Protocole Wpa2. Déterminé par l'IEEE standard 802.11, créé en 2004, pour remplacer. Il est mis en œuvre CCMP. et cryptage AES.En raison de quoi Wpa2. est devenu plus protégé que son prédécesseur. Depuis 2006, soutien depuis 2006 Wpa2. C'est une condition préalable à tous les appareils certifiés.
La différence entre WPA et WPA2
La recherche de la différence entre et WPA2 pour la plupart des utilisateurs n'a pas de pertinence, car toute la protection du réseau sans fil est réduite à la sélection d'un mot de passe plus ou moins complexe. À ce jour, la situation est telle que tous les appareils exécutant des réseaux Wi-Fi sont nécessaires pour prendre en charge WPA2, de sorte que la sélection WPA ne puisse être que des situations non standard. Par exemple, système d'exploitation Windows Windows XP SP3 ne prend pas en charge le travail avec WPA2 sans l'utilisation de correctifs, de sorte que les machines et les appareils gérés par de tels systèmes nécessitent l'attention de l'administrateur réseau. Même quelques smartphones modernes Peut ne pas prendre en charge le nouveau protocole de cryptage, de préférence, il concerne des gadgets asiatiques extrabrents. D'autre part, certains version Windows Le XP plus ancien ne prend pas en charge le travail avec WPA2 au niveau des objets de stratégie de groupe, nécessite donc dans ce cas un réglage plus mince de connexions réseau.
La différence technique de WPA de WPA2 consiste en une technologie de cryptage, en particulier dans les protocoles utilisés. Le WPA utilise le protocole TKIP dans le protocole WPA2 - AES. En pratique, cela signifie que le WPA2 plus moderne fournit un degré de protection du réseau plus élevé. Par exemple, le protocole TKIP vous permet de créer une clé d'authentification jusqu'à 128 bits, AES - jusqu'à 256 bits.
La différence entre WPA2 de WPA est la suivante:
- WPA2 est une WPA améliorée.
- WPA2 utilise l'AES, le protocole de la WPA - protocole TKIP.
- WPA2 est pris en charge par tous les appareils sans fil modernes.
- WPA2 ne peut pas être pris en charge par des systèmes d'exploitation obsolètes.
- Le degré de protection WPA2 est supérieur à la WPA.
Authentification dans WPA2.
WPA et WPA2 fonctionnent à la fois dans deux modes d'authentification: personnel (personnel) et corporate (Enterprise). En mode WPA2-Personal, une clé de 256 bits est générée à partir du texte ouvert de la phrase du mot de passe, parfois appelée la touche de la clé distribuée. Touche PSK, ainsi que l'identifiant et la longueur de ce dernier forment une base mathématique pour la formation de la clé de paire principale PMK (clé maître par paires)qui est utilisé pour initialiser l'alerte composé à quatre côtés et générer une clé temporaire ou une clé de session PTK (clé transient paire)Pour interagir un périphérique utilisateur sans fil avec point d'accès. À mesure que le protocole statique de la WPA2-Personal est inhérent à la présence de problèmes de support de distribution et de clés, ce qui le rend plus approprié pour une utilisation dans les petits bureaux que dans les entreprises.
Toutefois, le protocole WPA2-Enterprise résout avec succès des problèmes liés à la distribution des clés et de la gestion statiques et son intégration avec la plupart des services d'authentification d'entreprise fournit un contrôle d'accès basé sur des comptes. Pour travailler dans ce mode nécessite de telles données d'enregistrement que le nom d'utilisateur et le mot de passe, le certificat de sécurité ou un mot de passe ponctuel; L'authentification est effectuée entre poste de travail et le serveur d'authentification central. Le point d'accès ou le contrôleur sans fil surveillent la connexion et envoyez des paquets d'authentification sur le serveur d'authentification approprié, en règle générale. La base du mode WPA2-Enterprise est 802.1x, qui prend en charge l'authentification basée sur l'utilisateur des utilisateurs et des machines, adaptées aux commutateurs câblés et aux points d'accès sans fil.
Cryptage WPA2
La norme WPA2 est basée sur la méthode de cryptage AES, qui a remplacé les normes DES et 3DES en tant que norme sectorielle de facto. Nécessitant une grande quantité de calcul, la norme AES a besoin d'un support matériel qui n'est pas toujours disponible dans l'ancien équipement BLVS.
Pour l'authentification et assurez-vous que l'intégrité des données WPA2 utilise le CBC-Mac (Cipher Block chaîning Code d'authentification), et pour crypter les données et le mode de contrôle de contrôle micro (mode de compteur - CTR). Le code d'intégrité de la configuration (MIC) du protocole WPA2 ne représente que la somme de contrôle et contrairement à la WPA assure l'intégrité des données pour les champs de rubrique inchangés 802.11. Cela empêche les attaques de type de relecture de paquets afin de déchiffrer des packages ou de compromettre des informations cryptographiques.
Pour calculer le micro, un vecteur d'initialisation de 128 bits est utilisé (Vecteur d'initialisation - IV), pour le cryptage IV - la méthode AES et une clé temporaire, et à la fin, il s'avère un résultat de 128 bits. Ensuite sur ce résultat et les 128 bits de données suivants, l'opération "à l'exclusion ou" est effectuée. Le résultat est crypté par AES et TK, puis sur le dernier résultat et les 128 bits de données suivants, l'opération "à l'exclusion ou" est à nouveau effectuée. La procédure est répétée jusqu'à ce que toute la charge utile soit épuisée. Les 64 premières décharges du résultat reçu à l'étape dernière sont utilisées pour calculer la valeur du micro.
Pour le cryptage et le micro de données, l'algorithme est basé sur le mode compteur. Comme avec le vecteur d'initialisation MIC crypté, l'exécution de cet algorithme commence par une précharge d'un compteur 128 bits, où dans le champ de compteur au lieu de la valeur correspondant à la longueur des données, la valeur du compteur est prise sur le unité. Ainsi, il est utilisé pour chiffrer chaque paquet.
Avec l'utilisation d'AES et de TK, les 128 premiers bits de données sont cryptés, puis plus de 128 bits, le résultat de ce cryptage est effectué "à l'exclusion ou". Les 128 premiers bits de données donnent le premier bloc crypté de 128 bits. La valeur précédemment chargée du compteur augmente et chiffrer de manière incrémise via AES et la clé de cryptage de données. Ensuite, sur le résultat de ce cryptage et des 128 bits de données suivants, l'opération "à l'exclusion ou" est à nouveau effectuée.
La procédure est répétée jusqu'à ce que tous les blocs de données de 128 bits soient cryptés. Après cela, la valeur finale du champ de comptoir est réinitialisée à zéro, le compteur est crypté à l'aide de l'algorithme AES, puis sur le résultat du cryptage et du micro, l'opération "à l'exclusion ou" est effectuée. Le résultat de la dernière opération est drainé sur le cadre crypté.
Après avoir calculé le micro à l'aide du protocole CBC-MAC, les données et le micro sont cryptés. Ensuite, l'en-tête 802.11 et le champ Numéro de paquet CCMP sont ajoutés devant l'avant et la borne de 802.11 est amarrée et tout va le long de l'adresse de destination.
Le décryptage de données est effectué dans l'ordre de cryptage inverse. Pour extraire le compteur, le même algorithme est activé comme s'il est crypté. Pour déchiffrer le compteur et la partie cryptée de la charge utile, une algorithme de décodage et une clé TK sont utilisées. Le résultat de ce processus est les données déchiffrées et la somme de contrôle du micro. Après cela, via l'algorithme CBC-MAC, une recalcul de MIC est effectuée pour des données déchiffrées. Si les valeurs de micro ne correspondent pas, le package est réinitialisé. Lors de la correspondance des valeurs spécifiées, des données déchiffrées sont envoyées à pile de réseauPuis le client.
Cet article est consacré à la question de la sécurité lors de l'utilisation de réseaux sans fil Wifi.
Introduction - Vulnérabilités WiFi
La principale raison de la vulnérabilité des données utilisateur Lorsque ces données sont transmises via des réseaux WiFi sont que l'échange a lieu par radio. Et cela permet d'intercepter des messages n'importe où où le signal WiFi est disponible physiquement. Simplifiquement parler, si le signal du point d'accès peut être pris à une distance de 50 mètres, l'interception de l'ensemble du trafic réseau de ce réseau WiFi est possible dans un rayon de 50 mètres du point d'accès. Dans la pièce voisine, sur l'autre étage du bâtiment, dans la rue.
Imaginez une telle image. Au bureau, le réseau local est construit via WiFi. Le signal du point d'accès de ce bureau est capturé à l'extérieur du bâtiment, par exemple dans le parking. Un attaquant, en dehors du bâtiment, peut accéder au réseau de bureau, c'est-à-dire imperceptiblement pour les propriétaires de ce réseau. Les réseaux WiFi peuvent être facilement accessibles et inaperçus. Il est techniquement beaucoup plus facile que les réseaux câblés.
Oui. À ce jour, la protection du réseau WiFi est développée et mise en œuvre. Une telle protection est basée sur le cryptage de l'ensemble du trafic entre le point d'accès et le périphérique final qui lui est connecté. C'est-à-dire qu'un signal radio pour intercepter un attaquant peut, mais pour lui, ce ne sera que la "corbeille" numérique.
Comment fonctionne la protection wifi?
Point d'accès n'inclut que le périphérique qui enverra le mot de passe correct (spécifié dans les paramètres de point d'accès). Dans ce cas, le mot de passe est également envoyé crypté, sous la forme d'un hachage. Le hash est le résultat d'un cryptage irréversible. C'est-à-dire que les données traduites dans le hachage ne peuvent pas être déchiffrées. Si l'attaquant capture le mot de passe de hachage, il ne pourra pas obtenir de mot de passe.
Mais comment le point d'accès découvre-t-il le mot de passe correct spécifié ou non? Si elle reçoit aussi un hachage, mais ne peut pas le déchiffrer? Tout est simple - dans les paramètres du point d'accès, le mot de passe est spécifié sous sa forme pure. Le programme d'autorisation prend un mot de passe propre, crée un hachage de celui-ci, puis compare ce hachage avec le client reçu du client. Si les hashies coïncident cela signifie que le mot de passe du client est correct. Ici, la deuxième caractéristique de Haze est utilisée - elles sont uniques. Le même hachage ne peut pas être obtenu à partir de deux ensembles de données différents (mots de passe). Si deux hachages coïncident, ils sont tous deux créés à partir du même ensemble de données.
D'ailleurs. Grâce à cette fonctionnalité, les hachis sont utilisés pour contrôler l'intégrité des données. Si deux hachages (créés à partir de l'intervalle de temps) coïncident, les données initiales (au cours de cette période) n'ont pas été modifiées.
C'est non moins, malgré le fait que le plus méthode moderne protection wifi Networks (WPA2) fiable, ce réseau peut être piraté. Comment?
Il existe deux techniques d'accès au réseau sous la protection de la WPA2:
- Sélection de paire de mots de passe (appelé buste dans le dictionnaire).
- Utilisation de la vulnérabilité dans la fonction WPS.
Dans le premier cas, l'attaquant intercepte le hachage de mot de passe au point d'accès. Ensuite, sur la base de données, dans laquelle des milliers de mots ou des millions de mots sont enregistrés, une brume est comparée. Un mot est extrait du dictionnaire, un hachage est généré pour ce mot, puis ce hachage est comparé au hachage intercepté. Si un mot de passe primitif est utilisé au point d'accès, puis piratage d'un mot de passe, ce point d'accès, la question du temps. Par exemple, un mot de passe sur 8 chiffres (la longueur du symbole 8 est la longueur minimale du mot de passe pour WPA2) est d'un million de combinaisons. Sur un ordinateur moderne, faites un buste d'un million de valeurs en quelques jours ou même des heures.
Dans le second cas, une vulnérabilité est utilisée dans les premières versions de la fonction WPS. Cette fonctionnalité vous permet de vous connecter au point d'accès sur lequel vous ne pouvez pas entrer un mot de passe, tel qu'une imprimante. Lorsque vous utilisez cette fonction, le périphérique et le point d'accès sont échangés par le code numérique et si l'appareil peut envoyer le code correct, le point d'accès autorise le client. Dans cette caractéristique, il y avait une vulnérabilité - le code était sur 8 chiffres, mais le caractère unique n'a été testé qu'à quatre d'entre eux! C'est-à-dire que pour le piratage WPS, vous devez faire un buste de toutes les valeurs qui donnent 4 chiffres. En conséquence, le piratage d'accès via WPS peut être effectué littéralement dans quelques heures, sur tout appareil le plus bas.
Protection du réseau WiFi
La sécurité du réseau WiFi est déterminée par les paramètres du point d'accès. Plusieurs de ces paramètres affectent directement la sécurité du réseau.
Mode d'accès au réseau WiFi
Le point d'accès peut fonctionner dans l'un des deux modes - ouverts ou protégés. Lorsque accès ouvert, Tout appareil peut se connecter au point de disponibilité. Dans le cas d'un accès protégé, seul le périphérique sera connecté que le mot de passe d'accès correct sera connecté.
Il existe trois types (normes) de la protection du réseau WiFi:
- Wep (intimité équivalente câblée). Le tout premier niveau de protection. Aujourd'hui, cela ne fournit pas une protection, car elle est sélectionnée très facilement en raison de la faiblesse des mécanismes de protection.
- WPA (accès protégé Wi-Fi). Chronologiquement le deuxième niveau de protection. Au moment de la création et de la mise en service, il garantissait la protection efficace des réseaux WiFi. Mais à la fin de la naissance, les possibilités de piratage de la protection de la WPA au moyen de vulnérabilités dans des mécanismes de protection ont été trouvés.
- WPA2 (accès protégé par le Wi-Fi). Le dernier niveau de protection. Fournit une protection fiable sous réserve de certaines règles. À ce jour, seuls deux façons de casser la protection WPA2 sont connus. Commutation du mot de passe via le dictionnaire et le chemin de dérivation, via le service WPS.
Ainsi, pour assurer la sécurité du réseau WiFi, vous devez sélectionner la protection WPA2. Cependant, tous les appareils clients ne peuvent pas le soutenir. Par exemple, Windows XP SP2 prend en charge WPA uniquement.
En plus de la sélection de la norme WPA2, des conditions supplémentaires sont nécessaires:
Utilisez la méthode de cryptage AES.
Le mot de passe pour accéder au réseau WiFi doit être comme suit:
- Utiliser Lettres et chiffres dans le mot de passe. Ensemble arbitraire de lettres et de chiffres. Ou un très rare, significatif que pour vous, mot ou phrase.
- Pas Utiliser mots de passe simples comme le nom + la date de naissance, ou un mot + quelques numéros, par exemple lENA1991. ou alors dOM12345.
- Si vous avez besoin d'utiliser uniquement mot de passe numérique, alors sa longueur devrait avoir au moins 10 caractères. Étant donné que le mot de passe numérique à huit graviers est sélectionné par la méthode d'extinction de l'heure en temps réel (de plusieurs heures à plusieurs jours, en fonction de la puissance de l'ordinateur).
Si vous utilisez des mots de passe complexes, conformément à ces règles, votre réseau WiFi ne peut pas être piraté par une sélection de mot de passe par le dictionnaire. Par exemple, pour le type de mot de passe 5fb9pe2a. (alphanumérique arbitraire), aussi possible 218340105584896 combinaisons. Aujourd'hui, il est presque impossible pour la sélection. Même si l'ordinateur comparera 1 000 000 (millions) de mots par seconde, il sera nécessaire pendant près de 7 ans pour profiter de toutes les valeurs.
WPS (configuration protégée Wi-Fi)
Si le point d'accès dispose de la fonction de configuration protégée Wi-Fi, vous devez l'éteindre. Si cette fonctionnalité est nécessaire, vous devez vous assurer que sa version est mise à jour aux fonctionnalités suivantes:
- L'utilisation de tous les 8 caractères PinCode au lieu de 4, comme c'était au début.
- Allumer le délai après plusieurs tentatives de transfert de Pincod incorrect du côté du client.
L'utilisation d'un pinema diguriniste est une occasion supplémentaire d'améliorer la protection WPS.
Sécurité des réseaux publics WiFi
Aujourd'hui, il est à la mode d'utiliser Internet via un réseau WiFi dans des lieux publics - dans des cafés, des restaurants, des centres commerciaux, etc. Il est important de comprendre que l'utilisation de tels réseaux peut entraîner le vol de vos données personnelles. Si vous entrez Internet via un tel réseau, puis exécutez une autorisation sur n'importe quel site, votre donnée (connexion et mot de passe) peut être interceptée par une autre personne connectée au même réseau WiFi. Après tout, sur n'importe quel appareil que l'autorisation passait et connectée au point d'accès, vous pouvez intercepter le trafic réseau de tous les autres appareils de ce réseau. Une caractéristique du public réseaux WiFi En ce que tout le monde peut se connecter à elle, y compris un attaquant, non seulement à un réseau ouvert, mais également à protéger.
Que peut-on faire pour protéger vos données lorsqu'il est connecté à un Internet via un réseau WiFi public? Il n'y a qu'une seule possibilité - utilisez le protocole HTTPS. Dans ce protocole, une connexion cryptée est établie entre le client (navigateur) et le site. Mais tous les sites ne supportent pas le protocole HTTPS. Les adresses sur le site prenant en charge le protocole HTTPS démarre avec le préfixe HTTPS: //. Si les adresses sur le site ont le préfixe http: // cela signifie qu'il n'y a pas de support HTTPS ou qu'il n'est pas utilisé.
Certains sites par défaut utilisent HTTPS, mais vous avez ce protocole et vous pouvez l'utiliser si explicitement (manuellement) spécifier le préfixe HTTPS: //.
En ce qui concerne les autres utilisations des chats Internet, Skype, etc., vous pouvez utiliser des serveurs VPN gratuits ou payables pour protéger ces données. C'est-à-dire d'abord, connectez-vous au serveur VPN, puis utilisez la discussion ou le site ouvert.
Protection du mot de passe WiFi
Dans les deuxième et troisième parties de cet article, j'ai écrit que dans le cas de l'utilisation de la norme de sécurité WPA2, l'une des façons de pirater le réseau Wi-Fi réside dans la sélection d'un mot de passe dans le dictionnaire. Mais pour l'attaquant, une autre occasion d'obtenir un mot de passe sur votre réseau WiFi. Si vous stockez votre mot de passe sur l'autocollant collé sur le moniteur, il permet de voir ce mot de passe à un étranger. Et votre mot de passe peut être volé à partir d'un ordinateur connecté à votre réseau WiFi. Cela peut faire un outsider si vos ordinateurs ne sont pas protégés de l'accès étranger. Cela peut être fait avec malware. De plus, le mot de passe peut voler à partir du périphérique fabriqué à l'extérieur du bureau (maisons, appartements) - du smartphone, tablette.
Donc, si vous avez besoin protection fiable Votre réseau WiFi doit prendre des mesures et pour un stockage de mots de passe fiable. Protégez-le de l'accès aux personnes non autorisées.
Si vous étiez utile ou si vous avez aimé cet article, n'hésitez pas à soutenir le matériel de l'auteur. Il est facile de faire de l'argent sur Yandex portefeuille numéro 410011416229354. Ou au téléphone +7 918-16-26-331 .
Même une petite quantité peut aider à écrire de nouveaux articles :)
Aujourd'hui, nous sommes un peu plus profond qu'un sujet shnop connexion sans fil. Nous allons comprendre ce qu'est - c'est également appelé «authentification» - et quoi de mieux choisir. Sûrement, lorsque vous rencontrez de telles abréviations telles que WPA, WPA, WPA2, WPA2 / PSK. Ainsi que leurs variétés - Personnel ou Entretien et TKIP ou AES. Eh bien, étudions-les plus en détail et comprenons le type de cryptage de choisir de fournir une vitesse maximale sans perte.
Je noterai que vous devez protéger votre WiFi WiFi nécessairement, peu importe le type de chiffrement que vous choisirez. Même Samia authentification simple Il sera évité dans les problèmes assez graves.
Pourquoi je le dis? Il n'est même pas même que la connexion de nombreux clients de gauche ralentit votre réseau - ce ne sont que des fleurs. La raison principale est que si votre réseau est inégalé, un attaquant peut lui être donné, qui de votre routeur produira des actions illégales, puis pour que ses actions devront vous répondre, nous allons donc prendre la protection du WiFi avec tout gravité.
Types de données WiFi de cryptage et d'authentification
Donc, dans la nécessité de chiffrer le réseau WiFi, nous voyons maintenant, voyons maintenant quels types sont:
Qu'est-ce que la protection wep wifi?
Wep. (La vie privée équivalente filaire) est la toute première norme qui est déjà apparue, ce qui ne répond plus aux exigences modernes. Tous les programmes configurés sur le piratage réseau méthode WiFi Les symboles de chant visent davantage la sélection de la clé de cryptage WEP.
Quelle est la clé WPA ou le mot de passe?
WPA (Accès protégé par Wi-Fi) est une norme d'authentification plus moderne qui vous permet de protéger de manière fiable le réseau local et Internet de pénétration illégale.
Qu'est-ce que WPA2-PSK - Personnel ou Enterprise?
Wpa2. - Version améliorée du type précédent. Le piratage WPA2 est pratiquement impossible, il fournit le degré de sécurité maximum, donc dans mes articles, je suis toujours sans explication sur ce que vous devez l'installer - vous savez maintenant pourquoi.
Les normes de protection WiFi WPA2 et WPA ont deux variétés supplémentaires:
- Personnel, indiqué comme WPA / PSK ou WPA2 / PSK. Cette espèce est la plus large et optimale à utiliser dans la plupart des cas - à la maison et au bureau. Dans WPA2 / PSK, nous définissons un mot de passe d'au moins 8 caractères, qui est stocké dans la mémoire de ce périphérique que nous connectons au routeur.
- Entreprise - une configuration plus complexe nécessitant la fonction de rayon incluse sur le routeur. Cela fonctionne sur le principe, c'est-à-dire qu'un mot de passe distinct est attribué à chaque gadget connecté à chaque individu.
Types de cryptage WPA - TKIP ou AES?
Nous avons donc décidé que le choix optimal de la sécurité du réseau sera WPA2 / PSK (personnel), mais il dispose de deux autres types de cryptage de données pour l'authentification.
- Tkip. - Aujourd'hui, il est déjà obsolète de type, mais il est toujours largement utilisé, car de nombreux dispositifs du nombre annuel d'années de publication ne le soutiennent que. Il ne fonctionne pas avec la technologie WPA2 / PSK et ne prend pas en charge la norme WiFi 802.11n.
- AES. - Dernier pour le moment et le type le plus fiable cryptage WiFi..
Que choisir un type de cryptage et mettre la clé WPA sur un routeur WiFi?
La théorie triée - va à la pratique. Depuis WiFi 802.11 "B" et "g" standards, qui vitesse maximum Jusqu'à 54 Mbps, personne ne l'utilise - aujourd'hui, la norme est de 802,11 "N" ou "AC", qui prend en charge la vitesse jusqu'à 300 Mbps et ci-dessus, envisagez l'utilisation de la protection WPA / PSK avec le type de cryptage TKIP. Donc, lorsque vous configurez un réseau sans fil, définissez par défaut
WPA2 / PSK - AES
Dans le cas extrême, spécifiez "Auto" comme type de cryptage pour fournir à la même connexion des périphériques avec module wifi obsolète.
Dans ce cas, la clé WPA, ou simplement parler, le mot de passe de connexion au réseau doit avoir de 8 à 32 caractères, y compris les minuscules anglais et lettres majuscules, ainsi que divers spécialistes.
Protection sans fil sur le routeur TP-Link
L'écran ci-dessus indique le panneau de commande du routeur moderne de link TP dans nouvelle version firmware. Configuration du cryptage réseau ici se trouve dans la section "Paramètres avancés - Mode sans fil".
Dans l'ancienne version "verte" des configurations réseau WiFi, vous êtes intéressé dans le menu " Mode sans fil - Protection". Faites tout comme dans l'image - sera super!
Si vous avez remarqué, il existe toujours un tel objet en tant que "Période de mise à jour de la clé de la WPA". Le fait est que pour assurer une plus grande protection, la vraie clé de la WPA numérique pour chiffrer la connexion est en train de changer de manière dynamique. Voici la valeur en secondes, après quoi le changement est affiché. Je recommande de ne pas la toucher et de laisser la valeur par défaut - dans différents modèles, l'intervalle de mise à jour est différent.
Méthode d'authentification sur le routeur Asus
Sur les routeurs Asus tous paramètres Wifi Situé sur une page "Réseau sans fil"
Protection du réseau via Zyxel Beenetic Roother
De même, Zyxel Beenetic - Section "Network WiFi - Point d'accès"
DANS routeurs béentique Sans la console "zyxel", le changement de type de cryptage est effectué dans la section " réseau domestique».
D-Link Routher Security Configuration de la sécurité
Sur d-link, nous recherchons une section " Wi-Fi - Sécurité»
Eh bien, nous avons aujourd'hui traité des types de cryptage WiFi et des termes tels que WPA, WPA, WPA2-PSK, TKIP et AES et ont découvert lequel il est préférable de choisir. Pour d'autres caractéristiques de sécurité du réseau, lisez également dans l'un des articles passés dans lesquels je parle des adresses Mac et IP et d'autres moyens de protéger.
Réglage du type de chiffrement vidéo sur le routeur
DANS dernièrement Il existe de nombreuses publications «exposant» sur le piratage d'un protocole ou de la technologie régulier qui compromettent la sécurité des réseaux sans fil. Est-ce vraiment ce qu'il faut avoir peur et comment rendre l'accès à votre réseau à être protégé maximalement? WELS WEP, WPA, 802.1x, EAP, PKI pour vous dire peu? Cette petite critique contribuera à rassembler tout cryptage technologique applicable et autorisation de l'accès radio. Je vais essayer de montrer qu'un réseau sans fil correctement configuré est une barrière irrésistible pour un attaquant (à une certaine limite, bien sûr).
Base
Toute interaction du point d'accès (réseau) et du client sans fil, construite sur:- Authentification - en tant que client et le point d'accès semblent les uns les autres et confirmer qu'ils ont le droit de communiquer entre eux;
- Chiffrement - Quel est l'algorithme de brouillage des données transmis à la manière dont la clé de cryptage est générée et lorsqu'elle change.
Les paramètres de réseau sans fil, tout d'abord son nom (SSID), sont annoncés régulièrement par le point d'accès des paquets de balise. Outre les paramètres de sécurité attendus, les souhaits QoS sont transmis, selon les paramètres 802.11N, les vitesses prises en charge, des informations sur les autres voisins, etc. L'authentification détermine la manière dont le client apparaît au point. Options possibles:
- Ouvert. - soi-disant réseau ouvertdans lequel tous les périphériques connectés sont autorisés immédiatement
- Partagé. - L'authenticité du périphérique connecté doit être vérifiée par la touche / mot de passe
- EAP - L'authenticité du périphérique connecté doit être vérifiée par le protocole EAP par un serveur externe.
- Rien - Pas de cryptage, les données sont transmises sous forme ouverte
- Wep. - Basé sur le chiffre d'algorithme RC4 avec une longueur différente de la clé statique ou dynamique (64 ou 128 bits)
- Ckip. - Remplacement exclusif de WEP de Cisco, option TKIP anticipée
- Tkip. - Remplacement amélioré WEP avec des contrôles et une protection supplémentaires
- AES / CCMP. - L'algorithme le plus parfait basé sur l'AES256 avec des contrôles et une protection supplémentaires
Combinaison Authentification ouverte, pas de cryptage Il est largement utilisé dans les systèmes d'accès aux invités, tels que proposer Internet dans un café ou un hôtel. Pour la connexion, vous devez connaître uniquement le nom du réseau sans fil. Souvent, une telle connexion est combinée avec vérification supplémentaire Au portail captif en redirige une requête HTTP personnalisée à une page supplémentaire sur laquelle vous pouvez demander une confirmation (identifiant-mot de passe, consentement aux règles, etc.).
Chiffrement Wep.compromis, et il est impossible de l'utiliser (même dans le cas des clés dynamiques).
Termes largement rencontrés WPAet Wpa2. Déterminez, en fait, l'algorithme de cryptage (TKIP ou AES). En raison du fait qu'il existe déjà assez longtemps que les adaptateurs clients prennent en charge WPA2 (AES), l'application de cryptage sur l'algorithme TKIP n'a aucun sens.
Différence entre WPA2 Personal et WPA2 Enterprise. C'est là que les clés de cryptage utilisés dans la mécanique des algorithmes d'AES sont extraites. Pour les applications privées (home, petites), une clé statique est utilisée (mot de passe, mot de code, PSK (clé pré-partagée)) La longueur minimale de 8 caractères spécifiée dans les paramètres du point d'accès, et tous les clients de ce réseau sans fil sont les mêmes. Le compromis d'une telle clé (le voisin a été déchiré, l'employé a été licencié, l'ordinateur portable a été volé) nécessite un changement de mot de passe immédiat dans tous les utilisateurs restants, qui est réaliste que dans le cas de leur nombre. Pour les applications corporatives, comme suit le nom, une clé dynamique est utilisée, individuelle pour chaque client de travail pour le moment. Cette clé peut périodiquement mettre à jour au cours du travail sans casser la connexion et que le composant supplémentaire est responsable de sa génération - le serveur d'autorisation, et presque toujours c'est le serveur Radius.
Tous les paramètres de sécurité possibles sont réduits dans cette tablette:
| Propriété | WEP statique. | Wep dynamique | WPA | WPA 2 (Enterprise) |
| Identification | Utilisateur, ordinateur, carte WLAN | Utilisateur, ordinateur |
Utilisateur, ordinateur |
Utilisateur, ordinateur |
| Autorisation |
Clé commune |
EAP |
EAP ou clé générale |
EAP ou clé générale |
Intégrité |
Valeur de vérification de l'intégrité 32 bits (ICV) |
ICV 32 bits |
Code d'intégrité des messages 64 bits (MIC) |
CRT / CBC-MAC (Code d'authentification de bloc de chiffrement en mode compteur - CCM) Partie des AES |
Chiffrement |
Clé statique |
Clé de la session |
Clé de fosse à travers tkip |
CCMP (AES) |
Distribution des clés |
Simple, manuellement |
Segment de clés maître paire-wise (PMK) |
Dérivé de PMK. |
Dérivé de PMK. |
Vecteur d'initialisation |
Texte, 24 bits |
Texte, 24 bits |
Vecteur avancé, 65 bits |
Numéro de paquet 48 bits (PN) |
Algorithme |
Rc4 |
Rc4 |
Rc4 |
AES. |
Longueur de la clé, mord |
64/128 |
64/128 |
128 |
jusqu'à 256. |
Infrastructure requise |
Pas |
Rayon. |
Rayon. |
Rayon. |
Si avec WPA2 Personal (WPA2 PSK), tout est clair, la solution d'entreprise nécessite une considération supplémentaire.
WPA2 Enterprise.
Nous traitons ici un ensemble supplémentaire de différents protocoles. Du côté du client, un composant spécial logiciel, Le suppliant (généralement une partie du système d'exploitation) interagit avec la partie autorisant, serveur AAA. DANS cet exemple Le fonctionnement d'un réseau radio unifié construit en points d'accès et de contrôleur léger est affiché. Dans le cas de l'utilisation de points d'accès "avec cerveaux", tout le rôle de l'intermédiaire entre les clients et le serveur peut prendre le point lui-même. Dans le même temps, les données composées du client sur la radio sont transmises à 802.1x (EAPOL) formées et allument les paquets de rayon du côté du contrôleur.
L'utilisation du mécanisme d'autorisation EAP sur votre réseau conduit au fait qu'après avoir suivi un point d'accès à l'authentification de la cliente (presque certainement ouvert) (avec le contrôleur, le cas échéant), ce dernier demande au client de se connecter (confirmant ses pouvoirs) à Le serveur de rayon d'infrastructure:
Utilisant WPA2 Enterprise. Nécessite le serveur Radius de votre réseau. À ce jour, les produits suivants sont les produits suivants:
- Server de stratégie de réseau Microsoft (NPS), ancienne IAS - configuré via MMC, gratuitement, mais vous devez acheter des fenêtres
- Cisco Secure Access Control Server (ACS) 4.2, 5.3 - configuré via l'interface Web, introduit vers la fonctionnalité, vous permet de créer des systèmes distribués et tolérants de pannes, est cher
- Freeradius. - gratuit, configuré avec des configurations de texte, pas pratique dans la gestion et la surveillance
Dans le même temps, le contrôleur surveille soigneusement l'échange d'informations d'informations et attend la réussite de l'autorisation ou du refus. Une fois avec succès, le serveur Radius est capable de passer le point d'accès options supplémentaires (Par exemple, dans lequel VLAN placez l'abonné, quoi d'attribuer une adresse IP, un profil QoS, etc.). À la fin de l'échange, le serveur Radius permet au client et à un point d'accès pour générer et échanger des touches de cryptage (individuelles, valides uniquement pour cette section):
EAP
Le protocole EAP lui-même est un conteneur, c'est-à-dire que le mécanisme d'autorisation réel est donné au dépôt de protocoles internes. Sur le actuellement Une distribution significative a reçu ce qui suit:- EAP-FAST. (Authentification flexible via un tunneling sécurisé) - Développé par Cisco; Vous permet d'autoriser le mot de passe de connexion transmis à l'intérieur du tunnel TLS entre le serveur Spacean et Radius
- EAP-TLS. Sécurité de la couche de transport). Utilise l'infrastructure clés ouvertes (PKI) pour autoriser le client et le serveur SPU et RADIUS) via des certificats émis par le Centre de certification de confiance (CA). Vous oblige à écrire et à installer des certificats clients pour chaque appareil sans filPar conséquent, seulement pour un environnement d'entreprise géré convient. Windows Certificer Server dispose d'outils permettant au client de générer indépendamment un certificat si le client est un membre de domaine. Le blocage du client est facilement retiré de son certificat (via des comptes).
- EAP-TTLS. (Sécurité de la couche de transport tunnelé) est similaire à EAP-TLS, mais le certificat client est requis lors de la création du tunnel. Dans un tel tunnel similaire à la connexion SSL du navigateur, une autorisation supplémentaire est effectuée (par mot de passe ou d'une manière ou d'une autre).
- PEP-MSCAPV2. (PAE protégé) - similaire à EAP-TTLS en termes d'établissement initial du tunnel crypté TLS entre le client et le serveur nécessitant le certificat de serveur. À l'avenir, dans un tel tunnel, il y a une autorisation sur le protocole bien connu MSCCAPV2.
- PEP-GTC. (Carte de jeton générique) - semblable au précédent, mais nécessite des cartes de mots de passe jetables (et l'infrastructure correspondante)
Toutes ces méthodes (sauf EAP-Fast) nécessitent un certificat de serveur (sur le serveur Radius) écrit par le centre de certification (CA). Dans le même temps, le certificat CA lui-même devrait être présent sur le périphérique du client dans un groupe de confiance (qui n'est pas difficile à mettre en œuvre la stratégie de groupe sous Windows). De plus, EAP-TLS nécessite un certificat de clientèle individuel. L'authentification client est effectuée comme signature numériqueAinsi (facultatif) comparé au certificat Radius-Server fourni par le client avec le fait que le serveur est extrait de l'infrastructure PKI (Active Directory).
La prise en charge de l'une des méthodes EAP doit être fournie par un composé du côté du client. La norme intégrée dans Windows XP / Vista / 7, iOS, Android fournit au moins EAP-TLS et EAP-MSCAPV2, qui provoque la popularité de ces méthodes. Intel Client Adaptateurs sous Windows vient l'utilitaire Proset, en développant la liste disponible. Cela rend Cisco Anyconnect Client.
À quel point il est fiable
À la fin, de quoi avez-vous besoin d'un attaquant pour pirater votre réseau?Pour une authentification ouverte, aucun cryptage - rien. Connecté au réseau, et c'est tout. Puisque la radio est ouverte, le signal s'étend à différents côtés, Bloquez ce n'est pas facile. Si vous disposez des adaptateurs clients appropriés qui vous permettent d'écouter l'air, le trafic réseau est visible comme si l'attaquant connecté au fil, dans un moyeu, dans le port de l'interrupteur de l'interrupteur.
Pour le cryptage basé sur WEP, seul le temps est nécessaire pour buste IV et l'un des nombreux utilitaires de numérisation disponibles librement disponibles.
Pour le cryptage basé sur le déchiffrement direct TKIP ou AES est possible en théorie, mais dans la pratique, le piratage n'a pas rencontré.
Bien sûr, vous pouvez essayer de choisir la clé PSK ou le mot de passe de l'une des méthodes EAP. Les attaques communes sur ces méthodes ne sont pas connues. Vous pouvez essayer d'appliquer des méthodes d'ingénierie sociale, ou
Un problème grave pour tous les réseaux locaux sans fil (et, le cas échéant, tous les réseaux locaux câblés) est la sécurité. La sécurité ici est aussi importante que pour tout réseau d'utilisateurs. La sécurité est une question difficile et nécessite une attention constante. Un énorme préjudice peut être appliqué à l'utilisateur en raison du fait qu'il utilise un point chaud aléatoire (point chaud) ou des points ouverts. accès Wi-Fi à la maison ou au bureau et n'utilise pas de cryptage ou de VPN (réseau privé virtuel - virtuel réseau privé). Il est dangereux du fait que l'utilisateur introduit ses données personnelles ou professionnelles et que le réseau n'est pas protégé d'une invasion étranger.
Wep.
Il était à l'origine difficile pour assurer une sécurité appropriée pour les réseaux locaux sans fil.
Les pirates sont facilement connectés à presque tout réseau WiFi piratage de telles versions initiales de systèmes de sécurité telles que la confidentialité équivalente câblée (WEP). Ces événements ont quitté leur piste et certaines entreprises ont été mises en œuvre à contrecoeur ou n'ont pas introduit leurs propres réseaux sans fil, craignant que les données transmises entre le sans fil Appareils WiFi Et les points d'accès Wi-Fi peuvent être interceptés et déchiffrés. Ainsi, ce modèle de sécurité a ralenti le processus d'intégration des réseaux sans fil dans les entreprises et les utilisateurs forcés d'être nerveux à l'aide du réseau Home WiFi. Ensuite, l'Institut IEEE a créé groupe de travail 802.11i, qui a travaillé sur la création d'un modèle de sécurité complet pour fournir un cryptage AES 128 bits et une authentification pour protéger les données. Wi-Fi Alliance a présenté sa propre version intermédiaire de cette spécification de sécurité 802.11i: accès protégé par le Wi-Fi (accès protégé Wi-Fi Wi-Fi). Le module WPA combine plusieurs technologies pour résoudre les problèmes de la vulnérabilité du système WEP 802.11. Ainsi, WPA fournit une authentification fiable de l'utilisateur à l'aide des normes 802.1X (authentification mutuelle et encapsulation de données transmises entre les périphériques clients sans fil, les points d'accès et le serveur) et un protocole d'authentification extensible (PAE).
Le principe de fonctionnement des systèmes de sécurité est représenté schématiquement à la figure 1
En outre, WPA est équipé d'un module temporaire pour le cryptage WEP Moteur Media 128 - cryptage de bits clés et utilise le protocole d'intégrité clé (TKIP). A Utilisation du message Checksum (MIC) est empêché en modifiant ou en formatant des paquets de données. Une telle combinaison de technologie protège la confidentialité et l'intégrité du transfert de données et garantit la sécurité en contrôlant l'accès, de sorte que seuls les utilisateurs autorisés reçoivent un accès au réseau.
WPA
D'autres améliorations et contrôle d'accès WPA sont de créer un nouveau maître clé unique pour l'interaction entre chaque utilisateur. Équipement sans fil et points d'accès et fournissant la session d'authentification. Et aussi, dans la création d'un générateur de clé aléatoire et dans le processus de formation d'une clé pour chaque emballage.
Dans IEEE, Standard 802.11i, ratifié en juin 2004, élargissant considérablement de nombreuses possibilités grâce à la technologie WPA. Wi-Fi Alliance a renforcé son module de sécurité dans le programme WPA2. Ainsi, le niveau de sécurité données WiFi Standard 802.11 est allé au niveau souhaité pour introduire des solutions et des technologies sans fil dans les entreprises. L'un des changements importants 802.11i (WPA2) par rapport à la WPA est l'utilisation d'une norme de cryptage prolongée de 128 bits (AES). WPA2 AES utilise dans la lutte contre le mode CBC-MAC (mode de fonctionnement pour un bloc de chiffrement qui permet à une touche d'utiliser à la fois pour le cryptage et l'authentification) afin d'assurer la confidentialité des données, de l'authentification, de la protection de l'intégrité et de la lecture. Dans la norme 802.11I, la mise en cache de clé et la pré-authentification sont également disponibles pour rationaliser les utilisateurs par des points d'accès.
Wpa2.
Avec la norme 802.11I, l'ensemble de la chaîne de module de sécurité (connexion, échange de données de capital, authentification et cryptage de données) devient plus fiable et protection efficace Des attaques non directionnelles et ciblées. Le système WPA2 permet à l'administrateur du réseau Wi-Fi de passer de problèmes de sécurité pour gérer les opérations et les périphériques.
Standard 802.11R est une modification de la norme 802.11i. Cette norme a été ratifiée en juillet 2008. La technologie technologique transfère plus rapidement et de manière fiable des hiérarchies clés basées sur la technologie de transfert (transmission de la commande) tout en déplaçant l'utilisateur entre les points d'accès. Standard 802.11R est une normes WiFi entièrement compatibles 802.11A / B / G / N.
Il existe également une norme 802.11W, conçue pour améliorer le mécanisme de sécurité basé sur 802.11i. Cette norme est conçue pour protéger les paquets de contrôle.
Normes 802.11i et 802.11W - Mécanismes de protection du réseau WiFi 802.11n Normes.
Cryptage des fichiers et des dossiers dans Windows 7
La fonction de cryptage vous permet de chiffrer des fichiers et des dossiers qui seront ultérieurement impossibles à lire sur un autre périphérique sans une clé spéciale. Une telle opportunité est présente dans de telles versions du packagewindows 7 comme professionnelle, entreprise ou ultime. Suivant sera couvert par des moyens d'activer le cryptage et les dossiers de fichier.
Activer le cryptage du fichier:
Démarrer -\u003e Ordinateur (Sélectionnez un fichier pour cryptage) -\u003e bouton de droite File-\u003e Propriétés-\u003e Avancé (onglet Général) -\u003e Attributs supplémentaires -\u003e Placez le marqueur dans l'élément de cryptage pour protéger le contenu de données-\u003e OK-\u003e Apply-\u003e OK (Sélectionnez Appliquer uniquement dans le fichier) -\u003e
Activer le cryptage du dossier:
Démarrage -\u003e Ordinateur (Sélectionnez le dossier pour le cryptage) -\u003e Bouton de souris droit sur le dossier\u003e Propriétés-\u003e Avancé (onglet Général) -\u003e Attributs supplémentaires -\u003e Mettez le marqueur dans le contenu de l'élément de cryptage pour protéger les données-\u003e OK- \u003e Appliquer-\u003e OK (sélectionnez Appliquer uniquement dans le fichier) -\u003e Fermer la boîte de dialogue Propriétés (cliquez sur OK ou Fermer).
