Các loại mã hóa Wi-Fi AES: mã hóa dữ liệu

Truy cập Internet băng thông rộng từ lâu đã không còn là một điều xa xỉ không chỉ ở các thành phố lớn mà còn ở các vùng sâu vùng xa. Đồng thời, nhiều người ngay lập tức mua bộ định tuyến không dây để tiết kiệm Internet di động và kết nối điện thoại thông minh, máy tính bảng và các thiết bị di động khác với đường truyền tốc độ cao. Hơn nữa, các nhà cung cấp ngày càng cài đặt bộ định tuyến có điểm truy cập không dây tích hợp cho khách hàng của họ.

Trong khi đó, không phải lúc nào người tiêu dùng cũng hiểu rõ thiết bị mạng thực sự hoạt động như thế nào và nó có thể gây ra những nguy hiểm gì. Quan niệm sai lầm chính là khách hàng tư nhân đơn giản là không nhận ra rằng liên lạc không dây có thể gây ra bất kỳ tổn hại nào cho anh ta - xét cho cùng, anh ta không phải là ngân hàng, không phải Sở Mật vụ và cũng không phải là chủ sở hữu kho nội dung khiêu dâm. Nhưng một khi bạn bắt đầu tìm ra nó, bạn sẽ ngay lập tức muốn quay lại với sợi cáp cũ tốt.

1. Sẽ không có ai hack mạng gia đình của tôi

Đây là quan niệm sai lầm chính của người dùng gia đình, dẫn đến việc bỏ bê các tiêu chuẩn an ninh mạng cơ bản. Người ta thường chấp nhận rằng nếu bạn không phải là người nổi tiếng, không phải ngân hàng hay cửa hàng trực tuyến thì sẽ không có ai lãng phí thời gian cho bạn, vì kết quả sẽ không tương xứng với những nỗ lực đã bỏ ra.

Hơn nữa, vì lý do nào đó, ý kiến liên tục lan truyền rằng các mạng không dây được cho là nhỏ khó hack hơn các mạng lớn, điều này có phần đúng, nhưng nhìn chung nó cũng chỉ là chuyện hoang đường. Rõ ràng, tuyên bố này dựa trên thực tế là các mạng cục bộ nhỏ có phạm vi truyền tín hiệu hạn chế, do đó, chỉ cần hạ mức tín hiệu xuống là đủ và tin tặc sẽ không thể phát hiện ra mạng như vậy từ một chiếc ô tô đậu gần đó hoặc từ một chiếc xe hơi đậu gần đó. quán cà phê trong khu phố.

Điều này có thể đã từng đúng, nhưng những tên trộm ngày nay được trang bị ăng-ten có độ nhạy cao có thể thu được cả những tín hiệu yếu nhất. Và việc máy tính bảng trong nhà bếp của bạn liên tục mất kết nối không có nghĩa là hacker ngồi trong ô tô cách bạn hai căn nhà sẽ không thể truy cập vào mạng không dây của bạn.

Đối với ý kiến cho rằng việc hack mạng của bạn không đáng nỗ lực thì điều này hoàn toàn không đúng: các thiết bị của bạn lưu trữ rất nhiều loại thông tin cá nhân, ở mức tối thiểu, sẽ cho phép kẻ tấn công đặt hàng mua hàng trên mạng của bạn. thay mặt, nhận một khoản vay hoặc sử dụng các phương pháp truyền thông xã hội, kỹ thuật, thậm chí còn đạt được những mục tiêu rõ ràng hơn như thâm nhập mạng lưới của chủ nhân của bạn hoặc thậm chí là đối tác của họ. Đồng thời, thái độ coi thường an ninh mạng của người dùng bình thường ngày nay đến mức việc hack mạng gia đình sẽ không khó ngay cả với những người mới bắt đầu.

2. Bạn không cần bộ định tuyến hai băng tần hoặc ba băng tần ở nhà

Người ta tin rằng các bộ định tuyến nhiều băng tần chỉ cần thiết đối với những chủ sở hữu có yêu cầu đặc biệt đối với một số lượng lớn các thiết bị muốn đạt được tốc độ tối đa hiện có của truyền thông không dây. Trong khi đó, bất kỳ ai trong chúng ta đều có thể sử dụng ít nhất một bộ định tuyến băng tần kép.

Ưu điểm chính của bộ định tuyến nhiều băng tần là các thiết bị khác nhau có thể được “phân tán” trên các băng tần khác nhau, do đó làm tăng tốc độ truyền dữ liệu tiềm năng và tất nhiên là độ tin cậy liên lạc. Ví dụ: sẽ rất nên kết nối máy tính xách tay với một băng tần, hộp giải mã tín hiệu với băng tần thứ hai và thiết bị di động với băng tần thứ ba.

3. Băng tần 5 GHz tốt hơn băng tần 2,4 GHz

Những người đánh giá cao lợi ích của dải tần 5 GHz thường khuyên mọi người nên chuyển sang dải tần này và từ bỏ hoàn toàn việc sử dụng tần số 2,4 GHz. Nhưng, như thường lệ, không phải mọi thứ đều đơn giản như vậy.

Có, về mặt vật lý, 5 GHz ít “dân cư” hơn so với 2,4 GHz phổ biến hơn – cũng bởi vì hầu hết các thiết bị dựa trên tiêu chuẩn cũ đều hoạt động ở tần số 2,4 GHz. Tuy nhiên, 5 GHz kém hơn về phạm vi liên lạc, đặc biệt là về khả năng xuyên qua tường bê tông và các chướng ngại vật khác.

Nói chung, không có câu trả lời chắc chắn ở đây, chúng tôi chỉ có thể khuyên bạn nên sử dụng phạm vi mà khả năng thu sóng cụ thể của bạn tốt hơn. Rốt cuộc, có thể xảy ra rằng ở một số nơi cụ thể, băng tần 5 GHz bị quá tải với các thiết bị - mặc dù điều này rất khó xảy ra.

4. Không cần chạm vào cài đặt bộ định tuyến

Người ta cho rằng tốt hơn hết là để việc cấu hình thiết bị cho các chuyên gia và sự can thiệp của bạn chỉ có thể gây hại cho hiệu suất của mạng. Một cách phổ biến để đại diện nhà cung cấp (và quản trị viên hệ thống) đe dọa người dùng nhằm giảm khả năng cài đặt không chính xác và các cuộc gọi nội bộ tiếp theo.

Rõ ràng là nếu bạn không biết nó là gì thì tốt hơn hết là không nên chạm vào bất cứ thứ gì, nhưng ngay cả một người không chuyên cũng hoàn toàn có khả năng thay đổi một số cài đặt, tăng tính bảo mật, độ tin cậy và hiệu suất của mạng. Ít nhất hãy truy cập vào giao diện web và làm quen với những gì bạn có thể thay đổi ở đó - nhưng nếu bạn không biết nó sẽ làm gì, tốt hơn hết là bạn nên để mọi thứ như cũ.

Trong mọi trường hợp, bạn nên thực hiện bốn điều chỉnh nếu chúng chưa được thực hiện trong cài đặt bộ định tuyến của bạn:

1) Chuyển sang tiêu chuẩn mới bất cứ khi nào có thể– nếu cả bộ định tuyến và thiết bị của bạn đều hỗ trợ nó. Việc chuyển từ 802.11n sang 802.11ac sẽ tăng tốc độ đáng kể, cũng như chuyển từ 802.11b/g cũ sang 802.11n.

2) Thay đổi loại mã hóa. Một số trình cài đặt vẫn để mạng không dây tại nhà mở hoàn toàn hoặc sử dụng tiêu chuẩn mã hóa WEP đã lỗi thời. Bạn chắc chắn cần phải thay đổi loại thành WPA2 bằng mã hóa AES và mật khẩu dài phức tạp.

3) Thay đổi tên người dùng và mật khẩu mặc định. Hầu hết tất cả các nhà cung cấp đều để lại dữ liệu này theo mặc định khi cài đặt thiết bị mới - trừ khi bạn yêu cầu họ thay đổi nó một cách cụ thể. Đây là một “lỗ hổng” nổi tiếng trong mạng gia đình và bất kỳ hacker nào chắc chắn sẽ cố gắng tận dụng nó trước tiên.

4) Tắt WPS (Thiết lập được bảo vệ Wi-Fi). Công nghệ WPS thường được bật theo mặc định trong bộ định tuyến - nó được thiết kế để kết nối nhanh chóng các thiết bị di động tương thích với mạng mà không cần nhập mật khẩu dài. Đồng thời, WPS khiến mạng cục bộ của bạn rất dễ bị tấn công thông qua phương pháp “brute Force” - chỉ cần đoán mã PIN WPS gồm 8 chữ số, sau đó kẻ tấn công có thể dễ dàng truy cập vào khóa PSK WPA/WPA2. Đồng thời, do sai sót trong tiêu chuẩn nên chỉ xác định được 4 chữ số là đủ, đây chỉ là 11.000 tổ hợp, và để bẻ khóa bạn sẽ không cần phải xem hết tất cả.

5. Ẩn SSID sẽ ẩn mạng của bạn khỏi hacker

SSID là số nhận dạng dịch vụ mạng hoặc đơn giản là tên mạng của bạn, được sử dụng để thiết lập kết nối bởi nhiều thiết bị khác nhau đã từng kết nối với mạng đó. Bằng cách vô hiệu hóa tính năng phát sóng SSID, bạn sẽ không xuất hiện trong danh sách các mạng khả dụng của hàng xóm, nhưng điều này không có nghĩa là tin tặc sẽ không thể tìm thấy nó: vạch mặt SSID ẩn là một nhiệm vụ đối với người mới bắt đầu.

Đồng thời, bằng cách ẩn SSID, bạn thậm chí còn giúp tin tặc tấn công dễ dàng hơn: tất cả các thiết bị cố gắng kết nối với mạng của bạn sẽ thử các điểm truy cập gần nhất và có thể kết nối với các mạng “bẫy” do kẻ tấn công đặc biệt tạo ra. Bạn có thể triển khai một mạng mở thay thế như vậy theo SSID được tiết lộ của riêng bạn, mạng mà các thiết bị của bạn sẽ tự động kết nối.

Do đó, khuyến nghị chung là: đặt tên cho mạng của bạn không đề cập đến nhà cung cấp, nhà sản xuất bộ định tuyến hoặc bất kỳ thông tin cá nhân nào cho phép bạn nhận dạng bạn và thực hiện các cuộc tấn công có chủ đích vào các điểm yếu.

6. Không cần mã hóa nếu bạn có phần mềm chống vi-rút và tường lửa

Một ví dụ điển hình về sự ấm áp bị nhầm lẫn với sự mềm mại. Các chương trình này bảo vệ khỏi các mối đe dọa phần mềm trực tuyến hoặc đã có trên mạng của bạn; chúng không bảo vệ bạn khỏi việc chặn dữ liệu được truyền giữa bộ định tuyến và máy tính của bạn.

Để đảm bảo an ninh mạng, bạn cần một bộ công cụ, bao gồm các giao thức mã hóa, tường lửa phần cứng hoặc phần mềm và các gói chống vi-rút.

7. Mã hóa WEP là đủ cho mạng gia đình của bạn

WEP không an toàn dưới bất kỳ hình thức nào và có thể bị hack trong vài phút bằng điện thoại thông minh. Về mặt bảo mật, nó khác rất ít so với một mạng hoàn toàn mở và đây là vấn đề chính của nó. Nếu quan tâm đến lịch sử của vấn đề, bạn có thể tìm thấy rất nhiều tài liệu trên Internet cho rằng WEP đã dễ dàng bị phá vỡ vào đầu những năm 2000. Bạn có cần loại “bảo mật” này không?

8. Không thể hack bộ định tuyến có mã hóa WPA2-AES

Nếu chúng ta đặt “một bộ định tuyến hình cầu có mã hóa WPA2-AES trong chân không” thì điều này đúng: theo ước tính gần đây, với sức mạnh tính toán hiện tại, việc bẻ khóa AES bằng phương pháp vũ phu sẽ mất hàng tỷ năm. Vâng, hàng tỷ.

Nhưng điều này không có nghĩa là AES sẽ không cho phép hacker lấy được dữ liệu của bạn. Như mọi khi, vấn đề chính vẫn là yếu tố con người. Trong trường hợp này, phần lớn phụ thuộc vào mức độ phức tạp và được viết tốt của mật khẩu của bạn. Với cách tiếp cận “hàng ngày” để tìm ra mật khẩu, các phương pháp kỹ thuật xã hội sẽ đủ để bẻ khóa WPA2-AES trong một thời gian khá ngắn.

Cách đây không lâu, chúng tôi đã nói chi tiết về các quy tắc tạo mật khẩu tốt, vì vậy chúng tôi giới thiệu những người quan tâm đến bài viết này.

9. Mã hóa WPA2-AES làm giảm tốc độ truyền dữ liệu

Về mặt kỹ thuật, điều này đúng, nhưng các bộ định tuyến hiện đại có phần cứng để giữ mức giảm này ở mức tối thiểu. Nếu bạn đang gặp phải tình trạng kết nối chậm đáng kể, điều đó có nghĩa là bạn đang sử dụng bộ định tuyến cũ hơn có triển khai các tiêu chuẩn và giao thức hơi khác một chút. Ví dụ: WPA2-TKIP. Bản thân TKIP an toàn hơn WEP tiền nhiệm nhưng là một giải pháp thỏa hiệp cho phép sử dụng phần cứng cũ hơn với các giao thức hiện đại và an toàn hơn. Để “kết bạn” với TKIP với kiểu mã hóa AES mới, nhiều thủ thuật phần mềm đã được sử dụng khiến tốc độ truyền dữ liệu bị chậm lại.

Trở lại năm 2012, tiêu chuẩn 802.11 được coi là TKIP không đủ an toàn nhưng nó vẫn thường được tìm thấy trong các bộ định tuyến cũ. Chỉ có một giải pháp cho vấn đề - mua một mẫu hiện đại.

10. Không cần thay đổi bộ định tuyến đang hoạt động

Nguyên tắc là dành cho những người ngày nay khá hài lòng với máy đánh chữ cơ học và điện thoại có mặt số. Các tiêu chuẩn truyền thông không dây mới xuất hiện thường xuyên và mỗi lúc như vậy không chỉ tốc độ truyền dữ liệu mà còn cả an ninh mạng cũng tăng lên.

Ngày nay, với tiêu chuẩn 802.11ac cho phép tốc độ truyền dữ liệu trên 50 Mbps, bộ định tuyến cũ hơn hỗ trợ 802.11n và tất cả các tiêu chuẩn trước đó có thể hạn chế thông lượng mạng tiềm năng. Trong trường hợp gói cước cung cấp tốc độ trên 100 Mbit/s, bạn sẽ chỉ phải trả thêm tiền mà không nhận được dịch vụ chính thức.

Tất nhiên, không cần thiết phải khẩn trương thay đổi bộ định tuyến đang hoạt động, nhưng một ngày đẹp trời sẽ đến lúc không một thiết bị hiện đại nào có thể kết nối với nó.

TKIP và AES là hai loại mã hóa thay thế được sử dụng trong chế độ bảo mật WPA và WPA2. Trong cài đặt bảo mật mạng không dây của bộ định tuyến và điểm truy cập, bạn có thể chọn một trong ba tùy chọn mã hóa:

TKIP;
TKIP+AES.

Nếu bạn chọn tùy chọn thứ hai (kết hợp), máy khách sẽ có thể kết nối với điểm truy cập bằng một trong hai thuật toán.

TKIP hay AES? Cái gì tốt hơn?

Trả lời: đối với các thiết bị hiện đại thì thuật toán AES chắc chắn phù hợp hơn.

Chỉ sử dụng TKIP nếu bạn gặp vấn đề khi chọn cái đầu tiên (đôi khi xảy ra trường hợp khi sử dụng mã hóa AES, kết nối với điểm truy cập bị gián đoạn hoặc hoàn toàn không được thiết lập. Điều này thường được gọi là không tương thích thiết bị).

Sự khác biệt là gì

AES là một thuật toán hiện đại và an toàn hơn. Nó tương thích với chuẩn 802.11n và cung cấp tốc độ truyền dữ liệu cao.

TKIP không còn được dùng nữa. Nó có mức độ bảo mật thấp hơn và hỗ trợ tốc độ truyền dữ liệu lên tới 54 Mbit/s.

Cách chuyển từ TKIP sang AES

Trường hợp 1. Điểm truy cập hoạt động ở chế độ TKIP+AES

Trong trường hợp này, bạn chỉ cần thay đổi kiểu mã hóa trên thiết bị khách. Cách dễ nhất để thực hiện việc này là xóa cấu hình mạng và kết nối lại.

Trường hợp 2: Access point chỉ sử dụng TKIP

Trong trường hợp này:

1. Đầu tiên, hãy chuyển đến giao diện web của điểm truy cập (hoặc bộ định tuyến tương ứng). Thay đổi mã hóa thành AES và lưu cài đặt (đọc thêm bên dưới).

2. Thay đổi mã hóa trên thiết bị khách (chi tiết hơn trong đoạn tiếp theo). Và một lần nữa, việc quên mạng và kết nối lại với mạng sẽ dễ dàng hơn bằng cách nhập khóa bảo mật.

Kích hoạt mã hóa AES trên bộ định tuyến

Sử dụng D-Link làm ví dụ

Đi đến phần Cài đặt wireless.

Nhấn vào nút Thiết lập kết nối không dây thủ công.

Đặt chế độ bảo mật WPA2-PSK.

Tìm một mục loại mật mã và đặt giá trị AES.

Nhấp chuột Lưu các thiết lập.

Lấy TP-Link làm ví dụ

Phần mở Không dây.

Chọn một mục Bảo mật không dây.

Trong lĩnh vực Phiên bản lựa chọn WPA2-PSK.

Trong lĩnh vực Mã hóa lựa chọn AES.

Nhấn vào nút Cứu:

Thay đổi loại mã hóa không dây trong Windows

Windows 10 và Windows 8.1

Các phiên bản hệ điều hành này không có tệp . Do đó, có ba tùy chọn để thay đổi mã hóa.

Lựa chọn 1. Bản thân Windows sẽ phát hiện sự không khớp trong cài đặt mạng và nhắc bạn nhập lại khóa bảo mật. Trong trường hợp này, thuật toán mã hóa chính xác sẽ được cài đặt tự động.

Lựa chọn 2. Windows sẽ không thể kết nối và sẽ đề nghị quên mạng bằng cách hiển thị nút tương ứng:

Sau này, bạn sẽ có thể kết nối với mạng của mình mà không gặp vấn đề gì, bởi vì... hồ sơ của cô ấy sẽ bị xóa.

Tùy chọn 3. Bạn sẽ phải xóa cấu hình mạng theo cách thủ công thông qua dòng lệnh và chỉ sau đó kết nối lại với mạng.

Thực hiện theo các bước sau:

1 Khởi chạy dấu nhắc lệnh.

2 Nhập lệnh:

Netsh wlan hiển thị hồ sơ

để hiển thị danh sách các cấu hình mạng không dây đã lưu.

3 Bây giờ nhập lệnh:

Netsh wlan xóa hồ sơ "tên mạng của bạn"

để xóa hồ sơ đã chọn.

Nếu tên mạng có khoảng trắng (ví dụ: "wifi 2"), đặt nó trong dấu ngoặc kép.

Hình ảnh hiển thị tất cả các hành động được mô tả:

4 Bây giờ hãy nhấp vào biểu tượng mạng không dây trên thanh tác vụ:

5 Chọn một mạng.

6 Nhấp chuột Kết nối:

7 Nhập khóa bảo mật của bạn.

Windows 7

Mọi thứ ở đây đơn giản và rõ ràng hơn.

1 Nhấp vào biểu tượng mạng không dây trên thanh tác vụ.

3 Nhấp vào liên kết Quản lý mạng không dây:

4 Nhấp chuột phải vào hồ sơ của mạng mong muốn.

5 Chọn Của cải:

Chú ý! Ở bước này bạn cũng có thể nhấp vào Xóa mạng và chỉ cần kết nối lại với nó! Nếu bạn quyết định làm điều này, bạn không cần phải đọc thêm nữa.

6 Đi tới tab Sự an toàn.

Trước khi đọc tài liệu này, bạn nên đọc các bài viết trước trong loạt bài này:

Chúng tôi xây dựng một mạng bằng chính đôi tay của mình và kết nối nó với Internet, phần một - xây dựng mạng Ethernet có dây (không có bộ chuyển mạch, trong trường hợp có hai máy tính và có bộ chuyển mạch, cũng như khi có ba máy trở lên ) và tổ chức truy cập Internet thông qua một trong các máy tính trong mạng, trên đó có hai card mạng và cài đặt hệ điều hành Windows XP Pro.
Phần hai: thiết lập thiết bị không dây trong mạng ngang hàng - các vấn đề tổ chức mạng sẽ được thảo luận khi chỉ sử dụng bộ điều hợp không dây.

Trong bài viết trước, chỉ có một vài từ được dành cho việc mã hóa trong mạng không dây và hứa hẹn sẽ đề cập đến vấn đề này trong một bài viết riêng. Hôm nay chúng tôi đang thực hiện cam kết của mình :)

Đầu tiên, một chút lý thuyết.

Mã hóa dữ liệu trong mạng không dây nhận được rất nhiều sự chú ý do bản chất của các mạng đó. Dữ liệu được truyền không dây bằng sóng vô tuyến, thường sử dụng ăng-ten đa hướng. Do đó, mọi người đều nghe thấy dữ liệu - không chỉ người được nhắm đến mà còn cả người hàng xóm sống sau bức tường hoặc “người quan tâm” đang cầm máy tính xách tay dưới cửa sổ. Tất nhiên, khoảng cách mà mạng không dây hoạt động (không có bộ khuếch đại hoặc ăng-ten định hướng) là nhỏ - khoảng 100 mét trong điều kiện lý tưởng. Tường, cây cối và các chướng ngại vật khác làm giảm tín hiệu rất nhiều, nhưng điều này vẫn không giải quyết được vấn đề.

Ban đầu, chỉ SSID (tên mạng) được sử dụng để bảo vệ. Tuy nhiên, nói chung, phương pháp này có thể được gọi là phương pháp bảo vệ có phạm vi rộng - SSID được truyền ở dạng văn bản rõ ràng và không ai ngăn cản kẻ tấn công nghe lén nó và sau đó thay thế cái mong muốn trong cài đặt của anh ta. Chưa kể rằng (điều này áp dụng cho các điểm truy cập) có thể bật chế độ phát sóng cho SSID, tức là. nó sẽ được phát sóng bắt buộc cho mọi người nghe.

Do đó, cần có sự mã hóa dữ liệu. Tiêu chuẩn đầu tiên như vậy là WEP - Quyền riêng tư tương đương có dây. Mã hóa được thực hiện bằng khóa 40 hoặc 104 bit (mã hóa luồng bằng thuật toán RC4 trên khóa tĩnh). Và bản thân khóa là một tập hợp các ký tự ASCII có độ dài 5 (đối với khóa 40 bit) hoặc 13 (đối với khóa 104 bit). Tập hợp các ký tự này được dịch thành một chuỗi các chữ số thập lục phân, là khóa. Trình điều khiển từ nhiều nhà sản xuất cho phép bạn nhập trực tiếp các giá trị thập lục phân (có cùng độ dài) thay vì một bộ ký tự ASCII. Xin lưu ý rằng các thuật toán chuyển đổi từ chuỗi ký tự ASCII sang giá trị khóa thập lục phân có thể khác nhau giữa các nhà sản xuất khác nhau. Do đó, nếu mạng của bạn sử dụng thiết bị không dây không đồng nhất và bạn không thể định cấu hình mã hóa WEP bằng cụm từ khóa ASCII, thay vào đó hãy thử nhập khóa ở định dạng thập lục phân.

Nhưng còn tuyên bố của nhà sản xuất về việc hỗ trợ mã hóa 64 và 128-bit thì sao? Đúng vậy, hoạt động tiếp thị đóng một vai trò ở đây - 64 lớn hơn 40 và 128 là 104. Trên thực tế, mã hóa dữ liệu xảy ra bằng cách sử dụng độ dài khóa là 40 hoặc 104. Nhưng ngoài cụm từ ASCII (thành phần tĩnh của khóa), cũng có một thứ như Vector khởi tạo - IV - vector khởi tạo. Nó dùng để ngẫu nhiên hóa phần còn lại của khóa. Vector được chọn ngẫu nhiên và thay đổi linh hoạt trong quá trình hoạt động. Về nguyên tắc, đây là một giải pháp hợp lý vì nó cho phép bạn đưa một thành phần ngẫu nhiên vào khóa. Độ dài vectơ là 24 bit, do đó tổng chiều dài khóa sẽ là 64 (40+24) hoặc 128 (104+24) bit.

Mọi thứ sẽ ổn, nhưng thuật toán mã hóa được sử dụng (RC4) hiện không đặc biệt mạnh - nếu thực sự muốn, bạn có thể tìm thấy khóa bằng vũ lực trong một thời gian tương đối ngắn. Tuy nhiên, lỗ hổng chính của WEP có liên quan chính xác đến vectơ khởi tạo. IV chỉ dài 24 bit. Điều này mang lại cho chúng ta khoảng 16 triệu kết hợp - 16 triệu vectơ khác nhau. Dù con số “16 triệu” nghe có vẻ khá ấn tượng nhưng mọi thứ trên đời đều chỉ là tương đối. Trong công việc thực tế, tất cả các tùy chọn khóa có thể có sẽ được sử dụng trong khoảng thời gian từ mười phút đến vài giờ (đối với khóa 40 bit). Sau đó, các vectơ sẽ bắt đầu lặp lại. Kẻ tấn công chỉ cần thu thập đủ số lượng gói bằng cách lắng nghe lưu lượng mạng không dây và tìm ra những sự lặp lại này. Sau đó, việc chọn thành phần tĩnh của khóa (cụm từ ASCII) không mất nhiều thời gian.

Nhưng đó không phải là tất cả. Có cái gọi là vectơ khởi tạo “không ổn định”. Việc sử dụng các vectơ như vậy trong khóa cho phép kẻ tấn công gần như ngay lập tức bắt đầu chọn phần tĩnh của khóa, thay vì đợi vài giờ, tích lũy lưu lượng truy cập mạng một cách thụ động. Nhiều nhà sản xuất tích hợp vào phần mềm (hoặc phần cứng của thiết bị không dây) việc kiểm tra các vectơ như vậy và nếu tìm thấy các vectơ tương tự, chúng sẽ bị loại bỏ một cách âm thầm, tức là. không tham gia vào quá trình mã hóa. Thật không may, không phải tất cả các thiết bị đều có chức năng này.

Hiện nay, một số nhà sản xuất thiết bị không dây cung cấp “phiên bản mở rộng” của thuật toán WEP - họ sử dụng các khóa dài hơn 128 (chính xác hơn là 104) bit. Nhưng trong các thuật toán này chỉ có thành phần tĩnh của khóa được tăng lên. Độ dài của vectơ khởi tạo vẫn giữ nguyên, kèm theo mọi hệ lụy sau đó (nói cách khác, chúng ta chỉ tăng thời gian chọn khóa tĩnh). Không cần phải nói rằng các thuật toán WEP với độ dài khóa mở rộng có thể không tương thích giữa các nhà sản xuất khác nhau.

Bạn có làm tôi sợ không? ;-)

Thật không may, khi sử dụng giao thức 802.11b, bạn không thể chọn bất cứ thứ gì ngoài WEP. Chính xác hơn, một số nhà sản xuất (thiểu số) cung cấp nhiều triển khai mã hóa WPA khác nhau (sử dụng phương pháp phần mềm), ổn định hơn nhiều so với WEP. Nhưng những “bản vá” này không tương thích ngay cả trong thiết bị của cùng một nhà sản xuất. Nói chung, khi sử dụng thiết bị 802.11b, chỉ có ba cách để mã hóa lưu lượng truy cập của bạn:

1. Sử dụng WEP với độ dài khóa tối đa (128 bit trở lên), nếu thiết bị hỗ trợ thay đổi chu kỳ các khóa từ danh sách (tối đa bốn khóa trong danh sách), thì nên kích hoạt thay đổi này.
2. Sử dụng chuẩn 802.1x
3. Sử dụng phần mềm của bên thứ ba để tổ chức các đường hầm VPN (luồng dữ liệu được mã hóa) qua mạng không dây. Để thực hiện việc này, một máy chủ VPN (thường có hỗ trợ pptp) được cài đặt trên một trong các máy và máy khách VPN được cấu hình trên các máy khác. Chủ đề này cần được xem xét riêng và nằm ngoài phạm vi của bài viết này.

802.1x sử dụng nhiều giao thức cho hoạt động của nó:

EAP (Giao thức xác thực mở rộng) - giao thức xác thực mở rộng của người dùng hoặc thiết bị từ xa;
TLS (Transport Layer Security) là giao thức bảo mật lớp vận chuyển, nó đảm bảo tính toàn vẹn của việc truyền dữ liệu giữa máy chủ và máy khách, cũng như xác thực lẫn nhau của chúng;
RADIUS (Máy chủ người dùng quay số xác thực từ xa) - máy chủ xác thực cho máy khách từ xa. Nó cung cấp xác thực người dùng.

Giao thức 802.1x cung cấp xác thực cho các máy khách từ xa và cung cấp cho chúng các khóa tạm thời để mã hóa dữ liệu. Các khóa (ở dạng mã hóa) được gửi đến máy khách trong một khoảng thời gian ngắn, sau đó một khóa mới sẽ được tạo và gửi. Thuật toán mã hóa không thay đổi - RC4 giống nhau, nhưng việc xoay khóa thường xuyên khiến nó rất khó bị bẻ khóa. Giao thức này chỉ được hỗ trợ trong hệ điều hành (từ Microsoft) Windows XP. Nhược điểm lớn của nó (đối với người dùng cuối) là giao thức yêu cầu máy chủ RADIUS, rất có thể sẽ không tồn tại trên mạng gia đình.

Các thiết bị hỗ trợ chuẩn 802.11g hỗ trợ thuật toán mã hóa cải tiến WPA - Wi-Fi Protected Access. Nhìn chung, đây là một tiêu chuẩn tạm thời được thiết kế để lấp đầy khoảng trống bảo mật cho đến khi giao thức IEEE 802.11i (còn gọi là WPA2) xuất hiện. WPA bao gồm 802.1X, EAP, TKIP và MIC.

Trong số các giao thức chưa được kiểm tra, TKIP và MIC xuất hiện ở đây:

TKIP (Giao thức toàn vẹn khóa tạm thời) là việc triển khai các khóa mã hóa động, ngoài ra, mỗi thiết bị trên mạng cũng nhận được khóa Master riêng (cũng thay đổi theo thời gian). Khóa mã hóa dài 128 bit và được tạo bằng thuật toán phức tạp và tổng số tùy chọn khóa có thể lên tới hàng trăm tỷ và chúng thay đổi rất thường xuyên. Tuy nhiên, thuật toán mã hóa được sử dụng vẫn là RC4.
MIC (Kiểm tra tính toàn vẹn tin nhắn) là một giao thức kiểm tra tính toàn vẹn gói. Giao thức cho phép bạn loại bỏ các gói đã được bên thứ ba “chèn” vào kênh, tức là. đã không đến từ một người gửi hợp lệ.

Số lượng lớn các ưu điểm của giao thức TKIP không bù đắp được nhược điểm chính của nó - thuật toán RC4 được sử dụng để mã hóa. Mặc dù cho đến nay vẫn chưa có trường hợp hack WPA dựa trên TKIP nào được báo cáo, nhưng ai biết được tương lai sẽ ra sao? Vì vậy, hiện nay việc sử dụng chuẩn AES (Advanced Encryption Standard) đang thay thế TKIP ngày càng trở nên phổ biến. Nhân tiện, trong tiêu chuẩn WPA2 trong tương lai, bắt buộc phải sử dụng AES để mã hóa.

Có thể rút ra kết luận gì?

nếu chỉ có thiết bị 802.11g trên mạng thì tốt hơn nên sử dụng mã hóa dựa trên WPA;
nếu có thể (nếu được tất cả các thiết bị hỗ trợ), hãy bật mã hóa AES;

Hãy chuyển sang thiết lập trực tiếp mã hóa trên thiết bị. Tôi đang sử dụng bộ điều hợp không dây giống như trong bài viết trước:

Bộ chuyển đổi Cardbus Asus WL-100g được cài đặt trên máy tính xách tay. Giao diện quản lý card là tiện ích của ASUS (ASUS WLAN Control Center).

Bộ chuyển đổi ngoài với giao diện USB ASUS WL-140. Bộ điều hợp được điều khiển thông qua giao diện được tích hợp trong Windows XP (Cấu hình không dây Zero). Card này là 802.11b nên không hỗ trợ WPA.

Bo mạch giao diện PCI Asus WL-130g. Giao diện điều khiển được triển khai từ (nhà sản xuất chipset của thẻ PCI này).

Trung tâm điều khiển ASUS WLAN - ASUS WL-100g

Hãy bắt đầu bằng cách thiết lập mã hóa trong giao diện quản lý Trung tâm điều khiển ASUS WLAN. Mọi cài đặt đều tập trung ở phần Mã hóa. Đầu tiên, chọn loại xác thực ( Xác thực mạng), chúng tôi có sẵn ba loại: Hệ thống mở, Khóa chia sẻ và WPA.

1. Mã hóa WEP.

Các loại Khóa chia sẻ/Hệ thống mở là tập hợp con của thuật toán xác thực được tích hợp trong WEP. Chế độ Hệ thống mở không an toàn và không được khuyến khích bật khi Khóa chia sẻ có thể được kích hoạt. Điều này là do ở chế độ Hệ thống mở, để vào mạng không dây (liên kết với trạm hoặc điểm truy cập khác), chỉ cần biết SSID của mạng là đủ và ở chế độ Khóa chia sẻ, bạn cũng cần đặt WEP khóa mã hóa chung cho toàn bộ mạng.

Tiếp theo, chọn Mã hóa - WEP, kích thước khóa - 128 bit (tốt hơn hết là không nên sử dụng khóa 64 bit). Chúng tôi chọn định dạng khóa, HEX (nhập khóa ở dạng thập lục phân) hoặc tạo khóa từ chuỗi ASCII (đừng quên rằng thuật toán tạo có thể khác nhau giữa các nhà sản xuất). Chúng tôi cũng lưu ý rằng khóa (hoặc các khóa) WEP phải giống nhau trên tất cả các thiết bị trên cùng một mạng. Bạn có thể nhập tổng cộng tối đa bốn phím. Mục cuối cùng là chọn phím nào sẽ được sử dụng (Khóa mặc định). Trong trường hợp này, có một cách khác - bắt đầu sử dụng tuần tự cả bốn khóa, điều này sẽ tăng cường tính bảo mật. (chỉ tương thích với các thiết bị của cùng một nhà sản xuất).

2. Mã hóa WPA.

Nếu được hỗ trợ trên tất cả các thiết bị (thường là thiết bị 802.11g), chúng tôi khuyên bạn nên sử dụng chế độ này thay vì WEP đã lỗi thời và dễ bị tấn công.

Thông thường, các thiết bị không dây hỗ trợ hai chế độ WPA:

Tiêu chuẩn WPA. Nó không phù hợp với chúng tôi vì nó yêu cầu máy chủ RADIUS trên mạng (và nó chỉ hoạt động cùng với một điểm truy cập).
WPA-PSK - WPA có hỗ trợ Khóa chia sẻ trước (khóa được xác định trước). Và đây là điều cần thiết - khóa (giống nhau cho tất cả các thiết bị) được đặt thủ công trên tất cả các bộ điều hợp không dây và việc xác thực chính của các trạm được thực hiện thông qua nó.

Bạn có thể chọn TKIP hoặc AES làm thuật toán mã hóa. Cái sau không được triển khai trên tất cả các máy khách không dây, nhưng nếu nó được hỗ trợ bởi tất cả các trạm thì tốt hơn là bạn nên gắn bó với nó. Khóa mạng không dây giống như Khóa chia sẻ trước chung. Nên làm dài hơn và không sử dụng một từ nào trong từ điển hoặc một bộ từ. Lý tưởng nhất, nó phải là một loại gobbledygook nào đó.

Sau khi nhấp vào nút Áp dụng (hoặc Ok), các cài đặt đã chỉ định sẽ được áp dụng cho card không dây. Tại thời điểm này, quy trình thiết lập mã hóa trên đó có thể được coi là hoàn tất.

Giao diện điều khiển do Ralink thực hiện - Asus WL-130g

Thiết lập không khác lắm so với giao diện đã được thảo luận từ ASUS WLAN CC. Trong cửa sổ giao diện mở ra, bạn tìm đến tab Hồ sơ, chọn cấu hình mong muốn và nhấp vào Biên tập.

1. Mã hóa WEP.

Mã hóa được cấu hình trong tab Xác thực và bảo mật. Nếu mã hóa WEP được kích hoạt, hãy chọn Chia sẻ trong Loại xác thực(tức là khóa chung).

Chọn loại mã hóa - WEP và nhập tối đa bốn khóa ASCII hoặc thập lục phân. Độ dài khóa không thể được đặt trong giao diện; khóa 128 bit sẽ được sử dụng ngay lập tức.

2. Mã hóa WPA.

Nếu ở Loại xác thực chọn WPA-None, sau đó chúng ta sẽ kích hoạt mã hóa khóa chia sẻ WPA. Chọn loại mã hóa ( Mã hóa) TKIP hoặc AES và nhập khóa chia sẻ ( Khóa chia sẻ trước WPA).

Điều này kết thúc việc cấu hình mã hóa trong giao diện này. Để lưu cài đặt trong hồ sơ của bạn, chỉ cần nhấp vào nút Được rồi.

Cấu hình không dây Zero (Giao diện tích hợp Windows) - ASUS WL-140

ASUS WL-140 là card 802.11b nên chỉ hỗ trợ mã hóa WEP.

1. Mã hóa WEP.

Trong cài đặt của bộ điều hợp không dây, hãy chuyển đến tab Mạng không dây. Tiếp theo, chọn mạng không dây của chúng tôi và nhấn nút Điều chỉnh.

Trong cửa sổ xuất hiện, kích hoạt Mã hóa dữ liệu. Chúng tôi cũng kích hoạt Xác thực mạng, việc tắt mục này sẽ kích hoạt xác thực loại “Hệ thống mở”, tức là. bất kỳ khách hàng nào cũng có thể kết nối với mạng khi biết SSID của nó.

Nhập khóa mạng (và lặp lại nó ở trường tiếp theo). Chúng tôi kiểm tra chỉ mục của nó (số thứ tự), thường nó bằng một (tức là khóa đầu tiên). Số khóa phải giống nhau trên tất cả các thiết bị.

Khóa (mật khẩu mạng), như hệ điều hành cho chúng ta biết, phải chứa 5 hoặc 13 ký tự hoặc được nhập hoàn toàn ở dạng thập lục phân. Một lần nữa, xin lưu ý rằng thuật toán chuyển đổi khóa từ ký hiệu sang thập lục phân có thể khác nhau giữa Microsoft và nhà sản xuất giao diện riêng của họ để quản lý bộ điều hợp không dây, vì vậy sẽ đáng tin cậy hơn khi nhập khóa ở dạng thập lục phân (tức là các số từ 0 đến 9 và các chữ cái từ A đến F).

Ngoài ra còn có một lá cờ trong giao diện chịu trách nhiệm Cung cấp khóa tự động, nhưng tôi không biết chính xác nó sẽ hoạt động ở đâu. Phần trợ giúp nói rằng khóa có thể được nhà sản xuất gắn vào bộ điều hợp không dây. Nói chung, tốt hơn hết là không nên kích hoạt tính năng này.

Tại thời điểm này, việc thiết lập mã hóa cho bộ điều hợp 802.11b có thể được coi là hoàn tất.

Nhân tiện, về sự trợ giúp được tích hợp trong HĐH. Hầu hết những gì được nói ở đây và nhiều hơn nữa có thể được tìm thấy trong Trung tâm trợ giúp và hỗ trợ, có hệ thống trợ giúp tốt, bạn chỉ cần nhập từ khóa và bấm vào mũi tên tìm kiếm màu xanh.

2. Mã hóa WPA.

Sau khi kiểm tra cài đặt mã hóa bằng ví dụ về bộ điều hợp ASUS WL-140 802.11b, chúng tôi không đề cập đến cài đặt WPA trong Windows vì thẻ không hỗ trợ chế độ này. Hãy xem xét khía cạnh này bằng ví dụ về một bộ chuyển đổi khác - ASUS WL-100g. Khả năng định cấu hình WPA trong Windows XP xuất hiện khi cài đặt Gói dịch vụ phiên bản 2 (hoặc các bản cập nhật tương ứng có trên trang web của Microsoft).

Service Pack 2 mở rộng đáng kể chức năng và sự tiện lợi của cài đặt mạng không dây. Mặc dù các mục menu chính không thay đổi nhưng những mục mới đã được thêm vào.

Mã hóa được cấu hình theo cách tiêu chuẩn: trước tiên hãy chọn biểu tượng bộ điều hợp không dây, sau đó nhấn nút Của cải.

Đi đến dấu trang Mạng không dây và chọn mạng mà chúng tôi sẽ cấu hình (thường chỉ có một mạng). Nhấp chuột Của cải.

Trong cửa sổ xuất hiện, chọn WPA-None, tức là. WPA với các khóa chia sẻ trước (nếu bạn chọn Tương thích, thì chúng tôi sẽ kích hoạt chế độ cấu hình mã hóa WEP, chế độ này đã được mô tả ở trên).

Chọn AES hoặc TKIP (nếu tất cả các thiết bị trên mạng đều hỗ trợ AES thì tốt hơn nên chọn nó) và nhập khóa WPA hai lần (lần thứ hai trong trường xác nhận). Tốt nhất là một cái gì đó dài và khó nhặt.

Sau khi nhấp vào Được rồi việc thiết lập mã hóa WPA cũng có thể được coi là hoàn tất.

Tóm lại, đôi lời về trình hướng dẫn thiết lập mạng không dây xuất hiện cùng với Gói Dịch vụ 2.

Trong thuộc tính của bộ điều hợp mạng, chọn nút Mạng không dây.

Trong cửa sổ hiện ra, bấm vào Thiết lập mạng không dây.

Ở đây họ cho chúng tôi biết chúng tôi đã kết thúc ở đâu. Nhấp chuột Hơn nữa.

Chọn Thiết lập mạng không dây. (Nếu bạn chọn Thêm vào, sau đó bạn có thể tạo hồ sơ cho các máy tính khác trên cùng mạng không dây).

Trong cửa sổ xuất hiện, hãy đặt SSID mạng, kích hoạt mã hóa WPA, nếu có thể và chọn phương thức nhập khóa. Bạn có thể để việc tạo cho hệ điều hành hoặc nhập phím theo cách thủ công. Nếu cái đầu tiên được chọn, một cửa sổ sẽ bật lên yêu cầu bạn nhập khóa (hoặc các phím) cần thiết.

Trong một tệp văn bản, để nhập thủ công tiếp theo trên các máy khác.
Lưu cấu hình trên ổ flash USB để tự động nhập vào các máy khác chạy Windows XP có tích hợp Gói dịch vụ phiên bản 2.

Nếu chế độ lưu Flash được chọn, thì trong cửa sổ tiếp theo, bạn sẽ được nhắc chèn phương tiện Flash và chọn nó từ menu.

Nếu chọn lưu tham số thủ công thì sau khi nhấn nút Kiểu…

... một tệp văn bản có các thông số của mạng được định cấu hình sẽ được hiển thị. Xin lưu ý rằng các khóa ngẫu nhiên và dài (tức là tốt) được tạo nhưng TKIP được sử dụng làm thuật toán mã hóa. Thuật toán AES sau này có thể được bật thủ công trong cài đặt, như được mô tả ở trên.

Tổng cộng

Chúng ta đã hoàn tất việc thiết lập mã hóa trên tất cả các bộ điều hợp không dây. Bây giờ bạn có thể kiểm tra xem các máy tính có thể nhìn thấy nhau hay không. Cách thực hiện việc này đã được mô tả trong phần thứ hai của loạt bài “Mạng tự làm” (chúng tôi tiến hành tương tự như phương pháp khi chưa bật mã hóa trên mạng).

Nếu chúng tôi gặp sự cố và không phải tất cả các máy tính đều nhìn thấy nhau, thì chúng tôi sẽ kiểm tra cài đặt chung của bộ điều hợp:

Thuật toán xác thực phải giống nhau đối với mọi người (Khóa chia sẻ hoặc WPA);
Thuật toán mã hóa phải giống nhau đối với mọi người (WEP-128bit, WPA-TKIP hoặc WPA-AES);
Độ dài khóa (trong trường hợp mã hóa WEP) phải giống nhau đối với tất cả các trạm trên mạng (độ dài thông thường là 128bit);
Bản thân khóa phải giống nhau ở tất cả các trạm trên mạng. Nếu WEP được sử dụng thì nguyên nhân có thể là do việc sử dụng khóa ASCII và mạng sử dụng thiết bị không đồng nhất (từ các nhà sản xuất khác nhau). Hãy thử nhập khóa theo ký hiệu thập lục phân.

Giao thức WPA2được xác định theo tiêu chuẩn IEEE 802.11i, được tạo ra vào năm 2004 để thay thế . Nó thực hiện CCMP và mã hóa AES, nhờ đó mà WPA2 trở nên an toàn hơn so với người tiền nhiệm của nó. Hỗ trợ từ năm 2006 WPA2 là yêu cầu đối với tất cả các thiết bị được chứng nhận.

Sự khác biệt giữa WPA và WPA2

Việc tìm ra sự khác biệt giữa WPA2 và WPA2 không phù hợp với hầu hết người dùng, vì tất cả việc bảo vệ mạng không dây đều phụ thuộc vào việc chọn mật khẩu truy cập phức tạp hơn hoặc ít hơn. Ngày nay, tình hình là tất cả các thiết bị hoạt động trong mạng Wi-Fi đều phải hỗ trợ WPA2, vì vậy việc lựa chọn WPA chỉ có thể được xác định trong các tình huống không chuẩn. Ví dụ: hệ điều hành cũ hơn Windows XP SP3 không hỗ trợ WPA2 nếu không áp dụng các bản vá, vì vậy các máy và thiết bị được quản lý bởi các hệ thống đó cần có sự quan tâm của quản trị viên mạng. Ngay cả một số điện thoại thông minh hiện đại cũng có thể không hỗ trợ giao thức mã hóa mới; điều này chủ yếu áp dụng cho các thiết bị không có thương hiệu ở châu Á. Mặt khác, một số phiên bản Windows cũ hơn XP không hỗ trợ làm việc với WPA2 ở cấp độ GPO, vì vậy trong trường hợp này, chúng yêu cầu kết nối mạng tinh chỉnh hơn.

Sự khác biệt về mặt kỹ thuật giữa WPA và WPA2 là công nghệ mã hóa, đặc biệt là các giao thức được sử dụng. WPA sử dụng giao thức TKIP, WPA2 sử dụng giao thức AES. Trong thực tế, điều này có nghĩa là WPA2 hiện đại hơn sẽ cung cấp mức độ bảo mật mạng cao hơn. Ví dụ: giao thức TKIP cho phép bạn tạo khóa xác thực có kích thước lên tới 128 bit, AES - tối đa 256 bit.

Sự khác biệt giữa WPA2 và WPA như sau:

WPA2 là một cải tiến so với WPA.
WPA2 sử dụng giao thức AES, WPA sử dụng giao thức TKIP.
WPA2 được hỗ trợ bởi tất cả các thiết bị không dây hiện đại.
WPA2 có thể không được hỗ trợ bởi các hệ điều hành cũ hơn.
WPA2 an toàn hơn WPA.

Xác thực WPA2

Cả WPA và WPA2 đều hoạt động ở hai chế độ xác thực: riêng tư Và doanh nghiệp (Doanh nghiệp). Trong chế độ WPA2-Personal, khóa 256 bit, đôi khi được gọi là khóa chia sẻ trước, được tạo từ cụm mật khẩu văn bản gốc được nhập. Khóa PSK, cũng như mã định danh và độ dài của khóa sau, cùng nhau tạo thành cơ sở toán học cho việc hình thành khóa cặp chính PMK (Khóa chính theo cặp), được sử dụng để khởi tạo bắt tay bốn chiều và tạo khóa phiên hoặc cặp đôi tạm thời PTK (Khóa tạm thời theo cặp), để tương tác giữa thiết bị người dùng không dây với điểm truy cập. Giống như giao thức tĩnh, WPA2-Personal gặp vấn đề với việc phân phối và hỗ trợ khóa, điều này khiến nó phù hợp để sử dụng trong các văn phòng nhỏ hơn là trong các doanh nghiệp.

Tuy nhiên, WPA2-Enterprise đã giải quyết thành công các thách thức về quản lý và phân phối khóa tĩnh, đồng thời việc tích hợp nó với hầu hết các dịch vụ xác thực doanh nghiệp cung cấp khả năng kiểm soát truy cập dựa trên tài khoản. Chế độ này yêu cầu thông tin đăng nhập như tên người dùng và mật khẩu, chứng chỉ bảo mật hoặc mật khẩu một lần; xác thực được thực hiện giữa máy trạm và máy chủ xác thực trung tâm. Điểm truy cập hoặc bộ điều khiển không dây giám sát kết nối và chuyển tiếp các gói xác thực đến máy chủ xác thực thích hợp, thường là . Chế độ WPA2-Enterprise dựa trên chuẩn 802.1X, hỗ trợ xác thực máy và người dùng dựa trên điều khiển cổng, phù hợp cho cả bộ chuyển mạch có dây và điểm truy cập không dây.

mã hóa WPA2

WPA2 dựa trên mã hóa AES, thay thế DES và 3DES như một tiêu chuẩn công nghiệp trên thực tế. Tính toán chuyên sâu, AES yêu cầu hỗ trợ phần cứng không phải lúc nào cũng có sẵn trong thiết bị WLAN cũ hơn.

WPA2 sử dụng giao thức CBC-MAC (Mã xác thực thông báo chuỗi khối mật mã) để xác thực và tính toàn vẹn dữ liệu, cũng như Chế độ bộ đếm (CTR) để mã hóa dữ liệu và tổng kiểm tra MIC. Mã toàn vẹn thông báo WPA2 (MIC) không gì khác hơn là tổng kiểm tra và, không giống như WPA, cung cấp tính toàn vẹn dữ liệu cho các trường tiêu đề 802.11 bất biến. Điều này ngăn chặn các cuộc tấn công phát lại gói nhằm giải mã các gói hoặc xâm phạm thông tin mật mã.

Vector khởi tạo 128 bit (IV) được sử dụng để tính toán MIC, AES và khóa tạm thời được sử dụng để mã hóa IV và kết quả là kết quả 128 bit. Tiếp theo, một phép toán OR độc quyền được thực hiện trên kết quả này và 128 bit dữ liệu tiếp theo. Kết quả được mã hóa bằng AES và TK, sau đó kết quả cuối cùng và 128 bit dữ liệu tiếp theo lại được XOR. Thủ tục được lặp lại cho đến khi hết tải trọng. 64 bit đầu tiên của kết quả thu được ở bước cuối cùng được sử dụng để tính giá trị MIC.

Thuật toán dựa trên chế độ bộ đếm được sử dụng để mã hóa dữ liệu và MIC. Giống như mã hóa MIC IV, thuật toán này bắt đầu bằng cách tải trước bộ đếm 128 bit với trường bộ đếm được đặt thành 1 thay vì giá trị độ dài dữ liệu. Do đó, một bộ đếm khác được sử dụng để mã hóa từng gói.

128 bit dữ liệu đầu tiên được mã hóa bằng AES và TK, sau đó thao tác OR độc quyền được thực hiện trên kết quả 128 bit của mã hóa này. 128 bit dữ liệu đầu tiên tạo ra khối được mã hóa 128 bit đầu tiên. Giá trị bộ đếm được tải trước được tăng lên và mã hóa bằng AES và khóa mã hóa dữ liệu. Sau đó, thao tác OR độc quyền được thực hiện lại dựa trên kết quả của mã hóa này và 128 bit dữ liệu tiếp theo.

Quy trình được lặp lại cho đến khi tất cả các khối dữ liệu 128 bit được mã hóa. Sau đó, giá trị cuối cùng trong trường bộ đếm được đặt lại về 0, bộ đếm được mã hóa bằng thuật toán AES và sau đó kết quả mã hóa và MIC được XORed. Kết quả của thao tác cuối cùng được gắn vào khung được mã hóa.

Khi MIC được tính toán bằng giao thức CBC-MAC, dữ liệu và MIC sẽ được mã hóa. Sau đó, tiêu đề 802.11 và trường số gói CCMP được thêm vào thông tin này ở phía trước, đoạn giới thiệu 802.11 được gắn vào đế và toàn bộ nội dung được gửi cùng nhau đến địa chỉ đích.

Việc giải mã dữ liệu được thực hiện theo thứ tự ngược lại của mã hóa. Để trích xuất bộ đếm, thuật toán tương tự được sử dụng để mã hóa nó. Thuật toán giải mã dựa trên chế độ bộ đếm và khóa TK được sử dụng để giải mã bộ đếm và phần được mã hóa của tải trọng. Kết quả của quá trình này là dữ liệu được giải mã và tổng kiểm tra MIC. Sau đó, MIC cho dữ liệu được giải mã sẽ được tính toán lại bằng thuật toán CBC-MAC. Nếu giá trị MIC không khớp, gói sẽ bị loại bỏ. Nếu các giá trị được chỉ định khớp nhau, dữ liệu được giải mã sẽ được gửi đến ngăn xếp mạng và sau đó đến máy khách.

Mối quan tâm lớn đối với tất cả các mạng LAN không dây (và tất cả các mạng LAN có dây) là vấn đề bảo mật. Bảo mật ở đây cũng quan trọng như đối với bất kỳ người dùng Internet nào. Bảo mật là một vấn đề phức tạp và đòi hỏi sự chú ý liên tục. Người dùng có thể gây ra tác hại to lớn do sử dụng các điểm nóng (hot-spot) ngẫu nhiên hoặc các điểm truy cập WI-FI mở tại nhà hoặc tại văn phòng và không sử dụng mã hóa hoặc VPN (Mạng riêng ảo). Điều này nguy hiểm vì người dùng nhập dữ liệu cá nhân hoặc nghề nghiệp của mình và mạng không được bảo vệ khỏi sự xâm nhập từ bên ngoài.

WEP

Ban đầu, rất khó để cung cấp bảo mật đầy đủ cho mạng LAN không dây.

Tin tặc dễ dàng kết nối với hầu hết mọi mạng WiFi bằng cách đột nhập vào các phiên bản đầu tiên của hệ thống bảo mật như Wired Equivalent Privacy (WEP). Những sự kiện này đã để lại dấu ấn và trong một thời gian dài, một số công ty đã miễn cưỡng triển khai hoặc hoàn toàn không triển khai mạng không dây vì sợ rằng dữ liệu được truyền giữa các thiết bị WiFi không dây và các điểm truy cập Wi-Fi có thể bị chặn và giải mã. Như vậy, mô hình bảo mật này đã làm chậm quá trình tích hợp mạng không dây vào doanh nghiệp và khiến người sử dụng mạng WiFi tại nhà lo lắng. IEEE sau đó đã thành lập Nhóm làm việc 802.11i, nhóm hoạt động nhằm tạo ra một mô hình bảo mật toàn diện nhằm cung cấp mã hóa và xác thực AES 128-bit để bảo vệ dữ liệu. Liên minh Wi-Fi đã giới thiệu phiên bản trung gian của riêng mình về thông số bảo mật 802.11i này: Truy cập được bảo vệ Wi-Fi (WPA). Mô-đun WPA kết hợp một số công nghệ để giải quyết các lỗ hổng của hệ thống WEP 802.11. Do đó, WPA cung cấp xác thực người dùng đáng tin cậy bằng cách sử dụng tiêu chuẩn 802.1x (xác thực lẫn nhau và đóng gói dữ liệu được truyền giữa các thiết bị khách không dây, điểm truy cập và máy chủ) và Giao thức xác thực mở rộng (EAP).

Nguyên lý hoạt động của hệ thống an ninh được thể hiện dưới dạng sơ đồ trong Hình 1

Ngoài ra, WPA còn được trang bị một mô-đun tạm thời để mã hóa công cụ WEP thông qua mã hóa khóa 128 bit và sử dụng Giao thức toàn vẹn khóa tạm thời (TKIP). Và kiểm tra tin nhắn (MIC) ngăn các gói dữ liệu bị thay đổi hoặc định dạng. Sự kết hợp các công nghệ này bảo vệ tính bảo mật và tính toàn vẹn của việc truyền dữ liệu và đảm bảo an ninh bằng cách kiểm soát quyền truy cập để chỉ những người dùng được ủy quyền mới có quyền truy cập vào mạng.

WPA

Tăng cường hơn nữa bảo mật WPA và kiểm soát truy cập là việc tạo ra một khóa chính mới, duy nhất để liên lạc giữa thiết bị không dây và điểm truy cập của mỗi người dùng cũng như cung cấp phiên xác thực. Ngoài ra, trong việc tạo một trình tạo khóa ngẫu nhiên và trong quá trình tạo khóa cho mỗi gói.

IEEE đã phê chuẩn tiêu chuẩn 802.11i vào tháng 6 năm 2004, mở rộng đáng kể nhiều khả năng nhờ công nghệ WPA. Liên minh Wi-Fi đã tăng cường mô-đun bảo mật của mình trong chương trình WPA2. Như vậy, mức độ bảo mật của chuẩn truyền dữ liệu WiFi 802.11 đã đạt đến mức cần thiết cho việc triển khai các giải pháp và công nghệ không dây trong doanh nghiệp. Một trong những thay đổi đáng kể từ 802.11i (WPA2) sang WPA là việc sử dụng Chuẩn mã hóa nâng cao 128-bit (AES). WPA2 AES sử dụng chế độ anti-CBC-MAC (chế độ hoạt động cho khối mật mã cho phép sử dụng một khóa duy nhất cho cả mã hóa và xác thực) để cung cấp tính bảo mật, xác thực, tính toàn vẹn và bảo vệ chống phát lại dữ liệu. Chuẩn 802.11i cũng cung cấp tính năng lưu trữ khóa và xác thực trước để sắp xếp người dùng trên các điểm truy cập.

WPA2

Với tiêu chuẩn 802.11i, toàn bộ chuỗi mô-đun bảo mật (đăng nhập, trao đổi thông tin xác thực, xác thực và mã hóa dữ liệu) trở nên bảo vệ đáng tin cậy và hiệu quả hơn trước các cuộc tấn công không có chủ đích và có chủ đích. Hệ thống WPA2 cho phép quản trị viên mạng Wi-Fi chuyển từ vấn đề bảo mật sang quản lý hoạt động và thiết bị.

Chuẩn 802.11r là một sửa đổi của chuẩn 802.11i. Tiêu chuẩn này đã được phê chuẩn vào tháng 7 năm 2008. Công nghệ của tiêu chuẩn này chuyển các hệ thống phân cấp chính dựa trên công nghệ Handoff một cách nhanh chóng và đáng tin cậy hơn khi người dùng di chuyển giữa các điểm truy cập. Chuẩn 802.11r hoàn toàn tương thích với chuẩn WiFi 802.11a/b/g/n.

Ngoài ra còn có tiêu chuẩn 802.11w nhằm cải thiện cơ chế bảo mật dựa trên tiêu chuẩn 802.11i. Tiêu chuẩn này được thiết kế để bảo vệ các gói điều khiển.

Chuẩn 802.11i và 802.11w là cơ chế bảo mật cho mạng WiFi 802.11n.

Mã hóa tập tin và thư mục trong Windows 7

Tính năng mã hóa cho phép bạn mã hóa các tập tin và thư mục mà sau này sẽ không thể đọc được trên thiết bị khác nếu không có khóa đặc biệt. Tính năng này có mặt ở các phiên bản Windows 7 như Professional, Enterprise hay Ultimate. Sau đây sẽ đề cập đến các cách kích hoạt mã hóa các tập tin và thư mục.

Kích hoạt mã hóa tập tin:

Start -> Computer (chọn file cần mã hóa) -> chuột phải vào file -> Properties -> Advanced (tab General) -> Thuộc tính bổ sung -> Đánh dấu vào ô Mã hóa nội dung để bảo vệ dữ liệu -> Ok -> Áp dụng - > Ok(Chọn chỉ áp dụng cho tập tin)->

Kích hoạt mã hóa thư mục:

Khởi động -> Máy tính (chọn thư mục cần mã hóa) -> chuột phải vào thư mục -> Thuộc tính -> Nâng cao (tab Chung) -> Thuộc tính bổ sung -> Đánh dấu vào ô Mã hóa nội dung để bảo vệ dữ liệu -> Ok -> Áp dụng - > Ok (Chọn chỉ áp dụng cho tập tin) -> Đóng hộp thoại Thuộc tính (Click Ok hoặc Close).