Razlika između Wi-Fi protokola WPA, WPA2 i WEP. Što je WEP wifi zaštita? Gdje promijeniti širinu kanala

29.06.2019 Recenzije

Glavna briga za sve bežične LAN-ove (i sve ožičene LAN-ove, što se toga tiče) je sigurnost. Sigurnost je ovdje jednako važna kao i svakom korisniku interneta. Sigurnost je složeno pitanje i zahtijeva stalnu pozornost. Ogromna šteta može biti prouzročena korisniku zbog činjenice da koristi nasumične vruće točke (hot-spotove) ili otvorene WI-FI pristupne točke kod kuće ili u uredu, a ne koristi enkripciju ili VPN (Virtual Private Network). To je opasno jer korisnik unosi svoje osobne ili profesionalne podatke, a mreža nije zaštićena od upada izvana.

WEP

U početku je bilo teško osigurati odgovarajuću sigurnost za bežične LAN-ove.

Hakeri su se lako povezali s gotovo svakom WiFi mrežom provalom u rane verzije sigurnosnih sustava kao što je Wired Equivalent Privacy (WEP). Ti su događaji ostavili traga i dugo vremena su neke tvrtke oklijevale ili uopće nisu implementirale bežične mreže, strahujući da bi podaci koji se prenose između bežičnih WiFi uređaja i Wi-Fi pristupnih točaka mogli biti presretnuti i dekriptirani. Stoga je ovaj sigurnosni model usporio integraciju bežičnih mreža u poslovanje i učinio ljude koji koriste WiFi mreže kod kuće nervoznima. IEEE je potom stvorio radnu skupinu 802.11i koja je radila na stvaranju sveobuhvatnog sigurnosnog modela za pružanje 128-bitne AES enkripcije i autentifikacije za zaštitu podataka. Wi-Fi Alliance predstavio je vlastitu srednju verziju ove sigurnosne specifikacije 802.11i: Wi-Fi zaštićeni pristup (WPA). WPA modul kombinira nekoliko tehnologija za rješavanje ranjivosti 802.11 WEP sustava. Stoga WPA pruža pouzdanu autentifikaciju korisnika koristeći 802.1x standard (međusobna autentifikacija i enkapsulacija podataka koji se prenose između bežičnih klijentskih uređaja, pristupnih točaka i poslužitelja) i Extensible Authentication Protocol (EAP).

Princip rada sigurnosnih sustava shematski je prikazan na slici 1

Također, WPA je opremljen privremenim modulom za šifriranje WEP mehanizma putem 128-bitne enkripcije ključa i koristi Temporal Key Integrity Protocol (TKIP). A provjera poruka (MIC) sprječava promjenu ili formatiranje paketa podataka. Ova kombinacija tehnologija štiti povjerljivost i integritet prijenosa podataka i osigurava sigurnost kontroliranjem pristupa tako da samo ovlašteni korisnici imaju pristup mreži.

WPA

Daljnje poboljšanje WPA sigurnosti i kontrole pristupa je stvaranje novog, jedinstvenog glavnog ključa za komunikaciju između bežične opreme svakog korisnika i pristupnih točaka i pružanje sesije provjere autentičnosti. Također, u stvaranju generatora slučajnih ključeva iu procesu generiranja ključa za svaki paket.

IEEE je ratificirao standard 802.11i u lipnju 2004., čime su značajno proširene mnoge mogućnosti zahvaljujući WPA tehnologiji. Wi-Fi Alliance je ojačao svoj sigurnosni modul u programu WPA2. Time je razina sigurnosti WiFi standarda za prijenos podataka 802.11 dosegla potrebnu razinu za implementaciju bežičnih rješenja i tehnologija u poduzećima. Jedna od značajnih promjena s 802.11i (WPA2) na WPA je korištenje 128-bitnog naprednog standarda šifriranja (AES). WPA2 AES koristi anti-CBC-MAC način rada (način rada za šifrirani blok koji omogućuje korištenje jednog ključa i za enkripciju i za provjeru autentičnosti) kako bi se osigurala povjerljivost podataka, provjera autentičnosti, integritet i zaštita od ponovne reprodukcije. Standard 802.11i također nudi predmemoriju ključeva i prethodnu provjeru autentičnosti za organiziranje korisnika po pristupnim točkama.

WPA2

Sa standardom 802.11i cijeli lanac sigurnosnog modula (prijava, razmjena vjerodajnica, autentifikacija i enkripcija podataka) postaje pouzdanija i učinkovitija zaštita od neciljanih i ciljanih napada. Sustav WPA2 omogućuje administratoru Wi-Fi mreže prebacivanje sa sigurnosnih pitanja na upravljanje operacijama i uređajima.

Standard 802.11r je modifikacija standarda 802.11i. Ovaj standard ratificiran je u srpnju 2008. Tehnologija standarda brže i pouzdanije prenosi ključne hijerarhije temeljene na Handoff tehnologiji dok se korisnik kreće između pristupnih točaka. Standard 802.11r potpuno je kompatibilan s WiFi standardima 802.11a/b/g/n.

Tu je i standard 802.11w, koji je namijenjen poboljšanju sigurnosnog mehanizma temeljenog na standardu 802.11i. Ovaj standard je dizajniran za zaštitu kontrolnih paketa.

Standardi 802.11i i 802.11w su sigurnosni mehanizmi za 802.11n WiFi mreže.

Šifriranje datoteka i mapa u sustavu Windows 7

Značajka šifriranja omogućuje šifriranje datoteka i mapa koje će kasnije biti nemoguće čitati na drugom uređaju bez posebnog ključa. Ova je značajka prisutna u verzijama sustava Windows 7 kao što su Professional, Enterprise ili Ultimate. Sljedeće će pokriti načine za omogućavanje šifriranja datoteka i mapa.

Omogućavanje enkripcije datoteke:

Start -> Računalo (odaberite datoteku za šifriranje) -> desna tipka miša na datoteku -> Svojstva -> Napredno (kartica Općenito) -> Dodatni atributi -> Označite kućicu Encrypt contents to protect data -> Ok -> Apply - > Ok (Odaberi primijeni samo na datoteku)->

Omogućavanje enkripcije mape:

Start -> Računalo (odaberite mapu za šifriranje) -> desna tipka miša na mapu -> Svojstva -> Napredno (kartica Općenito) -> Dodatni atributi -> Označite kućicu Encrypt contents to protect data -> Ok -> Apply - > U redu (Odaberi primijeni samo na datoteku) -> Zatvori dijaloški okvir Svojstva (klikni U redu ili Zatvori).

Wi-Fi enkripcija - koji protokol odabrati?

Kupio sam si novi ruter i odlučio sam ga konfigurirati. Sve je postavljeno - internet i bežična mreža rade. Postavilo se pitanje, jer se radiovalovi (u mom slučaju Wi-Fi) ne šire samo unutar mog stana. Sukladno tome, mogu se presresti. U teoriji. Usmjerivač ima postavku enkripcije bežične mreže. Pretpostavljam da je to upravo zato da se isključi presretanje i “prisluškivanje”. Pitanje je koji od protokola šifriranja dostupnih u mom usmjerivaču trebam odabrati? Dostupno: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Koju Wi-Fi enkripciju trebam koristiti u mom slučaju?

norik | 16. veljače 2015. u 10:14
Izostavit ću opise zastarjelih Wi-Fi protokola za šifriranje. Stoga ću opisati samo one koje imaju smisla koristiti. Ako protokol nije ovdje opisan, onda je ili egzotičan ili vam ne treba.

WPA i WPA2 (Wi-Fi Protected Access) - dostupni na svim ruterima. Najpopularniji i najrašireniji protokol. Također je jedan od najmodernijih. IMHO - najbolji izbor za dom i mali ured. Međutim, također je prilično pogodan za velike urede, osim što ima smisla komplicirati autorizaciju. Duljina lozinke mu je do 63 bajta, pa ako je probijete pogađanjem, možete ranije posivjeti. Naravno, trebate odabrati WPA2 ako ga podržavaju svi uređaji na mreži (samo vrlo stari gadgeti to ne razumiju).

Ono što je zaista vrijedno je to što se unutar ove usluge može koristiti više algoritama šifriranja. Među njima: 1. TKIP - Ne preporučujem ga, jer je sasvim moguće pronaći rupu.
2. CCMP - puno bolji.
3. AES - Najviše mi se sviđa, ali ga ne podržavaju svi uređaji, iako je uključen u WPA2 specifikaciju.

WPA2 također nudi dva početna načina provjere autentičnosti. Ovi načini su PSK i Enterprise. WPA Personal, također poznat kao WPA PSK, znači da će se svi korisnici prijaviti na bežičnu mrežu s jednom lozinkom unesenom na strani klijenta u trenutku spajanja na mrežu. Izvrstan za dom, ali problematičan za veliki ured. Bit će teško svima promijeniti lozinku svaki put kada drugi zaposlenik koji je zna da otkaz.

WPA Enterprise zahtijeva zasebni poslužitelj sa skupom ključeva. Za dom ili ured sa 6 strojeva, ovo je glomazno, ali ako u uredu ima 3 tuceta bežičnih uređaja, onda možete paziti.

Zapravo, ovo trenutno iscrpljuje izbor Wi-Fi enkripcije. Preostali protokoli ili uopće nemaju enkripciju ili lozinku, ili imaju rupe u algoritmima u koje samo vrlo lijeni ne bi ušli. Preporučujem WPA2 Personal AES kombinaciju za kućnu upotrebu. Za velike urede - WPA2 Enterprise AES. Ako nema AES-a, onda možete proći s TKIP-om, ali tada još uvijek postoji mogućnost da pakete pročita strana. Postoji mišljenje da WPA2 TKIP nikada nije bio hakiran, za razliku od WPA TKIP-a, ali je bio zaštićen...

Nedavno su se pojavile mnoge “razotkrivajuće” publikacije o hakiranju nekog novog protokola ili tehnologije koja ugrožava sigurnost bežičnih mreža. Je li to doista tako, čega se trebate bojati i kako možete osigurati da pristup vašoj mreži bude što sigurniji? Znače li vam riječi WEP, WPA, 802.1x, EAP, PKI malo? Ovaj kratki pregled pomoći će spojiti sve korištene tehnologije šifriranja i autorizacije radijskog pristupa. Pokušat ću pokazati da ispravno konfigurirana bežična mreža predstavlja nepremostivu barijeru za napadača (do određene granice, naravno).

Osnove

Svaka interakcija između pristupne točke (mreže) i bežičnog klijenta temelji se na:

Ovjera- kako se klijent i pristupna točka međusobno predstavljaju i potvrđuju da imaju pravo na međusobnu komunikaciju;
Šifriranje- koji se algoritam kodiranja za prenesene podatke koristi, kako se generira ključ za šifriranje i kada se mijenja.

Parametri bežične mreže, prvenstveno njezino ime (SSID), redovito se reklamiraju od strane pristupne točke u paketima emitiranja signala. Uz očekivane sigurnosne postavke, prenose se zahtjevi za QoS, 802.11n parametrima, podržanim brzinama, informacijama o drugim susjedima itd. Provjera autentičnosti određuje kako se klijent predstavlja točno. Moguće opcije:

Otvoren- tzv. otvorena mreža u kojoj se svi povezani uređaji odmah autoriziraju
Podijeljeno- autentičnost spojenog uređaja mora se provjeriti pomoću ključa/lozinke
EAP- vanjski poslužitelj mora provjeriti autentičnost povezanog uređaja korištenjem EAP protokola

Otvorenost mreže ne znači da bilo tko može nekažnjeno raditi s njom. Za prijenos podataka u takvoj mreži, korišteni algoritam šifriranja mora odgovarati i, sukladno tome, šifrirana veza mora biti ispravno uspostavljena. Algoritmi šifriranja su:

Nijedan- nema enkripcije, podaci se prenose u čistom tekstu
WEP- šifra temeljena na RC4 algoritmu s različitim statičkim ili dinamičkim duljinama ključa (64 ili 128 bita)
CKIP- vlasnička zamjena za Ciscov WEP, ranu verziju TKIP-a
TKIP- Poboljšana WEP zamjena s dodatnim provjerama i zaštitom
AES/CCMP- najnapredniji algoritam temeljen na AES256 s dodatnim provjerama i zaštitom

Kombinacija Otvorena provjera autentičnosti, bez šifriranja naširoko se koristi u sustavima pristupa za goste kao što je pružanje Interneta u kafiću ili hotelu. Za povezivanje trebate znati samo naziv bežične mreže. Često se takva veza kombinira s dodatnom provjerom na Captive Portalu preusmjeravanjem korisničkog HTTP zahtjeva na dodatnu stranicu gdje možete zatražiti potvrdu (login-password, suglasnost s pravilima itd.).

Šifriranje WEP je ugrožen i ne može se koristiti (čak ni u slučaju dinamičkih ključeva).

Pojmovi koji se često pojavljuju WPA I WPA2 odrediti, zapravo, algoritam šifriranja (TKIP ili AES). Zbog činjenice da klijentski adapteri već neko vrijeme podržavaju WPA2 (AES), nema smisla koristiti TKIP enkripciju.

Razlika između WPA2 osobno I WPA2 Enterprise odakle dolaze ključevi za šifriranje koji se koriste u mehanici AES algoritma. Za privatne (kućne, male) aplikacije koristi se statički ključ (lozinka, kodna riječ, PSK (Pre-Shared Key)) minimalne duljine 8 znakova koji se postavlja u postavkama pristupne točke, a isti je za sve klijente određene bežične mreže. Kompromitacija takvog ključa (susjedu prelili čašu, zaposlenik dobio otkaz, laptop ukraden) zahtijeva trenutnu promjenu lozinke za sve preostale korisnike, što je realno samo ako ih je mali broj. Za korporativne aplikacije, kao što ime sugerira, koristi se dinamički ključ, individualan za svakog trenutno pokrenutog klijenta. Ovaj ključ se može povremeno ažurirati tijekom rada bez prekida veze, a za njegovo generiranje odgovorna je dodatna komponenta - autorizacijski poslužitelj, a gotovo uvijek je to RADIUS poslužitelj.

Svi mogući sigurnosni parametri sažeti su na ovoj pločici:

Vlasništvo	Statički WEP	Dinamički WEP	WPA	WPA 2 (Enterprise)
Identifikacija	Korisnik, računalo, WLAN kartica	Korisnik, računalo	Korisnik, računalo	Korisnik, računalo
Autorizacija	Dijeljeni ključ	EAP	EAP ili zajednički ključ	EAP ili zajednički ključ
Integritet	32-bitna vrijednost provjere integriteta (ICV)	32-bitni ICV	64-bitni kod integriteta poruke (MIC)	CRT/CBC-MAC (autoristički kod ulančavanja blokova šifre brojača - CCM) dio AES-a
Šifriranje	Statički ključ	Ključ sesije	Ključ po paketu putem TKIP-a	CCMP (AES)
Distribucija ključeva	Jednokratno, ručno	Segment glavnog ključa u paru (PMK).	Izvedeno iz PMK	Izvedeno iz PMK
Inicijalizacijski vektor	Tekst, 24 bita	Tekst, 24 bita	Napredni vektor, 65 bita	48-bitni broj paketa (PN)
Algoritam	RC4	RC4	RC4	AES
Duljina ključa, bitovi	64/128	64/128	128	do 256
Potrebna infrastruktura	Ne	RADIUS	RADIUS	RADIUS

Iako je WPA2 Personal (WPA2 PSK) jasan, poslovno rješenje zahtijeva daljnje razmatranje.

WPA2 Enterprise

Ovdje imamo posla s dodatnim skupom različitih protokola. Na strani klijenta, posebna softverska komponenta, supplicant (obično dio OS-a) komunicira s autorizacijskim dijelom, AAA poslužiteljem. Ovaj primjer prikazuje rad objedinjene radijske mreže izgrađene na laganim pristupnim točkama i kontroleru. U slučaju korištenja pristupnih točaka s “mozgom” svu ulogu posrednika između klijenata i poslužitelja može preuzeti sama točka. U ovom slučaju, podaci klijenta suplikanta se prenose putem radija formiranog u 802.1x protokolu (EAPOL), a na strani kontrolera su omotani u RADIUS pakete.

Korištenje EAP mehanizma autorizacije u vašoj mreži dovodi do činjenice da nakon uspješne (gotovo sigurno otvorene) provjere autentičnosti klijenta od strane pristupne točke (zajedno s kontrolerom, ako postoji), potonji od klijenta traži autorizaciju (potvrdu ovlaštenja) s infrastrukturnim RADIUS poslužiteljem:

Korištenje WPA2 Enterprise zahtijeva RADIUS poslužitelj na vašoj mreži. Trenutno su najučinkovitiji sljedeći proizvodi:

Microsoft Network Policy Server (NPS), bivši IAS- konfigurirano preko MMC-a, besplatno, ali morate kupiti Windows
Cisco Secure Access Control Server (ACS) 4.2, 5.3- može se konfigurirati putem web sučelja, ima sofisticiranu funkcionalnost, omogućuje vam stvaranje distribuiranih sustava otpornih na pogreške, skup je
FreeRADIUS- besplatno, konfigurirano pomoću tekstualnih konfiguracija, nije zgodno za upravljanje i nadzor

U tom slučaju voditelj obrade pažljivo prati razmjenu podataka koja je u tijeku i čeka uspješnu autorizaciju ili odbijanje iste. Ako je uspješan, RADIUS poslužitelj može prenijeti dodatne parametre na pristupnu točku (na primjer, u koji VLAN smjestiti pretplatnika, koju IP adresu dodijeliti, QoS profil, itd.). Na kraju razmjene, RADIUS poslužitelj omogućuje klijentu i pristupnoj točki generiranje i razmjenu ključeva za enkripciju (individualne, važeće samo za ovu sesiju):

EAP

Sam EAP protokol temelji se na spremniku, što znači da je stvarni mehanizam autorizacije prepušten internim protokolima. U ovom trenutku, sljedeće je dobilo značajnu distribuciju:

EAP-BRZ(Flexible Authentication via Secure Tunneling) - razvio Cisco; omogućuje autorizaciju korištenjem prijave i lozinke koji se prenose unutar TLS tunela između molitelja i RADIUS poslužitelja
EAP-TLS(Transport Layer Security). Koristi infrastrukturu javnih ključeva (PKI) za autorizaciju klijenta i poslužitelja (subjekt i RADIUS poslužitelj) putem certifikata koje je izdalo pouzdano tijelo za izdavanje certifikata (CA). Zahtijeva izdavanje i instaliranje klijentskih certifikata na svakom bežičnom uređaju, stoga je prikladan samo za upravljano korporativno okruženje. Windows Certificate Server ima mogućnosti koje klijentu omogućuju generiranje vlastitog certifikata ako je klijent član domene. Blokiranje klijenta može se jednostavno izvršiti opozivom njegovog certifikata (ili putem računa).
EAP-TTLS(Tunneled Transport Layer Security) sličan je EAP-TLS-u, ali ne zahtijeva klijentski certifikat prilikom stvaranja tunela. U takvom se tunelu, slično kao kod SSL veze preglednika, vrši dodatna autorizacija (lozinkom ili nečim drugim).
PEAP-MSCHAPv2(Protected EAP) - slično EAP-TTLS-u u smislu početne uspostave šifriranog TLS tunela između klijenta i poslužitelja, za koji je potreban certifikat poslužitelja. Naknadno se takav tunel autorizira korištenjem dobro poznatog MSCHAPv2 protokola.
PEAP-GTC(Generic Token Card) - sličan prethodnom, ali zahtijeva kartice s jednokratnim lozinkama (i odgovarajuću infrastrukturu)

Sve ove metode (osim EAP-FAST) zahtijevaju certifikat poslužitelja (na RADIUS poslužitelju) koji izdaje tijelo za izdavanje certifikata (CA). U tom slučaju, sam CA certifikat mora biti prisutan na klijentovom uređaju u pouzdanoj grupi (što je lako implementirati korištenjem pravila grupe u sustavu Windows). Dodatno, EAP-TLS zahtijeva pojedinačni klijentski certifikat. Autentičnost klijenta provjerava se i digitalnim potpisom i (po izboru) usporedbom certifikata koji je klijent dao RADIUS poslužitelju s onim što je poslužitelj dohvatio iz PKI infrastrukture (Active Directory).

Podršku za bilo koju EAP metodu mora osigurati tražitelj na strani klijenta. Standardno ugrađeni Windows XP/Vista/7, iOS, Android osigurava najmanje EAP-TLS i EAP-MSCHAPv2, što ove metode čini popularnima. Intelovi adapteri za klijente za Windows dolaze s uslužnim programom ProSet, koji proširuje dostupni popis. Cisco AnyConnect Client radi isto.

Koliko je pouzdan?

Uostalom, što je potrebno napadaču da hakira vašu mrežu?

Za otvorenu autentifikaciju, bez šifriranja - ništa. Spojen na mrežu i to je to. Budući da je radijski medij otvoren, signal putuje u različitim smjerovima, nije ga lako blokirati. Ako imate odgovarajuće klijentske adaptere koji vam omogućuju slušanje zraka, mrežni promet je vidljiv na isti način kao da se napadač spojio na žicu, na hub, na SPAN port preklopnika.
Enkripcija temeljena na WEP-u zahtijeva samo IV vrijeme i jedan od mnogih besplatno dostupnih uslužnih programa za skeniranje.
Za šifriranje temeljeno na TKIP-u ili AES-u teoretski je moguće izravno dešifriranje, no u praksi nije bilo slučajeva hakiranja.

Naravno, možete pokušati pogoditi PSK ključ ili lozinku za jednu od EAP metoda. Uobičajeni napadi protiv ovih metoda nisu poznati. Možete pokušati koristiti metode socijalnog inženjeringa ili termorektalnu kriptoanalizu.

Možete dobiti pristup mreži zaštićenoj EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 samo ako znate korisničku lozinku za prijavu (hakiranje kao takvo je nemoguće). Napadi kao što su brute-force napadi ili napadi usmjereni na ranjivosti u MSCHAP-u također nisu mogući ili teški zbog činjenice da je EAP kanal klijent-poslužitelj zaštićen šifriranim tunelom.

Pristup mreži koju je zatvorio PEAP-GTC moguć je hakiranjem poslužitelja tokena ili krađom tokena zajedno s njegovom lozinkom.

Pristup mreži zatvorenoj EAP-TLS-om moguć je krađom korisničkog certifikata (naravno, zajedno s njegovim privatnim ključem) ili izdavanjem važećeg, ali lažnog certifikata. To je moguće samo ako je ugrožen certifikacijski centar koji je u normalnim tvrtkama zaštićen kao najvrjedniji informatički resurs.

Budući da sve gore navedene metode (osim PEAP-GTC) omogućuju pohranu (caching) lozinki/certifikata, kada je mobilni uređaj ukraden, napadač dobiva puni pristup bez ikakvih pitanja s mreže. Preventivna mjera može biti potpuna enkripcija tvrdog diska sa zahtjevom za lozinkom prilikom uključivanja uređaja.

Zapamtite: s pravilnim dizajnom, bežična mreža može biti vrlo dobro zaštićena; Nema načina za hakiranje takve mreže (do određene mjere)