Meniul
Acasăexcela

Criptare wpa2 prezența portului lan. Securitate în rețelele WiFi. Criptare WEP, WPA, WPA2. Cum funcționează protecția WiFi

Expres Internet prin cablu devine din ce în ce mai accesibil. Și odată cu dezvoltarea tehnologie mobilă devine problemă de actualitate utilizare internet de acasă pe fiecare dispozitiv. Un router Wi-Fi servește acestui scop; scopul său este de a distribui conexiune fără fir Internet între diferiți utilizatori.

O atenție deosebită trebuie acordată securității rețelei dvs.

Când cumpărați, trebuie doar să îl configurați prima dată când îl porniți. Un disc cu un utilitar de configurare este furnizat împreună cu routerul. Face configurarea rețelei dvs. de acasă la fel de ușoară precum decojirea perelor. Dar cu toate acestea, utilizatori neexperimentați Problemele apar adesea în stadiul setărilor de securitate a rețelei. Sistemul vă solicită să selectați o metodă de autentificare și există cel puțin patru opțiuni din care să alegeți. Fiecare dintre ele are anumite avantaje și dezavantaje, iar dacă doriți să vă protejați de acțiunile atacatorilor, ar trebui să alegeți cea mai fiabilă opțiune. Despre asta este articolul nostru.

Metode de autentificare

Majoritatea modelelor de routere de acasă acceptă următoarele metode de autentificare în rețea: fără criptare, WEP, WPA/WPA2-Enterprise, WPA/WPA2-Personal (WPA/WPA2-PSK). Ultimele trei au și mai mulți algoritmi de criptare. Să aruncăm o privire mai atentă.

Lipsa de protectie

Această metodă vorbește de la sine. Conexiunea este complet deschisă, absolut oricine se poate conecta la ea. De obicei, această metodă este utilizată în în locuri publice, dar este mai bine să nu-l folosești acasă. Minimul cu care acest lucru te amenință este că vecinii tăi îți vor ocupa canalul atunci când sunt conectați și pur și simplu nu vei putea primi viteza maxima conform ta plan tarifar. În cel mai rău caz, atacatorii pot folosi acest lucru în propriile lor scopuri, furându-ți informații confidențiale sau săvârșirea altor acte ilegale. Dar nu trebuie să vă amintiți parola, dar trebuie să recunoașteți că acesta este un avantaj destul de dubios.

WEP

Când utilizați această metodă de autentificare în rețea informatiile transmise protejat cu cheie secreta. Tipul de protecție este " Sistem deschis„ și „Cheie partajată”. În primul caz, identificarea are loc datorită filtrării după adresa MAC fără utilizare cheie suplimentară. Protecția este, de fapt, cea mai minimă și, prin urmare, nesigură. În a doua trebuie să vii cod secret, care va fi folosit ca cheie de securitate. Poate fi de 64, 128 din 152 de biți. Sistemul vă va spune cât de lung ar trebui să fie codul, în funcție de codificarea acestuia - hexazecimal sau ASCII. Puteți seta mai multe astfel de coduri. Fiabilitatea protecției este relativă și a fost mult timp considerată depășită.

WPA/WPA2 – Enterprise și WPA/WPA2-Personal

Foarte metoda de incredere autentificarea rețelei, în primul caz este folosită în întreprinderi, în al doilea - acasă și în birouri mici. Diferența dintre ele este că în versiunea acasă se folosește o cheie permanentă, care este configurată la punctul de acces. Împreună cu algoritmul de criptare și SSID conexiune formează o conexiune sigură. Pentru a obține acces la o astfel de rețea, trebuie să cunoașteți parola. Prin urmare, dacă este de încredere și nu îl dezvăluiți nimănui, aceasta este o opțiune ideală pentru un apartament sau casă. În plus, aproape toți producătorii îl marchează ca fiind recomandat.

În al doilea caz, se folosește o cheie dinamică și fiecărui utilizator i se atribuie una individuală. Nu are rost să te deranjezi cu asta acasă, așa că este folosit doar în întreprinderile mari unde securitatea datelor corporative este foarte importantă.

Fiabilitatea suplimentară depinde și de algoritmul de criptare. Există două dintre ele: AES și TKIP. Este mai bine să îl folosiți pe primul, deoarece acesta din urmă este un derivat al WEP și s-a dovedit a fi un eșec.

Cum se schimbă metoda de autentificare Wi-Fi

Dacă ați configurat anterior autentificarea pentru conexiunea dvs., dar nu sunteți sigur care metoda corecta, asigurați-vă că îl verificați acum. Accesați setările routerului introducând adresa IP, login-ul și parola acestuia în browser (puteți citi mai multe în articolul Adresa IP a routerului de pe site-ul nostru). Trebuie să accesați fila Setări de securitate a rețelei. ÎN diferite modele router, acesta poate fi localizat diferit. Apoi selectați o metodă de autentificare în rețea, veniți cu parola puternica, faceți clic pe „Salvare” și reporniți routerul. Nu uitați să vă reconectați la rețea de pe toate dispozitivele.

Concluzie

Sperăm că ați găsit aceste informații utile. Nu neglijați setările de securitate Wi-Fi. Nu-l lăsați deschis, ci selectați metoda de autentificare recomandată și algoritm corect criptare.

Ce metodă de securitate a conexiunii folosești? Distribuie cu noi în comentarii.

TKIP și AES sunt două tip alternativ criptare care este utilizată în modurile de securitate WPA și WPA2. În setările de securitate a rețelei fără fir din routere și puncte de acces, puteți alege una dintre trei variante criptare:

  • TKIP;
  • TKIP+AES.

Dacă selectați ultima opțiune (combinată), clienții se vor putea conecta la punctul de acces folosind oricare dintre cei doi algoritmi.

TKIP sau AES? Ce e mai bine?

Răspunde pentru aparate moderne, algoritmul AES este cu siguranță mai potrivit.

Folosiți TKIP numai dacă aveți probleme în a alege primul (uneori se întâmplă ca atunci când îl utilizați Criptare AES Conexiunea cu punctul de acces este întreruptă sau nu este stabilită deloc. Aceasta se numește de obicei incompatibilitate hardware).

Care este diferența

AES este un algoritm modern și mai sigur. Este compatibil cu standardul 802.11n și oferă de mare viteză transmiterea datelor.

TKIP este depreciat. Are mai multe nivel scăzut securitate și acceptă rate de transfer de date de până la 54 Mbit/s.

Cum se trece de la TKIP la AES

Cazul 1. Punctul de acces funcționează în modul TKIP+AES

În acest caz, trebuie doar să schimbați tipul de criptare pe dispozitivele client. Cel mai simplu mod de a face acest lucru este să ștergeți profilul de rețea și să vă conectați din nou la el.

Cazul 2: Punctul de acces utilizează numai TKIP

În acest caz:

1. Mai întâi, accesați interfața web a punctului de acces (sau, respectiv, a routerului). Schimbați criptarea în AES și salvați setările (citiți mai multe mai jos).

2. Schimbați criptarea pe dispozitivele client (mai multe detalii în paragraful următor). Și din nou, este mai ușor să uiți rețeaua și să te conectezi din nou la ea introducând cheia de securitate.

Activarea criptării AES pe router

Folosind D-Link ca exemplu

Accesați secțiunea Configurare wireless.

Faceți clic pe butonul Configurare manuală a conexiunii fără fir.

Setați modul de securitate WPA2-PSK.

Găsiți un articol Tip de cifrăși setați valoarea AES.

Clic Salvează setările.

Folosind TP-Link ca exemplu

Deschideți secțiunea Fără fir.

Selectați un articol Securitate wireless.

În câmp Versiune Selectați WPA2-PSK.

În câmp Criptare Selectați AES.

Faceți clic pe butonul Salvați:

Schimbați tipul de criptare wireless în Windows

Windows 10 și Windows 8.1

Aceste versiuni ale sistemului de operare nu au un . Prin urmare, există trei opțiuni pentru modificarea criptării.

Opțiunea 1. Windows însuși va detecta o nepotrivire în setările de rețea și vă va solicita să introduceți din nou cheia de securitate. În acest caz, algoritmul de criptare corect va fi instalat automat.

Opțiunea 2. Windows nu se va putea conecta și va oferi să uite rețeaua prin afișarea butonului corespunzător:

După aceasta, vă veți putea conecta la rețea fără probleme, deoarece... profilul ei va fi șters.

Opțiunea 3. Va trebui să ștergeți manual profilul de rețea prin Linie de comandași abia apoi conectați-vă din nou la rețea.

Urmați acești pași:

1 Lansați promptul de comandă.

2 Introduceți comanda:

Netsh wlan show profiluri

pentru a afișa o listă de profiluri de rețea fără fir salvate.

3 Acum introduceți comanda:

Netsh wlan șterge profilul „numele rețelei tale”

pentru a șterge profilul selectat.

Dacă numele rețelei conține un spațiu (de exemplu „wifi 2”), pune-l între ghilimele.

Imaginea prezintă toate acțiunile descrise:

4 Acum faceți clic pe pictograma rețelei wireless din bara de activități:

5 Selectați o rețea.

6 Faceți clic Conectați:

7 Introduceți cheia de securitate.

Windows 7

Totul este mai simplu și mai clar aici.

1 Faceți clic pe pictograma rețelei fără fir din bara de activități.


3 Faceți clic pe link Managementul rețelei fără fir:

4 Faceți clic Click dreapta mouse-ul pe profilul rețelei dorite.

5 Selectați Proprietăți:

Atenţie! La acest pas puteți, de asemenea, să faceți clic Ștergeți rețeauași conectați-vă la el din nou! Dacă decideți să faceți acest lucru, nu trebuie să citiți mai departe.

6 Accesați fila Siguranță.

Odată cu proliferarea rețelelor wireless, a protocoalelor Criptare WPAși WPA2 au devenit cunoscute de aproape toți proprietarii de dispozitive care se conectează la Wi-Fi. Ele sunt indicate în proprietățile conexiunii și în atenția majorității utilizatorilor care nu sunt administratorii de sistem, atrage un minim. Este suficient să știți că WPA2 este o evoluție a WPA și, prin urmare, WPA2 este mai nou și mai potrivit pentru rețelele moderne.

WPA este un protocol de criptare conceput pentru a proteja rețelele wireless din standardul IEEE 802.11, dezvoltat de Wi-Fi Alliance în 2003 ca ​​înlocuitor pentru protocolul WEP învechit și nesigur.
WPA2- un protocol de criptare care este o dezvoltare îmbunătățită a WPA, introdus în 2004 de Wi-Fi Alliance.

Diferența dintre WPA și WPA2

Găsirea diferenței dintre WPA și WPA2 nu este relevantă pentru majoritatea utilizatorilor, deoarece toată securitatea rețelei wireless se reduce la mai mult sau mai puține alegeri parolă complexă pentru acces. Astăzi situația este de așa natură încât toate dispozitivele funcționează în Rețele Wi-Fi, sunt necesare pentru a suporta WPA2, astfel încât alegerea WPA poate fi determinată doar de situatii non-standard. De exemplu, OS mai vechi decât Windows XP SP3 nu acceptă WPA2 fără aplicarea de corecții, astfel încât mașinile și dispozitivele gestionate de astfel de sisteme necesită atenția unui administrator de rețea. Chiar și unii smartphone-uri moderne este posibil să nu accepte noul protocol de criptare, acest lucru se aplică în principal gadgeturilor asiatice care nu sunt de marcă. Pe de altă parte, unii versiuni Windows mai vechi decât XP nu acceptă WPA2 la nivel de obiect Politica de grup, deci în acest caz necesită mai mult reglaj fin conexiuni de retea.
Diferența tehnică dintre WPA și WPA2 este tehnologia de criptare, în special protocoalele utilizate. WPA folosește protocolul TKIP, WPA2 utilizează protocolul AES. În practică, aceasta înseamnă că WPA2 mai modern oferă un grad mai ridicat de securitate a rețelei. De exemplu, protocolul TKIP vă permite să creați o cheie de autentificare de până la 128 de biți, AES - până la 256 de biți.

TheDifference.ru a stabilit că diferența dintre WPA2 și WPA este următoarea:

WPA2 este o îmbunătățire față de WPA.
WPA2 utilizează protocolul AES, WPA utilizează protocolul TKIP.
WPA2 este acceptat de toate dispozitivele wireless moderne.
Este posibil ca WPA2 să nu fie acceptat de sistemele de operare mai vechi.
WPA2 este mai sigur decât WPA.

Salutare tuturor!

Am analizat puțin din comentariile pe care vizitatorii le lasă pe site, am verificat solicitările și am realizat că există o problemă foarte frecventă cu conectarea la Wi-Fi, despre care nu am scris încă. Însă pe site au fost lăsate multe comentarii care cer ajutorul pentru a rezolva această problemă. Am sfătuit ceva acolo, dar nu știu dacă sfatul meu te-a ajutat (rareori scrie cineva despre rezultate 🙁).

Și ieri, Roman (Multumesc omule bun :) Am lăsat un comentariu la articol în care am împărtășit informații despre cum a rezolvat problema „Salvat, protecție WPA\WPA2”. Acest comentariu m-a ajutat să înțeleg puțin problema și am decis să adun toate sfaturile pentru rezolvarea acestei erori într-un articol.

Esența problemei

Când conectați un telefon sau o tabletă (cel mai probabil pe Android), La rețeaua de acasă, sau undeva într-o cafenea, în dreptul numelui rețelei apare o inscripție „Salvat, protecție WPA\WPA2”. Și nu se întâmplă nimic altceva. Dacă faceți clic pe această rețea și selectați A conecta, atunci nu se va întâmpla nimic. Puteți vedea cum arată această eroare în captura de ecran de mai sus.

Am provocat în mod special această problemă pe routerul meu Wi-Fi Asus RT-N13U și am încercat să mă conectez telefon HTC One V (Android 4.0). Așa că am primit acest mesaj „Salvat, protecție WPA\WPA2”. În plus, totul a funcționat prima dată. Cum? Da, foarte simplu. În setările routerului meu, „Modul de rețea fără fir” a fost setat la modul Auto și l-am setat doar la n. Am salvat setările, am deconectat telefonul de la Wi-Fi, dar nu a mai fost posibil să mă conectez :)

Principalele cauze ale erorii „Salvat, protecție WPA\WPA2”

Prieteni, nu pot spune exact totul și da sfaturi care vor funcționa sută la sută, sper că înțelegeți. Toate dispozitivele sunt diferite, fiecare are setări diferite și multe alte nuanțe.

Dar voi încerca să adun motivele cunoscute de mine și modalități de a le rezolva, prin care poate apărea o astfel de problemă cu conectarea la o rețea wireless.

Dacă, atunci când vă conectați la o rețea fără fir, vedeți mesajul „Salvat, protejat WPA\WPA2” pe telefon (poate puțin diferit), atunci merită să verificați aceste setări (recomand să verificați în aceeași ordine):

Pentru a începe, pur și simplu reporniți routerul.

Am observat deja această problemă de mai multe ori: Internetul de pe telefon pur și simplu nu mai funcționează, dar există o conexiune și rețeaua este bună. Opresc și pornesc Wi-Fi pe telefon, dar nu se mai conectează la rețea, scrie „Salvat, protecție WPA2”. Doar repornirea routerului ajută.

  1. Setați regiunea corectă în setările routerului
  2. Verificați dacă parola pentru rețeaua Wi-Fi este corectă
  3. Verificați (modificați) modul de funcționare a rețelei fără fir în setările routerului
  4. Verificați (modificați) tipul de criptare și tipul de securitate, schimbați parola în setările routerului
  5. Experimentați cu schimbarea canalului pe care funcționează rețeaua dvs. wireless.
  6. Încercați să schimbați lățimea canalului.

Și acum mai detaliat în toate punctele

Setați regiunea corectă în setările routerului

Foarte des, această eroare apare tocmai pentru că setările Wi-Fi sunt setate în regiunea greșită.

Sunt pe exemplu Tp-Link Vă voi arăta cum să schimbați regiunea. Dacă aveți un router de la o altă companie, atunci aceste setări sunt cel mai probabil modificate pe aceeași pagină în care setați numele și alte setări ale rețelei wireless.

În Panoul de control, accesați fila Fără fir (mod fără fir)și opus punctului Regiune indicați țara în care vă aflați.

Salvați setările făcând clic pe butonul Salvați(Salva) .

Verificați-vă parola și conectați-vă din nou

Este posibil să fi introdus incorect parola (deși atunci cel mai probabil va merge conexiune permanentă, rotund. Dar trebuie să verificați), iar înainte de a intra în setările routerului, vă sfătuiesc să verificați acest lucru.

Puteți întreba cum pot introduce parola din nou, deoarece cererea de parolă nu apare. Trebuie să ștergeți conexiunea. Doar faceți clic pe rețea și selectați Șterge.

Acum, faceți clic din nou pe rețea și introduceți parola Wi-Fi. Doar asigurați-vă că este corect. Dacă ați uitat, uitați-vă la parola în setările routerului sau pe computerul conectat (Dacă există). Citiți mai multe în articol.

Verificarea modului de funcționare a rețelei fără fir

Mi se pare că asta Motivul principal. Doar dispozitivul dvs (telefon, tableta) este posibil să nu accepte modul de operare în care funcționează routerul.

Modul de operare este acelea scrisori ciudate b/g/n, pe care probabil l-ați observat deja în setările routerului. Încercați să experimentați schimbarea modurilor. Nu uitați să reporniți routerul după fiecare modificare și să opriți/porniți Wi-Fi pe telefon (tabletă).

Așa că am instalat n Only în loc de Auto și a apărut o eroare. Ce se întâmplă dacă, de exemplu, aveți deja n Doar în setările dvs.? Iată problemele tale.

Schimbarea tipului de criptare/securitate, parola

Este posibil ca dispozitivul dvs. pur și simplu să nu-i placă tipul de securitate sau de criptare pe care le folosește routerul. Sau nu-ți place parola.

Vă sfătuiesc să setați următoarele valori:

WPA/WPA2 - Personal (recomandat)

Versiune: WPA-PSK

Criptare: AES

Parola PSK (cheie) – numai cel puțin opt caractere și numere.

Salvăm, repornim routerul, ștergem conexiunea la telefon și ne conectăm introducând o nouă parolă.

Atenţie! După schimbarea parolei sau a altor setări de securitate, pot apărea probleme la conectarea altor dispozitive care erau deja conectate la această rețea (calculatoare, laptopuri, televizoare).

Experimentarea canalului pe care funcționează rețeaua Wi-Fi

Este puțin probabil, desigur, dar ar putea fi. Am scris despre ce este un canal de rețea fără fir, cum să-l schimb și de ce în articol -.

Încercați să experimentați și vedeți dacă vă ajută.

Latimea canalului

Există un astfel de punct în Setări Wi-Fi router, cum ar fi Latimea canalului. Dacă aveți, de exemplu, TP-Link și meniul este în engleză, atunci se numește latimea canalului.

Acolo puteți selecta mai multe opțiuni: Auto, 20MHz și 40MHz - în funcție de router. Încercați să instalați mai întâi Auto(sau în Asus 20MHz/40MHz), dacă asta nu ajută, atunci separat.

Unde pot schimba lățimea canalului?

Accesați setările routerului ( adresa 192.168.1.1 sau 192.168.0.1, introduceți autentificare/parolă - uitați-vă în partea de jos a routerului).

Asus

Accesați fila Retea fara firși modificați valoarea opusă Latimea canalului.

TP-Link

Tab Fără firSetări wireless, paragraful latimea canalului.

Nu uitați să salvați setările și să reporniți routerul.

Postfaţă

Se pare că am scris tot ce mi-am dorit. Chiar sper ca sfatul meu sa te ajute. Veți scăpa de această problemă și vă veți împrieteni cu telefonul sau tableta Router Wi-Fi 🙂 .

Poate că știți și alte soluții la această problemă, împărtășiți-le în comentarii - vă voi fi recunoscător!

Cele mai bune gânduri!

De asemenea pe site:

Telefonul (tableta) nu se conectează la Wi-Fi, scrie „Salvat, protejat WPA\WPA2” actualizat: 7 februarie 2018 de: admin

ÎN În ultima vreme Au apărut multe publicații „de dezvăluire” despre piratarea unui nou protocol sau tehnologie care compromite securitatea rețelelor wireless. Este cu adevărat așa, de ce ar trebui să vă fie teamă și cum vă puteți asigura că accesul la rețeaua dvs. este cât mai sigur posibil? Cuvintele WEP, WPA, 802.1x, EAP, PKI înseamnă puțin pentru tine? Acest scurtă recenzie va contribui la reunirea tuturor tehnologiilor aplicabile de criptare și autorizare a accesului radio. Voi încerca să arăt că o rețea wireless configurată corespunzător reprezintă o barieră de netrecut pentru un atacator (până la o anumită limită, desigur).

Bazele

Orice interacțiune între punctul de acces (rețea) și client wireless, construit pe:

  • Autentificare- modul în care clientul și punctul de acces se prezintă unul față de celălalt și confirmă că au dreptul de a comunica unul cu celălalt;
  • Criptare- ce algoritm de codificare pentru datele transmise este utilizat, cum este generată cheia de criptare și când se modifică.

Parametrii unei rețele fără fir, în primul rând numele acesteia (SSID), sunt anunțați în mod regulat de către punctul de acces în pachete de semnalizare. Pe lângă setările de securitate așteptate, se transmit solicitări pentru QoS, parametri 802.11n, viteze acceptate, informații despre alți vecini etc. Autentificarea determină modul în care clientul se prezintă la obiect. Opțiuni posibile:

  • Deschis- așa-zisul rețea deschisă, în care toate dispozitivele conectate sunt autorizate simultan
  • Impartit- autenticitatea dispozitivului conectat trebuie verificată cu o cheie/parolă
  • EAP- autenticitatea dispozitivului conectat trebuie verificată folosind protocolul EAP de către un server extern

Deschiderea rețelei nu înseamnă că oricine poate lucra cu ea cu impunitate. Pentru a transmite date într-o astfel de rețea, algoritmul de criptare utilizat trebuie să se potrivească și, în consecință, conexiunea criptată trebuie stabilită corect. Algoritmii de criptare sunt:

  • Nici unul- fără criptare, datele sunt transmise în text clar
  • WEP- cifrare bazată pe algoritmul RC4 cu diferite lungimi de chei statice sau dinamice (64 sau 128 de biți)
  • CKIP- înlocuire proprietară pentru WEP Cisco, versiunea timpurie a TKIP
  • TKIP- Înlocuire WEP îmbunătățită cu verificări și protecție suplimentare
  • AES/CCMP- cel mai avansat algoritm bazat pe AES256 cu verificări și protecție suplimentare

Combinaţie Deschideți autentificare, fără criptare utilizat pe scară largă în sisteme acces oaspeților cum ar fi furnizarea de internet într-o cafenea sau hotel. Pentru a vă conecta, trebuie doar să știți numele rețelei wireless. Adesea această conexiune este combinată cu verificare suplimentară către Portalul Captiv prin redirecționarea solicitării HTTP a utilizatorului către pagină suplimentară, unde puteți solicita confirmare (login-parolă, acord cu regulile etc.).

Criptare WEP este compromisă și nu poate fi utilizată (chiar și în cazul cheilor dinamice).

Termeni care apar frecvent WPAȘi WPA2 determina, de fapt, algoritmul de criptare (TKIP sau AES). Datorită faptului că adaptoarele client acceptă WPA2 (AES) de ceva timp, nu are rost să folosiți criptarea TKIP.

Diferență între WPA2 PersonalȘi WPA2 Enterprise de unde provin cheile de criptare folosite în mecanică algoritmul AES. Pentru aplicațiile private (acasă, mici), se utilizează o cheie statică (parolă, cuvânt cod, PSK (Pre-Shared Key)) cu o lungime minimă de 8 caractere, care este setată în setările punctului de acces și este aceeași pentru toți clienții unei rețele wireless date. Compromisul unei astfel de chei (au vărsat boabele unui vecin, un angajat a fost concediat, un laptop a fost furat) necesită o schimbare imediată a parolei pentru toți utilizatorii rămași, ceea ce este realist doar dacă există un număr mic de ei. Pentru aplicațiile corporative, după cum sugerează și numele, este utilizată o cheie dinamică, individuală pentru fiecare client care lucrează acest moment. Această cheie poate fi actualizată periodic în timpul funcționării fără întreruperea conexiunii și este responsabilă pentru generarea acesteia componentă suplimentară- un server de autorizare și aproape întotdeauna acesta este un server RADIUS.

Toate parametrii posibili informațiile de siguranță sunt rezumate în această plăcuță:

Proprietate WEP static WEP dinamic WPA WPA 2 (întreprindere)
Identificare Utilizator, computer, card WLAN Utilizator, computer Utilizator, computer Utilizator, computer
Autorizare Cheie partajată EAP EAP sau cheie partajată EAP sau cheie partajată
Integritate Valoarea de verificare a integrității pe 32 de biți (ICV) ICV pe 32 de biți Cod de integritate a mesajelor (MIC) pe 64 de biți CRT/CBC-MAC (Cod de autentificare a înlănțuirii blocurilor de cifrat în modul contor - CCM) Parte a AES
Criptare Cheie statică Cheia de sesiune Cheie per pachet prin TKIP CCMP (AES)
Distribuția cheilor O singură dată, manual Segment de cheie principală (PMK) în pereche Derivat din PMK Derivat din PMK
Vector de inițializare Text, 24 de biți Text, 24 de biți Vector avansat, 65 de biți număr de pachet pe 48 de biți (PN)
Algoritm RC4 RC4 RC4 AES
Lungimea cheii, biți 64/128 64/128 128 până la 256
Infrastructura necesară Nu RAZĂ RAZĂ RAZĂ

Dacă totul este clar cu WPA2 Personal (WPA2 PSK), soluție de întreprindere necesită o atenție suplimentară.

WPA2 Enterprise



Aici avem de-a face set suplimentar diverse protocoale. Pe partea clientului există o componentă specială software Solicitantul (de obicei o parte a sistemului de operare) interacționează cu partea de autorizare, serverul AAA. ÎN în acest exemplu afișează funcționarea unei rețele radio unificate construite pe puncte de acces ușoare și un controler. În cazul utilizării punctelor de acces cu „creiere”, întregul rol de intermediar între clienți și server poate fi preluat de punctul însuși. În acest caz, datele solicitantului client sunt transmise prin radioul format în protocolul 802.1x (EAPOL), iar pe partea controlerului sunt împachetate în pachete RADIUS.

Utilizarea mecanismului de autorizare EAP în rețeaua dvs. duce la faptul că, după autentificarea cu succes (aproape sigur deschisă) a clientului de către punctul de acces (împreună cu controlorul, dacă există), acesta din urmă cere clientului să autorizeze (confirmă autoritatea acestuia) cu serverul de infrastructură RADIUS:


Utilizare WPA2 Enterprise necesită un server RADIUS în rețeaua dvs. În prezent, cele mai eficiente produse sunt următoarele:

  • Microsoft Network Policy Server (NPS), fost IAS- configurat prin MMC, gratuit, dar trebuie să cumpărați Windows
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3- poate fi configurat printr-o interfață web, este sofisticat în funcționalitate, vă permite să creați sisteme distribuite și tolerante la erori, este costisitor
  • FreeRADIUS- gratuit, configurat folosind configurații text, nu este convenabil de gestionat și monitorizat

În acest caz, controlorul monitorizează cu atenție schimbul de informații în curs și așteaptă autorizarea sau refuzul cu succes a acestuia. Dacă are succes, serverul RADIUS poate transmite către punctul de acces Opțiuni suplimentare(de exemplu, în ce VLAN să plaseze abonatul, ce adresă IP să atribuiți, profilul QoS etc.). La sfârșitul schimbului, serverul RADIUS permite clientului și punctului de acces să genereze și să schimbe chei de criptare (individuale, valabile doar pentru această sesiune):


EAP

Protocolul EAP în sine este containerizat, adică mecanismul de autorizare propriu-zis este lăsat la latitudinea utilizatorului protocoale interne. Pe în prezent Următoarele au primit o distribuție semnificativă:

  • EAP-RAPID(Flexible Authentication via Secure Tunneling) - dezvoltat de Cisco; permite autorizarea folosind un login și o parolă transmise în tunelul TLS între solicitant și serverul RADIUS
  • EAP-TLS(Transport Layer Security). Utilizează infrastructura chei publice(PKI) pentru a autoriza clientul și serverul (aplicant și server RADIUS) prin certificate emise de o autoritate de certificare (CA) de încredere. Necesită emiterea și instalarea de certificate de client pe fiecare dispozitiv wireless, deci este potrivit doar pentru un mediu corporativ gestionat. Serverul de certificate Windows are facilități care permit clientului să-și genereze propriul certificat dacă clientul este membru al unui domeniu. Blocarea unui client se poate face cu ușurință prin revocarea certificatului acestuia (sau prin conturi).
  • EAP-TTLS(Tunneled Transport Layer Security) este similar cu EAP-TLS, dar nu necesită un certificat de client la crearea unui tunel. Într-un astfel de tunel, similar unei conexiuni SSL de browser, se efectuează o autorizare suplimentară (folosind o parolă sau altceva).
  • PEAP-MSCHAPv2(EAP protejat) - similar cu EAP-TTLS în ceea ce privește stabilirea inițială a unui tunel TLS criptat între client și server, necesitând un certificat de server. Ulterior, un astfel de tunel este autorizat folosind bine-cunoscutul protocol MSCHAPv2.
  • PEAP-GTC(Generic Token Card) - similar cu cel precedent, dar necesită carduri parole unice(și infrastructura aferentă)

Toate aceste metode (cu excepția EAP-FAST) necesită un certificat de server (pe serverul RADIUS) emis de o autoritate de certificare (CA). În acest caz, certificatul CA în sine trebuie să fie prezent pe dispozitivul clientului în grupul de încredere (care este ușor de implementat folosind Politica de grup în Windows). În plus, EAP-TLS necesită un certificat de client individual. Autentificarea clientului se realizează după cum urmează: semnatura digitala, deci (opțional) prin compararea certificatului furnizat de client către serverul RADIUS cu ceea ce serverul a preluat din infrastructura PKI (Active Directory).

Suportul pentru oricare dintre metodele EAP trebuie să fie furnizat de un solicitant de partea clientului. Standardul încorporat Windows XP/Vista/7, iOS, Android oferă cel puțin EAP-TLS și EAP-MSCHAPv2, ceea ce face ca aceste metode să fie populare. Adaptoarele client Intel pentru Windows vin cu un utilitar ProSet care se extinde lista disponibila. Clientul Cisco AnyConnect face același lucru.



Cât de fiabil este?

La urma urmei, ce este nevoie pentru ca un atacator să-ți pirateze rețeaua?

Pentru autentificare deschisă, fără criptare - nimic. Conectat la rețea și atât. Deoarece mediul radio este deschis, semnalul circulă înăuntru laturi diferite, blocarea nu este ușoară. Dacă aveți adaptoare client adecvate care vă permit să ascultați emisiunea, trafic de rețea vizibil ca și cum atacatorul s-ar fi conectat la fir, la hub, la portul SPAN al switch-ului.
Criptarea bazată pe WEP necesită doar timp de forță brută IV și unul dintre multele utilitare de scanare disponibile gratuit.
Pentru criptarea bazată pe TKIP sau AES, decriptarea directă este posibilă în teorie, dar în practică nu au existat cazuri de hacking.

Desigur, puteți încerca să ghiciți cheia PSK sau parola pentru una dintre metodele EAP. Atacurile comune împotriva acestor metode nu sunt cunoscute. Puteți încerca să utilizați metode Inginerie sociala, sau criptoanaliza termorectală.

Puteți obține acces la o rețea protejată prin EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 numai dacă cunoașteți parola de conectare a utilizatorului (piratarea ca atare este imposibilă). Atacurile precum atacurile cu forță brută sau cele care vizează vulnerabilități în MSCHAP nu sunt, de asemenea, posibile sau dificile din cauza faptului că canalul client-server EAP este protejat de un tunel criptat.

Accesul la o rețea închisă de PEAP-GTC este posibil fie prin piratarea serverului de token, fie prin furtul jetonului împreună cu parola acestuia.

Accesul la o rețea închisă de EAP-TLS este posibil prin furtul unui certificat de utilizator (împreună cu cheia sa privată, desigur) sau prin eliberarea unui certificat valid, dar fals. Acest lucru este posibil doar dacă centrul de certificare este compromis, care în companiile normale este protejat ca cea mai valoroasă resursă IT.

Deoarece toate metodele de mai sus (cu excepția PEAP-GTC) permit stocarea (memorizarea în cache) a parolelor/certificatelor, dacă sunt furate dispozitiv mobil atacatorul primește acces complet fără întrebări din partea rețelei. Ca măsură preventivă, complet criptare hard disc cu o cerere de parolă la pornirea dispozitivului.

Amintiți-vă: cu un design adecvat retea fara fir poate fi protejat foarte bine; Nu există mijloace de a pirata o astfel de rețea (într-o anumită măsură)