โทรศัพท์ (แท็บเล็ต) ไม่ได้เชื่อมต่อกับ Wi-Fi แจ้งว่า “บันทึกไว้แล้ว การป้องกัน WPA\WPA2 การรักษาความปลอดภัย Wi-Fi การป้องกัน Wi-Fi ที่เหมาะสม

WPA2 (Wireless Protected Access เวอร์ชัน 2.0) เป็นเวอร์ชันที่สองของชุดอัลกอริธึมและโปรโตคอลที่ให้การปกป้องข้อมูลในเครือข่ายไร้สาย Wi-Fi ตามที่คาดไว้ WPA2 ควรปรับปรุงความปลอดภัยของเครือข่ายไร้สาย Wi-Fi อย่างมีนัยสำคัญเมื่อเทียบกับเทคโนโลยีก่อนหน้านี้ มาตรฐานใหม่นี้จัดเตรียมไว้โดยเฉพาะสำหรับการใช้งานอัลกอริธึมการเข้ารหัส AES (มาตรฐานการเข้ารหัสขั้นสูง) ที่ทรงพลังยิ่งขึ้นและการรับรองความถูกต้อง 802.1X

ในปัจจุบัน เพื่อให้มั่นใจถึงกลไกการรักษาความปลอดภัยที่เชื่อถือได้ในเครือข่ายไร้สายขององค์กร จำเป็นอย่างยิ่ง (และบังคับ) ในการใช้อุปกรณ์และซอฟต์แวร์ที่รองรับ WPA2 โปรโตคอลรุ่นก่อนหน้า - WEP และ WPA - มีองค์ประกอบที่มีอัลกอริธึมความปลอดภัยและการเข้ารหัสที่แข็งแกร่งไม่เพียงพอ นอกจากนี้ โปรแกรมและเทคนิคยังได้รับการพัฒนาเพื่อแฮ็กเครือข่ายที่ใช้ WEP ซึ่งสามารถดาวน์โหลดได้อย่างง่ายดายจากอินเทอร์เน็ต และใช้งานได้สำเร็จแม้กระทั่งโดยแฮกเกอร์มือใหม่ที่ไม่ผ่านการฝึกอบรม

โปรโตคอล WPA2 ทำงานในโหมดการรับรองความถูกต้องสองโหมด: ส่วนบุคคล (ส่วนบุคคล) และองค์กร (องค์กร) ในโหมด WPA2-Personal PSK (คีย์ที่แชร์ล่วงหน้า) 256 บิตจะถูกสร้างขึ้นจากข้อความรหัสผ่านธรรมดาที่ป้อน รหัส PSK ร่วมกับ SSID (Service Set Identifier) ​​​​ใช้เพื่อสร้างคีย์เซสชันชั่วคราว PTK (Pairwise Transient Key) สำหรับการโต้ตอบของอุปกรณ์ไร้สาย เช่นเดียวกับโปรโตคอล WEP แบบคงที่ โปรโตคอล WPA2-Personal มีปัญหาบางอย่างที่เกี่ยวข้องกับความจำเป็นในการแจกจ่ายและบำรุงรักษาคีย์บนอุปกรณ์ไร้สายบนเครือข่าย ซึ่งทำให้เหมาะสำหรับใช้ในเครือข่ายขนาดเล็กของอุปกรณ์หลายสิบเครื่อง ในขณะที่ WPA2 นั้นเหมาะสมที่สุดสำหรับ เครือข่ายองค์กร - องค์กร

โหมด WPA2-Enterprise จัดการกับความท้าทายของการแจกจ่ายและการจัดการคีย์แบบคงที่ และการผสานรวมกับบริการการตรวจสอบสิทธิ์ระดับองค์กรส่วนใหญ่จะให้การควบคุมการเข้าถึงตามบัญชี โหมดนี้ต้องใช้ข้อมูลรับรอง เช่น ชื่อผู้ใช้และรหัสผ่าน ใบรับรองความปลอดภัย หรือรหัสผ่านแบบใช้ครั้งเดียว และดำเนินการตรวจสอบความถูกต้องระหว่างเวิร์กสเตชันและเซิร์ฟเวอร์ตรวจสอบความถูกต้องส่วนกลาง จุดเข้าใช้งานหรือตัวควบคุมไร้สายจะตรวจสอบการเชื่อมต่อและส่งต่อคำขอการตรวจสอบสิทธิ์ไปยังเซิร์ฟเวอร์การตรวจสอบความถูกต้องที่เหมาะสม (โดยทั่วไปคือเซิร์ฟเวอร์ RADIUS เช่น Cisco ACS) โหมด WPA2-Enterprise เป็นไปตามมาตรฐาน 802.1X ซึ่งรองรับการตรวจสอบสิทธิ์ผู้ใช้และอุปกรณ์ เหมาะสำหรับทั้งสวิตช์แบบใช้สายและจุดเข้าใช้งานแบบไร้สาย



ต่างจาก WPA ตรงที่ใช้อัลกอริธึมการเข้ารหัส AES ที่แข็งแกร่งกว่า เช่นเดียวกับ WPA WPA2 ยังแบ่งออกเป็นสองประเภท: WPA2-PSK และ WPA2-802.1x

มอบกลไกใหม่ที่เชื่อถือได้มากขึ้นเพื่อรับรองความสมบูรณ์ของข้อมูลและการรักษาความลับ:

CCMP (Counter-Mode-CBC-MAC Protocol) อิงตาม Counter Cipher-Block Chaining Mode (CCM) ของอัลกอริธึมการเข้ารหัส Advanced Encryption Standard (AES) CCM รวมสองกลไก: ตัวนับ (CTR) สำหรับการรักษาความลับและรหัสรับรองความถูกต้องของข้อความ Cipher Block Chaining (CBC-MAC) สำหรับการตรวจสอบสิทธิ์

WRAP (Wireless Robust Authentication Protocol) ที่ใช้โหมด Offset Codebook (OCB) ของอัลกอริธึมการเข้ารหัส AES

โปรโตคอล TKIP สำหรับความเข้ากันได้แบบย้อนหลังกับอุปกรณ์รุ่นเก่า การรับรองความถูกต้องร่วมกันและการส่งมอบคีย์ตามโปรโตคอล IEEE 802.1x/EAP Secure Independent Basic Service Set (IBSS) เพื่อเพิ่มความปลอดภัยในเครือข่าย Ad-Hoc การสนับสนุนโรมมิ่ง

การสนับสนุนด้านความปลอดภัยของเครือข่ายไร้สายคือกลไก CCMP และมาตรฐาน IEEE 802.11i หลังแนะนำแนวคิดของเครือข่ายที่ปลอดภัย (Robust Security Network, RSN) และการเชื่อมต่อเครือข่ายที่ปลอดภัย (Robust Security Network Association, RSNA) หลังจากนั้นจะแบ่งอัลกอริธึมทั้งหมดออกเป็น:

อัลกอริธึม RSNA (สำหรับการสร้างและใช้งาน RSNA)

อัลกอริธึมก่อน RSNA

อัลกอริธึม Pre-RSNA ประกอบด้วย:

การรับรองความถูกต้อง IEEE 802.11 ที่มีอยู่ (อ้างอิงถึงการรับรองความถูกต้องตามที่กำหนดไว้ในมาตรฐานฉบับปี 1999)

นั่นคือ อัลกอริธึมประเภทเหล่านี้ประกอบด้วยการตรวจสอบสิทธิ์ระบบเปิดที่มีหรือไม่มีการเข้ารหัส WEP (แม่นยำยิ่งขึ้น ไม่มีการตรวจสอบสิทธิ์) และคีย์ที่ใช้ร่วมกัน

อัลกอริธึม RSNA ประกอบด้วย:

ทีคิป; ซีซีเอ็มพี; ขั้นตอนการสร้างและยกเลิก RSNA (รวมถึงการใช้การรับรองความถูกต้อง IEEE 802.1x) ขั้นตอนการแลกเปลี่ยนกุญแจ

ในเวลาเดียวกัน จำเป็นต้องใช้อัลกอริธึม CCMP และ TKIP เป็นทางเลือกและมีจุดมุ่งหมายเพื่อให้แน่ใจว่าสามารถใช้งานร่วมกับอุปกรณ์รุ่นเก่าได้

มาตรฐานนี้มีรูปแบบการทำงานสองรูปแบบ: ด้วยการรับรองความถูกต้องผ่าน IEEE 802.1x เช่น การใช้โปรโตคอล EAP และการใช้คีย์ที่กำหนดไว้ล่วงหน้าที่ลงทะเบียนบนตัวตรวจสอบความถูกต้องและไคลเอนต์ (โหมดนี้เรียกว่า คีย์ที่ใช้ร่วมกันล่วงหน้า, PSK) ในกรณีนี้คีย์ PSK ทำหน้าที่เป็นคีย์ PMK และขั้นตอนเพิ่มเติมสำหรับการรับรองความถูกต้องและการสร้างก็ไม่แตกต่างกัน

เนื่องจากอัลกอริธึมการเข้ารหัสที่ใช้ขั้นตอน TKIP นั้นเรียกว่า WPA แล้ว และขั้นตอน CCMP คือ WPA2 เราจึงสามารถพูดได้ว่าวิธีการเข้ารหัสที่เป็นไปตาม RSNA คือ: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key , WPA- ส่วนบุคคล), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (คีย์ WPA2-Preshared, WPA2-ส่วนบุคคล)

การสร้างการเชื่อมต่อและขั้นตอนการแลกเปลี่ยนคีย์สำหรับอัลกอริทึม TKIP และ CCMP จะเหมือนกัน CCMP เอง (โหมดตัวนับ (CTR) พร้อม CBC-MAC (Cipher-Block Chaining (CBC) พร้อมโปรโตคอล Message Authentication Code (MAC)) เช่นเดียวกับ TKIP ได้รับการออกแบบมาเพื่อให้การรักษาความลับ การรับรองความถูกต้อง ความสมบูรณ์ และการป้องกันการโจมตีแบบเล่นซ้ำ สิ่งนี้ อัลกอริทึมจะขึ้นอยู่กับวิธี CCM ของอัลกอริทึมการเข้ารหัส AES ซึ่งกำหนดไว้ในข้อกำหนด FIPS PUB 197 กระบวนการ AES ทั้งหมดที่ใช้ใน CCMP ใช้ AES พร้อมคีย์ 128 บิตและขนาดบล็อก 128 บิต

นวัตกรรมล่าสุดของมาตรฐานนี้รองรับเทคโนโลยีโรมมิ่งที่รวดเร็วระหว่างจุดเชื่อมต่อโดยใช้การแคชคีย์ PMK และการตรวจสอบสิทธิ์ล่วงหน้า

ขั้นตอนการแคช PMK คือหากไคลเอนต์ได้ผ่านการรับรองความถูกต้องแบบเต็มเมื่อเชื่อมต่อกับจุดเชื่อมต่อบางแห่ง จากนั้นจะจัดเก็บคีย์ PMK ที่ได้รับจากมัน และในครั้งต่อไปที่เชื่อมต่อกับจุดนี้ ไคลเอนต์จะส่งคีย์ PMK ที่ได้รับก่อนหน้านี้ . การดำเนินการนี้จะยุติการรับรองความถูกต้อง กล่าวคือ จะไม่มีการดำเนินการ 4-Way Handshake

ขั้นตอนการตรวจสอบสิทธิ์ล่วงหน้าคือหลังจากที่ลูกค้าเชื่อมต่อและส่งผ่านการตรวจสอบสิทธิ์บนจุดเชื่อมต่อแล้ว เขาสามารถส่งผ่านการตรวจสอบสิทธิ์บนจุดเชื่อมต่ออื่น ๆ พร้อมกัน (ล่วงหน้า) (ซึ่งเขา "ได้ยิน") ด้วย SSID เดียวกัน เช่น รับล่วงหน้า คีย์คือ PMK และหากในอนาคตจุดเข้าใช้งานที่เชื่อมต่ออยู่ล้มเหลวหรือสัญญาณอ่อนกว่าจุดอื่นที่มีชื่อเครือข่ายเดียวกันไคลเอนต์จะเชื่อมต่อใหม่โดยใช้รูปแบบด่วนพร้อมคีย์ PMK ที่แคชไว้

ข้อมูลจำเพาะ WEP2 ซึ่งปรากฏในปี 2544 ซึ่งเพิ่มความยาวคีย์เป็น 104 บิตไม่สามารถแก้ปัญหาได้ เนื่องจากความยาวของเวกเตอร์การเริ่มต้นและวิธีการตรวจสอบความสมบูรณ์ของข้อมูลยังคงเหมือนเดิม การโจมตีประเภทส่วนใหญ่ได้รับการปฏิบัติอย่างเรียบง่ายเหมือนเมื่อก่อน

บทสรุป

โดยสรุป ผมขอสรุปข้อมูลทั้งหมดพร้อมให้คำแนะนำในการปกป้องเครือข่ายไร้สาย

มีกลไกสามประการในการรักษาความปลอดภัยเครือข่ายไร้สาย: กำหนดค่าไคลเอนต์และ AP ให้ใช้ SSID เดียวกัน (ไม่ใช่ค่าเริ่มต้น) อนุญาตให้ AP สื่อสารกับไคลเอนต์ที่ AP รู้จักที่อยู่ MAC เท่านั้น และกำหนดค่าไคลเอนต์เพื่อตรวจสอบสิทธิ์กับ AP และเข้ารหัสการรับส่งข้อมูล AP ส่วนใหญ่ได้รับการกำหนดค่าให้ทำงานด้วย SSID เริ่มต้น ไม่มีรายการที่อยู่ MAC ของไคลเอ็นต์ที่ได้รับอนุญาต และคีย์ที่ใช้ร่วมกันที่รู้จักสำหรับการตรวจสอบสิทธิ์และการเข้ารหัส (หรือไม่มีการตรวจสอบสิทธิ์หรือการเข้ารหัสเลย) โดยทั่วไปแล้ว การตั้งค่าเหล่านี้ได้รับการบันทึกไว้ในวิธีใช้ออนไลน์บนเว็บไซต์ของผู้ผลิต ตัวเลือกเหล่านี้ทำให้ง่ายสำหรับผู้ใช้ที่ไม่มีประสบการณ์ในการตั้งค่าและเริ่มใช้เครือข่ายไร้สาย แต่ในขณะเดียวกันก็ทำให้แฮกเกอร์เจาะเข้าไปในเครือข่ายได้ง่ายขึ้น สถานการณ์เลวร้ายลงเนื่องจากความจริงที่ว่าโหนดการเข้าถึงส่วนใหญ่ได้รับการกำหนดค่าให้เผยแพร่ SSID ดังนั้นผู้โจมตีสามารถค้นหาเครือข่ายที่มีช่องโหว่โดยใช้ SSID มาตรฐาน

ขั้นตอนแรกสู่เครือข่ายไร้สายที่ปลอดภัยคือการเปลี่ยน AP SSID เริ่มต้น นอกจากนี้ ต้องเปลี่ยนการตั้งค่านี้บนไคลเอนต์เพื่อให้สามารถสื่อสารกับ AP ได้ สะดวกในการกำหนด SSID ที่เหมาะสมให้กับผู้ดูแลระบบและผู้ใช้ขององค์กร แต่ไม่ได้ระบุเครือข่ายไร้สายนี้อย่างชัดเจนในหมู่ SSID อื่น ๆ ที่ถูกดักฟังโดยบุคคลที่ไม่ได้รับอนุญาต

ขั้นตอนต่อไปคือการบล็อกโหนดการเข้าถึงไม่ให้เผยแพร่ SSID หากเป็นไปได้ เป็นผลให้ผู้โจมตีตรวจจับการมีอยู่ของเครือข่ายไร้สายและ SSID ได้ยากขึ้น (แม้ว่าจะยังเป็นไปได้ก็ตาม) ใน AP บางตัว คุณไม่สามารถยกเลิกการออกอากาศ SSID ได้ ในกรณีเช่นนี้ คุณควรเพิ่มช่วงเวลาการออกอากาศให้มากที่สุด นอกจากนี้ ไคลเอ็นต์บางตัวสามารถสื่อสารได้ก็ต่อเมื่อ SSID ออกอากาศโดยโหนดการเข้าถึงเท่านั้น ดังนั้น คุณอาจจำเป็นต้องทดลองการตั้งค่านี้เพื่อพิจารณาว่าโหมดใดเหมาะสมกับสถานการณ์เฉพาะของคุณ

จากนั้นคุณสามารถอนุญาตให้เข้าถึงจุดเชื่อมต่อได้จากไคลเอนต์ไร้สายที่มีที่อยู่ MAC ที่รู้จักเท่านั้น สิ่งนี้อาจไม่เหมาะสำหรับองค์กรขนาดใหญ่ แต่สำหรับธุรกิจขนาดเล็กที่มีไคลเอนต์ไร้สายจำนวนไม่มาก สิ่งนี้ถือเป็นแนวป้องกันเพิ่มเติมที่เชื่อถือได้ ผู้โจมตีจะต้องค้นหาที่อยู่ MAC ที่ได้รับอนุญาตให้เชื่อมต่อกับ AP ขององค์กร และแทนที่ที่อยู่ MAC ของอแด็ปเตอร์ไร้สายของตนเองด้วยที่อยู่ MAC ที่ได้รับอนุญาต (สำหรับอะแดปเตอร์บางรุ่น ที่อยู่ MAC สามารถเปลี่ยนแปลงได้)

การเลือกตัวเลือกการรับรองความถูกต้องและการเข้ารหัสอาจเป็นส่วนที่ยากที่สุดในการรักษาความปลอดภัยเครือข่ายไร้สาย ก่อนที่คุณจะกำหนดการตั้งค่า คุณควรจัดทำรายการโหนดการเข้าถึงและอแด็ปเตอร์ไร้สายเพื่อกำหนดโปรโตคอลความปลอดภัยที่รองรับ โดยเฉพาะอย่างยิ่งหากเครือข่ายไร้สายของคุณได้รับการกำหนดค่าด้วยอุปกรณ์หลากหลายจากผู้ขายที่แตกต่างกัน อุปกรณ์บางชนิด โดยเฉพาะ AP และอแด็ปเตอร์ไร้สายรุ่นเก่า อาจเข้ากันไม่ได้กับคีย์ WPA, WPA2 หรือคีย์ WEP แบบขยาย

สถานการณ์อื่นที่ควรทราบคืออุปกรณ์รุ่นเก่าบางรุ่นต้องการให้ผู้ใช้ป้อนเลขฐานสิบหกที่แสดงถึงคีย์ ในขณะที่ AP และอแด็ปเตอร์ไร้สายรุ่นเก่าอื่นๆ ต้องการให้ผู้ใช้ป้อนข้อความรหัสผ่านที่แปลงเป็นคีย์ ดังนั้นจึงเป็นเรื่องยากที่จะตรวจสอบให้แน่ใจว่าอุปกรณ์ทั้งหมดใช้คีย์เดียว เจ้าของอุปกรณ์ดังกล่าวสามารถใช้ทรัพยากร เช่น WEP Key Generator เพื่อสร้างคีย์ WEP แบบสุ่ม และแปลงข้อความรหัสผ่านเป็นเลขฐานสิบหก

โดยทั่วไปควรใช้ WEP เมื่อจำเป็นจริงๆ เท่านั้น หากจำเป็นต้องใช้ WEP คุณควรเลือกคีย์ที่มีความยาวสูงสุดและกำหนดค่าเครือข่ายเป็นโหมดเปิดแทนการใช้ร่วมกัน ในโหมดเปิดบนเครือข่าย จะไม่มีการตรวจสอบสิทธิ์ไคลเอ็นต์ และใครๆ ก็สามารถสร้างการเชื่อมต่อกับโหนดการเข้าถึงได้ การเชื่อมต่อการเตรียมการเหล่านี้โหลดช่องทางการสื่อสารไร้สายบางส่วน แต่ผู้โจมตีที่สร้างการเชื่อมต่อกับ AP จะไม่สามารถแลกเปลี่ยนข้อมูลต่อไปได้เนื่องจากไม่ทราบคีย์เข้ารหัส WEP คุณสามารถบล็อกการเชื่อมต่อล่วงหน้าได้ด้วยการกำหนดค่า AP ให้ยอมรับเฉพาะการเชื่อมต่อจากที่อยู่ MAC ที่รู้จักเท่านั้น ต่างจาก Open ตรงที่ในโหมดที่ใช้ร่วมกัน โหนดการเข้าถึงจะใช้คีย์ WEP เพื่อตรวจสอบความถูกต้องของไคลเอ็นต์ไร้สายในขั้นตอนการตอบสนองต่อความท้าทาย และผู้โจมตีสามารถถอดรหัสลำดับและกำหนดคีย์การเข้ารหัส WEP ได้

หากคุณสามารถใช้ WPA ได้ คุณต้องเลือกระหว่าง WPA, WPA2 และ WPA-PSK ปัจจัยหลักในการเลือก WPA หรือ WPA2 ในอีกด้านหนึ่ง และ WPA-PSK ในอีกด้านหนึ่ง คือความสามารถในการปรับใช้โครงสร้างพื้นฐานที่จำเป็นสำหรับ WPA และ WPA2 ในการตรวจสอบสิทธิ์ผู้ใช้ WPA และ WPA2 จำเป็นต้องมีการปรับใช้เซิร์ฟเวอร์ RADIUS และอาจเป็นโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) WPA-PSK เช่นเดียวกับ WEP ทำงานร่วมกับคีย์ที่ใช้ร่วมกันซึ่งไคลเอ็นต์ไร้สายและ AP รู้จัก WPA-PSK คุณสามารถใช้คีย์ที่ใช้ร่วมกัน WPA-PSK สำหรับการรับรองความถูกต้องและการเข้ารหัสได้อย่างปลอดภัย เนื่องจากไม่มีข้อเสียของ WEP

รายชื่อวรรณกรรมที่ใช้แล้ว

1. เทคโนโลยี Goralski V. xDSL อ.: ลอริ 2549, 296 หน้า

2. www.vesna.ug.com;

3. www.young.shop.narod.com;

7. www.opennet.ru

8. www.pulscen.ru

9. www.cisco.com

10. Baranovskaya T.P., Loiko V.I. สถาปัตยกรรมของระบบคอมพิวเตอร์และเครือข่าย อ.: การเงินและสถิติ, 2546, 256 หน้า

11. มานน์ เอส., เครลล์ เอ็ม. ลินุกซ์. การดูแลระบบเครือข่าย TCP/IP อ.: บินอม-เพรส, 2547, 656 หน้า

12. เครื่องมือเครือข่าย Smith R. Linux อ.: วิลเลียมส์, 2546, 672 หน้า

13. Kulgin M. เครือข่ายคอมพิวเตอร์ การปฏิบัติงานด้านการก่อสร้าง เซนต์ปีเตอร์สเบิร์ก: ปีเตอร์, 2546, 464 หน้า

14. Tanenbaum E. เครือข่ายคอมพิวเตอร์. เซนต์ปีเตอร์สเบิร์ก: ปีเตอร์ 2548 992 หน้า

15. โอลิเวอร์ วี.จี., โอลิเวอร์ เอ็น.เอ. พื้นฐานของเครือข่ายข้อมูล หลักสูตรการบรรยาย อ.: มหาวิทยาลัยเทคโนโลยีสารสนเทศทางอินเทอร์เน็ต, 2546, 248 หน้า

16. Vishnevsky V.M. รากฐานทางทฤษฎีของการออกแบบเครือข่ายคอมพิวเตอร์ อ.: เทคโนโลยี, 2546, 512 หน้า

เมื่อเร็ว ๆ นี้ มีสิ่งพิมพ์ "เปิดเผย" จำนวนมากเกี่ยวกับการแฮ็กโปรโตคอลหรือเทคโนโลยีอื่นที่ส่งผลต่อความปลอดภัยของเครือข่ายไร้สาย เป็นเช่นนั้นจริงๆ สิ่งที่คุณควรจะกลัว และคุณจะมั่นใจได้อย่างไรว่าการเข้าถึงเครือข่ายของคุณปลอดภัยที่สุดเท่าที่จะเป็นไปได้? คำว่า WEP, WPA, 802.1x, EAP, PKI มีความหมายน้อยสำหรับคุณหรือไม่? ภาพรวมโดยย่อนี้จะช่วยรวบรวมเทคโนโลยีการเข้ารหัสและการอนุญาตการเข้าถึงวิทยุทั้งหมดที่ใช้ ฉันจะพยายามแสดงให้เห็นว่าเครือข่ายไร้สายที่ได้รับการกำหนดค่าอย่างเหมาะสมนั้นเป็นอุปสรรคสำหรับผู้โจมตีที่ผ่านไม่ได้ (แน่นอนว่าถึงขีดจำกัดที่แน่นอน)

พื้นฐาน

การโต้ตอบใดๆ ระหว่างจุดเข้าใช้งาน (เครือข่าย) และไคลเอนต์ไร้สายจะขึ้นอยู่กับ:
  • การรับรองความถูกต้อง- วิธีที่ลูกค้าและจุดเข้าใช้งานแนะนำตัวเองต่อกันและยืนยันว่าพวกเขามีสิทธิ์ในการสื่อสารระหว่างกัน
  • การเข้ารหัส- อัลกอริธึมการเข้ารหัสที่ใช้สำหรับข้อมูลที่ส่ง วิธีสร้างคีย์เข้ารหัส และเวลาที่มีการเปลี่ยนแปลง

พารามิเตอร์ของเครือข่ายไร้สาย ซึ่งโดยหลักแล้วคือชื่อ (SSID) จะได้รับการโฆษณาเป็นประจำโดยจุดเชื่อมต่อในแพ็กเก็ตบีคอนบรอดคาสต์ นอกเหนือจากการตั้งค่าความปลอดภัยที่คาดหวังแล้ว คำขอ QoS, พารามิเตอร์ 802.11n, ความเร็วที่รองรับ, ข้อมูลเกี่ยวกับเพื่อนบ้านอื่นๆ ฯลฯ จะถูกส่งไปด้วย การรับรองความถูกต้องจะกำหนดวิธีที่ไคลเอ็นต์นำเสนอตัวเองตรงจุด ตัวเลือกที่เป็นไปได้:

  • เปิด- เครือข่ายเปิดที่เรียกว่าซึ่งอุปกรณ์ที่เชื่อมต่อทั้งหมดจะได้รับอนุญาตทันที
  • แบ่งปันแล้ว- ต้องตรวจสอบความถูกต้องของอุปกรณ์ที่เชื่อมต่อด้วยคีย์/รหัสผ่าน
  • อีเอพี- ความถูกต้องของอุปกรณ์ที่เชื่อมต่อต้องได้รับการตรวจสอบโดยใช้โปรโตคอล EAP โดยเซิร์ฟเวอร์ภายนอก
การเปิดกว้างของเครือข่ายไม่ได้หมายความว่าใครก็ตามสามารถทำงานร่วมกับเครือข่ายได้โดยไม่ต้องรับโทษ ในการส่งข้อมูลในเครือข่ายดังกล่าว อัลกอริธึมการเข้ารหัสที่ใช้จะต้องตรงกัน และด้วยเหตุนี้ การเชื่อมต่อที่เข้ารหัสจึงต้องสร้างอย่างถูกต้อง อัลกอริธึมการเข้ารหัสคือ:
  • ไม่มี- ไม่มีการเข้ารหัส ข้อมูลจะถูกส่งในรูปแบบข้อความที่ชัดเจน
  • WEP- การเข้ารหัสตามอัลกอริธึม RC4 ที่มีความยาวคีย์คงที่หรือไดนามิกต่างกัน (64 หรือ 128 บิต)
  • ซีเคไอพี- การทดแทนที่เป็นกรรมสิทธิ์สำหรับ WEP ของ Cisco ซึ่งเป็น TKIP เวอร์ชันเริ่มต้น
  • ทีคิป- ปรับปรุงการแทนที่ WEP ด้วยการตรวจสอบและการป้องกันเพิ่มเติม
  • AES/CCMP- อัลกอริธึมที่ทันสมัยที่สุดบนพื้นฐานของ AES256 พร้อมการตรวจสอบและการป้องกันเพิ่มเติม

การผสมผสาน เปิดการรับรองความถูกต้อง ไม่มีการเข้ารหัสใช้กันอย่างแพร่หลายในระบบการเข้าถึงของแขก เช่น การให้บริการอินเทอร์เน็ตในร้านกาแฟหรือโรงแรม ในการเชื่อมต่อ คุณเพียงแค่ต้องทราบชื่อเครือข่ายไร้สายเท่านั้น บ่อยครั้งที่การเชื่อมต่อดังกล่าวถูกรวมเข้ากับการตรวจสอบเพิ่มเติมบน Captive Portal โดยเปลี่ยนเส้นทางคำขอ HTTP ของผู้ใช้ไปยังหน้าเพิ่มเติมที่คุณสามารถขอการยืนยันได้ (รหัสผ่านเข้าสู่ระบบ ข้อตกลงกับกฎ ฯลฯ)

การเข้ารหัส WEPถูกบุกรุกและไม่สามารถใช้งานได้ (แม้ในกรณีของคีย์ไดนามิก)

คำศัพท์ที่พบบ่อย WPAและ WPA2กำหนดอัลกอริทึมการเข้ารหัส (TKIP หรือ AES) เนื่องจากอะแดปเตอร์ไคลเอนต์รองรับ WPA2 (AES) มาระยะหนึ่งแล้ว จึงไม่มีประโยชน์ที่จะใช้การเข้ารหัส TKIP

ความแตกต่างระหว่าง WPA2 ส่วนบุคคลและ องค์กร WPA2คือที่มาของคีย์เข้ารหัสที่ใช้ในกลไกของอัลกอริทึม AES สำหรับแอปพลิเคชันส่วนตัว (ที่บ้าน ขนาดเล็ก) จะใช้คีย์คงที่ (รหัสผ่าน, รหัสคำ, PSK (คีย์ที่แชร์ล่วงหน้า)) ที่มีความยาวขั้นต่ำ 8 อักขระ ซึ่งตั้งค่าไว้ในการตั้งค่าจุดเข้าใช้งาน และเหมือนกันสำหรับ ไคลเอ็นต์ทั้งหมดของเครือข่ายไร้สายที่กำหนด การประนีประนอมกับกุญแจดังกล่าว (พวกเขาทำถั่วหกให้เพื่อนบ้าน พนักงานถูกไล่ออก แล็ปท็อปถูกขโมย) จำเป็นต้องเปลี่ยนรหัสผ่านทันทีสำหรับผู้ใช้ที่เหลือทั้งหมด ซึ่งจะเป็นจริงได้ก็ต่อเมื่อมีผู้ใช้จำนวนน้อยเท่านั้น สำหรับแอปพลิเคชันขององค์กร ดังที่ชื่อแนะนำ จะใช้ไดนามิกคีย์ สำหรับแต่ละไคลเอนต์ที่ทำงานอยู่ในปัจจุบัน ในระหว่างการดำเนินการคีย์นี้สามารถอัปเดตเป็นระยะโดยไม่ทำลายการเชื่อมต่อและส่วนประกอบเพิ่มเติมมีหน้าที่ในการสร้าง - เซิร์ฟเวอร์การอนุญาตและนี่คือเซิร์ฟเวอร์ RADIUS เกือบทุกครั้ง

สรุปพารามิเตอร์ความปลอดภัยที่เป็นไปได้ทั้งหมดไว้ในแผ่นป้ายนี้:

คุณสมบัติ WEP แบบคงที่ WEP แบบไดนามิก WPA WPA 2 (องค์กร)
บัตรประจำตัว ผู้ใช้ คอมพิวเตอร์ การ์ด WLAN ผู้ใช้คอมพิวเตอร์
ผู้ใช้คอมพิวเตอร์
ผู้ใช้คอมพิวเตอร์
การอนุญาต
รหัสที่ใช้ร่วมกัน

อีเอพี

EAP หรือคีย์ที่ใช้ร่วมกัน

EAP หรือคีย์ที่ใช้ร่วมกัน

ความซื่อสัตย์

ค่าตรวจสอบความสมบูรณ์ 32 บิต (ICV)

ไอซีวี 32 บิต

รหัสความสมบูรณ์ของข้อความ 64 บิต (MIC)

CRT/CBC-MAC (โหมดตัวนับ Cipher Block Chaining Auth Code - CCM) ส่วนหนึ่งของ AES

การเข้ารหัส

กุญแจแบบคงที่

คีย์เซสชัน

คีย์ต่อแพ็กเก็ตผ่าน TKIP

CCMP (เออีเอส)

การกระจายคีย์

ครั้งเดียวคู่มือ

ส่วนคีย์หลักคู่ (PMK)

มาจาก PMK

มาจาก PMK

เวกเตอร์การเริ่มต้น

ข้อความ 24 บิต

ข้อความ 24 บิต

เวกเตอร์ขั้นสูง 65 บิต

หมายเลขแพ็คเก็ต 48 บิต (PN)

อัลกอริทึม

RC4

RC4

RC4

เออีเอส

ความยาวคีย์ บิต

64/128
64/128
128
มากถึง 256

โครงสร้างพื้นฐานที่จำเป็น

เลขที่

รัศมี

รัศมี

รัศมี

แม้ว่า WPA2 Personal (WPA2 PSK) จะมีความชัดเจน แต่โซลูชันระดับองค์กรจำเป็นต้องพิจารณาเพิ่มเติม

องค์กร WPA2



ที่นี่เรากำลังจัดการกับชุดโปรโตคอลที่แตกต่างกันเพิ่มเติม ในฝั่งไคลเอ็นต์ ส่วนประกอบซอฟต์แวร์พิเศษ ผู้ร้องขอ (โดยปกติจะเป็นส่วนหนึ่งของระบบปฏิบัติการ) จะโต้ตอบกับส่วนที่อนุญาต ซึ่งก็คือเซิร์ฟเวอร์ AAA ตัวอย่างนี้แสดงการทำงานของเครือข่ายวิทยุแบบรวมที่สร้างขึ้นบนจุดเข้าใช้งานแบบน้ำหนักเบาและตัวควบคุม ในกรณีของการใช้จุดเข้าใช้งานด้วย "สมอง" บทบาททั้งหมดของตัวกลางระหว่างไคลเอนต์และเซิร์ฟเวอร์สามารถรับได้ด้วยตัวเอง ในกรณีนี้ ข้อมูลผู้ร้องขอไคลเอ็นต์จะถูกส่งผ่านวิทยุที่เกิดขึ้นในโปรโตคอล 802.1x (EAPOL) และที่ฝั่งตัวควบคุม ข้อมูลนั้นจะถูกห่อไว้ในแพ็กเก็ต RADIUS

การใช้กลไกการอนุญาต EAP ในเครือข่ายของคุณนำไปสู่ความจริงที่ว่าหลังจากประสบความสำเร็จในการรับรองความถูกต้องไคลเอนต์ (เกือบจะเปิดอย่างแน่นอน) โดยจุดเชื่อมต่อ (ร่วมกับตัวควบคุมถ้ามี) จุดเชื่อมต่อหลังจะขอให้ไคลเอนต์อนุญาต (ยืนยันอำนาจ) ด้วยเซิร์ฟเวอร์โครงสร้างพื้นฐาน RADIUS:

การใช้งาน องค์กร WPA2ต้องใช้เซิร์ฟเวอร์ RADIUS บนเครือข่ายของคุณ ในขณะนี้ผลิตภัณฑ์ที่มีประสิทธิภาพสูงสุดมีดังนี้:

  • Microsoft Network Policy Server (NPS) เดิมชื่อ IAS- กำหนดค่าผ่าน MMC ฟรี แต่คุณต้องซื้อ Windows
  • เซิร์ฟเวอร์ควบคุมการเข้าถึงที่ปลอดภัยของ Cisco (ACS) 4.2, 5.3- กำหนดค่าผ่านเว็บอินเตอร์เฟส ฟังก์ชันการทำงานที่ซับซ้อน ช่วยให้คุณสร้างระบบแบบกระจายและทนทานต่อข้อผิดพลาด ซึ่งมีราคาแพง
  • ฟรีRADIUS- ฟรี กำหนดค่าโดยใช้การกำหนดค่าข้อความ ไม่สะดวกในการจัดการและตรวจสอบ

ในกรณีนี้ ผู้ควบคุมจะตรวจสอบการแลกเปลี่ยนข้อมูลอย่างต่อเนื่องอย่างระมัดระวัง และรอการอนุญาตหรือการปฏิเสธที่ประสบความสำเร็จ หากสำเร็จ เซิร์ฟเวอร์ RADIUS จะสามารถถ่ายโอนพารามิเตอร์เพิ่มเติมไปยังจุดเข้าใช้งาน (เช่น VLAN ที่จะวางผู้สมัครสมาชิก ที่อยู่ IP ที่จะกำหนด โปรไฟล์ QoS ฯลฯ) เมื่อสิ้นสุดการแลกเปลี่ยน เซิร์ฟเวอร์ RADIUS อนุญาตให้ไคลเอ็นต์และจุดเชื่อมต่อสร้างและแลกเปลี่ยนคีย์การเข้ารหัส (แต่ละรายการ ใช้ได้สำหรับเซสชันนี้เท่านั้น):

อีเอพี

โปรโตคอล EAP นั้นเป็นแบบคอนเทนเนอร์ ซึ่งหมายความว่ากลไกการให้สิทธิ์ที่แท้จริงจะเหลืออยู่ที่โปรโตคอลภายใน ในขณะนี้ สิ่งต่อไปนี้ได้รับการเผยแพร่ที่สำคัญ:
  • EAP-FAST(การรับรองความถูกต้องแบบยืดหยุ่นผ่าน Secure Tunneling) - พัฒนาโดย Cisco อนุญาตการอนุญาตโดยใช้การเข้าสู่ระบบและรหัสผ่านที่ส่งภายในอุโมงค์ TLS ระหว่างผู้ร้องขอและเซิร์ฟเวอร์ RADIUS
  • EAP-TLS(การรักษาความปลอดภัยเลเยอร์การขนส่ง) ใช้โครงสร้างพื้นฐานคีย์สาธารณะ (PKI) เพื่ออนุญาตไคลเอ็นต์และเซิร์ฟเวอร์ (หัวเรื่องและเซิร์ฟเวอร์ RADIUS) ผ่านใบรับรองที่ออกโดยผู้ออกใบรับรองที่เชื่อถือได้ (CA) ต้องมีการออกและติดตั้งใบรับรองไคลเอ็นต์บนอุปกรณ์ไร้สายแต่ละเครื่อง ดังนั้นจึงเหมาะสำหรับสภาพแวดล้อมองค์กรที่ได้รับการจัดการเท่านั้น Windows Certificate Server มีสิ่งอำนวยความสะดวกที่อนุญาตให้ไคลเอนต์สร้างใบรับรองของตนเองหากไคลเอนต์เป็นสมาชิกของโดเมน การบล็อกไคลเอนต์สามารถทำได้ง่าย ๆ โดยการเพิกถอนใบรับรอง (หรือผ่านบัญชี)
  • EAP-TTLS(Tunneled Transport Layer Security) คล้ายกับ EAP-TLS แต่ไม่จำเป็นต้องมีใบรับรองไคลเอ็นต์เมื่อสร้างช่องสัญญาณ ในช่องทางดังกล่าว ซึ่งคล้ายกับการเชื่อมต่อ SSL ของเบราว์เซอร์ จะมีการให้สิทธิ์เพิ่มเติม (โดยใช้รหัสผ่านหรืออย่างอื่น)
  • PEAP-MSCHAPv2(EAP ที่มีการป้องกัน) - คล้ายกับ EAP-TTLS โดยที่ในตอนแรกจะสร้างอุโมงค์ TLS ที่เข้ารหัสระหว่างไคลเอนต์และเซิร์ฟเวอร์ โดยต้องมีใบรับรองเซิร์ฟเวอร์ ต่อจากนั้น การอนุญาตจะเกิดขึ้นในทันเนลดังกล่าวโดยใช้โปรโตคอล MSCHAPv2 ที่รู้จักกันดี
  • PEAP-GTC(บัตรโทเค็นทั่วไป) - คล้ายกับบัตรก่อนหน้า แต่ต้องใช้บัตรรหัสผ่านแบบใช้ครั้งเดียว (และโครงสร้างพื้นฐานที่เกี่ยวข้อง)

วิธีการทั้งหมดเหล่านี้ (ยกเว้น EAP-FAST) จำเป็นต้องมีใบรับรองเซิร์ฟเวอร์ (บนเซิร์ฟเวอร์ RADIUS) ที่ออกโดยผู้ออกใบรับรอง (CA) ในกรณีนี้ ต้องมีใบรับรอง CA บนอุปกรณ์ของลูกค้าในกลุ่มที่เชื่อถือได้ (ซึ่งใช้งานง่ายโดยใช้ Group Policy ใน Windows) นอกจากนี้ EAP-TLS จำเป็นต้องมีใบรับรองไคลเอ็นต์ส่วนบุคคล ความถูกต้องของไคลเอ็นต์ได้รับการตรวจสอบทั้งโดยลายเซ็นดิจิทัลและ (ทางเลือก) โดยการเปรียบเทียบใบรับรองที่ไคลเอ็นต์ให้ไว้กับเซิร์ฟเวอร์ RADIUS กับสิ่งที่เซิร์ฟเวอร์ดึงมาจากโครงสร้างพื้นฐาน PKI (Active Directory)

การสนับสนุนสำหรับวิธี EAP ใดๆ จะต้องจัดเตรียมโดยผู้ร้องขอฝั่งไคลเอ็นต์ Windows XP/Vista/7, iOS, Android ในตัวมาตรฐานมี EAP-TLS และ EAP-MSCHAPv2 เป็นอย่างน้อย ซึ่งทำให้วิธีการเหล่านี้เป็นที่นิยม อะแดปเตอร์ไคลเอนต์ Intel สำหรับ Windows มาพร้อมกับยูทิลิตี้ ProSet ซึ่งจะขยายรายการที่มีอยู่ Cisco AnyConnect Client ทำเช่นเดียวกัน

มีความน่าเชื่อถือแค่ไหน?

ผู้โจมตีต้องทำอย่างไรจึงจะแฮ็กเครือข่ายของคุณได้?

สำหรับการตรวจสอบสิทธิ์แบบเปิด ไม่มีการเข้ารหัส - ไม่มีอะไรเลย เชื่อมต่อกับเครือข่ายแล้วนั่นเอง เนื่องจากสื่อวิทยุเปิดอยู่ สัญญาณจะเดินทางไปในทิศทางที่ต่างกัน จึงไม่ง่ายที่จะปิดกั้น หากคุณมีอะแดปเตอร์ไคลเอ็นต์ที่เหมาะสมซึ่งช่วยให้คุณสามารถฟังทางอากาศได้ การรับส่งข้อมูลเครือข่ายจะมองเห็นได้ในลักษณะเดียวกับที่ผู้โจมตีเชื่อมต่อกับสาย ไปยังฮับ ไปยังพอร์ต SPAN ของสวิตช์
การเข้ารหัสแบบ WEP ต้องการเวลา IV เท่านั้นและหนึ่งในยูทิลิตี้การสแกนที่มีให้ใช้งานฟรีมากมาย
สำหรับการเข้ารหัสที่ใช้ TKIP หรือ AES การถอดรหัสโดยตรงเป็นไปได้ในทางทฤษฎี แต่ในทางปฏิบัติไม่เคยมีการแฮ็กกรณีใดเลย

แน่นอนคุณสามารถลองเดารหัส PSK หรือรหัสผ่านสำหรับวิธี EAP วิธีใดวิธีหนึ่งได้ ไม่ทราบการโจมตีทั่วไปต่อวิธีการเหล่านี้ คุณสามารถลองใช้วิธีวิศวกรรมสังคมหรือ

มีความเสี่ยงที่เป็นอันตรายมากมายที่เกี่ยวข้องกับโปรโตคอลไร้สายและวิธีการเข้ารหัส ดังนั้นการออกแบบโปรโตคอลความปลอดภัยไร้สายที่หลากหลายจึงถูกนำมาใช้เพื่อลดปัญหาเหล่านี้ให้เหลือน้อยที่สุด เหล่านี้ โปรโตคอลความปลอดภัยไร้สายให้การป้องกันการเข้าถึงคอมพิวเตอร์โดยไม่ได้รับอนุญาตโดยการเข้ารหัสข้อมูลที่ส่งบนเครือข่ายไร้สาย

ความแตกต่างระหว่างโปรโตคอล WPA2, WPA, WEP Wi-Fi

จุดเชื่อมต่อไร้สายส่วนใหญ่มีตัวเลือกในการเปิดใช้งานหนึ่งในสามมาตรฐานการเข้ารหัสไร้สาย:

  1. WEP (ความเป็นส่วนตัวแบบใช้สายเทียบเท่า)
  2. WPA2

WEP หรือความเป็นส่วนตัวแบบใช้สายเทียบเท่า

เครือข่ายความปลอดภัยไร้สายเครือข่ายแรกคือ WEP หรือโปรโตคอล Wired Equivalent Privacy มันเริ่มต้นด้วยการเข้ารหัส 64 บิต (อ่อนแอ) และในที่สุดก็ไปจนถึงการเข้ารหัส 256 บิต (แข็งแกร่ง) การใช้งานที่ได้รับความนิยมมากที่สุดในเราเตอร์ยังคงเป็นการเข้ารหัสแบบ 128 บิต (อยู่ระหว่างนั้น) นี่ถือเป็นวิธีแก้ปัญหาที่เป็นไปได้จนกระทั่งนักวิจัยด้านความปลอดภัยค้นพบช่องโหว่หลายประการในนั้น ทำให้แฮกเกอร์สามารถถอดรหัสคีย์ WEP ได้ภายในไม่กี่นาที เขาใช้ ซีอาร์ซีหรือ การตรวจสอบความซ้ำซ้อนแบบวนรอบ.

การเข้าถึงแบบป้องกัน WPA หรือ Wi-Fi

เพื่อแก้ไขข้อบกพร่องของ WEP WPA ได้รับการพัฒนาให้เป็นมาตรฐานความปลอดภัยใหม่สำหรับโปรโตคอลไร้สาย เพื่อให้แน่ใจว่าข้อความมีความสมบูรณ์ เขาจึงใช้ โปรโตคอลความสมบูรณ์ทีคิปหรือ ความสมบูรณ์ของคีย์ชั่วคราว- สิ่งนี้แตกต่างจาก WEP ในบางแง่ ซึ่งใช้ CRC หรือ Cyclic Redundancy Check คิดว่า TKIP แข็งแกร่งกว่า CRC มาก การใช้งานทำให้มั่นใจได้ว่าแต่ละแพ็กเก็ตข้อมูลถูกส่งโดยใช้คีย์เข้ารหัสเฉพาะ คีย์ผสมเพิ่มความยากในการถอดรหัสคีย์ และลดจำนวนการบุกรุกจากภายนอก อย่างไรก็ตาม เช่นเดียวกับ WEP WPA ก็มีข้อเสียเช่นกัน ดังนั้น WPA จึงถูกขยายออกไปใน WPA 2

WPA2

ปัจจุบัน WPA 2 ได้รับการยอมรับว่าเป็นโปรโตคอลที่ปลอดภัยที่สุด การเปลี่ยนแปลงที่สำคัญที่สุดอย่างหนึ่งที่มองเห็นได้ระหว่าง WPA และ WPA2 คือการใช้อัลกอริธึมที่จำเป็น เออีเอส (มาตรฐานการเข้ารหัสขั้นสูง) และการแนะนำตัว CCMP (โหมดตัวนับรหัสพร้อมโปรโตคอลรหัสรับรองความถูกต้องบล็อคเชน)เพื่อทดแทน TKIP โหมด CCM ผสมผสานโหมดการรักษาความลับ (CTR) และการตรวจสอบความถูกต้องของรหัสลูกโซ่ (CBC-MAC) สำหรับการตรวจสอบความถูกต้อง โหมดเหล่านี้ได้รับการศึกษาอย่างกว้างขวางและได้รับการพิสูจน์แล้วว่ามีคุณสมบัติการเข้ารหัสที่เข้าใจกันดี ซึ่งให้ความปลอดภัยและประสิทธิภาพที่ดีในซอฟต์แวร์หรือฮาร์ดแวร์ในปัจจุบัน

ข้อกังวลหลักสำหรับ LAN ไร้สายทั้งหมด (และ LAN แบบมีสายทั้งหมด) ก็คือความปลอดภัย ความปลอดภัยมีความสำคัญพอๆ กับผู้ใช้อินเทอร์เน็ตทุกคน ความปลอดภัยเป็นปัญหาที่ซับซ้อนและต้องได้รับการดูแลอย่างต่อเนื่อง อันตรายร้ายแรงอาจเกิดขึ้นกับผู้ใช้ได้เนื่องจากเขาใช้ฮอตสปอตแบบสุ่ม (ฮอตสปอต) หรือจุดเชื่อมต่อ Wi-Fi แบบเปิดที่บ้านหรือในที่ทำงาน และไม่ได้ใช้การเข้ารหัสหรือ VPN (Virtual Private Network) สิ่งนี้เป็นอันตรายเนื่องจากผู้ใช้ป้อนข้อมูลส่วนบุคคลหรือข้อมูลอาชีพของตน และเครือข่ายไม่ได้รับการปกป้องจากการบุกรุกจากภายนอก

WEP

ในตอนแรก เป็นการยากที่จะจัดให้มีการรักษาความปลอดภัยที่เพียงพอสำหรับ LAN ไร้สาย

แฮกเกอร์เชื่อมต่อกับเครือข่าย WiFi เกือบทุกเครือข่ายได้อย่างง่ายดายโดยเจาะเข้าไปในระบบรักษาความปลอดภัยเวอร์ชันแรกๆ เช่น Wired Equivalent Privacy (WEP) เหตุการณ์เหล่านี้ทิ้งร่องรอยเอาไว้ และเป็นเวลานานแล้วที่บางบริษัทลังเลที่จะใช้หรือไม่ติดตั้งเครือข่ายไร้สายเลย เนื่องจากเกรงว่าข้อมูลที่ส่งระหว่างอุปกรณ์ WiFi ไร้สายและจุดเข้าใช้งาน Wi-Fi อาจถูกดักและถอดรหัสได้ ดังนั้น โมเดลการรักษาความปลอดภัยนี้จึงชะลอการบูรณาการเครือข่ายไร้สายเข้ากับธุรกิจ และทำให้ผู้คนที่ใช้เครือข่าย WiFi ที่บ้านเกิดความกังวลใจ จากนั้น IEEE ได้สร้างคณะทำงาน 802.11i ซึ่งทำงานเพื่อสร้างโมเดลความปลอดภัยที่ครอบคลุมเพื่อให้การเข้ารหัส AES 128 บิตและการรับรองความถูกต้องเพื่อปกป้องข้อมูล Wi-Fi Alliance เปิดตัวเวอร์ชันกลางของข้อกำหนดความปลอดภัย 802.11i นี้: Wi-Fi Protected Access (WPA) โมดูล WPA ผสมผสานเทคโนโลยีหลายอย่างเข้าด้วยกันเพื่อแก้ไขช่องโหว่ของระบบ 802.11 WEP ดังนั้น WPA จึงให้การรับรองความถูกต้องผู้ใช้ที่เชื่อถือได้โดยใช้มาตรฐาน 802.1x (การรับรองความถูกต้องร่วมกันและการห่อหุ้มข้อมูลที่ส่งระหว่างอุปกรณ์ไคลเอนต์ไร้สาย จุดเชื่อมต่อ และเซิร์ฟเวอร์) และ Extensible Authentication Protocol (EAP)

หลักการทำงานของระบบรักษาความปลอดภัยแสดงไว้ในแผนภาพในรูปที่ 1

นอกจากนี้ WPA ยังติดตั้งโมดูลชั่วคราวเพื่อเข้ารหัสกลไก WEP ผ่านการเข้ารหัสคีย์ 128 บิต และใช้ Temporal Key Integrity Protocol (TKIP) และการตรวจสอบข้อความ (MIC) จะป้องกันไม่ให้แพ็กเก็ตข้อมูลถูกเปลี่ยนแปลงหรือจัดรูปแบบ การผสมผสานเทคโนโลยีนี้ช่วยปกป้องความลับและความสมบูรณ์ของการส่งข้อมูล และรับประกันความปลอดภัยโดยการควบคุมการเข้าถึงเพื่อให้เฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงเครือข่ายได้

WPA

การรักษาความปลอดภัยและการควบคุมการเข้าถึง WPA ที่ปรับปรุงเพิ่มเติมคือการสร้างคีย์หลักใหม่ที่ไม่ซ้ำใครสำหรับการสื่อสารระหว่างอุปกรณ์ไร้สายของผู้ใช้แต่ละรายกับจุดเข้าใช้งาน และจัดเตรียมเซสชันการตรวจสอบสิทธิ์ และในการสร้างตัวสร้างคีย์แบบสุ่มและในกระบวนการสร้างคีย์สำหรับแต่ละแพ็คเกจ

IEEE ให้สัตยาบันมาตรฐาน 802.11i ในเดือนมิถุนายน พ.ศ. 2547 ซึ่งขยายขีดความสามารถมากมายด้วยเทคโนโลยี WPA Wi-Fi Alliance ได้เสริมความแข็งแกร่งให้กับโมดูลความปลอดภัยในโปรแกรม WPA2 ดังนั้นระดับความปลอดภัยของมาตรฐานการส่งข้อมูล WiFi 802.11 จึงถึงระดับที่จำเป็นสำหรับการใช้งานโซลูชันและเทคโนโลยีไร้สายในองค์กร การเปลี่ยนแปลงที่สำคัญอย่างหนึ่งจาก 802.11i (WPA2) เป็น WPA คือการใช้ Advanced Encryption Standard (AES) 128 บิต WPA2 AES ใช้โหมด anti-CBC-MAC (โหมดการดำเนินการสำหรับบล็อกการเข้ารหัสที่อนุญาตให้ใช้คีย์เดียวสำหรับทั้งการเข้ารหัสและการรับรองความถูกต้อง) เพื่อให้การรักษาความลับของข้อมูล การรับรองความถูกต้อง ความสมบูรณ์ และการป้องกันการเล่นซ้ำ มาตรฐาน 802.11i ยังมีการแคชคีย์และการตรวจสอบสิทธิ์ล่วงหน้าเพื่อจัดระเบียบผู้ใช้ข้ามจุดเชื่อมต่อ

WPA2

ด้วยมาตรฐาน 802.11i ห่วงโซ่โมดูลความปลอดภัยทั้งหมด (การเข้าสู่ระบบ การแลกเปลี่ยนข้อมูลประจำตัว การตรวจสอบสิทธิ์ และการเข้ารหัสข้อมูล) จะกลายเป็นการป้องกันที่เชื่อถือได้และมีประสิทธิภาพมากขึ้นต่อการโจมตีที่ไม่ได้กำหนดเป้าหมายและกำหนดเป้าหมาย ระบบ WPA2 ช่วยให้ผู้ดูแลระบบเครือข่าย Wi-Fi สามารถเปลี่ยนจากปัญหาด้านความปลอดภัยไปเป็นการจัดการการทำงานและอุปกรณ์ได้

มาตรฐาน 802.11r เป็นการปรับเปลี่ยนมาตรฐาน 802.11i มาตรฐานนี้ให้สัตยาบันในเดือนกรกฎาคม พ.ศ. 2551 เทคโนโลยีของมาตรฐานจะถ่ายโอนลำดับชั้นที่สำคัญบนพื้นฐานของเทคโนโลยี Handoff ได้รวดเร็วยิ่งขึ้นและเชื่อถือได้ในขณะที่ผู้ใช้เคลื่อนที่ระหว่างจุดเข้าใช้งาน มาตรฐาน 802.11r เข้ากันได้กับมาตรฐาน WiFi 802.11a/b/g/n โดยสมบูรณ์

นอกจากนี้ยังมีมาตรฐาน 802.11w ซึ่งมีจุดมุ่งหมายเพื่อปรับปรุงกลไกการรักษาความปลอดภัยตามมาตรฐาน 802.11i มาตรฐานนี้ได้รับการออกแบบมาเพื่อปกป้องแพ็กเก็ตควบคุม

มาตรฐาน 802.11i และ 802.11w เป็นกลไกด้านความปลอดภัยสำหรับเครือข่าย WiFi 802.11n

การเข้ารหัสไฟล์และโฟลเดอร์ใน Windows 7

คุณสมบัติการเข้ารหัสช่วยให้คุณสามารถเข้ารหัสไฟล์และโฟลเดอร์ซึ่งต่อมาจะไม่สามารถอ่านบนอุปกรณ์อื่นได้หากไม่มีคีย์พิเศษ คุณลักษณะนี้มีอยู่ใน Windows 7 เวอร์ชันต่างๆ เช่น Professional, Enterprise หรือ Ultimate ต่อไปนี้จะกล่าวถึงวิธีการเปิดใช้งานการเข้ารหัสไฟล์และโฟลเดอร์

การเปิดใช้งานการเข้ารหัสไฟล์:

เริ่ม -> คอมพิวเตอร์ (เลือกไฟล์ที่จะเข้ารหัส) -> ปุ่มเมาส์ขวาบนไฟล์ -> คุณสมบัติ -> ขั้นสูง (แท็บทั่วไป) -> คุณสมบัติเพิ่มเติม -> ตรวจสอบตัวเลือกเข้ารหัสเนื้อหาเพื่อปกป้องข้อมูล -> ตกลง -> ใช้ -> ตกลง (เลือกใช้กับไฟล์เท่านั้น) ->

การเปิดใช้งานการเข้ารหัสโฟลเดอร์:

เริ่ม -> คอมพิวเตอร์ (เลือกโฟลเดอร์ที่จะเข้ารหัส) -> ปุ่มเมาส์ขวาบนโฟลเดอร์ -> คุณสมบัติ -> ขั้นสูง (แท็บทั่วไป) -> คุณสมบัติเพิ่มเติม -> ทำเครื่องหมายที่ช่องเข้ารหัสเนื้อหาเพื่อปกป้องข้อมูล -> ตกลง -> ใช้ - > ตกลง (เลือกใช้กับไฟล์เท่านั้น) -> ปิดกล่องโต้ตอบคุณสมบัติ (คลิกตกลงหรือปิด)

คีย์ความปลอดภัยเครือข่ายคือรหัสผ่านที่คุณสามารถใช้เพื่อเชื่อมต่อกับเครือข่าย Wi-Fi ที่ใช้งานได้ การทำงานที่ปลอดภัยของเครือข่ายไร้สายนั้นขึ้นอยู่กับมันโดยตรง หน้าที่หลักคือปกป้องผู้ใช้ Wi-Fi (เจ้าของ) จากการเชื่อมต่อที่ไม่ได้รับอนุญาต บางคนอาจคิดว่าโดยทั่วไปแล้วการเชื่อมต่อดังกล่าวจะไม่รบกวนการทำงานบนอินเทอร์เน็ตมากนัก ในความเป็นจริงมันเต็มไปด้วยความเร็วอินเทอร์เน็ตที่ลดลงอย่างมาก ดังนั้นจึงต้องให้ความสำคัญกับการสร้างรหัสผ่านมากที่สุด

นอกจากความซับซ้อนที่แท้จริงของรหัสผ่านที่กำลังสร้างแล้ว ระดับความปลอดภัยของเครือข่ายไร้สาย Wi-Fi ยังได้รับอิทธิพลอย่างมากจากประเภทของการเข้ารหัสข้อมูล ความสำคัญของประเภทของการเข้ารหัสนั้นอธิบายได้จากข้อเท็จจริงที่ว่าข้อมูลทั้งหมดที่ส่งภายในเครือข่ายนั้นได้รับการเข้ารหัส ระบบดังกล่าวช่วยให้คุณสามารถป้องกันตัวเองจากการเชื่อมต่อที่ไม่ได้รับอนุญาต เนื่องจากหากไม่ทราบรหัสผ่าน ผู้ใช้บุคคลที่สามที่ใช้อุปกรณ์ของเขาจะไม่สามารถถอดรหัสข้อมูลที่ส่งภายในเครือข่ายไร้สายได้

ประเภทของการเข้ารหัสเครือข่าย

ปัจจุบันเราเตอร์ Wi-Fi ใช้การเข้ารหัสสามประเภทที่แตกต่างกัน

พวกเขาแตกต่างกันไม่เพียงแต่ในจำนวนอักขระที่สามารถสร้างรหัสผ่านได้ แต่ยังรวมถึงคุณสมบัติอื่น ๆ ที่สำคัญไม่แพ้กันด้วย

การเข้ารหัสที่อ่อนแอที่สุดและได้รับความนิยมน้อยที่สุดในปัจจุบันคือ WEP โดยทั่วไปแล้ว การเข้ารหัสประเภทนี้เคยใช้มาก่อน และตอนนี้แทบไม่ได้ใช้เลย และประเด็นนี้ไม่ใช่แค่ความล้าสมัยของการเข้ารหัสประเภทนี้เท่านั้น เขาไม่น่าเชื่อถือเลยจริงๆ ผู้ใช้ที่ใช้อุปกรณ์ที่เข้ารหัส WEP มีโอกาสสูงที่จะมีคีย์ความปลอดภัยเครือข่ายของตนเองถูกแฮ็กโดยบุคคลที่สาม การเข้ารหัสประเภทนี้ไม่รองรับเราเตอร์ Wi-Fi สมัยใหม่หลายตัว

การเข้ารหัสสองประเภทสุดท้ายมีความปลอดภัยมากกว่าและมีการใช้กันทั่วไปมากกว่ามาก ในขณะเดียวกัน ผู้ใช้ก็มีโอกาสเลือกระดับความปลอดภัยของเครือข่ายได้ ดังนั้น WPA และ WPA2 จึงรองรับการตรวจสอบความปลอดภัยสองประเภท

หนึ่งในนั้นได้รับการออกแบบมาสำหรับผู้ใช้ทั่วไปและมีรหัสผ่านที่ไม่ซ้ำกันหนึ่งรหัสสำหรับอุปกรณ์ที่เชื่อมต่อทั้งหมด

อีกอันใช้สำหรับธุรกิจและปรับปรุงความน่าเชื่อถือของเครือข่าย Wi-Fi อย่างมาก สิ่งสำคัญคือแต่ละอุปกรณ์จะสร้างคีย์ความปลอดภัยเฉพาะของตัวเอง

ดังนั้นจึงแทบจะเป็นไปไม่ได้เลยที่จะเชื่อมต่อกับเครือข่ายของผู้อื่นโดยไม่ได้รับอนุญาต

อย่างไรก็ตาม เมื่อเลือกเราเตอร์ในอนาคต คุณควรเลือกรุ่นที่รองรับการเข้ารหัส WPA2 อย่างแน่นอน สิ่งนี้อธิบายได้ด้วยความน่าเชื่อถือที่มากกว่าเมื่อเปรียบเทียบกับ WPA แม้ว่าการเข้ารหัส WPA จะมีคุณภาพค่อนข้างสูงก็ตาม เราเตอร์ส่วนใหญ่รองรับการเข้ารหัสทั้งสองประเภทนี้

วิธีค้นหาคีย์ความปลอดภัยเครือข่าย Wi-Fi ของคุณ

คุณสามารถใช้หลายวิธีเพื่อค้นหาคีย์ความปลอดภัยเครือข่ายไร้สายของคุณ



บทความที่เกี่ยวข้อง