Meniul
Acasăexcela

Tip de criptare tkip sau aes. Tip de criptare WiFi - pe care să alegeți, WEP sau WPA2-PSK, întreprindere personală pentru a proteja securitatea rețelei

Recent, au apărut multe publicații „dezvăluitoare” despre piratarea unor noi protocoluri sau tehnologii care compromit securitatea rețelelor wireless. Este cu adevărat așa, de ce ar trebui să vă fie teamă și cum vă puteți asigura că accesul la rețeaua dvs. este cât mai sigur posibil? Cuvintele WEP, WPA, 802.1x, EAP, PKI înseamnă puțin pentru tine? Această scurtă prezentare generală va ajuta la reunirea tuturor tehnologiilor de criptare și de autorizare a accesului radio utilizate. Voi încerca să arăt că o rețea wireless configurată corespunzător reprezintă o barieră de netrecut pentru un atacator (până la o anumită limită, desigur).

Bazele

Orice interacțiune între un punct de acces (rețea) și un client wireless se bazează pe:
  • Autentificare- modul în care clientul și punctul de acces se prezintă unul față de celălalt și confirmă că au dreptul de a comunica unul cu celălalt;
  • Criptare- ce algoritm de codificare pentru datele transmise este utilizat, cum este generată cheia de criptare și când se modifică.

Parametrii unei rețele fără fir, în primul rând numele acesteia (SSID), sunt anunțați în mod regulat de punctul de acces în pachete de semnalizare. Pe lângă setările de securitate așteptate, se transmit solicitări pentru QoS, parametri 802.11n, viteze acceptate, informații despre alți vecini etc. Autentificarea determină modul în care clientul se prezintă la obiect. Opțiuni posibile:

  • Deschis- o așa-numită rețea deschisă în care toate dispozitivele conectate sunt autorizate imediat
  • Impartit- autenticitatea dispozitivului conectat trebuie verificată cu o cheie/parolă
  • EAP- autenticitatea dispozitivului conectat trebuie verificată folosind protocolul EAP de către un server extern
Deschiderea rețelei nu înseamnă că oricine poate lucra cu ea cu impunitate. Pentru a transmite date într-o astfel de rețea, algoritmul de criptare utilizat trebuie să se potrivească și, în consecință, conexiunea criptată trebuie stabilită corect. Algoritmii de criptare sunt:
  • Nici unul- fără criptare, datele sunt transmise în text clar
  • WEP- cifrare bazată pe algoritmul RC4 cu diferite lungimi de chei statice sau dinamice (64 sau 128 de biți)
  • CKIP- înlocuire proprietară pentru WEP Cisco, versiunea timpurie a TKIP
  • TKIP- Înlocuire WEP îmbunătățită cu verificări și protecție suplimentare
  • AES/CCMP- cel mai avansat algoritm bazat pe AES256 cu verificări și protecție suplimentare

Combinaţie Deschideți autentificare, fără criptare utilizat pe scară largă în sistemele de acces pentru oaspeți, cum ar fi furnizarea de internet într-o cafenea sau un hotel. Pentru a vă conecta, trebuie doar să știți numele rețelei wireless. Adesea, o astfel de conexiune este combinată cu verificarea suplimentară pe Portalul Captiv prin redirecționarea solicitării HTTP a utilizatorului către o pagină suplimentară de unde puteți solicita confirmarea (login-parolă, acord cu regulile etc.).

Criptare WEP este compromisă și nu poate fi utilizată (chiar și în cazul tastelor dinamice).

Termeni care apar frecvent WPAȘi WPA2 determina, de fapt, algoritmul de criptare (TKIP sau AES). Datorită faptului că adaptoarele client acceptă WPA2 (AES) de ceva timp, nu are rost să folosiți criptarea TKIP.

Diferență între WPA2 PersonalȘi WPA2 Enterprise este de unde provin cheile de criptare utilizate în mecanica algoritmului AES. Pentru aplicațiile private (acasă, mici), se utilizează o cheie statică (parolă, cuvânt cod, PSK (Pre-Shared Key)) cu o lungime minimă de 8 caractere, care este setată în setările punctului de acces și este aceeași pentru toți clienții unei rețele wireless date. Compromisul unei astfel de chei (au vărsat boabele unui vecin, un angajat a fost concediat, un laptop a fost furat) necesită o schimbare imediată a parolei pentru toți utilizatorii rămași, ceea ce este realist doar dacă există un număr mic de ei. Pentru aplicațiile corporative, după cum sugerează și numele, este utilizată o cheie dinamică, individuală pentru fiecare client care lucrează acest moment. Această cheie poate fi actualizată periodic în timpul funcționării fără întreruperea conexiunii, iar o componentă suplimentară este responsabilă pentru generarea ei - serverul de autorizare și aproape întotdeauna acesta este un server RADIUS.

Toți parametrii de siguranță posibili sunt rezumați în această placă:

Proprietate WEP static WEP dinamic WPA WPA 2 (întreprindere)
Identificare Utilizator, computer, card WLAN Utilizator, computer
Utilizator, computer
Utilizator, computer
Autorizare
Cheie partajată

EAP

EAP sau cheie partajată

EAP sau cheie partajată

Integritate

Valoarea de verificare a integrității pe 32 de biți (ICV)

ICV pe 32 de biți

Cod de integritate a mesajelor (MIC) pe 64 de biți

CRT/CBC-MAC (Cod de autentificare a înlănțuirii blocurilor de cifrat în modul contor - CCM) Parte a AES

Criptare

Cheie statică

Cheia de sesiune

Cheie per pachet prin TKIP

CCMP (AES)

Distribuția cheilor

O singură dată, manual

Segment de cheie principală (PMK) în pereche

Derivat din PMK

Derivat din PMK

Vector de inițializare

Text, 24 de biți

Text, 24 de biți

Vector avansat, 65 de biți

număr de pachet pe 48 de biți (PN)

Algoritm

RC4

RC4

RC4

AES

Lungimea cheii, biți

64/128
64/128
128
până la 256

Infrastructura necesară

Nu

RAZĂ

RAZĂ

RAZĂ

În timp ce WPA2 Personal (WPA2 PSK) este clar, o soluție de întreprindere necesită o atenție suplimentară.

WPA2 Enterprise



Aici avem de-a face cu un set suplimentar de protocoale diferite. Pe partea de client, o componentă software specială, solicitantul (de obicei parte a sistemului de operare) interacționează cu partea de autorizare, serverul AAA. Acest exemplu arată funcționarea unei rețele radio unificate construită pe puncte de acces ușoare și un controler. În cazul utilizării punctelor de acces cu „creiere”, întregul rol de intermediar între clienți și server poate fi preluat de punctul însuși. În acest caz, datele solicitantului client sunt transmise prin radioul format în protocolul 802.1x (EAPOL), iar pe partea controlerului sunt împachetate în pachete RADIUS.

Utilizarea mecanismului de autorizare EAP în rețeaua dvs. duce la faptul că, după autentificarea cu succes (aproape sigur deschisă) a clientului de către punctul de acces (împreună cu controlorul, dacă există), acesta din urmă cere clientului să autorizeze (confirmă autoritatea acestuia) cu serverul de infrastructură RADIUS:

Utilizare WPA2 Enterprise necesită un server RADIUS în rețeaua dvs. În prezent, cele mai eficiente produse sunt următoarele:

  • Microsoft Network Policy Server (NPS), fost IAS- configurat prin MMC, gratuit, dar trebuie să cumpărați Windows
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3- configurat printr-o interfață web, cu funcționalitate sofisticată, vă permite să creați sisteme distribuite și tolerante la erori, costisitoare
  • FreeRADIUS- gratuit, configurat folosind configurații text, nu este convenabil de gestionat și monitorizat

În acest caz, controlorul monitorizează cu atenție schimbul de informații în curs și așteaptă autorizarea sau refuzul cu succes a acestuia. Dacă are succes, serverul RADIUS poate transfera parametri suplimentari către punctul de acces (de exemplu, în ce VLAN să plaseze abonatul, ce adresă IP să-l atribuie, profilul QoS etc.). La sfârșitul schimbului, serverul RADIUS permite clientului și punctului de acces să genereze și să schimbe chei de criptare (individuale, valabile doar pentru această sesiune):

EAP

Protocolul EAP în sine este bazat pe container, ceea ce înseamnă că mecanismul de autorizare real este lăsat în seama protocoalelor interne. În acest moment, următoarele au primit o distribuție semnificativă:
  • EAP-RAPID(Flexible Authentication via Secure Tunneling) - dezvoltat de Cisco; permite autorizarea folosind un login și o parolă transmise în tunelul TLS între solicitant și serverul RADIUS
  • EAP-TLS(Transport Layer Security). Utilizează o infrastructură de cheie publică (PKI) pentru a autoriza clientul și serverul (subiect și server RADIUS) prin certificate emise de o autoritate de certificare (CA) de încredere. Necesită emiterea și instalarea de certificate de client pe fiecare dispozitiv wireless, deci este potrivit doar pentru un mediu corporativ gestionat. Windows Certificate Server are facilități care permit clientului să-și genereze propriul certificat dacă clientul este membru al unui domeniu. Blocarea unui client se poate face cu ușurință prin revocarea certificatului acestuia (sau prin conturi).
  • EAP-TTLS(Tunneled Transport Layer Security) este similar cu EAP-TLS, dar nu necesită un certificat de client la crearea unui tunel. Într-un astfel de tunel, similar unei conexiuni SSL de browser, se efectuează o autorizare suplimentară (folosind o parolă sau altceva).
  • PEAP-MSCHAPv2(EAP protejat) - similar cu EAP-TTLS în ceea ce privește stabilirea inițială a unui tunel TLS criptat între client și server, necesitând un certificat de server. Ulterior, autorizarea are loc într-un astfel de tunel folosind binecunoscutul protocol MSCHAPv2.
  • PEAP-GTC(Generic Token Card) - similar cu cel precedent, dar necesită carduri cu parolă unică (și infrastructura corespunzătoare)

Toate aceste metode (cu excepția EAP-FAST) necesită un certificat de server (pe serverul RADIUS) emis de o autoritate de certificare (CA). În acest caz, certificatul CA în sine trebuie să fie prezent pe dispozitivul clientului în grupul de încredere (care este ușor de implementat folosind Politica de grup în Windows). În plus, EAP-TLS necesită un certificat de client individual. Autenticitatea clientului este verificată atât printr-o semnătură digitală, cât și (opțional) prin compararea certificatului furnizat de client serverului RADIUS cu ceea ce serverul a preluat din infrastructura PKI (Active Directory).

Suportul pentru oricare dintre metodele EAP trebuie să fie furnizat de un solicitant de partea clientului. Standardul încorporat Windows XP/Vista/7, iOS, Android oferă cel puțin EAP-TLS și EAP-MSCHAPv2, ceea ce face ca aceste metode să fie populare. Adaptoarele client Intel pentru Windows vin cu utilitarul ProSet, care extinde lista disponibilă. Clientul Cisco AnyConnect face același lucru.

Cât de fiabil este?

La urma urmei, ce este nevoie pentru ca un atacator să-ți pirateze rețeaua?

Pentru autentificare deschisă, fără criptare - nimic. Conectat la rețea și atât. Deoarece mediul radio este deschis, semnalul se deplasează în direcții diferite, nu este ușor să îl blocați. Dacă aveți adaptoarele client adecvate care vă permit să ascultați aerul, traficul de rețea este vizibil în același mod ca și când atacatorul s-ar fi conectat la fir, la hub, la portul SPAN al switch-ului.
Criptarea bazată pe WEP necesită doar timp IV și unul dintre multele utilitare de scanare disponibile gratuit.
Pentru criptarea bazată pe TKIP sau AES, decriptarea directă este posibilă în teorie, dar în practică nu au existat cazuri de hacking.

Desigur, puteți încerca să ghiciți cheia PSK sau parola pentru una dintre metodele EAP. Atacurile comune împotriva acestor metode nu sunt cunoscute. Puteți încerca să utilizați metode de inginerie socială sau

Criptarea WPA implică utilizarea unei rețele Wi-Fi securizate. În general, WPA înseamnă Wi-Fi Protected Access, adică acces protejat la Wi-Fi.

Majoritatea administratorilor de sistem știu cum să configureze acest protocol și știu multe despre el.

Dar oamenii obișnuiți pot învăța și multe despre ce este WPA, cum să-l configureze și cum să-l folosească.

Adevărat, pe internet puteți găsi multe articole pe acest subiect, din care este imposibil să înțelegeți nimic. Prin urmare, astăzi vom vorbi într-un limbaj simplu despre lucruri complexe.

Puțină teorie

Deci, WPA este un protocol, tehnologie, program care conține un set de certificate folosite la transmiterea unui semnal Wi-Fi.

Pentru a spune simplu, această tehnologie vă permite să utilizați diferite metode de autentificare pentru a vă proteja rețeaua Wi-Fi.

Aceasta ar putea fi o cheie electronică, care este și un certificat special de drept de utilizare a acestei rețele (vom vorbi despre asta mai târziu).

În general, cu ajutorul acestui program, doar cei care au dreptul să facă acest lucru vor putea folosi rețeaua și asta este tot ce trebuie să știi.


Pentru referință: Autentificarea este o măsură de securitate care vă permite să stabiliți identitatea unei persoane și dreptul acesteia de a accesa rețeaua comparând datele raportate cu cele așteptate.

De exemplu, o persoană poate fi autentificată prin plasarea degetului pe un scaner de amprente. Dacă pur și simplu își introduce numele și parola, aceasta este doar autorizare.

Dar o amprentă vă permite să verificați dacă această persoană se conectează cu adevărat și nu cineva i-a luat datele și a intrat cu ajutorul lor.

Orez. 1. Scaner de amprentă pe smartphone-ul dvs

Deci, rețelele de calculatoare folosesc și anumite metode pentru a confirma că dispozitivul care are dreptul de acces la rețea primește acces.

WPA are propriul set de astfel de metode. Vom vorbi mai departe despre ele, dar înainte de asta vom clarifica câteva puncte importante.

Ce trebuie să știți despre WPA?

  1. Această tehnologie nu poate fi folosită de toate dispozitivele, ci doar de cele care o suportă la nivel de software. Adică, dacă producătorul a inclus o funcție de suport WPA în dispozitiv, atunci aceasta poate fi utilizată.
  2. WPA este o moștenire a WEP, o altă tehnologie care nu avea autentificare ca atare.
  3. WPA folosește chei speciale care sunt trimise către toate dispozitivele cărora li se va permite să se conecteze la rețea. Și apoi totul este simplu:
  • semnalul ajunge la noul dispozitiv și îi solicită o cheie;
  • dacă dispozitivul dă cheia, se conectează la rețea;
  • iar dacă nu se întâmplă, un semnal despre acest lucru este trimis către dispozitivul central și conexiunea nu are loc.

Dacă ați lucrat vreodată cu Cisco Pocket Tracer (un simulator de construcție de rețea de la această companie), atunci puteți înțelege principiul de funcționare a acestei tehnologii dacă vă uitați la Figura 2.

Avertizare! Practic, dacă nu ați lucrat niciodată cu Cisco Pocket Tracer, nu vă deranjați. Și fără această diagramă totul va fi clar pentru tine.

Există un LAP - un dispozitiv care efectuează controlul de la distanță și transmite un semnal către client, adică un computer care utilizează un semnal Wi-Fi.

Și, de asemenea, în diagramă există un WLC - controler de rețea locală fără fir. În dreapta este serverul de autentificare.

Conectarea tuturor acestora este un Switch obișnuit (un dispozitiv care conectează pur și simplu diverse dispozitive de rețea). Cheia este trimisă de la controler la serverul de autentificare și stocată acolo.

Când un client încearcă să se conecteze la o rețea, trebuie să transmită la LAP o cheie pe care o cunoaște. Această cheie merge la serverul de autentificare și este comparată cu cheia dorită.

Dacă cheile se potrivesc, semnalul se propagă liber către client.

Orez. 2. Exemplu de schemă WPA în Cisco Pocket Tracer

Componentele WPA

După cum am spus mai sus, WPA folosește chei speciale care sunt generate de fiecare dată când încercați să începeți să transmiteți un semnal, adică porniți Wi-Fi și, de asemenea, schimbați de fiecare dată.

WPA include mai multe tehnologii care ajută la generarea și transmiterea acestor chei.

Figura de mai jos prezintă formula generală, care include toate componentele tehnologiei luate în considerare.

Orez. 3. Formula cu ingrediente WPA

Acum să ne uităm la fiecare dintre aceste componente separat:

  • 1X este un standard care este folosit pentru a genera aceeași cheie unică, cu ajutorul căreia are loc autentificarea în viitor.
  • EAP este așa-numitul protocol de autentificare extensibilă. Este responsabil pentru formatul mesajelor cu care sunt transmise cheile.
  • TKIP este un protocol care a făcut posibilă extinderea dimensiunii cheii la 128 de octeți (anterior, în WEP, era de doar 40 de octeți).
  • MIC este un mecanism de verificare a mesajelor (în special, acestea sunt verificate pentru integritate). Dacă mesajele nu îndeplinesc criteriile, acestea sunt trimise înapoi.

Merită spus că acum există deja WPA2, care, pe lângă toate cele de mai sus, folosește și criptarea CCMP și AES.

Nu vom vorbi despre ce este acum, dar WPA2 este mai sigur decât WPA. Asta e tot ce trebuie să știi.

Încă o dată de la început

Deci, aveți Wi-Fi. Rețeaua folosește tehnologia WPA.

Pentru a se conecta la Wi-Fi, fiecare dispozitiv trebuie să furnizeze un certificat de utilizator sau, mai simplu, o cheie specială emisă de serverul de autentificare.

Abia atunci va putea folosi rețeaua. Asta e tot!

Acum știi ce este WPA. Acum să vorbim despre ce este bine și ce este rău la această tehnologie.

Avantajele și dezavantajele criptării WPA

Avantajele acestei tehnologii ar include următoarele:

  1. Securitate îmbunătățită a transmisiei de date (comparativ cu WEP, predecesorul său, WPA).
  2. Control mai strict al accesului la Wi-Fi.
  3. Compatibil cu un număr mare de dispozitive care sunt folosite pentru a organiza o rețea fără fir.
  4. Management centralizat de securitate. Centrul în acest caz este serverul de autentificare. Din acest motiv, atacatorii nu pot obține acces la datele ascunse.
  5. Întreprinderile își pot folosi propriile politici de securitate.
  6. Ușor de configurat și utilizat.

Desigur, această tehnologie are și dezavantaje, iar acestea sunt adesea destul de semnificative. În special, despre asta vorbim:

  1. O cheie TKIP poate fi spartă în maximum 15 minute. Acest lucru a fost declarat de un grup de specialiști în 2008 la conferința PacSec.
  2. În 2009, specialiștii de la Universitatea din Hiroshima au dezvoltat o metodă de a pirata orice rețea care folosește WPA într-un minut.
  3. Folosind o vulnerabilitate numită Hole196 de către experți, poți folosi WPA2 cu propria ta cheie, și nu cu cea cerută de serverul de autentificare.
  4. În cele mai multe cazuri, orice WPA poate fi spart folosind o simplă căutare a tuturor opțiunilor posibile (forță brută), precum și folosind așa-numitul atac de dicționar. În al doilea caz, opțiunile sunt folosite nu într-o ordine haotică, ci conform dicționarului.

Desigur, pentru a profita de toate aceste vulnerabilități și probleme, trebuie să aveți cunoștințe speciale în domeniul construirii rețelelor de calculatoare.

Toate acestea sunt inaccesibile pentru majoritatea utilizatorilor obișnuiți. Prin urmare, nu trebuie să vă faceți griji prea mult pentru ca cineva să obțină acces la Wi-Fi.

Orez. 4. Hoț și computer

Despre configurarea criptării WPA

Pentru utilizator, setarea pare foarte simplă - el selectează tehnologia WPA pentru a cripta parola cu care se va conecta la rețea.

Mai exact, folosește WPA-PSK, adică WPA cu o parolă mai degrabă decât cu o cheie. Pentru a face acest lucru, el intră în setările routerului, găsește acolo tipul de autentificare a rețelei și setează o parolă.

Mai detaliat, această procedură se efectuează după cum urmează:

  1. Pentru a accesa setările routerului, în browser, introduceți 192.168.0.1 sau 192.168.1.1 în bara de adrese. Dacă nu ați schimbat nimic în această fereastră, atunci datele de conectare și parola vor fi aceleași - „admin” și „admin”.
  2. Apoi, găsiți elementul referitor la metoda de autentificare. De exemplu, dacă utilizați un Asus RT-N12, acest element se află în secțiunea „Setări avansate” și în subsecțiunea „Wireless” (acesta este în meniul din stânga). WPA este selectat lângă inscripția „Metoda de autentificare”.
  3. Parametrii importanți includ și „WPA Pre-Shared Key”, adică parola pentru conectarea la rețea și „SSID”, adică numele rețelei.

Orez. 5. Fereastra de setări router

După cum puteți vedea în Figura 5, există și un câmp „Criptare WPA”. De obicei, acești doi parametri (și „Metoda de autentificare”) sunt specificați împreună.

Parametrul „Criptare” se referă la tipul de criptare. Există doar două tipuri care sunt utilizate împreună cu WPA - TKIP și AES.

Se folosesc și combinații ale acestor două tipuri.

În ceea ce privește alegerea tipului de criptare, iată instrucțiunile pentru dvs. pe acest subiect:

  1. Dacă securitatea rețelei dvs. este cu adevărat importantă pentru dvs., utilizați AES. Cu toate acestea, nu utilizați nicio combinație cu TKIP.
  2. Dacă utilizați dispozitive vechi care nu acceptă WPA2, este mai bine să utilizați TKIP.
  3. TKIP este, de asemenea, destul de potrivit pentru o rețea de acasă. Acest lucru va crea mai puțină sarcină în rețea, dar va reduce și securitatea acesteia.

Alt sfat nu poate fi în acest caz. TKIP are o securitate mai slabă și asta spune totul.

De fapt, asta este tot ce se poate spune despre criptarea WPA.

Spuneam mai sus că această tehnologie are destul de multe vulnerabilități. Mai jos puteți vedea cum sunt folosite pentru a pirata o rețea.

Fără îndoială, mulți utilizatori de computere care lucrează cu Internetul (și nu numai) au auzit de termenul AES. Ce fel de sistem este acesta, ce algoritmi folosește și pentru ce este folosit, un cerc destul de limitat de oameni au idee. În general, utilizatorul mediu nu trebuie să știe acest lucru. Cu toate acestea, să luăm în considerare acest sistem criptografic, fără a aprofunda prea mult în calcule și formule matematice complexe, astfel încât să poată fi înțeles de oricine.

Ce este criptarea AES?

Să începem cu faptul că sistemul în sine este un set de algoritmi care fac posibilă ascunderea aspectului inițial al unor date transmise, primite de utilizator sau stocate pe un computer. Cel mai adesea este utilizat în tehnologiile de internet atunci când este necesar să se asigure confidențialitatea completă a informațiilor și se referă la așa-numiții algoritmi de criptare simetrică.

Tipul de criptare AES presupune utilizarea aceleiași chei, care este cunoscută atât de partea expeditoare, cât și de cea care primește, pentru a converti informațiile într-o formă sigură și decodarea inversă, spre deosebire de criptarea simetrică, care implică utilizarea a două chei - private și public. Astfel, este ușor de concluzionat că, dacă ambele părți cunosc cheia corectă, procesul de criptare și decriptare este destul de simplu.

Puțină istorie

Criptarea AES a fost menționată pentru prima dată în 2000, când algoritmul Rijndael a câștigat competiția pentru a selecta un succesor al sistemului DES, care este un standard în Statele Unite din 1977.

În 2001, sistemul AES a fost adoptat oficial ca noul standard federal de criptare a datelor și de atunci a fost folosit peste tot.

Tipuri de criptare AES

A inclus mai multe etape intermediare, care au fost asociate în principal cu creșterea lungimii cheii. Astăzi există trei tipuri principale: criptare AES-128, AES-192 și AES-256.

Numele vorbește de la sine. Denumirea digitală corespunde lungimii cheii utilizate, exprimată în biți. În plus, criptarea AES este un tip de bloc care funcționează direct cu blocuri de informații de o lungime fixă, criptând fiecare dintre ele, spre deosebire de algoritmii de flux care operează pe caractere unice ale unui mesaj clar, transformându-le în formă criptată. În AES, lungimea blocului este de 128 de biți.

În termeni științifici, aceiași algoritmi pe care îi folosește criptarea AES-256 implică operații bazate pe o reprezentare polinomială a operațiilor și codurilor atunci când procesează matrice bidimensionale (matrici).

Cum functioneaza?

Algoritmul de operare este destul de complex, dar include utilizarea mai multor elemente de bază. Inițial, sunt utilizate o matrice bidimensională, cicluri de transformare (ronde), o cheie rotundă și tabele de substituție inițială și inversă.

Procesul de criptare a datelor constă în mai multe etape:

  • calculul tuturor cheilor rotunde;
  • înlocuirea octeților folosind tabelul principal S-Box;
  • schimbarea formei folosind cantități diferite (vezi figura de mai sus);
  • amestecarea datelor în cadrul fiecărei coloane a matricei (formular);
  • adăugarea formei și a cheii rotunde.

Decriptarea se realizează în ordine inversă, dar în locul tabelului S-Box se folosește tabelul de setare inversă, care a fost menționat mai sus.

Pentru a da un exemplu, dacă aveți o cheie pe 4 biți, căutarea va necesita doar 16 etape (runde), adică trebuie să verificați toate combinațiile posibile, începând cu 0000 și terminând cu 1111. Desigur, o astfel de protecție poate fi a crăpat destul de repede. Dar dacă luăm chei mai mari, 16 biți vor necesita 65.536 de etape, iar 256 de biți vor necesita 1,1 x 10 77. Și după cum au afirmat experții americani, va dura aproximativ 149 de trilioane de ani pentru a selecta combinația corectă (cheia).

Ce să utilizați în practică atunci când configurați o rețea: criptare AES sau TKIP?

Acum să trecem la utilizarea AES-256 atunci când criptăm datele transmise și primite în rețelele fără fir.

De regulă, în oricare există mai mulți parametri din care să alegeți: numai AES, numai TKIP și AES+TKIP. Se aplică în funcție de protocol (WEP sau WEP2). Dar! TKIP este un sistem vechi, deoarece este mai puțin sigur și nu acceptă conexiuni 802.11n cu rate de date mai mari de 54 Mbps. Astfel, concluzia despre utilizarea prioritară a AES împreună cu modul de securitate WPA2-PSK sugerează de la sine, deși ambii algoritmi pot fi utilizați în perechi.

Probleme de fiabilitate și securitate a algoritmilor AES

În ciuda declarațiilor zgomotoase ale experților, algoritmii AES sunt, teoretic, încă vulnerabili, deoarece însăși natura criptării are o descriere simplă algebrică. Acest lucru a fost remarcat de Nils Fergusson. Și în 2002, Josef Pieprzyk și Nicolas Courtois au publicat o lucrare care susține un potențial atac XSL. Adevărat, a provocat multe controverse în lumea științifică, iar unii au considerat calculele lor ca fiind eronate.

În 2005, s-a sugerat că atacul ar putea folosi canale terțe, nu doar calcule matematice. Mai mult, unul dintre atacuri a calculat cheia după 800 de operații, iar celălalt a obținut-o după 2 32 de operații (în runda a opta).

Fără îndoială, astăzi acest sistem ar putea fi considerat unul dintre cele mai avansate, dacă nu de unul singur. În urmă cu câțiva ani, un val de atacuri de viruși a cuprins Internetul, în care un virus de criptare (și, de asemenea, un ransomware), pătrunde în computere, date complet criptate, cerând o sumă ordonată de bani pentru decriptare. În același timp, mesajul a menționat că criptarea a fost efectuată folosind algoritmul AES1024, despre care, până de curând, se credea că nu există în natură.

Indiferent dacă acest lucru este adevărat sau nu, chiar și cei mai renumiți dezvoltatori de software antivirus, inclusiv Kaspersky Lab, au fost neputincioși când au încercat să decripteze datele. Mulți experți au recunoscut că cel notoriu, care la un moment dat a infectat milioane de computere din întreaga lume și a distrus informații importante despre ele, s-a dovedit a fi vorba de bebeluși în comparație cu această amenințare. În plus, I Love You a vizat mai mult fișierele multimedia, iar noul virus a obținut acces exclusiv la informațiile confidențiale ale marilor corporații. Cu toate acestea, nimeni nu poate spune clar că aici a fost folosită criptarea AES-1024.

Concluzie

Pentru a rezuma, în orice caz, putem spune că criptarea AES este de departe cea mai avansată și mai sigură, indiferent de lungimea cheii este folosită. Nu este surprinzător faptul că acest standard special este utilizat în majoritatea criptosistemelor și are perspective destul de largi de dezvoltare și îmbunătățire în viitorul apropiat, mai ales că este foarte probabil să combine mai multe tipuri de criptare într-una singură (de exemplu, utilizarea paralelă a simetrică și asimetrică sau criptare bloc și flux).

    Înainte de a citi acest material, vă recomandăm să citiți articolele anterioare din serie:
  • Construim o rețea cu propriile noastre mâini și o conectăm la Internet, prima parte - construim o rețea Ethernet cu fir (fără un comutator, în cazul a două computere și cu un comutator, precum și în prezența a trei sau mai multe mașini ) și organizarea accesului la Internet prin intermediul unuia dintre calculatoarele din rețea, pe care are două plăci de rețea și este instalat sistemul de operare Windows XP Pro.
  • Partea a doua: configurarea echipamentelor fără fir într-o rețea peer-to-peer - problemele de organizare a unei rețele sunt discutate atunci când se utilizează numai adaptoare wireless.

În articolul precedent, doar câteva cuvinte au fost dedicate criptării în rețelele fără fir, s-a promis că va acoperi această problemă într-un articol separat. Astăzi ne îndeplinim angajamentul :)

În primul rând, o mică teorie.

Criptarea datelor în rețelele fără fir primește atât de multă atenție datorită naturii unor astfel de rețele. Datele sunt transmise fără fir folosind unde radio, în general folosind antene omnidirecționale. Astfel, toată lumea aude datele - nu numai persoana căreia îi sunt destinate, ci și vecinul care locuiește în spatele peretelui sau „persoana interesată” care stă cu un laptop sub fereastră. Desigur, distanțele pe care funcționează rețelele wireless (fără amplificatoare sau antene direcționale) sunt mici – aproximativ 100 de metri în condiții ideale. Pereții, copacii și alte obstacole atenuează foarte mult semnalul, dar acest lucru încă nu rezolvă problema.

Inițial, doar SSID-ul (numele rețelei) a fost folosit pentru protecție. Dar, în general, această metodă poate fi numită protecție cu o întindere mare - SSID-ul este transmis în text clar și nimeni nu oprește un atacator să îl asculte și apoi să îl înlocuiască pe cel dorit în setările sale. Ca să nu mai vorbim că (acest lucru se aplică punctelor de acces) poate fi activat modul de difuzare pentru SSID, adică. va fi difuzat forțat tuturor celor care ascultă.

Prin urmare, a fost nevoie de criptarea datelor. Primul astfel de standard a fost WEP - Wired Equivalent Privacy. Criptarea se realizează folosind o cheie de 40 sau 104 de biți (criptarea fluxului folosind algoritmul RC4 pe o cheie statică). Și cheia în sine este un set de caractere ASCII cu o lungime de 5 (pentru o cheie de 40 de biți) sau 13 (pentru o cheie de 104 de biți). Setul acestor caractere este tradus într-o succesiune de cifre hexazecimale, care sunt cheia. Driverele de la mulți producători vă permit să introduceți valori hexazecimale (de aceeași lungime) direct în loc de un set de caractere ASCII. Vă rugăm să rețineți că algoritmii de conversie din secvențele de caractere ASCII în valorile cheilor hexazecimale pot varia între diferiți producători. Prin urmare, dacă rețeaua dvs. utilizează echipamente fără fir eterogene și nu puteți configura criptarea WEP utilizând o expresie cheie ASCII, încercați să introduceți cheia în format hexazecimal.

Dar cum rămâne cu declarațiile producătorilor despre suportul pentru criptarea pe 64 și 128 de biți, vă întrebați? Așa e, marketingul joacă un rol aici - 64 este mai mult de 40, iar 128 este 104. În realitate, criptarea datelor are loc folosind o lungime a cheii de 40 sau 104. Dar pe lângă fraza ASCII (componenta statică a cheii), există, de asemenea, un astfel de lucru ca Initialization Vector - IV - vector de inițializare. Servește la randomizarea restului cheii. Vectorul este selectat aleatoriu și se modifică dinamic în timpul funcționării. În principiu, aceasta este o soluție rezonabilă, deoarece vă permite să introduceți o componentă aleatorie în cheie. Lungimea vectorului este de 24 de biți, astfel încât lungimea totală a cheii ajunge să fie de 64 (40+24) sau 128 (104+24) biți.

Totul ar fi bine, dar algoritmul de criptare folosit (RC4) nu este în prezent deosebit de puternic - dacă vrei cu adevărat, poți găsi o cheie prin forță brută într-un timp relativ scurt. Dar totuși, principala vulnerabilitate a WEP este asociată tocmai cu vectorul de inițializare. IV are doar 24 de biți lungime. Acest lucru ne oferă aproximativ 16 milioane de combinații - 16 milioane de vectori diferiți. Deși cifra „16 milioane” sună destul de impresionantă, totul în lume este relativ. În munca reală, toate opțiunile posibile ale cheii vor fi utilizate într-o perioadă de la zece minute la câteva ore (pentru o cheie de 40 de biți). După aceasta, vectorii vor începe să se repete. Un atacator trebuie doar să colecteze un număr suficient de pachete pur și simplu ascultând traficul rețelei wireless și să găsească aceste repetări. După aceasta, selectarea componentei statice a cheii (fraza ASCII) nu durează mult.

Dar asta nu este tot. Există așa-numiți vectori de inițializare „instabili”. Utilizarea unor astfel de vectori într-o cheie permite unui atacator să înceapă aproape imediat să selecteze partea statică a cheii, în loc să aștepte câteva ore, acumulând pasiv traficul de rețea. Mulți producători integrează în software-ul (sau hardware-ul dispozitivelor fără fir) o verificare pentru astfel de vectori și, dacă se găsesc alții similari, aceștia sunt aruncați în tăcere, de exemplu. nu participați la procesul de criptare. Din păcate, nu toate dispozitivele au această funcție.

În prezent, unii producători de echipamente wireless oferă „versiuni extinse” ale algoritmului WEP - folosesc chei mai lungi de 128 (mai precis 104) biți. Dar în acești algoritmi este crescută doar componenta statică a cheii. Lungimea vectorului de inițializare rămâne aceeași, cu toate consecințele care decurg (cu alte cuvinte, creștem doar timpul pentru selectarea unei chei statice). Este de la sine înțeles că algoritmii WEP cu lungimi de chei extinse pot să nu fie compatibili între diferiți producători.

M-ai speriat bine? ;-)

Din păcate, atunci când utilizați protocolul 802.11b, nu puteți selecta altceva decât WEP. Mai precis, unii producători (minoritari) furnizează diverse implementări ale criptării WPA (folosind metode software), care este mult mai stabilă decât WEP. Dar aceste „patch-uri” sunt incompatibile chiar și în cadrul echipamentelor aceluiași producător. În general, atunci când utilizați echipamente 802.11b, există doar trei moduri de a vă cripta traficul:

  • 1. Folosind WEP cu o lungime maximă a cheii (128 biți sau mai mare), dacă echipamentul acceptă schimbarea ciclică a cheilor din listă (până la patru chei în listă), este recomandabil să activați această modificare.
  • 2. Folosind standardul 802.1x
  • 3. Utilizarea unui software terță parte pentru a organiza tuneluri VPN (fluxuri de date criptate) printr-o rețea fără fir. Pentru a face acest lucru, instalați un server VPN pe una dintre mașini (de obicei cu suport pptp) și configurați clienții VPN pe celelalte. Acest subiect necesită o analiză separată și depășește domeniul de aplicare al acestui articol.

802.1x utilizează o grămadă de mai multe protocoale pentru lucrul său:

  • EAP (Extensible Authentication Protocol) - protocol pentru autentificarea extinsă a utilizatorilor sau a dispozitivelor de la distanță;
  • TLS (Transport Layer Security) este un protocol de securitate la nivel de transport, acesta asigură integritatea transmisiei de date între server și client, precum și autentificarea reciprocă a acestora;
  • RADIUS (Remote Authentication Dial-In User Server) - server de autentificare pentru clienți la distanță. Oferă autentificarea utilizatorului.

Protocolul 802.1x oferă autentificare clienților la distanță și le oferă chei temporare pentru a cripta datele. Cheile (în formă criptată) sunt trimise clientului pentru o perioadă scurtă de timp, după care este generată și trimisă o nouă cheie. Algoritmul de criptare nu s-a schimbat - același RC4, dar rotația frecventă a cheilor face foarte dificilă spargerea. Acest protocol este acceptat numai în sistemele de operare (de la Microsoft) Windows XP. Marele său dezavantaj (pentru utilizatorul final) este că protocolul necesită un server RADIUS, care cel mai probabil nu va exista într-o rețea de acasă.

Dispozitivele care acceptă standardul 802.11g acceptă algoritmul de criptare îmbunătățit WPA - Wi-Fi Protected Access. În general, acesta este un standard temporar conceput pentru a umple nișa de securitate până la sosirea protocolului IEEE 802.11i (așa-numitul WPA2). WPA include 802.1X, EAP, TKIP și MIC.

Printre protocoalele neexaminate, TKIP și MIC apar aici:

  • TKIP (Temporal Key Integrity Protocol) este implementarea cheilor de criptare dinamică, în plus, fiecare dispozitiv din rețea primește și propria sa cheie Master (care se modifică și ea din când în când). Cheile de criptare au o lungime de 128 de biți și sunt generate folosind un algoritm complex, iar numărul total de opțiuni posibile de cheie ajunge la sute de miliarde și se schimbă foarte des. Cu toate acestea, algoritmul de criptare folosit este încă RC4.
  • MIC (Message Integrity Check) este un protocol de verificare a integrității pachetelor. Protocolul vă permite să eliminați pachetele care au fost „inserate” în canal de către o terță parte, de exemplu. nu a plecat de la un expeditor valid.

Numărul mare de avantaje ale protocolului TKIP nu acoperă principalul său dezavantaj - algoritmul RC4 utilizat pentru criptare. Deși nu au fost raportate cazuri de hacking WPA bazat pe TKIP până acum, cine știe ce va aduce viitorul? Prin urmare, acum utilizarea standardului AES (Advanced Encryption Standard), care înlocuiește TKIP, devine din ce în ce mai populară. Apropo, în viitorul standard WPA2 există o cerință obligatorie de a utiliza AES pentru criptare.

Ce concluzii se pot trage?

  • dacă în rețea există doar dispozitive 802.11g, este mai bine să utilizați criptarea bazată pe WPA;
  • dacă este posibil (dacă este acceptat de toate dispozitivele), activați criptarea AES;

Să trecem la configurarea directă a criptării pe dispozitive. Folosesc aceleași adaptoare wireless ca în articolul anterior:

Adaptorul Cardbus Asus WL-100g este instalat pe laptop. Interfața de gestionare a cardurilor este un utilitar de la ASUS (ASUS WLAN Control Center).

Adaptor extern cu interfață USB ASUS WL-140. Adaptorul este controlat prin interfața încorporată în Windows XP (Zero Wireless Configuration). Acest card este 802.11b, deci nu acceptă WPA.

Placă de interfață PCI Asus WL-130g. Interfața de control este implementată de la (producătorul chipset-ului acestei plăci PCI).

Centrul de control ASUS WLAN - ASUS WL-100g

Să începem prin a configura criptarea în interfața de administrare ASUS WLAN Control Center. Toate setările sunt concentrate în secțiune Criptare. Mai întâi, selectați tipul de autentificare ( autentificare retea), avem trei tipuri disponibile: Open System, Shared Key și WPA.

1. Criptare WEP.

Tipurile Open System/Shared Key sunt subseturi ale algoritmului de autentificare integrat în WEP. Modul Open System este nesigur și este puternic descurajat să fie activat atunci când cheia partajată poate fi activată. Acest lucru se datorează faptului că, în modul Open System, pentru a intra într-o rețea fără fir (asocierea cu o altă stație sau punct de acces), este suficient să cunoașteți doar SSID-ul rețelei, iar în modul Shared Key, trebuie să setați și un WEP cheie de criptare comună întregii rețele.

Apoi, selectați Criptare - WEP, dimensiunea cheii - 128 de biți (este mai bine să nu utilizați deloc o cheie de 64 de biți). Selectăm formatul cheii, HEX (introducerea cheii în formă hexazecimală) sau generarea unei chei dintr-o secvență ASCII (nu uitați că algoritmii de generare pot diferi între producători). De asemenea, ținem cont de faptul că cheia (sau cheile) WEP trebuie să fie aceleași pe toate dispozitivele din aceeași rețea. Puteți introduce până la patru chei în total. Ultimul element este de a selecta ce tastă va fi folosită (Tasta implicită). ÎN în acest caz, Există o altă modalitate - să începeți să utilizați toate cele patru taste secvenţial, ceea ce crește securitatea. (compatibilitate numai pentru dispozitive de la același producător).

2. Criptare WPA.

Dacă este acceptat pe toate dispozitivele (de obicei dispozitive 802.11g), este foarte recomandat să utilizați acest mod în loc de WEP învechit și vulnerabil.

De obicei, dispozitivele wireless acceptă două moduri WPA:

  • WPA standard. Nu este potrivit pentru noi, deoarece necesită un server RADIUS în rețea (și funcționează doar împreună cu un punct de acces).
  • WPA-PSK - WPA cu suport pentru chei pre partajate (chei predefinite). Și aceasta este ceea ce este necesar - cheia (aceeași pentru toate dispozitivele) este setată manual pe toate adaptoarele wireless și autentificarea primară a stațiilor se realizează prin intermediul acesteia.

Puteți selecta TKIP sau AES ca algoritmi de criptare. Acesta din urmă nu este implementat pe toți clienții wireless, dar dacă este acceptat de toate stațiile, atunci este mai bine să rămâneți cu el. Cheia de rețea fără fir este aceeași cheie generală pre partajată. Este indicat să o faceți mai lungă și să nu folosiți un cuvânt din dicționar sau un set de cuvinte. În mod ideal, ar trebui să fie un fel de gobbledygook.

După ce faceți clic pe butonul Aplicați (sau Ok), setările specificate vor fi aplicate cardului wireless. În acest moment, procedura de configurare a criptării pe acesta poate fi considerată completă.

Interfață de control implementată de Ralink - Asus WL-130g

Configurarea nu este foarte diferită de interfața deja discutată de la ASUS WLAN CC. În fereastra de interfață care se deschide, accesați fila Profil, selectați profilul dorit și faceți clic Editați | ×.

1. Criptare WEP.

Criptarea este configurată în filă Autentificare și securitate. Dacă criptarea WEP este activată, selectați Partajat în Tip de autentificare(adică cheia partajată).

Selectați tipul de criptare - WEP și introduceți până la patru chei ASCII sau hexazecimale. Lungimea cheii nu poate fi setată în interfață o cheie de 128 de biți este utilizată imediat.

2. Criptare WPA.

Dacă în Tip de autentificare selectați WPA-Niciunul, apoi vom activa criptarea cheii partajate WPA. Selectați tipul de criptare ( Criptare) TKIP sau AES și introduceți cheia partajată ( Cheie pre-partajată WPA).

Aceasta încheie configurarea criptării în această interfață. Pentru a salva setările în profilul dvs., faceți clic pe butonul Bine.

Zero Wireless Configuration (Interfață încorporată Windows) - ASUS WL-140

ASUS WL-140 este un card 802.11b, deci acceptă doar criptarea WEP.

1. Criptare WEP.

În setările adaptorului wireless, accesați fila Retea fara fir. Apoi, selectați rețeaua noastră wireless și apăsați butonul Ton.

În fereastra care apare, activați Criptarea datelor. De asemenea, activăm Autentificare retea, dezactivarea acestui element va activa autentificarea de tip „Sistem deschis”, adică. orice client se va putea conecta la rețea cunoscând SSID-ul său.

Introduceți cheia de rețea (și repetați-o în câmpul următor). Îi verificăm indicele (numărul ordinal), de obicei este egal cu unu (adică prima cheie). Numărul cheii trebuie să fie același pe toate dispozitivele.

Cheia (parola de rețea), după cum ne spune sistemul de operare, trebuie să conțină 5 sau 13 caractere sau să fie introdusă în întregime în hexazecimal. Încă o dată, vă rugăm să rețineți că algoritmul pentru conversia unei chei din simbolic în hexazecimal poate diferi între Microsoft și producătorii propriilor interfețe pentru gestionarea adaptoarelor fără fir, așa că ar fi mai fiabil să introduceți cheia în hexazecimal (adică, numere de la 0 la 9 și literele de la A la F).

Există, de asemenea, un steag în interfața responsabilă pentru Aprovizionarea automată a cheilor, dar nu știu exact unde va funcționa. Secțiunea de ajutor spune că cheia poate fi conectată la adaptorul wireless de către producător. În general, este mai bine să nu activați această funcție.

În acest moment, configurarea de criptare pentru adaptorul 802.11b poate fi considerată completă.

Apropo, despre ajutorul încorporat în sistemul de operare. Majoritatea celor spuse aici și mai multe pot fi găsite în Centru de ajutor și asistență, care are un sistem de ajutor bun, trebuie doar să introduceți cuvinte cheie și să faceți clic pe săgeata verde de căutare.

2. Criptare WPA.

După ce am examinat setările de criptare folosind exemplul adaptorului 802.11b ASUS WL-140, nu am abordat setările WPA din Windows, deoarece cardul nu acceptă acest mod. Să luăm în considerare acest aspect folosind exemplul unui alt adaptor - ASUS WL-100g. Capacitatea de a configura WPA în Windows XP apare odată cu instalarea Service Pack versiunea 2 (sau actualizările corespunzătoare aflate pe site-ul Microsoft).

Service Pack 2 extinde foarte mult funcționalitatea și comoditatea setărilor rețelei wireless. Deși elementele din meniul principal nu s-au schimbat, au fost adăugate altele noi.

Criptarea este configurată în modul standard: selectați mai întâi pictograma adaptorului wireless, apoi apăsați butonul Proprietăți.

Accesați marcajul Retea fara firși alegeți ce rețea vom configura (de obicei există doar una). Clic Proprietăți.

În fereastra care apare, selectați WPA-None, adică. WPA cu chei pre-partajate (dacă selectați Compatibil, apoi vom activa modul de configurare a criptării WEP, care a fost deja descris mai sus).

Selectați AES sau TKIP (dacă toate dispozitivele din rețea acceptă AES, atunci este mai bine să-l selectați) și introduceți cheia WPA de două ori (a doua în câmpul de confirmare). De preferat ceva lung și greu de ridicat.

După ce faceți clic pe Bine configurația de criptare WPA poate fi considerată completă.

În concluzie, câteva cuvinte despre expertul de configurare a rețelei fără fir care a apărut cu Service Pack 2.

În proprietățile adaptorului de rețea, selectați butonul Retea fara fir.

În fereastra care apare, faceți clic pe Configurați o rețea fără fir.

Aici ne spun unde am ajuns. Clic Mai departe.

Alege Configurați o rețea fără fir. (Dacă selectați Adăuga, apoi puteți crea profiluri pentru alte computere din aceeași rețea fără fir).

În fereastra care apare, setați SSID-ul rețelei, activați criptarea WPA, dacă este posibil, și selectați metoda de introducere a cheii. Puteți lăsa generarea sistemului de operare sau puteți introduce cheile manual. Dacă primul este selectat, atunci va apărea o fereastră care vă va cere să introduceți cheia (sau cheile) necesare.

  • Într-un fișier text, pentru introducerea manuală ulterioară pe alte mașini.
  • Salvarea profilului pe o unitate flash USB pentru introducerea automată pe alte mașini cu Windows XP cu Service Pack versiunea 2 integrată.

Dacă este selectat modul de salvare Flash, atunci în următoarea fereastră vi se va solicita să introduceți suportul Flash și să îl selectați din meniu.

Dacă a fost selectată salvarea manuală a parametrilor, atunci după apăsarea butonului Tip

... va fi afișat un fișier text cu parametrii rețelei configurate. Vă rugăm să rețineți că sunt generate chei aleatoare și lungi (adică bune), dar TKIP este folosit ca algoritm de criptare. Algoritmul AES poate fi activat ulterior manual în setări, așa cum este descris mai sus.

Total

Am terminat de configurat criptarea pe toate adaptoarele wireless. Acum puteți verifica dacă computerele se pot vedea unul pe celălalt. Cum să faceți acest lucru a fost descris în a doua parte a seriei „rețele de do-it-yourself” (procedăm în mod similar cu metoda când criptarea nu a fost activată în rețea).

Dacă avem probleme și nu toate computerele se văd, atunci verificăm setările generale ale adaptoarelor:

  • Algoritmul de autentificare trebuie să fie același pentru toată lumea (Shared Keys sau WPA);
  • Algoritmul de criptare trebuie să fie același pentru toată lumea (WEP-128bit, WPA-TKIP sau WPA-AES);
  • Lungimea cheii (în cazul criptării WEP) trebuie să fie aceeași pentru toate stațiile din rețea (lungimea obișnuită este de 128 de biți);
  • Cheia în sine trebuie să fie aceeași la toate stațiile din rețea. Dacă se folosește WEP, atunci un posibil motiv este utilizarea unei chei ASCII, iar rețeaua folosește echipamente eterogene (de la diferiți producători). Încercați să introduceți cheia în notație hexazecimală.

Criptare Wi-Fi - ce protocol să alegeți?

Mi-am cumpărat un router nou și am decis să-l configurez singur. Totul este configurat - Internetul și rețeaua wireless funcționează. A apărut o întrebare, pentru că undele radio (Wi-Fi în cazul meu) se propagă nu numai în apartamentul meu. În consecință, ele pot fi interceptate. Teoretic. Routerul are o setare de criptare a rețelei fără fir. Presupun că este tocmai pentru a exclude interceptarea și „interceptarea cu urechea”. Întrebarea este, care dintre protocoalele de criptare disponibile în routerul meu ar trebui să aleg? Disponibil: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Ce criptare Wi-Fi ar trebui să folosesc în cazul meu?


norik | 16 februarie 2015, ora 10:14
Voi omite descrierile oricăror protocoale de criptare Wi-Fi învechite. Prin urmare, le voi descrie numai pe cele care au sens să le folosești. Dacă protocolul nu este descris aici, atunci fie este exotic, fie nu aveți nevoie de el.

WPA și WPA2 (Wi-Fi Protected Access) - disponibile pe toate routerele. Cel mai popular și răspândit protocol. Este, de asemenea, una dintre cele mai moderne. IMHO - cea mai bună alegere pentru acasă și biroul mic. Cu toate acestea, este destul de potrivit și pentru birourile mari, cu excepția faptului că are sens să complicem autorizarea. Lungimea parolei sale este de până la 63 de octeți, așa că dacă o spargeți ghicind, puteți deveni gri mai devreme. Desigur, trebuie să alegeți WPA2 dacă este acceptat de toate dispozitivele din rețea (numai gadgeturile foarte vechi nu îl înțeleg).

Ceea ce este cu adevărat valoros este că mai mulți algoritmi de criptare pot fi utilizați în cadrul acestui serviciu. Printre acestea: 1. TKIP - nu-l recomand, deoarece este foarte posibil să găsești o gaură.
2. CCMP - mult mai bine.
3. AES - Cel mai mult îmi place, dar nu este suportat de toate dispozitivele, deși este inclus în specificația WPA2.

WPA2 oferă, de asemenea, două moduri inițiale de autentificare. Aceste moduri sunt PSK și Enterprise. WPA Personal, cunoscut și ca WPA PSK, înseamnă că toți utilizatorii se vor conecta la rețeaua wireless cu o singură parolă introdusă pe partea clientului în momentul conectării la rețea. Excelent pentru acasă, dar problematic pentru un birou mare. Va fi dificil să schimbi parola pentru toată lumea de fiecare dată când un alt angajat care o știe renunță.

WPA Enterprise necesită un server separat cu un set de chei. Pentru o casă sau un birou cu 6 mașini, acest lucru este greoi, dar dacă există 3 duzini de dispozitive wireless în birou, atunci poți avea grijă.

De fapt, acest lucru epuizează alegerea criptării Wi-Fi în acest moment. Protocoalele rămase fie nu au deloc criptare sau parolă, fie au găuri în algoritmi în care doar cei foarte lenesi nu ar intra. Recomand combinația WPA2 Personal AES pentru uz casnic. Pentru birouri mari - WPA2 Enterprise AES. Dacă nu există AES, atunci te poți descurca cu TKIP, dar mai există posibilitatea ca pachetele să fie citite de un străin. Există o părere că WPA2 TKIP nu a fost niciodată piratat, spre deosebire de WPA TKIP, dar a fost protejat...