Các loại mã hóa mạng wifi. Bảo vệ thông tin trong mạng Wi-Fi: sử dụng gì – WPA2-AES, WPA2-TKIP hoặc cả hai? Kích hoạt mã hóa tập tin
Câu hỏi thường được đặt ra: loại nào Mã hóa Wi-Fi chọn cho bộ định tuyến gia đình của bạn. Nó có vẻ như là một điều nhỏ nhặt, nhưng thông số không chính xác, vào mạng và các sự cố có thể phát sinh khi truyền thông tin qua cáp Ethernet.
Do đó, ở đây chúng ta sẽ xem xét những loại mã hóa dữ liệu nào được hỗ trợ bởi các công nghệ hiện đại. bộ định tuyến WiFi và loại mã hóa aes khác với loại mã hóa wpa và wpa2 phổ biến như thế nào.
Loại mã hóa mạng không dây: cách chọn phương thức bảo mật?
Vì vậy, có tổng cộng 3 loại mã hóa:
- 1. Mã hóa WEP
Loại mã hóa WEP xuất hiện từ những năm 90 và là lựa chọn đầu tiên Bảo vệ Wi-Fi mạng: nó được định vị là một dạng tương tự của mã hóa trong mạng có dây và sử dụng mật mã RC4. Có ba thuật toán mã hóa phổ biến cho dữ liệu được truyền - Neesus, Apple và MD5 - nhưng mỗi thuật toán đều không cung cấp mức độ bảo mật cần thiết. Năm 2004, IEEE tuyên bố tiêu chuẩn này đã lỗi thời do cuối cùng họ đã ngừng cung cấp các kết nối mạng an toàn. Hiện tại, không nên sử dụng loại mã hóa này cho wifi, vì... nó không phải là bằng chứng về mật mã.
- 2.WPS là một tiêu chuẩn không cung cấp cho việc sử dụng . Để kết nối với bộ định tuyến, chỉ cần nhấp vào nút thích hợp mà chúng tôi đã mô tả chi tiết trong bài viết.
Về mặt lý thuyết, WPS cho phép bạn kết nối với điểm truy cập bằng mã gồm tám chữ số, nhưng trên thực tế, thường chỉ có bốn chữ số là đủ.
Thực tế này rất dễ bị lợi dụng bởi rất nhiều hacker nhanh chóng (trong vòng 3 - 15 giờ) hack mạng wifi nên hãy sử dụng kết nối này cũng không được khuyến khích.
- 3.Kiểu mã hóa WPA/WPA2
Mọi thứ tốt hơn nhiều với mã hóa WPA. Thay vì mật mã RC4 dễ bị tấn công, chúng tôi sử dụng Mã hóa AES, trong đó độ dài mật khẩu là một giá trị tùy ý (8 – 63 bit). Loại này mã hóa cung cấp mức độ bảo mật bình thường và khá phù hợp cho wifi đơn giản bộ định tuyến. Có hai loại của nó:
Loại PSK (Khóa chia sẻ trước) – kết nối với điểm truy cập được thực hiện bằng mật khẩu được xác định trước.
- Doanh nghiệp – mật khẩu cho mỗi nút được tạo tự động và kiểm tra trên máy chủ RADIUS.
Kiểu mã hóa WPA2 là sự tiếp nối của WPA với những cải tiến về bảo mật. Giao thức này sử dụng RSN, dựa trên mã hóa AES.
Giống như mã hóa WPA, WPA2 có hai chế độ hoạt động là PSK và Enterprise.
Kể từ năm 2006, loại mã hóa WPA2 đã được hỗ trợ bởi tất cả thiết bị wifi, địa lý tương ứng có thể được chọn cho bất kỳ bộ định tuyến nào.
Giao thức WPA2được xác định theo tiêu chuẩn IEEE 802.11i, được tạo ra vào năm 2004 để thay thế . Nó thực hiện CCMP và mã hóa AES, nhờ đó mà WPA2 trở nên an toàn hơn so với người tiền nhiệm của nó. Hỗ trợ từ năm 2006 WPA2 là điều kiện tiên quyết cho tất cả các thiết bị được chứng nhận.
Sự khác biệt giữa WPA và WPA2
Việc tìm ra sự khác biệt giữa WPA2 và WPA2 không phù hợp với hầu hết người dùng vì tất cả các biện pháp bảo vệ mạng không dâyít nhiều đi đến một sự lựa chọn mật khẩu phức tạpđể truy cập. Ngày nay tình hình là tất cả các thiết bị hoạt động trong Mạng Wi-Fi, được yêu cầu hỗ trợ WPA2, do đó việc lựa chọn WPA chỉ có thể được xác định bởi tình huống không chuẩn. Ví dụ, hệ điều hành Windows XP SP3 cũ hơn không hỗ trợ WPA2 mà không áp dụng các bản vá, vì vậy các máy và thiết bị được quản lý bởi các hệ thống đó cần có sự quan tâm của quản trị viên mạng. Ngay cả một số điện thoại thông minh hiện đại cũng có thể không hỗ trợ giao thức mã hóa mới; điều này chủ yếu áp dụng cho các thiết bị không có thương hiệu ở châu Á. Mặt khác, một số Phiên bản Windows cũ hơn XP không hỗ trợ WPA2 ở cấp đối tượng chính sách nhóm, vì vậy trong trường hợp này họ yêu cầu nhiều hơn tinh chỉnh kết nối mạng.
Sự khác biệt về mặt kỹ thuật giữa WPA và WPA2 là công nghệ mã hóa, đặc biệt là các giao thức được sử dụng. WPA sử dụng giao thức TKIP, WPA2 sử dụng giao thức AES. Trong thực tế, điều này có nghĩa là WPA2 hiện đại hơn sẽ cung cấp mức độ bảo mật mạng cao hơn. Ví dụ: giao thức TKIP cho phép bạn tạo khóa xác thực có kích thước lên tới 128 bit, AES - tối đa 256 bit.
Sự khác biệt giữa WPA2 và WPA như sau:
- WPA2 là một cải tiến so với WPA.
- WPA2 sử dụng giao thức AES, WPA sử dụng giao thức TKIP.
- WPA2 được hỗ trợ bởi tất cả các thiết bị không dây hiện đại.
- WPA2 có thể không được hỗ trợ bởi các hệ điều hành cũ hơn.
- WPA2 có mức độ bảo mật cao hơn WPA.
Xác thực WPA2
Cả WPA và WPA2 đều hoạt động ở hai chế độ xác thực: riêng tư Và doanh nghiệp (Doanh nghiệp). Ở chế độ WPA2-Personal từ địa chỉ đã nhập bằng văn bản rõ ràng cụm mật khẩu khóa 256 bit được tạo, đôi khi được gọi là khóa chia sẻ trước. Khóa PSK, cũng như mã định danh và độ dài của khóa sau, cùng nhau tạo thành cơ sở toán học cho việc hình thành khóa cặp chính PMK (Khóa chính theo cặp), được sử dụng để khởi tạo bắt tay bốn chiều và tạo khóa phiên hoặc cặp đôi tạm thời PTK (Khóa tạm thời theo cặp), để tương tác giữa thiết bị người dùng không dây với điểm truy cập. Giống như giao thức tĩnh, giao thức WPA2-Personal có vấn đề về phân phối và bảo trì khóa, điều này khiến nó phù hợp hơn để sử dụng trong văn phòng nhỏ hơn ở các doanh nghiệp.
Tuy nhiên, WPA2-Enterprise giải quyết thành công các vấn đề liên quan đến quản lý và phân phối khóa tĩnh cũng như khả năng tích hợp của nó với hầu hết các thiết bị. dịch vụ của công ty xác thực cung cấp kiểm soát truy cập dựa trên tài khoản. Chế độ này yêu cầu thông tin đăng nhập như tên người dùng và mật khẩu, chứng chỉ bảo mật hoặc mật khẩu một lần; việc xác thực được thực hiện giữa trạm làm việc và một máy chủ xác thực trung tâm. Điểm truy cập hoặc bộ điều khiển không dây giám sát kết nối và chuyển tiếp các gói xác thực đến máy chủ xác thực thích hợp, thường là . Chế độ WPA2-Enterprise dựa trên chuẩn 802.1X, hỗ trợ xác thực máy và người dùng dựa trên điều khiển cổng, phù hợp cho cả thiết bị chuyển mạch có dây và điểm không dây truy cập.
mã hóa WPA2
Tiêu chuẩn WPA2 dựa trên phương pháp mã hóa AES, thay thế tiêu chuẩn DES và 3DES là tiêu chuẩn công nghiệp trên thực tế. Tính toán chuyên sâu, AES yêu cầu hỗ trợ phần cứng không phải lúc nào cũng có sẵn trong thiết bị WLAN cũ hơn.
WPA2 sử dụng giao thức CBC-MAC (Mã xác thực thông báo chuỗi khối mật mã) để xác thực và tính toàn vẹn dữ liệu, cũng như Chế độ bộ đếm (CTR) để mã hóa dữ liệu và tổng kiểm tra MIC. Mã toàn vẹn thông báo WPA2 (MIC) không gì khác hơn là tổng kiểm tra và, không giống như WPA, cung cấp tính toàn vẹn dữ liệu cho các trường tiêu đề 802.11 bất biến. Điều này ngăn chặn các cuộc tấn công phát lại gói nhằm giải mã các gói hoặc xâm phạm thông tin mật mã.
Vector khởi tạo 128 bit (IV) được sử dụng để tính toán MIC, AES và khóa tạm thời được sử dụng để mã hóa IV và kết quả là kết quả 128 bit. Tiếp theo, một phép toán OR độc quyền được thực hiện trên kết quả này và 128 bit dữ liệu tiếp theo. Kết quả được mã hóa bằng AES và TK, sau đó kết thúc kết quả cuối cùng và 128 bit dữ liệu tiếp theo lại thực hiện thao tác OR độc quyền. Thủ tục được lặp lại cho đến khi hết tải trọng. 64 bit đầu tiên của dữ liệu nhận được Bước cuối cùng kết quả được sử dụng để tính giá trị MIC.
Thuật toán dựa trên chế độ bộ đếm được sử dụng để mã hóa dữ liệu và MIC. Giống như mã hóa vectơ khởi tạo MIC, việc thực thi thuật toán này bắt đầu bằng tải trước Bộ đếm 128 bit, trong đó trường bộ đếm lấy giá trị bộ đếm được đặt thành 1 thay vì giá trị tương ứng với độ dài dữ liệu. Do đó, một bộ đếm khác được sử dụng để mã hóa từng gói.
128 bit dữ liệu đầu tiên được mã hóa bằng AES và TK, sau đó thao tác OR độc quyền được thực hiện trên kết quả 128 bit của mã hóa này. 128 bit dữ liệu đầu tiên tạo ra khối được mã hóa 128 bit đầu tiên. Giá trị bộ đếm được tải trước được tăng lên và mã hóa bằng AES và khóa mã hóa dữ liệu. Sau đó, thao tác OR độc quyền được thực hiện lại dựa trên kết quả của mã hóa này và 128 bit dữ liệu tiếp theo.
Quy trình được lặp lại cho đến khi tất cả các khối dữ liệu 128 bit được mã hóa. Sau đó, giá trị cuối cùng trong trường bộ đếm được đặt lại về 0, bộ đếm được mã hóa bằng thuật toán AES, sau đó thao tác OR độc quyền được thực hiện trên kết quả mã hóa và MIC. Kết quả của thao tác cuối cùng được gắn vào khung được mã hóa.
Khi MIC được tính toán bằng giao thức CBC-MAC, dữ liệu và MIC sẽ được mã hóa. Sau đó, tiêu đề 802.11 và trường số gói CCMP được thêm vào thông tin này ở phía trước, đoạn giới thiệu 802.11 được gắn vào đế và toàn bộ nội dung được gửi cùng nhau đến địa chỉ đích.
Việc giải mã dữ liệu được thực hiện theo thứ tự ngược lại của mã hóa. Để trích xuất bộ đếm, thuật toán tương tự được sử dụng để mã hóa nó. Thuật toán giải mã dựa trên chế độ bộ đếm và khóa TK được sử dụng để giải mã bộ đếm và phần được mã hóa của tải trọng. Kết quả của quá trình này là dữ liệu được giải mã và kiểm tra tổng MIC. Sau đó, MIC cho dữ liệu được giải mã sẽ được tính toán lại bằng thuật toán CBC-MAC. Nếu giá trị MIC không khớp, gói sẽ bị loại bỏ. Nếu các giá trị được chỉ định khớp nhau, dữ liệu được giải mã sẽ được gửi tới ngăn xếp mạng rồi tới khách hàng.
Không còn nghi ngờ gì nữa, nhiều người dùng máy tính làm việc với Internet (và không chỉ) đã nghe nói đến thuật ngữ AES. Đây là loại hệ thống gì, nó sử dụng thuật toán gì và nó được sử dụng để làm gì, một nhóm người khá hạn chế có bất kỳ ý tưởng nào. Đối với người dùng bình thường thì đây là nhìn chung không cần biết. Tuy nhiên, hãy xem xét điều này hệ thống mật mã, mà không đi sâu vào sự phức tạp Tính toán toán học và công thức để bất cứ ai cũng có thể hiểu được.
Mã hóa AES là gì?
Hãy bắt đầu với thực tế là bản thân hệ thống là một tập hợp các thuật toán cho phép bạn ẩn lượt xem ban đầu bất kỳ dữ liệu nào được người dùng truyền, nhận hoặc lưu trữ trên máy tính. Thông thường nó được sử dụng trong các công nghệ Internet, khi cần đảm bảo bí mật thông tin hoàn toàn và đề cập đến cái gọi là thuật toán mã hóa đối xứng.
Loại mã hóa AES liên quan đến việc sử dụng cùng một khóa, được cả bên gửi và bên nhận biết, để chuyển đổi thông tin thành dạng bảo mật và giải mã ngược, trái ngược với mã hóa đối xứng, bao gồm việc sử dụng hai khóa - riêng tư và công cộng. Như vậy, có thể dễ dàng kết luận rằng nếu cả hai bên đều biết đúng khóa thì quá trình mã hóa và giải mã khá đơn giản.
Một ít lịch sử
Mã hóa AES được đề cập lần đầu tiên vào năm 2000, khi thuật toán Rijndael giành chiến thắng trong cuộc cạnh tranh để chọn ra người kế nhiệm cho hệ thống DES, vốn đã trở thành tiêu chuẩn ở Hoa Kỳ kể từ năm 1977.
Năm 2001, hệ thống AES được chính thức áp dụng làm tiêu chuẩn mã hóa dữ liệu liên bang mới và kể từ đó được sử dụng ở mọi nơi.
Các loại mã hóa AES
Nó bao gồm một số giai đoạn trung gian, chủ yếu liên quan đến việc tăng độ dài của khóa. Ngày nay có ba loại chính: mã hóa AES-128, AES-192 và AES-256.
Tên nói cho chính nó. Ký hiệu kỹ thuật số tương ứng với độ dài của khóa được sử dụng, được biểu thị bằng bit. Ngoài ra, mã hóa AES là loại khối hoạt động trực tiếp với các khối thông tin có độ dài cố định, mã hóa từng khối, trái ngược với các thuật toán luồng hoạt động trên các ký tự đơn mở tin nhắn, chuyển đổi chúng thành dạng mã hóa. Trong AES, độ dài khối là 128 bit.
Theo thuật ngữ khoa học, các thuật toán tương tự mà mã hóa AES-256 sử dụng ngụ ý các hoạt động dựa trên biểu diễn đa thức của các hoạt động và mã trong quá trình xử lý. mảng hai chiều(ma trận).
Làm thế nào nó hoạt động?
Thuật toán vận hành khá phức tạp nhưng bao gồm việc sử dụng một số yếu tố cơ bản. Ban đầu, ma trận hai chiều, các chu kỳ biến đổi (vòng), khóa tròn và bảng thay thế ban đầu và ngược lại được sử dụng.
Quá trình mã hóa dữ liệu bao gồm một số giai đoạn:
- tính toán tất cả các phím tròn;
- thay thế byte bằng bảng S-Box chính;
- thay đổi hình dạng bằng cách sử dụng các đại lượng khác nhau (xem hình trên);
- trộn dữ liệu trong từng cột của ma trận (biểu mẫu);
- phép cộng dạng và phím tròn.
Việc giải mã được thực hiện trong thứ tự ngược lại, nhưng thay vì bảng S-Box, bảng cài đặt ngược đã được đề cập ở trên sẽ được sử dụng.
Để đưa ra một ví dụ, nếu bạn có khóa 4 bit, việc tìm kiếm sẽ chỉ yêu cầu 16 giai đoạn (vòng), nghĩa là bạn cần kiểm tra tất cả các kết hợp có thể có, bắt đầu bằng 0000 và kết thúc bằng 1111. Đương nhiên, việc bảo vệ như vậy có thể nứt khá nhanh. Nhưng nếu chúng ta lấy các khóa lớn hơn, 16 bit sẽ yêu cầu 65.536 giai đoạn và 256 bit sẽ yêu cầu 1,1 x 10 77. Và theo nhận định của các chuyên gia Mỹ, sẽ mất khoảng 149 nghìn tỷ năm để chọn ra tổ hợp (chìa khóa) chính xác.
Sử dụng gì trong thực tế khi thiết lập mạng: mã hóa AES hay TKIP?
Bây giờ chúng ta hãy chuyển sang sử dụng AES-256 khi mã hóa dữ liệu được truyền và nhận trong mạng không dây.
Theo quy định, trong bất kỳ tham số nào cũng có một số tham số để bạn lựa chọn: chỉ AES, chỉ TKIP và AES+TKIP. Chúng được áp dụng tùy thuộc vào giao thức (WEP hoặc WEP2). Nhưng! TKIP là hệ thống cũ vì nó kém an toàn hơn và không hỗ trợ kết nối 802.11n với tốc độ dữ liệu lớn hơn 54 Mbps. Do đó, kết luận về việc ưu tiên sử dụng AES cùng với chế độ bảo mật WPA2-PSK đã gợi ý, mặc dù cả hai thuật toán đều có thể được sử dụng theo cặp.
Các vấn đề về độ tin cậy và bảo mật của thuật toán AES
Cho dù tuyên bố ồn ào các chuyên gia, về mặt lý thuyết, thuật toán AES vẫn dễ bị tổn thương vì bản chất của mã hóa có mô tả đại số đơn giản. Điều này đã được Nils Fergusson ghi nhận. Và vào năm 2002, Josef Pieprzyk và Nicolas Courtois đã xuất bản một bài báo chứng minh một cuộc tấn công XSL tiềm tàng. Đúng là nó đã gây ra rất nhiều tranh cãi trong giới khoa học và một số người cho rằng tính toán của họ là sai lầm.
Năm 2005, có ý kiến cho rằng cuộc tấn công có thể sử dụng các kênh của bên thứ ba chứ không chỉ các phép tính toán học. Hơn nữa, một trong các cuộc tấn công đã tính toán được chìa khóa sau 800 thao tác, và cuộc tấn công còn lại lấy được chìa khóa sau 2 32 thao tác (ở vòng thứ tám).
Không còn nghi ngờ gì nữa, ngày nay hệ thống này có thể được coi là một trong những hệ thống tiên tiến nhất, nếu không muốn nói là vì một điều. Cách đây vài năm, một làn sóng tràn qua Internet virus tấn công, trong đó một loại virus mã hóa (và cả ransomware), xâm nhập vào máy tính, mã hóa hoàn toàn dữ liệu, yêu cầu một khoản tiền kha khá để giải mã. Đồng thời, thông báo lưu ý rằng việc mã hóa được thực hiện bằng thuật toán AES1024, thuật toán này cho đến gần đây vẫn được cho là không tồn tại trong tự nhiên.
Cho dù điều này có đúng hay không thì ngay cả những nhà phát triển phần mềm chống vi-rút nổi tiếng nhất, bao gồm cả Kaspersky Lab, cũng bất lực khi cố gắng giải mã dữ liệu. Nhiều chuyên gia thừa nhận rằng kẻ khét tiếng đã từng tấn công hàng triệu máy tính trên khắp thế giới và phá hủy chúng Thông tin quan trọng, so với lời đe dọa này hóa ra chỉ là lời nói trẻ con. Ngoài ra, I Love You còn nhắm đến các tập tin đa phương tiện nhiều hơn và vi-rút mớiđã có quyền truy cập độc quyền vào thông tin bí mật các tập đoàn lớn. Tuy nhiên, không ai có thể nói rõ rằng mã hóa AES-1024 đã được sử dụng ở đây.
Phần kết luận
Tóm lại, trong mọi trường hợp, chúng ta có thể nói rằng mã hóa AES là loại mã hóa tiên tiến và an toàn nhất cho đến nay, bất kể độ dài khóa được sử dụng là bao nhiêu. Không có gì đáng ngạc nhiên khi tiêu chuẩn cụ thể này được sử dụng trong hầu hết các hệ thống mật mã và có triển vọng phát triển và cải tiến khá rộng rãi trong tương lai gần, đặc biệt vì nó có thể rất có khả năng kết hợp nhiều loại mã hóa thành một tổng thể (ví dụ: sử dụng song songđối xứng và bất đối xứng hoặc mã hóa khối và luồng).
TRONG Gần đây Nhiều ấn phẩm “vạch trần” đã xuất hiện về việc hack một số giao thức hoặc công nghệ mới làm tổn hại đến tính bảo mật của mạng không dây. Điều này có thực sự như vậy không, bạn nên sợ điều gì và làm cách nào để đảm bảo rằng quyền truy cập vào mạng của bạn được an toàn nhất có thể? Các từ WEP, WPA, 802.1x, EAP, PKI có ý nghĩa gì với bạn không? Cái này Đánh giá ngắn sẽ giúp tập hợp tất cả các công nghệ mã hóa và ủy quyền truy cập vô tuyến hiện hành. Tôi sẽ cố gắng chỉ ra rằng một mạng không dây được cấu hình đúng cách sẽ là một rào cản không thể vượt qua đối với kẻ tấn công (tất nhiên là đến một giới hạn nhất định).
Khái niệm cơ bản
Bất kỳ tương tác nào giữa điểm truy cập (mạng) và máy khách không dây, được xây dựng trên:- Xác thực- cách khách hàng và điểm truy cập tự giới thiệu với nhau và xác nhận rằng họ có quyền liên lạc với nhau;
- Mã hóa- thuật toán xáo trộn nào cho dữ liệu được truyền được sử dụng, cách tạo khóa mã hóa và khi nào nó thay đổi.
Các tham số của mạng không dây, chủ yếu là tên của nó (SSID), thường xuyên được điểm truy cập quảng cáo trong các gói báo hiệu quảng bá. Ngoài các cài đặt bảo mật dự kiến, các yêu cầu về QoS, tham số 802.11n, tốc độ được hỗ trợ, thông tin về những người hàng xóm khác, v.v. cũng được truyền đi. Xác thực xác định cách ứng dụng khách trình bày chính nó. Các tùy chọn có thể:
- Mở- cái gọi là mạng mở trong đó tất cả các thiết bị được kết nối đều được cấp phép ngay lập tức
- Đã chia sẻ- tính xác thực của thiết bị được kết nối phải được xác minh bằng khóa/mật khẩu
- EAP- tính xác thực của thiết bị được kết nối phải được xác minh bằng giao thức EAP bởi máy chủ bên ngoài
- Không có- không mã hóa, dữ liệu được truyền dưới dạng văn bản rõ ràng
- WEP- mật mã dựa trên thuật toán RC4 với độ dài khóa tĩnh hoặc động khác nhau (64 hoặc 128 bit)
- CKIP- thay thế độc quyền cho WEP của Cisco, phiên bản đầu tiên của TKIP
- TKIP- Cải thiện việc thay thế WEP bằng các kiểm tra và bảo vệ bổ sung
- AES/CCMP- thuật toán tiên tiến nhất dựa trên AES256 với các kiểm tra và bảo vệ bổ sung
Sự kết hợp Xác thực mở, không mã hóađược sử dụng rộng rãi trong các hệ thống quyền truy cập của khách như cung cấp Internet trong quán cà phê hoặc khách sạn. Để kết nối, bạn chỉ cần biết tên của mạng không dây. Thường kết nối này được kết hợp với kiểm tra bổ sung tới Captive Portal bằng cách chuyển hướng yêu cầu HTTP của người dùng tới trang bổ sung, nơi bạn có thể yêu cầu xác nhận (mật khẩu đăng nhập, đồng ý với các quy tắc, v.v.).
Mã hóa WEP bị xâm phạm và không thể sử dụng được (ngay cả trong trường hợp khóa động).
Các thuật ngữ thường gặp WPA Và WPA2 trên thực tế, xác định thuật toán mã hóa (TKIP hoặc AES). Do thực tế là các bộ điều hợp máy khách đã hỗ trợ WPA2 (AES) từ khá lâu nên việc sử dụng mã hóa TKIP chẳng ích gì.
Sự khác biệt giữa WPA2 cá nhân Và Doanh nghiệp WPA2 là nơi xuất phát các khóa mã hóa được sử dụng trong cơ chế của thuật toán AES. Đối với các ứng dụng riêng tư (gia đình, nhỏ), khóa tĩnh (mật khẩu, từ mã, PSK (Khóa chia sẻ trước)) có độ dài tối thiểu 8 ký tự sẽ được sử dụng, được đặt trong cài đặt điểm truy cập và giống nhau cho tất cả các máy khách của một mạng không dây nhất định. Việc xâm phạm một chìa khóa như vậy (họ làm đổ đậu cho hàng xóm, nhân viên bị sa thải, máy tính xách tay bị đánh cắp) yêu cầu thay đổi mật khẩu ngay lập tức đối với tất cả người dùng còn lại, điều này chỉ thực tế nếu có một số ít người trong số họ. Đối với các ứng dụng của công ty, như tên cho thấy, một khóa động được sử dụng riêng cho từng máy khách hiện đang chạy. Khóa này có thể được cập nhật định kỳ trong quá trình hoạt động mà không ngắt kết nối và chịu trách nhiệm tạo ra nó. thành phần bổ sung- một máy chủ ủy quyền và hầu như đây luôn là máy chủ RADIUS.
Tất cả các thông số có thể thông tin an toàn được tóm tắt trong tấm này:
| Tài sản | WEP tĩnh | WEP động | WPA | WPA 2 (Doanh nghiệp) |
| Nhận biết | Người dùng, máy tính, card WLAN | Người dùng, máy tính |
Người dùng, máy tính |
Người dùng, máy tính |
| Ủy quyền |
Chìa khóa chung |
EAP |
EAP hoặc khóa chia sẻ |
EAP hoặc khóa chia sẻ |
Chính trực |
Giá trị kiểm tra tính toàn vẹn 32 bit (ICV) |
ICV 32-bit |
Mã toàn vẹn tin nhắn 64-bit (MIC) |
CRT/CBC-MAC (Mã xác thực chuỗi khối mã hóa chế độ đếm - CCM) Một phần của AES |
Mã hóa |
Khóa tĩnh |
Khóa phiên |
Khóa mỗi gói thông qua TKIP |
CCMP (AES) |
Phân phối khóa |
Một lần, thủ công |
Phân đoạn Khóa chính theo cặp (PMK) |
Bắt nguồn từ PMK |
Bắt nguồn từ PMK |
Vectơ khởi tạo |
Văn bản, 24 bit |
Văn bản, 24 bit |
Vectơ nâng cao, 65 bit |
Số gói 48 bit (PN) |
Thuật toán |
RC4 |
RC4 |
RC4 |
AES |
Độ dài khóa, bit |
64/128 |
64/128 |
128 |
lên tới 256 |
Cơ sở hạ tầng cần thiết |
KHÔNG |
BÁNH GIÁ |
BÁNH GIÁ |
BÁNH GIÁ |
Mặc dù WPA2 Personal (WPA2 PSK) là rõ ràng nhưng giải pháp doanh nghiệp cần được xem xét thêm.
Doanh nghiệp WPA2
Ở đây chúng ta đang giải quyết bộ bổ sung nhiều giao thức khác nhau. Về phía khách hàng có một thành phần đặc biệt phần mềm Người thay thế (thường là một phần của HĐH) tương tác với phần ủy quyền, máy chủ AAA. TRONG trong ví dụ này hiển thị hoạt động của mạng vô tuyến hợp nhất được xây dựng trên các điểm truy cập nhẹ và bộ điều khiển. Trong trường hợp sử dụng các điểm truy cập có “bộ não”, toàn bộ vai trò trung gian giữa máy khách và máy chủ có thể do chính điểm đó đảm nhận. Trong trường hợp này, dữ liệu yêu cầu máy khách được truyền qua sóng vô tuyến được hình thành trong giao thức 802.1x (EAPOL) và về phía bộ điều khiển, nó được gói trong các gói RADIUS.
Việc sử dụng cơ chế ủy quyền EAP trong mạng của bạn dẫn đến thực tế là sau khi xác thực ứng dụng khách thành công (gần như chắc chắn mở) bởi điểm truy cập (cùng với bộ điều khiển, nếu có), điểm sau sẽ yêu cầu khách hàng ủy quyền (xác nhận quyền hạn của nó) với cơ sở hạ tầng máy chủ RADIUS:
Cách sử dụng Doanh nghiệp WPA2 yêu cầu máy chủ RADIUS trên mạng của bạn. Hiện tại, các sản phẩm hiệu quả nhất là:
- Máy chủ chính sách mạng của Microsoft (NPS), IAS cũ- được cấu hình qua MMC, miễn phí, nhưng bạn cần mua Windows
- Máy chủ kiểm soát truy cập an toàn của Cisco (ACS) 4.2, 5.3- được cấu hình thông qua giao diện web, tinh vi về chức năng, cho phép bạn tạo các hệ thống phân tán và có khả năng chịu lỗi cao, đắt tiền
- RADIUS miễn phí- miễn phí, được cấu hình bằng cấu hình văn bản, không thuận tiện để quản lý và giám sát
Trong trường hợp này, bộ điều khiển giám sát cẩn thận việc trao đổi thông tin đang diễn ra và chờ cấp phép thành công hoặc từ chối thông tin đó. Nếu thành công, máy chủ RADIUS có thể truyền tới điểm truy cập Tùy chọn bổ sung(ví dụ: Vlan nào sẽ đặt người đăng ký vào, địa chỉ IP nào sẽ được gán, cấu hình QoS, v.v.). Khi kết thúc quá trình trao đổi, máy chủ RADIUS cho phép máy khách và điểm truy cập tạo và trao đổi khóa mã hóa (riêng lẻ, chỉ hợp lệ cho phiên này):
EAP
Bản thân giao thức EAP được đóng gói, nghĩa là cơ chế ủy quyền thực tế được giao cho người dùng giao thức nội bộ. TRÊN Hiện nay Những điều sau đây đã nhận được bất kỳ sự phân phối đáng kể nào:- EAP-NHANH CHÓNG(Xác thực linh hoạt thông qua đường hầm an toàn) - được phát triển bởi Cisco; cho phép ủy quyền bằng cách sử dụng thông tin đăng nhập và mật khẩu được truyền trong đường hầm TLS giữa người thay thế và máy chủ RADIUS
- EAP-TLS(Bảo mật tầng vận tải). Sử dụng cơ sở hạ tầng khóa công khai(PKI) để ủy quyền cho máy khách và máy chủ (ứng viên và máy chủ RADIUS) thông qua các chứng chỉ do cơ quan chứng nhận đáng tin cậy (CA) cấp. Yêu cầu cấp và cài đặt chứng chỉ ứng dụng khách cho mỗi thiết bị không dây, vì vậy chỉ phù hợp với môi trường doanh nghiệp được quản lý. Máy chủ chứng chỉ Windows có các phương tiện cho phép máy khách tạo chứng chỉ riêng nếu máy khách là thành viên của một miền. Việc chặn một khách hàng có thể dễ dàng được thực hiện bằng cách thu hồi chứng chỉ của khách hàng đó (hoặc thông qua tài khoản).
- EAP-TTLS(Bảo mật lớp truyền tải đường hầm) tương tự như EAP-TLS, nhưng không yêu cầu chứng chỉ ứng dụng khách khi tạo đường hầm. Trong đường hầm như vậy, tương tự như kết nối SSL của trình duyệt, ủy quyền bổ sung được thực hiện (sử dụng mật khẩu hoặc thứ gì khác).
- PEAP-MSCHAPv2(EAP được bảo vệ) - tương tự như EAP-TTLS về mặt thiết lập ban đầu đường hầm TLS được mã hóa giữa máy khách và máy chủ, yêu cầu chứng chỉ máy chủ. Sau đó, một đường hầm như vậy được cấp phép bằng giao thức MSCHAPv2 nổi tiếng.
- PEAP-GTC(Thẻ Token chung) - tương tự như thẻ trước, nhưng yêu cầu thẻ mật khẩu một lần(và cơ sở hạ tầng liên quan)
Tất cả các phương pháp này (ngoại trừ EAP-FAST) đều yêu cầu chứng chỉ máy chủ (trên máy chủ RADIUS) do cơ quan chứng nhận (CA) cấp. Trong trường hợp này, chứng chỉ CA phải có trên thiết bị của khách hàng trong nhóm đáng tin cậy (điều này dễ thực hiện bằng Chính sách nhóm trong Windows). Ngoài ra, EAP-TLS yêu cầu chứng chỉ ứng dụng khách cá nhân. Việc xác thực ứng dụng khách được thực hiện như sau: chữ ký số, do đó (tùy chọn) bằng cách so sánh chứng chỉ do máy khách cung cấp với máy chủ RADIUS với chứng chỉ mà máy chủ truy xuất từ cơ sở hạ tầng PKI (Active Directory).
Hỗ trợ cho bất kỳ phương pháp EAP nào phải được cung cấp bởi người thay thế phía khách hàng. Windows XP/Vista/7, iOS, Android tích hợp sẵn tiêu chuẩn cung cấp ít nhất EAP-TLS và EAP-MSCHAPv2, điều này làm cho các phương pháp này trở nên phổ biến. Bộ điều hợp máy khách Intel dành cho Windows đi kèm với tiện ích ProSet mở rộng Danh sách có sẵn. Máy khách Cisco AnyConnect cũng làm như vậy.
Nó đáng tin cậy đến mức nào?
Rốt cuộc, kẻ tấn công cần phải làm gì để hack được mạng của bạn?Để xác thực mở, không mã hóa - không có gì. Đã kết nối với mạng và thế là xong. Vì môi trường vô tuyến mở nên tín hiệu truyền đi theo các mặt khác nhau, chặn nó không phải là điều dễ dàng. Nếu bạn có bộ điều hợp máy khách thích hợp cho phép bạn nghe chương trình phát sóng, lưu lượng mạng có thể nhìn thấy như thể kẻ tấn công đã kết nối với dây, với hub, với cổng SPAN của bộ chuyển mạch.
Mã hóa dựa trên WEP chỉ yêu cầu thời gian IV và một trong nhiều tiện ích quét có sẵn miễn phí.
Đối với mã hóa dựa trên TKIP hoặc AES, về mặt lý thuyết có thể giải mã trực tiếp nhưng trên thực tế chưa có trường hợp nào bị hack.
Tất nhiên, bạn có thể thử đoán khóa PSK hoặc mật khẩu cho một trong các phương pháp EAP. Các cuộc tấn công phổ biến chống lại các phương pháp này không được biết đến. Bạn có thể thử sử dụng các phương pháp kỹ thuật xã hội, hoặc
Chúc một ngày tốt lành, những người bạn thân yêu, những người quen biết và những tính cách khác. Hôm nay chúng ta sẽ nói về Mã hóa Wi-Fi , điều này hợp lý ngay từ tiêu đề.
Tôi nghĩ rằng nhiều bạn sử dụng một thứ như vậy, có nghĩa là, rất có thể, cũng Wifi trên chúng cho máy tính xách tay, máy tính bảng và các thiết bị di động khác của bạn.
Không cần phải nói rằng chính Wi-Fi này phải được khóa bằng mật khẩu, nếu không những người hàng xóm có hại sẽ sử dụng Internet của bạn miễn phí hoặc thậm chí tệ hơn là máy tính của bạn :)
Không cần phải nói rằng ngoài mật khẩu, còn có tất cả các loại mã hóa khác nhau của chính mật khẩu này, hay chính xác hơn là mật khẩu của bạn. Wifi giao thức để nó không những không được sử dụng mà còn không thể bị hack.
Nói chung, hôm nay tôi muốn nói chuyện với bạn một chút về một điều như Wifi mã hóa, hay đúng hơn là những thứ này WPE, WPA, WPA2, WPS và những người khác thích họ.
Sẵn sàng? Bắt đầu nào.
Mã hóa WiFi - thông tin chung
Để bắt đầu, chúng ta hãy nói một cách rất đơn giản về việc xác thực với bộ định tuyến (máy chủ) trông như thế nào, tức là quá trình mã hóa và trao đổi dữ liệu trông như thế nào. Đây là hình ảnh chúng tôi nhận được:
Nghĩa là, trước tiên, với tư cách là khách hàng, chúng tôi nói rằng chúng tôi là chúng tôi, tức là chúng tôi biết mật khẩu (mũi tên màu xanh lá cây ở trên cùng). Máy chủ, giả sử là một bộ định tuyến, vui mừng và cung cấp cho chúng tôi một chuỗi ngẫu nhiên (đó cũng là khóa mà chúng tôi mã hóa dữ liệu), sau đó dữ liệu được mã hóa bằng chính khóa này sẽ được trao đổi.
Bây giờ hãy nói về các loại mã hóa, lỗ hổng của chúng, v.v. Hãy bắt đầu theo thứ tự, cụ thể là với MỞ, nghĩa là, từ việc không có bất kỳ mật mã nào, và sau đó chúng ta chuyển sang mọi thứ khác.
Loại 1 - MỞ
Như bạn đã hiểu (và tôi vừa nói), trên thực tế, MỞ- đây là sự vắng mặt của bất kỳ sự bảo vệ nào, tức là. wifi Không có mã hóa như một lớp và bạn và bộ định tuyến của bạn hoàn toàn không liên quan đến việc bảo vệ kênh và dữ liệu được truyền.
Đây chính xác là nguyên tắc họ làm việc. mạng có dây- chúng không có tính năng bảo vệ tích hợp và “đâm” vào nó hoặc chỉ đơn giản là kết nối với hub/switch/router bộ điều hợp mạng sẽ nhận các gói từ tất cả các thiết bị trong phân đoạn mạng này ở dạng văn bản rõ ràng.
Tuy nhiên, với mạng không dây, bạn có thể gặp sự cố từ bất cứ đâu - 10-20-50 mét trở lên và khoảng cách không chỉ phụ thuộc vào công suất máy phát của bạn mà còn phụ thuộc vào độ dài ăng-ten của hacker. Do đó, việc truyền dữ liệu mở qua mạng không dây nguy hiểm hơn nhiều, vì trên thực tế, kênh của bạn có sẵn cho tất cả mọi người.
Loại 2 - WEP (Quyền riêng tư tương đương có dây)
Một trong những loại sớm nhất wifi mã hóa là WEP. Đã xuất hiện vào cuối 90 -x và hiện là một trong những loại mã hóa yếu nhất.
Bạn có muốn biết và có thể tự mình làm được nhiều hơn không?
Chúng tôi cung cấp cho bạn đào tạo về các lĩnh vực sau: máy tính, chương trình, quản trị, máy chủ, mạng, xây dựng trang web, SEO và hơn thế nữa. Tìm hiểu chi tiết ngay bây giờ!
Trong nhiều bộ định tuyến hiện đại, loại mã hóa này hoàn toàn bị loại khỏi danh sách các tùy chọn để bạn lựa chọn:
Nên tránh điều này giống như các mạng mở - nó chỉ cung cấp bảo mật trên một khoảng thời gian ngắn, sau đó mọi đường truyền đều có thể được tiết lộ đầy đủ, bất kể độ phức tạp của mật khẩu.
Tình hình trở nên trầm trọng hơn bởi thực tế là mật khẩu trong WEP- nó cũng vậy 40 , hoặc 104 bit rằng có một sự kết hợp cực kỳ ngắn và nó có thể được chọn trong vài giây (điều này không tính đến các lỗi trong quá trình mã hóa).
Vấn đề chính WEP- một lỗi thiết kế cơ bản. WEP thực sự truyền một số byte có cùng khóa này cùng với mỗi gói dữ liệu.
Do đó, bất kể độ phức tạp của khóa, bất kỳ đường truyền nào cũng có thể bị phát hiện chỉ bằng cách có đủ số lượng gói bị chặn (vài chục nghìn, khá nhỏ đối với một mạng được sử dụng tích cực).
Loại 3 - WPA và WPA2 (Truy cập được bảo vệ Wi-Fi)
Đây là một số loại hiện đại nhất của những thứ như Mã hóa Wi-Fi và trên thực tế cho đến nay hầu như chưa có cái mới nào được phát minh.
Trên thực tế, việc tạo ra các loại mã hóa này đã thay thế các loại mã hóa lâu dài WEP. Độ dài mật khẩu là tùy ý, từ 8 trước 63 byte, khiến cho việc lựa chọn rất khó khăn (so sánh với 3, 6 Và 15 byte trong WEP).
Hỗ trợ tiêu chuẩn các thuật toán khác nhau mã hóa dữ liệu được truyền sau khi bắt tay: TKIP Và CCMP.
Đầu tiên là một cái gì đó giống như một cây cầu giữa WEP Và WPA, được phát minh vào thời điểm IEEEđang bận tạo ra một thuật toán hoàn chỉnh CCMP. TKIP cũng như WEP, gặp phải một số kiểu tấn công và nhìn chung không an toàn lắm.
Ngày nay nó hiếm khi được sử dụng (mặc dù tôi không rõ tại sao nó vẫn được sử dụng) và nói chung việc sử dụng WPA Với TKIP gần giống như sử dụng đơn giản WEP.
Ngoài các thuật toán mã hóa khác nhau, WPA(2) hỗ trợ hai chế độ khác nhau xác thực ban đầu(kiểm tra mật khẩu để khách hàng truy cập vào mạng) - PSK Và Doanh nghiệp. PSK(đôi khi được gọi là WPA cá nhân) - mục nhập bởi mật khẩu duy nhất, mà khách hàng nhập vào khi kết nối.
Điều này đơn giản và thuận tiện, nhưng trong trường hợp các công ty lớn, nó có thể là một vấn đề - giả sử nhân viên của bạn đã rời đi và do đó anh ta không thể truy cập mạng được nữa, bạn phải thay đổi mật khẩu cho toàn bộ mạng và thông báo cho các nhân viên khác về Nó. Doanh nghiệp loại bỏ vấn đề này do có nhiều khóa được lưu trữ trên một máy chủ riêng biệt - BÁNH GIÁ.
Bên cạnh đó, Doanh nghiệp chuẩn hóa chính quá trình xác thực trong giao thức EAP (E có thể mở rộng MỘT xác thực P rotocol), cho phép bạn viết thuật toán của riêng mình.
Loại 4 - WPS/QSS
wifi mã hóa WPS, hay còn gọi là QSS- một công nghệ thú vị cho phép chúng ta không cần nghĩ đến mật khẩu mà chỉ cần nhấn nút và kết nối mạng ngay lập tức. Về bản chất, đây là một phương pháp “hợp pháp” để vượt qua bảo vệ mật khẩu nói chung, nhưng điều đáng ngạc nhiên là nó đã trở nên phổ biến do một tính toán sai lầm rất nghiêm trọng trong chính hệ thống truy cập - đây là nhiều năm sau trải nghiệm đáng buồn với WEP.
WPS cho phép khách hàng kết nối với điểm truy cập bằng mã gồm 8 ký tự bao gồm các số ( GHIM). Tuy nhiên do sai tiêu chuẩn nên bạn chỉ cần đoán thôi 4 của họ. Vì vậy, tất cả chỉ cần 10000 cố gắng đoán và, bất kể mật khẩu truy cập mạng không dây có phức tạp như thế nào, bạn sẽ tự động có được quyền truy cập này và cùng với đó là mật khẩu giống như hiện tại.
Cho rằng sự tương tác này xảy ra trước bất kỳ kiểm tra bảo mật nào, mỗi giây có thể được gửi bởi 10-50 yêu cầu đăng nhập qua WPS, và thông qua 3-15 giờ (có khi nhiều hơn, có khi ít hơn) bạn sẽ nhận được chìa khóa thiên đàng.
Khi lỗ hổng này được phát hiện, các nhà sản xuất bắt đầu thực hiện giới hạn số lần đăng nhập ( giới hạn tỷ lệ), sau khi vượt quá giới hạn đó, điểm truy cập sẽ tự động tắt trong một thời gian WPS- tuy nhiên, cho đến nay không có quá một nửa số thiết bị như vậy trong số những thiết bị đã được phát hành mà không có sự bảo vệ này.
Hơn nữa - việc vô hiệu hóa tạm thời không thay đổi bất cứ điều gì về cơ bản, vì với một lần đăng nhập mỗi phút, chúng tôi sẽ chỉ cần 10000/60/24 = 6,94 ngày. MỘT GHIM thường được tìm thấy trước khi toàn bộ chu trình được hoàn thành.
Tôi muốn một lần nữa thu hút sự chú ý của bạn đến thực tế là khi WPS mật khẩu của bạn chắc chắn sẽ bị lộ, bất kể độ phức tạp của nó. Vì vậy nếu bạn cần nó chút nào WPS- chỉ bật nó khi kết nối với mạng và tắt nó trong thời gian còn lại.
Lời bạt
Trên thực tế, bạn có thể tự rút ra kết luận, nhưng nói chung, hiển nhiên là bạn nên sử dụng ít nhất WPA, và tốt hơn WPA2.
Trong bài viết tiếp theo về Wifi chúng ta sẽ nói về việc chúng ảnh hưởng như thế nào Nhiều loại khác nhau mã hóa về hiệu suất của kênh và bộ định tuyến, đồng thời xem xét một số sắc thái khác.
Như mọi khi, nếu bạn có bất kỳ câu hỏi, bổ sung nào, v.v., vui lòng nhận xét về chủ đề về Mã hóa Wi-Fi.
Tái bút: Về sự tồn tại của tài liệu này, xin cảm ơn tác giả Habr dưới biệt danh ProgerXP. Trên thực tế, tất cả văn bản đều được lấy từ tài liệu của anh ấy, để không phát minh lại bánh xe bằng lời nói của chính bạn.
