Hari ini tidak boleh dipanggil sesuatu yang luar biasa. Walau bagaimanapun, ramai pengguna (terutamanya pemilik peranti mudah alih) berhadapan dengan masalah sistem keselamatan mana yang hendak digunakan: WEP, WPA atau WPA2-PSK. Kita akan lihat jenis teknologi ini sekarang. Walau bagaimanapun, perhatian terbesar akan diberikan kepada WPA2-PSK, kerana perlindungan inilah yang paling diminati hari ini.
WPA2-PSK: apakah itu?
Katakan segera: ini ialah sistem untuk melindungi sebarang sambungan tempatan ke rangkaian wayarles berdasarkan WI-Fi. Ini tiada kaitan dengan sistem berwayar berdasarkan kad rangkaian yang menggunakan sambungan terus menggunakan Ethernet.
Dengan penggunaan teknologi, WPA2-PSK adalah yang paling "maju" hari ini. Walaupun kaedah yang agak ketinggalan zaman yang memerlukan nama pengguna dan kata laluan, dan juga melibatkan penyulitan data sulit semasa penghantaran dan penerimaan, lihat, secara ringkas, seperti bercakap bayi. Dan itulah sebabnya.
Jenis perlindungan
Jadi, mari kita mulakan dengan fakta bahawa sehingga baru-baru ini struktur WEP dianggap sebagai teknologi keselamatan sambungan yang paling selamat. Ia menggunakan pengesahan integriti utama apabila menyambungkan sebarang peranti secara wayarles dan merupakan piawaian IEEE 802.11i.
Perlindungan rangkaian WiFi WPA2-PSK berfungsi, pada dasarnya, hampir sama, tetapi ia menyemak kunci akses pada tahap 802.1X. Dengan kata lain, sistem menyemak semua pilihan yang mungkin.
Walau bagaimanapun, terdapat teknologi yang lebih baru yang dipanggil WPA2 Enterprise. Tidak seperti WPA, ia memerlukan bukan sahaja kunci akses peribadi, tetapi juga kehadiran pelayan Radius yang menyediakan akses. Selain itu, algoritma pengesahan sedemikian boleh beroperasi serentak dalam beberapa mod (contohnya, Perusahaan dan PSK, menggunakan penyulitan tahap CCMP AES).
Protokol perlindungan dan keselamatan asas
Sama seperti masa lalu, kaedah keselamatan moden menggunakan protokol yang sama. Ini ialah TKIP (sistem keselamatan WEP berdasarkan kemas kini perisian dan algoritma RC4). Semua ini memerlukan memasukkan kunci sementara untuk mengakses rangkaian.
Seperti yang ditunjukkan oleh penggunaan praktikal, algoritma sedemikian sahaja tidak menyediakan sambungan yang selamat kepada rangkaian wayarles. Itulah sebabnya teknologi baharu dibangunkan: pertama WPA dan kemudian WPA2, dilengkapi dengan PSK (akses kunci peribadi) dan TKIP (kunci sementara). Selain itu, ia juga termasuk data hantar-terima, hari ini dikenali sebagai standard AES.
Teknologi ketinggalan zaman
Jenis keselamatan WPA2-PSK agak baharu. Sebelum ini, seperti yang dinyatakan di atas, sistem WEP digunakan dalam kombinasi dengan TKIP. Perlindungan TKIP tidak lebih daripada satu cara untuk meningkatkan kedalaman bit kunci akses. Pada masa ini, dipercayai bahawa mod asas membolehkan anda meningkatkan kunci dari 40 hingga 128 bit. Dengan semua ini, anda juga boleh menukar satu kunci WEP kepada beberapa yang berbeza, dijana dan dihantar secara automatik oleh pelayan itu sendiri, yang mengesahkan pengguna semasa log masuk.
Di samping itu, sistem itu sendiri melibatkan penggunaan hierarki pengedaran kunci yang ketat, serta teknik yang membolehkan anda menyingkirkan apa yang dipanggil masalah kebolehramalan. Dalam erti kata lain, apabila, katakan, untuk rangkaian wayarles menggunakan keselamatan WPA2-PSK, kata laluan ditetapkan dalam bentuk urutan seperti "123456789", tidak sukar untuk meneka bahawa program penjana kunci dan kata laluan yang sama, biasanya dipanggil KeyGen atau sesuatu seperti itu, Apabila anda memasukkan empat aksara pertama, empat aksara seterusnya boleh dijana secara automatik. Di sini, seperti yang mereka katakan, anda tidak perlu menjadi orang yang unik untuk meneka jenis urutan yang digunakan. Tetapi ini, seperti yang mungkin sudah difahami, adalah contoh paling mudah.
Mengenai tarikh lahir pengguna dalam kata laluan, ini tidak dibincangkan sama sekali. Anda boleh dikenal pasti dengan mudah menggunakan data pendaftaran yang sama pada rangkaian sosial. Kata laluan digital jenis ini sendiri sama sekali tidak boleh dipercayai. Lebih baik menggunakan nombor, huruf, serta simbol (walaupun yang tidak boleh dicetak jika anda menentukan gabungan kekunci "panas") dan ruang. Walau bagaimanapun, walaupun dengan pendekatan ini, WPA2-PSK boleh dipecahkan. Di sini adalah perlu untuk menerangkan metodologi pengendalian sistem itu sendiri.
Algoritma capaian biasa
Sekarang beberapa perkataan lagi tentang sistem WPA2-PSK. Apakah ini dari segi aplikasi praktikal? Ini adalah gabungan beberapa algoritma, boleh dikatakan, dalam mod kerja. Mari kita jelaskan keadaan dengan contoh.
Sebaik-baiknya, urutan pelaksanaan prosedur untuk melindungi sambungan dan menyulitkan maklumat yang dihantar atau diterima adalah seperti berikut:
WPA2-PSK (WPA-PSK) + TKIP + AES.
Dalam kes ini, peranan utama dimainkan oleh kunci awam (PSK) dengan panjang 8 hingga 63 aksara. Dalam urutan tepat apakah algoritma yang akan digunakan (sama ada penyulitan berlaku dahulu, atau selepas penghantaran, atau dalam proses menggunakan kekunci perantaraan rawak, dsb.) adalah tidak penting.
Tetapi walaupun dengan perlindungan dan sistem penyulitan pada tahap AES 256 (bermaksud kedalaman bit kunci penyulitan), menggodam WPA2-PSK untuk penggodam yang berpengetahuan dalam perkara ini akan menjadi tugas yang sukar, tetapi mungkin.
Keterdedahan
Kembali pada tahun 2008, pada persidangan PacSec, satu teknik telah dibentangkan yang membolehkan anda menggodam sambungan wayarles dan membaca data yang dihantar dari penghala ke terminal pelanggan. Semua ini mengambil masa kira-kira 12-15 minit. Walau bagaimanapun, tidak mungkin untuk menggodam penghantaran terbalik (penghala pelanggan).
Hakikatnya ialah apabila mod penghala QoS dihidupkan, anda bukan sahaja boleh membaca maklumat yang dihantar, tetapi juga menggantikannya dengan maklumat palsu. Pada tahun 2009, pakar Jepun membentangkan teknologi yang boleh mengurangkan masa penggodaman kepada satu minit. Dan pada tahun 2010, maklumat muncul di Internet bahawa cara paling mudah untuk menggodam modul Hole 196 yang terdapat dalam WPA2 ialah menggunakan kunci peribadi anda sendiri.
Tidak ada perbincangan tentang sebarang gangguan dengan kunci yang dijana. Pertama, serangan kamus yang dipanggil digunakan dalam kombinasi dengan kekerasan, dan kemudian ruang sambungan wayarles diimbas untuk memintas paket yang dihantar dan seterusnya merekodkannya. Ia cukup untuk pengguna membuat sambungan, dan dia serta-merta dibatalkan kebenaran dan penghantaran paket awal dipintas (jabat tangan). Selepas ini, anda tidak perlu berada berhampiran titik akses utama. Anda boleh bekerja di luar talian dengan mudah. Walau bagaimanapun, untuk melaksanakan semua tindakan ini anda memerlukan perisian khas.
Bagaimana untuk menggodam WPA2-PSK?
Atas sebab yang jelas, algoritma lengkap untuk menggodam sambungan tidak akan diberikan di sini, kerana ini boleh digunakan sebagai beberapa jenis arahan untuk tindakan. Marilah kita hanya memikirkan perkara utama, dan kemudian hanya dalam istilah umum.
Sebagai peraturan, apabila mengakses penghala secara langsung, ia boleh ditukar kepada mod Airmon-NG yang dipanggil untuk memantau lalu lintas (airmon-ng mula wlan0 - menamakan semula penyesuai wayarles). Selepas ini, trafik ditangkap dan direkodkan menggunakan arahan airdump-ng mon0 (data saluran penjejakan, kelajuan suar, kelajuan dan kaedah penyulitan, jumlah data yang dipindahkan, dsb.).
Seterusnya, arahan untuk menetapkan saluran yang dipilih digunakan, selepas itu arahan Aireplay-NG Deauth dimasukkan dengan nilai yang disertakan (mereka tidak diberikan atas sebab kesahihan menggunakan kaedah tersebut).
Selepas ini (apabila pengguna telah diberi kuasa semasa menyambung), pengguna hanya boleh diputuskan sambungan daripada rangkaian. Dalam kes ini, apabila anda log masuk semula dari bahagian penggodaman, sistem akan mengulangi kebenaran log masuk, selepas itu adalah mungkin untuk memintas semua kata laluan akses. Seterusnya, tetingkap dengan "jabat tangan" akan muncul. Kemudian anda boleh melancarkan fail khas yang dipanggil WPACrack, yang akan membolehkan anda memecahkan sebarang kata laluan. Sememangnya, tiada siapa yang akan memberitahu sesiapa dengan tepat bagaimana ia dilancarkan. Mari kita ambil perhatian bahawa jika anda mempunyai pengetahuan tertentu, keseluruhan proses mengambil masa dari beberapa minit hingga beberapa hari. Sebagai contoh, pemproses peringkat Intel yang beroperasi pada frekuensi jam standard 2.8 GHz mampu memproses tidak lebih daripada 500 kata laluan sesaat, atau 1.8 juta sejam. Secara umum, seperti yang telah jelas, anda tidak seharusnya menipu diri sendiri.
Daripada kata belakang
Itu sahaja untuk WPA2-PSK. Apa itu, mungkin, tidak akan jelas dari bacaan pertama. Namun begitu, saya rasa mana-mana pengguna akan memahami asas perlindungan data dan sistem penyulitan yang digunakan. Lebih-lebih lagi, hari ini hampir semua pemilik gajet mudah alih menghadapi masalah ini. Pernahkah anda perasan bahawa semasa membuat sambungan baharu pada telefon pintar yang sama, sistem mencadangkan menggunakan jenis keselamatan tertentu (WPA2-PSK)? Ramai yang tidak memberi perhatian kepada ini, tetapi sia-sia. Dalam tetapan lanjutan, anda boleh menggunakan sejumlah besar parameter tambahan untuk meningkatkan sistem keselamatan.
), yang membolehkan anda melindungi anda daripada sambungan yang tidak dibenarkan, contohnya, jiran yang berbahaya. Kata laluan ialah kata laluan, tetapi ia boleh digodam, melainkan, sudah tentu, terdapat "penggodam penggodam" di kalangan jiran anda. Oleh itu, protokol Wi-Fi juga mempunyai pelbagai jenis penyulitan, yang memungkinkan untuk melindungi Wi-Fi daripada penggodaman, walaupun tidak selalu.
Pada masa ini terdapat jenis penyulitan seperti BUKA, WEB, WPA, WPA2, yang akan kita bincangkan hari ini.
BUKA
Penyulitan OPEN pada dasarnya tidak mempunyai penyulitan sama sekali; dengan kata lain, tiada perlindungan. Oleh itu, mana-mana orang yang menemui titik akses anda boleh menyambung kepadanya dengan mudah. Adalah lebih baik untuk menggunakan penyulitan WPA2 dan menghasilkan beberapa kata laluan yang kompleks.
WEB
Penyulitan jenis ini muncul pada akhir 90-an dan merupakan yang pertama. Pada masa ini WEB ( Privasi Setara Berwayar) ialah jenis penyulitan yang paling lemah. Sesetengah penghala dan peranti lain yang menyokong Wi-Fi tidak menyokong WEB.
Seperti yang telah saya katakan, penyulitan WEB adalah sangat tidak boleh dipercayai dan sebaiknya dielakkan, sama seperti OPEN, kerana ia mencipta perlindungan untuk masa yang sangat singkat, selepas itu anda boleh mengetahui kata laluan dengan sebarang kerumitan dengan mudah. Biasanya kata laluan WEB mempunyai 40 atau 103 bit, yang membolehkan anda memilih gabungan dalam beberapa saat.
Hakikatnya ialah WEB menghantar bahagian kata laluan (kunci) yang sama ini bersama-sama dengan paket data, dan paket ini boleh dipintas dengan mudah. Pada masa ini, terdapat beberapa program yang terlibat dalam memintas paket yang sama ini, tetapi saya tidak akan membincangkannya dalam artikel ini.
WPA/WPA2
Jenis ini adalah yang paling moden dan belum ada yang baru. Anda boleh menetapkan panjang kata laluan sewenang-wenangnya dari 8 hingga 64 bait, dan ini menjadikannya agak sukar untuk dipecahkan.
Sementara itu, standard WPA menyokong banyak algoritma penyulitan yang dihantar selepas interaksi TKIP Dengan CCMP. TKIP adalah sesuatu seperti jambatan antara WEB Dan WPA, dan wujud sehingga IEEE ( Institusi Jurutera Elektrik dan elektronik) mencipta algoritma yang lengkap CCMP. Sementara itu, TKIP juga mengalami beberapa jenis serangan, jadi ia juga dianggap tidak begitu selamat.
Juga, penyulitan WPA2 menggunakan dua mod pengesahan awal, dengan kata lain, pengesahan kata laluan untuk akses pengguna (klien) ke rangkaian. Mereka dipanggil PSK Dan Perusahaan. Mod pertama bermaksud log masuk menggunakan satu kata laluan, yang kami masukkan semasa menyambung. Untuk syarikat besar ini tidak begitu mudah, kerana selepas beberapa pekerja keluar, mereka perlu menukar kata laluan setiap kali supaya mereka tidak mendapat akses kepada rangkaian, dan memberitahu pekerja lain yang disambungkan ke rangkaian ini tentang perkara ini. Oleh itu, untuk menjadikan semua ini lebih mudah, kami menghasilkan mod Perusahaan, yang membolehkan anda menggunakan berbilang kunci yang disimpan pada pelayan RADIUS.
WPS
Teknologi WPS atau dengan cara lain QSS membolehkan anda menyambung ke rangkaian dengan menekan butang yang mudah. Pada dasarnya, anda tidak perlu memikirkan kata laluan. Tetapi ini juga mempunyai kelemahannya, yang mempunyai kelemahan serius dalam sistem kemasukan.
Dengan WPS kita boleh menyambung ke rangkaian menggunakan kod 8 aksara dengan cara yang berbeza PIN. Tetapi dalam piawaian ini terdapat ralat yang disebabkan olehnya, setelah mempelajari hanya 4 digit kod PIN yang diberikan, anda boleh mengetahui kuncinya, untuk ini sudah cukup 10 ribu percubaan. Dengan cara ini, anda boleh mendapatkan kata laluan, tidak kira betapa rumitnya kata laluan itu.
Untuk log masuk melalui WPS, anda boleh menghantar 10-50 permintaan sesaat, dan dalam 4-16 jam anda akan menerima kunci yang telah lama ditunggu-tunggu.
Sudah tentu, segala-galanya berakhir, kelemahan ini telah didedahkan dan dalam teknologi masa depan mereka mula memperkenalkan sekatan ke atas bilangan percubaan log masuk; selepas tempoh ini tamat, titik akses melumpuhkan WPS buat sementara waktu. Pada masa ini, lebih separuh daripada pengguna masih mempunyai peranti tanpa perlindungan ini.
Beginilah cara kami mengetahui tentang pelbagai jenis penyulitan rangkaian Wi-Fi, yang mana lebih baik dan yang mana lebih teruk. Sudah tentu, lebih baik menggunakan penyulitan bermula dengan WPA, tetapi WPA2 adalah lebih baik.
Jika anda mempunyai sebarang soalan atau mempunyai sesuatu untuk ditambah, pastikan anda menulis dalam komen.
Sementara itu, anda boleh menonton video tentang bagaimana untuk mengukuhkan sambungan Wi-Fi, dan kuatkan modem USB.
Artikel ini ditumpukan kepada isu keselamatan apabila menggunakan rangkaian WiFi wayarles.
Pengenalan - Kerentanan WiFi
Sebab utama mengapa data pengguna terdedah apabila data ini dihantar melalui rangkaian WiFi ialah pertukaran berlaku melalui gelombang radio. Dan ini memungkinkan untuk memintas mesej pada bila-bila masa di mana isyarat WiFi tersedia secara fizikal. Ringkasnya, jika isyarat titik capaian dapat dikesan pada jarak 50 meter, maka pemintasan semua trafik rangkaian rangkaian WiFi ini mungkin dalam radius 50 meter dari titik akses. Di bilik sebelah, di tingkat lain bangunan, di jalan.
Bayangkan gambar ini. Di pejabat, rangkaian tempatan dibina melalui WiFi. Isyarat dari titik akses pejabat ini diambil di luar bangunan, contohnya di tempat letak kereta. Penyerang di luar bangunan boleh mendapat akses kepada rangkaian pejabat, iaitu, tanpa disedari oleh pemilik rangkaian ini. Rangkaian WiFi boleh diakses dengan mudah dan diam-diam. Secara teknikalnya lebih mudah daripada rangkaian berwayar.
ya. Sehingga kini, cara untuk melindungi rangkaian WiFi telah dibangunkan dan dilaksanakan. Perlindungan ini adalah berdasarkan menyulitkan semua trafik antara pusat akses dan peranti akhir yang disambungkan kepadanya. Iaitu, penyerang boleh memintas isyarat radio, tetapi baginya ia hanya "sampah" digital.
Bagaimanakah perlindungan WiFi berfungsi?
Pusat akses termasuk dalam rangkaian WiFinya hanya peranti yang menghantar kata laluan yang betul (dinyatakan dalam tetapan pusat akses). Dalam kes ini, kata laluan juga dihantar disulitkan, dalam bentuk cincang. Hash adalah hasil daripada penyulitan tidak boleh balik. Iaitu, data yang telah dicincang tidak boleh dinyahsulit. Jika penyerang memintas cincang kata laluan, dia tidak akan dapat mendapatkan kata laluan.
Tetapi bagaimana titik akses mengetahui sama ada kata laluan itu betul atau tidak? Bagaimana jika dia juga menerima cincangan, tetapi tidak boleh menyahsulitnya? Ia mudah - dalam tetapan pusat akses kata laluan ditentukan dalam bentuk tulennya. Program kebenaran mengambil kata laluan kosong, mencipta cincang daripadanya, dan kemudian membandingkan cincang ini dengan yang diterima daripada klien. Jika cincang sepadan, maka kata laluan pelanggan adalah betul. Ciri kedua cincang digunakan di sini - ia unik. Cincang yang sama tidak boleh diperoleh daripada dua set data yang berbeza (kata laluan). Jika dua cincang sepadan, maka kedua-duanya dicipta daripada set data yang sama.
By the way. Terima kasih kepada ciri ini, cincang digunakan untuk mengawal integriti data. Jika dua cincang (dicipta dalam tempoh masa) sepadan, maka data asal (sepanjang tempoh masa itu) tidak diubah.
Walau bagaimanapun, walaupun kaedah paling moden untuk mengamankan rangkaian WiFi (WPA2) boleh dipercayai, rangkaian ini boleh digodam. Bagaimana?
Terdapat dua kaedah untuk mengakses rangkaian yang dilindungi oleh WPA2:
- Pemilihan kata laluan menggunakan pangkalan data kata laluan (dipanggil carian kamus).
- Eksploitasi kelemahan dalam fungsi WPS.
Dalam kes pertama, penyerang memintas cincang kata laluan untuk titik akses. Hash kemudiannya dibandingkan dengan pangkalan data beribu-ribu atau berjuta-juta perkataan. Satu perkataan diambil daripada kamus, cincang dijana untuk perkataan ini dan kemudian cincang ini dibandingkan dengan cincang yang dipintas. Jika kata laluan primitif digunakan pada titik akses, maka memecahkan kata laluan titik akses ini memerlukan masa. Sebagai contoh, kata laluan 8 digit (panjang 8 aksara ialah panjang kata laluan minimum untuk WPA2) ialah satu juta kombinasi. Pada komputer moden, anda boleh menyusun satu juta nilai dalam beberapa hari atau jam.
Dalam kes kedua, kelemahan dalam versi pertama fungsi WPS dieksploitasi. Ciri ini membolehkan anda menyambungkan peranti yang tidak mempunyai kata laluan, seperti pencetak, ke pusat akses. Apabila menggunakan ciri ini, peranti dan pusat akses bertukar kod digital dan jika peranti menghantar kod yang betul, pusat akses membenarkan klien. Terdapat kelemahan dalam fungsi ini - kod itu mempunyai 8 digit, tetapi hanya empat daripadanya telah disemak untuk keunikan! Iaitu, untuk menggodam WPS anda perlu mencari melalui semua nilai yang memberikan 4 digit. Akibatnya, penggodaman pusat akses melalui WPS boleh dilakukan dalam beberapa jam sahaja, pada mana-mana peranti yang paling lemah.
Menyediakan keselamatan rangkaian WiFi
Keselamatan rangkaian WiFi ditentukan oleh tetapan pusat akses. Beberapa tetapan ini secara langsung menjejaskan keselamatan rangkaian.
Mod akses rangkaian WiFi
Titik akses boleh beroperasi dalam salah satu daripada dua mod - terbuka atau dilindungi. Sekiranya akses terbuka, mana-mana peranti boleh menyambung ke pusat akses. Dalam kes akses yang dilindungi, hanya peranti yang menghantar kata laluan akses yang betul disambungkan.
Terdapat tiga jenis (standard) perlindungan rangkaian WiFi:
- WEP (Privasi Setara Berwayar). Piawaian perlindungan yang pertama. Hari ini ia sebenarnya tidak memberikan perlindungan, kerana ia boleh digodam dengan sangat mudah kerana kelemahan mekanisme perlindungan.
- WPA (Akses Dilindungi Wi-Fi). Secara kronologi standard kedua perlindungan. Pada masa penciptaan dan pentauliahan, ia memberikan perlindungan yang berkesan untuk rangkaian WiFi. Tetapi pada penghujung tahun 2000-an, peluang ditemui untuk menggodam perlindungan WPA melalui kelemahan dalam mekanisme keselamatan.
- WPA2 (Akses Dilindungi Wi-Fi). Standard perlindungan terkini. Menyediakan perlindungan yang boleh dipercayai apabila peraturan tertentu dipatuhi. Sehingga kini, hanya terdapat dua cara yang diketahui untuk memecahkan keselamatan WPA2. Kata laluan kamus brute force dan penyelesaian menggunakan perkhidmatan WPS.
Oleh itu, untuk memastikan keselamatan rangkaian WiFi anda, anda mesti memilih jenis keselamatan WPA2. Walau bagaimanapun, tidak semua peranti pelanggan boleh menyokongnya. Sebagai contoh, Windows XP SP2 hanya menyokong WPA.
Selain memilih standard WPA2, syarat tambahan diperlukan:
Gunakan kaedah penyulitan AES.
Kata laluan untuk mengakses rangkaian WiFi mesti terdiri seperti berikut:
- guna huruf dan nombor dalam kata laluan. Satu set rawak huruf dan nombor. Atau perkataan atau frasa yang sangat jarang yang bermakna hanya untuk anda.
- Tidak gunakan kata laluan mudah seperti nama + tarikh lahir, atau beberapa perkataan + beberapa nombor, sebagai contoh lena1991 atau dom12345.
- Jika anda hanya perlu menggunakan kata laluan digital, maka panjangnya mestilah sekurang-kurangnya 10 aksara. Kerana kata laluan digital lapan aksara dipilih menggunakan kaedah kekerasan dalam masa nyata (dari beberapa jam hingga beberapa hari, bergantung pada kuasa komputer).
Jika anda menggunakan kata laluan yang kompleks mengikut peraturan ini, maka rangkaian WiFi anda tidak boleh digodam dengan meneka kata laluan menggunakan kamus. Sebagai contoh, untuk kata laluan seperti 5Fb9pE2a(alfanumerik rawak), maksimum mungkin 218340105584896 gabungan. Hari ini hampir mustahil untuk memilih. Walaupun komputer membandingkan 1,000,000 (juta) perkataan sesaat, ia akan mengambil masa hampir 7 tahun untuk mengulangi semua nilai.
WPS (Persediaan Dilindungi Wi-Fi)
Jika pusat akses mempunyai fungsi WPS (Wi-Fi Protected Setup), anda perlu menyahdayakannya. Jika ciri ini diperlukan, anda mesti memastikan versinya dikemas kini kepada keupayaan berikut:
- Menggunakan kesemua 8 aksara kod PIN dan bukannya 4, seperti yang berlaku pada mulanya.
- Dayakan kelewatan selepas beberapa percubaan untuk menghantar kod PIN yang salah daripada pelanggan.
Pilihan tambahan untuk meningkatkan keselamatan WPS ialah menggunakan kod PIN alfanumerik.
Keselamatan WiFi Awam
Hari ini adalah bergaya untuk menggunakan Internet melalui rangkaian WiFi di tempat awam - di kafe, restoran, pusat membeli-belah, dll. Adalah penting untuk memahami bahawa menggunakan rangkaian sedemikian boleh menyebabkan kecurian data peribadi anda. Jika anda mengakses Internet melalui rangkaian sedemikian dan kemudian log masuk ke tapak web, data anda (nama pengguna dan kata laluan) mungkin dipintas oleh orang lain yang disambungkan ke rangkaian WiFi yang sama. Lagipun, pada mana-mana peranti yang telah lulus kebenaran dan disambungkan ke pusat akses, anda boleh memintas trafik rangkaian daripada semua peranti lain pada rangkaian ini. Dan keanehan rangkaian WiFi awam ialah sesiapa sahaja boleh menyambung kepadanya, termasuk penyerang, dan bukan sahaja ke rangkaian terbuka, tetapi juga kepada rangkaian yang dilindungi.
Apakah yang boleh anda lakukan untuk melindungi data anda apabila menyambung ke Internet melalui rangkaian WiFi awam? Terdapat hanya satu pilihan - untuk menggunakan protokol HTTPS. Protokol ini mewujudkan sambungan yang disulitkan antara klien (pelayar) dan tapak. Tetapi tidak semua tapak menyokong protokol HTTPS. Alamat di tapak yang menyokong protokol HTTPS bermula dengan awalan https://. Jika alamat pada tapak mempunyai awalan http://, ini bermakna tapak tersebut tidak menyokong HTTPS atau tidak menggunakannya.
Sesetengah tapak tidak menggunakan HTTPS secara lalai, tetapi mempunyai protokol ini dan boleh digunakan jika anda secara eksplisit (secara manual) menyatakan awalan https://.
Bagi kes lain penggunaan Internet - sembang, Skype, dsb., anda boleh menggunakan pelayan VPN percuma atau berbayar untuk melindungi data ini. Iaitu, mula-mula sambung ke pelayan VPN, dan kemudian gunakan sembang atau buka tapak web.
Perlindungan Kata Laluan WiFi
Dalam bahagian kedua dan ketiga artikel ini, saya menulis bahawa apabila menggunakan piawaian keselamatan WPA2, salah satu cara untuk menggodam rangkaian WiFi adalah dengan meneka kata laluan menggunakan kamus. Tetapi terdapat satu lagi peluang untuk penyerang mendapatkan kata laluan ke rangkaian WiFi anda. Jika anda menyimpan kata laluan anda pada nota melekit yang dilekatkan pada monitor, ini membolehkan orang yang tidak dikenali melihat kata laluan ini. Dan kata laluan anda boleh dicuri daripada komputer yang disambungkan ke rangkaian WiFi anda. Ini boleh dilakukan oleh orang luar jika komputer anda tidak dilindungi daripada akses oleh orang luar. Ini boleh dilakukan menggunakan perisian hasad. Di samping itu, kata laluan boleh dicuri dari peranti yang diambil di luar pejabat (rumah, apartmen) - dari telefon pintar, tablet.
Oleh itu, jika anda memerlukan perlindungan yang boleh dipercayai untuk rangkaian WiFi anda, anda perlu mengambil langkah untuk menyimpan kata laluan anda dengan selamat. Lindunginya daripada akses oleh orang yang tidak dibenarkan.
Jika anda mendapati artikel ini berguna atau hanya menyukainya, maka jangan teragak-agak untuk menyokong pengarang secara kewangan. Ini mudah dilakukan dengan membuang wang Nombor Dompet Yandex 410011416229354. Atau di telefon +7 918-16-26-331 .
Jumlah yang sedikit pun boleh membantu menulis artikel baru :)
Tidak dinafikan, ramai pengguna komputer yang bekerja dengan Internet (dan bukan sahaja) pernah mendengar istilah AES. Apakah jenis sistem ini, algoritma apa yang digunakan dan kegunaannya, kalangan orang yang agak terhad mempunyai sebarang idea. Pada umumnya, pengguna biasa tidak perlu mengetahui perkara ini. Namun begitu, mari kita pertimbangkan sistem kriptografi ini, tanpa mendalami pengiraan dan formula matematik yang kompleks, supaya ia boleh difahami oleh sesiapa sahaja.
Apakah penyulitan AES?
Mari kita mulakan dengan fakta bahawa sistem itu sendiri adalah satu set algoritma yang memungkinkan untuk menyembunyikan penampilan awal beberapa data yang dihantar, diterima oleh pengguna, atau disimpan pada komputer. Selalunya ia digunakan dalam teknologi Internet apabila perlu memastikan kerahsiaan maklumat yang lengkap, dan merujuk kepada apa yang dipanggil algoritma penyulitan simetri.
Jenis penyulitan AES melibatkan penggunaan kunci yang sama, yang diketahui oleh pihak penghantar dan penerima, untuk menukar maklumat ke dalam bentuk selamat dan penyahkodan terbalik, berbeza dengan penyulitan simetri, yang melibatkan penggunaan dua kekunci - peribadi dan awam. Oleh itu, mudah untuk membuat kesimpulan bahawa jika kedua-dua pihak mengetahui kunci yang betul, proses penyulitan dan penyahsulitan adalah agak mudah.
Sedikit sejarah
Penyulitan AES pertama kali disebut pada tahun 2000, apabila algoritma Rijndael memenangi pertandingan untuk memilih pengganti kepada sistem DES, yang telah menjadi standard di Amerika Syarikat sejak 1977.
Pada tahun 2001, sistem AES telah diterima pakai secara rasmi sebagai standard penyulitan data persekutuan baharu dan sejak itu telah digunakan di mana-mana sahaja.
Jenis penyulitan AES
Ia termasuk beberapa peringkat pertengahan, yang dikaitkan terutamanya dengan peningkatan panjang kunci. Hari ini terdapat tiga jenis utama: penyulitan AES-128, AES-192 dan AES-256.
Nama bercakap untuk dirinya sendiri. Penamaan digital sepadan dengan panjang kunci yang digunakan, dinyatakan dalam bit. Di samping itu, penyulitan AES ialah jenis blok yang berfungsi secara langsung dengan blok maklumat dengan panjang tetap, menyulitkan setiap satu daripadanya, berbeza dengan algoritma strim yang beroperasi pada aksara tunggal mesej yang jelas, menukarnya kepada bentuk yang disulitkan. Dalam AES, panjang blok ialah 128 bit.
Dalam istilah saintifik, algoritma yang sama yang digunakan oleh penyulitan AES-256 membayangkan operasi berdasarkan perwakilan polinomial bagi operasi dan kod apabila memproses tatasusunan dua dimensi (matriks).
Bagaimana ia berfungsi?
Algoritma pengendalian agak kompleks, tetapi termasuk penggunaan beberapa elemen asas. Pada mulanya, matriks dua dimensi, kitaran transformasi (pusingan), kunci bulat, dan jadual penggantian awal dan terbalik digunakan.
Proses penyulitan data terdiri daripada beberapa peringkat:
- pengiraan semua kunci bulat;
- penggantian bait menggunakan jadual S-Box utama;
- anjakan bentuk menggunakan kuantiti yang berbeza (lihat rajah di atas);
- mencampurkan data dalam setiap lajur matriks (bentuk);
- penambahan borang dan kunci bulat.
Penyahsulitan dilakukan dalam susunan terbalik, tetapi bukannya jadual S-Box, jadual tetapan terbalik, yang dinyatakan di atas, digunakan.
Sebagai contoh, jika anda mempunyai kunci 4-bit, carian hanya memerlukan 16 peringkat (pusingan), iaitu, anda perlu menyemak semua kombinasi yang mungkin, bermula dengan 0000 dan berakhir dengan 1111. Sememangnya, perlindungan tersebut boleh retak agak cepat. Tetapi jika kita mengambil kunci yang lebih besar, 16 bit memerlukan 65,536 peringkat, dan 256 bit memerlukan 1.1 x 10 77. Dan seperti yang dinyatakan oleh pakar Amerika, ia akan mengambil masa kira-kira 149 trilion tahun untuk memilih kombinasi yang betul (kunci).
Apa yang perlu digunakan dalam amalan semasa menyediakan rangkaian: penyulitan AES atau TKIP?
Sekarang mari kita beralih kepada menggunakan AES-256 apabila menyulitkan data yang dihantar dan diterima dalam rangkaian wayarles.
Sebagai peraturan, dalam mana-mana terdapat beberapa parameter untuk dipilih: AES sahaja, TKIP sahaja dan AES+TKIP. Ia digunakan bergantung pada protokol (WEP atau WEP2). Tetapi! TKIP ialah sistem warisan kerana ia kurang selamat dan tidak menyokong sambungan 802.11n dengan kadar data lebih daripada 54 Mbps. Oleh itu, kesimpulan tentang penggunaan keutamaan AES bersama-sama dengan mod keselamatan WPA2-PSK mencadangkan dirinya sendiri, walaupun kedua-dua algoritma boleh digunakan secara berpasangan.
Isu kebolehpercayaan dan keselamatan algoritma AES
Walaupun kenyataan pakar yang lantang, algoritma AES secara teorinya masih terdedah, kerana sifat penyulitan mempunyai penerangan algebra yang mudah. Ini telah diperhatikan oleh Nils Fergusson. Dan pada tahun 2002, Josef Pieprzyk dan Nicolas Courtois menerbitkan kertas kerja yang membuktikan kemungkinan serangan XSL. Benar, ia menimbulkan banyak kontroversi dalam dunia saintifik, dan ada yang menganggap pengiraan mereka salah.
Pada tahun 2005, adalah dicadangkan bahawa serangan itu boleh menggunakan saluran pihak ketiga, bukan hanya pengiraan matematik. Selain itu, salah satu serangan mengira kunci selepas 800 operasi, dan satu lagi memperolehnya selepas 2 32 operasi (dalam pusingan kelapan).
Tidak dinafikan, hari ini sistem ini boleh dianggap sebagai salah satu yang paling maju, jika bukan untuk satu perkara. Beberapa tahun yang lalu, gelombang serangan virus melanda Internet, di mana virus penyulitan (dan juga perisian tebusan), menembusi komputer, data yang disulitkan sepenuhnya, menuntut sejumlah wang yang rapi untuk penyahsulitan. Pada masa yang sama, mesej itu menyatakan bahawa penyulitan telah dijalankan menggunakan algoritma AES1024, yang, sehingga baru-baru ini, dipercayai tidak wujud dalam alam semula jadi.
Sama ada ini benar atau tidak, malah pembangun perisian anti-virus yang paling terkenal, termasuk Kaspersky Lab, tidak berkuasa apabila cuba menyahsulit data. Ramai pakar mengakui bahawa yang terkenal itu, yang pada satu masa menjangkiti berjuta-juta komputer di seluruh dunia dan memusnahkan maklumat penting mengenainya, ternyata menjadi perbualan bayi berbanding dengan ancaman ini. Selain itu, I Love You lebih ditujukan kepada fail multimedia, dan virus baharu itu hanya mendapat akses kepada maklumat sulit syarikat besar. Walau bagaimanapun, tiada siapa yang boleh mengatakan dengan jelas bahawa penyulitan AES-1024 digunakan di sini.
Kesimpulan
Untuk meringkaskan, dalam apa jua keadaan, kita boleh mengatakan bahawa penyulitan AES adalah yang paling maju dan selamat, tanpa mengira panjang kunci yang digunakan. Tidak menghairankan bahawa piawaian khusus ini digunakan dalam kebanyakan sistem kripto dan mempunyai prospek yang agak luas untuk pembangunan dan penambahbaikan pada masa hadapan yang boleh dijangka, terutamanya kerana ia mungkin sangat mungkin untuk menggabungkan beberapa jenis penyulitan menjadi satu (contohnya, penggunaan selari simetri dan tidak simetri atau penyulitan blok dan aliran).
Kebimbangan utama untuk semua LAN wayarles (dan semua LAN berwayar, dalam hal ini) ialah keselamatan. Keselamatan adalah sama penting di sini seperti mana-mana pengguna Internet. Keselamatan adalah isu yang kompleks dan memerlukan perhatian yang berterusan. Kemudaratan yang besar boleh menyebabkan pengguna disebabkan oleh fakta bahawa dia menggunakan titik panas rawak (hot-spot) atau membuka pusat akses WI-FI di rumah atau di pejabat dan tidak menggunakan penyulitan atau VPN (Rangkaian Persendirian Maya). Ini berbahaya kerana pengguna memasukkan data peribadi atau profesionalnya, dan rangkaian tidak dilindungi daripada pencerobohan luar.
WEP
Pada mulanya, sukar untuk menyediakan keselamatan yang mencukupi untuk LAN wayarles.
Penggodam mudah disambungkan ke hampir mana-mana rangkaian WiFi dengan memecah masuk ke dalam versi awal sistem keselamatan seperti Privasi Setara Berwayar (WEP). Peristiwa ini meninggalkan kesannya, dan untuk masa yang lama, sesetengah syarikat enggan melaksanakan atau tidak melaksanakan rangkaian wayarles sama sekali, bimbang data yang dihantar antara peranti WiFi wayarles dan titik akses Wi-Fi boleh dipintas dan dinyahsulit. Oleh itu, model keselamatan ini memperlahankan penyepaduan rangkaian wayarles ke dalam perniagaan dan membuatkan orang ramai yang menggunakan rangkaian WiFi di rumah gementar. IEEE kemudiannya mencipta Kumpulan Kerja 802.11i, yang bekerja untuk mencipta model keselamatan yang komprehensif untuk menyediakan penyulitan dan pengesahan AES 128-bit untuk melindungi data. Wi-Fi Alliance memperkenalkan versi perantaraannya sendiri bagi spesifikasi keselamatan 802.11i ini: Wi-Fi Protected Access (WPA). Modul WPA menggabungkan beberapa teknologi untuk menyelesaikan kelemahan sistem 802.11 WEP. Oleh itu, WPA menyediakan pengesahan pengguna yang boleh dipercayai menggunakan standard 802.1x (pengesahan bersama dan enkapsulasi data yang dihantar antara peranti pelanggan wayarles, pusat akses dan pelayan) dan Protokol Pengesahan Boleh Diperluas (EAP).
Prinsip pengendalian sistem keselamatan ditunjukkan secara skematik dalam Rajah 1
Selain itu, WPA dilengkapi dengan modul sementara untuk menyulitkan enjin WEP melalui penyulitan kunci 128-bit dan menggunakan Protokol Integriti Kunci Temporal (TKIP). Dan semakan mesej (MIC) menghalang paket data daripada diubah atau diformat. Gabungan teknologi ini melindungi kerahsiaan dan integriti penghantaran data dan memastikan keselamatan dengan mengawal capaian supaya hanya pengguna yang dibenarkan mempunyai akses kepada rangkaian.
WPA
Meningkatkan lagi keselamatan dan kawalan akses WPA ialah penciptaan induk kunci baharu yang unik untuk komunikasi antara peralatan wayarles dan titik akses setiap pengguna serta menyediakan sesi pengesahan. Dan juga, dalam mencipta penjana kunci rawak dan dalam proses menjana kunci untuk setiap pakej.
IEEE telah mengesahkan standard 802.11i pada Jun 2004, dengan ketara mengembangkan banyak keupayaan terima kasih kepada teknologi WPA. Wi-Fi Alliance telah mengukuhkan modul keselamatannya dalam program WPA2. Oleh itu, tahap keselamatan standard penghantaran data WiFi 802.11 telah mencapai tahap yang diperlukan untuk pelaksanaan penyelesaian dan teknologi wayarles dalam perusahaan. Salah satu perubahan ketara daripada 802.11i (WPA2) kepada WPA ialah penggunaan 128-bit Advanced Encryption Standard (AES). WPA2 AES menggunakan mod anti-CBC-MAC (mod operasi untuk blok sifir yang membenarkan satu kunci digunakan untuk kedua-dua penyulitan dan pengesahan) untuk memberikan perlindungan kerahsiaan, pengesahan, integriti dan main semula data. Piawaian 802.11i juga menawarkan caching utama dan pra-pengesahan untuk mengatur pengguna merentasi pusat akses.
WPA2
Dengan standard 802.11i, keseluruhan rangkaian modul keselamatan (log masuk, pertukaran bukti kelayakan, pengesahan dan penyulitan data) menjadi perlindungan yang lebih dipercayai dan berkesan terhadap serangan tidak disasarkan dan disasarkan. Sistem WPA2 membenarkan pentadbir rangkaian Wi-Fi beralih daripada isu keselamatan kepada mengurus operasi dan peranti.
Piawaian 802.11r ialah pengubahsuaian piawai 802.11i. Piawaian ini telah disahkan pada Julai 2008. Teknologi standard dengan lebih cepat dan boleh dipercayai memindahkan hierarki utama berdasarkan teknologi Handoff apabila pengguna bergerak antara titik akses. Piawaian 802.11r serasi sepenuhnya dengan piawaian WiFi 802.11a/b/g/n.
Terdapat juga standard 802.11w, yang bertujuan untuk menambah baik mekanisme keselamatan berdasarkan standard 802.11i. Piawaian ini direka bentuk untuk melindungi paket kawalan.
Piawaian 802.11i dan 802.11w ialah mekanisme keselamatan untuk rangkaian WiFi 802.11n.
Menyulitkan fail dan folder dalam Windows 7
Ciri penyulitan membolehkan anda menyulitkan fail dan folder yang kemudiannya mustahil untuk dibaca pada peranti lain tanpa kunci khas. Ciri ini terdapat dalam versi Windows 7 seperti Professional, Enterprise atau Ultimate. Berikut akan merangkumi cara untuk mendayakan penyulitan fail dan folder.
Mendayakan penyulitan fail:
Mula -> Komputer (pilih fail untuk disulitkan) -> butang kanan tetikus pada fail -> Properties -> Lanjutan (tab Umum) -> Atribut tambahan -> Tandai kotak Sulitkan kandungan untuk melindungi data -> Ok -> Guna - > Ok(Pilih gunakan untuk fail sahaja)->
Mendayakan penyulitan folder:
Mula -> Komputer (pilih folder untuk menyulitkan) -> butang kanan tetikus pada folder -> Properties -> Lanjutan (tab Umum) -> Atribut tambahan -> Tandai kotak Sulitkan kandungan untuk melindungi data -> Ok -> Guna - > Ok (Pilih gunakan hanya untuk fail) -> Tutup dialog Properties (Klik Ok atau Tutup).
