP ve vaší síti vede k tomu, že po úspěšné (téměř jistě otevřené) autentizaci klienta přístupovým bodem (společně s kontrolérem, pokud existuje), tento požádá klienta o autorizaci (potvrzení jeho oprávnění) s infrastrukturou RADIUS serverem:

Používání WPA2 Enterprise vyžaduje ve vaší síti server RADIUS. V současné době jsou nejúčinnějšími produkty:

Microsoft Network Policy Server (NPS), bývalý IAS- konfigurováno přes MMC, zdarma, ale musíte si koupit Windows
Cisco Secure Access Control Server (ACS) 4.2, 5.3- konfigurováno přes webové rozhraní, sofistikované ve funkčnosti, umožňuje vytvářet distribuované systémy odolné proti chybám, drahé
FreeRADIUS- zdarma, konfigurováno pomocí textových konfigurací, není vhodné pro správu a monitorování

Správce v tomto případě pečlivě sleduje probíhající výměnu informací a čeká na úspěšnou autorizaci nebo zamítnutí. V případě úspěchu je server RADIUS schopen přenést další parametry do přístupového bodu (například do které VLAN umístit účastníka, jakou IP adresu přidělit, profil QoS atd.). Na konci výměny umožňuje server RADIUS klientovi a přístupovému bodu generovat a vyměňovat si šifrovací klíče (individuální, platné pouze pro tuto relaci):

EAP

Samotný protokol EAP je založen na kontejnerech, což znamená, že vlastní autorizační mechanismus je ponechán na interních protokolech. V současné době byly významně distribuovány následující položky:

EAP-RYCHLE(Flexible Authentication via Secure Tunneling) – vyvinut společností Cisco; umožňuje autorizaci pomocí přihlašovacího jména a hesla přenášeného v tunelu TLS mezi žadatelem a serverem RADIUS
EAP-TLS(Zabezpečení transportní vrstvy). Používá infrastrukturu veřejných klíčů (PKI) k autorizaci klienta a serveru (předmět a server RADIUS) prostřednictvím certifikátů vydaných důvěryhodnou certifikační autoritou (CA). Vyžaduje vydání a instalaci klientských certifikátů na každé bezdrátové zařízení, takže je vhodný pouze pro spravované podnikové prostředí. Certifikační server Windows má zařízení, která klientovi umožňují generovat vlastní certifikát, pokud je klient členem domény. Zablokování klienta lze snadno provést revokací jeho certifikátu (nebo prostřednictvím účtů).
EAP-TTLS(Tunneled Transport Layer Security) je podobný EAP-TLS, ale při vytváření tunelu nevyžaduje klientský certifikát. V takovém tunelu, podobně jako u SSL připojení prohlížeče, se provádí další autorizace (pomocí hesla nebo něčeho jiného).
PEAP-MSCHAPv2(Protected EAP) – podobný EAP-TTLS, pokud jde o počáteční vytvoření šifrovaného tunelu TLS mezi klientem a serverem, který vyžaduje certifikát serveru. Následně v takovém tunelu probíhá autorizace pomocí známého protokolu MSCHAPv2.
PEAP-GTC(Generic Token Card) – podobná předchozí, ale vyžaduje karty s jednorázovým heslem (a odpovídající infrastrukturu)

Všechny tyto metody (kromě EAP-FAST) vyžadují certifikát serveru (na serveru RADIUS) vydaný certifikační autoritou (CA). V tomto případě musí být samotný certifikát CA přítomen na klientském zařízení v důvěryhodné skupině (což lze snadno implementovat pomocí zásad skupiny ve Windows). EAP-TLS navíc vyžaduje individuální klientský certifikát. Autenticita klienta je ověřena jak digitálním podpisem, tak (volitelně) porovnáním certifikátu poskytnutého klientem serveru RADIUS s tím, co server získal z infrastruktury PKI (Active Directory).

Podporu pro kteroukoli z metod EAP musí poskytovat žadatel na straně klienta. Standardní vestavěný Windows XP/Vista/7, iOS, Android poskytuje alespoň EAP-TLS a EAP-MSCHAPv2, díky čemuž jsou tyto metody populární. Klientské adaptéry Intel pro Windows jsou dodávány s nástrojem ProSet, který rozšiřuje dostupný seznam. Cisco AnyConnect Client dělá totéž.

Jak je to spolehlivé?

Koneckonců, co je potřeba k tomu, aby útočník hacknul vaši síť?

Pro Open Authentication, No Encryption – nic. Připojeno k síti a je to. Protože je rádiové médium otevřené, signál se šíří různými směry a není snadné jej zablokovat. Pokud máte příslušné klientské adaptéry, které vám umožňují poslouchat vzduch, je síťový provoz viditelný stejným způsobem, jako kdyby se útočník připojil k drátu, k rozbočovači, k portu SPAN přepínače.
Šifrování založené na WEP vyžaduje pouze IV hrubou sílu a jeden z mnoha volně dostupných skenovacích nástrojů.
Pro šifrování založené na TKIP nebo AES je přímé dešifrování teoreticky možné, ale v praxi se nevyskytly žádné případy hackování.

Samozřejmě můžete zkusit uhodnout PSK klíč nebo heslo pro některou z metod EAP. Nejsou známy žádné běžné útoky proti těmto metodám. Můžete zkusit využít metody sociálního inženýrství, popř

Základy

Jakákoli interakce mezi přístupovým bodem (sítí) a bezdrátovým klientem je založena na:

Autentizace- jak se klient a přístupový bod navzájem představí a potvrdí, že mají právo spolu komunikovat;
Šifrování- jaký šifrovací algoritmus se používá pro přenášená data, jak je generován šifrovací klíč a kdy se mění.

OTEVŘENO- tzv. otevřená síť, ve které jsou všechna připojená zařízení okamžitě autorizována
Sdíleno- pravost připojeného zařízení musí být ověřena klíčem/heslem
EAP- pravost připojeného zařízení musí být ověřena pomocí protokolu EAP externím serverem

Žádný- žádné šifrování, data jsou přenášena v čistém textu
WEP- šifra založená na algoritmu RC4 s různými délkami statického nebo dynamického klíče (64 nebo 128 bitů)
CKIP- proprietární náhrada za Cisco WEP, ranou verzi TKIP
TKIP- Vylepšená náhrada WEP s dalšími kontrolami a ochranou
AES/CCMP- nejpokročilejší algoritmus založený na AES256 s dalšími kontrolami a ochranou

Šifrování WEP je kompromitován a nelze jej použít (ani v případě dynamických klíčů).

Všechny možné bezpečnostní parametry jsou shrnuty na tomto štítku:

Vlastnictví	Statické WEP	Dynamický WEP	WPA	WPA 2 (Enterprise)
Identifikace	Uživatel, počítač, karta WLAN	Uživatel, počítač	Uživatel, počítač	Uživatel, počítač
Povolení	Sdílený klíč	EAP	EAP nebo sdílený klíč	EAP nebo sdílený klíč
Integrita	32bitová hodnota kontroly integrity (ICV)	32bitové ICV	64bitový kód integrity zprávy (MIC)	CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code – CCM) Součást AES
Šifrování	Statický klíč	Klíč relace	Klíč pro paket přes TKIP	CCMP (AES)
Distribuce klíčů	Jednorázové, manuální	Segment PMK (Pair-wise Master Key).	Odvozeno od PMK	Odvozeno od PMK
Inicializační vektor	Text, 24 bitů	Text, 24 bitů	Pokročilý vektor, 65 bitů	48bitové číslo paketu (PN)
Algoritmus	RC4	RC4	RC4	AES
Délka klíče, bity	64/128	64/128	128	až 256
Požadovaná infrastruktura	Žádný	POLOMĚR	POLOMĚR	POLOMĚR

Zatímco WPA2 Personal (WPA2 PSK) je jasný, podnikové řešení vyžaduje další zvážení.

WPA2 Enterprise

Používání WPA2 Enterprise vyžaduje ve vaší síti server RADIUS. V současné době jsou nejúčinnějšími produkty:

Microsoft Network Policy Server (NPS), bývalý IAS- konfigurováno přes MMC, zdarma, ale musíte si koupit Windows
Cisco Secure Access Control Server (ACS) 4.2, 5.3- lze konfigurovat přes webové rozhraní, je funkčně propracovaný, umožňuje vytvářet distribuované a chybově odolné systémy, je drahý
FreeRADIUS- zdarma, konfigurováno pomocí textových konfigurací, není vhodné pro správu a monitorování

EAP

Samotný protokol EAP je založen na kontejnerech, což znamená, že skutečný mechanismus autorizace je ponechán na interních protokolech. V současné době byly významně distribuovány následující položky:

EAP-RYCHLE(Flexible Authentication via Secure Tunneling) – vyvinut společností Cisco; umožňuje autorizaci pomocí přihlašovacího jména a hesla přenášeného v tunelu TLS mezi žadatelem a serverem RADIUS
EAP-TLS(Zabezpečení transportní vrstvy). Používá infrastrukturu veřejných klíčů (PKI) k autorizaci klienta a serveru (předmět a server RADIUS) prostřednictvím certifikátů vydaných důvěryhodnou certifikační autoritou (CA). Vyžaduje vydání a instalaci klientských certifikátů na každé bezdrátové zařízení, takže je vhodný pouze pro spravované podnikové prostředí. Certifikační server Windows má zařízení, která klientovi umožňují generovat vlastní certifikát, pokud je klient členem domény. Zablokování klienta lze snadno provést revokací jeho certifikátu (nebo prostřednictvím účtů).
EAP-TTLS(Tunneled Transport Layer Security) je podobný EAP-TLS, ale při vytváření tunelu nevyžaduje klientský certifikát. V takovém tunelu, podobně jako u SSL připojení prohlížeče, se provádí další autorizace (pomocí hesla nebo něčeho jiného).
PEAP-MSCHAPv2(Protected EAP) – podobný EAP-TTLS, pokud jde o počáteční vytvoření šifrovaného tunelu TLS mezi klientem a serverem, který vyžaduje certifikát serveru. Následně v takovém tunelu probíhá autorizace pomocí známého protokolu MSCHAPv2.
PEAP-GTC(Generic Token Card) – podobná předchozí, ale vyžaduje karty s jednorázovým heslem (a odpovídající infrastrukturu)

Jak je to spolehlivé?

Koneckonců, co je potřeba k tomu, aby útočník hacknul vaši síť?

Samozřejmě můžete zkusit uhodnout PSK klíč nebo heslo pro některou z metod EAP. Nejsou známy žádné běžné útoky proti těmto metodám. Můžete zkusit použít metody sociálního inženýrství nebo termorektální kryptoanalýzu.

Přístup k síti chráněné EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 můžete získat pouze v případě, že znáte přihlašovací heslo uživatele (hackování jako takové je nemožné). Útoky hrubou silou hesla nebo útoky zaměřené na zranitelnosti v MSCHAP také nejsou možné nebo obtížné kvůli skutečnosti, že kanál EAP klient-server je chráněn šifrovaným tunelem.

Přístup do sítě uzavřené pomocí PEAP-GTC je možný buď hacknutím tokenového serveru, nebo odcizením tokenu spolu s jeho heslem.

Přístup do sítě uzavřené pomocí EAP-TLS je možný odcizením uživatelského certifikátu (samozřejmě spolu s jeho soukromým klíčem) nebo vydáním platného, ale falešného certifikátu. To je možné pouze v případě ohrožení certifikačního centra, které je v běžných společnostech chráněno jako nejcennější IT zdroj.

Vzhledem k tomu, že všechny výše uvedené metody (kromě PEAP-GTC) umožňují ukládání (cachování) hesel/certifikátů, při krádeži mobilního zařízení získá útočník plný přístup bez jakýchkoli dotazů ze sítě. Preventivně lze využít plné šifrování pevného disku s požadavkem na heslo při zapnutí zařízení.

Pamatujte: se správným designem může být bezdrátová síť velmi bezpečná; Neexistují žádné prostředky k hacknutí takové sítě (do určité míry)

Dnes má mnoho lidí doma Wi-Fi router. Bezdrátově je totiž mnohem jednodušší připojit k internetu notebook, tablet a chytrý telefon, kterých je v každé rodině více než lidí. A on (směrovač) je v podstatě bránou do informačního vesmíru. Přečtěte si přední dveře. A na těchto dveřích záleží, zda k vám bez vašeho svolení přijde nezvaný host. Proto je velmi důležité dbát na správnou konfiguraci routeru, aby vaše bezdrátová síť nebyla zranitelná.

Myslím, že vám nemusím připomínat, že skrytí SSID přístupového bodu vás nechrání. Omezení přístupu pomocí MAC adresy není účinné. Proto pouze moderní metody šifrování a složité heslo.

Proč šifrovat? kdo mě potřebuje? Nemám co skrývat

Není to tak děsivé, když ukradnou PIN kód z vaší kreditní karty a vyberou z ní všechny peníze. Navíc, pokud někdo surfuje po internetu na vaše náklady, zná heslo Wi-Fi. A není to tak děsivé, když zveřejní vaše fotky z firemních večírků, kde vypadáte nevzhledně. Mnohem urážlivější je, když se vám útočníci dostanou do počítače a smažou fotky, jak jste vyzvedli syna z porodnice, jak udělal první krůčky a šel do první třídy. Samostatným tématem jsou zálohy, ty je samozřejmě potřeba udělat... Časem se vám ale může obnovit pověst, vydělat peníze, ale fotografie, které jsou vám drahé, už tam nejsou. Myslím, že každý má něco, o co nechce přijít.
Váš router je hraniční zařízení mezi soukromým a veřejným, takže se ujistěte, že je plně chráněno. Navíc to není tak těžké.

Šifrovací technologie a algoritmy

Teorii vynechávám. Nezáleží na tom, jak to funguje, hlavní věcí je vědět, jak to používat.
Bezdrátové bezpečnostní technologie vyvinuté v následujícím chronologickém pořadí: WEP, WPA, WPA2. Vyvinuly se také šifrovací metody RC4, TKIP, AES.
Nejlepší z hlediska zabezpečení je dnes kombinace WPA2-AES. Přesně takto byste se měli pokusit nakonfigurovat Wi-Fi. Mělo by to vypadat nějak takto:

WPA2 je povinné od 16. března 2006. Ale někdy můžete stále najít zařízení, které to nepodporuje. Zejména pokud máte na počítači nainstalovaný systém Windows XP bez 3. aktualizace service pack, nebude WPA2 fungovat. Z důvodu kompatibility proto na routerech najdete možnosti konfigurace WPA2-PSK -> AES+TKIP a další zvěřinec.
Pokud je ale vaše flotila zařízení moderní, pak je lepší použít jako dnes nejbezpečnější možnost WPA2 (WPA2-PSK) -> AES.

Jaký je rozdíl mezi WPA (WPA2) a WPA-PSK (WPA2-PSK)

Standard WPA poskytuje Extensible Authentication Protocol (EAP) jako základ pro mechanismus ověřování uživatele. Nezbytnou podmínkou autentizace je předložení uživatelem certifikátu (jinak nazývaného pověření) potvrzujícího jeho oprávnění k přístupu do sítě. Pro získání tohoto práva je uživatel ověřen proti speciální databázi registrovaných uživatelů. Bez ověření bude uživateli zakázáno používat síť. Registrovaná uživatelská základna a ověřovací systém ve velkých sítích jsou obvykle umístěny na speciálním serveru (nejčastěji RADIUS).
Režim zjednodušeného předsdíleného klíče (WPA-PSK, WPA2-PSK) umožňuje používat jedno heslo, které je uloženo přímo v routeru. Na jednu stranu je vše zjednodušeno, není potřeba vytvářet a udržovat uživatelskou základnu, na druhou stranu se všichni přihlašují stejným heslem.
Doma je vhodnější používat WPA2-PSK, tedy zjednodušený režim standardu WPA. Zabezpečení Wi-Fi tímto zjednodušením netrpí.

Heslo pro přístup k Wi-Fi

Všechno je zde jednoduché. Heslo pro váš bezdrátový přístupový bod (směrovač) musí mít více než 8 znaků a musí obsahovat různá písmena, čísla a interpunkční znaménka. A neměl by s vámi být nijak spojován. To znamená, že data narození, vaše jména, čísla aut, telefonní čísla atd. nelze použít jako heslo.
Protože je téměř nemožné prolomit WPA2-AES čelně (v laboratorních podmínkách bylo simulováno pouze několik případů), hlavními metodami prolomení WPA2 jsou slovníkový útok a hrubá síla (sekvenční prohledávání všech možností hesla). Proto čím složitější heslo, tím menší šanci mají útočníci.

... v SSSR se na nádražích rozšířily automatické skříňky. Kód zámku byl jedno písmeno a tři čísla. Málokdo však ví, že první verze úložných skříněk používala jako kombinaci kódu 4 číslice. Zdá se, jaký je v tom rozdíl? Ostatně i počet kombinací kódů je stejný – 10 000 (deset tisíc). Ale jak ukázala praxe (zejména Moskevské kriminalistické oddělení), když byl člověk požádán, aby použil kombinaci 4 číslic jako heslo k buňce s úložnými prostory, mnoho lidí použilo svůj rok narození (aby nezapomněli ). To, co útočníci docela úspěšně využili. Ostatně byly známy první dvě číslice v datu narození naprosté většiny obyvatel země - 19. Zbývá jen od oka určit přibližný věk odbavujícího zavazadla a to zvládne každý z nás s přesností +/- 3 roky a ve zbytku dostaneme (přesněji útočníci) méně 10 kombinací pro výběr přístupového kódu do automatické úložné skříňky...

Nejoblíbenější heslo

Lidská lenost a nezodpovědnost si vybírá svou daň. Zde je seznam nejoblíbenějších hesel:

123456
qwerty
111111
123123
1a2b3c
Datum narození
Číslo mobilního telefonu

Bezpečnostní pravidla při vytváření hesla

Každému jeho. To znamená, že heslo routeru by se nemělo shodovat s žádným jiným heslem, které máte. Například z pošty. Stanovte si pravidlo, že všechny účty mají svá vlastní hesla a všechna jsou jiná.
Používejte silná hesla, která nelze uhodnout. Například: 2Rk7-kw8Q11vlOp0

Heslo k Wi-Fi má jednu obrovskou výhodu. Nemusíte si to pamatovat. Můžete to napsat na kus papíru a přilepit na spodní část routeru.

Wi-Fi zóna pro hosty

Pokud vám váš router umožňuje uspořádat oblast pro hosty. Pak to určitě udělejte. Přirozeně jej chráníte pomocí WPA2 a silného hesla. A teď, když k vám domů přijdou přátelé a požádají vás o přístup k internetu, nemusíte jim říkat své hlavní heslo. Navíc je zóna pro hosty v routerech izolována od hlavní sítě. A jakékoli problémy se zařízeními vašich hostů neovlivní vaši domácí síť.

Často vyvstává otázka: jaký typ šifrování Wi-Fi zvolit pro váš domácí router. Může se to zdát jako maličkost, ale při nesprávných parametrech mohou nastat problémy se sítí a dokonce i s přenosem informací přes ethernetový kabel.

Proto se zde podíváme na to, jaké typy šifrování dat podporují moderní WiFi routery a jak se liší typ šifrování aes od populárních wpa a wpa2.

Typ šifrování bezdrátové sítě: jak vybrat způsob zabezpečení?

Celkem tedy existují 3 typy šifrování:

1. Šifrování WEP

Typ šifrování WEP se objevil již v 90. letech a byl první možností pro ochranu sítí Wi-Fi: byl umístěn jako analog šifrování v drátových sítích a používal šifru RC4. Existovaly tři běžné šifrovací algoritmy pro přenášená data – Neesus, Apple a MD5 – ale každý z nich neposkytoval požadovanou úroveň zabezpečení. V roce 2004 IEEE prohlásilo standard za zastaralý, protože konečně přestal poskytovat zabezpečená síťová připojení. V tuto chvíli se nedoporučuje používat tento typ šifrování pro wifi, protože... není šifrovací.

2.WPS je standard, který nestanoví použití . Pro připojení k routeru stačí kliknout na příslušné tlačítko, které jsme podrobně popsali v článku.

WPS teoreticky umožňuje připojení k přístupovému bodu pomocí osmimístného kódu, ale v praxi často stačí pouze čtyři.

Tohoto faktu snadno využívá řada hackerů, kteří rychle (za 3 - 15 hodin) hacknou wifi sítě, takže použití tohoto připojení se také nedoporučuje.

3.Typ šifrování WPA/WPA2

S šifrováním WPA je to mnohem lepší. Místo zranitelné šifry RC4 je zde použito šifrování AES, kde délka hesla je libovolná hodnota (8 - 63 bitů). Tento typ šifrování poskytuje normální úroveň zabezpečení a je docela vhodný pro jednoduché wifi routery. Existují dva typy:

Typ PSK (Pre-Shared Key) – připojení k přístupovému bodu se provádí pomocí předem definovaného hesla.
- Enterprise – heslo pro každý uzel je generováno automaticky a kontrolováno na serverech RADIUS.

Typ šifrování WPA2 je pokračováním WPA s vylepšeními zabezpečení. Tento protokol používá RSN, které je založeno na šifrování AES.

Stejně jako šifrování WPA má i WPA2 dva provozní režimy: PSK a Enterprise.

Od roku 2006 je typ šifrování WPA2 podporován všemi zařízeními Wi-Fi a pro jakýkoli router lze zvolit odpovídající geo.

Výhody šifrování WPA2 oproti WPA:

Šifrovací klíče jsou generovány během procesu připojení k routeru (místo statických);
- Použití Michaelova algoritmu k řízení integrity přenášených zpráv
- Použití inicializačního vektoru výrazně větší délky.
Kromě toho byste měli zvolit typ šifrování Wi-Fi v závislosti na tom, kde se váš router používá:

Šifrování WEP, TKIP a CKIP by se nemělo používat vůbec;

Pro domácí přístupový bod je WPA/WPA2 PSK docela vhodný;

K tomu byste měli zvolit WPA/WPA2 Enterprise.

Oblíbené v kategorii: