Tässä artikkelissa tarkastellaan joitain yleisimpiä esimerkkejä todennusvirheistä käytettäessä käyttöjärjestelmään perustuvia laitteita. Android-järjestelmät WiFi-verkkojen kanssa. Ensi silmäyksellä tässä asiassa ei voi olla mitään monimutkaista, koska tähän käyttöjärjestelmään perustuvien puhelimien ja tablettien käyttöliittymä on poikkeuksellisen ystävällinen jopa kaikkein kokemattomia käyttäjiä, mutta hän osaa myös yllättää.

Lisäksi tällainen virhe on melko yleinen ilmiö, ja jotta et joutuisi ongelmiin, sinun tulee ensin tutustua alla oleviin tietoihin ja ehkä yhteysongelma ratkeaa helposti ja huomaamatta. Ensin sinun on ymmärrettävä, mitä todennus on ja WiFi-tekniikka yleensä. Tämän ymmärtäminen antaa sinulle mahdollisuuden ilman kenenkään apua ja lisäkulut ratkaisee tähän protokollaan liittyvät päivittäiset ongelmat.

Todennus. Mitä tämä on ja miksi?

Usein todennuksen aikana puhelimen näytölle ilmestyy arvokkaan "Yhdistetty" -ilmoituksen sijaan viesti, kuten "Tallennettu, WPA/WPA2-suojaus" tai "Todennusongelma".

Mikä hän on?

Tämä on erityinen suojaustekniikka, joka ei salli pääsyä henkilökohtaisiin tai työverkosto kutsumattomia käyttäjiä, jotka käyttäisivät Internet-kanavaasi ja tuhlasivat liikennettä. Sinun on maksettava siitä. Kyllä, ja pisteen suuri toimintasäde WiFi-yhteys, mahdollistaa yhteyden muodostamisen siihen paitsi ihmisille, joille se luotiin, myös hyökkääjille. Eli tämän estämiseksi luvaton yhteys ja vaatii korkealaatuista tietojen salaus- ja todennustekniikkaa, jolla on alhainen hakkeroinnin ja salasanan arvaamisen todennäköisyys. Tästä syystä joudut useimmiten syöttämään salasanan muodostaaksesi yhteyden verkkoon. Vaatimuksiasi vastaava todennustietojen salausmenetelmä voidaan valita sen reitittimen tai tukiaseman asetuksista, johon laitteesi on yhdistetty. Nykyään yleisin todennusmenetelmä on WPA-PSK/WPA2.

Tässä on kaksi päävaihtoehtoa:

• Ensimmäisessä tapauksessa kaikki tilaajat syöttävät saman avaimen muodostaessaan yhteyden verkkoon, jokaiselle käyttäjälle annetaan henkilökohtainen pääsyavain, joka koostuu pääasiassa latinalaisten aakkosten numeroista ja kirjaimista.
• Toista salaustyyppiä käytetään pääasiassa yrityksissä, joilla on kohonnut taso verkon suojaaminen, johon tietty määrä käyttäjiä muodostaa yhteyden, on todella tärkeää turvallinen kassa aitous.

Jos meillä on yhteysongelmia, ennen kuin ryhdymme toimiin, on suositeltavaa käyttää todistettua menetelmää, joka yli puolessa tapauksista ratkaisee kaikki ongelmat, mukaan lukien todennusvirheet - käynnistä reititin uudelleen.

Toinen kaikkein eniten tehokkaita tapoja Ratkaisu todennusvirheeseen, koska se voi usein johtua kotonasi sijaitsevan reitittimen vaurioituneesta laiteohjelmistosta, on päivittää sen laiteohjelmisto uusin versio. On ehdottomasti suositeltavaa päivittää se valmistajan viralliselta verkkosivustolta. On myös suositeltavaa, että tiedostosta on tallennettu kopio reitittimen asetuksista, ja jos sinulla ei ole sitä, älä ole laiska tekemään sitä tietokoneellesi, jotta sinun ei tarvitse valita sen asetuksia uudelleen. Lisäksi on parempi varmistaa, että verkkosi ei ole piilotettu, eli tarkista vain asetuksista, onko "Piilotettu SSID" -valintaruutu valittuna ja onko langattoman verkon nimi kirjoitettu verkon SSID latinaksi.

Todennusvirhe. Miksi se tapahtuu?

Itse asiassa on vain kaksi pääongelmaa, joiden vuoksi puhelimesi ei ehkä muodosta yhteyttä WiFi-verkot. Mutta älä unohda, että alla ilmoitettujen virheiden lisäksi vastaavia ongelmia voi johtua itse reitittimen viasta tai verkkoasetusten ristiriidoista. Tämä on erillinen keskustelunaihe.

1. Valittu salaustyyppi ei vastaa käytössä olevaa salaustyyppiä.
2. Virhe avainta syötettäessä

Useimmat langattomiin verkkoihin yhdistämisen ongelmat johtuvat virheistä avaimen syöttämisessä. Tällaisissa tapauksissa on suositeltavaa tarkistaa puhelimen yhteysasetuksiin syötetty salasana uudelleen, ja jos tämä ei auta, siirry tietokoneella reitittimen asetuksiin vaihtamalla pääsyavain suoraan siihen. On syytä muistaa, että avain voi koostua vain Latinalaiset kirjaimet. Jos tämä ei auta, jonkin alla olevista menetelmistä pitäisi ehdottomasti auttaa.

Ratkaise ongelma katsomalla video:

Todennusvirheiden vianmääritys

Kaikki käyttäjät eivät voi kuvitella, miltä se näyttää WiFi-asetukset reititin tietokoneella ja yhteysongelmien korjaaminen, puhumattakaan niiden syistä. Siksi alla kuvataan toinen tapa ratkaista ongelmia, mutta reitittimen puolella ja käyttämällä siihen kytkettyä tietokonetta, ei puhelinta.

1. Voit tarkistaa asetukset siirtymällä reitittimen asetuksiin. Voit tehdä tämän avaamalla minkä tahansa selaimen ja kirjoittamalla IP-osoitteen 192.168.0.1 tai 192.168.1.1 osoiteriville. Tämä riippuu käyttämäsi reitittimen mallista. Kirjoita tämän jälkeen käyttäjätunnuksesi ja salasanasi näkyviin tulevaan ikkunaan. Jos et ole muuttanut niitä, löydät tarvittavat kirjautumistiedot itse reitittimestä tai ohjeista.
2. Seuraavaksi sinun tulee siirtyä langattoman verkon tilan asetuksiin ja vaihtaa useimmiten oletusasetuksen "b/g/n" sijaan "b/g", jonka jälkeen tallennat kaikki tehdyt muutokset.
3. Jos kaikki aiemmat käsittelyt eivät tuottaneet mitään tiettyä tulosta, on järkevää vaihtaa salaustyyppi WPA/WPA2-tarkistuksen yhteydessä, jos valittiin eri menetelmä, tai päinvastoin - yksinkertaistaa WEP:ksi, joka, vaikka se on vanhentunut, joskus säästää jos muut menetelmät osoittautuvat tehottomiksi. Yritä sen jälkeen muodostaa yhteys verkkoon uudelleen puhelimestasi ja anna avain uudelleen hyväksyäksesi vahvistuksen.

Lueteltujen vivahteiden tuntemus auttaa sinua selviytymään virheestä, joka esiintyy monissa laitteissa luokasta ja hinnasta riippumatta, kun työskentelet erilaisten langattomien verkkojen kanssa, sekä ymmärrät itse määrityksen periaatteen langattomat reitittimet ja tukiasemat.

Joka kerta kun käyttäjä tulee sisään tietyt tiedot kirjautumiseen johonkin resurssiin tai palveluun - se käy läpi menettelyn todennus. Useimmiten tämä menettely tapahtuu Internetissä sisäänkirjautuminen Ja salasana on kuitenkin muitakin vaihtoehtoja.

Sisäänkirjautuminen ja henkilötietojen syöttäminen voidaan jakaa kahteen tasoon:

• Tunnistaminen– tämä on käyttäjän henkilötietojen syöttö, joka on rekisteröity palvelimelle ja on ainutlaatuinen
• Todennus– todella tarkistaa ja hyväksyä syötetyt tiedot palvelimella.

Joskus edellä mainittujen termien sijasta käytetään yksinkertaisempia - todennus Ja valtuutus.

Itse käsitellä Se on melko yksinkertaista, voit analysoida sen minkä tahansa sosiaalisen verkoston esimerkin avulla:

• Rekisteröinti– käyttäjä asettaa sähköpostin, puhelinnumeron ja salasanan. Nämä ovat ainutlaatuisia tietoja, joita ei voi kopioida järjestelmään, joten et voi rekisteröidä enempää kuin yhden tilin henkilöä kohden.
• Tunnistaminen– syötä rekisteröinnin yhteydessä määritetyt tiedot tässä tapauksessa Tämä sähköposti ja salasana.
• Todennus– “Kirjaudu”-painikkeen painamisen jälkeen sivu ottaa yhteyttä palvelimeen ja tarkistaa, onko annettu kirjautumistunnus- ja salasanayhdistelmä todella olemassa. Jos kaikki on oikein, se avautuu henkilökohtainen sivu sosiaalinen verkosto.

Valtuutustyypit

Todennustyyppejä on useita, ja ne eroavat toisistaan ​​suojaus- ja käyttötasoltaan:

• Salasanasuojaus. Käyttäjä tietää tietyn avaimen tai salasanan, jota kukaan muu ei tunne. Tämä sisältää myös tunnistaminen vastaanottamalla tekstiviestejä
• . Käytetään yrityksissä tai yrityksissä. Tämä menetelmä tarkoittaa käyttö kortit, avaimenperät, flash-asemat jne.
• Biometrinen tutkimus. Verkkokalvo, ääni ja sormenjäljet ​​tarkistetaan. Tämä on yksi tehokkaimmista suojajärjestelmistä.
• Käyttö piilotettua tietoa. Käytetään pääasiassa suojana ohjelmisto. Selaimen välimuisti, sijainti, tietokoneeseen asennetut laitteet jne. tarkistetaan.

Salasanasuojaus

Tämä on suosituin ja yleisin valtuutusmenetelmä. klo syöttö nimi eikä kukaan salainen koodi, palvelin tarkastukset mitä käyttäjä syötti ja mitä verkkoon on tallennettu. Jos syötetyt tiedot ovat täysin identtisiä, pääsy on sallittu.

Salasanoja on kahdenlaisia: dynaaminen Ja pysyvä. Ne eroavat siinä, että pysyvät myönnetään kerran ja muuttaa vain käyttäjän pyynnöstä.

Dynaaminen muuttaa tiettyjen parametrien mukaan. Esimerkiksi milloin ennallistaminen unohtunut salasana Palvelin antaa dynaamisen salasanan kirjautumiseen.

Erikoistuotteiden käyttö

Kuten edellä mainittiin, sitä käytetään useimmiten pääsyyn huoneisiin, joissa on rajoitettu pääsy, pankkijärjestelmät i.p.

Yleensä kortilla (tai muulla esineellä) siru on ommeltu sisään ainutlaatuisella tunnisteella. Kun hän koskettaa Lukijan kanssa tapahtuu tarkistus ja palvelin sallii tai estää pääsyn.

Biometriset järjestelmät

Tässä tapauksessa tarkista sormenjäljet, verkkokalvo, ääni jne. Tämä on luotettavin, mutta myös eniten kallis järjestelmä kaikista.

Nykyaikaiset laitteet mahdollistavat paitsi vertailla eri pisteet tai alueet jokaisessa sisäänkäynnissä, mutta myös tarkistaa ilmeet ja piirteet.

Verkkotodennus on asia, jota käsitellään päivittäin suuri määrä Internetin käyttäjiä. Jotkut ihmiset eivät tiedä mitä se tarkoittaa tämä termi, ja monet eivät edes epäile sen olemassaoloa. Lähes kaikki käyttäjät World Wide Web aloittaa työpäivänsä käymällä läpi todennusprosessi. Tarvitset sitä vieraillessasi postissa, sosiaaliset verkostot, foorumit ja paljon muuta.

Käyttäjät kohtaavat todennuksen joka päivä edes huomaamatta sitä.

Todennus on menettely, jolla käyttäjätiedot tarkistetaan esimerkiksi tietyssä resurssissa käydessään globaali verkosto. Se tarkistaa verkkoportaaliin tallennetut tiedot käyttäjän määrittämillä tiedoilla. Kun todennus on valmis, sinulla on pääsy tiettyihin tietoihin (esimerkiksi sinun postilaatikko). Tämä on minkä tahansa järjestelmän perusta, joka on toteutettu ohjelmataso. Usein määritelty termi käyttää enemmän yksinkertaiset arvot, kuten:

• lupa;
• todennus.

Todentaaksesi sinun on syötettävä käyttäjätunnuksesi ja salasanasi tili. Resurssista riippuen niillä voi olla merkittäviä eroja keskenään. Jos käytät identtisiä tietoja eri sivustoilla, altistat itsesi vaaralle, että tietosi varastetaan. henkilökohtaisia ​​tietoja tunkeilijoiden toimesta. Joissakin tapauksissa nämä tiedot voidaan toimittaa automaattisesti jokaiselle käyttäjälle. Tarvittavien tietojen syöttämiseen käytetään yleensä erityistä lomaketta maailmanlaajuisessa verkkoresurssissa tai sisään erityinen sovellus. Esittelyn jälkeen tarvittavat tiedot, ne lähetetään palvelimelle vertailua varten tietokannassa oleviin. Jos ne täsmäävät, pääset sivuston suljettuun osaan. Jos syötät virheellisiä tietoja, verkkoresurssi ilmoittaa virheestä. Tarkista, että ne ovat oikein, ja kirjoita uudelleen.

Mikä verkon tunnus valita

Moni miettii mitä verkon tunnistaminen valita, koska tyyppejä on useita. Ensin sinun on päätettävä joistakin niistä. Saatujen tietojen perusteella jokainen päättää itse, minkä vaihtoehdon valitsee. Yksi uusimmista standardeista verkon todennus on IEEE 802.1x. Se on saanut laajan tuen lähes kaikilta laitteisto- ja ohjelmistokehittäjiltä. Tämä standardi tukee kahta todennusmenetelmää: avaus ja salasanan (avaimen) käyttö. Tapauksessa avoin menetelmä yksi asema voi muodostaa yhteyden toiseen ilman lupaa. Jos et ole tyytyväinen tähän, sinun on kierrätettävä avainmenetelmä. Jälkimmäisen vaihtoehdon tapauksessa salasana salataan jollakin seuraavista tavoista:

• WPA-henkilökohtainen;
• WPA2-henkilökohtainen.

Sopivin vaihtoehto voidaan asentaa mihin tahansa reitittimeen.

Siirrytään reitittimen asetuksiin

Jopa kouluttamaton käyttäjä voi tehdä kaikki tarvittavat asetukset ilman ongelmia. Jotta voit aloittaa laitteen asennuksen, sinun on yhdistettävä se henkilökohtainen tietokone käyttämällä kaapelia. Jos tämä toiminto on valmis, avaa mikä tahansa verkkoselain ja sisään osoitepalkki Kirjoita http://192.168.0.1 ja paina Enter. Määritetty osoite sopii melkein kaikille laitteille, mutta enemmän tarkkoja tietoja voi lukea ohjeista. Muuten, tämä toiminto on juuri todennus, jonka jälkeen pääset käyttämään turvaluokiteltua tietoa reitittimesi. Näet kehotteen siirtyä käyttöliittymään, joka auttaa sinua tekemään tarvittavat asetukset. Jos kukaan ei ole vaihtanut kirjautumistunnusta ja salasanaa, niin oletusarvoisesti lähes kaikki eri rakentajien mallit käyttävät sanaa admin molemmissa kentissä. Ostettu reititin on auki langaton verkko, jotta kuka tahansa voi muodostaa yhteyden siihen. Jos tämä ei sovi sinulle, se on suojattava.

Suojaa langaton verkkosi

IN erilaisia ​​malleja Valikoiden ja alivalikkojen nimet voivat vaihdella. Ensin sinun on siirryttävä reitittimen valikkoon ja valittava langaton asetus Wi-Fi-verkot. Määritä verkon nimi. Kaikki näkevät hänet langattomat laitteet jotka on liitettävä laitteeseen. Seuraavaksi meidän on valittava yksi salausmenetelmistä, joiden luettelo on annettu yllä. Suosittelemme käyttämään WPA2-PSK:ta. Tämä tila on yksi luotettavimmista ja yleismaailmallisimmista. Syötä luomasi avain asianmukaiseen kenttään. Sitä käytetään

Varmasti jokainen käyttäjä tietokonejärjestelmät(eikä vain) kohtaa jatkuvasti todennuksen käsitteen. On sanottava, että kaikki eivät ymmärrä selvästi tämän termin merkitystä, sekoittaen sen jatkuvasti muihin. IN yleisessä mielessä todennus on hyvin laaja käsite, joka voi sisältää yhdistelmän joitain muita termejä, jotka kuvaavat lisäprosesseja. Sisälle menemättä tekniset tiedot, katsotaanpa mitä se on.

Todennuskonsepti

Tämän käsitteen yleinen määritelmä on varmistaa jonkin aitous. Todennus on pohjimmiltaan prosessi, jonka avulla voit määrittää kohteen tai kohteen vastaavuuden joitain aiemmin tallennettuja ainutlaatuisia tietoja tai ominaisuuksia. Toisin sanoen järjestelmällä on tiettyjä ominaisuuksia, jotka vaativat vahvistuksen päästäkseen sen pää- tai piilotetut toiminnot. Huomaa, että tämä on prosessi. Sitä ei missään tapauksessa pidä sekoittaa tunnistamiseen (joka on yksi komponentit todennusprosessi) ja valtuutus.

Lisäksi erotetaan yksisuuntainen ja keskinäinen todennus, joka perustuu nykyaikaisia ​​menetelmiä kryptografia (tietojen salaus). Yksinkertaisin esimerkki keskinäisestä todentamisesta olisi esimerkiksi prosessi, jossa käyttäjät lisätään kavereiksi joillakin sosiaalisen verkostoitumisen sivustoilla, kun molemmat osapuolet vaativat vahvistusta toiminnalle.

Tunnistaminen

Niin. Tunnistaminen, mitä tulee tietokonetekniikka, on tietyn kohteen tai esimerkiksi käyttäjän tunnistaminen valmiiksi luodulla tunnisteella (esimerkiksi kirjautumistunnus, etu- ja sukunimi, passitiedot, tunnistenumero jne.). Tätä tunnistetta muuten käytetään myöhemmin todennusmenettelyn aikana.

Valtuutus

Valtuutus on vähiten yksinkertainen tapa tarjota pääsy tiettyihin toimintoihin tai resursseihin erilaisia ​​järjestelmiä syöttämällä esimerkiksi käyttäjätunnuksen ja salasanan. Tässä tapauksessa käsitteiden ero on siinä, että valtuutuksen aikana käyttäjälle myönnetään vain tietyt oikeudet, kun taas todennus on vain saman käyttäjätunnuksen ja salasanan vertailu itse järjestelmään rekisteröityihin tietoihin, jonka jälkeen pääsee käsiksi edistyneisiin tai saman Internet-resurssin piilotetut toiminnot tai ohjelmistotuote(valtuutuskoodin käyttö).

Luultavasti monet ovat kohdanneet tilanteen, jossa tiedoston lataaminen verkkosivustolta on mahdotonta ilman resurssin lupaa. Juuri valtuutuksen jälkeen seuraa todennusprosessi, joka avaa tällaisen mahdollisuuden.

Miksi todennusta tarvitaan?

Todennusprosessien käyttöalueet ovat hyvin erilaisia. Prosessin avulla voit suojata minkä tahansa järjestelmän luvattomalta käytöltä tai ei-toivottujen elementtien käyttöönotolta. Esimerkiksi todentamista käytetään laajalti tarkistamisessa sähköpostit Tekijä: julkinen avain Ja digitaalinen allekirjoitus, kun vertaa tarkistussummat tiedostot jne.

Katsotaanpa yleisimmät todennustyypit.

Todennustyypit

Kuten edellä mainittiin, todennus on yleisimmin käytetty tietokonemaailmaan. Yksinkertaisin esimerkki kuvattiin käyttämällä esimerkkiä valtuutuksen antamisesta tietylle sivustolle. Pääasialliset todennustyypit eivät kuitenkaan rajoitu tähän.

Yksi tärkeimmistä aloista, joilla tätä prosessia käytetään, on Internet-yhteyden muodostaminen. Onko se langallinen yhteys tai WiFi-todennus - ei eroa. Molemmissa tapauksissa todennusprosessit eivät käytännössä eroa toisistaan.

Sen lisäksi, että käytät verkkoon pääsyä kirjautumistunnuksella tai salasanalla, erityistä ohjelmistomoduulit suorittaa niin sanotusti yhteyden laillisuuden tarkistamisen. WiFi-todennus tai langallinen yhteys ei sisällä vain salasanojen ja kirjautumisten vertailua. Kaikki on paljon monimutkaisempaa. Ensin tarkistetaan tietokoneen, kannettavan tietokoneen tai mobiililaitteen IP-osoite.

Mutta tilanne on sellainen, että voit muuttaa oman IP-osoitteesi järjestelmässä, kuten sanotaan, yksinkertaisesti. Jokainen käyttäjä, joka on enemmän tai vähemmän perehtynyt tähän, voi suorittaa tällaisen toimenpiteen muutamassa sekunnissa. Lisäksi nykyään voit löytää valtavan määrän ohjelmia, jotka muuttavat automaattisesti ulkoista IP:tä Internetissä.

Mutta sitten alkaa hauskuus. Päällä tässä vaiheessa todennus on myös tapa tarkistaa tietokoneen tai kannettavan tietokoneen MAC-osoite. Ei luultavasti tarvitse selittää, että jokainen MAC-osoite on itsessään ainutlaatuinen, ja maailmassa ei yksinkertaisesti ole kahta identtistä. Tämän avulla voimme määrittää yhteyden ja Internetiin pääsyn laillisuuden.

Joissakin tapauksissa voi tapahtua todennusvirhe. Tämä voi johtua väärästä valtuutuksesta tai aiemmin määritetyn tunnuksen yhteensopimattomuudesta. Harvoin, mutta silti on tilanteita, joissa prosessia ei voida suorittaa loppuun itse järjestelmän virheiden vuoksi.

Yleisin todennusvirhe on verkkoyhteyttä käytettäessä, mutta tämä koskee pääasiassa vain väärä syöttö salasanat.

Jos puhumme muista alueista, tällainen prosessi on eniten kysytty biometriassa. Täsmälleen biometriset järjestelmät autentikaatiot ovat nykyään luotettavimpia. Yleisimmät menetelmät ovat sormenjälkien skannaus, joka löytyy nykyään jopa samojen kannettavien tietokoneiden lukitusjärjestelmistä tai mobiililaitteet ja verkkokalvon skannaus. Tätä tekniikkaa on käytetty yli korkea taso, joka tarjoaa esimerkiksi pääsyn salaisiin asiakirjoihin jne.

Tällaisten järjestelmien luotettavuus selitetään melko yksinkertaisesti. Loppujen lopuksi, jos katsot sitä, maailmassa ei ole kahta ihmistä, joiden sormenjäljet ​​tai verkkokalvon rakenne vastaisivat täysin. Joten tämä menetelmä tarjoaa maksimaalisen suojan luvattoman käytön suhteen. Lisäksi samaa biometristä passia voidaan kutsua keinoksi tarkistaa lainkuuliainen kansalainen olemassa olevalla tunnisteella (sormenjäljellä) ja verrata sitä (samoin kuin itse passin tietoja) samassa tietokannassa olevaan tietoon.

Tässä tapauksessa käyttäjän todennus näyttää olevan mahdollisimman luotettava (lukuun ottamatta tietenkään asiakirjojen väärentämistä, vaikka tämä on melko monimutkainen ja aikaa vievä toimenpide).

Johtopäätös

Toivottavasti yllä olevasta selviää, mikä todennusprosessi on. No, kuten näemme, sovellusalueita voi olla monia ja täysin eri alueita elämä ja

Kuinka paljon paperin kirjoittaminen maksaa?

Valitse työn tyyppi Väitöskirja(kandidaatti/asiantuntija) Osa opinnäytetyötä Maisterin tutkintotyöskentely käytännön kanssa Kurssiteoria Abstrakti Essee Testata Tavoitteet Sertifiointityö (VAR/VKR) Liiketoimintasuunnitelma Kysymyksiä kokeeseen MBA-tutkinto (opisto/teknillinen korkeakoulu) Muut tapaukset Laboratoriotyöt, RGR Online-apu Harjoitusraportti Etsi tietoa PowerPoint-esitys Tiivistelmä tutkijakoululle Liitemateriaalit tutkintoon Artikkeli Koepiirustukset lisää »

Kiitos, sinulle on lähetetty sähköposti. Tarkista sähköpostisi.

Haluatko 15 % alennuksen tarjouskoodin?

Vastaanota tekstiviestejä
tarjouskoodilla

Onnistuneesti!

?Anna tarjouskoodi keskustelun aikana esimiehen kanssa.
Tarjouskoodi voidaan käyttää kerran ensimmäisessä tilauksessasi.
Tarjouskoodin tyyppi - " opinnäytetyö".

Langaton suojaus

Asiakkaan tunnistuspyyntö (EAP-pyyntö/identiteettiviesti). Todentaja voi lähettää EAP-pyynnön itse, jos se havaitsee, että jokin sen porteista on aktivoitunut.

Asiakas vastaa lähettämällä tarvittavat tiedot sisältävän EAP-vastauspaketin, jonka tukiasema (autentikaattori) ohjaa uudelleen Radius-palvelimelle (todennuspalvelin).

Todennuspalvelin lähettää haastepaketin (tietopyynnön asiakkaan aitoudesta) todentajalle (tukiasemalle). Todentaja välittää sen asiakkaalle.

Seuraavaksi tapahtuu palvelimen ja asiakkaan keskinäinen tunnistamisprosessi. Pakettien edestakaisen välityksen vaiheiden määrä vaihtelee EAP-menetelmän mukaan, mutta langattomissa verkoissa vain "vahva" todennus asiakkaan ja palvelimen molemminpuolisella todennuksella (EAP-TLS, EAP-TTLS, EAP-PEAP) ja esi- viestintäkanavan salaus on hyväksyttävää.

Seuraavassa vaiheessa todennuspalvelin, saatuaan tarvittavat tiedot asiakkaalta, sallii (hyväksy) tai estää (hylkää) pääsyn ja välittää tämän viestin edelleen autentikaattorille. Todentaja (tukiasema) avaa portin anojalle, jos RADIUS-palvelimelta tulee myönteinen vastaus (Hyväksy).

Portti avautuu, autentikaattori lähettää asiakkaalle onnistumisviestin ja asiakas pääsee verkkoon.

Kun asiakas on katkaistu, tukiaseman portti palaa suljettuun tilaan.

EAPOL-paketteja käytetään viestintään asiakkaan (pyynnön esittäjä) ja tukiaseman (authenticator) välillä. RADIUS-protokollaa käytetään tietojen vaihtamiseen autentikaattorin (tukiaseman) ja RADIUS-palvelimen (todennuspalvelin) välillä. Kun tietoja siirretään asiakkaan ja todennuspalvelimen välillä, EAP-paketit pakataan uudelleen yhdestä muodosta toiseen autentikaattorissa.

Todennustyypit

Todennusmenetelmän tyyppi, joka käyttää EAP:tä ja TLS (Transport Layer Security) -nimistä suojausprotokollaa. EAP-TLS käyttää salasanapohjaisia ​​varmenteita. EAP-TLS-todennus tukee dynaamista WEP-avainten hallintaa. TLS-protokollaa tarvitaan julkisten verkkojen välisen viestinnän suojaamiseen ja todentamiseen salaamalla tiedot. TLS-kättelyprotokollan avulla asiakas ja palvelin voivat todentaa keskenään ja kehittää salausalgoritmin ja avaimet ennen tietojen lähettämistä.

Nämä asetukset määrittävät protokollan ja käyttäjätiedot, joita käytetään käyttäjän todentamiseen. TTLS (Tunneled Transport Layer Security) -todennuksen yhteydessä asiakas todentaa palvelimen EAP-TLS:n avulla ja luo palvelimen ja asiakkaan välille kanavan, joka on salattu TLS:llä. Asiakas voi käyttää toista todennusprotokollaa. Yleensä salasanapohjaisia ​​protokollia käytetään ennalta ilmoittamattomalla, suojatulla TLS-salatulla kanavalla. TTLS tukee tällä hetkellä kaikkia EAP:ssa käytettyjä menetelmiä sekä joitain vanhempia menetelmiä (PAP, CHAP, MS-CHAP ja MS-CHAP-V2). TTLS on helppo laajentaa käsittelemään uusia protokollia asettamalla uusia attribuutteja kuvaamaan uusia protokollia.

PEAP on uusi IEEE 802.1X Extensible Authentication Protocol (EAP) -todennusprotokolla, joka on suunniteltu parantamaan EAP-Transport Layer Security (EAP-TLS) -turvallisuutta ja tukemaan useita todennusmenetelmiä, mukaan lukien käyttäjien salasanat, kertakäyttöiset salasanat ja pääsykortit (Generic Token Cards). .

Extensible Authentication Protocol (EAP) -protokollan versio. LEAP (Light Extensible Authentication Protocol) on Ciscon kehittämä mukautettu laajennettavissa oleva todennusprotokolla, joka vastaa haaste/vastaustodennusmenettelyjen ja dynaamisten avainten määrittämisestä.

EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) on mekanismi istuntoavainten todentamiseen ja jakeluun. Se käyttää Global System for Mobile Communications (GSM) -järjestelmän tilaajatunnistusmoduulia (SIM). EAP-SIM-todennus käyttää istuntokohtaista dynaamista WEP-avainta, joka saadaan salaamaan tiedot asiakassovittimesta tai RADIUS-palvelimesta. EAP-SIM vaatii erityisen käyttäjän vahvistuskoodin tai PIN-koodin, jotta se mahdollistaa vuorovaikutuksen SIM-kortin (Subscriber Identity Module) kanssa. SIM-kortti on erityinen älykortti, jota käytetään GSM-standardin (Global System for Mobile Communications) langattomissa digitaalisissa verkoissa. EAP-SIM-protokolla on kuvattu RFC 4186 -dokumentaatiossa.

Todennusmenetelmä EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication ja Avain Sopimus on EAP-mekanismi, jota käytetään UMTS:n (Universal Mobile Telecommunications System) USIM:n (Subscriber Identity Module) tilaajan todentamiseen ja avainten jakeluistuntoon. USIM-kortti on erityinen älykortti, joka on suunniteltu todentamaan käyttäjät matkapuhelinverkoissa.

Todennusprotokollat

PAP (Password Authentication Protocol) on kaksisuuntainen vahvistuksenvaihtoprotokolla, joka on suunniteltu käytettäväksi PPP-protokollan kanssa. PAP on pelkkää tekstiä käyttävä salasana, jota käytettiin aiemmissa SLIP-järjestelmissä. Hän ei ole suojattu. Tämä protokolla on käytettävissä vain TTLS-todennustyypillä.

CHAP (Challenge Handshake Authentication Protocol) on kolmisuuntainen vahvistuksenvaihtoprotokolla, joka tarjoaa paremman suojan kuin PAP (Password Authentication Protocol) -todennusprotokolla. Tämä protokolla on käytettävissä vain TTLS-todennustyypillä.

MS-CHAP (MD4)

Käyttää RSA Message Digest 4 -protokollan Microsoft-versiota. Toimii vain Microsoft-järjestelmissä ja sallii tietojen salauksen. Tämän todennustavan valitseminen saa aikaan kaiken lähetetyn tiedon salauksen. Tämä protokolla on käytettävissä vain TTLS-todennustyypillä.

MS-CHAP-V2

Tarjoaa lisävaihtoehdon salasanan vaihtamiseen, joka ei ole käytettävissä MS-CHAP-V1:ssä tai tavallisessa CHAP-todennuksen yhteydessä. Tämän ominaisuuden avulla asiakas voi vaihtaa tilin salasanan, jos RADIUS-palvelin ilmoittaa salasanan vanhentuneen. Tämä protokolla on käytettävissä vain TTLS- ja PEAP-todennustyypeille.

GTC (Generic Token Card)

Tarjoaa erityisten käyttäjäkorttien käytön todentamiseen. Päätoiminto perustuu todentamiseen digitaalisella varmenteella/erikoiskortilla GTC:ssä. Lisäksi GTC:llä on mahdollisuus piilottaa käyttäjän tunnistetiedot TLS-salatun tunnelin käytön aikana, mikä tarjoaa lisäyksityisyyttä, joka perustuu käyttäjätunnusten laajan levittämisen estoon todennusvaiheen aikana. Tämä protokolla on käytettävissä vain PEAP-todennustyypillä.

TLS-protokollaa tarvitaan julkisten verkkojen välisen viestinnän suojaamiseen ja todentamiseen salaamalla tiedot. TLS-kättelyprotokollan avulla asiakas ja palvelin voivat todentaa keskenään ja kehittää salausalgoritmin ja avaimet ennen tietojen lähettämistä. Tämä protokolla on käytettävissä vain PEAP-todennustyypillä.

Ciscon ominaisuudet.

Cisco LEAP.

Cisco LEAP (Cisco Light EAP) on 802.1X-palvelin- ja asiakastodennus käyttämällä käyttäjän antamaa salasanaa. Kun langaton tukiasema kommunikoi LEAP-yhteensopivan Cisco RADIUS -palvelimen (Cisco Secure Access Control Server) kanssa, Cisco LEAP suorittaa pääsynhallinnan asiakkaiden WiFi-sovittimien ja verkon välisen keskinäisen todennuksen kautta ja tarjoaa dynaamisia, käyttäjäkohtaisia ​​salausavaimia suojaamaan. siirrettyjen tietojen luottamuksellisuus.

Cisco Rogue Access Pointin suojausominaisuus.

Cisco Rogue AP -ominaisuus tarjoaa suojan rogue- tai rogue-tukiaseman yrityksiltä, ​​jotka voivat esiintyä verkon todellisena tukiasemana saadakseen käyttäjätunnukset ja todennusprotokollat, mikä vaarantaa verkon turvallisuuden eheyden. Tämä ominaisuus toimii vain Cisco LEAP -todennusympäristössä. 802.11-tekniikka ei suojaa verkkoa väärien tukiasemien luvattomalta käytöltä. Lisätietoja on kohdassa LEAP-todennus.

Suojausprotokolla sekoitettuihin 802.11b- ja 802.11g-ympäristöihin.

Toimintatilaa, jossa jotkin tukiasemat, kuten Cisco 350 tai Cisco 1200, tukevat ympäristöjä, joissa kaikki asiakasasemat eivät tue WEP-salausta, kutsutaan Mixed-Cell-tilaksi. Kun jotkin langattomat verkot toimivat "selektiivisessä salaustilassa", verkkoon WEP-salaustilassa yhdistetyt asiakasasemat lähettävät kaikki viestit salattuna ja vakiotilassa verkkoon kytketyt asemat lähettävät kaikki viestit salaamattomina. Nämä tukiasemat lähettävät viestejä salaamattomina, mutta sallivat asiakkaiden käyttää WEP-salaustilaa. Kun "sekoitustila" on käytössä profiilissa, voit muodostaa yhteyden tukiasemaan, joka on määritetty "lisäsalaus".

Cisco Key Integrity Protocol (CKIP) on Ciscon oma suojausprotokolla salaukseen 802.11-ympäristössä. CKIP käyttää seuraavia ominaisuuksia 802.11-suojauksen parantamiseen infrastruktuuritilassa:

Nopea verkkovierailu (CCKM)

Kun WLAN on määritetty muodostamaan nopea uudelleenyhteys, LEAP-yhteensopiva asiakas voi liikkua tukiasemasta toiseen ilman pääpalvelimen väliintuloa. Cisco Centralised Key Management (CCKM) -tukiasema, joka on määritetty tarjoamaan Wireless Domain Services (WDS) -palvelua, korvaa RADIUS-palvelimen ja todentaa asiakkaan ilman merkittäviä viiveitä, jotka ovat mahdollisia puheen tai muun datasta riippuvan sovellusajan kanssa.

Radioliikenteen ohjaus

Kun tämä ominaisuus on käytössä, WiFi-sovitin tarjoaa radio-ohjaustietoja Ciscon infrastruktuuritilaa varten. Kun Cisco Radio Managementia käytetään infrastruktuuriverkossa, se määrittää radioparametrit, havaitsee häiriötasot ja määrittää valeliityntäpisteet.

EAP-NOPEA

EAP-FAST, kuten EAP-TTLS ja PEAP, käyttää tunnelointia verkkoliikenteen turvaamiseen. Suurin ero on, että EAP-FAST ei käytä varmenteita todentamiseen. Todennus EAP-FAST-ympäristössä on yksi viestinvaihto, jonka asiakas aloittaa, kun palvelin pyytää EAP-FAST-todennusta. Jos asiakkaalla ei ole valmiiksi julkaistua PAC-avainta (Protected Access Credential), se voi pyytää EAP-FAST-todennusvaihtoa saadakseen avaimen dynaamisesti palvelimelta.

EAP-FASTilla on kaksi PAC-avaimen toimitustapaa: manuaalinen toimitus kaistan ulkopuolisella mekanismilla ja automaattinen syöttö.

Manuaaliset toimitusmekanismit esitetään turvallisimmalla ja järjestelmänvalvojan valitsemalla lähetysmenetelmällä.

Automaattinen sisäänkirjautuminen on tunneloitu salattu kanava, jota tarvitaan turvallisen asiakkaan todennuksen ja PAC-avaimen toimittamiseen asiakkaalle. Tämä mekanismi ei ole yhtä turvallinen kuin manuaalinen todennusmenetelmä, mutta se on turvallisempi kuin LEAP-todennus.

EAP-FAST-menetelmä voidaan jakaa kahteen osaan: sisäänkirjautumiseen ja autentikointiin. Aloitusvaihe edustaa PAC-avaimen ensimmäistä toimitusta asiakkaalle. Asiakas ja käyttäjä tarvitsevat tätä osaa vain kerran.

Salaus

Salausalgoritmien sekä istunnon salausavainten luomismenetelmien yksityiskohtainen tarkastelu ei ehkä kuulu tämän materiaalin piiriin, joten tarkastelen niitä vain lyhyesti.

Alkuautentikointi suoritetaan yhteisten tietojen perusteella, jotka sekä asiakas että todennuspalvelin tietävät (kuten sisäänkirjautuminen/salasana, varmenne jne.) - tässä vaiheessa generoidaan Master Key. Pääavainta käyttämällä todennuspalvelin ja asiakas luovat parillisen pääavaimen, jonka todennuspalvelin välittää todentajalle. Ja Pairwise Master Key -avaimen perusteella generoidaan kaikki muut dynaamiset avaimet, jotka sulkevat lähetetyn liikenteen. On huomattava, että itse parillinen pääavain on myös dynaamisten muutosten kohteena.

Huolimatta siitä, että WPA:n edeltäjässä, WEP:ssä, ei ollut lainkaan todennusmekanismeja, WEP:n turvattomuus piilee salausalgoritmin kryptografisessa heikkoudessa.

WPA-yhtälön TKIP-, MIC- ja 802.1X-osilla on oma roolinsa WPA-yhteensopivien verkkojen tiedonsalauksen vahvistamisessa:

TKIP kasvattaa avaimen koon 40 bitistä 128 bittiin ja korvaa yhden staattisen WEP-avaimen avaimilla, jotka todennuspalvelin luo ja jakaa automaattisesti. TKIP käyttää avainhierarkiaa ja avaintenhallintamenetelmää, joka poistaa ennustettavuuden, jota hyökkääjät ovat käyttäneet murtaessaan WEP-avainsuojauksen.

Tämän saavuttamiseksi TKIP parantaa 802.1X/EAP-kehystä. Hyväksyttyään käyttäjän tunnistetiedot todennuspalvelin luo 802.1X:n avulla yksilöllisen (kaksisuuntaisen) pääavaimen tietylle viestintäistunnolle. TKIP välittää tämän avaimen asiakkaalle ja tukiasemalle ja määrittää sitten avainhierarkian ja hallintajärjestelmän käyttämällä kaksisuuntaista avainta luodakseen dynaamisesti tiedon salausavaimia, joita käytetään salaamaan jokainen langattoman verkon kautta lähetetty datapaketti. käyttäjän istunto. TKIP-avainhierarkia korvaa yhden staattisen WEP-avaimen noin 500 miljardilla mahdollisella avaimella, joita käytetään tietyn datapaketin salaamiseen.

Message Integrity Check (MIC) on suunniteltu estämään datapakettien sieppaaminen, niiden sisällön muuttaminen ja uudelleenlähetys. MIC on rakennettu tehokkaan matemaattisen funktion ympärille, jota lähettäjä ja vastaanottaja soveltavat ja sitten vertaavat tulosta. Jos se ei täsmää, tiedot katsotaan vääriksi ja paketti hylätään.

Lisäämällä merkittävästi avainten kokoa ja käytettävien avainten määrää sekä luomalla eheyden tarkistusmekanismin, TKIP lisää tiedon dekoodauksen monimutkaisuutta langattomassa verkossa. TKIP lisää huomattavasti langattoman salauksen vahvuutta ja monimutkaisuutta, mikä tekee langattomaan verkkoon tunkeutumisesta paljon vaikeampaa, ellei mahdotonta.

On tärkeää huomata, että WPA:n ja WPA-PSK:n salausmekanismit ovat samat. Ainoa ero WPA-PSK:n välillä on se, että todennus suoritetaan jonkinlaisen salasanan avulla, ei käyttäjän tunnistetietojen perusteella. Jotkut todennäköisesti huomauttavat, että salasanalähestymistapa tekee WPA-PSK:sta haavoittuvan raa'an voiman hyökkäyksille, ja jossain määrin he olisivat oikeassa. Haluamme kuitenkin huomauttaa, että WPA-PSK poistaa sekaannuksen WEP-avaimien kanssa ja korvaa ne johdonmukaisella ja selkeällä aakkosnumeerisella salasanapohjaisella järjestelmällä. Robert Moskowitz ICSA Labsista havaitsi, että WPA-salalause voidaan hakkeroida. Tämä johtuu siitä, että hakkeri voi pakottaa tukiaseman luomaan avaimenvaihdon uudelleen alle 60 sekunnissa. Ja vaikka avainten vaihto olisi riittävän turvallinen välitöntä hakkerointia varten, se voidaan tallentaa ja käyttää offline-käyttöön. Toinen ongelma on, että EAP lähettää tiedot selkeänä tekstinä. Alun perin TLS (Transport Layer Security) -salausta käytettiin EAP-istuntojen salaamiseen, mutta jotta se toimisi, jokaisella asiakkaalla on oltava varmenne. TTLS on korjannut tämän ongelman jossain määrin. Tässä Service Pack 2:sta alkaen, kun työskentelet langattomien verkkojen kanssa, voit käyttää kirjautumis-/salasanatodennusta (eli PEAP) ja digitaalisen varmenteen todennusta (EAP-TLS).

WPA-protokollalla olevan langattoman verkon hakkerointi

Mutta valitettavasti edes protokolla ei ole niin turvallinen. Menettely verkkojen hakkerointiin WPA-protokollalla ei juurikaan eroa menettelystä verkkojen hakkerointiin WEP-protokollalla, josta olemme jo keskustelleet.

Ensimmäisessä vaiheessa käytetään samaa airodump-snifferiä. On kuitenkin otettava huomioon kaksi tärkeää seikkaa. Ensinnäkin tulostiedostona on käytettävä cap-tiedostoa, ei ivs-tiedostoa. Tehdäksesi tämän, kun asennat airodump-apuohjelmaa, vastaa "ei" viimeiseen kysymykseen - Kirjoita vain WEP IV:t (y/n).

Toiseksi sinun on tallennettava asiakkaan alustusmenettely verkossa cap-tiedostoon, eli sinun on istuttava väijytyksessä airodump-ohjelman ollessa käynnissä. Jos käytät Linux-järjestelmää, voit käynnistää hyökkäyksen, joka pakottaa sinut alustamaan verkkoasiakkaat uudelleen, mutta tällaista ohjelmaa ei ole saatavana Windowsille.

Kun verkkoasiakkaan alustustoimenpide on tallennettu cap-tiedostoon, voit pysäyttää airodump-ohjelman ja aloittaa salauksen purkuprosessin. Itse asiassa tässä tapauksessa ei ole tarvetta kerätä siepattuja paketteja, koska vain tukiaseman ja asiakkaan välillä alustuksen aikana lähetettyjä paketteja käytetään salaisen avaimen laskemiseen.

Vastaanotetun tiedon analysointiin käytetään samaa lentorata-apuohjelmaa, mutta hieman erilaisilla laukaisuparametreilla. Lisäksi sinun on asennettava toinen tärkeä elementti hakemistoon aircrack-ohjelman avulla - sanakirja. Tällaisia ​​erikoissanakirjoja löytyy Internetistä.

Suorita tämän jälkeen aircrack-ohjelma komentoriviltä ja määritä tulostiedostoksi cap-tiedosto (esim. out.cap) ja sanakirjan nimi (parametri –w all, jossa all on sanakirjan nimi).

Ohjelma avainten etsimiseen sanakirjasta on erittäin prosessoriintensiivinen, ja jos käytät vähän virtaa kuluttavaa tietokonetta, tämä toimenpide kestää kauan. Jos tähän tarkoitukseen käytetään tehokasta moniprosessoripalvelinta tai PC:tä, joka perustuu kaksiytimiseen prosessoriin, käytettävien prosessorien lukumäärä voidaan määrittää lisävarusteena. Jos esimerkiksi käytät kaksiytimistä Intel Pentium -suoritinta Extreme Edition Prosessori 955, joka tukee Hyper-Threading-tekniikkaa (neljä loogista prosessoriydintä), ja määritä ohjelman käynnistysparametreissa -p 4 -vaihtoehto, jonka avulla voit kierrättää kaikki neljä loogista prosessoriydintä (jokaista ydintä käytetään 100%), sitten salaisen avaimen etsiminen kestää noin puolitoista tuntia.

Tämä ei tietenkään vie muutamaa sekuntia, kuten WEP-salauksen tapauksessa, mutta se on myös hyvä tulos, joka osoittaa täydellisesti, että WPA-PSK-suojaus ei ole täysin luotettava ja salaisen avaimen hakkeroinnin tulos on ei ole mitään tekemistä sen kanssa, minkä algoritmin salausta (TKIP tai AES) käytetään verkossa.

WPA2-suojausstandardi

WPA2 (Wireless Protected Access versio 2.0) on toinen versio joukosta algoritmeja ja protokollia, jotka tarjoavat tietosuojan langattomissa Wi-Fi-verkoissa. Kuten odotettiin, WPA2:n pitäisi parantaa merkittävästi langattomien Wi-Fi-verkkojen turvallisuutta aiempiin teknologioihin verrattuna. Uusi standardi edellyttää erityisesti tehokkaamman AES (Advanced Encryption Standard) -salausalgoritmin ja 802.1X-autentikoinnin pakollista käyttöä.

Nykyään yrityksen langattoman verkon luotettavan suojausmekanismin varmistamiseksi on välttämätöntä (ja pakollista) käyttää WPA2:ta tukevia laitteita ja ohjelmistoja. Aiempien sukupolvien protokollat ​​- WEP ja WPA - sisältävät elementtejä, joiden suojaus- ja salausalgoritmit eivät ole riittävän vahvoja. Lisäksi WEP-pohjaisten verkkojen hakkerointiin on jo kehitetty ohjelmia ja tekniikoita, jotka ovat helposti ladattavissa Internetistä ja joita voivat käyttää menestyksekkäästi myös kouluttamattomat aloittelevat hakkerit.

WPA2-protokollat ​​toimivat kahdessa todennustilassa: henkilökohtainen (Personal) ja yritys (Enterprise). tilassa WPA2-Personal 256-bittinen PSK (PreShared Key) luodaan syötetystä selväkielisestä tunnuslauseesta. PSK-avainta yhdessä SSID:n (Service Set Identifier) ​​kanssa käytetään väliaikaisten PTK (Pairwise Transient Key) -istuntoavainten luomiseen langattomien laitteiden vuorovaikutusta varten. Kuten staattinen WEP-protokolla, myös WPA2-Personal-protokollalla on tiettyjä ongelmia, jotka liittyvät tarpeeseen jakaa ja ylläpitää avaimia verkon langattomissa laitteissa, mikä tekee siitä sopivamman käytettäväksi pienissä kymmenien laitteiden verkoissa, kun taas WPA2 on optimaalinen yritysverkot - yritys.

tilassa WPA2-yritys ratkaisee staattiseen avainten jakeluun ja hallintaan liittyvät ongelmat, ja sen integrointi useimpiin yritystodennuspalveluihin tarjoaa tilipohjaisen kulunhallinnan. Tämä tila vaatii tunnistetiedot, kuten käyttäjänimen ja salasanan, suojausvarmenteen tai kertaluonteisen salasanan, ja todennus suoritetaan työaseman ja keskitetyn todennuspalvelimen välillä. Tukiasema tai langaton ohjain valvoo yhteyksiä ja välittää todennuspyynnöt asianmukaiselle todennuspalvelimelle (yleensä RADIUS-palvelimelle, kuten Cisco ACS). WPA2-Enterprise-tila perustuu 802.1X-standardiin, joka tukee käyttäjän ja laitteen todennusta ja sopii sekä langallisille kytkimille että langattomille tukiasemille.

Toisin kuin WPA, käytetään vahvempaa AES-salausalgoritmia. Kuten WPA, myös WPA2 on jaettu kahteen tyyppiin: WPA2-PSK ja WPA2-802.1x.

Tarjoaa uusia, luotettavampia mekanismeja tietojen eheyden ja luottamuksellisuuden varmistamiseksi:

CCMP (Counter-Mode-CBC-MAC-protokolla), joka perustuu Advanced Encryption Standard (AES) -salausalgoritmin Counter Cipher-Block Chaining Mode (CCM) -moodiin. CCM yhdistää kaksi mekanismia: Counter (CTR) luottamuksellisuutta ja Cipher Block Chaining Message Authentication Code (CBC-MAC) todennusta varten.

WRAP (Wireless Robust Authentication Protocol) perustuu AES-salausalgoritmin Offset Codebook (OCB) -tilaan.

TKIP-protokolla taaksepäin yhteensopivuutta vanhojen laitteiden kanssa. Keskinäinen todennus ja avainten toimitus IEEE 802.1x/EAP -protokollien perusteella. Secure Independent Basic Service Set (IBSS) parantaa turvallisuutta Ad Hoc -verkoissa. Roaming-tuki.

CCMP-mekanismi ja IEEE 802.11i -standardi edistävät langattomien verkkojen turvallisuutta. Jälkimmäinen esittelee suojatun verkon (Robust Security Network, RSN) ja suojatun verkkoyhteyden (Robust Security Network Association, RSNA) käsitteen, minkä jälkeen se jakaa kaikki algoritmit:

RSNA-algoritmit (RSNA:n luomiseen ja käyttöön);

Pre-RSNA-algoritmit.

Pre-RSNA-algoritmit sisältävät:

olemassa oleva IEEE 802.11 -todennus (viitataan standardin vuoden 1999 versiossa määriteltyyn todentamiseen).

Toisin sanoen tämäntyyppisiin algoritmeihin kuuluu avoimen järjestelmän todennus WEP-salauksella tai ilman (tarkemmin sanottuna ei todennusta) ja jaettu avain.

RSNA-algoritmeihin kuuluvat:

TKIP; CCMP; RSNA:n perustamis- ja lopetusmenettely (mukaan lukien IEEE 802.1x -todennuksen käyttö); avainten vaihtomenettely.

Samaan aikaan CCMP-algoritmi on pakollinen, ja TKIP on valinnainen, ja sen tarkoituksena on varmistaa yhteensopivuus vanhempien laitteiden kanssa.

Standardi tarjoaa kaksi toiminnallista mallia: todennus IEEE 802.1x:n kautta eli EAP-protokollaa käyttäen ja autentikaattoriin ja asiakkaaseen rekisteröityä ennalta määritettyä avainta (tätä tilaa kutsutaan nimellä Preshared Key, PSK). Tässä tapauksessa PSK-avain toimii PMK-avaimena, ja niiden todentamisen ja luomisen jatkomenettely ei ole erilainen.

Koska TKIP-menettelyä käyttäviä salausalgoritmeja kutsutaan jo WPA:ksi ja CCMP-proseduuriksi WPA2, voidaan sanoa, että RSNA:ta tyydyttävät salausmenetelmät ovat: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA- Personal), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-Preshared Key, WPA2-Personal).

Menettely yhteyden muodostamiseksi ja avainten vaihtamiseksi TKIP- ja CCMP-algoritmeille on sama. Itse CCMP (laskuritila (CTR) ja CBC-MAC (Cipher-Block Chaining (CBC) ja MAC) -protokolla), kuten TKIP, on suunniteltu tarjoamaan luottamuksellisuutta, todennusta, eheyttä ja suojaa toistohyökkäyksiä vastaan. Algoritmi perustuu FIPS PUB 197 -spesifikaatiossa määriteltyyn AES-salausalgoritmin CCM-menetelmään.

Standardin uusin innovaatio on tuki nopealle verkkovierailuteknologialle tukiasemien välillä käyttämällä PMK-avainten välimuistia ja esitodennusta.

PMK-välimuisti on se, että jos asiakas on kerran läpäissyt täyden todennuksen muodostaessaan yhteyden johonkin tukiasemaan, niin se tallentaa siltä saamansa PMK-avaimen ja seuraavan kerran kun se muodostaa yhteyden tähän pisteeseen, asiakas lähettää aiemmin vastaanotetun PMK-avaimen. . Tämä lopettaa todennuksen, eli 4-suuntaista kättelyä ei suoriteta.

Esitodennusmenettely on, että kun asiakas on muodostanut yhteyden ja läpäissyt liityntäpisteen todennuksen, hän voi samanaikaisesti (ennakolta) läpäistä todennuksen muissa tukiasemissa (jotka hän "kuulee") samalla SSID:llä, eli vastaanottaa etukäteen niiden todennuksen. avain on PMK. Ja jos jatkossa tukiasema, johon se on kytketty, epäonnistuu tai sen signaali osoittautuu heikommaksi kuin jokin muu piste, jolla on sama verkkonimi, asiakas muodostaa yhteyden uudelleen käyttämällä nopeaa mallia välimuistissa olevalla PMK-avaimella.

Vuonna 2001 ilmestynyt WEP2-spesifikaatio, joka nosti avaimen pituuden 104 bittiin, ei ratkaissut ongelmaa, koska alustusvektorin pituus ja tiedon eheyden tarkistusmenetelmä pysyivät samoina. Useimmat hyökkäykset toteutettiin yhtä yksinkertaisesti kuin ennenkin.

Johtopäätös

Lopuksi haluaisin tehdä yhteenvedon kaikista tiedoista ja antaa suosituksia langattomien verkkojen suojaamiseksi.

Langattoman verkon suojaamiseen on kolme mekanismia: määritä asiakas ja tukiasema käyttämään samaa (ei oletusarvoista) SSID:tä, salli tukiaseman kommunikoida vain sellaisten asiakkaiden kanssa, joiden MAC-osoitteet AP tuntee, ja määritä asiakkaat todentamaan AP ja salaa liikenne. Useimmat tukiasemat on määritetty toimimaan oletusarvoisella SSID:llä, ilman sallittujen asiakkaiden MAC-osoitteiden luetteloa ja tunnetulla jaetulla avaimella todennusta ja salausta varten (tai ilman todennusta tai salausta). Yleensä nämä asetukset on dokumentoitu valmistajan Web-sivuston online-ohjeessa. Nämä vaihtoehdot helpottavat kokemattoman käyttäjän langattoman verkon määrittämistä ja käytön aloittamista, mutta samalla ne helpottavat hakkereiden murtautumista verkkoon. Tilannetta pahentaa se, että useimmat liityntäsolmut on määritetty lähettämään SSID:tä. Siksi hyökkääjä voi löytää haavoittuvia verkkoja käyttämällä tavallisia SSID-tunnuksia.

Ensimmäinen askel suojattuun langattomaan verkkoon on muuttaa AP:n oletusarvoinen SSID. Lisäksi tämä asetus on muutettava asiakkaassa, jotta yhteys tukiasemaan voidaan ottaa käyttöön. On kätevää määrittää SSID, joka on järkevä yrityksen järjestelmänvalvojalle ja käyttäjille, mutta ei selkeästi tunnista tätä langatonta verkkoa muiden SSID-tunnusten joukosta, jotka luvattomat henkilöt sieppaavat.

Seuraava vaihe on estää pääsysolmua lähettämästä SSID:tä, jos mahdollista. Tämän seurauksena hyökkääjän on vaikeampaa (vaikka silti mahdollista) havaita langattoman verkon ja SSID:n olemassaolo. Joissakin tukipisteissä et voi peruuttaa SSID-lähetystä. Tällaisissa tapauksissa lähetysväliä tulee suurentaa niin paljon kuin mahdollista. Lisäksi jotkin asiakkaat voivat kommunikoida vain, jos tukisolmu lähettää SSID:n. Siksi saatat joutua kokeilemaan tätä asetusta määrittääksesi, mikä tila sopii sinun tilanteeseen.

Tämän jälkeen voit sallia pääsyn tukisolmuihin vain langattomista asiakkaista, joilla on tunnetut MAC-osoitteet. Tämä ei ehkä sovi suurelle organisaatiolle, mutta pienelle yritykselle, jolla on pieni määrä langattomia asiakkaita, se on luotettava lisäpuolustuslinja. Hyökkääjien on selvitettävä MAC-osoitteet, jotka voivat muodostaa yhteyden yrityksen tukiasemaan, ja korvattava oman langattoman sovittimensa MAC-osoite valtuutetulla osoitteella (joissakin sovitinmalleissa MAC-osoitetta voidaan muuttaa).

Todennus- ja salausvaihtoehtojen valitseminen voi olla vaikein osa langattoman verkon suojaamista. Ennen kuin määrität asetukset, sinun on selvitettävä tukisolmut ja langattomat sovittimet niiden tukemien suojausprotokollien määrittämiseksi, varsinkin jos langattomassa verkossasi on jo määritetty useita eri valmistajien laitteita. Jotkin laitteet, erityisesti vanhemmat tukiasemat ja langattomat sovittimet, eivät ehkä ole yhteensopivia WPA-, WPA2- tai pitkien WEP-avaimien kanssa.

Toinen huomioitava tilanne on, että jotkut vanhemmat laitteet vaativat käyttäjiä syöttämään avainta edustavan heksadesimaaliluvun, kun taas toiset vanhemmat tukiasemat ja langattomat sovittimet vaativat käyttäjiä syöttämään salasanan, joka muuntuu avaimeksi. Tämän seurauksena on vaikea varmistaa, että kaikki laitteet käyttävät yhtä avainta. Tällaisten laitteiden omistajat voivat käyttää resursseja, kuten WEP-avaingeneraattoria, luodakseen satunnaisia ​​WEP-avaimia ja muuntaakseen salalauseita heksadesimaaliluvuiksi.

Yleensä WEP:tä tulee käyttää vain, kun se on ehdottoman välttämätöntä. Jos WEP:n käyttö on pakollista, valitse maksimipituiset avaimet ja määritä verkko avoimeen tilaan jaetun sijaan. Avoin verkko -tilassa asiakkaan todennusta ei suoriteta, ja kuka tahansa voi muodostaa yhteyden pääsysolmuihin. Nämä valmisteluyhteydet kuormittavat osittain langatonta viestintäkanavaa, mutta tukiasemaan yhteyden muodostaneet hyökkääjät eivät voi jatkaa tietojen vaihtoa, koska he eivät tiedä WEP-salausavainta. Voit jopa estää esiyhteydet määrittämällä tukiaseman hyväksymään yhteydet vain tunnetuista MAC-osoitteista. Toisin kuin avoimessa, jaetussa tilassa pääsysolmu käyttää WEP-avainta langattomien asiakkaiden todentamiseen haaste-vastausmenettelyssä, ja hyökkääjä voi purkaa sekvenssin salauksen ja määrittää WEP-salausavaimen.

Jos voit käyttää WPA:ta, sinun on valittava WPA, WPA2 tai WPA-PSK. Päätekijä valittaessa toisaalta WPA:ta tai WPA2:ta ja toisaalta WPA-PSK:ta on kyky ottaa käyttöön WPA:lle ja WPA2:lle tarvittava infrastruktuuri käyttäjien todentamiseen. WPA ja WPA2 edellyttävät RADIUS-palvelimien ja mahdollisesti julkisen avaimen infrastruktuurin (PKI) käyttöönottoa. WPA-PSK, kuten WEP, toimii jaetulla avaimella, jonka langaton asiakas ja tukiasema tuntevat. WPA-PSK Voit turvallisesti käyttää jaettua WPA-PSK-avainta todentamiseen ja salaukseen, koska siinä ei ole WEP:n haittaa.