L'authentification Wi-Fi a échoué. Type et technologie d'authentification

Sécurité informatique

Sergueï Panasenko,
Ph.D., responsable du département développement logiciel de la société "Ankad"
[email protégé]

Types d'authentification

Comme vous le savez, dans presque tous les systèmes informatiques, une authentification est nécessaire. Au cours de cette procédure, le système informatique vérifie si l'utilisateur est bien celui qu'il prétend être. Pour accéder à un ordinateur, à Internet, au système télécommande compte bancaire etc., l'utilisateur doit prouver de façon convaincante Système d'ordinateur que « c'est la même personne » et pas n'importe qui d'autre. Pour ce faire, il doit présenter au système des informations d'authentification, sur la base desquelles le module d'authentification de ce système prend une décision de lui accorder l'accès à la ressource requise (accès autorisé / non).

Actuellement, trois types d'informations sont utilisés pour une telle vérification.

Première - séquence de caractères unique que l'utilisateur doit connaître pour s'authentifier avec succès. L'exemple le plus simple- l'authentification par mot de passe, pour laquelle il suffit de saisir votre identifiant (par exemple, login) et votre mot de passe dans le système.

Le deuxième type d'information est contenu unique ou alors caractéristiques uniques matière. L'exemple le plus simple est la clé de n'importe quelle serrure. Dans le cas de l'authentification informatique, tout support de stockage externe peut agir à ce titre : cartes à puce, iButtons, tokens USB, etc.

Et enfin, le troisième type d'authentification est par informations biométriques qui est inhérent à l'utilisateur. Cela peut être une empreinte digitale, un motif d'iris, la forme du visage, des paramètres vocaux, etc.

Très souvent, plusieurs types d'informations sont combinés pour l'authentification. Exemple type : les informations d'authentification sont stockées sur une carte à puce qui nécessite un mot de passe (PIN) pour y accéder. Cette authentification s'appelle à deux facteurs... Exister systèmes réels et avec une authentification à trois facteurs.

Dans certains cas, une authentification mutuelle est également requise - lorsque les deux participants à l'échange d'informations se vérifient mutuellement. Par exemple, avant de transférer des données importantes vers un serveur distant, l'utilisateur doit s'assurer qu'il s'agit du serveur dont il a besoin.

Authentification à distance

Dans le cas d'une authentification à distance (disons que l'utilisateur a l'intention d'accéder au serveur de courrier pour tester votre E-mail) il y a un problème de transmission des informations d'authentification sur des canaux de communication non fiables (via Internet ou réseau local). Pour garder secrètes des informations uniques, divers protocoles d'authentification sont utilisés pour la transmission sur de tels canaux. Considérons certains d'entre eux, les plus typiques pour diverses applications.

Accès par mot de passe

Le protocole d'authentification le plus simple est le Password Access Protocol (PAP) : toutes les informations concernant un utilisateur (login et mot de passe) sont transmises sur le réseau en texte clair (Fig. 1). Le mot de passe reçu par le serveur est comparé au mot de passe de référence de l'utilisateur donné, qui est stocké sur le serveur. Pour des raisons de sécurité, le serveur ne stocke souvent pas les mots de passe dans formulaire ouvert, et leurs valeurs de hachage (pour le hachage, voir "BYTE / Russia" n ° 1 "2004).

Ce schéma présente un inconvénient très important : tout attaquant capable d'intercepter des paquets réseau peut obtenir le mot de passe de l'utilisateur à l'aide d'un simple analyseur de paquets de type renifleur. Après l'avoir reçu, l'attaquant passera facilement l'authentification sous le nom du propriétaire du mot de passe.

Sur le réseau, pendant le processus d'authentification, non seulement un mot de passe peut être transmis, mais le résultat de sa transformation - disons, le même hachage de mot de passe. Malheureusement, cela n'élimine pas l'inconvénient décrit ci-dessus - un attaquant pourrait tout aussi bien intercepter le hachage du mot de passe et l'utiliser plus tard.

L'inconvénient de ce schéma d'authentification peut être considéré comme le fait que tout utilisateur potentiel du système doit d'abord s'y inscrire - au moins entrer son mot de passe pour une authentification ultérieure. Et les protocoles d'authentification plus complexes de type "challenge-response" décrits ci-après permettent, en principe, d'étendre le système à un nombre illimité d'utilisateurs sans leur enregistrement préalable.

Demande de réponse

La famille de protocoles, communément appelée challenge-réponse, comprend plusieurs protocoles qui permettent à un utilisateur de s'authentifier sans transmettre d'informations sur le réseau. Les protocoles de la famille "challenge-response" comprennent, par exemple, l'un des plus courants - le protocole d'authentification Challenge-Handshake (CHAP).

La procédure de vérification comprend au moins quatre étapes (Fig. 2) :

  • l'utilisateur envoie une demande d'accès au serveur, incluant son login ;
  • le serveur génère un nombre aléatoire et l'envoie à l'utilisateur ;
  • l'utilisateur crypte le nombre aléatoire reçu avec un algorithme de cryptage symétrique sur sa clé unique (voir, "BYTE / Russie" n° 8 "2003), le résultat du cryptage est envoyé au serveur ;
  • le serveur décrypte les informations reçues en utilisant la même clé et les compare avec le nombre aléatoire d'origine. Si les numéros correspondent, l'utilisateur est considéré comme authentifié avec succès, puisqu'il est reconnu comme le propriétaire de la clé secrète unique.

Les informations d'authentification dans ce cas sont la clé sur laquelle le cryptage est effectué nombre aléatoire... Comme vous pouvez le voir sur le diagramme d'échange, clé donnée n'est jamais transmis sur le réseau, mais ne participe qu'aux calculs, ce qui est l'avantage incontestable des protocoles de cette famille.

Le principal inconvénient de ces systèmes d'authentification est la nécessité d'avoir sur ordinateur local un module client qui effectue le cryptage. Cela signifie que, contrairement au PAP, pour accès à distance ne convient que pour le serveur requis nombre limité ordinateurs équipés d'un tel module client.

Cependant, une carte à puce ou un dispositif « portable » similaire doté d'une puissance de traitement suffisante, tel qu'un téléphone mobile, peut également servir d'ordinateur client. Dans ce cas, il est théoriquement possible de s'authentifier et d'accéder au serveur depuis n'importe quel ordinateur équipé d'un lecteur de carte à puce avec téléphone mobile ou PDA.

Les protocoles de demande-réponse peuvent être facilement étendus à un schéma d'authentification mutuelle (Figure 3). Dans ce cas, dans la demande d'authentification, l'utilisateur (étape 1) envoie son nombre aléatoire (N1). A l'étape 2, le serveur, en plus de son nombre aléatoire (N2), doit également envoyer le nombre N1, chiffré avec la clé correspondante. Puis, avant d'effectuer l'étape 3, l'utilisateur la déchiffre et vérifie : la coïncidence du numéro déchiffré avec N1 indique que le serveur possède la clé secrète requise, c'est-à-dire qu'il s'agit exactement du serveur dont l'utilisateur a besoin. Cette procédure d'authentification est souvent appelée poignée de main.

Comme vous pouvez le voir, l'authentification ne sera réussie que si l'utilisateur s'est pré-enregistré pour ce serveur et en quelque sorte échangé la clé secrète avec lui.

Notez qu'au lieu du cryptage symétrique, les protocoles de cette famille peuvent également utiliser cryptage asymétrique, et une signature numérique électronique. Dans de tels cas, le schéma d'authentification peut être facilement étendu à un nombre illimité d'utilisateurs, il suffit d'appliquer des certificats numériques au sein de l'infrastructure clés publiques(voir, "BYTE / Russie" n° 7 "2004).

Protocole Kerberos

Kerberos est flexible et capable réglage fin pour des applications spécifiques, existe en plusieurs versions. Nous examinerons un mécanisme d'authentification simplifié implémenté à l'aide du protocole Kerberos version 5 (Figure 4) :

Tout d'abord, il faut dire que lors de l'utilisation de Kerberos, vous ne pouvez accéder directement à aucun serveur cible. Pour démarrer la procédure d'authentification proprement dite, vous devez contacter un serveur d'authentification spécial avec une demande contenant le login de l'utilisateur. Si le serveur ne trouve pas l'auteur de la requête dans sa base de données, la requête est refusée. Sinon, le serveur d'authentification génère une clé aléatoire qui sera utilisée pour crypter les communications de l'utilisateur avec un autre serveur spécial du système : le Ticket-Granting Server (TGS). Cette clé aléatoire (notons-la Ku-tgs) est chiffrée par le serveur d'authentification sur la clé de l'utilisateur (Kuser) et envoyée à ce dernier. Copie supplémentaire de la clé Ku-tgs avec une ligne paramètres supplémentaires(appelé ticket) est également envoyé à l'utilisateur crypté sur une clé spéciale pour la communication entre les serveurs d'authentification et le TGS (Ktgs). L'utilisateur ne peut pas déchiffrer le ticket, qui doit être envoyé au serveur TGS lors de l'étape d'authentification suivante.

L'action suivante de l'utilisateur est une requête au TGS, contenant le nom d'utilisateur, le nom du serveur auquel vous souhaitez accéder et le même ticket pour le TGS. De plus, la requête contient toujours l'horodatage actuel, chiffré sur la clé Ku-tgs. L'horodatage est nécessaire pour empêcher les attaques effectuées en rejouant les requêtes précédentes interceptées au serveur. Nous soulignons que l'heure système de tous les ordinateurs participant à l'authentification Kerberos doit être strictement synchronisée.

Si le ticket est vérifié avec succès, le serveur TGS génère une autre clé aléatoire pour crypter les sessions de communication entre l'utilisateur souhaitant accéder et le serveur cible (Ku-serv). Cette clé est chiffrée sur la clé Kuser et envoyée à l'utilisateur. De plus, à l'instar de l'étape 2, une copie de la clé Ku-serv et des paramètres d'authentification requis pour le serveur cible (ticket d'accès au serveur cible) sont envoyées à l'utilisateur sous forme cryptée (sur la clé de communication entre TGS et le serveur cible - Kserv).

L'utilisateur doit maintenant envoyer le ticket reçu à l'étape précédente au serveur cible, ainsi que l'horodatage chiffré sur la clé Ku-serv. Après avoir vérifié avec succès le ticket, l'utilisateur est finalement considéré comme authentifié et peut échanger des informations avec le serveur cible. La clé Ku-serv, unique pour une session de communication donnée, est souvent utilisée pour crypter les données envoyées dans cette session.

Tout système peut avoir plusieurs serveurs cibles. Si l'utilisateur a besoin d'accéder à plusieurs d'entre eux, il forme à nouveau des requêtes auprès du serveur TGS - autant de fois qu'il a besoin de serveurs pour fonctionner. Le serveur TGS génère une nouvelle clé Ku-serv aléatoire pour chacune de ces requêtes, c'est-à-dire que toutes les sessions de communication avec différents serveurs cibles sont protégées avec des clés différentes.

La procédure d'authentification Kerberos semble assez compliquée. Cependant, n'oubliez pas que toutes les requêtes et leur cryptage les clés nécessaires exécute automatiquement le logiciel installé sur l'ordinateur local de l'utilisateur. Dans le même temps, la nécessité d'installer un logiciel client assez complexe est un inconvénient incontestable. de ce protocole... Cependant, aujourd'hui, la prise en charge de Kerberos est intégrée aux systèmes d'exploitation Windows les plus courants, à commencer par Windows 2000, ce qui élimine cet inconvénient.

Le deuxième inconvénient est la nécessité de plusieurs serveurs spéciaux (au moins deux autres, le serveur d'authentification et le TGS, donnent accès au serveur cible). Cependant, dans les systèmes avec un petit nombre d'utilisateurs, les trois serveurs (authentification, TGS et cible) peuvent être physiquement co-localisés sur le même ordinateur.

Dans le même temps, il convient de souligner que le serveur d'authentification et le TGS doivent être protégés de manière fiable contre les accès non autorisés par des intrus. En théorie, un attaquant accédant à un TGS ou à un serveur d'authentification pourrait interférer avec le processus de génération de clés aléatoires ou obtenir les clés de tous les utilisateurs et donc initier des communications avec n'importe quel serveur cible au nom de n'importe quel utilisateur légitime.

* * *

Le choix de tel ou tel protocole dépend principalement de l'importance de l'information dont l'accès est assuré en fonction des résultats de l'authentification. Un autre critère est la convivialité. Ici comme ailleurs, il est utile de maintenir un équilibre raisonnable. Parfois, s'il n'y a pas d'exigences particulières pour le secret de la procédure d'authentification, au lieu d'un protocole fiable (mais difficile à mettre en œuvre) comme Kerberos, il est préférable d'utiliser le protocole de mot de passe "élémentaire" PAP, dont la simplicité et la convivialité sont souvent l'emportent sur tous ses inconvénients.

Lors de la connexion à un réseau WiFi, une erreur d'authentification se produit - c'est un problème très courant. C'est pourquoi il est si important de comprendre pourquoi il apparaît et comment l'éliminer. Mais avant de passer aux paramètres réseau et au dépannage, vous devez comprendre ce qu'est l'authentification. Cela vous permettra de comprendre pourquoi erreur donnée et comment l'éliminer rapidement et définitivement.

Qu'est-ce que l'authentification

C'est un système de sécurité sans fil qui empêche les étrangers de se connecter à votre groupe. Il existe aujourd'hui plusieurs types d'authentification. Vous pouvez choisir l'option la plus appropriée dans les paramètres du routeur ou du point d'accès utilisé pour créer réseau domestique... En règle générale, de nos jours, le type de cryptage (authentification) WPA-PSKWPA2-PSK2 mixte est utilisé.

C'est le type de cryptage de données le plus sécurisé et il est très difficile à casser ou à contourner. Cependant, il peut également être divisé en deux types. Par exemple, à la maison, une variante avec une phrase clé est utilisée pour tous les abonnés. L'utilisateur installe lui-même la clé, qui est ensuite nécessaire pour se connecter au réseau.

Le deuxième type de cryptage est utilisé dans les organisations qui nécessitent un niveau de protection accru. Dans ce cas, chaque abonné de confiance se voit attribuer une phrase secrète unique. C'est-à-dire que vous ne pouvez entrer dans le groupe qu'à partir de votre ordinateur et seulement après avoir entré une clé unique. Dans la grande majorité des cas, une erreur d'authentification s'est produite lors de la connexion à Réseaux Wi-Fi se produit précisément en cas de non-concordance entre les types de cryptage et la phrase secrète saisie.

Pourquoi une erreur d'authentification WiFi se produit : vidéo

Pourquoi les échecs d'authentification apparaissent et comment y remédier

Comme mentionné ci-dessus, si, lors de la connexion à un réseau WiFi, le système écrit "Erreur d'authentification", il convient tout d'abord de vérifier l'orthographe correcte phrase clé et si le verrouillage des majuscules est activé. , alors il peut être vérifié dans les paramètres du routeur. Mais pour cela, vous devez vous y connecter avec un câble.

Voyons comment trouver le mot de passe en utilisant l'exemple du routeur D-LinkDir-615. Après vous être connecté à l'appareil, ouvrez votre navigateur préféré et notez l'adresse IP du routeur dans la barre d'adresse. Vous pouvez le découvrir dans les instructions ou sur le boîtier de l'appareil lui-même (examinez-le attentivement sous tous les côtés).

Comment trouver facilement l'adresse IP d'un routeur WiFi : Vidéo

Vous pouvez également connaître l'adresse IP du routeur en utilisant ligne de commande... Appuyez sur la combinaison de touches Windows + R, écrivez CMD et appuyez sur "Entrée". Dans la fenêtre qui apparaît, écrivez la commande ipconfig. Trouvez la ligne "Passerelle par défaut" - c'est l'adresse dont nous avons besoin.

Écrivez-le dans la barre d'adresse de votre navigateur et appuyez sur "Entrée". Ensuite, le système vous demandera d'entrer votre nom d'utilisateur et votre mot de passe. Nous écrivons respectivement admin, admin.

Maintenant, en bas de l'écran, recherchez et cliquez sur le bouton "Paramètres avancés". Plusieurs fenêtres supplémentaires apparaîtront. Nous sommes intéressés par la section intitulée "WiFi". Vous devez y trouver les paramètres de sécurité. C'est ici que vous pouvez sélectionner le type d'authentification (cryptage) et modifier le mot de passe.

Connexion à un routeur WiFi sous Windows 8 : Vidéo

Parfois, le problème d'authentification lors de la connexion de l'ordinateur au WiFi apparaît même avec la bonne clé entrée. Cela peut signifier que le routeur est tombé en panne ou qu'il se bloque. Ceci est éliminé en redémarrant simplement l'appareil. Cela peut être fait dans les paramètres ou déconnexion simple nourriture pendant 7 à 10 minutes.

Vous devez également vérifier le canal sur lequel le routeur fonctionne. Pour ce faire, retournez au menu démarrer. Dans la section WiFi, cliquez sur "Paramètres de base" et recherchez la ligne "Channel". Il est recommandé de définir la valeur sur "Automatique".

Il existe également des cas où une telle erreur apparaît non pas en raison d'un dysfonctionnement du routeur et non en raison d'une clé mal saisie. Dans ce cas, vérifiez les paramètres du système d'exploitation.

Vérification du système d'exploitation en cas d'échec d'authentification

Pour se connecter à réseau sans fil l'ordinateur utilise un adaptateur wi-fi. C'est à cause de son dysfonctionnement que des problèmes d'authentification du réseau WiFi peuvent apparaître. Tout d'abord, vous devez vérifier la présence et le bon fonctionnement des pilotes. Cela se fait dans le gestionnaire de périphériques, qui peut être démarré comme suit. Trouvez le raccourci "Poste de travail" et cliquez dessus clic-droit souris.

Sélectionnez « Propriétés » et ouvrez « Gestionnaire de périphériques ». Vous pouvez également appuyer simultanément sur deux touches - Windows + R, dans la fenêtre qui apparaît, écrivez mmc devmgmt.msc et appuyez sur "Entrée". Dans la fenêtre qui apparaît, on s'intéresse à " Adaptateurs réseau". Ouvrez la branche et voyez si votre module WiFi est dans la liste. En règle générale, le nom a Réseau sans fil Adaptateur. Si l'appareil est marqué point d'exclamation, les pilotes ne fonctionnent pas correctement.

Combien cela coûte-t-il d'écrire votre travail?

Sélectionnez le type de travail Travail de fin d'études(licence / spécialisation) Partie de la thèse Maîtrise Cours avec pratique Théorie du cours Résumé Essai Test Tâches Travaux de certification (VAR / WRC) Business plan Questions pour l'examen Diplôme MBA Thèse (collège / école technique) Autres cas Travail de laboratoire, RGR Aide en ligne Rapport de pratique Recherche d'informations Présentation PowerPoint Essai de troisième cycle Matériel d'accompagnement du diplôme Article Dessins d'essai plus »

Merci, un email vous a été envoyé. Vérifier votre courrier.

Vous voulez un code promo pour une remise de 15% ?

Recevoir des SMS
avec code promo

Avec succès!

?Fournissez le code promotionnel lors d'une conversation avec le responsable.
Le code promo peut être appliqué une seule fois lors de la première commande.
Type de travail du code promo - " travail de fin d'études".

Sécurité sans fil

Demande d'identification du client (demande EAP / message d'identité). L'authentificateur peut envoyer une demande EAP de lui-même s'il constate que l'un de ses ports est devenu actif.

En réponse, le client envoie un paquet de réponse EAP avec les données requises, que le point d'accès (authentificateur) redirige vers le serveur Radius (serveur d'authentification).

Le serveur d'authentification envoie un paquet challenge (demande d'informations sur l'authenticité du client) à l'authentificateur (point d'accès). L'authentificateur le transmet au client.

Ensuite, le processus d'identification mutuelle du serveur et du client a lieu. Le nombre d'étapes aller-retour pour le transfert de paquets varie en fonction de la méthode EAP, mais pour les réseaux sans fil, seule l'authentification « forte » avec l'authentification client-serveur mutuelle (EAP-TLS, EAP-TTLS, EAP-PEAP) et le pré-chiffrement de le canal de communication est acceptable.

A l'étape suivante, le serveur d'authentification, ayant reçu les informations nécessaires du client, autorise (accepte) ou refuse (refuse) cet accès, en envoyant ce message à l'authentificateur. L'authentificateur (point d'accès) ouvre le port pour le Supplicant si une réponse positive (Accepter) est reçue du serveur RADIUS.

Le port est ouvert, l'authentificateur envoie un message de réussite au client et le client accède au réseau.

Après avoir déconnecté le client, le port du point d'accès passe à nouveau à l'état "fermé".

Les paquets EAPOL sont utilisés pour la communication entre le client (suppliant) et le point d'accès (authentificateur). Le protocole RADIUS permet d'échanger des informations entre un authentificateur (point d'accès) et un serveur RADIUS (serveur d'authentification). Lorsque les informations sont en transit entre le client et le serveur d'authentification, les paquets EAP sont reconditionnés d'un format à un autre sur l'authentificateur.


Types d'authentification

Type de méthode d'authentification qui utilise EAP et un protocole de sécurité appelé Transport Layer Security (TLS). EAP-TLS utilise des certificats basés sur un mot de passe. L'authentification EAP-TLS prend en charge la gestion dynamique des clés WEP. TLS est requis pour sécuriser et authentifier les communications sur les réseaux publics en cryptant les données. Le protocole d'établissement de liaison TLS permet au client et au serveur de s'authentifier mutuellement et de générer un algorithme et des clés de chiffrement avant d'envoyer des données.

Ces paramètres définissent le protocole et les informations d'identification utilisés pour authentifier l'utilisateur. Dans l'authentification TTLS (Tunneled Transport Layer Security), le client utilise EAP-TLS pour authentifier le serveur et créer un canal crypté TLS entre le serveur et le client. Le client peut utiliser un protocole d'authentification différent. En règle générale, les protocoles basés sur des mots de passe sont utilisés sur un canal crypté TLS sécurisé et non déclaré. TTLS prend actuellement en charge toutes les méthodes EAP ainsi que certaines méthodes plus anciennes (PAP, CHAP, MS-CHAP et MS-CHAP-V2). TTLS est facilement extensible pour gérer de nouveaux protocoles en définissant de nouveaux attributs pour décrire de nouveaux protocoles.

PEAP est une nouvelle norme IEEE 802.1X EAP (Extensible Authentication Protocol - EAP) conçue pour améliorer la sécurité de la couche de transport EAP (EAP-TLS) et prendre en charge diverses méthodes d'authentification, notamment les mots de passe utilisateur, les mots de passe à usage unique et les cartes d'accès ( Cartes à jetons génériques).

La version du protocole d'authentification extensible (EAP). LEAP (Light Extensible Authentication Protocol) est un protocole d'authentification extensible spécial développé par Cisco qui est chargé de fournir une authentification challenge/réponse et une attribution dynamique de clé.

EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) est un mécanisme d'authentification et de distribution des clés de session. Il utilise le module d'identité d'abonné (SIM) du Global System for Mobile Communications (GSM). L'authentification EAP-SIM utilise une clé WEP dynamique, spécifique à la session, obtenue pour chiffrer les données de l'adaptateur client ou du serveur RADIUS. EAP-SIM nécessite un code de vérification utilisateur spécial ou un code PIN pour permettre l'interaction avec la carte SIM (Subscriber Identity Module). Une carte SIM est une carte à puce spéciale utilisée dans les réseaux numériques sans fil de la norme GSM (Global System for Mobile Communications). Le protocole EAP-SIM est décrit dans la RFC 4186.

EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) est un mécanisme EAP utilisé pour l'authentification et la session de distribution de clés utilisé par un abonné USIM (Subscriber Identity Module) au système universel de télécommunications mobiles (UMTS). Une carte USIM est une carte à puce spéciale conçue pour authentifier les utilisateurs sur les réseaux cellulaires.

Protocoles d'authentification

Le protocole d'authentification par mot de passe (PAP) est un protocole d'établissement de liaison bidirectionnel à utiliser avec PPP. PAP est le mot de passe en texte brut utilisé dans les systèmes SLIP antérieurs. Il n'est pas protégé. Ce protocole n'est disponible que pour le type d'authentification TTLS.

CHAP (Challenge Handshake Authentication Protocol) est un protocole d'établissement de liaison à trois voies qui offre une meilleure sécurité que le protocole d'authentification par mot de passe (PAP). Ce protocole n'est disponible que pour le type d'authentification TTLS.

MS-CHAP (MD4)

Utilise la version Microsoft de RSA Message Digest 4. Fonctionne uniquement dans les systèmes Microsoft et permet le cryptage des données. La sélection de cette méthode d'authentification entraînera le cryptage de toutes les données transmises. Ce protocole n'est disponible que pour le type d'authentification TTLS.

MS-CHAP-V2

Fournit une option supplémentaire pour modifier le mot de passe non disponible avec l'authentification MS-CHAP-V1 ou CHAP standard. Cette fonctionnalité permet au client de modifier le mot de passe d'un compte si le serveur RADIUS annonce que le mot de passe a expiré. Ce protocole n'est disponible que pour les types d'authentification TTLS et PEAP.

GTC (Generic Token Card)

Offre l'utilisation de cartes personnalisées spéciales pour l'authentification. La fonction principale est basée sur l'authentification par certificat numérique / carte spéciale dans GTC. En outre, GTC a la possibilité de masquer les informations d'identification des utilisateurs lors de l'utilisation d'un tunnel TLS crypté, ce qui offre une confidentialité supplémentaire basée sur la non-diffusion des noms d'utilisateur au stade de l'authentification. Ce protocole n'est disponible que pour le type d'authentification PEAP.

TLS est requis pour sécuriser et authentifier les communications sur les réseaux publics en cryptant les données. Le protocole d'établissement de liaison TLS permet au client et au serveur de s'authentifier mutuellement et de générer un algorithme et des clés de chiffrement avant d'envoyer des données. Ce protocole n'est disponible que pour le type d'authentification PEAP.

Fonctions Cisco.

Cisco LEAP.

Cisco LEAP (Cisco Light EAP) est une authentification de serveur et de client 802.1X avec un mot de passe fourni par l'utilisateur. Lorsqu'un point d'accès sans fil interagit avec un serveur RADIUS compatible Cisco LEAP (Cisco Secure Access Control Server), Cisco LEAP met en œuvre un contrôle d'accès via une authentification mutuelle entre les adaptateurs WiFi clients et le réseau, et fournit des clés de chiffrement utilisateur dynamiques et individuelles pour protéger le confidentialité des données transmises. ...

Fonctionnalité de sécurité du point d'accès Cisco Rogue.


Le Cisco Rogue AP protège contre les tentatives d'accès par un point d'accès faux ou invalide qui peut simuler un point d'accès réel sur le réseau pour obtenir les identités des utilisateurs et les protocoles d'authentification, compromettant ainsi l'intégrité de la sécurité du réseau. Cette fonctionnalité ne fonctionne que dans l'environnement d'authentification Cisco LEAP. La technologie 802.11 ne protège pas le réseau contre les accès non autorisés par des points d'accès malveillants. Pour plus d'informations, consultez Authentification LEAP.


Protocole de sécurité dans les environnements mixtes 802.11b et 802.11g.


Un mode de fonctionnement où certains points d'accès, tels que Cisco 350 ou Cisco 1200, prennent en charge des environnements dans lesquels toutes les stations clientes ne prennent pas en charge le cryptage WEP s'appelle Mixed-Cell. Lorsque certains réseaux sans fil fonctionnent en mode "cryptage sélectif", les stations clientes connectées au réseau à l'aide du cryptage WEP envoient tous les messages cryptés et les stations connectées au réseau en mode standard envoient tous les messages non cryptés. Ces points d'accès envoient des diffusions non cryptées, mais permettent aux clients d'utiliser le cryptage WEP. Lorsque le "mode mixte" est activé dans un profil, vous pouvez vous connecter à un point d'accès configuré pour le "chiffrement supplémentaire".

Cisco Key Integrity Protocol (CKIP) est le protocole de sécurité propriétaire de Cisco pour le cryptage dans les environnements 802.11. CKIP utilise les fonctionnalités suivantes pour améliorer la sécurité 802.11 en mode infrastructure :

Itinérance rapide (CCKM)


Lorsque le WLAN est configuré pour une reconnexion rapide, un client compatible LEAP peut se déplacer d'un point d'accès à un autre sans l'intervention du serveur principal. À l'aide de la gestion centralisée des clés de Cisco (CCKM), un point d'accès configuré pour fournir des services de domaine sans fil (WDS) remplace le serveur RADIUS et authentifie le client sans les retards importants possibles pour la voix ou d'autres applications temporelles dépendantes.

Contrôle radio


Lorsqu'il est activé, l'adaptateur WiFi fournit des informations de gestion radio pour le mode infrastructure Cisco. Si Cisco Radio Management est utilisé sur l'infrastructure, il configure les paramètres radio, les niveaux d'interférence et les points d'accès non autorisés.

EAP-RAPIDE

EAP-FAST, comme EAP-TTLS et PEAP, utilise le tunneling pour protéger le trafic réseau. La principale différence est qu'EAP-FAST n'utilise pas de certificats pour l'authentification. L'authentification EAP-FAST est la seule communication initiée par le client lorsque l'authentification EAP-FAST est demandée par le serveur. Si le client ne dispose pas d'une clé PAC (Protected Access Credential) prépubliée, il peut demander un échange d'authentification EAP-FAST pour obtenir dynamiquement la clé du serveur.

EAP-FAST propose deux méthodes de livraison de clés PAC : livraison manuelle à l'aide d'un mécanisme hors bande et connexion automatique.

Les mécanismes de livraison sont représentés manuellement par la méthode de transmission la plus sécurisée et choisie par l'administrateur.

La connexion automatique est un canal chiffré par tunnel qui est requis pour fournir une authentification client sécurisée et fournir le PAC au client. Ce mécanisme n'est pas aussi sécurisé que l'authentification manuelle, mais est plus sécurisé que l'authentification LEAP.

La méthode EAP-FAST peut être divisée en deux parties : la connexion et l'authentification. La phase d'ouverture de session correspond à la livraison initiale du PAC au client. Le client et l'utilisateur n'ont besoin de cette partie qu'une seule fois.


Chiffrement


Un examen détaillé des algorithmes de chiffrement, ainsi que des méthodes de génération de clés de chiffrement de session, dépasse peut-être le cadre de ce document, je ne les considérerai donc que brièvement.

L'authentification initiale est effectuée sur la base de données communes que le client et le serveur d'authentification connaissent (telles que login / mot de passe, certificat, etc.) - à ce stade, la clé principale est générée. À l'aide de la clé principale, le serveur d'authentification et le client génèrent une clé principale par paire, qui est transmise à l'authentificateur du côté du serveur d'authentification. Et sur la base de la Pairwise Master Key, toutes les autres clés dynamiques sont générées, ce qui ferme le trafic transmis. Il convient de noter que la clé principale par paire elle-même est également sujette à des changements dynamiques.

Malgré le fait que le prédécesseur du WPA, le protocole WEP, ne disposait d'aucun mécanisme d'authentification, le caractère inapproprié du WEP réside dans la faiblesse cryptographique de l'algorithme de cryptage, le problème clé du WEP réside dans des clés trop similaires pour différents paquets de données. .

Les parties TKIP, MIC et 802.1X de l'équation WPA jouent un rôle dans l'amélioration du cryptage des données sur les réseaux compatibles WPA :

TKIP augmente la taille de la clé de 40 à 128 bits et remplace une clé WEP statique par des clés qui sont automatiquement générées et distribuées par le serveur d'authentification. TKIP utilise une hiérarchie de clés et une méthodologie de gestion des clés qui suppriment la prévisibilité que les attaquants utilisaient pour supprimer la protection par clé WEP.

Pour ce faire, TKIP s'appuie sur le framework 802.1X/EAP. Le serveur d'authentification, après avoir accepté les informations d'identification de l'utilisateur, utilise 802.1X pour générer une clé principale unique (bidirectionnelle) pour une session donnée. TKIP transmet cette clé au client et au point d'accès, puis configure la hiérarchie des clés et le système de gestion à l'aide d'une clé bidirectionnelle pour générer dynamiquement des clés de cryptage de données qui sont utilisées pour crypter chaque paquet de données envoyé sur le réseau sans fil pendant un session de l'utilisateur. La hiérarchie des clés TKIP remplace une clé WEP statique par environ 500 milliards de clés possibles qui seront utilisées pour chiffrer un paquet de données donné.

Le contrôle d'intégrité des messages (MIC) est conçu pour empêcher la capture, la modification et le renvoi des paquets de données. MIC est construit autour d'une puissante fonction mathématique que l'expéditeur et le destinataire utilisent et comparent ensuite le résultat. S'il ne correspond pas, les données sont considérées comme fausses et le paquet est rejeté.

En augmentant considérablement la taille des clés et le nombre de clés utilisées, et en créant un mécanisme de contrôle d'intégrité, TKIP multiplie la complexité du décodage des données sur un réseau sans fil. TKIP augmente considérablement la force et la complexité du cryptage sans fil, rendant le processus de pénétration d'un réseau sans fil beaucoup plus difficile, voire impossible.

Il est important de noter que les mécanismes de cryptage utilisés pour WPA et WPA-PSK sont les mêmes. La seule différence entre WPA-PSK est que l'authentification est effectuée à l'aide d'un mot de passe, et non des informations d'identification d'un utilisateur. Certains remarqueront probablement que l'approche par mot de passe rend WPA-PSK vulnérable aux attaques par force brute, et à certains égards, ils auront raison. Mais nous tenons à souligner que WPA-PSK supprime la confusion avec les clés WEP en les remplaçant par un système de mot de passe alphanumérique cohérent et clair. Robert Moskowitz d'ICSA Labs a découvert que la phrase secrète WPA pouvait être piratée. En effet, un pirate peut forcer le point d'accès à régénérer l'échange de clés en moins de 60 secondes. Et même si l'échange de clés est suffisamment sécurisé pour un piratage instantané, il peut être enregistré et utilisé pour des attaques par force brute hors ligne. un autre problème est que l'EAP transmet les données en texte clair. Initialement, Transport Layer Security (TLS) était utilisé pour chiffrer les sessions EAP, mais un certificat est requis pour qu'il fonctionne sur chaque client. TTLS a quelque peu corrigé ce problème. Ici, à partir du Service Pack 2, lorsque vous travaillez avec des réseaux sans fil, il permet l'utilisation de l'authentification par nom d'utilisateur / mot de passe (c'est-à-dire PEAP) et de l'authentification par certificat numérique (EAP-TLS).


Piratage d'un réseau sans fil WPA


Malheureusement, même le protocole n'est pas si sûr. La procédure de piratage des réseaux avec le protocole WPA n'est pas très différente de la procédure de piratage des réseaux avec le protocole WEP dont nous avons déjà parlé.

À la première étape, le même renifleur d'airodump est utilisé. Cependant, il y a deux points importants à considérer ici. Premièrement, il est nécessaire d'utiliser le fichier cap comme fichier de sortie, pas le fichier ivs. Pour ce faire, dans la configuration de l'utilitaire airodump, nous répondons "non" à la dernière question - N'écrivez que des IV WEP (y/n).

Deuxièmement, dans le fichier cap, il est nécessaire de capturer la procédure même d'initialisation du client sur le réseau, c'est-à-dire que vous devrez vous mettre en embuscade avec le programme airodump en cours d'exécution. Si un système Linux est utilisé, alors une attaque peut être menée qui forcera la procédure de réinitialisation des clients du réseau, mais un tel programme n'est pas prévu sous Windows.

Une fois la procédure d'initialisation du client réseau capturée dans le fichier cap, vous pouvez arrêter le programme airodump et démarrer le processus de décryptage. En effet, il n'est pas nécessaire d'accumuler les paquets interceptés dans ce cas, puisque seuls les paquets transmis entre le point d'accès et le client lors de l'initialisation sont utilisés pour calculer la clé secrète.

Pour analyser les informations reçues, le même utilitaire aircrack est utilisé, mais avec des paramètres de lancement légèrement différents. De plus, un autre élément important devra être installé dans le répertoire avec le programme aircrack - le dictionnaire. Ces dictionnaires spécialisés peuvent être trouvés sur Internet.

Après cela, lancez le programme aircrack à partir de la ligne de commande, en spécifiant le fichier cap (par exemple, out.cap) et le nom du dictionnaire (le paramètre -w all, où all est le nom du dictionnaire) comme fichier de sortie .

Le programme de force brute de dictionnaire est très gourmand en processeur, et si vous utilisez un PC à faible consommation, cette procédure prendra beaucoup de temps. Si un puissant serveur multiprocesseur ou un PC basé sur un processeur dual-core est utilisé à cette fin, le nombre de processeurs utilisés peut être spécifié en option. Par exemple, si vous utilisez un processeur Intel Pentium Extreme Edition 955 bicœur prenant en charge la technologie Hyper-Threading (quatre cœurs de processeur logiques) et spécifiez l'option -p 4 dans les paramètres de démarrage du programme, cela permettra d'utiliser les quatre cœurs de processeur logiques. cœurs de processeur (chaque cœur étant recyclé à 100 %), il faudra alors environ une heure et demie pour trouver la clé secrète.

Ceci, bien sûr, ne prend pas quelques secondes, comme dans le cas du cryptage WEP, mais c'est aussi un bon résultat, qui démontre parfaitement que la protection WPA-PSK n'est pas absolument fiable, et que le résultat du craquage de la clé secrète n'a rien à voir avec l'algorithme de cryptage (TKIP ou AES) est utilisé sur le réseau.

Norme de sécurité WPA2


WPA2 (Wireless Protected Access ver. 2.0) est la deuxième version d'un ensemble d'algorithmes et de protocoles qui assurent la protection des données dans les réseaux Wi-Fi sans fil. WPA2 est censé améliorer considérablement la sécurité des réseaux sans fil Wi-Fi par rapport aux technologies précédentes. La nouvelle norme prévoit notamment l'utilisation obligatoire d'un algorithme de cryptage plus puissant AES (Advanced Encryption Standard) et l'authentification 802.1X.

Aujourd'hui, il est nécessaire (et obligatoire) d'utiliser des appareils et des logiciels prenant en charge WPA2 pour fournir un mécanisme de sécurité fiable dans un réseau sans fil d'entreprise. Les générations de protocoles précédentes - WEP et WPA - contiennent des éléments avec des algorithmes de sécurité et de cryptage insuffisants. De plus, des programmes et des techniques ont déjà été développés pour pirater des réseaux basés sur WEP qui peuvent être facilement téléchargés à partir d'Internet et utilisés avec succès même par des pirates novices non formés.

Les protocoles WPA2 fonctionnent selon deux modes d'authentification : personnel (Personal) et corporate (Enterprise). Dans le mode WPA2-Personnel Une PSK (clé pré-partagée) de 256 bits est générée à partir de la phrase de passe en texte clair saisie. PSK et SSID (Service Set Identifier) ​​​​sont utilisés pour générer des clés de session temporaires PTK (Pairwise Transient Key) pour la communication entre les appareils sans fil. Comme le protocole WEP statique, WPA2-Personal présente certains problèmes liés à la nécessité de distribuer et de conserver les clés sur les périphériques réseau sans fil, ce qui le rend plus adapté à une utilisation dans de petits réseaux d'une douzaine de périphériques, tandis que WPA2 est optimal pour les réseaux d'entreprise. Entreprise.

Dans le mode WPA2-Entreprise il résout les problèmes de distribution et de gestion des clés statiques et s'intègre à la plupart des services d'authentification d'entreprise pour fournir un contrôle d'accès basé sur les comptes. Ce mode nécessite des informations d'identification telles qu'un nom d'utilisateur et un mot de passe, un certificat de sécurité ou un mot de passe à usage unique, tandis que l'authentification est effectuée entre le poste de travail et le serveur d'authentification central. Le point d'accès ou le contrôleur sans fil surveille les connexions et achemine les demandes d'authentification vers le serveur d'authentification approprié (généralement un serveur RADIUS tel que Cisco ACS). WPA2-Enterprise est basé sur la norme 802.1X, qui prend en charge l'authentification des utilisateurs et des appareils pour les commutateurs filaires et les points d'accès sans fil.

Contrairement au WPA, l'algorithme de cryptage AES le plus puissant est utilisé. Semblable à WPA, WPA2 est également divisé en deux types : WPA2-PSK et WPA2-802.1x.

Fournit de nouveaux mécanismes plus fiables pour garantir l'intégrité et la confidentialité des données :

CCMP (Counter-Mode-CBC-MAC Protocol) basé sur le Counter Cipher-Block Chaining Mode (CCM) de l'algorithme de cryptage Advanced Encryption Standard (AES). Le CCM combine deux mécanismes : le compteur (CTR) pour la confidentialité et le code d'authentification de message de chaînage de blocs de chiffrement (CBC-MAC) pour l'authentification.

Wireless Robust Authentication Protocol (WRAP) basé sur le mode Offset Codebook (OCB) de l'algorithme de cryptage AES.

TKIP pour une compatibilité descendante avec le matériel hérité. Authentification mutuelle et remise de clé basée sur les protocoles IEEE 802.1x / EAP. Secure Independent Basic Service Set (IBSS) pour améliorer la sécurité sur les réseaux Ad-Hoc. Prise en charge de l'itinérance.

Contribution à la sécurité des réseaux sans fil Mécanisme CCMP et norme IEEE 802.11i. Ce dernier introduit le concept d'un réseau solidement sécurisé (Robust Security Network, RSN) et d'une connexion réseau sécurisée de manière fiable (Robust Security Network Association, RSNA), après quoi il divise tous les algorithmes en :

Algorithmes RSNA (pour créer et utiliser RSNA);

Algorithmes pré-RSNA.

Les algorithmes pré-RSNA incluent :

authentification IEEE 802.11 existante (en référence à l'authentification définie dans la norme de révision 1999).

C'est-à-dire que ces types d'algorithmes incluent l'authentification Open System avec ou sans cryptage WEP (plus précisément, aucune authentification) et Shared Key.

Les algorithmes RSNA incluent :

TKIP ; CCMP; Procédure de configuration et de terminaison RSNA (y compris l'utilisation de l'authentification IEEE 802.1x) ; procédure d'échange de clés.

Dans ce cas, l'algorithme CCMP est obligatoire et TKIP est facultatif et est conçu pour assurer la compatibilité avec les appareils plus anciens.

La norme prévoit deux modèles fonctionnels : avec l'authentification IEEE 802.1x, c'est-à-dire utilisant le protocole EAP, et utilisant une clé prédéfinie écrite sur l'authentificateur et le client (ce mode est appelé Preshared Key, PSK). Dans ce cas, le PSK joue le rôle du PMK, et la procédure ultérieure pour leur authentification et génération n'est pas différente.

Étant donné que les algorithmes de cryptage utilisant la procédure TKIP sont déjà appelés WPA et que la procédure CCMP est WPA2, on peut dire que les méthodes de cryptage qui satisfont à la RSNA sont : WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA-Personnel), WPA2-EAP (WPA2-Entreprise), WPA2-PSK (WPA2-Clé pré-partagée, WPA2-Personnel).

La procédure d'établissement de connexion et d'échange de clés est la même pour les algorithmes TKIP et CCMP. CCMP lui-même (Counter mode (CTR) with CBC-MAC (Cipher-Block Chaining (CBC) with Message Authentication Code (MAC) Protocol), comme TKIP) est conçu pour assurer la confidentialité, l'authentification, l'intégrité et la protection contre les attaques par rejeu. L'algorithme est basé sur l'algorithme de chiffrement AES CCM, qui est défini dans FIPS PUB 197. Tous les processus AES utilisés dans CCMP utilisent AES avec une clé de 128 bits et une taille de bloc de 128 bits.

La dernière innovation de la norme est la prise en charge de la technologie d'itinérance rapide entre les points d'accès à l'aide de la procédure de mise en cache PMK et de la pré-authentification.

La procédure de mise en cache PMK est que si le client a réussi l'authentification complète une fois lors de la connexion à un point d'accès, il enregistre la clé PMK qu'il a reçue, et la prochaine fois qu'il se connecte à ce point, en réponse à une demande d'authentification, le client enverra la clé PMK reçue plus tôt. Ceci termine l'authentification, c'est-à-dire que le 4-Way Handshake ne sera pas effectué.

La procédure de pré-authentification est qu'après que le client s'est connecté et authentifié sur le point d'accès, il peut simultanément (à l'avance) passer l'authentification sur d'autres points d'accès (qu'il « entend ») avec le même SSID, c'est-à-dire obtenir d'eux la clé PMK. Et si à l'avenir le point d'accès auquel il est connecté tombe en panne ou que son signal s'avère plus faible qu'un autre point portant le même nom de réseau, le client se reconnectera en utilisant un schéma rapide avec une clé PMK mise en cache.

La spécification WEP2 apparue en 2001, qui augmentait la longueur de la clé à 104 bits, ne résolvait pas le problème, puisque la longueur du vecteur d'initialisation et la méthode de contrôle de l'intégrité des données restaient les mêmes. La plupart des types d'attaques étaient tout aussi faciles à mettre en œuvre qu'auparavant.


Conclusion


En conclusion, je voudrais résumer toutes les informations et donner des recommandations pour sécuriser les réseaux sans fil.

Il existe trois mécanismes pour sécuriser un réseau sans fil : configurer le client et le point d'accès pour qu'ils utilisent le même SSID (non défini par défaut), autoriser les points d'accès à communiquer uniquement avec les clients dont les adresses MAC sont connues du point d'accès et configurer les clients pour qu'ils s'authentifient auprès du point d'accès et chiffrer le trafic. La plupart des points d'accès sont configurés pour fonctionner avec un SSID par défaut, aucune liste d'adresses MAC client autorisées et une clé partagée connue pour l'authentification et le cryptage (ou aucune authentification ou cryptage du tout). Généralement, ces paramètres sont documentés dans le système d'aide en ligne sur le site Web du fabricant. Ces options permettent à un utilisateur inexpérimenté de configurer facilement un réseau sans fil et de commencer à travailler avec, mais en même temps, elles permettent aux pirates de pénétrer plus facilement dans le réseau. Pour aggraver les choses, la plupart des points d'accès sont configurés pour diffuser le SSID. Par conséquent, un attaquant peut trouver des réseaux vulnérables en utilisant le SSID standard.

La première étape vers un réseau sans fil sécurisé consiste à modifier le SSID par défaut du point d'accès. De plus, vous devez modifier ce paramètre sur le client pour communiquer avec le point d'accès. Il est pratique d'attribuer un SSID significatif pour l'administrateur et les utilisateurs de l'entreprise, mais qui n'identifie pas clairement le réseau sans fil parmi les autres SSID interceptés par des personnes non autorisées.

L'étape suivante consiste à bloquer les diffusions SSID par le point d'accès si possible. En conséquence, il devient plus difficile (bien que toujours possible) pour un attaquant de détecter la présence du réseau sans fil et du SSID. Certains points d'accès ne peuvent pas annuler la diffusion SSID. Dans de tels cas, vous devez maximiser l'intervalle de diffusion. De plus, certains clients ne peuvent communiquer que lorsque le point d'accès diffuse le SSID. Par conséquent, vous devrez peut-être expérimenter avec ce paramètre pour sélectionner le mode qui convient à votre situation particulière.

Après cela, vous ne pouvez autoriser l'accès aux points d'accès qu'à partir de clients sans fil avec des adresses MAC connues. Il est peu probable que cela convienne dans une grande organisation, mais dans une petite entreprise avec peu de clients sans fil, il s'agit d'une solide ligne de défense supplémentaire. Les pirates devront déterminer les adresses MAC autorisées à se connecter au point d'accès de l'entreprise et remplacer l'adresse MAC de leur propre adaptateur sans fil par une adresse approuvée (sur certains modèles d'adaptateur, l'adresse MAC peut être modifiée).

Le choix des options d'authentification et de cryptage peut être la partie la plus difficile de la sécurisation d'un réseau sans fil. Avant de définir les paramètres, vous devez faire un inventaire des points d'accès et des adaptateurs sans fil pour établir les protocoles de sécurité qu'ils prennent en charge, surtout si le réseau sans fil est déjà organisé en utilisant une variété d'équipements de différents fournisseurs. Certains appareils, en particulier les anciens points d'accès et adaptateurs sans fil, peuvent ne pas être compatibles avec les clés WPA, WPA2 ou WEP étendues.

Une autre situation à garder à l'esprit est que certains appareils plus anciens exigent que les utilisateurs saisissent le nombre hexadécimal représentant la clé, tandis que d'autres points d'accès et adaptateurs sans fil plus anciens nécessitent une phrase secrète pour être convertis en clé. De ce fait, il est difficile d'obtenir la même clé pour tous les équipements. Les propriétaires de tels équipements peuvent utiliser des ressources telles que le générateur de clés WEP pour générer des clés WEP aléatoires et convertir les phrases secrètes en nombres hexadécimaux.

En général, WEP ne doit être utilisé qu'en cas d'absolue nécessité. Si l'utilisation de WEP est requise, vous devez choisir les clés avec la longueur maximale et configurer le réseau sur Ouvert au lieu de Partagé. Le mode ouvert n'authentifie pas les clients sur le réseau et n'importe qui peut se connecter aux points d'accès. Ces connexions préparatoires chargent partiellement le canal de communication sans fil, mais les attaquants qui ont établi une connexion dans l'AP ne pourront pas continuer à échanger des données car ils ne connaissent pas la clé de cryptage WEP. Même les pré-connexions peuvent être bloquées en configurant le point d'accès pour n'accepter que les connexions provenant d'adresses MAC connues. Contrairement à Open, en mode Shared, le point d'accès utilise la clé WEP pour authentifier les clients sans fil dans une procédure challenge-response, et un attaquant peut déchiffrer la séquence et déterminer la clé de chiffrement WEP.

Si WPA peut être appliqué, vous devez choisir entre WPA, WPA2 et WPA-PSK. La principale considération lors du choix de WPA ou WPA2 d'une part et WPA-PSK d'autre part est la possibilité de déployer l'infrastructure dont WPA et WPA2 ont besoin pour authentifier les utilisateurs. WPA et WPA2 nécessitent le déploiement de serveurs RADIUS et éventuellement d'une infrastructure à clé publique (PKI). WPA-PSK, comme WEP, fonctionne avec une clé partagée connue du client sans fil et du point d'accès. WPA-PSK Vous pouvez utiliser en toute sécurité la clé partagée WPA-PSK pour l'authentification et le cryptage, car elle ne présente pas l'inconvénient du WEP.

PAP et CHAP sont les protocoles d'authentification utilisés dans PPP. PAP signifie banal - Password Authentication Protocol. Peut-être qu'un décryptage aussi simple est dû au fait que le protocole a été l'un des premiers. CHAP signifie Challenge Handshake Authentication Protocol. Ces deux protocoles sont couverts dans le cours CCNA.

Comment fonctionne le PAP ?

Le client veut se connecter au serveur, il envoie au serveur un mot de passe, le serveur répond soit "Oui" soit "Non". Il semblerait que tout soit simple - pourquoi ajouter autre chose ? Cependant, tout devient plus compliqué si, en raison de certaines circonstances, nous nous tournons non pas vers le serveur vers lequel nous allions, mais vers l'appareil de l'attaquant. Dans ce cas, il s'avère qu'en lui demandant s'il aime notre mot de passe, nous lui donnons essentiellement le mot de passe, avec lequel il peut faire ce qu'il veut à l'avenir. Pour éviter cette situation, CHAP a été inventé.

Comment fonctionne CHAP ?

Le client veut contacter le serveur, le serveur envoie une chaîne aléatoire au client, le client prend le mot de passe et cette chaîne et en calcule un hachage MD5, qu'il renvoie au serveur. Le serveur effectue les mêmes opérations (si, bien sûr, il sait lui-même mot de passe correct). Si les hachages correspondent, le client est autorisé. Qu'obtenons-nous? Si le client ne connaît pas le mot de passe, les hachages ne correspondront pas ; si, à la place du serveur, l'attaquant ne recevra qu'un hachage, dont rien ne pourra être extrait.

Ainsi, dans des situations réelles, il est préférable d'utiliser CHAP.

L'authentification réseau est une chose à laquelle un grand nombre d'internautes sont confrontés quotidiennement. Certaines personnes ne savent pas ce que signifie ce terme, et beaucoup ignorent son existence. Presque tous les utilisateurs Internet commencez la journée en passant par le processus d'authentification. Vous en avez besoin lorsque vous visitez le bureau de poste, réseaux sociaux, forums et plus encore.

Les utilisateurs sont confrontés à l'authentification tous les jours sans le savoir.

L'authentification est une procédure par laquelle les données de l'utilisateur sont vérifiées, par exemple, lors de la visite d'une ressource réseau mondial... Il vérifie les données stockées sur le portail Web avec celles spécifiées par l'utilisateur. Une fois l'authentification passée, vous aurez accès à l'une ou l'autre des informations (par exemple, votre boites aux lettres). C'est le fondement de tout système mis en œuvre au niveau logiciel. Souvent, le terme spécifié utilise des significations plus simples, telles que :

  • autorisation;
  • authentification.

Pour réussir l'authentification, vous devez saisir un nom d'utilisateur et un mot de passe pour votre Compte... Selon la ressource, ils peuvent présenter des différences significatives les uns par rapport aux autres. Si vous exploitez des données identiques sur des sites différents, vous vous exposez alors au risque de vol de vos informations personnelles par des pirates. Dans certains cas, les informations spécifiées peuvent être fournies automatiquement pour chaque utilisateur. Pour saisir les données requises, en règle générale, un formulaire spécial est utilisé sur une ressource de réseau mondial ou dans une application spécifique. Après l'introduction les informations dont vous avez besoin, ils seront envoyés au serveur pour comparaison avec ceux de la base de données. S'ils correspondent, vous aurez accès à la partie fermée du site. En saisissant des données incorrectes, la ressource Web signalera une erreur. Vérifiez leur exactitude et saisissez-les à nouveau.

Quelle identification de réseau choisir

Beaucoup de gens réfléchissent à l'identification de réseau à choisir, car il en existe plusieurs types. Vous devez d'abord décider de l'un d'entre eux. Sur la base des informations reçues, chacun décide indépendamment de l'option à arrêter. L'une des normes les plus récentes pour l'authentification réseau est IEEE 802.1x. Il a reçu un large soutien de presque tous les développeurs et développeurs d'équipements. Logiciel... Cette norme prend en charge 2 méthodes d'authentification : l'ouverture et l'utilisation d'un mot de passe (clé). En cas de méthode ouverte une station peut se connecter à une autre sans avoir besoin d'autorisation. Si vous n'êtes pas satisfait de cela, vous devez vous débarrasser de la méthode à l'aide de la clé. Dans le cas de cette dernière option, le mot de passe est crypté à l'aide de l'une des méthodes suivantes :

  • WPA-Personnel
  • WPA2-Personnel.

L'option la plus appropriée peut être installée sur n'importe quel routeur.

Allez dans les paramètres du routeur

Même un utilisateur non préparé peut effectuer toutes les configurations nécessaires sans aucun problème. Pour commencer à configurer l'appareil, vous devez le connecter à ordinateur personnelà l'aide d'un câble. Si cette action est terminée, ouvrez n'importe quel navigateur Web et tapez http://192.168.0.1 dans la barre d'adresse, puis appuyez sur Entrée. L'adresse spécifiée convient à presque tous les appareils, mais des informations plus détaillées peuvent être trouvées dans les instructions. Soit dit en passant, cette action est exactement une authentification, après quoi vous avez accès aux informations privées de votre routeur. Vous verrez une invite pour entrer dans l'interface, qui vous guidera à travers les paramètres nécessaires. Si personne n'a changé le login et le mot de passe, alors par défaut, presque tous les modèles de divers éditeurs de liens utilisent le mot admin dans les deux champs. Le routeur acheté dispose d'un réseau sans fil ouvert, de sorte que tout le monde peut s'y connecter. Dans le cas où cela ne vous convient pas, il faut le protéger.

Sécurisation de votre réseau sans fil

DANS différents modèles les noms des menus et sous-menus peuvent différer. Vous devez d'abord aller dans le menu du routeur et sélectionner le paramètre sans fil Réseaux Wi-Fi... Nous indiquons le nom du réseau. Tout le monde le verra appareils sans filà connecter à l'appareil. Ensuite, nous devons choisir l'une des méthodes de cryptage, dont la liste est donnée ci-dessus. Nous vous recommandons d'utiliser WPA2-PSK. Ce mode est l'un des plus fiables et polyvalents. Dans le champ approprié, vous devez entrer la clé que vous avez inventée. Il sera utilisé pour

Vous avez aimé l'article ? A partager avec des amis :
Vous pouvez également être intéressé par