Decriptare wpa2. Accesul pentru oaspeți este un mijloc de a vă proteja rețeaua de acasă. Creați o parolă puternică pentru a accesa routerul

Astăzi nu poate fi numită ceva ieșit din comun. Cu toate acestea, mulți utilizatori (în special proprietarii de dispozitive mobile) se confruntă cu problema ce sistem de securitate să folosească: WEP, WPA sau WPA2-PSK. Vom vedea acum ce fel de tehnologii sunt acestea. Cu toate acestea, cea mai mare atenție va fi acordată WPA2-PSK, deoarece această protecție este cea mai solicitată astăzi.

WPA2-PSK: ce este?

Să spunem imediat: acesta este un sistem pentru protejarea oricărei conexiuni locale la o rețea wireless bazată pe WI-Fi. Acest lucru nu are nimic de-a face cu sistemele cu fir bazate pe plăci de rețea care utilizează o conexiune directă folosind Ethernet.

Cu ajutorul tehnologiei, WPA2-PSK este cel mai „avansat” astăzi. Chiar și metodele oarecum învechite care necesită un nume de utilizator și o parolă și, de asemenea, implică criptarea datelor confidențiale în timpul transmiterii și recepționării, uite, pentru a le spune ușor, cum ar fi baby talk. Si de aceea.

Tipuri de protecție

Deci, să începem cu faptul că până de curând structura WEP era considerată cea mai sigură tehnologie de securitate a conexiunii. A folosit verificarea integrității cheii atunci când a conectat orice dispozitiv fără fir și a fost un standard IEEE 802.11i.

Protecția rețelei WiFi WPA2-PSK funcționează, în principiu, aproape la fel, dar verifică cheia de acces la nivelul 802.1X. Cu alte cuvinte, sistemul verifică toate opțiunile posibile.

Cu toate acestea, există o tehnologie mai nouă numită WPA2 Enterprise. Spre deosebire de WPA, necesită nu numai o cheie de acces personală, ci și prezența unui server Radius care oferă acces. Mai mult, un astfel de algoritm de autentificare poate funcționa simultan în mai multe moduri (de exemplu, Enterprise și PSK, folosind criptarea la nivel AES CCMP).

Protocoale de bază de protecție și securitate

La fel ca cele din trecut, metodele moderne de securitate folosesc același protocol. Acesta este TKIP (sistem de securitate WEP bazat pe actualizare software și algoritm RC4). Toate acestea necesită introducerea unei chei temporare pentru a accesa rețeaua.

După cum a arătat utilizarea practică, un astfel de algoritm singur nu a furnizat conexiuni deosebit de sigure la o rețea fără fir. De aceea s-au dezvoltat noi tehnologii: mai întâi WPA și apoi WPA2, completate de PSK (acces personal la cheie) și TKIP (cheie temporară). În plus, a inclus și date de transmisie-recepție, cunoscute astăzi ca standardul AES.

Tehnologie învechită

Tipul de securitate WPA2-PSK este relativ nou. Înainte de aceasta, după cum sa menționat mai sus, sistemul WEP a fost utilizat în combinație cu TKIP. Protecția TKIP nu este altceva decât un mijloc de creștere a adâncimii de biți a cheii de acces. În prezent, se crede că modul de bază vă permite să creșteți cheia de la 40 la 128 de biți. Cu toate acestea, puteți schimba și o singură cheie WEP cu mai multe chei diferite, generate și trimise automat de serverul însuși, care autentifică utilizatorul la autentificare.

În plus, sistemul în sine implică utilizarea unei ierarhii stricte a distribuției cheilor, precum și a unei tehnici care vă permite să scăpați de așa-numita problemă de predictibilitate. Cu alte cuvinte, atunci când, să zicem, pentru o rețea fără fir care utilizează securitatea WPA2-PSK, parola este setată sub forma unei secvențe precum „123456789”, nu este greu de ghicit că aceleași programe generatoare de chei și parole, numite de obicei KeyGen sau ceva de genul acesta, Când introduceți primele patru caractere, următoarele patru caractere pot fi generate automat. Aici, după cum se spune, nu trebuie să fii o persoană unică pentru a ghici tipul de secvență folosit. Dar acesta, după cum probabil s-a înțeles deja, este cel mai simplu exemplu.

În ceea ce privește data de naștere a utilizatorului în parolă, acest lucru nu este deloc discutat. Puteți fi ușor identificat folosind aceleași date de înregistrare pe rețelele sociale. Parolele digitale de acest tip în sine sunt absolut nesigure. Este mai bine să folosiți numere, litere, precum și simboluri (chiar și cele care nu pot fi imprimate dacă specificați o combinație de taste „hot”) și un spațiu. Cu toate acestea, chiar și cu această abordare, WPA2-PSK poate fi spart. Aici este necesar să se explice metodologia de operare a sistemului în sine.

Algoritm de acces tipic

Acum câteva cuvinte despre sistemul WPA2-PSK. Ce este aceasta în ceea ce privește aplicarea practică? Aceasta este o combinație de mai mulți algoritmi, ca să spunem așa, în modul de funcționare. Să explicăm situația cu un exemplu.

În mod ideal, succesiunea de execuție a procedurii de protejare a conexiunii și de criptare a informațiilor transmise sau primite se rezumă la următoarele:

WPA2-PSK (WPA-PSK) + TKIP + AES.

În acest caz, rolul principal este jucat de cheia publică (PSK) cu o lungime de la 8 la 63 de caractere. În ce secvență exactă vor fi utilizați algoritmii (dacă criptarea are loc mai întâi, sau după transmitere, sau în procesul folosind chei intermediare aleatorii etc.) nu este important.

Dar chiar și cu protecție și un sistem de criptare la nivel AES 256 (adică adâncimea de biți a cheii de criptare), piratarea WPA2-PSK pentru hackeri cunoscători în această problemă va fi o sarcină dificilă, dar posibilă.

Vulnerabilitate

În 2008, la conferința PacSec, a fost prezentată o tehnică care vă permite să piratați o conexiune wireless și să citiți datele transmise de la router către terminalul client. Toate acestea au durat aproximativ 12-15 minute. Cu toate acestea, nu a fost posibilă piratarea transmisiei inverse (client-router).

Faptul este că atunci când modul router QoS este pornit, nu numai că puteți citi informațiile transmise, ci și le puteți înlocui cu informații false. În 2009, experții japonezi au prezentat o tehnologie care ar putea reduce timpul de hacking la un minut. Și în 2010, pe internet au apărut informații conform cărora cel mai simplu mod de a pirata modulul Hole 196 prezent în WPA2 este să folosești propria cheie privată.

Nu se vorbește despre vreo interferență cu cheile generate. În primul rând, un așa-numit atac de dicționar este utilizat în combinație cu forța brută, iar apoi spațiul de conexiune wireless este scanat pentru a intercepta pachetele transmise și ulterior a le înregistra. Este suficient ca utilizatorul să facă o conexiune, iar acesta este imediat dezautorizat și transmisia pachetelor inițiale este interceptată (strângere de mână). După aceasta, nici măcar nu trebuie să fii aproape de punctul de acces principal. Puteți lucra cu ușurință offline. Cu toate acestea, pentru a efectua toate aceste acțiuni veți avea nevoie de software special.

Cum să piratați WPA2-PSK?

Din motive evidente, algoritmul complet pentru piratarea unei conexiuni nu va fi dat aici, deoarece acesta poate fi folosit ca un fel de instrucțiune pentru acțiune. Să ne oprim doar asupra punctelor principale și apoi numai în termeni generali.

De regulă, atunci când accesați direct routerul, acesta poate fi comutat la așa-numitul mod Airmon-NG pentru a monitoriza traficul (airmon-ng start wlan0 - redenumirea adaptorului wireless). După aceasta, traficul este capturat și înregistrat utilizând comanda airdump-ng mon0 (urmărirea datelor canalului, viteza beaconului, viteza și metoda de criptare, cantitatea de date transferată etc.).

În continuare, se folosește comanda de remediere a canalului selectat, după care se introduce comanda Aireplay-NG Deauth cu valori însoțitoare (acestea nu sunt date din motive de legalitate a utilizării unor astfel de metode).

După aceasta (când utilizatorul a fost deja autorizat la conectare), utilizatorul poate fi pur și simplu deconectat de la rețea. În acest caz, atunci când vă conectați din nou din partea de hacking, sistemul va repeta autorizarea de conectare, după care va fi posibilă interceptarea tuturor parolelor de acces. În continuare, va apărea o fereastră cu o „strângere de mână”. Apoi puteți lansa un fișier special numit WPACrack, care vă va permite să spargeți orice parolă. Desigur, nimeni nu va spune nimănui exact cum este lansat. Să remarcăm doar că, dacă aveți anumite cunoștințe, întregul proces durează de la câteva minute la câteva zile. De exemplu, un procesor la nivel Intel care funcționează la o frecvență standard de ceas de 2,8 GHz este capabil să proceseze nu mai mult de 500 de parole pe secundă sau 1,8 milioane pe oră. În general, așa cum este deja clar, nu trebuie să vă amăgiți.

În loc de o postfață

Asta este pentru WPA2-PSK. Ce este, probabil, nu va fi clar de la prima lectură. Cu toate acestea, cred că orice utilizator va înțelege elementele de bază ale protecției datelor și sistemele de criptare utilizate. Mai mult, astăzi aproape toți proprietarii de gadgeturi mobile se confruntă cu acest lucru. Ați observat vreodată că atunci când creați o nouă conexiune pe același smartphone, sistemul sugerează utilizarea unui anumit tip de securitate (WPA2-PSK)? Mulți pur și simplu nu acordă atenție acestui lucru, dar în zadar. În setările avansate, puteți utiliza un număr destul de mare de parametri suplimentari pentru a îmbunătăți sistemul de securitate.

Astăzi, mulți oameni au acasă un router Wi-Fi. La urma urmei, wireless este mult mai ușor să conectezi la internet un laptop, o tabletă și un smartphone, dintre care există mai mulți decât oameni în fiecare familie. Și acesta (routerul) este în esență poarta de acces către universul informațional. Citiți ușa din față. Și depinde de această ușă dacă un oaspete neinvitat va veni la tine fără permisiunea ta. Prin urmare, este foarte important să acordați atenție configurației corecte a routerului, astfel încât rețeaua dvs. wireless să nu fie vulnerabilă.

Nu cred că trebuie să vă reamintesc că ascunderea SSID-ului punctului de acces nu vă protejează. Restricționarea accesului prin adresa MAC nu este eficientă. Prin urmare, numai metode moderne de criptare și o parolă complexă.

De ce criptați? Cine are nevoie de mine? nu am nimic de ascuns

Nu este atât de înfricoșător dacă fură codul PIN de pe cardul tău de credit și retrag toți banii de pe acesta. Mai mult, dacă cineva navighează pe internet pe cheltuiala ta, cunoscând parola Wi-Fi. Și nu este atât de înfricoșător dacă îți publică fotografiile de la petreceri corporative în care arăți inestetic. Este mult mai ofensator când atacatorii intră în computerul tău și șterg fotografii cu cum ți-ai luat fiul de la maternitate, cum a făcut primii pași și a trecut în clasa întâi. Backup-urile sunt un subiect aparte, bineînțeles că trebuie făcute... Dar în timp, reputația îți poate fi restabilită, poți câștiga bani, dar fotografiile care îți sunt dragi nu mai sunt acolo. Cred că toată lumea are ceva ce nu vrea să piardă.
Routerul dvs. este un dispozitiv de frontieră între privat și public, așa că asigurați-vă că este complet protejat. În plus, nu este atât de dificil.

Tehnologii și algoritmi de criptare

Omit teoria. Nu contează cum funcționează, principalul lucru este să știi cum să-l folosești.
Tehnologii de securitate wireless dezvoltate în următoarea ordine cronologică: WEP, WPA, WPA2. Au evoluat și metodele de criptare RC4, TKIP, AES.
Cea mai bună în ceea ce privește securitatea astăzi este combinația WPA2-AES. Exact așa ar trebui să încercați să configurați Wi-Fi. Ar trebui să arate cam așa:

WPA2 este obligatoriu din 16 martie 2006. Dar uneori mai poți găsi echipamente care nu-l suportă. În special, dacă aveți Windows XP instalat pe computer fără al treilea pachet de servicii, atunci WPA2 nu va funcționa. Prin urmare, din motive de compatibilitate, pe routere găsiți opțiuni de configurare WPA2-PSK -> AES+TKIP și o altă menajerie.
Dar dacă flota dvs. de dispozitive este modernă, atunci este mai bine să utilizați WPA2 (WPA2-PSK) -> AES, ca opțiune cea mai sigură astăzi.

Care este diferența dintre WPA(WPA2) și WPA-PSK(WPA2-PSK)

Standardul WPA oferă Protocolul de autentificare extensibil (EAP) ca bază pentru mecanismul de autentificare a utilizatorului. O condiție indispensabilă pentru autentificare este prezentarea de către utilizator a unui certificat (altfel numit acreditiv) care confirmă dreptul său de acces la rețea. Pentru a obține acest drept, utilizatorul este verificat cu o bază de date specială de utilizatori înregistrați. Fără autentificare, utilizatorului i se va interzice utilizarea rețelei. Baza de utilizatori înregistrați și sistemul de verificare din rețelele mari se află de obicei pe un server special (cel mai adesea RADIUS).
Modul cheie pre-partajată simplificat (WPA-PSK, WPA2-PSK) vă permite să utilizați o singură parolă, care este stocată direct în router. Pe de o parte, totul este simplificat, nu este nevoie să creați și să mențineți o bază de utilizatori, pe de altă parte, toată lumea se conectează cu aceeași parolă.
Acasă, este mai indicat să folosiți WPA2-PSK, adică modul simplificat al standardului WPA. Securitatea Wi-Fi nu suferă de această simplificare.

Parola de acces Wi-Fi (criptare).

Totul este simplu aici. Parola pentru punctul de acces fără fir (router) trebuie să aibă mai mult de 8 caractere și să conțină litere în diferite majuscule, numere și semne de punctuație. Și nu ar trebui să fie asociat cu tine în niciun fel. Aceasta înseamnă că datele de naștere, numele dumneavoastră, numerele de mașină, numerele de telefon etc. nu pot fi folosite ca parolă.
Deoarece este practic imposibil să spargeți WPA2-AES frontal (au fost doar câteva cazuri simulate în condiții de laborator), principalele metode de spargere a WPA2 sunt atacul de dicționar și forța brută (căutarea secvențială a tuturor opțiunilor de parole). Prin urmare, cu cât parola este mai complexă, cu atât mai puține șanse au atacatorii.

... în URSS, dulapurile automate de depozitare s-au răspândit în gările de cale ferată. Codul de blocare era o literă și trei cifre. Cu toate acestea, puțini oameni știu că prima versiune a dulapurilor de depozitare a folosit 4 cifre ca o combinație de cod. Ce diferență ar părea? La urma urmei, numărul de combinații de coduri este același - 10.000 (zece mii). Dar, după cum a arătat practica (în special Departamentul de Investigații Criminale din Moscova), când unei persoane i s-a cerut să folosească o combinație de 4 cifre ca parolă pentru o celulă de depozitare, mulți oameni și-au folosit anul nașterii (pentru a nu uita ). Ceea ce atacatorii au folosit cu succes. La urma urmei, se cunoșteau primele două cifre din data nașterii majorității absolute a populației țării - 19. Mai rămâne doar să se determine cu ochi vârsta aproximativă a persoanei care face check-in bagajele și oricare dintre noi poate face acest lucru cu o precizie de +/- 3 ani, iar în rest primim (mai precis, atacatorii) mai puține 10 combinații pentru selectarea unui cod de acces la un dulap automat de stocare...

Cea mai populară parolă

Lenea și iresponsabilitatea umană își iau pragul. Iată o listă cu cele mai populare parole:

123456
qwerty
111111
123123
1a2b3c
Data nașterii
Număr de telefon

Reguli de securitate la crearea unei parole

Fiecare a lui. Adică, parola routerului nu ar trebui să se potrivească cu nicio altă parolă pe care o aveți. Din poștă, de exemplu. Faceți o regulă ca toate conturile să aibă propriile parole și toate să fie diferite.
Folosiți parole puternice care nu pot fi ghicite. De exemplu: 2Rk7-kw8Q11vlOp0

Parola Wi-Fi are un avantaj imens. Nu trebuie să-ți amintești. Puteți să o scrieți pe o bucată de hârtie și să o lipiți de partea de jos a routerului.

Zona Wi-Fi pentru oaspeți

Dacă routerul vă permite să organizați o zonă pentru oaspeți. Atunci asigurați-vă că o faceți. Protejându-l în mod natural cu WPA2 și o parolă puternică. Și acum, când prietenii vin la tine acasă și cer acces la internet, nu trebuie să le spui parola ta principală. În plus, zona de oaspeți din routere este izolată de rețeaua principală. Și orice problemă cu dispozitivele oaspeților dvs. nu va afecta rețeaua dvs. de acasă.

Ce ar putea fi mai important în vremurile noastre decât protejarea rețelei Wi-Fi de acasă :) Acesta este un subiect foarte popular, despre care s-au scris mai mult de un articol doar pe acest site. Am decis să adun toate informațiile necesare despre acest subiect pe o singură pagină. Acum vom analiza în detaliu problema protecției unei rețele Wi-Fi. Vă voi spune și vă voi arăta cum să protejați Wi-Fi cu o parolă, cum să o faceți corect pe routerele de la diferiți producători, ce metodă de criptare să alegeți, cum să alegeți o parolă și ce trebuie să știți dacă sunteți intenționați să vă schimbați parola rețelei wireless.

În acest articol vom vorbi exact despre protejarea rețelei wireless de acasă. Și numai despre protecția prin parolă. Dacă luăm în considerare securitatea unor rețele mari din birouri, atunci este mai bine să abordăm securitatea acolo puțin diferit (cel puțin un alt mod de autentificare). Dacă credeți că o singură parolă nu este suficientă pentru a vă proteja rețeaua Wi-Fi, atunci v-aș sfătui să nu vă deranjați. Setați o parolă bună și complexă folosind aceste instrucțiuni și nu vă faceți griji. Este puțin probabil ca cineva să petreacă timp și efort pentru a vă sparge rețeaua. Da, puteți, de exemplu, să ascundeți numele rețelei (SSID) și să setați filtrarea după adrese MAC, dar acestea sunt bătăi de cap inutile care, în realitate, nu vor cauza decât neplăceri atunci când vă conectați și utilizați o rețea fără fir.

Dacă vă gândiți să vă protejați Wi-Fi-ul sau să lăsați rețeaua deschisă, atunci poate exista o singură soluție - protejați-o. Da, internetul este nelimitat și aproape toată lumea acasă are propriul router, dar în cele din urmă cineva se va conecta la rețeaua ta. De ce avem nevoie de asta, deoarece clienții suplimentari reprezintă o sarcină suplimentară pentru router. Și dacă nu este scump, atunci pur și simplu nu va rezista acestei sarcini. De asemenea, dacă cineva se conectează la rețeaua dvs., va putea accesa fișierele dvs (dacă este configurată rețeaua locală)și acces la setările routerului.

Asigurați-vă că vă protejați rețeaua Wi-Fi cu o parolă bună cu metoda de criptare corectă (modernă). Recomand instalarea imediată a protecției la configurarea routerului. De asemenea, ar fi o idee bună să vă schimbați parola din când în când.

Dacă ești îngrijorat că cineva îți va pirata rețeaua sau a făcut-o deja, atunci pur și simplu schimbă-ți parola și trăiește în pace. Apropo, deoarece vă veți conecta în continuare la panoul de control al routerului dvs., aș recomanda și care dintre ele este folosit pentru a introduce setările routerului.

Protecția corespunzătoare a rețelei Wi-Fi de acasă: ce metodă de criptare să alegeți?

În timpul procesului de setare a parolei, va trebui să selectați o metodă de criptare a rețelei Wi-Fi (metoda de autentificare). Recomand doar instalarea WPA2 - Personal, cu algoritm de criptare AES. Pentru o rețea de domiciliu, aceasta este cea mai bună soluție, momentan cea mai nouă și de încredere. Acesta este tipul de protecție pe care producătorii de routere recomandă să o instaleze.

Doar cu o condiție să nu aveți dispozitive vechi pe care doriți să le conectați la Wi-Fi. Dacă, după configurare, unele dintre dispozitivele dvs. vechi refuză să se conecteze la rețeaua wireless, puteți instala un protocol WPA (cu algoritm de criptare TKIP). Nu recomand instalarea protocolului WEP, deoarece acesta este deja depășit, nu este sigur și poate fi piratat cu ușurință. Da, și pot apărea probleme la conectarea dispozitivelor noi.

Combinație de protocol WPA2 - Personal cu criptare AES, aceasta este cea mai bună opțiune pentru o rețea de acasă. Cheia în sine (parola) trebuie să aibă cel puțin 8 caractere. Parola trebuie să conțină litere, cifre și simboluri în limba engleză. Parola face distincție între majuscule și minuscule. Adică, „111AA111” și „111aa111” sunt parole diferite.

Nu știu ce router aveți, așa că voi pregăti instrucțiuni scurte pentru cei mai populari producători.

Dacă după schimbarea sau setarea unei parole întâmpinați probleme la conectarea dispozitivelor la rețeaua wireless, atunci consultați recomandările de la sfârșitul acestui articol.

Vă sfătuiesc să notați imediat parola pe care o veți seta. Dacă îl uitați, va trebui să instalați unul nou, sau.

Protejăm Wi-Fi cu o parolă pe routerele Tp-Link

Conectarea la router (prin cablu sau Wi-Fi), lansați orice browser și deschideți adresa 192.168.1.1 sau 192.168.0.1 (adresa routerului dvs., precum și numele de utilizator și parola standard sunt indicate pe autocolantul din partea de jos a dispozitivului în sine). Furnizați numele dvs. de utilizator și parola. În mod implicit, acestea sunt admin și admin. B, am descris mai detaliat introducerea setărilor.

În setări, accesați fila Fără fir(mod fără fir) - Securitate wireless(Securitate wireless). Bifați caseta de lângă metoda de protecție WPA/WPA2 - Personal (recomandat). În meniul drop-down Versiune(versiune) select WPA2-PSK. În meniu Criptare(criptare) instalare AES. În câmp Parola wireless(Parola PSK) Introduceți o parolă pentru a vă proteja rețeaua.

Setarea unei parole pe routerele Asus

În setări trebuie să deschidem fila Retea fara firși efectuați următoarele setări:

În meniul derulant „Metoda de autentificare”, selectați WPA2 - Personal.
„Criptare WPA” - instalați AES.
În câmpul „WPA Pre-Shared Key”, notează parola rețelei noastre.

Pentru a salva setările, faceți clic pe butonul aplica.

Conectați-vă dispozitivele la rețea cu o nouă parolă.

Protejarea rețelei wireless a routerului D-Link

Accesați setările routerului D-Link la 192.168.0.1. Puteți vedea instrucțiuni detaliate. În setări, deschideți fila Wifi - Setări de securitate. Setați tipul de securitate și parola ca în captura de ecran de mai jos.

Setarea unei parole pe alte routere

Îl avem și pentru routerele ZyXEL și Tenda. Vezi linkurile:

Dacă nu ați găsit instrucțiuni pentru routerul dvs., atunci puteți configura protecția rețelei Wi-Fi în panoul de control al routerului dvs., în secțiunea de setări numită: setări de securitate, rețea wireless, Wi-Fi, Wireless etc. cred că pot găsi că nu va fi dificil. Și cred că știți deja ce setări să setați: WPA2 - Criptare personală și AES. Ei bine, asta e cheia.

Dacă nu vă puteți da seama, întrebați în comentarii.

Ce să faci dacă dispozitivele nu se conectează după instalare sau după schimbarea parolei?

Foarte des, după instalare, și mai ales după schimbarea parolei, dispozitivele care au fost conectate anterior la rețeaua dvs. nu doresc să se conecteze la aceasta. Pe computere, acestea sunt de obicei erori „Setările de rețea salvate pe acest computer nu îndeplinesc cerințele acestei rețele” și „Windows nu s-a putut conecta la...”. Pe tablete și smartphone-uri (Android, iOS), pot apărea și erori precum „Nu s-a putut conecta la rețea”, „Conectat, protejat”, etc.

Aceste probleme pot fi rezolvate prin simpla ștergere a rețelei wireless și reconectarea cu o nouă parolă. Am scris cum să șterg o rețea în Windows 7. Dacă aveți Windows 10, atunci trebuie să „uitați de rețea”. Pe dispozitivele mobile, țineți apăsat pe rețea și selectați "Șterge".

Dacă apar probleme de conexiune pe dispozitivele mai vechi, atunci setați protocolul de securitate WPA și criptarea TKIP în setările routerului.

Filtrarea prin parole și adrese MAC ar trebui să vă protejeze de hacking. De fapt, siguranța depinde în mare măsură de precauția dvs. Metodele de securitate neadecvate, parolele necomplicate și o atitudine neglijentă față de străinii din rețeaua dvs. de domiciliu oferă atacatorilor oportunități suplimentare de atac. În acest articol, veți afla cum să spargeți o parolă WEP, de ce ar trebui să abandonați filtrele și cum să vă securizați rețeaua wireless din toate părțile.

Protecție împotriva oaspeților neinvitați

Rețeaua dvs. nu este sigură, prin urmare, mai devreme sau mai târziu, un străin se va conecta la rețeaua dvs. wireless - poate nici măcar intenționat, deoarece smartphone-urile și tabletele se pot conecta automat la rețelele nesecurizate. Dacă doar deschide mai multe site-uri, atunci, cel mai probabil, nu se va întâmpla nimic rău în afară de consumul de trafic. Situația va deveni mai complicată dacă un oaspete începe să descarce conținut ilegal prin conexiunea ta la internet.

Dacă nu ați luat încă nicio măsură de securitate, atunci accesați interfața routerului printr-un browser și modificați datele de acces la rețea. Adresa routerului arată de obicei astfel: http://192.168.1.1. Dacă nu este cazul, atunci veți putea afla adresa IP a dispozitivului dvs. de rețea prin linia de comandă. În sistemul de operare Windows 7, faceți clic pe butonul „Start” și introduceți comanda „cmd” în bara de căutare. Apelați setările de rețea cu comanda „ipconfig” și găsiți linia „gateway implicită”. IP-ul specificat este adresa routerului dvs., care trebuie introdusă în bara de adrese a browserului. Locația setărilor de securitate ale routerului diferă în funcție de producător. De regulă, acestea sunt situate într-o secțiune cu titlul „WLAN | Siguranță".

Dacă rețeaua dvs. fără fir folosește o conexiune nesecurizată, ar trebui să fiți deosebit de atenți la conținutul care se află în foldere partajate, deoarece dacă nu este protejat, acesta va fi disponibil pentru alți utilizatori. În același timp, în sistemul de operare Windows XP Home, situația cu acces partajat este pur și simplu catastrofală: implicit, parolele nu pot fi setate aici deloc - această funcție este prezentă doar în versiunea profesională. În schimb, toate solicitările de rețea sunt făcute printr-un cont de invitat nesecurizat. Vă puteți securiza rețeaua în Windows XP folosind o mică manipulare: lansați linia de comandă, introduceți „net user guest YourNewPassword” și confirmați operația apăsând tasta „Enter”. După repornirea Windows, veți putea accesa resursele de rețea numai dacă aveți o parolă, totuși, din păcate, nu este posibilă o reglare mai fină în această versiune a sistemului de operare. Gestionarea setărilor de partajare este mult mai convenabilă în Windows 7. Aici, pentru a limita numărul de utilizatori, trebuie doar să accesați „Centrul de rețea și partajare” din Panoul de control și să creați un grup de acasă protejat prin parolă.

Lipsa unei protecții adecvate într-o rețea wireless este o sursă de alte pericole, deoarece hackerii pot folosi programe speciale (sniffer) pentru a identifica toate conexiunile neprotejate. În acest fel, hackerilor le va fi ușor să vă intercepteze datele de identificare de la diverse servicii.

Hackerii

Ca și înainte, cele mai populare două metode de securitate astăzi sunt filtrarea adresei MAC și ascunderea SSID-ului (numele rețelei): aceste măsuri de securitate nu vă vor menține în siguranță. Pentru a identifica numele rețelei, un atacator are nevoie doar de un adaptor WLAN, care trece în modul de monitorizare folosind un driver modificat și de un sniffer - de exemplu, Kismet. Atacatorul monitorizează rețeaua până când un utilizator (client) se conectează la ea. Apoi manipulează pachetele de date și, prin urmare, scoate clientul din rețea. Când utilizatorul se reconecta, atacatorul vede numele rețelei. Pare complicat, dar de fapt întregul proces durează doar câteva minute. Ocolirea filtrului MAC este, de asemenea, ușoară: atacatorul determină adresa MAC și o atribuie dispozitivului său. Astfel, conexiunea unui străin rămâne neobservată de proprietarul rețelei.

Dacă dispozitivul dvs. acceptă doar criptarea WEP, luați măsuri imediate - o astfel de parolă poate fi spartă chiar și de către persoane care nu sunt profesioniști în câteva minute.

Deosebit de popular printre fraudătorii cibernetici este pachetul software Aircrack-ng, care, pe lângă sniffer, include o aplicație pentru descărcarea și modificarea driverelor adaptoarelor WLAN și, de asemenea, vă permite să recuperați cheia WEP. Metodele de hacking binecunoscute sunt atacurile PTW și FMS/KoreK, în care traficul este interceptat și se calculează o cheie WEP pe baza analizei acesteia. În această situație, aveți doar două opțiuni: în primul rând, ar trebui să căutați cel mai recent firmware pentru dispozitivul dvs., care va accepta cele mai recente metode de criptare. Dacă producătorul nu furnizează actualizări, este mai bine să refuzați să utilizați un astfel de dispozitiv, deoarece, făcând acest lucru, puneți în pericol securitatea rețelei dvs. de acasă.

Sfatul popular de a reduce raza Wi-Fi oferă doar aspectul de protecție. Vecinii se vor putea conecta în continuare la rețeaua dvs., dar atacatorii folosesc adesea adaptoare Wi-Fi cu o rază mai lungă de acțiune.

Hotspot-uri publice

Locurile cu Wi-Fi gratuit atrag fraudatorii cibernetici, deoarece prin ele trec cantități uriașe de informații și oricine poate folosi instrumente de hacking. Hotspot-urile publice pot fi găsite în cafenele, hoteluri și alte locuri publice. Dar alți utilizatori ai acelorași rețele vă pot intercepta datele și, de exemplu, pot prelua controlul asupra conturilor dvs. pe diferite servicii web.

Protecție cookie. Unele metode de atac sunt cu adevărat atât de simple încât oricine le poate folosi. Extensia Firesheep pentru browserul Firefox citește și listează automat conturile altor utilizatori, inclusiv Amazon, Google, Facebook și Twitter. Dacă un hacker dă clic pe una dintre intrările din listă, va avea imediat acces complet la cont și va putea modifica datele utilizatorului la discreția sa. Firesheep nu sparge parole, ci doar copiază module cookie active, necriptate. Pentru a vă proteja de astfel de interceptări, ar trebui să utilizați suplimentul special HTTPS Everywhere pentru Firefox. Această extensie obligă serviciile online să utilizeze întotdeauna o conexiune criptată prin HTTPS, dacă este acceptată de serverul furnizorului de servicii.

Protecție Android.În trecutul recent, s-a atras atenția pe scară largă asupra unui defect al sistemului de operare Android, din cauza căruia escrocii ar putea obține acces la conturile dvs. în servicii precum Picasa și Google Calendar, precum și să vă citească contactele. Google a remediat această vulnerabilitate în Android 2.3.4, dar majoritatea dispozitivelor achiziționate anterior de utilizatori au versiuni mai vechi ale sistemului instalate. Pentru a le proteja, puteți utiliza aplicația SyncGuard.

WPA 2

Cea mai bună protecție este oferită de tehnologia WPA2, care este folosită de producătorii de echipamente informatice din 2004. Majoritatea dispozitivelor acceptă acest tip de criptare. Dar, ca și alte tehnologii, WPA2 are și punctul său slab: folosind un atac de dicționar sau metoda bruteforce, hackerii pot sparge parole - totuși, doar dacă acestea nu sunt de încredere. Dicționarele parcurg pur și simplu cheile stocate în bazele lor de date - de regulă, toate combinațiile posibile de numere și nume. Parole precum „1234” sau „Ivanov” sunt ghicite atât de repede încât computerul hackerului nici măcar nu are timp să se încălzească.

Metoda bruteforce nu presupune utilizarea unei baze de date gata făcute, ci, dimpotrivă, selectarea unei parole prin listarea tuturor combinațiilor posibile de caractere. În acest fel, un atacator poate calcula orice cheie - singura întrebare este cât timp îi va lua. NASA, în ghidurile sale de securitate, recomandă o parolă de cel puțin opt caractere și, de preferință, șaisprezece. În primul rând, este important ca acesta să fie format din litere mici și mari, cifre și caractere speciale. Un hacker i-ar lua zeci de ani pentru a sparge o astfel de parolă.

Rețeaua dvs. nu este încă complet protejată, deoarece toți utilizatorii din cadrul acesteia au acces la router și pot face modificări setărilor acestuia. Unele dispozitive oferă caracteristici de securitate suplimentare de care ar trebui să profitați.

În primul rând, dezactivați capacitatea de a manipula routerul prin Wi-Fi. Din păcate, această caracteristică este disponibilă numai pe anumite dispozitive, cum ar fi routerele Linksys. Toate modelele de routere moderne au, de asemenea, capacitatea de a seta o parolă pentru interfața de gestionare, care vă permite să restricționați accesul la setări.

Ca orice program, firmware-ul routerului este imperfect - mici defecte sau găuri critice în sistemul de securitate nu sunt excluse. De obicei, informațiile despre acest lucru se răspândesc instantaneu pe internet. Verificați în mod regulat dacă există firmware nou pentru routerul dvs. (unele modele au chiar și o funcție de actualizare automată). Un alt avantaj al flashării firmware-ului este că poate adăuga noi funcții dispozitivului.

Analiza periodică a traficului din rețea ajută la recunoașterea prezenței oaspeților neinvitați. În interfața de gestionare a routerului puteți găsi informații despre dispozitivele conectate la rețeaua dvs. și când. Este mai dificil să aflați câte date a descărcat un anumit utilizator.

Acces invitat - un mijloc de a vă proteja rețeaua de acasă

Dacă vă protejați routerul cu o parolă puternică folosind criptarea WPA2, nu veți mai fi în niciun pericol. Dar numai până când vă împărtășiți parola cu alți utilizatori. Prietenii și cunoștințele care, cu smartphone-urile, tabletele sau laptopurile lor, doresc să acceseze internetul prin conexiunea dumneavoastră sunt un factor de risc. De exemplu, nu poate fi exclusă posibilitatea ca dispozitivele lor să fie infectate cu malware. Cu toate acestea, nu va trebui să vă refuzați prietenii din acest motiv, deoarece modelele de routere de top, cum ar fi Belkin N sau Netgear WNDR3700, oferă acces oaspeților special pentru astfel de cazuri. Avantajul acestui mod este că routerul creează o rețea separată cu propria sa parolă, iar cea de acasă nu este utilizată.

Fiabilitatea cheii de securitate

WEP (WIRED ECHIVALENT PRIVACY). Utilizează un generator de numere pseudoaleatoare (algoritm RC4) pentru a obține cheia, precum și vectori de inițializare. Deoarece ultima componentă nu este criptată, este posibil ca terții să intervină și să recreeze cheia WEP.

WPA (ACCES PROTEJAT WI-FI) Bazat pe mecanismul WEP, dar oferă o cheie dinamică pentru securitate extinsă. Cheile generate folosind algoritmul TKIP pot fi sparte folosind atacul Bek-Tevs sau Ohigashi-Moriya. Pentru a face acest lucru, pachetele individuale sunt decriptate, manipulate și trimise înapoi în rețea.

WPA2 (ACCES PROTEJAT WI-FI 2) Utilizează algoritmul de încredere AES (Advanced Encryption Standard) pentru criptare. Odată cu TKIP, a fost adăugat și protocolul CCMP (Counter-Mode/CBC-MAC Protocol), care se bazează tot pe algoritmul AES. Până acum, o rețea protejată de această tehnologie nu putea fi piratată. Singura opțiune pentru hackeri este un atac de dicționar sau „metoda de forță brută”, în care cheia este ghicită prin ghicire, dar cu o parolă complexă este imposibil să o ghicim.

Să explicăm pe scurt ce sunt WEP, WPA și WPA2 și care este diferența dintre ele.

WEP

Explicaţie: Confidențialitate echivalentă prin cablu. Tradus ca Securitate echivalentă cu o conexiune prin cablu. Aparent, inventatorii au supraestimat fiabilitatea acestui tip de protecție atunci când i-au dat numele.

WEP este un mod de securitate fără fir vechi. Oferă un nivel scăzut de protecție. În modul de securitate Windows, WEP este adesea numit Open, adică. tip deschis.

WPA

Explicaţie: Acces protejat Wi-Fi (acces Wi-Fi protejat)

Împărțit în 2 subspecii:

WPA-Personal (-Personal Key sau -PSK)
WPA-Enterprise.

WPA-PSK

Această opțiune este potrivită pentru uz casnic. Pentru a autoriza în rețea, aveți nevoie doar de o cheie de securitate.

WPA-Enterprise

Aceasta este o opțiune mai avansată și mai avansată pentru rețelele corporative pentru a oferi un nivel mai ridicat de securitate. Pentru autorizare este necesar un server Radius.

WPA2

WPA2 este o versiune mai modernă și mai îmbunătățită a securității WPA. De asemenea, poate funcționa în ambele moduri: PSK și Enterprise. Diferă prin faptul că acceptă tipul de criptare AES CCMP.

Ce e mai bine? WEP, WPA sau WPA2?

Pe echipamentele moderne, în cele mai multe cazuri, cea mai bună opțiune ar fi utilizarea WPA2-PSK cu tip de criptare AES:

Ce se întâmplă dacă nu știu ce tip de securitate folosește rețeaua wifi?

Dacă nu știți ce criptare este folosită pe punctul dvs. de acces (router), deconectați-vă de la rețea și. Apoi conectează-te din nou. Trebuie doar să introduceți cheia de securitate. În acest caz, modul de securitate va fi selectat automat.

WPA2-PSK: ce este?

Tipuri de protecție

Protecția rețelei WiFi WPA2-PSK funcționează, în principiu, aproape la fel, dar verifică cheia de acces la nivelul 802.1X. Cu alte cuvinte, sistemul verifică toate opțiunile posibile.

Protocoale de bază de protecție și securitate

Tehnologie învechită

Algoritm de acces tipic

În mod ideal, succesiunea de execuție a procedurii de protejare a conexiunii și de criptare a informațiilor transmise sau primite se rezumă la următoarele:

WPA2-PSK (WPA-PSK) + TKIP + AES.

Vulnerabilitate

Cum să piratați WPA2-PSK?

În loc de o postfață

Asta este pentru WPA2-PSK. Ce este, probabil, nu va fi clar de la prima lectură. Cu toate acestea, cred că orice utilizator va înțelege elementele de bază ale protecției datelor și sistemele de criptare utilizate. Mai mult, astăzi aproape toți proprietarii de gadgeturi mobile se confruntă cu această problemă. Ați observat vreodată că atunci când creați o nouă conexiune pe același smartphone, sistemul sugerează utilizarea unui anumit tip de securitate (WPA2-PSK)? Mulți pur și simplu nu acordă atenție acestui lucru, dar în zadar. În setările avansate, puteți utiliza un număr destul de mare de parametri suplimentari pentru a îmbunătăți sistemul de securitate.

Judecând după faptul că ați dat peste acest articol pe Internet, știți despre problemele de securitate ale rețelelor Wi-Fi și despre necesitatea configurației sale corecte. Dar este puțin probabil ca o persoană neinstruită să-și dea seama și să o configureze corect imediat. Și mulți utilizatori cred, în general, că totul de pe router „din cutie” este deja configurat cu nivelul maxim de securitate. În cele mai multe cazuri, aceasta este o opinie greșită. Prin urmare, acum voi da regulile de bază pentru configurarea securității rețelelor WiFi folosind exemplul unui router TP-Link.

1. Asigurați-vă că activați criptarea rețelei.
Nu lăsați niciodată rețeaua deschisă. Dacă WiFi de acasă nu este criptat, acest lucru nu este corect. Oricine se poate conecta la tine și poate folosi accesul la internet în propriile scopuri.

2. Dacă este posibil, utilizați numai tipul de criptare WPA2-PSK

Dacă setările routerului dvs. utilizează criptarea WEP, asigurați-vă că o schimbați la WPA2, deoarece WEP (Wired Equivalent Privacy) este învechit și are vulnerabilități grave. Și WPA2 este cel mai puternic utilizat în acest moment. WPA ar trebui utilizat numai dacă aveți dispozitive care nu pot funcționa cu WPA2.

3. Dezactivați WPS.

Dacă nu utilizați funcția WPS, asigurați-vă că o dezactivați. În unele modele de router, aceasta este o vulnerabilitate gravă din cauza configurației standard. După cum arată practica, în 90% din cazuri WPS nu este folosit deloc.

4. Schimbați numele de rețea SSID implicit.

Foarte des, un model de router fără fir este folosit ca SSID (Service Set Identifier), ceea ce face mai ușor ca atacatorul să pirateze Wi-Fi. Prin urmare, trebuie neapărat să-l schimbați cu oricare altul. Numele poate fi orice cuvânt în latină și numere. Nu folosiți chirilic.

5. Schimbați parola implicită a routerului.

Un exemplu sunt terminalele GPON ONT de la ZTE. Datorită faptului că toți au folosit în mod implicit aceeași parolă, pe care nimeni nu a schimbat-o la configurarea dispozitivului. Din această cauză, multe rețele de acasă din Moscova și Sankt Petersburg au fost sparte. În consecință, un atacator ar putea obține acces la setările routerului, canalul de internet și rețeaua de domiciliu.

6. Activați firewall-ul routerului.

Aproape toate routerele sunt echipate cu un firewall încorporat (aka firewall), care poate fi dezactivat implicit. Asigurați-vă că este pornit. Pentru o securitate și mai mare, ar trebui să vă asigurați că fiecare computer din rețeaua dvs. rulează, de asemenea, firewall și software antivirus.

7. Activați filtrarea adreselor MAC ale clienților Wi-Fi.

Fiecare computer, laptop sau dispozitiv mobil are un identificator unic în rețea numit adresă MAC. Acest lucru permite routerului WiFi să țină evidența tuturor dispozitivelor conectate la acesta. Multe routere WiFi permit administratorilor să introducă fizic adresele MAC ale dispozitivelor care se pot conecta la rețea.

În acest fel, numai acele dispozitive care sunt în tabel se vor putea conecta la rețeaua dvs. de acasă. Alții nu o vor putea face deloc, chiar dacă ghicesc parola.

8. Dezactivați administrarea de la distanță.
Majoritatea routerelor permit administratorilor să se conecteze de la distanță de pe Internet la interfața web sau linia de comandă a dispozitivului. Dacă nu aveți nevoie, dezactivați această funcție. Setările dispozitivului vor fi în continuare disponibile din rețeaua locală.

Așadar, luând câteva minute pentru a vă asigura că rețeaua noastră WiFi de acasă este configurată la nivelul optim de securitate, puteți evita problemele și preveniți să apară în viitor.

Recent, au apărut multe publicații „dezvăluitoare” despre piratarea unor noi protocoluri sau tehnologii care compromit securitatea rețelelor wireless. Este cu adevărat așa, de ce ar trebui să vă fie teamă și cum vă puteți asigura că accesul la rețeaua dvs. este cât mai sigur posibil? Cuvintele WEP, WPA, 802.1x, EAP, PKI înseamnă puțin pentru tine? Această scurtă prezentare generală va ajuta la reunirea tuturor tehnologiilor de criptare și de autorizare a accesului radio utilizate. Voi încerca să arăt că o rețea wireless configurată corespunzător reprezintă o barieră de netrecut pentru un atacator (până la o anumită limită, desigur).

Bazele

Orice interacțiune între un punct de acces (rețea) și un client wireless se bazează pe:

Autentificare- modul în care clientul și punctul de acces se prezintă unul față de celălalt și confirmă că au dreptul de a comunica unul cu celălalt;
Criptare- ce algoritm de codificare pentru datele transmise este utilizat, cum este generată cheia de criptare și când se modifică.

Parametrii unei rețele fără fir, în primul rând numele acesteia (SSID), sunt anunțați în mod regulat de către punctul de acces în pachete de semnalizare. Pe lângă setările de securitate așteptate, se transmit solicitări pentru QoS, parametri 802.11n, viteze acceptate, informații despre alți vecini etc. Autentificarea determină modul în care clientul se prezintă la obiect. Opțiuni posibile:

Deschis- o așa-numită rețea deschisă în care toate dispozitivele conectate sunt autorizate imediat
Impartit- autenticitatea dispozitivului conectat trebuie verificată cu o cheie/parolă
EAP- autenticitatea dispozitivului conectat trebuie verificată folosind protocolul EAP de către un server extern

Deschiderea rețelei nu înseamnă că oricine poate lucra cu ea cu impunitate. Pentru a transmite date într-o astfel de rețea, algoritmul de criptare utilizat trebuie să se potrivească și, în consecință, conexiunea criptată trebuie stabilită corect. Algoritmii de criptare sunt:

Nici unul- fără criptare, datele sunt transmise în text clar
WEP- cifrare bazată pe algoritmul RC4 cu diferite lungimi de chei statice sau dinamice (64 sau 128 de biți)
CKIP- înlocuire proprietară pentru WEP Cisco, versiunea timpurie a TKIP
TKIP- Înlocuire WEP îmbunătățită cu verificări și protecție suplimentare
AES/CCMP- cel mai avansat algoritm bazat pe AES256 cu verificări și protecție suplimentare

Combinaţie Deschideți autentificare, fără criptare utilizat pe scară largă în sistemele de acces pentru oaspeți, cum ar fi furnizarea de internet într-o cafenea sau un hotel. Pentru a vă conecta, trebuie doar să știți numele rețelei wireless. Adesea, o astfel de conexiune este combinată cu verificarea suplimentară pe Portalul Captiv prin redirecționarea solicitării HTTP a utilizatorului către o pagină suplimentară de unde puteți solicita confirmarea (login-parolă, acord cu regulile etc.).

Criptare WEP este compromisă și nu poate fi utilizată (chiar și în cazul tastelor dinamice).

Termeni care apar frecvent WPAȘi WPA2 determina, de fapt, algoritmul de criptare (TKIP sau AES). Datorită faptului că adaptoarele client acceptă WPA2 (AES) de ceva timp, nu are rost să folosiți criptarea TKIP.

Diferență între WPA2 PersonalȘi WPA2 Enterprise este de unde provin cheile de criptare utilizate în mecanica algoritmului AES. Pentru aplicațiile private (acasă, mici), se utilizează o cheie statică (parolă, cuvânt cod, PSK (Pre-Shared Key)) cu o lungime minimă de 8 caractere, care este setată în setările punctului de acces și este aceeași pentru toți clienții unei rețele wireless date. Compromisul unei astfel de chei (au vărsat boabele unui vecin, un angajat a fost concediat, un laptop a fost furat) necesită o schimbare imediată a parolei pentru toți utilizatorii rămași, ceea ce este realist doar dacă există un număr mic de ei. Pentru aplicațiile corporative, după cum sugerează și numele, este utilizată o cheie dinamică, individuală pentru fiecare client care rulează în prezent. Această cheie poate fi actualizată periodic în timpul funcționării fără întreruperea conexiunii, iar o componentă suplimentară este responsabilă pentru generarea ei - serverul de autorizare și aproape întotdeauna acesta este un server RADIUS.

Toți parametrii de siguranță posibili sunt rezumați în această placă:

Proprietate	WEP static	WEP dinamic	WPA	WPA 2 (întreprindere)
Identificare	Utilizator, computer, card WLAN	Utilizator, computer	Utilizator, computer	Utilizator, computer
Autorizare	Cheie partajată	EAP	EAP sau cheie partajată	EAP sau cheie partajată
Integritate	Valoarea de verificare a integrității pe 32 de biți (ICV)	ICV pe 32 de biți	Cod de integritate a mesajelor (MIC) pe 64 de biți	CRT/CBC-MAC (Cod de autentificare a înlănțuirii blocurilor de cifrat în modul contor - CCM) Parte a AES
Criptare	Cheie statică	Cheia de sesiune	Cheie per pachet prin TKIP	CCMP (AES)
Distribuția cheilor	O singură dată, manual	Segment de cheie principală (PMK) în pereche	Derivat din PMK	Derivat din PMK
Vector de inițializare	Text, 24 de biți	Text, 24 de biți	Vector avansat, 65 de biți	număr de pachet pe 48 de biți (PN)
Algoritm	RC4	RC4	RC4	AES
Lungimea cheii, biți	64/128	64/128	128	până la 256
Infrastructura necesară	Nu	RAZĂ	RAZĂ	RAZĂ

În timp ce WPA2 Personal (WPA2 PSK) este clar, o soluție de întreprindere necesită o atenție suplimentară.

WPA2 Enterprise

Aici avem de-a face cu un set suplimentar de protocoale diferite. Pe partea de client, o componentă software specială, solicitantul (de obicei parte a sistemului de operare) interacționează cu partea de autorizare, serverul AAA. Acest exemplu arată funcționarea unei rețele radio unificate construită pe puncte de acces ușoare și un controler. În cazul utilizării punctelor de acces cu „creiere”, întregul rol de intermediar între clienți și server poate fi preluat de punctul însuși. În acest caz, datele solicitantului client sunt transmise prin radioul format în protocolul 802.1x (EAPOL), iar pe partea controlerului sunt împachetate în pachete RADIUS.

Utilizarea mecanismului de autorizare EAP în rețeaua dvs. duce la faptul că, după autentificarea cu succes (aproape sigur deschisă) a clientului de către punctul de acces (împreună cu controlorul, dacă există), acesta din urmă cere clientului să autorizeze (confirmă autoritatea acestuia) cu serverul de infrastructură RADIUS:

Utilizare WPA2 Enterprise necesită un server RADIUS în rețeaua dvs. În prezent, cele mai eficiente produse sunt următoarele:

Microsoft Network Policy Server (NPS), fost IAS- configurat prin MMC, gratuit, dar trebuie să cumpărați Windows
Cisco Secure Access Control Server (ACS) 4.2, 5.3- configurat printr-o interfață web, cu funcționalitate sofisticată, vă permite să creați sisteme distribuite și tolerante la erori, costisitoare
FreeRADIUS- gratuit, configurat folosind configurații text, nu este convenabil de gestionat și monitorizat

În acest caz, controlorul monitorizează cu atenție schimbul de informații în curs și așteaptă autorizarea sau refuzul cu succes a acestuia. Dacă are succes, serverul RADIUS poate transfera parametri suplimentari către punctul de acces (de exemplu, în ce VLAN să plaseze abonatul, ce adresă IP să-l atribuie, profilul QoS etc.). La sfârșitul schimbului, serverul RADIUS permite clientului și punctului de acces să genereze și să schimbe chei de criptare (individuale, valabile doar pentru această sesiune):

EAP

Protocolul EAP în sine este bazat pe container, ceea ce înseamnă că mecanismul de autorizare real este lăsat în seama protocoalelor interne. În acest moment, următoarele au primit o distribuție semnificativă:

EAP-RAPID(Flexible Authentication via Secure Tunneling) - dezvoltat de Cisco; permite autorizarea folosind un login și o parolă transmise în tunelul TLS între solicitant și serverul RADIUS
EAP-TLS(Transport Layer Security). Utilizează o infrastructură de cheie publică (PKI) pentru a autoriza clientul și serverul (subiect și server RADIUS) prin certificate emise de o autoritate de certificare (CA) de încredere. Necesită emiterea și instalarea de certificate de client pe fiecare dispozitiv wireless, deci este potrivit doar pentru un mediu corporativ gestionat. Serverul de certificate Windows are facilități care permit clientului să-și genereze propriul certificat dacă clientul este membru al unui domeniu. Blocarea unui client se poate face cu ușurință prin revocarea certificatului acestuia (sau prin conturi).
EAP-TTLS(Tunneled Transport Layer Security) este similar cu EAP-TLS, dar nu necesită un certificat de client la crearea unui tunel. Într-un astfel de tunel, similar unei conexiuni SSL de browser, se efectuează o autorizare suplimentară (folosind o parolă sau altceva).
PEAP-MSCHAPv2(EAP protejat) - similar cu EAP-TTLS în ceea ce privește stabilirea inițială a unui tunel TLS criptat între client și server, necesitând un certificat de server. Ulterior, un astfel de tunel este autorizat folosind bine-cunoscutul protocol MSCHAPv2.
PEAP-GTC(Generic Token Card) - similar cu cel precedent, dar necesită carduri cu parolă unică (și infrastructura corespunzătoare)

Toate aceste metode (cu excepția EAP-FAST) necesită un certificat de server (pe serverul RADIUS) emis de o autoritate de certificare (CA). În acest caz, certificatul CA în sine trebuie să fie prezent pe dispozitivul clientului în grupul de încredere (care este ușor de implementat folosind Politica de grup în Windows). În plus, EAP-TLS necesită un certificat de client individual. Autenticitatea clientului este verificată atât printr-o semnătură digitală, cât și (opțional) prin compararea certificatului furnizat de client către serverul RADIUS cu ceea ce serverul a preluat din infrastructura PKI (Active Directory).

Suportul pentru oricare dintre metodele EAP trebuie să fie furnizat de un solicitant de partea clientului. Standardul încorporat Windows XP/Vista/7, iOS, Android oferă cel puțin EAP-TLS și EAP-MSCHAPv2, ceea ce face ca aceste metode să fie populare. Adaptoarele client Intel pentru Windows vin cu utilitarul ProSet, care extinde lista disponibilă. Clientul Cisco AnyConnect face același lucru.

Cât de fiabil este?

La urma urmei, ce este nevoie pentru ca un atacator să-ți pirateze rețeaua?

Pentru autentificare deschisă, fără criptare - nimic. Conectat la rețea și atât. Deoarece mediul radio este deschis, semnalul se deplasează în direcții diferite și nu este ușor să îl blocați. Dacă aveți adaptoarele client adecvate care vă permit să ascultați aerul, traficul de rețea este vizibil în același mod ca și când atacatorul s-ar fi conectat la fir, la hub, la portul SPAN al switch-ului.
Criptarea bazată pe WEP necesită doar timp IV și unul dintre multele utilitare de scanare disponibile gratuit.
Pentru criptarea bazată pe TKIP sau AES, decriptarea directă este posibilă în teorie, dar în practică nu au existat cazuri de hacking.

Desigur, puteți încerca să ghiciți cheia PSK sau parola pentru una dintre metodele EAP. Nu există atacuri comune cunoscute împotriva acestor metode. Puteți încerca să utilizați metode de inginerie socială sau

Pentru a vă proteja rețeaua Wi-Fi și a seta o parolă, trebuie să selectați tipul de securitate a rețelei fără fir și metoda de criptare. Și în această etapă, mulți oameni au o întrebare: pe care să o aleagă? WEP, WPA sau WPA2? Personal sau Enterprise? AES sau TKIP? Ce setări de securitate vă vor proteja cel mai bine rețeaua Wi-Fi? Voi încerca să răspund la toate aceste întrebări în cadrul acestui articol. Să luăm în considerare toate metodele posibile de autentificare și criptare. Să aflăm care parametri de securitate a rețelei Wi-Fi sunt cel mai bine setați în setările routerului.

Vă rugăm să rețineți că tipul de securitate sau autentificarea, autentificarea în rețea, protecția, metoda de autentificare sunt toate același lucru.

Tipul de autentificare și criptarea sunt principalele setări de securitate pentru o rețea Wi-Fi fără fir. Cred că mai întâi trebuie să ne dăm seama care sunt, ce versiuni există, capabilitățile lor etc. După care vom afla ce tip de protecție și criptare să alegem. Vă voi arăta folosind exemplul mai multor routere populare.

Recomand cu căldură să configurați o parolă și să vă protejați rețeaua wireless. Setați nivelul maxim de protecție. Dacă lăsați rețeaua deschisă, fără protecție, atunci oricine se poate conecta la ea. Acest lucru este în primul rând nesigur. Și, de asemenea, o încărcare suplimentară pe router, o scădere a vitezei de conectare și tot felul de probleme cu conectarea diferitelor dispozitive.

Protecția rețelei Wi-Fi: WEP, WPA, WPA2

Există trei opțiuni de protecție. Desigur, fără a lua în calcul „Open” (Fără protecție).

WEP(Wired Equivalent Privacy) este o metodă de autentificare învechită și nesigură. Aceasta este prima și nu foarte reușită metodă de protecție. Atacatorii pot accesa cu ușurință rețelele wireless care sunt protejate folosind WEP. Nu este nevoie să setați acest mod în setările routerului dvs., deși este prezent acolo (nu întotdeauna).
WPA(Wi-Fi Protected Access) este un tip de securitate fiabil și modern. Compatibilitate maximă cu toate dispozitivele și sistemele de operare.
WPA2– o versiune nouă, îmbunătățită și mai fiabilă de WPA. Există suport pentru criptarea AES CCMP. În acest moment, acesta este cel mai bun mod de a proteja o rețea Wi-Fi. Acesta este ceea ce recomand să folosești.

WPA/WPA2 poate fi de două tipuri:

WPA/WPA2 - Personal (PSK)- Aceasta este metoda obișnuită de autentificare. Când trebuie doar să setați o parolă (cheie) și apoi să o utilizați pentru a vă conecta la o rețea Wi-Fi. Aceeași parolă este utilizată pentru toate dispozitivele. Parola în sine este stocată pe dispozitive. Unde îl puteți vizualiza sau schimba dacă este necesar. Se recomandă utilizarea acestei opțiuni.
WPA/WPA2 - Enterprise- o metodă mai complexă care este utilizată în principal pentru protejarea rețelelor wireless din birouri și diverse unități. Permite un nivel mai ridicat de protecție. Folosit numai atunci când este instalat un server RADIUS pentru a autoriza dispozitivele (care emite parole).

Cred că ne-am dat seama de metoda de autentificare. Cel mai bun lucru de utilizat este WPA2 - Personal (PSK). Pentru o mai bună compatibilitate, astfel încât să nu existe probleme la conectarea dispozitivelor mai vechi, puteți seta modul mixt WPA/WPA2. Aceasta este setarea implicită pe multe routere. Sau marcat ca „Recomandat”.

Criptarea rețelei fără fir

Există două moduri TKIPȘi AES.

Se recomandă utilizarea AES. Dacă aveți dispozitive mai vechi în rețea care nu acceptă criptarea AES (ci doar TKIP) și vor apărea probleme la conectarea lor la rețeaua wireless, atunci setați-l pe „Automat”. Tipul de criptare TKIP nu este acceptat în modul 802.11n.

În orice caz, dacă instalați strict WPA2 - Personal (recomandat), atunci va fi disponibilă doar criptarea AES.

Ce protecție ar trebui să instalez pe routerul meu Wi-Fi?

Utilizare WPA2 - Personal cu criptare AES. Astăzi, acesta este cel mai bun și mai sigur mod. Iată cum arată setările de securitate a rețelei wireless pe routerele ASUS:

Și așa arată aceste setări de securitate pe routerele de la TP-Link (cu firmware vechi).

Puteți vedea instrucțiuni mai detaliate pentru TP-Link.

Instrucțiuni pentru alte routere:

Dacă nu știți unde să găsiți toate aceste setări pe router, atunci scrieți în comentarii, voi încerca să vă spun. Doar nu uitați să specificați modelul.

Deoarece este posibil ca dispozitivele mai vechi (adaptoare Wi-Fi, telefoane, tablete etc.) să nu accepte WPA2 - Personal (AES), în caz de probleme de conectare, setați modul mixt (Auto).

Observ adesea că după schimbarea parolei sau a altor setări de securitate, dispozitivele nu doresc să se conecteze la rețea. Calculatoarele pot primi eroarea „Setările de rețea salvate pe acest computer nu îndeplinesc cerințele acestei rețele”. Încercați să ștergeți (uitați) rețeaua de pe dispozitiv și să vă conectați din nou. Am scris cum să fac asta pe Windows 7. Dar în Windows 10 aveți nevoie de .

Parolă (cheie) WPA PSK

Indiferent de tipul de securitate și metodă de criptare pe care o alegeți, trebuie să setați o parolă. Cunoscută și sub numele de cheie WPA, parolă wireless, cheie de securitate a rețelei Wi-Fi etc.

Lungimea parolei este de la 8 la 32 de caractere. Puteți folosi litere din alfabetul latin și numere. De asemenea, caractere speciale: - @ $ # ! etc. Fara spatii! Parola face distincție între majuscule și minuscule! Aceasta înseamnă că „z” și „Z” sunt caractere diferite.

Nu recomand să setați parole simple. Este mai bine să creați o parolă puternică pe care nimeni nu o poate ghici, chiar dacă încearcă din greu.

Este puțin probabil să vă puteți aminti o parolă atât de complexă. Ar fi bine să-l notezi undeva. Nu este neobișnuit ca parolele Wi-Fi să fie pur și simplu uitate. Am scris in articol ce sa fac in astfel de situatii: .

Dacă aveți nevoie de și mai multă securitate, puteți utiliza legarea adresei MAC. Adevărat, nu văd necesitatea asta. WPA2 - Personal asociat cu AES și o parolă complexă este suficient.

Cum vă protejați rețeaua Wi-Fi? Scrieți în comentarii. Ei bine, pune intrebari :)