Meniu
AcasăiOS

Criptare wpa2 prezența portului lan. Care este diferența dintre WPA și WPA2. Introducere - Vulnerabilități WiFi

Există multe riscuri periculoase asociate cu protocoalele wireless și metodele de criptare. Astfel, designul robust al diferitelor protocoale de securitate wireless este folosit pentru a le minimiza. Aceste protocoale de securitate wireless asigură prevenirea accesului neautorizat la computere prin criptarea datelor transmise în rețea fără fir.

Diferența dintre protocoalele Wi-Fi WPA2, WPA, WEP

Majoritatea punctelor de acces wireless au opțiunea de a activa unul dintre cele trei standarde de criptare wireless:

  1. WEP (confidențialitate echivalentă prin cablu)
  2. WPA2

WEP sau confidențialitate echivalentă prin cablu

Prima rețea de securitate fără fir a fost WEP sau protocolul Wired Equivalent Privacy. A început cu criptarea pe 64 de biți (slab) și în cele din urmă a mers până la criptarea pe 256 de biți (puternic). Cea mai populară implementare în routere este încă criptarea pe 128 de biți (intermediar). Aceasta a fost considerată ca posibila solutie până când cercetătorii de securitate au descoperit mai multe vulnerabilități în el, permițând hackerilor să spargă cheia WEP în câteva minute. El a folosit CRC sau Verificarea redundanței ciclice.

Acces protejat WPA sau Wi-Fi

Pentru a rezolva deficiențele WEP, WPA a fost dezvoltat ca un nou standard de securitate pentru protocoale wireless. Pentru a asigura integritatea mesajului, a folosit protocol de integritateTKIP sau Integritatea cheii temporale. Acesta a fost diferit de WEP în anumite privințe, care a folosit CRC sau Cyclic Redundancy Check. Se credea că TKIP este mult mai puternic decât CRC. Utilizarea sa a asigurat că fiecare pachet de date a fost transmis folosind o cheie unică de criptare. Combinația de taste a crescut dificultatea decodării cheilor și, prin urmare, a redus numărul de intruziuni din exterior. Cu toate acestea, ca și WEP, WPA a avut și un dezavantaj. Astfel, WPA a fost extins în WPA 2.

WPA2

WPA 2 este în prezent recunoscut drept cel mai sigur protocol. Una dintre cele mai importante schimbări vizibile între WPA și WPA2 este utilizarea obligatorie a algoritmilor AES (Criptare avansată Standard) și introducere CCMP (Mod Counter Cipher with Blockchain Authentication Code Protocol) ca înlocuitor pentru TKIP. Modul CCM combină modul de confidențialitate (CTR) și autentificarea codului în lanț (CBC-MAC) pentru autentificare. Aceste moduri au fost studiate pe scară largă și par să aibă proprietăți criptografice bine înțelese care oferă securitate bunăși performanța în software sau hardware până în prezent.

ÎN în ultima vreme Au apărut multe publicații „de dezvăluire” despre piratarea unui nou protocol sau tehnologie care compromite securitatea rețelelor wireless. Este cu adevărat așa, de ce ar trebui să vă fie teamă și cum vă puteți asigura că accesul la rețeaua dvs. este cât mai sigur posibil? Cuvintele WEP, WPA, 802.1x, EAP, PKI înseamnă puțin pentru tine? Această scurtă prezentare generală va ajuta la reunirea tuturor tehnologiilor de criptare și de autorizare a accesului radio utilizate. Voi încerca să arăt că o rețea wireless configurată corespunzător reprezintă o barieră de netrecut pentru un atacator (până la o anumită limită, desigur).

Bazele

Orice interacțiune între punctul de acces (rețea) și client wireless, construit pe:
  • Autentificare- modul în care clientul și punctul de acces se prezintă unul față de celălalt și confirmă că au dreptul de a comunica unul cu celălalt;
  • Criptare- ce algoritm de codificare pentru datele transmise este utilizat, cum este generată cheia de criptare și când se modifică.

Parametrii unei rețele fără fir, în primul rând numele acesteia (SSID), sunt anunțați în mod regulat de punctul de acces în pachete de semnalizare. Pe lângă setările de securitate așteptate, se transmit solicitări pentru QoS, parametri 802.11n, viteze acceptate, informații despre alți vecini etc. Autentificarea determină modul în care clientul se prezintă la obiect. Opțiuni posibile:

  • Deschide- așa-numitul rețea deschisă, în care toate dispozitivele conectate sunt autorizate simultan
  • Partajat- autenticitatea dispozitivului conectat trebuie verificată cu o cheie/parolă
  • EAP- autenticitatea dispozitivului conectat trebuie verificată folosind protocolul EAP de către un server extern
Deschiderea rețelei nu înseamnă că oricine poate lucra cu ea cu impunitate. Pentru a transmite date într-o astfel de rețea, algoritmul de criptare utilizat trebuie să se potrivească și, în consecință, conexiunea criptată trebuie stabilită corect. Algoritmii de criptare sunt:
  • Nici unul- fără criptare, datele sunt transmise în text clar
  • WEP- cifrare bazată pe algoritmul RC4 cu diferite lungimi de chei statice sau dinamice (64 sau 128 de biți)
  • CKIP- înlocuire proprietară pentru WEP Cisco, versiunea timpurie a TKIP
  • TKIP- Înlocuire WEP îmbunătățită cu verificări și protecție suplimentare
  • AES/CCMP- cel mai avansat algoritm bazat pe AES256 cu verificări și protecție suplimentare

Combinaţie Deschideți autentificare, fără criptare utilizat pe scară largă în sistemele de acces pentru oaspeți, cum ar fi furnizarea de internet într-o cafenea sau un hotel. Pentru a vă conecta, trebuie doar să știți numele rețelei wireless. Adesea această conexiune este combinată cu verificare suplimentară către Portalul Captiv prin redirecționarea solicitării HTTP a utilizatorului către pagină suplimentară, unde puteți solicita confirmare (login-parolă, acord cu regulile etc.).

Criptare WEP este compromisă și nu poate fi utilizată (chiar și în cazul tastelor dinamice).

Termeni care apar frecvent WPAŞi WPA2 determina, de fapt, algoritmul de criptare (TKIP sau AES). Datorită faptului că adaptoarele client acceptă WPA2 (AES) de ceva timp, nu are rost să folosiți criptarea TKIP.

Diferența între WPA2 PersonalŞi WPA2 Enterprise de unde provin cheile de criptare folosite în mecanică algoritmul AES. Pentru aplicațiile private (acasă, mici), se utilizează o cheie statică (parolă, cuvânt cod, PSK (Pre-Shared Key)) cu o lungime minimă de 8 caractere, care este setată în setările punctului de acces și este aceeași pentru toți clienții unei rețele wireless date. Compromisul unei astfel de chei (au vărsat boabele unui vecin, un angajat a fost concediat, un laptop a fost furat) necesită o schimbare imediată a parolei pentru toți utilizatorii rămași, ceea ce este realist doar dacă există un număr mic de ei. Pentru aplicațiile corporative, după cum sugerează și numele, este utilizată o cheie dinamică, individuală pentru fiecare client care rulează în prezent. Această cheie poate fi actualizată periodic în timpul funcționării fără întreruperea conexiunii și este responsabilă pentru generarea acesteia componentă suplimentară- un server de autorizare și aproape întotdeauna acesta este un server RADIUS.

Toate parametrii posibili informațiile de siguranță sunt rezumate în această plăcuță:

Proprietate WEP static WEP dinamic WPA WPA 2 (întreprindere)
Identificare Utilizator, computer, card WLAN Utilizator, computer
Utilizator, computer
Utilizator, computer
Autorizare
Cheie partajată

EAP

EAP sau cheie partajată

EAP sau cheie partajată

Integritate

Valoarea de verificare a integrității pe 32 de biți (ICV)

ICV pe 32 de biți

Cod de integritate a mesajelor (MIC) pe 64 de biți

CRT/CBC-MAC (Cod de autentificare a înlănțuirii blocurilor de cifrat în modul contor - CCM) Parte a AES

Criptare

Cheie statică

Cheia de sesiune

Cheie per pachet prin TKIP

CCMP (AES)

Distribuția cheilor

O singură dată, manual

Segment de cheie principală (PMK) în pereche

Derivat din PMK

Derivat din PMK

Vector de inițializare

Text, 24 de biți

Text, 24 de biți

Vector avansat, 65 de biți

Număr de pachet pe 48 de biți (PN)

Algoritm

RC4

RC4

RC4

AES

Lungimea cheii, biți

64/128
64/128
128
până la 256

Infrastructura necesară

Nu

RAZĂ

RAZĂ

RAZĂ

Dacă totul este clar cu WPA2 Personal (WPA2 PSK), soluție de întreprindere necesită o atenție suplimentară.

WPA2 Enterprise



Aici avem de-a face cu un set suplimentar de protocoale diferite. Pe partea clientului există o componentă specială software Solicitantul (de obicei o parte a sistemului de operare) interacționează cu partea de autorizare, serverul AAA. ÎN în acest exemplu afișează funcționarea unei rețele radio unificate construită pe puncte de acces ușoare și un controler. În cazul utilizării punctelor de acces cu „creiere”, întregul rol de intermediar între clienți și server poate fi preluat de punctul însuși. În acest caz, datele solicitantului client sunt transmise prin radioul format în protocolul 802.1x (EAPOL), iar pe partea controlerului sunt împachetate în pachete RADIUS.

Utilizarea mecanismului de autorizare EAP în rețeaua dvs. duce la faptul că, după autentificarea cu succes (aproape sigur deschisă) a clientului de către punctul de acces (împreună cu controlorul, dacă există), acesta din urmă cere clientului să autorizeze (confirmă autoritatea acestuia) cu serverul de infrastructură RADIUS:

Utilizare WPA2 Enterprise necesită un server RADIUS în rețeaua dvs. În prezent, cele mai eficiente produse sunt următoarele:

  • Microsoft Network Policy Server (NPS), fost IAS- configurat prin MMC, gratuit, dar trebuie să cumpărați Windows
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3- configurat printr-o interfață web, cu funcționalitate sofisticată, vă permite să creați sisteme distribuite și tolerante la erori, costisitoare
  • FreeRADIUS- gratuit, configurat folosind configurații text, nu este convenabil de gestionat și monitorizat

În acest caz, controlorul monitorizează cu atenție schimbul de informații în curs și așteaptă autorizarea sau refuzul cu succes a acestuia. Dacă are succes, serverul RADIUS poate transmite către punctul de acces opțiuni suplimentare(de exemplu, în ce VLAN să plaseze abonatul, ce adresă IP să atribuiți, profilul QoS etc.). La sfârșitul schimbului, serverul RADIUS permite clientului și punctului de acces să genereze și să schimbe chei de criptare (individuale, valabile doar pentru această sesiune):

EAP

Protocolul EAP în sine este containerizat, adică mecanismul de autorizare propriu-zis este lăsat la latitudinea utilizatorului protocoale interne. În acest moment, următoarele au primit o distribuție semnificativă:
  • EAP-RAPID(Flexible Authentication via Secure Tunneling) - dezvoltat de Cisco; permite autorizarea folosind un login și o parolă transmise în interiorul tunelului TLS între solicitant și serverul RADIUS
  • EAP-TLS(Transport Layer Security). Utilizează infrastructura chei publice(PKI) pentru a autoriza clientul și serverul (aplicant și server RADIUS) prin certificate emise de o autoritate de certificare (CA) de încredere. Necesită emiterea și instalarea de certificate de client pe fiecare dispozitiv wireless, deci este potrivit doar pentru un mediu corporativ gestionat. Windows Certificate Server are facilități care permit clientului să-și genereze propriul certificat dacă clientul este membru al unui domeniu. Blocarea unui client se poate face cu ușurință prin revocarea certificatului acestuia (sau prin conturi).
  • EAP-TTLS(Tunneled Transport Layer Security) este similar cu EAP-TLS, dar nu necesită un certificat de client la crearea unui tunel. Într-un astfel de tunel, similar unei conexiuni SSL de browser, se efectuează o autorizare suplimentară (folosind o parolă sau altceva).
  • PEAP-MSCHAPv2(EAP protejat) - similar cu EAP-TTLS prin faptul că inițial stabilește un tunel TLS criptat între client și server, necesitând un certificat de server. Ulterior, autorizarea are loc într-un astfel de tunel folosind binecunoscutul protocol MSCHAPv2.
  • PEAP-GTC(Generic Token Card) - similar cu cel precedent, dar necesită carduri cu parolă unică (și infrastructura corespunzătoare)

Toate aceste metode (cu excepția EAP-FAST) necesită un certificat de server (pe serverul RADIUS) emis de o autoritate de certificare (CA). În acest caz, certificatul CA în sine trebuie să fie prezent pe dispozitivul clientului în grupul de încredere (care este ușor de implementat folosind politica de grup pe Windows). În plus, EAP-TLS necesită un certificat de client individual. Autentificarea clientului se realizează după cum urmează: semnătură digitală, deci (opțional) prin compararea certificatului furnizat de client către serverul RADIUS cu ceea ce serverul a preluat din infrastructura PKI (Active Directory).

Suportul pentru oricare dintre metodele EAP trebuie să fie furnizat de un solicitant de partea clientului. Standardul încorporat Windows XP/Vista/7, iOS, Android oferă cel puțin EAP-TLS și EAP-MSCHAPv2, ceea ce face ca aceste metode să fie populare. Adaptoarele client Intel pentru Windows vin cu un utilitar ProSet care se extinde lista disponibila. Clientul Cisco AnyConnect face același lucru.

Cât de fiabil este?

La urma urmei, de ce este nevoie ca un atacator să-ți pirateze rețeaua?

Pentru autentificare deschisă, fără criptare - nimic. Conectat la rețea și atât. Deoarece mediul radio este deschis, semnalul circulă înăuntru laturi diferite, blocarea nu este ușoară. Dacă aveți adaptoarele client adecvate care vă permit să ascultați aerul, traficul de rețea este vizibil în același mod ca și când atacatorul s-ar fi conectat la fir, la hub, la portul SPAN al switch-ului.
Criptarea bazată pe WEP necesită doar timp IV și unul dintre multele utilitare de scanare disponibile gratuit.
Pentru criptarea bazată pe TKIP sau AES, decriptarea directă este posibilă în teorie, dar în practică nu au existat cazuri de hacking.

Desigur, puteți încerca să ghiciți cheia PSK sau parola pentru una dintre metodele EAP. Atacurile comune împotriva acestor metode nu sunt cunoscute. Puteți încerca să utilizați metode inginerie socială, sau

Criptarea WPA implică utilizarea unei rețele Wi-Fi securizate. În general, WPA înseamnă Wi-Fi Protected Access, adică protejat.

Majoritate administratorii de sistem ei știu să configureze acest protocol și știu destul de multe despre el.

Dar de asemenea oameni obișnuiți pot învăța multe despre ce este WPA, cum să-l configurezi și cum să-l folosești.

Adevărat, pe internet puteți găsi multe articole pe acest subiect, din care este imposibil să înțelegeți nimic. Așa că astăzi vom vorbi într-un limbaj simplu O lucruri dificile.

Puțină teorie

Deci, WPA este un protocol, tehnologie, program care conține un set de certificate utilizate în timpul transmiterii.

Pentru a spune simplu, această tehnologie vă permite să utilizați diverse metode Pentru Protecție Wi-Fi retelelor.

Ar putea fi cheie electronică, care este, de asemenea, un certificat special al dreptului de a utiliza această rețea (vom vorbi despre asta mai târziu).

În general, cu ajutorul acestui program, doar cei care au dreptul să facă acest lucru vor putea folosi rețeaua și asta este tot ce trebuie să știi.

Pentru referință: Autentificarea este o măsură de securitate care vă permite să stabiliți identitatea unei persoane și dreptul acesteia de a accesa rețeaua comparând datele raportate cu cele așteptate.

De exemplu, o persoană poate fi autentificată atunci când atașează fișierul . Dacă pur și simplu își introduce numele și parola, aceasta este doar autorizare.

Dar o amprentă vă permite să verificați dacă această persoană se conectează cu adevărat și nu cineva i-a luat datele și a intrat cu ajutorul lor.

Orez. 1. Scaner de amprentă pe smartphone-ul dvs

Și, de asemenea, în diagramă există un WLC - controler de rețea locală fără fir. În dreapta este serverul de autentificare.

Toate acestea sunt conectate printr-un Switch obișnuit (un dispozitiv care pur și simplu se conectează diferit dispozitive de rețea). Cheia este trimisă de la controler la serverul de autentificare și stocată acolo.

Când un client încearcă să se conecteze la o rețea, trebuie să transmită la LAP o cheie pe care o cunoaște. Această cheie merge la serverul de autentificare și este comparată cu cu cheia potrivită.

Dacă cheile se potrivesc, semnalul se propagă liber către client.

Orez. 2. Exemplu de schemă WPA în Cisco Pocket Tracer

Componentele WPA

După cum am spus mai sus, WPA utilizează chei speciale care sunt generate de fiecare dată când încercați să începeți să transmiteți un semnal, adică porniți Wi-Fi și, de asemenea, schimbați de fiecare dată.

WPA include mai multe tehnologii care ajută la generarea și transmiterea acestor chei.

Figura de mai jos prezintă formula generală, care include toate componentele tehnologiei luate în considerare.

Orez. 3. Formula cu ingrediente WPA

Acum să ne uităm la fiecare dintre aceste componente separat:

  • 1X este un standard care este folosit pentru a genera aceeași cheie unică, cu ajutorul căreia are loc autentificarea în viitor.
  • EAP este așa-numitul protocol de autentificare extensibilă. Este responsabil pentru formatul mesajelor cu care sunt transmise cheile.
  • TKIP este un protocol care a făcut posibilă extinderea dimensiunii cheii la 128 de octeți (anterior, în WEP, era de doar 40 de octeți).
  • MIC este un mecanism de verificare a mesajelor (în special, acestea sunt verificate pentru integritate). Dacă mesajele nu îndeplinesc criteriile, acestea sunt trimise înapoi.

Merită spus că acum există deja WPA2, care, pe lângă toate cele de mai sus, folosește și criptarea CCMP și AES.

Nu vom vorbi despre ce este acum, dar WPA2 este mai sigur decât WPA. Asta e tot ce trebuie să știi cu adevărat.

Încă o dată de la început

Deci, ai. Folosit în rețea Tehnologia WPA.

Pentru a se conecta la Wi-Fi, fiecare dispozitiv trebuie să furnizeze un certificat de utilizator sau, mai simplu, o cheie specială emisă de serverul de autentificare.

Abia atunci va putea folosi rețeaua. Asta este!

Acum știi ce este WPA. Acum să vorbim despre ce este bine și ce este rău la această tehnologie.

Avantajele și dezavantajele criptării WPA

Avantajele acestei tehnologii ar include următoarele:

  1. Securitate îmbunătățită a transmisiei de date (comparativ cu WEP, predecesorul său, WPA).
  2. Control mai strict al accesului la Wi-Fi.
  3. Compatibil cu un număr mare dispozitive care sunt folosite pentru a organiza o rețea fără fir.
  4. Management centralizat securitate. Centrul în acest caz este serverul de autentificare. Din acest motiv, atacatorii nu pot obține acces la datele ascunse.
  5. Întreprinderile își pot folosi propriile politici de securitate.
  6. Ușor de configurat și utilizat.

Desigur, această tehnologie are și dezavantaje, iar acestea sunt adesea destul de semnificative. În special, despre care vorbim iată despre ce este vorba:

  1. O cheie TKIP poate fi spartă în maximum 15 minute. Acest lucru a fost declarat de un grup de specialiști în 2008 la conferința PacSec.
  2. În 2009, specialiștii de la Universitatea din Hiroshima au dezvoltat o metodă de a pirata orice rețea care folosește WPA într-un minut.
  3. Folosind o vulnerabilitate numită Hole196 de către experți, poți folosi WPA2 cu propria ta cheie, și nu cu cea cerută de serverul de autentificare.
  4. În cele mai multe cazuri, orice WPA poate fi spart folosind o simplă căutare a tuturor opțiuni posibile(forța brută), precum și utilizarea așa-numitului atac de dicționar. În al doilea caz, opțiunile sunt folosite nu într-o ordine haotică, ci conform dicționarului.

Desigur, pentru a profita de toate aceste vulnerabilități și probleme, trebuie să aveți cunoștințe speciale în domeniul construcțiilor rețele de calculatoare.

Toate acestea sunt inaccesibile pentru majoritatea utilizatorilor obișnuiți. Prin urmare, nu trebuie să vă faceți griji prea mult pentru ca cineva să obțină acces la Wi-Fi.

Orez. 4. Hoț și computer

O zi bună, dragi cititori ai blogului! Astăzi vom vorbi despre securitatea wireless DIR-615, despre securitatea rețeleiîn general. Vă voi spune care este conceptul de WPA. Mai jos sunt instrucțiuni pas cu pas configurarea unei rețele fără fir folosind un expert, despre automată și moduri manuale numiri cheie de rețea. În continuare vom arăta cum adăugați un dispozitiv fără fir utilizând expertul WPS. În cele din urmă, voi oferi o descriere a configurațiilor WPA-Personal (PSK) și WPA-Enterprise (RADIUS).

Securitatea rețelei

În acest articol, așa cum am promis, voi scrie despre diferite niveluri securitate pe care o puteți folosi pentru a vă proteja datele de intruși. Oferte DIR-615 următoarele tipuri securitate:

Ce este WPA?

WPA sau acces protejat prin Wi-Fi Acces Wi-Fi), - Aceasta Standard Wi-Fi, care a fost conceput pentru a îmbunătăți capacitățile de securitate WEP.

2 îmbunătățiri majore față de WEP:

  • Criptare îmbunătățită a datelor prin TKIP. TKIP amestecă cheile utilizând un algoritm de hashing și adăugând o funcție de verificare a integrității, asigurându-se astfel că cheile nu pot fi modificate. WPA2 se bazează pe 802.11i și folosește AESîn loc de TKIP.
  • Autentificarea utilizatorului, care este în general absentă în WEP, prin EAP. WEP reglementează accesul la o rețea fără fir pe baza hardware-ului specific adrese MAC un computer care este relativ ușor de aflat și de furat. EAP este construit pe mai mult sistem securizat criptare cu cheie publică pentru a se asigura că numai autorizat utilizatorii rețelei va putea accesa rețeaua.

WPA-PSK/WPA2-PSK utilizează o expresie de acces sau o cheie pentru a vă autentifica conexiune fără fir. Această cheie este o parolă alfanumerică cu lungimea cuprinsă între 8 și 63 de caractere. Parola poate include caractere (!?*&_) și spații. Această cheie trebuie să fie exact aceeași cheie care este introdusă pe dvs router wireless sau punct de acces.

WPA/WPA2 permite autentificarea utilizatorului prin EAP. EAP este construit pe un sistem de criptare cu chei publice mai sigur pentru a se asigura că numai utilizatorii autorizați de rețea pot accesa rețeaua.

Expert de configurare fără fir

Pentru a lansa expertul de securitate, deschideți dimineața Înființatși apoi faceți clic pe butonul Expert de configurare a rețelei fără fir .

Atribuirea automată a cheii de rețea

Odată ce apare acest ecran, instalarea este finalizată. Vi se va furniza un raport detaliat al setărilor de securitate a rețelei.
Clic Salva a continua.

Alocarea manuală a cheii de rețea

Selecta parola wireless securitate. trebuie să aibă exact 5 sau 13 caractere. De asemenea, poate avea exact 10 sau 26 de caractere folosind 0-9 și A-F.
Faceți clic pentru a continua.

Instalarea este finalizată. Vi se va furniza un raport detaliat al setărilor dvs. de securitate wireless. Clic Salva pentru a finaliza Expertul de securitate.

Adăugați un dispozitiv fără fir utilizând expertul WPS

PBC: Selectați această opțiune pentru a utiliza metoda PBC pentru a adăuga un client wireless. Clic Conectați-vă .

Configurație WPA-Personal (PSK).

Este recomandat să activați criptarea pe routerul dumneavoastră fără fir înainte de a porni adaptoarele de rețea fără fir. Vă rugăm să instalați opțiunea conexiune fără firînainte de a activa criptarea. Dvs semnal wireless se poate agrava atunci când criptarea este activată din cauza supraîncărcării suplimentare.


Configurație WPA-Enterprise (RADIUS).

Este recomandat să activați criptarea pe routerul dumneavoastră fără fir înainte de a porni adaptoarele de rețea fără fir. Vă rugăm să stabiliți conexiunea fără fir înainte de a activa criptarea. Semnalul dvs. wireless se poate degrada atunci când activați criptarea din cauza supraîncărcării suplimentare.

  1. Conectați-vă la utilitarul de configurare bazat pe web deschizând o fereastră de browser web și introducând adresa IP a routerului (192.168.0.1). Clic Înființat si apoi Setări wireless pe partea stângă.
  2. Următorul în Modul de securitate , selectați WPA-Enterprise.
    Comentariu: Ar trebui dezactivat

Protocol WPA2 definit de standardul IEEE 802.11i, creat în 2004 pentru a înlocui . Se implementează CCMPși criptare AES, datorită căruia WPA2 a devenit mai sigur decât predecesorul său. Din 2006 sprijin WPA2 este condiție prealabilă pentru toate dispozitivele certificate.

Diferența dintre WPA și WPA2

Găsirea diferenței dintre WPA2 și WPA2 nu este relevantă pentru majoritatea utilizatorilor, deoarece toată securitatea rețelei wireless se reduce la mai mult sau mai puține alegeri parolă complexă pentru acces. Astăzi situația este de așa natură încât toate dispozitivele funcționează în Rețele Wi-Fi, sunt necesare pentru a suporta WPA2, astfel încât alegerea WPA poate fi determinată doar de situații non-standard. De exemplu, sisteme de operare mai vechi decât Windows XP SP3 nu acceptă WPA2 fără aplicarea de corecții, astfel încât mașinile și dispozitivele gestionate de astfel de sisteme necesită atenția unui administrator de rețea. Chiar și unii smartphone-uri moderne este posibil să nu accepte noul protocol de criptare, acest lucru se aplică în principal gadgeturilor asiatice care nu sunt de marcă. Pe de altă parte, unii versiuni Windows mai vechi decât XP nu acceptă lucrul cu WPA2 la nivel GPO, așa că în acest caz necesită o reglare mai fină a conexiunilor de rețea.

Diferența tehnică dintre WPA și WPA2 este tehnologia de criptare, în special protocoalele utilizate. WPA folosește protocolul TKIP, WPA2 utilizează protocolul AES. În practică, aceasta înseamnă că WPA2 mai modern oferă un grad mai ridicat de securitate a rețelei. De exemplu, protocolul TKIP vă permite să creați o cheie de autentificare de până la 128 de biți, AES - până la 256 de biți.

Diferența dintre WPA2 și WPA este următoarea:

  • WPA2 este o îmbunătățire față de WPA.
  • WPA2 utilizează protocolul AES, WPA utilizează protocolul TKIP.
  • WPA2 este acceptat de toate dispozitivele wireless moderne.
  • Este posibil ca WPA2 să nu fie acceptat de sistemele de operare mai vechi.
  • WPA2 are un nivel de securitate mai mare decât WPA.

Autentificare WPA2

Atât WPA, cât și WPA2 funcționează în două moduri de autentificare: personalŞi corporativ (întreprindere). În modul WPA2-Personal de la introdus în text clar expresie de acces este generată o cheie de 256 de biți, uneori numită cheie pre-partajată. Cheia PSK, precum și identificatorul și lungimea acesteia din urmă, formează împreună baza matematică pentru formarea cheii perechii principale PMK (cheie principală în pereche), care este folosit pentru a inițializa o strângere de mână în patru direcții și pentru a genera o cheie temporară perechi sau de sesiune PTK (Cheie tranzitorie în pereche), pentru interacțiune fără fir dispozitivul utilizatorului cu un punct de acces. Ca și protocolul static, protocolul WPA2-Personal are probleme cu distribuirea și întreținerea cheilor, ceea ce îl face mai potrivit pentru utilizare în birouri mici decât în ​​întreprinderi.

Cu toate acestea, WPA2-Enterprise abordează cu succes provocările distribuției și gestionării cheilor statice, iar integrarea sa cu majoritatea serviciilor de autentificare a întreprinderii oferă control al accesului bazat pe cont. Acest mod necesită informații de conectare, cum ar fi un nume de utilizator și o parolă, un certificat de securitate sau parola unică; autentificarea se realizează între statie de lucruși un server central de autentificare. Punctul de acces sau controlerul fără fir monitorizează conexiunea și redirecționează pachetele de autentificare către serverul de autentificare corespunzător, de obicei . Modul WPA2-Enterprise se bazează pe standardul 802.1X, care acceptă autentificarea utilizatorului și a mașinii bazată pe controlul portului, potrivit atât pentru comutatoare cu fir, cât și pentru puncte wireless acces.

Criptare WPA2

Standardul WPA2 se bazează pe Criptare AES care a înlocuit Standardele DESși 3DES ca standard industrial de facto. AES cu consum intensiv de calcul necesită suport hardware care nu este întotdeauna disponibil în echipamentele WLAN mai vechi.

WPA2 utilizează protocolul CBC-MAC (Cipher Block Chaining Message Authentication Code) pentru autentificare și integritatea datelor și Modul Counter (CTR) pentru criptarea datelor și suma de control MIC. Codul de integritate a mesajelor (MIC) WPA2 nu este altceva decât o sumă de control și, spre deosebire de WPA, oferă integritatea datelor pentru câmpurile de antet 802.11 imuabile. Acest lucru previne atacurile de reluare a pachetelor care încearcă să decripteze pachetele sau să compromită informațiile criptografice.

Un vector de inițializare (IV) pe 128 de biți este utilizat pentru a calcula MIC, AES și o cheie temporară sunt folosite pentru a cripta IV-ul, iar rezultatul este un rezultat de 128 de biți. În continuare, se efectuează o operație SAU exclusivă asupra acestui rezultat și a următorilor 128 de biți de date. Rezultatul este criptat folosind AES și TK și apoi peste ultimul rezultat iar următorii 128 de biți de date efectuează din nou o operație SAU exclusivă. Procedura se repetă până când toată sarcina utilă este epuizată. Primii 64 de biți ai primit ultimul pas rezultatele sunt utilizate pentru a calcula valoarea MIC.

Un algoritm bazat pe modul de contor este utilizat pentru a cripta datele și MIC. Ca și în cazul criptării vectorului de inițializare MIC, execuția acestui algoritm începe cu preîncărcare Un contor de 128 de biți, în care câmpul contor ia valoarea contorului setată la unu în loc de valoarea corespunzătoare lungimii datelor. Astfel, un contor diferit este folosit pentru a cripta fiecare pachet.

Primii 128 de biți de date sunt criptați folosind AES și TK, iar apoi se efectuează o operație SAU exclusivă pe rezultatul pe 128 de biți al acestei criptări. Primii 128 de biți de date produc primul bloc criptat de 128 de biți. Valoarea contorului preîncărcată este incrementată și criptată folosind AES și o cheie de criptare a datelor. Apoi operația SAU exclusivă este efectuată din nou pe rezultatul acestei criptări și următorii 128 de biți de date.

Procedura se repetă până când toate blocurile de date de 128 de biți sunt criptate. Valoarea finală din câmpul contor este apoi resetata la zero, contorul este criptat folosind algoritmul AES, iar apoi rezultatul criptării și MIC-ul sunt XORed. Rezultat ultima operatie andocat la cadrul criptat.

Odată ce MIC este calculat folosind protocolul CBC-MAC, datele și MIC sunt criptate. Apoi, un antet 802.11 și un câmp de număr de pachet CCMP sunt adăugate la aceste informații în partea din față, un trailer 802.11 este andocat și totul este trimis împreună la adresa de destinație.

Decriptarea datelor se realizează în ordinea inversă a criptării. Pentru a extrage contorul, se folosește același algoritm ca și pentru criptarea acestuia. Un algoritm de decriptare bazat pe modul de contor și o cheie TK sunt utilizate pentru a decripta contorul și porțiunea criptată a încărcăturii utile. Rezultatul acestui proces sunt date decriptate și suma de control MIC. După aceasta, MIC-ul pentru datele decriptate este recalculat utilizând algoritmul CBC-MAC. Dacă valorile MIC nu se potrivesc, pachetul este aruncat. Dacă valorile specificate se potrivesc, datele decriptate sunt trimise către stiva de rețea si apoi catre client.