Meniu
AcasăPrograme

tehnologie wpa. Tehnologii și algoritmi de criptare. Tip de criptare a rețelei fără fir: cum să alegeți o metodă de securitate

Astăzi, mulți oameni au acasă un router Wi-Fi. La urma urmei, wireless este mult mai ușor să conectezi la internet un laptop, o tabletă și un smartphone, dintre care există mai mulți decât oameni în fiecare familie. Și acesta (routerul) este, în esență, poarta de acces către universul informațional. Citiți ușa din față. Și depinde de această ușă dacă un oaspete neinvitat va veni la tine fără permisiunea ta. Prin urmare, este foarte important să acordați atenție configurației corecte a routerului, astfel încât rețeaua dvs. wireless să nu fie vulnerabilă.

Nu cred că trebuie să vă reamintesc că ascunderea SSID-ului punctului de acces nu vă protejează. Restricționarea accesului prin adresa MAC nu este eficientă. Prin urmare, numai metode moderne de criptare și o parolă complexă.

De ce criptați? Cine are nevoie de mine? Nu am nimic de ascuns

Nu este atât de înfricoșător dacă fură codul PIN de pe cardul tău de credit și retrag toți banii de pe acesta. Mai mult, dacă cineva navighează pe internet pe cheltuiala ta, cunoscând parola Wi-Fi. Și nu este atât de înfricoșător dacă îți publică fotografiile de la petreceri corporative în care arăți inestetic. Este mult mai ofensator când atacatorii intră în computerul tău și șterg fotografii cu cum ți-ai luat fiul de la maternitate, cum a făcut primii pași și a trecut în clasa întâi. Backup-urile sunt un subiect aparte, bineînțeles că trebuie făcute... Dar în timp, reputația îți poate fi restabilită, poți câștiga bani, dar fotografiile care îți sunt dragi nu mai sunt acolo. Cred că toată lumea are ceva ce nu vrea să piardă.
Routerul dvs. este un dispozitiv de frontieră între privat și public, așa că asigurați-vă că este complet protejat. În plus, nu este atât de dificil.

Tehnologii și algoritmi de criptare

Omit teoria. Nu contează cum funcționează, principalul lucru este să știi cum să-l folosești.
Tehnologii de securitate wireless dezvoltate în următoarea ordine cronologică: WEP, WPA, WPA2. Au evoluat și metodele de criptare RC4, TKIP, AES.
Cea mai bună în ceea ce privește securitatea astăzi este combinația WPA2-AES. Exact așa ar trebui să încercați să configurați Wi-Fi. Ar trebui să arate cam așa:

WPA2 este obligatoriu din 16 martie 2006. Dar uneori mai poți găsi echipamente care nu-l suportă. În special, dacă aveți Windows XP instalat pe computer fără al treilea pachet de servicii, atunci WPA2 nu va funcționa. Prin urmare, din motive de compatibilitate, pe routere găsiți opțiuni de configurare WPA2-PSK -> AES+TKIP și o altă menajerie.
Dar dacă flota dvs. de dispozitive este modernă, atunci este mai bine să utilizați WPA2 (WPA2-PSK) -> AES, ca opțiune cea mai sigură astăzi.

Care este diferența dintre WPA(WPA2) și WPA-PSK(WPA2-PSK)

Standardul WPA oferă Protocolul de autentificare extensibil (EAP) ca bază pentru mecanismul de autentificare a utilizatorului. O condiție indispensabilă pentru autentificare este prezentarea de către utilizator a unui certificat (altfel numit acreditiv) care confirmă dreptul său de acces la rețea. Pentru a obține acest drept, utilizatorul este verificat cu o bază de date specială de utilizatori înregistrați. Fără autentificare, utilizatorului i se va interzice utilizarea rețelei. Baza de utilizatori înregistrați și sistemul de verificare în rețelele mari se află de obicei pe un server special (cel mai adesea RADIUS).
Modul cheie pre-partajată simplificat (WPA-PSK, WPA2-PSK) vă permite să utilizați o singură parolă, care este stocată direct în router. Pe de o parte, totul este simplificat, nu este nevoie să creați și să mențineți o bază de utilizatori, pe de altă parte, toată lumea se conectează cu aceeași parolă.
Acasă, este mai indicat să folosiți WPA2-PSK, adică modul simplificat al standardului WPA. Securitatea Wi-Fi nu suferă de această simplificare.

Parola de acces Wi-Fi

Totul este simplu aici. Parola pentru punctul de acces fără fir (router) trebuie să aibă mai mult de 8 caractere și să conțină litere în diferite majuscule, numere și semne de punctuație. Și nu ar trebui să fie asociat cu tine în niciun fel. Aceasta înseamnă că datele de naștere, numele dumneavoastră, numerele de mașină, numerele de telefon etc. nu pot fi folosite ca parolă.
Deoarece este aproape imposibil să spargeți WPA2-AES frontal (au fost doar câteva cazuri simulate în condiții de laborator), principalele metode de spargere a WPA2 sunt atacul de dicționar și forța brută (căutarea secvențială a tuturor opțiunilor de parole). Prin urmare, cu cât parola este mai complexă, cu atât mai puține șanse au atacatorii.

... în URSS, dulapurile automate de depozitare au devenit larg răspândite în gările de cale ferată. Codul de blocare era o literă și trei cifre. Cu toate acestea, puțini oameni știu că prima versiune a dulapurilor de depozitare folosea 4 cifre ca o combinație de cod. S-ar părea care este diferența? La urma urmei, numărul de combinații de coduri este același - 10.000 (zece mii). Dar, după cum a arătat practica (în special Departamentul de Investigații Criminale din Moscova), când unei persoane i s-a cerut să folosească o combinație de 4 cifre ca parolă pentru o celulă de depozitare, mulți oameni și-au folosit anul nașterii (pentru a nu uita ). Ceea ce atacatorii au folosit cu succes. La urma urmei, se cunoșteau primele două cifre din data nașterii majorității absolute a populației țării - 19. Tot ce rămâne este să se determine cu ochi vârsta aproximativă a persoanei de înregistrare a bagajelor și oricare dintre noi poate face asta cu o precizie de +/- 3 ani, iar restul pe care îl primim (mai precis, atacatorii) este mai puțin de 10 combinații pentru selectarea unui cod de acces la un dulap automat de stocare...

Cea mai populară parolă

Lenea și iresponsabilitatea umană își iau pragul. Iată o listă cu cele mai populare parole:

  1. 123456
  2. qwerty
  3. 111111
  4. 123123
  5. 1a2b3c
  6. Data nașterii
  7. Număr de telefon mobil

Reguli de securitate la crearea unei parole

  1. Fiecare a lui. Adică, parola routerului nu ar trebui să se potrivească cu nicio altă parolă pe care o aveți. Din poștă, de exemplu. Faceți o regulă ca toate conturile să aibă propriile parole și toate să fie diferite.
  2. Folosiți parole puternice care nu pot fi ghicite. De exemplu: 2Rk7-kw8Q11vlOp0

Parola Wi-Fi are un avantaj imens. Nu trebuie să-ți amintești. Puteți să-l scrieți pe o bucată de hârtie și să o lipiți de partea de jos a routerului.

Zona Wi-Fi pentru oaspeți

Dacă routerul vă permite să organizați o zonă pentru oaspeți. Atunci asigurați-vă că o faceți. Protejându-l în mod natural cu WPA2 și o parolă puternică. Și acum, când prietenii vin la tine acasă și cer acces la internet, nu trebuie să le spui parola ta principală. În plus, zona de oaspeți din routere este izolată de rețeaua principală. Și orice problemă cu dispozitivele oaspeților dvs. nu va afecta rețeaua dvs. de acasă.

Cheia de securitate a rețelei este o parolă pe care o puteți utiliza pentru a vă conecta la o rețea Wi-Fi funcțională. Funcționarea sigură a unei rețele fără fir depinde direct de aceasta. Sarcina sa principală este de a proteja utilizatorul Wi-Fi (proprietar) de conexiunea neautorizată la acesta. Unii ar putea crede că o astfel de conexiune, în general, nu va interfera prea mult cu lucrul pe Internet. De fapt, este plin de o scădere semnificativă a vitezei Internetului. Prin urmare, trebuie acordată cea mai mare atenție creării unei parole.

Pe lângă complexitatea reală a parolei care este creată, gradul de securitate al unei rețele wireless Wi-Fi este în mare măsură influențat de tipul de criptare a datelor. Importanța tipului de criptare se explică prin faptul că toate datele transmise într-o anumită rețea sunt criptate. Un astfel de sistem vă permite să vă protejați de conexiunile neautorizate, deoarece fără a cunoaște parola, un utilizator terță parte care își folosește dispozitivul pur și simplu nu va putea decripta datele transmise în rețeaua wireless.

Tipuri de criptare a rețelei

În prezent, routerele Wi-Fi folosesc trei tipuri diferite de criptare.

Ele diferă unele de altele nu numai prin numărul de caractere disponibile pentru a crea o parolă, ci și prin alte caracteristici la fel de importante.

Cel mai slab și mai puțin popular tip de criptare astăzi este WEP. În general, acest tip de criptare a fost folosit înainte și acum este rar folosit. Iar ideea aici nu este doar învechirea acestui tip de criptare. El este cu adevărat nesigur. Utilizatorii care folosesc dispozitive criptate WEP au șanse destul de mari de a avea propria cheie de securitate a rețelei piratată de o terță parte. Acest tip de criptare nu este acceptat de multe routere Wi-Fi moderne.

Ultimele două tipuri de criptare sunt mult mai sigure și sunt mult mai frecvent utilizate. În același timp, utilizatorii au posibilitatea de a alege nivelul de securitate al rețelei. Astfel, WPA și WPA2 acceptă două tipuri de verificări de securitate.

Unul dintre ele este conceput pentru utilizatorii obișnuiți și conține o singură parolă unică pentru toate dispozitivele conectate.

Celălalt este folosit pentru afaceri și îmbunătățește semnificativ fiabilitatea rețelei Wi-Fi. Esența sa este că fiecare dispozitiv individual își creează propria cheie de securitate unică.

Astfel, devine aproape imposibil să te conectezi la rețeaua altcuiva fără permisiune.

Cu toate acestea, atunci când alegeți viitorul router, ar trebui să alegeți exact modelul care acceptă criptarea WPA2. Acest lucru se explică prin fiabilitatea sa mai mare în comparație cu WPA. Deși, desigur, criptarea WPA este de o calitate destul de înaltă. Majoritatea routerelor acceptă ambele tipuri de criptare.

Cum să aflați cheia de securitate a rețelei Wi-Fi

Puteți utiliza mai multe metode pentru a afla cheia de securitate a rețelei wireless.

Există multe riscuri periculoase asociate cu protocoalele wireless și metodele de criptare. Astfel, designul robust al diferitelor protocoale de securitate wireless este folosit pentru a le minimiza. Aceste protocoale de securitate wireless asigură prevenirea accesului neautorizat la computere prin criptarea datelor transmise într-o rețea fără fir.

Diferența dintre protocoalele Wi-Fi WPA2, WPA, WEP

Majoritatea punctelor de acces wireless au opțiunea de a activa unul dintre cele trei standarde de criptare wireless:

  1. WEP (confidențialitate echivalentă prin cablu)
  2. WPA2

WEP sau confidențialitate echivalentă prin cablu

Prima rețea de securitate fără fir a fost WEP sau protocolul Wired Equivalent Privacy. A început cu criptarea pe 64 de biți (slab) și în cele din urmă a mers până la criptarea pe 256 de biți (puternic). Cea mai populară implementare în routere este încă criptarea pe 128 de biți (în mijloc). Aceasta a fost considerată o soluție posibilă până când cercetătorii de securitate au descoperit mai multe vulnerabilități în ea, permițând hackerilor să spargă cheia WEP în câteva minute. El a folosit CRC sau Verificarea redundanței ciclice.

Acces protejat WPA sau Wi-Fi

Pentru a rezolva deficiențele WEP, WPA a fost dezvoltat ca un nou standard de securitate pentru protocoalele wireless. Pentru a asigura integritatea mesajului, a folosit protocol de integritateTKIP sau Integritatea cheii temporale. Acesta a fost diferit de WEP în anumite privințe, care a folosit CRC sau Cyclic Redundancy Check. TKIP a fost considerat a fi mult mai puternic decât CRC. Utilizarea sa a asigurat că fiecare pachet de date a fost transmis folosind o cheie unică de criptare. Combinația de taste a crescut dificultatea decodării cheilor și, prin urmare, a redus numărul de intruziuni din exterior. Cu toate acestea, ca și WEP, WPA a avut și un dezavantaj. Astfel, WPA a fost extins în WPA 2.

WPA2

WPA 2 este în prezent recunoscut drept cel mai sigur protocol. Una dintre cele mai importante schimbări vizibile între WPA și WPA2 este utilizarea obligatorie a algoritmilor AES (Standard avansat de criptare) și introducere CCMP (Mod Counter Cipher with Blockchain Authentication Code Protocol) ca înlocuitor pentru TKIP. Modul CCM combină modul de confidențialitate (CTR) și autentificarea codului în lanț (CBC-MAC) pentru autentificare. Aceste moduri au fost studiate pe scară largă și s-au dovedit a avea proprietăți criptografice bine înțelese care oferă securitate și performanță bune în software sau hardware astăzi.

Recent, au apărut multe publicații „dezvăluitoare” despre piratarea unui alt protocol sau tehnologie care compromite securitatea rețelelor wireless. Este cu adevărat așa, de ce ar trebui să vă fie teamă și cum vă puteți asigura că accesul la rețeaua dvs. este cât mai sigur posibil? Cuvintele WEP, WPA, 802.1x, EAP, PKI înseamnă puțin pentru tine? Această scurtă prezentare generală va ajuta la reunirea tuturor tehnologiilor de criptare și de autorizare a accesului radio utilizate. Voi încerca să arăt că o rețea wireless configurată corespunzător reprezintă o barieră de netrecut pentru un atacator (până la o anumită limită, desigur).

Bazele

Orice interacțiune între un punct de acces (rețea) și un client wireless se bazează pe:
  • Autentificare- modul în care clientul și punctul de acces se prezintă unul față de celălalt și confirmă că au dreptul de a comunica unul cu celălalt;
  • Criptare- ce algoritm de codificare pentru datele transmise este utilizat, cum este generată cheia de criptare și când se modifică.

Parametrii unei rețele fără fir, în primul rând numele acesteia (SSID), sunt anunțați în mod regulat de punctul de acces în pachete de semnalizare. Pe lângă setările de securitate așteptate, se transmit solicitări pentru QoS, parametri 802.11n, viteze acceptate, informații despre alți vecini etc. Autentificarea determină modul în care clientul se prezintă la obiect. Opțiuni posibile:

  • Deschide- o așa-numită rețea deschisă în care toate dispozitivele conectate sunt autorizate imediat
  • Partajat- autenticitatea dispozitivului conectat trebuie verificată cu o cheie/parolă
  • EAP- autenticitatea dispozitivului conectat trebuie verificată folosind protocolul EAP de către un server extern
Deschiderea rețelei nu înseamnă că oricine poate lucra cu ea cu impunitate. Pentru a transmite date într-o astfel de rețea, algoritmul de criptare utilizat trebuie să se potrivească și, în consecință, conexiunea criptată trebuie stabilită corect. Algoritmii de criptare sunt:
  • Nici unul- fără criptare, datele sunt transmise în text clar
  • WEP- cifrare bazată pe algoritmul RC4 cu diferite lungimi de chei statice sau dinamice (64 sau 128 de biți)
  • CKIP- înlocuire proprietară pentru WEP Cisco, versiunea timpurie a TKIP
  • TKIP- Înlocuire WEP îmbunătățită cu verificări și protecție suplimentare
  • AES/CCMP- cel mai avansat algoritm bazat pe AES256 cu verificări și protecție suplimentare

Combinaţie Deschideți autentificare, fără criptare utilizat pe scară largă în sistemele de acces pentru oaspeți, cum ar fi furnizarea de internet într-o cafenea sau un hotel. Pentru a vă conecta, trebuie doar să știți numele rețelei wireless. Adesea, o astfel de conexiune este combinată cu verificarea suplimentară pe Portalul Captiv prin redirecționarea solicitării HTTP a utilizatorului către o pagină suplimentară de unde puteți solicita confirmarea (login-parolă, acord cu regulile etc.).

Criptare WEP este compromisă și nu poate fi utilizată (chiar și în cazul cheilor dinamice).

Termeni care apar frecvent WPAŞi WPA2 determina, de fapt, algoritmul de criptare (TKIP sau AES). Datorită faptului că adaptoarele client acceptă WPA2 (AES) de ceva timp, nu are rost să folosiți criptarea TKIP.

Diferența între WPA2 PersonalŞi WPA2 Enterprise de unde provin cheile de criptare utilizate în mecanica algoritmului AES. Pentru aplicațiile private (acasă, mici), se utilizează o cheie statică (parolă, cuvânt cod, PSK (Pre-Shared Key)) cu o lungime minimă de 8 caractere, care este setată în setările punctului de acces și este aceeași pentru toți clienții unei rețele wireless date. Compromisul unei astfel de chei (au vărsat boabele unui vecin, un angajat a fost concediat, un laptop a fost furat) necesită o schimbare imediată a parolei pentru toți utilizatorii rămași, ceea ce este realist doar dacă există un număr mic de ei. Pentru aplicațiile corporative, după cum sugerează și numele, este utilizată o cheie dinamică, individuală pentru fiecare client care rulează în prezent. Această cheie poate fi actualizată periodic în timpul funcționării fără întreruperea conexiunii, iar o componentă suplimentară este responsabilă pentru generarea ei - serverul de autorizare și aproape întotdeauna acesta este un server RADIUS.

Toți parametrii de siguranță posibili sunt rezumați în această placă:

Proprietate WEP static WEP dinamic WPA WPA 2 (întreprindere)
Identificare Utilizator, computer, card WLAN Utilizator, computer
Utilizator, computer
Utilizator, computer
Autorizare
Cheie partajată

EAP

EAP sau cheie partajată

EAP sau cheie partajată

Integritate

Valoarea de verificare a integrității pe 32 de biți (ICV)

ICV pe 32 de biți

Cod de integritate a mesajelor (MIC) pe 64 de biți

CRT/CBC-MAC (Cod de autentificare a înlănțuirii blocurilor de cifrat în modul contor - CCM) Parte a AES

Criptare

Cheie statică

Cheia de sesiune

Cheie per pachet prin TKIP

CCMP (AES)

Distribuția cheilor

O singură dată, manual

Segment de cheie principală (PMK) în pereche

Derivat din PMK

Derivat din PMK

Vector de inițializare

Text, 24 de biți

Text, 24 de biți

Vector avansat, 65 de biți

număr de pachet pe 48 de biți (PN)

Algoritm

RC4

RC4

RC4

AES

Lungimea cheii, biți

64/128
64/128
128
până la 256

Infrastructura necesară

Nu

RAZĂ

RAZĂ

RAZĂ

În timp ce WPA2 Personal (WPA2 PSK) este clar, o soluție de întreprindere necesită o atenție suplimentară.

WPA2 Enterprise



Aici avem de-a face cu un set suplimentar de protocoale diferite. Pe partea de client, o componentă software specială, solicitantul (de obicei parte a sistemului de operare) interacționează cu partea de autorizare, serverul AAA. Acest exemplu arată funcționarea unei rețele radio unificate construită pe puncte de acces ușoare și un controler. În cazul utilizării punctelor de acces cu „creiere”, întregul rol de intermediar între clienți și server poate fi preluat de punctul însuși. În acest caz, datele solicitantului client sunt transmise prin radioul format în protocolul 802.1x (EAPOL), iar pe partea controlerului sunt împachetate în pachete RADIUS.

Utilizarea mecanismului de autorizare EAP în rețeaua dvs. duce la faptul că, după autentificarea cu succes (aproape sigur deschisă) a clientului de către punctul de acces (împreună cu controlorul, dacă există), acesta din urmă cere clientului să autorizeze (confirmă autoritatea acestuia) cu serverul de infrastructură RADIUS:

Utilizare WPA2 Enterprise necesită un server RADIUS în rețeaua dvs. În prezent, cele mai eficiente produse sunt următoarele:

  • Microsoft Network Policy Server (NPS), fost IAS- configurat prin MMC, gratuit, dar trebuie să cumpărați Windows
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3- configurat printr-o interfață web, cu funcționalitate sofisticată, vă permite să creați sisteme distribuite și tolerante la erori, costisitoare
  • FreeRADIUS- gratuit, configurat folosind configurații text, nu este convenabil de gestionat și monitorizat

În acest caz, controlorul monitorizează cu atenție schimbul de informații în curs și așteaptă autorizarea sau refuzul cu succes a acestuia. Dacă are succes, serverul RADIUS poate transfera parametri suplimentari către punctul de acces (de exemplu, în ce VLAN să plaseze abonatul, ce adresă IP să-l atribuie, profilul QoS etc.). La sfârșitul schimbului, serverul RADIUS permite clientului și punctului de acces să genereze și să schimbe chei de criptare (individuale, valabile doar pentru această sesiune):

EAP

Protocolul EAP în sine este bazat pe container, ceea ce înseamnă că mecanismul de autorizare real este lăsat în seama protocoalelor interne. În acest moment, următoarele au primit o distribuție semnificativă:
  • EAP-RAPID(Flexible Authentication via Secure Tunneling) - dezvoltat de Cisco; permite autorizarea folosind un login și o parolă transmise în tunelul TLS între solicitant și serverul RADIUS
  • EAP-TLS(Transport Layer Security). Utilizează o infrastructură de cheie publică (PKI) pentru a autoriza clientul și serverul (subiect și server RADIUS) prin certificate emise de o autoritate de certificare (CA) de încredere. Necesită emiterea și instalarea de certificate de client pe fiecare dispozitiv wireless, deci este potrivit doar pentru un mediu corporativ gestionat. Windows Certificate Server are facilități care permit clientului să-și genereze propriul certificat dacă clientul este membru al unui domeniu. Blocarea unui client se poate face cu ușurință prin revocarea certificatului acestuia (sau prin conturi).
  • EAP-TTLS(Tunneled Transport Layer Security) este similar cu EAP-TLS, dar nu necesită un certificat de client la crearea unui tunel. Într-un astfel de tunel, similar unei conexiuni SSL de browser, se efectuează o autorizare suplimentară (folosind o parolă sau altceva).
  • PEAP-MSCHAPv2(EAP protejat) - similar cu EAP-TTLS în ceea ce privește stabilirea inițială a unui tunel TLS criptat între client și server, necesitând un certificat de server. Ulterior, autorizarea are loc într-un astfel de tunel folosind binecunoscutul protocol MSCHAPv2.
  • PEAP-GTC(Generic Token Card) - similar cu cel precedent, dar necesită carduri cu parolă unică (și infrastructura corespunzătoare)

Toate aceste metode (cu excepția EAP-FAST) necesită un certificat de server (pe serverul RADIUS) emis de o autoritate de certificare (CA). În acest caz, certificatul CA în sine trebuie să fie prezent pe dispozitivul clientului în grupul de încredere (care este ușor de implementat folosind Politica de grup în Windows). În plus, EAP-TLS necesită un certificat de client individual. Autenticitatea clientului este verificată atât printr-o semnătură digitală, cât și (opțional) prin compararea certificatului furnizat de client serverului RADIUS cu ceea ce serverul a preluat din infrastructura PKI (Active Directory).

Suportul pentru oricare dintre metodele EAP trebuie să fie furnizat de un solicitant de partea clientului. Standardul încorporat Windows XP/Vista/7, iOS, Android oferă cel puțin EAP-TLS și EAP-MSCHAPv2, ceea ce face ca aceste metode să fie populare. Adaptoarele client Intel pentru Windows vin cu utilitarul ProSet, care extinde lista disponibilă. Clientul Cisco AnyConnect face același lucru.

Cât de fiabil este?

La urma urmei, ce este nevoie pentru ca un atacator să-ți pirateze rețeaua?

Pentru autentificare deschisă, fără criptare - nimic. Conectat la rețea și atât. Deoarece mediul radio este deschis, semnalul se deplasează în direcții diferite și nu este ușor să îl blocați. Dacă aveți adaptoarele client adecvate care vă permit să ascultați aerul, traficul de rețea este vizibil în același mod ca și când atacatorul s-ar fi conectat la fir, la hub, la portul SPAN al switch-ului.
Criptarea bazată pe WEP necesită doar timp de forță brută IV și unul dintre multele utilitare de scanare disponibile gratuit.
Pentru criptarea bazată pe TKIP sau AES, decriptarea directă este posibilă în teorie, dar în practică nu au existat cazuri de hacking.

Desigur, puteți încerca să ghiciți cheia PSK sau parola pentru una dintre metodele EAP. Nu există atacuri comune cunoscute împotriva acestor metode. Puteți încerca să utilizați metode de inginerie socială sau

Recent, au apărut multe publicații „dezvăluitoare” despre piratarea unui alt protocol sau tehnologie care compromite securitatea rețelelor wireless. Este cu adevărat așa, de ce ar trebui să vă fie teamă și cum vă puteți asigura că accesul la rețeaua dvs. este cât mai sigur posibil? Cuvintele WEP, WPA, 802.1x, EAP, PKI înseamnă puțin pentru tine? Această scurtă prezentare generală va ajuta la reunirea tuturor tehnologiilor de criptare și de autorizare a accesului radio utilizate. Voi încerca să arăt că o rețea wireless configurată corespunzător reprezintă o barieră de netrecut pentru un atacator (până la o anumită limită, desigur).

Bazele

Orice interacțiune între un punct de acces (rețea) și un client wireless se bazează pe:
  • Autentificare- modul în care clientul și punctul de acces se prezintă unul față de celălalt și confirmă că au dreptul de a comunica unul cu celălalt;
  • Criptare- ce algoritm de codificare pentru datele transmise este utilizat, cum este generată cheia de criptare și când se modifică.

Parametrii unei rețele fără fir, în primul rând numele acesteia (SSID), sunt anunțați în mod regulat de punctul de acces în pachete de semnalizare. Pe lângă setările de securitate așteptate, se transmit solicitări pentru QoS, parametri 802.11n, viteze acceptate, informații despre alți vecini etc. Autentificarea determină modul în care clientul se prezintă la obiect. Opțiuni posibile:

  • Deschide- o așa-numită rețea deschisă în care toate dispozitivele conectate sunt autorizate imediat
  • Partajat- autenticitatea dispozitivului conectat trebuie verificată cu o cheie/parolă
  • EAP- autenticitatea dispozitivului conectat trebuie verificată folosind protocolul EAP de către un server extern
Deschiderea rețelei nu înseamnă că oricine poate lucra cu ea cu impunitate. Pentru a transmite date într-o astfel de rețea, algoritmul de criptare utilizat trebuie să se potrivească și, în consecință, conexiunea criptată trebuie stabilită corect. Algoritmii de criptare sunt:
  • Nici unul- fără criptare, datele sunt transmise în text clar
  • WEP- cifrare bazată pe algoritmul RC4 cu diferite lungimi de chei statice sau dinamice (64 sau 128 de biți)
  • CKIP- înlocuire proprietară pentru WEP Cisco, versiunea timpurie a TKIP
  • TKIP- Înlocuire WEP îmbunătățită cu verificări și protecție suplimentare
  • AES/CCMP- cel mai avansat algoritm bazat pe AES256 cu verificări și protecție suplimentare

Combinaţie Deschideți autentificare, fără criptare utilizat pe scară largă în sistemele de acces pentru oaspeți, cum ar fi furnizarea de internet într-o cafenea sau un hotel. Pentru a vă conecta, trebuie doar să știți numele rețelei wireless. Adesea, o astfel de conexiune este combinată cu verificarea suplimentară pe Portalul Captiv prin redirecționarea solicitării HTTP a utilizatorului către o pagină suplimentară de unde puteți solicita confirmarea (login-parolă, acord cu regulile etc.).

Criptare WEP este compromisă și nu poate fi utilizată (chiar și în cazul cheilor dinamice).

Termeni care apar frecvent WPAŞi WPA2 determina, de fapt, algoritmul de criptare (TKIP sau AES). Datorită faptului că adaptoarele client acceptă WPA2 (AES) de ceva timp, nu are rost să folosiți criptarea TKIP.

Diferența între WPA2 PersonalŞi WPA2 Enterprise de unde provin cheile de criptare utilizate în mecanica algoritmului AES. Pentru aplicațiile private (acasă, mici), se utilizează o cheie statică (parolă, cuvânt cod, PSK (Pre-Shared Key)) cu o lungime minimă de 8 caractere, care este setată în setările punctului de acces și este aceeași pentru toți clienții unei rețele wireless date. Compromisul unei astfel de chei (au vărsat boabele unui vecin, un angajat a fost concediat, un laptop a fost furat) necesită o schimbare imediată a parolei pentru toți utilizatorii rămași, ceea ce este realist doar dacă există un număr mic de ei. Pentru aplicațiile corporative, după cum sugerează și numele, este utilizată o cheie dinamică, individuală pentru fiecare client care rulează în prezent. Această cheie poate fi actualizată periodic în timpul funcționării fără întreruperea conexiunii, iar o componentă suplimentară este responsabilă pentru generarea ei - serverul de autorizare și aproape întotdeauna acesta este un server RADIUS.

Toți parametrii de siguranță posibili sunt rezumați în această placă:

Proprietate WEP static WEP dinamic WPA WPA 2 (întreprindere)
Identificare Utilizator, computer, card WLAN Utilizator, computer
Utilizator, computer
Utilizator, computer
Autorizare
Cheie partajată

EAP

EAP sau cheie partajată

EAP sau cheie partajată

Integritate

Valoarea de verificare a integrității pe 32 de biți (ICV)

ICV pe 32 de biți

Cod de integritate a mesajelor (MIC) pe 64 de biți

CRT/CBC-MAC (Cod de autentificare a înlănțuirii blocurilor de cifrat în modul contor - CCM) Parte a AES

Criptare

Cheie statică

Cheia de sesiune

Cheie per pachet prin TKIP

CCMP (AES)

Distribuția cheilor

O singură dată, manual

Segment de cheie principală (PMK) în pereche

Derivat din PMK

Derivat din PMK

Vector de inițializare

Text, 24 de biți

Text, 24 de biți

Vector avansat, 65 de biți

număr de pachet pe 48 de biți (PN)

Algoritm

RC4

RC4

RC4

AES

Lungimea cheii, biți

64/128
64/128
128
până la 256

Infrastructura necesară

Nu

RAZĂ

RAZĂ

RAZĂ

În timp ce WPA2 Personal (WPA2 PSK) este clar, o soluție de întreprindere necesită o atenție suplimentară.

WPA2 Enterprise



Aici avem de-a face cu un set suplimentar de protocoale diferite. Pe partea de client, o componentă software specială, solicitantul (de obicei parte a sistemului de operare) interacționează cu partea de autorizare, serverul AAA. Acest exemplu arată funcționarea unei rețele radio unificate construită pe puncte de acces ușoare și un controler. În cazul utilizării punctelor de acces cu „creiere”, întregul rol de intermediar între clienți și server poate fi preluat de punctul însuși. În acest caz, datele solicitantului client sunt transmise prin radioul format în protocolul 802.1x (EAPOL), iar pe partea controlerului sunt împachetate în pachete RADIUS.

Utilizarea mecanismului de autorizare EAP în rețeaua dvs. duce la faptul că, după autentificarea cu succes (aproape sigur deschisă) a clientului de către punctul de acces (împreună cu controlorul, dacă există), acesta din urmă cere clientului să autorizeze (confirmă autoritatea acestuia) cu serverul de infrastructură RADIUS:

Utilizare WPA2 Enterprise necesită un server RADIUS în rețeaua dvs. În prezent, cele mai eficiente produse sunt următoarele:

  • Microsoft Network Policy Server (NPS), fost IAS- configurat prin MMC, gratuit, dar trebuie să cumpărați Windows
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3- configurat printr-o interfață web, cu funcționalitate sofisticată, vă permite să creați sisteme distribuite și tolerante la erori, costisitoare
  • FreeRADIUS- gratuit, configurat folosind configurații text, nu este convenabil de gestionat și monitorizat

În acest caz, controlorul monitorizează cu atenție schimbul de informații în curs și așteaptă autorizarea sau refuzul cu succes a acestuia. Dacă are succes, serverul RADIUS poate transfera parametri suplimentari către punctul de acces (de exemplu, în ce VLAN să plaseze abonatul, ce adresă IP să-l atribuie, profilul QoS etc.). La sfârșitul schimbului, serverul RADIUS permite clientului și punctului de acces să genereze și să schimbe chei de criptare (individuale, valabile doar pentru această sesiune):

EAP

Protocolul EAP în sine este bazat pe container, ceea ce înseamnă că mecanismul de autorizare real este lăsat în seama protocoalelor interne. În acest moment, următoarele au primit o distribuție semnificativă:
  • EAP-RAPID(Flexible Authentication via Secure Tunneling) - dezvoltat de Cisco; permite autorizarea folosind un login și o parolă transmise în tunelul TLS între solicitant și serverul RADIUS
  • EAP-TLS(Transport Layer Security). Utilizează o infrastructură de cheie publică (PKI) pentru a autoriza clientul și serverul (subiect și server RADIUS) prin certificate emise de o autoritate de certificare (CA) de încredere. Necesită emiterea și instalarea de certificate de client pe fiecare dispozitiv wireless, deci este potrivit doar pentru un mediu corporativ gestionat. Windows Certificate Server are facilități care permit clientului să-și genereze propriul certificat dacă clientul este membru al unui domeniu. Blocarea unui client se poate face cu ușurință prin revocarea certificatului acestuia (sau prin conturi).
  • EAP-TTLS(Tunneled Transport Layer Security) este similar cu EAP-TLS, dar nu necesită un certificat de client la crearea unui tunel. Într-un astfel de tunel, similar unei conexiuni SSL de browser, se efectuează o autorizare suplimentară (folosind o parolă sau altceva).
  • PEAP-MSCHAPv2(EAP protejat) - similar cu EAP-TTLS în ceea ce privește stabilirea inițială a unui tunel TLS criptat între client și server, necesitând un certificat de server. Ulterior, autorizarea are loc într-un astfel de tunel folosind binecunoscutul protocol MSCHAPv2.
  • PEAP-GTC(Generic Token Card) - similar cu cel precedent, dar necesită carduri cu parolă unică (și infrastructura corespunzătoare)

Toate aceste metode (cu excepția EAP-FAST) necesită un certificat de server (pe serverul RADIUS) emis de o autoritate de certificare (CA). În acest caz, certificatul CA în sine trebuie să fie prezent pe dispozitivul clientului în grupul de încredere (care este ușor de implementat folosind Politica de grup în Windows). În plus, EAP-TLS necesită un certificat de client individual. Autenticitatea clientului este verificată atât printr-o semnătură digitală, cât și (opțional) prin compararea certificatului furnizat de client serverului RADIUS cu ceea ce serverul a preluat din infrastructura PKI (Active Directory).

Suportul pentru oricare dintre metodele EAP trebuie să fie furnizat de un solicitant de partea clientului. Standardul încorporat Windows XP/Vista/7, iOS, Android oferă cel puțin EAP-TLS și EAP-MSCHAPv2, ceea ce face ca aceste metode să fie populare. Adaptoarele client Intel pentru Windows vin cu utilitarul ProSet, care extinde lista disponibilă. Clientul Cisco AnyConnect face același lucru.

Cât de fiabil este?

La urma urmei, ce este nevoie pentru ca un atacator să-ți pirateze rețeaua?

Pentru autentificare deschisă, fără criptare - nimic. Conectat la rețea și atât. Deoarece mediul radio este deschis, semnalul se deplasează în direcții diferite și nu este ușor să îl blocați. Dacă aveți adaptoarele client adecvate care vă permit să ascultați aerul, traficul de rețea este vizibil în același mod ca și când atacatorul s-ar fi conectat la fir, la hub, la portul SPAN al switch-ului.
Criptarea bazată pe WEP necesită doar timp de forță brută IV și unul dintre multele utilitare de scanare disponibile gratuit.
Pentru criptarea bazată pe TKIP sau AES, decriptarea directă este posibilă în teorie, dar în practică nu au existat cazuri de hacking.

Desigur, puteți încerca să ghiciți cheia PSK sau parola pentru una dintre metodele EAP. Nu există atacuri comune cunoscute împotriva acestor metode. Puteți încerca să utilizați metode de inginerie socială sau