In dit artikel zullen we enkele van de meest voorkomende voorbeelden van authenticatiefouten bekijken bij het bedienen van apparaten op basis van het besturingssysteem. Android-systemen met WiFi-netwerken. Op het eerste gezicht kan er niets ingewikkelds aan de hand zijn, omdat de interface van telefoons en tablets op basis van dit besturingssysteem uitzonderlijk vriendelijk is, zelfs voor de meesten onervaren gebruikers, maar ze kan ook verrassen.

Bovendien komt een dergelijke fout vrij vaak voor en om niet in de problemen te komen, moet u eerst vertrouwd raken met de onderstaande informatie en misschien zal het verbindingsprobleem gemakkelijk en onopgemerkt worden opgelost. Eerst moet je begrijpen wat authenticatie is en WiFi-technologie over het algemeen. Als u dit begrijpt, krijgt u de kans zonder hulp van iemand anders extra kosten alledaagse problemen met betrekking tot dit protocol op te lossen.

Authenticatie. Wat is dit en waarom?

Vaak verschijnt tijdens de authenticatie in plaats van het geliefde ‘Verbonden’ een bericht als ‘Opgeslagen, WPA/WPA2-beveiliging’ of ‘Authenticatieprobleem’ op het display van uw telefoon.

Wat is ze?

Dit is een speciale beveiligingstechnologie die geen toegang geeft tot uw persoonlijke of werk netwerk ongenode gebruikers die uw internetkanaal zouden gebruiken en verkeer zouden verspillen. Je zult ervoor moeten betalen. Ja, en een grote actieradius van het punt WiFi-toegang, maakt het niet alleen mogelijk om er verbinding mee te maken voor de mensen voor wie het is gemaakt, maar ook voor aanvallers. Dus om dit te voorkomen ongeautoriseerde verbinding en vereist hoogwaardige data-encryptie- en authenticatietechnologie met een lage kans op hacken en raden van wachtwoorden. Dit is de reden waarom u meestal een wachtwoord moet invoeren om verbinding te maken met het netwerk. De encryptiemethode voor authenticatiegegevens die bij uw wensen past, kunt u selecteren in de instellingen van de router of het toegangspunt waarmee uw apparaat is verbonden. De meest gebruikte authenticatiemethode is tegenwoordig WPA-PSK/WPA2.

Er zijn hier twee hoofdopties:

• In het eerste geval voeren alle abonnees dezelfde sleutel in wanneer ze verbinding maken met het netwerk; in het andere geval krijgt elke gebruiker een persoonlijke toegangssleutel, die voornamelijk bestaat uit cijfers en letters van het Latijnse alfabet.
• Het tweede type encryptie wordt vooral gebruikt in bedrijven met verhoogd niveau het beschermen van een netwerk waarop een bepaald aantal gebruikers verbinding maakt, is erg belangrijk veilig uitchecken authenticiteit.

Als we verbindingsproblemen hebben, wordt het aanbevolen om, voordat we actie ondernemen, een beproefde methode te gebruiken, die in meer dan de helft van de gevallen alle problemen oplost, inclusief authenticatiefouten: start de router opnieuw op.

Nog een van de meesten effectieve manieren De oplossing voor de authenticatiefout, aangezien deze vaak kan worden veroorzaakt door een beschadigde firmware van de router bij u thuis, is het updaten van de firmware naar laatste versie. Het wordt ten zeerste aanbevolen om het bij te werken vanaf de officiële website van de fabrikant. Het is ook raadzaam om een ​​opgeslagen kopie van het bestand met de routerconfiguratie te hebben, en als u dit niet heeft, wees dan niet lui om het op uw computer te maken, zodat u de instellingen niet opnieuw hoeft te selecteren. Bovendien is het beter om ervoor te zorgen dat uw netwerk niet verborgen is, dat wil zeggen: controleer gewoon in de instellingen of het selectievakje “Verborgen SSID” is aangevinkt en of de naam van het draadloze netwerk is geschreven netwerk SSID in Latijns.

Authenticatiefout. Waarom komt het voor?

In feite zijn er slechts twee hoofdproblemen waardoor uw telefoon mogelijk geen verbinding maakt WiFi-netwerken. Maar vergeet niet dat naast de hieronder aangegeven fouten, soortgelijke problemen kan worden veroorzaakt door een storing van de router zelf of door conflicten in netwerkinstellingen. Dit is een apart onderwerp voor discussie.

1. Het geselecteerde coderingstype komt niet overeen met het type dat wordt gebruikt.
2. Fout bij het invoeren van de sleutel

De meeste problemen bij het verbinden met draadloze netwerken zijn te wijten aan fouten bij het invoeren van de sleutel. In dergelijke gevallen wordt aanbevolen om het wachtwoord dat is ingevoerd in de verbindingsinstellingen van uw telefoon nogmaals te controleren. Als dit niet helpt, gebruikt u een computer om naar de routerinstellingen te gaan en vervangt u de toegangssleutel er rechtstreeks op. Het is de moeite waard eraan te denken dat de sleutel alleen uit kan bestaan Latijnse letters. Als dit niet helpt, zou een van de onderstaande methoden zeker moeten helpen.

Bekijk de video om het probleem op te lossen:

Problemen met authenticatiefouten oplossen

Niet elke gebruiker kan zich voorstellen hoe het eruit ziet WiFi-installatie router met behulp van een computer en hoe u eventuele verbindingsproblemen kunt oplossen, om nog maar te zwijgen van de redenen voor het optreden ervan. Daarom wordt hieronder een andere manier beschreven om problemen op te lossen, maar dan aan de kant van de router en met behulp van een computer die erop is aangesloten, en niet een telefoon.

1. Om de instellingen te controleren, moet je naar de routerinstellingen gaan. Open hiervoor een browser en voer het IP-adres 192.168.0.1 of 192.168.1.1 in de adresbalk in. Dit is afhankelijk van het model router dat u gebruikt. Voer hierna uw gebruikersnaam en wachtwoord in het venster dat verschijnt. Als u deze niet heeft gewijzigd, vindt u de benodigde inloggegevens op de router zelf, of in de instructies.
2. Vervolgens moet u naar de instellingen voor de draadloze netwerkmodus gaan en in plaats van “b/g/n”, wat meestal de standaard is, naar “b/g” gaan, waarna alle aangebrachte wijzigingen worden opgeslagen.
3. Als alle voorgaande manipulaties geen bepaald resultaat hebben opgeleverd, is het zinvol om het coderingstype te wijzigen bij het controleren op WPA/WPA2, als er een andere methode is gekozen, of omgekeerd - vereenvoudigen naar WEP, dat, hoewel verouderd, soms de situatie als andere methoden niet effectief blijken te zijn. Probeer daarna opnieuw verbinding te maken met het netwerk vanaf uw telefoon en voer uw sleutel opnieuw in om de verificatie te voltooien.

Kennis van de genoemde nuances zal u helpen om te gaan met de fout die op veel apparaten optreedt, ongeacht klasse en kosten, bij het werken met verschillende draadloze netwerken, en om het configuratieprincipe zelf te begrijpen draadloze routers en toegangspunten.

Elke keer de gebruiker komt binnen bepaalde gegevens voor het inloggen op een bron of dienst - het doorloopt de procedure authenticatie. Meestal gebeurt deze procedure op internet via login-invoer En wachtwoord Er zijn echter ook andere opties.

Het proces van inloggen en het invoeren van persoonlijke gegevens kan in 2 niveaus worden verdeeld:

• Identificatie– dit is de invoer van de persoonlijke gegevens van de gebruiker, die op de server worden geregistreerd en uniek zijn
• Authenticatie– het daadwerkelijk controleren en accepteren van de ingevoerde informatie op de server.

Soms worden in plaats van de bovengenoemde termen eenvoudigere termen gebruikt: authenticatie En autorisatie.

Mezelf proces Het is vrij eenvoudig, je kunt het analyseren aan de hand van het voorbeeld van elk sociaal netwerk:

• Registratie– de gebruiker stelt een e-mailadres, telefoonnummer en wachtwoord in. Dit zijn unieke gegevens die niet in het systeem kunnen worden gedupliceerd en daarom kunt u niet meer dan één account per persoon registreren.
• Identificatie– voer de tijdens de registratie opgegeven informatie in in dit geval Dit E-mail en wachtwoord.
• Authenticatie– na het klikken op de “login” knop neemt de pagina contact op met de server en controleert of de opgegeven login en wachtwoord combinatie echt bestaat. Als alles correct is, wordt het geopend persoonlijke pagina sociaal netwerk.

Soorten autorisatie

Er zijn verschillende soorten authenticatie, die verschillen qua beveiligingsniveau en gebruik:

• Wachtwoord beveiliging. De gebruiker kent een bepaalde sleutel of wachtwoord die bij niemand anders bekend is. Dit omvat ook identificatie door het ontvangen van sms
• . Gebruikt in bedrijven of ondernemingen. Deze methode impliceert gebruik kaarten, sleutelhangers, flashdrives, enz.
• Biometrisch inspectie. Het netvlies, de stem en vingerafdrukken worden gecontroleerd. Dit is een van de krachtigste beveiligingssystemen.
• Gebruik verborgen informatie. Hoofdzakelijk gebruikt ter bescherming software. De browsercache, locatie, op de pc geïnstalleerde apparatuur, enz. worden gecontroleerd.

Wachtwoord beveiliging

Dit is de meest populaire en wijdverbreide autorisatiemethode. Bij in water naam en niemand geheime code, server cheques wat de gebruiker heeft ingevoerd en wat er op het netwerk is opgeslagen. Indien de ingevoerde gegevens volledig identiek zijn, is toegang toegestaan.

Er zijn twee soorten wachtwoorden: dynamisch En permanent. Ze verschillen doordat permanente exemplaren eenmalig worden uitgegeven wijziging alleen op verzoek van de gebruiker.

Dynamisch veranderen volgens bepaalde parameters. Wanneer bijvoorbeeld restauratie vergeten wachtwoord De server geeft een dynamisch wachtwoord uit om in te loggen.

Het gebruik van speciale items

Zoals hierboven vermeld, wordt het meestal gebruikt om toegang te krijgen tot kamers beperkte toegang, banksystemen ik p.

Meestal op een kaart (of een ander item) chip is erin genaaid met een unieke identificatie. Wanneer hij raakt bij de lezer vindt een controle plaats en de server staat de toegang toe of weigert deze.

Biometrische systemen

In dit geval rekening vingerafdrukken, netvlies, stem, enz. Dit is het meest betrouwbaar, maar ook het meest duur systeem van allemaal.

Moderne apparatuur maakt het niet alleen mogelijk vergelijken verschillende punten of gebieden bij elke toegang, maar controleert ook gezichtsuitdrukkingen en kenmerken.

Netwerkauthenticatie is iets waar dagelijks mee wordt omgegaan een groot aantal van Internet gebruikers. Sommige mensen weten niet wat het betekent deze term, en velen vermoeden niet eens het bestaan ​​ervan. Bijna alle gebruikers World Wide Web beginnen hun werkdag met het doorlopen van het authenticatieproces. Je hebt het nodig bij een bezoek aan het postkantoor, sociale netwerken, forums en meer.

Gebruikers worden elke dag geconfronteerd met authenticatie zonder het zelfs maar te beseffen.

Authenticatie is een procedure waarmee gebruikersgegevens worden geverifieerd, bijvoorbeeld bij het bezoeken van een bepaalde bron globaal netwerk. Het controleert de gegevens die op het webportaal zijn opgeslagen met de gegevens die door de gebruiker zijn opgegeven. Zodra de authenticatie is voltooid, heeft u toegang tot bepaalde informatie (bijvoorbeeld uw postbus). Dit is de basis van elk systeem dat wordt geïmplementeerd programma niveau. Vaak gebruikt de opgegeven term meer eenvoudige waarden, zoals:

• autorisatie;
• authenticatie.

Om te authenticeren moet u de login en het wachtwoord van uw account invoeren rekening. Afhankelijk van de bron kunnen ze aanzienlijke verschillen van elkaar hebben. Als u identieke gegevens op verschillende sites gebruikt, loopt u het risico dat uw gegevens worden gestolen. persoonlijke informatie door indringers. In sommige gevallen kan deze informatie automatisch voor elke gebruiker worden verstrekt. Om de benodigde gegevens in te voeren, wordt in de regel een speciaal formulier gebruikt op een wereldwijde netwerkbron of in specifieke toepassing. Na introductie Nodige informatie, worden ze naar de server gestuurd ter vergelijking met die in de database. Als deze overeenkomen, krijgt u toegang tot het afgesloten gedeelte van de site. Als u onjuiste gegevens invoert, meldt de webbron een fout. Controleer of ze correct zijn en voer opnieuw in.

Welke netwerkidentificatie u moet kiezen

Veel mensen denken na over wat netwerk identificatie kies, want er zijn verschillende soorten. Eerst moet je een beslissing nemen over een van hen. Op basis van de ontvangen informatie beslist iedereen voor zichzelf welke optie hij kiest. Eén van de nieuwste standaarden Netwerkverificatie is IEEE 802.1x. Het heeft brede steun gekregen van bijna alle hardware- en softwareontwikkelaars. Deze standaard ondersteunt 2 authenticatiemethoden: open en het gebruik van een wachtwoord (sleutel). In het geval van open methode het ene station kan verbinding maken met het andere zonder dat hiervoor autorisatie vereist is. Als u hier niet blij mee bent, moet u de sleutelmethode recyclen. In het geval van de laatste optie wordt het wachtwoord gecodeerd op een van de volgende manieren:

• WPA-persoonlijk;
• WPA2-persoonlijk.

De meest geschikte optie kan op elke router worden geïnstalleerd.

Laten we naar de routerinstellingen gaan

Zelfs een ongetrainde gebruiker kan zonder problemen alle benodigde configuraties uitvoeren. Om het apparaat in te stellen, moet u er verbinding mee maken persoonlijke computer met behulp van een kabel. Als deze actie is voltooid, opent u een webbrowser en in adresbalk Typ http://192.168.0.1 en druk vervolgens op Enter. Opgegeven adres geschikt voor vrijwel elk apparaat, maar meer exacte informatie kunt u lezen in de instructies. Deze actie is overigens precies authenticatie, waarna u toegang krijgt geheime informatie uw router. U ziet een prompt om de interface te openen, die u zal helpen de nodige instellingen te maken. Als niemand de login en het wachtwoord heeft gewijzigd, gebruiken bijna alle modellen van verschillende bouwers standaard het woord admin in beide velden. De gekochte router heeft een open draadloos netwerk, zodat iedereen er verbinding mee kan maken. Als dit u niet bevalt, moet dit worden beschermd.

Bescherming van uw draadloze netwerk

IN diverse modellen Menu- en submenunamen kunnen verschillen. Eerst moet je naar het routermenu gaan en de draadloze instelling selecteren Wi-Fi-netwerken. Geef de netwerknaam op. Iedereen zal hem zien draadloze apparaten die op het apparaat moeten worden aangesloten. Vervolgens moeten we een van de coderingsmethoden selecteren, waarvan de lijst hierboven wordt gegeven. Wij raden het gebruik van WPA2-PSK aan. Deze modus is een van de meest betrouwbare en universele. In het daarvoor bestemde veld moet u de sleutel invoeren die u heeft aangemaakt. Het zal gebruikt worden voor

Zeker elke gebruiker computersystemen(en niet alleen) komt voortdurend het concept van authenticatie tegen. Het moet gezegd worden dat niet iedereen de betekenis van deze term duidelijk begrijpt en deze voortdurend met anderen verwart. IN in algemene zin authenticatie is een zeer breed concept dat een combinatie van enkele andere termen kan omvatten die aanvullende processen beschrijven. Zonder er op in te gaan technische details, laten we eens kijken wat het is.

Authenticatieconcept

De algemene definitie van dit concept is het verifiëren van de authenticiteit van iets. In wezen is authenticatie een proces waarmee u de overeenstemming van een object of onderwerp met eerder vastgelegde unieke gegevens of kenmerken kunt bepalen. Met andere woorden, een systeem heeft bepaalde kenmerken die bevestiging vereisen om toegang te krijgen tot de belangrijkste of verborgen functies. Houd er rekening mee dat dit een proces is. Het mag in geen geval worden verward met identificatie (wat een van de componenten authenticatieproces) en autorisatie.

Daarnaast wordt er onderscheid gemaakt tussen eenrichtings- en wederzijdse authenticatie op basis van moderne methoden cryptografie (gegevensversleuteling). Het eenvoudigste voorbeeld van wederzijdse authenticatie zou bijvoorbeeld het proces zijn waarbij gebruikers in twee richtingen als vrienden worden toegevoegd op sommige sociale netwerksites, terwijl beide partijen bevestiging van de actie nodig hebben.

Identificatie

Dus. Identificatie, in termen van computer technologie, is de herkenning van een bepaald object of bijvoorbeeld een gebruiker door een vooraf gemaakte identificatie (bijvoorbeeld login, voor- en achternaam, paspoortgegevens, identificatienummer, enz.). Deze identificator wordt overigens vervolgens gebruikt tijdens de authenticatieprocedure.

Autorisatie

Autorisatie is de minst eenvoudige manier om toegang te verlenen tot bepaalde functies of bronnen diverse systemen door bijvoorbeeld een login en wachtwoord in te voeren. In dit geval is het verschil tussen de concepten dat de gebruiker tijdens autorisatie alleen bepaalde rechten krijgt, terwijl authenticatie slechts een vergelijking is van dezelfde login en wachtwoord met de gegevens die in het systeem zelf zijn geregistreerd, waarna men toegang kan krijgen tot geavanceerde of verborgen functies van dezelfde internetbron of softwareproduct(gebruik van autorisatiecode).

Waarschijnlijk zijn velen een situatie tegengekomen waarin het onmogelijk is om een ​​​​bestand van een website te downloaden zonder toestemming voor de bron. Juist na autorisatie volgt het authenticatieproces, wat een dergelijke mogelijkheid biedt.

Waarom is authenticatie nodig?

De gebieden waarop authenticatieprocessen worden gebruikt zijn zeer divers. Met het proces zelf kunt u elk systeem beschermen tegen ongeoorloofde toegang of de introductie van ongewenste elementen. Bij controle wordt bijvoorbeeld veel gebruik gemaakt van authenticatie e-mails Door publieke sleutel En digitale handtekening, bij het vergelijken controlesommen bestanden, enz.

Laten we eens kijken naar de meest elementaire vormen van authenticatie.

Authenticatietypen

Zoals hierboven vermeld, wordt authenticatie het meest gebruikt computer wereld. Het eenvoudigste voorbeeld werd beschreven aan de hand van het voorbeeld van autorisatie bij het betreden van een specifieke site. De belangrijkste vormen van authenticatie zijn hier echter niet toe beperkt.

Een van de belangrijkste gebieden waarop dit proces wordt gebruikt, is verbinding maken met internet. Zal het zijn bekabelde verbinding of WiFi-authenticatie - geen verschil. In beide gevallen zijn de authenticatieprocessen praktisch niet verschillend.

Naast het gebruik van een login of wachtwoord om toegang te krijgen tot het netwerk, speciaal softwaremodules voer als het ware de wettigheid van de verbinding uit. WiFi-authenticatie of bekabelde verbinding omvat niet alleen het vergelijken van wachtwoorden en logins. Alles is veel ingewikkelder. Eerst wordt het IP-adres van de computer, laptop of mobiele gadget gecontroleerd.

Maar de situatie is zodanig dat u, zoals ze zeggen, eenvoudig uw eigen IP-adres in het systeem kunt wijzigen. Elke gebruiker die hier min of meer bekend mee is, kan een dergelijke procedure binnen enkele seconden uitvoeren. Bovendien kunt u tegenwoordig een groot aantal programma's vinden die automatisch het externe IP-adres op internet wijzigen.

Maar dan begint de pret. Op in dit stadium Authenticatie is ook een manier om het MAC-adres van een computer of laptop te controleren. Het is waarschijnlijk niet nodig om uit te leggen dat elk MAC-adres op zichzelf uniek is, en dat er in de wereld eenvoudigweg geen twee identieke zijn. Dit is wat ons in staat stelt de wettigheid van de verbinding en toegang tot het netwerk te bepalen.

In sommige gevallen kan er een authenticatiefout optreden. Dit kan te wijten zijn aan onjuiste autorisatie of een verkeerde combinatie met een eerder gedefinieerde ID. Zelden, maar toch zijn er situaties waarin het proces niet kan worden voltooid vanwege fouten in het systeem zelf.

De meest voorkomende authenticatiefout is het gebruik van een netwerkverbinding, maar dit geldt voornamelijk alleen voor onjuiste invoer wachtwoorden.

Als we het over andere gebieden hebben, is een dergelijk proces het meest gevraagd in de biometrie. Precies biometrische systemen authenticaties behoren tegenwoordig tot de meest betrouwbare. De meest gebruikelijke methoden zijn het scannen van vingerafdrukken, die nu zelfs worden aangetroffen in sluitsystemen voor dezelfde laptops of mobiele toestellen en netvliesscanning. Deze technologie wordt al meer dan gebruikt hoog niveau, het verschaffen van bijvoorbeeld toegang tot geheime documenten, enz.

De betrouwbaarheid van dergelijke systemen wordt vrij eenvoudig uitgelegd. Als je ernaar kijkt, zijn er immers geen twee mensen op de wereld waarvan de vingerafdrukken of de structuur van het netvlies volledig zouden overeenkomen. Dus deze methode biedt maximale bescherming op het gebied van ongeoorloofde toegang. Bovendien kan hetzelfde biometrische paspoort een middel worden genoemd om een ​​gezagsgetrouwe burger te controleren met behulp van een bestaande identificatie (vingerafdruk) en deze (evenals de gegevens uit het paspoort zelf) te vergelijken met wat beschikbaar is in een enkele database.

In dit geval lijkt de gebruikersauthenticatie zo betrouwbaar mogelijk te zijn (afgezien uiteraard van de vervalsing van documenten, hoewel dit een tamelijk complexe en tijdrovende procedure is).

Conclusie

Hopelijk wordt uit het bovenstaande duidelijk wat het authenticatieproces is. Welnu, zoals we zien, kunnen er veel toepassingsgebieden zijn, en volledig verschillende gebieden leven en

Hoeveel kost het om uw paper te schrijven?

Selecteer taaktype Afstudeerwerk(bachelor/specialist) Onderdeel van de scriptie Masterdiploma Cursussen met praktijk Cursustheorie Abstract Essay Test Doelstellingen Certificatiewerkzaamheden (VAR/VKR) Businessplan Vragen voor het examen MBA-diploma Thesis (hogeschool/technische school) Overige cases Laboratorium werk, RGR Online hulp Praktijkrapport Informatie zoeken PowerPoint-presentatie Samenvatting voor graduate school Begeleidende materialen voor het diploma Artikel Proeftekeningen meer »

Bedankt, er is een e-mail naar u verzonden. Controleer uw e-mail.

Wilt u een actiecode voor 15% korting?

Sms ontvangen
met promotiecode

Met succes!

?Geef de promotiecode door tijdens het gesprek met de manager.
De promotiecode kan eenmalig worden toegepast op uw eerste bestelling.
Type promotiecode - " afgestudeerd werk".

draadloze beveiliging

Verzoek om cliëntidentificatie (EAP-verzoek/identiteitsbericht). De authenticator kan zelf een EAP-verzoek verzenden als hij ziet dat een van zijn poorten actief is geworden.

De client reageert door een EAP-responspakket met de benodigde gegevens te verzenden, dat het toegangspunt (authenticator) doorstuurt naar de Radius-server (authenticatieserver).

De authenticatieserver stuurt een challenge-pakket (een verzoek om informatie over de authenticiteit van de cliënt) naar de authenticator (toegangspunt). De authenticator stuurt het door naar de client.

Vervolgens vindt het proces van wederzijdse identificatie van de server en client plaats. Het aantal stadia van het heen en weer doorsturen van pakketten varieert afhankelijk van de EAP-methode, maar voor draadloze netwerken is alleen “sterke” authenticatie met wederzijdse authenticatie van de client en server (EAP-TLS, EAP-TTLS, EAP-PEAP) en pre- encryptie van het communicatiekanaal is acceptabel.

In de volgende fase staat de authenticatieserver, nadat hij de benodigde informatie van de cliënt heeft ontvangen, de toegang toe (accepteert) of weigert (weigert), en stuurt dit bericht door naar de authenticator. De authenticator (toegangspunt) opent de poort voor de aanvrager als er een positief antwoord (accepteren) wordt ontvangen van de RADIUS-server.

De poort gaat open, de authenticator stuurt een succesbericht naar de client en de client krijgt toegang tot het netwerk.

Nadat de verbinding met de client is verbroken, gaat de poort op het toegangspunt terug naar de “gesloten” status.

EAPOL-pakketten worden gebruikt voor de communicatie tussen de client (aanvrager) en het toegangspunt (authenticator). Het RADIUS-protocol wordt gebruikt om informatie uit te wisselen tussen de authenticator (toegangspunt) en de RADIUS-server (authenticatieserver). Bij het doorgeven van informatie tussen de client en de authenticatieserver worden EAP-pakketten bij de authenticator opnieuw verpakt van het ene formaat naar het andere.

Authenticatietypen

Een type authenticatiemethode die gebruikmaakt van EAP en een beveiligingsprotocol genaamd Transport Layer Security (TLS). EAP-TLS maakt gebruik van op wachtwoorden gebaseerde certificaten. EAP-TLS-authenticatie ondersteunt dynamisch WEP-sleutelbeheer. Het TLS-protocol is nodig om de communicatie via openbare netwerken te beveiligen en te authenticeren door gegevens te coderen. Met het TLS-handshakeprotocol kunnen de client en de server elkaar wederzijds authenticeren en een coderingsalgoritme en sleutels ontwikkelen voordat gegevens worden verzonden.

Deze instellingen bepalen het protocol en de referenties die worden gebruikt om de gebruiker te authenticeren. Bij TTLS-authenticatie (Tunneled Transport Layer Security) gebruikt de client EAP-TLS om de server te authenticeren en een kanaal te creëren tussen de server en de client dat is gecodeerd met TLS. De cliënt kan een ander authenticatieprotocol gebruiken. Meestal worden op wachtwoorden gebaseerde protocollen gebruikt via een onaangekondigd, beveiligd TLS-gecodeerd kanaal. TTLS ondersteunt momenteel alle methoden die in EAP worden gebruikt, evenals enkele oudere methoden (PAP, CHAP, MS-CHAP en MS-CHAP-V2). TTLS kan eenvoudig worden uitgebreid om nieuwe protocollen te verwerken door nieuwe attributen in te stellen om de nieuwe protocollen te beschrijven.

PEAP is een nieuw IEEE 802.1X Extensible Authentication Protocol (EAP)-authenticatieprotocol ontworpen om EAP-Transport Layer Security (EAP-TLS) te verbeteren en meerdere authenticatiemethoden te ondersteunen, waaronder gebruikerswachtwoorden, eenmalige wachtwoorden en toegangskaarten (generieke tokenkaarten) .

Versie van het Extensible Authentication Protocol (EAP). LEAP (Light Extensible Authentication Protocol) is een aangepast, uitbreidbaar authenticatieprotocol ontwikkeld door Cisco dat verantwoordelijk is voor het bieden van challenge/response-authenticatieprocedures en dynamische sleuteltoewijzing.

EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) is een mechanisme voor authenticatie en distributie van sessiesleutels. Het maakt gebruik van de Subscriber Identity Module (SIM) van het Global System for Mobile Communications (GSM). EAP-SIM-verificatie maakt gebruik van een sessiespecifieke dynamische WEP-sleutel die wordt verkregen om gegevens van de clientadapter of RADIUS-server te coderen. EAP-SIM vereist een speciale gebruikersverificatiecode of pincode om interactie met de SIM-kaart (Subscriber Identity Module) mogelijk te maken. Een SIM-kaart is een speciale smartcard die wordt gebruikt in draadloze digitale netwerken van de GSM-standaard (Global System for Mobile Communications). Het EAP-SIM-protocol wordt beschreven in de RFC 4186-documentatie.

Authenticatiemethode EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication). en Sleutel Overeenkomst is een EAP-mechanisme dat wordt gebruikt voor authenticatie en sleuteldistributiesessies die worden gebruikt door een abonnee van de USIM (Subscriber Identity Module) van het UMTS (Universal Mobile Telecommunications System). Een USIM-kaart is een speciale smartcard die is ontworpen om gebruikers op mobiele netwerken te authenticeren.

Authenticatieprotocollen

PAP (Password Authentication Protocol) is een tweerichtingsprotocol voor het uitwisselen van bevestigingen, ontworpen voor gebruik met het PPP-protocol. PAP is een wachtwoord in platte tekst dat in eerdere SLIP-systemen werd gebruikt. Hij wordt niet beschermd. Dit protocol is alleen beschikbaar voor het TTLS-authenticatietype.

CHAP (Challenge Handshake Authentication Protocol) is een driewegsprotocol voor het uitwisselen van bevestigingen dat een betere beveiliging biedt dan het PAP-authenticatieprotocol (Password Authentication Protocol). Dit protocol is alleen beschikbaar voor het TTLS-authenticatietype.

MS-CHAP (MD4)

Maakt gebruik van de Microsoft-versie van het RSA Message Digest 4-protocol. Werkt alleen op Microsoft-systemen en staat gegevensversleuteling toe. Als u deze authenticatiemethode selecteert, worden alle verzonden gegevens gecodeerd. Dit protocol is alleen beschikbaar voor het TTLS-authenticatietype.

MS-CHAP-V2

Biedt een extra optie om het wachtwoord te wijzigen dat niet beschikbaar is met MS-CHAP-V1 of standaard CHAP-authenticatie. Met deze functie kan een client het wachtwoord van een account wijzigen als de RADIUS-server aangeeft dat het wachtwoord is verlopen. Dit protocol is alleen beschikbaar voor TTLS- en PEAP-authenticatietypen.

GTC (generieke tokenkaart)

Biedt het gebruik van speciale gebruikerskaarten voor authenticatie. De hoofdfunctie is gebaseerd op authenticatie met behulp van een digitaal certificaat/speciale kaart in GTC. Bovendien heeft GTC de mogelijkheid om gebruikersidentificatie-informatie te verbergen tijdens het gebruik van een met TLS gecodeerde tunnel, waardoor extra privacy wordt geboden op basis van het verbieden van de brede verspreiding van gebruikersnamen tijdens de authenticatiefase. Dit protocol is alleen beschikbaar voor het PEAP-authenticatietype.

Het TLS-protocol is nodig om de communicatie via openbare netwerken te beveiligen en te authenticeren door gegevens te coderen. Met het TLS-handshakeprotocol kunnen de client en de server elkaar wederzijds authenticeren en een coderingsalgoritme en sleutels ontwikkelen voordat gegevens worden verzonden. Dit protocol is alleen beschikbaar voor het PEAP-authenticatietype.

Cisco-functies.

Cisco LEAP.

Cisco LEAP (Cisco Light EAP) is 802.1X server- en clientauthenticatie met behulp van een door de gebruiker opgegeven wachtwoord. Wanneer een draadloos toegangspunt communiceert met een voor LEAP geschikte Cisco RADIUS-server (Cisco Secure Access Control Server), voert Cisco LEAP toegangscontrole uit via wederzijdse authenticatie tussen de WiFi-adapters van clients en het netwerk, en biedt het dynamische, gebruikersspecifieke coderingssleutels ter bescherming de vertrouwelijkheid van verzonden gegevens.

Cisco Rogue Access Point-beveiligingsfunctie.

De Cisco Rogue AP-functie biedt bescherming tegen toegangspogingen door een frauduleus toegangspunt of een frauduleus toegangspunt dat zich kan voordoen als een echt toegangspunt op het netwerk om gebruikersidentiteiten en authenticatieprotocollen te verkrijgen, waardoor de integriteit van de netwerkbeveiliging in gevaar komt. Deze functie werkt alleen in de Cisco LEAP-authenticatieomgeving. 802.11-technologie beschermt het netwerk niet tegen ongeoorloofde toegang door frauduleuze toegangspunten. Zie LEAP-verificatie voor meer informatie.

Beveiligingsprotocol voor gemengde 802.11b- en 802.11g-omgevingen.

De werkingsmodus waarbij sommige toegangspunten, zoals de Cisco 350 of Cisco 1200, omgevingen ondersteunen waarin niet alle clientstations WEP-codering ondersteunen, wordt Mixed-Cell-modus genoemd. Wanneer sommige draadloze netwerken in de modus "selectieve codering" werken, verzenden clientstations die in de WEP-coderingsmodus met het netwerk zijn verbonden alle berichten gecodeerd, en verzenden stations die in de standaardmodus met het netwerk zijn verbonden alle berichten ongecodeerd. Deze toegangspunten zenden berichten ongecodeerd uit, maar stellen clients in staat de WEP-coderingsmodus te gebruiken. Wanneer 'gemengde modus' is ingeschakeld in het profiel, kunt u verbinding maken met een toegangspunt dat is geconfigureerd voor 'aanvullende codering'.

Cisco Key Integrity Protocol (CKIP) is Cisco's eigen beveiligingsprotocol voor encryptie in een 802.11-omgeving. CKIP gebruikt de volgende functies om de beveiliging van de 802.11-infrastructuur te verbeteren:

Snelle roaming (CCKM)

Wanneer het WLAN is geconfigureerd om snel opnieuw verbinding te maken, kan een LEAP-compatibele client van het ene toegangspunt naar het andere zwerven zonder tussenkomst van de masterserver. Met behulp van Cisco Centralized Key Management (CCKM) vervangt een toegangspunt dat is geconfigureerd om Wireless Domain Services (WDS) te leveren de RADIUS-server en authenticeert de client zonder de aanzienlijke vertragingen die mogelijk zijn met spraak- of andere data-afhankelijke applicatietijd.

Radioverkeerscontrole

Wanneer deze functie is ingeschakeld, biedt de WiFi-adapter radiobesturingsinformatie voor de Cisco-infrastructuurmodus. Wanneer Cisco Radio Management wordt gebruikt op een infrastructuurnetwerk, worden de radioparameters geconfigureerd, worden de interferentieniveaus bepaald en worden dummy-toegangspunten bepaald.

EAP-SNEL

EAP-FAST maakt, net als EAP-TTLS en PEAP, gebruik van tunneling om netwerkverkeer te beveiligen. Het belangrijkste verschil is dat EAP-FAST geen certificaten gebruikt voor authenticatie. Authenticatie in een EAP-FAST-omgeving is een enkele communicatie-uitwisseling die door de client wordt geïnitieerd wanneer EAP-FAST-authenticatie door de server wordt aangevraagd. Als de client niet over een vooraf gepubliceerde PAC-sleutel (Protected Access Credential) beschikt, kan deze een EAP-FAST-authenticatie-uitwisseling aanvragen om de sleutel dynamisch van de server te verkrijgen.

EAP-FAST kent twee PAC-sleutelleveringsmethoden: handmatige levering via een out-of-band mechanisme en automatische invoer.

Mechanismen voor handmatige levering worden aangeboden via elke transmissiemethode die het veiligst is en wordt geselecteerd door de beheerder.

Automatisch inloggen is een gecodeerd kanaal in een tunnel dat nodig is om veilige clientauthenticatie en levering van de PAC-sleutel aan de client te bieden. Dit mechanisme is niet zo veilig als de handmatige authenticatiemethode, maar wel veiliger dan LEAP-authenticatie.

De EAP-FAST-methode kan in twee delen worden verdeeld: inloggen en authenticatie. De instapfase vertegenwoordigt de eerste levering van de PAC-sleutel aan de klant. Dit onderdeel is door de opdrachtgever en gebruiker slechts één keer nodig.

Encryptie

Een gedetailleerde beschouwing van encryptie-algoritmen, evenals methoden voor het genereren van sessie-encryptiesleutels, valt misschien buiten het bestek van dit materiaal, dus ik zal ze slechts kort bespreken.

De initiële authenticatie wordt uitgevoerd op basis van gemeenschappelijke gegevens die zowel de client als de authenticatieserver kennen (zoals login/wachtwoord, certificaat, enz.) - in dit stadium wordt de hoofdsleutel gegenereerd. Met behulp van de Master Key genereren de authenticatieserver en -client een Pairwise Master Key, die door de authenticatieserver wordt doorgegeven aan de authenticator. En op basis van de Pairwise Master Key worden alle andere dynamische sleutels gegenereerd, die het verzonden verkeer afsluiten. Opgemerkt moet worden dat de Pairwise Master Key zelf ook onderhevig is aan dynamische veranderingen.

Ondanks het feit dat de voorganger van WPA, WEP, helemaal geen authenticatiemechanismen had, ligt de onveiligheid van WEP in de cryptografische zwakte van het versleutelingsalgoritme; het belangrijkste probleem met WEP ligt in het feit dat de sleutels te veel op elkaar lijken voor verschillende datapakketten.

De TKIP-, MIC- en 802.1X-delen van de WPA-vergelijking spelen een rol bij het versterken van de gegevenscodering van WPA-compatibele netwerken:

TKIP vergroot de sleutelgrootte van 40 naar 128 bits en vervangt de enkele statische WEP-sleutel door sleutels die automatisch worden gegenereerd en gedistribueerd door de authenticatieserver. TKIP maakt gebruik van een sleutelhiërarchie en sleutelbeheermethodologie die de voorspelbaarheid wegneemt die aanvallers hebben gebruikt om de WEP-sleutelbeveiliging te doorbreken.

Om dit te bereiken verbetert TKIP het 802.1X/EAP-framework. De authenticatieserver gebruikt, nadat hij de inloggegevens van de gebruiker heeft geaccepteerd, 802.1X om een ​​unieke hoofdsleutel (tweerichtingsverkeer) te creëren voor een bepaalde communicatiesessie. TKIP communiceert deze sleutel met de client en het toegangspunt en zet vervolgens een sleutelhiërarchie en beheersysteem op met behulp van een tweerichtingssleutel om op dynamische wijze gegevenscoderingssleutels te genereren die worden gebruikt om elk gegevenspakket te coderen dat via het draadloze netwerk wordt verzonden tijdens de sessie van de gebruiker. De TKIP-sleutelhiërarchie vervangt één statische WEP-sleutel door ongeveer 500 miljard mogelijke sleutels die zullen worden gebruikt om een ​​bepaald datapakket te coderen.

Message Integrity Check (MIC) is ontworpen om te voorkomen dat datapakketten worden vastgelegd, de inhoud ervan wordt gewijzigd en opnieuw worden verzonden. MIC is opgebouwd rond een krachtige wiskundige functie die de zender en ontvanger toepassen en vervolgens het resultaat vergelijken. Als deze niet overeenkomen, worden de gegevens als vals beschouwd en wordt het pakket verwijderd.

Door de grootte van de sleutels en het aantal gebruikte sleutels aanzienlijk te vergroten, en door een mechanisme voor integriteitscontrole te creëren, vergroot TKIP de complexiteit van het decoderen van gegevens in een draadloos netwerk. TKIP vergroot de sterkte en complexiteit van draadloze encryptie aanzienlijk, waardoor het proces van het binnendringen in een draadloos netwerk veel moeilijker, zo niet onmogelijk wordt.

Het is belangrijk op te merken dat de coderingsmechanismen die worden gebruikt voor WPA en WPA-PSK hetzelfde zijn. Het enige verschil tussen WPA-PSK is dat authenticatie wordt uitgevoerd met behulp van een soort wachtwoord en niet op basis van de inloggegevens van de gebruiker. Sommigen zullen er waarschijnlijk op wijzen dat de wachtwoordbenadering WPA-PSK kwetsbaar maakt voor brute force-aanvallen, en tot op zekere hoogte zouden ze gelijk hebben. Maar we willen er graag op wijzen dat WPA-PSK de verwarring met WEP-sleutels wegneemt en deze vervangt door een consistent en duidelijk alfanumeriek, op wachtwoorden gebaseerd systeem. Robert Moskowitz van ICSA Labs ontdekte dat de WPA-wachtwoordzin gehackt kan worden. Dit komt omdat een hacker het toegangspunt kan dwingen de sleuteluitwisseling in minder dan 60 seconden opnieuw te genereren. En zelfs als de sleuteluitwisseling veilig genoeg is om direct te kunnen hacken, kan deze worden opgeslagen en gebruikt voor offline brute force. Een ander probleem is dat EAP gegevens in gewone tekst verzendt. Aanvankelijk werd Transport Layer Security (TLS) gebruikt om EAP-sessies te coderen, maar om dit te laten werken is op elke client een certificaat vereist. TTLS heeft dit probleem enigszins gecorrigeerd. Hier kunt u, beginnend met Service Pack 2, bij het werken met draadloze netwerken gebruik maken van login/wachtwoord-authenticatie (dat wil zeggen PEAP) en digitale certificaatauthenticatie (EAP-TLS).

Een draadloos netwerk hacken met het WPA-protocol

Maar helaas is zelfs het protocol niet zo veilig. De procedure voor het hacken van netwerken met het WPA-protocol verschilt niet veel van de procedure voor het hacken van netwerken met het WEP-protocol die we al hebben besproken.

In de eerste fase wordt dezelfde airodump-sniffer gebruikt. Er zijn echter twee belangrijke punten waarmee rekening moet worden gehouden. Ten eerste is het noodzakelijk om het cap-bestand als uitvoerbestand te gebruiken, en niet het ivs-bestand. Om dit te doen, moet u bij het instellen van het hulpprogramma airodump de laatste vraag met “nee” beantwoorden. Schrijf alleen WEP IV's (y/n).

Ten tweede moet u de clientinitialisatieprocedure op het netwerk vastleggen in het cap-bestand, dat wil zeggen dat u in een hinderlaag zult moeten zitten terwijl het airodump-programma actief is. Als u een Linux-systeem gebruikt, kunt u een aanval lanceren die u dwingt netwerkclients opnieuw te initialiseren, maar een dergelijk programma is niet beschikbaar voor Windows.

Nadat de initialisatieprocedure van de netwerkclient is vastgelegd in het cap-bestand, kunt u het airodump-programma stoppen en het decoderingsproces starten. In dit geval is het eigenlijk niet nodig om de onderschepte pakketten te verzamelen, omdat alleen pakketten die tijdens de initialisatie tussen het toegangspunt en de cliënt worden verzonden, worden gebruikt om de geheime sleutel te berekenen.

Om de ontvangen informatie te analyseren, wordt hetzelfde aircrack-hulpprogramma gebruikt, maar met iets andere lanceringsparameters. Bovendien zul je met het aircrack-programma nog een belangrijk element in de map moeten installeren: een woordenboek. Dergelijke gespecialiseerde woordenboeken zijn te vinden op internet.

Voer hierna het programma aircrack uit vanaf de opdrachtregel, waarbij u het cap-bestand (bijvoorbeeld out.cap) en de naam van het woordenboek (parameter –w all, waarbij all de naam van het woordenboek is) opgeeft als uitvoerbestand.

Het programma voor het zoeken naar sleutels uit een woordenboek is zeer processorintensief en als u een energiezuinige pc gebruikt, zal deze procedure lang duren. Indien hiervoor een krachtige multiprocessor server of pc op basis van een dual-core processor wordt gebruikt, kan optioneel het aantal gebruikte processors worden opgegeven. Als u bijvoorbeeld een dual-core Intel Pentium-processor gebruikt Extreme editie Processor 955 met ondersteuning voor Hyper-Threading-technologie (vier logische processorkernen), en specificeer in de programmastartparameters de optie –p 4, waarmee u alle vier de logische processorkernen kunt recyclen (waarbij elke kern voor 100% wordt gebruikt), zoek dan naar de geheime sleutel, het duurt ongeveer anderhalf uur.

Dit duurt uiteraard niet een paar seconden, zoals in het geval van WEP-codering, maar het is ook een goed resultaat, dat perfect aantoont dat WPA-PSK-bescherming niet absoluut betrouwbaar is en dat het resultaat van het hacken van de geheime sleutel niets te maken met welke algoritme-encryptie (TKIP of AES) op het netwerk wordt gebruikt.

WPA2-beveiligingsstandaard

WPA2 (Wireless Protected Access ver. 2.0) is de tweede versie van een reeks algoritmen en protocollen die gegevensbescherming bieden in draadloze Wi-Fi-netwerken. Zoals verwacht zou WPA2 de veiligheid van draadloze Wi-Fi-netwerken aanzienlijk moeten verbeteren in vergelijking met eerdere technologieën. De nieuwe standaard voorziet met name in het verplichte gebruik van het krachtigere AES-coderingsalgoritme (Advanced Encryption Standard) en 802.1X-authenticatie.

Om een ​​betrouwbaar beveiligingsmechanisme in een draadloos bedrijfsnetwerk te garanderen, is het tegenwoordig noodzakelijk (en verplicht) om apparaten en software te gebruiken die WPA2 ondersteunen. Eerdere generaties protocollen – WEP en WPA – bevatten elementen met onvoldoende sterke beveiligings- en encryptie-algoritmen. Bovendien zijn er al programma's en technieken ontwikkeld om WEP-gebaseerde netwerken te hacken die gemakkelijk van internet kunnen worden gedownload en zelfs door ongetrainde beginnende hackers met succes kunnen worden gebruikt.

WPA2-protocollen werken in twee authenticatiemodi: persoonlijk (Personal) en zakelijk (Enterprise). In modus WPA2-persoonlijk Er wordt een 256-bit PSK (PreShared Key) gegenereerd op basis van de ingevoerde wachtwoordzin in platte tekst. De PSK-sleutel wordt samen met de SSID (Service Set Identifier) ​​gebruikt om tijdelijke PTK-sessiesleutels (Pairwise Transient Key) te genereren voor de interactie van draadloze apparaten. Net als het statische WEP-protocol heeft het WPA2-Personal-protocol bepaalde problemen die verband houden met de noodzaak om sleutels op draadloze apparaten op het netwerk te distribueren en te onderhouden, waardoor het geschikter is voor gebruik in kleine netwerken van een tiental apparaten, terwijl WPA2 optimaal is voor bedrijfsnetwerken -Enterprise.

In modus WPA2-Enterprise lost problemen op die verband houden met de distributie en het beheer van statische sleutels, en de integratie ervan met de meeste bedrijfsauthenticatiediensten zorgt voor accountgebaseerde toegangscontrole. Voor deze modus zijn referenties nodig, zoals een gebruikersnaam en wachtwoord, een beveiligingscertificaat of een eenmalig wachtwoord, en de authenticatie wordt uitgevoerd tussen het werkstation en een centrale authenticatieserver. Het toegangspunt of de draadloze controller bewaakt verbindingen en stuurt authenticatieverzoeken door naar de juiste authenticatieserver (meestal een RADIUS-server zoals Cisco ACS). De WPA2-Enterprise-modus is gebaseerd op de 802.1X-standaard, die gebruikers- en apparaatauthenticatie ondersteunt, geschikt voor zowel bekabelde switches als draadloze toegangspunten.

In tegenstelling tot WPA wordt het sterkere AES-coderingsalgoritme gebruikt. Net als WPA is WPA2 ook onderverdeeld in twee typen: WPA2-PSK en WPA2-802.1x.

Biedt nieuwe, betrouwbaardere mechanismen om de integriteit en vertrouwelijkheid van gegevens te garanderen:

CCMP (Counter-Mode-CBC-MAC Protocol), gebaseerd op de Counter Cipher-Block Chaining Mode (CCM) van het Advanced Encryption Standard (AES)-coderingsalgoritme. CCM combineert twee mechanismen: Counter (CTR) voor vertrouwelijkheid en Cipher Block Chaining Message Authentication Code (CBC-MAC) voor authenticatie.

WRAP (Wireless Robust Authentication Protocol), gebaseerd op de Offset Codebook (OCB)-modus van het AES-coderingsalgoritme.

TKIP-protocol voor achterwaartse compatibiliteit met oudere apparatuur. Wederzijdse authenticatie en sleutellevering op basis van IEEE 802.1x/EAP-protocollen. Secure Independent Basic Service Set (IBSS) om de beveiliging in ad-hocnetwerken te verbeteren. Ondersteuning voor roaming.

Bijdrage aan de veiligheid van draadloze netwerken is het CCMP-mechanisme en de IEEE 802.11i-standaard. Deze laatste introduceert het concept van een beveiligd netwerk (Robust Security Network, RSN) en een beveiligde netwerkverbinding (Robust Security Network Association, RSNA), waarna het alle algoritmen verdeelt in:

RSNA-algoritmen (voor het maken en gebruiken van RSNA);

Pre-RSNA-algoritmen.

Pre-RSNA-algoritmen omvatten:

bestaande IEEE 802.11-authenticatie (verwijzend naar de authenticatie gedefinieerd in de editie van 1999 van de standaard).

Dat wil zeggen dat dit soort algoritmen Open System-authenticatie met of zonder WEP-codering (preciezer gezegd: geen authenticatie) en Shared Key omvatten.

RSNA-algoritmen omvatten:

TKIP; CCMP; Procedure voor het opzetten en beëindigen van RSNA (inclusief het gebruik van IEEE 802.1x-authenticatie); procedure voor sleuteluitwisseling.

Tegelijkertijd is het CCMP-algoritme verplicht en is TKIP optioneel en bedoeld om compatibiliteit met oudere apparaten te garanderen.

De standaard biedt twee functionele modellen: met authenticatie via IEEE 802.1x, d.w.z. met behulp van het EAP-protocol, en met behulp van een vooraf gedefinieerde sleutel die is geregistreerd op de authenticator en client (deze modus wordt Preshared Key, PSK genoemd). In dit geval fungeert de PSK-sleutel als een PMK-sleutel en is de verdere procedure voor de authenticatie en generatie ervan niet anders.

Omdat versleutelingsalgoritmen die de TKIP-procedure gebruiken al WPA worden genoemd en de CCMP-procedure WPA2 is, kunnen we zeggen dat versleutelingsmethoden die voldoen aan RSNA zijn: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA- Persoonlijk), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-vooraf gedeelde sleutel, WPA2-Personal).

De procedure voor het tot stand brengen van de verbinding en de sleuteluitwisseling voor de TKIP- en CCMP-algoritmen is hetzelfde. CCMP zelf (Counter Mode (CTR) met CBC-MAC (Cipher-Block Chaining (CBC) with Message Authentication Code (MAC) Protocol), zoals TKIP, is ontworpen om vertrouwelijkheid, authenticatie, integriteit en bescherming tegen replay-aanvallen te bieden. algoritme is gebaseerd op de CCM-methode van het AES-coderingsalgoritme, dat is gedefinieerd in de FIPS PUB 197-specificatie. Alle AES-processen die in CCMP worden gebruikt, gebruiken AES met een 128-bits sleutel en een 128-bits blokgrootte.

De nieuwste innovatie van de standaard is ondersteuning voor snelle roamingtechnologie tussen toegangspunten met behulp van PMK-sleutelcaching en pre-authenticatie.

De PMK-cachingprocedure houdt in dat als een client eenmaal de volledige authenticatie heeft doorstaan ​​bij het verbinden met een bepaald toegangspunt, hij de van hem ontvangen PMK-sleutel opslaat, en de volgende keer dat hij verbinding maakt met dit punt, zal de client een eerder ontvangen PMK-sleutel sturen . Hierdoor wordt de authenticatie beëindigd, d.w.z. dat de 4-Way Handshake niet wordt uitgevoerd.

De pre-authenticatieprocedure houdt in dat nadat de klant verbinding heeft gemaakt en de authenticatie op het toegangspunt heeft doorstaan, hij tegelijkertijd (vooraf) de authenticatie kan doorgeven op andere toegangspunten (die hij “hoort”) met dezelfde SSID, d.w.z. vooraf hun sleutel is PMK. En als in de toekomst het toegangspunt waarmee het is verbonden uitvalt of het signaal zwakker blijkt te zijn dan een ander punt met dezelfde netwerknaam, dan zal de client opnieuw verbinding maken via een snel schema met een in de cache opgeslagen PMK-sleutel.

De WEP2-specificatie, die in 2001 verscheen en de sleutellengte verhoogde tot 104 bits, loste het probleem niet op, aangezien de lengte van de initialisatievector en de methode voor het controleren van de data-integriteit hetzelfde bleven. De meeste soorten aanvallen werden net zo eenvoudig geïmplementeerd als voorheen.

Conclusie

Tot slot zou ik alle informatie willen samenvatten en aanbevelingen doen voor het beschermen van draadloze netwerken.

Er zijn drie mechanismen voor het beveiligen van een draadloos netwerk: configureer de client en het AP om dezelfde (niet-standaard) SSID te gebruiken, laat het AP alleen communiceren met clients waarvan het MAC-adres bekend is bij het AP, en configureer clients om zich te authenticeren bij het draadloze netwerk. AP en versleutel verkeer. De meeste AP's zijn geconfigureerd om te werken met een standaard SSID, geen lijst met toegestane client-MAC-adressen en een bekende gedeelde sleutel voor authenticatie en codering (of helemaal geen authenticatie of codering). Normaal gesproken worden deze instellingen gedocumenteerd in de online Help op de website van de fabrikant. Deze opties maken het voor een onervaren gebruiker gemakkelijk om een ​​draadloos netwerk op te zetten en te gebruiken, maar maken het tegelijkertijd gemakkelijker voor hackers om in te breken in het netwerk. De situatie wordt verergerd door het feit dat de meeste toegangsknooppunten zijn geconfigureerd om de SSID uit te zenden. Daarom kan een aanvaller kwetsbare netwerken vinden met behulp van standaard SSID's.

De eerste stap naar een veilig draadloos netwerk is het wijzigen van de standaard AP SSID. Bovendien moet deze instelling op de client worden gewijzigd om communicatie met het toegangspunt mogelijk te maken. Het is handig om een ​​SSID toe te wijzen die zinvol is voor de beheerder en gebruikers van de onderneming, maar die dit draadloze netwerk niet duidelijk identificeert tussen andere SSID's die door onbevoegde personen worden onderschept.

De volgende stap is om, indien mogelijk, te voorkomen dat het toegangsknooppunt de SSID uitzendt. Als gevolg hiervan wordt het voor een aanvaller moeilijker (hoewel nog steeds mogelijk) om de aanwezigheid van een draadloos netwerk en SSID te detecteren. Bij sommige toegangspunten kunt u de SSID-uitzending niet annuleren. In dergelijke gevallen moet u het uitzendinterval zoveel mogelijk verlengen. Bovendien kunnen sommige clients alleen communiceren als de SSID wordt uitgezonden door het toegangsknooppunt. Daarom moet u mogelijk met deze instelling experimenteren om te bepalen welke modus geschikt is voor uw specifieke situatie.

U kunt vervolgens toestaan ​​dat toegangsknooppunten alleen toegankelijk zijn vanaf draadloze clients met bekende MAC-adressen. Dit is misschien niet geschikt voor een grote organisatie, maar voor een klein bedrijf met een klein aantal draadloze clients is het een betrouwbare extra verdedigingslinie. Aanvallers zullen de MAC-adressen moeten achterhalen die verbinding mogen maken met het zakelijke toegangspunt en het MAC-adres van hun eigen draadloze adapter moeten vervangen door een geautoriseerd exemplaar (op sommige adaptermodellen kan het MAC-adres worden gewijzigd).

Het selecteren van authenticatie- en encryptie-opties kan het moeilijkste onderdeel zijn van het beveiligen van een draadloos netwerk. Voordat u instellingen toewijst, moet u de toegangsknooppunten en draadloze adapters inventariseren om te bepalen welke beveiligingsprotocollen ze ondersteunen, vooral als uw draadloze netwerk al is geconfigureerd met een verscheidenheid aan apparatuur van verschillende leveranciers. Sommige apparaten, vooral oudere toegangspunten en draadloze adapters, zijn mogelijk niet compatibel met WPA-, WPA2- of uitgebreide WEP-sleutels.

Een andere situatie waar u rekening mee moet houden is dat bij sommige oudere apparaten gebruikers een hexadecimaal getal moeten invoeren dat de sleutel vertegenwoordigt, terwijl bij andere oudere AP's en draadloze adapters gebruikers een wachtwoordzin moeten invoeren die in een sleutel wordt omgezet. Als gevolg hiervan is het moeilijk om ervoor te zorgen dat één sleutel door alle apparatuur wordt gebruikt. Eigenaars van dergelijke apparatuur kunnen hulpmiddelen zoals WEP Key Generator gebruiken om willekeurige WEP-sleutels te genereren en wachtwoordzinnen om te zetten in hexadecimale getallen.

Over het algemeen mag WEP alleen worden gebruikt als dit absoluut noodzakelijk is. Als het gebruik van WEP verplicht is, moet u sleutels met de maximale lengte kiezen en het netwerk configureren in de Open-modus in plaats van Gedeeld. In de Open-modus op het netwerk wordt er geen clientauthenticatie uitgevoerd en kan iedereen een verbinding tot stand brengen met toegangsknooppunten. Deze voorbereidende verbindingen belasten het draadloze communicatiekanaal gedeeltelijk, maar aanvallers die een verbinding met het toegangspunt tot stand hebben gebracht, kunnen niet doorgaan met het uitwisselen van gegevens omdat ze de WEP-coderingssleutel niet kennen. U kunt zelfs pre-verbindingen blokkeren door het toegangspunt zo te configureren dat alleen verbindingen van bekende MAC-adressen worden geaccepteerd. In tegenstelling tot Open gebruikt het toegangsknooppunt in de gedeelde modus de WEP-sleutel om draadloze clients te authenticeren in een challenge-response-procedure, en een aanvaller kan de volgorde ontsleutelen en de WEP-coderingssleutel bepalen.

Als u WPA kunt gebruiken, moet u kiezen tussen WPA, WPA2 en WPA-PSK. De belangrijkste factor bij het kiezen van WPA of WPA2 enerzijds, en WPA-PSK anderzijds, is de mogelijkheid om de infrastructuur in te zetten die nodig is voor WPA en WPA2 om gebruikers te authenticeren. WPA en WPA2 vereisen de inzet van RADIUS-servers en mogelijk Public Key Infrastructure (PKI). WPA-PSK werkt, net als WEP, met een gedeelde sleutel die bekend is bij de draadloze client en het toegangspunt. WPA-PSK U kunt de gedeelde WPA-PSK-sleutel veilig gebruiken voor authenticatie en encryptie, aangezien deze niet het nadeel van WEP heeft.