Thực đơn
trang chủĐiện thoại

Loại bảo mật wpa2 psk. Tôi nên chọn loại mã hóa nào cho bộ định tuyến wifi của mình? “Người đàn ông ở giữa” là mối đe dọa chính

TKIP và AES là hai loại thay thế mã hóa được sử dụng trong các chế độ Bảo mật WPA và WPA2. Trong cài đặt bảo mật mạng không dây trong bộ định tuyến và điểm truy cập, bạn có thể chọn một trong ba lựa chọn mã hóa:

  • TKIP;
  • TKIP+AES.

Nếu bạn chọn tùy chọn thứ hai (kết hợp), máy khách sẽ có thể kết nối với điểm truy cập bằng một trong hai thuật toán.

TKIP hay AES? Cái gì tốt hơn?

Trả lời: cho thiết bị hiện đại, thuật toán AES chắc chắn phù hợp hơn.

Chỉ sử dụng TKIP nếu bạn gặp khó khăn khi chọn cái đầu tiên (đôi khi điều đó xảy ra khi sử dụng Mã hóa AES Kết nối với điểm truy cập bị gián đoạn hoặc hoàn toàn không được thiết lập. Điều này thường được gọi là không tương thích phần cứng).

Sự khác biệt là gì

AES là một thuật toán hiện đại và an toàn hơn. Nó tương thích với chuẩn 802.11n và cung cấp tốc độ cao truyền dữ liệu.

TKIP không còn được dùng nữa. Anh ấy có nhiều hơn cấp thấp bảo mật và hỗ trợ tốc độ truyền dữ liệu lên tới 54 Mbit/s.

Cách chuyển từ TKIP sang AES

Trường hợp 1. Điểm truy cập hoạt động ở chế độ TKIP+AES

Trong trường hợp này, bạn chỉ cần thay đổi kiểu mã hóa trên thiết bị khách. Cách dễ nhất để thực hiện việc này là xóa cấu hình mạng và kết nối lại.

Trường hợp 2: Access point chỉ sử dụng TKIP

Trong trường hợp này:

1. Đầu tiên, hãy chuyển đến giao diện web của điểm truy cập (hoặc bộ định tuyến tương ứng). Thay đổi mã hóa thành AES và lưu cài đặt (đọc thêm bên dưới).

2. Thay đổi mã hóa trên thiết bị khách (chi tiết hơn trong đoạn tiếp theo). Và một lần nữa, việc quên mạng và kết nối lại với mạng sẽ dễ dàng hơn bằng cách nhập khóa bảo mật.

Kích hoạt mã hóa AES trên bộ định tuyến

Sử dụng D-Link làm ví dụ

Đi đến phần Cài đặt wireless.

Nhấn vào nút Thiết lập kết nối không dây thủ công.

Đặt chế độ bảo mật WPA2-PSK.

Tìm một mục loại mật mã và đặt giá trị AES.

Nhấp chuột Lưu các thiết lập.

Lấy TP-Link làm ví dụ

Phần mở Không dây.

Chọn một mục Bảo mật không dây.

Trong lĩnh vực Phiên bản lựa chọn WPA2-PSK.

Trong lĩnh vực Mã hóa lựa chọn AES.

Nhấn vào nút Cứu:

Thay đổi loại mã hóa không dây trong Windows

Windows 10 và Windows 8.1

Các phiên bản hệ điều hành này không có tệp . Do đó, có ba tùy chọn để thay đổi mã hóa.

Lựa chọn 1. Bản thân Windows sẽ phát hiện sự không khớp trong cài đặt mạng và nhắc bạn nhập lại khóa bảo mật. trong đó thuật toán đúng mã hóa sẽ được cài đặt tự động.

Lựa chọn 2. Windows sẽ không thể kết nối và sẽ đề nghị quên mạng bằng cách hiển thị nút tương ứng:

Sau này, bạn sẽ có thể kết nối với mạng của mình mà không gặp vấn đề gì, bởi vì... hồ sơ của cô ấy sẽ bị xóa.

Tùy chọn 3. Bạn sẽ phải xóa cấu hình mạng theo cách thủ công thông qua dòng lệnh và chỉ sau đó kết nối lại với mạng.

Thực hiện theo các bước sau:

1 Khởi chạy dấu nhắc lệnh.

2 Nhập lệnh:

Netsh wlan hiển thị hồ sơ

để hiển thị danh sách các cấu hình mạng không dây đã lưu.

3 Bây giờ nhập lệnh:

Netsh wlan xóa hồ sơ "tên mạng của bạn"

để xóa hồ sơ đã chọn.

Nếu tên mạng có chứa khoảng trắng (ví dụ: "wifi 2"), đặt nó trong dấu ngoặc kép.

Hình ảnh hiển thị tất cả các hành động được mô tả:

4 Bây giờ hãy nhấp vào biểu tượng mạng không dây trên thanh tác vụ:

5 Chọn một mạng.

6 Nhấp chuột Kết nối:

7 Nhập khóa bảo mật của bạn.

Windows 7

Mọi thứ ở đây đơn giản và rõ ràng hơn.

1 Nhấp vào biểu tượng mạng không dây trên thanh tác vụ.


3 Nhấp vào liên kết Quản lý mạng không dây:

4 Nhấp chuột phải vào hồ sơ của mạng mong muốn.

5 Chọn Của cải:

Chú ý! Ở bước này bạn cũng có thể nhấp vào Xóa mạng và chỉ cần kết nối lại với nó! Nếu bạn quyết định làm điều này, bạn không cần phải đọc thêm nữa.

6 Đi tới tab Sự an toàn.

Thông tin mà bạn có thể có được trong bài viết này có thể được sử dụng để truy cập trái phép vào mạng và hành động của bạn có thể tuân theo Điều 272-273 của Bộ luật Hình sự Liên bang Nga. Thông tin này được công bố ở đây chỉ nhằm mục đích cung cấp thông tin và bạn hoàn toàn chịu trách nhiệm về việc sử dụng thông tin này cho các mục đích bất hợp pháp. Bài viết này dành cho chủ đề đã được đề cập tại cuộc họp của Nhóm người dùng các tổ chức công thuộc Đại học bang Moscow “Đảm bảo an ninh của mạng không dây (WPA2)”.

Giới thiệu

Bài viết trước đã nói về nguyên tắc chung hoạt động của mạng không dây và đảm bảo an ninh của chúng. Các loại mạng không dây và các nguyên tắc chung về bảo mật của chúng đã được thảo luận cũng như ví dụ về cách truy cập dễ dàng vào mạng được mã hóa WEP.
Bài viết này sẽ giải thích cách WPA hoạt động và những lỗ hổng chính trong nó có thể bị kẻ tấn công lợi dụng để xâm nhập trái phép vào mạng của bạn.

Ưu điểm của WPA so với WEP

WPA Bảo vệ WiFi Truy cập là một cơ chế mới, hiện đại nhất để bảo vệ mạng không dây khỏi bị truy cập trái phép. WPA và sự phát triển tiếp theo của nó là WPA2, đã thay thế cơ chế WEP, cơ chế này đã bắt đầu trở nên lỗi thời vào thời điểm đó. Một lần nữa, hãy xem WEP hoạt động như thế nào:

1. Khung dữ liệu bao gồm phần được mã hóa và phần không được mã hóa. Phần được mã hóa chứa dữ liệu và tổng kiểm tra (CRC32), phần không được mã hóa chứa vectơ khởi tạo và mã định danh khóa.

2. Mỗi khung dữ liệu được mã hóa bằng mật mã luồng RC4 bằng cách sử dụng vectơ khởi tạo có khóa WEP được gắn vào làm khóa mã hóa.

Do đó, với mỗi khung dữ liệu, khóa mã hóa riêng của nó sẽ được tạo ra, nhưng đồng thời, mỗi khung dữ liệu sẽ chìa khoá mới mã hóa khác với mã kia chỉ ở vectơ khởi tạo. (24 bit, khi độ dài khóa có thể là 40 hoặc 104 bit) Do đó, nếu kẻ tấn công chặn một số lượng lớn gói tin, hắn sẽ nhận được thông tin sau: - một số lượng lớn vectơ khởi tạo
-một lượng lớn dữ liệu được mã hóa
- khóa mã hóa cho mỗi khung tiếp theo khác với khung trước chỉ 4 bit (độ dài của vectơ khởi tạo)
Vì vậy, có thể trích xuất khóa bằng cách thực hiện các phép toán trên các gói.
Để lấy thành công khóa WEP, kẻ tấn công cần có những điều sau:
- ở nơi có thể nhận được tín hiệu mạng (RSSI -85 dBm là khá đủ)
-bắt khoảng 100-200 nghìn vectơ khởi tạo, tùy thuộc vào độ dài khóa (WEP-40 hoặc WEP-104). Thông thường, điều này yêu cầu chặn 25-50 MB lưu lượng truyền trên mạng. Nếu có hoạt động mạng cao (tải xuống tệp (đặc biệt là sử dụng mạng ngang hàng), hội nghị truyền hình), 5-10 phút sẽ đủ để thu được lượng lưu lượng truy cập cần thiết.

Cũng chú ý đến cách kẻ tấn công thực hiện việc nắm bắt lưu lượng truy cập.
Thông thường, các bộ điều hợp mạng không dây hoạt động ở chế độ bình thường– chỉ chấp nhận những gói được gửi đến địa chỉ MAC của chúng, miễn là chúng được kết nối với mạng không dây này. Tuy nhiên, không có gì can thiệp vật lý vào mạng không dây bộ điều hợp mạng bắt tất cả các gói nằm trong phạm vi của nó trên kênh đã chọn. Để triển khai tính năng này, cần có các trình điều khiển và phần mềm không chính thức đặc biệt. Hơn nữa, phần mềm như vậy được bán khá hợp pháp và được sử dụng để giám sát mạng không dây. Một ví dụ về chương trình như vậy là CommView for WiFi của TamoSoft. Tiếp theo, kẻ tấn công phân tích lưu lượng truy cập bị bắt. Vì WEP đã bị bẻ khóa nhiều năm trước nên bạn có thể tìm thấy các tiện ích trên Internet chế độ tự động trích xuất khóa từ tệp CAP có lưu lượng truy cập, phổ biến nhất trong số đó là Aircrack.
Như vậy, WEP có những nhược điểm sau
-khả năng dự đoán của khóa mã hóa cho khung
-thiếu phương tiện xác thực trên mạng
-cơ chế kiểm tra tính toàn vẹn dữ liệu yếu
Vì vậy, nhiều doanh nghiệp đã từ chối sử dụng hoàn toàn mạng không dây để tránh rò rỉ thông tin doanh nghiệp. Tuy nhiên, với sự ra đời của WPA và sau đó là WPA2, tình hình đã thay đổi và ngày càng nhiều người dùng doanh nghiệp bắt đầu sử dụng WPA. Thật vậy, so với WEP, nó có một số ưu điểm:
-độc lập về mặt toán học của các khóa mã hóa cho mỗi gói với nhau
-cơ chế mớiđếm tổng kiểm tra
-WPA bao gồm xác thực giao thức 802.1X

Cách thức hoạt động của WPA

Những sửa đổi đầu tiên của WPA là một cải tiến của WEP.
Hãy nhìn vào một trong những điều đầu tiên giao thức WPA,WPA-TKIP
Nó sử dụng vectơ khởi tạo 48 bit và các quy tắc xây dựng vectơ được thay đổi; nó cũng sử dụng MIC (Mã toàn vẹn tin nhắn) để tính toán tổng kiểm tra, được sử dụng thay cho CRC32 đã lỗi thời và kém tin cậy hơn
Và cải tiến quan trọng nhất là độ dài khóa mã hóa hiện là 128 bit, thay vì 40. Có một hệ thống phân cấp đặc biệt để quản lý khóa, được thiết kế để ngăn không cho khóa mã hóa có thể dự đoán được cho từng khung. Với TKIP, khóa mã hóa cho mỗi khung dữ liệu được tạo theo cách chúng không lặp lại lẫn nhau, dù chỉ một phần.
Do đó, mạng WPA được bảo vệ hoàn toàn khỏi các cuộc tấn công phát lại (lặp lại khóa) và giả mạo (thay thế nội dung gói), điều này không thể nói về WEP, nơi có thể bỏ qua kiểm tra tổng kiểm tra CRC32 và cũng gửi một khung có nội dung giống hệt nhau. khóa mã hóa , giống như khóa trước.
Đồng thời, cơ chế xác thực được tích hợp vào WPA: EAP, đồng thời hỗ trợ đầy đủ Chuẩn 802.1X để xác thực. EAP - Giao thức xác thực mở rộng, một trong những giao thức xác thực phổ biến nhất. Được sử dụng để xác thực trong mạng có dây và do đó mạng không dây WPA có thể dễ dàng tích hợp vào cơ sở hạ tầng hiện có. Điều kiện bắt buộc để xác thực là người dùng xuất trình mã thông báo truy cập xác nhận quyền truy cập mạng của mình. Để có được mã thông báo, một yêu cầu được gửi tới cơ sở dữ liệu đặc biệt và nếu không xác thực, người dùng sẽ bị cấm làm việc trên mạng. Hệ thống xác minh được đặt trên máy chủ RADIUS đặc biệt và Active Directory được sử dụng làm cơ sở dữ liệu (trong hệ thống Windows)
Như vậy, WPA là sự tổng hợp của các công nghệ và tiêu chuẩn sau:
WPA = 802.1X + EAP + TKIP + MIC
Tuy nhiên, sự bảo vệ TKIP đã bị phá vỡ một phần vào năm 2008. Để vượt qua nó thành công, điều cần thiết là bộ phát wifi QoS đã được sử dụng. Kẻ tấn công có thể chặn và giải mã dữ liệu được truyền qua mạng cũng như giả mạo các gói được truyền qua mạng. Vì vậy, WPA2 đã được phát triển, đây là một WPA cải tiến.

Cách thức hoạt động của WPA2

Việc phát hiện ra các lỗ hổng trong WPA đã dẫn đến việc tạo ra phương thức bảo mật WPA2. Sự khác biệt đáng kể của nó so với WPA là lưu lượng truy cập trên mạng không chỉ được mã hóa từ các thiết bị không được kết nối với mạng này mà còn từ các thiết bị khác. Nói cách khác, mỗi thiết bị có khóa mã hóa riêng để trao đổi dữ liệu với điểm truy cập. Có một số khóa mã hóa trên mạng:
1) Khóa tạm thời theo cặp (PTK). Với sự giúp đỡ thuộc loại này chìa khóa đã được mã hóa giao thông cá nhân mọi khách hàng. Bằng cách này, mạng được bảo vệ từ bên trong để một máy khách được ủy quyền trên mạng không thể chặn lưu lượng của máy khách khác.
2) Khóa tạm thời nhóm (GTK). Chìa khóa này mã hóa dữ liệu phát sóng.
WPA2 được sử dụng làm thuật toán mã hóa CCMP

CCMP (Chế độ bộ đếm với Giao thức mã xác thực tin nhắn chuỗi khối mã hóa), giao thức chặn mã hóa với mã xác thực tin nhắn và chế độ block and counter chaining - giao thức mã hóa cho mạng WPA2, sử dụng thuật toán AES làm cơ sở để mã hóa dữ liệu. Khóa mã hóa 128 bit được sử dụng theo tiêu chuẩn FIPS-197.
Sự khác biệt chính giữa TKIP và WEP là quản lý tập trung tính toàn vẹn của gói, được thực hiện ở cấp độ AES.
Cấu trúc của gói mã hóa CCMP

Gói CCMP được mở rộng thêm 16 octet. Tiêu đề CCMP bao gồm ba phần: PN (số gói, 48 bit), ExtIV (vectơ khởi tạo) và mã định danh khóa.
Đóng gói dữ liệu bằng CCMP:
1) Số gói được tăng thêm một số nhất định để tránh các gói lặp lại
2) Dữ liệu xác thực bổ sung được tạo
3) Một trường nonce dịch vụ được tạo
4) Số gói và mã định danh khóa được đặt trong tiêu đề gói
5) Trường nonce và dữ liệu xác thực bổ sung được mã hóa bằng khóa tạm thời.


Giải mã dữ liệu bằng CCMP:
1) Các trường nhận dạng bổ sung và trường nonce được tạo bằng dữ liệu gói.
2) Trường dữ liệu nhận dạng bổ sung được trích xuất từ ​​tiêu đề gói được mã hóa
3) Trường A2, số gói và trường ưu tiên được trích xuất
4) Trường MIC được trích xuất
5) Gói được giải mã và tính toàn vẹn của nó được kiểm tra bằng cách sử dụng bản mã gói, dữ liệu nhận dạng bổ sung, khóa tạm thời và chính MIC
6) Gói được tập hợp ở dạng được giải mã.
7) Các gói có số trùng lặp sẽ bị loại bỏ

Phương pháp này mã hóa trên mạng hiện nay là đáng tin cậy nhất.

Phương thức xác thực trong WPA\WPA2

Xác thực, nghĩa là sự xác nhận của người dùng về quyền truy cập tài nguyên, là điều kiện tiên quyết WPA\WPA2 hoạt động
Với mục đích này, việc triển khai cổ điển của WAP\WPA2 bao gồm hỗ trợ cho 802.11 và EAP.
Nói cách khác, để thiết bị khách hoàn tất quá trình kết nối thành công, thiết bị đó phải tự nhận dạng. Trong thực tế, nó trông như thế này: người dùng được yêu cầu nhập thông tin đăng nhập và mật khẩu để truy cập mạng. Xác minh thông tin xác thực được thực hiện trên máy chủ RADIUS, từ đó liên lạc với máy chủ xác thực. Bộ điều khiển miền được sử dụng làm máy chủ xác thực máy chủ Windows 2008R2, nó cũng được sử dụng làm máy chủ RADIUS.
Một cách tiếp cận tương tự để triển khai WPA\WPA2 được gọi là WPA-Enterprise. Nó được sử dụng trong các mạng sản xuất lớn nơi cơ sở hạ tầng Active Directory đã được triển khai.
Tuy nhiên, rõ ràng là việc triển khai Active Directory và RADIUS trong môi trường doanh nghiệp nhỏ hoặc gia đình là gần như không thể. Do đó, để các tiêu chuẩn WPA\WPA2 có thể được sử dụng trong gia đình, Liên minh Wi-Fi đã phát triển một cách triển khai đơn giản hóa được gọi là WPA-PSK (Khóa chia sẻ trước). Nó sử dụng cùng các giao thức mã hóa, nhưng sơ đồ xác thực người dùng của nó được đơn giản hóa rất nhiều. Để thiết bị nhận được mã thông báo truy cập mạng, phải nhập cụm mật khẩu đặc biệt được gọi là Khóa chia sẻ trước trên thiết bị. Độ dài phải từ 8 đến 32 ký tự và bạn có thể sử dụng Ký hiệu đặc biệt, cũng như các ký hiệu của bảng chữ cái quốc gia. Sau khi bạn nhập cụm mật khẩu của mình, nó sẽ được đặt trong hành lý đặc biệt liên kết (gói trao đổi khóa, bắt tay), được truyền đến điểm truy cập. Nếu như cụm mật khẩuđúng, thiết bị được cấp mã thông báo truy cập mạng. Cách tiếp cận này đơn giản hơn nhiều lần so với WPA-Enterprise và do đó được sử dụng rộng rãi trong các doanh nghiệp nhỏ và người dùng gia đình.

Lỗ hổng trong WPA\WPA2

Với tất cả những ưu điểm của nó, WPA\WPA2 không phải là không có lỗ hổng.
Hãy bắt đầu với thực tế là vào năm 2006, mã hóa TKIP trong WPA đã bị hỏng. Việc khai thác cho phép bạn đọc dữ liệu được truyền từ điểm truy cập đến máy khách, cũng như truyền thông tin giả mạo tới máy khách. Để thực hiện cuộc tấn công này, mạng phải sử dụng QoS.
Vì vậy, tôi cũng không khuyên bạn nên sử dụng WPA để bảo mật mạng không dây của mình. Tất nhiên, nó khó bẻ khóa hơn WEP và WPA sẽ bảo vệ bạn khỏi cuộc tấn công của học sinh bằng Aircrack, tuy nhiên, nó sẽ không chịu được một cuộc tấn công có chủ đích vào tổ chức của bạn. Để bảo mật tốt nhất, tôi khuyên bạn nên sử dụng WPA2
Tuy nhiên, WPA2 không phải là không có lỗ hổng. Năm 2008, một lỗ hổng được phát hiện có thể cho phép tấn công trung gian. Nó cho phép người tham gia mạng chặn và giải mã dữ liệu được truyền giữa những người tham gia mạng khác bằng Khóa tạm thời theo cặp của họ. Vì vậy, khi làm việc trên một mạng như vậy, việc sử dụng quỹ bổ sung(ví dụ PSKZI “Shipka”) Đồng thời, xin lưu ý rằng để lợi dụng lỗ hổng này, kẻ tấn công phải được cấp quyền và kết nối với mạng.
Tuy nhiên, tôi muốn tập trung vào việc triển khai WPA-PSK “tại nhà”. Nó đơn giản hóa sơ đồ ủy quyền; điểm nghẽn trong đó chính là Khóa chia sẻ trước, vì việc nhập khóa này sẽ mang lại cho thiết bị toàn quyền truy cập vào mạng (nếu tính năng lọc MAC không được bật).
Bản thân khóa được lưu trữ tại điểm truy cập. Tùy thuộc vào mô hình và vi mô phần mềm thiết bị, các phương pháp bảo vệ nó được thực hiện. Trong một số trường hợp, chỉ cần kẻ tấn công có quyền truy cập vào bảng điều khiển web và lấy Khóa chia sẻ trước, được lưu trữ ở đó là đủ bằng văn bản rõ ràng. Trong một số trường hợp, trường có nó được bảo vệ giống như trường mật khẩu, nhưng vẫn có thể trích xuất nó nếu kẻ tấn công có thể tháo chip bộ nhớ khỏi thiết bị và giành quyền truy cập cấp thấp vào nó. Do đó, hãy chú ý đến bảo mật vật lý cho thiết bị không dây của bạn.
Và cuối cùng, lỗ hổng mới nhất là khả năng chặn các gói bắt tay, trong đó Pre-Shared Key được truyền đi khi một thiết bị kết nối với mạng. Miễn là khóa Chia sẻ trước được mã hóa, kẻ tấn công chỉ còn một lựa chọn - tấn công lực lượng vũ phu trên các gói liên kết đã bắt được. Một mặt, điều này là phi lý, nhưng cần hiểu rằng để làm được điều này, bạn hoàn toàn không cần phải ở gần điểm truy cập và đối với một cuộc tấn công vũ phu (hoặc từ điển) như vậy, kẻ tấn công có thể sử dụng tài nguyên máy tính lớn.
Cũng cần lưu ý rằng để chặn bắt tay, kẻ tấn công không phải đợi cho đến khi thiết bị mới được kết nối với mạng. Một chút bộ điều hợp không dây, khi sử dụng trình điều khiển không chuẩn, có thể gửi các gói liên kết lại vào mạng, điều này sẽ làm gián đoạn kết nối mạng và bắt đầu trao đổi mới khóa trong mạng giữa máy khách và điểm truy cập. Trong trường hợp này, để bắt được các gói tin cần thiết, cần có ít nhất một máy khách được kết nối với mạng. Ngoài ra, kẻ tấn công cần phải ở gần điểm truy cập để nguồn điện của bộ điều hợp của hắn (và những bộ điều hợp như vậy thường có độ nhạy thấp, công suất thấp và quá nóng trong quá trình hoạt động) đủ để GỬI các gói liên kết lại (hãy nhớ WEP, trong đó bạn chỉ cần “bắt” đủ lượng lưu lượng truy cập). Cuối cùng, một cuộc tấn công vũ phu mất nhiều thời gian, nhưng việc sử dụng cụm máy tính giúp công việc trở nên dễ dàng hơn nhiều.

Phần kết luận

Bài viết này thảo luận về cách hoạt động của cơ chế WPA\WPA2 cũng như các lỗ hổng chính của nó.
Vì vậy, để bảo vệ WPA\WPA2 tại nhà, hãy sử dụng mật khẩu dài, phức tạp (không phải từ điển), sử dụng các ký tự đặc biệt và tốt nhất là những ký tự không in được. ký tự ASCII. Tuy nhiên, cần hiểu rằng trong trường hợp này khả năng kết nối nhiều thiêt bị di động sẽ bị hạn chế nếu không thể nhập mật khẩu từ thiết bị này.
Tại nơi làm việc, hãy luôn sử dụng WPA-Enterprise, đặc biệt nếu bạn đã triển khai mạng Active Directory. Điều này sẽ bảo vệ mạng của bạn khỏi hầu hết các cuộc tấn công. Nhưng cũng đừng quên các phương tiện khác để bảo vệ cơ sở hạ tầng của bạn.
Bài viết tiếp theo trong loạt bài này sẽ cung cấp ví dụ về cách kẻ tấn công có thể truy cập vào mạng WPA2-PSK bằng mật khẩu yếu, đồng thời vô hiệu hóa tạm thời mạng WPA thông qua tấn công Từ chối dịch vụ.

TRONG Gần đây Nhiều ấn phẩm “vạch trần” đã xuất hiện về việc hack một số giao thức hoặc công nghệ mới làm tổn hại đến tính bảo mật của mạng không dây. Điều này có thực sự như vậy không, bạn nên sợ điều gì và làm cách nào để đảm bảo rằng quyền truy cập vào mạng của bạn được an toàn nhất có thể? Các từ WEP, WPA, 802.1x, EAP, PKI có ý nghĩa gì với bạn không? Cái này Đánh giá ngắn sẽ giúp tập hợp tất cả các công nghệ mã hóa và ủy quyền truy cập vô tuyến hiện hành. Tôi sẽ cố gắng chỉ ra rằng một mạng không dây được cấu hình đúng cách sẽ là một rào cản không thể vượt qua đối với kẻ tấn công (tất nhiên là đến một giới hạn nhất định).

Khái niệm cơ bản

Mọi tương tác giữa điểm truy cập (mạng) và máy khách không dây đều dựa trên:
  • Xác thực- cách khách hàng và điểm truy cập tự giới thiệu với nhau và xác nhận rằng họ có quyền liên lạc với nhau;
  • Mã hóa- thuật toán xáo trộn nào cho dữ liệu được truyền được sử dụng, cách tạo khóa mã hóa và khi nào nó thay đổi.

Các thông số của mạng không dây, chủ yếu là tên của nó (SSID), thường xuyên được điểm truy cập quảng cáo trong các gói báo hiệu quảng bá. Ngoài các cài đặt bảo mật dự kiến, các yêu cầu về QoS, tham số 802.11n, tốc độ được hỗ trợ, thông tin về những người hàng xóm khác, v.v. cũng được truyền đi. Xác thực xác định cách ứng dụng khách trình bày chính nó. Các tùy chọn có thể:

  • Mở- cái gọi là mở mạng, trong đó tất cả các thiết bị được kết nối đều được cấp phép cùng một lúc
  • Đã chia sẻ- tính xác thực của thiết bị được kết nối phải được xác minh bằng khóa/mật khẩu
  • EAP- tính xác thực của thiết bị được kết nối phải được xác minh bằng giao thức EAP bởi máy chủ bên ngoài
Tính mở của mạng không có nghĩa là bất kỳ ai cũng có thể làm việc với nó mà không bị trừng phạt. Để truyền dữ liệu trong mạng như vậy, thuật toán mã hóa được sử dụng phải khớp và theo đó, kết nối được mã hóa phải được thiết lập chính xác. Các thuật toán mã hóa là:
  • Không có- không mã hóa, dữ liệu được truyền dưới dạng văn bản rõ ràng
  • WEP- mật mã dựa trên thuật toán RC4 với độ dài khóa tĩnh hoặc động khác nhau (64 hoặc 128 bit)
  • CKIP- thay thế độc quyền cho WEP của Cisco, phiên bản đầu tiên của TKIP
  • TKIP- Cải thiện việc thay thế WEP bằng các kiểm tra và bảo vệ bổ sung
  • AES/CCMP- thuật toán tiên tiến nhất dựa trên AES256 với các kiểm tra và bảo vệ bổ sung

Sự kết hợp Xác thực mở, không mã hóađược sử dụng rộng rãi trong các hệ thống quyền truy cập của khách như cung cấp Internet trong quán cà phê hoặc khách sạn. Để kết nối, bạn chỉ cần biết tên của mạng không dây. Thường kết nối này được kết hợp với kiểm tra bổ sung tới Captive Portal bằng cách chuyển hướng yêu cầu HTTP của người dùng tới trang bổ sung, nơi bạn có thể yêu cầu xác nhận (mật khẩu đăng nhập, đồng ý với các quy tắc, v.v.).

Mã hóa WEP bị xâm phạm và không thể sử dụng được (ngay cả trong trường hợp khóa động).

Các thuật ngữ thường gặp WPAWPA2 trên thực tế, xác định thuật toán mã hóa (TKIP hoặc AES). Do thực tế là các bộ điều hợp máy khách đã hỗ trợ WPA2 (AES) từ khá lâu nên việc sử dụng mã hóa TKIP chẳng ích gì.

Sự khác biệt giữa WPA2 cá nhânDoanh nghiệp WPA2 là nơi xuất phát các khóa mã hóa được sử dụng trong cơ chế của thuật toán AES. Đối với các ứng dụng riêng tư (gia đình, nhỏ), khóa tĩnh (mật khẩu, từ mã, PSK (Khóa chia sẻ trước)) có độ dài tối thiểu 8 ký tự sẽ được sử dụng, được đặt trong cài đặt điểm truy cập và giống nhau cho tất cả các máy khách của một mạng không dây nhất định. Việc xâm phạm một chìa khóa như vậy (họ làm đổ đậu cho hàng xóm, nhân viên bị sa thải, máy tính xách tay bị đánh cắp) yêu cầu thay đổi mật khẩu ngay lập tức đối với tất cả người dùng còn lại, điều này chỉ thực tế nếu có một số ít người trong số họ. Đối với các ứng dụng của công ty, như tên cho thấy, một khóa động được sử dụng riêng cho từng máy khách hiện đang chạy. Khóa này có thể được cập nhật định kỳ trong quá trình hoạt động mà không ngắt kết nối và chịu trách nhiệm tạo ra nó. thành phần bổ sung- một máy chủ ủy quyền và hầu như đây luôn là máy chủ RADIUS.

Tất cả các thông số có thể thông tin an toàn được tóm tắt trong tấm này:

Tài sản WEP tĩnh WEP động WPA WPA 2 (Doanh nghiệp)
Nhận biết Người dùng, máy tính, card WLAN Người dùng, máy tính
Người dùng, máy tính
Người dùng, máy tính
Ủy quyền
Chìa khóa chung

EAP

EAP hoặc khóa chia sẻ

EAP hoặc khóa chia sẻ

Chính trực

Giá trị kiểm tra tính toàn vẹn 32 bit (ICV)

ICV 32-bit

Mã toàn vẹn tin nhắn 64-bit (MIC)

CRT/CBC-MAC (Mã xác thực chuỗi khối mã hóa chế độ đếm - CCM) Một phần của AES

Mã hóa

Khóa tĩnh

Khóa phiên

Khóa mỗi gói thông qua TKIP

CCMP (AES)

Phân phối khóa

Một lần, thủ công

Phân đoạn Khóa chính theo cặp (PMK)

Bắt nguồn từ PMK

Bắt nguồn từ PMK

Vectơ khởi tạo

Văn bản, 24 bit

Văn bản, 24 bit

Vectơ nâng cao, 65 bit

Số gói 48 bit (PN)

Thuật toán

RC4

RC4

RC4

AES

Độ dài khóa, bit

64/128
64/128
128
lên tới 256

Cơ sở hạ tầng cần thiết

KHÔNG

BÁNH GIÁ

BÁNH GIÁ

BÁNH GIÁ

Nếu mọi thứ đều rõ ràng với WPA2 Personal (WPA2 PSK), giải pháp doanh nghiệpđòi hỏi phải xem xét bổ sung.

Doanh nghiệp WPA2



Ở đây chúng ta đang giải quyết bộ bổ sung nhiều giao thức khác nhau. Về phía máy khách, một thành phần phần mềm đặc biệt, phần mềm thay thế (thường là một phần của HĐH) tương tác với phần ủy quyền, máy chủ AAA. TRONG trong ví dụ này hiển thị hoạt động của mạng vô tuyến hợp nhất được xây dựng trên các điểm truy cập nhẹ và bộ điều khiển. Trong trường hợp sử dụng các điểm truy cập có “bộ não”, toàn bộ vai trò trung gian giữa máy khách và máy chủ có thể do chính điểm đó đảm nhận. Trong trường hợp này, dữ liệu yêu cầu máy khách được truyền qua sóng vô tuyến được hình thành trong giao thức 802.1x (EAPOL) và về phía bộ điều khiển, nó được gói trong các gói RADIUS.

Việc sử dụng cơ chế ủy quyền EAP trong mạng của bạn dẫn đến thực tế là sau khi xác thực ứng dụng khách thành công (gần như chắc chắn mở) bởi điểm truy cập (cùng với bộ điều khiển, nếu có), điểm sau sẽ yêu cầu khách hàng ủy quyền (xác nhận quyền hạn của nó) với cơ sở hạ tầng máy chủ RADIUS:

Cách sử dụng Doanh nghiệp WPA2 yêu cầu máy chủ RADIUS trên mạng của bạn. Hiện tại, các sản phẩm hiệu quả nhất là:

  • Máy chủ chính sách mạng của Microsoft (NPS), IAS cũ- được cấu hình qua MMC, miễn phí, nhưng bạn cần mua Windows
  • Máy chủ kiểm soát truy cập an toàn của Cisco (ACS) 4.2, 5.3- được cấu hình thông qua giao diện web, tinh vi về chức năng, cho phép bạn tạo các hệ thống phân tán và có khả năng chịu lỗi cao, đắt tiền
  • RADIUS miễn phí- miễn phí, được cấu hình bằng cấu hình văn bản, không thuận tiện để quản lý và giám sát

Trong trường hợp này, bộ điều khiển giám sát cẩn thận việc trao đổi thông tin đang diễn ra và chờ cấp phép thành công hoặc từ chối thông tin đó. Nếu thành công, máy chủ RADIUS có thể truyền tới điểm truy cập Tùy chọn bổ sung(ví dụ: đặt thuê bao vào Vlan nào, gán địa chỉ IP nào, cấu hình QoS, v.v.). Khi kết thúc quá trình trao đổi, máy chủ RADIUS cho phép máy khách và điểm truy cập tạo và trao đổi khóa mã hóa (riêng lẻ, chỉ hợp lệ cho phiên này):

EAP

Bản thân giao thức EAP được đóng gói, nghĩa là cơ chế ủy quyền thực tế được giao cho người dùng giao thức nội bộ. TRÊN Hiện nay Những điều sau đây đã nhận được bất kỳ sự phân phối đáng kể nào:
  • EAP-NHANH CHÓNG(Xác thực linh hoạt thông qua đường hầm an toàn) - được phát triển bởi Cisco; cho phép ủy quyền bằng cách sử dụng thông tin đăng nhập và mật khẩu được truyền trong đường hầm TLS giữa người thay thế và máy chủ RADIUS
  • EAP-TLS(Bảo mật tầng vận tải). Sử dụng cơ sở hạ tầng khóa công khai(PKI) để ủy quyền cho máy khách và máy chủ (ứng viên và máy chủ RADIUS) thông qua các chứng chỉ do cơ quan chứng nhận đáng tin cậy (CA) cấp. Yêu cầu cấp và cài đặt chứng chỉ ứng dụng khách trên mỗi thiết bị không dây, do đó chỉ phù hợp với môi trường doanh nghiệp được quản lý. Máy chủ chứng chỉ Windows có các phương tiện cho phép máy khách tạo chứng chỉ riêng nếu máy khách là thành viên của một miền. Việc chặn một khách hàng có thể dễ dàng được thực hiện bằng cách thu hồi chứng chỉ của khách hàng đó (hoặc thông qua tài khoản).
  • EAP-TTLS(Bảo mật lớp truyền tải đường hầm) tương tự như EAP-TLS, nhưng không yêu cầu chứng chỉ ứng dụng khách khi tạo đường hầm. Trong đường hầm như vậy, tương tự như kết nối SSL của trình duyệt, ủy quyền bổ sung được thực hiện (sử dụng mật khẩu hoặc thứ gì khác).
  • PEAP-MSCHAPv2(EAP được bảo vệ) - tương tự như EAP-TTLS về mặt thiết lập ban đầu đường hầm TLS được mã hóa giữa máy khách và máy chủ, yêu cầu chứng chỉ máy chủ. Sau đó, một đường hầm như vậy được cấp phép bằng giao thức MSCHAPv2 nổi tiếng.
  • PEAP-GTC(Thẻ mã thông báo chung) - tương tự như thẻ trước, nhưng yêu cầu thẻ mật khẩu một lần (và cơ sở hạ tầng tương ứng)

Tất cả các phương pháp này (ngoại trừ EAP-FAST) đều yêu cầu chứng chỉ máy chủ (trên máy chủ RADIUS) do cơ quan chứng nhận (CA) cấp. Trong trường hợp này, chứng chỉ CA phải có trên thiết bị của khách hàng trong nhóm đáng tin cậy (điều này dễ thực hiện bằng Chính sách nhóm trong Windows). Ngoài ra, EAP-TLS yêu cầu chứng chỉ ứng dụng khách cá nhân. Việc xác thực ứng dụng khách được thực hiện như sau: chữ ký số, do đó (tùy chọn) bằng cách so sánh chứng chỉ do máy khách cung cấp với máy chủ RADIUS với chứng chỉ mà máy chủ truy xuất từ ​​cơ sở hạ tầng PKI (Active Directory).

Hỗ trợ cho bất kỳ phương pháp EAP nào phải được cung cấp bởi người thay thế phía khách hàng. Windows XP/Vista/7, iOS, Android tích hợp sẵn tiêu chuẩn cung cấp ít nhất EAP-TLS và EAP-MSCHAPv2, điều này làm cho các phương pháp này trở nên phổ biến. Bộ điều hợp máy khách Intel dành cho Windows đi kèm với tiện ích ProSet mở rộng Danh sách có sẵn. Máy khách Cisco AnyConnect cũng làm như vậy.

Nó đáng tin cậy đến mức nào?

Rốt cuộc, kẻ tấn công cần phải làm gì để hack được mạng của bạn?

Để xác thực mở, không mã hóa - không có gì. Đã kết nối với mạng và thế là xong. Vì môi trường vô tuyến mở nên tín hiệu truyền theo các mặt khác nhau, chặn nó không phải là điều dễ dàng. Nếu bạn có bộ điều hợp máy khách thích hợp cho phép bạn nghe chương trình phát sóng, lưu lượng mạng có thể nhìn thấy như thể kẻ tấn công đã kết nối với dây, với hub, với cổng SPAN của bộ chuyển mạch.
Mã hóa dựa trên WEP chỉ yêu cầu thời gian IV và một trong nhiều tiện ích quét có sẵn miễn phí.
Đối với mã hóa dựa trên TKIP hoặc AES, về mặt lý thuyết có thể giải mã trực tiếp nhưng trên thực tế chưa có trường hợp nào bị hack.

Tất nhiên, bạn có thể thử đoán khóa PSK hoặc mật khẩu cho một trong các phương pháp EAP. Các cuộc tấn công phổ biến chống lại các phương pháp này không được biết đến. Bạn có thể thử sử dụng các phương pháp kỹ thuật xã hội, hoặc

Có rất nhiều rủi ro nguy hiểm liên quan đến các giao thức không dây và phương pháp mã hóa. Do đó, một cấu trúc mạnh mẽ của các giao thức khác nhau được sử dụng để giảm thiểu chúng Bảo mật không dây. Những cái này giao thức bảo mật không dây cung cấp khả năng ngăn chặn truy cập trái phép vào máy tính bằng cách mã hóa dữ liệu được truyền trên mạng không dây.

Sự khác biệt giữa các giao thức Wi-Fi WPA2, WPA, WEP

Nhiều điểm nhất truy cập không dây có tùy chọn kích hoạt một trong ba tiêu chuẩn mã hóa không dây:

  1. WEP (Quyền riêng tư tương đương có dây)
  2. WPA2

Quyền riêng tư tương đương của WEP hoặc có dây

Mạng bảo mật không dây đầu tiên là giao thức WEP hoặc Wired Equivalent Privacy. Nó bắt đầu với mã hóa 64 bit (yếu) và cuối cùng chuyển sang mã hóa 256 bit (mạnh). Cách triển khai phổ biến nhất trong bộ định tuyến vẫn là mã hóa 128 bit (ở giữa). Đây được coi là Giải pháp khả thi cho đến khi các nhà nghiên cứu bảo mật phát hiện ra một số lỗ hổng trong đó, cho phép tin tặc bẻ khóa WEP trong vòng vài phút. Anh ấy đã sử dụng CRC hoặc Kiểm tra dự phòng theo chu kỳ.

Quyền truy cập được bảo vệ bằng WPA hoặc Wi-Fi

Để giải quyết những thiếu sót của WEP, WPA được phát triển như một tiêu chuẩn bảo mật mới cho giao thức không dây. Để đảm bảo tính toàn vẹn của thông điệp, ông đã sử dụng giao thức toàn vẹnTKIP hoặc Tính toàn vẹn của khóa tạm thời. Điều này khác với WEP ở một số điểm, sử dụng CRC hoặc Kiểm tra dự phòng theo chu kỳ. TKIP được cho là mạnh hơn CRC rất nhiều. Việc sử dụng nó đảm bảo rằng mỗi gói dữ liệu được truyền bằng một khóa mã hóa duy nhất. Tổ hợp phím làm tăng độ khó của việc giải mã khóa và từ đó giảm số lần xâm nhập từ bên ngoài. Tuy nhiên, giống như WEP, WPA cũng có nhược điểm. Do đó, WPA đã được mở rộng trong WPA 2.

WPA2

WPA 2 hiện được công nhận là giao thức an toàn nhất. Một trong những thay đổi quan trọng nhất có thể thấy giữa WPA và WPA2 là việc bắt buộc sử dụng thuật toán AES (Mã hóa nâng cao Tiêu chuẩn) và giới thiệu CCMP (Chế độ mã hóa bộ đếm với giao thức mã xác thực chuỗi khối) thay thế cho TKIP. Chế độ CCM kết hợp Chế độ bảo mật (CTR) và Xác thực mã chuỗi (CBC-MAC) để xác thực. Các chế độ này đã được nghiên cứu rộng rãi và dường như có các thuộc tính mật mã được hiểu rõ, cung cấp an ninh tốt và hiệu suất trong phần mềm hoặc phần cứng cho đến nay.

Gần đây, xuất hiện nhiều ấn phẩm “tiết lộ” về việc hack một số giao thức hoặc công nghệ mới làm tổn hại đến tính bảo mật của mạng không dây. Điều này có thực sự như vậy không, bạn nên sợ điều gì và làm cách nào để đảm bảo rằng quyền truy cập vào mạng của bạn được an toàn nhất có thể? Các từ WEP, WPA, 802.1x, EAP, PKI có ý nghĩa gì với bạn không? Tổng quan ngắn gọn này sẽ giúp tập hợp tất cả các công nghệ mã hóa và ủy quyền truy cập vô tuyến được sử dụng. Tôi sẽ cố gắng chỉ ra rằng một mạng không dây được cấu hình đúng cách sẽ là một rào cản không thể vượt qua đối với kẻ tấn công (tất nhiên là đến một giới hạn nhất định).

Khái niệm cơ bản

Mọi tương tác giữa điểm truy cập (mạng) và máy khách không dây đều dựa trên:
  • Xác thực- cách khách hàng và điểm truy cập tự giới thiệu với nhau và xác nhận rằng họ có quyền liên lạc với nhau;
  • Mã hóa- thuật toán xáo trộn nào cho dữ liệu được truyền được sử dụng, cách tạo khóa mã hóa và khi nào nó thay đổi.

Các thông số của mạng không dây, chủ yếu là tên của nó (SSID), thường xuyên được điểm truy cập quảng cáo trong các gói báo hiệu quảng bá. Ngoài các cài đặt bảo mật dự kiến, các yêu cầu về QoS, tham số 802.11n, tốc độ được hỗ trợ, thông tin về những người hàng xóm khác, v.v. cũng được truyền đi. Xác thực xác định cách ứng dụng khách trình bày chính nó. Các tùy chọn có thể:

  • Mở- cái gọi là mạng mở trong đó tất cả các thiết bị được kết nối đều được cấp phép ngay lập tức
  • Đã chia sẻ- tính xác thực của thiết bị được kết nối phải được xác minh bằng khóa/mật khẩu
  • EAP- tính xác thực của thiết bị được kết nối phải được xác minh bằng giao thức EAP bởi máy chủ bên ngoài
Tính mở của mạng không có nghĩa là bất kỳ ai cũng có thể làm việc với nó mà không bị trừng phạt. Để truyền dữ liệu trong mạng như vậy, thuật toán mã hóa được sử dụng phải khớp và theo đó, kết nối được mã hóa phải được thiết lập chính xác. Các thuật toán mã hóa là:
  • Không có- không mã hóa, dữ liệu được truyền dưới dạng văn bản rõ ràng
  • WEP- mật mã dựa trên thuật toán RC4 với độ dài khóa tĩnh hoặc động khác nhau (64 hoặc 128 bit)
  • CKIP- thay thế độc quyền cho WEP của Cisco, phiên bản đầu tiên của TKIP
  • TKIP- Cải thiện việc thay thế WEP bằng các kiểm tra và bảo vệ bổ sung
  • AES/CCMP- thuật toán tiên tiến nhất dựa trên AES256 với các kiểm tra và bảo vệ bổ sung

Sự kết hợp Xác thực mở, không mã hóađược sử dụng rộng rãi trong các hệ thống truy cập của khách như cung cấp Internet trong quán cà phê hoặc khách sạn. Để kết nối, bạn chỉ cần biết tên của mạng không dây. Thông thường, kết nối như vậy được kết hợp với xác minh bổ sung trên Captive Portal bằng cách chuyển hướng yêu cầu HTTP của người dùng đến một trang bổ sung nơi bạn có thể yêu cầu xác nhận (mật khẩu đăng nhập, thỏa thuận với các quy tắc, v.v.).

Mã hóa WEP bị xâm phạm và không thể sử dụng được (ngay cả trong trường hợp khóa động).

Các thuật ngữ thường gặp WPAWPA2 trên thực tế, xác định thuật toán mã hóa (TKIP hoặc AES). Do thực tế là các bộ điều hợp máy khách đã hỗ trợ WPA2 (AES) từ khá lâu nên việc sử dụng mã hóa TKIP chẳng ích gì.

Sự khác biệt giữa WPA2 cá nhânDoanh nghiệp WPA2 là nơi xuất phát các khóa mã hóa được sử dụng trong cơ chế của thuật toán AES. Đối với các ứng dụng riêng tư (gia đình, nhỏ), khóa tĩnh (mật khẩu, từ mã, PSK (Khóa chia sẻ trước)) có độ dài tối thiểu 8 ký tự sẽ được sử dụng, được đặt trong cài đặt điểm truy cập và giống nhau cho tất cả các máy khách của một mạng không dây nhất định. Việc xâm phạm một chìa khóa như vậy (họ làm đổ đậu cho hàng xóm, nhân viên bị sa thải, máy tính xách tay bị đánh cắp) yêu cầu thay đổi mật khẩu ngay lập tức đối với tất cả người dùng còn lại, điều này chỉ thực tế nếu có một số ít người trong số họ. Đối với các ứng dụng của công ty, như tên cho thấy, một khóa động được sử dụng riêng cho từng máy khách hiện đang chạy. Khóa này có thể được cập nhật định kỳ trong quá trình hoạt động mà không ngắt kết nối và một thành phần bổ sung chịu trách nhiệm tạo ra nó - máy chủ ủy quyền và hầu như đây luôn là máy chủ RADIUS.

Tất cả các thông số an toàn có thể được tóm tắt trong tấm này:

Tài sản WEP tĩnh WEP động WPA WPA 2 (Doanh nghiệp)
Nhận biết Người dùng, máy tính, card WLAN Người dùng, máy tính
Người dùng, máy tính
Người dùng, máy tính
Ủy quyền
Chìa khóa chung

EAP

EAP hoặc khóa chia sẻ

EAP hoặc khóa chia sẻ

Chính trực

Giá trị kiểm tra tính toàn vẹn 32 bit (ICV)

ICV 32-bit

Mã toàn vẹn tin nhắn 64-bit (MIC)

CRT/CBC-MAC (Mã xác thực chuỗi khối mã hóa chế độ đếm - CCM) Một phần của AES

Mã hóa

Khóa tĩnh

Khóa phiên

Khóa mỗi gói thông qua TKIP

CCMP (AES)

Phân phối khóa

Một lần, thủ công

Phân đoạn Khóa chính theo cặp (PMK)

Bắt nguồn từ PMK

Bắt nguồn từ PMK

Vectơ khởi tạo

Văn bản, 24 bit

Văn bản, 24 bit

Vectơ nâng cao, 65 bit

Số gói 48 bit (PN)

Thuật toán

RC4

RC4

RC4

AES

Độ dài khóa, bit

64/128
64/128
128
lên tới 256

Cơ sở hạ tầng cần thiết

KHÔNG

BÁNH GIÁ

BÁNH GIÁ

BÁNH GIÁ

Mặc dù WPA2 Personal (WPA2 PSK) là rõ ràng nhưng giải pháp doanh nghiệp cần được xem xét thêm.

Doanh nghiệp WPA2



Ở đây chúng ta đang xử lý một bộ giao thức khác nhau bổ sung. Về phía máy khách, một thành phần phần mềm đặc biệt, phần mềm thay thế (thường là một phần của HĐH) tương tác với phần ủy quyền, máy chủ AAA. Ví dụ này cho thấy hoạt động của mạng vô tuyến hợp nhất được xây dựng trên các điểm truy cập hạng nhẹ và bộ điều khiển. Trong trường hợp sử dụng các điểm truy cập có “bộ não”, toàn bộ vai trò trung gian giữa máy khách và máy chủ có thể do chính điểm đó đảm nhận. Trong trường hợp này, dữ liệu yêu cầu máy khách được truyền qua sóng vô tuyến được hình thành trong giao thức 802.1x (EAPOL) và về phía bộ điều khiển, nó được gói trong các gói RADIUS.

Việc sử dụng cơ chế ủy quyền EAP trong mạng của bạn dẫn đến thực tế là sau khi xác thực ứng dụng khách thành công (gần như chắc chắn mở) bởi điểm truy cập (cùng với bộ điều khiển, nếu có), điểm sau sẽ yêu cầu khách hàng ủy quyền (xác nhận quyền hạn của nó) với cơ sở hạ tầng máy chủ RADIUS:

Cách sử dụng Doanh nghiệp WPA2 yêu cầu máy chủ RADIUS trên mạng của bạn. Hiện tại, các sản phẩm hiệu quả nhất là:

  • Máy chủ chính sách mạng của Microsoft (NPS), IAS cũ- được cấu hình qua MMC, miễn phí, nhưng bạn cần mua Windows
  • Máy chủ kiểm soát truy cập an toàn của Cisco (ACS) 4.2, 5.3- được cấu hình thông qua giao diện web, tinh vi về chức năng, cho phép bạn tạo các hệ thống phân tán và có khả năng chịu lỗi cao, đắt tiền
  • RADIUS miễn phí- miễn phí, được cấu hình bằng cấu hình văn bản, không thuận tiện để quản lý và giám sát

Trong trường hợp này, bộ điều khiển giám sát cẩn thận việc trao đổi thông tin đang diễn ra và chờ cấp phép thành công hoặc từ chối thông tin đó. Nếu thành công, máy chủ RADIUS có thể chuyển các tham số bổ sung đến điểm truy cập (ví dụ: đặt thuê bao vào Vlan nào, gán địa chỉ IP nào, cấu hình QoS, v.v.). Khi kết thúc quá trình trao đổi, máy chủ RADIUS cho phép máy khách và điểm truy cập tạo và trao đổi khóa mã hóa (riêng lẻ, chỉ hợp lệ cho phiên này):

EAP

Bản thân giao thức EAP dựa trên vùng chứa, nghĩa là cơ chế ủy quyền thực tế được giao cho các giao thức nội bộ. Hiện tại, những điều sau đây đã nhận được bất kỳ sự phân phối đáng kể nào:
  • EAP-NHANH CHÓNG(Xác thực linh hoạt thông qua đường hầm an toàn) - được phát triển bởi Cisco; cho phép ủy quyền bằng cách sử dụng thông tin đăng nhập và mật khẩu được truyền trong đường hầm TLS giữa người thay thế và máy chủ RADIUS
  • EAP-TLS(Bảo mật tầng vận tải). Sử dụng cơ sở hạ tầng khóa công khai (PKI) để ủy quyền cho máy khách và máy chủ (chủ thể và máy chủ RADIUS) thông qua các chứng chỉ do cơ quan chứng nhận đáng tin cậy (CA) cấp. Yêu cầu cấp và cài đặt chứng chỉ ứng dụng khách trên mỗi thiết bị không dây, do đó chỉ phù hợp với môi trường doanh nghiệp được quản lý. Máy chủ chứng chỉ Windows có các phương tiện cho phép máy khách tạo chứng chỉ riêng nếu máy khách là thành viên của một miền. Việc chặn một khách hàng có thể dễ dàng được thực hiện bằng cách thu hồi chứng chỉ của khách hàng đó (hoặc thông qua tài khoản).
  • EAP-TTLS(Bảo mật lớp truyền tải đường hầm) tương tự như EAP-TLS, nhưng không yêu cầu chứng chỉ ứng dụng khách khi tạo đường hầm. Trong đường hầm như vậy, tương tự như kết nối SSL của trình duyệt, ủy quyền bổ sung được thực hiện (sử dụng mật khẩu hoặc thứ gì khác).
  • PEAP-MSCHAPv2(EAP được bảo vệ) - tương tự như EAP-TTLS về mặt thiết lập ban đầu đường hầm TLS được mã hóa giữa máy khách và máy chủ, yêu cầu chứng chỉ máy chủ. Sau đó, một đường hầm như vậy được cấp phép bằng giao thức MSCHAPv2 nổi tiếng.
  • PEAP-GTC(Thẻ mã thông báo chung) - tương tự như thẻ trước, nhưng yêu cầu thẻ mật khẩu một lần (và cơ sở hạ tầng tương ứng)

Tất cả các phương pháp này (ngoại trừ EAP-FAST) đều yêu cầu chứng chỉ máy chủ (trên máy chủ RADIUS) do cơ quan chứng nhận (CA) cấp. Trong trường hợp này, chứng chỉ CA phải có trên thiết bị của khách hàng trong nhóm đáng tin cậy (điều này dễ thực hiện bằng Chính sách nhóm trong Windows). Ngoài ra, EAP-TLS yêu cầu chứng chỉ ứng dụng khách cá nhân. Tính xác thực của máy khách được xác minh bằng cả chữ ký số và (tùy chọn) bằng cách so sánh chứng chỉ do máy khách cung cấp với máy chủ RADIUS với những gì máy chủ lấy được từ cơ sở hạ tầng PKI (Active Directory).

Hỗ trợ cho bất kỳ phương pháp EAP nào phải được cung cấp bởi người thay thế phía khách hàng. Windows XP/Vista/7, iOS, Android tích hợp sẵn tiêu chuẩn cung cấp ít nhất EAP-TLS và EAP-MSCHAPv2, điều này làm cho các phương pháp này trở nên phổ biến. Bộ điều hợp máy khách Intel dành cho Windows đi kèm với tiện ích ProSet giúp mở rộng danh sách có sẵn. Máy khách Cisco AnyConnect cũng làm như vậy.

Nó đáng tin cậy đến mức nào?

Rốt cuộc, kẻ tấn công cần phải làm gì để hack được mạng của bạn?

Để xác thực mở, không mã hóa - không có gì. Đã kết nối với mạng và thế là xong. Vì môi trường vô tuyến mở nên tín hiệu truyền theo các hướng khác nhau nên không dễ bị chặn. Nếu bạn có bộ điều hợp máy khách thích hợp cho phép bạn nghe không khí, lưu lượng truy cập mạng sẽ hiển thị giống như khi kẻ tấn công đã kết nối với dây, với hub, với cổng SPAN của bộ chuyển mạch.
Mã hóa dựa trên WEP chỉ yêu cầu thời gian IV và một trong nhiều tiện ích quét có sẵn miễn phí.
Đối với mã hóa dựa trên TKIP hoặc AES, về mặt lý thuyết có thể giải mã trực tiếp nhưng trên thực tế chưa có trường hợp nào bị hack.

Tất nhiên, bạn có thể thử đoán khóa PSK hoặc mật khẩu cho một trong các phương pháp EAP. Các cuộc tấn công phổ biến chống lại các phương pháp này không được biết đến. Bạn có thể thử sử dụng các phương pháp kỹ thuật xã hội, hoặc