El teléfono (tableta) no se conecta a Wi-Fi, dice "Guardado, protección WPA\WPA2". Cifrado de Wi-Fi: qué protocolo elegir

El teléfono (tableta) no se conecta a Wi-Fi, dice "Guardado, protección WPA\WPA2". Cifrado de Wi-Fi: qué protocolo elegir

Para proteger su red Wi-Fi y establecer una contraseña, debe seleccionar el tipo de seguridad de la red inalámbrica y el método de cifrado. Y en esta etapa, mucha gente tiene una pregunta: ¿cuál elegir? ¿WEP, WPA o WPA2? ¿Personal o Empresarial? ¿AES o TKIP? ¿Qué configuraciones de seguridad protegerán mejor su red Wi-Fi? Intentaré responder a todas estas preguntas en el marco de este artículo. Consideremos todos los métodos posibles de autenticación y cifrado. Averigüemos qué parámetros de seguridad de la red Wi-Fi se configuran mejor en la configuración del enrutador.

Tenga en cuenta que el tipo de seguridad, o autenticación, autenticación de red, seguridad y método de autenticación son todos lo mismo.

El tipo de autenticación y el cifrado son las principales configuraciones de seguridad para una red Wi-Fi inalámbrica. Creo que primero debemos averiguar qué son, qué versiones hay, sus capacidades, etc. Después de lo cual descubriremos qué tipo de protección y cifrado elegir. Te lo mostraré usando el ejemplo de varios enrutadores populares.

Recomiendo encarecidamente configurar una contraseña y proteger su red inalámbrica. Establezca el nivel máximo de protección. Si deja la red abierta, sin protección, cualquiera podrá conectarse a ella. Esto es principalmente inseguro. Y también una carga extra en tu router, una caída en la velocidad de conexión y todo tipo de problemas al conectar diferentes dispositivos.

Protección de red Wi-Fi: WEP, WPA, WPA2

Hay tres opciones de protección. Eso sí, sin contar “Open” (Sin protección).

  • WEP(Privacidad equivalente por cable) es un método de autenticación obsoleto e inseguro. Este es el primer método de protección y no muy exitoso. Los atacantes pueden acceder fácilmente a redes inalámbricas protegidas mediante WEP. No es necesario configurar este modo en la configuración de su enrutador, aunque está presente allí (no siempre).
  • WPA(Acceso protegido Wi-Fi) es un tipo de seguridad confiable y moderno. Máxima compatibilidad con todos los dispositivos y sistemas operativos.
  • WPA2– una versión nueva, mejorada y más confiable de WPA. Hay soporte para el cifrado AES CCMP. Por el momento, esta es la mejor forma de proteger una red Wi-Fi. Esto es lo que recomiendo usar.

WPA/WPA2 puede ser de dos tipos:

  • WPA/WPA2 - Personal (PSK)- Este es el método de autenticación habitual. Cuando solo necesita establecer una contraseña (clave) y luego usarla para conectarse a una red Wi-Fi. Se utiliza la misma contraseña para todos los dispositivos. La contraseña en sí se almacena en los dispositivos. Dónde podrás verlo o cambiarlo si es necesario. Se recomienda utilizar esta opción.
  • WPA/WPA2 - Empresa- un método más complejo que se utiliza principalmente para proteger redes inalámbricas en oficinas y diversos establecimientos. Permite un mayor nivel de protección. Se usa solo cuando se instala un servidor RADIUS para autorizar dispositivos (que da contraseñas).

Creo que hemos descubierto el método de autenticación. Lo mejor que puedes usar es WPA2 - Personal (PSK). Para una mejor compatibilidad, para que no haya problemas al conectar dispositivos más antiguos, puede configurar el modo mixto WPA/WPA2. Esta es la configuración predeterminada en muchos enrutadores. O marcado como "Recomendado".

Cifrado de red inalámbrica

Hay dos maneras TKIP Y AES.

Se recomienda utilizar AES. Si tiene dispositivos más antiguos en su red que no admiten el cifrado AES (pero solo TKIP) y habrá problemas para conectarlos a la red inalámbrica, configúrelo en "Auto". El tipo de cifrado TKIP no se admite en el modo 802.11n.

En cualquier caso, si instala estrictamente WPA2 - Personal (recomendado), solo estará disponible el cifrado AES.

¿Qué protección debo instalar en mi router Wi-Fi?

Usar WPA2 - Personal con cifrado AES. Hoy en día, esta es la mejor y más segura forma. Así es como se ven las configuraciones de seguridad de la red inalámbrica en los enrutadores ASUS:

Y así lucen estas configuraciones de seguridad en los routers de TP-Link (con firmware antiguo).

Puede ver instrucciones más detalladas para TP-Link.

Instrucciones para otros enrutadores:

Si no sabes dónde encontrar todas estas configuraciones en tu enrutador, escribe en los comentarios, intentaré decírtelo. No olvides especificar el modelo.

Dado que es posible que los dispositivos más antiguos (adaptadores Wi-Fi, teléfonos, tabletas, etc.) no admitan WPA2 - Personal (AES), en caso de problemas de conexión, configure el modo mixto (Auto).

A menudo noto que después de cambiar la contraseña u otras configuraciones de seguridad, los dispositivos no quieren conectarse a la red. Las computadoras pueden recibir el error "La configuración de red guardada en esta computadora no cumple con los requisitos de esta red". Intente eliminar (olvidar) la red en el dispositivo y conectarse nuevamente. Escribí cómo hacer esto en Windows 7. Pero en Windows 10 necesitas.

Contraseña (clave) WPA PSK

Cualquiera que sea el tipo de método de seguridad y cifrado que elija, debe establecer una contraseña. También conocida como clave WPA, contraseña inalámbrica, clave de seguridad de red Wi-Fi, etc.

La longitud de la contraseña es de 8 a 32 caracteres. Puedes utilizar letras del alfabeto latino y números. También caracteres especiales: - @ $ # ! etc. ¡Sin espacios! ¡La contraseña distingue entre mayúsculas y minúsculas! Esto significa que "z" y "Z" son caracteres diferentes.

No recomiendo establecer contraseñas simples. Es mejor crear una contraseña segura que nadie pueda adivinar, incluso si se esfuerza.

Es poco probable que pueda recordar una contraseña tan compleja. Sería bueno escribirlo en alguna parte. No es raro que simplemente se olviden las contraseñas de Wi-Fi. Escribí en el artículo qué hacer en tales situaciones: .

Si necesita aún más seguridad, puede utilizar el enlace de dirección MAC. Es cierto que no veo la necesidad de esto. WPA2: personal emparejado con AES y una contraseña compleja es suficiente.

¿Cómo proteges tu red Wi-Fi? Escribe en los comentarios. Bueno, haz preguntas :)

Recientemente han aparecido muchas publicaciones “reveladoras” sobre el hackeo de otro protocolo o tecnología que compromete la seguridad de las redes inalámbricas. ¿Es esto realmente así? ¿A qué debería tener miedo y cómo puede garantizar que el acceso a su red sea lo más seguro posible? ¿Las palabras WEP, WPA, 802.1x, EAP, PKI significan poco para usted? Esta breve descripción ayudará a reunir todas las tecnologías de autorización de acceso por radio y cifrado utilizadas. Intentaré mostrar que una red inalámbrica correctamente configurada representa una barrera insuperable para un atacante (hasta cierto límite, por supuesto).

Lo esencial

Cualquier interacción entre un punto de acceso (red) y un cliente inalámbrico se basa en:
  • Autenticación- cómo el cliente y el punto de acceso se presentan y confirman que tienen derecho a comunicarse entre sí;
  • Cifrado- qué algoritmo de codificación se utiliza para los datos transmitidos, cómo se genera la clave de cifrado y cuándo cambia.

Los parámetros de una red inalámbrica, principalmente su nombre (SSID), son anunciados periódicamente por el punto de acceso en paquetes de balizas de difusión. Además de las configuraciones de seguridad esperadas, se transmiten solicitudes de QoS, parámetros 802.11n, velocidades admitidas, información sobre otros vecinos, etc. La autenticación determina cómo se presenta el cliente al grano. Posibles opciones:

  • Abierto- una llamada red abierta en la que todos los dispositivos conectados están autorizados inmediatamente
  • Compartido- la autenticidad del dispositivo conectado debe verificarse con una clave/contraseña
  • PAE- la autenticidad del dispositivo conectado debe ser verificada mediante el protocolo EAP por un servidor externo
La apertura de la red no significa que cualquiera pueda trabajar con ella impunemente. Para transmitir datos en dicha red, el algoritmo de cifrado utilizado debe coincidir y, en consecuencia, la conexión cifrada debe establecerse correctamente. Los algoritmos de cifrado son:
  • Ninguno- sin cifrado, los datos se transmiten en texto claro
  • WEP- cifrado basado en el algoritmo RC4 con diferentes longitudes de clave estáticas o dinámicas (64 o 128 bits)
  • CKIP- reemplazo propietario para WEP de Cisco, versión anterior de TKIP
  • TKIP- Reemplazo WEP mejorado con controles y protección adicionales
  • AES/CCMP- el algoritmo más avanzado basado en AES256 con comprobaciones y protección adicionales

Combinación Autenticación abierta, sin cifrado ampliamente utilizado en sistemas de acceso para invitados, como proporcionar Internet en una cafetería u hotel. Para conectarse, sólo necesita saber el nombre de la red inalámbrica. A menudo, dicha conexión se combina con una verificación adicional en el portal cautivo redirigiendo la solicitud HTTP del usuario a una página adicional donde puede solicitar confirmación (contraseña de inicio de sesión, acuerdo con las reglas, etc.).

Cifrado WEP está comprometido y no se puede utilizar (incluso en el caso de claves dinámicas).

Términos que aparecen comúnmente WPA Y WPA2 determinar, de hecho, el algoritmo de cifrado (TKIP o AES). Debido a que los adaptadores de cliente admiten WPA2 (AES) desde hace bastante tiempo, no tiene sentido utilizar el cifrado TKIP.

diferencia entre WPA2Personal Y WPA2 empresarial Es de donde provienen las claves de cifrado utilizadas en la mecánica del algoritmo AES. Para aplicaciones privadas (domésticas, pequeñas), se utiliza una clave estática (contraseña, palabra clave, PSK (clave precompartida)) con una longitud mínima de 8 caracteres, que se establece en la configuración del punto de acceso y es la misma para todos los clientes de una red inalámbrica determinada. El compromiso de dicha clave (le contaron la verdad a un vecino, despidieron a un empleado, robaron una computadora portátil) requiere un cambio inmediato de contraseña para todos los usuarios restantes, lo cual solo es realista si hay un número pequeño de ellos. Para aplicaciones corporativas, como su nombre indica, se utiliza una clave dinámica, individual para cada cliente que se ejecuta actualmente. Esta clave se puede actualizar periódicamente durante el funcionamiento sin interrumpir la conexión, y un componente adicional es responsable de su generación: el servidor de autorización, y casi siempre es un servidor RADIUS.

Todos los parámetros de seguridad posibles se resumen en esta placa:

Propiedad WEP estático WEP dinámico WPA WPA 2 (empresarial)
Identificación Usuario, ordenador, tarjeta WLAN Usuario, computadora
Usuario, computadora
Usuario, computadora
Autorización
Clave compartida

PAE

EAP o clave compartida

EAP o clave compartida

Integridad

Valor de verificación de integridad (ICV) de 32 bits

ICV de 32 bits

Código de integridad de mensajes (MIC) de 64 bits

CRT/CBC-MAC (Código de autenticación de encadenamiento de bloques de cifrado en modo contador - CCM) Parte de AES

Cifrado

clave estática

Clave de sesión

Clave por paquete a través de TKIP

CCMP (AES)

Distribución de claves

Único, manual

Segmento de clave maestra por pares (PMK)

Derivado de PMK

Derivado de PMK

Vector de inicialización

Texto, 24 bits

Texto, 24 bits

Vectorial avanzado, 65 bits

Número de paquete de 48 bits (PN)

Algoritmo

RC4

RC4

RC4

AES

Longitud de clave, bits

64/128
64/128
128
hasta 256

Infraestructura requerida

No

RADIO

RADIO

RADIO

Si bien WPA2 Personal (WPA2 PSK) es claro, una solución empresarial requiere mayor consideración.

WPA2 empresarial



Aquí estamos tratando con un conjunto adicional de protocolos diferentes. En el lado del cliente, un componente de software especial, el solicitante (normalmente parte del sistema operativo), interactúa con la parte de autorización, el servidor AAA. Este ejemplo muestra el funcionamiento de una red de radio unificada construida sobre puntos de acceso livianos y un controlador. En el caso de utilizar puntos de acceso con “cerebro”, todo el papel de intermediario entre el cliente y el servidor puede ser asumido por el propio punto. En este caso, los datos del cliente solicitante se transmiten a través de una radio formada en el protocolo 802.1x (EAPOL) y, en el lado del controlador, se envuelven en paquetes RADIUS.

El uso del mecanismo de autorización EAP en su red conduce al hecho de que después de una autenticación exitosa (casi con seguridad abierta) del cliente por parte del punto de acceso (junto con el controlador, si lo hay), este último solicita al cliente que autorice (confirme su autoridad). con el servidor RADIUS de infraestructura:

Uso WPA2 empresarial requiere un servidor RADIUS en su red. Actualmente, los productos más eficientes son los siguientes:

  • Servidor de políticas de red de Microsoft (NPS), antiguo IAS- configurado vía MMC, gratis, pero necesitas comprar Windows
  • Servidor de control de acceso seguro (ACS) de Cisco 4.2, 5.3- configurado a través de una interfaz web, de funcionalidad sofisticada, le permite crear sistemas distribuidos y tolerantes a fallas, costosos
  • GratisRADIUS- gratuito, configurado mediante configuraciones de texto, no es conveniente de administrar y monitorear

En este caso, el responsable del tratamiento supervisa atentamente el intercambio de información en curso y espera que se autorice o rechace con éxito. Si tiene éxito, el servidor RADIUS puede transferir parámetros adicionales al punto de acceso (por ejemplo, en qué VLAN colocar al suscriptor, qué dirección IP asignar, perfil de QoS, etc.). Al finalizar el intercambio, el servidor RADIUS permite al cliente y al punto de acceso generar e intercambiar claves de cifrado (individuales, válidas sólo para esta sesión):

PAE

El protocolo EAP en sí está basado en contenedores, lo que significa que el mecanismo de autorización real se deja en manos de protocolos internos. Por el momento, los siguientes han recibido una distribución significativa:
  • EAP-RÁPIDO(Autenticación flexible mediante túnel seguro): desarrollado por Cisco; permite la autorización mediante un nombre de usuario y contraseña transmitidos dentro del túnel TLS entre el solicitante y el servidor RADIUS
  • EAP-TLS(Seguridad de la capa de transporte). Utiliza una infraestructura de clave pública (PKI) para autorizar al cliente y al servidor (sujeto y servidor RADIUS) a través de certificados emitidos por una autoridad de certificación (CA) de confianza. Requiere emitir e instalar certificados de cliente en cada dispositivo inalámbrico, por lo que solo es adecuado para un entorno corporativo administrado. El servidor de certificados de Windows tiene funciones que permiten al cliente generar su propio certificado si el cliente es miembro de un dominio. El bloqueo de un cliente se puede realizar fácilmente revocando su certificado (o mediante cuentas).
  • EAP-TTLS(Tunneled Transport Layer Security) es similar a EAP-TLS, pero no requiere un certificado de cliente al crear un túnel. En dicho túnel, similar a una conexión SSL de navegador, se realiza una autorización adicional (mediante una contraseña u otra cosa).
  • PEAP-MSCHAPv2(EAP protegido): similar a EAP-TTLS en que inicialmente establece un túnel TLS cifrado entre el cliente y el servidor, que requiere un certificado de servidor. Posteriormente, en dicho túnel se realiza la autorización mediante el conocido protocolo MSCHAPv2.
  • PEAP-GTC(Tarjeta token genérica): similar a la anterior, pero requiere tarjetas con contraseña de un solo uso (y la infraestructura correspondiente)

Todos estos métodos (excepto EAP-FAST) requieren un certificado de servidor (en el servidor RADIUS) emitido por una autoridad de certificación (CA). En este caso, el certificado de CA debe estar presente en el dispositivo del cliente en el grupo de confianza (lo cual es fácil de implementar mediante la Política de grupo en Windows). Además, EAP-TLS requiere un certificado de cliente individual. La autenticidad del cliente se verifica mediante una firma digital y (opcionalmente) comparando el certificado proporcionado por el cliente al servidor RADIUS con lo que el servidor recuperó de la infraestructura PKI (Active Directory).

Un suplicante del lado del cliente debe proporcionar soporte para cualquiera de los métodos EAP. El estándar integrado de Windows XP/Vista/7, iOS y Android proporciona al menos EAP-TLS y EAP-MSCHAPv2, lo que hace que estos métodos sean populares. Los adaptadores de cliente Intel para Windows vienen con la utilidad ProSet, que amplía la lista disponible. El cliente Cisco AnyConnect hace lo mismo.

¿Qué tan confiable es?

Después de todo, ¿qué se necesita para que un atacante hackee su red?

Para autenticación abierta, sin cifrado, nada. Conectado a la red y listo. Dado que el medio de radio está abierto, la señal viaja en diferentes direcciones, no es fácil bloquearla. Si tiene los adaptadores de cliente adecuados que le permiten escuchar el aire, el tráfico de la red es visible de la misma manera que si el atacante se hubiera conectado al cable, al concentrador, al puerto SPAN del conmutador.
El cifrado basado en WEP requiere sólo tiempo de fuerza bruta IV y una de las muchas utilidades de escaneo disponibles gratuitamente.
Para el cifrado basado en TKIP o AES, en teoría es posible el descifrado directo, pero en la práctica no ha habido casos de piratería.

Por supuesto, puede intentar adivinar la clave PSK o la contraseña de uno de los métodos EAP. Se desconocen los ataques comunes contra estos métodos. Puedes intentar utilizar métodos de ingeniería social, o

Recientemente han aparecido muchas publicaciones “reveladoras” sobre el hackeo de otro protocolo o tecnología que compromete la seguridad de las redes inalámbricas. ¿Es esto realmente así? ¿A qué debería tener miedo y cómo puede garantizar que el acceso a su red sea lo más seguro posible? ¿Las palabras WEP, WPA, 802.1x, EAP, PKI significan poco para usted? Esta breve descripción ayudará a reunir todas las tecnologías de autorización de acceso por radio y cifrado utilizadas. Intentaré mostrar que una red inalámbrica correctamente configurada representa una barrera insuperable para un atacante (hasta cierto límite, por supuesto).

Lo esencial

Cualquier interacción entre un punto de acceso (red) y un cliente inalámbrico se basa en:

  • Autenticación- cómo el cliente y el punto de acceso se presentan y confirman que tienen derecho a comunicarse entre sí;
  • Cifrado- qué algoritmo de codificación se utiliza para los datos transmitidos, cómo se genera la clave de cifrado y cuándo cambia.

Los parámetros de una red inalámbrica, principalmente su nombre (SSID), son anunciados periódicamente por el punto de acceso en paquetes de balizas de difusión. Además de las configuraciones de seguridad esperadas, se transmiten solicitudes de QoS, parámetros 802.11n, velocidades admitidas, información sobre otros vecinos, etc. La autenticación determina cómo se presenta el cliente al grano. Posibles opciones:

  • Abierto- una llamada red abierta en la que todos los dispositivos conectados están autorizados inmediatamente
  • Compartido- la autenticidad del dispositivo conectado debe verificarse con una clave/contraseña
  • PAE- la autenticidad del dispositivo conectado debe ser verificada mediante el protocolo EAP por un servidor externo

La apertura de la red no significa que cualquiera pueda trabajar con ella impunemente. Para transmitir datos en dicha red, el algoritmo de cifrado utilizado debe coincidir y, en consecuencia, la conexión cifrada debe establecerse correctamente. Los algoritmos de cifrado son:

  • Ninguno- sin cifrado, los datos se transmiten en texto claro
  • WEP- cifrado basado en el algoritmo RC4 con diferentes longitudes de clave estáticas o dinámicas (64 o 128 bits)
  • CKIP- reemplazo propietario para WEP de Cisco, versión anterior de TKIP
  • TKIP- Reemplazo WEP mejorado con controles y protección adicionales
  • AES/CCMP- el algoritmo más avanzado basado en AES256 con comprobaciones y protección adicionales

Combinación Autenticación abierta, sin cifrado ampliamente utilizado en sistemas de acceso para invitados, como proporcionar Internet en una cafetería u hotel. Para conectarse, sólo necesita saber el nombre de la red inalámbrica. A menudo, dicha conexión se combina con una verificación adicional en el portal cautivo redirigiendo la solicitud HTTP del usuario a una página adicional donde puede solicitar confirmación (contraseña de inicio de sesión, acuerdo con las reglas, etc.).

Cifrado WEP está comprometido y no se puede utilizar (incluso en el caso de claves dinámicas).

Términos que aparecen comúnmente WPA Y WPA2 determinar, de hecho, el algoritmo de cifrado (TKIP o AES). Debido a que los adaptadores de cliente admiten WPA2 (AES) desde hace bastante tiempo, no tiene sentido utilizar el cifrado TKIP.

diferencia entre WPA2Personal Y WPA2 empresarial Es de donde provienen las claves de cifrado utilizadas en la mecánica del algoritmo AES. Para aplicaciones privadas (domésticas, pequeñas), se utiliza una clave estática (contraseña, palabra clave, PSK (clave precompartida)) con una longitud mínima de 8 caracteres, que se establece en la configuración del punto de acceso y es la misma para todos los clientes de una red inalámbrica determinada. El compromiso de dicha clave (le contaron la verdad a un vecino, despidieron a un empleado, robaron una computadora portátil) requiere un cambio inmediato de contraseña para todos los usuarios restantes, lo cual solo es realista si hay un número pequeño de ellos. Para aplicaciones corporativas, como su nombre indica, se utiliza una clave dinámica, individual para cada cliente que se ejecuta actualmente. Esta clave se puede actualizar periódicamente durante el funcionamiento sin interrumpir la conexión, y un componente adicional es responsable de su generación: el servidor de autorización, y casi siempre es un servidor RADIUS.

Todos los parámetros de seguridad posibles se resumen en esta placa:

Propiedad WEP estático WEP dinámico WPA WPA 2 (empresarial)
Identificación Usuario, ordenador, tarjeta WLAN Usuario, computadora Usuario, computadora Usuario, computadora
Autorización Clave compartida PAE EAP o clave compartida EAP o clave compartida
Integridad Valor de verificación de integridad (ICV) de 32 bits ICV de 32 bits Código de integridad de mensajes (MIC) de 64 bits CRT/CBC-MAC (Código de autenticación de encadenamiento de bloques de cifrado en modo contador - CCM) Parte de AES
Cifrado clave estática Clave de sesión Clave por paquete a través de TKIP CCMP (AES)
Distribución de claves Único, manual Segmento de clave maestra por pares (PMK) Derivado de PMK Derivado de PMK
Vector de inicialización Texto, 24 bits Texto, 24 bits Vectorial avanzado, 65 bits Número de paquete de 48 bits (PN)
Algoritmo RC4 RC4 RC4 AES
Longitud de clave, bits 64/128 64/128 128 hasta 256
Infraestructura requerida No RADIO RADIO RADIO

Si bien WPA2 Personal (WPA2 PSK) es claro, una solución empresarial requiere mayor consideración.

WPA2 empresarial



Aquí estamos tratando con un conjunto adicional de protocolos diferentes. En el lado del cliente, un componente de software especial, el solicitante (normalmente parte del sistema operativo), interactúa con la parte de autorización, el servidor AAA. Este ejemplo muestra el funcionamiento de una red de radio unificada construida sobre puntos de acceso livianos y un controlador. En el caso de utilizar puntos de acceso con “cerebro”, todo el papel de intermediario entre el cliente y el servidor puede ser asumido por el propio punto. En este caso, los datos del cliente solicitante se transmiten a través de una radio formada en el protocolo 802.1x (EAPOL) y, en el lado del controlador, se envuelven en paquetes RADIUS.

El uso del mecanismo de autorización EAP en su red conduce al hecho de que después de una autenticación exitosa (casi con seguridad abierta) del cliente por parte del punto de acceso (junto con el controlador, si lo hay), este último solicita al cliente que autorice (confirme su autoridad). con el servidor RADIUS de infraestructura:


Uso WPA2 empresarial requiere un servidor RADIUS en su red. Actualmente, los productos más eficientes son los siguientes:

  • Servidor de políticas de red de Microsoft (NPS), antiguo IAS- configurado vía MMC, gratis, pero necesitas comprar Windows
  • Servidor de control de acceso seguro (ACS) de Cisco 4.2, 5.3- se puede configurar a través de una interfaz web, tiene una funcionalidad sofisticada, le permite crear sistemas distribuidos y tolerantes a fallas, es costoso
  • GratisRADIUS- gratuito, configurado mediante configuraciones de texto, no es conveniente de administrar y monitorear

En este caso, el responsable del tratamiento supervisa atentamente el intercambio de información en curso y espera que se autorice o rechace con éxito. Si tiene éxito, el servidor RADIUS puede transferir parámetros adicionales al punto de acceso (por ejemplo, en qué VLAN colocar al suscriptor, qué dirección IP asignar, perfil de QoS, etc.). Al finalizar el intercambio, el servidor RADIUS permite al cliente y al punto de acceso generar e intercambiar claves de cifrado (individuales, válidas sólo para esta sesión):


PAE

El protocolo EAP en sí está basado en contenedores, lo que significa que el mecanismo de autorización real se deja en manos de protocolos internos. Por el momento, los siguientes han recibido una distribución significativa:

  • EAP-RÁPIDO(Autenticación flexible mediante túnel seguro): desarrollado por Cisco; permite la autorización mediante un nombre de usuario y contraseña transmitidos dentro del túnel TLS entre el solicitante y el servidor RADIUS
  • EAP-TLS(Seguridad de la capa de transporte). Utiliza una infraestructura de clave pública (PKI) para autorizar al cliente y al servidor (sujeto y servidor RADIUS) a través de certificados emitidos por una autoridad de certificación (CA) de confianza. Requiere emitir e instalar certificados de cliente en cada dispositivo inalámbrico, por lo que solo es adecuado para un entorno corporativo administrado. El servidor de certificados de Windows tiene funciones que permiten al cliente generar su propio certificado si el cliente es miembro de un dominio. El bloqueo de un cliente se puede realizar fácilmente revocando su certificado (o mediante cuentas).
  • EAP-TTLS(Tunneled Transport Layer Security) es similar a EAP-TLS, pero no requiere un certificado de cliente al crear un túnel. En dicho túnel, similar a una conexión SSL de navegador, se realiza una autorización adicional (mediante una contraseña u otra cosa).
  • PEAP-MSCHAPv2(EAP protegido): similar a EAP-TTLS en que inicialmente establece un túnel TLS cifrado entre el cliente y el servidor, que requiere un certificado de servidor. Posteriormente, en dicho túnel se realiza la autorización mediante el conocido protocolo MSCHAPv2.
  • PEAP-GTC(Tarjeta token genérica): similar a la anterior, pero requiere tarjetas con contraseña de un solo uso (y la infraestructura correspondiente)

Todos estos métodos (excepto EAP-FAST) requieren un certificado de servidor (en el servidor RADIUS) emitido por una autoridad de certificación (CA). En este caso, el certificado de CA debe estar presente en el dispositivo del cliente en el grupo de confianza (lo cual es fácil de implementar mediante la Política de grupo en Windows). Además, EAP-TLS requiere un certificado de cliente individual. La autenticidad del cliente se verifica mediante una firma digital y (opcionalmente) comparando el certificado proporcionado por el cliente al servidor RADIUS con lo que el servidor recuperó de la infraestructura PKI (Active Directory).

Un suplicante del lado del cliente debe proporcionar soporte para cualquiera de los métodos EAP. El estándar integrado de Windows XP/Vista/7, iOS y Android proporciona al menos EAP-TLS y EAP-MSCHAPv2, lo que hace que estos métodos sean populares. Los adaptadores de cliente Intel para Windows vienen con la utilidad ProSet, que amplía la lista disponible. El cliente Cisco AnyConnect hace lo mismo.



¿Qué tan confiable es?

Después de todo, ¿qué se necesita para que un atacante hackee su red?

Para autenticación abierta, sin cifrado, nada. Conectado a la red y listo. Dado que el medio de radio está abierto, la señal viaja en diferentes direcciones, no es fácil bloquearla. Si tiene los adaptadores de cliente adecuados que le permiten escuchar el aire, el tráfico de la red es visible de la misma manera que si el atacante se hubiera conectado al cable, al concentrador, al puerto SPAN del conmutador.
El cifrado basado en WEP requiere sólo tiempo de fuerza bruta IV y una de las muchas utilidades de escaneo disponibles gratuitamente.
Para el cifrado basado en TKIP o AES, en teoría es posible el descifrado directo, pero en la práctica no ha habido casos de piratería.

Por supuesto, puede intentar adivinar la clave PSK o la contraseña de uno de los métodos EAP. Se desconocen los ataques comunes contra estos métodos. Puede intentar utilizar métodos de ingeniería social o criptoanálisis termorectal.

Puede obtener acceso a una red protegida por EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 solo si conoce la contraseña de inicio de sesión del usuario (la piratería como tal es imposible). Ataques como los de fuerza bruta o aquellos dirigidos a vulnerabilidades en MSCHAP tampoco son posibles o difíciles debido al hecho de que el canal cliente-servidor EAP está protegido por un túnel cifrado.

El acceso a una red cerrada por PEAP-GTC es posible pirateando el servidor del token o robando el token junto con su contraseña.

El acceso a una red cerrada por EAP-TLS es posible robando un certificado de usuario (junto con su clave privada, por supuesto) o emitiendo un certificado válido pero ficticio. Esto sólo es posible si se ve comprometido el centro de certificación, que en las empresas normales está protegido como el recurso informático más valioso.

Dado que todos los métodos anteriores (excepto PEAP-GTC) permiten almacenar (almacenar en caché) contraseñas/certificados, cuando se roba un dispositivo móvil, el atacante obtiene acceso completo sin preguntas de la red. Una medida preventiva puede ser el cifrado completo del disco duro solicitando una contraseña al encender el dispositivo.

Recuerde: con un diseño adecuado, una red inalámbrica puede estar muy bien protegida; No existen medios para piratear dicha red (hasta cierto punto)

Hoy en día, mucha gente tiene un router Wi-Fi en casa. Después de todo, de forma inalámbrica es mucho más fácil conectar a Internet una computadora portátil, una tableta y un teléfono inteligente, de los cuales hay más personas en cada familia. Y (el enrutador) es esencialmente la puerta de entrada al universo de la información. Lea la puerta de entrada. Y esta puerta determina si un huésped no invitado vendrá a usted sin su permiso. Por eso, es muy importante prestar atención a la correcta configuración del enrutador para que tu red inalámbrica no sea vulnerable.

No creo que sea necesario recordarte que ocultar el SSID del punto de acceso no te protege. Restringir el acceso por dirección MAC no es efectivo. Por lo tanto, sólo se utilizan métodos de cifrado modernos y una contraseña compleja.

¿Por qué cifrar? ¿Quién me necesita? no tengo nada que ocultar

No da tanto miedo si roban el código PIN de su tarjeta de crédito y retiran todo el dinero. Además, si alguien navega por Internet por tu cuenta, conociendo la contraseña de Wi-Fi. Y no da tanto miedo si publican tus fotos de fiestas corporativas en las que luces feo. Es mucho más ofensivo cuando los atacantes ingresan a su computadora y eliminan fotos de cómo recogió a su hijo del hospital de maternidad, cómo dio sus primeros pasos y pasó al primer grado. Las copias de seguridad son un tema aparte, por supuesto que es necesario hacerlas... Pero con el tiempo, su reputación puede recuperarse, puede ganar dinero, pero las fotografías que le son queridas ya no están allí. Creo que todo el mundo tiene algo que no quiere perder.
Su enrutador es un dispositivo fronterizo entre lo privado y lo público, así que asegúrese de que esté completamente protegido. Además, no es tan difícil.

Tecnologías y algoritmos de cifrado.

Dejo de lado la teoría. No importa cómo funcione, lo principal es saber utilizarlo.
Tecnologías de seguridad inalámbrica desarrolladas en el siguiente orden cronológico: WEP, WPA, WPA2. Los métodos de cifrado RC4, TKIP, AES también han evolucionado.
Lo mejor en términos de seguridad hoy en día es la combinación WPA2-AES. Así es exactamente como debes intentar configurar Wi-Fi. Debería verse así:

WPA2 es obligatorio desde el 16 de marzo de 2006. Pero a veces todavía puedes encontrar equipos que no lo soportan. En particular, si tiene Windows XP instalado en su computadora sin el tercer paquete de servicio, WPA2 no funcionará. Por tanto, por motivos de compatibilidad, en los routers puedes encontrar opciones de configuración WPA2-PSK -> AES+TKIP y otra colección de animales.
Pero si su flota de dispositivos es moderna, entonces es mejor utilizar WPA2 (WPA2-PSK) -> AES, como la opción más segura en la actualidad.

¿Cuál es la diferencia entre WPA (WPA2) y WPA-PSK (WPA2-PSK)?

El estándar WPA proporciona el Protocolo de autenticación extensible (EAP) como base para el mecanismo de autenticación del usuario. Una condición indispensable para la autenticación es la presentación por parte del usuario de un certificado (también llamado credencial) que confirme su derecho a acceder a la red. Para obtener este derecho, el usuario se verifica en una base de datos especial de usuarios registrados. Sin autenticación, el usuario tendrá prohibido utilizar la red. La base de usuarios registrados y el sistema de verificación en redes grandes generalmente se encuentran en un servidor especial (generalmente RADIUS).
El modo de clave precompartida simplificada (WPA-PSK, WPA2-PSK) le permite utilizar una contraseña, que se almacena directamente en el enrutador. Por un lado, todo está simplificado, no es necesario crear ni mantener una base de usuarios, por otro lado, todos inician sesión con la misma contraseña.
En casa es más recomendable utilizar WPA2-PSK, es decir, el modo simplificado del estándar WPA. La seguridad Wi-Fi no se ve afectada por esta simplificación.

Contraseña de acceso wifi

Aquí todo es sencillo. La contraseña de su punto de acceso inalámbrico (enrutador) debe tener más de 8 caracteres y contener letras en diferentes mayúsculas, números y signos de puntuación. Y él no debería estar asociado contigo de ninguna manera. Esto significa que las fechas de nacimiento, sus nombres, números de automóvil, números de teléfono, etc. no se pueden utilizar como contraseña.
Dado que es casi imposible descifrar WPA2-AES de frente (solo hubo un par de casos simulados en condiciones de laboratorio), los principales métodos para descifrar WPA2 son un ataque de diccionario y fuerza bruta (búsqueda secuencial de todas las opciones de contraseña). Por lo tanto, cuanto más compleja sea la contraseña, menos posibilidades tendrán los atacantes.

... en la URSS se generalizaron los armarios de almacenamiento automáticos en las estaciones de ferrocarril. El código de bloqueo era una letra y tres números. Sin embargo, pocas personas saben que la primera versión de los casilleros de almacenamiento usaba 4 dígitos como combinación de código. Parecería ¿cuál es la diferencia? Después de todo, el número de combinaciones de códigos es el mismo: 10.000 (diez mil). Pero como lo ha demostrado la práctica (especialmente el Departamento de Investigación Criminal de Moscú), cuando a una persona se le pidió que usara una combinación de 4 dígitos como contraseña para una celda de almacenamiento, muchas personas usaron su año de nacimiento (para no olvidar ). Lo que los atacantes utilizaron con bastante éxito. Después de todo, se conocían los dos primeros dígitos de la fecha de nacimiento de la mayoría absoluta de la población del país: 19. Solo queda determinar a simple vista la edad aproximada de la persona que factura el equipaje, y cualquiera de nosotros puede hacerlo. esto con una precisión de +/- 3 años, y el resto que obtenemos (más precisamente, los atacantes) son menos de 10 combinaciones para seleccionar un código de acceso a un casillero de almacenamiento automático...

Contraseña más popular

La pereza y la irresponsabilidad humanas pasan factura. Aquí hay una lista de las contraseñas más populares:

  1. 123456
  2. QWERTY
  3. 111111
  4. 123123
  5. 1a2b3c
  6. Fecha de nacimiento
  7. Número de teléfono móvil

Reglas de seguridad al crear una contraseña.

  1. A cada uno lo suyo. Es decir, la contraseña del enrutador no debe coincidir con ninguna otra contraseña que tenga. Del correo, por ejemplo. Establezca como regla que todas las cuentas tengan sus propias contraseñas y que todas sean diferentes.
  2. Utilice contraseñas seguras que no se puedan adivinar. Por ejemplo: 2Rk7-kw8Q11vlOp0

La contraseña de Wi-Fi tiene una gran ventaja. No es necesario que lo recuerdes. Puedes escribirlo en una hoja de papel y pegarlo en la parte inferior del enrutador.

Zona Wi-Fi para invitados

Si tu router te permite organizar un área de invitados. Entonces asegúrate de hacerlo. Protegiéndolo naturalmente con WPA2 y una contraseña segura. Y ahora, cuando tus amigos vengan a tu casa y te pidan acceso a Internet, no tendrás que decirles tu contraseña principal. Además, la zona de invitados de los enrutadores está aislada de la red principal. Y cualquier problema con los dispositivos de tus invitados no afectará tu red doméstica.

A menudo surge la pregunta: qué tipo de cifrado Wi-Fi elegir para el enrutador de su hogar. Puede parecer poca cosa, pero si los parámetros son incorrectos pueden surgir problemas con la red, e incluso con la transmisión de información a través de un cable Ethernet.

Por lo tanto, aquí veremos qué tipos de cifrado de datos son compatibles con los enrutadores WiFi modernos y en qué se diferencia el tipo de cifrado aes de los populares wpa y wpa2.

Tipo de cifrado de red inalámbrica: ¿cómo elegir un método de seguridad?

Entonces, existen 3 tipos de cifrado en total:

  1. 1. Cifrado WEP

El tipo de cifrado WEP apareció en los años 90 y fue la primera opción para proteger las redes Wi-Fi: se posicionó como un análogo del cifrado en redes cableadas y utilizó el cifrado RC4. Había tres algoritmos de cifrado comunes para los datos transmitidos (Neesus, Apple y MD5), pero ninguno de ellos proporcionaba el nivel de seguridad requerido. En 2004, IEEE declaró obsoleto el estándar debido a que finalmente dejó de proporcionar conexiones de red seguras. Por el momento, no se recomienda utilizar este tipo de cifrado para wifi, porque... no es a prueba de criptomonedas.

  1. 2.WPS es un estándar que no incluye el uso de . Para conectarse al enrutador, simplemente haga clic en el botón correspondiente, que describimos en detalle en el artículo.

En teoría, WPS le permite conectarse a un punto de acceso mediante un código de ocho dígitos, pero en la práctica, solo cuatro son suficientes.

Este hecho es fácilmente aprovechado por numerosos piratas informáticos que piratean rápidamente (en 3 a 15 horas) las redes wifi, por lo que tampoco se recomienda utilizar esta conexión.

  1. 3.Tipo de cifrado WPA/WPA2

Las cosas van mucho mejor con el cifrado WPA. En lugar del vulnerable cifrado RC4, aquí se utiliza el cifrado AES, donde la longitud de la contraseña es arbitraria (8 - 63 bits). Este tipo de cifrado proporciona un nivel normal de seguridad y es muy adecuado para enrutadores wifi simples. Hay dos tipos:

Escriba PSK (Clave precompartida): la conexión al punto de acceso se realiza mediante una contraseña predefinida.
- Empresa: la contraseña para cada nodo se genera automáticamente y se verifica en los servidores RADIUS.

El tipo de cifrado WPA2 es una continuación de WPA con mejoras de seguridad. Este protocolo utiliza RSN, que se basa en el cifrado AES.

Al igual que el cifrado WPA, WPA2 tiene dos modos de funcionamiento: PSK y Enterprise.

Desde 2006, el tipo de cifrado WPA2 es compatible con todos los equipos Wi-Fi y se puede seleccionar la ubicación geográfica correspondiente para cualquier enrutador.

Ventajas del cifrado WPA2 sobre WPA:

Las claves de cifrado se generan durante el proceso de conexión al enrutador (en lugar de estáticas);
- Uso del algoritmo de Michael para controlar la integridad de los mensajes transmitidos.
- Utilizar un vector de inicialización de longitud significativamente mayor.
Además, debes elegir el tipo de cifrado de Wi-Fi dependiendo de dónde se utilice tu enrutador:

No se debe utilizar en absoluto el cifrado WEP, TKIP y CKIP;

Para un punto de acceso doméstico, WPA/WPA2 PSK es bastante adecuado;

Para esto debes elegir WPA/WPA2 Enterprise.



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba