Những thuật toán mã hóa nào tồn tại cho mạng không dây. Loại bảo mật và mã hóa không dây. Chọn cái nào? Mã hóa AES là gì
TRONG Gần đây Nhiều ấn phẩm “vạch trần” đã xuất hiện về việc hack một số giao thức hoặc công nghệ mới làm tổn hại đến tính bảo mật của mạng không dây. Điều này có thực sự như vậy không, bạn nên sợ điều gì và làm cách nào để đảm bảo rằng quyền truy cập vào mạng của bạn được an toàn nhất có thể? Các từ WEP, WPA, 802.1x, EAP, PKI có ý nghĩa gì với bạn không? Cái này Đánh giá ngắn sẽ giúp tập hợp tất cả các công nghệ mã hóa và ủy quyền truy cập vô tuyến hiện hành. Tôi sẽ cố gắng chỉ ra rằng một mạng không dây được cấu hình đúng cách sẽ là một rào cản không thể vượt qua đối với kẻ tấn công (tất nhiên là đến một giới hạn nhất định).
Khái niệm cơ bản
Mọi tương tác giữa điểm truy cập (mạng) và máy khách không dây đều dựa trên:- Xác thực- cách khách hàng và điểm truy cập tự giới thiệu với nhau và xác nhận rằng họ có quyền liên lạc với nhau;
- Mã hóa- thuật toán xáo trộn nào cho dữ liệu được truyền được sử dụng, cách tạo khóa mã hóa và khi nào nó thay đổi.
Tùy chọn mạng không dây, chủ yếu là tên của nó (SSID), thường xuyên được quảng cáo bởi điểm truy cập trong các gói báo hiệu phát sóng. Ngoài các cài đặt bảo mật dự kiến, các yêu cầu về QoS, tham số 802.11n, tốc độ được hỗ trợ, thông tin về những người hàng xóm khác, v.v. cũng được truyền đi. Xác thực xác định cách ứng dụng khách trình bày chính nó. Các tùy chọn có thể:
- Mở- cái gọi là mở mạng, trong đó tất cả các thiết bị được kết nối đều được cấp phép cùng một lúc
- Đã chia sẻ- tính xác thực của thiết bị được kết nối phải được xác minh bằng khóa/mật khẩu
- EAP- tính xác thực của thiết bị được kết nối phải được xác minh bằng giao thức EAP bởi máy chủ bên ngoài
- Không có- không mã hóa, dữ liệu được truyền dưới dạng văn bản rõ ràng
- WEP- mật mã dựa trên thuật toán RC4 với độ dài khóa tĩnh hoặc động khác nhau (64 hoặc 128 bit)
- CKIP- thay thế độc quyền cho WEP của Cisco, phiên bản đầu tiên của TKIP
- TKIP- Cải thiện việc thay thế WEP bằng các kiểm tra và bảo vệ bổ sung
- AES/CCMP- thuật toán tiên tiến nhất dựa trên AES256 với các kiểm tra và bảo vệ bổ sung
Sự kết hợp Xác thực mở, không mã hóađược sử dụng rộng rãi trong các hệ thống quyền truy cập của khách như cung cấp Internet trong quán cà phê hoặc khách sạn. Để kết nối, bạn chỉ cần biết tên của mạng không dây. Thường kết nối này được kết hợp với kiểm tra bổ sung tới Captive Portal bằng cách chuyển hướng yêu cầu HTTP của người dùng tới trang bổ sung, nơi bạn có thể yêu cầu xác nhận (mật khẩu đăng nhập, đồng ý với các quy tắc, v.v.).
Mã hóa WEP bị xâm phạm và không thể sử dụng được (ngay cả trong trường hợp khóa động).
Các thuật ngữ thường gặp WPA Và WPA2 trên thực tế, xác định thuật toán mã hóa (TKIP hoặc AES). Do thực tế là các bộ điều hợp máy khách đã hỗ trợ WPA2 (AES) từ khá lâu nên việc sử dụng mã hóa TKIP chẳng ích gì.
Sự khác biệt giữa WPA2 cá nhân Và Doanh nghiệp WPA2 là nơi xuất phát các khóa mã hóa được sử dụng trong cơ chế của thuật toán AES. Đối với các ứng dụng riêng tư (gia đình, nhỏ), khóa tĩnh (mật khẩu, từ mã, PSK (Khóa chia sẻ trước)) có độ dài tối thiểu 8 ký tự sẽ được sử dụng, được đặt trong cài đặt điểm truy cập và giống nhau cho tất cả các máy khách của một mạng không dây nhất định. Việc xâm phạm một chìa khóa như vậy (họ làm đổ đậu cho hàng xóm, nhân viên bị sa thải, máy tính xách tay bị đánh cắp) yêu cầu thay đổi mật khẩu ngay lập tức đối với tất cả người dùng còn lại, điều này chỉ thực tế nếu có một số ít người trong số họ. Đối với các ứng dụng của công ty, như tên cho thấy, một khóa động được sử dụng riêng cho từng máy khách hiện đang chạy. Khóa này có thể được cập nhật định kỳ trong quá trình hoạt động mà không ngắt kết nối và chịu trách nhiệm tạo ra nó. thành phần bổ sung- một máy chủ ủy quyền và hầu như đây luôn là máy chủ RADIUS.
Tất cả các thông số có thể thông tin an toàn được tóm tắt trong tấm này:
| Tài sản | WEP tĩnh | WEP động | WPA | WPA 2 (Doanh nghiệp) |
| Nhận biết | Người dùng, máy tính, card WLAN | Người dùng, máy tính |
Người dùng, máy tính |
Người dùng, máy tính |
| Ủy quyền |
Chìa khóa chung |
EAP |
EAP hoặc khóa chia sẻ |
EAP hoặc khóa chia sẻ |
Chính trực |
Giá trị kiểm tra tính toàn vẹn 32 bit (ICV) |
ICV 32-bit |
Mã toàn vẹn tin nhắn 64-bit (MIC) |
CRT/CBC-MAC (Mã xác thực chuỗi khối mã hóa chế độ đếm - CCM) Một phần của AES |
Mã hóa |
Khóa tĩnh |
Khóa phiên |
Khóa mỗi gói thông qua TKIP |
CCMP (AES) |
Phân phối khóa |
Một lần, thủ công |
Phân đoạn Khóa chính theo cặp (PMK) |
Bắt nguồn từ PMK |
Bắt nguồn từ PMK |
Vectơ khởi tạo |
Văn bản, 24 bit |
Văn bản, 24 bit |
Vectơ nâng cao, 65 bit |
Số gói 48 bit (PN) |
Thuật toán |
RC4 |
RC4 |
RC4 |
AES |
Độ dài khóa, bit |
64/128 |
64/128 |
128 |
lên tới 256 |
Cơ sở hạ tầng cần thiết |
KHÔNG |
BÁNH GIÁ |
BÁNH GIÁ |
BÁNH GIÁ |
Nếu mọi thứ đều rõ ràng với WPA2 Personal (WPA2 PSK), giải pháp doanh nghiệpđòi hỏi phải xem xét bổ sung.
Doanh nghiệp WPA2
Ở đây chúng ta đang giải quyết bộ bổ sung nhiều giao thức khác nhau. Về phía máy khách, một thành phần phần mềm đặc biệt, phần mềm thay thế (thường là một phần của HĐH) tương tác với phần ủy quyền, máy chủ AAA. TRONG trong ví dụ này hiển thị hoạt động của mạng vô tuyến hợp nhất được xây dựng trên các điểm truy cập nhẹ và bộ điều khiển. Trong trường hợp sử dụng các điểm truy cập có “bộ não”, toàn bộ vai trò trung gian giữa máy khách và máy chủ có thể do chính điểm đó đảm nhận. Trong trường hợp này, dữ liệu yêu cầu máy khách được truyền qua sóng vô tuyến được hình thành trong giao thức 802.1x (EAPOL) và về phía bộ điều khiển, nó được gói trong các gói RADIUS.
Việc sử dụng cơ chế ủy quyền EAP trong mạng của bạn dẫn đến thực tế là sau khi xác thực ứng dụng khách thành công (gần như chắc chắn mở) bởi điểm truy cập (cùng với bộ điều khiển, nếu có), điểm sau sẽ yêu cầu khách hàng ủy quyền (xác nhận quyền hạn của nó) với cơ sở hạ tầng máy chủ RADIUS:
Cách sử dụng Doanh nghiệp WPA2 yêu cầu máy chủ RADIUS trên mạng của bạn. Hiện tại, các sản phẩm hiệu quả nhất là:
- Máy chủ chính sách mạng của Microsoft (NPS), IAS cũ- được cấu hình qua MMC, miễn phí, nhưng bạn cần mua Windows
- Máy chủ kiểm soát truy cập an toàn của Cisco (ACS) 4.2, 5.3- được cấu hình thông qua giao diện web, tinh vi về chức năng, cho phép bạn tạo các hệ thống phân tán và có khả năng chịu lỗi cao, đắt tiền
- RADIUS miễn phí- miễn phí, được cấu hình bằng cấu hình văn bản, không thuận tiện để quản lý và giám sát
Trong trường hợp này, bộ điều khiển giám sát cẩn thận việc trao đổi thông tin đang diễn ra và chờ cấp phép thành công hoặc từ chối thông tin đó. Nếu thành công, máy chủ RADIUS có thể truyền tới điểm truy cập Tùy chọn bổ sung(ví dụ: đặt thuê bao vào Vlan nào, gán địa chỉ IP nào, cấu hình QoS, v.v.). Khi kết thúc quá trình trao đổi, máy chủ RADIUS cho phép máy khách và điểm truy cập tạo và trao đổi khóa mã hóa (riêng lẻ, chỉ hợp lệ cho phiên này):
EAP
Bản thân giao thức EAP được đóng gói, nghĩa là cơ chế ủy quyền thực tế được giao cho người dùng giao thức nội bộ. TRÊN Hiện nay Những điều sau đây đã nhận được bất kỳ sự phân phối đáng kể nào:- EAP-NHANH CHÓNG(Xác thực linh hoạt thông qua đường hầm an toàn) - được phát triển bởi Cisco; cho phép ủy quyền bằng cách sử dụng thông tin đăng nhập và mật khẩu được truyền trong đường hầm TLS giữa người thay thế và máy chủ RADIUS
- EAP-TLS(Bảo mật tầng vận tải). Sử dụng cơ sở hạ tầng khóa công khai(PKI) để ủy quyền cho máy khách và máy chủ (ứng viên và máy chủ RADIUS) thông qua các chứng chỉ do cơ quan chứng nhận đáng tin cậy (CA) cấp. Yêu cầu cấp và cài đặt chứng chỉ ứng dụng khách trên mỗi thiết bị không dây, do đó chỉ phù hợp với môi trường doanh nghiệp được quản lý. Máy chủ chứng chỉ Windows có các phương tiện cho phép máy khách tạo chứng chỉ riêng nếu máy khách là thành viên của một miền. Việc chặn một khách hàng có thể dễ dàng được thực hiện bằng cách thu hồi chứng chỉ của khách hàng đó (hoặc thông qua tài khoản).
- EAP-TTLS(Bảo mật lớp truyền tải đường hầm) tương tự như EAP-TLS, nhưng không yêu cầu chứng chỉ ứng dụng khách khi tạo đường hầm. Trong đường hầm như vậy, tương tự như kết nối SSL của trình duyệt, ủy quyền bổ sung được thực hiện (sử dụng mật khẩu hoặc thứ gì khác).
- PEAP-MSCHAPv2(EAP được bảo vệ) - tương tự như EAP-TTLS về mặt thiết lập ban đầu đường hầm TLS được mã hóa giữa máy khách và máy chủ, yêu cầu chứng chỉ máy chủ. Sau đó, một đường hầm như vậy được cấp phép bằng giao thức MSCHAPv2 nổi tiếng.
- PEAP-GTC(Thẻ Token chung) - tương tự như thẻ trước, nhưng yêu cầu thẻ mật khẩu một lần(và cơ sở hạ tầng liên quan)
Tất cả các phương pháp này (ngoại trừ EAP-FAST) đều yêu cầu chứng chỉ máy chủ (trên máy chủ RADIUS) do cơ quan chứng nhận (CA) cấp. Trong trường hợp này, chứng chỉ CA phải có trên thiết bị của khách hàng trong nhóm đáng tin cậy (điều này dễ thực hiện bằng cách sử dụng chính sách nhóm trên Windows). Ngoài ra, EAP-TLS yêu cầu chứng chỉ ứng dụng khách cá nhân. Việc xác thực ứng dụng khách được thực hiện như sau: chữ ký số, do đó (tùy chọn) bằng cách so sánh chứng chỉ do máy khách cung cấp với máy chủ RADIUS với chứng chỉ mà máy chủ truy xuất từ cơ sở hạ tầng PKI (Active Directory).
Hỗ trợ cho bất kỳ phương pháp EAP nào phải được cung cấp bởi người thay thế phía khách hàng. Windows XP/Vista/7, iOS, Android tích hợp sẵn tiêu chuẩn cung cấp ít nhất EAP-TLS và EAP-MSCHAPv2, điều này làm cho các phương pháp này trở nên phổ biến. Bộ điều hợp máy khách Intel dành cho Windows đi kèm với tiện ích ProSet mở rộng Danh sách có sẵn. Máy khách Cisco AnyConnect cũng làm như vậy.
Nó đáng tin cậy đến mức nào?
Rốt cuộc, kẻ tấn công cần phải làm gì để hack được mạng của bạn?Để xác thực mở, không mã hóa - không có gì. Đã kết nối với mạng và thế là xong. Vì môi trường vô tuyến mở nên tín hiệu truyền theo các mặt khác nhau, chặn nó không phải là điều dễ dàng. Nếu bạn có bộ điều hợp máy khách thích hợp cho phép bạn nghe chương trình phát sóng, lưu lượng mạng có thể nhìn thấy như thể kẻ tấn công đã kết nối với dây, với hub, với cổng SPAN của bộ chuyển mạch.
Mã hóa dựa trên WEP chỉ yêu cầu thời gian IV và một trong nhiều tiện ích quét có sẵn miễn phí.
Đối với mã hóa dựa trên TKIP hoặc AES, về mặt lý thuyết có thể giải mã trực tiếp nhưng trên thực tế chưa có trường hợp nào bị hack.
Tất nhiên, bạn có thể thử đoán khóa PSK hoặc mật khẩu cho một trong các phương pháp EAP. Các cuộc tấn công phổ biến chống lại các phương pháp này không được biết đến. Bạn có thể thử sử dụng các phương pháp kỹ thuật xã hội, hoặc
Để bảo vệ bạn Mạng wifi và đặt mật khẩu, bạn phải chọn loại bảo mật mạng không dây và phương thức mã hóa. Và hơn thế nữa ở giai đoạn này Nhiều người có một câu hỏi: chọn cái nào? WEP, WPA hoặc WPA2? Cá nhân hay doanh nghiệp? AES hay TKIP? Cài đặt bảo mật nào sẽ bảo vệ tốt nhất mạng Wi-Fi của bạn? Tôi sẽ cố gắng trả lời tất cả những câu hỏi này trong khuôn khổ bài viết này. Hãy xem xét mọi thứ phương pháp có thể xác thực và mã hóa. Hãy cùng tìm hiểu thông số bảo mật mạng Wi-Fi nào được thiết lập tốt nhất trong cài đặt bộ định tuyến.
Xin lưu ý rằng loại bảo mật hoặc xác thực, Xác thực mạng, bảo mật, phương thức xác thực - tất cả đều giống nhau.
Loại xác thực và mã hóa là cài đặt bảo mật chính wifi không dây mạng. Tôi nghĩ rằng trước tiên chúng ta cần tìm hiểu xem chúng là gì, có những phiên bản nào, khả năng của chúng, v.v. Sau đó, chúng ta sẽ tìm ra loại bảo vệ và mã hóa để lựa chọn. Tôi sẽ chỉ cho bạn ví dụ về một số bộ định tuyến phổ biến.
Tôi thực sự khuyên bạn nên thiết lập mật khẩu và bảo vệ mạng không dây của mình. Đặt mức độ bảo vệ tối đa. Nếu bạn để mạng mở mà không có biện pháp bảo vệ thì bất kỳ ai cũng có thể kết nối với mạng đó. Điều này chủ yếu là không an toàn. Và tải thêm với bộ định tuyến của bạn, tốc độ kết nối giảm và đủ loại vấn đề khi kết nối các thiết bị khác nhau.
Bảo vệ mạng Wi-Fi: WEP, WPA, WPA2
Có ba lựa chọn bảo vệ. Tất nhiên là không tính "Mở" (Không bảo vệ).
- WEP(Quyền riêng tư tương đương có dây) là một phương thức xác thực lỗi thời và không an toàn. Đây là phương pháp bảo vệ đầu tiên và không mấy thành công. Những kẻ tấn công có thể dễ dàng truy cập vào các mạng không dây được bảo vệ bằng WEP. Không cần thiết phải đặt chế độ này trong cài đặt bộ định tuyến của bạn, mặc dù nó có ở đó (không phải lúc nào cũng vậy).
- WPA(Truy cập Wi-Fi được bảo vệ) – đáng tin cậy và kiểu hiện đại bảo vệ. Khả năng tương thích tối đa với mọi thiết bị và hệ điều hành.
- WPA2– phiên bản WPA mới, cải tiến và đáng tin cậy hơn. Có hỗ trợ mã hóa AES CCMP. Hiện tại, đây là Cách tốt nhất Bảo vệ Wi-Fi mạng. Đây là những gì tôi khuyên bạn nên sử dụng.
WPA/WPA2 có thể có hai loại:
- WPA/WPA2 - Cá nhân (PSK)- Cái này cách thông thường xác thực. Khi bạn chỉ cần đặt mật khẩu (key) rồi sử dụng nó để kết nối với mạng Wi-Fi. Mật khẩu giống nhau được sử dụng cho tất cả các thiết bị. Bản thân mật khẩu được lưu trữ trên thiết bị. Nơi bạn có thể xem nó hoặc thay đổi nó nếu cần thiết. Nên sử dụng tùy chọn này.
- WPA/WPA2 - Doanh nghiệp- hơn phương pháp phức tạp, chủ yếu được sử dụng để bảo vệ mạng không dây trong văn phòng và các cơ sở khác nhau. Cho phép bạn cung cấp thêm cấp độ cao sự bảo vệ. Chỉ được sử dụng khi máy chủ RADIUS được cài đặt để ủy quyền cho thiết bị (cung cấp mật khẩu).
Tôi nghĩ chúng ta đã tìm ra phương pháp xác thực. Tốt nhất nên sử dụng là WPA2 - Personal (PSK). Để tương thích tốt hơn và không gặp vấn đề gì khi kết nối các thiết bị cũ hơn, bạn có thể đặt chế độ hỗn hợp WPA/WPA2. Đây là cài đặt mặc định trên nhiều bộ định tuyến. Hoặc được đánh dấu là "Được đề xuất".
Mã hóa mạng không dây
Có hai cách TKIP Và AES.
Nên sử dụng AES. Nếu bạn có các thiết bị cũ hơn trên mạng không hỗ trợ Mã hóa AES(nhưng chỉ TKIP) và sẽ có vấn đề với kết nối của họ với mạng không dây, sau đó đặt nó thành “Tự động”. Kiểu mã hóa TKIP không được hỗ trợ ở chế độ 802.11n.
Trong mọi trường hợp, nếu bạn cài đặt nghiêm ngặt WPA2 - Cá nhân (được khuyến nghị) thì chỉ có mã hóa AES.
Tôi nên cài đặt biện pháp bảo vệ nào trên bộ định tuyến Wi-Fi của mình?
Sử dụng WPA2 - Cá nhân với mã hóa AES. Cho đến nay, đây là điều tốt nhất và tốt nhất cách thức an toàn. Cài đặt bảo mật mạng không dây trông như thế này: bộ định tuyến ASUS:
Và đây là giao diện của các cài đặt bảo mật này trên các bộ định tuyến của TP-Link (với firmware cũ).
Hơn hướng dẫn chi tiếtđối với TP-Link bạn có thể xem.
Hướng dẫn cho các bộ định tuyến khác:
Nếu bạn không biết tìm tất cả các cài đặt này ở đâu trên bộ định tuyến của mình, hãy viết bình luận, tôi sẽ cố gắng nói cho bạn biết. Chỉ cần đừng quên chỉ định mô hình.
Vì các thiết bị cũ hơn WPA2 - Personal (AES) ( Bộ điều hợp Wi-Fi, điện thoại, máy tính bảng, v.v.) có thể không hỗ trợ, khi đó trong trường hợp có vấn đề về kết nối, hãy đặt chế độ hỗn hợp (Tự động).
Tôi thường nhận thấy rằng sau khi thay đổi mật khẩu hoặc các cài đặt bảo mật khác, các thiết bị không muốn kết nối mạng. Máy tính có thể nhận được lỗi "Cài đặt mạng được lưu trên máy tính này không đáp ứng được yêu cầu của mạng này". Hãy thử xóa (quên) mạng trên thiết bị và kết nối lại. Tôi đã viết cách thực hiện việc này trên Windows 7. Nhưng trong Windows 10 bạn cần .
Mật khẩu (khóa) WPA PSK
Dù bạn chọn loại phương thức bảo mật và mã hóa nào, bạn đều phải đặt mật khẩu. Anh ấy cũng vậy khóa WPA, Mật khẩu không dây, Khóa bảo mật mạng Wi-Fi, v.v.
Độ dài mật khẩu từ 8 đến 32 ký tự. Bạn có thể sử dụng các chữ cái trong bảng chữ cái Latinh và số. Cũng dấu hiệu đặc biệt: - @$ # ! v.v. Không có khoảng trắng! Mật khẩu là trường hợp nhạy cảm! Điều này có nghĩa là "z" và "Z" là các ký tự khác nhau.
Tôi không khuyên bạn nên đặt mật khẩu đơn giản. Tốt hơn là tạo ra mật khẩu mạnh, mà không ai có thể nhặt được, ngay cả khi họ cố gắng hết sức.
Bạn khó có thể nhớ được một mật khẩu phức tạp như vậy. Sẽ thật tuyệt nếu viết nó ra ở đâu đó. Không có gì lạ khi mật khẩu Wi-Fi bị quên. Tôi đã viết trong bài viết phải làm gì trong những tình huống như vậy: .
Nếu bạn cần bảo mật hơn nữa, bạn có thể sử dụng liên kết địa chỉ MAC. Đúng, tôi không thấy cần thiết phải làm điều này. WPA2 - Cá nhân được ghép nối với AES và mật khẩu phức tạp- khá đủ.
Làm thế nào để bạn bảo vệ mạng Wi-Fi của bạn? Viết trong các ý kiến. Ờ, đặt câu hỏi đi :)
Mã hóa Wi-Fi - chọn giao thức nào?
tôi đã mua cho mình bộ định tuyến mới và quyết định tự mình thiết lập nó. Mọi thứ đã được thiết lập - Internet và mạng không dây đang hoạt động. Một câu hỏi được đặt ra là vì sóng vô tuyến (trong trường hợp của tôi là Wi-Fi) không chỉ lan truyền trong căn hộ của tôi. Theo đó, họ có thể bị chặn. Về lý thuyết. Bộ định tuyến có cài đặt mã hóa mạng không dây. Tôi cho rằng chính xác là loại trừ việc đánh chặn và “nghe lén”. Câu hỏi là, tôi nên chọn giao thức mã hóa nào có sẵn trong bộ định tuyến của mình? Có sẵn: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Tôi nên sử dụng mã hóa Wi-Fi nào trong trường hợp của mình?
norik | Ngày 16 tháng 2 năm 2015, 10:14
Tôi sẽ bỏ qua phần mô tả về mọi giao thức lỗi thời Mã hóa Wi-Fi. Vì vậy, tôi sẽ chỉ mô tả những thứ có ý nghĩa để sử dụng. Nếu giao thức không được mô tả ở đây thì có thể nó là giao thức lạ hoặc bạn không cần nó.
WPA và WPA2 (Truy cập được bảo vệ Wi-Fi) - có sẵn trên tất cả các bộ định tuyến. Giao thức phổ biến và rộng rãi nhất. Nó cũng là một trong những hiện đại nhất. IMHO - sự lựa chọn tốt nhất cho nhà và văn phòng nhỏ. Tuy nhiên, nó cũng khá phù hợp với các văn phòng lớn, ngoại trừ việc nó khiến việc ủy quyền trở nên phức tạp hơn. Độ dài mật khẩu của nó lên tới 63 byte nên nếu bạn bẻ khóa bằng cách đoán, bạn có thể chuyển sang màu xám sớm hơn. Tất nhiên, bạn cần chọn WPA2 nếu nó được hỗ trợ bởi tất cả các thiết bị trên mạng (chỉ những thiết bị rất cũ mới không hiểu được).
Điều thực sự có giá trị là những gì bên trong của dịch vụ này Nhiều thuật toán mã hóa có thể được sử dụng. Trong số đó: 1. TKIP - Tôi không khuyến khích điều đó vì rất có thể tìm thấy lỗ hổng.
2. CCMP - tốt hơn nhiều.
3. AES - Tôi thích nó nhất, nhưng nó không được hỗ trợ bởi tất cả các thiết bị, mặc dù nó được bao gồm trong thông số kỹ thuật WPA2.
WPA2 cũng cung cấp hai chế độ xác thực ban đầu. Các chế độ này là PSK và Enterprise. WPA Personal, còn được gọi là WPA PSK, có nghĩa là tất cả người dùng sẽ đăng nhập vào mạng không dây bằng một mật khẩu duy nhất được nhập ở phía máy khách tại thời điểm kết nối với mạng. Tuyệt vời cho gia đình, nhưng có vấn đề cho một văn phòng lớn. Sẽ rất khó để thay đổi mật khẩu cho mọi người mỗi khi có nhân viên khác biết mà bỏ việc.
WPA Enterprise yêu cầu một máy chủ riêng biệt với một bộ khóa. Đối với một ngôi nhà hoặc văn phòng có 6 máy thì điều này thật cồng kềnh, nhưng nếu có 3 tá máy trong văn phòng các thiết bị không dây, sau đó bạn có thể chăm sóc.
Trên thực tế, điều này hiện đã làm cạn kiệt sự lựa chọn mã hóa Wi-Fi. Các giao thức còn lại hoàn toàn không có mã hóa hoặc mật khẩu hoặc có lỗ hổng trong thuật toán mà chỉ những người lười biếng mới không thể xâm nhập. Tôi khuyên dùng kết hợp WPA2 Personal AES để sử dụng tại nhà. Dành cho văn phòng lớn - WPA2 Enterprise AES. Nếu không có AES thì bạn có thể sử dụng TKIP, nhưng khả năng các gói được đọc vẫn còn bởi một người ngoài cuộc. Có ý kiến cho rằng WPA2 TKIP chưa bao giờ bị hack, không giống như WPA TKIP, nhưng nó đã được bảo vệ...
Hôm nay chúng ta sẽ tìm hiểu sâu hơn một chút về chủ đề bảo vệ. kết nối không dây. Chúng ta hãy tìm hiểu xem nó là gì - nó còn được gọi là "xác thực" - và nên chọn cái nào tốt hơn. Chắc hẳn bạn đã từng gặp những từ viết tắt như WEP, WPA, WPA2, WPA2/PSK. Và cũng có một số loại của họ - Cá nhân hoặc Doanh nghiệp và TKIP hoặc AES. Chà, chúng ta hãy xem xét kỹ hơn tất cả chúng và tìm ra loại mã hóa nào nên chọn để đảm bảo tốc độ tối đa mà không làm giảm tốc độ.
Tôi lưu ý rằng để bảo vệ bạn Mật khẩu mạng wifi cần thiết, bất kể bạn chọn loại mã hóa nào. Thậm chí nhiều nhất xác thực đơn giảnĐiều này sẽ giúp tránh được một số vấn đề nghiêm trọng trong tương lai.
Tại sao tôi nói điều này? Thực tế không phải là việc kết nối nhiều máy khách sai sẽ làm chậm mạng của bạn—đó mới chỉ là bước khởi đầu. Lý do chính Vấn đề là nếu mạng của bạn không được bảo vệ bằng mật khẩu, thì kẻ tấn công có thể tham gia vào mạng và thực hiện các hành động bất hợp pháp từ bên dưới bộ định tuyến của bạn, và sau đó bạn sẽ phải trả lời cho hành động của hắn, vì vậy hãy hết sức nghiêm túc bảo vệ wifi.
Các loại xác thực và mã hóa dữ liệu WiFi
Vì vậy, chúng tôi tin chắc về sự cần thiết phải mã hóa mạng wifi, bây giờ hãy xem có những loại nào:
Bảo vệ wifi WEP là gì?
WEP(Quyền riêng tư tương đương có dây) là tiêu chuẩn đầu tiên xuất hiện, nhưng độ tin cậy của nó không còn đáp ứng được các yêu cầu hiện đại. Tất cả các chương trình được cấu hình để hack mạng phương pháp wifi việc liệt kê ký tự chủ yếu nhằm mục đích chọn khóa mã hóa WEP.
Khóa hoặc mật khẩu WPA là gì?
WPA(Truy cập được bảo vệ Wi-Fi) là một tiêu chuẩn xác thực hiện đại hơn cho phép bạn bảo vệ một cách đáng tin cậy mạng nội bộ và Internet khỏi sự xâm nhập bất hợp pháp.
WPA2-PSK - Cá nhân hay Doanh nghiệp là gì?
WPA2- Phiên bản cải tiến loại trước. Việc bẻ khóa WPA2 gần như là không thể, nó cung cấp mức độ tối đa bảo mật, vì vậy trong các bài viết của mình, tôi luôn nói mà không cần giải thích rằng bạn cần cài đặt nó - bây giờ bạn đã biết tại sao.
Tiêu chuẩn Bảo vệ Wi-Fi WPA2 và WPA có thêm hai loại:
- Riêng tư, được ký hiệu là WPA/PSK hoặc WPA2/PSK. Loại này được sử dụng rộng rãi và tối ưu nhất trong hầu hết các trường hợp - cả ở nhà và văn phòng. Trong WPA2/PSK, chúng tôi đặt mật khẩu gồm ít nhất 8 ký tự, mật khẩu này được lưu trong bộ nhớ của thiết bị mà chúng tôi kết nối với bộ định tuyến.
- Doanh nghiệp- một cấu hình phức tạp hơn yêu cầu bật chức năng RADIUS trên bộ định tuyến. Nó hoạt động theo nguyên tắc, tức là một mật khẩu riêng được gán cho từng tiện ích được kết nối riêng lẻ.
Các loại mã hóa WPA - TKIP hoặc AES?
Vì vậy, chúng tôi đã quyết định rằng WPA2/PSK (Cá nhân) là lựa chọn tốt nhất để bảo mật mạng nhưng nó có thêm hai loại mã hóa dữ liệu để xác thực.
- TKIP- ngày nay đây là loại đã lỗi thời, nhưng nó vẫn được sử dụng rộng rãi, vì nhiều thiết bị trong một số năm nhất định chỉ hỗ trợ nó. Không hoạt động với công nghệ WPA2/PSK và không hỗ trợ WiFi 802.11n.
- AES- cái cuối cùng vào lúc này và nhiều nhất loại đáng tin cậy Mã hóa Wi-Fi.
Tôi nên chọn loại mã hóa nào và cài đặt khóa WPA trên bộ định tuyến WiFi của mình?
Chúng tôi đã sắp xếp lý thuyết - hãy chuyển sang thực hành. Do các tiêu chuẩn WiFi 802.11 “B” và “G” tốc độ tối đa lên tới 54 Mbit/s, lâu rồi không ai sử dụng - ngày nay tiêu chuẩn là 802.11 “N” hoặc “AC”, hỗ trợ tốc độ lên tới 300 Mbit/s trở lên, thì chẳng ích gì khi xem xét tùy chọn sử dụng bảo vệ WPA/PSK với loại mã hóa TKIP. Vì vậy, khi thiết lập mạng không dây, hãy đặt nó ở chế độ mặc định
WPA2/PSK - AES
Hoặc, phương sách cuối cùng, chỉ định “Tự động” làm loại mã hóa để đảm bảo rằng bạn vẫn kết nối các thiết bị có phiên bản lỗi thời. mô-đun WiFi.
Trong trường hợp này, khóa WPA hay nói một cách đơn giản là mật khẩu kết nối mạng phải có từ 8 đến 32 ký tự, bao gồm chữ thường tiếng Anh và chữ in hoa, cũng như các ký tự đặc biệt khác nhau.
Bảo mật không dây trên bộ định tuyến TP-Link của bạn
Các ảnh chụp màn hình ở trên hiển thị bảng điều khiển của một thiết bị hiện đại Bộ định tuyến TP-Link V. phiên bản mới phần sụn. Thiết lập mã hóa mạng ở đây nằm trong phần " Cài đặt thêm — Chế độ không dây».
Ở phiên bản “xanh” cũ, các cấu hình mạng WiFi mà chúng ta quan tâm nằm ở phần “ Chế độ không dây - Bảo mật". Nếu bạn làm mọi thứ như trong hình thì sẽ rất tuyệt!
Nếu bạn để ý, cũng có một mục như “Thời gian cập nhật khóa nhóm WPA”. Thực tế là để mang lại sự bảo vệ tốt hơn, thực tế chìa khóa kỹ thuật số WPA để mã hóa kết nối thay đổi linh hoạt. Ở đây bạn đặt giá trị tính bằng giây sau đó thay đổi xảy ra. Tôi khuyên bạn không nên chạm vào nó và để nó ở chế độ mặc định - trong mô hình khác nhau Khoảng thời gian cập nhật là khác nhau.
Phương thức xác thực trên bộ định tuyến ASUS
Trên bộ định tuyến ASUS mọi thứ cài đặt Wi-Fi nằm trên một trang “Mạng không dây”
Bảo vệ mạng thông qua bộ định tuyến Zyxel Keenetic
Tương tự như vậy đối với Zyxel Keenetic- chương " Mạng wifi- Điểm truy cập"
Trong các bộ định tuyến Keenetic không có tiền tố “Zyxel”, loại mã hóa có thể được thay đổi trong phần “ mạng trong nhà».
Thiết lập bảo mật bộ định tuyến D-Link
Trên D-Link chúng ta tìm phần “ Wi-Fi - Bảo mật»
Chà, hôm nay chúng ta đã hiểu các loại mã hóa WiFi và các thuật ngữ như WEP, WPA, WPA2-PSK, TKIP và AES và biết nên chọn loại nào tốt hơn. Đọc thêm về các tùy chọn bảo mật mạng khác trong một trong những bài viết trước của tôi, trong đó tôi nói về địa chỉ MAC và IP cũng như các phương pháp bảo mật khác.
Video hướng dẫn cài đặt loại mã hóa trên bộ định tuyến
Không còn nghi ngờ gì nữa, nhiều người dùng máy tính làm việc với Internet (và không chỉ) đã nghe nói đến thuật ngữ AES. Đây là loại hệ thống gì, nó sử dụng thuật toán gì và nó được sử dụng để làm gì, một nhóm người khá hạn chế có bất kỳ ý tưởng nào. Đối với người dùng bình thường thì đây là nhìn chung không cần biết. Tuy nhiên, hãy xem xét điều này hệ thống mật mã, mà không đi sâu vào sự phức tạp Tính toán toán học và công thức để bất cứ ai cũng có thể hiểu được.
Mã hóa AES là gì?
Hãy bắt đầu với thực tế rằng bản thân hệ thống là một tập hợp các thuật toán giúp ẩn hình thức ban đầu của một số dữ liệu được người dùng truyền, nhận hoặc lưu trữ trên máy tính. Thông thường nó được sử dụng trong các công nghệ Internet, khi cần đảm bảo bí mật thông tin hoàn toàn và đề cập đến cái gọi là thuật toán mã hóa đối xứng.
Loại mã hóa AES liên quan đến việc sử dụng cùng một khóa, được cả bên gửi và bên nhận biết, để chuyển đổi thông tin thành dạng bảo mật và giải mã ngược, trái ngược với mã hóa đối xứng, bao gồm việc sử dụng hai khóa - riêng tư và công cộng. Như vậy, có thể dễ dàng kết luận rằng nếu cả hai bên đều biết đúng khóa thì quá trình mã hóa và giải mã khá đơn giản.
Một ít lịch sử
Mã hóa AES được đề cập lần đầu tiên vào năm 2000, khi thuật toán Rijndael giành chiến thắng trong cuộc cạnh tranh để chọn ra người kế nhiệm cho hệ thống DES, vốn đã trở thành tiêu chuẩn ở Hoa Kỳ kể từ năm 1977.
Năm 2001, hệ thống AES được chính thức áp dụng làm tiêu chuẩn mã hóa dữ liệu liên bang mới và kể từ đó được sử dụng ở mọi nơi.
Các loại mã hóa AES
Nó bao gồm một số giai đoạn trung gian, chủ yếu liên quan đến việc tăng độ dài của khóa. Ngày nay có ba loại chính: mã hóa AES-128, AES-192 và AES-256.
Tên nói cho chính nó. Ký hiệu kỹ thuật số tương ứng với độ dài của khóa được sử dụng, được biểu thị bằng bit. Ngoài ra, mã hóa AES là loại khối hoạt động trực tiếp với các khối thông tin có độ dài cố định, mã hóa từng khối, trái ngược với các thuật toán luồng hoạt động trên các ký tự đơn mở tin nhắn, chuyển đổi chúng thành dạng mã hóa. Trong AES, độ dài khối là 128 bit.
Theo thuật ngữ khoa học, các thuật toán tương tự mà mã hóa AES-256 sử dụng ngụ ý các hoạt động dựa trên biểu diễn đa thức của các hoạt động và mã trong quá trình xử lý. mảng hai chiều(ma trận).
Làm thế nào nó hoạt động?
Thuật toán vận hành khá phức tạp nhưng bao gồm việc sử dụng một số yếu tố cơ bản. Ban đầu, ma trận hai chiều, các chu trình biến đổi (vòng), khóa tròn, bảng thay thế ban đầu và bảng thay thế ngược được sử dụng.
Quá trình mã hóa dữ liệu bao gồm một số giai đoạn:
- tính toán tất cả các phím tròn;
- thay thế byte bằng bảng S-Box chính;
- thay đổi hình dạng bằng cách sử dụng các đại lượng khác nhau (xem hình trên);
- trộn dữ liệu trong từng cột của ma trận (biểu mẫu);
- phép cộng dạng và phím tròn.
Việc giải mã được thực hiện trong thứ tự ngược lại, nhưng thay vì bảng S-Box, bảng cài đặt ngược đã được đề cập ở trên sẽ được sử dụng.
Để đưa ra một ví dụ, nếu bạn có khóa 4 bit, việc tìm kiếm sẽ chỉ yêu cầu 16 giai đoạn (vòng), nghĩa là bạn cần kiểm tra tất cả các kết hợp có thể có, bắt đầu bằng 0000 và kết thúc bằng 1111. Đương nhiên, việc bảo vệ như vậy có thể nứt khá nhanh. Nhưng nếu chúng ta lấy các khóa lớn hơn, 16 bit sẽ yêu cầu 65.536 giai đoạn và 256 bit sẽ yêu cầu 1,1 x 10 77. Và theo nhận định của các chuyên gia Mỹ, sẽ mất khoảng 149 nghìn tỷ năm để chọn ra tổ hợp (chìa khóa) chính xác.
Sử dụng gì trong thực tế khi thiết lập mạng: mã hóa AES hay TKIP?
Bây giờ chúng ta hãy chuyển sang sử dụng AES-256 khi mã hóa dữ liệu được truyền và nhận trong mạng không dây.
Theo quy định, trong bất kỳ tham số nào cũng có một số tham số để bạn lựa chọn: chỉ AES, chỉ TKIP và AES+TKIP. Chúng được áp dụng tùy thuộc vào giao thức (WEP hoặc WEP2). Nhưng! TKIP là hệ thống cũ vì nó kém an toàn hơn và không hỗ trợ kết nối 802.11n với tốc độ dữ liệu lớn hơn 54 Mbps. Do đó, kết luận về việc ưu tiên sử dụng AES cùng với chế độ bảo mật WPA2-PSK đã gợi ý chính nó, mặc dù cả hai thuật toán đều có thể được sử dụng theo cặp.
Các vấn đề về độ tin cậy và bảo mật của thuật toán AES
Cho dù tuyên bố ồn ào chuyên gia, thuật toán AES về mặt lý thuyết vẫn dễ bị tổn thương, vì bản chất của mã hóa có mô tả đại số đơn giản. Điều này đã được Nils Fergusson ghi nhận. Và vào năm 2002, Josef Pieprzyk và Nicolas Courtois đã xuất bản một bài báo chứng minh một cuộc tấn công XSL tiềm tàng. Đúng là nó đã gây ra rất nhiều tranh cãi trong giới khoa học và một số người cho rằng tính toán của họ là sai lầm.
Năm 2005, có ý kiến cho rằng cuộc tấn công có thể sử dụng các kênh của bên thứ ba chứ không chỉ các phép tính toán học. Hơn nữa, một trong các cuộc tấn công đã tính toán được chìa khóa sau 800 thao tác, và cuộc tấn công còn lại lấy được chìa khóa sau 2 32 thao tác (ở vòng thứ tám).
Không còn nghi ngờ gì nữa, ngày nay hệ thống này có thể được coi là một trong những hệ thống tiên tiến nhất, nếu không muốn nói là vì một điều. Cách đây vài năm, một làn sóng tràn qua Internet virus tấn công, trong đó một loại virus mã hóa (và cả ransomware), xâm nhập vào máy tính, mã hóa hoàn toàn dữ liệu, yêu cầu một khoản tiền kha khá để giải mã. Đồng thời, thông báo lưu ý rằng quá trình mã hóa được thực hiện bằng thuật toán AES1024, thuật toán này cho đến gần đây vẫn được cho là không tồn tại trong tự nhiên.
Cho dù điều này có đúng hay không thì ngay cả những nhà phát triển phần mềm chống vi-rút nổi tiếng nhất, bao gồm cả Kaspersky Lab, cũng bất lực khi cố gắng giải mã dữ liệu. Nhiều chuyên gia thừa nhận rằng kẻ khét tiếng đã từng tấn công hàng triệu máy tính trên khắp thế giới và phá hủy chúng Thông tin quan trọng, so với lời đe dọa này hóa ra chỉ là lời nói trẻ con. Ngoài ra, I Love You còn nhắm đến các tập tin đa phương tiện nhiều hơn và vi-rút mớiđã có quyền truy cập độc quyền vào thông tin bí mật các tập đoàn lớn. Tuy nhiên, không ai có thể nói rõ rằng mã hóa AES-1024 đã được sử dụng ở đây.
Phần kết luận
Tóm lại, trong mọi trường hợp, chúng ta có thể nói rằng mã hóa AES là loại mã hóa tiên tiến và an toàn nhất cho đến nay, bất kể độ dài khóa được sử dụng là bao nhiêu. Không có gì đáng ngạc nhiên khi tiêu chuẩn cụ thể này được sử dụng trong hầu hết các hệ thống mật mã và có triển vọng phát triển và cải tiến khá rộng rãi trong tương lai gần, đặc biệt vì nó có thể rất có khả năng kết hợp nhiều loại mã hóa thành một tổng thể (ví dụ: sử dụng song songđối xứng và bất đối xứng hoặc mã hóa khối và luồng).
