Reklama na portálu

Informační technologie, Internet, Webové programování, IT, Hi-Tech, .... WiFi šifrování - co se stane a jak si vybrat

Dobrý den, drahé čtenáři. Slabý systém ochrany směrovače odhaluje vaši síť nebezpečí. Všichni víme, jak důležitá je bezpečnost směrovače, ale většina lidí si neuvědomuje, že některá nastavení zabezpečení může zpomalit práci celé sítě.

Hlavní možnosti pro šifrování dat procházející routerem jsou protokoly Wpa2-AES. a WPA2-TKIP.. Dnes budete mluvit o každém z nich a vysvětlete, proč byste měli zvolit AES.

Seznamte se s WPA.

WPA nebo chráněný přístup k Wi-Fi se stal odezvou Wi-Fi Aliance na zabezpečení zabezpečení zabezpečení, které se havily protokol WEP. Je důležité poznamenat, že nebyl určen jako plnohodnotný roztok. Spíše se musel stát dočasnou volbou, umožňující lidem používat stávající směrovače, aniž by se uchýlil k pomoci protokolu WEP, které mají znatelné nedostatečné nedostatky v bezpečí.

Ačkoli WPA a překročil WEP, měl také své vlastní bezpečnostní problémy. Navzdory tomu, že útoky nebyly obvykle schopny prolomit samotným algoritmem TKIP (dočasné integrity protokol), který má 256bitové šifrování, mohou obcházet další systém zabudovaný do tohoto protokolu a volal WPS. nebo Chráněný Nainstalujte Wi-Fi .

Chráněná instalace Wi-Fi byla navržena tak, aby usnadnila připojení zařízení. Nicméně, kvůli mnoha boomům, s jakým byl propuštěn, WPS začal zmizet do neexistence, která s nimi získala WPA.

V tuto chvíli se oba WPA a WEP již nepoužívají, takže půjdeme do detailů a místo toho zvažujeme nová verze Protokol - WPA2.

Proč je WPA2 lepší

V roce 2006 se WPA stal zastaralým protokolem a WPA2 ho nahradil.

Výměna šifrování TKIP do nového a bezpečného algoritmu AES (Advanced Encryption Standard) vedl k vzhledu rychlejších a chráněných sítí Wi-Fi. Důvodem je, že TKIP nebyl plnohodnotný algoritmus, ale spíše dočasnou alternativou. Jednoduše řečeno, protokol WPA-TKIP byl přechodný výběr, který zajišťoval výkonnost sítě během tří let, které se konalo mezi vzhledem WPA-TKIP a uvolňování WPA2-AES.

Faktem je, že AES je skutečný šifrovací algoritmus, který se používá nejen pro ochranu Wi-Fi sítě. Jedná se o závažný globální standard aplikovaný vládou jednou populární program TrueCrypt a mnoho dalších chránit data před zvědavými očima. Skutečnost, že tato norma chrání vaše domácí síť - Pěkný bonus, ale pro to musíte koupit nový router.

AES VS TKIP z hlediska bezpečnosti

TKIP je v podstatě náplast pro WEP, rozhodující problém Protože by útočník mohl obdržet klíč po studiu relativně malých množství provozu prošel routerem. TKIP korigoval tuto chybu zabezpečení vydáním nového klíče každých několik minut, což v teorii neumožňuje, aby Hakwar, aby shromáždil dostatek dat k dešifrování klíče nebo streamingu šifru RC4, ke kterému algoritmm věří.


Ačkoli TKIP ve svém čase se stal výrazným zlepšením bezpečnosti bezpečnosti, dnes se změní na zastaralé technologie, které již nebude považovat za dostatečně uvažován o ochraně sítí od hackerů. Například jeho největší, ale ne jediný zranitelnost, známý jako Chop-Chop of útoku, se stala veřejnou doménou i před vzhledem samotné metody šifrování.

Chop-Chop Attack umožňuje hackeři, kteří vědí, jak zachycovat a analyzovat streamování dat generovaných sítí, používat je k dešifrování klíčů a zobrazení informací ve formě normální, spíše než kódovaného textu.

AES je zcela odlišný šifrovací algoritmus, mnohem lepší než TKIP. Tento algoritmus je 128, 192 nebo 256-bitová bloková šifra, která netrpí zranitelností, které mají TKIP.

Pokud vysvětlete algoritmus v jednoduchém jazyce, má otevřený text a převádí jej na šifrovaný text. Pro pozorovatel třetí strany, který nemá žádný klíč, vypadá takový text jako řada náhodných symbolů. Zařízení nebo osoba na druhé straně přenosu má klíč, který odemkne nebo dešifruje data. V tomto případě má směrovač první klíč a šifruje data před přenosem a počítač má druhý klíč, který dešifruje informace, což vám umožní zobrazit na obrazovce.

Úroveň šifrování (128, 192 nebo 256-bit) definuje počet permutací aplikovaných na data, což znamená potenciální počet možných kombinací, pokud přijdete hack.

Dokonce i nejslabší úroveň šifrování AES (128-bit) je teoreticky nemožné hackovat, protože počítačový proud počítačového výkonu by trvalo 100 miliard let, aby bylo možné najít správné řešení tohoto algoritmu.

AES VS TKIP z hlediska rychlosti

TKIP je zastaralý způsob šifrování a kromě bezpečnostních problémů také zpomaluje systémy, které s ním stále pracují.

Většina nových směrovačů (všech 802.11n nebo starší standardy nebo starší) používají šifrování WPA2-AES, ale pokud pracujete se starým směrovačem nebo z nějakého důvodu, je vybrán šifrování WPA-TKIP, vysoké šance, že ztratíte významnou část Rychlost.

Jakýkoliv směrovač, který podporuje standard 802.11n (i když si stále musíte zakoupit router AC), zpomaluje až 54 Mbps, když zapnete WPA nebo TKIP v nastavení zabezpečení. To se děje tak, aby bezpečnostní protokoly budou fungovat správně se starými zařízeními.

Standard 802.11Ac s šifrováním WPA2-AES teoreticky nabízí maximální rychlost 3,46 Gbps v optimálním (čtení: nemožné) podmínek. Ale i když to neberete v úvahu, WPA2 a AES stále rychleji než TKIP.

VÝSLEDEK

AES a TKIP nelze porovnat mezi sebou. AES je pokročilejší technologie, ve všech smyslech tohoto slova. Vysoká rychlost Práce směrovačů, bezpečného prohlížeče a algoritmus, že i vlády největších zemí se spoléhají, že z něj činí jedinou skutečnou volbou pro všechny nové a stávající sítě Wi-Fi.

Vzhledem k tomu, co AES nabízí, je to důstojný důvod odmítnout používat tento algoritmus v domácí síti? A proč aplikujete (nebo neplatíte)?

S distribucí bezdrátových sítí, šifrovací protokoly WPA a WPA2 se staly známými téměř všemi vlastníkům zařízení připojenými k Wi-Fi. Jsou specifikovány ve vlastnostech spojení a pozornost většiny uživatelů, kteří nejsou správci systému, přilákat minimum. Stačí pro informaci, že WPA2 je produktem WPA Evolution, a proto je WPA2 novější a vhodnější pro moderní sítě.

Definice

Wpa. - Šifrovací protokol určený k ochraně bezdrátových sítí IEEE 802.11 vyvinutých Wi-Fi aliance v roce 2003 jako náhrada zastaralého a nebezpečného protokolu WEP.

WPA2.- Šifrovací protokol, který je vylepšený vývoj WPA, předložen v roce 2004 Wi-Fi aliance.

Srovnání

Vyhledávání rozdílu mezi WPA a WPA2 pro většinu uživatelů nemá význam, protože veškerou ochranu bezdrátová síť přichází k výběru více či méně komplexní heslo Pro přístup. K dnešnímu dni je situace taková, že všechna zařízení běží síť Wi-FiMusí podporovat WPA2, takže výběr WPA je kvůli pouze nestandardním situacím. Například, os Starší Windows XP SP3 nepodporuje práci s WPA2 bez použití náplastí, takže stroje a zařízení spravované takovými systémy vyžadují pozornost správce sítě. Dokonce i některé moderní smartphony nemusí podporovat nový šifrovací protokol, je s výhodou znepokojen extra plemenným asijským gadgetem. Na druhou stranu, někteří windows verze Starší XP nepodporuje práci s WPA2 na úrovni objektů zásady skupinyProto v tomto případě vyžaduje tenčí nastavení síťových připojení.

Technický rozdíl WPA z WPA2 spočívá v technologii šifrování, zejména v použitých protokolech. WPA používá protokol TKIP, v WPA2 - prolt talk AES. V praxi to znamená, že modernější WPA2 poskytuje vyšší stupeň ochrany sítě. Protokol TKIP například umožňuje vytvořit ověřovací tlačítko až 128 bitů, AES - až 256 bitů.

Závěry Site.

  1. WPA2 je vylepšená WPA.
  2. WPA2 používá protokol AES, WPA protokolu TKIP.
  3. WPA2 je podporována všemi moderními bezdrátovými zařízeními.
  4. WPA2 nesmí být podporována zastaralými operačními systémy.
  5. Stupeň ochrany WPA2 je vyšší než WPA.

Nedávno, mnoho "odhalení" publikací o hackování jakýchkoli pravidelného protokolu nebo technologie, které ohrožují bezpečnost bezdrátových sítí. Je to opravdu, co se má bát a jak přistupovat k vaší síti, aby byla maximálně chráněna? Slova WEP, WPA, 802.1x, EAP, PKI pro vás na mysli málo? Tato malá recenze pomůže spojit všechny platné šifrování technologií a autorizace rádiového přístupu. Pokusím se ukázat, že správně nakonfigurovaná bezdrátová síť je neodolatelná bariéra pro útočníkovi (samozřejmě určitý limit).

Základy

Jakákoli interakce přístupového bodu (sítě) a bezdrátového klienta, postavené na:
  • Autentizace - jako klient a přístupový bod se zdají být navzájem a potvrzují, že mají právo komunikovat mezi sebou;
  • Šifrování - Co je použitelný algoritmus vysílaných dat používán, jak je generován šifrovací klíč, a když se změní.

Bezdrátové síťové parametry, především jeho název (SSID), jsou pravidelně vyhlášeny přístupovým bodem balíčků majáku. Kromě očekávaných nastavení zabezpečení, přání QoS jsou přenášeny, podle parametrů 802.11n, podporovaných rychlostí, informace o jiných sousedech a tak dále. Ověřování určuje, jak se klient zobrazí do bodu. Možné možnosti:

  • Otevřeno. - tzv. otevřená síťve kterých jsou všechna připojená zařízení okamžitě povolena
  • Sdílený. - Autenticita připojeného zařízení musí být zkontrolována klíčem / heslem
  • Konapování - Autenticita připojeného zařízení musí být ověřena protokolem EAP externím serverem
Otevřenost sítě neznamená, že někdo bude schopen pracovat s ním nepotrestaný. Pro přenos dat do takové sítě je nutné odpovídat použitím šifrovacího algoritmu, a proto správným zřízením šifrovaného spojení. Šifrovací algoritmy jsou následující:
  • Žádný - Žádné šifrování, data nejsou přenášena v otevřeném formuláři
  • WEP. - na základě algoritmu RC4 s různou délkou statického nebo dynamického klíče (64 nebo 128 bitů)
  • CKIP. - Proprietární výměna WEP z Cisco, brzy TKIP možnost
  • Tkip. - Vylepšená výměna WEP s dodatečnými kontrolami a ochranou
  • AES / CCMP. - nejvhodnější algoritmus založený na AES256 s dodatečnými kontrolami a ochranou

Kombinace Otevřete ověřování, žádné šifrování Je široce používán v přístupových systémech pro hosty, jako je poskytování internetu v kavárně nebo hotelu. Pro připojení musíte znát pouze název bezdrátové sítě. Takové připojení je často kombinováno s dodatečnou kontrolou v zajetí portálu přesměrováním vlastního požadavku HTTP další stránkakde můžete požádat o potvrzení (přihlašovací heslo, souhlas s pravidly atd.).

Šifrování WEP.kompromis, a to není možné jej použít (i v případě dynamických klíčů).

Široce setkávané termíny Wpa.a WPA2. Stanovte ve skutečnosti šifrovací algoritmus (TKIP nebo AES). Vzhledem k tomu, že existuje již dlouhá doba pro zákaznické adaptéry podporovat WPA2 (AES), uplatňování šifrování na algoritmu TKIP nemá smysl.

Rozdíl mezi Wpa2 osobní a WPA2 Enterprise. Je místo, kde jsou šifrovací klíče použité v algoritmu AES odebrány. Pro soukromé (domovské, malé) aplikace se používá statický klíč (heslo, kódové slovo, psk (předem sdílený klíč)) minimálně 8 znaků, což je uvedeno v nastavení přístupového bodu a všichni klienti této bezdrátové sítě jsou stejný. Kompromis takového klíče (soused byl roztrhaný, zaměstnanec byl vypálen, notebook byl ukraden) vyžaduje okamžité změny hesla ve všech zbývajících uživatelech, což je realistické pouze v případě jejich čísla. Pro firemní aplikace, následujícím způsobem z názvu se používá dynamický klíč, jednotlivec pro každý pracovní klient v tuto chvíli. Tento klíč může pravidelně aktualizovat v průběhu práce bez porušení připojení a další složka je zodpovědná za její generaci - autorizační server a téměř vždy toto je server RADIUS.

Všechna možná nastavení zabezpečení jsou v tomto tabletu snížena:

Vlastnictví Statický wep. Dynamický WEP. Wpa. WPA 2 (Enterprise)
Identifikace Uživatel, počítač, karta WLAN Uživatel, počítač
Uživatel, počítač
Uživatel, počítač
Povolení
Společný klíč

Konapování

EAP nebo obecný klíč

EAP nebo obecný klíč

Integrita

32bitová kontrola integrity (ICV)

32-bit ICV

64-bitový kód integrity zpráv (MIC)

CRT / CBC-MAC (čítačný režim šifrovací blok řetězování Auth Code - CCM) Část AE

Šifrování

Statický klíč

Sessional Key.

Klíč pit-in přes tkip

CCMP (AES)

Distribuce klíčů

Jeden, ručně

Pár-moudrý hlavní segment hlavního klíče (PMK)

Odvozen od PMK.

Odvozen od PMK.

Inicializace vektor

Text, 24 bit

Text, 24 bit

Pokročilý vektor, 65 bit

48-bitové balení (PN)

Algoritmus

RC4.

RC4.

RC4.

AES.

Délka klíče, bit

64/128
64/128
128
Až 256.

Požadovaná infrastruktura

Ne

Poloměr.

Poloměr.

Poloměr.

Pokud je s WPA2 osobní (WPA2 PSK), vše je jasné, podnikové řešení vyžaduje další zvážení.

WPA2 Enterprise.




Zde se zabýváme dodatečnou sadou různých protokolů. Na straně klienta se speciální komponenta softwaru, doplnění (obvykle část OS) spolupracuje s autorizující částí AAA Serverem. Tento příklad ukazuje provoz sjednocené rádiové sítě vestavěné v lehkých bodech přístupu a regulátoru. V případě použití bodů přístupu "s mozkem", celá role zprostředkovatele mezi zákazníky a serverem může mít samotný bod. Současně jsou údaje o sloučeninách klienta v rádiu přenášeny na 802.1x (EAPOL), a zapnou na straně poloměru na straně regulátoru.

Použití mechanismu pro autorizaci EAP ve vaší síti vede ke skutečnosti, že po úspěšném (téměř jistě otevřeně otevřeně) přístupový bod ověřování klienta (společně s řadičem, pokud existuje), dotazuje klienta, aby se přihlásil (potvrdil své pravomoci) Server Radius Infrastructure:


Použitím WPA2 Enterprise. Vyžaduje server RADIUS ve vaší síti. Dosud nejúčinnější jsou následující produkty:

  • Server Microsoft Síťová zásadová politika (NPS), bývalý IAS - nakonfigurován přes MMC, zdarma, ale musíte si koupit Windows
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3 - nakonfigurován přes webové rozhraní, FED do funkce, umožňuje vytvářet distribuované a chybné systémy tolerantní, je drahé
  • Freeradius. - Zdarma, nakonfigurován s textem Configy, není vhodné v řízení a monitorování

Ve stejné době, regulátor pečlivě monitoruje výměnu informací a čeká na úspěšné povolení nebo odmítnutí. Je-li úspěšně, server RADIUS je schopen přenášet další parametry do přístupového bodu (například, ve kterém VLAN umístěte odběratel k přiřazení adresy IP, profil QOS atd.). Na konci výměny umožňuje server RADIUS klienta a přístupový bod pro generování a výměnu šifrovacích klíčů (individuální, platný pouze pro tuto část):


Konapování

Samotný protokol EAP je kontejner, tj. Skutečný mechanismus povolení je dán na vklad vnitřních protokolů. V tuto chvíli se však následující:
  • EAP-FAST. (Flexibilní ověřování prostřednictvím bezpečného tunelu) - vyvinutý společností Cisco; Umožňuje autorizaci přihlašovacího hesla přenášeného uvnitř tunelu TLS mezi SPACEAN a serverem RADIUS
  • EAP-TLS. Bezpečnostní vrstva). Pomocí infrastruktury otevřených klíčů (PKI) autorizaci klienta a serveru (SPU a RADIUS SERVER) prostřednictvím certifikátů vydaných důvěryhodným certifikačním centrem (CA). Vyžaduje, abyste pro každou dobu napsali a nainstalovali klientské certifikáty bezdrátové zařízeníProto je vhodné pouze pro spravované firemní prostředí. Certifikační server Windows má nástroje, které klientovi umožňují nezávisle vygenerovat certifikát, pokud je klientem členem domény. Blokování klienta je snadno staženo z jejího certifikátu (buď prostřednictvím účtů).
  • EAP-TTLS. (Bezpečnost tunelovaná dopravní vrstva) je podobná EAP-TLS, ale při vytváření tunelu je vyžadován certifikát klienta. V takovém tunelu podobném připojení SSL prohlížeče se provádí další povolení (heslem nebo nějakým způsobem).
  • Peap-mscapv2. (Chráněný EAP) - podobný EAP-TTLS, pokud jde o počáteční zřízení šifrovaného tunelu TLS mezi klientem a serverem, který vyžaduje certifikát serveru. V budoucnu, v takovém tunelu je povolení na známém protokolu MSCCAPv2
  • Peap-gtc. (Generická tokenová karta) - podobně jako předchozí, ale vyžaduje mapy disponibilních hesel (a příslušné infrastruktury)

Všechny tyto metody (kromě EAP-FAST) vyžadují certifikát serveru (na serveru RADIUS) napsaný certifikačním centrem (CA). Zároveň by měl být samotný certifikát CA přítomen na klientském zařízení v důvěryhodné skupině (což není obtížné implementovat zásady skupiny v systému Windows). EAP-TLS navíc vyžaduje individuální klientský certifikát. Ověřování klienta se provádí jako digitální podpis, takže (volitelné) ve srovnání s certifikátem poskytovaným systémem RADIUS-Server, s tím, že server je extrahován z infrastruktury PKI (Active Directory).

Podpora některého z metod EAP by mělo být poskytnuta sloučeninou na straně klienta. Standard vložený do systému Windows XP / Vista / 7, IOS, Android poskytuje alespoň EAP-TLS a EAP-MSCAPV2, což způsobuje popularitu těchto metod. S klientem intel adaptéry Pod Windows přichází nástroj PROSET, rozšířit dostupný seznam. Díky tomu je Cisco AnyConnect Client.



Jak spolehlivě je

Na konci, co potřebujete útočníkovi hack svou síť?

Pro otevřené ověřování, žádné šifrování - nic. Připojen k síti a to je. Vzhledem k tomu, že rádio podstoupí, signál platí pro různé směry, blok není snadné. Máte-li příslušné klientské adaptéry, které vám umožní poslouchat vzduch, síťový provoz je viditelný, jako by útočník připojený k vodiči, v rozbočovači, v pólu rozpětí spínače.
Pro šifrování založené na WEP, pouze čas je nutný pro Bust IV a jeden z mnoha volně dostupných nástrojů skenování.
Pro šifrování založené na TKIP nebo AES Direct Decryption je možný teoreticky, ale v praxi se hacking nesplnil.

Samozřejmě se můžete pokusit zvolit klávesu PSK nebo heslo k jednomu z metod EAP. Společné útoky na tyto metody nejsou známy. Můžete se pokusit aplikovat metody sociálního inženýrství nebo

Informace, které můžete v tomto článku získat, mohou být použity pro příjem neoprávněného přístupu k sítím a vaše akce se mohou dostat pod článek 272-273 trestního zákona. Tyto informace jsou zveřejněny výhradně se zde seznámit, a pro jejich použití v opozičních účelech jsou odpovědné. Tento článek je věnován tématu, který byl vysvěcen na schůzi skupiny MGUPER "Zajištění bezpečnosti bezdrátových sítí (WPA2)".

Úvod

V předchozím článku bylo řečeno o obecných principech práce bezdrátových sítí a zajištění jejich bezpečnosti. Bylo řečeno o typech bezdrátových sítí a obecných principů jejich bezpečnosti, stejně jako příklad, jak snadné přistupovat k síti s šifrováním WEP.
Tento článek bude informovat, jak funguje WPA a jaké základní chyby chyby mohou používat vetřelce za nelegální pronikání do sítě.

Výhody WPA před WEP

WPA, WiFi chráněný přístup - nový, nejmodernější, v současné době mechanismus pro ochranu bezdrátových sítí před neoprávněným přístupem. WPA a jeho další rozvoj WPA2 přišel nahradit mechanismus WEP, který začal ještě zatemnit. Znovu zvažte princip WEP:

1. Rám dat se skládá z šifrované a nešifrované části. Šifrovaná část pokrývá data a kontrolní součet (CRC32), nezašifrovanou - inicializační vektor a identifikátor klíče.

2. Každý rámec dat je šifrován šifrováním RC4, pomocí inicializačního vektoru s WEP připojeným k ní jako šifrovací klíč.

Pro každý datový rámec tedy vytvořil svůj šifrovací klíč, zároveň, ve stejnou dobu, každý nový šifrovací klíč se liší od jiného inicializačního vektoru. (24 bitů, když délka klíče může být 40 nebo 104 bitů) takovým způsobem, pokud útočník pohladí velký počet balíčků, obdrží následující: -velký počet Inicializační vektory
- velký počet šifrovaných dat
-ChiCrica pro každý následující rámec se liší od předchozího o 4 bity (inicializace vektoru délka)
Tímto způsobem je možné extrahovat klíčem matematických operací přes balení.
Chcete-li úspěšně získat klíč WEP, potřebuje útočník následující:
-Not v místě, kde je možnost přijímat síťový signál (dostatek RSSI v -85 dBm)
- Vytváření asi 100-200 tisíc inicializačních vektorů v závislosti na délce klíče (WEP-40 nebo WEP-104). Obvykle, pro to potřebujete zachytit 25-50 MB provozu přenášeného v síti. Pokud existuje vysoká síťová aktivita (stahování souborů (zejména používání peergingových sítí) videokonference), 5-10 minut bude stačit k zachycení požadovaného objemu provozu.

Také věnujte pozornost tomu, jak útočník provádí zachycení provozu.
Obvykle pracují bezdrátové síťové adaptéry normální mód - Dostáváme pouze ty balíčky, které jsou zasílány na adresu MAC, za předpokladu, že jsou připojeny k této bezdrátové síti. Fyzicky nic však nebrání bezdrátově síťový adaptér Zachyťte všechny balíčky, které jsou v poloměru své akce na vybraném kanálu. Provádění takové možnosti existují zvláštní neoficiální ovladače a software. Takový software se navíc prodává zcela legálně a slouží k monitorování bezdrátových sítí. Příkladem takového programu může sloužit CommView pro WiFi společnosti Tamosoft. Poté útočník provádí analýzu zachyceného provozu. Vzhledem k tomu, že WEP byl napaden před mnoha lety, můžete najít nástroje na internetu, který automaticky načme klíč z souboru CAP s provozem, nejčastějším je partnerem.
WEP tak mají následující minusy
-Sciffe šifrovací klíč pro rám
- činnosti ověřování v síti
-Labe integrity dat integrity mechanismus
Proto mnoho podniků odmítlo používat bezdrátové sítě obecně, aby se zabránilo úniku informace o společnosti. Nicméně, s příchodem WPA a v následujícím WPA2 se situace změnila a začali více a více firemních uživatelů používat WPA. Ve srovnání s WEP má skutečně řadu výhod:
- matematická nezávislost od sebe navzájem klíčové šifrovací klíče pro každý balíček
-New Kontrola součet počítacího mechanismu
-WPA obsahuje 802.1x ověřování

Princip provozu WPA.

První modifikace WPA byly vylepšeny WEP.
Zvažte jednu z prvních protokolů WPA, WPA-TKIP
Používá 48bitový inicializační vektor a pravidla pro stavbu vektoru se mění, také počítat kontrolní součet používá mikrofon (kód integrity zprávy), který se používá namísto zastaralé a méně spolehlivé CRC32
A nejdůležitějším zlepšením je, že délka šifrovacího klíče je nyní 128 bitů, místo 40. Existuje speciální hierarchie pro řízení klíčů, které je navrženo pro předvídání šifrovacího klíče pro každý snímek. Díky šifrovacímu klíči TKIP pro každý datový rámec generovaný takovým způsobem, že se navzájem neopakují, ani částečně.
Síť WPA jsou tedy plně chráněny před útoky přehrávání (opakování klíčů) a padělání, které nemohly být řečeno o WEP, kde bylo možné obejít kontrolu kontrolního součtu CRC32, stejně jako poslat rámec s přesně stejným šifrovacím klíčem předchozí.
Ve stejné době, v WPA, ověřovací mechanismy byly integrovány: EAP a 802.1x standardy pro ověřování jsou plně podporovány. EAP - Extensible Authentication Protocol, jeden z nejčastějších ověřovacích protokolů. Slouží k ověření v kabelové sítěA proto je bezdrátová síť WPA snadno integrována do již existující infrastruktury. Předpokladem pro ověřování je uživatel přístupové značky, který potvrzuje právo přístup k síti. Pro značku je provedena žádost o speciální databázi a bez ověření, bude síť zakázána pro uživatele. Ověřovací systém je umístěn na speciálním serveru RADIUS a jako databáze se používá Active Directory (v systémech Windows)
WPA je tedy syntézou následujících technologií a standardů:
WPA \u003d 802.1x + EAP + TKIP + MIC
Ochrana TKIP však byla zčásti napadena v roce 2008. Pro své úspěšné bypass je nutné bezdrátový router Použité QoS. Útočník může být schopen zachytit a dešifrovat data přenášená v síti, stejně jako falešné balíčky přenášené v síti. Proto byl vyvinut mechanismus WPA2, což je zlepšená WPA.

Princip provozu WPA2.

Nalezení zranitelnosti v WPA vedly k tomu, že byla vytvořena metoda ochrany WPA2. Jeho významný rozdíl od WPA je, že provoz v síti je šifrována nejen ze zařízení, která nejsou připojena k této síti, ale také od sebe. Jinými slovy, každé zařízení má vlastní šifrovací klíče k výměně dat s přístupovým bodem. Na síti existuje několik šifrovacích klíčů:
1) Párový přechodný klíč (PTK). Pomocí tohoto typu klíče je osobní provoz šifrován. Síť je tedy chráněna především uvnitř, takže jeden klient, autorizovaný v síti, nemohl zachytit provoz druhého.
2) Skupinový temporkaal klíč (GTK). Tento klíč šifruje data vysílání.
WPA2 se používá jako šifrovací algoritmus CCMP

CCMP (režim čítače s šifrovacím blokem Vypnutí ověřovacího kódu ověřování zpráv, blokováním šifrovacího šifrování s kódem ověřnosti a bloku spojky a přepínače režimu - šifrovací protokol pro síť WPA2, který používá algoritmus AES jako základ pro šifrování dat. V souladu s normou FIPS-197 se používá 128bitový šifrovací klíč.
Hlavní rozdíl od TKIP a WEP je centralizovaná kontrola integrity balení, která se provádí na úrovni AES.
Struktura balení šifrovaného CCMP

Balení CCMP se zvýší o 16 oktetů. Záhlaví CCMP se skládá ze tří částí: PN (číslo balení, 48-bit), extiv (inicializační vektor) a identifikátor klíče.
Zapouzdření dat pomocí CCMP:
1) Číslo balení se zvyšuje s určitým číslem, aby se zabránilo opakování paketů.
2) Jsou vytvořeny další data ověřování.
3) Je vytvořeno pole servisního serveru.
4) Číslo balení a identifikátor klíče jsou umístěny v záhlaví balíku
5) Nevyřízené pole a další ověřovací data jsou pomocí dočasného klíče šifrována.



Decapsulation dat pomocí CCMP:
1) Vytvořte pole dalších identifikačních dat a nonce pole pomocí dat balení.
2) Oblast dodatečných identifikačních dat je extrahována z šifrovaného záhlaví paketu.
3) Pole A2 je načteno, číslo balení a pole priority
4) Pole MIC je extrahováno
5) Provádění balíčku a kontrola jeho integrity pomocí balíčku CIPHEXT, další identifikační data, dočasný klíč a skutečný mikrofon
6) Balíček se montáže v dešifrované formě.
7) Obaly s opakovaným číslem jsou vyřazeny

Tato metoda Šifrování v síti je v současné době nejspolehlivější.

Metody ověřování v WPA WPA2

Ověření, tj. Potvrzení o právech pro přístup k prostředkům je povinný stav WPA WPA2 funguje
Chcete-li to udělat, 802.11 a podpora EAP je povoleno v klasické implementaci WAP WPA2.
Jinými slovy, aby klientské zařízení Proces připojení byl úspěšně dokončen, je nutné, aby se identifikuje sama. V praxi to vypadá takto: Uživatel je pozván, aby zadal přihlašovací jméno a heslo pro přístup k síti. Kontrola pověření se provádí na serveru RADIUS, který se vracím na ověřovací server. Autentifikační server používá regulátor doména Windows. Server 2008R2, používá se jako server RADIUS.
Tento přístup k implementaci WPA WPA2 se nazývá WPA-Enterprise. Používá se ve velkých výrobních sítích, kde již byla zavedena infrastruktura Active Directory.
Je však zřejmé, že nasazení služby Active Directory a poloměru v podmínkách malých podniků, nebo v domovských podmínkách je téměř nemožné. Proto, že normy WPA / WPA2 mohou být použity doma, organizace Wi-Fi Alliance vyvinula zjednodušená implementace, nazvaná WPA-PSK (předem sdílený klíč). Používá stejné šifrovací protokoly, ale ověřovací schéma uživatelů je v něm značně zjednodušen. Aby přístroj obdržel přístup k síti do síti, musíte zadat speciální frázi hesla nazvanou Přede-sdílený klíč. Délka by měla být od 8 do 32 znaků, navíc můžete použít speciální znaky, stejně jako symboly národních abeced. Po zadání fráze hesla je umístěna do speciálního balíčku sdružení (balíček sdílení klíčů, handshake), který je přenášen do přístupového bodu. Pokud je fráze hesla pravdivá, přístroj je vydáván k síťovému přístupu. Tento přístup je snazší než WPA-Enterprise, a proto byl široce používán mezi malými podniky a domovskými uživateli.

Zranitelnosti v WPA WPA2

Se všemi jeho výhodami, WPA WPA2 není zbaven zranitelností.
Začněme se skutečností, že v roce 2006 byl šifrování TKIP v WPA hacknuty. Explit Umožňuje si přečíst data přenášená z přístupového bodu klientským strojem, stejně jako vysílat falešné informace klientskému počítači. Chcete-li tento útok implementovat, je nutné, aby síť byla používána QoS.
Proto také nedoporučuji používat WPA pro ochranu bezdrátové sítě. Samozřejmě, že hacking to obtížnější než WEP a WPA vás ochrání před útokem školáků s rosačkou, nicméně nebude stát proti cílenému útoku na vaši organizaci. Pro největší ochranu doporučuji používat WPA2
WPA2 však není zbaven zranitelností. V roce 2008 byla objevena zranitelnost, která umožňuje útok "Muž v centru". To umožnilo účastníkovi sítě zachytit a rozluštit data přenášená mezi jinými účastníky sítě pomocí jejich přímého přechodného klíče. Proto při práci v takové síti má smysl použít další prostředky pro šifrování přenášených informací. (PCzya "loděnice") zároveň poznamenejte, že za účelem využití této chyby zabezpečení musí být útočník oprávněn a připojen k síti.
Chtěl bych se však zaměřit na implementaci WPA-PSK. Zjednodušilo schématu autorizace, takový "úzký" místo v něm je předem sdílený klíč sám, protože vstup tohoto klíče dává zařízení plný přístup k síti (pokud není zúčastněna filtrace MAC).
Samotný klíč je uložen v přístupovém bodu. V závislosti na modelu a firmwaru zařízení jsou implementovány jeho metody ochrany. V některých případech je útočník dostačující k přístupu k webovému ovládacímu panelu a získat předem sdílené tlačítko, který je tam uložen s otevřeným textem. V některých případech je pole s ním chráněno jako pole hesla, ale stále je možné jej odstranit, pokud útočník může odstranit paměťový čip z přístroje a přístup k němu přístup k nízké úrovni. Proto věnujte pozornost fyzické bezpečnosti bezdrátového vybavení.
Konečně, poslední zranitelnost je schopnost zachytit balíčky handshake, ve kterých je předem sdílený klíč přenášen, když je zařízení připojeno k síti. Pro kolik předem sdíleného klíče je šifrováno, útočník zůstává pouze jednou možností - útok hrubé síly zachycených asociačních balíčků. Na jedné straně je iracionální, ale stojí za to pochopit, že pro to nemusíte být vůbec vedle přístupového bodu, a pro takový útok hrubé síly (nebo slovník) může útočník použít velký výpočetní prostředky.
Stojí také za zmínku, že za účelem zachycení útočníka handshake vůbec není nutné čekat na okamžik, kdy bude k síti připojeno nové zařízení. Na některých bezdrátové adaptéryPři použití nestandardních ovladačů existuje možnost odesílání do sítě Resasuage balíčků, které budou přerušeny síťová připojení a iniciovat nová výměna Síťové klíče mezi zákazníky a přístupovým bodem. V tomto případě, aby bylo možné zachytit požadované balíčky, je nutné, aby alespoň jeden klient byl připojen k síti. Také útočník musí být blízko přístupového bodu tak, že síla jeho adaptéru (a takové adaptéry jsou obvykle nízké a nízké, a jsou v průběhu provozu silně přehřáté) stačí posílat balíčky reassociace (pamatovat na WEP, kde to bylo nezbytné pouze pro "úlovek" dostatečný objem dopravy). A nakonec útok hrubé síly zabírá dlouhou dobu, ale použití výpočetní clusteru významně zjednodušuje úkol.

Závěr

Tento článek popsal, jak funguje mechanismus WPA WPA2, stejně jako základní zranitelnosti.
Proto k ochraně WPA WPA2 doma, používejte hesla dlouhé, komplexní (nevolníková) hesla a pomocí speciálních symbolů a s výhodou nevyvolané znaky ASCII. Nicméně, to stojí za pochopení, že v tomto případě možnost připojení mnoha mobilní zařízení Bude omezeno, pokud heslo nelze zadat z tohoto zařízení.
Při práci vždy používejte WPA-Enterprise, zejména pokud jste již nasadili síť služby Active Directory. Zajiší vaši síť z většiny útoků. Ale také nezapomeňte na jiné prostředky ochrany vaší infrastruktury.
V dalším článku tohoto cyklu, příkladem toho, jak může útočník přistupovat k síti WPA2-PSK, pomocí nestabilního hesla, stejně jako dočasně zobrazit síť WPA útokem na odmítnutí služby.

Vysoká rychlost drátový internet Je stále přístupnější. A společně s vývojem mobilních technologií se problém stává relevantní domácí internet na každé ze zařízení. Tento cíl je wi-fi-router, jeho cílem je distribuovat kdy bezdrátové připojení Internet mezi různými uživateli.

Zvláštní pozornost by měla být věnována bezpečnosti své sítě

Při nákupu je dostačující k jeho přizpůsobení, když se nejprve zapnete. Spolu s routerem je dodán disk s nástrojem Utility. S ním konfigurovat domácí síť je jednodušší než jednoduchá. Nicméně, Nicméně, nezkušeni uživatelé mají často problémy na nastavení zabezpečení sítě. Systém nabízí zvolit metodu ověřování a volba je poskytována alespoň čtyři možnosti. Každý z nich má určité výhody a nevýhody, a pokud se chcete chránit před akcí útočníků, měli byste zvolit nejspolehlivější možnost. To je náš článek.

Metody ověřování

Většina domácích směrovačů podporuje následující metody ověřování sítě: bez šifrování, WEP, WP, WPA / WPA2-Enterprise, WPA / WPA2-Osobní (WPA / WPA2-PSK). Poslední tři mají také několik šifrovacích algoritmů. Podívejme se podrobněji.

Nedostatek ochrany

Tato metoda mluví sama. Připojení je plně otevřeno, absolutně se k němu může připojit. Obvykle se tato metoda používá na veřejných místech, ale je lepší ji nepoužívat doma. Než vyhrožujete, je to, že sousedé, když jsou připojeni zabírají váš kanál a nemůžete dostat maximální rychlost podle vašeho tarifní plán. V nejhorším případě mohou útočníci používat pro své vlastní účely, provádět vaše důvěrná informace Nebo provádění jiných nelegálních akcí. Ale nemusíte heslo zapamatovat, ale souhlasíte s tím, že je to poměrně pochybná výhoda.


WEP.

Při použití této metody ověřování sítě jsou přenášené informace chráněny pomocí tajného klíče. Typ ochrany se stane "Open System" a "Obecné klíč". V prvním případě se identifikace dochází v důsledku filtrování adresou MAC bez použití dalšího klíče. Ochrana je v podstatě nejkrásnější, tak nebezpečná. Ve druhé, musíte přijít s tajným kódem, který bude použit jako bezpečnostní klíč. To může být 64, 128 z 152-bit. Systém vám řekne, jak dlouho by měl být kód, v závislosti na jeho kódování - hexadecimální nebo ASCII. Můžete nastavit několik takových kódů. Spolehlivost ochrany - relativní a dávno je považována za zastaralé.


WPA / WPA2 - Enterprise a WPA / WPA2-Osobní

Velmi spolehlivá metoda autentizace sítě v prvním případě se používá v podnicích, ve druhé - doma a v malých kancelářích. Rozdíl mezi nimi je, že domácí verze používá trvalý klíč, který je nakonfigurován v přístupovém bodu. Spolu s připojením šifrovacího algoritmu a SSID připojení tvoří připojení zabezpečené připojení. Pro přístup k takové sítě potřebujete znát heslo. Proto, pokud je to spolehlivé, a nezveřejňujete ji nikomu, pro byt nebo doma je dokonalou možnost. Kromě toho, téměř všichni výrobci to považují za doporučené.


Ve druhém případě platí dynamický klíč a každý uživatel je přiřazen jednotlivce. Není smysl se obtěžovat doma s tím, takže je používán pouze ve velkých podnicích, kde je bezpečnost firemních dat velmi důležitá.

Další spolehlivost závisí na šifrovacím algoritmu. Existují dva z nich: AES a TKIP. Je lepší použít první z nich, protože druhý je odvozen od WEP a prokázal jeho nesrovnalost.