Mã hóa wpa2 hiện diện của cổng lan. Sự khác biệt giữa WPA và WPA2 là gì? Giới thiệu - Lỗ hổng WiFi

Có rất nhiều rủi ro nguy hiểm liên quan đến các giao thức không dây và phương pháp mã hóa. Do đó, thiết kế mạnh mẽ của các giao thức bảo mật không dây khác nhau được sử dụng để giảm thiểu chúng. Những cái này giao thức bảo mật không dây cung cấp khả năng ngăn chặn truy cập trái phép vào máy tính bằng cách mã hóa dữ liệu được truyền trong mạng không dây.

Sự khác biệt giữa các giao thức Wi-Fi WPA2, WPA, WEP

Hầu hết các điểm truy cập không dây đều có tùy chọn kích hoạt một trong ba tiêu chuẩn mã hóa không dây:

1. WEP (Quyền riêng tư tương đương có dây)
2. WPA2

Quyền riêng tư tương đương của WEP hoặc có dây

Mạng bảo mật không dây đầu tiên là giao thức WEP hoặc Wired Equivalent Privacy. Nó bắt đầu với mã hóa 64 bit (yếu) và cuối cùng chuyển sang mã hóa 256 bit (mạnh). Cách triển khai phổ biến nhất trong bộ định tuyến vẫn là mã hóa 128 bit (ở giữa). Đây được coi là Giải pháp khả thi cho đến khi các nhà nghiên cứu bảo mật phát hiện ra một số lỗ hổng trong đó, cho phép tin tặc bẻ khóa WEP trong vòng vài phút. Anh ấy đã sử dụng CRC hoặc Kiểm tra dự phòng theo chu kỳ.

Quyền truy cập được bảo vệ bằng WPA hoặc Wi-Fi

Để giải quyết những thiếu sót của WEP, WPA được phát triển như một tiêu chuẩn bảo mật mới cho giao thức không dây. Để đảm bảo tính toàn vẹn của thông điệp, ông đã sử dụng giao thức toàn vẹnTKIP hoặc Tính toàn vẹn của khóa tạm thời. Điều này khác với WEP ở một số điểm, sử dụng CRC hoặc Kiểm tra dự phòng theo chu kỳ. TKIP được cho là mạnh hơn CRC rất nhiều. Việc sử dụng nó đảm bảo rằng mỗi gói dữ liệu được truyền bằng một khóa mã hóa duy nhất. Tổ hợp phím làm tăng độ khó của việc giải mã khóa và từ đó giảm số lần xâm nhập từ bên ngoài. Tuy nhiên, giống như WEP, WPA cũng có nhược điểm. Do đó, WPA đã được mở rộng trong WPA 2.

WPA2

WPA 2 hiện được công nhận là giao thức an toàn nhất. Một trong những thay đổi quan trọng nhất có thể thấy giữa WPA và WPA2 là việc bắt buộc sử dụng thuật toán AES (Mã hóa nâng cao Tiêu chuẩn) và giới thiệu CCMP (Chế độ mã hóa bộ đếm với giao thức mã xác thực chuỗi khối) thay thế cho TKIP. Chế độ CCM kết hợp Chế độ bảo mật (CTR) và Xác thực mã chuỗi (CBC-MAC) để xác thực. Các chế độ này đã được nghiên cứu rộng rãi và dường như có các thuộc tính mật mã được hiểu rõ, cung cấp an ninh tốt và hiệu suất trong phần mềm hoặc phần cứng cho đến nay.

TRONG Gần đây Nhiều ấn phẩm “vạch trần” đã xuất hiện về việc hack một số giao thức hoặc công nghệ mới làm tổn hại đến tính bảo mật của mạng không dây. Điều này có thực sự như vậy không, bạn nên sợ điều gì và làm cách nào để đảm bảo rằng quyền truy cập vào mạng của bạn được an toàn nhất có thể? Các từ WEP, WPA, 802.1x, EAP, PKI có ý nghĩa gì với bạn không? Tổng quan ngắn gọn này sẽ giúp tập hợp tất cả các công nghệ mã hóa và ủy quyền truy cập vô tuyến được sử dụng. Tôi sẽ cố gắng chỉ ra rằng một mạng không dây được cấu hình đúng cách sẽ là một rào cản không thể vượt qua đối với kẻ tấn công (tất nhiên là đến một giới hạn nhất định).

Khái niệm cơ bản

Bất kỳ tương tác nào giữa điểm truy cập (mạng) và máy khách không dây, được xây dựng trên:

• Xác thực- cách khách hàng và điểm truy cập tự giới thiệu với nhau và xác nhận rằng họ có quyền liên lạc với nhau;
• Mã hóa- thuật toán xáo trộn nào cho dữ liệu được truyền được sử dụng, cách tạo khóa mã hóa và khi nào nó thay đổi.

Các thông số của mạng không dây, chủ yếu là tên của nó (SSID), thường xuyên được điểm truy cập quảng cáo trong các gói báo hiệu quảng bá. Ngoài các cài đặt bảo mật dự kiến, các yêu cầu về QoS, tham số 802.11n, tốc độ được hỗ trợ, thông tin về những người hàng xóm khác, v.v. cũng được truyền đi. Xác thực xác định cách ứng dụng khách trình bày chính nó. Các tùy chọn có thể:

• Mở- cái gọi là mở mạng, trong đó tất cả các thiết bị được kết nối đều được cấp phép cùng một lúc
• Đã chia sẻ- tính xác thực của thiết bị được kết nối phải được xác minh bằng khóa/mật khẩu
• EAP- tính xác thực của thiết bị được kết nối phải được xác minh bằng giao thức EAP bởi máy chủ bên ngoài

Tính mở của mạng không có nghĩa là bất kỳ ai cũng có thể làm việc với nó mà không bị trừng phạt. Để truyền dữ liệu trong mạng như vậy, thuật toán mã hóa được sử dụng phải khớp và theo đó, kết nối được mã hóa phải được thiết lập chính xác. Các thuật toán mã hóa là:

• Không có- không mã hóa, dữ liệu được truyền dưới dạng văn bản rõ ràng
• WEP- mật mã dựa trên thuật toán RC4 với độ dài khóa tĩnh hoặc động khác nhau (64 hoặc 128 bit)
• CKIP- thay thế độc quyền cho WEP của Cisco, phiên bản đầu tiên của TKIP
• TKIP- Cải thiện việc thay thế WEP bằng các kiểm tra và bảo vệ bổ sung
• AES/CCMP- thuật toán tiên tiến nhất dựa trên AES256 với các kiểm tra và bảo vệ bổ sung

Sự kết hợp Xác thực mở, không mã hóađược sử dụng rộng rãi trong các hệ thống truy cập của khách như cung cấp Internet trong quán cà phê hoặc khách sạn. Để kết nối, bạn chỉ cần biết tên của mạng không dây. Thường kết nối này được kết hợp với kiểm tra bổ sung tới Captive Portal bằng cách chuyển hướng yêu cầu HTTP của người dùng tới trang bổ sung, nơi bạn có thể yêu cầu xác nhận (mật khẩu đăng nhập, đồng ý với các quy tắc, v.v.).

Mã hóa WEP bị xâm phạm và không thể sử dụng được (ngay cả trong trường hợp khóa động).

Các thuật ngữ thường gặp WPA Và WPA2 trên thực tế, xác định thuật toán mã hóa (TKIP hoặc AES). Do thực tế là các bộ điều hợp máy khách đã hỗ trợ WPA2 (AES) từ khá lâu nên việc sử dụng mã hóa TKIP chẳng ích gì.

Sự khác biệt giữa WPA2 cá nhân Và Doanh nghiệp WPA2 là nơi các khóa mã hóa được sử dụng trong cơ học đến từ thuật toán AES. Đối với các ứng dụng riêng tư (gia đình, nhỏ), khóa tĩnh (mật khẩu, từ mã, PSK (Khóa chia sẻ trước)) có độ dài tối thiểu 8 ký tự sẽ được sử dụng, được đặt trong cài đặt điểm truy cập và giống nhau cho tất cả các máy khách của một mạng không dây nhất định. Việc xâm phạm một chìa khóa như vậy (họ làm đổ đậu cho hàng xóm, nhân viên bị sa thải, máy tính xách tay bị đánh cắp) yêu cầu thay đổi mật khẩu ngay lập tức đối với tất cả người dùng còn lại, điều này chỉ thực tế nếu có một số ít người trong số họ. Đối với các ứng dụng của công ty, như tên cho thấy, một khóa động được sử dụng riêng cho từng máy khách hiện đang chạy. Khóa này có thể được cập nhật định kỳ trong quá trình hoạt động mà không ngắt kết nối và chịu trách nhiệm tạo ra nó. thành phần bổ sung- một máy chủ ủy quyền và hầu như đây luôn là máy chủ RADIUS.

Tất cả các thông số có thể thông tin an toàn được tóm tắt trong tấm này:

Tài sản	WEP tĩnh	WEP động	WPA	WPA 2 (Doanh nghiệp)
Nhận biết	Người dùng, máy tính, card WLAN	Người dùng, máy tính	Người dùng, máy tính	Người dùng, máy tính
Ủy quyền	Chìa khóa chung	EAP	EAP hoặc khóa chia sẻ	EAP hoặc khóa chia sẻ
Chính trực	Giá trị kiểm tra tính toàn vẹn 32 bit (ICV)	ICV 32-bit	Mã toàn vẹn tin nhắn 64-bit (MIC)	CRT/CBC-MAC (Mã xác thực chuỗi khối mã hóa chế độ đếm - CCM) Một phần của AES
Mã hóa	Khóa tĩnh	Khóa phiên	Khóa mỗi gói thông qua TKIP	CCMP (AES)
Phân phối khóa	Một lần, thủ công	Phân đoạn Khóa chính theo cặp (PMK)	Bắt nguồn từ PMK	Bắt nguồn từ PMK
Vectơ khởi tạo	Văn bản, 24 bit	Văn bản, 24 bit	Vectơ nâng cao, 65 bit	Số gói 48 bit (PN)
Thuật toán	RC4	RC4	RC4	AES
Độ dài khóa, bit	64/128	64/128	128	lên tới 256
Cơ sở hạ tầng cần thiết	KHÔNG	BÁNH GIÁ	BÁNH GIÁ	BÁNH GIÁ

Nếu mọi thứ đều rõ ràng với WPA2 Personal (WPA2 PSK), giải pháp doanh nghiệpđòi hỏi phải xem xét bổ sung.

Doanh nghiệp WPA2

Ở đây chúng ta đang xử lý một bộ giao thức khác nhau bổ sung. Về phía khách hàng có một thành phần đặc biệt phần mềm Người thay thế (thường là một phần của HĐH) tương tác với phần ủy quyền, máy chủ AAA. TRONG trong ví dụ này hiển thị hoạt động của mạng vô tuyến hợp nhất được xây dựng trên các điểm truy cập nhẹ và bộ điều khiển. Trong trường hợp sử dụng các điểm truy cập có “bộ não”, toàn bộ vai trò trung gian giữa máy khách và máy chủ có thể do chính điểm đó đảm nhận. Trong trường hợp này, dữ liệu yêu cầu máy khách được truyền qua sóng vô tuyến được hình thành trong giao thức 802.1x (EAPOL) và về phía bộ điều khiển, nó được gói trong các gói RADIUS.

Việc sử dụng cơ chế ủy quyền EAP trong mạng của bạn dẫn đến thực tế là sau khi xác thực ứng dụng khách thành công (gần như chắc chắn mở) bởi điểm truy cập (cùng với bộ điều khiển, nếu có), điểm sau sẽ yêu cầu khách hàng ủy quyền (xác nhận quyền hạn của nó) với cơ sở hạ tầng máy chủ RADIUS:

Cách sử dụng Doanh nghiệp WPA2 yêu cầu máy chủ RADIUS trên mạng của bạn. Hiện tại, các sản phẩm hiệu quả nhất là:

• Máy chủ chính sách mạng của Microsoft (NPS), IAS cũ- được cấu hình qua MMC, miễn phí, nhưng bạn cần mua Windows
• Máy chủ kiểm soát truy cập an toàn của Cisco (ACS) 4.2, 5.3- được cấu hình thông qua giao diện web, tinh vi về chức năng, cho phép bạn tạo các hệ thống phân tán và có khả năng chịu lỗi cao, đắt tiền
• RADIUS miễn phí- miễn phí, được cấu hình bằng cấu hình văn bản, không thuận tiện để quản lý và giám sát

Trong trường hợp này, bộ điều khiển giám sát cẩn thận việc trao đổi thông tin đang diễn ra và chờ cấp phép thành công hoặc từ chối thông tin đó. Nếu thành công, máy chủ RADIUS có thể truyền tới điểm truy cập Tùy chọn bổ sung(ví dụ: đặt thuê bao vào Vlan nào, gán địa chỉ IP nào, cấu hình QoS, v.v.). Khi kết thúc quá trình trao đổi, máy chủ RADIUS cho phép máy khách và điểm truy cập tạo và trao đổi khóa mã hóa (riêng lẻ, chỉ hợp lệ cho phiên này):

EAP

Bản thân giao thức EAP được đóng gói, nghĩa là cơ chế ủy quyền thực tế được giao cho người dùng giao thức nội bộ. Hiện tại, những điều sau đây đã nhận được bất kỳ sự phân phối đáng kể nào:

• EAP-NHANH CHÓNG(Xác thực linh hoạt thông qua đường hầm an toàn) - được phát triển bởi Cisco; cho phép ủy quyền bằng cách sử dụng thông tin đăng nhập và mật khẩu được truyền trong đường hầm TLS giữa người thay thế và máy chủ RADIUS
• EAP-TLS(Bảo mật tầng vận tải). Sử dụng cơ sở hạ tầng khóa công khai(PKI) để ủy quyền cho máy khách và máy chủ (ứng viên và máy chủ RADIUS) thông qua các chứng chỉ do cơ quan chứng nhận đáng tin cậy (CA) cấp. Yêu cầu cấp và cài đặt chứng chỉ ứng dụng khách trên mỗi thiết bị không dây, do đó chỉ phù hợp với môi trường doanh nghiệp được quản lý. Máy chủ chứng chỉ Windows có các phương tiện cho phép máy khách tạo chứng chỉ riêng nếu máy khách là thành viên của một miền. Việc chặn một khách hàng có thể dễ dàng được thực hiện bằng cách thu hồi chứng chỉ của khách hàng đó (hoặc thông qua tài khoản).
• EAP-TTLS(Bảo mật lớp truyền tải đường hầm) tương tự như EAP-TLS, nhưng không yêu cầu chứng chỉ ứng dụng khách khi tạo đường hầm. Trong đường hầm như vậy, tương tự như kết nối SSL của trình duyệt, ủy quyền bổ sung được thực hiện (sử dụng mật khẩu hoặc thứ gì khác).
• PEAP-MSCHAPv2(EAP được bảo vệ) - tương tự như EAP-TTLS về mặt thiết lập ban đầu đường hầm TLS được mã hóa giữa máy khách và máy chủ, yêu cầu chứng chỉ máy chủ. Sau đó, một đường hầm như vậy được cấp phép bằng giao thức MSCHAPv2 nổi tiếng.
• PEAP-GTC(Thẻ mã thông báo chung) - tương tự như thẻ trước, nhưng yêu cầu thẻ mật khẩu một lần (và cơ sở hạ tầng tương ứng)

Tất cả các phương pháp này (ngoại trừ EAP-FAST) đều yêu cầu chứng chỉ máy chủ (trên máy chủ RADIUS) do cơ quan chứng nhận (CA) cấp. Trong trường hợp này, chứng chỉ CA phải có trên thiết bị của khách hàng trong nhóm đáng tin cậy (điều này dễ thực hiện bằng cách sử dụng chính sách nhóm trên Windows). Ngoài ra, EAP-TLS yêu cầu chứng chỉ ứng dụng khách cá nhân. Việc xác thực ứng dụng khách được thực hiện như sau: chữ ký số, do đó (tùy chọn) bằng cách so sánh chứng chỉ do máy khách cung cấp với máy chủ RADIUS với chứng chỉ mà máy chủ truy xuất từ ​​cơ sở hạ tầng PKI (Active Directory).

Hỗ trợ cho bất kỳ phương pháp EAP nào phải được cung cấp bởi người thay thế phía khách hàng. Windows XP/Vista/7, iOS, Android tích hợp sẵn tiêu chuẩn cung cấp ít nhất EAP-TLS và EAP-MSCHAPv2, điều này làm cho các phương pháp này trở nên phổ biến. Bộ điều hợp máy khách Intel dành cho Windows đi kèm với tiện ích ProSet mở rộng Danh sách có sẵn. Máy khách Cisco AnyConnect cũng làm như vậy.

Nó đáng tin cậy đến mức nào?

Rốt cuộc, kẻ tấn công cần phải làm gì để hack được mạng của bạn?

Để xác thực mở, không mã hóa - không có gì. Đã kết nối với mạng và thế là xong. Vì môi trường vô tuyến mở nên tín hiệu truyền theo các mặt khác nhau, chặn nó không phải là điều dễ dàng. Nếu bạn có bộ điều hợp máy khách thích hợp cho phép bạn nghe không khí, lưu lượng truy cập mạng sẽ hiển thị giống như khi kẻ tấn công đã kết nối với dây, với hub, với cổng SPAN của bộ chuyển mạch.
Mã hóa dựa trên WEP chỉ yêu cầu thời gian IV và một trong nhiều tiện ích quét có sẵn miễn phí.
Đối với mã hóa dựa trên TKIP hoặc AES, về mặt lý thuyết có thể giải mã trực tiếp nhưng trên thực tế chưa có trường hợp nào bị hack.

Tất nhiên, bạn có thể thử đoán khóa PSK hoặc mật khẩu cho một trong các phương pháp EAP. Các cuộc tấn công phổ biến chống lại các phương pháp này không được biết đến. Bạn có thể thử sử dụng các phương pháp kỹ thuật xã hội, hoặc

Mã hóa WPA liên quan đến việc sử dụng mạng Wi-Fi an toàn. Nói chung, WPA là viết tắt của Wi-Fi Protected Access, nghĩa là được bảo vệ.

Số đông quản trị viên hệ thống họ biết cách cấu hình giao thức này và biết khá nhiều về nó.

Nhưng cũng những người bình thường có thể tìm hiểu nhiều về WPA là gì, cách cấu hình và cách sử dụng nó.

Đúng vậy, trên Internet, bạn có thể tìm thấy nhiều bài viết về chủ đề này mà không thể hiểu được điều gì. Vì vậy hôm nay chúng ta sẽ nói chuyện bằng ngôn ngữ đơn giảnồ những điều khó khăn.

Một chút lý thuyết

Vì vậy, WPA là một giao thức, công nghệ, chương trình chứa một bộ chứng chỉ được sử dụng trong quá trình truyền tải.

Nói một cách đơn giản, công nghệ này cho phép bạn sử dụng Các phương pháp khác nhau Vì Bảo vệ Wi-Fi mạng.

Nó có thể là chìa khóa điện tử, đây cũng là chứng chỉ đặc biệt về quyền sử dụng mạng này (chúng ta sẽ nói về vấn đề này sau).

Nói chung, với sự trợ giúp của chương trình này, chỉ những người có quyền làm như vậy mới có thể sử dụng mạng và đó là tất cả những gì bạn cần biết.

Để tham khảo: Xác thực là một biện pháp bảo mật cho phép bạn thiết lập danh tính của một người và quyền truy cập mạng của người đó bằng cách so sánh dữ liệu được báo cáo và dữ liệu dự kiến ​​của người đó.

Ví dụ: một người có thể được xác thực khi họ đính kèm tệp . Nếu anh ta chỉ cần nhập thông tin đăng nhập và mật khẩu của mình thì đây chỉ là ủy quyền.

Nhưng dấu vân tay cho phép bạn kiểm tra xem người này có thực sự đăng nhập hay không chứ không phải ai đó đã lấy dữ liệu của anh ta và nhập với sự trợ giúp của họ.

Cơm. 1. Máy quét dấu vân tay trên điện thoại thông minh của bạn

Và trong sơ đồ còn có WLC - bộ điều khiển mạng cục bộ không dây. Bên phải là máy chủ xác thực.

Tất cả điều này được kết nối bằng Switch thông thường (một thiết bị chỉ đơn giản là kết nối các thiết bị khác nhau). Thiết bị mạng). Khóa được gửi từ bộ điều khiển đến máy chủ xác thực và được lưu trữ ở đó.

Khi một máy khách cố gắng kết nối vào mạng, nó phải truyền tới LAP một khóa mà nó biết. Khóa này đi đến máy chủ xác thực và được so sánh với với phím bên phải.

Nếu các phím khớp nhau, tín hiệu sẽ được truyền tự do đến máy khách.

Cơm. 2. Lược đồ WPA mẫu trong Cisco Pocket Tracer

Các thành phần của WPA

Như chúng tôi đã nói ở trên, WPA sử dụng các khóa đặc biệt được tạo mỗi khi bạn cố gắng bắt đầu truyền tín hiệu, tức là bật Wi-Fi và cũng thay đổi mỗi lần.

WPA bao gồm một số công nghệ giúp tạo và truyền các khóa tương tự.

Hình dưới đây thể hiện công thức chung, bao gồm tất cả các thành phần của công nghệ đang được xem xét.

Cơm. 3. Công thức có thành phần WPA

Bây giờ chúng ta hãy xem xét từng thành phần này một cách riêng biệt:

• 1X là một tiêu chuẩn được sử dụng để tạo cùng một khóa duy nhất đó, với sự trợ giúp của việc xác thực diễn ra trong tương lai.
• EAP là cái gọi là Giao thức xác thực mở rộng. Nó chịu trách nhiệm về định dạng của tin nhắn mà các khóa được truyền đi.
• TKIP là một giao thức cho phép mở rộng kích thước khóa lên 128 byte (trước đây, trong WEP, nó chỉ là 40 byte).
• MIC là cơ chế kiểm tra tin nhắn (cụ thể là kiểm tra tính toàn vẹn). Nếu tin nhắn không đáp ứng tiêu chí, chúng sẽ được gửi lại.

Điều đáng nói là hiện nay đã có WPA2, ngoài tất cả những điều trên, còn sử dụng mã hóa CCMP và AES.

Chúng ta sẽ không nói về nó bây giờ như thế nào, nhưng WPA2 an toàn hơn WPA. Đó là tất cả những gì bạn thực sự cần biết.

Một lần nữa từ đầu

Vì vậy, bạn có . Được sử dụng trên mạng công nghệ WPA.

Để kết nối với Wi-Fi, mỗi thiết bị phải cung cấp chứng chỉ người dùng hoặc đơn giản hơn là một khóa đặc biệt do máy chủ xác thực cấp.

Chỉ khi đó anh ta mới có thể sử dụng mạng. Đó là tất cả!

Bây giờ bạn đã biết WPA là gì. Bây giờ chúng ta hãy nói về những gì tốt và những gì xấu về công nghệ này.

Ưu điểm và nhược điểm của mã hóa WPA

Những ưu điểm của công nghệ này sẽ bao gồm:

1. Bảo mật truyền dữ liệu nâng cao (so với WEP, tiền thân của nó, WPA).
2. Kiểm soát truy cập Wi-Fi chặt chẽ hơn.
3. Tương thích với một lượng lớn thiết bị được sử dụng để tổ chức một mạng không dây.
4. Quản lý tập trung bảo vệ. Trung tâm trong trường hợp này là máy chủ xác thực. Do đó, kẻ tấn công không thể truy cập vào dữ liệu ẩn.
5. Doanh nghiệp có thể sử dụng chính sách bảo mật của riêng mình.
6. Dễ dàng thiết lập và tiếp tục sử dụng.

Tất nhiên, công nghệ này cũng có những nhược điểm và chúng thường khá nghiêm trọng. Đặc biệt, Chúng ta đang nói vềđây là nội dung của nó:

1. Khóa TKIP có thể bị bẻ khóa trong tối đa 15 phút. Điều này đã được một nhóm chuyên gia tuyên bố vào năm 2008 tại hội nghị PacSec.
2. Năm 2009, các chuyên gia từ Đại học Hiroshima đã phát triển một phương pháp có thể hack bất kỳ mạng nào sử dụng WPA trong một phút.
3. Khi sử dụng lỗ hổng được các chuyên gia gọi là Hole196, bạn có thể sử dụng WPA2 bằng khóa của riêng mình chứ không phải bằng khóa mà máy chủ xác thực yêu cầu.
4. Trong hầu hết các trường hợp, bất kỳ WPA nào cũng có thể bị bẻ khóa bằng cách tìm kiếm đơn giản tất cả những lựa chọn khả thi(vũ lực), cũng như sử dụng cái gọi là tấn công từ điển. Trong trường hợp thứ hai, các tùy chọn được sử dụng không phải theo thứ tự hỗn loạn mà theo từ điển.

Tất nhiên, để tận dụng tất cả những lỗ hổng và vấn đề này, bạn cần có kiến ​​thức đặc biệt trong lĩnh vực xây dựng. mạng máy tính.

Tất cả điều này là không thể truy cập được đối với hầu hết người dùng thông thường. Do đó, bạn không phải lo lắng quá nhiều về việc ai đó có quyền truy cập vào Wi-Fi của bạn.

Cơm. 4. Trộm và máy tính

Chúc một ngày tốt lành, độc giả thân mến của trang blog! Hôm nay chúng ta sẽ nói về bảo mật không dây DIR-615, về an ninh mạng nói chung là. Tôi sẽ cho bạn biết khái niệm WPA là gì. Dưới đây là hướng dẫn từng bước thiết lập mạng không dây bằng trình hướng dẫn, về tự động và chế độ thủ công cuộc hẹn khóa mạng. Tiếp theo chúng tôi sẽ chỉ ra cách thêm thiết bị không dây bằng trình hướng dẫn WPS. Cuối cùng, tôi sẽ cung cấp mô tả về cấu hình WPA-Personal (PSK) và WPA-Enterprise (RADIUS).

An ninh mạng

Trong bài viết này, như đã hứa, tôi sẽ viết về nhiều cấp độ khác nhau bảo mật mà bạn có thể sử dụng để bảo vệ dữ liệu của mình khỏi những kẻ xâm nhập. Ưu đãi DIR-615 các loại sau bảo vệ:

WPA là gì?

Quyền truy cập được bảo vệ bằng WPA hoặc Wi-Fi Truy cập Wi-Fi), - Cái này chuẩn Wi-Fi, được thiết kế để cải thiện khả năng bảo mật WEP.

2 cải tiến lớn so với WEP:

• Cải thiện mã hóa dữ liệu thông qua TKIP. TKIP trộn các khóa bằng thuật toán băm và thêm tính năng kiểm tra tính toàn vẹn, từ đó đảm bảo rằng các khóa không thể bị giả mạo. WPA2 dựa trên 802.11i và sử dụng AES thay vì TKIP.
• Xác thực người dùng, thường không có trong WEP, thông qua EAP. WEP điều chỉnh quyền truy cập vào mạng không dây dựa trên phần cứng cụ thể Địa chỉ MAC một máy tính tương đối dễ bị phát hiện và đánh cắp. EAP được xây dựng trên nhiều hơn hệ thống an toàn mã hóa khóa công khai để đảm bảo rằng chỉ được ủy quyền người dùng mạng sẽ có thể truy cập vào mạng.

WPA-PSK/WPA2-PSK sử dụng cụm mật khẩu hoặc khóa để xác thực kết nối không dây. Khóa này là mật khẩu chữ và số có độ dài từ 8 đến 63 ký tự. Mật khẩu có thể bao gồm các ký tự (!?*&_) và dấu cách. Khóa này phải giống hệt khóa được nhập trên bộ phát wifi hoặc điểm truy cập.

WPA/WPA2 cho phép xác thực người dùng thông qua EAP. EAP được xây dựng trên hệ thống mã hóa khóa công khai an toàn hơn để đảm bảo rằng chỉ những người dùng mạng được ủy quyền mới có thể truy cập mạng.

Trình hướng dẫn cài đặt không dây

Để khởi chạy trình hướng dẫn bảo mật, hãy mở buổi sáng Cài đặt và sau đó nhấp vào nút Thủ thuật cài đặt mạng không dây .

Gán khóa mạng tự động

Khi màn hình này xuất hiện, quá trình cài đặt đã hoàn tất. Bạn sẽ được cung cấp một báo cáo chi tiết về cài đặt bảo mật mạng của mình.
Nhấp chuột Cứu , để tiếp tục.

Gán khóa mạng thủ công

Lựa chọn mật khẩu không dây bảo vệ. nó phải dài chính xác 5 hoặc 13 ký tự. Nó cũng có thể chính xác là 10 hoặc 26 ký tự sử dụng 0-9 và A-F.
Click để tiếp tục.

Cài đặt hoàn tất. Bạn sẽ được cung cấp một báo cáo chi tiết về cài đặt bảo mật không dây của mình. Nhấp chuột Cứu để hoàn thành Trình hướng dẫn bảo mật.

Thêm Thiết bị Không dây bằng Trình hướng dẫn WPS

PBC: Chọn tùy chọn này để sử dụng phương pháp PBCđể thêm một máy khách không dây. Nhấp chuột Kết nối .

Cấu hình WPA-Cá nhân (PSK)

Bạn nên bật mã hóa trên bộ định tuyến không dây trước khi bật bộ điều hợp mạng không dây. Vui lòng cài đặt tùy chọn kết nối không dây trước khi kích hoạt mã hóa. Của bạn tín hiệu không dây có thể trở nên tồi tệ hơn khi bật mã hóa do chi phí bổ sung.

Cấu hình WPA-Enterprise (RADIUS)

Bạn nên bật mã hóa trên bộ định tuyến không dây trước khi bật bộ điều hợp mạng không dây. Vui lòng thiết lập kết nối không dây trước khi kích hoạt mã hóa. Tín hiệu không dây của bạn có thể bị suy giảm khi bạn bật mã hóa do có thêm chi phí.

1. Đăng nhập vào tiện ích cấu hình dựa trên web bằng cách mở cửa sổ trình duyệt web và nhập địa chỉ IP của bộ định tuyến (192.168.0.1). Nhấp chuột Cài đặt , và sau đó Cài đặt không dây Từ phía bên trái.
2. Tiếp theo trong Chế độ bảo mật , lựa chọn WPA-Doanh nghiệp.
   Bình luận: Nên bị vô hiệu hóa

Giao thức WPA2được xác định theo tiêu chuẩn IEEE 802.11i, được tạo ra vào năm 2004 để thay thế . Nó thực hiện CCMP và mã hóa AES, nhờ đó mà WPA2 trở nên an toàn hơn so với người tiền nhiệm của nó. Hỗ trợ từ năm 2006 WPA2 là điều kiện tiên quyết cho tất cả các thiết bị được chứng nhận.

Sự khác biệt giữa WPA và WPA2

Việc tìm ra sự khác biệt giữa WPA2 và WPA2 không phù hợp với hầu hết người dùng, vì tất cả bảo mật mạng không dây đều phụ thuộc vào sự lựa chọn ít nhiều mật khẩu phức tạpđể truy cập. Ngày nay tình hình là tất cả các thiết bị hoạt động trong Mạng Wi-Fi, được yêu cầu hỗ trợ WPA2, vì vậy việc lựa chọn WPA chỉ có thể được xác định trong các tình huống không chuẩn. Ví dụ, hệ điều hành Windows XP SP3 cũ hơn không hỗ trợ WPA2 mà không áp dụng các bản vá, vì vậy các máy và thiết bị được quản lý bởi các hệ thống đó cần có sự quan tâm của quản trị viên mạng. Thậm chí một số điện thoại thông minh hiện đại có thể không hỗ trợ giao thức mã hóa mới, điều này chủ yếu áp dụng cho các thiết bị châu Á không có thương hiệu. Mặt khác, một số Phiên bản Windows XP cũ hơn không hỗ trợ làm việc với WPA2 ở cấp độ GPO, vì vậy trong trường hợp này, chúng yêu cầu tinh chỉnh kết nối mạng nhiều hơn.

Sự khác biệt về mặt kỹ thuật giữa WPA và WPA2 là công nghệ mã hóa, đặc biệt là các giao thức được sử dụng. WPA sử dụng giao thức TKIP, WPA2 sử dụng giao thức AES. Trong thực tế, điều này có nghĩa là WPA2 hiện đại hơn sẽ cung cấp mức độ bảo mật mạng cao hơn. Ví dụ: giao thức TKIP cho phép bạn tạo khóa xác thực có kích thước lên tới 128 bit, AES - tối đa 256 bit.

Sự khác biệt giữa WPA2 và WPA như sau:

• WPA2 là một cải tiến so với WPA.
• WPA2 sử dụng giao thức AES, WPA sử dụng giao thức TKIP.
• WPA2 được hỗ trợ bởi tất cả các thiết bị không dây hiện đại.
• WPA2 có thể không được hỗ trợ bởi các hệ điều hành cũ hơn.
• WPA2 an toàn hơn WPA.

Xác thực WPA2

Cả WPA và WPA2 đều hoạt động ở hai chế độ xác thực: riêng tư Và doanh nghiệp (Doanh nghiệp). Ở chế độ WPA2-Personal từ địa chỉ đã nhập bằng văn bản rõ ràng cụm mật khẩu khóa 256 bit được tạo, đôi khi được gọi là khóa chia sẻ trước. Khóa PSK, cũng như mã định danh và độ dài của khóa sau, cùng nhau tạo thành cơ sở toán học cho việc hình thành khóa cặp chính PMK (Khóa chính theo cặp), được sử dụng để khởi tạo bắt tay bốn chiều và tạo khóa phiên hoặc cặp đôi tạm thời PTK (Khóa tạm thời theo cặp), để tương tác không dây thiết bị người dùng với một điểm truy cập. Giống như giao thức tĩnh, giao thức WPA2-Personal có vấn đề về phân phối và bảo trì khóa, điều này khiến nó phù hợp hơn để sử dụng trong văn phòng nhỏ hơn ở các doanh nghiệp.

Tuy nhiên, WPA2-Enterprise đã giải quyết thành công các thách thức về quản lý và phân phối khóa tĩnh, đồng thời việc tích hợp nó với hầu hết các dịch vụ xác thực doanh nghiệp cung cấp khả năng kiểm soát truy cập dựa trên tài khoản. Chế độ này yêu cầu thông tin đăng nhập như tên người dùng và mật khẩu, chứng chỉ bảo mật hoặc mật khẩu một lần; việc xác thực được thực hiện giữa trạm làm việc và một máy chủ xác thực trung tâm. Điểm truy cập hoặc bộ điều khiển không dây giám sát kết nối và chuyển tiếp các gói xác thực đến máy chủ xác thực thích hợp, thường là . Chế độ WPA2-Enterprise dựa trên chuẩn 802.1X, hỗ trợ xác thực máy và người dùng dựa trên điều khiển cổng, phù hợp cho cả thiết bị chuyển mạch có dây và điểm không dây truy cập.

mã hóa WPA2

Tiêu chuẩn WPA2 dựa trên Mã hóa AES ai thay thế tiêu chuẩn DES và 3DES là tiêu chuẩn công nghiệp trên thực tế. Tính toán chuyên sâu, AES yêu cầu hỗ trợ phần cứng không phải lúc nào cũng có sẵn trong thiết bị WLAN cũ hơn.

WPA2 sử dụng giao thức CBC-MAC (Mã xác thực thông báo chuỗi khối mật mã) để xác thực và tính toàn vẹn dữ liệu, cũng như Chế độ bộ đếm (CTR) để mã hóa dữ liệu và tổng kiểm tra MIC. Mã toàn vẹn thông báo WPA2 (MIC) không gì khác hơn là tổng kiểm tra và, không giống như WPA, cung cấp tính toàn vẹn dữ liệu cho các trường tiêu đề 802.11 bất biến. Điều này ngăn chặn các cuộc tấn công phát lại gói nhằm giải mã các gói hoặc xâm phạm thông tin mật mã.

Vector khởi tạo 128 bit (IV) được sử dụng để tính toán MIC, AES và khóa tạm thời được sử dụng để mã hóa IV và kết quả là kết quả 128 bit. Tiếp theo, một phép toán OR độc quyền được thực hiện trên kết quả này và 128 bit dữ liệu tiếp theo. Kết quả được mã hóa bằng AES và TK, sau đó kết thúc kết quả cuối cùng và 128 bit dữ liệu tiếp theo lại thực hiện thao tác OR độc quyền. Thủ tục được lặp lại cho đến khi hết tải trọng. 64 bit đầu tiên của dữ liệu nhận được Bước cuối cùng kết quả được sử dụng để tính giá trị MIC.

Thuật toán dựa trên chế độ bộ đếm được sử dụng để mã hóa dữ liệu và MIC. Giống như mã hóa vectơ khởi tạo MIC, việc thực thi thuật toán này bắt đầu bằng tải trước Bộ đếm 128 bit, trong đó trường bộ đếm lấy giá trị bộ đếm được đặt thành 1 thay vì giá trị tương ứng với độ dài dữ liệu. Do đó, một bộ đếm khác được sử dụng để mã hóa từng gói.

128 bit dữ liệu đầu tiên được mã hóa bằng AES và TK, sau đó thao tác OR độc quyền được thực hiện trên kết quả 128 bit của mã hóa này. 128 bit dữ liệu đầu tiên tạo ra khối được mã hóa 128 bit đầu tiên. Giá trị bộ đếm được tải trước được tăng lên và mã hóa bằng AES và khóa mã hóa dữ liệu. Sau đó, thao tác OR độc quyền được thực hiện lại dựa trên kết quả của mã hóa này và 128 bit dữ liệu tiếp theo.

Quy trình được lặp lại cho đến khi tất cả các khối dữ liệu 128 bit được mã hóa. Sau đó, giá trị cuối cùng trong trường bộ đếm được đặt lại về 0, bộ đếm được mã hóa bằng thuật toán AES và sau đó kết quả mã hóa và MIC được XORed. Kết quả hoạt động cuối cùngđược gắn vào khung được mã hóa.

Khi MIC được tính toán bằng giao thức CBC-MAC, dữ liệu và MIC sẽ được mã hóa. Sau đó, tiêu đề 802.11 và trường số gói CCMP được thêm vào thông tin này ở phía trước, đoạn giới thiệu 802.11 được gắn vào đế và toàn bộ nội dung được gửi cùng nhau đến địa chỉ đích.

Việc giải mã dữ liệu được thực hiện theo thứ tự ngược lại của mã hóa. Để trích xuất bộ đếm, thuật toán tương tự được sử dụng để mã hóa nó. Thuật toán giải mã dựa trên chế độ bộ đếm và khóa TK được sử dụng để giải mã bộ đếm và phần được mã hóa của tải trọng. Kết quả của quá trình này là dữ liệu được giải mã và kiểm tra tổng MIC. Sau đó, MIC cho dữ liệu được giải mã sẽ được tính toán lại bằng thuật toán CBC-MAC. Nếu giá trị MIC không khớp, gói sẽ bị loại bỏ. Nếu các giá trị được chỉ định khớp nhau, dữ liệu được giải mã sẽ được gửi tới ngăn xếp mạng rồi tới khách hàng.