تلفن (تبلت) به وای فای وصل نمی شود، می نویسد «ذخیره شده، محافظت WPA\WPA2. امنیت وای فای عمومی

رمزگذاری WPA شامل استفاده از یک شبکه Wi-Fi ایمن است. به طور کلی، WPA مخفف Wi-Fi Protected Access، یعنی محافظت شده است.

اکثر مدیران سیستم می دانند که چگونه این پروتکل را پیکربندی کنند و اطلاعات زیادی در مورد آن دارند.

اما مردم عادی می توانند چیزهای زیادی در مورد WPA، نحوه راه اندازی و نحوه استفاده از آن بیاموزند.

درست است، در اینترنت می توانید مقالات زیادی در مورد این موضوع پیدا کنید که درک چیزی از آنها غیرممکن است. بنابراین، امروز به زبان ساده در مورد چیزهای پیچیده صحبت خواهیم کرد.

کمی تئوری

بنابراین، WPA یک پروتکل، یک فناوری، یک برنامه است که شامل مجموعه‌ای از گواهی‌های مورد استفاده در حین انتقال است.

به زبان ساده، این فناوری به شما اجازه می دهد تا از روش های مختلفی برای محافظت از شبکه وای فای خود استفاده کنید.

این ممکن است یک کلید الکترونیکی باشد که همچنین گواهی ویژه حق استفاده از این شبکه است (ما بعداً در مورد این صحبت خواهیم کرد).

به طور کلی، تنها کسانی که حق استفاده از شبکه را دارند می توانند با این برنامه از شبکه استفاده کنند و این تنها چیزی است که باید بدانید.

برای مرجع: احراز هویت وسیله‌ای حفاظتی است که به شما امکان می‌دهد با مقایسه داده‌های گزارش‌شده توسط او و داده‌های مورد انتظار، هویت یک شخص و حق دسترسی او به شبکه را مشخص کنید.

به عنوان مثال، زمانی که یک شخص خود را قرار دهد می توان احراز هویت شود. اگر او به سادگی یک نام کاربری و رمز عبور وارد کند، این فقط مجوز است.

اما اثر انگشت به شما امکان می دهد بررسی کنید که آیا این شخص واقعاً وارد می شود یا خیر، و نه کسی که داده های او را گرفته و با کمک آنها وارد شده است.

برنج. 1. اسکنر اثر انگشت در گوشی هوشمند

و همچنین در نمودار یک WLC وجود دارد - یک کنترل کننده LAN بی سیم. در سمت راست سرور احراز هویت است.

همه اینها توسط یک سوئیچ معمولی (دستگاهی که به سادگی دستگاه های مختلف شبکه را به هم متصل می کند) متصل می شود. کلید از کنترلر به سرور احراز هویت ارسال می شود و در آنجا ذخیره می شود.

کلاینت هنگام تلاش برای اتصال به شبکه باید کلیدی را که می داند به LAP ارسال کند. این کلید به سرور احراز هویت می رسد و با کلید مورد نظر مقایسه می شود.

اگر کلیدها مطابقت داشته باشند، سیگنال آزادانه به مشتری منتشر می شود.

برنج. شکل 2 نمونه طرحواره WPA در Cisco Pocket Tracer

اجزای WPA

همانطور که در بالا گفتیم، WPA از کلیدهای خاصی استفاده می کند که هر بار که می خواهید انتقال سیگنال را شروع کنید، یعنی Wi-Fi را روشن کنید، و همچنین هر چند وقت یکبار تغییر می کنند، تولید می شوند.

WPA شامل چندین فناوری به طور همزمان است که به تولید و انتقال همین کلیدها کمک می کند.

شکل زیر فرمول کلی را نشان می دهد که شامل تمامی اجزای تکنولوژی مورد بررسی می باشد.

برنج. 3. فرمول با مواد WPA

حال بیایید هر یک از این اجزا را جداگانه بررسی کنیم:

• 1X استانداردی است که برای تولید کلید بسیار منحصربفردی که با آن احراز هویت بیشتر انجام می شود، استفاده می شود.
• EAP به اصطلاح پروتکل تأیید اعتبار توسعه پذیر است. این مسئول قالب پیام هایی است که با آن کلیدها منتقل می شوند.
• TKIP پروتکلی است که به اندازه کلید اجازه می داد تا 128 بایت افزایش یابد (قبلاً در WEP فقط 40 بایت بود).
• MIC مکانیزمی برای بررسی پیام ها است (به ویژه، آنها از نظر یکپارچگی بررسی می شوند). در صورتی که پیام ها شرایط را نداشته باشند، پس فرستاده می شوند.

شایان ذکر است که در حال حاضر WPA2 وجود دارد که علاوه بر همه موارد فوق، از رمزگذاری CCMP و AES نیز استفاده می کند.

ما در مورد آنچه که در حال حاضر است صحبت نخواهیم کرد، اما WPA2 امن تر از WPA است. این تمام چیزی است که واقعاً باید بدانید.

یک بار دیگر از ابتدا

بنابراین شما دارید. این شبکه از فناوری WPA استفاده می کند.

برای اتصال به Wi-Fi، هر دستگاه باید یک گواهی کاربر یا به عبارت ساده تر، یک کلید ویژه صادر شده توسط سرور احراز هویت ارائه کند.

تنها در این صورت است که او می تواند از شبکه استفاده کند. همین!

اکنون می دانید WPA چیست. حالا بیایید در مورد اینکه این فناوری چه چیزی خوب است و چه چیزی بد است صحبت کنیم.

مزایا و معایب رمزگذاری WPA

از مزایای این فناوری می توان به موارد زیر اشاره کرد:

1. امنیت انتقال داده افزایش یافته (در مقایسه با WEP، سلف آن، WPA).
2. کنترل دسترسی Wi-Fi دقیق تر
3. سازگار با تعداد زیادی دستگاه که برای سازماندهی یک شبکه بی سیم استفاده می شوند.
4. مدیریت امنیتی متمرکز مرکز در این مورد سرور احراز هویت است. به همین دلیل، مهاجمان قادر به دسترسی به داده های پنهان نیستند.
5. شرکت ها می توانند از سیاست های امنیتی خود استفاده کنند.
6. سهولت نصب و استفاده بیشتر

البته این فناوری معایبی نیز دارد و اغلب بسیار قابل توجه است. به طور خاص، این چیزی است که ما در مورد آن صحبت می کنیم:

1. کلید TKIP حداکثر در 15 دقیقه شکسته می شود. این را گروهی از متخصصان در سال 2008 در کنفرانس PacSec بیان کردند.
2. در سال 2009، متخصصان دانشگاه هیروشیما روشی را برای کرک کردن هر شبکه با استفاده از WPA در یک دقیقه توسعه دادند.
3. با کمک آسیب‌پذیری به نام Hole196، می‌توانید از WPA2 با کلید خود استفاده کنید، نه با کلید مورد نیاز سرور احراز هویت.
4. در بیشتر موارد، هر WPA را می‌توان با استفاده از شمارش معمول همه گزینه‌های ممکن (بروت فورس)، و همچنین با استفاده از حمله به اصطلاح دیکشنری هک کرد. در مورد دوم، گزینه ها نه به ترتیب آشفته، بلکه طبق فرهنگ لغت استفاده می شوند.

البته برای استفاده از تمامی این آسیب پذیری ها و مشکلات باید دانش خاصی در زمینه ساخت شبکه های کامپیوتری داشته باشید.

برای اکثر کاربران عادی، همه اینها در دسترس نیست. بنابراین، لازم نیست زیاد نگران دسترسی شخصی به Wi-Fi خود باشید.

برنج. 4. کرکر و کامپیوتر

با گسترش شبکه های بی سیم، پروتکل های رمزگذاری WPA و WPA2 تقریباً برای همه دارندگان دستگاه های متصل به Wi-Fi شناخته شده است. آنها در ویژگی های اتصالات مشخص شده اند و توجه اکثر کاربرانی که مدیر سیستم نیستند به حداقل می رسد. کافی است بگوییم WPA2 تکامل یافته WPA است و بنابراین WPA2 جدیدتر و مناسب‌تر برای شبکه‌های امروزی است.

WPAیک پروتکل رمزگذاری است که برای محافظت از شبکه های بی سیم با استاندارد IEEE 802.11 طراحی شده است که توسط Wi-Fi Alliance در سال 2003 به عنوان جایگزینی برای پروتکل قدیمی و ناامن WEP توسعه یافته است.
WPA2- یک پروتکل رمزگذاری که توسعه پیشرفته WPA است که در سال 2004 توسط Wi-Fi Alliance معرفی شد.

تفاوت بین WPA و WPA2

یافتن تفاوت بین WPA و WPA2 برای اکثر کاربران مرتبط نیست، زیرا تمام محافظت از شبکه بی سیم به انتخاب یک رمز عبور دسترسی کم و بیش پیچیده بستگی دارد. امروزه شرایط به گونه ای است که تمامی دستگاه های فعال در شبکه های وای فای ملزم به پشتیبانی از WPA2 هستند، بنابراین انتخاب WPA تنها می تواند به دلیل شرایط غیر استاندارد باشد. به عنوان مثال، سیستم‌عامل‌های قدیمی‌تر از Windows XP SP3 از WPA2 وصله‌نشده پشتیبانی نمی‌کنند، بنابراین ماشین‌ها و دستگاه‌هایی که توسط چنین سیستم‌هایی مدیریت می‌شوند نیاز به توجه یک مدیر شبکه دارند. حتی برخی از تلفن های هوشمند مدرن ممکن است از پروتکل رمزگذاری جدید پشتیبانی نکنند، که عمدتاً برای گجت های آسیایی غیر مارک تجاری است. از سوی دیگر، برخی از نسخه های ویندوز قدیمی تر از XP از WPA2 در سطح شیء خط مشی گروه پشتیبانی نمی کنند، بنابراین در این مورد نیاز به تنظیم دقیق اتصالات شبکه دارند.
تفاوت فنی بین WPA و WPA2 در فناوری رمزگذاری، به ویژه پروتکل های مورد استفاده است. WPA از پروتکل TKIP و WPA2 از پروتکل AES استفاده می کند. در عمل، این بدان معنی است که WPA2 مدرن تر، درجه بالاتری از امنیت شبکه را فراهم می کند. به عنوان مثال، پروتکل TKIP به شما امکان می دهد یک کلید احراز هویت تا اندازه 128 بیت، AES - تا 256 بیت ایجاد کنید.

TheDifference.ru تشخیص داد که تفاوت بین WPA2 و WPA به شرح زیر است:

WPA2 یک پیشرفت برای WPA است.
WPA2 از پروتکل AES و WPA از پروتکل TKIP استفاده می کند.
WPA2 توسط تمام دستگاه های بی سیم مدرن پشتیبانی می شود.
WPA2 ممکن است توسط سیستم عامل های قدیمی پشتیبانی نشود.
WPA2 امن تر از WPA است.

این مقاله بر روی موضوع امنیت در هنگام استفاده از شبکه های WiFi بی سیم تمرکز دارد.

مقدمه - آسیب پذیری های WiFi

دلیل اصلی آسیب پذیری داده های کاربر هنگام انتقال این داده ها از طریق شبکه های WiFi این است که تبادل از طریق یک موج رادیویی انجام می شود. و این امکان رهگیری پیام ها را در هر نقطه ای که سیگنال WiFi به صورت فیزیکی در دسترس است را ممکن می سازد. به بیان ساده، اگر سیگنال نقطه دسترسی را بتوان در فاصله 50 متری گرفت، پس رهگیری تمام ترافیک شبکه این شبکه وای فای در شعاع 50 متری از نقطه دسترسی امکان پذیر است. در اتاق بعدی، در طبقه دیگر ساختمان، در خیابان.

چنین تصویری را تصور کنید. در دفتر، شبکه محلی از طریق WiFi ساخته می شود. سیگنال نقطه دسترسی این دفتر خارج از ساختمان، مانند پارکینگ، دریافت می شود. یک مهاجم در خارج از ساختمان می تواند به شبکه اداری دسترسی داشته باشد، یعنی بدون توجه صاحبان این شبکه. به شبکه های WiFi می توان به راحتی و با احتیاط دسترسی داشت. از نظر فنی بسیار ساده تر از شبکه های سیمی است.

آره. تا به امروز ابزارهای حفاظتی شبکه WiFi توسعه و پیاده سازی شده است. چنین حفاظتی مبتنی بر رمزگذاری تمام ترافیک بین نقطه دسترسی و دستگاه پایانی است که به آن متصل است. یعنی یک مهاجم می تواند سیگنال رادیویی را رهگیری کند، اما برای او این فقط "زباله" دیجیتال خواهد بود.

امنیت وای فای چگونه کار می کند؟

نقطه دسترسی در شبکه WiFi خود فقط دستگاهی را شامل می شود که رمز عبور صحیح (مشخص شده در تنظیمات نقطه دسترسی) را ارسال می کند. در این حالت رمز عبور نیز به صورت رمزگذاری شده و به صورت هش ارسال می شود. هش نتیجه رمزگذاری برگشت ناپذیر است. یعنی داده هایی که به هش تبدیل می شوند قابل رمزگشایی نیستند. اگر مهاجم هش رمز عبور را رهگیری کند، نمی تواند رمز عبور را دریافت کند.

اما نقطه دسترسی چگونه متوجه می شود که رمز عبور صحیح است یا خیر؟ اگر او هم هش دریافت کند، اما نتواند آن را رمزگشایی کند؟ ساده است - در تنظیمات نقطه دسترسی، رمز عبور به شکل خالص آن مشخص شده است. برنامه مجوز یک رمز عبور تمیز می گیرد، یک هش از آن ایجاد می کند و سپس این هش را با هش دریافتی از مشتری مقایسه می کند. اگر هش ها مطابقت داشته باشند، رمز عبور مشتری صحیح است. دومین ویژگی هش ها در اینجا استفاده می شود - آنها منحصر به فرد هستند. یک هش یکسان را نمی توان از دو مجموعه داده (رمز عبور) مختلف به دست آورد. اگر دو هش مطابقت داشته باشند، هر دو از یک مجموعه داده ایجاد می شوند.

راستی. به لطف این ویژگی، از هش ها برای کنترل یکپارچگی داده ها استفاده می شود. اگر دو هش (در یک دوره زمانی ایجاد شده) مطابقت داشته باشند، داده اصلی (در آن دوره زمانی) تغییر نکرده است.

با این حال، با وجود اینکه مدرن ترین روش ایمن سازی شبکه WiFi (WPA2) قابل اعتماد است، این شبکه قابل هک است. چگونه؟

دو روش برای دسترسی به شبکه محافظت شده WPA2 وجود دارد:

1. حدس زدن رمز عبور بر اساس پایگاه داده رمز عبور (به اصطلاح جستجوی فرهنگ لغت).
2. بهره برداری از یک آسیب پذیری در تابع WPS.

در حالت اول، مهاجم هش رمز عبور به نقطه دسترسی را رهگیری می کند. سپس، یک مقایسه هش با پایگاه داده ای که شامل هزاران یا میلیون ها کلمه است انجام می شود. یک کلمه از فرهنگ لغت گرفته می شود، یک هش برای این کلمه ایجاد می شود و سپس این هش با هش که رهگیری شده است مقایسه می شود. اگر از یک رمز عبور اولیه در اکسس پوینت استفاده شود، شکستن رمز عبور این اکسس پوینت یک امر زمان است. به عنوان مثال، یک رمز عبور 8 رقمی (طول 8 کاراکتر حداقل طول رمز عبور WPA2 است) یک میلیون ترکیب است. در یک کامپیوتر مدرن، یک میلیون مقدار را می توان در چند روز یا حتی چند ساعت مرتب کرد.

در حالت دوم، یک آسیب پذیری در نسخه های اول تابع WPS مورد سوء استفاده قرار می گیرد. این ویژگی به شما امکان می دهد دستگاهی را که نمی توان با رمز عبور وارد کرد، مانند چاپگر، به نقطه دسترسی متصل کنید. هنگام استفاده از این عملکرد، دستگاه و نقطه دسترسی یک کد دیجیتال را مبادله می کنند و اگر دستگاه کد صحیح را ارسال کند، نقطه دسترسی به مشتری مجوز می دهد. یک آسیب پذیری در این تابع وجود داشت - کد 8 رقمی بود، اما منحصر به فرد بودن فقط توسط چهار نفر از آنها بررسی شد! یعنی برای هک WPS باید تمام مقادیری را که 4 رقم می دهند را برشمارید. در نتیجه، هک یک اکسس پوینت از طریق WPS را می توان در هر ضعیف ترین دستگاه تنها در چند ساعت انجام داد.

پیکربندی امنیت شبکه WiFi

امنیت شبکه WiFi توسط تنظیمات نقطه دسترسی تعیین می شود. تعدادی از این تنظیمات به طور مستقیم بر امنیت شبکه تأثیر می گذارد.

حالت دسترسی به وای فای

نقطه دسترسی می تواند در یکی از دو حالت باز یا محافظت شده کار کند. در مورد دسترسی باز، هر دستگاهی می تواند به اکسس پوینت متصل شود. در مورد دسترسی ایمن، تنها دستگاهی متصل می شود که رمز دسترسی صحیح را ارسال می کند.

سه نوع (استاندارد) برای محافظت از شبکه های WiFi وجود دارد:

• WEP (حریم خصوصی معادل سیمی). اولین استاندارد امنیتی امروزه به دلیل ضعف مکانیزم های حفاظتی به راحتی هک می شود، در واقع محافظتی ارائه نمی دهد.
• WPA (دسترسی محافظت شده از Wi-Fi). از نظر زمانی دومین استاندارد حفاظتی. در زمان ایجاد و راه اندازی، محافظت موثری برای شبکه های WiFi ارائه کرد. اما در پایان دهه 2000، فرصت هایی برای شکستن حفاظت WPA از طریق آسیب پذیری در مکانیسم های حفاظتی پیدا شد.
• WPA2 (دسترسی محافظت شده از Wi-Fi). آخرین استاندارد امنیتی حفاظت قابل اعتمادی را با رعایت قوانین خاص ارائه می دهد. تا به امروز، تنها دو راه شناخته شده برای شکستن امنیت WPA2 وجود دارد. کلمه عبور brute force و راه حل از طریق سرویس WPS.

بنابراین، برای اطمینان از امنیت شبکه WiFi، باید نوع امنیتی WPA2 را انتخاب کنید. با این حال، ممکن است همه دستگاه های مشتری از آن پشتیبانی نکنند. به عنوان مثال، ویندوز XP SP2 فقط از WPA پشتیبانی می کند.

علاوه بر انتخاب استاندارد WPA2، شرایط اضافی مورد نیاز است:

از روش رمزگذاری AES استفاده کنید.

رمز عبور برای دسترسی به شبکه وای فای باید به صورت زیر باشد:

1. استفاده کنیدحروف و اعداد در رمز عبور مجموعه ای دلخواه از حروف و اعداد. یا یک کلمه یا عبارت بسیار نادر و فقط برای شما معنادار است.
2. نهبرای مثال از رمزهای عبور ساده مانند نام + تاریخ تولد یا برخی از کلمات + برخی اعداد استفاده کنید lena1991یا dom12345.
3. اگر لازم است فقط از یک رمز عبور عددی استفاده کنید، طول آن باید حداقل 10 کاراکتر باشد. زیرا یک رمز عبور دیجیتال هشت کاراکتری با نیروی بی رحمانه در زمان واقعی (از چند ساعت تا چند روز بسته به قدرت رایانه) انتخاب می شود.

اگر از گذرواژه‌های پیچیده مطابق با این قوانین استفاده می‌کنید، شبکه وای‌فای شما با حدس زدن کلمه عبور دیکشنری قابل هک نیست. به عنوان مثال، برای رمز عبور مانند 5Fb9pE2a(الفبایی عددی دلخواه)، حداکثر ممکن 218340105584896 ترکیبات امروزه انتخاب تقریبا غیرممکن است. حتی اگر کامپیوتر 1,000,000 (میلیون) کلمه در ثانیه را با هم مقایسه کند، تقریباً 7 سال طول می کشد تا بین تمام مقادیر تکرار شود.

WPS (تنظیم محافظت شده از Wi-Fi)

اگر نقطه دسترسی دارای عملکرد WPS (Wi-Fi Protected Setup) است، باید آن را غیرفعال کنید. در صورت نیاز به این ویژگی، باید مطمئن شوید که نسخه آن به ویژگی های زیر به روز شده است:

1. استفاده از 8 کاراکتر پین کد به جای 4، همانطور که در ابتدا بود.
2. فعال کردن تاخیر پس از چندین بار تلاش برای ارسال کد پین نادرست از مشتری.

یک گزینه اضافی برای بهبود امنیت WPS استفاده از کد پین الفبایی است.

امنیت وای فای عمومی

امروزه استفاده از اینترنت از طریق شبکه های WiFi در مکان های عمومی - در کافه ها، رستوران ها، مراکز خرید و غیره مد شده است. درک این نکته مهم است که استفاده از چنین شبکه هایی می تواند منجر به سرقت اطلاعات شخصی شما شود. اگر از طریق چنین شبکه ای به اینترنت دسترسی داشته باشید و سپس در یک سایت مجوز دهید، اطلاعات شما (ورودی و رمز عبور) می تواند توسط شخص دیگری که به همان شبکه WiFi متصل است، رهگیری کند. در واقع، در هر دستگاهی که مجاز است و به یک نقطه دسترسی متصل است، می توانید ترافیک شبکه را از سایر دستگاه های موجود در این شبکه رهگیری کنید. و ویژگی شبکه های WiFi عمومی این است که هر کسی می تواند به آن متصل شود، از جمله یک مزاحم، و نه تنها به یک شبکه باز، بلکه به یک شبکه ایمن.

هنگامی که از طریق شبکه WiFi عمومی به اینترنت متصل می شوید، برای محافظت از داده های خود چه کاری می توانید انجام دهید؟ تنها یک امکان وجود دارد - استفاده از پروتکل HTTPS. در این پروتکل، یک ارتباط رمزگذاری شده بین مشتری (مرورگر) و سایت برقرار می شود. اما همه سایت ها از پروتکل HTTPS پشتیبانی نمی کنند. آدرس ها در سایتی که از پروتکل HTTPS پشتیبانی می کند با پیشوند https:// شروع می شود. اگر آدرس‌های سایت دارای پیشوند http:// هستند، به این معنی است که سایت از HTTPS پشتیبانی نمی‌کند یا از آن استفاده نمی‌شود.

برخی از سایت‌ها به‌طور پیش‌فرض از HTTPS استفاده نمی‌کنند، اما این پروتکل را دارند و در صورتی که به طور صریح (دستی) پیشوند https:// را مشخص کنید، می‌توان از آنها استفاده کرد.

در مورد سایر کاربردهای اینترنت - چت، اسکایپ و غیره، می توان از سرورهای VPN رایگان یا پولی برای محافظت از این داده ها استفاده کرد. یعنی ابتدا به سرور VPN متصل شوید و تنها پس از آن از چت یا سایت باز استفاده کنید.

حفاظت از رمز وای فای

در قسمت دوم و سوم این مقاله نوشتم که در مورد استفاده از استاندارد امنیتی WPA2 یکی از راه های هک شبکه وای فای حدس زدن رمز عبور از دیکشنری است. اما برای یک مهاجم، فرصت دیگری برای دریافت رمز عبور شبکه وای فای شما وجود دارد. اگر رمز عبور خود را روی یک برچسب چسبانده شده روی مانیتور نگه دارید، این امکان را برای افراد خارجی فراهم می کند که این رمز عبور را ببینند. همچنین، رمز عبور شما را می توان از رایانه ای که به شبکه WiFi شما متصل است به سرقت برد. اگر رایانه‌های شما از دسترسی افراد خارجی محافظت نشده باشند، می‌تواند توسط یک فرد خارجی انجام شود. این را می توان با بدافزار انجام داد. علاوه بر این، رمز عبور را می توان از دستگاهی که از دفتر (خانه، آپارتمان) خارج می شود - از تلفن هوشمند، تبلت - به سرقت برد.

بنابراین، اگر به محافظت قابل اعتماد برای شبکه WiFi خود نیاز دارید، باید اقداماتی را برای ذخیره ایمن رمز عبور انجام دهید. آن را از دسترسی افراد غیرمجاز محافظت کنید.

اگر این مقاله را مفید یافتید یا فقط آن را دوست داشتید، خجالتی نباشید - از نویسنده حمایت مالی کنید. این کار با ریختن پول به راحتی انجام می شود کیف پول Yandex № 410011416229354. یا روی تلفن +7 918-16-26-331 .

حتی مقدار کمی می تواند به نوشتن مقالات جدید کمک کند :)

اخیراً، انتشارات "آشکارکننده" زیادی در مورد هک کردن برخی از پروتکل ها یا فناوری های بعدی که امنیت شبکه های بی سیم را به خطر می اندازد، منتشر شده است. آیا واقعاً چنین است، از چه چیزی باید ترسید و چگونه دسترسی به شبکه خود را تا حد امکان ایمن کنید؟ آیا کلمات WEP، WPA، 802.1x، EAP، PKI برای شما معنای کمی دارند؟ این مرور کوتاه به گردآوری تمام فناوری‌های مورد استفاده برای رمزگذاری و مجوز دسترسی رادیویی کمک می‌کند. من سعی خواهم کرد نشان دهم که یک شبکه بی سیم به درستی پیکربندی شده یک مانع غیرقابل عبور برای مهاجم است (البته تا حد معینی).

مبانی

هر گونه تعامل بین یک نقطه دسترسی (شبکه) و یک کلاینت بی سیم بر اساس موارد زیر ساخته شده است:

• احراز هویت- چگونه مشتری و نقطه دسترسی خود را به یکدیگر معرفی می کنند و تأیید می کنند که حق برقراری ارتباط با یکدیگر را دارند.
• رمزگذاری- از چه الگوریتم درهم‌سازی داده‌های ارسالی استفاده می‌شود، کلید رمزگذاری چگونه تولید می‌شود و چه زمانی تغییر می‌کند.

پارامترهای شبکه بی سیم، در درجه اول نام آن (SSID)، به طور منظم توسط نقطه دسترسی در بسته های بیکن پخش اعلام می شود. علاوه بر تنظیمات امنیتی مورد انتظار، آرزوها برای QoS، برای پارامترهای 802.11n، سرعت های پشتیبانی شده، اطلاعات مربوط به سایر همسایگان و غیره ارسال می شوند. احراز هویت تعیین می کند که مشتری چگونه در نقطه ظاهر شود. گزینه های ممکن:

• باز کن- به اصطلاح شبکه باز، که در آن تمام دستگاه های متصل به یکباره مجاز هستند
• به اشتراک گذاشته شده است- اصالت دستگاه متصل باید با یک کلید / رمز عبور تأیید شود
• EAP- اصالت دستگاه متصل باید از طریق پروتکل EAP توسط یک سرور خارجی تایید شود

باز بودن شبکه به این معنا نیست که هرکسی بتواند بدون مجازات با آن کار کند. برای انتقال داده ها در چنین شبکه ای، باید با الگوریتم رمزگذاری استفاده شده مطابقت داده شود و بر این اساس، برقراری صحیح یک اتصال رمزگذاری شده انجام شود. الگوریتم های رمزگذاری عبارتند از:

• هیچ یک- بدون رمزگذاری، داده ها به صورت شفاف منتقل می شوند
• WEP- رمز مبتنی بر RC4 با طول های مختلف کلید استاتیک یا پویا (64 یا 128 بیت)
• CKIP- جایگزین اختصاصی سیسکو برای WEP، نسخه اولیه TKIP
• TKIP- جایگزینی بهبود یافته برای WEP با بررسی و حفاظت اضافی
• AES/CCMP- پیشرفته ترین الگوریتم مبتنی بر AES256 با بررسی و حفاظت اضافی

ترکیبی احراز هویت را باز کنید، بدون رمزگذاریبه طور گسترده در سیستم های دسترسی مهمان مانند ارائه دسترسی به اینترنت در یک کافه یا هتل استفاده می شود. برای اتصال، فقط باید نام شبکه بی سیم را بدانید. اغلب، چنین ارتباطی با تأیید اضافی در پورتال Captive با هدایت درخواست HTTP کاربر به یک صفحه اضافی که در آن می‌توانید درخواست تأیید کنید (ورود به سیستم، گذرواژه، توافق با قوانین و غیره) ترکیب می‌شود.

رمزگذاری WEPبه خطر افتاده و قابل استفاده نیست (حتی در مورد کلیدهای پویا).

اصطلاحات رایج WPAو WPA2در واقع الگوریتم رمزگذاری (TKIP یا AES) را تعیین کنید. با توجه به اینکه آداپتورهای مشتری مدت زیادی است که از WPA2 (AES) پشتیبانی می کنند، استفاده از رمزگذاری با استفاده از الگوریتم TKIP منطقی نیست.

تفاوت بین WPA2 شخصیو WPA2 Enterpriseکلیدهای رمزگذاری مورد استفاده در مکانیک الگوریتم AES از آنجا می آیند. برای برنامه های خصوصی (خانه، کوچک) از یک کلید ثابت (رمز عبور، کلمه رمز، PSK (کلید پیش مشترک)) با حداقل طول 8 کاراکتر استفاده می شود که در تنظیمات نقطه دسترسی تنظیم شده است و برای تمامی مشتریان این شبکه بی سیم به خطر انداختن چنین کلیدی (به همسایه، یک کارمند اخراج شد، یک لپ تاپ به سرقت رفت) نیاز به تغییر فوری رمز عبور برای همه کاربران باقی مانده دارد، که تنها در مورد تعداد کمی از آنها واقع بینانه است. برای برنامه های شرکتی، همانطور که از نام آن پیداست، از یک کلید پویا استفاده می شود که در حال حاضر برای هر مشتری کار جداگانه است. این کلید می تواند به طور دوره ای در طول کار بدون قطع اتصال به روز شود و یک مؤلفه اضافی مسئول تولید آن است - سرور مجوز و تقریباً همیشه این سرور RADIUS است.

تمام پارامترهای امنیتی ممکن در این صفحه خلاصه شده است:

ویژگی	WEP استاتیک	WEP پویا	WPA	WPA2 (شرکتی)
شناسایی	کاربر، کامپیوتر، کارت WLAN	کاربر، کامپیوتر	کاربر، کامپیوتر	کاربر، کامپیوتر
مجوز	کلید مشترک	EAP	EAP یا کلید مشترک	EAP یا کلید مشترک
تمامیت	ارزش بررسی یکپارچگی 32 بیتی (ICV)	ICV 32 بیتی	کد یکپارچگی پیام 64 بیتی (MIC)	CRT/CBC-MAC (کد احراز هویت زنجیره‌ای رمزارز بلوک رمزی حالت شمارنده - CCM) بخشی از AES
رمزگذاری	کلید استاتیک	کلید جلسه	هر کلید بسته از طریق TKIP	CCMP (AES)
توزیع کلید	تک، دستی	بخش کلید اصلی (PMK) جفتی	برگرفته از PMK	برگرفته از PMK
بردار مقداردهی اولیه	متن 24 بیتی	متن 24 بیتی	وکتور توسعه یافته 65 بیتی	شماره بسته 48 بیتی (PN)
الگوریتم	RC4	RC4	RC4	AES
طول کلید، بیت	64/128	64/128	128	تا 256
زیرساخت های مورد نیاز	نه	شعاع	شعاع	شعاع

اگر همه چیز با WPA2 Personal (WPA2 PSK) روشن است، راه حل شرکتی نیاز به بررسی بیشتری دارد.

WPA2 Enterprise

در اینجا با مجموعه ای اضافی از پروتکل های مختلف سروکار داریم. در سمت کلاینت، یک جزء نرم افزاری خاص، درخواست کننده (معمولاً بخشی از سیستم عامل) با بخش مجاز، سرور AAA تعامل دارد. این مثال عملکرد یک شبکه رادیویی یکپارچه را نشان می دهد که بر روی نقاط دسترسی سبک وزن و یک کنترلر ساخته شده است. در مورد استفاده از نقاط دسترسی "با مغز"، خود نقطه می تواند نقش یک واسطه بین کلاینت و سرور را به عهده بگیرد. در همان زمان، داده های درخواست کننده مشتری توسط رادیو تشکیل شده به پروتکل 802.1x (EAPOL) منتقل می شود و در سمت کنترل کننده آنها در بسته های RADIUS پیچیده می شوند.

استفاده از مکانیسم مجوز EAP در شبکه شما منجر به این واقعیت می شود که پس از تأیید اعتبار مشتری موفقیت آمیز (تقریباً مطمئناً باز) توسط نقطه دسترسی (همراه با کنترل کننده، در صورت وجود)، دومی از مشتری می خواهد مجوز (تأیید اعتبار آن) را انجام دهد. از سرور زیرساخت RADIUS:

استفاده WPA2 Enterpriseبه یک سرور RADIUS در شبکه شما نیاز دارد. تا به امروز، کارآمدترین محصولات زیر هستند:

• سرور خط مشی شبکه مایکروسافت (NPS)، سابقاً IAS- قابل تنظیم از طریق MMC، رایگان است، اما باید ویندوز را خریداری کنید
• سرور کنترل دسترسی ایمن سیسکو (ACS) 4.2، 5.3- قابل تنظیم از طریق یک رابط وب، دارای ویژگی های غنی، به شما امکان می دهد سیستم های توزیع شده و مقاوم به خطا ایجاد کنید، گران است
• رادیوس آزاد- رایگان، پیکربندی شده توسط تنظیمات متن، برای مدیریت و نظارت راحت نیست

در عین حال، کنترل کننده به دقت بر تبادل مداوم اطلاعات نظارت می کند و منتظر مجوز موفقیت آمیز یا رد آن است. در صورت موفقیت، سرور RADIUS می تواند پارامترهای اضافی را به نقطه دسترسی ارسال کند (به عنوان مثال، کدام VLAN مشترک را در آن قرار دهد، کدام آدرس IP را به او اختصاص دهد، نمایه QoS و غیره). در پایان تبادل، سرور RADIUS به کلاینت و نقطه دسترسی اجازه می دهد تا کلیدهای رمزگذاری (تفردی، فقط برای این جلسه معتبر) تولید و مبادله کنند.

EAP

پروتکل EAP به خودی خود کانتینری است، یعنی مکانیزم مجوز واقعی در اختیار پروتکل های داخلی قرار می گیرد. در حال حاضر، موارد زیر توزیع قابل توجهی را به دست آورده اند:

• EAP-FAST(احراز هویت انعطاف پذیر از طریق تونل زنی امن) - توسعه یافته توسط Cisco. اجازه می دهد تا از طریق رمز عبور ورود به سیستم در داخل تونل TLS بین درخواست کننده و سرور RADIUS ارسال شود.
• EAP-TLS(امنیت لایه حمل و نقل). از یک زیرساخت کلید عمومی (PKI) برای مجوز دادن به مشتری و سرور (درخواست کننده و سرور RADIUS) از طریق گواهی‌های صادر شده توسط یک مرجع گواهی معتبر (CA) استفاده می‌کند. نیاز به صدور و نصب گواهی مشتری برای هر دستگاه بی سیم دارد، بنابراین فقط برای یک محیط سازمانی مدیریت شده مناسب است. سرور گواهی ویندوز دارای امکاناتی است که به کلاینت اجازه می دهد در صورتی که مشتری عضو یک دامنه باشد گواهینامه خود را تولید کند. مسدود کردن یک مشتری به راحتی با لغو گواهی آن (یا از طریق حساب) انجام می شود.
• EAP-TTLS(Tunneled Transport Layer Security) مشابه EAP-TLS است، اما هنگام ایجاد یک تونل نیازی به گواهی مشتری نیست. در چنین تونلی، مشابه اتصال SSL مرورگر، مجوز اضافی (با استفاده از رمز عبور یا چیز دیگری) انجام می شود.
• PEAP-MSCHAPv2(EAP محافظت شده) - مشابه EAP-TTLS از نظر ایجاد اولیه یک تونل TLS رمزگذاری شده بین مشتری و سرور، که نیاز به گواهی سرور دارد. پس از آن، مجوز در چنین تونلی با استفاده از پروتکل معروف MSCHAPv2 انجام می شود.
• PEAP-GTC(کارت توکن عمومی) - شبیه به قبلی، اما به کارت های رمز عبور یک بار مصرف (و زیرساخت های مرتبط) نیاز دارد.

همه این روش ها (به جز EAP-FAST) به گواهی سرور (در سرور RADIUS) نیاز دارند که توسط یک مرجع صدور گواهی (CA) صادر شده باشد. در این حالت، خود گواهینامه CA باید در دستگاه سرویس گیرنده در گروه مورد اعتماد (که پیاده سازی آن با استفاده از ابزارهای Group Policy در ویندوز آسان است) وجود داشته باشد. علاوه بر این، EAP-TLS به گواهی مشتری فردی نیاز دارد. احراز هویت مشتری هم با امضای دیجیتال و هم (اختیاری) با مقایسه گواهی ارائه شده توسط مشتری به سرور RADIUS با گواهی که سرور از زیرساخت PKI (اکتیو دایرکتوری) بازیابی کرده است، انجام می شود.

پشتیبانی از هر یک از روش های EAP باید توسط درخواست کننده در سمت مشتری ارائه شود. استاندارد داخلی Windows XP/Vista/7، iOS، Android حداقل EAP-TLS و EAP-MSCHAPv2 را ارائه می دهد که این روش ها را محبوب می کند. Intel Client Adapters برای ویندوز با ابزار ProSet همراه است که لیست موجود را گسترش می دهد. Cisco AnyConnect Client هم همین کار را می کند.

چقدر قابل اعتماد است

بالاخره یک مهاجم برای نفوذ به شبکه شما به چه چیزی نیاز دارد؟

برای احراز هویت باز، بدون رمزگذاری چیزی نیست. متصل به شبکه، و همه چیز. از آنجایی که محیط رادیویی باز است، سیگنال در جهات مختلف منتشر می شود، مسدود کردن آن آسان نیست. اگر آداپتورهای کلاینت مناسبی دارید که به شما امکان می دهد به هوا گوش دهید، ترافیک شبکه به همان شکلی قابل مشاهده است که مهاجم به سیم، به هاب، و به پورت SPAN سوئیچ متصل است.
رمزگذاری مبتنی بر WEP فقط به زمان brute-force IV و یکی از بسیاری از ابزارهای اسکن آزادانه در دسترس نیاز دارد.
برای رمزگذاری بر اساس TKIP یا AES، رمزگشایی مستقیم در تئوری امکان پذیر است، اما در عمل هیچ موردی از هک وجود نداشته است.

البته، می توانید سعی کنید کلید PSK یا رمز عبور یکی از روش های EAP را حدس بزنید. حملات متداول به این روش ها مشخص نیست. می توانید سعی کنید از روش های مهندسی اجتماعی استفاده کنید، یا