Xác thực wifi nào tốt hơn. Khóa bảo mật Wi-Fi

Lọc mật khẩu và địa chỉ MAC sẽ bảo vệ bạn khỏi bị hack. Trên thực tế, sự an toàn phần lớn phụ thuộc vào sự thận trọng của bạn. Các phương pháp bảo mật không phù hợp, mật khẩu không phức tạp và thái độ bất cẩn với người lạ trên mạng gia đình của bạn mang đến cho kẻ tấn công thêm cơ hội tấn công. Trong bài viết này, bạn sẽ tìm hiểu cách bẻ khóa mật khẩu WEP, lý do bạn nên từ bỏ các bộ lọc và cách bảo mật mạng không dây của mình từ mọi phía.

Bảo vệ khỏi những vị khách không mời

Mạng của bạn không an toàn, do đó, sớm hay muộn, người ngoài sẽ kết nối với mạng không dây của bạn - thậm chí có thể không cố ý vì điện thoại thông minh và máy tính bảng có thể tự động kết nối với mạng không bảo mật. Nếu anh ta chỉ mở một số trang web, thì rất có thể sẽ không có gì xấu xảy ra ngoại trừ việc tiêu tốn lưu lượng truy cập. Tình hình sẽ trở nên phức tạp hơn nếu khách bắt đầu tải xuống nội dung bất hợp pháp thông qua kết nối Internet của bạn.

Nếu bạn chưa thực hiện bất kỳ biện pháp bảo mật nào, hãy chuyển đến giao diện bộ định tuyến thông qua trình duyệt và thay đổi dữ liệu truy cập mạng của bạn. Địa chỉ bộ định tuyến thường có dạng: http://192.168.1.1. Nếu không đúng như vậy thì bạn có thể tìm ra địa chỉ IP của thiết bị mạng của mình thông qua dòng lệnh. Trong hệ điều hành Windows 7, nhấp vào nút “Bắt đầu” và nhập lệnh “cmd” vào thanh tìm kiếm. Gọi cài đặt mạng bằng lệnh “ipconfig” và tìm dòng “Cổng mặc định”. IP được chỉ định là địa chỉ bộ định tuyến của bạn, địa chỉ này phải được nhập vào thanh địa chỉ của trình duyệt. Vị trí cài đặt bảo mật của bộ định tuyến của bạn khác nhau tùy theo nhà sản xuất. Theo quy định, chúng nằm trong một phần có tên “WLAN | Sự an toàn".

Nếu mạng không dây của bạn sử dụng kết nối không an toàn, bạn nên đặc biệt cẩn thận với nội dung nằm trong các thư mục dùng chung, vì nếu không được bảo vệ, nội dung đó sẽ có sẵn cho những người dùng khác. Đồng thời, trong hệ điều hành Windows XP Home, tình trạng truy cập chia sẻ rất nghiêm trọng: theo mặc định, không thể đặt mật khẩu ở đây - chức năng này chỉ có trong phiên bản chuyên nghiệp. Thay vào đó, tất cả các yêu cầu mạng được thực hiện thông qua tài khoản khách không bảo mật. Bạn có thể bảo mật mạng của mình trong Windows XP bằng một thao tác nhỏ: khởi chạy dòng lệnh, nhập “net user guest YourNewPassword” và xác nhận thao tác bằng cách nhấn phím “Enter”. Sau khi khởi động lại Windows, bạn sẽ chỉ có thể truy cập tài nguyên mạng nếu có mật khẩu; tuy nhiên, thật không may, việc điều chỉnh tốt hơn trong phiên bản HĐH này là không thể. Quản lý cài đặt chia sẻ thuận tiện hơn nhiều trong Windows 7. Tại đây, để giới hạn số lượng người dùng, chỉ cần truy cập “Trung tâm mạng và chia sẻ” trong Bảng điều khiển và tạo nhóm gia đình được bảo vệ bằng mật khẩu.

Việc thiếu biện pháp bảo vệ thích hợp trong mạng không dây là nguồn gốc của những mối nguy hiểm khác, vì tin tặc có thể sử dụng các chương trình đặc biệt (trình dò tìm) để xác định tất cả các kết nối không được bảo vệ. Bằng cách này, tin tặc sẽ dễ dàng đánh cắp dữ liệu nhận dạng của bạn từ nhiều dịch vụ khác nhau.

tin tặc

Như trước đây, hai phương pháp bảo mật phổ biến nhất hiện nay là lọc địa chỉ MAC và ẩn SSID (tên mạng): những biện pháp bảo mật này sẽ không giúp bạn an toàn. Để xác định tên mạng, kẻ tấn công chỉ cần bộ điều hợp WLAN, bộ điều hợp này sẽ chuyển sang chế độ giám sát bằng trình điều khiển đã sửa đổi và trình thám thính - ví dụ: Kismet. Kẻ tấn công giám sát mạng cho đến khi người dùng (máy khách) kết nối với nó. Sau đó, nó thao túng các gói dữ liệu và từ đó loại bỏ máy khách khỏi mạng. Khi người dùng kết nối lại, kẻ tấn công sẽ nhìn thấy tên mạng. Nghe có vẻ phức tạp nhưng trên thực tế toàn bộ quá trình chỉ mất vài phút. Việc vượt qua bộ lọc MAC cũng dễ dàng: kẻ tấn công xác định địa chỉ MAC và gán nó cho thiết bị của mình. Vì vậy, kết nối của người ngoài vẫn không được chủ mạng chú ý.

Nếu thiết bị của bạn chỉ hỗ trợ mã hóa WEP, hãy hành động ngay lập tức - mật khẩu như vậy có thể bị bẻ khóa ngay cả bởi những người không chuyên trong vài phút.

Đặc biệt phổ biến trong số những kẻ lừa đảo trên mạng là gói phần mềm Aircrack-ng, ngoài trình thám thính, còn bao gồm một ứng dụng để tải xuống và sửa đổi trình điều khiển bộ điều hợp WLAN, đồng thời cho phép bạn khôi phục khóa WEP. Các phương pháp hack phổ biến là tấn công PTW và FMS/KoreK, trong đó lưu lượng truy cập bị chặn và khóa WEP được tính toán dựa trên phân tích của nó. Trong tình huống này, bạn chỉ có hai lựa chọn: thứ nhất, bạn nên tìm chương trình cơ sở mới nhất cho thiết bị của mình, chương trình cơ sở này sẽ hỗ trợ các phương thức mã hóa mới nhất. Nếu nhà sản xuất không cung cấp các bản cập nhật, tốt hơn hết bạn nên từ chối sử dụng một thiết bị như vậy, vì làm như vậy bạn đang gây nguy hiểm cho tính bảo mật của mạng gia đình mình.

Lời khuyên phổ biến là giảm phạm vi Wi-Fi chỉ mang lại vẻ ngoài bảo vệ. Hàng xóm vẫn có thể kết nối với mạng của bạn, nhưng những kẻ tấn công thường sử dụng bộ điều hợp Wi-Fi có phạm vi xa hơn.

Điểm nóng công cộng

Những nơi có Wi-Fi miễn phí thu hút những kẻ lừa đảo trên mạng vì lượng thông tin khổng lồ truyền qua chúng và bất kỳ ai cũng có thể sử dụng các công cụ hack. Các điểm truy cập công cộng có thể được tìm thấy ở các quán cà phê, khách sạn và những nơi công cộng khác. Tuy nhiên, những người dùng khác trong cùng mạng có thể chặn dữ liệu của bạn và chẳng hạn như kiểm soát tài khoản của bạn trên các dịch vụ web khác nhau.

Bảo vệ cookie. Một số phương pháp tấn công thực sự đơn giản đến mức bất kỳ ai cũng có thể sử dụng chúng. Tiện ích mở rộng Firesheep dành cho trình duyệt Firefox tự động đọc và liệt kê tài khoản của những người dùng khác, bao gồm Amazon, Google, Facebook và Twitter. Nếu hacker nhấp vào một trong các mục trong danh sách, hắn sẽ ngay lập tức có toàn quyền truy cập vào tài khoản và có thể thay đổi dữ liệu của người dùng theo ý mình. Firesheep không bẻ khóa mật khẩu mà chỉ sao chép các cookie đang hoạt động, không được mã hóa. Để bảo vệ bản thân khỏi những hành vi chặn như vậy, bạn nên sử dụng tiện ích bổ sung HTTPS Everywhere đặc biệt dành cho Firefox. Tiện ích mở rộng này buộc các dịch vụ trực tuyến phải luôn sử dụng kết nối được mã hóa qua HTTPS nếu được máy chủ của nhà cung cấp dịch vụ hỗ trợ.

Bảo vệ Android. Trong thời gian gần đây, một lỗ hổng trong hệ điều hành Android đã thu hút sự chú ý rộng rãi, do đó những kẻ lừa đảo có thể truy cập vào tài khoản của bạn trong các dịch vụ như Picasa và Lịch Google, cũng như đọc danh bạ của bạn. Google đã vá lỗ hổng này trong Android 2.3.4, nhưng hầu hết các thiết bị được người dùng mua trước đây đều cài đặt phiên bản cũ hơn của hệ thống. Để bảo vệ chúng, bạn có thể sử dụng ứng dụng SyncGuard.

WPA 2

Sự bảo vệ tốt nhất được cung cấp bởi công nghệ WPA2, được các nhà sản xuất thiết bị máy tính sử dụng từ năm 2004. Hầu hết các thiết bị đều hỗ trợ loại mã hóa này. Tuy nhiên, giống như các công nghệ khác, WPA2 cũng có điểm yếu: sử dụng tấn công từ điển hoặc phương pháp bruteforce, tin tặc có thể bẻ khóa mật khẩu - tuy nhiên, chỉ khi chúng không đáng tin cậy. Từ điển chỉ cần duyệt qua các khóa được lưu trữ trong cơ sở dữ liệu của chúng - theo quy luật, tất cả các kết hợp có thể có của số và tên. Những mật khẩu như “1234” hoặc “Ivanov” được đoán nhanh đến mức máy tính của hacker thậm chí không có thời gian khởi động.

Phương pháp bruteforce không liên quan đến việc sử dụng cơ sở dữ liệu làm sẵn mà ngược lại, chọn mật khẩu bằng cách liệt kê tất cả các tổ hợp ký tự có thể có. Bằng cách này, kẻ tấn công có thể tính toán bất kỳ khóa nào - câu hỏi duy nhất là hắn sẽ mất bao lâu. NASA, trong nguyên tắc bảo mật của mình, khuyến nghị mật khẩu có ít nhất tám ký tự và tốt nhất là mười sáu ký tự. Trước hết, điều quan trọng là nó bao gồm chữ thường và chữ in hoa, số và ký tự đặc biệt. Hacker sẽ phải mất hàng thập kỷ mới có thể bẻ khóa được mật khẩu như vậy.

Mạng của bạn chưa được bảo vệ hoàn toàn vì tất cả người dùng trong mạng đều có quyền truy cập vào bộ định tuyến của bạn và có thể thay đổi cài đặt của mạng. Một số thiết bị cung cấp các tính năng bảo mật bổ sung mà bạn cũng nên tận dụng.

Trước hết, hãy tắt khả năng thao tác của bộ định tuyến qua Wi-Fi. Thật không may, tính năng này chỉ khả dụng trên một số thiết bị nhất định, chẳng hạn như bộ định tuyến Linksys. Tất cả các mẫu bộ định tuyến hiện đại cũng có khả năng đặt mật khẩu cho giao diện quản lý, cho phép bạn hạn chế quyền truy cập vào cài đặt.

Giống như bất kỳ chương trình nào, phần sụn của bộ định tuyến không hoàn hảo - không loại trừ các lỗi nhỏ hoặc lỗ hổng nghiêm trọng trong hệ thống bảo mật. Thông thường thông tin về điều này ngay lập tức lan truyền trên Internet. Thường xuyên kiểm tra chương trình cơ sở mới cho bộ định tuyến của bạn (một số kiểu máy thậm chí còn có tính năng cập nhật tự động). Một ưu điểm khác của việc flash firmware là nó có thể thêm các chức năng mới cho thiết bị.

Phân tích định kỳ lưu lượng mạng giúp nhận biết sự hiện diện của những vị khách không mời. Trong giao diện quản lý bộ định tuyến, bạn có thể tìm thấy thông tin về thiết bị nào được kết nối với mạng của bạn và khi nào. Việc tìm hiểu xem một người dùng cụ thể đã tải xuống bao nhiêu dữ liệu sẽ khó khăn hơn.

Quyền truy cập của khách - một phương tiện bảo vệ mạng gia đình của bạn

Nếu bạn bảo vệ bộ định tuyến của mình bằng mật khẩu mạnh bằng mã hóa WPA2, bạn sẽ không gặp bất kỳ nguy hiểm nào nữa. Nhưng chỉ cho đến khi bạn chia sẻ mật khẩu của mình với người dùng khác. Bạn bè và người quen sử dụng điện thoại thông minh, máy tính bảng hoặc máy tính xách tay của họ muốn truy cập Internet thông qua kết nối của bạn là một yếu tố rủi ro. Ví dụ: không thể loại trừ khả năng thiết bị của họ bị nhiễm phần mềm độc hại. Tuy nhiên, bạn sẽ không phải từ chối bạn bè của mình vì điều này, vì các mẫu bộ định tuyến cao cấp nhất, chẳng hạn như Belkin N hoặc Netgear WNDR3700, cung cấp quyền truy cập dành riêng cho khách cho những trường hợp như vậy. Ưu điểm của chế độ này là bộ định tuyến tạo một mạng riêng bằng mật khẩu riêng và mạng gia đình không được sử dụng.

Độ tin cậy của khóa bảo mật

WEP (Quyền riêng tư tương đương có dây). Sử dụng trình tạo số giả ngẫu nhiên (thuật toán RC4) để lấy khóa cũng như các vectơ khởi tạo. Vì thành phần sau không được mã hóa nên các bên thứ ba có thể can thiệp và tạo lại khóa WEP.

WPA (TRUY CẬP ĐƯỢC BẢO VỆ WI-FI) Dựa trên cơ chế WEP nhưng cung cấp khóa động để tăng cường bảo mật. Các khóa được tạo bằng thuật toán TKIP có thể bị bẻ khóa bằng cách sử dụng cuộc tấn công Bek-Tevs hoặc Ohigashi-Moriya. Để làm điều này, các gói riêng lẻ được giải mã, thao tác và gửi trở lại mạng.

WPA2 (TRUY CẬP ĐƯỢC BẢO VỆ WI-FI 2) Sử dụng thuật toán AES (Tiêu chuẩn mã hóa nâng cao) đáng tin cậy để mã hóa. Cùng với TKIP, giao thức CCMP (Giao thức Counter-Mode/CBC-MAC) đã được thêm vào, cũng dựa trên thuật toán AES. Cho đến nay, mạng được bảo vệ bởi công nghệ này không thể bị hack. Lựa chọn duy nhất dành cho tin tặc là tấn công từ điển hoặc “phương pháp vũ phu”, trong đó khóa được đoán bằng cách đoán, nhưng với mật khẩu phức tạp thì không thể đoán được.

Bài viết này dành cho vấn đề bảo mật khi sử dụng mạng WiFi không dây.

Giới thiệu - Lỗ hổng WiFi

Nguyên nhân chính khiến dữ liệu người dùng dễ bị tổn thương khi dữ liệu này được truyền qua mạng WiFi là việc trao đổi diễn ra qua sóng vô tuyến. Và điều này giúp có thể chặn tin nhắn tại bất kỳ điểm nào có tín hiệu WiFi. Nói một cách đơn giản, nếu tín hiệu của một điểm truy cập có thể được phát hiện ở khoảng cách 50 mét thì có thể chặn tất cả lưu lượng mạng của mạng WiFi này trong bán kính 50 mét tính từ điểm truy cập. Ở phòng bên cạnh, trên một tầng khác của tòa nhà, trên đường phố.

Hãy tưởng tượng hình ảnh này. Trong văn phòng, mạng cục bộ được xây dựng thông qua WiFi. Tín hiệu từ điểm truy cập của văn phòng này được thu bên ngoài tòa nhà, chẳng hạn như ở bãi đậu xe. Kẻ tấn công bên ngoài tòa nhà có thể truy cập vào mạng văn phòng, nghĩa là chủ sở hữu của mạng này không chú ý. Mạng WiFi có thể được truy cập dễ dàng và kín đáo. Về mặt kỹ thuật dễ dàng hơn nhiều so với mạng có dây.

Đúng. Đến nay, các phương tiện bảo vệ mạng WiFi đã được phát triển và triển khai. Sự bảo vệ này dựa trên việc mã hóa tất cả lưu lượng truy cập giữa điểm truy cập và thiết bị cuối được kết nối với nó. Nghĩa là, kẻ tấn công có thể chặn tín hiệu vô tuyến, nhưng đối với hắn, đó sẽ chỉ là “rác rưởi” kỹ thuật số.

Bảo vệ WiFi hoạt động như thế nào?

Điểm truy cập chỉ bao gồm trong mạng WiFi của nó thiết bị gửi mật khẩu chính xác (được chỉ định trong cài đặt điểm truy cập). Trong trường hợp này, mật khẩu cũng được gửi mã hóa dưới dạng hàm băm. Hàm băm là kết quả của quá trình mã hóa không thể đảo ngược. Tức là dữ liệu đã được băm không thể giải mã được. Nếu kẻ tấn công chặn hàm băm mật khẩu, anh ta sẽ không thể lấy được mật khẩu.

Nhưng làm sao điểm truy cập biết được mật khẩu có đúng hay không? Điều gì sẽ xảy ra nếu cô ấy cũng nhận được một hàm băm nhưng không thể giải mã được nó? Thật đơn giản - trong cài đặt điểm truy cập, mật khẩu được chỉ định ở dạng thuần túy. Chương trình ủy quyền lấy một mật khẩu trống, tạo một hàm băm từ mật khẩu đó và sau đó so sánh hàm băm này với mật khẩu nhận được từ máy khách. Nếu các giá trị băm khớp nhau thì mật khẩu của khách hàng là chính xác. Tính năng thứ hai của hàm băm được sử dụng ở đây - chúng là duy nhất. Không thể lấy cùng một hàm băm từ hai bộ dữ liệu (mật khẩu) khác nhau. Nếu hai giá trị băm khớp nhau thì cả hai đều được tạo từ cùng một bộ dữ liệu.

Nhân tiện. Nhờ tính năng này, hàm băm được sử dụng để kiểm soát tính toàn vẹn của dữ liệu. Nếu hai giá trị băm (được tạo trong một khoảng thời gian) khớp nhau thì dữ liệu gốc (trong khoảng thời gian đó) không bị thay đổi.

Tuy nhiên, mặc dù thực tế là phương pháp bảo mật mạng WiFi (WPA2) hiện đại nhất là đáng tin cậy nhưng mạng này vẫn có thể bị hack. Làm sao?

Có hai phương pháp để truy cập mạng được bảo vệ bởi WPA2:

Chọn mật khẩu bằng cơ sở dữ liệu mật khẩu (còn gọi là tìm kiếm từ điển).
Khai thác lỗ hổng trong chức năng WPS.

Trong trường hợp đầu tiên, kẻ tấn công chặn hàm băm mật khẩu của điểm truy cập. Sau đó, các giá trị băm được so sánh với cơ sở dữ liệu hàng nghìn hoặc hàng triệu từ. Một từ được lấy từ từ điển, một hàm băm được tạo cho từ này và sau đó hàm băm này được so sánh với hàm băm bị chặn. Nếu một mật khẩu cơ bản được sử dụng trên một điểm truy cập thì việc bẻ khóa mật khẩu của điểm truy cập này chỉ là vấn đề thời gian. Ví dụ: mật khẩu 8 chữ số (dài 8 ký tự là độ dài mật khẩu tối thiểu cho WPA2) là một triệu kết hợp. Trên máy tính hiện đại, bạn có thể sắp xếp một triệu giá trị trong vài ngày hoặc thậm chí vài giờ.

Trong trường hợp thứ hai, lỗ hổng trong phiên bản đầu tiên của chức năng WPS bị khai thác. Tính năng này cho phép bạn kết nối thiết bị không có mật khẩu, chẳng hạn như máy in, với điểm truy cập. Khi sử dụng tính năng này, thiết bị và điểm truy cập sẽ trao đổi mã kỹ thuật số và nếu thiết bị gửi mã chính xác, điểm truy cập sẽ ủy quyền cho máy khách. Có một lỗ hổng trong chức năng này - mã có 8 chữ số, nhưng chỉ có 4 chữ số trong số đó được kiểm tra tính duy nhất! Nghĩa là, để hack WPS, bạn cần tìm kiếm tất cả các giá trị có 4 chữ số. Do đó, việc hack một điểm truy cập qua WPS có thể được thực hiện chỉ trong vài giờ, trên bất kỳ thiết bị yếu nhất nào.

Thiết lập bảo mật mạng WiFi

Tính bảo mật của mạng WiFi được xác định bởi cài đặt của điểm truy cập. Một số cài đặt này ảnh hưởng trực tiếp đến an ninh mạng.

Chế độ truy cập mạng WiFi

Điểm truy cập có thể hoạt động ở một trong hai chế độ - mở hoặc được bảo vệ. Trong trường hợp truy cập mở, mọi thiết bị đều có thể kết nối với điểm truy cập. Trong trường hợp truy cập được bảo vệ, chỉ thiết bị truyền mật khẩu truy cập chính xác mới được kết nối.

Có ba loại (tiêu chuẩn) bảo vệ mạng WiFi:

WEP (Quyền riêng tư tương đương có dây). Tiêu chuẩn bảo vệ đầu tiên. Ngày nay, nó thực sự không cung cấp khả năng bảo vệ vì nó có thể bị hack rất dễ dàng do cơ chế bảo vệ yếu kém.
WPA (Truy cập được bảo vệ Wi-Fi). Theo trình tự thời gian, tiêu chuẩn bảo vệ thứ hai. Tại thời điểm tạo và vận hành, nó cung cấp khả năng bảo vệ hiệu quả cho mạng WiFi. Nhưng vào cuối những năm 2000, cơ hội hack bảo vệ WPA đã được tìm thấy thông qua các lỗ hổng trong cơ chế bảo mật.
WPA2 (Truy cập được bảo vệ Wi-Fi). Tiêu chuẩn bảo vệ mới nhất. Cung cấp sự bảo vệ đáng tin cậy khi tuân theo các quy tắc nhất định. Cho đến nay, chỉ có hai cách được biết để phá vỡ bảo mật WPA2. Lực lượng mạnh mẽ của mật khẩu từ điển và cách giải quyết bằng cách sử dụng dịch vụ WPS.

Vì vậy, để đảm bảo tính bảo mật cho mạng WiFi của mình, bạn phải chọn loại bảo mật WPA2. Tuy nhiên, không phải tất cả các thiết bị khách đều có thể hỗ trợ nó. Ví dụ: Windows XP SP2 chỉ hỗ trợ WPA.

Ngoài việc chọn chuẩn WPA2 còn cần thêm điều kiện:

Sử dụng phương pháp mã hóa AES.

Mật khẩu truy cập mạng WiFi phải được soạn như sau:

Sử dụng các chữ cái và số trong mật khẩu. Một tập hợp ngẫu nhiên các chữ cái và số. Hoặc một từ hoặc cụm từ rất hiếm chỉ có ý nghĩa với bạn.
Không sử dụng mật khẩu đơn giản như tên + ngày sinh hoặc một số từ + một vài con số chẳng hạn lena1991 hoặc dom12345.
Nếu bạn chỉ cần sử dụng mật khẩu kỹ thuật số thì độ dài của nó phải có ít nhất 10 ký tự. Bởi vì mật khẩu kỹ thuật số gồm tám ký tự được chọn bằng phương pháp bạo lực trong thời gian thực (từ vài giờ đến vài ngày, tùy thuộc vào sức mạnh của máy tính).

Nếu bạn sử dụng mật khẩu phức tạp theo các quy tắc này thì mạng WiFi của bạn không thể bị hack bằng cách đoán mật khẩu bằng từ điển. Ví dụ: đối với mật khẩu như 5Fb9pE2a(chữ và số ngẫu nhiên), tối đa có thể 218340105584896 sự kết hợp. Ngày nay gần như không thể lựa chọn. Ngay cả khi một máy tính so sánh 1.000.000 (triệu) từ mỗi giây, nó sẽ mất gần 7 năm để lặp lại tất cả các giá trị.

WPS (Thiết lập bảo vệ Wi-Fi)

Nếu điểm truy cập có chức năng WPS (Wi-Fi Protected Setup), bạn cần tắt chức năng này. Nếu tính năng này là bắt buộc, bạn phải đảm bảo rằng phiên bản của nó được cập nhật các khả năng sau:

Sử dụng tất cả 8 ký tự mã PIN thay vì 4 ký tự như trường hợp ban đầu.
Cho phép trì hoãn sau nhiều lần gửi mã PIN không chính xác từ máy khách.

Một tùy chọn bổ sung để cải thiện bảo mật WPS là sử dụng mã PIN chữ và số.

Bảo mật WiFi công cộng

Ngày nay việc sử dụng Internet qua mạng WiFi ở những nơi công cộng - trong quán cà phê, nhà hàng, trung tâm mua sắm, v.v. là mốt. Điều quan trọng là phải hiểu rằng việc sử dụng các mạng như vậy có thể dẫn đến việc đánh cắp dữ liệu cá nhân của bạn. Nếu bạn truy cập Internet thông qua mạng như vậy và sau đó đăng nhập vào một trang web, dữ liệu của bạn (tên người dùng và mật khẩu) có thể bị chặn bởi một người khác được kết nối với cùng một mạng WiFi. Rốt cuộc, trên bất kỳ thiết bị nào đã vượt qua ủy quyền và được kết nối với điểm truy cập, bạn có thể chặn lưu lượng truy cập mạng từ tất cả các thiết bị khác trên mạng này. Và điểm đặc biệt của mạng WiFi công cộng là bất kỳ ai cũng có thể kết nối với nó, kể cả kẻ tấn công, không chỉ với mạng mở mà còn với mạng được bảo vệ.

Bạn có thể làm gì để bảo vệ dữ liệu của mình khi kết nối Internet qua mạng WiFi công cộng? Chỉ có một lựa chọn - sử dụng giao thức HTTPS. Giao thức này thiết lập kết nối được mã hóa giữa máy khách (trình duyệt) và trang web. Nhưng không phải tất cả các trang web đều hỗ trợ giao thức HTTPS. Địa chỉ trên trang web hỗ trợ giao thức HTTPS bắt đầu bằng tiền tố https://. Nếu địa chỉ trên một trang web có tiền tố http://, điều này có nghĩa là trang web đó không hỗ trợ HTTPS hoặc không sử dụng nó.

Một số trang web không sử dụng HTTPS theo mặc định nhưng có giao thức này và có thể được sử dụng nếu bạn chỉ định rõ ràng (thủ công) tiền tố https://.

Đối với các trường hợp sử dụng Internet - trò chuyện, Skype, v.v., bạn có thể sử dụng máy chủ VPN miễn phí hoặc trả phí để bảo vệ dữ liệu này. Nghĩa là, trước tiên hãy kết nối với máy chủ VPN và chỉ sau đó mới sử dụng trò chuyện hoặc mở trang web.

Bảo vệ mật khẩu WiFi

Trong phần thứ hai và thứ ba của bài viết này, tôi đã viết rằng khi sử dụng chuẩn bảo mật WPA2, một trong những cách hack mạng WiFi là đoán mật khẩu bằng từ điển. Nhưng có một cơ hội khác để kẻ tấn công lấy được mật khẩu mạng WiFi của bạn. Nếu bạn lưu mật khẩu của mình trên một tờ giấy dán dán vào màn hình, điều này sẽ khiến người lạ có thể nhìn thấy mật khẩu này. Và mật khẩu của bạn có thể bị đánh cắp từ máy tính được kết nối với mạng WiFi của bạn. Điều này có thể được thực hiện bởi người ngoài nếu máy tính của bạn không được bảo vệ khỏi sự truy cập của người ngoài. Điều này có thể được thực hiện bằng cách sử dụng phần mềm độc hại. Ngoài ra, mật khẩu có thể bị đánh cắp từ một thiết bị được mang ra ngoài văn phòng (nhà, căn hộ) - từ điện thoại thông minh, máy tính bảng.

Vì vậy, nếu bạn cần sự bảo vệ đáng tin cậy cho mạng WiFi của mình, bạn cần thực hiện các bước để lưu trữ mật khẩu của mình một cách an toàn. Bảo vệ nó khỏi sự truy cập của những người không được phép.

Nếu bạn thấy bài viết này hữu ích hoặc đơn giản là thích nó thì đừng ngần ngại hỗ trợ tài chính cho tác giả. Điều này có thể dễ dàng thực hiện bằng cách ném tiền vào Ví Yandex số 410011416229354. Hoặc trên điện thoại +7 918-16-26-331 .

Ngay cả một lượng nhỏ cũng có thể giúp viết bài mới :)

Với sự phổ biến của mạng không dây, các giao thức mã hóa WPA và WPA2 đã được hầu hết chủ sở hữu thiết bị kết nối với Wi-Fi biết đến. Chúng được chỉ định trong thuộc tính kết nối và thu hút sự chú ý tối thiểu từ hầu hết người dùng không phải là quản trị viên hệ thống. Chỉ cần biết rằng WPA2 là một sự phát triển của WPA là đủ, và do đó WPA2 mới hơn và phù hợp hơn với các mạng hiện đại.

Sự định nghĩa

WPA là một giao thức mã hóa được thiết kế để bảo vệ các mạng không dây theo tiêu chuẩn IEEE 802.11, được Wi-Fi Alliance phát triển vào năm 2003 nhằm thay thế cho giao thức WEP lỗi thời và không an toàn.

WPA2- một giao thức mã hóa là sự phát triển cải tiến của WPA, được Wi-Fi Alliance giới thiệu vào năm 2004.

So sánh

Việc tìm ra sự khác biệt giữa WPA và WPA2 không phù hợp với hầu hết người dùng, vì tất cả việc bảo vệ mạng không dây đều phụ thuộc vào việc chọn mật khẩu truy cập phức tạp hơn hoặc ít hơn. Ngày nay, tình hình là tất cả các thiết bị hoạt động trong mạng Wi-Fi đều phải hỗ trợ WPA2, vì vậy việc lựa chọn WPA chỉ có thể được xác định trong các tình huống không chuẩn. Ví dụ: hệ điều hành cũ hơn Windows XP SP3 không hỗ trợ WPA2 nếu không áp dụng các bản vá, vì vậy các máy và thiết bị được quản lý bởi các hệ thống đó cần có sự quan tâm của quản trị viên mạng. Ngay cả một số điện thoại thông minh hiện đại cũng có thể không hỗ trợ giao thức mã hóa mới; điều này chủ yếu áp dụng cho các thiết bị không có thương hiệu ở châu Á. Mặt khác, một số phiên bản Windows cũ hơn XP không hỗ trợ làm việc với WPA2 ở cấp độ GPO, vì vậy trong trường hợp này, chúng yêu cầu nhiều kết nối mạng được tinh chỉnh hơn.

Sự khác biệt về mặt kỹ thuật giữa WPA và WPA2 là công nghệ mã hóa, đặc biệt là các giao thức được sử dụng. WPA sử dụng giao thức TKIP, WPA2 sử dụng giao thức AES. Trong thực tế, điều này có nghĩa là WPA2 hiện đại hơn sẽ cung cấp mức độ bảo mật mạng cao hơn. Ví dụ: giao thức TKIP cho phép bạn tạo khóa xác thực có kích thước lên tới 128 bit, AES - tối đa 256 bit.

Trang web kết luận

WPA2 là một cải tiến so với WPA.
WPA2 sử dụng giao thức AES, WPA sử dụng giao thức TKIP.
WPA2 được hỗ trợ bởi tất cả các thiết bị không dây hiện đại.
WPA2 có thể không được hỗ trợ bởi các hệ điều hành cũ hơn.
WPA2 an toàn hơn WPA.

Ngày nay không thể gọi là một điều gì đó khác thường. Tuy nhiên, nhiều người dùng (đặc biệt là chủ sở hữu thiết bị di động) phải đối mặt với vấn đề nên sử dụng hệ thống bảo mật nào: WEP, WPA hoặc WPA2-PSK. Chúng ta sẽ xem những loại công nghệ này hiện nay là gì. Tuy nhiên, sự chú ý lớn nhất sẽ đổ dồn vào WPA2-PSK, vì đây là biện pháp bảo vệ được yêu cầu nhiều nhất hiện nay.

WPA2-PSK: nó là gì?

Hãy nói ngay: đây là hệ thống bảo vệ mọi kết nối cục bộ với mạng không dây dựa trên WI-Fi. Điều này không liên quan gì đến các hệ thống có dây dựa trên card mạng sử dụng kết nối trực tiếp bằng Ethernet.

Với việc sử dụng công nghệ, WPA2-PSK là loại “tiên tiến” nhất hiện nay. Ngay cả những phương pháp hơi lỗi thời yêu cầu tên người dùng và mật khẩu, đồng thời cũng liên quan đến việc mã hóa dữ liệu bí mật trong quá trình truyền và nhận, hãy nhìn một cách nhẹ nhàng, giống như trò chuyện trẻ con. Và đó là lý do tại sao.

Các loại bảo vệ

Vì vậy, hãy bắt đầu với thực tế là cho đến gần đây, cấu trúc WEP được coi là công nghệ bảo mật kết nối an toàn nhất. Nó sử dụng xác minh tính toàn vẹn của khóa khi kết nối không dây bất kỳ thiết bị nào và là tiêu chuẩn IEEE 802.11i.

Về nguyên tắc, bảo vệ mạng WiFi WPA2-PSK hoạt động gần như giống nhau, nhưng nó kiểm tra khóa truy cập ở cấp độ 802.1X. Nói cách khác, hệ thống sẽ kiểm tra tất cả các tùy chọn có thể.

Tuy nhiên, có một công nghệ mới hơn được gọi là WPA2 Enterprise. Không giống như WPA, nó không chỉ yêu cầu khóa truy cập cá nhân mà còn yêu cầu sự hiện diện của máy chủ Radius cung cấp quyền truy cập. Hơn nữa, thuật toán xác thực như vậy có thể hoạt động đồng thời ở một số chế độ (ví dụ: Enterprise và PSK, sử dụng mã hóa cấp độ AES CCMP).

Các giao thức bảo vệ và bảo mật cơ bản

Cũng giống như trước đây, các phương pháp bảo mật hiện đại sử dụng cùng một giao thức. Đây là TKIP (hệ thống bảo mật WEP dựa trên cập nhật phần mềm và thuật toán RC4). Tất cả điều này yêu cầu nhập khóa tạm thời để truy cập mạng.

Như việc sử dụng thực tế đã cho thấy, chỉ riêng thuật toán như vậy không cung cấp các kết nối đặc biệt an toàn cho mạng không dây. Đó là lý do tại sao các công nghệ mới được phát triển: đầu tiên là WPA và sau đó là WPA2, được bổ sung bởi PSK (truy cập khóa cá nhân) và TKIP (khóa tạm thời). Ngoài ra, nó còn bao gồm dữ liệu truyền-nhận, ngày nay được gọi là tiêu chuẩn AES.

Công nghệ lỗi thời

Loại bảo mật WPA2-PSK tương đối mới. Trước đó, như đã đề cập ở trên, hệ thống WEP được sử dụng kết hợp với TKIP. Bảo vệ TKIP không gì khác hơn là một phương tiện tăng độ sâu bit của khóa truy cập. Hiện tại, người ta tin rằng chế độ cơ bản cho phép bạn tăng khóa từ 40 lên 128 bit. Với tất cả những điều này, bạn cũng có thể thay đổi một khóa WEP thành nhiều khóa khác nhau, do chính máy chủ tạo và gửi tự động, xác thực người dùng khi đăng nhập.

Ngoài ra, bản thân hệ thống này liên quan đến việc sử dụng hệ thống phân phối khóa nghiêm ngặt, cũng như một kỹ thuật cho phép bạn loại bỏ cái gọi là vấn đề về khả năng dự đoán. Nói cách khác, khi mạng không dây sử dụng bảo mật WPA2-PSK, mật khẩu được đặt ở dạng chuỗi như “123456789”, không khó để đoán rằng các chương trình tạo khóa và mật khẩu giống nhau, thường được gọi là KeyGen hoặc thứ gì đó tương tự, Khi bạn nhập bốn ký tự đầu tiên, bốn ký tự tiếp theo có thể được tạo tự động. Ở đây, như họ nói, bạn không cần phải là người duy nhất để đoán loại trình tự được sử dụng. Nhưng điều này, có lẽ đã được hiểu, là ví dụ đơn giản nhất.

Về ngày sinh của người dùng trong mật khẩu, điều này hoàn toàn không được thảo luận. Bạn có thể dễ dàng được xác định bằng cách sử dụng cùng một dữ liệu đăng ký trên mạng xã hội. Bản thân mật khẩu kỹ thuật số loại này hoàn toàn không đáng tin cậy. Tốt hơn là nên sử dụng số, chữ cái cũng như ký hiệu (ngay cả những ký hiệu không in được nếu bạn chỉ định tổ hợp phím “nóng”) và dấu cách. Tuy nhiên, ngay cả với phương pháp này, WPA2-PSK vẫn có thể bị bẻ khóa. Ở đây cần phải giải thích phương pháp vận hành của chính hệ thống.

Thuật toán truy cập điển hình

Bây giờ nói thêm một vài lời về hệ thống WPA2-PSK. Đây là gì về mặt ứng dụng thực tế? Có thể nói đây là sự kết hợp của một số thuật toán ở chế độ làm việc. Hãy giải thích tình huống bằng một ví dụ.

Lý tưởng nhất là trình tự thực hiện quy trình bảo vệ kết nối và mã hóa thông tin được truyền hoặc nhận như sau:

WPA2-PSK (WPA-PSK) + TKIP + AES.

Trong trường hợp này, khóa chung (PSK) có độ dài từ 8 đến 63 ký tự đóng vai trò chính. Các thuật toán sẽ được sử dụng theo trình tự chính xác nào (mã hóa xảy ra trước hay sau khi truyền hoặc trong quá trình sử dụng các khóa trung gian ngẫu nhiên, v.v.) không quan trọng.

Nhưng ngay cả với sự bảo vệ và hệ thống mã hóa ở cấp độ AES 256 (nghĩa là độ sâu bit của khóa mã hóa), việc hack WPA2-PSK đối với những hacker am hiểu vấn đề này sẽ là một nhiệm vụ khó khăn, nhưng có thể thực hiện được.

Tính dễ bị tổn thương

Trở lại năm 2008, tại hội nghị PacSec, một kỹ thuật đã được trình bày cho phép bạn hack kết nối không dây và đọc dữ liệu được truyền từ bộ định tuyến đến thiết bị đầu cuối của máy khách. Tất cả điều này mất khoảng 12-15 phút. Tuy nhiên, không thể hack được đường truyền ngược (bộ định tuyến máy khách).

Thực tế là khi bật chế độ bộ định tuyến QoS, bạn không chỉ có thể đọc thông tin được truyền đi mà còn có thể thay thế nó bằng thông tin giả mạo. Năm 2009, các chuyên gia Nhật Bản đã trình bày một công nghệ có thể giảm thời gian hack xuống còn một phút. Và vào năm 2010, trên Internet xuất hiện thông tin rằng cách dễ nhất để hack mô-đun Hole 196 có trong WPA2 là sử dụng khóa riêng của bạn.

Không có thảo luận nào về bất kỳ sự can thiệp nào đối với các khóa được tạo. Đầu tiên, cái gọi là tấn công từ điển được sử dụng kết hợp với vũ lực, sau đó không gian kết nối không dây được quét để chặn các gói được truyền và sau đó ghi lại chúng. Chỉ cần người dùng tạo kết nối là đủ, anh ta sẽ bị hủy cấp quyền ngay lập tức và việc truyền các gói ban đầu sẽ bị chặn (bắt tay). Sau này, bạn thậm chí không cần phải ở gần điểm truy cập chính. Bạn có thể dễ dàng làm việc ngoại tuyến. Tuy nhiên, để thực hiện tất cả những hành động này, bạn sẽ cần phần mềm đặc biệt.

Làm cách nào để hack WPA2-PSK?

Vì những lý do hiển nhiên, thuật toán hoàn chỉnh để hack một kết nối sẽ không được đưa ra ở đây, vì thuật toán này có thể được sử dụng như một loại hướng dẫn hành động nào đó. Chúng ta hãy chỉ tập trung vào những điểm chính và sau đó chỉ nói chung.

Theo quy định, khi truy cập trực tiếp vào bộ định tuyến, nó có thể được chuyển sang chế độ được gọi là chế độ Airmon-NG để giám sát lưu lượng (airmon-ng start wlan0 - đổi tên bộ điều hợp không dây). Sau đó, lưu lượng truy cập được ghi lại bằng lệnh airdump-ng mon0 (theo dõi dữ liệu kênh, tốc độ đèn hiệu, tốc độ và phương thức mã hóa, lượng dữ liệu được truyền, v.v.).

Tiếp theo, lệnh sửa kênh đã chọn sẽ được sử dụng, sau đó lệnh Aireplay-NG Deauth được nhập cùng với các giá trị đi kèm (chúng không được đưa ra vì lý do tính hợp pháp của việc sử dụng các phương pháp đó).

Sau đó (khi người dùng đã được ủy quyền khi kết nối), người dùng có thể chỉ cần ngắt kết nối khỏi mạng. Trong trường hợp này, khi bạn đăng nhập lại từ phía hack, hệ thống sẽ lặp lại ủy quyền đăng nhập, sau đó có thể chặn tất cả mật khẩu truy cập. Tiếp theo, một cửa sổ có hình “bắt tay” sẽ xuất hiện. Sau đó, bạn có thể khởi chạy một tệp đặc biệt có tên WPACrack, tệp này sẽ cho phép bạn bẻ khóa bất kỳ mật khẩu nào. Đương nhiên, sẽ không ai nói cho ai biết chính xác nó được ra mắt như thế nào. Chúng tôi chỉ lưu ý rằng nếu bạn có kiến thức nhất định, toàn bộ quá trình sẽ mất từ vài phút đến vài ngày. Ví dụ: bộ xử lý cấp Intel hoạt động ở tần số xung nhịp tiêu chuẩn 2,8 GHz có khả năng xử lý không quá 500 mật khẩu mỗi giây hoặc 1,8 triệu mật khẩu mỗi giờ. Nói chung, như đã rõ, bạn không nên tự lừa dối mình.

Thay vì lời bạt

Thế là xong với WPA2-PSK. Có lẽ sẽ không rõ nó là gì ngay từ lần đọc đầu tiên. Tuy nhiên, tôi nghĩ bất kỳ người dùng nào cũng sẽ hiểu những kiến thức cơ bản về bảo vệ dữ liệu và hệ thống mã hóa được sử dụng. Hơn nữa, ngày nay hầu như tất cả chủ sở hữu thiết bị di động đều phải đối mặt với điều này. Bạn có bao giờ nhận thấy rằng khi tạo kết nối mới trên cùng một điện thoại thông minh, hệ thống sẽ đề xuất sử dụng một loại bảo mật nhất định (WPA2-PSK)? Nhiều người chỉ đơn giản là không chú ý đến điều này, nhưng vô ích. Trong cài đặt nâng cao, bạn có thể sử dụng một số lượng khá lớn các tham số bổ sung để cải thiện hệ thống bảo mật.

Ngày nay, nhiều người có bộ định tuyến Wi-Fi ở nhà. Xét cho cùng, không dây sẽ dễ dàng hơn nhiều để kết nối Internet với máy tính xách tay, máy tính bảng và điện thoại thông minh, những thứ có nhiều hơn số người trong mỗi gia đình. Và nó (bộ định tuyến) về cơ bản là cửa ngõ vào vũ trụ thông tin. Đọc cửa trước. Và điều đó phụ thuộc vào cánh cửa này liệu một vị khách không mời có đến với bạn mà không có sự cho phép của bạn hay không. Vì vậy, điều rất quan trọng là phải chú ý đến cấu hình chính xác của bộ định tuyến để mạng không dây của bạn không bị tấn công.

Tôi không nghĩ rằng tôi cần phải nhắc bạn rằng việc ẩn SSID của điểm truy cập không bảo vệ bạn. Hạn chế quyền truy cập bằng địa chỉ MAC không hiệu quả. Do đó, chỉ có các phương pháp mã hóa hiện đại và mật khẩu phức tạp.

Tại sao lại mã hóa? Ai cần tôi? tôi không có gì để giấu

Sẽ không quá đáng sợ nếu họ đánh cắp mã PIN từ thẻ tín dụng của bạn và rút hết tiền từ đó. Hơn nữa, nếu ai đó lướt Internet bằng chi phí của bạn, biết mật khẩu Wi-Fi. Và sẽ không quá đáng sợ nếu họ đăng những bức ảnh của bạn trong các bữa tiệc của công ty, nơi bạn trông khó coi. Sẽ khó chịu hơn nhiều khi những kẻ tấn công xâm nhập vào máy tính của bạn và xóa những bức ảnh về cách bạn đón con trai mình từ bệnh viện phụ sản, cách bé bước những bước đi đầu tiên và vào lớp một. Sao lưu là một chủ đề riêng biệt, tất nhiên là cần phải thực hiện... Nhưng theo thời gian, danh tiếng của bạn có thể được khôi phục, bạn có thể kiếm được tiền, nhưng những bức ảnh thân thương với bạn đã không còn nữa. Tôi nghĩ mọi người đều có thứ gì đó mà họ không muốn mất.
Bộ định tuyến của bạn là thiết bị ranh giới giữa riêng tư và công cộng, vì vậy hãy đảm bảo nó được bảo vệ hoàn toàn. Hơn nữa, nó không quá khó khăn.

Công nghệ và thuật toán mã hóa

Tôi đang bỏ qua lý thuyết. Nó hoạt động như thế nào không quan trọng, điều quan trọng là bạn phải biết cách sử dụng nó.
Các công nghệ bảo mật không dây được phát triển theo trình tự thời gian sau: WEP, WPA, WPA2. Các phương thức mã hóa RC4, TKIP, AES cũng đã phát triển.
Về mặt bảo mật tốt nhất hiện nay là sự kết hợp WPA2-AES. Đây chính xác là cách bạn nên thử định cấu hình Wi-Fi. Nó sẽ trông giống như thế này:

WPA2 là bắt buộc kể từ ngày 16 tháng 3 năm 2006. Nhưng đôi khi bạn vẫn có thể tìm thấy những thiết bị không hỗ trợ nó. Đặc biệt, nếu bạn cài đặt Windows XP trên máy tính mà không có gói dịch vụ thứ 3 thì WPA2 sẽ không hoạt động. Do đó, vì lý do tương thích, trên bộ định tuyến, bạn có thể tìm thấy các tùy chọn cấu hình WPA2-PSK -> AES+TKIP và một đàn khác.
Nhưng nếu nhóm thiết bị của bạn hiện đại thì tốt hơn nên sử dụng WPA2 (WPA2-PSK) -> AES, là lựa chọn an toàn nhất hiện nay.

Sự khác biệt giữa WPA(WPA2) và WPA-PSK(WPA2-PSK)

Tiêu chuẩn WPA cung cấp Giao thức xác thực mở rộng (EAP) làm cơ sở cho cơ chế xác thực người dùng. Điều kiện không thể thiếu để xác thực là người dùng phải xuất trình chứng chỉ (còn gọi là thông tin xác thực) xác nhận quyền truy cập mạng của mình. Để có được quyền này, người dùng phải được xác minh dựa trên cơ sở dữ liệu đặc biệt về người dùng đã đăng ký. Nếu không xác thực, người dùng sẽ bị cấm sử dụng mạng. Cơ sở người dùng đã đăng ký và hệ thống xác minh trong các mạng lớn thường được đặt trên một máy chủ đặc biệt (thường là RADIUS).
Chế độ Khóa chia sẻ trước được đơn giản hóa (WPA-PSK, WPA2-PSK) cho phép bạn sử dụng một mật khẩu được lưu trữ trực tiếp trong bộ định tuyến. Một mặt, mọi thứ đều được đơn giản hóa, không cần tạo và duy trì cơ sở người dùng, mặt khác, mọi người đều đăng nhập bằng cùng một mật khẩu.
Ở nhà, tốt hơn nên sử dụng WPA2-PSK, tức là chế độ đơn giản hóa của tiêu chuẩn WPA. Bảo mật Wi-Fi không bị ảnh hưởng bởi sự đơn giản hóa này.

Mật khẩu truy cập Wi-Fi (mã hóa)

Mọi thứ đều đơn giản ở đây. Mật khẩu cho điểm truy cập không dây (bộ định tuyến) của bạn phải có nhiều hơn 8 ký tự và chứa các chữ cái có kiểu chữ, số và dấu chấm câu khác nhau. Và anh ấy không nên liên kết với bạn dưới bất kỳ hình thức nào. Điều này có nghĩa là ngày sinh, tên, số xe, số điện thoại, v.v. của bạn không thể được sử dụng làm mật khẩu.
Vì thực tế không thể phá vỡ trực tiếp WPA2-AES (chỉ có một số trường hợp được mô phỏng trong điều kiện phòng thí nghiệm), nên các phương pháp bẻ khóa WPA2 chính là tấn công từ điển và tấn công vũ phu (tìm kiếm tuần tự tất cả các tùy chọn mật khẩu). Vì vậy, mật khẩu càng phức tạp thì cơ hội bị kẻ tấn công càng ít.

... ở Liên Xô, tủ đựng đồ tự động trở nên phổ biến ở các nhà ga. Mã khóa là một chữ cái và ba con số. Tuy nhiên, ít người biết rằng phiên bản đầu tiên của tủ đựng đồ sử dụng 4 chữ số làm tổ hợp mã. Có vẻ như sự khác biệt là gì? Rốt cuộc, số lượng tổ hợp mã là như nhau - 10.000 (mười nghìn). Nhưng như thực tế đã cho thấy (đặc biệt là Cục Điều tra Hình sự Mátxcơva), khi một người được yêu cầu sử dụng tổ hợp 4 chữ số làm mật khẩu cho ô chứa đồ, rất nhiều người đã sử dụng năm sinh của mình (để không quên). ). Những gì kẻ tấn công đã sử dụng khá thành công. Rốt cuộc, hai chữ số đầu tiên trong ngày sinh của đại đa số dân số cả nước đã được biết đến - 19. Tất cả những gì còn lại là xác định bằng mắt độ tuổi gần đúng của người ký gửi hành lý và bất kỳ ai trong chúng ta đều có thể làm được điều này với độ chính xác +/- 3 năm và trong thời gian còn lại, chúng tôi nhận được (chính xác hơn là những kẻ tấn công) ít hơn 10 kết hợp để chọn mã truy cập vào tủ lưu trữ tự động...

Mật khẩu phổ biến nhất

Sự lười biếng và vô trách nhiệm của con người đã gây ra hậu quả. Dưới đây là danh sách các mật khẩu phổ biến nhất:

123456
qwerty
111111
123123
1a2b3c
Ngày sinh
Số điện thoại di động

Quy tắc bảo mật khi tạo mật khẩu

Của riêng mình. Nghĩa là, mật khẩu bộ định tuyến không được khớp với bất kỳ mật khẩu nào khác mà bạn có. Từ thư chẳng hạn. Hãy đặt ra quy tắc là tất cả các tài khoản đều có mật khẩu riêng và tất cả chúng đều khác nhau.
Sử dụng mật khẩu mạnh không thể đoán được. Ví dụ: 2Rk7-kw8Q11vlOp0

Mật khẩu Wi-Fi có một lợi thế rất lớn. Bạn không cần phải nhớ nó. Bạn có thể viết nó lên một tờ giấy và dán nó vào đáy bộ định tuyến.

Vùng Wi-Fi của khách

Nếu bộ định tuyến của bạn cho phép bạn tổ chức một khu vực dành cho khách. Sau đó hãy chắc chắn để làm điều đó. Bảo vệ nó một cách tự nhiên bằng WPA2 và mật khẩu mạnh. Và giờ đây, khi bạn bè đến nhà bạn và yêu cầu truy cập Internet, bạn không cần phải cho họ biết mật khẩu chính của mình. Hơn nữa, vùng khách trong bộ định tuyến được cách ly với mạng chính. Và mọi sự cố với thiết bị của khách sẽ không ảnh hưởng đến mạng gia đình của bạn.

Điều gì có thể quan trọng hơn trong thời đại chúng ta hơn là bảo vệ mạng Wi-Fi gia đình của bạn :) Đây là một chủ đề rất phổ biến, trong đó chỉ riêng trang web này đã có hơn một bài viết được viết. Tôi quyết định thu thập tất cả thông tin cần thiết về chủ đề này trên một trang. Bây giờ chúng ta sẽ xem xét chi tiết vấn đề bảo vệ mạng Wi-Fi. Tôi sẽ mách bạn và chỉ cho bạn cách bảo vệ Wi-Fi bằng mật khẩu, cách thực hiện chính xác trên các bộ định tuyến của các nhà sản xuất khác nhau, nên chọn phương thức mã hóa nào, cách chọn mật khẩu và những điều bạn cần biết nếu muốn. dự định thay đổi mật khẩu mạng không dây của bạn.

Trong bài viết này chúng ta sẽ nói chính xác về việc bảo vệ mạng không dây tại nhà của bạn. Và chỉ về bảo vệ bằng mật khẩu. Nếu chúng ta xem xét tính bảo mật của một số mạng lớn trong văn phòng, thì tốt hơn là nên tiếp cận vấn đề bảo mật ở đó hơi khác một chút (ít nhất là một chế độ xác thực khác). Nếu bạn cho rằng một mật khẩu là không đủ để bảo vệ mạng Wi-Fi của mình thì tôi khuyên bạn đừng bận tâm. Hãy đặt một mật khẩu tốt, phức tạp bằng cách sử dụng các hướng dẫn này và đừng lo lắng. Khó có ai có thể dành thời gian và công sức để hack mạng của bạn. Có, chẳng hạn, bạn có thể ẩn tên mạng (SSID) và đặt lọc theo địa chỉ MAC, nhưng đây là những rắc rối không cần thiết mà trên thực tế sẽ chỉ gây bất tiện khi kết nối và sử dụng mạng không dây.

Nếu bạn đang nghĩ đến việc bảo vệ Wi-Fi của mình hoặc để mạng mở, thì chỉ có một giải pháp - bảo vệ nó. Đúng, Internet là không giới hạn và hầu hết mọi người ở nhà đều có bộ định tuyến riêng, nhưng cuối cùng sẽ có người kết nối với mạng của bạn. Tại sao chúng ta cần điều này, bởi vì có thêm nhiều máy khách sẽ là một gánh nặng thêm cho bộ định tuyến. Và nếu nó không đắt thì đơn giản là nó sẽ không chịu được tải trọng này. Ngoài ra, nếu ai đó kết nối với mạng của bạn, họ sẽ có thể truy cập các tệp của bạn (nếu mạng cục bộ được cấu hình) và truy cập vào cài đặt bộ định tuyến của bạn.

Đảm bảo bảo vệ mạng Wi-Fi của bạn bằng mật khẩu tốt với phương pháp mã hóa chính xác (hiện đại). Tôi khuyên bạn nên cài đặt bảo vệ ngay lập tức khi thiết lập bộ định tuyến. Ngoài ra, thỉnh thoảng bạn nên thay đổi mật khẩu của mình.

Nếu bạn lo lắng rằng ai đó sẽ hack mạng của bạn hoặc đã làm như vậy, thì bạn chỉ cần thay đổi mật khẩu và sống yên bình. Nhân tiện, vì bạn vẫn sẽ đăng nhập vào bảng điều khiển của bộ định tuyến nên tôi cũng khuyên bạn nên sử dụng bảng điều khiển nào để vào cài đặt bộ định tuyến.

Bảo vệ đúng cách mạng Wi-Fi tại nhà của bạn: nên chọn phương thức mã hóa nào?

Trong quá trình cài đặt mật khẩu, bạn sẽ cần chọn phương thức mã hóa mạng Wi-Fi (Phương pháp xác thực). Tôi khuyên bạn chỉ nên cài đặt WPA2 - Cá nhân, với thuật toán mã hóa AES. Đối với mạng gia đình, đây là giải pháp tốt nhất, mới nhất và đáng tin cậy nhất vào thời điểm hiện tại. Đây là loại bảo vệ mà các nhà sản xuất bộ định tuyến khuyên bạn nên cài đặt.

Chỉ với một điều kiện là bạn không có thiết bị cũ muốn kết nối Wi-Fi. Nếu sau khi thiết lập, một số thiết bị cũ của bạn từ chối kết nối với mạng không dây, bạn có thể cài đặt một giao thức WPA (với thuật toán mã hóa TKIP). Tôi không khuyên bạn nên cài đặt giao thức WEP vì nó đã lỗi thời, không an toàn và có thể dễ dàng bị hack. Có, và có thể xảy ra sự cố khi kết nối thiết bị mới.

Kết hợp giao thức WPA2 - Cá nhân với mã hóa AES, đây là lựa chọn tốt nhất cho mạng gia đình. Bản thân khóa (mật khẩu) phải có ít nhất 8 ký tự. Mật khẩu phải bao gồm các chữ cái, số và ký hiệu tiếng Anh. Mật khẩu là trường hợp nhạy cảm. Tức là “111AA111” và “111aa111” là các mật khẩu khác nhau.

Tôi không biết bạn có bộ định tuyến nào, vì vậy tôi sẽ chuẩn bị các hướng dẫn ngắn gọn cho các nhà sản xuất phổ biến nhất.

Nếu sau khi thay đổi hoặc đặt mật khẩu, bạn gặp vấn đề khi kết nối thiết bị với mạng không dây, hãy xem các khuyến nghị ở cuối bài viết này.

Tôi khuyên bạn nên ghi ngay mật khẩu mà bạn sẽ đặt. Nếu quên nó, bạn sẽ phải cài đặt một cái mới, hoặc.

Bảo vệ Wi-Fi bằng mật khẩu trên router Tp-Link

Kết nối với bộ định tuyến (qua cáp hoặc Wi-Fi), khởi chạy bất kỳ trình duyệt nào và mở địa chỉ 192.168.1.1 hoặc 192.168.0.1 (địa chỉ bộ định tuyến của bạn, cũng như tên người dùng và mật khẩu tiêu chuẩn được ghi trên nhãn dán ở dưới cùng của thiết bị). Cung cấp tên người dùng và mật khẩu của bạn. Theo mặc định, đây là quản trị viên và quản trị viên. B, tôi đã mô tả việc nhập cài đặt chi tiết hơn.

Trong cài đặt, hãy chuyển đến tab Không dây(Chế độ không dây) - Bảo mật không dây(Bảo mật không dây). Chọn hộp bên cạnh phương pháp bảo vệ WPA/WPA2 - Cá nhân(Được khuyến nghị). Trong menu thả xuống Phiên bản(phiên bản) chọn WPA2-PSK. Trên thực đơn Mã hóa(mã hóa) cài đặt AES. Trong lĩnh vực Mật khẩu không dây(Mật khẩu PSK) Nhập mật khẩu để bảo vệ mạng của bạn.

Đặt mật khẩu trên bộ định tuyến Asus

Trong cài đặt chúng ta cần mở tab Mạng không dây và thực hiện các cài đặt sau:

Trong menu thả xuống "Phương thức xác thực", chọn WPA2 - Cá nhân.
"Mã hóa WPA" - cài đặt AES.
Trong trường "Khóa chia sẻ trước WPA", hãy ghi mật khẩu cho mạng của chúng tôi.

Để lưu cài đặt, nhấp vào nút Áp dụng.

Kết nối thiết bị của bạn với mạng bằng mật khẩu mới.

Bảo vệ mạng không dây của bộ định tuyến D-Link của bạn

Đi tới cài đặt của bộ định tuyến D-Link của bạn tại 192.168.0.1. Bạn có thể xem hướng dẫn chi tiết. Trong cài đặt, mở tab Wifi - Cài đặt hệ thống bảo vệ. Đặt loại bảo mật và mật khẩu như trong ảnh chụp màn hình bên dưới.

Đặt mật khẩu trên các bộ định tuyến khác

Chúng tôi cũng có nó cho bộ định tuyến ZyXEL và Tenda. Xem các liên kết:

Nếu bạn không tìm thấy hướng dẫn cho bộ định tuyến của mình thì bạn có thể thiết lập bảo vệ mạng Wi-Fi trong bảng điều khiển của bộ định tuyến, trong phần cài đặt có tên: cài đặt bảo mật, mạng không dây, Wi-Fi, Không dây, v.v. nghĩ rằng tôi có thể tìm thấy nó sẽ không khó khăn. Và tôi nghĩ bạn đã biết cần đặt những cài đặt nào: WPA2 - Mã hóa cá nhân và AES. Vâng, đó là chìa khóa.

Nếu bạn không thể tìm ra nó, hãy hỏi trong phần bình luận.

Phải làm gì nếu thiết bị không kết nối sau khi cài đặt hoặc thay đổi mật khẩu?

Rất thường xuyên, sau khi cài đặt và đặc biệt là sau khi thay đổi mật khẩu, các thiết bị đã kết nối trước đó với mạng của bạn không muốn kết nối với mạng đó. Trên máy tính, đây thường là các lỗi “Cài đặt mạng được lưu trên máy tính này không đáp ứng được yêu cầu của mạng này” và “Windows không thể kết nối với…”. Trên máy tính bảng và điện thoại thông minh (Android, iOS), các lỗi như “Không thể kết nối mạng”, “Đã kết nối, được bảo vệ”, v.v. cũng có thể xuất hiện.

Những vấn đề này có thể được giải quyết bằng cách xóa mạng không dây và kết nối lại bằng mật khẩu mới. Tôi đã viết cách xóa mạng trong Windows 7. Nếu bạn có Windows 10 thì bạn cần phải "quên mạng". Trên thiết bị di động, nhấn và giữ mạng của bạn rồi chọn "Xóa bỏ".

Nếu xảy ra sự cố kết nối trên các thiết bị cũ hơn, hãy đặt giao thức bảo mật WPA và mã hóa TKIP trong cài đặt bộ định tuyến.

Bảo vệ khỏi những vị khách không mời

Nếu bạn chưa thực hiện bất kỳ biện pháp bảo mật nào, hãy chuyển đến giao diện bộ định tuyến thông qua trình duyệt và thay đổi dữ liệu truy cập mạng của bạn. Địa chỉ bộ định tuyến thường có dạng: http://192.168.1.1. Nếu không đúng như vậy thì bạn sẽ có thể tìm ra địa chỉ IP của thiết bị mạng của mình thông qua dòng lệnh. Trong hệ điều hành Windows 7, nhấp vào nút “Bắt đầu” và nhập lệnh “cmd” vào thanh tìm kiếm. Gọi cài đặt mạng bằng lệnh “ipconfig” và tìm dòng “Cổng mặc định”. IP được chỉ định là địa chỉ bộ định tuyến của bạn, địa chỉ này phải được nhập vào thanh địa chỉ của trình duyệt. Vị trí cài đặt bảo mật của bộ định tuyến của bạn khác nhau tùy theo nhà sản xuất. Theo quy định, chúng nằm trong một phần có tên “WLAN | Sự an toàn".

tin tặc

Điểm nóng công cộng

WPA 2

Quyền truy cập của khách - một phương tiện bảo vệ mạng gia đình của bạn

Độ tin cậy của khóa bảo mật

Hãy giải thích ngắn gọn WEP, WPA và WPA2 là gì và sự khác biệt giữa chúng là gì.

WEP

Giải trình: Quyền riêng tư tương đương có dây.Được dịch là Bảo mật tương đương với kết nối có dây. Rõ ràng, các nhà phát minh đã đánh giá quá cao độ tin cậy của loại bảo vệ này khi họ đặt tên cho nó.

WEP là chế độ bảo mật không dây truyền thống. Cung cấp mức độ bảo vệ thấp. Trong chế độ bảo mật của Windows, WEP thường được gọi là Open, tức là. mở loại.

WPA

Giải trình: Truy cập Wi-Fi được bảo vệ (truy cập Wi-Fi được bảo vệ)

Chia thành 2 phân loài:

WPA-Cá nhân (-Khóa cá nhân hoặc -PSK)
WPA-Doanh nghiệp.

WPA-PSK

Tùy chọn này phù hợp để sử dụng tại nhà. Để ủy quyền trên mạng, bạn chỉ cần một khóa bảo mật.

WPA-Doanh nghiệp

Đây là một tùy chọn cao cấp và nâng cao hơn dành cho mạng công ty nhằm cung cấp mức độ bảo mật cao hơn. Cần có máy chủ Radius để ủy quyền.

WPA2

WPA2 là phiên bản bảo mật WPA hiện đại và cải tiến hơn. Tương tự, nó có thể hoạt động ở cả hai chế độ: PSK và Enterprise. Nó khác ở chỗ nó hỗ trợ kiểu mã hóa AES CCMP.

Cái gì tốt hơn? WEP, WPA hay WPA2?

Trên thiết bị hiện đại, trong hầu hết các trường hợp, lựa chọn tốt nhất là sử dụng WPA2-PSK với kiểu mã hóa AES:

Nếu tôi không biết mạng wifi sử dụng loại bảo mật nào thì sao?

Nếu bạn không biết mã hóa nào được sử dụng trên điểm truy cập (bộ định tuyến) của mình, hãy ngắt kết nối khỏi mạng và. Sau đó kết nối lại. Bạn chỉ cần nhập khóa bảo mật. Trong trường hợp này, chế độ bảo mật sẽ được chọn tự động.

WPA2 (Truy cập được bảo vệ không dây phiên bản 2.0) là phiên bản thứ hai của bộ thuật toán và giao thức cung cấp khả năng bảo vệ dữ liệu trong mạng không dây Wi-Fi. Đúng như mong đợi, WPA2 sẽ cải thiện đáng kể tính bảo mật của mạng không dây Wi-Fi so với các công nghệ trước đó. Đặc biệt, tiêu chuẩn mới cung cấp cho việc sử dụng bắt buộc thuật toán mã hóa AES (Tiêu chuẩn mã hóa nâng cao) mạnh hơn và xác thực 802.1X.

Ngày nay, để đảm bảo cơ chế bảo mật đáng tin cậy trong mạng không dây của công ty, việc sử dụng các thiết bị và phần mềm hỗ trợ WPA2 là cần thiết (và bắt buộc). Các thế hệ giao thức trước - WEP và WPA - chứa các phần tử có thuật toán mã hóa và bảo mật không đủ mạnh. Hơn nữa, các chương trình và kỹ thuật đã được phát triển để hack các mạng dựa trên WEP có thể dễ dàng tải xuống từ Internet và sử dụng thành công ngay cả với những hacker mới vào nghề chưa qua đào tạo.

Giao thức WPA2 hoạt động ở hai chế độ xác thực: cá nhân (Personal) và doanh nghiệp (Enterprise). Ở chế độ WPA2-Personal, PSK 256-bit (Khóa chia sẻ trước) được tạo từ cụm mật khẩu văn bản gốc được nhập. Khóa PSK cùng với SSID (Mã nhận dạng bộ dịch vụ) được sử dụng để tạo khóa phiên tạm thời PTK (Khóa tạm thời theo cặp) để tương tác giữa các thiết bị không dây. Giống như giao thức WEP tĩnh, giao thức WPA2-Personal có một số vấn đề nhất định liên quan đến nhu cầu phân phối và duy trì khóa trên các thiết bị không dây trên mạng, điều này khiến nó phù hợp hơn để sử dụng trong các mạng nhỏ gồm hàng tá thiết bị, trong khi WPA2 là tối ưu cho mạng doanh nghiệp -Doanh nghiệp.

Chế độ WPA2-Enterprise giải quyết các thách thức về quản lý và phân phối khóa tĩnh, đồng thời việc tích hợp nó với hầu hết các dịch vụ xác thực doanh nghiệp cung cấp khả năng kiểm soát truy cập dựa trên tài khoản. Chế độ này yêu cầu thông tin xác thực như tên người dùng và mật khẩu, chứng chỉ bảo mật hoặc mật khẩu một lần và xác thực được thực hiện giữa máy trạm và máy chủ xác thực trung tâm. Điểm truy cập hoặc bộ điều khiển không dây giám sát các kết nối và chuyển tiếp yêu cầu xác thực đến máy chủ xác thực thích hợp (thường là máy chủ RADIUS như Cisco ACS). Chế độ WPA2-Enterprise dựa trên chuẩn 802.1X, hỗ trợ xác thực người dùng và thiết bị, phù hợp cho cả switch có dây và điểm truy cập không dây.

Không giống như WPA, thuật toán mã hóa AES mạnh hơn được sử dụng. Tương tự như WPA, WPA2 cũng được chia thành 2 loại: WPA2-PSK và WPA2-802.1x.

Cung cấp các cơ chế mới, đáng tin cậy hơn để đảm bảo tính toàn vẹn và bảo mật dữ liệu:

CCMP (Giao thức Counter-Mode-CBC-MAC), dựa trên Chế độ chuỗi khối mã hóa bộ đếm (CCM) của thuật toán mã hóa Tiêu chuẩn mã hóa nâng cao (AES). CCM kết hợp hai cơ chế: Bộ đếm (CTR) để bảo mật và Mã xác thực thông báo chuỗi khối mã hóa (CBC-MAC) để xác thực.

WRAP (Giao thức xác thực mạnh mẽ không dây), dựa trên chế độ Sách mã bù đắp (OCB) của thuật toán mã hóa AES.

Giao thức TKIP để tương thích ngược với thiết bị cũ. Xác thực lẫn nhau và phân phối khóa dựa trên giao thức IEEE 802.1x/EAP. Bộ dịch vụ cơ bản độc lập an toàn (IBSS) để tăng cường bảo mật trong mạng Ad-Hoc. Hỗ trợ chuyển vùng.

Đóng góp vào tính bảo mật của mạng không dây là cơ chế CCMP và chuẩn IEEE 802.11i. Phần sau giới thiệu khái niệm về mạng an toàn (Mạng bảo mật mạnh mẽ, RSN) và kết nối mạng an toàn (Hiệp hội mạng bảo mật mạnh mẽ, RSNA), sau đó nó chia tất cả các thuật toán thành:

Thuật toán RSNA (để tạo và sử dụng RSNA);

Các thuật toán tiền RSNA.

Các thuật toán tiền RSNA bao gồm:

xác thực IEEE 802.11 hiện có (tham khảo xác thực được xác định trong phiên bản tiêu chuẩn năm 1999).

Nghĩa là, các loại thuật toán này bao gồm xác thực Hệ thống mở có hoặc không có mã hóa WEP (chính xác hơn là không có xác thực) và Khóa chia sẻ.

Các thuật toán RSNA bao gồm:

TKIP; CCMP; Quy trình thiết lập và chấm dứt RSNA (bao gồm cả việc sử dụng xác thực IEEE 802.1x); thủ tục trao đổi khóa.

Đồng thời, thuật toán CCMP là bắt buộc và TKIP là tùy chọn nhằm đảm bảo khả năng tương thích với các thiết bị cũ hơn.

Tiêu chuẩn này cung cấp hai mô hình chức năng: với xác thực qua IEEE 802.1x, tức là sử dụng giao thức EAP và sử dụng khóa được xác định trước đã đăng ký trên trình xác thực và máy khách (chế độ này được gọi là Khóa chia sẻ trước, PSK). Trong trường hợp này, khóa PSK hoạt động như một khóa PMK và quy trình tiếp theo để xác thực và tạo chúng cũng không khác.

Vì các thuật toán mã hóa sử dụng thủ tục TKIP đã được gọi là WPA và thủ tục CCMP là WPA2, nên chúng ta có thể nói rằng các phương thức mã hóa đáp ứng RSNA là: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA- Cá nhân), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (Khóa chia sẻ trước WPA2, WPA2-Personal).

Quy trình thiết lập kết nối và trao đổi khóa cho thuật toán TKIP và CCMP là giống nhau. Bản thân CCMP (Chế độ truy cập (CTR) với CBC-MAC (Chuỗi khối mã hóa (CBC) với Giao thức mã xác thực thư (MAC)), giống như TKIP, được thiết kế để cung cấp tính bảo mật, xác thực, tính toàn vẹn và bảo vệ chống lại các cuộc tấn công phát lại. thuật toán dựa trên phương pháp CCM của thuật toán mã hóa AES, được xác định trong đặc tả FIPS PUB 197. Tất cả các quy trình AES được sử dụng trong CCMP đều sử dụng AES với khóa 128 bit và kích thước khối 128 bit.

Cải tiến mới nhất của tiêu chuẩn này là hỗ trợ công nghệ chuyển vùng nhanh giữa các điểm truy cập bằng cách sử dụng bộ nhớ đệm khóa PMK và xác thực trước.

Quy trình lưu vào bộ đệm PMK là nếu một máy khách đã từng vượt qua xác thực đầy đủ khi kết nối với một số điểm truy cập thì nó sẽ lưu khóa PMK nhận được từ nó và lần tiếp theo khi kết nối với điểm này, máy khách sẽ gửi khóa PMK đã nhận trước đó . Việc này sẽ kết thúc quá trình xác thực, tức là Bắt tay 4 chiều sẽ không được thực hiện.

Quy trình xác thực trước là sau khi khách hàng đã kết nối và chuyển xác thực trên điểm truy cập, anh ta có thể đồng thời (trước) chuyển xác thực trên các điểm truy cập khác (mà anh ta “nghe thấy”) có cùng SSID, tức là nhận trước chúng. khóa là PMK. Và nếu trong tương lai, điểm truy cập mà nó được kết nối không thành công hoặc tín hiệu của nó yếu hơn một số điểm khác có cùng tên mạng, thì máy khách sẽ kết nối lại bằng sơ đồ nhanh với khóa PMK được lưu trong bộ nhớ đệm.

Đặc tả WEP2, xuất hiện vào năm 2001, tăng độ dài khóa lên 104 bit, không giải quyết được vấn đề, vì độ dài của vectơ khởi tạo và phương pháp kiểm tra tính toàn vẹn dữ liệu vẫn giữ nguyên. Hầu hết các kiểu tấn công đều được thực hiện đơn giản như trước.

Phần kết luận

Tóm lại, tôi muốn tóm tắt tất cả thông tin và đưa ra khuyến nghị để bảo vệ mạng không dây.

Có ba cơ chế để bảo mật mạng không dây: định cấu hình máy khách và AP để sử dụng cùng SSID (không mặc định), cho phép AP chỉ giao tiếp với các máy khách có địa chỉ MAC được AP biết và định cấu hình máy khách để xác thực với mạng không dây. AP và mã hóa lưu lượng. Hầu hết các AP được cấu hình để hoạt động với SSID mặc định, không có danh sách địa chỉ MAC của máy khách được phép và khóa chung đã biết để xác thực và mã hóa (hoặc hoàn toàn không có xác thực hoặc mã hóa). Thông thường, những cài đặt này được ghi lại trong phần trợ giúp trực tuyến trên trang Web của nhà sản xuất. Các tùy chọn này giúp người dùng thiếu kinh nghiệm dễ dàng thiết lập và bắt đầu sử dụng mạng không dây, nhưng đồng thời, chúng cũng khiến tin tặc xâm nhập vào mạng dễ dàng hơn. Tình hình trở nên trầm trọng hơn do hầu hết các nút truy cập đều được cấu hình để phát SSID. Do đó, kẻ tấn công có thể tìm thấy các mạng dễ bị tấn công bằng SSID tiêu chuẩn.

Bước đầu tiên để có mạng không dây an toàn là thay đổi SSID AP mặc định. Ngoài ra, cài đặt này phải được thay đổi trên máy khách để cho phép liên lạc với AP. Thật thuận tiện khi chỉ định một SSID phù hợp với quản trị viên và người dùng của doanh nghiệp, nhưng không xác định rõ ràng mạng không dây này trong số các SSID khác bị những người không được phép chặn.

Bước tiếp theo là chặn nút truy cập phát SSID nếu có thể. Do đó, kẻ tấn công sẽ khó phát hiện sự hiện diện của mạng không dây và SSID hơn (mặc dù vẫn có thể xảy ra). Ở một số AP, bạn không thể hủy phát sóng SSID. Trong những trường hợp như vậy, bạn nên tăng khoảng thời gian phát sóng càng nhiều càng tốt. Ngoài ra, một số máy khách chỉ có thể giao tiếp nếu SSID được nút truy cập phát đi. Do đó, bạn có thể cần thử nghiệm cài đặt này để xác định chế độ nào phù hợp với tình huống cụ thể của mình.

Sau đó, bạn có thể cho phép các nút truy cập chỉ được truy cập từ các máy khách không dây có địa chỉ MAC đã biết. Điều này có thể không phù hợp với một tổ chức lớn, nhưng đối với một doanh nghiệp nhỏ có số lượng nhỏ khách hàng không dây, đây là một tuyến phòng thủ bổ sung đáng tin cậy. Những kẻ tấn công sẽ cần tìm ra các địa chỉ MAC được phép kết nối với AP doanh nghiệp và thay thế địa chỉ MAC của bộ điều hợp không dây của chúng bằng một địa chỉ được ủy quyền (trên một số kiểu bộ điều hợp, địa chỉ MAC có thể được thay đổi).

Việc chọn các tùy chọn xác thực và mã hóa có thể là phần khó khăn nhất trong việc bảo mật mạng không dây. Trước khi chỉ định cài đặt, bạn nên kiểm kê các nút truy cập và bộ điều hợp không dây để xác định các giao thức bảo mật mà chúng hỗ trợ, đặc biệt nếu mạng không dây của bạn đã được cấu hình với nhiều loại thiết bị từ các nhà cung cấp khác nhau. Một số thiết bị, đặc biệt là các AP và bộ điều hợp không dây cũ hơn, có thể không tương thích với WPA, WPA2 hoặc các khóa WEP có độ dài mở rộng.

Một tình huống khác cần lưu ý là một số thiết bị cũ yêu cầu người dùng nhập số thập lục phân đại diện cho khóa, trong khi các AP và bộ điều hợp không dây cũ khác yêu cầu người dùng nhập cụm mật khẩu chuyển đổi thành khóa. Do đó, rất khó để đảm bảo rằng tất cả các thiết bị đều sử dụng một phím. Chủ sở hữu những thiết bị như vậy có thể sử dụng các tài nguyên như Trình tạo khóa WEP để tạo khóa WEP ngẫu nhiên và chuyển đổi cụm mật khẩu thành số thập lục phân.

Nói chung, WEP chỉ nên được sử dụng khi thực sự cần thiết. Nếu việc sử dụng WEP là bắt buộc, bạn nên chọn các khóa có độ dài tối đa và định cấu hình mạng ở chế độ Mở thay vì Chia sẻ. Ở chế độ Mở trên mạng, không có xác thực ứng dụng khách nào được thực hiện và bất kỳ ai cũng có thể thiết lập kết nối với các nút truy cập. Các kết nối chuẩn bị này tải một phần kênh liên lạc không dây, nhưng những kẻ tấn công đã thiết lập kết nối với AP sẽ không thể tiếp tục trao đổi dữ liệu vì chúng không biết khóa mã hóa WEP. Bạn thậm chí có thể chặn các kết nối trước bằng cách định cấu hình AP để chỉ chấp nhận các kết nối từ các địa chỉ MAC đã biết. Không giống như Mở, ở chế độ Chia sẻ, nút truy cập sử dụng khóa WEP để xác thực máy khách không dây theo quy trình phản hồi thử thách và kẻ tấn công có thể giải mã chuỗi và xác định khóa mã hóa WEP.

Nếu có thể sử dụng WPA, bạn phải chọn giữa WPA, WPA2 và WPA-PSK. Yếu tố chính khi chọn WPA hoặc WPA2 một mặt và WPA-PSK mặt khác là khả năng triển khai cơ sở hạ tầng cần thiết cho WPA và WPA2 để xác thực người dùng. WPA và WPA2 yêu cầu triển khai máy chủ RADIUS và có thể cả Cơ sở hạ tầng khóa công khai (PKI). WPA-PSK, giống như WEP, hoạt động với khóa chia sẻ mà máy khách không dây và AP đã biết. WPA-PSK Bạn có thể sử dụng khóa chia sẻ WPA-PSK một cách an toàn để xác thực và mã hóa vì nó không có nhược điểm của WEP.

Thư mục

1. Công nghệ Goralski V. xDSL. M.: Lori, 2006, 296 tr.

2. www.vesna.ug.com;

3. www.young.shop.narod.com;

7. www.opennet.ru

8. www.pulscen.ru

9. www.cisco.com

10. Baranovskaya T.P., Loiko V.I. Kiến trúc hệ thống máy tính và mạng. M.: Tài chính và Thống kê, 2003, 256 tr.

11. Mann S., Krell M. Linux. Quản trị mạng TCP/IP. M.: Binom-Press, 2004, 656 tr.

12. Công cụ mạng Smith R. Linux. M.: Williams, 2003, 672 tr.

13. Kulgin M. Mạng máy tính. Thực hành xây dựng. St.Petersburg: Peter, 2003, 464 tr.

14. Tanenbaum E. Mạng máy tính. St. Petersburg: Peter, 2005, 992 trang.

15. Olife V.G., Olife N.A. Khái niệm cơ bản về Mạng dữ liệu. Khóa học thuyết trình. M.: Đại học Công nghệ Thông tin Internet, 2003, 248 tr.

16. Vishnevsky V.M. Cơ sở lý thuyết của thiết kế mạng máy tính. M.: Tekhnosphere, 2003, 512 tr.