Isu keselamatan rangkaian tanpa wayar, yang diterangkan dalam beberapa artikel, menimbulkan ketidakpercayaan terhadap teknologi tanpa wayar. Sejauh mana wajarnya?

Mengapa rangkaian wayarles dianggap lebih terdedah daripada rangkaian kabel? DALAM rangkaian berwayar data hanya boleh dipintas jika penyerang mendapat akses fizikal kepada medium penghantaran. Dalam rangkaian wayarles, isyarat bergerak melalui gelombang udara, jadi sesiapa sahaja dalam julat rangkaian boleh memintas isyarat.

Penyerang tidak perlu berada di premis syarikat; ia sudah cukup untuk masuk ke zon penyebaran isyarat radio.

Ancaman kepada rangkaian wayarles

Apabila bersiap untuk melindungi rangkaian wayarles anda, anda perlu memahami perkara yang mungkin mengancamnya terlebih dahulu.

Serangan pasif

Memintas isyarat rangkaian wayarles adalah serupa dengan mendengar penghantaran radio. Apa yang anda perlukan ialah komputer riba (atau PDA) dan penganalisis protokol tanpa wayar. Terdapat salah tanggapan yang meluas bahawa sambungan tanpa kebenaran ke rangkaian wayarles di luar pejabat boleh dihentikan dengan memantau kuasa output isyarat. Ini tidak benar, kerana penggunaan kad wayarles sensitiviti tinggi dan antena berarah oleh penyerang boleh mengatasi langkah keselamatan ini dengan mudah.

Walaupun selepas mengurangkan kemungkinan sambungan yang tidak dibenarkan ke rangkaian, seseorang tidak seharusnya mengabaikan kemungkinan "mendengar" trafik, jadi untuk kerja selamat Dalam rangkaian wayarles, adalah perlu untuk menyulitkan maklumat yang dihantar.

Serangan aktif

Adalah berbahaya untuk menyambungkan rangkaian wayarles yang tidak selamat rangkaian kabel. Titik capaian tidak selamat yang disambungkan ke rangkaian tempatan adalah pintu terbuka luas untuk penyerang. Bagi perniagaan, ini berisiko membenarkan pesaing mendapat akses kepada dokumen sulit. Rangkaian wayarles tidak selamat membenarkan penggodam memintas tembok api dan tetapan keselamatan yang melindungi rangkaian daripada serangan melalui Internet. Pada rangkaian rumah, penyerang boleh mendapatkan akses percuma ke Internet dengan mengorbankan jiran mereka.

Titik capaian tidak terkawal yang disambungkan ke rangkaian tanpa kebenaran harus dipantau dan dikenal pasti. Perkara sedemikian, sebagai peraturan, ditubuhkan oleh pekerja perusahaan itu sendiri. (Sebagai contoh, pengurus jualan membeli pusat akses wayarles dan menggunakannya untuk terus berhubung sepanjang masa.) Titik sedemikian boleh disambungkan khas ke rangkaian oleh penyerang untuk mendapatkan akses kepada rangkaian syarikat di luar pejabat.

Perlu diingat bahawa kedua-dua komputer disambungkan ke rangkaian wayarles dan yang mempunyai kad tanpa wayar dengan tetapan lalai (ia biasanya tidak menyekat penembusan melalui rangkaian wayarles). Sebagai contoh, semasa pengguna menunggu penerbangannya menyemak imbas sumber Internet melalui rangkaian Wi-Fi yang digunakan di lapangan terbang, seorang penggodam yang duduk berdekatan sedang mengkaji maklumat yang disimpan pada komputer pekerja mudah alih. Pengguna yang bekerja melalui rangkaian wayarles di kafe, pusat pameran, lobi hotel, dsb. mungkin tertakluk kepada serangan serupa.

Cari rangkaian wayarles yang tersedia

Untuk mencari secara aktif rangkaian wayarles yang terdedah (Pemandu perang), kereta dan kit biasanya digunakan peralatan tanpa wayar: antena kecil, kad rangkaian wayarles, komputer riba dan mungkin penerima GPS. Menggunakan program pengimbas yang digunakan secara meluas seperti Netstumbler, anda boleh mencari kawasan penerimaan rangkaian wayarles dengan mudah.

Peminat War Driving mempunyai banyak cara untuk berkongsi maklumat. Salah satu daripadanya (War Chalking) melibatkan lukisan simbol pada rajah dan peta yang menunjukkan rangkaian wayarles yang dikesan. Penamaan ini mengandungi maklumat tentang kekuatan isyarat radio, kehadiran satu atau lain jenis perlindungan rangkaian, dan keupayaan untuk mengakses Internet. Peminat "sukan" ini bertukar maklumat melalui tapak Internet, "penyiaran", khususnya, peta terperinci dengan lokasi rangkaian yang dikesan. By the way, ia berguna untuk menyemak sama ada alamat anda ada di sana.

Penafian perkhidmatan

Akses Internet percuma atau rangkaian korporat tidak selalu menjadi sasaran penyerang. Kadangkala matlamat penggodam adalah untuk melumpuhkan rangkaian wayarles.

Serangan penafian perkhidmatan boleh dicapai dalam beberapa cara. Jika penggodam berjaya mewujudkan sambungan ke rangkaian wayarles, tindakan jahatnya boleh menyebabkan beberapa akibat yang serius, seperti menghantar respons kepada permintaan Address Resolution Protocol (ARP) untuk menukar jadual ARP peranti rangkaian untuk mengganggu penghalaan rangkaian atau pengenalan pelayan Protokol Konfigurasi Hos Dinamik (DHCP) yang tidak dibenarkan untuk mengeluarkan alamat tidak beroperasi dan topeng rangkaian. Jika penggodam mengetahui butiran tetapan rangkaian wayarles, dia boleh menyambung semula pengguna ke pusat capaiannya (lihat rajah), dan yang terakhir akan diputuskan daripada sumber rangkaian yang boleh diakses melalui pusat capaian "sah".

Memperkenalkan pusat akses yang tidak dibenarkan.

Penyerang juga boleh menyekat frekuensi yang digunakan oleh rangkaian wayarles dengan menggunakan penjana isyarat (ini boleh dibuat daripada bahagian ketuhar gelombang mikro). Akibatnya, keseluruhan rangkaian wayarles atau sebahagian daripadanya akan gagal.

Pertimbangan Keselamatan dalam Piawaian IEEE 802.11

Piawaian 802.11 asal menyediakan keselamatan rangkaian wayarles menggunakan piawaian Privasi Setara Berwayar (WEP). Rangkaian wayarles yang menggunakan WEP memerlukan kunci WEP statik untuk dikonfigurasikan pada pusat akses dan semua stesen. Kunci ini boleh digunakan untuk pengesahan dan penyulitan data. Jika ia terjejas (contohnya, jika komputer riba hilang), perlu menukar kunci pada semua peranti, yang kadang-kadang sangat sukar. Apabila menggunakan kekunci WEP untuk pengesahan stesen tanpa wayar hantar permintaan yang sesuai ke pusat akses, menerima mesej yang tidak disulitkan sebagai tindak balas (cabaran teks jelas). Pelanggan mesti menyulitkannya menggunakan kunci WEP sendiri dan mengembalikannya ke pusat akses, yang akan menyahsulit mesej menggunakan kunci WEP sendiri. Jika mesej yang dinyahsulit sepadan dengan yang asal, ini bermakna pelanggan mengetahui kunci WEP. Oleh itu, pengesahan dianggap berjaya dan pemberitahuan yang sepadan dihantar kepada pelanggan.

Setelah berjaya menyelesaikan pengesahan dan persatuan, peranti wayarles boleh menggunakan kunci WEP untuk menyulitkan trafik antara peranti dan pusat akses.

Piawaian 802.11 mentakrifkan mekanisme kawalan akses lain. Pusat akses boleh menggunakan penapisan alamat perkakasan (Kawalan Akses Media, MAC), memberikan atau menafikan akses berdasarkan alamat MAC pelanggan. Kaedah ini menyukarkan, tetapi tidak menghalang, sambungan peranti yang tidak dibenarkan.

Sejauh mana keselamatan WEP?

Salah satu peraturan kriptografi ialah: mempunyai teks kosong dan versi penyulitannya, anda boleh menetapkan kaedah penyulitan yang digunakan. Ini benar terutamanya apabila menggunakan algoritma penyulitan lemah dan kunci simetri, seperti yang disediakan oleh WEP.

Protokol ini menggunakan algoritma RC4 untuk penyulitan. Kelemahannya ialah jika anda menyulitkan teks biasa yang diketahui, outputnya akan menjadi aliran utama yang digunakan untuk menyulitkan data. Menurut standard 802.11, aliran utama terdiri daripada kunci WEP dan vektor permulaan 24-bit. Untuk setiap paket, vektor berikut digunakan dan dihantar dalam teks yang jelas bersama-sama dengan paket supaya stesen penerima boleh menggunakannya bersama-sama dengan kunci WEP untuk menyahsulit paket.

Jika anda menerima satu aliran utama, maka anda boleh menyahsulit mana-mana paket yang disulitkan dengan vektor yang sama. Oleh kerana vektor berubah untuk setiap paket, anda perlu menunggu untuk penyahsulitan pakej seterusnya, menggunakan vektor yang sama. Untuk dapat menyahsulit WEP, set lengkap vektor dan aliran utama mesti dipasang. Alat pemecah WEP berfungsi dengan cara ini.

Anda boleh mendapatkan teks biasa dan teks yang disulitkan semasa proses pengesahan pelanggan. Dengan memintas trafik dalam tempoh masa tertentu, anda boleh mengumpul jumlah data awal yang diperlukan untuk melakukan serangan. Untuk mengumpul data yang diperlukan untuk analisis, penggodam menggunakan banyak kaedah lain, termasuk serangan "lelaki di tengah".

Apabila memutuskan format bingkai untuk rangkaian wayarles, IEEE mencadangkan formatnya sendiri yang dipanggil Subnetwork Address Protocol (SNAP).

Dua bait yang mengikuti pengepala MAC dalam bingkai SNAP 802.11 sentiasa "AA AA". WEP menyulitkan semua bait mengikut pengepala MAC, jadi dua bait pertama yang disulitkan sentiasa mengetahui teks biasa (“AA AA”). Laluan ini memberi peluang untuk menerima serpihan mesej yang disulitkan dan jelas.

Utiliti untuk memecahkan WEP diedarkan secara percuma di Internet. Yang paling terkenal ialah AirSnort dan WEPCrack. Untuk berjaya memecahkan kunci WEP menggunakan mereka, ia cukup untuk mengumpul dari 100 ribu hingga 1 juta paket. Utiliti baharu Aircrack dan Weplab untuk memecahkan kekunci WEP melaksanakan lebih banyak lagi algoritma yang cekap, yang memerlukan paket yang jauh lebih sedikit. Atas sebab ini, WEP tidak boleh dipercayai.

Teknologi wayarles menjadi lebih selamat

Hari ini, banyak syarikat menggunakan rangkaian wayarles yang mudah dan selamat. Piawaian 802.11i membawa keselamatan ke tahap baharu. Kumpulan Kerja IEEE 802.11i, yang tugasnya adalah untuk mencipta piawai keselamatan wayarles baharu, telah dibentuk selepas mengkaji kerentanan protokol WEP. Ia mengambil sedikit masa untuk dibangunkan, jadi kebanyakan pengeluar peralatan, tanpa menunggu standard baru dikeluarkan, mula menawarkan kaedah mereka sendiri (lihat. ). Pada tahun 2004, piawaian baru muncul, bagaimanapun, pembekal peralatan, secara inersia, terus menggunakan penyelesaian lama.

802.11i menentukan penggunaan Standard Penyulitan Lanjutan (AES) dan bukannya WEP. AES adalah berdasarkan pelaksanaan algoritma Rendell, yang kebanyakan penganalisis kriptografi mengiktiraf sebagai kukuh. Algoritma ini merupakan peningkatan ketara berbanding RC4 pendahulunya yang lemah, yang digunakan dalam WEP: ia menggunakan kunci 128, 192 dan 256 bit, bukannya 64 bit yang digunakan dalam piawaian 802.11 asal. Piawaian 802.11i baharu juga mentakrifkan penggunaan TKIP, CCMP dan 802.1x/EAP.

EAP-MD5 mengesahkan identiti pengguna dengan mengesahkan kata laluan. Isu penggunaan penyulitan trafik diserahkan kepada pentadbir rangkaian. Kelemahan EAP-MD5 ialah ia tidak memerlukan penyulitan, jadi EAP-MD5 membenarkan serangan "lelaki di tengah".

Protokol Lightweight EAP (LEAP), yang dicipta oleh Cisco, menyediakan bukan sahaja penyulitan data, tetapi juga putaran kunci. LEAP tidak memerlukan klien mempunyai kunci kerana ia dihantar dengan selamat selepas pengguna telah disahkan. Ia membolehkan pengguna menyambung dengan mudah ke rangkaian menggunakan akaun dan kata laluan.

Pelaksanaan LEAP awal hanya menyediakan pengesahan pengguna sehala. Cisco kemudiannya menambah keupayaan pengesahan bersama. Walau bagaimanapun, protokol LEAP didapati terdedah kepada serangan kamus. Fellow Institut Amerika pentadbiran sistem, Telekomunikasi dan Keselamatan (SANS) Joshua Wright membangunkan utiliti ASLEAP, yang melakukan serangan serupa, selepas itu Cisco mengesyorkan menggunakan kata laluan yang kuat sekurang-kurangnya lapan aksara, termasuk aksara khas, watak utama, huruf kecil dan nombor. LEAP adalah selamat setakat kata laluan itu tahan terhadap percubaan meneka.

Pelaksanaan EAP yang lebih kukuh, EAP-TLS, yang menggunakan sijil digital prapasang pada klien dan pelayan, telah dibangunkan oleh Microsoft. Kaedah ini menyediakan pengesahan bersama dan bergantung bukan sahaja pada kata laluan pengguna, tetapi juga menyokong putaran dan pengedaran dinamik kunci. Kelemahan EAP-TLS ialah ia memerlukan pemasangan sijil pada setiap pelanggan, yang boleh memakan masa dan mahal. Di samping itu, kaedah ini tidak praktikal untuk digunakan dalam rangkaian di mana pekerja kerap bertukar.

Pengeluar rangkaian wayarles mempromosikan penyelesaian untuk memudahkan proses bagi pengguna yang dibenarkan untuk menyambung ke rangkaian wayarles. Idea ini boleh dilaksanakan sepenuhnya jika anda mendayakan LEAP dan mengedarkan nama pengguna dan kata laluan. Tetapi jika anda perlu menggunakan sijil digital atau memasukkan kunci WEP yang panjang, proses itu boleh menjadi membosankan.

Microsoft, Cisco dan RSA bekerjasama untuk membangunkan protokol baharu, PEAP, yang menggabungkan kemudahan penggunaan LEAP dengan keselamatan EAP-TLS. PEAP menggunakan sijil yang dipasang pada pelayan dan pengesahan kata laluan untuk pelanggan. Penyelesaian serupa - EAP-TTLS - dikeluarkan oleh Funk Software.

Pelbagai pengeluar menyokong Pelbagai jenis EAP, serta beberapa jenis pada masa yang sama. Proses EAP adalah serupa untuk semua jenis.

Operasi EAP biasa

Apa itu WPA

Selepas rangkaian wayarles diisytiharkan tidak selamat, pengeluar mula melaksanakan keputusan sendiri untuk memastikan keselamatan. Ini meninggalkan syarikat dengan pilihan: gunakan penyelesaian vendor tunggal atau tunggu standard 802.11i dikeluarkan. Tarikh pakai standard tidak diketahui, jadi Wi-Fi Alliance telah dibentuk pada tahun 1999. Matlamatnya adalah untuk menyatukan interaksi produk rangkaian wayarles.

Wi-Fi Alliance telah meluluskan protokol selamat akses tanpa wayar(Wireless Protected Access, WPA), menganggapnya sebagai penyelesaian sementara sehingga standard 802.11i dikeluarkan. Protokol WPA menggunakan piawaian TKIP dan 802.1x/EAP. mana-mana peralatan Wi-Fi Peranti yang disahkan mematuhi WPA mesti beroperasi bersama dengan peralatan lain yang diperakui. Penjual boleh menggunakan mekanisme keselamatan mereka sendiri, tetapi mesti sentiasa menyertakan sokongan untuk piawaian Wi-Fi.

Selepas pengumuman awal parameter 802.11i, Wi-Fi Alliance mencipta standard WPA2. Sebarang peralatan yang diperakui WPA2 adalah serasi sepenuhnya dengan 802.11i. Jika rangkaian wayarles perusahaan anda tidak menyokong 802.11i, anda harus berhijrah ke 802.11i secepat mungkin untuk memastikan keselamatan yang mencukupi.

Apakah Penapisan Alamat MAC?

Jika WEP tidak selamat, bolehkah penapisan alamat perkakasan (Kawalan Akses Media (MAC)) melindungi rangkaian wayarles? Malangnya, penapis alamat MAC direka untuk menghalang sambungan yang tidak dibenarkan; mereka tidak berkuasa terhadap pemintasan lalu lintas.

Penapisan alamat MAC tidak mempunyai kesan ketara terhadap keselamatan rangkaian wayarles. Ia hanya memerlukan satu perkara daripada penyerang tindakan tambahan: Ketahui alamat MAC yang dibenarkan. (Dengan cara ini, kebanyakan pemandu kad rangkaian membenarkan anda mengubahnya.)

Betapa mudahnya untuk mengetahui alamat MAC yang dibenarkan? Untuk mendapatkan alamat MAC yang berfungsi, sudah cukup untuk memantau trafik wayarles untuk beberapa waktu menggunakan penganalisis protokol. Alamat MAC boleh dipintas walaupun trafik disulitkan kerana pengepala paket yang termasuk alamat dihantar dalam jelas.

protokol TKIP

Protokol Integriti Kunci Temporal (TKIP) direka bentuk untuk mengatasi kelemahan protokol WEP. Piawaian TKIP meningkatkan keselamatan WEP melalui putaran kunci, vektor permulaan yang lebih lama dan semakan integriti data.

Program pemecahan WEP mengambil kesempatan daripada kelemahan kunci statik: selepas memintas bilangan paket yang diperlukan, mereka boleh menyahsulit trafik dengan mudah. Menukar kekunci secara kerap menghalang jenis serangan ini. TKIP menukar kekunci secara dinamik setiap 10 ribu paket. Pelaksanaan protokol kemudian membolehkan anda menukar selang putaran kunci dan juga menetapkan algoritma untuk menukar kunci penyulitan untuk setiap paket data (Pengkunci Per-Paket, PPK).

Kunci penyulitan yang digunakan dalam TKIP telah menjadi lebih selamat daripada kunci WEP. Ia terdiri daripada kunci dinamik 128-bit, yang ditambahkan alamat MAC stesen dan vektor permulaan 48-bit (dua kali ganda panjang vektor 802.11 asal). Kaedah ini dikenali sebagai "pencampuran kunci" dan memastikan bahawa mana-mana dua stesen tidak menggunakan kunci yang sama.

Protokol ini juga mempunyai kaedah terbina dalam untuk memastikan integriti data (Message Integrity Cheek, MIC, juga dipanggil Michael).

Artikel ini ditumpukan kepada isu keselamatan apabila menggunakan rangkaian WiFi wayarles.

Pengenalan - Kerentanan WiFi

sebab utama Kerentanan data pengguna apabila data ini dihantar melalui rangkaian WiFi terletak pada fakta bahawa pertukaran berlaku melalui gelombang radio. Dan ini memungkinkan untuk memintas mesej pada bila-bila masa di mana isyarat WiFi tersedia secara fizikal. Ringkasnya, jika isyarat titik capaian dapat dikesan pada jarak 50 meter, maka pemintasan semua trafik rangkaian rangkaian WiFi ini mungkin dalam radius 50 meter dari titik akses. Di bilik sebelah, di tingkat lain bangunan, di jalan.

Bayangkan gambar ini. Di pejabat, rangkaian tempatan dibina melalui WiFi. Isyarat dari titik akses pejabat ini diambil di luar bangunan, contohnya di tempat letak kereta. Penyerang di luar bangunan boleh mendapat akses kepada rangkaian pejabat, iaitu, tanpa disedari oleh pemilik rangkaian ini. Rangkaian WiFi boleh diakses dengan mudah dan diam-diam. Secara teknikalnya lebih mudah daripada rangkaian berwayar.

ya. Sehingga kini, cara untuk melindungi rangkaian WiFi telah dibangunkan dan dilaksanakan. Perlindungan ini adalah berdasarkan menyulitkan semua trafik antara pusat akses dan peranti akhir yang disambungkan kepadanya. Iaitu, penyerang boleh memintas isyarat radio, tetapi baginya ia hanya "sampah" digital.

Bagaimanakah perlindungan WiFi berfungsi?

Pusat akses termasuk dalam rangkaian WiFinya hanya peranti yang menghantar kata laluan yang betul (dinyatakan dalam tetapan pusat akses). Dalam kes ini, kata laluan juga dihantar disulitkan, dalam bentuk cincang. Hash adalah hasil daripada penyulitan tidak boleh balik. Iaitu, data yang telah dicincang tidak boleh dinyahsulit. Jika penyerang memintas cincang kata laluan, dia tidak akan dapat mendapatkan kata laluan.

Tetapi bagaimana titik akses mengetahui sama ada kata laluan itu betul atau tidak? Bagaimana jika dia juga menerima cincangan, tetapi tidak boleh menyahsulitnya? Ia mudah - dalam tetapan pusat akses kata laluan ditentukan dalam bentuk tulennya. Program kebenaran mengambil kata laluan kosong, mencipta cincang daripadanya, dan kemudian membandingkan cincang ini dengan yang diterima daripada klien. Jika cincang sepadan, maka kata laluan pelanggan adalah betul. Ciri kedua cincang digunakan di sini - ia unik. Hash yang sama tidak boleh diperoleh daripada dua set yang berbeza data (kata laluan). Jika dua cincang sepadan, maka kedua-duanya dicipta daripada set data yang sama.

By the way. Terima kasih kepada ciri ini, cincang digunakan untuk mengawal integriti data. Jika dua cincang (dicipta dalam tempoh masa) sepadan, maka data asal (sepanjang tempoh masa itu) tidak diubah.

Walau bagaimanapun, walaupun pada hakikatnya yang paling kaedah moden Perlindungan rangkaian WiFi (WPA2) boleh dipercayai, rangkaian ini boleh digodam. Bagaimana?

Terdapat dua kaedah untuk mengakses rangkaian yang dilindungi oleh WPA2:

1. Pemilihan kata laluan menggunakan pangkalan data kata laluan (dipanggil carian kamus).
2. Eksploitasi kelemahan dalam fungsi WPS.

Dalam kes pertama, penyerang memintas cincang kata laluan untuk titik akses. Hash kemudiannya dibandingkan dengan pangkalan data beribu-ribu atau berjuta-juta perkataan. Satu perkataan diambil daripada kamus, cincang dijana untuk perkataan ini dan kemudian cincang ini dibandingkan dengan cincang yang dipintas. Jika kata laluan primitif digunakan pada titik akses, maka memecahkan kata laluan titik akses ini memerlukan masa. Sebagai contoh, kata laluan 8 digit (panjang 8 aksara ialah panjang kata laluan minimum untuk WPA2) ialah satu juta kombinasi. hidup komputer moden Anda boleh menyusun satu juta nilai dalam beberapa hari atau jam.

Dalam kes kedua, kelemahan dalam versi pertama fungsi WPS dieksploitasi. Ciri ini membolehkan anda menyambungkan peranti yang tidak mempunyai kata laluan, seperti pencetak, ke pusat akses. Apabila menggunakan ciri ini, peranti dan pusat akses bertukar kod digital dan jika peranti menghantar kod yang betul, pusat akses membenarkan klien. Terdapat kelemahan dalam fungsi ini - kod itu mempunyai 8 digit, tetapi hanya empat daripadanya telah disemak untuk keunikan! Iaitu, untuk menggodam WPS anda perlu mencari melalui semua nilai yang memberikan 4 digit. Akibatnya, penggodaman pusat akses melalui WPS boleh dilakukan dalam beberapa jam sahaja, pada mana-mana peranti yang paling lemah.

Menyediakan keselamatan rangkaian WiFi

Keselamatan rangkaian WiFi ditentukan oleh tetapan pusat akses. Beberapa tetapan ini secara langsung menjejaskan keselamatan rangkaian.

Mod akses rangkaian WiFi

Titik akses boleh beroperasi dalam salah satu daripada dua mod - terbuka atau dilindungi. Bila akses terbuka, mana-mana peranti boleh menyambung ke pusat akses. Dalam kes akses yang dilindungi, hanya peranti yang menghantar kata laluan yang betul akses.

Terdapat tiga jenis (standard) perlindungan rangkaian WiFi:

• WEP (Privasi Setara Berwayar). Piawaian perlindungan yang pertama. Hari ini ia sebenarnya tidak memberikan perlindungan, kerana ia boleh digodam dengan sangat mudah kerana kelemahan mekanisme perlindungan.
• WPA (Akses Dilindungi Wi-Fi). Secara kronologi standard kedua perlindungan. Pada masa penciptaan dan pentauliahan, ia memberikan perlindungan yang berkesan untuk rangkaian WiFi. Tetapi pada penghujung tahun 2000-an, peluang penggodaman ditemui keselamatan WPA melalui kelemahan dalam mekanisme perlindungan.
• WPA2 (Akses Dilindungi Wi-Fi). Standard perlindungan terkini. Menyediakan perlindungan yang boleh dipercayai apabila peraturan tertentu dipatuhi. Sehingga kini, hanya terdapat dua cara yang diketahui untuk memecahkan keselamatan WPA2. Kata laluan kamus brute force dan penyelesaian menggunakan perkhidmatan WPS.

Oleh itu, untuk memastikan keselamatan rangkaian WiFi anda, anda mesti memilih jenis keselamatan WPA2. Walau bagaimanapun, tidak semua peranti pelanggan boleh menyokongnya. Sebagai contoh, Windows XP SP2 hanya menyokong WPA.

Selain memilih standard WPA2, syarat tambahan diperlukan:

Gunakan kaedah penyulitan AES.

Kata laluan untuk mengakses rangkaian WiFi mesti terdiri seperti berikut:

1. guna huruf dan nombor dalam kata laluan. Satu set rawak huruf dan nombor. Atau perkataan atau frasa yang sangat jarang yang bermakna hanya untuk anda.
2. Tidak guna kata laluan mudah seperti nama + tarikh lahir, atau beberapa perkataan + beberapa nombor, sebagai contoh lena1991 atau dom12345.
3. Jika anda perlu menggunakan sahaja kata laluan digital, maka panjangnya mestilah sekurang-kurangnya 10 aksara. Kerana kata laluan digital lapan aksara dipilih menggunakan kaedah kekerasan. masa sebenar(dari beberapa jam hingga beberapa hari, bergantung pada kuasa komputer).

Jika anda menggunakan kata laluan yang kompleks, mengikut peraturan ini, rangkaian WiFi anda tidak boleh digodam dengan meneka kata laluan menggunakan kamus. Sebagai contoh, untuk kata laluan seperti 5Fb9pE2a(alfanumerik rawak), maksimum mungkin 218340105584896 gabungan. Hari ini hampir mustahil untuk memilih. Walaupun komputer membandingkan 1,000,000 (juta) perkataan sesaat, ia akan mengambil masa hampir 7 tahun untuk mengulangi semua nilai.

WPS (Persediaan Dilindungi Wi-Fi)

Jika pusat akses mempunyai fungsi WPS (Wi-Fi Protected Setup), anda perlu menyahdayakannya. Jika ciri ini diperlukan, anda mesti memastikan versinya dikemas kini kepada keupayaan berikut:

1. Menggunakan kesemua 8 aksara kod PIN dan bukannya 4, seperti yang berlaku pada mulanya.
2. Dayakan kelewatan selepas beberapa percubaan untuk menghantar kod PIN yang salah daripada pelanggan.

Pilihan tambahan untuk meningkatkan keselamatan WPS ialah menggunakan kod PIN alfanumerik.

Keselamatan WiFi Awam

Hari ini adalah bergaya untuk menggunakan Internet melalui rangkaian WiFi di tempat awam - di kafe, restoran, pusat membeli-belah, dll. Adalah penting untuk memahami bahawa menggunakan rangkaian sedemikian boleh menyebabkan kecurian data peribadi anda. Jika anda mengakses Internet melalui rangkaian sedemikian dan kemudian log masuk ke tapak web, data anda (nama pengguna dan kata laluan) mungkin dipintas oleh orang lain yang disambungkan ke rangkaian WiFi yang sama. Lagipun, pada mana-mana peranti yang telah lulus kebenaran dan disambungkan ke pusat akses, anda boleh memintas trafik rangkaian daripada semua peranti lain pada rangkaian ini. Dan keanehan rangkaian WiFi awam ialah sesiapa sahaja boleh menyambung kepadanya, termasuk penyerang, dan bukan sahaja ke rangkaian terbuka, tetapi juga kepada rangkaian yang dilindungi.

Apakah yang boleh anda lakukan untuk melindungi data anda apabila menyambung ke Internet melalui rangkaian WiFi awam? Terdapat hanya satu pilihan - untuk menggunakan protokol HTTPS. Protokol ini mewujudkan sambungan yang disulitkan antara klien (pelayar) dan tapak. Tetapi tidak semua tapak menyokong protokol HTTPS. Alamat di tapak yang menyokong protokol HTTPS bermula dengan awalan https://. Jika alamat pada tapak mempunyai awalan http://, ini bermakna tapak tersebut tidak menyokong HTTPS atau tidak menggunakannya.

Sesetengah tapak tidak menggunakan HTTPS secara lalai, tetapi mempunyai protokol ini dan boleh digunakan jika anda secara eksplisit (secara manual) menyatakan awalan https://.

Bagi kes lain penggunaan Internet - sembang, Skype, dsb., anda boleh menggunakan pelayan VPN percuma atau berbayar untuk melindungi data ini. Iaitu, mula-mula menyambung ke pelayan VPN, dan hanya kemudian gunakan sembang atau tapak terbuka.

Perlindungan Kata Laluan WiFi

Dalam bahagian kedua dan ketiga artikel ini, saya menulis bahawa dalam hal menggunakan standard keselamatan WPA2, salah satu cara Penggodaman WiFi rangkaian adalah untuk memilih kata laluan menggunakan kamus. Tetapi terdapat satu lagi peluang untuk penyerang mendapatkan kata laluan ke rangkaian WiFi anda. Jika anda menyimpan kata laluan anda pada nota melekit yang dilekatkan pada monitor, ini membolehkan orang yang tidak dikenali melihat kata laluan ini. Dan kata laluan anda boleh dicuri daripada komputer yang disambungkan ke rangkaian WiFi anda. Ini boleh dilakukan oleh orang luar jika komputer anda tidak dilindungi daripada akses oleh orang luar. Ini boleh dilakukan menggunakan perisian hasad. Di samping itu, kata laluan boleh dicuri dari peranti yang diambil di luar pejabat (rumah, apartmen) - dari telefon pintar, tablet.

Oleh itu, jika anda memerlukan perlindungan yang boleh dipercayai untuk rangkaian WiFi anda, anda perlu mengambil langkah untuk menyimpan kata laluan anda dengan selamat. Lindunginya daripada akses oleh orang yang tidak dibenarkan.

Jika anda mendapati artikel ini berguna atau hanya menyukainya, maka jangan teragak-agak untuk menyokong pengarang secara kewangan. Ini mudah dilakukan dengan membuang wang Nombor Dompet Yandex 410011416229354. Atau di telefon +7 918-16-26-331 .

Jumlah yang sedikit pun boleh membantu menulis artikel baru :)

Kebimbangan utama untuk semua LAN wayarles (dan semua LAN berwayar, dalam hal ini) ialah keselamatan. Keselamatan adalah sama penting di sini seperti mana-mana pengguna Internet. Keselamatan adalah isu yang kompleks dan memerlukan perhatian yang berterusan. Kemudaratan yang besar boleh berlaku kepada pengguna kerana fakta bahawa dia menggunakan titik panas rawak (hot-spot) atau titik terbuka Akses WI-FI rumah atau pejabat dan tidak menggunakan penyulitan atau VPN (Rangkaian Persendirian Maya) rangkaian peribadi). Ini berbahaya kerana pengguna memasukkan data peribadi atau profesionalnya, dan rangkaian tidak dilindungi daripada pencerobohan luar.

WEP

Pada mulanya, sukar untuk menyediakan keselamatan yang mencukupi untuk LAN wayarles.

Penggodam mudah berhubung dengan hampir sebarang WiFi rangkaian dengan memecahkan versi awal sistem keselamatan seperti Wired Equivalent Privacy (WEP). Peristiwa ini meninggalkan jejak mereka, dan untuk masa yang lama Sesetengah syarikat enggan atau tidak melaksanakan rangkaian wayarles sama sekali, bimbang data dipindahkan antara wayarles peranti WiFi dan titik akses Wi-Fi boleh dipintas dan dinyahsulit. Oleh itu, model keselamatan ini memperlahankan penyepaduan rangkaian wayarles ke dalam perniagaan dan membuatkan orang ramai yang menggunakan rangkaian WiFi di rumah gementar. Kemudian Institut IEEE dicipta kerja berkumpulan 802.11i, yang berfungsi untuk mencipta model keselamatan yang komprehensif untuk menyediakan penyulitan dan pengesahan AES 128-bit untuk melindungi data. Wi-Fi Alliance memperkenalkan versi perantaraannya sendiri bagi spesifikasi keselamatan 802.11i ini: Wi-Fi Protected Access (WPA). Modul WPA menggabungkan beberapa teknologi untuk menyelesaikan kelemahan sistem 802.11 WEP. Oleh itu, WPA menyediakan pengesahan pengguna yang boleh dipercayai menggunakan standard 802.1x (pengesahan bersama dan enkapsulasi data yang dihantar antara peranti pelanggan wayarles, pusat akses dan pelayan) dan Protokol Pengesahan Boleh Diperluas (EAP).

Prinsip pengendalian sistem keselamatan ditunjukkan secara skematik dalam Rajah 1

Selain itu, WPA dilengkapi dengan modul sementara untuk menyulitkan enjin WEP melalui penyulitan kunci 128-bit dan menggunakan Protokol Integriti Kunci Temporal (TKIP). Dan semakan mesej (MIC) menghalang paket data daripada diubah atau diformat. Gabungan teknologi ini melindungi kerahsiaan dan integriti penghantaran data dan menjamin keselamatan melalui kawalan akses supaya hanya pengguna yang dibenarkan mendapat akses kepada rangkaian.

WPA

Meningkatkan lagi keselamatan dan kawalan akses WPA ialah penciptaan induk kunci baharu yang unik untuk komunikasi antara peralatan wayarles dan titik akses setiap pengguna serta menyediakan sesi pengesahan. Dan juga, dalam mencipta penjana kunci rawak dan dalam proses menjana kunci untuk setiap pakej.

IEEE telah mengesahkan standard 802.11i pada Jun 2004, dengan ketara mengembangkan banyak keupayaan terima kasih kepada teknologi WPA. Wi-Fi Alliance telah mengukuhkan modul keselamatannya dalam program WPA2. Oleh itu, tahap keselamatan penghantaran data WiFi Piawaian 802.11 telah dikeluarkan tahap yang diperlukan untuk pelaksanaan penyelesaian dan teknologi tanpa wayar dalam perusahaan. Salah satu perubahan ketara daripada 802.11i (WPA2) kepada WPA ialah penggunaan 128-bit Advanced Encryption Standard (AES). WPA2 AES menggunakan mod anti-CBC-MAC (mod operasi untuk blok sifir yang membenarkan satu kunci digunakan untuk kedua-dua penyulitan dan pengesahan) untuk memberikan perlindungan kerahsiaan, pengesahan, integriti dan main semula data. Piawaian 802.11i juga menawarkan caching utama dan pra-pengesahan untuk mengatur pengguna merentasi pusat akses.

WPA2

Dengan standard 802.11i, keseluruhan rangkaian modul keselamatan (log masuk, pertukaran kelayakan, pengesahan dan penyulitan data) menjadi lebih selamat dan perlindungan yang berkesan daripada serangan tidak terarah dan disasarkan. Sistem WPA2 membenarkan pentadbir rangkaian Wi-Fi beralih daripada isu keselamatan kepada mengurus operasi dan peranti.

Piawaian 802.11r ialah pengubahsuaian piawai 802.11i. Piawaian ini telah disahkan pada Julai 2008. Teknologi standard dengan lebih cepat dan boleh dipercayai memindahkan hierarki utama berdasarkan teknologi Handoff apabila pengguna bergerak antara titik akses. Piawaian 802.11r serasi sepenuhnya dengan piawaian WiFi 802.11a/b/g/n.

Terdapat juga standard 802.11w, yang bertujuan untuk menambah baik mekanisme keselamatan berdasarkan standard 802.11i. Piawaian ini direka bentuk untuk melindungi paket kawalan.

Piawaian 802.11i dan 802.11w ialah mekanisme keselamatan untuk rangkaian WiFi 802.11n.

Menyulitkan fail dan folder dalam Windows 7

Ciri penyulitan membolehkan anda menyulitkan fail dan folder yang kemudiannya mustahil untuk dibaca pada peranti lain tanpanya kunci khas. Ciri ini terdapat dalam versi Windows 7 seperti Professional, Enterprise atau Ultimate. Berikut akan merangkumi cara untuk mendayakan penyulitan fail dan folder.

Mendayakan penyulitan fail:

Mula -> Komputer (pilih fail untuk disulitkan) -> butang kanan tetikus pada fail -> Properties -> Lanjutan (tab Umum) -> Atribut tambahan -> Tandai kotak Sulitkan kandungan untuk melindungi data -> Ok -> Guna - > Ok(Pilih gunakan untuk fail sahaja)->

Mendayakan penyulitan folder:

Mula -> Komputer (pilih folder untuk menyulitkan) -> butang kanan tetikus pada folder -> Properties -> Lanjutan (tab Umum) -> Atribut tambahan -> Tandai kotak Sulitkan kandungan untuk melindungi data -> Ok -> Guna - > Ok (Pilih gunakan hanya untuk fail) -> Tutup dialog Properties (Klik Ok atau Tutup).

Sejak beberapa tahun kebelakangan ini, populariti rangkaian wayarles telah meningkat dengan ketara. Pertumbuhan populariti akses wayarles sebahagian besarnya dipengaruhi oleh faktor seperti penyepaduan ke dalam komputer riba moden kad akses wayarles, kemunculan peranti PDA, telefon IP radio, dsb. Menurut IDC, menjelang akhir tahun 2004 ia dirancang bahawa penjualan peralatan akses tanpa wayar akan mencapai 64 juta peranti (sebagai perbandingan, 24 juta peranti telah dijual pada tahun 2002). Pada masa kini, akses tanpa wayar boleh didapati di restoran, hotel dan lapangan terbang, banyak syarikat menggunakan rangkaian wayarles untuk menghubungkan pengguna ke infrastruktur IT mereka, pengguna rangkaian rumah menggunakan akses tanpa wayar untuk menyambung ke Internet. Walau bagaimanapun, hanya beberapa orang yang meletakkan isu keselamatan rangkaian wayarles terlebih dahulu.

pengenalan

Sejak beberapa tahun kebelakangan ini, populariti rangkaian wayarles telah meningkat dengan ketara. Pertumbuhan populariti akses wayarles sebahagian besarnya dipengaruhi oleh faktor seperti penyepaduan kad akses wayarles ke dalam komputer riba moden, kemunculan peranti PDA, telefon IP radio, dll. Menurut IDC, menjelang akhir tahun 2004 ia dirancang bahawa penjualan peralatan akses tanpa wayar akan mencapai 64 juta peranti (sebagai perbandingan, 24 juta peranti telah dijual pada tahun 2002). Pada masa kini, akses tanpa wayar boleh didapati di restoran, hotel dan lapangan terbang, banyak syarikat menggunakan rangkaian wayarles untuk menghubungkan pengguna ke infrastruktur IT mereka, pengguna rangkaian rumah menggunakan akses tanpa wayar untuk menyambung ke Internet. Walau bagaimanapun, hanya beberapa orang yang meletakkan isu keselamatan rangkaian wayarles terlebih dahulu.

Isu Keselamatan Tanpa Wayar

1. Kedudukan SSID

Parameter SSID ialah pengecam rangkaian wayarles. Ia digunakan untuk membahagikan pengguna rangkaian wayarles kepada kumpulan logik. SSID membolehkan pengguna menyambung ke rangkaian wayarles yang diingini, dan secara pilihan boleh dipetakan ke pengecam rangkaian kawasan tempatan maya (VLAN). Perbandingan sedemikian adalah perlu untuk mengatur pembezaan tahap akses pengguna tanpa wayar kepada sumber infrastruktur korporat.

Sesetengah jurutera rangkaian, apabila mereka bentuk rangkaian wayarles, percaya bahawa SSID adalah salah satu ciri keselamatan dan melumpuhkan penyiaran nilai SSID akan meningkatkan keselamatan rangkaian. Malah, melumpuhkan penyiaran tetapan ini bukan sahaja tidak akan meningkatkan keselamatan rangkaian wayarles, tetapi juga akan menjadikan rangkaian kurang fleksibel berkenaan dengan pelanggan. Sesetengah pelanggan tidak akan dapat berfungsi dengan betul dengan titik akses radio yang tidak menyiarkan nilai SSID. Perlu diingat bahawa walaupun penyiaran SSID dilumpuhkan, pengecam ini masih boleh ditentukan kerana nilainya dihantar dalam bingkai tindak balas siasatan. Anda juga perlu memahami bahawa dengan membahagikan pengguna kepada kumpulan logik yang berbeza menggunakan SSID, kemungkinan mencuri dengar trafik kekal, walaupun untuk pengguna yang tidak berdaftar di pusat akses wayarles.

2. Pengesahan menggunakan alamat MAC

Pengesahan ialah proses menentukan identiti pelanggan berdasarkan maklumat yang diberikan oleh klien, seperti nama dan kata laluan. Banyak pengeluar peralatan wayarles menyokong pengesahan peranti pengguna menggunakan alamat MAC, tetapi piawaian IEEE (Institut Jurutera Elektrik dan Elektronik) 802.11 tidak menyediakan jenis pengesahan ini.

Pengesahan melalui alamat MAC tanpa menggunakan kaedah tambahan peruntukan keselamatan tidak berkesan. Cukuplah untuk penyerang hanya mendapat akses kepada rangkaian wayarles di mana hanya pengesahan melalui alamat MAC dikonfigurasikan. Untuk melakukan ini, anda perlu menganalisis saluran radio di mana titik akses radio berfungsi dengan pelanggan dan mendapatkan senarai alamat MAC peranti yang mempunyai akses kepada rangkaian. Untuk mengakses sumber rangkaian melalui rangkaian wayarles, anda perlu menggantikan alamat MAC kad wayarles anda dengan alamat MAC pelanggan yang diketahui.

3. Masalah dengan penyulitan menggunakan kekunci WEP statik

WEP (Wired Equivalent Privacy) ialah kunci yang direka untuk menyulitkan trafik antara pusat akses radio dan penggunanya. Penyulitan WEP adalah berdasarkan algoritma penyulitan RC4 yang lemah. Panjang kunci WEP ialah 40 atau 104 bit. Urutan aksara yang tidak disulitkan ditambahkan pada kunci untuk berjaya menyahkod isyarat 24-bit pada bahagian belakang. Oleh itu, adalah kebiasaan untuk bercakap tentang panjang kunci 64 dan 128 bit, tetapi bahagian kunci yang berkesan hanya 40 dan 104 bit. Perlu diingat bahawa dengan panjang kunci statik sedemikian, tidak perlu bercakap tentang peningkatan kestabilan kriptografi rangkaian wayarles. Di Internet anda boleh dengan mudah mencari program yang membolehkan anda mendapatkan kunci WEP berdasarkan trafik yang dikumpul oleh penganalisis. Program sedemikian termasuk, sebagai contoh, WEPCrack dan AirSnort. Untuk meningkatkan kestabilan kriptografi, kunci statik 64-bit mesti ditukar kira-kira sekali setiap 20 minit dan kunci 128-bit sekali sejam. Bayangkan anda perlu menukar kekunci WEP statik pada titik akses dan semua pelanggannya setiap jam. Bagaimana jika bilangan pengguna ialah 100 atau 1000? Penyelesaian sedemikian tidak akan diminta kerana kerumitan operasi yang tidak munasabah.

4. Serangan rangkaian

Serangan rangkaian boleh dibahagikan kepada aktif dan pasif.

Serangan pasif termasuk serangan yang tidak memberi kesan secara aktif kepada operasi rangkaian wayarles. Contohnya, penyerang, menggunakan program WEPCrack atau AirSnort, mengira Kunci rahsia Penyulitan WEP 128-bit.

Intipati serangan aktif adalah untuk mempengaruhi rangkaian tanpa wayar untuk mendapatkan data, selepas pemprosesan yang akan mendapat akses kepada sumber rangkaian radio. Ini termasuk serangan seperti penggunaan semula vektor permulaan dan serangan manipulasi bit.

Menggunakan semula vektor permulaan.

Penyerang berulang kali menghantar maklumat yang sama (kandungan yang diketahui sebelum ini) kepada pengguna yang bekerja dalam segmen wayarles yang diserang, melalui rangkaian luaran. Semasa penyerang menghantar maklumat kepada pengguna, dia juga mendengar saluran radio (saluran antara pengguna dan titik akses radio yang diserang) dan mengumpul data yang disulitkan yang mengandungi maklumat yang dihantar kepadanya. Penyerang kemudian mengira urutan kunci menggunakan data yang disulitkan yang diterima dan data yang tidak disulitkan yang diketahui.

Manipulasi bit.

Serangan itu berdasarkan kerentanan vektor integriti. Sebagai contoh, penyerang memanipulasi bit data pengguna dalam bingkai untuk memesongkan maklumat 3 ke tahap. Bingkai tidak mengalami sebarang perubahan pada tahap pautan, semakan integriti pada titik capaian radio berjaya dan bingkai dihantar lebih jauh. Penghala, setelah menerima bingkai dari titik akses radio, membongkarnya dan memeriksa jumlah semak paket lapisan rangkaian; jumlah semak paket tidak betul. Penghala menjana mesej ralat dan menghantar semula bingkai ke pusat akses radio. Titik capaian radio menyulitkan paket dan menghantarnya kepada pelanggan. Penyerang menangkap paket yang disulitkan dengan mesej ralat yang diketahui dan kemudian mengira urutan kunci.

5. Serangan DoS

Serangan DoS (Deny of Service) termasuk jenis serangan yang mengakibatkan penafian perkhidmatan kepada pelanggan rangkaian wayarles. Inti dari serangan ini adalah untuk melumpuhkan operasi rangkaian tanpa wayar.

Pakar dari Universiti Teknologi Queensland telah menerbitkan maklumat tentang kelemahan yang ditemui berkaitan penilaian ketersediaan saluran radio dalam teknologi Direct Sequence Spread Spectrum (DSSS). Piawaian 802.11b yang digunakan secara meluas dilaksanakan berdasarkan teknologi ini.

Penyerang menggunakan kelemahan untuk mensimulasikan rangkaian wayarles yang sentiasa sibuk. Akibat serangan sedemikian, semua pengguna yang bekerja dengan titik akses radio yang berkaitan dengan serangan itu berlaku akan diputuskan sambungan.

Perlu diingatkan juga bahawa serangan ini boleh digunakan bukan sahaja untuk peralatan yang beroperasi dalam standard 802.11b, tetapi juga untuk peralatan standard 802.11g, walaupun ia tidak menggunakan teknologi DSSS. Ini boleh dilakukan apabila titik capaian radio 802.11g serasi ke belakang dengan standard 802.11b.

Hari ini, perlindungan daripada serangan DoS Tiada standard 802.11b untuk peralatan, tetapi untuk mengelakkan serangan sedemikian, adalah dinasihatkan untuk menggunakan peralatan 802.11g (tidak serasi ke belakang dengan 802.11b).

Apakah cara terbaik untuk membina rangkaian wayarles yang selamat?

Apabila mereka bentuk dan membina rangkaian wayarles, adalah perlu untuk memberi perhatian utama kepada keselamatan, kebolehpercayaan, dan juga memudahkan proses operasi sebanyak mungkin.

Sebagai contoh, mari kita ambil tugas berikut, di mana ia adalah perlu untuk menyediakan akses kepada pengguna bilik persidangan kepada sumber korporat. Dalam contoh ini, kita akan melihat membina rangkaian sedemikian berdasarkan peralatan yang ditawarkan oleh pelbagai syarikat.

Sebelum membina rangkaian capaian tanpa wayar, adalah perlu untuk mengkaji kawasan tersebut, i.e. bersenjatakan titik akses radio dan komputer riba pergi ke tapak pemasangan yang dicadangkan. Ini akan membolehkan anda menentukan lokasi titik capaian radio yang paling berjaya, membolehkan anda mencapai kawasan liputan maksimum. Apabila membina sistem keselamatan akses wayarles, anda perlu mengingati tiga komponen:

seni bina pengesahan,

mekanisme pengesahan

mekanisme untuk memastikan kerahsiaan dan integriti data.

Piawaian IEEE 802.1X digunakan sebagai seni bina pengesahan. Ia menerangkan seni bina bersatu untuk mengawal akses kepada port peranti menggunakan pelbagai kaedah pengesahan pelanggan.

Kami akan menggunakan EAP (Extensible Authentication Protocol) sebagai mekanisme pengesahan. Protokol EAP membenarkan pengesahan berdasarkan nama pengguna dan kata laluan, dan juga menyokong keupayaan untuk menukar kunci penyulitan secara dinamik. Nama pengguna dan kata laluan mesti disimpan pada pelayan RADIUS.

Kami akan menggunakan protokol WEP dan TKIP (Temporal Key Integrity Protocol) sebagai mekanisme untuk memastikan kerahsiaan dan integriti data. Protokol TKIP membolehkan keselamatan dipertingkatkan penyulitan WEP, disebabkan oleh mekanisme seperti MIC dan PPK. Mari kita lihat lebih dekat tujuan mereka.

MIC (Pemeriksaan Integriti Mesej) meningkatkan keberkesanan fungsi kawalan integriti dalam piawaian IEEE 802.11 dengan menambahkan medan berikut, SEC (nombor jujukan) dan MIC, pada bingkai, yang membantu menghalang serangan yang berkaitan dengan penggunaan semula vektor permulaan dan manipulasi bit.

PPK (Per-Packet Keying) perubahan paket demi paket kunci penyulitan. Ia mengurangkan kemungkinan serangan berjaya yang bertujuan untuk menentukan kunci WEP, tetapi tidak menjamin perlindungan lengkap.

Untuk mengelakkan serangan penafian perkhidmatan berdasarkan kelemahan dalam teknologi DSSS, rangkaian wayarles akan dibina pada standard 802.11g baharu (dan standard 802.11g tidak seharusnya serasi ke belakang dengan standard 802.11b). Piawaian 802.11g adalah berdasarkan penggunaan teknologi OFDM (Orthogonal Frequency Division Multiplexing); teknologi ini membolehkan mencapai kelajuan sehingga 54Mbps.

Untuk meningkatkan tahap keselamatan rangkaian wayarles anda, anda dinasihatkan untuk mempertimbangkan untuk menggunakan pelayan Cisco WLSE (Wireless LAN Solution Engine). Penggunaan peranti ini akan membolehkan pengesanan yang tidak dibenarkan mata yang ditetapkan capaian radio, serta pengurusan berpusat rangkaian radio.

Untuk memastikan toleransi kesalahan titik akses wayarles, adalah dinasihatkan untuk menggunakan mod siap sedia. Oleh itu, ternyata 2 titik akan beroperasi pada satu saluran radio, satu sebagai saluran aktif, satu lagi sebagai sandaran.

Jika anda perlu memberikan toleransi kesalahan dalam akses yang disahkan, anda mesti memasang dua pelayan pengesahan ACS. Dalam kes ini, satu akan digunakan sebagai yang utama, dan yang kedua sebagai sandaran.

Oleh itu, apabila membina rangkaian wayarles dengan mengambil kira keperluan untuk keselamatan dan toleransi kesalahan, kami menggunakan pelbagai komponen yang akan melindungi kami daripada serangan penceroboh dan menghalang kemungkinan serangan.

Sudah tentu, penyelesaian yang diterangkan tidak minimum dari segi ciri harga, namun, dengan memberi perhatian utama kepada isu keselamatan dalam rangkaian wayarles, risiko yang berkaitan dengan kemungkinan kebocoran maklumat korporat dalaman telah diminimumkan.

Evgeniy Porshakov, Jurutera Sistem INLINE TECHNOLOGIES www.in-line.ru

Kami terbiasa mengambil langkah keselamatan khas untuk melindungi harta benda kami: mengunci pintu, memasang penggera kereta, kamera keselamatan. Kerana pada zaman ini adalah tidak selamat untuk meninggalkan segala-galanya tanpa pengawasan, dan jika anda perlu pergi, anda perlu melindungi harta anda. Perkara yang sama berlaku untuk alam maya. Jika ada, ada kemungkinan mereka akan cuba menggodam anda dan menggunakan rangkaian tanpa pengetahuan anda. Internet anda bukan sahaja tersedia untuk mereka, boleh dikatakan, secara percuma, tetapi mereka juga boleh menggunakan komputer anda dan mencuri data berharga. Selalu ada peluang bahawa penyerang tidak hanya memuat turun muzik atau tontonan rangkaian sosial, tetapi hantar mesej yang bersifat pelampau, sesetengah spam dan mesej lain yang akan menyebabkan bahaya. Dalam kes ini, suatu hari nanti anda akan bertemu dengan pegawai polis, kerana semua maklumat ini kononnya dihantar daripada anda.

Jadi, dalam artikel ini kami akan melihat beberapa cara untuk membantu melindungi rangkaian Wi-Fi anda daripada sambungan yang tidak dibenarkan.

Tetapkan kata laluan dan jenis penyulitan yang sesuai untuk rangkaian

Peraturan ini digunakan untuk semua rangkaian wayarles. Anda pasti mesti menetapkan kata laluan (yang terkini dan paling dipercayai pada masa ini, walaupun ini juga mempunyai nuansa sendiri, yang akan saya bincangkan di bawah). Tidak boleh digunakan jenis WPA, yang bukan sahaja lama, tetapi juga mengehadkan kelajuan rangkaian. Penyulitan WEB biasanya merupakan topik terkini. Ia agak mudah untuk menggodam jenis ini menggunakan kaedah kekerasan dan banyak lagi.

Ambil kata laluan anda dengan serius. Panjang kata laluan minimum lalai ialah 8 aksara, tetapi anda boleh membuatnya lebih panjang, contohnya 10-15 aksara. Adalah dinasihatkan bahawa kata laluan mengandungi bukan sahaja huruf atau nombor, tetapi satu set keseluruhan aksara, ditambah dengan aksara khas.

PENTING! Lumpuhkan WPS

Jadi, teknologi WPS mempunyai beberapa kelemahan dan dengan ini, orang ramai boleh dengan mudah menggodam rangkaian anda menggunakan pengedaran berasaskan Linux dan memasukkan arahan yang sesuai dalam terminal. Dan di sini tidak kira jenis penyulitan yang digunakan, tetapi panjang dan kerumitan kata laluan menentukan sedikit; semakin rumit ia, semakin lama masa yang diperlukan untuk retak. WPS boleh dilumpuhkan dalam tetapan penghala.

Dengan cara ini, jika sesiapa tidak tahu, WPS diperlukan untuk menyambungkan peralatan ke rangkaian Wi-Fi tanpa kata laluan, anda hanya tekan butang ini pada penghala dan, sebagai contoh, telefon pintar anda menyambung ke rangkaian.

Sembunyikan rangkaian Wi-Fi (SSID)

Pada semua jenis penghala atau, kerana ia juga dipanggil, penghala, terdapat fungsi yang membolehkan anda, iaitu, apabila mencari rangkaian dari peranti lain, anda tidak akan melihatnya, dan anda mesti memasukkan pengecam (rangkaian nama) diri sendiri.

Dalam tetapan penghala anda perlu mencari item tersebut "Sembunyikan titik akses", atau sesuatu yang serupa, dan kemudian but semula peranti.

Penapisan Alamat MAC

Kebanyakan penghala terbaharu, dan yang lebih lama juga, mempunyai fungsi yang mengehadkan peranti yang disambungkan. Anda boleh menambah pada senarai alamat MAC mereka yang mempunyai hak untuk menyambung ke rangkaian Wi-Fi atau mengehadkannya.

Pelanggan lain tidak akan dapat menyambung, walaupun mereka mempunyai SSID dan kata laluan daripada rangkaian.

Aktifkan ciri Rangkaian Tetamu

Jika rakan, kenalan atau saudara anda yang anda benarkan mempunyai akses kepada rangkaian, terdapat pilihan untuk membuat untuk mereka rangkaian tetamu, mengasingkan rangkaian tempatan. Akibatnya, anda tidak perlu risau tentang kehilangan maklumat penting.

Organisasi akses tetamu didayakan dalam tetapan penghala. Di sana anda tandakan kotak yang sesuai dan masukkan nama rangkaian, kata laluan, tetapkan penyulitan, dsb.

Tukar log masuk dan kata laluan untuk mengakses panel pentadbir penghala

Ramai yang mempunyai penghala (penghala) tahu bahawa apabila memasukkan tetapannya anda perlu memasukkan log masuk dan kata laluan, yang secara lalai adalah seperti berikut: admin(dimasukkan kedua-duanya dalam medan log masuk dan dalam medan kata laluan). Mereka yang telah disambungkan ke rangkaian dengan mudah boleh pergi ke tetapan penghala dan menukar sesuatu. Tetapkan kata laluan yang berbeza, sebaik-baiknya yang kompleks. Ini boleh dilakukan dalam tetapan penghala yang sama, bahagian sistem. Milik anda mungkin sedikit berbeza.

Anda pasti harus mengingati kata laluan, kerana ia tidak akan dapat memulihkannya, jika tidak, anda perlu menetapkan semula tetapan.

Melumpuhkan pelayan DHCP

Terdapat satu perkara menarik yang boleh anda lakukan dalam tetapan penghala. Cari item pelayan DHCP di sana dan matikan ia, biasanya ia terletak dalam tetapan rangkaian LAN.

Oleh itu, pengguna yang ingin menyambung kepada anda perlu memasukkan alamat yang sesuai yang anda tentukan dalam tetapan penghala. Biasanya alamat IP ialah: 192.168.0.1/192.168.1.1, maka anda boleh menukarnya kepada mana-mana yang lain, sebagai contoh, 192.168.212.0. Sila ambil perhatian bahawa dari peranti anda yang lain, anda juga mesti menyatakan alamat ini.

Nah, kami telah mengetahui cara untuk meningkatkan keselamatan rangkaian wayarles Wi-Fi. Kini anda tidak perlu risau tentang rangkaian anda digodam dan maklumat hilang. Saya fikir menggunakan sekurang-kurangnya beberapa kaedah dalam artikel ini akan meningkatkan keselamatan Wi-Fi.