Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • Windows 7, XP
  • Telefoni (tableti) nuk lidhet me Wi-Fi, shkruan “Saved, WPA\WPA2 protection. Siguria publike WiFi

Telefoni (tableti) nuk lidhet me Wi-Fi, shkruan “Saved, WPA\WPA2 protection. Siguria publike WiFi

29.06.2019 Windows 7, XP

Kriptimi WPA përfshin përdorimin e një rrjeti të sigurt Wi-Fi. Në përgjithësi, WPA qëndron për Wi-Fi Protected Access, domethënë i mbrojtur.

Shumica e administratorëve të sistemit dinë të konfigurojnë këtë protokoll dhe dinë shumë rreth tij.

Por njerëzit e zakonshëm mund të mësojnë shumë se çfarë është WPA, si ta konfigurojnë dhe si ta përdorin atë.

Vërtetë, në internet mund të gjeni shumë artikuj mbi këtë temë, nga të cilat është e pamundur të kuptosh asgjë. Prandaj, sot do të flasim me fjalë të thjeshta për gjëra komplekse.

Pak teori

Pra, WPA është një protokoll, një teknologji, një program që përmban një grup certifikatash të përdorura gjatë transmetimit.

E thënë thjesht, kjo teknologji ju lejon të përdorni metoda të ndryshme për të mbrojtur rrjetin tuaj Wi-Fi.

Ky mund të jetë një çelës elektronik, i cili është gjithashtu një certifikatë e veçantë e së drejtës për të përdorur këtë rrjet (ne do të flasim për këtë më vonë).

Në përgjithësi, vetëm ata që kanë të drejtë të përdorin rrjetin do të mund të përdorin rrjetin me këtë program dhe kjo është gjithçka që duhet të dini.

Për referencë: Autentifikimi është një mjet mbrojtjeje që ju lejon të përcaktoni identitetin e një personi dhe të drejtën e tij për të hyrë në rrjet, duke krahasuar të dhënat e raportuara prej tij dhe të dhënat e pritura.

Për shembull, një person mund të vërtetohet kur vendos . Nëse ai thjesht fut një emër përdoruesi dhe fjalëkalim, ky është vetëm autorizim.

Por gjurma e gishtit ju lejon të kontrolloni nëse ky person po hyn vërtet, dhe jo dikush i mori të dhënat e tij dhe hyri me ndihmën e tyre.

Oriz. 1. Skaneri i gjurmëve të gishtërinjve në një smartphone

Dhe gjithashtu në diagram ka një WLC - një kontrollues LAN pa tel. Në të djathtë është serveri i vërtetimit.

E gjithë kjo lidhet me një Switch të rregullt (një pajisje që thjesht lidh pajisje të ndryshme rrjeti). Çelësi dërgohet nga kontrolluesi në serverin e vërtetimit dhe ruhet atje.

Klienti, kur përpiqet të lidhet me rrjetin, duhet të dërgojë një çelës që e di në LAP. Ky çelës shkon në serverin e vërtetimit dhe krahasohet me çelësin e dëshiruar.

Nëse çelësat përputhen, sinjali përhapet lirshëm te klienti.

Oriz. Figura 2 Shembull i skemës WPA në Cisco Pocket Tracer

Përbërësit e WPA

Siç thamë më lart, WPA përdor çelësa specialë që krijohen sa herë që përpiqeni të filloni transmetimin e sinjalit, domethënë aktivizoni Wi-Fi, dhe gjithashtu ndryshojnë herë pas here.

WPA përfshin disa teknologji njëherësh, të cilat ndihmojnë në gjenerimin dhe transmetimin e të njëjtëve çelësa.

Figura më poshtë tregon formulën e përgjithshme, e cila përfshin të gjithë komponentët e teknologjisë në shqyrtim.

Oriz. 3. Formulë me përbërës WPA

Tani le të shohim secilin prej këtyre komponentëve veç e veç:

  • 1X është standardi që përdoret për të gjeneruar çelësin shumë unik me të cilin kryhet vërtetimi i mëtejshëm.
  • EAP është i ashtuquajturi Protokolli i Autentifikimit të Zgjeruar. Ai është përgjegjës për formatin e mesazheve me të cilat transmetohen çelësat.
  • TKIP është një protokoll që lejonte që madhësia e çelësit të zgjerohej në 128 byte (më parë, në WEP, ishte vetëm 40 byte).
  • MIC është një mekanizëm për kontrollimin e mesazheve (në veçanti, ato kontrollohen për integritet). Nëse mesazhet nuk i plotësojnë kriteret, ato kthehen.

Vlen të thuhet se tashmë ekziston WPA2, i cili, përveç të gjitha sa më sipër, përdor edhe kriptim CCMP dhe AES.

Ne nuk do të flasim për atë që është tani, por WPA2 është më i sigurt se WPA. Kjo është gjithçka që vërtet duhet të dini.

Edhe një herë nga fillimi

Kështu që ju keni. Rrjeti përdor teknologjinë WPA.

Për t'u lidhur me Wi-Fi, çdo pajisje duhet të sigurojë një certifikatë përdoruesi, ose, më thjesht, një çelës të veçantë të lëshuar nga serveri i vërtetimit.

Vetëm atëherë ai do të jetë në gjendje të përdorë rrjetin. Kjo eshte e gjitha!

Tani e dini se çfarë është WPA. Tani le të flasim për atë që është e mirë dhe çfarë është e keqe kjo teknologji.

Avantazhet dhe disavantazhet e kriptimit WPA

Përparësitë e kësaj teknologjie do të përfshijnë si më poshtë:

  1. Siguri e përmirësuar e transmetimit të të dhënave (krahasuar me WEP, paraardhësi i tij, WPA).
  2. Kontroll më i rreptë i aksesit Wi-Fi.
  3. E përputhshme me një numër të madh pajisjesh që përdoren për të organizuar një rrjet pa tel.
  4. Menaxhimi i centralizuar i sigurisë. Qendra në këtë rast është serveri i vërtetimit. Për shkak të kësaj, sulmuesit nuk janë në gjendje të aksesojnë të dhënat e fshehura.
  5. Ndërmarrjet mund të përdorin politikat e tyre të sigurisë.
  6. Lehtësia e konfigurimit dhe përdorimi i mëtejshëm.

Sigurisht, kjo teknologji ka edhe disavantazhe, dhe ato shpesh rezultojnë të jenë shumë domethënëse. Në veçanti, kjo është ajo për të cilën po flasim:

  1. Çelësi TKIP mund të thyhet në maksimum 15 minuta. Kjo u deklarua nga një grup specialistësh në vitin 2008 në konferencën PacSec.
  2. Në vitin 2009, specialistë nga Universiteti i Hiroshimës zhvilluan një metodë për të thyer çdo rrjet duke përdorur WPA në një minutë.
  3. Me ndihmën e cenueshmërisë, të quajtur Hole196, mund të përdorni WPA2 me çelësin tuaj, dhe jo me atë që kërkohet nga serveri i vërtetimit.
  4. Në shumicën e rasteve, çdo WPA mund të hakohet duke përdorur numërimin e zakonshëm të të gjitha opsioneve të mundshme (forca brutale), si dhe duke përdorur të ashtuquajturin sulm fjalori. Në rastin e dytë, opsionet përdoren jo në një rend kaotik, por sipas fjalorit.

Sigurisht, për të përfituar nga të gjitha këto dobësi dhe probleme, duhet të keni njohuri të veçanta në fushën e ndërtimit të rrjeteve kompjuterike.

Për shumicën e përdoruesve të zakonshëm, e gjithë kjo nuk është e disponueshme. Prandaj, nuk duhet të shqetësoheni shumë se dikush do të ketë akses në Wi-Fi tuaj.

Oriz. 4. Cracker dhe kompjuter

Me përhapjen e rrjeteve pa tel, protokollet e enkriptimit WPA dhe WPA2 janë bërë të njohura për pothuajse të gjithë pronarët e pajisjeve që lidhen me Wi-Fi. Ato janë të specifikuara në vetitë e lidhjeve dhe vëmendja e shumicës së përdoruesve që nuk janë administratorë të sistemit është tërhequr në minimum. Mjafton të thuhet se WPA2 është një evolucion i WPA, dhe për këtë arsye WPA2 është më i ri dhe më i përshtatshëm për rrjetet e sotme.

WPA- Një protokoll enkriptimi i krijuar për të mbrojtur rrjetet me valë të standardit IEEE 802.11, i zhvilluar nga Wi-Fi Alliance në 2003 si një zëvendësim për protokollin WEP të vjetëruar dhe të pasigurt.
WPA2- Një protokoll kriptimi që është një zhvillim i përmirësuar i WPA, i prezantuar në 2004 nga Wi-Fi Alliance.

Dallimi midis WPA dhe WPA2

Gjetja e ndryshimit midis WPA dhe WPA2 nuk është e rëndësishme për shumicën e përdoruesve, pasi e gjithë mbrojtja e rrjetit me valë varet nga zgjedhja e një fjalëkalimi pak a shumë kompleks të aksesit. Sot, situata është e tillë që të gjitha pajisjet që operojnë në rrjetet Wi-Fi kërkohet të mbështesin WPA2, kështu që zgjedhja e WPA mund të jetë vetëm për shkak të situatave jo standarde. Për shembull, sistemet operative më të vjetra se Windows XP SP3 nuk mbështesin WPA2 të papatchuar, kështu që makinat dhe pajisjet e menaxhuara nga sisteme të tilla kërkojnë vëmendjen e një administratori të rrjetit. Edhe disa telefona inteligjentë modernë mund të mos mbështesin protokollin e ri të kriptimit, kryesisht për pajisjet aziatike jashtë markës. Nga ana tjetër, disa versione të Windows më të vjetër se XP nuk mbështesin WPA2 në nivelin GPO, kështu që në këtë rast ata kërkojnë më shumë rregullim të saktë të lidhjeve të rrjetit.
Dallimi teknik midis WPA dhe WPA2 është teknologjia e kriptimit, veçanërisht protokollet e përdorura. WPA përdor protokollin TKIP, WPA2 përdor protokollin AES. Në praktikë, kjo do të thotë se WPA2 më moderne ofron një shkallë më të lartë të sigurisë së rrjetit. Për shembull, protokolli TKIP ju lejon të krijoni një çelës vërtetimi me madhësi deri në 128 bit, AES - deri në 256 bit.

TheDifference.ru përcaktoi se ndryshimi midis WPA2 dhe WPA është si më poshtë:

WPA2 është një përmirësim i WPA.
WPA2 përdor protokollin AES, WPA përdor protokollin TKIP.
WPA2 mbështetet nga të gjitha pajisjet moderne me valë.
WPA2 mund të mos mbështetet nga sistemet operative më të vjetra.
WPA2 është më i sigurt se WPA.

Ky artikull fokusohet në çështjen e sigurisë kur përdorni rrjetet WiFi me valë.

Hyrje - Dobësitë WiFi

Arsyeja kryesore për cenueshmërinë e të dhënave të përdoruesit kur këto të dhëna transmetohen përmes rrjeteve WiFi është se shkëmbimi bëhet përmes një valë radio. Dhe kjo bën të mundur përgjimin e mesazheve në çdo pikë ku një sinjal WiFi është fizikisht i disponueshëm. E thënë thjesht, nëse sinjali i pikës së hyrjes mund të kapet në një distancë prej 50 metrash, atëherë përgjimi i të gjithë trafikut të rrjetit të këtij rrjeti WiFi është i mundur brenda një rrezeje prej 50 metrash nga pika e hyrjes. Në dhomën tjetër, në katin tjetër të pallatit, në rrugë.

Imagjinoni një foto të tillë. Në zyrë, rrjeti lokal ndërtohet përmes WiFi. Sinjali i pikës së aksesit të kësaj zyre merret jashtë ndërtesës, si p.sh. në një park makinash. Një sulmues, jashtë ndërtesës, mund të hyjë në rrjetin e zyrave, pra pa u vënë re nga pronarët e këtij rrjeti. Rrjetet WiFi mund të aksesohen lehtësisht dhe në mënyrë diskrete. Teknikisht shumë më e lehtë se rrjetet me tela.

Po. Deri më sot, mjetet e mbrojtjes së rrjetit WiFi janë zhvilluar dhe zbatuar. Një mbrojtje e tillë bazohet në enkriptimin e të gjithë trafikut midis pikës së hyrjes dhe pajisjes fundore që është e lidhur me të. Kjo do të thotë, një sulmues mund të përgjojë sinjalin e radios, por për të do të jetë thjesht "plehra" dixhitale.

Si funksionon siguria WiFi?

Pika e hyrjes përfshin në rrjetin e saj WiFi vetëm pajisjen që dërgon fjalëkalimin e saktë (të specifikuar në cilësimet e pikës së hyrjes). Në këtë rast, fjalëkalimi dërgohet gjithashtu i koduar, në formën e një hash. Hashi është rezultat i enkriptimit të pakthyeshëm. Kjo do të thotë, të dhënat që shndërrohen në hash nuk mund të deshifrohen. Nëse një sulmues kap hash-in e fjalëkalimit, ai nuk do të jetë në gjendje ta marrë fjalëkalimin.

Por si e di pika e hyrjes nëse fjalëkalimi është i saktë apo jo? Nëse ajo gjithashtu merr një hash, por nuk mund ta deshifrojë atë? Është e thjeshtë - në cilësimet e pikës së hyrjes, fjalëkalimi specifikohet në formën e tij të pastër. Programi i autorizimit merr një fjalëkalim të pastër, gjeneron një hash prej tij dhe më pas e krahason këtë hash me atë të marrë nga klienti. Nëse hash-et përputhen, atëherë fjalëkalimi i klientit është i saktë. Tipari i dytë i hash-eve përdoret këtu - ato janë unike. I njëjti hash nuk mund të merret nga dy grupe të ndryshme të dhënash (fjalëkalime). Nëse dy hash përputhen, atëherë të dy krijohen nga i njëjti grup të dhënash.

Meqe ra fjala. Falë kësaj veçorie, hash-et përdoren për të kontrolluar integritetin e të dhënave. Nëse dy hash (të krijuar gjatë një periudhe kohore) përputhen, atëherë të dhënat origjinale (gjatë asaj periudhe kohore) nuk kanë ndryshuar.

Sidoqoftë, përkundër faktit se metoda më moderne e sigurimit të një rrjeti WiFi (WPA2) është e besueshme, ky rrjet mund të hakohet. Si?

Ekzistojnë dy mënyra për të hyrë në një rrjet të mbrojtur WPA2:

  1. Supozimi i fjalëkalimit bazuar në bazën e të dhënave të fjalëkalimit (i ashtuquajturi kërkimi i fjalorit).
  2. Shfrytëzimi i një cenueshmërie në funksionin WPS.

Në rastin e parë, sulmuesi kap hash-in e fjalëkalimit në pikën e hyrjes. Më pas, kryhet një krahasim hash kundrejt një baze të dhënash që përmban mijëra ose miliona fjalë. Një fjalë merret nga fjalori, krijohet një hash për këtë fjalë dhe më pas ky hash krahasohet me hash-in që u përgjua. Nëse përdoret një fjalëkalim primitiv në pikën e hyrjes, atëherë thyerja e fjalëkalimit të kësaj pike aksesi është çështje kohe. Për shembull, një fjalëkalim 8 shifror (8 karaktere është gjatësia minimale e fjalëkalimit për WPA2) është një milion kombinime. Në një kompjuter modern, një milion vlera mund të zgjidhen në disa ditë apo edhe orë.

Në rastin e dytë, një dobësi në versionet e para të funksionit WPS është shfrytëzuar. Ky funksion ju lejon të lidhni një pajisje që nuk mund të futet me një fjalëkalim, si një printer, me pikën e hyrjes. Kur përdorni këtë funksion, pajisja dhe pika e hyrjes shkëmbejnë një kod dixhital dhe nëse pajisja dërgon kodin e saktë, pika e hyrjes do të autorizojë klientin. Kishte një dobësi në këtë funksion - kodi ishte me 8 shifra, por unike u kontrollua vetëm nga katër prej tyre! Kjo do të thotë, për të hakuar WPS, duhet të numëroni të gjitha vlerat që japin 4 shifra. Si rezultat, hakimi i një pike aksesi përmes WPS mund të bëhet në vetëm disa orë, në çdo pajisje më të dobët.

Konfigurimi i sigurisë së rrjetit WiFi

Siguria e rrjetit WiFi përcaktohet nga cilësimet e pikës së hyrjes. Disa nga këto cilësime ndikojnë drejtpërdrejt në sigurinë e rrjetit.

Modaliteti i aksesit WiFi

Pika e hyrjes mund të funksionojë në një nga dy mënyrat - e hapur ose e mbrojtur. Në rastin e aksesit të hapur, çdo pajisje mund të lidhet me pikën e hyrjes. Në rastin e aksesit të sigurt, lidhet vetëm pajisja që transmeton fjalëkalimin e saktë të hyrjes.

Ekzistojnë tre lloje (standarde) për mbrojtjen e rrjeteve WiFi:

  • WEP (Intimitet ekuivalent me tela). Standardi i parë i sigurisë. Sot, në fakt nuk ofron mbrojtje, pasi hakerohet shumë lehtë për shkak të dobësisë së mekanizmave mbrojtës.
  • WPA (Qasje e mbrojtur me Wi-Fi). Kronologjikisht standardi i dytë i mbrojtjes. Në kohën e krijimit dhe komisionimit, ai siguroi mbrojtje efektive për rrjetet WiFi. Por në fund të viteve 2000, u gjetën mundësi për të goditur mbrojtjen WPA përmes dobësive në mekanizmat e mbrojtjes.
  • WPA2 (Qasje e mbrojtur me Wi-Fi). Standardi më i fundit i sigurisë. Ofron mbrojtje të besueshme duke iu nënshtruar rregullave të caktuara. Deri më sot, ekzistojnë vetëm dy mënyra të njohura për të goditur sigurinë WPA2. Forca brutale e fjalëkalimit të fjalorit dhe mënyra e zgjidhjes nëpërmjet shërbimit WPS.

Kështu, për të siguruar sigurinë e rrjetit WiFi, duhet të zgjidhni llojin e sigurisë WPA2. Megjithatë, jo të gjitha pajisjet e klientit mund ta mbështesin atë. Për shembull, Windows XP SP2 mbështet vetëm WPA.

Përveç zgjedhjes së standardit WPA2, kërkohen kushte shtesë:

Përdorni metodën e kriptimit AES.

Fjalëkalimi për të hyrë në rrjetin WiFi duhet të përbëhet si më poshtë:

  1. Përdorni shkronjat dhe numrat në fjalëkalim. Një grup arbitrar shkronjash dhe numrash. Ose një fjalë ose frazë shumë e rrallë, me kuptim vetëm për ju.
  2. Jo përdorni fjalëkalime të thjeshta si emri + data e lindjes, ose ndonjë fjalë + disa numra, për shembull lena1991 ose dom12345.
  3. Nëse është e nevojshme të përdorni vetëm një fjalëkalim numerik, atëherë gjatësia e tij duhet të jetë së paku 10 karaktere. Sepse një fjalëkalim dixhital me tetë karaktere zgjidhet me forcë brutale në kohë reale (nga disa orë në disa ditë, në varësi të fuqisë së kompjuterit).

Nëse përdorni fjalëkalime komplekse në përputhje me këto rregulla, atëherë rrjeti juaj WiFi nuk mund të hakerohet duke përdorur hamendjen e fjalëkalimit të fjalorit. Për shembull, për një fjalëkalim si 5Fb9pE2a(alfanumerik arbitrar), maksimumi i mundshëm 218340105584896 kombinime. Sot është pothuajse e pamundur përzgjedhja. Edhe nëse kompjuteri krahason 1,000,000 (milion) fjalë në sekondë, do të duhen pothuajse 7 vjet për të përsëritur të gjitha vlerat.

WPS (Konfigurimi i mbrojtur me Wi-Fi)

Nëse pika e hyrjes ka funksionin WPS (Wi-Fi Protected Setup), duhet ta çaktivizoni atë. Nëse kjo veçori është e nevojshme, duhet të siguroheni që versioni i tij të përditësohet me veçoritë e mëposhtme:

  1. Përdorimi i të 8 karaktereve të kodit pin në vend të 4, siç ishte në fillim.
  2. Aktivizimi i një vonese pas disa përpjekjeve për të transmetuar një kod pin të pasaktë nga klienti.

Një opsion shtesë për të përmirësuar sigurinë e WPS është përdorimi i një kodi pin alfanumerik.

Siguria publike WiFi

Sot është në modë përdorimi i internetit përmes rrjeteve WiFi në vende publike - në kafene, restorante, qendra tregtare, etj. Është e rëndësishme të kuptohet se përdorimi i rrjeteve të tilla mund të çojë në vjedhjen e të dhënave tuaja personale. Nëse hyni në internet përmes një rrjeti të tillë dhe më pas autorizoni në një sajt, atëherë të dhënat tuaja (hyrja dhe fjalëkalimi) mund të përgjohen nga një person tjetër që është i lidhur në të njëjtin rrjet WiFi. Në të vërtetë, në çdo pajisje që është autorizuar dhe e lidhur me një pikë aksesi, mund të përgjoni trafikun e rrjetit nga të gjitha pajisjet e tjera në këtë rrjet. Dhe veçoria e rrjeteve publike WiFi është se kushdo mund të lidhet me të, përfshirë një ndërhyrës, dhe jo vetëm me një rrjet të hapur, por edhe me një të sigurt.

Çfarë mund të bëni për të mbrojtur të dhënat tuaja kur lidheni me internetin përmes një rrjeti publik WiFi? Ekziston vetëm një mundësi - përdorimi i protokollit HTTPS. Brenda këtij protokolli, krijohet një lidhje e koduar ndërmjet klientit (shfletuesit) dhe faqes. Por jo të gjitha sajtet mbështesin protokollin HTTPS. Adresat në një sajt që mbështet protokollin HTTPS fillojnë me prefiksin https://. Nëse adresat në sajt kanë prefiksin http://, kjo do të thotë që faqja nuk mbështet HTTPS ose nuk përdoret.

Disa sajte nuk përdorin HTTPS si parazgjedhje, por kanë këtë protokoll dhe mund të përdoren nëse në mënyrë eksplicite (me dorë) specifikoni prefiksin https://.

Sa për përdorime të tjera të internetit - biseda, skype, etj., serverët VPN falas ose me pagesë mund të përdoren për të mbrojtur këto të dhëna. Kjo do të thotë, së pari lidheni me serverin VPN dhe vetëm atëherë përdorni faqen e bisedës ose të hapur.

Mbrojtja me fjalëkalim WiFi

Në pjesën e dytë dhe të tretë të këtij artikulli, kam shkruar se në rastin e përdorimit të standardit të sigurisë WPA2, një nga mënyrat për të hakuar një rrjet WiFi është të hamendësosh fjalëkalimin nga një fjalor. Por për një sulmues, ekziston një mundësi tjetër për të marrë fjalëkalimin në rrjetin tuaj WiFi. Nëse e mbani fjalëkalimin në një ngjitëse të ngjitur në monitor, kjo bën të mundur që një i huaj ta shohë këtë fjalëkalim. Gjithashtu, fjalëkalimi juaj mund të vidhet nga një kompjuter i lidhur me rrjetin tuaj WiFi. Kjo mund të bëhet nga një i huaj, nëse kompjuterët tuaj nuk janë të mbrojtur nga aksesi i të huajve. Kjo mund të bëhet me malware. Përveç kësaj, fjalëkalimi mund të vidhet edhe nga një pajisje që hiqet nga zyra (shtëpia, apartamenti) - nga një smartphone, tablet.

Kështu, nëse keni nevojë për mbrojtje të besueshme për rrjetin tuaj WiFi, duhet të merrni masa për të ruajtur fjalëkalimin në mënyrë të sigurt. Mbroni atë nga aksesi i personave të paautorizuar.

Nëse e gjetët këtë artikull të dobishëm ose thjesht ju pëlqeu, atëherë mos kini turp - mbështesni autorin financiarisht. Kjo është e lehtë për t'u bërë duke hedhur para Portofoli Yandex № 410011416229354. Ose në telefon +7 918-16-26-331 .

Edhe një sasi e vogël mund të ndihmojë në shkrimin e artikujve të rinj :)

Kohët e fundit ka pasur shumë publikime “zbuluese” për hakimin e ndonjë protokolli apo teknologjie të radhës që rrezikon sigurinë e rrjeteve pa tel. A është vërtet kështu, nga çfarë duhet të keni frikë dhe si ta bëni aksesin në rrjetin tuaj sa më të sigurt? A kanë pak kuptim fjalët WEP, WPA, 802.1x, EAP, PKI? Kjo përmbledhje e shkurtër do të ndihmojë në bashkimin e të gjitha teknologjive të përdorura për enkriptimin dhe autorizimin e aksesit në radio. Do të përpiqem të tregoj se një rrjet pa tel i konfiguruar siç duhet është një pengesë e pakapërcyeshme për një sulmues (deri në një kufi të caktuar, sigurisht).

Bazat

Çdo ndërveprim ndërmjet një pike aksesi (rrjeti) dhe një klienti me valë bazohet në:
  • Autentifikimi- si klienti dhe pika e hyrjes prezantohen me njëri-tjetrin dhe konfirmojnë se kanë të drejtë të komunikojnë me njëri-tjetrin;
  • enkriptimi- cili algoritëm gërshetimi i të dhënave të transmetuara përdoret, si gjenerohet çelësi i enkriptimit dhe kur ndryshohet.

Parametrat e rrjetit pa tela, kryesisht emri i tij (SSID), shpallen rregullisht nga pika e hyrjes në paketat e transmetimit të beacon. Përveç cilësimeve të pritshme të sigurisë, dëshirat transmetohen për QoS, për parametrat 802.11n, shpejtësitë e mbështetura, informacione për fqinjët e tjerë, etj. Autentifikimi përcakton se si klienti shfaqet në pikën e duhur. Opsionet e mundshme:

  • hapur- i ashtuquajturi rrjet i hapur, në të cilin të gjitha pajisjet e lidhura autorizohen menjëherë
  • të përbashkëta- autenticiteti i pajisjes së lidhur duhet të verifikohet me një çelës/fjalëkalim
  • EAP- autenticiteti i pajisjes së lidhur duhet të verifikohet nëpërmjet protokollit EAP nga një server i jashtëm
Hapja e rrjetit nuk do të thotë që dikush mund të punojë me të pa u ndëshkuar. Për të transmetuar të dhëna në një rrjet të tillë, është e nevojshme të përputhet me algoritmin e enkriptimit të përdorur dhe, në përputhje me rrethanat, vendosja e saktë e një lidhjeje të koduar. Algoritmet e kriptimit janë:
  • Asnje- nuk ka enkriptim, të dhënat transmetohen në mënyrë të qartë
  • WEP- Shifra me bazë RC4 me gjatësi të ndryshme të tasteve statike ose dinamike (64 ose 128 bit)
  • CKIP- Zëvendësimi i pronarit i Cisco-s për WEP, një version i hershëm i TKIP
  • TKIP- zëvendësim i përmirësuar për WEP me kontrolle dhe mbrojtje shtesë
  • AES/CCMP- algoritmi më i avancuar i bazuar në AES256 me kontrolle dhe mbrojtje shtesë

Kombinimi Autentifikimi i hapur, pa enkriptim përdoret gjerësisht në sistemet e aksesit të mysafirëve, të tilla si ofrimi i aksesit në internet në një kafene ose hotel. Për t'u lidhur, duhet të dini vetëm emrin e rrjetit me valë. Shpesh, një lidhje e tillë kombinohet me verifikimin shtesë në Portalin Captive duke ridrejtuar kërkesën HTTP të përdoruesit në një faqe shtesë ku mund të kërkoni konfirmim (hyrje-fjalëkalim, marrëveshje me rregullat, etj.).

Enkriptimi WEP komprometuar dhe nuk mund të përdoret (edhe në rastin e çelësave dinamikë).

Termat e përdorur zakonisht WPA dhe WPA2 përcaktoni, në fakt, algoritmin e enkriptimit (TKIP ose AES). Për shkak të faktit se përshtatësit e klientëve kanë mbështetur WPA2 (AES) për një kohë mjaft të gjatë, nuk ka kuptim të përdoret kriptimi duke përdorur algoritmin TKIP.

Dallimi midis WPA2 Personal dhe Ndërmarrja WPA2është nga vijnë çelësat e enkriptimit të përdorur në mekanikën e algoritmit AES. Për aplikacionet private (shtëpiake, të vogla), përdoret një çelës statik (fjalëkalim, fjalë kodi, PSK (Çelësi paraprakisht i përbashkët)) me një gjatësi minimale prej 8 karakteresh, i cili vendoset në cilësimet e pikës së hyrjes dhe është i njëjtë për të gjithë klientët e këtij rrjeti pa tel. Kompromisi i një çelësi të tillë (i flak një fqinji, një punonjës u pushua nga puna, një laptop u vodh) kërkon një ndryshim të menjëhershëm të fjalëkalimit për të gjithë përdoruesit e mbetur, gjë që është realiste vetëm në rastin e një numri të vogël prej tyre. Për aplikacionet e korporatave, siç nënkupton edhe emri, përdoret një çelës dinamik, i cili është individual për çdo klient që punon për momentin. Ky çelës mund të përditësohet periodikisht gjatë punës pa ndërprerë lidhjen, dhe një komponent shtesë është përgjegjës për gjenerimin e tij - serveri i autorizimit, dhe pothuajse gjithmonë ky është serveri RADIUS.

Të gjithë parametrat e mundshëm të sigurisë janë përmbledhur në këtë tabelë:

Pronës WEP statike WEP dinamike WPA WPA2 (ndërmarrje)
Identifikimi Përdorues, kompjuter, kartë WLAN përdorues, kompjuter
përdorues, kompjuter
përdorues, kompjuter
Autorizimi
Çelësi i përbashkët

EAP

EAP ose çelës i përbashkët

EAP ose çelës i përbashkët

Integriteti

Vlera e kontrollit të integritetit 32-bit (ICV)

ICV 32-bit

Kodi i integritetit të mesazheve 64-bit (MIC)

CRT/CBC-MAC (Counter mode Counter Cipher Block Chaining Auth Code - CCM) Pjesë e AES

Enkriptimi

çelësi statik

çelësi i seancës

Për çelësin e paketës nëpërmjet TKIP

CCMP (AES)

Shpërndarja e çelësit

Beqare, manuale

Segmenti i çelësit kryesor (PMK) në çift

Rrjedh nga PMK

Rrjedh nga PMK

Vektori i inicializimit

Teksti, 24 bit

Teksti, 24 bit

Vektor i zgjeruar, 65 bit

Numri i paketës 48-bit (PN)

Algoritmi

RC4

RC4

RC4

AES

Gjatësia e çelësit, bit

64/128
64/128
128
deri në 256

Infrastruktura e nevojshme

Jo

RREZE

RREZE

RREZE

Nëse gjithçka është e qartë me WPA2 Personal (WPA2 PSK), zgjidhja e korporatës kërkon konsideratë shtesë.

Ndërmarrja WPA2



Këtu kemi të bëjmë me një grup shtesë të protokolleve të ndryshme. Në anën e klientit, një komponent i posaçëm softuer, kërkuesi (zakonisht pjesë e OS) ndërvepron me pjesën autorizuese, serverin AAA. Ky shembull tregon funksionimin e një rrjeti të unifikuar radio të ndërtuar mbi pika aksesi të lehta dhe një kontrollues. Në rastin e përdorimit të pikave të aksesit "me tru", vetë pika mund të marrë të gjithë rolin e një ndërmjetësi midis klientëve dhe serverit. Në të njëjtën kohë, të dhënat e kërkuesit të klientit transmetohen me radio të formuara në protokollin 802.1x (EAPOL), dhe në anën e kontrolluesit ato janë të mbështjella me pako RADIUS.

Përdorimi i mekanizmit të autorizimit EAP në rrjetin tuaj çon në faktin se pas vërtetimit të suksesshëm (pothuajse me siguri të hapur) të klientit nga pika e aksesit (së bashku me kontrolluesin, nëse ka), ky i fundit i kërkon klientit të autorizojë (verifikojë autoritetin e tij) nga serveri RADIUS i infrastrukturës:

Përdorimi Ndërmarrja WPA2 kërkon një server RADIUS në rrjetin tuaj. Deri më sot, më efikasët janë produktet e mëposhtme:

  • Serveri i politikave të rrjetit të Microsoft (NPS), më parë IAS- i konfigurueshëm përmes MMC, falas, por duhet të blini Windows
  • Serveri Cisco Secure Access Control (ACS) 4.2, 5.3- i konfigurueshëm nëpërmjet një ndërfaqe në internet, i pasur me veçori, ju lejon të krijoni sisteme të shpërndara dhe tolerante ndaj gabimeve, është i shtrenjtë
  • RADIUS i Lirë- falas, i konfiguruar nga konfigurimet e tekstit, jo i përshtatshëm për t'u menaxhuar dhe monitoruar

Në të njëjtën kohë, kontrolluesi monitoron me kujdes shkëmbimin e vazhdueshëm të informacionit dhe pret autorizimin ose mohimin e suksesshëm të tij. Nëse është i suksesshëm, serveri RADIUS mund të dërgojë parametra shtesë në pikën e hyrjes (për shembull, në cilin VLAN të vendosë pajtimtarin, cilën adresë IP t'i caktojë, profilin QoS, etj.). Në fund të shkëmbimit, serveri RADIUS lejon klientin dhe pikën e hyrjes të gjenerojnë dhe shkëmbejnë çelësat e enkriptimit (individualë, të vlefshëm vetëm për këtë sesion):

EAP

Vetë protokolli EAP është i kontejneruar, domethënë, mekanizmi aktual i autorizimit është dhënë në mëshirën e protokolleve të brendshme. Për momentin, të mëposhtmet kanë fituar një shpërndarje të konsiderueshme:
  • EAP-FAST(Autentifikimi fleksibël përmes tunelit të sigurt) - zhvilluar nga Cisco; lejon autorizimin me fjalëkalim të hyrjes të transmetuar brenda tunelit TLS midis kërkuesit dhe serverit RADIUS
  • EAP-TLS(Siguria e Shtresës së Transportit). Përdor një infrastrukturë të çelësit publik (PKI) për të autorizuar klientin dhe serverin (kërkuesi dhe serveri RADIUS) përmes certifikatave të lëshuara nga një autoritet certifikues i besuar (CA). Kërkon lëshimin dhe instalimin e certifikatave të klientit për çdo pajisje me valë, kështu që është i përshtatshëm vetëm për një mjedis të menaxhuar të korporatës. Serveri i Certifikatave Windows ka pajisje që lejojnë një klient të gjenerojë certifikatën e tij nëse klienti është anëtar i një domeni. Bllokimi i një klienti bëhet lehtësisht duke revokuar certifikatën e tij (ose përmes llogarive).
  • EAP-TTLS(Tunneled Transport Layer Security) është i ngjashëm me EAP-TLS, por nuk kërkohet certifikatë klienti kur krijoni një tunel. Në një tunel të tillë, i ngjashëm me lidhjen SSL të shfletuesit, kryhet autorizimi shtesë (duke përdorur një fjalëkalim ose diçka tjetër).
  • PEAP-MSCHAPv2(EAP i mbrojtur) - i ngjashëm me EAP-TTLS për sa i përket krijimit fillimisht të një tuneli të koduar TLS midis klientit dhe serverit, që kërkon një certifikatë serveri. Më pas, autorizimi bëhet në një tunel të tillë duke përdorur protokollin e mirënjohur MSCHAPv2.
  • PEAP-GTC(Generic Token Card) - e ngjashme me atë të mëparshme, por kërkon karta fjalëkalimi një herë (dhe infrastrukturën përkatëse)

Të gjitha këto metoda (përveç EAP-FAST) kërkojnë një certifikatë serveri (në serverin RADIUS) të lëshuar nga një Autoritet Certifikues (CA). Në këtë rast, vetë certifikata CA duhet të jetë e pranishme në pajisjen e klientit në grupin e besuar (i cili është i lehtë për t'u zbatuar duke përdorur Politikën e Grupit në Windows). Për më tepër, EAP-TLS kërkon një certifikatë individuale të klientit. Autentifikimi i klientit kryhet si me nënshkrim dixhital ashtu edhe (opsionale) duke krahasuar certifikatën e ofruar nga klienti me serverin RADIUS me atë që serveri ka marrë nga infrastruktura PKI (Active Directory).

Mbështetja për cilëndo nga metodat EAP duhet të ofrohet nga kërkuesi në anën e klientit. Standardi i integruar Windows XP/Vista/7, iOS, Android ofron të paktën EAP-TLS dhe EAP-MSCHAPv2, gjë që i bën këto metoda të njohura. Përshtatësit e klientit Intel për Windows vijnë me një mjet ProSet që zgjeron listën e disponueshme. Klienti Cisco AnyConnect bën të njëjtën gjë.

Sa i besueshëm është

Në fund të fundit, çfarë i duhet një sulmuesi për të hyrë në rrjetin tuaj?

Për Autentifikimin e Hapur, Asnjë Enkriptim nuk është asgjë. Lidhur me rrjetin dhe gjithçka. Meqenëse mjedisi i radios është i hapur, sinjali përhapet në drejtime të ndryshme, nuk është e lehtë ta bllokosh atë. Nëse keni përshtatësit e duhur të klientit që ju lejojnë të dëgjoni ajrin, trafiku i rrjetit është i dukshëm në të njëjtën mënyrë sikur sulmuesi të lidhet me telin, me shpërndarësin, në portën SPAN të çelësit.
Kriptimi i bazuar në WEP kërkon vetëm kohë IV të forcës brutale dhe një nga shumë mjetet e skanimit të disponueshëm lirisht.
Për kriptim të bazuar në TKIP ose AES, deshifrimi i drejtpërdrejtë është i mundur në teori, por në praktikë nuk ka pasur raste hakerimi.

Sigurisht, mund të provoni të merrni me mend çelësin PSK ose fjalëkalimin për një nga metodat EAP. Sulmet e zakonshme ndaj këtyre metodave nuk dihen. Mund të provoni të aplikoni metoda të inxhinierisë sociale, ose

Artikujt kryesorë të lidhur

Si të hapni një skedar Mdf Çfarë janë skedarët mdf dhe mds
Si të hapni një skedar Mdf Çfarë janë skedarët mdf dhe mds
Çfarë duhet të bëni nëse kompjuteri ngrin?
Çfarë duhet të bëni nëse kompjuteri ngrin?
Programe radio amatore për android Programe Elektronikë për android
Programe radio amatore për android Programe Elektronikë për android
Kategoritë:
© 2022 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.