Leo tutachimba kwa undani zaidi mada ya usalama wa unganisho la waya. Wacha tujue ni nini - pia inaitwa "uthibitishaji" - na ni ipi bora kuchagua. Labda umekutana na vifupisho kama vile WEP, WPA, WPA2, WPA2/PSK. Na pia baadhi ya aina zao - Binafsi au Enterprice na TKIP au AES. Kweli, wacha tuziangalie zote kwa karibu na tujue ni aina gani ya usimbuaji wa kuchagua ili kuhakikisha kasi ya juu bila kutoa kasi.
Ninakumbuka kuwa ni muhimu kulinda WiFi yako na nenosiri, bila kujali ni aina gani ya usimbaji fiche unayochagua. Hata uthibitishaji rahisi utaepuka shida kubwa katika siku zijazo.
Kwa nini nasema hivi? Sio hata suala la ukweli kwamba kuunganisha wateja wengi wasio sahihi kutapunguza kasi ya mtandao wako-huo ni mwanzo tu. Sababu kuu ni kwamba ikiwa mtandao wako haujalindwa na nenosiri, basi mshambuliaji anaweza kushikamana nayo, ambaye atafanya vitendo visivyo halali kutoka chini ya router yako, na kisha utalazimika kujibu kwa matendo yake, kwa hivyo chukua ulinzi wa wifi kwa umakini sana. .
Usimbaji fiche wa data ya WiFi na aina za uthibitishaji
Kwa hivyo, tuna hakika juu ya hitaji la kusimba mtandao wa wifi, sasa hebu tuone ni aina gani zipo:
Ulinzi wa wifi ya WEP ni nini?
WEP(Faragha Sawa Sawa na Waya) ndicho kiwango cha kwanza kabisa kujitokeza, lakini kutegemewa kwake hakukidhi mahitaji ya kisasa tena. Programu zote zilizosanidiwa ili kudukua mtandao wa wifi kwa kutumia mbinu za nguvu za kinyama zinalenga hasa kuchagua ufunguo wa usimbaji wa WEP.
Ufunguo au nenosiri la WPA ni nini?
WPA(Wi-Fi Protected Access) ni kiwango cha kisasa zaidi cha uthibitishaji ambacho hukuruhusu kulinda kwa uaminifu mtandao wako wa karibu na Mtandao dhidi ya kupenya haramu.
WPA2-PSK - Binafsi au Biashara ni nini?
WPA2- toleo la kuboreshwa la aina ya awali. Hacking WPA2 ni karibu haiwezekani, inatoa kiwango cha juu cha usalama, hivyo katika makala yangu mimi daima kusema bila maelezo kwamba unahitaji kufunga hiyo - sasa unajua kwa nini.
Viwango vya usalama vya WiFi WPA2 na WPA vina aina mbili zaidi:
- Binafsi, iliyoashiriwa kama WPA/PSK au WPA2/PSK. Aina hii ndiyo inayotumiwa sana na inafaa zaidi kwa matumizi katika hali nyingi - nyumbani na ofisini. Katika WPA2/PSK tunaweka nenosiri la angalau wahusika 8, ambalo limehifadhiwa kwenye kumbukumbu ya kifaa ambacho tunaunganisha kwenye router.
- Biashara- usanidi ngumu zaidi ambao unahitaji kazi ya RADIUS kuwezeshwa kwenye router. Inafanya kazi kulingana na kanuni, yaani, nenosiri tofauti linapewa kila gadget ya mtu binafsi iliyounganishwa.
Aina za usimbaji fiche za WPA - TKIP au AES?
Kwa hiyo, tumeamua kuwa WPA2/PSK (Binafsi) ndiyo chaguo bora zaidi kwa usalama wa mtandao, lakini ina aina mbili zaidi za usimbaji fiche wa data kwa ajili ya uthibitishaji.
- TKIP- leo hii ni aina ya kizamani, lakini bado inatumiwa sana, kwani vifaa vingi kwa idadi fulani ya miaka vinaunga mkono tu. Haifanyi kazi na teknolojia ya WPA2/PSK na haitumii 802.11n WiFi.
- AES- aina ya hivi punde na ya kuaminika zaidi ya usimbaji fiche wa WiFi kwa sasa.
Je, ni aina gani ya usimbaji fiche ninapaswa kuchagua na kuweka ufunguo wa WPA kwenye kipanga njia changu cha WiFi?
Tumepanga nadharia - wacha tuendelee kufanya mazoezi. Kwa kuwa hakuna mtu anayetumia viwango vya WiFi 802.11 "B" na "G", ambavyo vina kasi ya hadi 54 Mbit / s, leo kawaida ni 802.11 "N" au "AC", ambayo inasaidia kasi hadi 300 Mbit. /s and above , basi hakuna maana katika kuzingatia chaguo la kutumia ulinzi wa WPA/PSK na aina ya usimbaji fiche ya TKIP. Kwa hiyo, unapoweka mtandao wa wireless, uiweka kwa default
WPA2/PSK - AES
Au, kama uamuzi wa mwisho, bainisha "Otomatiki" kama aina ya usimbaji fiche ili kuruhusu uunganisho wa vifaa vilivyo na moduli ya WiFi iliyopitwa na wakati.
Katika kesi hii, ufunguo wa WPA, au tu kuweka, nenosiri la kuunganisha kwenye mtandao, lazima iwe na wahusika 8 hadi 32, ikiwa ni pamoja na herufi ndogo za Kiingereza na kubwa, pamoja na wahusika mbalimbali maalum.
Usalama bila waya kwenye kipanga njia chako cha TP-Link
Picha za skrini zilizo hapo juu zinaonyesha paneli dhibiti ya kipanga njia cha kisasa cha TP-Link katika toleo jipya la programu dhibiti. Kuweka usimbaji fiche wa mtandao hapa ni katika sehemu ya "Mipangilio ya hali ya juu - Hali isiyo na waya".
Katika toleo la zamani la "kijani", usanidi wa mtandao wa WiFi unaotuvutia unapatikana katika " Hali ya Waya - Usalama". Ikiwa utafanya kila kitu kama kwenye picha, itakuwa nzuri!
Ikiwa umegundua, pia kuna kipengee kama "Kipindi cha sasisho cha ufunguo wa kikundi cha WPA." Ukweli ni kwamba ili kutoa usalama zaidi, ufunguo halisi wa dijiti wa WPA wa kusimba muunganisho hubadilika kwa nguvu. Hapa unaweka thamani katika sekunde baada ya ambayo mabadiliko hutokea. Ninapendekeza kuiacha peke yake na kuiacha kwa chaguo-msingi - muda wa sasisho hutofautiana kutoka kwa mfano hadi mfano.
Mbinu ya uthibitishaji kwenye kipanga njia cha ASUS
Kwenye vipanga njia vya ASUS, mipangilio yote ya WiFi iko kwenye ukurasa mmoja wa "Mtandao Usio na Waya".
Ulinzi wa mtandao kupitia kipanga njia cha Zyxel Keenetic
Vile vile kwa Zyxel Keenetic - sehemu ya "Mtandao wa WiFi - Sehemu ya Ufikiaji"
Katika vipanga njia vya Keenetic bila kiambishi awali cha "Zyxel", aina ya usimbaji fiche inaweza kubadilishwa katika sehemu ya "Mtandao wa Nyumbani".
Kuweka usalama wa kipanga njia cha D-Link
Kwenye D-Link tunatafuta sehemu " Wi-Fi - Usalama»
Kweli, leo tumeelewa aina za usimbaji fiche wa WiFi na masharti kama WEP, WPA, WPA2-PSK, TKIP na AES na tukajifunza ni ipi bora kuchagua. Soma pia kuhusu chaguzi zingine za usalama wa mtandao katika moja ya nakala zangu zilizopita, ambazo ninazungumza juu ya anwani za MAC na IP na njia zingine za usalama.
Video juu ya kuweka aina ya usimbuaji kwenye kipanga njia
Hivi majuzi, machapisho mengi "ya kufichua" yameonekana kuhusu udukuzi wa itifaki au teknolojia mpya ambayo inahatarisha usalama wa mitandao isiyo na waya. Je, hii ni kweli, unapaswa kuogopa nini, na unawezaje kuhakikisha kwamba ufikiaji wa mtandao wako ni salama iwezekanavyo? Je, maneno WEP, WPA, 802.1x, EAP, PKI yana maana ndogo kwako? Muhtasari huu mfupi utasaidia kuleta pamoja teknolojia zote za usimbaji na uidhinishaji wa ufikiaji wa redio zinazotumiwa. Nitajaribu kuonyesha kwamba mtandao wa wireless uliowekwa vizuri unawakilisha kizuizi kisichoweza kushindwa kwa mshambuliaji (hadi kikomo fulani, bila shaka).
Misingi
Mwingiliano wowote kati ya kituo cha ufikiaji (mtandao) na mteja wa wireless unategemea:- Uthibitisho- jinsi mteja na mahali pa kufikia hujitambulisha kwa kila mmoja na kuthibitisha kuwa wana haki ya kuwasiliana na kila mmoja;
- Usimbaji fiche- ni algorithm gani ya kuchambua data iliyopitishwa inatumiwa, jinsi ufunguo wa usimbuaji unavyotolewa, na wakati unabadilika.
Vigezo vya mtandao wa wireless, hasa jina lake (SSID), hutangazwa mara kwa mara na hatua ya kufikia katika pakiti za beacon za utangazaji. Mbali na mipangilio ya usalama inayotarajiwa, maombi ya QoS, vigezo vya 802.11n, kasi inayoungwa mkono, habari kuhusu majirani wengine, nk hupitishwa. Uthibitishaji huamua jinsi mteja anavyojiwasilisha kwa uhakika. Chaguzi zinazowezekana:
- Fungua- mtandao unaoitwa wazi ambao vifaa vyote vilivyounganishwa vinaidhinishwa mara moja
- Imeshirikiwa- uhalisi wa kifaa kilichounganishwa lazima uthibitishwe na ufunguo/nenosiri
- EAP- uhalisi wa kifaa kilichounganishwa lazima uthibitishwe kwa kutumia itifaki ya EAP na seva ya nje
- Hakuna- hakuna usimbaji fiche, data hupitishwa kwa maandishi wazi
- WEP- cipher kulingana na algoriti ya RC4 yenye urefu tofauti wa vitufe tuli au thabiti (biti 64 au 128)
- CKIP- uingizwaji wa umiliki wa WEP ya Cisco, toleo la mapema la TKIP
- TKIP- Uingizwaji ulioboreshwa wa WEP na ukaguzi wa ziada na ulinzi
- AES/CCMP- algorithm ya hali ya juu zaidi kulingana na AES256 na ukaguzi wa ziada na ulinzi
Mchanganyiko Fungua Uthibitishaji, Hakuna Usimbaji fiche hutumika sana katika mifumo ya ufikiaji wa wageni kama vile kutoa mtandao kwenye mkahawa au hoteli. Ili kuunganisha, unahitaji tu kujua jina la mtandao wa wireless. Mara nyingi, muunganisho kama huo unajumuishwa na uthibitishaji wa ziada kwenye Tovuti ya Wafungwa kwa kuelekeza ombi la HTTP la mtumiaji kwa ukurasa wa ziada ambapo unaweza kuomba uthibitisho (nenosiri la kuingia, makubaliano na sheria, nk).
Usimbaji fiche WEP imeathiriwa na haiwezi kutumika (hata katika kesi ya vitufe vinavyobadilika).
Masharti yanayotokea kwa kawaida WPA Na WPA2 kuamua, kwa kweli, algorithm ya usimbuaji (TKIP au AES). Kwa sababu ya ukweli kwamba adapta za mteja zimetumia WPA2 (AES) kwa muda mrefu, hakuna maana katika kutumia usimbaji fiche wa TKIP.
Tofauti kati ya WPA2 Binafsi Na Biashara ya WPA2 ndipo funguo za usimbaji fiche zinazotumiwa katika mechanics ya algoriti ya AES zinatoka. Kwa programu za kibinafsi (nyumbani, ndogo), ufunguo wa tuli (nenosiri, neno la msimbo, PSK (Ufunguo Ulioshirikiwa Kabla)) na urefu wa chini wa herufi 8 hutumiwa, ambayo imewekwa katika mipangilio ya mahali pa ufikiaji, na ni sawa kwa. wateja wote wa mtandao fulani wa wireless. Maelewano ya ufunguo huo (walimwaga maharagwe kwa jirani, mfanyakazi alifukuzwa kazi, kompyuta ya mkononi iliibiwa) inahitaji mabadiliko ya haraka ya nenosiri kwa watumiaji wote waliobaki, ambayo ni kweli tu ikiwa kuna idadi ndogo yao. Kwa programu za kampuni, kama jina linavyopendekeza, ufunguo unaobadilika hutumiwa, mtu binafsi kwa kila mteja anayeendesha kwa sasa. Ufunguo huu unaweza kusasishwa mara kwa mara wakati wa operesheni bila kuvunja uunganisho, na sehemu ya ziada inawajibika kwa kizazi chake - seva ya idhini, na karibu kila mara hii ni seva ya RADIUS.
Vigezo vyote vya usalama vinavyowezekana vimefupishwa katika sahani hii:
| Mali | WEP tuli | Nguvu ya WEP | WPA | WPA 2 (Biashara) |
| Utambulisho | Mtumiaji, kompyuta, kadi ya WLAN | Mtumiaji, kompyuta |
Mtumiaji, kompyuta |
Mtumiaji, kompyuta |
| Uidhinishaji |
Ufunguo Ulioshirikiwa |
EAP |
EAP au ufunguo ulioshirikiwa |
EAP au ufunguo ulioshirikiwa |
Uadilifu |
Thamani ya Kukagua Uadilifu ya 32-bit (ICV) |
32-bit ICV |
Msimbo wa Uadilifu wa Ujumbe wa 64-bit (MIC) |
CRT/CBC-MAC (Msimbo wa Kukabiliana na Msimbo wa Uthibitishaji wa Chaining Block - CCM) Sehemu ya AES |
Usimbaji fiche |
Kitufe tuli |
Ufunguo wa kikao |
Kitufe cha kila pakiti kupitia TKIP |
CCMP (AES) |
Usambazaji muhimu |
Mara moja, mwongozo |
Sehemu ya Ufunguo Mkuu wa busara (PMK). |
Imetolewa kutoka kwa PMK |
Imetolewa kutoka kwa PMK |
Vekta ya uanzishaji |
Maandishi, biti 24 |
Maandishi, biti 24 |
Vector ya hali ya juu, 65 bit |
Nambari ya pakiti ya 48-bit (PN) |
Algorithm |
RC4 |
RC4 |
RC4 |
AES |
Urefu muhimu, bits |
64/128 |
64/128 |
128 |
hadi 256 |
Miundombinu inayohitajika |
Hapana |
RADIUS |
RADIUS |
RADIUS |
Ingawa WPA2 Personal (WPA2 PSK) iko wazi, suluhisho la biashara linahitaji kuzingatiwa zaidi.
Biashara ya WPA2
Hapa tunashughulika na seti ya ziada ya itifaki tofauti. Kwa upande wa mteja, sehemu maalum ya programu, mwombaji (kawaida ni sehemu ya OS) huingiliana na sehemu ya idhini, seva ya AAA. Mfano huu unaonyesha utendakazi wa mtandao wa redio uliounganishwa uliojengwa kwenye sehemu nyepesi za ufikiaji na kidhibiti. Katika kesi ya kutumia pointi za kufikia na "akili", jukumu lote la mpatanishi kati ya wateja na seva linaweza kuchukuliwa na hatua yenyewe. Katika kesi hii, data ya mwombaji mteja hupitishwa kupitia redio iliyoundwa katika itifaki ya 802.1x (EAPOL), na kwa upande wa mtawala imefungwa kwenye pakiti za RADIUS.
Utumiaji wa utaratibu wa uidhinishaji wa EAP katika mtandao wako husababisha ukweli kwamba baada ya uthibitishaji wa mteja uliofanikiwa (karibu wazi) na kituo cha ufikiaji (pamoja na kidhibiti, ikiwa kipo), mwisho huomba mteja kuidhinisha (kuthibitisha mamlaka yake) na seva ya miundombinu ya RADIUS:
Matumizi Biashara ya WPA2 inahitaji seva ya RADIUS kwenye mtandao wako. Hivi sasa, bidhaa zenye ufanisi zaidi ni zifuatazo:
- Seva ya Sera ya Mtandao ya Microsoft (NPS), IAS ya zamani- imeundwa kupitia MMC, bila malipo, lakini unahitaji kununua Windows
- Seva ya Udhibiti wa Ufikiaji Salama wa Cisco (ACS) 4.2, 5.3- imeundwa kupitia kiolesura cha wavuti, kilichoboreshwa katika utendakazi, hukuruhusu kuunda mifumo iliyosambazwa na inayostahimili makosa, ghali.
- BureRADIUS- bure, imeundwa kwa kutumia usanidi wa maandishi, sio rahisi kusimamia na kufuatilia
Katika kesi hii, mtawala anafuatilia kwa uangalifu ubadilishanaji unaoendelea wa habari na anasubiri idhini iliyofanikiwa au kukataa kwake. Ikiwa imefanikiwa, seva ya RADIUS inaweza kuhamisha vigezo vya ziada kwenye hatua ya kufikia (kwa mfano, ambayo VLAN itaweka mteja, anwani ya IP ya kugawa, wasifu wa QoS, nk). Mwishoni mwa ubadilishanaji, seva ya RADIUS inaruhusu mteja na mahali pa kufikia kutoa na kubadilishana funguo za usimbuaji (mtu binafsi, halali kwa kipindi hiki pekee):
EAP
Itifaki ya EAP yenyewe inategemea chombo, kumaanisha kuwa utaratibu halisi wa uidhinishaji umeachwa kwa itifaki za ndani. Kwa sasa, zifuatazo zimepokea usambazaji wowote muhimu:- EAP-FAST(Uthibitishaji Rahisi kupitia Njia salama) - iliyotengenezwa na Cisco; inaruhusu uidhinishaji kwa kutumia kuingia na nenosiri lililotumwa ndani ya njia ya TLS kati ya mwombaji na seva ya RADIUS
- EAP-TLS(Usalama wa Tabaka la Usafiri). Hutumia miundombinu ya ufunguo wa umma (PKI) kuidhinisha mteja na seva (somo na seva ya RADIUS) kupitia vyeti vinavyotolewa na mamlaka ya uidhinishaji inayoaminika (CA). Inahitaji kutoa na kusakinisha vyeti vya mteja kwenye kila kifaa kisichotumia waya, kwa hivyo kinafaa tu kwa mazingira ya shirika yanayosimamiwa. Seva ya Cheti cha Windows ina vifaa vinavyoruhusu mteja kutoa cheti chake ikiwa mteja ni mwanachama wa kikoa. Kuzuia mteja kunaweza kufanywa kwa urahisi kwa kubatilisha cheti chake (au kupitia akaunti).
- EAP-TTLS(Usalama wa Tabaka la Usafiri Ulioboreshwa) ni sawa na EAP-TLS, lakini hauhitaji cheti cha mteja wakati wa kuunda handaki. Katika handaki hiyo, sawa na uunganisho wa SSL wa kivinjari, idhini ya ziada inafanywa (kwa kutumia nenosiri au kitu kingine).
- PEAP-MSCHAPv2(Protected EAP) - sawa na EAP-TTLS katika suala la uanzishwaji wa awali wa njia fiche ya TLS kati ya mteja na seva, inayohitaji cheti cha seva. Baadaye, handaki kama hilo limeidhinishwa kwa kutumia itifaki inayojulikana ya MSCHAPv2.
- PEAP-GTC(Kadi ya Tokeni ya Jumla) - sawa na ile ya awali, lakini inahitaji kadi za nenosiri za wakati mmoja (na miundombinu inayolingana)
Mbinu hizi zote (isipokuwa EAP-FAST) zinahitaji cheti cha seva (kwenye seva ya RADIUS) kinachotolewa na mamlaka ya uthibitishaji (CA). Katika hali hii, cheti cha CA chenyewe lazima kiwepo kwenye kifaa cha mteja katika kikundi kinachoaminika (ambacho ni rahisi kutekeleza kwa kutumia Sera ya Kikundi katika Windows). Zaidi ya hayo, EAP-TLS inahitaji cheti cha mteja binafsi. Uhalisi wa mteja unathibitishwa na saini ya dijiti na (hiari) kwa kulinganisha cheti kilichotolewa na mteja kwenye seva ya RADIUS na kile ambacho seva ilipata kutoka kwa miundombinu ya PKI (Active Directory).
Usaidizi wa mbinu zozote za EAP lazima utolewe na mwombaji wa upande wa mteja. Kiwango kilichojengwa ndani ya Windows XP/Vista/7, iOS, Android hutoa angalau EAP-TLS, na EAP-MSCHAPv2, ambayo hufanya njia hizi kuwa maarufu. Adapta za mteja wa Intel kwa Windows huja na matumizi ya ProSet, ambayo huongeza orodha inayopatikana. Cisco AnyConnect Mteja hufanya vivyo hivyo.
Je, inategemewa kwa kiasi gani?
Baada ya yote, inachukua nini kwa mshambuliaji kuhack mtandao wako?Kwa Uthibitishaji Wazi, Hakuna Usimbaji fiche - hakuna chochote. Imeunganishwa kwenye mtandao, na ndivyo hivyo. Kwa kuwa kati ya redio imefunguliwa, ishara husafiri kwa njia tofauti, si rahisi kuizuia. Ikiwa una adapta za mteja zinazofaa zinazokuwezesha kusikiliza hewa, trafiki ya mtandao inaonekana kwa njia sawa na kama mshambuliaji alikuwa ameunganisha waya, kwenye kitovu, kwenye bandari ya SPAN ya swichi.
Usimbaji fiche unaotegemea WEP unahitaji muda wa IV pekee na mojawapo ya huduma nyingi za kuchanganua zinazopatikana bila malipo.
Kwa usimbaji fiche kulingana na TKIP au AES, usimbuaji wa moja kwa moja unawezekana kwa nadharia, lakini kwa mazoezi kumekuwa hakuna kesi za utapeli.
Bila shaka, unaweza kujaribu nadhani ufunguo wa PSK au nenosiri kwa mojawapo ya mbinu za EAP. Mashambulizi ya kawaida dhidi ya njia hizi haijulikani. Unaweza kujaribu kutumia njia za uhandisi za kijamii, au
Swali mara nyingi hutokea: ni aina gani ya usimbuaji wa Wi-Fi ya kuchagua kwa kipanga njia chako cha nyumbani. Inaweza kuonekana kuwa kitu kidogo, lakini ikiwa vigezo si sahihi, matatizo yanaweza kutokea na mtandao, na hata kwa uhamisho wa habari kupitia cable Ethernet.
Kwa hiyo, hapa tutaangalia ni aina gani za usimbuaji data zinazoungwa mkono na ruta za kisasa za WiFi, na jinsi aina ya usimbuaji wa aes inatofautiana na wpa maarufu na wpa2.
Aina ya usimbuaji wa mtandao usio na waya: jinsi ya kuchagua njia ya usalama?
Kwa hivyo, kuna aina 3 za usimbaji fiche kwa jumla:
- 1. Usimbaji fiche wa WEP
Aina ya usimbaji fiche ya WEP ilionekana nyuma katika miaka ya 90 na ilikuwa chaguo la kwanza la kulinda mitandao ya Wi-Fi: iliwekwa kama analog ya usimbaji fiche katika mitandao yenye waya na ilitumia cipher RC4. Kulikuwa na algorithms tatu za kawaida za usimbaji data kwa data iliyopitishwa - Neesus, Apple na MD5 - lakini kila moja haikutoa kiwango kinachohitajika cha usalama. Mnamo 2004, IEEE ilitangaza kuwa kiwango hicho hakitumiki kwa sababu ya ukweli kwamba hatimaye ilikoma kutoa miunganisho salama ya mtandao. Kwa sasa, haipendekezi kutumia aina hii ya usimbuaji kwa wifi, kwa sababu ... sio uthibitisho wa crypto.
- 2.WPS ni kiwango ambacho hakitoi matumizi ya . Ili kuunganisha kwenye router, bonyeza tu kwenye kifungo sahihi, ambacho tulielezea kwa undani katika makala hiyo.
Kinadharia, WPS inakuwezesha kuunganisha kwenye hatua ya kufikia kwa kutumia msimbo wa tarakimu nane, lakini kwa mazoezi, mara nne tu ni ya kutosha.
Ukweli huu unachukuliwa kwa urahisi na watapeli wengi ambao haraka (katika masaa 3 - 15) huvamia mitandao ya wifi, kwa hivyo kutumia unganisho hili pia haifai.
- 3.Aina ya usimbaji fiche WPA/WPA2
Mambo ni bora zaidi na usimbaji fiche wa WPA. Badala ya RC4 cipher, usimbaji fiche wa AES hutumiwa hapa, ambapo urefu wa nenosiri ni wa kiholela (8 - 63 bits). Aina hii ya usimbuaji hutoa kiwango cha kawaida cha usalama, na inafaa kabisa kwa ruta rahisi za wifi. Kuna aina mbili zake:
Andika PSK (Ufunguo ulioshirikiwa kabla) - uunganisho kwenye hatua ya kufikia unafanywa kwa kutumia nenosiri lililoelezwa hapo awali.
- Biashara - nenosiri la kila nodi huzalishwa kiotomatiki na kuangaliwa kwenye seva za RADIUS.
Aina ya usimbaji fiche ya WPA2 ni mwendelezo wa WPA na uboreshaji wa usalama. Itifaki hii hutumia RSN, ambayo inategemea usimbaji fiche wa AES.
Kama usimbaji fiche wa WPA, WPA2 ina njia mbili za uendeshaji: PSK na Enterprise.
Tangu 2006, aina ya usimbuaji wa WPA2 imeungwa mkono na vifaa vyote vya Wi-Fi, na geo inayolingana inaweza kuchaguliwa kwa kipanga njia chochote.
TKIP na AES ni aina mbili mbadala za usimbaji fiche ambazo hutumiwa katika hali za usalama za WPA na WPA2. Katika mipangilio ya usalama ya mtandao isiyo na waya ya vipanga njia na sehemu za ufikiaji, unaweza kuchagua moja ya chaguzi tatu za usimbuaji:
- TKIP;
- TKIP+AES.
Ukichagua chaguo la mwisho (pamoja), wateja wataweza kuunganisha kwenye eneo la ufikiaji kwa kutumia mojawapo ya algoriti mbili.
TKIP au AES? Nini bora?
Jibu: kwa vifaa vya kisasa, algorithm ya AES inafaa zaidi.
Tumia TKIP tu ikiwa una matatizo ya kuchagua ya kwanza (wakati mwingine hutokea kwamba wakati wa kutumia encryption ya AES, uunganisho na hatua ya kufikia huingiliwa au haijaanzishwa kabisa. Kawaida hii inaitwa kutokubaliana kwa vifaa).
Tofauti ni nini
AES ni algorithm ya kisasa na salama zaidi. Inapatana na kiwango cha 802.11n na hutoa kasi ya juu ya uhamisho wa data.
TKIP imeacha kutumika. Ina kiwango cha chini cha usalama na inasaidia viwango vya uhamisho wa data hadi 54 Mbit / s.
Jinsi ya kubadili TKP kwa AES?
Kesi 1. Hatua ya kufikia inafanya kazi katika hali ya TKIP + AES
Katika kesi hii, unahitaji tu kubadilisha aina ya usimbuaji kwenye vifaa vya mteja. Njia rahisi zaidi ya kufanya hivyo ni kufuta wasifu wa mtandao na kuunganisha tena.
Kesi ya 2: Sehemu ya ufikiaji hutumia TKIP pekee
Kwa kesi hii:
1. Kwanza, nenda kwenye interface ya mtandao ya hatua ya kufikia (au router, kwa mtiririko huo). Badilisha usimbaji fiche kuwa AES na uhifadhi mipangilio (soma zaidi hapa chini).
2. Badilisha usimbaji fiche kwenye vifaa vya mteja (maelezo zaidi katika aya inayofuata). Na tena, ni rahisi kusahau mtandao na kuunganisha tena kwa kuingiza ufunguo wa usalama.
Inawezesha usimbaji fiche wa AES kwenye kipanga njia
Kutumia D-Link kama mfano
Nenda kwenye sehemu Usanidi wa Waya.
Bofya kitufe Usanidi wa Muunganisho wa Waya kwa Mwongozo.
Weka hali ya usalama WPA2-PSK.
Tafuta kipengee Aina ya Cipher na kuweka thamani AES.
Bofya Hifadhi Mipangilio.
Kutumia TP-Link kama mfano
Fungua sehemu Bila waya.
Chagua kipengee Usalama wa Wireless.
Katika shamba Toleo chagua WPA2-PSK.
Katika shamba Usimbaji fiche chagua AES.
Bofya kitufe Hifadhi:
Badilisha aina ya usimbuaji usiotumia waya kwenye Windows
Windows 10 na Windows 8.1
Matoleo haya ya OS hayana . Kwa hivyo, kuna chaguzi tatu za kubadilisha usimbuaji.
Chaguo 1. Windows yenyewe itagundua kutolingana katika mipangilio ya mtandao na kukuhimiza kuingiza tena ufunguo wa usalama. Katika kesi hii, algorithm sahihi ya usimbuaji itasakinishwa kiatomati.
Chaguo la 2. Windows haitaweza kuunganishwa na itatoa kusahau mtandao kwa kuonyesha kitufe kinacholingana:
Baada ya hayo, utaweza kuunganisha kwenye mtandao wako bila matatizo, kwa sababu ... wasifu wake utafutwa.
Chaguo la 3. Utalazimika kufuta wasifu wa mtandao mwenyewe kupitia mstari wa amri na kisha tu kuunganisha kwenye mtandao tena.
Fuata hatua hizi:
1 Anzisha Amri ya Kuamuru.
2 Ingiza amri:
Netsh wlan onyesha wasifu
kuonyesha orodha ya wasifu wa mtandao usiotumia waya uliohifadhiwa.
3 Sasa ingiza amri:
Netsh wlan kufuta wasifu "jina la mtandao wako"
kufuta wasifu uliochaguliwa.
Ikiwa jina la mtandao lina nafasi (kwa mfano "wifi 2"), weka katika nukuu.
Picha inaonyesha vitendo vyote vilivyoelezewa:
4 Sasa bonyeza kwenye ikoni ya mtandao isiyo na waya kwenye upau wa kazi:
5 Chagua mtandao.
6 Bofya Unganisha:
7 Weka ufunguo wako wa usalama.
Windows 7
Kila kitu ni rahisi na wazi zaidi hapa.
1 Bofya ikoni ya mtandao isiyo na waya kwenye upau wa kazi.
3 Bonyeza kiungo Usimamizi wa Mtandao Bila Waya:
4 Bofya kulia kwenye wasifu wa mtandao unaotaka.
5 Chagua Mali:
Makini! Katika hatua hii unaweza pia kubofya Futa mtandao na ungana nayo tena! Ukiamua kufanya hivi, huna haja ya kusoma zaidi.
6 Nenda kwenye kichupo Usalama.
Nakala hii imejitolea kwa suala la usalama wakati wa kutumia mitandao ya WiFi isiyo na waya.
Utangulizi - Athari za WiFi
Sababu kuu kwa nini data ya mtumiaji ni hatari wakati data hii inapitishwa kupitia mitandao ya WiFi ni kwamba ubadilishanaji hutokea kupitia mawimbi ya redio. Na hii inafanya uwezekano wa kukatiza ujumbe wakati wowote ambapo ishara ya WiFi inapatikana. Kuweka tu, ikiwa ishara ya hatua ya kufikia inaweza kugunduliwa kwa umbali wa mita 50, basi kuzuiwa kwa trafiki yote ya mtandao wa mtandao huu wa WiFi inawezekana ndani ya eneo la mita 50 kutoka mahali pa kufikia. Katika chumba kinachofuata, kwenye sakafu nyingine ya jengo, mitaani.
Hebu wazia picha hii. Katika ofisi, mtandao wa ndani unajengwa kupitia WiFi. Ishara kutoka kwa eneo la ufikiaji la ofisi hii inachukuliwa nje ya jengo, kwa mfano katika kura ya maegesho. Mshambulizi nje ya jengo anaweza kupata mtandao wa ofisi, yaani, bila kutambuliwa na wamiliki wa mtandao huu. Mitandao ya WiFi inaweza kupatikana kwa urahisi na kwa busara. Kitaalam ni rahisi zaidi kuliko mitandao ya waya.
Ndiyo. Hadi sasa, njia za kulinda mitandao ya WiFi zimetengenezwa na kutekelezwa. Ulinzi huu unatokana na kusimba trafiki yote kati ya sehemu ya ufikiaji na kifaa cha mwisho ambacho kimeunganishwa kwayo. Hiyo ni, mshambuliaji anaweza kuingilia ishara ya redio, lakini kwa ajili yake itakuwa "takataka" tu ya digital.
Ulinzi wa WiFi hufanyaje kazi?
Sehemu ya ufikiaji inajumuisha kwenye mtandao wake wa WiFi tu kifaa kinachotuma nywila sahihi (iliyoainishwa katika mipangilio ya mahali pa ufikiaji). Katika kesi hii, nenosiri pia linatumwa kwa njia fiche, kwa namna ya hash. Hashi ni matokeo ya usimbaji fiche usioweza kutenduliwa. Hiyo ni, data ambayo imeharakishwa haiwezi kufutwa. Mshambulizi akiingilia heshi ya nenosiri, hataweza kupata nenosiri.
Lakini eneo la ufikiaji linajuaje ikiwa nenosiri ni sahihi au la? Je, ikiwa pia atapokea heshi, lakini hawezi kusimbua? Ni rahisi - katika mipangilio ya hatua ya kufikia nenosiri linaelezwa kwa fomu yake safi. Programu ya uidhinishaji inachukua nenosiri tupu, huunda heshi kutoka kwake, na kisha kulinganisha heshi hii na ile iliyopokelewa kutoka kwa mteja. Ikiwa heshi inalingana, basi nenosiri la mteja ni sahihi. Kipengele cha pili cha hashes hutumiwa hapa - ni ya kipekee. Heshi sawa haiwezi kupatikana kutoka kwa seti mbili tofauti za data (nenosiri). Ikiwa heshi mbili zinalingana, basi zote ziliundwa kutoka kwa seti moja ya data.
Japo kuwa. Shukrani kwa kipengele hiki, heshi hutumiwa kudhibiti uadilifu wa data. Ikiwa heshi mbili (zilizoundwa kwa muda) zinalingana, basi data ya awali (wakati wa muda huo) haijabadilishwa.
Hata hivyo, licha ya ukweli kwamba njia ya kisasa zaidi ya kupata mtandao wa WiFi (WPA2) ni ya kuaminika, mtandao huu unaweza kudukuliwa. Vipi?
Kuna njia mbili za kupata mtandao unaolindwa na WPA2:
- Uteuzi wa nenosiri kwa kutumia hifadhidata ya nenosiri (kinachojulikana kama utafutaji wa kamusi).
- Utumiaji wa athari katika utendaji wa WPS.
Katika kesi ya kwanza, mshambulizi anaingilia hashi ya nenosiri kwa uhakika wa kufikia. Kisha heshi hulinganishwa dhidi ya hifadhidata ya maelfu au mamilioni ya maneno. Neno huchukuliwa kutoka kwa kamusi, heshi inatolewa kwa neno hili na kisha heshi hii inalinganishwa na heshi iliyokatizwa. Ikiwa nenosiri la primitive linatumiwa kwenye hatua ya kufikia, basi kuvunja nenosiri la hatua hii ya kufikia ni suala la muda. Kwa mfano, nenosiri lenye tarakimu 8 (urefu wa herufi 8 ni urefu wa chini kabisa wa nenosiri kwa WPA2) ni mchanganyiko milioni moja. Kwenye kompyuta ya kisasa, unaweza kupanga kupitia maadili milioni moja kwa siku chache au hata masaa.
Katika kesi ya pili, mazingira magumu katika matoleo ya kwanza ya kazi ya WPS hutumiwa. Kipengele hiki hukuruhusu kuunganisha kifaa ambacho hakina nenosiri, kama vile kichapishi, kwenye sehemu ya ufikiaji. Wakati wa kutumia kipengele hiki, kifaa na sehemu ya kufikia hubadilishana msimbo wa dijitali na ikiwa kifaa kitatuma msimbo sahihi, kituo cha ufikiaji huidhinisha mteja. Kulikuwa na mazingira magumu katika kipengele hiki cha kukokotoa - msimbo ulikuwa na tarakimu 8, lakini ni nne tu kati yao zilizoangaliwa kwa upekee! Hiyo ni, ili kuhack WPS unahitaji kutafuta maadili yote ambayo yanatoa nambari 4. Kwa hivyo, kudukua mahali pa ufikiaji kupitia WPS kunaweza kufanywa kwa saa chache tu, kwenye kifaa chochote dhaifu.
Kuweka usalama wa mtandao wa WiFi
Usalama wa mtandao wa WiFi unatambuliwa na mipangilio ya hatua ya kufikia. Mipangilio kadhaa ya hii huathiri moja kwa moja usalama wa mtandao.
Njia ya ufikiaji wa mtandao wa WiFi
Njia ya kufikia inaweza kufanya kazi katika moja ya njia mbili - wazi au ulinzi. Katika kesi ya ufikiaji wazi, kifaa chochote kinaweza kuunganisha kwenye kituo cha ufikiaji. Katika kesi ya ufikiaji uliolindwa, kifaa tu ambacho hupitisha nenosiri sahihi la ufikiaji kimeunganishwa.
Kuna aina tatu (viwango) vya ulinzi wa mtandao wa WiFi:
- WEP (Faragha Sawa ya Waya). Kiwango cha kwanza kabisa cha ulinzi. Leo haitoi ulinzi, kwani inaweza kudukuliwa kwa urahisi sana kutokana na udhaifu wa mifumo ya ulinzi.
- WPA (Ufikiaji Umelindwa wa Wi-Fi). Kronolojia kiwango cha pili cha ulinzi. Wakati wa kuunda na kuwaagiza, ilitoa ulinzi bora kwa mitandao ya WiFi. Lakini mwishoni mwa miaka ya 2000, fursa zilipatikana kudukua ulinzi wa WPA kupitia udhaifu katika mifumo ya usalama.
- WPA2 (Ufikiaji Umelindwa wa Wi-Fi). Kiwango cha hivi punde cha ulinzi. Hutoa ulinzi wa kuaminika wakati sheria fulani zinafuatwa. Hadi sasa, kuna njia mbili tu zinazojulikana za kuvunja usalama wa WPA2. Nguvu ya kikatili ya nenosiri la kamusi na suluhisho kwa kutumia huduma ya WPS.
Kwa hivyo, ili kuhakikisha usalama wa mtandao wako wa WiFi, lazima uchague aina ya usalama ya WPA2. Walakini, sio vifaa vyote vya mteja vinaweza kuunga mkono. Kwa mfano, Windows XP SP2 inasaidia tu WPA.
Mbali na kuchagua kiwango cha WPA2, masharti ya ziada yanahitajika:
Tumia njia ya usimbaji fiche ya AES.
Nenosiri la kufikia mtandao wa WiFi lazima litungiwe kama ifuatavyo:
- Tumia barua na nambari katika nenosiri. Seti ya nasibu ya herufi na nambari. Au neno adimu sana au fungu la maneno ambalo lina maana kwako tu.
- Sivyo tumia manenosiri rahisi kama vile jina + tarehe ya kuzaliwa, au neno fulani + nambari chache, kwa mfano lena1991 au dom12345.
- Ikiwa unahitaji kutumia nenosiri la digital tu, basi urefu wake lazima uwe angalau wahusika 10. Kwa sababu nenosiri la dijiti lenye herufi nane huchaguliwa kwa kutumia njia ya nguvu ya kikatili kwa wakati halisi (kutoka saa kadhaa hadi siku kadhaa, kulingana na nguvu ya kompyuta).
Ikiwa unatumia nywila ngumu kwa mujibu wa sheria hizi, basi mtandao wako wa WiFi hauwezi kudukuliwa kwa kubahatisha nenosiri kwa kutumia kamusi. Kwa mfano, kwa nenosiri kama 5Fb9pE2a(alphanumeric nasibu), upeo iwezekanavyo 218340105584896 michanganyiko. Leo ni karibu haiwezekani kuchagua. Hata kama kompyuta ingelinganisha maneno 1,000,000 (milioni) kwa sekunde, itachukua karibu miaka 7 kurudia maadili yote.
WPS (Usanidi Uliolindwa wa Wi-Fi)
Ikiwa hatua ya kufikia ina kazi ya WPS (Wi-Fi Protected Setup), unahitaji kuizima. Ikiwa kipengele hiki kitahitajika, lazima uhakikishe kuwa toleo lake limesasishwa kwa uwezo ufuatao:
- Kutumia herufi zote 8 za msimbo wa PIN badala ya 4, kama ilivyokuwa mwanzoni.
- Washa ucheleweshaji baada ya majaribio kadhaa ya kutuma msimbo wa PIN usio sahihi kutoka kwa mteja.
Chaguo la ziada la kuboresha usalama wa WPS ni kutumia msimbo wa PIN wa alphanumeric.
Usalama wa WiFi ya Umma
Leo ni mtindo kutumia mtandao kupitia mitandao ya WiFi katika maeneo ya umma - katika mikahawa, migahawa, vituo vya ununuzi, nk. Ni muhimu kuelewa kwamba kutumia mitandao hiyo kunaweza kusababisha wizi wa data yako ya kibinafsi. Ukifikia Mtandao kupitia mtandao kama huo na kisha kuingia kwenye tovuti, data yako (jina la mtumiaji na nenosiri) inaweza kuzuiwa na mtu mwingine ambaye ameunganishwa kwenye mtandao huo wa WiFi. Baada ya yote, kwenye kifaa chochote ambacho kimepitisha idhini na kuunganishwa kwenye kituo cha kufikia, unaweza kuzuia trafiki ya mtandao kutoka kwa vifaa vingine vyote kwenye mtandao huu. Na upekee wa mitandao ya WiFi ya umma ni kwamba mtu yeyote anaweza kuunganisha nayo, ikiwa ni pamoja na mshambuliaji, na si tu kwa mtandao wazi, lakini pia kwa ulinzi.
Unaweza kufanya nini ili kulinda data yako unapounganisha kwenye Mtandao kupitia mtandao wa WiFi wa umma? Kuna chaguo moja tu - kutumia itifaki ya HTTPS. Itifaki hii huanzisha muunganisho uliosimbwa kwa njia fiche kati ya mteja (kivinjari) na tovuti. Lakini si tovuti zote zinazounga mkono itifaki ya HTTPS. Anwani kwenye tovuti inayotumia itifaki ya HTTPS huanza na kiambishi awali cha https://. Ikiwa anwani kwenye tovuti zina kiambishi awali cha http://, hii inamaanisha kuwa tovuti haitumii HTTPS au haiitumii.
Baadhi ya tovuti hazitumii HTTPS kwa chaguo-msingi, lakini zina itifaki hii na zinaweza kutumika ikiwa utabainisha (kwa mikono) kiambishi awali cha https://.
Kama ilivyo kwa visa vingine vya kutumia Mtandao - soga, Skype, n.k., unaweza kutumia seva za VPN za bure au za kulipia ili kulinda data hii. Hiyo ni, kwanza unganisha kwenye seva ya VPN, na kisha tu utumie gumzo au tovuti wazi.
Ulinzi wa Nenosiri la WiFi
Katika sehemu ya pili na ya tatu ya makala hii, niliandika kwamba wakati wa kutumia kiwango cha usalama cha WPA2, mojawapo ya njia za hack mtandao wa WiFi ni nadhani nenosiri kwa kutumia kamusi. Lakini kuna fursa nyingine kwa mshambuliaji kupata nenosiri kwenye mtandao wako wa WiFi. Ukihifadhi nenosiri lako kwenye kidokezo kinachonata kilichobandikwa kwenye kidhibiti, hii huwezesha mtu asiyemfahamu kuona nenosiri hili. Na nenosiri lako linaweza kuibiwa kutoka kwa kompyuta iliyounganishwa kwenye mtandao wako wa WiFi. Hii inaweza kufanywa na mtu wa nje ikiwa kompyuta zako hazijalindwa kutoka kwa ufikiaji na watu wa nje. Hii inaweza kufanywa kwa kutumia programu hasidi. Kwa kuongeza, nenosiri linaweza kuibiwa kutoka kwa kifaa ambacho kinachukuliwa nje ya ofisi (nyumba, ghorofa) - kutoka kwa smartphone, kibao.
Kwa hivyo, ikiwa unahitaji ulinzi wa kuaminika kwa mtandao wako wa WiFi, unahitaji kuchukua hatua ili kuhifadhi nenosiri lako kwa usalama. Ilinde dhidi ya ufikiaji wa watu ambao hawajaidhinishwa.
Ikiwa umepata nakala hii kuwa muhimu au umeipenda tu, basi usisite kusaidia mwandishi kifedha. Hii ni rahisi kufanya kwa kutupa pesa Yandex Wallet No. 410011416229354. Au kwenye simu +7 918-16-26-331 .
Hata kiasi kidogo kinaweza kusaidia kuandika nakala mpya :)
