Securitate Wi-Fi. Protecție Wi-Fi adecvată. Analiza securității rețelei fără fir

În acest moment, majoritatea firmelor și întreprinderilor acordă din ce în ce mai multă atenție utilizării directe a rețelelor Wi-Fi. Acest lucru se datorează confortului, mobilității și relativ ieftine a conectării birourilor individuale și capacității de a le muta în raza de acțiune a echipamentului. Rețelele Wi-Fi folosesc modele matematice algoritmice complexe pentru autentificare, criptare a datelor și controlul integrității transmisiei lor - ceea ce vă va permite să fiți relativ calm cu privire la siguranța datelor atunci când utilizați această tehnologie.

Analiza securității rețelei fără fir.

Cu toate acestea, această securitate este relativă dacă nu acordați atenția cuvenită instalării rețelei wireless. În acest moment, există deja o listă de caracteristici „standard” pe care le poate obține un hacker dacă este neglijent în configurarea unei rețele wireless:

Acces la resursele rețelei locale;

Ascultarea, sustragerea (adică direct trafic pe Internet) trafic;

Distorsiunea informațiilor care trec prin rețea;

Introducerea unui punct de acces fals;

Puțină teorie.

1997 – a fost publicat primul standard IEEE 802.11. Opțiuni de protecție a accesului la rețea:

1. O parolă simplă SSID (Server Set ID) a fost folosită pentru a accesa rețeaua locală. Această opțiune nu oferă nivelul necesar de protecție, în special pentru nivelul actual de tehnologie.

2. Utilizarea WEP (Wired Equivalent Privacy) – adică utilizarea cheilor digitale pentru a cripta fluxurile de date folosind această funcție. Cheile în sine sunt doar parole obișnuite cu o lungime de 5 până la 13 caractere ASCII, ceea ce corespunde criptării pe 40 sau 104 biți la nivel static.

2001 - introducerea noului standard IEEE 802.1X. Acest standard utilizează chei de criptare dinamice pe 128 de biți, adică se schimbă periodic în timp. Ideea de bază este că un utilizator de rețea lucrează în sesiuni, la finalizarea cărora i se trimite o nouă cheie - durata sesiunii depinde de sistemul de operare (Windows XP - în mod implicit timpul unei sesiuni este de 30 de minute).

În prezent există standarde 802.11:

802.11 - Standardul de bază original. Suportă transmisia de date pe canalul radio la viteze de 1 și 2 Mbit/s.

802.11a - Standard WLAN de mare viteză. Acceptă transmisia de date la viteze de până la 54 Mbit/s pe un canal radio în intervalul de aproximativ 5 GHz.

I802.11b - Cel mai comun standard. Acceptă transmisia de date la viteze de până la 11 Mbit/s pe un canal radio în intervalul de aproximativ 2,4 GHz.

802.11e - Cerință de calitate necesară pentru toate interfețele radio IEEE WLAN

802.11f - Un standard care descrie ordinea comunicării între punctele de acces peer.

802.11g - Stabilește o tehnică suplimentară de modulare pentru frecvența de 2,4 GHz. Proiectat pentru a oferi rate de transmisie de date de până la 54 Mbit/s pe un canal radio în intervalul de aproximativ 2,4 GHz.

802.11h - Un standard care descrie gestionarea spectrului de 5 GHz pentru utilizare în Europa și Asia.

802.11i (WPA2) - Un standard care corectează problemele de securitate existente în domeniile protocoalelor de autentificare și criptare. Afectează protocoalele 802.1X, TKIP și AES.

În prezent, sunt utilizate pe scară largă 4 standarde: 802.11, 802.11a, 802.11b, 802.11g.

2003 - A fost introdus standardul WPA (Acces protejat Wi-Fi), care combină beneficiile reînnoirii dinamice a cheilor a IEEE 802.1X cu codificarea TKIP (Protocol de integritate temporală a cheii), Protocolul de autentificare extensibil (EAP) și integritatea mesajului MIC (Tehnologia de verificare) Verificarea integrității mesajului).

În plus, multe standarde de securitate independente de la diverși dezvoltatori sunt dezvoltate în paralel. Liderii sunt giganți precum Intel și Cisco.

2004 - Apare WPA2, sau 802.11i - cel mai sigur standard în acest moment.

Tehnologii pentru protejarea rețelelor Fi-Wi.

WEP

Această tehnologie a fost dezvoltată special pentru a cripta fluxul de date transmise într-o rețea locală. Datele sunt criptate cu o cheie de 40 până la 104 biți. Dar aceasta nu este întreaga cheie, ci doar componenta sa statică. Pentru a spori securitatea, este utilizat așa-numitul vector de inițializare IV (Initialization Vector), care este conceput pentru a randomiza o parte suplimentară a cheii, care oferă diferite variații ale cifrului pentru diferite pachete de date. Acest vector este pe 24 de biți. Astfel, ca urmare, obținem o criptare generală cu o adâncime de biți de la 64 (40+24) la 128 (104+24) biți, ceea ce ne permite să operam atât cu caractere constante, cât și aleatoriu în timpul criptării. Dar, pe de altă parte, 24 de biți sunt doar ~16 milioane de combinații (2 24 de puteri) - adică după expirarea ciclului de generare a cheilor, începe un nou ciclu. Hackingul se face destul de simplu:

1) Găsirea unei repetări (timp minim, pentru o cheie de 40 de biți - de la 10 minute).

2) Hacking restul părții (în esență secunde)

3) Vă puteți infiltra în rețeaua altcuiva.

În același timp, există utilități destul de comune pentru spargerea cheii, cum ar fi WEPcrack.

802.1X

IEEE 802.1X este standardul de bază pentru rețelele fără fir. În prezent, este acceptat de Windows XP și Windows Server 2003.

802.1X și 802.11 sunt standarde compatibile. 802.1X folosește același algoritm ca WEP, și anume RC4, dar cu unele diferențe („mobilitate” mai mare, adică este posibil să se conecteze chiar și un dispozitiv PDA la rețea) și corecții (hacking WEP etc.). P.).

802.1X se bazează pe Protocolul de autentificare extensibil (EAP), Securitatea stratului de transport (TLS) și RADIUS (Serviciul utilizatorului pentru acces la distanță).

După ce utilizatorul a trecut de etapa de autentificare, i se trimite o cheie secretă în formă criptată pentru un anumit timp scurt - timpul sesiunii valabile în prezent. La finalizarea acestei sesiuni, o nouă cheie este generată și trimisă din nou utilizatorului. Protocolul de securitate al nivelului de transport TLS asigură autentificarea reciprocă și integritatea transmisiei de date. Toate cheile sunt pe 128 de biți.

Separat, este necesar să menționăm securitatea RADIUS: se bazează pe protocolul UDP (și, prin urmare, este relativ rapid), procesul de autorizare are loc în contextul procesului de autentificare (adică nu există autorizare ca atare), implementarea serverului RADIUS este axată pe deservirea clientului cu un singur proces (deși este posibil și multi-proces - întrebarea este încă deschisă), acceptă un număr destul de limitat de tipuri de autentificare (text clar și CHAP) și are un grad mediu de Securitate. În RADIUS sunt criptate doar parolele cu text clar, restul pachetului rămâne „deschis” (din punct de vedere al securității, chiar și numele de utilizator este un parametru foarte important). Dar CHAP este o chestiune separată. Ideea este că nu există text clar. parola sub nicio forma nu ar fi transmisa niciodata prin retea.Si anume: la autentificarea unui utilizator, clientul trimite masinii utilizatorului o anumita Provocare (o secventa arbitrara aleatorie de caractere), utilizatorul introduce o parola si cu aceasta Provocare masina utilizatorului efectueaza anumite acțiuni de criptare folosind parola introdusă (de obicei această criptare obișnuită folosind algoritmul MD5 (RFC-1321). Rezultatul este un răspuns. Acest răspuns este trimis înapoi clientului, iar clientul trimite totul împreună (Provocare și răspuns) către 3Un server (Autentificare, Autorizare, Contabilitate) pentru autentificare.Cel (avand pe langa si parola de utilizator) efectueaza aceleasi actiuni cu Challeng si isi compara Raspunsul cu cel primit de la client: converge - utilizatorul este autentificat, nu - refuz . Astfel, doar utilizatorul și serverul 3A cunosc parola de text clar, iar parola de text clar nu „călătorește” prin rețea și nu poate fi piratată.

WPA

WPA (Wi-Fi Protected Access) este un standard temporar (tehnologie pentru acces securizat la rețelele wireless), care este de tranziție la IEEE 802.11i. În esență, WPA combină:

802.1X este standardul de bază pentru rețelele wireless;

EAP - Extensible Authentication Protocol;

TKIP - Temporal Key Integrity Protocol;

MIC este o tehnologie pentru verificarea integrității mesajelor (Message Integrity Check).

Modulele principale sunt TKIP și MIC. Standardul TKIP utilizează chei selectate automat pe 128 de biți care sunt generate într-o manieră imprevizibilă și au aproximativ 500 de miliarde de variații. Un sistem ierarhic complex de algoritm de selecție a cheilor și înlocuirea lor dinamică la fiecare 10 KB (10 mii de pachete transmise) fac ca sistemul să fie maxim sigur. Tehnologia Message Integrity Check protejează, de asemenea, împotriva pătrunderii externe și a schimbărilor în informații. Un algoritm matematic destul de complex vă permite să comparați datele trimise la un moment dat și primite la altul. Dacă sunt observate modificări și rezultatul comparației nu converge, astfel de date sunt considerate false și eliminate.

Adevărat, TKIP nu este în prezent cel mai bun în implementarea criptării, datorită noii tehnologii Advanced Encryption Standard (AES) utilizată anterior în VPN-uri.

VPN

Tehnologia VPN (Virtual Private Network) a fost propusă de Intel pentru a oferi conexiuni sigure între sistemele client și servere prin canalele de internet publice. VPN este probabil una dintre cele mai de încredere în ceea ce privește fiabilitatea criptării și a autentificării.

Există mai multe tehnologii de criptare utilizate în VPN-uri, dintre care cele mai populare sunt descrise de protocoalele PPTP, L2TP și IPSec cu algoritmi de criptare DES, Triple DES, AES și MD5. IP Security (IPSec) este utilizat aproximativ 65-70% din timp. Cu ajutorul acestuia este asigurată securitatea aproape maximă a liniei de comunicație.

Tehnologia VPN nu a fost concepută special pentru Wi-Fi - poate fi folosită pentru orice tip de rețea, dar protejarea rețelelor wireless cu ajutorul ei este soluția cea mai corectă.

O cantitate destul de mare de software (Windows NT/2000/XP, Sun Solaris, Linux) și hardware au fost deja lansate pentru VPN. Pentru a implementa protecția VPN în cadrul unei rețele, trebuie să instalați un gateway VPN special (software sau hardware), în care sunt create tuneluri, câte unul pentru fiecare utilizator. De exemplu, pentru rețelele fără fir, gateway-ul trebuie instalat direct în fața punctului de acces. Și utilizatorii de rețea trebuie să instaleze programe speciale pentru client, care, la rândul lor, funcționează și în afara rețelei wireless, iar decriptarea se realizează dincolo de limitele acesteia. Deși toate acestea sunt destul de greoaie, sunt foarte fiabile. Dar, ca orice, are dezavantajele sale, în acest caz există două dintre ele:

Necesitatea unei administrații destul de extinse;

Reducerea capacității canalului cu 30-40%.

În afară de asta, un VPN este o alegere destul de clară. Mai mult, recent, dezvoltarea echipamentelor VPN este tocmai în direcția îmbunătățirii securității și mobilității. Soluția completă IPsec VPN din seria Cisco VPN 5000 este un prim exemplu. Mai mult, această linie include în prezent doar singura soluție VPN bazată pe client care acceptă Windows 95/98/NT/2000, MacOS, Linux și Solaris. În plus, o licență gratuită pentru utilizarea mărcii și distribuirea software-ului client VPN IPsec vine cu toate produsele VPN 5000, ceea ce este de asemenea important.

Puncte cheie despre protejarea rețelelor Fi-Wi ale unei organizații.

Având în vedere toate cele de mai sus, vă puteți asigura că mecanismele și tehnologiile de protecție disponibile în prezent vă permit să asigurați securitatea rețelei dvs. atunci când utilizați Fi-Wi. Desigur, dacă administratorii nu se bazează doar pe setările de bază, ci au grijă de reglaj fin. Desigur, nu se poate spune că în acest fel rețeaua dumneavoastră se va transforma într-un bastion inexpugnabil, dar prin alocarea de fonduri suficient de importante pentru echipamente, timp pentru configurare și, bineînțeles, pentru monitorizare constantă, puteți asigura securitatea cu o probabilitate de aproximativ 95%.

Puncte cheie atunci când organizați și configurați o rețea Wi-Fi care nu trebuie neglijate:

- Selectarea și instalarea unui punct de acces:

> înainte de a cumpăra, citiți cu atenție documentația și informațiile disponibile în prezent despre găurile în implementarea software-ului pentru această clasă de echipamente (cunoscutul exemplu de găuri în IOS-ul routerelor Cisco care permite unui atacator să obțină acces la foaia de configurare) . Ar putea avea sens să vă limitați la cumpărarea unei opțiuni mai ieftine și la actualizarea sistemului de operare al dispozitivului de rețea;

> explorați protocoalele și tehnologiile de criptare acceptate;

> ori de câte ori este posibil, achiziționați dispozitive care utilizează WPA2 și 802.11i, deoarece folosesc o nouă tehnologie pentru securitate - Advanced Encryption Standard (AES). În acest moment, acestea pot fi puncte de acces dual-band (AP) la rețelele IEEE 802.11a/b/g Cisco Aironet 1130AG și 1230AG. Aceste dispozitive acceptă standardul de securitate IEEE 802.11i, tehnologia de protecție împotriva intruziunilor Wi-Fi Protected Access 2 (WPA2) folosind Advanced Encryption Standard (AES) și garantează capacitatea de a satisface cele mai înalte cerințe ale utilizatorilor de rețele LAN fără fir. Noile AP-uri profită de tehnologiile IEEE 802.11a/b/g dual-band și rămân pe deplin compatibile cu versiunile anterioare ale dispozitivelor care rulează IEEE 802.11b;

> pre-pregătiți mașinile client pentru a lucra împreună cu echipamentul achiziționat. Este posibil ca unele tehnologii de criptare să nu fie acceptate de sistemul de operare sau de drivere în acest moment. Acest lucru va ajuta la evitarea pierderii de timp la implementarea rețelei;

> nu instalați un punct de acces în afara paravanului de protecție;

> Localizați antenele în interiorul pereților clădirii și limitați puterea radio pentru a reduce probabilitatea conexiunilor din exterior.

> folosiți antene direcționale, nu folosiți canalul radio implicit.

- Configurare punct de acces:

> dacă punctul de acces vă permite să refuzați accesul la setările dvs. printr-o conexiune fără fir, atunci utilizați această funcție. Inițial, nu oferi hackerului posibilitatea de a controla nodurile cheie prin radio atunci când se infiltrează în rețea. Dezactivați protocoalele de transmisie radio, cum ar fi SNMP, interfața de administrare web și telnet;

> asigurați-vă (!) că utilizați o parolă complexă pentru a accesa setările punctului de acces;

> dacă punctul de acces vă permite să controlați accesul clientului prin adrese MAC, asigurați-vă că îl utilizați;

> dacă echipamentul vă permite să interziceți difuzarea SSID-ului, asigurați-vă că faceți acest lucru. Dar, în același timp, un hacker are întotdeauna posibilitatea de a obține SSID-ul atunci când se conectează ca client legitim;

> politica de securitate ar trebui să interzică clienților fără fir să realizeze conexiuni ad-hoc (astfel de rețele permit două sau mai multe stații să se conecteze direct între ele, ocolind punctele de acces care le direcționează traficul). Hackerii pot folosi mai multe tipuri de atacuri împotriva sistemelor folosind conexiuni ad-hoc. Problema principală a rețelelor ad-hoc este lipsa de identificare. Aceste rețele pot permite unui hacker să conducă atacuri de tip om în mijloc, denial of service (DoS) și/sau compromisuri.

- Selectarea unei setări în funcție de tehnologie:

> dacă este posibil, interziceți accesul clienților cu SSID;

> dacă nu există altă opțiune, asigurați-vă că activați cel puțin WEP, dar nu mai mic de 128 de biți.

> dacă, la instalarea driverelor de dispozitiv de rețea, vi se oferă o gamă de trei tehnologii de criptare: WEP, WEP/WPA și WPA, atunci selectați WPA;

> dacă setările dispozitivului oferă opțiunea: „Shared Key” (este posibilă interceptarea cheii WEP, care este aceeași pentru toți clienții) și „Open System” (este posibilă integrarea în rețea dacă SSID-ul este cunoscut ) - selectați „Cheie partajată”. În acest caz (dacă utilizați autentificarea WEP), cel mai indicat este să activați filtrarea după adresa MAC;

> dacă rețeaua dvs. nu este mare, puteți alege Pre-Shared Key (PSK).

> dacă este posibil să utilizați 802.1X. Cu toate acestea, la configurarea unui server RADIUS, este recomandabil să selectați tipul de autentificare CHAP;

> nivelul maxim de securitate în acest moment este asigurat de utilizarea VPN - utilizați această tehnologie.

- Parole și chei:

> atunci când utilizați un SSID, respectați aceleași cerințe ca și protecția prin parolă - SSID-ul trebuie să fie unic (nu uitați că SSID-ul nu este criptat și poate fi ușor interceptat!);

> folosiți întotdeauna cele mai lungi taste posibile. Nu utilizați chei mai mici de 128 de biți;

> nu uitați de protecția prin parolă - utilizați un generator de parole, schimbați parolele după o anumită perioadă de timp, păstrați parolele secrete;

> în setări există de obicei o alegere a patru taste predefinite - folosiți-le pe toate, modificându-se în funcție de un anumit algoritm. Dacă este posibil, nu concentrați-vă pe zilele săptămânii (în orice organizație există întotdeauna oameni care lucrează în weekend - ce împiedică implementarea rețelei în aceste zile?).

> încercați să utilizați taste lungi, care se schimbă dinamic. Dacă utilizați chei și parole statice, schimbați-vă parolele după o anumită perioadă de timp.

> instruiți utilizatorii să păstreze confidențialitatea parolelor și a cheilor. Este deosebit de important dacă unii oameni folosesc laptopuri pe care le păstrează acasă pentru a se conecta.

- Setari de retea:

> utilizați NetBEUI pentru a organiza resursele partajate. Dacă acest lucru nu contrazice conceptul de rețea, nu utilizați protocolul TCP/IP pe rețelele fără fir pentru a organiza foldere și imprimante partajate.

> nu permiteți accesul oaspeților la resursele partajate;

> încercați să nu utilizați DHCP în rețeaua dvs. wireless - utilizați adrese IP statice;

> limitați numărul de protocoale din rețeaua WLAN doar la cele necesare.

- General:

> utilizați firewall-uri pe toți clienții rețelei wireless, sau cel puțin activați firewall-ul pentru XP;

> monitorizați în mod regulat vulnerabilitățile, actualizările, firmware-ul și driverele dispozitivelor dvs.;

> utilizați periodic scanere de securitate pentru a identifica problemele ascunse;

> Determinați instrumentele pentru a efectua scanarea fără fir și cât de des să efectuați aceste scanări. Scanarea fără fir poate ajuta la localizarea punctelor de acces necinstite.

> dacă finanțele organizației dvs. permit acest lucru, achiziționați sisteme de detectare a intruziunilor (IDS, Intrusion Detection System), cum ar fi:

CiscoWorks Wireless LAN Solution Engine (WLSE), care include mai multe caracteristici noi - auto-vindecare, detectare avansată a manipularii, inspecție automată a site-ului, standby la cald, urmărirea clienților cu raportare în timp real.
CiscoWorks WLSE este o soluție centralizată la nivel de sistem pentru gestionarea întregii infrastructuri wireless bazată pe produse Cisco Aironet. Capacitățile avansate de gestionare a dispozitivelor și radioului susținute de CiscoWorks WLSE simplifică operațiunile în curs de desfășurare a rețelei wireless, permit o implementare fără întreruperi, sporesc securitatea și asigură disponibilitatea maximă, reducând în același timp costurile de implementare și operaționale.

Sistemul Hitachi AirLocation folosește o rețea IEEE802.11b și este capabil să funcționeze atât în interior, cât și în exterior. Precizia determinării coordonatelor unui obiect, potrivit dezvoltatorilor, este de 1-3 m, ceea ce este ceva mai precis decât caracteristica similară a sistemelor GPS. Sistemul constă dintr-un server de determinare a coordonatelor, un server de control, un set de mai multe stații de bază, un set de echipamente WLAN și software specializat. Prețul minim al kit-ului este de aproximativ 46,3 mii USD Sistemul determină locația dispozitivului necesar și distanța dintre acesta și fiecare punct de acces prin calcularea timpului de răspuns al terminalului la semnalele trimise de punctele conectate la rețea cu o distanță între nodurile de 100-200 m. Pentru o locație suficient de precisă a terminalului, prin urmare, sunt suficiente doar trei puncte de acces.

Da, prețurile pentru astfel de echipamente sunt destul de mari, dar orice companie serioasă poate decide să cheltuiască această sumă pentru a avea încredere în securitatea rețelei lor wireless.

Pentru a vă proteja rețeaua Wi-Fi și a seta o parolă, trebuie să selectați tipul de securitate a rețelei fără fir și metoda de criptare. Și în această etapă, mulți oameni au o întrebare: pe care să o aleagă? WEP, WPA sau WPA2? Personal sau Enterprise? AES sau TKIP? Ce setări de securitate vă vor proteja cel mai bine rețeaua Wi-Fi? Voi încerca să răspund la toate aceste întrebări în cadrul acestui articol. Să luăm în considerare toate metodele posibile de autentificare și criptare. Să aflăm ce parametri de securitate a rețelei Wi-Fi sunt cel mai bine setați în setările routerului.

Vă rugăm să rețineți că tipul de securitate sau autentificarea, autentificarea în rețea, protecția, metoda de autentificare sunt toate același lucru.

Tipul de autentificare și criptarea sunt principalele setări de securitate pentru o rețea Wi-Fi fără fir. Cred că mai întâi trebuie să ne dăm seama care sunt, ce versiuni există, capabilitățile lor etc. După care vom afla ce tip de protecție și criptare să alegem. Vă voi arăta folosind exemplul mai multor routere populare.

Recomand cu căldură să configurați o parolă și să vă protejați rețeaua wireless. Setați nivelul maxim de protecție. Dacă lăsați rețeaua deschisă, fără protecție, atunci oricine se poate conecta la ea. Acest lucru este în primul rând nesigur. Și, de asemenea, o încărcare suplimentară pe router, o scădere a vitezei de conectare și tot felul de probleme cu conectarea diferitelor dispozitive.

Protecția rețelei Wi-Fi: WEP, WPA, WPA2

Există trei opțiuni de protecție. Desigur, fără a lua în calcul „Open” (Fără protecție).

WEP(Wired Equivalent Privacy) este o metodă de autentificare învechită și nesigură. Aceasta este prima și nu foarte reușită metodă de protecție. Atacatorii pot accesa cu ușurință rețelele wireless care sunt protejate folosind WEP. Nu este nevoie să setați acest mod în setările routerului dvs., deși este prezent acolo (nu întotdeauna).
WPA(Wi-Fi Protected Access) este un tip de securitate fiabil și modern. Compatibilitate maximă cu toate dispozitivele și sistemele de operare.
WPA2– o versiune nouă, îmbunătățită și mai fiabilă de WPA. Există suport pentru criptarea AES CCMP. În acest moment, acesta este cel mai bun mod de a proteja o rețea Wi-Fi. Acesta este ceea ce recomand să folosești.

WPA/WPA2 poate fi de două tipuri:

WPA/WPA2 - Personal (PSK)- Aceasta este metoda obișnuită de autentificare. Când trebuie doar să setați o parolă (cheie) și apoi să o utilizați pentru a vă conecta la o rețea Wi-Fi. Aceeași parolă este folosită pentru toate dispozitivele. Parola în sine este stocată pe dispozitive. Unde îl puteți vizualiza sau schimba dacă este necesar. Se recomandă utilizarea acestei opțiuni.
WPA/WPA2 - Enterprise- o metodă mai complexă care este utilizată în principal pentru protejarea rețelelor wireless din birouri și diverse unități. Permite un nivel mai ridicat de protecție. Folosit numai atunci când este instalat un server RADIUS pentru a autoriza dispozitivele (care emite parole).

Cred că ne-am dat seama de metoda de autentificare. Cel mai bun lucru de utilizat este WPA2 - Personal (PSK). Pentru o mai bună compatibilitate, astfel încât să nu existe probleme la conectarea dispozitivelor mai vechi, puteți seta modul mixt WPA/WPA2. Aceasta este setarea implicită pe multe routere. Sau marcat ca „Recomandat”.

Criptarea rețelei fără fir

Există două moduri TKIPȘi AES.

Se recomandă utilizarea AES. Dacă aveți dispozitive mai vechi în rețea care nu acceptă criptarea AES (ci doar TKIP) și vor apărea probleme la conectarea lor la rețeaua wireless, atunci setați-l pe „Automat”. Tipul de criptare TKIP nu este acceptat în modul 802.11n.

În orice caz, dacă instalați strict WPA2 - Personal (recomandat), atunci va fi disponibilă doar criptarea AES.

Ce protecție ar trebui să instalez pe routerul meu Wi-Fi?

Utilizare WPA2 - Personal cu criptare AES. Astăzi, acesta este cel mai bun și mai sigur mod. Iată cum arată setările de securitate a rețelei wireless pe routerele ASUS:

Și așa arată aceste setări de securitate pe routerele de la TP-Link (cu firmware vechi).

Puteți vedea instrucțiuni mai detaliate pentru TP-Link.

Instrucțiuni pentru alte routere:

Dacă nu știți unde să găsiți toate aceste setări pe router, atunci scrieți în comentarii, voi încerca să vă spun. Doar nu uitați să specificați modelul.

Deoarece este posibil ca dispozitivele mai vechi (adaptoare Wi-Fi, telefoane, tablete etc.) să nu accepte WPA2 - Personal (AES), în cazul problemelor de conexiune, setați modul mixt (Auto).

Observ adesea că după schimbarea parolei sau a altor setări de securitate, dispozitivele nu doresc să se conecteze la rețea. Calculatoarele pot primi eroarea „Setările de rețea salvate pe acest computer nu îndeplinesc cerințele acestei rețele”. Încercați să ștergeți (uitați) rețeaua de pe dispozitiv și să vă conectați din nou. Am scris cum să fac asta pe Windows 7. Dar în Windows 10 aveți nevoie de .

Parolă (cheie) WPA PSK

Indiferent de tipul de securitate și metodă de criptare pe care o alegeți, trebuie să setați o parolă. Cunoscută și sub numele de cheie WPA, parolă wireless, cheie de securitate a rețelei Wi-Fi etc.

Lungimea parolei este de la 8 la 32 de caractere. Puteți folosi litere din alfabetul latin și numere. De asemenea, caractere speciale: - @ $ # ! etc. Fara spatii! Parola face distincție între majuscule și minuscule! Aceasta înseamnă că „z” și „Z” sunt caractere diferite.

Nu recomand să setați parole simple. Este mai bine să creați o parolă puternică pe care nimeni nu o poate ghici, chiar dacă încearcă din greu.

Este puțin probabil să vă puteți aminti o parolă atât de complexă. Ar fi bine să-l notezi undeva. Nu este neobișnuit ca parolele Wi-Fi să fie pur și simplu uitate. Am scris in articol ce sa fac in astfel de situatii: .

Dacă aveți nevoie de și mai multă securitate, puteți utiliza legarea adresei MAC. Adevărat, nu văd necesitatea asta. WPA2 - Personal asociat cu AES și o parolă complexă este suficient.

Cum vă protejați rețeaua Wi-Fi? Scrieți în comentarii. Ei bine, pune intrebari :)

Principala diferență dintre rețelele cu fir și fără fir

asociat cu o zonă complet necontrolată între punctele finale ale rețelei. Într-o zonă destul de largă a rețelelor, mediul wireless nu este controlat în niciun fel. Tehnologiile wireless moderne oferă

un set limitat de instrumente pentru gestionarea întregii zone de implementare a rețelei. Acest lucru permite atacatorilor aflați în imediata apropiere a structurilor wireless să efectueze o serie de atacuri care nu au fost posibile în lumea cu fir. Vom discuta despre amenințările de securitate unice pentru un mediu wireless, echipamentele care sunt utilizate în atacuri, problemele care apar la roaming de la un punct de acces la altul, adăposturile pentru canalele wireless și protecția criptografică a comunicațiilor deschise.

Ascultarea cu urechea

Cea mai frecventă problemă în mediile deschise și negestionate, cum ar fi rețelele wireless, este posibilitatea unor atacuri anonime. Dăunătorii anonimi pot intercepta semnalele radio și pot decripta datele transmise. Echipamentul folosit pentru a asculta o rețea poate să nu fie mai sofisticat decât cel folosit pentru accesul de rutină la acea rețea. Pentru a intercepta o transmisie, un atacator trebuie să fie aproape de transmițător. Interceptările de acest tip sunt aproape imposibil de înregistrat și chiar mai dificil de prevenit. Utilizarea antenelor și amplificatoarelor oferă atacatorului posibilitatea de a se afla la o distanță semnificativă de țintă în timpul procesului de interceptare. Ascultarea se efectuează pentru a colecta informații dintr-o rețea care urmează a fi atacată ulterior. Scopul principal al atacatorului este să înțeleagă cine folosește rețeaua, ce informații sunt disponibile pe ea, care sunt capabilitățile echipamentului de rețea, în ce momente este exploatat cel mai mult și cel mai puțin intens și care este teritoriul de desfășurare a rețelei. .

Toate acestea vor fi utile pentru a organiza un atac asupra rețelei.

Multe protocoale publice de rețea transmit informații sensibile, cum ar fi numele de utilizator și parola, în text clar. Un interceptor poate folosi datele extrase pentru a obține acces la resursele rețelei.

Chiar dacă informația transmisă este criptată, atacatorul ajunge la un text care poate fi reținut și apoi decodat. O altă modalitate de a asculta cu urechea este să vă conectați la o rețea fără fir. Ascultarea activă a unei rețele locale fără fir se bazează de obicei pe utilizarea greșită a Protocolului de rezoluție a adreselor (ARP).

Inițial, această tehnologie a fost creată pentru a „asculta” rețeaua. În realitate, avem de-a face cu un atac MITM (man in the middle) la nivel de comunicare de date. Ele pot lua mai multe forme și sunt folosite pentru a distruge confidențialitatea și integritatea unei sesiuni de comunicare.

Atacurile MITM sunt mai complexe decât majoritatea celorlalte atacuri, necesitând informații detaliate despre rețea pentru a fi efectuate. Un atacator falsifică de obicei identitatea uneia dintre resursele rețelei.

Când victima atacului inițiază o conexiune, escrocul o interceptează și apoi termină conexiunea la resursa dorită, apoi transmite toate conexiunile la resursa respectivă prin stația sa. În acest caz, atacatorul poate trimite informații, poate schimba ceea ce a fost trimis sau poate asculta toate conversațiile și apoi le poate decripta. Atacatorul trimite răspunsuri ARP nesolicitate către stația țintă din rețeaua locală, care îi trimite tot traficul care trece prin aceasta. Atacatorul va trimite apoi pachete către destinatarii specificați. În acest fel, o stație wireless poate intercepta traficul de la un alt client wireless (sau un client cu fir din rețeaua locală).

Institutul de Securitate Financiară și Economică

ABSTRACT

Securitate wireless

Efectuat:

Elev grupa U05-201

Mihailov M.A.

Verificat:

Conferențiar al Departamentului

Burtsev V.L.

Moscova

2010

Introducere

Standard de securitate WEP

Standard de securitate WPA

Standard de securitate WPA2

Concluzie

Introducere

Istoria tehnologiilor de transmitere a informațiilor fără fir a început la sfârșitul secolului al XIX-lea odată cu transmiterea primului semnal radio și apariția primelor receptoare radio cu modulație de amplitudine în anii 20 ai secolului XX. În anii 1930 au apărut radioul și televiziunea cu modulație de frecvență. În anii 1970, primele sisteme de telefonie fără fir au fost create ca o consecință naturală a nevoii de transmisie mobilă a vocii. La început acestea au fost rețele analogice, iar la începutul anilor 80 a fost dezvoltat standardul GSM, care a marcat începutul tranziției la standardele digitale, oferind o distribuție mai bună a spectrului, o calitate mai bună a semnalului și o securitate mai bună. Începând cu anii 90 ai secolului XX, poziția rețelelor wireless s-a consolidat. Tehnologiile wireless sunt ferm înrădăcinate în viețile noastre. Dezvoltându-se cu o viteză extraordinară, ei creează noi dispozitive și servicii.

O abundență de noi tehnologii wireless, cum ar fi CDMA (Code Division Multiple Access), GSM (Global pentru comunicații mobile), TDMA (Time Division Multiple Access), 802.11, WAP (Wireless Application Protocol), 3G (a treia generație), GPRS (General). Packet Radio Service), Bluetooth (blue tooth, numit după Harald Blue Tooth, un lider viking care a trăit în secolul al X-lea), EDGE (Enhanced Data Rates for GSM Evolution, rate de transmisie crescute sunt date pentru GSM), i-mode etc. . indică faptul că începe o revoluție în acest domeniu.

Dezvoltarea rețelelor locale fără fir (WLAN), Bluetooth (rețele de distanță medie și scurtă) este, de asemenea, foarte promițătoare. Rețelele wireless sunt implementate în aeroporturi, universități, hoteluri, restaurante și companii. Istoria dezvoltării standardelor de rețea fără fir a început în 1990, când comitetul 802.11 a fost format de organizația globală IEEE (Institute of Electrical and Electronics Engineers). World Wide Web și ideea de a lucra pe internet folosind dispozitive wireless au dat un impuls semnificativ dezvoltării tehnologiilor wireless. La sfârșitul anilor 90, utilizatorilor li s-a oferit un serviciu WAP, care la început nu a trezit prea mult interes în rândul populației. Erau servicii de informare de bază – știri, vreme, tot felul de orare etc. De asemenea, atât Bluetooth, cât și WLAN au fost la început foarte solicitate, în principal din cauza costului ridicat al acestor mijloace de comunicare. Cu toate acestea, pe măsură ce prețurile au scăzut, și interesul public a scăzut. La mijlocul primului deceniu al secolului 21, numărul utilizatorilor de servicii de internet wireless a ajuns la zeci de milioane. Odată cu apariția comunicațiilor prin internet wireless, problemele de securitate au ieșit în prim-plan. Principalele probleme la utilizarea rețelelor fără fir sunt interceptarea mesajelor de la serviciile de informații, întreprinderile comerciale și persoanele fizice, interceptarea numerelor de card de credit, furtul timpului de conectare plătită și interferența cu activitatea centrelor de comunicații.

Ca orice rețea de computere, Wi-Fi este o sursă de risc crescut de acces neautorizat. În plus, este mult mai ușor să pătrunzi într-o rețea wireless decât una obișnuită - nu trebuie să te conectezi la fire, trebuie doar să fii în zona de recepție a semnalului.

Rețelele fără fir diferă de rețelele de cablu numai la primele două niveluri - fizic (Phy) și parțial canal (MAC) - ale modelului de interacțiune a sistemelor deschise pe șapte niveluri. Nivele mai înalte sunt implementate ca în rețelele cu fir, iar securitatea reală a rețelei este asigurată la aceste niveluri. Prin urmare, diferența de securitate a acestor rețele și a altor rețele se reduce la diferența de securitate a straturilor fizice și MAC.

Deși astăzi protecția rețelelor Wi-Fi folosește modele matematice algoritmice complexe de autentificare, criptare a datelor și control al integrității transmisiei acestora, cu toate acestea, probabilitatea accesului la informații de către persoane neautorizate este foarte semnificativă. Și dacă configurației rețelei nu i se acordă atenția cuvenită, un atacator poate:

· să obțină acces la resursele și discurile utilizatorilor rețelei Wi-Fi și prin intermediul acesteia la resursele LAN;

· interceptează traficul și extrage informații confidențiale din acesta;

· distorsionează informațiile care trec prin rețea;

· introducerea de puncte de acces false;

· trimiteți spam și efectuați alte acțiuni ilegale în numele rețelei dvs.

Dar înainte de a începe să vă protejați rețeaua wireless, trebuie să înțelegeți principiile de bază ale organizării acesteia. De obicei, rețelele wireless constau din noduri de acces și clienți cu adaptoare wireless. Nodurile de acces și adaptoarele wireless sunt echipate cu transceiver pentru a face schimb de date între ele. Fiecărui AP și adaptor wireless i se atribuie o adresă MAC pe 48 de biți, care este echivalentă din punct de vedere funcțional cu o adresă Ethernet. Nodurile de acces conectează rețelele fără fir și cu fir, permițând clienților fără fir să acceseze rețelele cu fir. Comunicarea între clienții wireless în rețele ad-hoc este posibilă fără un AP, dar această metodă este rar folosită în instituții. Fiecare rețea fără fir este identificată printr-un SSID (Service Set Identifier) atribuit de administrator. Clienții wireless pot comunica cu AP-ul dacă recunosc SSID-ul nodului de acces. Dacă există mai multe noduri de acces într-o rețea fără fir cu același SSID (și aceiași parametri de autentificare și criptare), atunci este posibil să comutați clienții wireless mobili între ele.

Cele mai comune standarde wireless sunt 802.11 și variantele sale avansate. Specificația 802.11 definește caracteristicile unei rețele care funcționează la viteze de până la 2 Mbit/s. Versiunile îmbunătățite oferă viteze mai mari. Primul, 802.11b, este cel mai utilizat, dar este rapid înlocuit de standardul 802.11g. Rețelele wireless 802.11b funcționează în banda de 2,4 GHz și oferă rate de transfer de date de până la 11 Mbps. O versiune îmbunătățită, 802.11a, a fost ratificată mai devreme decât 802.11b, dar a venit pe piață mai târziu. Dispozitivele acestui standard funcționează în banda de 5,8 GHz cu viteze tipice de 54 Mbps, dar unii furnizori oferă viteze mai mari de până la 108 Mbps în modul turbo. A treia versiune, îmbunătățită, 802.11g, funcționează în banda de 2,4 GHz, ca și 802.11b, cu o viteză standard de 54 Mbit/s și o viteză mai mare (până la 108 Mbit/s) în modul turbo. Majoritatea rețelelor fără fir 802.11g sunt capabile să gestioneze clienții 802.11b datorită compatibilității cu versiunea anterioară încorporată în standardul 802.11g, dar compatibilitatea practică depinde de implementarea specifică a furnizorului. Cele mai multe echipamente wireless moderne acceptă două sau mai multe variante de 802.11. Un nou standard wireless, 802.16, numit WiMAX, este proiectat cu scopul specific de a oferi acces wireless companiilor și caselor prin stații similare stațiilor celulare. Această tehnologie nu este discutată în acest articol.

Gama reală a unui AP depinde de mulți factori, inclusiv varianta 802.11 și frecvența de operare a echipamentului, producător, putere, antenă, pereți externi și interni și caracteristicile topologiei rețelei. Cu toate acestea, un adaptor wireless cu o antenă cu amplificare mare, cu fascicul îngust poate asigura comunicarea cu AP-ul și rețeaua wireless pe o distanță considerabilă, până la aproximativ un kilometru și jumătate, în funcție de condiții.

Datorită naturii publice a spectrului radio, există preocupări unice de securitate care nu sunt prezente în rețelele cu fir. De exemplu, pentru a asculta comunicațiile într-o rețea cu fir, trebuie să aveți acces fizic la o componentă de rețea, cum ar fi conexiunea LAN a dispozitivului, comutatorul, routerul, firewall-ul sau computerul gazdă. O rețea fără fir necesită doar un receptor, cum ar fi un scaner de frecvență obișnuit. Datorită deschiderii rețelelor wireless, dezvoltatorii standard au pregătit specificația Wired Equivalent Privacy (WEP), dar au făcut ca utilizarea acesteia să fie opțională. WEP folosește o cheie partajată care este cunoscută de clienții wireless și de nodurile de acces cu care aceștia comunică. Cheia poate fi folosită atât pentru autentificare, cât și pentru criptare. WEP utilizează algoritmul de criptare RC4. O cheie pe 64 de biți constă din 40 de biți definiți de utilizator și un vector de inițializare pe 24 de biți. În încercarea de a îmbunătăți securitatea rețelelor fără fir, unii producători de echipamente au dezvoltat algoritmi avansați cu chei WEP de 128 de biți sau mai lungi, constând dintr-o porțiune de utilizator de 104 de biți sau mai lungă și un vector de inițializare. WEP este utilizat cu echipamente compatibile 802.11a, 802.11b și 802.11g. Cu toate acestea, în ciuda lungimii crescute a cheilor, defectele WEP (în special mecanismele de autentificare slabe și cheile de criptare care pot fi dezvăluite prin criptoanaliza) sunt bine documentate, iar WEP nu este considerat un algoritm de încredere astăzi.

Ca răspuns la deficiențele WEP, asociația industrială Wi-Fi Alliance a decis să dezvolte standardul Wi-Fi Protected Access (WPA). WPA este superior WEP prin adăugarea TKIP (Temporal Key Integrity Protocol) și un mecanism puternic de autentificare bazat pe 802.1x și EAP (Extensible Authentication Protocol). WPA a fost intenționat să devină un standard de lucru care ar putea fi transmis IEEE pentru aprobare ca o extensie a standardelor 802.11. Extensia, 802.11i, a fost ratificată în 2004, iar WPA a fost actualizat la WPA2 pentru a fi compatibil cu Advanced Encryption Standard (AES) în loc de WEP și TKIP. WPA2 este compatibil cu versiunea inversă și poate fi utilizat împreună cu WPA. WPA a fost destinat rețelelor de întreprindere cu o infrastructură de autentificare RADIUS (Remote Authentication Dial-In User Service), dar o versiune de WPA numită WPA Pre-Shared Key (WPAPSK) a primit suport de la unii producători și este în curs de pregătire pentru utilizare. întreprinderilor. La fel ca WEP, WPAPSK funcționează cu o cheie partajată, dar WPAPSK este mai sigur decât WEP.

La construirea rețelelor wireless, există și problema asigurării securității acestora. Dacă în rețelele convenționale informațiile sunt transmise prin fire, atunci undele radio utilizate pentru soluțiile wireless sunt destul de ușor de interceptat dacă aveți echipamentul corespunzător. Modul în care funcționează o rețea fără fir creează un număr mare de posibile vulnerabilități pentru atacuri și intruziuni.

Echipamentele WLAN (Wireless Local Area Network) includ puncte de acces wireless și stații de lucru pentru fiecare abonat.

Puncte de acces AP(Access Point) acționează ca concentratori care asigură comunicarea între abonați și între ei, precum și funcția de punți care comunică cu rețeaua locală de cablu și internetul. Fiecare punct de acces poate deservi mai mulți abonați. Mai multe puncte de acces din apropiere formează o zonă de acces Wifi, în cadrul căruia toți abonații echipați cu adaptoare wireless au acces la rețea. Astfel de zone de acces sunt create în locuri aglomerate: aeroporturi, campusuri universitare, biblioteci, magazine, centre de afaceri etc.

Punctul de acces are un identificator de set de servicii (SSID). SSID-ul este un șir de 32 de biți folosit ca nume al rețelei fără fir cu care sunt asociate toate nodurile. SSID-ul este necesar pentru a conecta stația de lucru la rețea. Pentru a asocia o stație de lucru cu un punct de acces, ambele sisteme trebuie să aibă același SSID. Dacă stația de lucru nu are SSID-ul necesar, nu va putea contacta punctul de acces și nu se va putea conecta la rețea.

Principala diferență între rețelele cu fir și fără fir este prezența unei zone necontrolate între punctele terminale ale rețelei fără fir. Acest lucru permite atacatorilor aflați în imediata apropiere a structurilor wireless să efectueze o serie de atacuri care nu ar fi posibile în lumea cu fir.

Când utilizați accesul wireless la o rețea locală, amenințările de securitate cresc semnificativ (Fig. 2.5).

Orez. 2.5.

Enumerăm principalele vulnerabilități și amenințări ale rețelelor wireless.

Difuzare radiofar. Punctul de acces pornește un semnal de difuzare la o anumită frecvență pentru a notifica nodurile wireless din jur despre prezența acestuia. Aceste semnale de difuzare conțin informații de bază despre punctul de acces fără fir, inclusiv de obicei SSID, și invită nodurile wireless să se înregistreze în zonă. Orice stație de lucru aflată în modul de așteptare poate obține SSID-ul și se poate adăuga la rețeaua corespunzătoare. Beacon broadcasting este o „patologie înnăscută” a rețelelor fără fir. Multe modele vă permit să dezactivați porțiunea SSID a acestei transmisii pentru a face oarecum mai dificilă interceptarea fără fir, dar SSID-ul este încă trimis la conectare, deci există încă o mică fereastră de vulnerabilitate.

Descoperire WLAN. Pentru a detecta rețelele WLAN fără fir, de exemplu, utilitarul NetStumber este utilizat împreună cu un navigator prin satelit GPS. Acest utilitar identifică SSID-ul unui WLAN și, de asemenea, determină dacă folosește criptarea WEP. Utilizarea unei antene externe pe un laptop face posibilă detectarea rețelelor WLAN în timp ce vă plimbați în zona dorită sau când conduceți prin oraș. O metodă fiabilă pentru detectarea WLAN este să supraveghezi o clădire de birouri cu un laptop în mână.

Ascultarea cu urechea. Ascultarea se efectuează pentru a colecta informații despre rețeaua care ar trebui să fie atacată mai târziu. Un interceptor poate folosi datele extrase pentru a obține acces la resursele rețelei. Echipamentul folosit pentru a asculta o rețea poate să nu fie mai sofisticat decât cel folosit pentru accesul de rutină la acea rețea. Rețelele wireless, prin natura lor, permit computerelor situate la o oarecare distanță de acesta să fie conectate la o rețea fizică, de parcă aceste computere ar fi direct în rețea. De exemplu, o persoană care stă într-o mașină parcată în apropiere se poate conecta la o rețea wireless situată într-o clădire. Un atac prin interceptarea pasivă este aproape imposibil de detectat.

Puncte de acces false la rețea. Un atacator experimentat poate crea un punct de acces fals simulând resursele rețelei. Abonații, fără să bănuiască, contactează acest punct de acces fals și îi furnizează detaliile lor importante, cum ar fi informațiile de autentificare. Acest tip de atac este folosit uneori în combinație cu bruiaj direct al punctului de acces la rețea real.

Refuzarea serviciului. Paralizia completă a rețelei poate fi cauzată de un atac DoS (Denial of Service) - denial of service. Scopul său este de a interfera cu accesul utilizatorilor la resursele rețelei. Sistemele wireless sunt deosebit de susceptibile la astfel de atacuri. Stratul fizic dintr-o rețea fără fir este spațiul abstract din jurul punctului de acces. Un atacator poate porni un dispozitiv care umple întregul spectru la frecvența de operare cu interferențe și trafic ilegal - această sarcină nu ridică dificultăți deosebite. Însuși faptul unui atac DoS la nivel fizic într-o rețea fără fir este greu de demonstrat.

Atacurile omului la mijloc. Atacurile de acest tip se desfășoară mult mai ușor pe rețelele fără fir decât pe cele cu fir, deoarece în cazul unei rețele cu fir este necesar să se implementeze un anumit tip de acces la aceasta. De obicei, atacurile „man-in-the-middle” sunt folosite pentru a distruge confidențialitatea și integritatea unei sesiuni de comunicare. Atacurile MITM sunt mai complexe decât majoritatea celorlalte atacuri și necesită informații detaliate despre rețea pentru a fi efectuate. Un atacator falsifică de obicei identitatea uneia dintre resursele rețelei. Folosește capacitatea de a asculta și de a captura ilegal un flux de date pentru a-și modifica conținutul pentru a servi unora dintre scopurile sale, cum ar fi falsificarea adreselor IP, schimbarea adresei MAC pentru a imita o altă gazdă etc.

Acces anonim la internet. Rețelele LAN fără fir nesecurizate oferă hackerilor cel mai bun acces anonim pentru a ataca prin Internet. Hackerii pot folosi LAN fără fir nesecurizat al unei organizații pentru a se conecta la Internet, unde pot desfășura activități ilegale fără a lăsa urme. O organizație cu o rețea LAN neprotejată devine în mod oficial o sursă de trafic de atac care vizează un alt sistem informatic, care este asociat cu un risc potențial de răspundere legală pentru daunele cauzate victimei unui atac de hacker.

Atacurile descrise mai sus nu sunt singurele atacuri folosite de hackeri pentru a compromite rețelele wireless.