Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Windows 7, XP
  • Telefon (tablet) se ne povezuje na Wi-Fi, piše „Sačuvano, WPA \ WPA2 zaštita. Sigurnost javnih WiFi mreža

Telefon (tablet) se ne povezuje na Wi-Fi, piše „Sačuvano, WPA \ WPA2 zaštita. Sigurnost javnih WiFi mreža

29.06.2019 Windows 7, XP

WPA enkripcija uključuje korištenje zaštićene Wi-Fi mreže. Općenito, WPA je skraćenica za Wi-Fi Protected Access, odnosno zaštićen.

Većina sistemskih administratora zna kako da konfiguriše ovaj protokol i zna mnogo o njemu.

Ali obični ljudi mogu naučiti mnogo o tome šta je WPA, kako ga postaviti i kako ga koristiti.

Istina, na Internetu možete pronaći mnogo članaka o ovoj temi, iz kojih je nemoguće ništa razumjeti. Stoga ćemo danas jednostavnim jezikom govoriti o teškim stvarima.

Malo teorije

Dakle, WPA je protokol, tehnologija, program koji sadrži skup certifikata koji se koriste u prijenosu.

Jednostavnije rečeno, ova tehnologija vam omogućava da koristite različite metode za osiguranje vaše Wi-Fi mreže.

Ovo može biti elektronički ključ, također je poseban certifikat o pravu korištenja ove mreže (o tome ćemo kasnije).

Uglavnom, uz pomoć ovog programa samo oni koji imaju pravo na to moći će koristiti mrežu i to je sve što trebate znati.

Za referencu: Autentifikacija je sredstvo zaštite koje vam omogućava da utvrdite identitet osobe i njeno pravo na pristup mreži, uparujući prijavljene i očekivane podatke.

Na primjer, osoba se može autentifikovati kada primijeni vlastitu. Ako samo unese korisničko ime i lozinku, to je samo autorizacija.

Ali otisak prsta vam omogućava da provjerite da li se ta osoba zaista prijavljuje, a ne da je neko uzeo njegove podatke i ušao uz njihovu pomoć.

Rice. 1. Skener otiska prsta pametnog telefona

A na dijagramu se nalazi i WLC - bežični LAN kontroler. Desno je server za autentifikaciju.

Sve je to povezano običnim Switch (uređaj koji jednostavno povezuje različite mrežne uređaje). Ključ se šalje iz kontrolera na server za autentifikaciju i tamo se pohranjuje.

Klijent, kada pokušava da se poveže na mrežu, mora preneti LAP-u ključ koji mu je poznat. Ovaj ključ ide na server za autentifikaciju i uspoređuje se sa željenim ključem.

Ako se ključevi podudaraju, signal se slobodno distribuira do klijenta.

Rice. 2. Primer WPA šeme u Cisco Pocket Tracer

Komponente WPA

Kao što smo već rekli, WPA koristi posebne ključeve koji se generiraju svaki put kada pokušate pokrenuti prijenos signala, odnosno uključite Wi-Fi, a također se mijenjaju s vremena na vrijeme.

WPA uključuje nekoliko tehnologija odjednom koje pomažu u generiranju i prijenosu tih istih ključeva.

Slika ispod prikazuje opću formulu, koja uključuje sve komponente razmatrane tehnologije.

Rice. 3. Formula sa WPA komponentama

Sada pogledajmo svaku od ovih komponenti posebno:

  • 1X je standard koji se koristi za generiranje tog vrlo jedinstvenog ključa, s kojim se autentifikacija događa u budućnosti.
  • EAP je takozvani Extensible Authentication Protocol. On je odgovoran za format poruka kojima se ključevi prenose.
  • TKIP je protokol koji je omogućio proširenje veličine ključa na 128 bajtova (ranije je u WEP-u bio samo 40 bajtova).
  • MIC je mehanizam za provjeru poruka (naročito se provjerava integritet). Ako poruke ne ispunjavaju kriterijume, šalju se nazad.

Vrijedi reći da sada postoji WPA2, koji pored svega navedenog koristi i CCMP i AES enkripciju.

Nećemo govoriti o tome šta je sada, ali WPA2 je pouzdaniji od WPA. To je sve što zaista trebate znati.

Još jednom od početka

Dakle, evo ga. Mreža koristi WPA tehnologiju.

Za povezivanje na Wi-Fi, svaki uređaj mora osigurati korisnički certifikat ili, jednostavnije, poseban ključ koji izdaje server za autentifikaciju.

Tek tada će moći koristiti mrežu. To je sve!

Sada znate šta je WPA. Hajde sada da razgovaramo o tome šta je dobro, a šta loše u ovoj tehnologiji.

Prednosti i nedostaci WPA enkripcije

Prednosti ove tehnologije uključuju sljedeće:

  1. Poboljšana sigurnost prenosa podataka (u poređenju sa WEP-om, njegovim prethodnikom, WPA).
  2. Stroža kontrola nad Wi-Fi pristupom.
  3. Kompatibilan sa širokim spektrom uređaja koji se koriste za organiziranje bežične mreže.
  4. Centralizovano upravljanje sigurnošću. Centar u ovom slučaju je server za autentifikaciju. Ovo sprečava napadače da dobiju pristup skrivenim podacima.
  5. Preduzeća mogu koristiti vlastite sigurnosne politike.
  6. Jednostavan za postavljanje i korištenje.

Naravno, ova tehnologija ima i nedostatke, a oni se često pokažu vrlo značajnim. Konkretno, govorimo o sljedećem:

  1. TKIP se može razbiti za najviše 15 minuta. Ovo je objavila grupa stručnjaka 2008. na PacSec konferenciji.
  2. 2009. godine stručnjaci sa Univerziteta u Hirošimi razvili su metodu za hakovanje bilo koje mreže koristeći WPA u jednoj minuti.
  3. Uz pomoć ranjivosti, koju su nazvali stručnjaci Hole196, možete koristiti WPA2 sa svojim ključem, a ne s onim koji zahtijeva server za autentifikaciju.
  4. U većini slučajeva, bilo koji WPA može se hakovati uobičajenim nabrajanjem svih mogućih opcija (brute-force), kao i korištenjem tzv. U drugom slučaju, opcije se ne koriste u haotičnom redoslijedu, već prema rječniku.

Naravno, da bi se iskoristile sve ove ranjivosti i problemi, potrebno je posedovati posebna znanja iz oblasti izgradnje računarskih mreža.

Za većinu običnih korisnika ništa od ovoga nije dostupno. Stoga, ne morate brinuti da će neko dobiti pristup vašoj Wi-Fi mreži.

Rice. 4. Kreker i kompjuter

S proliferacijom bežičnih mreža, protokoli za šifriranje WPA i WPA2 postali su poznati gotovo svim vlasnicima uređaja koji se povezuju na Wi-Fi. Oni su naznačeni u svojstvima veza, a pažnju većine korisnika koji nisu sistemski administratori privlači minimum. Ima dovoljno informacija da je WPA2 proizvod evolucije WPA, te je stoga WPA2 noviji i pogodniji za današnje mreže.

WPA To je protokol za šifriranje dizajniran da zaštiti bežične mreže standarda IEEE 802.11, koji je razvila Wi-Fi Alijansa 2003. godine kao zamjena za zastarjeli i nesigurni WEP protokol.
WPA2 To je protokol za šifriranje koji je poboljšani razvoj WPA, koji je 2004. godine uvela Wi-Fi Alliance.

Razlika između WPA i WPA2

Pronalaženje razlike između WPA i WPA2 za većinu korisnika nije relevantno, jer se sva zaštita bežične mreže svodi na odabir manje ili više složene lozinke za pristup. Danas je situacija takva da svi uređaji koji rade u Wi-Fi mrežama moraju podržavati WPA2, pa izbor WPA može biti samo zbog nestandardnih situacija. Na primjer, operativni sistemi stariji od Windows XP SP3 ne podržavaju WPA2 bez zakrpa, tako da mašine i uređaji koje kontrolišu takvi sistemi zahtijevaju pažnju mrežnog administratora. Čak i neki moderni pametni telefoni možda ne podržavaju novi protokol šifriranja, uglavnom za azijske gadgete van brenda. S druge strane, neke verzije Windows-a starije od XP-a ne podržavaju WPA2 na nivou GPO-a, te stoga zahtijevaju finije podešavanje mrežnih veza u ovom slučaju.
Tehnička razlika između WPA i WPA2 leži u tehnologiji šifriranja, posebno u korištenim protokolima. WPA koristi TKIP protokol, WPA2 koristi AES protokol. U praksi, to znači da moderniji WPA2 pruža veći stepen sigurnosti mreže. Na primjer, TKIP protokol vam omogućava da kreirate ključ za autentifikaciju do 128 bita, AES - do 256 bita.

TheDifference.ru je utvrdio da je razlika između WPA2 i WPA sljedeća:

WPA2 je poboljšani WPA.
WPA2 koristi AES protokol, WPA koristi TKIP protokol.
WPA2 podržavaju svi moderni bežični uređaji.
WPA2 možda nije podržan od strane naslijeđenih operativnih sistema.
WPA2 je sigurniji od WPA.

Ovaj članak govori o sigurnosti prilikom korištenja WiFi bežičnih mreža.

Uvod - WiFi ranjivosti

Glavni razlog ranjivosti korisničkih podataka kada se ti podaci prenose preko WiFi mreža je taj što se razmjena odvija preko radio talasa. I to omogućava presretanje poruka u bilo kojoj tački gdje je WiFi signal fizički dostupan. Jednostavno rečeno, ako se signal pristupne tačke može uhvatiti na udaljenosti od 50 metara, tada je moguće presretanje cjelokupnog mrežnog prometa ove WiFi mreže u radijusu od 50 metara od pristupne točke. U susjednoj prostoriji, na drugom spratu zgrade, na ulici.

Zamislite ovu sliku. U kancelariji je lokalna mreža izgrađena preko WiFi mreže. Signal sa pristupne tačke ove kancelarije preuzima se izvan zgrade, na primer na parkingu. Napadač izvan zgrade može dobiti pristup kancelarijskoj mreži, odnosno neprimetno od strane vlasnika ove mreže. WiFi mrežama se može pristupiti lako i nevidljivo. Tehnički mnogo lakše od žičanih mreža.

Da. Do danas su razvijena i implementirana sredstva zaštite WiFi mreža. Ova zaštita se zasniva na šifrovanju celokupnog saobraćaja između pristupne tačke i krajnjeg uređaja koji je na nju povezan. Odnosno, napadač može presresti radio signal, ali za njega će to biti samo digitalno "đubre".

Kako funkcionira WiFi zaštita?

Pristupna tačka uključuje u svoju WiFi mrežu samo uređaj koji će poslati ispravnu (navedenu u postavkama pristupne tačke) lozinku. U ovom slučaju, lozinka se također šalje šifrirana, u obliku hash-a. Heš je rezultat nepovratnog šifriranja. To jest, podaci koji su prevedeni u heš ne mogu se dešifrirati. Ako napadač presretne heš lozinke, neće moći dobiti lozinku.

Ali kako pristupna tačka zna da li je lozinka ispravna ili ne? Ako i ona primi heš, ali ga ne može dešifrirati? Sve je jednostavno - u postavkama pristupne tačke lozinka je navedena u svom čistom obliku. Program za autorizaciju uzima čistu lozinku, kreira hash od nje, a zatim upoređuje ovaj hash sa onim primljenim od klijenta. Ako se hešovi podudaraju, klijent ima ispravnu lozinku. Ovdje se koristi druga karakteristika hashova - oni su jedinstveni. Isti hash se ne može dobiti iz dva različita skupa podataka (lozinki). Ako se dva heša podudaraju, onda su oba kreirana iz istog skupa podataka.

Između ostalog. Zbog ove funkcije, hashovi se koriste za kontrolu integriteta podataka. Ako se dva heša (kreirana sa vremenskim intervalom) podudaraju, onda originalni podaci (tokom ovog vremenskog intervala) nisu promijenjeni.

Međutim, iako je najmoderniji način osiguranja WiFi mreže (WPA2) pouzdan, ova mreža može biti hakovana. Kako?

Postoje dvije metode za pristup WPA2 zaštićenoj mreži:

  1. Napadi grube sile lozinke (tzv. brute-force napadi rječnika).
  2. Iskorištavanje ranjivosti u funkciji WPS.

U prvom slučaju, napadač presreće heš lozinke za pristupnu tačku. Zatim se vrši heš poređenje preko baze podataka koja sadrži hiljade ili milione riječi. Riječ se uzima iz rječnika, generira se hash za ovu riječ, a zatim se ovaj hash uspoređuje sa presretnutim hashom. Ako se na pristupnoj tački koristi primitivna lozinka, onda je probijanje lozinke, ove pristupne tačke, pitanje vremena. Na primjer, lozinka od 8 cifara (8 znakova je minimalna dužina lozinke za WPA2) je milion kombinacija. Na modernom računaru moguće je nabrojati milion vrijednosti za nekoliko dana ili čak sati.

U drugom slučaju, ranjivost se iskorištava u prvim verzijama WPS funkcije. Ova funkcija vam omogućava da povežete uređaj sa pristupnom tačkom na kojoj ne možete da unesete lozinku, kao što je štampač. Kada koristite ovu funkciju, uređaj i pristupna tačka razmjenjuju digitalni kod, a ako uređaj pošalje ispravan kod, pristupna tačka će ovlastiti klijenta. Postojala je ranjivost u ovoj funkciji - kod je bio 8 cifara, ali je jedinstvenost provjerena samo sa četiri! Odnosno, da biste hakirali WPS, morate nabrojati sve vrijednosti koje daju 4 znamenke. Kao rezultat toga, hakiranje pristupne točke putem WPS-a može se obaviti doslovno za nekoliko sati, na bilo kojem, najslabijem uređaju.

Postavljanje WiFi sigurnosti

Sigurnost WiFi mreže određena je postavkama pristupne točke. Nekoliko od ovih postavki direktno utiče na sigurnost mreže.

Način pristupa WiFi mreži

Pristupna tačka može da radi u jednom od dva režima - otvorenom ili zaštićenom. U slučaju otvorenog pristupa, bilo koji uređaj se može povezati na pristupnu tačku. U slučaju sigurnog pristupa povezan je samo uređaj koji prenosi ispravnu pristupnu lozinku.

Postoje tri tipa (standarda) za zaštitu WiFi mreža:

  • WEP (privatnost ekvivalentna ožičenoj mreži)... Prvi standard zaštite. Danas zapravo ne pruža zaštitu, jer ga je vrlo lako hakovati zbog slabosti odbrambenih mehanizama.
  • WPA (Wi-Fi zaštićeni pristup)... Hronološki drugi standard zaštite. U vrijeme kreiranja i puštanja u rad, pružao je efikasnu zaštitu za WiFi mreže. Ali u kasnim 2000-im, pronađene su prilike da se probije WPA sigurnost kroz ranjivosti u sigurnosnim mehanizmima.
  • WPA2 (Wi-Fi zaštićeni pristup)... Najnoviji standard zaštite. Pruža pouzdanu zaštitu ako se poštuju određena pravila. Do danas postoje samo dva poznata načina za probijanje WPA2 zaštite. Traženje lozinke u rječniku i zaobilazno rješenje putem WPS usluge.

Stoga, da biste osigurali sigurnost WiFi mreže, morate odabrati tip sigurnosti WPA2. Međutim, ne mogu ga podržavati svi klijentski uređaji. Na primjer, Windows XP SP2 podržava samo WPA.

Pored izbora WPA2 standarda, potrebni su i dodatni uslovi:

Koristite metodu AES enkripcije.

Lozinka za pristup WiFi mreži mora biti sastavljena na sljedeći način:

  1. Koristi slova i brojeva u lozinki. Proizvoljan skup slova i brojeva. Ili vrlo rijetka, samo za vas značajna riječ ili fraza.
  2. Ne koristite jednostavne lozinke kao što su ime + datum rođenja, ili neka riječ + nekoliko brojeva, na primjer lena1991 ili dom12345.
  3. Ako je potrebno koristiti samo digitalnu lozinku, tada njena dužina mora biti najmanje 10 znakova. Zato što je digitalna lozinka od osam znakova gruba sila u realnom vremenu (od nekoliko sati do nekoliko dana, u zavisnosti od snage računara).

Ako koristite složene lozinke, u skladu s ovim pravilima, tada se vaša WiFi mreža neće moći hakirati pogađanjem lozinke pomoću rječnika. Na primjer, za lozinku kao što je 5Fb9pE2a(proizvoljne alfanumeričke), maksimalno moguće 218340105584896 kombinacije. Danas je gotovo nemoguće parirati. Čak i ako kompjuter uporedi 1.000.000 (milion) riječi u sekundi, biće potrebno skoro 7 godina da se pretraže sve vrijednosti.

WPS (Wi-Fi zaštićeno postavljanje)

Ako vaša pristupna tačka ima Wi-Fi Protected Setup (WPS), morate je onemogućiti. Ako je ova funkcija potrebna, morate osigurati da je njena verzija ažurirana na sljedeće funkcije:

  1. Korištenje svih 8 simbola pin koda umjesto 4, kao što je bilo na početku.
  2. Omogućavanje odgode nakon nekoliko pokušaja prijenosa pogrešnog PIN koda od klijenta.

Dodatna prilika za poboljšanje WPS sigurnosti je korištenje alfanumeričkog pin koda.

Sigurnost javnih WiFi mreža

Danas je moderno koristiti internet putem WiFi mreža na javnim mjestima - u kafićima, restoranima, trgovačkim centrima itd. Važno je razumjeti da korištenje takvih mreža može dovesti do krađe vaših ličnih podataka. Ako uđete na Internet preko takve mreže i zatim autorizirate na bilo kojoj stranici, tada vaše podatke (login i lozinku) može presresti druga osoba koja je povezana na istu WiFi mrežu. Zaista, na bilo kojem uređaju koji je prošao autorizaciju i povezan je na pristupnu tačku, možete presresti mrežni promet sa svih drugih uređaja na ovoj mreži. A posebnost javnih WiFi mreža je u tome što se na nju može povezati svako, uključujući i napadač, i to ne samo na otvorenu mrežu, već i na zaštićenu.

Šta možete učiniti da zaštitite svoje podatke kada ste povezani na internet putem javne WiFi mreže? Postoji samo jedna opcija - korištenje HTTPS protokola. Ovaj protokol uspostavlja šifrovanu vezu između klijenta (pretraživača) i sajta. Međutim, ne podržavaju sve stranice HTTPS protokol. Adrese na web lokaciji koja podržava HTTPS počinju prefiksom https: //. Ako adrese na web lokaciji imaju prefiks http: //, to znači da stranica ne podržava HTTPS ili se ne koristi.

Neke stranice ne koriste HTTPS prema zadanim postavkama, ali imaju ovaj protokol i možete ga koristiti ako eksplicitno (ručno) navedete https: // prefiks.

Za druge slučajeve upotrebe kao što su internet razgovori, skype, itd., besplatni ili plaćeni VPN serveri mogu se koristiti za zaštitu ovih podataka. Odnosno, prvo se povežite na VPN server, a tek onda koristite chat ili otvorenu stranicu.

WiFi zaštita lozinkom

U drugom i trećem dijelu ovog članka napisao sam da je u slučaju korištenja sigurnosnog standarda WPA2 jedan od načina hakovanja WiFi mreže pogađanje lozinke pomoću rječnika. Ali za uljeza, postoji još jedan način da dobijete lozinku za vašu WiFi mrežu. Ako svoju lozinku pohranite na naljepnicu zalijepljenu na monitor, to omogućava strancu da vidi ovu lozinku. Takođe, vaša lozinka može biti ukradena sa računara koji je povezan na vašu WiFi mrežu. Osoba izvana može to učiniti ako vaši računari nisu zaštićeni od neovlaštenog pristupa. To se može učiniti pomoću zlonamjernog softvera. Osim toga, lozinka se može ukrasti sa uređaja koji se uzima izvan ureda (kuća, stan) - sa pametnog telefona, tableta.

Stoga, ako vam je potrebna pouzdana zaštita vaše WiFi mreže, morate poduzeti korake da bezbedno pohranite svoju lozinku. Zaštitite ga od neovlaštenog pristupa.

Ako vam je bio koristan ili vam se samo svidio ovaj članak, ne oklijevajte - financijski podržite autora. To je lako učiniti bacanjem novca Yandex novčanik br. 410011416229354... Ili na telefon +7 918-16-26-331 .

Čak i mala količina može vam pomoći da napišete nove članke :)

Nedavno je bilo mnogo "otkrivajućih" publikacija o hakovanju bilo kojeg sljedećeg protokola ili tehnologije koja ugrožava sigurnost bežičnih mreža. Da li je to zaista tako, čega se vrijedi bojati i kako pristup vašoj mreži učiniti što sigurnijim? WEP, WPA, 802.1x, EAP, PKI vam malo znače? Ovaj kratki pregled će vam pomoći da spojite sve tehnologije šifriranja i autorizacije radio pristupa koje se koriste. Pokušaću da pokažem da je pravilno konfigurisana bežična mreža nepremostiva barijera za napadača (do određene granice, naravno).

Osnove

Svaka interakcija između pristupne tačke (mreže) i bežičnog klijenta zasniva se na:
  • Autentifikacija- kako se klijent i pristupna tačka predstavljaju jedni drugima i potvrđuju da imaju pravo da međusobno komuniciraju;
  • Enkripcija- koji se algoritam kodiranja za prenete podatke koristi, kako se generira ključ za šifriranje i kada se mijenja.

Pristupna tačka redovno objavljuje parametre bežične mreže, prvenstveno njen naziv (SSID), u broadcast beacon paketima. Pored očekivanih sigurnosnih postavki, prenose se želje za QoS, 802.11n parametri, podržane brzine, informacije o drugim susjedima itd. Autentifikacija definiše kako se klijent predstavlja do tačke. Moguće opcije:

  • Otvori- takozvana otvorena mreža, u kojoj su svi povezani uređaji autorizirani odjednom
  • Shared- autentičnost povezanog uređaja mora se provjeriti ključem/lozinkom
  • EAP- autentičnost povezanog uređaja mora biti potvrđena korištenjem EAP protokola od strane eksternog servera
Otvorenost mreže ne znači da svako može nekažnjeno raditi s njom. Za prijenos podataka u takvoj mreži potrebno je uskladiti primijenjeni algoritam šifriranja i, shodno tome, ispravno uspostaviti šifriranu vezu. Algoritmi šifriranja su sljedeći:
  • Nema- nema enkripcije, podaci se prenose u čistom tekstu
  • WEP- šifra zasnovana na RC4 algoritmu sa različitim statičkim ili dinamičkim dužinama ključa (64 ili 128 bita)
  • CKIP- vlasnička zamjena za WEP iz Cisco-a, ranu verziju TKIP-a
  • TKIP- poboljšana zamjena WEP-a uz dodatne provjere i sigurnost
  • AES / CCMP- najnapredniji algoritam baziran na AES256 sa dodatnim provjerama i zaštitom

Kombinacija Otvorena autentikacija, bez šifriranjaširoko se koristi u sistemima za pristup gostima kao što je pružanje interneta u kafiću ili hotelu. Da biste se povezali, trebate samo znati naziv bežične mreže. Često se takva veza kombinuje s dodatnom provjerom na Captive Portalu tako što se korisnikov HTTP zahtjev preusmjerava na dodatnu stranicu na kojoj možete tražiti potvrdu (login-lozinka, pristanak na pravila, itd.).

Enkripcija WEP je ugrožen i ne može se koristiti (čak i sa dinamičkim ključevima).

Uobičajeni termini WPA i WPA2 odrediti, zapravo, algoritam šifriranja (TKIP ili AES). Zbog činjenice da klijentski adapteri već duže vrijeme podržavaju WPA2 (AES), nema smisla koristiti TKIP enkripciju.

Razlika između WPA2 Personal i WPA2 Enterprise odakle potiču ključevi za šifrovanje koji se koriste u mehanici AES algoritma. Za privatne (kućne, male) aplikacije koristi se statički ključ (lozinka, kodna riječ, PSK (Pre-Shared Key)) minimalne dužine od 8 znakova, koji je specificiran u postavkama pristupne točke i isti je za sve klijentima ove bežične mreže. Kompromitovanje takvog ključa (propuštanje komšije, otpuštanje radnika, ukraden laptop) zahteva momentalnu promenu lozinke za sve preostale korisnike, što je realno samo u slučaju malog broja njih. Za korporativne aplikacije, kao što ime govori, koristi se dinamički ključ koji je individualan za svakog klijenta koji trenutno radi. Ovaj ključ se može periodično ažurirati tokom rada bez prekida veze, a za njegovu generaciju odgovorna je dodatna komponenta - autorizacijski server, a gotovo uvijek je to RADIUS server.

Svi mogući sigurnosni parametri su sažeti na ovoj pločici:

Nekretnina Statički WEP Dynamic WEP WPA WPA 2 (Enterprise)
Identifikacija Korisnik, kompjuter, WLAN kartica Korisnik, kompjuter
Korisnik, kompjuter
Korisnik, kompjuter
Autorizacija
Zajednički ključ

EAP

EAP ili zajednički ključ

EAP ili zajednički ključ

Integritet

32-bitna vrijednost provjere integriteta (ICV)

32-bitni ICV

64-bitni kod integriteta poruke (MIC)

CRT / CBC-MAC (Kod za provjeru lančane šifre u lančanom bloku - CCM) Dio AES-a

Enkripcija

Statički ključ

Ključ sesije

Ključ po paketu preko TKIP-a

CCMP (AES)

Distribucija ključeva

Jednokratno, ručno

Segmentni glavni ključ u paru (PMK)

Izvedeno od PMK

Izvedeno od PMK

Vektor inicijalizacije

Tekst, 24 bit

Tekst, 24 bit

Prošireni vektor, 65 bit

48-bitni broj paketa (PN)

Algoritam

RC4

RC4

RC4

AES

Dužina ključa, bit

64/128
64/128
128
do 256

Potrebna infrastruktura

Ne

RADIUS

RADIUS

RADIUS

Dok je WPA2 Personal (WPA2 PSK) jasan, poslovno rješenje zahtijeva dodatno razmatranje.

WPA2 Enterprise



Ovdje imamo posla s dodatnim skupom različitih protokola. Na strani klijenta, posebna softverska komponenta, podnosilac zahtjeva (obično dio OS-a) stupa u interakciju sa autorizujućim dijelom, AAA serverom. Ovaj primjer pokazuje rad objedinjene radio mreže izgrađene na laganim pristupnim tačkama i kontroleru. U slučaju korištenja pristupnih tačaka "sa mozgom" cjelokupnu ulogu posrednika između klijenata i servera može preuzeti sama tačka. U ovom slučaju, podaci klijenta molioca se prenose putem radija, formirani u 802.1x protokolu (EAPOL), a na strani kontrolera su umotani u RADIUS pakete.

Upotreba mehanizma EAP autorizacije u vašoj mreži dovodi do toga da nakon uspješne (gotovo sigurno otvorene) autentifikacije klijenta od strane pristupne točke (zajedno sa kontrolorom, ako postoji), potonji traži od klijenta da autorizira (potvrdi svoju ovlaštenje) sa infrastrukturnim RADIUS serverom:

Upotreba WPA2 Enterprise zahtijeva RADIUS server na vašoj mreži. Trenutno su najefikasniji sljedeći proizvodi:

  • Microsoft Network Policy Server (NPS), bivši IAS- podesivo preko MMC-a, besplatno, ali morate kupiti Windows
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3- konfigurabilno preko web sučelja, puna funkcionalnosti, omogućava kreiranje distribuiranih sistema otpornih na greške, skupo je
  • FreeRADIUS- besplatno, podesivo tekstualnim konfiguracijama, nije zgodno za upravljanje i praćenje

U tom slučaju kontrolor pomno prati tekuću razmjenu informacija i čeka uspješnu autorizaciju, odnosno odbijanje u njoj. Ako je uspješan, RADIUS server može prenijeti dodatne parametre na pristupnu tačku (na primjer, u koji VLAN smjestiti pretplatnika, koju IP adresu mu dodijeliti, QoS profil, itd.). Na kraju razmene, RADIUS server dozvoljava klijentu i pristupnoj tački da generišu i razmenjuju ključeve za šifrovanje (pojedinačne, važeće samo za ovu sesiju):

EAP

Sam EAP protokol je kontejneriziran, odnosno stvarni mehanizam autorizacije je na milosti internih protokola. U ovom trenutku, sljedeće su dobile značajnu distribuciju:
  • EAP-FAST(Fleksibilna autentifikacija putem bezbednog tuneliranja) - razvio Cisco; omogućava autorizaciju putem lozinke za prijavu koja se prenosi unutar TLS tunela između podnositelja zahtjeva i RADIUS servera
  • EAP-TLS(Transport Layer Security). Koristi infrastrukturu javnog ključa (PKI) za provjeru autentičnosti klijenta i poslužitelja (molitelja i RADIUS servera) putem certifikata izdanih od pouzdanog certifikacijskog tijela (CA). Zahtijeva potpisivanje i instalaciju klijentskih certifikata za svaki bežični uređaj, stoga je pogodan samo za upravljano korporativno okruženje. Windows Certificate Server ima sredstva koja omogućavaju klijentu da generira certifikat za sebe ako je klijent član domene. Blokiranje klijenta se lako vrši opozivom njegovog sertifikata (ili preko naloga).
  • EAP-TTLS(Tunneled Transport Layer Security) je sličan EAP-TLS-u, ali nije potreban certifikat klijenta kada se kreira tunel. U takvom tunelu, slično kao kod SSL veze pretraživača, vrši se dodatna autorizacija (pomoću lozinke ili nečeg drugog).
  • PEAP-MSCHAPv2(Zaštićeni EAP) – Slično EAP-TTLS-u po tome što u početku uspostavlja šifrovani TLS tunel između klijenta i servera, zahtevajući serverski sertifikat. Kasnije se autorizacija odvija u takvom tunelu koristeći dobro poznati MSCHAPv2 protokol.
  • PEAP-GTC(Generic Token Card) - slično prethodnoj, ali zahtijeva jednokratnu lozinku (i odgovarajuću infrastrukturu)

Sve ove metode (osim za EAP-FAST) zahtijevaju certifikat servera (na RADIUS serveru) koji izdaje certifikacijsko tijelo (CA). U ovom slučaju, sam CA sertifikat mora biti prisutan na klijentovom uređaju u grupi od poverenja (što je lako implementirati korišćenjem smernica grupe u Windows-u). Dodatno, EAP-TLS zahtijeva individualni certifikat klijenta. Provjera autentičnosti klijenta se vrši i digitalnim potpisom i (opciono) poređenjem certifikata koji je klijent dostavio RADIUS serveru sa onim koji je server preuzeo iz PKI infrastrukture (Active Directory).

Podršku za bilo koju od EAP metoda mora obezbijediti molilac na strani klijenta. Standard ugrađen u Windows XP / Vista / 7, iOS, Android pruža najmanje EAP-TLS i EAP-MSCHAPv2, što objašnjava popularnost ovih metoda. Uslužni program ProSet se isporučuje sa Intel Windows klijentskim adapterima za proširenje dostupne liste. Cisco AnyConnect Client radi isto.

Koliko je pouzdan

Na kraju krajeva, šta je potrebno da bi napadač ugrozio vašu mrežu?

Za otvorenu autentifikaciju, bez šifriranja nije ništa. Spojen na mrežu i to je to. Budući da je radio okruženje otvoreno, signal putuje u različitim smjerovima, nije ga lako blokirati. Ako postoje odgovarajući klijentski adapteri koji omogućavaju slušanje zraka, mrežni promet se vidi kao da je napadač spojen na žicu, na čvorište, na SPAN port sviča.
Šifriranje zasnovano na WEP-u zahtijeva samo brute-force IV i jedan od mnogih besplatno dostupnih uslužnih programa za skeniranje.
Za šifriranje zasnovano na TKIP ili AES-u, teoretski je moguće direktno dešifriranje, ali u praksi se hakiranje nije susrelo.

Naravno, možete pokušati pogoditi PSK ključ ili lozinku za jednu od EAP metoda. Nisu poznati uobičajeni napadi na ove metode. Možete isprobati tehnike socijalnog inženjeringa, ili

Top srodni članci

Informacije o tehnologijama navigacije i pozicioniranja koje podržava uređaj
Informacije o tehnologijama navigacije i pozicioniranja koje podržava uređaj
Alcatel OneTouch Idol X - Specifikacije
Alcatel OneTouch Idol X - Specifikacije
Fly DS100 recenzija: mač sa dvije oštrice
Fly DS100 recenzija: mač sa dvije oštrice
Kategorije:
© 2022 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.