Diferența dintre protocoalele Wi-Fi WPA, WPA2 și WEP. Ce este protecția wifi WEP? Unde se schimbă lățimea canalului

29.06.2019 Recenzii

O preocupare majoră pentru toate rețelele LAN fără fir (și toate rețelele LAN cu fir, de altfel) este securitatea. Securitatea este la fel de importantă aici ca și pentru orice utilizator de internet. Securitatea este o problemă complexă și necesită o atenție constantă. Utilizatorului i se poate cauza un prejudiciu enorm datorita faptului ca acesta foloseste hot spot-uri aleatorii (hot-spot-uri) sau puncte de acces WI-FI deschise acasa sau la birou si nu foloseste criptare sau VPN (Virtual Private Network). Acest lucru este periculos deoarece utilizatorul își introduce datele personale sau profesionale, iar rețeaua nu este protejată de intruziunile din exterior.

WEP

Inițial, a fost dificil să se ofere securitate adecvată pentru rețelele LAN fără fir.

Hackerii s-au conectat cu ușurință la aproape orice rețea WiFi prin spargerea în versiunile timpurii ale sistemelor de securitate, cum ar fi Wired Equivalent Privacy (WEP). Aceste evenimente și-au pus amprenta, iar pentru o lungă perioadă de timp, unele companii au fost reticente în a implementa sau nu au implementat deloc rețele wireless, temându-se că datele transmise între dispozitivele wireless WiFi și punctele de acces Wi-Fi ar putea fi interceptate și decriptate. Astfel, acest model de securitate a încetinit integrarea rețelelor wireless în afaceri și a făcut nervoși oamenii care foloseau rețelele WiFi acasă. IEEE a creat apoi grupul de lucru 802.11i, care a lucrat la crearea unui model de securitate cuprinzător care să ofere criptare AES pe 128 de biți și autentificare pentru a proteja datele. Wi-Fi Alliance a introdus propria versiune intermediară a acestei specificații de securitate 802.11i: Wi-Fi Protected Access (WPA). Modulul WPA combină mai multe tehnologii pentru a rezolva vulnerabilitățile sistemului 802.11 WEP. Astfel, WPA oferă autentificare fiabilă a utilizatorilor folosind standardul 802.1x (autentificare reciprocă și încapsulare a datelor transmise între dispozitivele client wireless, puncte de acces și server) și Protocolul de autentificare extensibil (EAP).

Principiul de funcționare al sistemelor de securitate este prezentat schematic în Fig. 1

De asemenea, WPA este echipat cu un modul temporar pentru a cripta motorul WEP prin criptarea cheii pe 128 de biți și utilizează Protocolul de integritate a cheii temporale (TKIP). Și o verificare a mesajelor (MIC) împiedică modificarea sau formatarea pachetelor de date. Această combinație de tehnologii protejează confidențialitatea și integritatea transmisiei datelor și asigură securitatea prin controlul accesului astfel încât numai utilizatorii autorizați să aibă acces la rețea.

WPA

Îmbunătățirea în continuare a securității WPA și a controlului accesului este crearea unui nou master cheie unic pentru comunicarea între echipamentul wireless și punctele de acces ale fiecărui utilizator și oferirea unei sesiuni de autentificare. Și, de asemenea, în crearea unui generator de chei aleatorii și în procesul de generare a unei chei pentru fiecare pachet.

IEEE a ratificat standardul 802.11i în iunie 2004, extinzând semnificativ multe capabilități datorită tehnologiei WPA. Alianța Wi-Fi și-a consolidat modulul de securitate în programul WPA2. Astfel, nivelul de securitate al standardului de transmisie de date WiFi 802.11 a atins nivelul necesar pentru implementarea soluțiilor și tehnologiilor wireless în întreprinderi. Una dintre schimbările semnificative de la 802.11i (WPA2) la WPA este utilizarea standardului de criptare avansată (AES) pe 128 de biți. WPA2 AES utilizează modul anti-CBC-MAC (un mod de operare pentru un bloc de criptare care permite utilizarea unei singure chei atât pentru criptare, cât și pentru autentificare) pentru a oferi confidențialitatea datelor, autentificare, integritate și protecție la reluare. Standardul 802.11i oferă, de asemenea, memorarea în cache a cheilor și pre-autentificare pentru a organiza utilizatorii în punctele de acces.

WPA2

Cu standardul 802.11i, întregul lanț de module de securitate (autentificare, schimb de acreditări, autentificare și criptare a datelor) devine o protecție mai fiabilă și eficientă împotriva atacurilor nețintite și direcționate. Sistemul WPA2 permite administratorului rețelei Wi-Fi să treacă de la problemele de securitate la gestionarea operațiunilor și dispozitivelor.

Standardul 802.11r este o modificare a standardului 802.11i. Acest standard a fost ratificat în iulie 2008. Tehnologia standardului transferă mai rapid și mai fiabil ierarhiile cheie bazate pe tehnologia Handoff pe măsură ce utilizatorul se deplasează între punctele de acces. Standardul 802.11r este pe deplin compatibil cu standardele WiFi 802.11a/b/g/n.

Există, de asemenea, standardul 802.11w, care are scopul de a îmbunătăți mecanismul de securitate bazat pe standardul 802.11i. Acest standard este conceput pentru a proteja pachetele de control.

Standardele 802.11i și 802.11w sunt mecanisme de securitate pentru rețelele WiFi 802.11n.

Criptarea fișierelor și folderelor în Windows 7

Caracteristica de criptare vă permite să criptați fișiere și foldere care ulterior vor fi imposibil de citit pe un alt dispozitiv fără o cheie specială. Această caracteristică este prezentă în versiunile de Windows 7, cum ar fi Professional, Enterprise sau Ultimate. Următoarele vor acoperi modalități de a activa criptarea fișierelor și folderelor.

Activarea criptării fișierelor:

Start -> Computer (selectați fișierul de criptat) -> butonul dreapta al mouse-ului pe fișier -> Proprietăți -> Avansat (fila General) -> Atribute suplimentare -> Bifați caseta Criptați conținutul pentru a proteja datele -> Ok -> Aplicați - > Ok (Selectați aplicați numai la fișier)->

Activarea criptării folderelor:

Start -> Computer (selectați folderul de criptat) -> butonul dreapta al mouse-ului pe folder -> Proprietăți -> Avansat (fila General) -> Atribute suplimentare -> Bifați caseta Criptați conținutul pentru a proteja datele -> Ok -> Aplicați - > Ok (Selectați aplicați numai fișierului) -> Închideți caseta de dialog Proprietăți (faceți clic pe Ok sau Închidere).

Criptare Wi-Fi - ce protocol să alegeți?

Mi-am cumpărat un router nou și am decis să-l configurez singur. Totul este configurat - Internetul și rețeaua wireless funcționează. A apărut o întrebare, pentru că undele radio (Wi-Fi în cazul meu) se propagă nu numai în apartamentul meu. În consecință, ele pot fi interceptate. Teoretic. Routerul are o setare de criptare a rețelei wireless. Presupun că este tocmai pentru a exclude interceptarea și „interceptarea cu urechea”. Întrebarea este, care dintre protocoalele de criptare disponibile în routerul meu ar trebui să aleg? Disponibil: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Ce criptare Wi-Fi ar trebui să folosesc în cazul meu?

norik | 16 februarie 2015, ora 10:14
Voi omite descrierile oricăror protocoale de criptare Wi-Fi învechite. Prin urmare, le voi descrie numai pe cele care au sens să le folosești. Dacă protocolul nu este descris aici, atunci fie este exotic, fie nu aveți nevoie de el.

WPA și WPA2 (Wi-Fi Protected Access) - disponibile pe toate routerele. Cel mai popular și răspândit protocol. Este, de asemenea, una dintre cele mai moderne. IMHO - cea mai bună alegere pentru acasă și biroul mic. Cu toate acestea, este destul de potrivit și pentru birourile mari, cu excepția faptului că are sens să complicem autorizarea. Lungimea parolei sale este de până la 63 de octeți, așa că dacă o spargeți ghicind, puteți deveni gri mai devreme. Desigur, trebuie să alegeți WPA2 dacă este acceptat de toate dispozitivele din rețea (numai gadgeturile foarte vechi nu îl înțeleg).

Ceea ce este cu adevărat valoros este că mai mulți algoritmi de criptare pot fi utilizați în cadrul acestui serviciu. Printre acestea: 1. TKIP - nu-l recomand, deoarece este foarte posibil să găsești o gaură.
2. CCMP - mult mai bine.
3. AES - Cel mai mult îmi place, dar nu este suportat de toate dispozitivele, deși este inclus în specificația WPA2.

WPA2 oferă, de asemenea, două moduri inițiale de autentificare. Aceste moduri sunt PSK și Enterprise. WPA Personal, cunoscut și ca WPA PSK, înseamnă că toți utilizatorii se vor conecta la rețeaua wireless cu o singură parolă introdusă pe partea clientului în momentul conectării la rețea. Excelent pentru acasă, dar problematic pentru un birou mare. Va fi dificil să schimbi parola pentru toată lumea de fiecare dată când un alt angajat care o știe renunță.

WPA Enterprise necesită un server separat cu un set de chei. Pentru o casă sau un birou cu 6 mașini, acest lucru este greoi, dar dacă există 3 duzini de dispozitive wireless în birou, atunci poți avea grijă.

De fapt, acest lucru epuizează alegerea criptării Wi-Fi în acest moment. Protocoalele rămase fie nu au deloc criptare sau parolă, fie au găuri în algoritmi în care doar cei foarte lenesi nu ar intra. Recomand combinația WPA2 Personal AES pentru uz casnic. Pentru birouri mari - WPA2 Enterprise AES. Dacă nu există AES, atunci te poți descurca cu TKIP, dar mai există posibilitatea ca pachetele să fie citite de un străin. Există o părere că WPA2 TKIP nu a fost niciodată piratat, spre deosebire de WPA TKIP, dar a fost protejat...

Recent, au apărut multe publicații „dezvăluitoare” despre piratarea unor noi protocoluri sau tehnologii care compromit securitatea rețelelor wireless. Este cu adevărat așa, de ce ar trebui să vă fie teamă și cum vă puteți asigura că accesul la rețeaua dvs. este cât mai sigur posibil? Cuvintele WEP, WPA, 802.1x, EAP, PKI înseamnă puțin pentru tine? Această scurtă prezentare generală va ajuta la reunirea tuturor tehnologiilor de criptare și de autorizare a accesului radio utilizate. Voi încerca să arăt că o rețea wireless configurată corespunzător reprezintă o barieră de netrecut pentru un atacator (până la o anumită limită, desigur).

Bazele

Orice interacțiune între un punct de acces (rețea) și un client wireless se bazează pe:

Autentificare- modul în care clientul și punctul de acces se prezintă unul față de celălalt și confirmă că au dreptul de a comunica unul cu celălalt;
Criptare- ce algoritm de codificare pentru datele transmise este utilizat, cum este generată cheia de criptare și când se modifică.

Parametrii unei rețele fără fir, în primul rând numele acesteia (SSID), sunt anunțați în mod regulat de punctul de acces în pachete de semnalizare. Pe lângă setările de securitate așteptate, sunt transmise solicitări pentru QoS, parametri 802.11n, viteze acceptate, informații despre alți vecini etc. Autentificarea determină modul în care clientul se prezintă la obiect. Opțiuni posibile:

Deschis- o așa-numită rețea deschisă în care toate dispozitivele conectate sunt autorizate imediat
Impartit- autenticitatea dispozitivului conectat trebuie verificată cu o cheie/parolă
EAP- autenticitatea dispozitivului conectat trebuie verificată folosind protocolul EAP de către un server extern

Deschiderea rețelei nu înseamnă că oricine poate lucra cu ea cu impunitate. Pentru a transmite date într-o astfel de rețea, algoritmul de criptare utilizat trebuie să se potrivească și, în consecință, conexiunea criptată trebuie stabilită corect. Algoritmii de criptare sunt:

Nici unul- fără criptare, datele sunt transmise în text clar
WEP- cifrare bazată pe algoritmul RC4 cu diferite lungimi de chei statice sau dinamice (64 sau 128 de biți)
CKIP- înlocuire proprietară pentru WEP Cisco, versiunea timpurie a TKIP
TKIP- Înlocuire WEP îmbunătățită cu verificări și protecție suplimentare
AES/CCMP- cel mai avansat algoritm bazat pe AES256 cu verificări și protecție suplimentare

Combinaţie Deschideți autentificare, fără criptare utilizat pe scară largă în sistemele de acces pentru oaspeți, cum ar fi furnizarea de internet într-o cafenea sau un hotel. Pentru a vă conecta, trebuie doar să știți numele rețelei wireless. Adesea, o astfel de conexiune este combinată cu verificarea suplimentară pe Portalul Captiv prin redirecționarea solicitării HTTP a utilizatorului către o pagină suplimentară de unde puteți solicita confirmarea (login-parolă, acord cu regulile etc.).

Criptare WEP este compromisă și nu poate fi utilizată (chiar și în cazul tastelor dinamice).

Termeni care apar frecvent WPAȘi WPA2 determina, de fapt, algoritmul de criptare (TKIP sau AES). Datorită faptului că adaptoarele client acceptă WPA2 (AES) de ceva timp, nu are rost să folosiți criptarea TKIP.

Diferență între WPA2 PersonalȘi WPA2 Enterprise este de unde provin cheile de criptare utilizate în mecanica algoritmului AES. Pentru aplicațiile private (acasă, mici), se utilizează o cheie statică (parolă, cuvânt cod, PSK (Pre-Shared Key)) cu o lungime minimă de 8 caractere, care este setată în setările punctului de acces și este aceeași pentru toți clienții unei rețele wireless date. Compromisul unei astfel de chei (au vărsat boabele unui vecin, un angajat a fost concediat, un laptop a fost furat) necesită o schimbare imediată a parolei pentru toți utilizatorii rămași, ceea ce este realist doar dacă există un număr mic de ei. Pentru aplicațiile corporative, după cum sugerează și numele, este utilizată o cheie dinamică, individuală pentru fiecare client care rulează în prezent. Această cheie poate fi actualizată periodic în timpul funcționării fără întreruperea conexiunii, iar o componentă suplimentară este responsabilă pentru generarea ei - serverul de autorizare și aproape întotdeauna acesta este un server RADIUS.

Toți parametrii de siguranță posibili sunt rezumați în această placă:

Proprietate	WEP static	WEP dinamic	WPA	WPA 2 (întreprindere)
Identificare	Utilizator, computer, card WLAN	Utilizator, computer	Utilizator, computer	Utilizator, computer
Autorizare	Cheie partajată	EAP	EAP sau cheie partajată	EAP sau cheie partajată
Integritate	Valoarea de verificare a integrității pe 32 de biți (ICV)	ICV pe 32 de biți	Cod de integritate a mesajelor (MIC) pe 64 de biți	CRT/CBC-MAC (Cod de autentificare a înlănțuirii blocurilor de cifrat în modul contor - CCM) Parte a AES
Criptare	Cheie statică	Cheia de sesiune	Cheie per pachet prin TKIP	CCMP (AES)
Distribuția cheilor	O singură dată, manual	Segment de cheie principală (PMK) în pereche	Derivat din PMK	Derivat din PMK
Vector de inițializare	Text, 24 de biți	Text, 24 de biți	Vector avansat, 65 de biți	număr de pachet pe 48 de biți (PN)
Algoritm	RC4	RC4	RC4	AES
Lungimea cheii, biți	64/128	64/128	128	până la 256
Infrastructura necesară	Nu	RAZĂ	RAZĂ	RAZĂ

În timp ce WPA2 Personal (WPA2 PSK) este clar, o soluție de întreprindere necesită o atenție suplimentară.

WPA2 Enterprise

Aici avem de-a face cu un set suplimentar de protocoale diferite. Pe partea de client, o componentă software specială, solicitantul (de obicei parte a sistemului de operare) interacționează cu partea de autorizare, serverul AAA. Acest exemplu arată funcționarea unei rețele radio unificate construită pe puncte de acces ușoare și un controler. În cazul utilizării punctelor de acces cu „creiere”, întregul rol de intermediar între clienți și server poate fi preluat de punctul însuși. În acest caz, datele solicitantului client sunt transmise prin radioul format în protocolul 802.1x (EAPOL), iar pe partea controlerului sunt împachetate în pachete RADIUS.

Utilizarea mecanismului de autorizare EAP în rețeaua dvs. duce la faptul că, după autentificarea cu succes (aproape sigur deschisă) a clientului de către punctul de acces (împreună cu controlorul, dacă există), acesta din urmă cere clientului să autorizeze (confirmă autoritatea acestuia) cu serverul de infrastructură RADIUS:

Utilizare WPA2 Enterprise necesită un server RADIUS în rețeaua dvs. În prezent, cele mai eficiente produse sunt următoarele:

Microsoft Network Policy Server (NPS), fost IAS- configurat prin MMC, gratuit, dar trebuie să cumpărați Windows
Cisco Secure Access Control Server (ACS) 4.2, 5.3- poate fi configurat printr-o interfață web, este sofisticat în funcționalitate, vă permite să creați sisteme distribuite și tolerante la erori, este costisitor
FreeRADIUS- gratuit, configurat folosind configurații text, nu este convenabil de gestionat și monitorizat

În acest caz, controlorul monitorizează cu atenție schimbul de informații în curs și așteaptă autorizarea sau refuzul cu succes a acestuia. Dacă are succes, serverul RADIUS poate transfera parametri suplimentari către punctul de acces (de exemplu, în ce VLAN să plaseze abonatul, ce adresă IP să atribuie, profilul QoS etc.). La sfârșitul schimbului, serverul RADIUS permite clientului și punctului de acces să genereze și să schimbe chei de criptare (individuale, valabile doar pentru această sesiune):

EAP

Protocolul EAP în sine este bazat pe container, ceea ce înseamnă că mecanismul de autorizare real este lăsat în seama protocoalelor interne. În acest moment, următoarele au primit o distribuție semnificativă:

EAP-RAPID(Flexible Authentication via Secure Tunneling) - dezvoltat de Cisco; permite autorizarea folosind un login și o parolă transmise în tunelul TLS între solicitant și serverul RADIUS
EAP-TLS(Transport Layer Security). Utilizează o infrastructură de cheie publică (PKI) pentru a autoriza clientul și serverul (subiect și server RADIUS) prin certificate emise de o autoritate de certificare (CA) de încredere. Necesită emiterea și instalarea de certificate de client pe fiecare dispozitiv wireless, deci este potrivit doar pentru un mediu corporativ gestionat. Serverul de certificate Windows are facilități care permit clientului să-și genereze propriul certificat dacă clientul este membru al unui domeniu. Blocarea unui client se poate face cu ușurință prin revocarea certificatului acestuia (sau prin conturi).
EAP-TTLS(Tunneled Transport Layer Security) este similar cu EAP-TLS, dar nu necesită un certificat de client la crearea unui tunel. Într-un astfel de tunel, similar unei conexiuni SSL de browser, se efectuează o autorizare suplimentară (folosind o parolă sau altceva).
PEAP-MSCHAPv2(EAP protejat) - similar cu EAP-TTLS în ceea ce privește stabilirea inițială a unui tunel TLS criptat între client și server, necesitând un certificat de server. Ulterior, un astfel de tunel este autorizat folosind binecunoscutul protocol MSCHAPv2.
PEAP-GTC(Generic Token Card) - similar cu cel precedent, dar necesită carduri cu parolă unică (și infrastructura corespunzătoare)

Toate aceste metode (cu excepția EAP-FAST) necesită un certificat de server (pe serverul RADIUS) emis de o autoritate de certificare (CA). În acest caz, certificatul CA în sine trebuie să fie prezent pe dispozitivul clientului în grupul de încredere (care este ușor de implementat folosind Politica de grup în Windows). În plus, EAP-TLS necesită un certificat de client individual. Autenticitatea clientului este verificată atât printr-o semnătură digitală, cât și (opțional) prin compararea certificatului furnizat de client către serverul RADIUS cu ceea ce serverul a preluat din infrastructura PKI (Active Directory).

Suportul pentru oricare dintre metodele EAP trebuie să fie furnizat de un solicitant de partea clientului. Standardul încorporat Windows XP/Vista/7, iOS, Android oferă cel puțin EAP-TLS și EAP-MSCHAPv2, ceea ce face ca aceste metode să fie populare. Adaptoarele client Intel pentru Windows vin cu utilitarul ProSet, care extinde lista disponibilă. Clientul Cisco AnyConnect face același lucru.

Cât de fiabil este?

La urma urmei, ce este nevoie pentru ca un atacator să-ți pirateze rețeaua?

Pentru autentificare deschisă, fără criptare - nimic. Conectat la rețea și atât. Deoarece mediul radio este deschis, semnalul se deplasează în direcții diferite, nu este ușor să îl blocați. Dacă aveți adaptoarele client adecvate care vă permit să ascultați aerul, traficul de rețea este vizibil în același mod ca și când atacatorul s-ar fi conectat la fir, la hub, la portul SPAN al switch-ului.
Criptarea bazată pe WEP necesită doar timp IV și unul dintre multele utilitare de scanare disponibile gratuit.
Pentru criptarea bazată pe TKIP sau AES, decriptarea directă este posibilă în teorie, dar în practică nu au existat cazuri de hacking.

Desigur, puteți încerca să ghiciți cheia PSK sau parola pentru una dintre metodele EAP. Atacurile comune împotriva acestor metode nu sunt cunoscute. Puteți încerca să utilizați metode de inginerie socială sau criptoanaliza termorectală.

Puteți obține acces la o rețea protejată de EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 numai dacă cunoașteți parola de conectare a utilizatorului (piratarea ca atare este imposibilă). Atacurile precum atacurile cu forță brută sau cele care vizează vulnerabilități în MSCHAP nu sunt, de asemenea, posibile sau dificile din cauza faptului că canalul client-server EAP este protejat de un tunel criptat.

Accesul la o rețea închisă de PEAP-GTC este posibil fie prin piratarea serverului de token, fie prin furtul jetonului împreună cu parola acestuia.

Accesul la o rețea închisă de EAP-TLS este posibil prin sustragerea unui certificat de utilizator (împreună cu cheia privată, desigur) sau prin emiterea unui certificat valid, dar fals. Acest lucru este posibil doar dacă centrul de certificare este compromis, care în companiile normale este protejat ca cea mai valoroasă resursă IT.

Deoarece toate metodele de mai sus (cu excepția PEAP-GTC) permit stocarea (caching) parolelor/certificatelor, atunci când un dispozitiv mobil este furat, atacatorul primește acces complet fără întrebări din rețea. O măsură preventivă poate fi criptarea completă a hard disk-ului cu o cerere de parolă la pornirea dispozitivului.

Amintiți-vă: cu un design adecvat, o rețea wireless poate fi foarte bine protejată; Nu există mijloace de a pirata o astfel de rețea (într-o anumită măsură)