Mã hóa wpa2 hiện diện của cổng lan. Bảo mật trong mạng WiFi. Mã hóa WEP, WPA, WPA2. Cách hoạt động của tính năng bảo vệ WiFi

Thể hiện mạng có dây ngày càng trở nên dễ tiếp cận hơn. Và cùng với sự phát triển công nghệ điện thoại di động trở thành Vấn đề cụ thể cách sử dụng mạng gia đình trên mỗi thiết bị. Bộ định tuyến Wi-Fi phục vụ mục đích này; kết nối không dây Internet giữa những người dùng khác nhau.

Cần đặc biệt chú ý đến tính bảo mật của mạng của bạn.

Khi mua, bạn chỉ cần cấu hình nó trong lần bật đầu tiên. Một đĩa có tiện ích cấu hình được cung cấp cùng với bộ định tuyến. Nó làm cho việc thiết lập mạng gia đình của bạn dễ dàng như việc bóc vỏ quả lê. Nhưng tuy nhiên, người dùng thiếu kinh nghiệm Các vấn đề thường phát sinh ở giai đoạn cài đặt bảo mật mạng. Hệ thống sẽ nhắc bạn chọn phương thức xác thực và có ít nhất bốn tùy chọn để bạn lựa chọn. Mỗi người trong số họ đều có những ưu điểm và nhược điểm nhất định, và nếu muốn bảo vệ bản thân khỏi hành động của những kẻ tấn công, bạn nên chọn phương án đáng tin cậy nhất. Đây chính là nội dung bài viết của chúng tôi.

Phương thức xác thực

Hầu hết các mẫu bộ định tuyến gia đình đều hỗ trợ các phương thức xác thực mạng sau: không mã hóa, WEP, WPA/WPA2-Enterprise, WPA/WPA2-Personal (WPA/WPA2-PSK). Ba cái cuối cùng cũng có một số thuật toán mã hóa. Chúng ta hãy xem xét kỹ hơn.

Thiếu sự bảo vệ

Phương pháp này nói lên điều đó. Kết nối hoàn toàn mở, hoàn toàn ai cũng có thể kết nối được. Thông thường phương pháp này được sử dụng trong Ở những nơi công cộng, nhưng tốt hơn hết là không nên sử dụng nó ở nhà. Điều tối thiểu mà điều này đe dọa bạn là hàng xóm của bạn sẽ chiếm kênh của bạn khi được kết nối và đơn giản là bạn sẽ không thể nhận được tốc độ tối đa theo ý kiến ​​của bạn Kế hoạch thuế quan. Trong trường hợp xấu nhất, kẻ tấn công có thể sử dụng điều này cho mục đích riêng của chúng, đánh cắp dữ liệu của bạn. thông tin bí mật hoặc thực hiện các hành vi trái pháp luật khác. Tuy bạn không cần phải nhớ mật khẩu nhưng phải thừa nhận rằng, đây là một lợi thế khá đáng ngờ.

WEP

Khi sử dụng phương thức xác thực mạng này thông tin được truyền điđược bảo vệ bằng chìa khoá bí mật. Loại bảo vệ là " Hệ thống mở" và "Khóa chia sẻ". Trong trường hợp đầu tiên, việc nhận dạng xảy ra do lọc theo địa chỉ MAC mà không sử dụng khóa bổ sung. Trên thực tế, khả năng bảo vệ là tối thiểu nhất và do đó không an toàn. Trong lần thứ hai bạn phải nghĩ ra mã bí mật, sẽ được sử dụng làm khóa bảo mật. Nó có thể là 64, 128 của 152 bit. Hệ thống sẽ cho bạn biết mã sẽ dài bao nhiêu, tùy thuộc vào mã hóa của nó - thập lục phân hoặc ASCII. Bạn có thể đặt một số mã như vậy. Độ tin cậy của việc bảo vệ là tương đối và từ lâu đã bị coi là lỗi thời.

WPA/WPA2 – Doanh nghiệp và WPA/WPA2-Cá nhân

Rất phương pháp đáng tin cậy xác thực mạng, trong trường hợp đầu tiên, nó được sử dụng trong các doanh nghiệp, trong trường hợp thứ hai - ở nhà và trong văn phòng nhỏ. Sự khác biệt giữa chúng là ở chỗ phiên bản gia đình một khóa vĩnh viễn được sử dụng, khóa này được cấu hình tại điểm truy cập. Cùng với thuật toán mã hóa và SSID kết nối tạo thành một kết nối an toàn. Để có quyền truy cập vào mạng như vậy, bạn cần biết mật khẩu. Vì vậy, nếu nó đáng tin cậy và bạn không tiết lộ nó cho bất kỳ ai thì đây là một lựa chọn lý tưởng cho một căn hộ hoặc một ngôi nhà. Ngoài ra, hầu hết tất cả các nhà sản xuất đều đánh dấu nó là khuyến nghị.

Trong trường hợp thứ hai, một khóa động được sử dụng và mỗi người dùng được chỉ định một khóa riêng lẻ. Không có ích gì khi bận tâm đến vấn đề này ở nhà, vì vậy nó chỉ được sử dụng trong các doanh nghiệp lớn, nơi việc bảo mật dữ liệu của công ty là rất quan trọng.

Độ tin cậy bổ sung cũng phụ thuộc vào thuật toán mã hóa. Có hai trong số đó: AES và TKIP. Tốt hơn nên sử dụng cái đầu tiên, vì cái sau là một dẫn xuất của WEP và đã được chứng minh là thất bại.

Cách thay đổi phương thức xác thực Wi-Fi

Nếu trước đây bạn đã định cấu hình xác thực kết nối của mình nhưng không chắc chắn về lựa chọn của mình phương pháp đúng, hãy chắc chắn kiểm tra nó ngay bây giờ. Đi tới cài đặt bộ định tuyến bằng cách nhập địa chỉ IP, thông tin đăng nhập và mật khẩu của nó vào trình duyệt (bạn có thể đọc thêm trong bài viết Địa chỉ IP của bộ định tuyến trên trang web của chúng tôi). Bạn cần chuyển đến tab cài đặt bảo mật mạng. TRONG mô hình khác nhau bộ định tuyến, nó có thể được định vị khác nhau. Sau đó chọn phương thức xác thực mạng, đưa ra mật khẩu mạnh, nhấp vào "Lưu" và khởi động lại bộ định tuyến. Đừng quên kết nối lại với mạng từ tất cả các thiết bị.

Phần kết luận

Chúng tôi hy vọng bạn thấy thông tin này hữu ích. Đừng bỏ qua cài đặt bảo mật Wi-Fi. Đừng để nó mở mà hãy chọn phương thức xác thực được đề xuất và thuật toán đúng mã hóa.

Bạn đang sử dụng phương pháp bảo mật kết nối nào? Chia sẻ với chúng tôi trong các ý kiến.

TKIP và AES là hai loại thay thế mã hóa được sử dụng trong chế độ bảo mật WPA và WPA2. Trong cài đặt bảo mật mạng không dây trong bộ định tuyến và điểm truy cập, bạn có thể chọn một trong các ba lựa chọn mã hóa:

• TKIP;
• TKIP+AES.

Nếu bạn chọn tùy chọn thứ hai (kết hợp), máy khách sẽ có thể kết nối với điểm truy cập bằng một trong hai thuật toán.

TKIP hay AES? Cái gì tốt hơn?

Trả lời: cho thiết bị hiện đại, thuật toán AES chắc chắn phù hợp hơn.

Chỉ sử dụng TKIP nếu bạn gặp khó khăn khi chọn cái đầu tiên (đôi khi điều đó xảy ra khi sử dụng Mã hóa AES Kết nối với điểm truy cập bị gián đoạn hoặc hoàn toàn không được thiết lập. Điều này thường được gọi là không tương thích phần cứng).

Sự khác biệt là gì

AES là một thuật toán hiện đại và an toàn hơn. Nó tương thích với chuẩn 802.11n và cung cấp tốc độ cao truyền dữ liệu.

TKIP không còn được dùng nữa. Anh ấy có nhiều hơn cấp thấp bảo mật và hỗ trợ tốc độ truyền dữ liệu lên tới 54 Mbit/s.

Cách chuyển từ TKIP sang AES

Trường hợp 1. Điểm truy cập hoạt động ở chế độ TKIP+AES

Trong trường hợp này, bạn chỉ cần thay đổi kiểu mã hóa trên thiết bị khách. Cách dễ nhất để thực hiện việc này là xóa cấu hình mạng và kết nối lại.

Trường hợp 2: Access point chỉ sử dụng TKIP

Trong trường hợp này:

1. Đầu tiên, hãy chuyển đến giao diện web của điểm truy cập (hoặc bộ định tuyến tương ứng). Thay đổi mã hóa thành AES và lưu cài đặt (đọc thêm bên dưới).

2. Thay đổi mã hóa trên thiết bị khách (chi tiết hơn trong đoạn tiếp theo). Và một lần nữa, việc quên mạng và kết nối lại với mạng sẽ dễ dàng hơn bằng cách nhập khóa bảo mật.

Kích hoạt mã hóa AES trên bộ định tuyến

Sử dụng D-Link làm ví dụ

Đi đến phần Cài đặt wireless.

Nhấn vào nút Thiết lập kết nối không dây thủ công.

Đặt chế độ bảo mật WPA2-PSK.

Tìm một mục loại mật mã và đặt giá trị AES.

Nhấp chuột Lưu các thiết lập.

Lấy TP-Link làm ví dụ

Phần mở Không dây.

Chọn một mục Bảo mật không dây.

Trong lĩnh vực Phiên bản lựa chọn WPA2-PSK.

Trong lĩnh vực Mã hóa lựa chọn AES.

Nhấn vào nút Cứu:

Thay đổi loại mã hóa không dây trong Windows

Windows 10 và Windows 8.1

Các phiên bản hệ điều hành này không có tệp . Do đó, có ba tùy chọn để thay đổi mã hóa.

Lựa chọn 1. Bản thân Windows sẽ phát hiện sự không khớp trong cài đặt mạng và nhắc bạn nhập lại khóa bảo mật. Trong trường hợp này, thuật toán mã hóa chính xác sẽ được cài đặt tự động.

Lựa chọn 2. Windows sẽ không thể kết nối và sẽ đề nghị quên mạng bằng cách hiển thị nút tương ứng:

Sau này, bạn sẽ có thể kết nối với mạng của mình mà không gặp vấn đề gì, bởi vì... hồ sơ của cô ấy sẽ bị xóa.

Tùy chọn 3. Bạn sẽ phải xóa cấu hình mạng theo cách thủ công thông qua dòng lệnh và chỉ sau đó kết nối lại với mạng.

Thực hiện theo các bước sau:

1 Khởi chạy dấu nhắc lệnh.

2 Nhập lệnh:

Netsh chương trình wlan hồ sơ

để hiển thị danh sách các cấu hình mạng không dây đã lưu.

3 Bây giờ nhập lệnh:

Netsh wlan xóa hồ sơ "tên mạng của bạn"

để xóa hồ sơ đã chọn.

Nếu tên mạng có chứa khoảng trắng (ví dụ: "wifi 2"), đặt nó trong dấu ngoặc kép.

Hình ảnh hiển thị tất cả các hành động được mô tả:

4 Bây giờ hãy nhấp vào biểu tượng mạng không dây trên thanh tác vụ:

5 Chọn một mạng.

6 Nhấp chuột Kết nối:

7 Nhập khóa bảo mật của bạn.

Windows 7

Mọi thứ ở đây đơn giản và rõ ràng hơn.

1 Nhấp vào biểu tượng mạng không dây trên thanh tác vụ.

3 Nhấp vào liên kết Quản lý mạng không dây:

4 Nhấp chuột click chuột phải chuột vào hồ sơ của mạng mong muốn.

5 Chọn Của cải:

Chú ý! Ở bước này bạn cũng có thể nhấp vào Xóa mạng và chỉ cần kết nối lại với nó! Nếu bạn quyết định làm điều này, bạn không cần phải đọc thêm nữa.

6 Đi tới tab Sự an toàn.

Với sự phát triển của mạng không dây, các giao thức mã hóa WPA và WPA2 đã được hầu hết chủ sở hữu thiết bị kết nối với Wi-Fi biết đến. Chúng được chỉ định trong thuộc tính kết nối và sự chú ý của hầu hết người dùng không quản trị viên hệ thống, thu hút tối thiểu. Chỉ cần biết rằng WPA2 là một sự phát triển của WPA là đủ, và do đó WPA2 mới hơn và phù hợp hơn với các mạng hiện đại.

WPA là một giao thức mã hóa được thiết kế để bảo vệ các mạng không dây theo tiêu chuẩn IEEE 802.11, được Wi-Fi Alliance phát triển vào năm 2003 nhằm thay thế cho giao thức WEP lỗi thời và không an toàn.
WPA2- một giao thức mã hóa là sự phát triển cải tiến của WPA, được Wi-Fi Alliance giới thiệu vào năm 2004.

Sự khác biệt giữa WPA và WPA2

Việc tìm ra sự khác biệt giữa WPA và WPA2 không phù hợp với hầu hết người dùng, vì tất cả bảo mật mạng không dây đều phụ thuộc vào sự lựa chọn ít nhiều mật khẩu phức tạpđể truy cập. Ngày nay tình hình là tất cả các thiết bị hoạt động trong Mạng Wi-Fi, được yêu cầu hỗ trợ WPA2, do đó việc lựa chọn WPA chỉ có thể được xác định bởi tình huống không chuẩn. Ví dụ, hệ điều hành Windows XP SP3 cũ hơn không hỗ trợ WPA2 mà không áp dụng các bản vá, vì vậy các máy và thiết bị được quản lý bởi các hệ thống đó cần có sự quan tâm của quản trị viên mạng. Thậm chí một số điện thoại thông minh hiện đại có thể không hỗ trợ giao thức mã hóa mới, điều này chủ yếu áp dụng cho các thiết bị châu Á không có thương hiệu. Mặt khác, một số Phiên bản Windows cũ hơn XP không hỗ trợ WPA2 ở cấp đối tượng chính sách nhóm, vì vậy trong trường hợp này họ yêu cầu nhiều hơn tinh chỉnh kết nối mạng.
Sự khác biệt về mặt kỹ thuật giữa WPA và WPA2 là công nghệ mã hóa, đặc biệt là các giao thức được sử dụng. WPA sử dụng giao thức TKIP, WPA2 sử dụng giao thức AES. Trong thực tế, điều này có nghĩa là WPA2 hiện đại hơn sẽ cung cấp mức độ bảo mật mạng cao hơn. Ví dụ: giao thức TKIP cho phép bạn tạo khóa xác thực có kích thước lên tới 128 bit, AES - tối đa 256 bit.

TheDifference.ru xác định sự khác biệt giữa WPA2 và WPA như sau:

WPA2 là một cải tiến so với WPA.
WPA2 sử dụng giao thức AES, WPA sử dụng giao thức TKIP.
WPA2 được hỗ trợ bởi tất cả các thiết bị không dây hiện đại.
WPA2 có thể không được hỗ trợ bởi các hệ điều hành cũ hơn.
WPA2 có mức độ bảo mật cao hơn WPA.

Chào mọi người!

Tôi đã phân tích một số nhận xét mà khách truy cập để lại trên trang web, kiểm tra các truy vấn và nhận ra rằng có một vấn đề rất phổ biến khi kết nối với Wi-Fi mà tôi chưa viết về nó. Nhưng nhiều bình luận đã được để lại trên trang yêu cầu giúp đỡ để giải quyết vấn đề này. Tôi đã tư vấn điều gì đó ở đó, nhưng tôi không biết lời khuyên của tôi có giúp ích gì cho bạn không (hiếm có ai viết về kết quả 🙁).

Và ngày hôm qua, La Mã (Cảm ơn người tốt bụng :) Tôi đã để lại nhận xét về bài viết trong đó tôi chia sẻ thông tin về cách anh ấy giải quyết vấn đề “Đã lưu, bảo vệ WPA\WPA2”. Nhận xét này đã giúp tôi hiểu được vấn đề một chút và tôi quyết định thu thập tất cả các mẹo giải quyết lỗi này trong một bài viết.

Bản chất của vấn đề

Khi kết nối điện thoại hoặc máy tính bảng (rất có thể trên Android), ĐẾN mạng trong nhà, hoặc đâu đó trong quán cà phê, cạnh tên mạng xuất hiện một dòng chữ “Đã lưu, bảo vệ WPA\WPA2”. Và không có gì khác xảy ra. Nếu bạn nhấp vào mạng này và chọn Để cắm, thì sẽ không có chuyện gì xảy ra. Bạn có thể thấy lỗi này trông như thế nào trong ảnh chụp màn hình ở trên.

Tôi đặc biệt gây ra sự cố này trên bộ định tuyến Wi-Fi Asus RT-N13U của mình và đã cố gắng kết nối điện thoại HTC Một V (Android 4.0) . Vì vậy, tôi nhận được thông báo này “Đã lưu, bảo vệ WPA\WPA2”. Hơn nữa, mọi thứ đã diễn ra ngay lần đầu tiên. Làm sao? Vâng, rất đơn giản. Trong cài đặt bộ định tuyến của tôi, “Chế độ mạng không dây” được đặt thành chế độ Tự động và tôi đặt thành Chỉ n. Tôi đã lưu cài đặt, ngắt kết nối điện thoại khỏi Wi-Fi nhưng không thể kết nối được nữa :)

Nguyên nhân chính gây ra lỗi “Saved, WPA\WPA2 Protection”

Các bạn ơi, tôi không thể nói chính xác mọi thứ và đưa ra lời khuyên sẽ hiệu quả một trăm phần trăm, tôi hy vọng bạn hiểu. Tất cả các thiết bị đều khác nhau, mọi người đều có cài đặt khác nhau và nhiều sắc thái khác.

Nhưng tôi sẽ cố gắng thu thập những lý do mà tôi biết và cách giải quyết chúng, qua đó có thể phát sinh vấn đề kết nối với mạng không dây.

Nếu khi kết nối với mạng không dây, bạn thấy thông báo “Đã lưu, WPA\WPA2 được bảo vệ” trên điện thoại của mình (có thể hơi khác một chút), thì bạn nên kiểm tra các cài đặt này (Tôi khuyên bạn nên kiểm tra theo thứ tự tương tự):

Để bắt đầu, chỉ cần khởi động lại bộ định tuyến của bạn.

Tôi đã nhận thấy vấn đề này nhiều lần: Internet trên điện thoại ngừng hoạt động, nhưng có kết nối và mạng vẫn tốt. Tôi tắt và bật Wi-Fi trên điện thoại của mình nhưng nó không còn kết nối với mạng nữa, nó báo “Đã lưu, bảo vệ WPA2”. Chỉ khởi động lại bộ định tuyến mới giúp ích.

1. Đặt vùng chính xác trong cài đặt bộ định tuyến
2. Kiểm tra xem mật khẩu mạng Wi-Fi có đúng không
3. Kiểm tra (thay đổi) chế độ hoạt động của mạng không dây trong cài đặt bộ định tuyến
4. Kiểm tra (thay đổi) loại mã hóa và loại bảo mật, thay đổi mật khẩu trong cài đặt bộ định tuyến
5. Thử nghiệm thay đổi kênh mà mạng không dây của bạn hoạt động.
6. Hãy thử thay đổi độ rộng kênh.

Và bây giờ chi tiết hơn về tất cả các điểm

Đặt vùng chính xác trong cài đặt bộ định tuyến

Rất thường xuyên, lỗi này xảy ra chính xác do cài đặt Wi-Fi được đặt sai vùng.

Tôi đang trên ví dụ Tp-Link Tôi sẽ chỉ cho bạn cách thay đổi khu vực. Nếu bạn có bộ định tuyến của một công ty khác thì những cài đặt này rất có thể đã được thay đổi trên cùng một trang nơi bạn đặt tên và các cài đặt khác của mạng không dây.

Trong Bảng điều khiển, chuyển đến tab Không dây (Chế độ không dây) và đối diện với điểm Vùng đất cho biết quốc gia bạn đang ở.

Lưu cài đặt bằng cách nhấp vào nút Cứu(Cứu) .

Kiểm tra mật khẩu của bạn và kết nối lại

Có lẽ bạn vừa nhập sai mật khẩu (mặc dù sau đó rất có thể nó sẽ đi kết nối vĩnh viễn, tròn. Nhưng bạn cần kiểm tra) và trước khi vào cài đặt bộ định tuyến, tôi khuyên bạn nên kiểm tra điều này.

Bạn có thể hỏi, làm cách nào để nhập lại mật khẩu vì yêu cầu mật khẩu không xuất hiện. Bạn cần xóa kết nối. Chỉ cần nhấp vào mạng của bạn và chọn Xóa bỏ.

Bây giờ, hãy nhấp lại vào mạng của bạn và nhập mật khẩu Wi-Fi của bạn. Chỉ cần chắc chắn rằng nó đúng. Nếu bạn quên, hãy xem mật khẩu trong cài đặt bộ định tuyến hoặc trên máy tính được kết nối (nếu có cái nào). Đọc thêm trong bài viết.

Kiểm tra chế độ hoạt động của mạng không dây

Đối với tôi có vẻ như điều này Lý do chính. Chỉ cần thiết bị của bạn (điện thoại, máy tính bảng) có thể không hỗ trợ chế độ hoạt động mà bộ định tuyến hoạt động.

Chế độ hoạt động là chế độ chữ lạ b/g/n, điều mà bạn có thể đã nhận thấy trong cài đặt bộ định tuyến. Hãy thử trải nghiệm việc thay đổi chế độ. Đừng quên khởi động lại bộ định tuyến sau mỗi lần thay đổi và tắt/bật Wi-Fi trên điện thoại (máy tính bảng) của bạn.

Vì vậy, tôi đã cài đặt n Only thay vì Auto và xuất hiện lỗi. Chẳng hạn, điều gì sẽ xảy ra nếu bạn đã có n Chỉ trong cài đặt của mình? Đây là vấn đề của bạn.

Thay đổi loại mã hóa/bảo mật, mật khẩu

Có thể thiết bị của bạn không thích loại bảo mật hoặc mã hóa mà bộ định tuyến sử dụng. Hoặc bạn không thích mật khẩu.

Tôi khuyên bạn nên đặt các giá trị sau:

WPA/WPA2 - Cá nhân (Được khuyến nghị)

Phiên bản: WPA-PSK

Mã hóa: AES

Mật khẩu PSK (khóa) - ít nhất chỉ có tám ký tự và số.

Chúng tôi lưu, khởi động lại bộ định tuyến, xóa kết nối trên điện thoại và kết nối bằng cách nhập mật khẩu mới.

Chú ý! Sau khi thay đổi mật khẩu hoặc các cài đặt bảo mật khác, vấn đề có thể phát sinh khi kết nối các thiết bị khác đã được kết nối với mạng này (máy tính, laptop, tivi).

Thử nghiệm với kênh mà mạng Wi-Fi hoạt động

Tất nhiên là điều đó khó xảy ra, nhưng nó có thể xảy ra. Tôi đã viết về kênh mạng không dây là gì, cách thay đổi nó và lý do trong bài viết -.

Hãy thử trải nghiệm và xem nó có giúp ích gì không.

Kênh Width

Có một điểm như vậy trong Cài đặt Wi-Fi bộ định tuyến, như Kênh Width. Ví dụ: nếu bạn có TP-Link và menu bằng tiếng Anh thì nó được gọi là Kênh Width.

Ở đó bạn có thể chọn một số tùy chọn: Tự động, 20 MHz và 40 MHz - tùy thuộc vào bộ định tuyến. Hãy thử cài đặt trước Tự động(hoặc trong Asus 20 MHz/40 MHz), nếu điều đó không hiệu quả thì tách riêng.

Tôi có thể thay đổi độ rộng kênh ở đâu?

Đi tới cài đặt bộ định tuyến ( địa chỉ 192.168.1.1 hoặc 192.168.0.1, nhập thông tin đăng nhập/mật khẩu - nhìn vào phần dưới cùng của bộ định tuyến).

Asus

Chuyển đến tab Mạng không dây và thay đổi giá trị ngược lại Kênh Width.

TP-Link

Chuyển hướng Không dây – Cài đặt không dây, đoạn văn Kênh Width.

Đừng quên lưu cài đặt và khởi động lại bộ định tuyến.

Lời bạt

Tôi dường như đã viết tất cả những gì tôi muốn. Tôi thực sự hy vọng rằng lời khuyên của tôi sẽ giúp bạn. Bạn sẽ thoát khỏi vấn đề này và kết bạn với điện thoại hoặc máy tính bảng của mình Thiết bị dẫn wifi 🙂 .

Có lẽ bạn biết các giải pháp khác cho vấn đề này, hãy chia sẻ chúng trong phần bình luận - tôi sẽ biết ơn!

Lời chúc tốt nhất!

Ngoài ra trên trang web:

Điện thoại (máy tính bảng) không kết nối được Wi-Fi, nó báo “Đã lưu, được bảo vệ WPA\WPA2”được cập nhật: ngày 7 tháng 2 năm 2018 bởi: quản trị viên

TRONG Gần đây Nhiều ấn phẩm “vạch trần” đã xuất hiện về việc hack một số giao thức hoặc công nghệ mới làm tổn hại đến tính bảo mật của mạng không dây. Điều này có thực sự như vậy không, bạn nên sợ điều gì và làm cách nào để đảm bảo rằng quyền truy cập vào mạng của bạn được an toàn nhất có thể? Các từ WEP, WPA, 802.1x, EAP, PKI có ý nghĩa gì với bạn không? Cái này Đánh giá ngắn sẽ giúp tập hợp tất cả các công nghệ mã hóa và ủy quyền truy cập vô tuyến hiện hành. Tôi sẽ cố gắng chỉ ra rằng một mạng không dây được cấu hình đúng cách sẽ là một rào cản không thể vượt qua đối với kẻ tấn công (tất nhiên là đến một giới hạn nhất định).

Khái niệm cơ bản

Bất kỳ tương tác nào giữa điểm truy cập (mạng) và máy khách không dây, được xây dựng trên:

• Xác thực- cách khách hàng và điểm truy cập tự giới thiệu với nhau và xác nhận rằng họ có quyền liên lạc với nhau;
• Mã hóa- thuật toán xáo trộn nào cho dữ liệu được truyền được sử dụng, cách tạo khóa mã hóa và khi nào nó thay đổi.

Các tham số của mạng không dây, chủ yếu là tên của nó (SSID), thường xuyên được điểm truy cập quảng cáo trong các gói báo hiệu quảng bá. Ngoài các cài đặt bảo mật dự kiến, các yêu cầu về QoS, tham số 802.11n, tốc độ được hỗ trợ, thông tin về những người hàng xóm khác, v.v. cũng được truyền đi. Xác thực xác định cách ứng dụng khách trình bày chính nó. Các tùy chọn có thể:

• Mở- cái gọi là mở mạng, trong đó tất cả các thiết bị được kết nối đều được cấp phép cùng một lúc
• Đã chia sẻ- tính xác thực của thiết bị được kết nối phải được xác minh bằng khóa/mật khẩu
• EAP- tính xác thực của thiết bị được kết nối phải được xác minh bằng giao thức EAP bởi máy chủ bên ngoài

Tính mở của mạng không có nghĩa là bất kỳ ai cũng có thể làm việc với nó mà không bị trừng phạt. Để truyền dữ liệu trong mạng như vậy, thuật toán mã hóa được sử dụng phải khớp và theo đó, kết nối được mã hóa phải được thiết lập chính xác. Các thuật toán mã hóa là:

• Không có- không mã hóa, dữ liệu được truyền dưới dạng văn bản rõ ràng
• WEP- mật mã dựa trên thuật toán RC4 với độ dài khóa tĩnh hoặc động khác nhau (64 hoặc 128 bit)
• CKIP- thay thế độc quyền cho WEP của Cisco, phiên bản đầu tiên của TKIP
• TKIP- Cải thiện việc thay thế WEP bằng các kiểm tra và bảo vệ bổ sung
• AES/CCMP- thuật toán tiên tiến nhất dựa trên AES256 với các kiểm tra và bảo vệ bổ sung

Sự kết hợp Xác thực mở, không mã hóađược sử dụng rộng rãi trong các hệ thống quyền truy cập của khách như cung cấp Internet trong quán cà phê hoặc khách sạn. Để kết nối, bạn chỉ cần biết tên của mạng không dây. Thường kết nối này được kết hợp với kiểm tra bổ sung tới Captive Portal bằng cách chuyển hướng yêu cầu HTTP của người dùng tới trang bổ sung, nơi bạn có thể yêu cầu xác nhận (mật khẩu đăng nhập, đồng ý với các quy tắc, v.v.).

Mã hóa WEP bị xâm phạm và không thể sử dụng được (ngay cả trong trường hợp khóa động).

Các thuật ngữ thường gặp WPA Và WPA2 trên thực tế, xác định thuật toán mã hóa (TKIP hoặc AES). Do thực tế là các bộ điều hợp máy khách đã hỗ trợ WPA2 (AES) từ khá lâu nên việc sử dụng mã hóa TKIP chẳng ích gì.

Sự khác biệt giữa WPA2 cá nhân Và Doanh nghiệp WPA2 là nơi mà các khóa mã hóa được sử dụng trong cơ học đến từ thuật toán AES. Đối với các ứng dụng riêng tư (gia đình, nhỏ), khóa tĩnh (mật khẩu, từ mã, PSK (Khóa chia sẻ trước)) có độ dài tối thiểu 8 ký tự sẽ được sử dụng, được đặt trong cài đặt điểm truy cập và giống nhau cho tất cả các máy khách của một mạng không dây nhất định. Việc xâm phạm một chìa khóa như vậy (họ làm đổ đậu cho hàng xóm, nhân viên bị sa thải, máy tính xách tay bị đánh cắp) yêu cầu thay đổi mật khẩu ngay lập tức đối với tất cả người dùng còn lại, điều này chỉ thực tế nếu có một số ít người trong số họ. Đối với các ứng dụng của công ty, như tên cho thấy, một khóa động được sử dụng riêng cho từng khách hàng đang làm việc trong khoảnh khắc này. Khóa này có thể được cập nhật định kỳ trong quá trình hoạt động mà không ngắt kết nối và chịu trách nhiệm tạo ra nó. thành phần bổ sung- một máy chủ ủy quyền và hầu như đây luôn là máy chủ RADIUS.

Tất cả các thông số có thể thông tin an toàn được tóm tắt trong tấm này:

Nếu mọi thứ đều rõ ràng với WPA2 Personal (WPA2 PSK), giải pháp doanh nghiệpđòi hỏi phải xem xét bổ sung.

Doanh nghiệp WPA2

Ở đây chúng ta đang giải quyết bộ bổ sung nhiều giao thức khác nhau. Về phía khách hàng có một thành phần đặc biệt phần mềm Người thay thế (thường là một phần của HĐH) tương tác với phần ủy quyền, máy chủ AAA. TRONG trong ví dụ này hiển thị hoạt động của mạng vô tuyến hợp nhất được xây dựng trên các điểm truy cập nhẹ và bộ điều khiển. Trong trường hợp sử dụng các điểm truy cập có “bộ não”, toàn bộ vai trò trung gian giữa máy khách và máy chủ có thể do chính điểm đó đảm nhận. Trong trường hợp này, dữ liệu yêu cầu máy khách được truyền qua sóng vô tuyến được hình thành trong giao thức 802.1x (EAPOL) và về phía bộ điều khiển, nó được gói trong các gói RADIUS.

Việc sử dụng cơ chế ủy quyền EAP trong mạng của bạn dẫn đến thực tế là sau khi xác thực ứng dụng khách thành công (gần như chắc chắn mở) bởi điểm truy cập (cùng với bộ điều khiển, nếu có), điểm sau sẽ yêu cầu khách hàng ủy quyền (xác nhận quyền hạn của nó) với cơ sở hạ tầng máy chủ RADIUS:

Cách sử dụng Doanh nghiệp WPA2 yêu cầu máy chủ RADIUS trên mạng của bạn. Hiện tại, các sản phẩm hiệu quả nhất là:

• Máy chủ chính sách mạng của Microsoft (NPS), IAS cũ- được cấu hình qua MMC, miễn phí, nhưng bạn cần mua Windows
• Máy chủ kiểm soát truy cập an toàn của Cisco (ACS) 4.2, 5.3- có thể được cấu hình thông qua giao diện web, có chức năng phức tạp, cho phép bạn tạo các hệ thống phân tán và có khả năng chịu lỗi, đắt tiền
• RADIUS miễn phí- miễn phí, được cấu hình bằng cấu hình văn bản, không thuận tiện để quản lý và giám sát

Trong trường hợp này, bộ điều khiển giám sát cẩn thận việc trao đổi thông tin đang diễn ra và chờ cấp phép thành công hoặc từ chối thông tin đó. Nếu thành công, máy chủ RADIUS có thể truyền tới điểm truy cập Tùy chọn bổ sung(ví dụ: Vlan nào sẽ đặt người đăng ký vào, địa chỉ IP nào sẽ được gán, cấu hình QoS, v.v.). Khi kết thúc quá trình trao đổi, máy chủ RADIUS cho phép máy khách và điểm truy cập tạo và trao đổi khóa mã hóa (riêng lẻ, chỉ hợp lệ cho phiên này):

EAP

Bản thân giao thức EAP được đóng gói, nghĩa là cơ chế ủy quyền thực tế được giao cho người dùng giao thức nội bộ. TRÊN Hiện nay Những điều sau đây đã nhận được bất kỳ sự phân phối đáng kể nào:

• EAP-NHANH CHÓNG(Xác thực linh hoạt thông qua đường hầm an toàn) - được phát triển bởi Cisco; cho phép ủy quyền bằng cách sử dụng thông tin đăng nhập và mật khẩu được truyền trong đường hầm TLS giữa người thay thế và máy chủ RADIUS
• EAP-TLS(Bảo mật tầng vận tải). Sử dụng cơ sở hạ tầng khóa công khai(PKI) để ủy quyền cho máy khách và máy chủ (ứng viên và máy chủ RADIUS) thông qua các chứng chỉ do cơ quan chứng nhận đáng tin cậy (CA) cấp. Yêu cầu cấp và cài đặt chứng chỉ ứng dụng khách trên mỗi thiết bị không dây, do đó chỉ phù hợp với môi trường doanh nghiệp được quản lý. Máy chủ chứng chỉ Windows có các tiện ích cho phép máy khách tạo chứng chỉ riêng nếu máy khách là thành viên của một miền. Việc chặn một khách hàng có thể dễ dàng được thực hiện bằng cách thu hồi chứng chỉ của khách hàng đó (hoặc thông qua tài khoản).
• EAP-TTLS(Bảo mật lớp truyền tải đường hầm) tương tự như EAP-TLS, nhưng không yêu cầu chứng chỉ ứng dụng khách khi tạo đường hầm. Trong đường hầm như vậy, tương tự như kết nối SSL của trình duyệt, ủy quyền bổ sung được thực hiện (sử dụng mật khẩu hoặc thứ gì khác).
• PEAP-MSCHAPv2(EAP được bảo vệ) - tương tự như EAP-TTLS về mặt thiết lập ban đầu đường hầm TLS được mã hóa giữa máy khách và máy chủ, yêu cầu chứng chỉ máy chủ. Sau đó, một đường hầm như vậy được cấp phép bằng giao thức MSCHAPv2 nổi tiếng.
• PEAP-GTC(Thẻ Token chung) - tương tự như thẻ trước, nhưng yêu cầu thẻ mật khẩu một lần(và cơ sở hạ tầng liên quan)

Tất cả các phương pháp này (ngoại trừ EAP-FAST) đều yêu cầu chứng chỉ máy chủ (trên máy chủ RADIUS) do cơ quan chứng nhận (CA) cấp. Trong trường hợp này, chứng chỉ CA phải có trên thiết bị của khách hàng trong nhóm đáng tin cậy (điều này dễ thực hiện bằng Chính sách nhóm trong Windows). Ngoài ra, EAP-TLS yêu cầu chứng chỉ ứng dụng khách cá nhân. Việc xác thực ứng dụng khách được thực hiện như sau: chữ ký số, do đó (tùy chọn) bằng cách so sánh chứng chỉ do máy khách cung cấp với máy chủ RADIUS với chứng chỉ mà máy chủ truy xuất từ ​​cơ sở hạ tầng PKI (Active Directory).

Hỗ trợ cho bất kỳ phương pháp EAP nào phải được cung cấp bởi người thay thế phía khách hàng. Windows XP/Vista/7, iOS, Android tích hợp sẵn tiêu chuẩn cung cấp ít nhất EAP-TLS và EAP-MSCHAPv2, điều này làm cho các phương pháp này trở nên phổ biến. Bộ điều hợp máy khách Intel dành cho Windows đi kèm với tiện ích ProSet mở rộng Danh sách có sẵn. Máy khách Cisco AnyConnect cũng làm như vậy.

Nó đáng tin cậy đến mức nào?

Rốt cuộc, kẻ tấn công cần phải làm gì để hack được mạng của bạn?

Để xác thực mở, không mã hóa - không có gì. Đã kết nối với mạng và thế là xong. Vì môi trường vô tuyến mở nên tín hiệu truyền đi theo các mặt khác nhau, chặn nó không phải là điều dễ dàng. Nếu bạn có bộ điều hợp máy khách thích hợp cho phép bạn nghe chương trình phát sóng, lưu lượng mạng có thể nhìn thấy như thể kẻ tấn công đã kết nối với dây, với hub, với cổng SPAN của bộ chuyển mạch.
Mã hóa dựa trên WEP chỉ yêu cầu thời gian mạnh mẽ IV và một trong nhiều tiện ích quét có sẵn miễn phí.
Đối với mã hóa dựa trên TKIP hoặc AES, về mặt lý thuyết có thể giải mã trực tiếp nhưng trên thực tế chưa có trường hợp nào bị hack.

Tất nhiên, bạn có thể thử đoán khóa PSK hoặc mật khẩu cho một trong các phương pháp EAP. Không có cuộc tấn công phổ biến nào được biết đến chống lại các phương pháp này. Bạn có thể thử sử dụng các phương pháp kỹ thuật xã hội hoặc phân tích mật mã nhiệt trực tràng.

Bạn chỉ có thể truy cập vào mạng được bảo vệ bởi EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 nếu bạn biết mật khẩu đăng nhập của người dùng (việc hack như vậy là không thể). Các cuộc tấn công như tấn công bạo lực hoặc tấn công nhằm vào các lỗ hổng trong MSCHAP cũng không thể thực hiện được hoặc khó thực hiện do kênh máy khách-máy chủ EAP được bảo vệ bởi một đường hầm được mã hóa.

Có thể truy cập vào mạng do PEAP-GTC đóng bằng cách hack máy chủ mã thông báo hoặc đánh cắp mã thông báo cùng với mật khẩu của nó.

Có thể truy cập vào mạng do EAP-TLS đóng bằng cách đánh cắp chứng chỉ người dùng (tất nhiên là cùng với khóa riêng của nó) hoặc bằng cách cấp chứng chỉ hợp lệ nhưng giả. Điều này chỉ có thể xảy ra nếu trung tâm chứng nhận bị xâm phạm, nơi mà ở các công ty thông thường được bảo vệ như một nguồn tài nguyên CNTT có giá trị nhất.

Vì tất cả các phương pháp trên (ngoại trừ PEAP-GTC) đều cho phép lưu trữ (bộ nhớ đệm) mật khẩu/chứng chỉ, nếu bị đánh cắp thiết bị di động kẻ tấn công được toàn quyền truy cập không có câu hỏi không cần thiết từ mạng. Là một biện pháp phòng ngừa, hoàn thành mã hóa cứngđĩa có yêu cầu mật khẩu khi bật thiết bị.

Hãy nhớ: với thiết kế phù hợp mạng không dây có thể được bảo vệ rất tốt; Không có cách nào để hack một mạng như vậy (ở một mức độ nhất định)