Bảo mật Wi-Fi. Bảo vệ Wi-Fi thích hợp. Phân tích bảo mật mạng không dây

Hiện nay, hầu hết các công ty, doanh nghiệp ngày càng quan tâm nhiều hơn đến việc sử dụng mạng Wi-Fi trực tiếp. Điều này là do sự tiện lợi, tính di động và giá thành tương đối rẻ của việc kết nối các văn phòng riêng lẻ và khả năng di chuyển chúng trong phạm vi của thiết bị. Mạng Wi-Fi sử dụng các mô hình toán học thuật toán phức tạp để xác thực, mã hóa dữ liệu và kiểm soát tính toàn vẹn trong quá trình truyền của chúng - điều này sẽ cho phép bạn tương đối bình tĩnh về sự an toàn của dữ liệu khi sử dụng công nghệ này.

Phân tích an ninh mạng không dây.

Tuy nhiên, khả năng bảo mật này chỉ mang tính tương đối nếu bạn không chú ý đúng mức đến việc thiết lập mạng không dây của mình. Tại thời điểm này, đã có danh sách các tính năng “chuẩn” mà hacker có thể có được nếu sơ suất trong việc thiết lập mạng không dây:

Truy cập vào tài nguyên mạng cục bộ;

Nghe lén, đánh cắp (có nghĩa là lưu lượng truy cập Internet trực tiếp);

Làm biến dạng thông tin truyền qua mạng;

Giới thiệu một điểm truy cập giả mạo;

Một chút lý thuyết.

1997 – tiêu chuẩn IEEE 802.11 đầu tiên được xuất bản. Tùy chọn bảo vệ truy cập mạng:

1. Mật khẩu SSID (ID nhóm máy chủ) đơn giản đã được sử dụng để truy cập mạng cục bộ. Tùy chọn này không cung cấp mức độ bảo vệ cần thiết, đặc biệt đối với trình độ công nghệ hiện tại.

2. Sử dụng WEP (Wired Equivalent Privacy) – tức là sử dụng khóa kỹ thuật số để mã hóa luồng dữ liệu bằng chức năng này. Bản thân các khóa chỉ là mật khẩu thông thường có độ dài từ 5 đến 13 ký tự ASCII, tương ứng với mã hóa 40 hoặc 104 bit ở mức tĩnh.

2001 - giới thiệu tiêu chuẩn IEEE 802.1X mới. Tiêu chuẩn này sử dụng các khóa mã hóa 128 bit động, nghĩa là thay đổi định kỳ theo thời gian. Ý tưởng cơ bản là người dùng mạng hoạt động theo phiên, sau khi hoàn thành phiên này, họ sẽ được gửi một khóa mới - thời gian phiên tùy thuộc vào hệ điều hành (Windows XP - theo mặc định, thời gian của một phiên là 30 phút).

Hiện nay có các chuẩn 802.11:

802.11 - Tiêu chuẩn cơ sở ban đầu. Hỗ trợ truyền dữ liệu qua kênh vô tuyến ở tốc độ 1 và 2 Mbit/s.

802.11a - Chuẩn WLAN tốc độ cao. Hỗ trợ truyền dữ liệu ở tốc độ lên tới 54 Mbit/s qua kênh vô tuyến trong phạm vi khoảng 5 GHz.

I802.11b - Tiêu chuẩn phổ biến nhất. Hỗ trợ truyền dữ liệu với tốc độ lên tới 11 Mbit/s qua kênh vô tuyến trong phạm vi khoảng 2,4 GHz.

802.11e - Yêu cầu chất lượng yêu cầu cho tất cả các giao diện vô tuyến IEEE WLAN

802.11f - Tiêu chuẩn mô tả thứ tự liên lạc giữa các điểm truy cập ngang hàng.

802.11g - Thiết lập kỹ thuật điều chế bổ sung cho tần số 2,4 GHz. Được thiết kế để cung cấp tốc độ truyền dữ liệu lên tới 54 Mbit/s qua kênh vô tuyến trong phạm vi khoảng 2,4 GHz.

802.11h - Tiêu chuẩn mô tả việc quản lý phổ tần 5 GHz để sử dụng ở Châu Âu và Châu Á.

802.11i (WPA2) - Một tiêu chuẩn khắc phục các vấn đề bảo mật hiện có trong lĩnh vực giao thức xác thực và mã hóa. Ảnh hưởng đến giao thức 802.1X, TKIP và AES.

Hiện nay có 4 chuẩn được sử dụng rộng rãi là: 802.11, 802.11a, 802.11b, 802.11g.

2003 - Tiêu chuẩn WPA (Wi-Fi Protected Access) được giới thiệu, kết hợp các lợi ích của việc đổi mới khóa động của IEEE 802.1X với mã hóa TKIP (Giao thức toàn vẹn khóa tạm thời), Giao thức xác thực mở rộng (EAP) và tính toàn vẹn của thông báo công nghệ xác minh MIC ( Kiểm tra tính toàn vẹn của tin nhắn).

Ngoài ra, nhiều tiêu chuẩn bảo mật độc lập từ nhiều nhà phát triển khác nhau đang được phát triển song song. Dẫn đầu là những gã khổng lồ như Intel và Cisco.

2004 - WPA2, hay 802.11i xuất hiện - tiêu chuẩn an toàn nhất tại thời điểm này.

Các công nghệ bảo vệ mạng Fi-Wi.

WEP

Công nghệ này được phát triển đặc biệt để mã hóa luồng dữ liệu được truyền trong mạng cục bộ. Dữ liệu được mã hóa bằng khóa từ 40 đến 104 bit. Nhưng đây không phải là toàn bộ khóa mà chỉ là thành phần tĩnh của nó. Để tăng cường bảo mật, cái gọi là vectơ khởi tạo IV (Vectơ khởi tạo) được sử dụng, được thiết kế để ngẫu nhiên hóa một phần bổ sung của khóa, cung cấp các biến thể khác nhau của mật mã cho các gói dữ liệu khác nhau. Vectơ này là 24-bit. Do đó, kết quả là chúng tôi thu được mã hóa chung với độ sâu bit từ 64 (40+24) đến 128 (104+24) bit, cho phép chúng tôi hoạt động với cả các ký tự không đổi và được chọn ngẫu nhiên trong quá trình mã hóa. Nhưng mặt khác, 24 bit chỉ có ~16 triệu tổ hợp (2 lũy thừa 24) - nghĩa là sau khi chu kỳ tạo khóa hết hạn, một chu kỳ mới sẽ bắt đầu. Việc hack được thực hiện khá đơn giản:

1) Tìm lần lặp lại (thời gian tối thiểu, đối với khóa dài 40 bit - từ 10 phút).

2) Hack phần còn lại (về cơ bản là giây)

3) Bạn có thể xâm nhập vào mạng của người khác.

Đồng thời có những tiện ích dùng để bẻ khóa khá phổ biến như WEPcrack.

802.1X

IEEE 802.1X là tiêu chuẩn nền tảng cho mạng không dây. Nó hiện được hỗ trợ bởi Windows XP và Windows Server 2003.

802.1X và 802.11 là các tiêu chuẩn tương thích. 802.1X sử dụng thuật toán tương tự như WEP, cụ thể là RC4, nhưng có một số khác biệt ("tính di động" cao hơn, tức là có thể kết nối ngay cả một thiết bị PDA với mạng) và các sửa lỗi (hack WEP, v.v.).

802.1X dựa trên Giao thức xác thực mở rộng (EAP), Bảo mật lớp vận chuyển (TLS) và RADIUS (Dịch vụ người dùng quay số truy cập từ xa).

Sau khi người dùng vượt qua giai đoạn xác thực, anh ta sẽ được gửi một khóa bí mật ở dạng mã hóa trong một thời gian ngắn nhất định - thời gian của phiên hiện tại hợp lệ. Sau khi hoàn thành phiên này, một khóa mới sẽ được tạo và gửi lại cho người dùng. Giao thức bảo mật lớp vận chuyển TLS cung cấp tính xác thực lẫn nhau và tính toàn vẹn của việc truyền dữ liệu. Tất cả các khóa đều là 128-bit.

Riêng biệt, cần phải đề cập đến tính bảo mật của RADIUS: nó dựa trên giao thức UDP (và do đó tương đối nhanh), quá trình ủy quyền xảy ra trong bối cảnh của quá trình xác thực (nghĩa là không có ủy quyền nào như vậy), Việc triển khai máy chủ RADIUS tập trung vào phục vụ máy khách một quy trình (mặc dù có thể thực hiện được và đa quy trình - câu hỏi vẫn còn mở), hỗ trợ một số loại xác thực khá hạn chế (văn bản rõ ràng và CHAP) và có mức độ trung bình về bảo vệ. Trong RADIUS, chỉ mật khẩu văn bản rõ ràng mới được mã hóa, phần còn lại của gói vẫn “mở” (từ quan điểm bảo mật, ngay cả tên người dùng cũng là một tham số rất quan trọng). Nhưng CHAP là một vấn đề riêng biệt. dưới mọi hình thức sẽ không bao giờ được truyền qua mạng Cụ thể: khi xác thực người dùng, máy khách sẽ gửi cho máy người dùng một Thử thách nhất định (một chuỗi ký tự ngẫu nhiên tùy ý), người dùng nhập mật khẩu và với Thử thách này, máy người dùng sẽ thực hiện một số thử thách nhất định. mã hóa hành động bằng mật khẩu đã nhập (thường đây là mã hóa thông thường bằng thuật toán MD5 (RFC-1321). Phản hồi này được gửi lại cho máy khách và máy khách gửi mọi thứ (Thử thách và Phản hồi) đến máy chủ 3A để xác thực (Xác thực, Ủy quyền, Kế toán). bên cạnh mật khẩu người dùng) thực hiện các hành động tương tự với Thử thách và so sánh Phản hồi của nó với phản hồi nhận được từ khách hàng: hội tụ - người dùng được xác thực, không - từ chối. Do đó, chỉ người dùng và máy chủ 3A mới biết mật khẩu văn bản rõ ràng và mật khẩu văn bản rõ ràng không “di chuyển” qua mạng và không thể bị hack.

WPA

WPA (Wi-Fi Protected Access) là một tiêu chuẩn tạm thời (công nghệ truy cập an toàn vào mạng không dây), được chuyển đổi sang IEEE 802.11i. Về cơ bản, WPA kết hợp:

802.1X là tiêu chuẩn nền tảng cho mạng không dây;

EAP - Giao thức xác thực mở rộng;

TKIP - Giao thức toàn vẹn khóa tạm thời;

MIC là công nghệ kiểm tra tính toàn vẹn của tin nhắn (Message Integrity Check).

Các mô-đun chính là TKIP và MIC. Tiêu chuẩn TKIP sử dụng các khóa 128 bit được chọn tự động, được tạo theo cách không thể đoán trước và có khoảng 500 tỷ biến thể. Một hệ thống phân cấp phức tạp gồm thuật toán chọn khóa và sự thay thế động của chúng cứ sau 10 KB (10 nghìn gói được truyền) giúp hệ thống được bảo mật tối đa. Công nghệ Kiểm tra tính toàn vẹn của tin nhắn cũng bảo vệ chống lại sự xâm nhập từ bên ngoài và những thay đổi về thông tin. Một thuật toán toán học khá phức tạp cho phép bạn so sánh dữ liệu được gửi tại một điểm và nhận được ở một điểm khác. Nếu những thay đổi được nhận thấy và kết quả so sánh không hội tụ, dữ liệu đó bị coi là sai và bị loại bỏ.

Đúng, TKIP hiện không phải là công cụ tốt nhất trong việc triển khai mã hóa do công nghệ Tiêu chuẩn mã hóa nâng cao (AES) mới trước đây được sử dụng trong VPN.

VPN

Công nghệ VPN (Mạng riêng ảo) được Intel đề xuất nhằm cung cấp kết nối an toàn giữa hệ thống máy khách và máy chủ qua các kênh Internet công cộng. VPN có lẽ là một trong những dịch vụ đáng tin cậy nhất về độ tin cậy mã hóa và xác thực.

Có một số công nghệ mã hóa được sử dụng trong VPN, trong đó phổ biến nhất được mô tả bằng giao thức PPTP, L2TP và IPSec với các thuật toán mã hóa DES, Triple DES, AES và MD5. Bảo mật IP (IPSec) được sử dụng khoảng 65-70% thời gian. Với sự trợ giúp của nó, bảo mật gần như tối đa của đường dây liên lạc được đảm bảo.

Công nghệ VPN không được thiết kế dành riêng cho Wi-Fi - nó có thể được sử dụng cho bất kỳ loại mạng nào, nhưng bảo vệ mạng không dây với sự trợ giúp của nó là giải pháp đúng đắn nhất.

Một lượng khá lớn phần mềm (Windows NT/2000/XP, Sun Solaris, Linux) và phần cứng đã được phát hành cho VPN. Để triển khai bảo vệ VPN trong mạng, bạn cần cài đặt một cổng VPN đặc biệt (phần mềm hoặc phần cứng), trong đó các đường hầm được tạo, một đường hầm cho mỗi người dùng. Ví dụ: đối với mạng không dây, cổng phải được cài đặt ngay trước điểm truy cập. Và người dùng mạng cần cài đặt các chương trình máy khách đặc biệt, do đó các chương trình này cũng hoạt động bên ngoài mạng không dây và việc giải mã được thực hiện vượt ra ngoài ranh giới của nó. Mặc dù tất cả điều này khá cồng kềnh nhưng nó rất đáng tin cậy. Nhưng giống như mọi thứ, nó đều có nhược điểm, trong trường hợp này có hai nhược điểm:

Sự cần thiết phải quản lý khá rộng rãi;

Giảm dung lượng kênh 30-40%.

Ngoài ra, VPN là một lựa chọn khá rõ ràng. Hơn nữa, gần đây, sự phát triển của thiết bị VPN chính xác là theo hướng cải thiện tính bảo mật và tính di động. Giải pháp IPsec VPN hoàn chỉnh trong dòng Cisco VPN 5000 là một ví dụ điển hình. Hơn nữa, dòng này hiện chỉ bao gồm giải pháp VPN dựa trên máy khách duy nhất hiện nay hỗ trợ Windows 95/98/NT/2000, MacOS, Linux và Solaris. Ngoài ra, giấy phép miễn phí để sử dụng thương hiệu và phân phối phần mềm máy khách IPsec VPN đi kèm với tất cả các sản phẩm VPN 5000, điều này cũng rất quan trọng.

Những điểm chính về việc bảo vệ mạng Fi-Wi của tổ chức.

Dựa trên tất cả những điều trên, bạn có thể đảm bảo rằng các cơ chế và công nghệ bảo vệ hiện có cho phép bạn đảm bảo tính bảo mật cho mạng của mình khi sử dụng Fi-Wi. Đương nhiên, nếu quản trị viên không chỉ dựa vào các cài đặt cơ bản mà còn quan tâm đến việc tinh chỉnh. Tất nhiên, không thể nói rằng theo cách này, mạng của bạn sẽ biến thành một pháo đài bất khả xâm phạm, nhưng bằng cách phân bổ đủ kinh phí đáng kể cho thiết bị, thời gian cấu hình và tất nhiên là giám sát liên tục, bạn có thể đảm bảo an ninh với xác suất xấp xỉ 95%.

Những điểm chính khi tổ chức, thiết lập mạng Wi-Fi không nên bỏ qua:

- Lựa chọn và cài đặt một điểm truy cập:

> trước khi mua, hãy đọc kỹ tài liệu và thông tin hiện có về các lỗ hổng trong quá trình triển khai phần mềm cho loại thiết bị này (ví dụ nổi tiếng về lỗ hổng trên iOS của bộ định tuyến Cisco cho phép kẻ tấn công truy cập vào bảng cấu hình) . Có thể hợp lý nếu bạn hạn chế mua một tùy chọn rẻ hơn và cập nhật hệ điều hành của thiết bị mạng;

> khám phá các giao thức và công nghệ mã hóa được hỗ trợ;

> bất cứ khi nào có thể, hãy mua các thiết bị sử dụng WPA2 và 802.11i vì chúng sử dụng công nghệ mới để bảo mật - Tiêu chuẩn mã hóa nâng cao (AES). Hiện tại, đây có thể là các điểm truy cập băng tần kép (AP) cho mạng IEEE 802.11a/b/g Cisco Aironet 1130AG và 1230AG. Các thiết bị này hỗ trợ chuẩn bảo mật IEEE 802.11i, công nghệ chống xâm nhập Wi-Fi Protected Access 2 (WPA2) sử dụng Chuẩn mã hóa nâng cao (AES) và đảm bảo dung lượng đáp ứng nhu cầu cao nhất của người dùng mạng LAN không dây. Các AP mới tận dụng công nghệ IEEE 802.11a/b/g băng tần kép và vẫn tương thích hoàn toàn với các phiên bản cũ hơn của thiết bị chạy IEEE 802.11b;

> chuẩn bị trước cho máy của khách hàng để hoạt động cùng với thiết bị đã mua. Một số công nghệ mã hóa có thể không được hệ điều hành hoặc trình điều khiển hỗ trợ tại thời điểm này. Điều này sẽ giúp tránh lãng phí thời gian khi triển khai mạng;

> không cài đặt điểm truy cập bên ngoài tường lửa;

> Đặt ăng-ten bên trong các bức tường của tòa nhà và hạn chế năng lượng vô tuyến để giảm khả năng kết nối từ bên ngoài.

> sử dụng ăng-ten định hướng, không sử dụng kênh radio mặc định.

- Thiết lập điểm truy cập:

> nếu điểm truy cập của bạn cho phép bạn từ chối quyền truy cập vào cài đặt của mình qua kết nối không dây thì hãy sử dụng tính năng này. Ban đầu, đừng tạo cơ hội cho tin tặc kiểm soát các nút chính qua sóng vô tuyến khi xâm nhập vào mạng của bạn. Tắt các giao thức phát sóng vô tuyến như SNMP, giao diện quản trị web và telnet;

> hãy chắc chắn(!) sử dụng mật khẩu phức tạp để truy cập cài đặt điểm truy cập;

> nếu điểm truy cập cho phép bạn kiểm soát quyền truy cập của máy khách bằng địa chỉ MAC, hãy đảm bảo sử dụng địa chỉ này;

> nếu thiết bị cho phép bạn cấm phát SSID, hãy đảm bảo thực hiện việc này. Nhưng đồng thời, hacker luôn có cơ hội lấy được SSID khi kết nối với tư cách là khách hàng hợp pháp;

> chính sách bảo mật phải cấm các máy khách không dây tạo kết nối đặc biệt (các mạng như vậy cho phép hai hoặc nhiều trạm kết nối trực tiếp với nhau, bỏ qua các điểm truy cập định tuyến lưu lượng truy cập của chúng). Tin tặc có thể sử dụng một số kiểu tấn công nhằm vào các hệ thống sử dụng kết nối đặc biệt. Vấn đề chính của mạng ad-hoc là thiếu khả năng nhận dạng. Các mạng này có thể cho phép tin tặc thực hiện các cuộc tấn công trung gian, từ chối dịch vụ (DoS) và/hoặc xâm phạm hệ thống.

- Chọn cài đặt tùy thuộc vào công nghệ:

> nếu có thể, hãy từ chối quyền truy cập đối với các máy khách có SSID;

> nếu không có tùy chọn nào khác, hãy đảm bảo bật ít nhất WEP nhưng không thấp hơn 128bit.

> nếu khi cài đặt trình điều khiển thiết bị mạng, bạn được cung cấp ba công nghệ mã hóa: WEP, WEP/WPA và WPA, sau đó chọn WPA;

> nếu cài đặt thiết bị cung cấp lựa chọn: “Khóa chia sẻ” (có thể chặn khóa WEP, khóa này giống nhau cho tất cả máy khách) và “Hệ thống mở” (có thể tích hợp vào mạng nếu biết SSID ) - chọn “Khóa chia sẻ”. Trong trường hợp này (nếu bạn sử dụng xác thực WEP), tốt nhất bạn nên bật tính năng lọc theo địa chỉ MAC;

> nếu mạng của bạn không lớn, bạn có thể chọn Khóa chia sẻ trước (PSK).

> nếu có thể sử dụng 802.1X. Tuy nhiên, khi thiết lập máy chủ RADIUS, nên chọn loại xác thực CHAP;

> mức độ bảo mật tối đa tại thời điểm này được cung cấp bằng cách sử dụng VPN - hãy sử dụng công nghệ này.

- Mật khẩu và chìa khóa:

> khi sử dụng SSID, hãy tuân thủ các yêu cầu tương tự như bảo vệ bằng mật khẩu - SSID phải là duy nhất (đừng quên rằng SSID không được mã hóa và có thể dễ dàng bị chặn!);

> luôn sử dụng các phím dài nhất có thể. Không sử dụng các khóa nhỏ hơn 128 bit;

> đừng quên bảo vệ mật khẩu - sử dụng trình tạo mật khẩu, thay đổi mật khẩu sau một khoảng thời gian nhất định, giữ bí mật mật khẩu;

> trong cài đặt thường có bốn phím được xác định trước để lựa chọn - sử dụng tất cả chúng, thay đổi theo một thuật toán nhất định. Nếu có thể, đừng tập trung vào các ngày trong tuần (luôn có người trong bất kỳ tổ chức nào làm việc vào cuối tuần - điều gì ngăn cản việc triển khai mạng vào những ngày này?).

> cố gắng sử dụng các phím dài, thay đổi linh hoạt. Nếu bạn sử dụng khóa và mật khẩu tĩnh, hãy thay đổi mật khẩu sau một khoảng thời gian nhất định.

> hướng dẫn người dùng giữ bí mật mật khẩu và khóa. Điều đặc biệt quan trọng nếu một số người sử dụng máy tính xách tay mà họ giữ ở nhà để đăng nhập.

- Thiết lạp mạng lưới:

> sử dụng NetBEUI để tổ chức các tài nguyên được chia sẻ. Nếu điều này không mâu thuẫn với khái niệm mạng của bạn, đừng sử dụng giao thức TCP/IP trên mạng không dây để sắp xếp các thư mục và máy in dùng chung.

> không cho phép khách truy cập vào các tài nguyên được chia sẻ;

> cố gắng không sử dụng DHCP trên mạng không dây của bạn - sử dụng địa chỉ IP tĩnh;

> giới hạn số lượng giao thức trong mạng WLAN chỉ ở những giao thức cần thiết.

- Tổng quan:

> sử dụng tường lửa trên tất cả các máy khách mạng không dây hoặc ít nhất là kích hoạt tường lửa cho XP;

> thường xuyên theo dõi các lỗ hổng, bản cập nhật, chương trình cơ sở và trình điều khiển trên thiết bị của bạn;

> sử dụng máy quét bảo mật định kỳ để xác định các vấn đề tiềm ẩn;

> Xác định các công cụ để thực hiện quét không dây và tần suất thực hiện các lần quét này. Quét không dây có thể giúp xác định vị trí các điểm truy cập giả mạo.

> nếu tài chính của tổ chức bạn cho phép, hãy mua hệ thống phát hiện xâm nhập (IDS, Hệ thống phát hiện xâm nhập), chẳng hạn như:

Công cụ Giải pháp Mạng LAN Không dây của CiscoWorks (WLSE), bao gồm một số tính năng mới - tự phục hồi, phát hiện giả mạo nâng cao, kiểm tra địa điểm tự động, chế độ chờ ấm, theo dõi khách hàng với báo cáo theo thời gian thực.
CiscoWorks WLSE là giải pháp cấp hệ thống tập trung để quản lý toàn bộ cơ sở hạ tầng không dây dựa trên các sản phẩm Cisco Aironet. Khả năng quản lý thiết bị và vô tuyến nâng cao được CiscoWorks WLSE hỗ trợ giúp đơn giản hóa các hoạt động mạng không dây đang diễn ra, cho phép triển khai liền mạch, nâng cao bảo mật và đảm bảo tính khả dụng tối đa đồng thời giảm chi phí triển khai và vận hành.

Hệ thống Hitachi AirLocation sử dụng mạng IEEE802.11b và có khả năng hoạt động cả trong nhà và ngoài trời. Theo các nhà phát triển, độ chính xác của việc xác định tọa độ của một vật thể là 1-3 m, chính xác hơn một chút so với đặc tính tương tự của hệ thống GPS. Hệ thống bao gồm một máy chủ xác định tọa độ, một máy chủ điều khiển, một bộ một số trạm gốc, một bộ thiết bị WLAN và phần mềm chuyên dụng. Giá tối thiểu của bộ sản phẩm là khoảng 46,3 nghìn USD. Hệ thống xác định vị trí của thiết bị được yêu cầu và khoảng cách giữa thiết bị đó với từng điểm truy cập bằng cách tính toán thời gian phản hồi của thiết bị đầu cuối đối với các tín hiệu được gửi bởi các điểm được kết nối với mạng với khoảng cách giữa các nút là 100-200m. Do đó, để có được vị trí đủ chính xác của thiết bị đầu cuối, chỉ cần ba điểm truy cập là đủ.

Đúng, giá của những thiết bị như vậy khá cao, nhưng bất kỳ công ty nghiêm túc nào cũng có thể quyết định chi số tiền này để tự tin vào tính bảo mật của mạng không dây của họ.

Để bảo vệ mạng Wi-Fi của bạn và đặt mật khẩu, bạn phải chọn loại phương thức mã hóa và bảo mật mạng không dây. Và ở giai đoạn này, nhiều người có một câu hỏi: chọn cái nào? WEP, WPA hoặc WPA2? Cá nhân hay Doanh nghiệp? AES hay TKIP? Cài đặt bảo mật nào sẽ bảo vệ tốt nhất mạng Wi-Fi của bạn? Tôi sẽ cố gắng trả lời tất cả những câu hỏi này trong khuôn khổ bài viết này. Hãy xem xét tất cả các phương pháp xác thực và mã hóa có thể có. Hãy cùng tìm hiểu thông số bảo mật mạng Wi-Fi nào được thiết lập tốt nhất trong cài đặt bộ định tuyến.

Xin lưu ý rằng loại bảo mật, hoặc xác thực, xác thực mạng, bảo vệ, phương thức xác thực đều giống nhau.

Loại xác thực và mã hóa là cài đặt bảo mật chính cho mạng Wi-Fi không dây. Tôi nghĩ rằng trước tiên chúng ta cần tìm hiểu xem chúng là gì, có những phiên bản nào, khả năng của chúng, v.v. Sau đó, chúng ta sẽ tìm ra loại bảo vệ và mã hóa để lựa chọn. Tôi sẽ chỉ cho bạn ví dụ về một số bộ định tuyến phổ biến.

Tôi thực sự khuyên bạn nên thiết lập mật khẩu và bảo vệ mạng không dây của mình. Đặt mức độ bảo vệ tối đa. Nếu bạn để mạng mở mà không có biện pháp bảo vệ thì bất kỳ ai cũng có thể kết nối với mạng đó. Điều này chủ yếu là không an toàn. Và cũng gây thêm tải cho bộ định tuyến của bạn, giảm tốc độ kết nối và đủ loại vấn đề khi kết nối các thiết bị khác nhau.

Bảo vệ mạng Wi-Fi: WEP, WPA, WPA2

Có ba lựa chọn bảo vệ. Tất nhiên là không tính "Mở" (Không bảo vệ).

WEP(Quyền riêng tư tương đương có dây) là một phương thức xác thực lỗi thời và không an toàn. Đây là phương pháp bảo vệ đầu tiên và không mấy thành công. Những kẻ tấn công có thể dễ dàng truy cập vào các mạng không dây được bảo vệ bằng WEP. Không cần thiết phải đặt chế độ này trong cài đặt bộ định tuyến của bạn, mặc dù nó có ở đó (không phải lúc nào cũng vậy).
WPA(Truy cập được bảo vệ Wi-Fi) là một loại bảo mật đáng tin cậy và hiện đại. Khả năng tương thích tối đa với mọi thiết bị và hệ điều hành.
WPA2– phiên bản WPA mới, cải tiến và đáng tin cậy hơn. Có hỗ trợ mã hóa AES CCMP. Hiện tại, đây là cách tốt nhất để bảo vệ mạng Wi-Fi. Đây là những gì tôi khuyên bạn nên sử dụng.

WPA/WPA2 có thể có hai loại:

WPA/WPA2 - Cá nhân (PSK)- Đây là phương thức xác thực thông thường. Khi bạn chỉ cần đặt mật khẩu (key) rồi sử dụng nó để kết nối với mạng Wi-Fi. Mật khẩu giống nhau được sử dụng cho tất cả các thiết bị. Bản thân mật khẩu được lưu trữ trên thiết bị. Nơi bạn có thể xem nó hoặc thay đổi nó nếu cần thiết. Nên sử dụng tùy chọn này.
WPA/WPA2 - Doanh nghiệp- một phương pháp phức tạp hơn chủ yếu được sử dụng để bảo vệ mạng không dây trong văn phòng và các cơ sở khác nhau. Cho phép mức độ bảo vệ cao hơn. Chỉ được sử dụng khi máy chủ RADIUS được cài đặt để ủy quyền cho thiết bị (cung cấp mật khẩu).

Tôi nghĩ chúng ta đã tìm ra phương pháp xác thực. Tốt nhất nên sử dụng là WPA2 - Personal (PSK). Để tương thích tốt hơn và không gặp vấn đề gì khi kết nối các thiết bị cũ hơn, bạn có thể đặt chế độ hỗn hợp WPA/WPA2. Đây là cài đặt mặc định trên nhiều bộ định tuyến. Hoặc được đánh dấu là "Được đề xuất".

Mã hóa mạng không dây

Có hai cách TKIP Và AES.

Nên sử dụng AES. Nếu bạn có các thiết bị cũ hơn trên mạng không hỗ trợ mã hóa AES (mà chỉ TKIP) và sẽ gặp sự cố khi kết nối chúng với mạng không dây, hãy đặt nó thành "Tự động". Loại mã hóa TKIP không được hỗ trợ ở chế độ 802.11n.

Trong mọi trường hợp, nếu bạn cài đặt nghiêm ngặt WPA2 - Cá nhân (được khuyến nghị) thì chỉ có mã hóa AES.

Tôi nên cài đặt biện pháp bảo vệ nào trên bộ định tuyến Wi-Fi của mình?

Sử dụng WPA2 - Cá nhân với mã hóa AES. Ngày nay, đây là cách tốt nhất và an toàn nhất. Đây là giao diện cài đặt bảo mật mạng không dây trên bộ định tuyến ASUS:

Và đây là giao diện của các cài đặt bảo mật này trên các bộ định tuyến của TP-Link (với firmware cũ).

Bạn có thể xem thêm hướng dẫn chi tiết về TP-Link.

Hướng dẫn cho các bộ định tuyến khác:

Nếu bạn không biết tìm tất cả các cài đặt này ở đâu trên bộ định tuyến của mình, hãy viết bình luận, tôi sẽ cố gắng nói cho bạn biết. Chỉ cần đừng quên chỉ định mô hình.

Vì các thiết bị cũ hơn (bộ điều hợp Wi-Fi, điện thoại, máy tính bảng, v.v.) có thể không hỗ trợ WPA2 - Personal (AES), trong trường hợp có sự cố kết nối, hãy đặt chế độ hỗn hợp (Tự động).

Tôi thường nhận thấy rằng sau khi thay đổi mật khẩu hoặc các cài đặt bảo mật khác, các thiết bị không muốn kết nối mạng. Máy tính có thể nhận được lỗi "Cài đặt mạng được lưu trên máy tính này không đáp ứng được yêu cầu của mạng này". Hãy thử xóa (quên) mạng trên thiết bị và kết nối lại. Tôi đã viết cách thực hiện việc này trên Windows 7. Nhưng trong Windows 10 bạn cần .

Mật khẩu (khóa) WPA PSK

Dù bạn chọn loại phương thức bảo mật và mã hóa nào, bạn đều phải đặt mật khẩu. Còn được gọi là khóa WPA, Mật khẩu không dây, khóa bảo mật mạng Wi-Fi, v.v.

Độ dài mật khẩu từ 8 đến 32 ký tự. Bạn có thể sử dụng các chữ cái trong bảng chữ cái Latinh và số. Ngoài ra còn có các ký tự đặc biệt: - @$ # ! v.v. Không có khoảng trắng! Mật khẩu là trường hợp nhạy cảm! Điều này có nghĩa là "z" và "Z" là các ký tự khác nhau.

Tôi không khuyên bạn nên đặt mật khẩu đơn giản. Tốt hơn hết bạn nên tạo một mật khẩu mạnh mà không ai có thể đoán được, ngay cả khi họ cố gắng hết sức.

Bạn khó có thể nhớ được một mật khẩu phức tạp như vậy. Sẽ thật tuyệt nếu viết nó ra ở đâu đó. Không có gì lạ khi mật khẩu Wi-Fi bị quên. Tôi đã viết trong bài viết phải làm gì trong những tình huống như vậy: .

Nếu bạn cần bảo mật hơn nữa, bạn có thể sử dụng liên kết địa chỉ MAC. Đúng, tôi không thấy cần thiết phải làm điều này. WPA2 - Cá nhân được ghép nối với AES và mật khẩu phức tạp là khá đủ.

Làm thế nào để bạn bảo vệ mạng Wi-Fi của bạn? Viết trong các ý kiến. Ờ, đặt câu hỏi đi :)

Sự khác biệt chính giữa mạng có dây và mạng không dây

được liên kết với một khu vực hoàn toàn không được kiểm soát giữa các điểm cuối mạng. Trong một phạm vi mạng khá rộng, môi trường không dây không được kiểm soát theo bất kỳ cách nào. Công nghệ không dây hiện đại cung cấp

một bộ công cụ hạn chế để quản lý toàn bộ khu vực triển khai mạng. Điều này cho phép những kẻ tấn công ở gần các cấu trúc không dây thực hiện một loạt các cuộc tấn công không thể thực hiện được trong thế giới có dây. Chúng ta sẽ thảo luận về các mối đe dọa bảo mật duy nhất đối với môi trường không dây, thiết bị được sử dụng trong các cuộc tấn công, các vấn đề phát sinh khi chuyển vùng từ điểm truy cập này sang điểm truy cập khác, nơi trú ẩn cho các kênh không dây và bảo vệ bằng mật mã đối với các giao tiếp mở.

Nghe trộm

Vấn đề phổ biến nhất trong môi trường mở và không được quản lý như mạng không dây là khả năng xảy ra các cuộc tấn công ẩn danh. Các loài gây hại ẩn danh có thể chặn tín hiệu vô tuyến và giải mã dữ liệu được truyền đi. Thiết bị được sử dụng để nghe lén trên mạng có thể không phức tạp hơn thiết bị được sử dụng để truy cập thông thường vào mạng đó. Để chặn đường truyền, kẻ tấn công phải ở gần máy phát. Những vụ đánh chặn kiểu này hầu như không thể đăng ký được, thậm chí còn khó ngăn chặn hơn. Việc sử dụng ăng-ten và bộ khuếch đại giúp kẻ tấn công có cơ hội ở khoảng cách đáng kể so với mục tiêu trong quá trình đánh chặn. Nghe lén được thực hiện để thu thập thông tin trên mạng mà sau đó có ý định tấn công. Mục tiêu chính của kẻ tấn công là hiểu ai đang sử dụng mạng, thông tin nào có sẵn trên mạng, khả năng của thiết bị mạng là gì, vào thời điểm nào nó được khai thác nhiều nhất và ít nhất, cũng như lãnh thổ triển khai mạng là gì. .

Tất cả điều này sẽ hữu ích để tổ chức một cuộc tấn công vào mạng.

Nhiều giao thức mạng công cộng truyền tải thông tin nhạy cảm như tên người dùng và mật khẩu ở dạng văn bản rõ ràng. Kẻ chặn có thể sử dụng dữ liệu được trích xuất để có quyền truy cập vào tài nguyên mạng.

Ngay cả khi thông tin truyền đi được mã hóa, kẻ tấn công vẫn có được văn bản có thể ghi nhớ và sau đó được giải mã. Một cách khác để nghe lén là kết nối với mạng không dây. Hoạt động nghe lén trên mạng không dây cục bộ thường dựa trên việc sử dụng sai Giao thức phân giải địa chỉ (ARP).

Ban đầu, công nghệ này được tạo ra để “nghe” mạng. Trên thực tế, chúng ta đang đối mặt với cuộc tấn công MITM (người ở giữa) ở cấp độ giao tiếp dữ liệu. Chúng có thể có nhiều dạng và được sử dụng để phá hủy tính bảo mật và tính toàn vẹn của phiên giao tiếp.

Các cuộc tấn công MITM phức tạp hơn hầu hết các cuộc tấn công khác, đòi hỏi thông tin chi tiết về mạng để thực hiện. Kẻ tấn công thường giả mạo danh tính của một trong các tài nguyên mạng.

Khi nạn nhân bị tấn công bắt đầu một kết nối, kẻ lừa đảo sẽ chặn nó và sau đó chấm dứt kết nối với tài nguyên mong muốn, sau đó chuyển tất cả các kết nối đến tài nguyên đó thông qua trạm của hắn. Trong trường hợp này, kẻ tấn công có thể gửi thông tin, thay đổi nội dung đã gửi hoặc nghe lén tất cả các cuộc hội thoại rồi giải mã chúng. Kẻ tấn công gửi các phản hồi ARP không mong muốn đến trạm mục tiêu trên mạng cục bộ, trạm này sẽ chuyển tiếp tất cả lưu lượng truy cập đi qua trạm đó tới hắn. Kẻ tấn công sau đó sẽ gửi các gói đến người nhận được chỉ định. Bằng cách này, một trạm không dây có thể chặn lưu lượng truy cập từ một máy khách không dây khác (hoặc một máy khách có dây trên mạng cục bộ).

Viện An ninh Tài chính và Kinh tế

TRỪU TƯỢNG

Bảo mật không dây

Hoàn thành:

Sinh viên nhóm U05-201

Mikhailov M.A.

Đã kiểm tra:

Phó Giáo sư của Bộ môn

Burtsev V.L.

Mátxcơva

2010

Giới thiệu

Tiêu chuẩn bảo mật WEP

Tiêu chuẩn bảo mật WPA

Chuẩn bảo mật WPA2

Phần kết luận

Giới thiệu

Lịch sử của công nghệ truyền thông tin không dây bắt đầu từ cuối thế kỷ 19 với việc truyền tín hiệu vô tuyến đầu tiên và sự xuất hiện của máy thu vô tuyến điều chế biên độ đầu tiên vào những năm 20 của thế kỷ 20. Vào những năm 1930, đài phát thanh và truyền hình điều chế tần số xuất hiện. Vào những năm 1970, hệ thống điện thoại không dây đầu tiên được tạo ra như một sự phát triển tự nhiên của nhu cầu truyền giọng nói di động. Lúc đầu, đây là các mạng tương tự, và vào đầu những năm 80, tiêu chuẩn GSM đã được phát triển, đánh dấu sự khởi đầu của quá trình chuyển đổi sang các tiêu chuẩn kỹ thuật số, vì cung cấp khả năng phân bổ phổ tần tốt hơn, chất lượng tín hiệu tốt hơn và bảo mật tốt hơn. Từ những năm 90 của thế kỷ XX, vị thế của mạng không dây ngày càng được củng cố. Công nghệ không dây đã ăn sâu vào cuộc sống của chúng ta. Phát triển với tốc độ chóng mặt, họ tạo ra các thiết bị và dịch vụ mới.

Sự phong phú của các công nghệ không dây mới như CDMA (Đa truy cập phân chia theo mã), GSM (Toàn cầu cho truyền thông di động), TDMA (Đa truy cập phân chia theo thời gian), 802.11, WAP (Giao thức ứng dụng không dây), 3G (thế hệ thứ ba), GPRS (Chung Dịch vụ vô tuyến gói), Bluetooth (răng xanh, được đặt theo tên của Harald Blue Răng, một nhà lãnh đạo Viking sống ở thế kỷ thứ 10), EDGE (Tốc độ dữ liệu nâng cao cho sự tiến hóa GSM, tốc độ truyền tăng được đưa ra cho GSM), i-mode, v.v. . chỉ ra rằng một cuộc cách mạng đang bắt đầu trong lĩnh vực này.

Sự phát triển của mạng cục bộ không dây (WLAN), Bluetooth (mạng trung bình và khoảng cách ngắn) cũng rất hứa hẹn. Mạng không dây được triển khai tại các sân bay, trường đại học, khách sạn, nhà hàng và doanh nghiệp. Lịch sử phát triển các tiêu chuẩn mạng không dây bắt đầu từ năm 1990, khi ủy ban 802.11 được thành lập bởi tổ chức toàn cầu IEEE (Viện Kỹ sư Điện và Điện tử). World Wide Web và ý tưởng làm việc trên Internet bằng các thiết bị không dây đã tạo động lực đáng kể cho sự phát triển của công nghệ không dây. Vào cuối những năm 90, người dùng được cung cấp dịch vụ WAP, dịch vụ này lúc đầu không thu hút được nhiều sự quan tâm của người dân. Đây là những dịch vụ thông tin cơ bản - tin tức, thời tiết, tất cả các loại lịch trình, v.v. Ngoài ra, cả Bluetooth và WLAN lúc đầu đều có nhu cầu rất thấp, chủ yếu là do chi phí cao của các phương tiện liên lạc này. Tuy nhiên, khi giá giảm, sự quan tâm của công chúng cũng giảm theo. Đến giữa thập kỷ đầu tiên của thế kỷ 21, số lượng người sử dụng dịch vụ Internet không dây đã lên tới hàng chục triệu. Với sự ra đời của truyền thông Internet không dây, vấn đề bảo mật đã trở nên quan trọng. Các vấn đề chính khi sử dụng mạng không dây là chặn tin nhắn từ các dịch vụ tình báo, doanh nghiệp thương mại và cá nhân, chặn số thẻ tín dụng, đánh cắp thời gian kết nối phải trả tiền và can thiệp vào công việc của các trung tâm liên lạc.

Giống như bất kỳ mạng máy tính nào, Wi-Fi là nguồn làm tăng nguy cơ truy cập trái phép. Ngoài ra, việc xâm nhập mạng không dây dễ dàng hơn nhiều so với mạng thông thường - bạn không cần kết nối bằng dây, bạn chỉ cần ở trong khu vực thu tín hiệu.

Mạng không dây chỉ khác với mạng cáp ở hai cấp độ đầu tiên - vật lý (Phy) và một phần kênh (MAC) - của mô hình tương tác hệ thống mở bảy cấp độ. Các cấp độ cao hơn được triển khai như trong mạng có dây và an ninh mạng thực sự được đảm bảo ở các cấp độ này. Do đó, sự khác biệt về bảo mật của các mạng này và các mạng khác dẫn đến sự khác biệt về bảo mật của lớp vật lý và lớp MAC.

Mặc dù ngày nay việc bảo vệ mạng Wi-Fi sử dụng các mô hình toán học thuật toán phức tạp để xác thực, mã hóa dữ liệu và kiểm soát tính toàn vẹn trong quá trình truyền của chúng, tuy nhiên, khả năng những người không được phép truy cập thông tin là rất đáng kể. Và nếu cấu hình mạng không được quan tâm đúng mức, kẻ tấn công có thể:

· Có quyền truy cập vào tài nguyên và ổ đĩa của người dùng mạng Wi-Fi và thông qua tài nguyên mạng LAN;

· nghe lén lưu lượng truy cập và trích xuất thông tin bí mật từ nó;

· bóp méo thông tin truyền qua mạng;

· giới thiệu các điểm truy cập giả mạo;

· gửi thư rác và thực hiện các hành động bất hợp pháp khác thay mặt cho mạng của bạn.

Nhưng trước khi bắt đầu bảo vệ mạng không dây của mình, bạn cần hiểu các nguyên tắc cơ bản về tổ chức của nó. Thông thường, mạng không dây bao gồm các nút truy cập và máy khách có bộ điều hợp không dây. Các nút truy cập và bộ điều hợp không dây được trang bị bộ thu phát để trao đổi dữ liệu với nhau. Mỗi AP và bộ điều hợp không dây được gán một địa chỉ MAC 48 bit, có chức năng tương đương với địa chỉ Ethernet. Các nút truy cập kết nối mạng không dây và có dây, cho phép máy khách không dây truy cập mạng có dây. Có thể giao tiếp giữa các máy khách không dây trong mạng ad hoc mà không cần AP, nhưng phương pháp này hiếm khi được sử dụng trong các tổ chức. Mỗi mạng không dây được xác định bởi SSID (Mã nhận dạng bộ dịch vụ) do quản trị viên chỉ định. Máy khách không dây có thể giao tiếp với AP nếu chúng nhận ra SSID của nút truy cập. Nếu có một số nút truy cập trong mạng không dây có cùng SSID (và cùng các thông số xác thực và mã hóa), thì có thể chuyển đổi máy khách không dây di động giữa chúng.

Các tiêu chuẩn không dây phổ biến nhất là 802.11 và các biến thể nâng cao của nó. Thông số kỹ thuật 802.11 xác định các đặc điểm của mạng hoạt động ở tốc độ lên tới 2 Mbit/s. Phiên bản cải tiến cung cấp tốc độ cao hơn. Đầu tiên, 802.11b, được sử dụng rộng rãi nhất, nhưng đang nhanh chóng bị thay thế bởi chuẩn 802.11g. Mạng không dây 802.11b hoạt động ở băng tần 2,4 GHz và cung cấp tốc độ truyền dữ liệu lên tới 11 Mbps. Một phiên bản cải tiến, 802.11a, đã được phê chuẩn sớm hơn 802.11b nhưng được tung ra thị trường muộn hơn. Các thiết bị thuộc tiêu chuẩn này hoạt động ở băng tần 5,8 GHz với tốc độ thông thường là 54 Mbps, nhưng một số nhà cung cấp cung cấp tốc độ cao hơn lên tới 108 Mbps ở chế độ turbo. Phiên bản thứ ba, cải tiến, 802.11g, hoạt động ở băng tần 2,4 GHz, giống như 802.11b, với tốc độ tiêu chuẩn 54 Mbit/s và tốc độ cao hơn (lên tới 108 Mbit/s) ở chế độ turbo. Hầu hết các mạng không dây 802.11g đều có khả năng xử lý các máy khách 802.11b nhờ khả năng tương thích ngược được tích hợp trong tiêu chuẩn 802.11g, nhưng khả năng tương thích thực tế phụ thuộc vào việc triển khai cụ thể của nhà cung cấp. Hầu hết các thiết bị không dây hiện đại đều hỗ trợ hai hoặc nhiều biến thể của 802.11. Chuẩn không dây mới, 802.16, được gọi là WiMAX, đang được thiết kế với mục tiêu cụ thể là cung cấp khả năng truy cập không dây cho các doanh nghiệp và gia đình thông qua các trạm tương tự như trạm di động. Công nghệ này không được thảo luận trong bài viết này.

Phạm vi thực tế của AP phụ thuộc vào nhiều yếu tố, bao gồm biến thể 802.11 và tần số hoạt động của thiết bị, nhà sản xuất, nguồn điện, ăng-ten, tường bên ngoài và bên trong cũng như các tính năng cấu trúc liên kết mạng. Tuy nhiên, bộ điều hợp không dây có ăng-ten chùm tia hẹp, độ lợi cao có thể cung cấp khả năng liên lạc với AP và mạng không dây trên một khoảng cách đáng kể, lên tới khoảng một km rưỡi tùy theo điều kiện.

Do tính chất công cộng của phổ vô tuyến, có những mối lo ngại về bảo mật đặc biệt không có trong mạng có dây. Ví dụ: để nghe trộm thông tin liên lạc trên mạng có dây, bạn phải có quyền truy cập vật lý vào một thành phần mạng như kết nối mạng LAN, bộ chuyển mạch, bộ định tuyến, tường lửa hoặc máy tính chủ của thiết bị. Mạng không dây chỉ yêu cầu một bộ thu, chẳng hạn như máy quét tần số thông thường. Do tính mở của mạng không dây, các nhà phát triển tiêu chuẩn đã chuẩn bị đặc tả kỹ thuật Wired Equivalent Privacy (WEP), nhưng làm cho việc sử dụng nó trở thành tùy chọn. WEP sử dụng khóa chia sẻ được các máy khách không dây và các nút truy cập mà chúng liên lạc biết. Khóa có thể được sử dụng cho cả xác thực và mã hóa. WEP sử dụng thuật toán mã hóa RC4. Khóa 64 bit bao gồm 40 bit do người dùng xác định và vectơ khởi tạo 24 bit. Trong nỗ lực cải thiện tính bảo mật của mạng không dây, một số nhà sản xuất thiết bị đã phát triển các thuật toán nâng cao với khóa WEP 128 bit hoặc dài hơn, bao gồm phần người dùng 104 bit hoặc dài hơn và vectơ khởi tạo. WEP được sử dụng với thiết bị tương thích 802.11a, 802.11b và 802.11g. Tuy nhiên, mặc dù độ dài khóa tăng lên, các sai sót của WEP (đặc biệt là các cơ chế xác thực yếu và khóa mã hóa có thể bị phát hiện bằng quá trình phân tích mật mã) vẫn được ghi lại rõ ràng và WEP không được coi là thuật toán đáng tin cậy ngày nay.

Để đối phó với những thiếu sót của WEP, hiệp hội ngành Wi-Fi Alliance đã quyết định phát triển tiêu chuẩn Wi-Fi Protected Access (WPA). WPA vượt trội hơn WEP khi thêm TKIP (Giao thức toàn vẹn khóa tạm thời) và cơ chế xác thực mạnh dựa trên 802.1x và EAP (Giao thức xác thực mở rộng). WPA được dự định trở thành một tiêu chuẩn làm việc có thể được đệ trình lên IEEE để phê duyệt như một phần mở rộng cho các tiêu chuẩn 802.11. Tiện ích mở rộng 802.11i đã được phê chuẩn vào năm 2004 và WPA đã được cập nhật lên WPA2 để tương thích với Tiêu chuẩn mã hóa nâng cao (AES) thay vì WEP và TKIP. WPA2 tương thích ngược và có thể được sử dụng cùng với WPA. WPA dành cho các mạng doanh nghiệp có cơ sở hạ tầng xác thực RADIUS (Dịch vụ người dùng quay số xác thực từ xa), nhưng một phiên bản WPA có tên WPA Pre-Shared Key (WPAPSK) đã nhận được hỗ trợ từ một số nhà sản xuất và đang được chuẩn bị sử dụng ở quy mô nhỏ. doanh nghiệp. Giống như WEP, WPAPSK hoạt động với khóa chung nhưng WPAPSK an toàn hơn WEP.

Khi xây dựng mạng không dây còn có vấn đề đảm bảo tính bảo mật của chúng. Nếu trong các mạng thông thường, thông tin được truyền qua dây dẫn thì sóng vô tuyến được sử dụng cho các giải pháp không dây khá dễ bị chặn nếu bạn có thiết bị phù hợp. Cách mạng không dây hoạt động tạo ra một số lượng lớn các lỗ hổng có thể xảy ra cho các cuộc tấn công và xâm nhập.

Thiết bị WLAN (Mạng cục bộ không dây) bao gồm các điểm truy cập không dây và máy trạm cho mỗi thuê bao.

Điểm truy cập AP(Điểm truy cập) đóng vai trò là bộ tập trung cung cấp liên lạc giữa các thuê bao với nhau, cũng như chức năng của cầu nối giao tiếp với mạng cáp cục bộ và Internet. Mỗi điểm truy cập có thể phục vụ nhiều thuê bao. Một số điểm truy cập gần đó tạo thành vùng truy cập Wifi, trong đó tất cả các thuê bao được trang bị bộ điều hợp không dây đều có quyền truy cập vào mạng. Các khu vực truy cập như vậy được tạo ra ở những nơi đông người: sân bay, khuôn viên trường đại học, thư viện, cửa hàng, trung tâm thương mại, v.v.

Điểm truy cập có Mã nhận dạng bộ dịch vụ (SSID). SSID là chuỗi 32 bit được sử dụng làm tên của mạng không dây mà tất cả các nút được liên kết. Cần có SSID để kết nối máy trạm với mạng. Để liên kết máy trạm với điểm truy cập, cả hai hệ thống phải có cùng SSID. Nếu máy trạm không có SSID được yêu cầu, nó sẽ không thể liên lạc với điểm truy cập và kết nối với mạng.

Sự khác biệt chính giữa mạng có dây và mạng không dây là sự hiện diện của một khu vực không được kiểm soát giữa các điểm cuối của mạng không dây. Điều này cho phép những kẻ tấn công ở gần các cấu trúc không dây thực hiện một loạt các cuộc tấn công mà không thể thực hiện được trong thế giới có dây.

Khi sử dụng truy cập không dây vào mạng cục bộ, các mối đe dọa bảo mật tăng lên đáng kể (Hình 2.5).

Cơm. 2.5.

Chúng tôi liệt kê các lỗ hổng và mối đe dọa chính của mạng không dây.

Phát sóng đèn hiệu vô tuyến. Điểm truy cập bật đèn hiệu phát sóng ở tần số nhất định để thông báo cho các nút không dây xung quanh về sự hiện diện của nó. Các tín hiệu phát sóng này chứa thông tin cơ bản về điểm truy cập không dây, thường bao gồm SSID và mời các nút không dây đăng ký trong khu vực. Bất kỳ máy trạm nào ở chế độ chờ đều có thể lấy SSID và tự thêm vào mạng thích hợp. Việc phát sóng Beacon là một “bệnh lý bẩm sinh” của mạng không dây. Nhiều kiểu máy cho phép bạn tắt phần SSID của chương trình phát sóng này để khiến việc nghe lén không dây trở nên khó khăn hơn một chút, nhưng SSID vẫn được gửi khi kết nối, do đó vẫn có một lỗ hổng nhỏ.

Khám phá mạng WLAN. Ví dụ: để phát hiện mạng WLAN không dây, tiện ích NetStumber được sử dụng cùng với bộ điều hướng vệ tinh GPS. Tiện ích này xác định SSID của mạng WLAN và cũng xác định xem nó có sử dụng mã hóa WEP hay không. Việc sử dụng ăng-ten ngoài trên máy tính xách tay giúp bạn có thể phát hiện mạng WLAN khi đi bộ quanh khu vực mong muốn hoặc lái xe quanh thành phố. Một phương pháp đáng tin cậy để phát hiện mạng WLAN là khảo sát một tòa nhà văn phòng với máy tính xách tay trên tay.

Nghe trộm. Việc nghe lén được thực hiện nhằm thu thập thông tin về mạng được cho là sẽ bị tấn công sau này. Kẻ chặn có thể sử dụng dữ liệu được trích xuất để có quyền truy cập vào tài nguyên mạng. Thiết bị được sử dụng để nghe lén trên mạng có thể không phức tạp hơn thiết bị được sử dụng để truy cập thông thường vào mạng đó. Về bản chất, mạng không dây cho phép các máy tính ở cách xa nó được kết nối với mạng vật lý, như thể những máy tính này nằm trực tiếp trên mạng. Ví dụ: một người ngồi trong ô tô đậu gần đó có thể kết nối với mạng không dây đặt trong tòa nhà. Một cuộc tấn công thông qua nghe lén thụ động gần như không thể bị phát hiện.

Điểm truy cập mạng sai. Kẻ tấn công có kinh nghiệm có thể tạo điểm truy cập giả mô phỏng tài nguyên mạng. Người đăng ký, không nghi ngờ gì, liên hệ với điểm truy cập sai này và cung cấp cho nó các chi tiết quan trọng của họ, chẳng hạn như thông tin xác thực. Kiểu tấn công này đôi khi được sử dụng kết hợp với việc gây nhiễu trực tiếp điểm truy cập mạng thực tế.

Từ chối dịch vụ. Mạng bị tê liệt hoàn toàn có thể do một cuộc tấn công DoS (Từ chối dịch vụ) - từ chối dịch vụ. Mục đích của nó là can thiệp vào việc người dùng truy cập vào tài nguyên mạng. Hệ thống không dây đặc biệt dễ bị tấn công như vậy. Lớp vật lý trong mạng không dây là không gian trừu tượng xung quanh điểm truy cập. Kẻ tấn công có thể bật một thiết bị lấp đầy toàn bộ phổ tần ở tần số hoạt động bị nhiễu và lưu lượng truy cập bất hợp pháp - nhiệm vụ này không gây ra bất kỳ khó khăn cụ thể nào. Thực tế về một cuộc tấn công DoS ở cấp độ vật lý trong mạng không dây rất khó để chứng minh.

Các cuộc tấn công trung gian. Các cuộc tấn công kiểu này được thực hiện dễ dàng hơn nhiều trên mạng không dây so với mạng có dây, vì trong trường hợp mạng có dây, cần phải thực hiện một loại quyền truy cập nhất định vào mạng đó. Thông thường, các cuộc tấn công trung gian được sử dụng để phá hủy tính bảo mật và tính toàn vẹn của phiên giao tiếp. Các cuộc tấn công MITM phức tạp hơn hầu hết các cuộc tấn công khác và yêu cầu thông tin chi tiết về mạng để thực hiện. Kẻ tấn công thường giả mạo danh tính của một trong các tài nguyên mạng. Nó sử dụng khả năng nghe lén và thu thập trái phép luồng dữ liệu nhằm thay đổi nội dung nhằm phục vụ một số mục đích của nó, chẳng hạn như giả mạo địa chỉ IP, thay đổi địa chỉ MAC để bắt chước một máy chủ khác, v.v.

Truy cập Internet ẩn danh. Mạng LAN không dây không bảo mật cung cấp cho tin tặc quyền truy cập ẩn danh tốt nhất để tấn công qua Internet. Tin tặc có thể sử dụng mạng LAN không dây không bảo mật của tổ chức để kết nối Internet, nơi chúng có thể thực hiện các hoạt động bất hợp pháp mà không để lại dấu vết. Một tổ chức có mạng LAN không được bảo vệ chính thức trở thành nguồn lưu lượng tấn công nhằm vào một hệ thống máy tính khác, điều này có liên quan đến nguy cơ tiềm ẩn về trách nhiệm pháp lý đối với thiệt hại gây ra cho nạn nhân của một cuộc tấn công của hacker.

Các cuộc tấn công được mô tả ở trên không phải là cuộc tấn công duy nhất được tin tặc sử dụng để xâm phạm mạng không dây.