Ngayon ay maghuhukay tayo nang mas malalim sa paksa ng seguridad ng wireless na koneksyon. Alamin natin kung ano ito - tinatawag din itong "authentication" - at kung alin ang mas mahusay na piliin. Marahil ay nakatagpo ka ng mga pagdadaglat gaya ng WEP, WPA, WPA2, WPA2/PSK. At din ang ilan sa kanilang mga varieties - Personal o Enterprice at TKIP o AES. Well, tingnan natin ang lahat ng ito at alamin kung aling uri ng pag-encrypt ang pipiliin upang matiyak ang maximum na bilis nang hindi sinasakripisyo ang bilis.
Tandaan ko na kinakailangang protektahan ang iyong WiFi gamit ang isang password, anuman ang uri ng pag-encrypt na pipiliin mo. Kahit na ang pinakasimpleng pagpapatunay ay maiiwasan ang mga seryosong problema sa hinaharap.
Bakit ko ito sinasabi? Hindi man lang bagay sa katotohanan na ang pagkonekta sa maraming maling kliyente ay magpapabagal sa iyong network—simula pa lang iyon. Ang pangunahing dahilan ay kung ang iyong network ay hindi protektado ng password, kung gayon ang isang umaatake ay maaaring ilakip ang sarili dito, na gagawa ng mga iligal na aksyon mula sa ilalim ng iyong router, at pagkatapos ay kailangan mong sagutin ang kanyang mga aksyon, kaya seryosohin ang proteksyon ng wifi. .
Pag-encrypt ng data ng WiFi at mga uri ng pagpapatunay
Kaya, kumbinsido kami sa pangangailangan na i-encrypt ang wifi network, ngayon tingnan natin kung anong mga uri ang mayroon:
Ano ang proteksyon ng WEP wifi?
WEP(Wired Equivalent Privacy) ay ang pinakaunang pamantayan na lumabas, na hindi na nakakatugon sa mga modernong kinakailangan sa mga tuntunin ng pagiging maaasahan. Ang lahat ng mga program na na-configure upang i-hack ang isang wifi network gamit ang mga brute force na pamamaraan ay pangunahing naglalayong pumili ng isang WEP encryption key.
Ano ang WPA key o password?
WPA(Wi-Fi Protected Access) ay isang mas modernong pamantayan sa pagpapatunay na nagbibigay-daan sa iyong mapagkakatiwalaang protektahan ang iyong lokal na network at ang Internet mula sa iligal na pagtagos.
Ano ang WPA2-PSK - Personal o Enterprise?
WPA2- isang pinahusay na bersyon ng nakaraang uri. Ang pag-hack ng WPA2 ay halos imposible, nagbibigay ito ng pinakamataas na antas ng seguridad, kaya sa aking mga artikulo palagi kong sinasabi nang walang paliwanag na kailangan mong i-install ito - ngayon alam mo na kung bakit.
Ang mga pamantayan sa seguridad ng WiFi WPA2 at WPA ay may dalawa pang uri:
- Personal, na tinutukoy bilang WPA/PSK o WPA2/PSK. Ang ganitong uri ay ang pinaka-tinatanggap na ginagamit at pinakamainam para sa paggamit sa karamihan ng mga kaso - parehong sa bahay at sa opisina. Sa WPA2/PSK nagtakda kami ng password na hindi bababa sa 8 character, na nakaimbak sa memorya ng device na ikinonekta namin sa router.
- Enterprise- isang mas kumplikadong configuration na nangangailangan ng RADIUS function na paganahin sa router. Gumagana ito ayon sa prinsipyo, iyon ay, ang isang hiwalay na password ay itinalaga para sa bawat indibidwal na konektadong gadget.
Mga uri ng pag-encrypt ng WPA - TKIP o AES?
Kaya, napagpasyahan namin na ang WPA2/PSK (Personal) ay ang pinakamainam na pagpipilian para sa seguridad ng network, ngunit mayroon itong dalawa pang uri ng pag-encrypt ng data para sa pagpapatunay.
- TKIP- ngayon ito ay isang hindi napapanahong uri, ngunit ito ay malawak na ginagamit, dahil maraming mga aparato para sa isang tiyak na bilang ng mga taon ay sumusuporta lamang dito. Hindi gumagana sa teknolohiyang WPA2/PSK at hindi sumusuporta sa 802.11n WiFi.
- AES- ang pinakabago at pinaka-maaasahang uri ng WiFi encryption sa ngayon.
Anong uri ng pag-encrypt ang dapat kong piliin at itakda ang WPA key sa aking WiFi router?
Inayos namin ang teorya - magpatuloy tayo sa pagsasanay. Dahil walang gumagamit ng mga pamantayan ng WiFi na 802.11 "B" at "G", na may pinakamataas na bilis na hanggang 54 Mbit/s, ngayon ang pamantayan ay 802.11 "N" o "AC", na sumusuporta sa bilis ng hanggang 300 Mbit /s at mas mataas , kung gayon walang saysay na isaalang-alang ang opsyon ng paggamit ng proteksyon ng WPA/PSK sa uri ng TKIP encryption. Samakatuwid, kapag nag-set up ka ng wireless network, itakda ito sa default
WPA2/PSK - AES
O, bilang huling paraan, tukuyin ang "Auto" bilang uri ng pag-encrypt upang payagan pa rin ang koneksyon ng mga device na may lumang module ng WiFi.
Sa kasong ito, ang WPA key, o sa madaling salita, ang password para sa pagkonekta sa network, ay dapat na may mula 8 hanggang 32 character, kabilang ang English lowercase at uppercase na mga titik, pati na rin ang iba't ibang mga espesyal na character.
Wireless na seguridad sa iyong TP-Link router
Ipinapakita ng mga screenshot sa itaas ang control panel ng isang modernong TP-Link router sa bagong bersyon ng firmware. Ang pag-set up ng network encryption dito ay nasa seksyong "Mga advanced na setting - Wireless mode".
Sa lumang "berde" na bersyon, ang mga configuration ng WiFi network na interesado sa amin ay matatagpuan sa " Wireless Mode - Seguridad". Kung gagawin mo ang lahat tulad ng sa larawan, ito ay magiging mahusay!
Kung napansin mo, mayroon ding isang item bilang "WPA group key update period". Ang katotohanan ay upang magbigay ng higit na seguridad, ang aktwal na WPA digital key para sa pag-encrypt ng koneksyon ay nagbabago nang pabago-bago. Dito mo itinakda ang halaga sa mga segundo pagkatapos mangyari ang pagbabago. Inirerekumenda kong iwanan ito nang mag-isa at iwanan ito sa default - nag-iiba ang agwat ng pag-update sa bawat modelo.
Paraan ng pagpapatunay sa ASUS router
Sa mga ASUS router, ang lahat ng mga setting ng WiFi ay matatagpuan sa isang pahina ng "Wireless Network".
Proteksyon ng network sa pamamagitan ng Zyxel Keenetic router
Katulad din para sa Zyxel Keenetic - seksyong "WiFi Network - Access Point"
Sa mga Keenetic router na walang prefix na "Zyxel", maaaring baguhin ang uri ng pag-encrypt sa seksyong "Home Network."
Pag-set up ng seguridad ng D-Link router
Sa D-Link hinahanap namin ang seksyon na " Wi-Fi - Seguridad»
Ngayon, naunawaan namin ang mga uri ng pag-encrypt ng WiFi at mga termino tulad ng WEP, WPA, WPA2-PSK, TKIP at AES at natutunan namin kung alin ang mas mahusay na piliin. Basahin din ang tungkol sa iba pang mga opsyon sa seguridad ng network sa isa sa aking mga nakaraang artikulo, kung saan pinag-uusapan ko ang tungkol sa mga MAC at IP address at iba pang mga paraan ng seguridad.
Video sa pagtatakda ng uri ng pag-encrypt sa router
Kamakailan, maraming "nagsisiwalat" na mga publikasyon ang lumitaw tungkol sa pag-hack ng isa pang protocol o teknolohiya na nakompromiso ang seguridad ng mga wireless network. Ganito ba talaga, ano ang dapat mong katakutan, at paano mo matitiyak na ang pag-access sa iyong network ay ligtas hangga't maaari? Maliit ba sa iyo ang mga salitang WEP, WPA, 802.1x, EAP, PKI? Ang maikling pangkalahatang-ideya na ito ay makakatulong sa pagsasama-sama ng lahat ng encryption at radio access authorization technology na ginamit. Susubukan kong ipakita na ang isang maayos na naka-configure na wireless network ay kumakatawan sa isang hindi malulutas na hadlang para sa isang umaatake (hanggang sa isang tiyak na limitasyon, siyempre).
Mga pangunahing kaalaman
Ang anumang pakikipag-ugnayan sa pagitan ng isang access point (network) at isang wireless client ay batay sa:- Authentication- kung paano ipinakilala ng kliyente at ng access point ang kanilang mga sarili sa isa't isa at kumpirmahin na sila ay may karapatang makipag-usap sa isa't isa;
- Pag-encrypt- anong scrambling algorithm para sa ipinadalang data ang ginagamit, kung paano nabuo ang encryption key, at kailan ito nagbabago.
Ang mga parameter ng isang wireless network, pangunahin ang pangalan nito (SSID), ay regular na ina-advertise ng access point sa mga broadcast beacon packet. Bilang karagdagan sa inaasahang mga setting ng seguridad, ang mga kahilingan para sa QoS, 802.11n na mga parameter, suportadong bilis, impormasyon tungkol sa iba pang mga kapitbahay, atbp. Tinutukoy ng pagpapatunay kung paano ipinapakita ng kliyente ang sarili sa punto. Mga posibleng opsyon:
- Bukas- isang tinatawag na bukas na network kung saan ang lahat ng konektadong device ay agad na pinahintulutan
- Ibinahagi- ang pagiging tunay ng konektadong device ay dapat ma-verify gamit ang isang key/password
- EAP- ang pagiging tunay ng nakakonektang device ay dapat ma-verify gamit ang EAP protocol ng isang external na server
- wala- walang encryption, ang data ay ipinadala sa malinaw na teksto
- WEP- cipher batay sa RC4 algorithm na may iba't ibang static o dynamic na haba ng key (64 o 128 bits)
- CKIP- pagmamay-ari na kapalit para sa Cisco's WEP, maagang bersyon ng TKIP
- TKIP- Pinahusay na pagpapalit ng WEP na may mga karagdagang pagsusuri at proteksyon
- AES/CCMP- ang pinaka-advanced na algorithm batay sa AES256 na may karagdagang mga pagsusuri at proteksyon
Kumbinasyon Buksan ang Authentication, Walang Encryption malawakang ginagamit sa mga sistema ng pag-access ng bisita tulad ng pagbibigay ng Internet sa isang cafe o hotel. Upang kumonekta, kailangan mo lamang malaman ang pangalan ng wireless network. Kadalasan, ang naturang koneksyon ay pinagsama sa karagdagang pag-verify sa Captive Portal sa pamamagitan ng pag-redirect sa kahilingan ng HTTP ng user sa isang karagdagang page kung saan maaari kang humiling ng kumpirmasyon (login-password, kasunduan sa mga patakaran, atbp.).
Pag-encrypt WEP ay nakompromiso at hindi magagamit (kahit na sa kaso ng mga dynamic na key).
Mga karaniwang nangyayaring termino WPA At WPA2 matukoy, sa katunayan, ang encryption algorithm (TKIP o AES). Dahil sa ang katunayan na ang mga adaptor ng kliyente ay sumusuporta sa WPA2 (AES) sa loob ng mahabang panahon, walang punto sa paggamit ng TKIP encryption.
Pagkakaiba sa pagitan ng WPA2 Personal At WPA2 Enterprise ay kung saan nagmula ang mga encryption key na ginamit sa mechanics ng AES algorithm. Para sa mga pribadong (bahay, maliit) na application, ginagamit ang isang static na key (password, code word, PSK (Pre-Shared Key)) na may minimum na haba na 8 character, na nakatakda sa mga setting ng access point, at pareho para sa lahat ng mga kliyente ng isang ibinigay na wireless network. Ang kompromiso ng naturang susi (ibinuhos nila ang beans sa isang kapitbahay, isang empleyado ay tinanggal, isang laptop ay ninakaw) ay nangangailangan ng isang agarang pagbabago ng password para sa lahat ng natitirang mga gumagamit, na kung saan ay makatotohanan lamang kung mayroong isang maliit na bilang ng mga ito. Para sa mga corporate application, gaya ng ipinahihiwatig ng pangalan, isang dynamic na key ang ginagamit, indibidwal para sa bawat kasalukuyang tumatakbong kliyente. Ang susi na ito ay maaaring pana-panahong i-update sa panahon ng operasyon nang hindi sinira ang koneksyon, at isang karagdagang bahagi ang responsable para sa pagbuo nito - ang server ng pahintulot, at halos palaging ito ay isang RADIUS server.
Ang lahat ng posibleng mga parameter ng kaligtasan ay ibinubuod sa plate na ito:
| Ari-arian | Static na WEP | Dynamic na WEP | WPA | WPA 2 (Enterprise) |
| Pagkakakilanlan | User, computer, WLAN card | Gumagamit, kompyuter |
Gumagamit, kompyuter |
Gumagamit, kompyuter |
| Awtorisasyon |
Nakabahaging susi |
EAP |
EAP o nakabahaging key |
EAP o nakabahaging key |
Integridad |
32-bit na Integrity Check Value (ICV) |
32-bit na ICV |
64-bit Message Integrity Code (MIC) |
CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code - CCM) Bahagi ng AES |
Pag-encrypt |
Static na susi |
Susi ng session |
Per-packet key sa pamamagitan ng TKIP |
CCMP (AES) |
Pamamahagi ng susi |
Isang beses, manual |
Pair-wise Master Key (PMK) na segment |
Nagmula sa PMK |
Nagmula sa PMK |
Vector ng pagsisimula |
Teksto, 24 bits |
Teksto, 24 bits |
Advanced na vector, 65 bit |
48-bit na packet number (PN) |
Algorithm |
RC4 |
RC4 |
RC4 |
AES |
Haba ng susi, mga piraso |
64/128 |
64/128 |
128 |
hanggang 256 |
Mga kinakailangang imprastraktura |
Hindi |
RADIUS |
RADIUS |
RADIUS |
Bagama't malinaw ang WPA2 Personal (WPA2 PSK), ang isang enterprise solution ay nangangailangan ng karagdagang pagsasaalang-alang.
WPA2 Enterprise
Narito kami ay nakikitungo sa isang karagdagang hanay ng iba't ibang mga protocol. Sa panig ng kliyente, isang espesyal na bahagi ng software, ang nagsusumamo (karaniwang bahagi ng OS) ay nakikipag-ugnayan sa bahagi ng awtorisasyon, ang AAA server. Ipinapakita ng halimbawang ito ang pagpapatakbo ng isang pinag-isang radio network na binuo sa magaan na mga access point at isang controller. Sa kaso ng paggamit ng mga access point na may "utak", ang buong tungkulin ng isang tagapamagitan sa pagitan ng mga kliyente at server ay maaaring gawin ng mismong punto. Sa kasong ito, ang data ng supplicant ng kliyente ay ipinapadala sa radyo na nabuo sa 802.1x protocol (EAPOL), at sa gilid ng controller ay nakabalot ito sa mga RADIUS packet.
Ang paggamit ng mekanismo ng awtorisasyon ng EAP sa iyong network ay humahantong sa katotohanan na pagkatapos ng matagumpay na (halos tiyak na bukas) pagpapatotoo ng kliyente sa pamamagitan ng access point (kasama ang controller, kung mayroon), hinihiling ng huli sa kliyente na pahintulutan (kumpirmahin ang awtoridad nito) kasama ang server ng imprastraktura ng RADIUS:
Paggamit WPA2 Enterprise nangangailangan ng RADIUS server sa iyong network. Sa ngayon, ang pinaka-epektibong produkto ay ang mga sumusunod:
- Microsoft Network Policy Server (NPS), dating IAS- na-configure sa pamamagitan ng MMC, libre, ngunit kailangan mong bumili ng Windows
- Cisco Secure Access Control Server (ACS) 4.2, 5.3- na-configure sa pamamagitan ng isang web interface, sopistikado sa pag-andar, ay nagbibigay-daan sa iyo upang lumikha ng mga distributed at fault-tolerant system, mahal
- LibrengRADIUS- libre, na-configure gamit ang mga text config, hindi maginhawa upang pamahalaan at subaybayan
Sa kasong ito, maingat na sinusubaybayan ng controller ang patuloy na pagpapalitan ng impormasyon at naghihintay para sa matagumpay na awtorisasyon o pagtanggi nito. Kung matagumpay, ang RADIUS server ay makakapaglipat ng mga karagdagang parameter sa access point (halimbawa, kung saang VLAN ilalagay ang subscriber, kung saang IP address itatalaga, QoS profile, atbp.). Sa pagtatapos ng palitan, pinapayagan ng RADIUS server ang kliyente at ang access point na bumuo at makipagpalitan ng mga encryption key (indibidwal, balido lamang para sa session na ito):
EAP
Ang EAP protocol mismo ay nakabatay sa lalagyan, ibig sabihin, ang aktwal na mekanismo ng pahintulot ay naiwan sa mga panloob na protocol. Sa ngayon, ang mga sumusunod ay nakatanggap ng anumang makabuluhang pamamahagi:- EAP-FAST(Flexible Authentication sa pamamagitan ng Secure Tunneling) - binuo ng Cisco; nagbibigay-daan sa awtorisasyon gamit ang isang login at password na ipinadala sa loob ng TLS tunnel sa pagitan ng nagsusumamo at ng RADIUS server
- EAP-TLS(Transport Layer Security). Gumagamit ng public key infrastructure (PKI) para pahintulutan ang client at server (subject at RADIUS server) sa pamamagitan ng mga certificate na ibinigay ng trusted certification authority (CA). Nangangailangan ng pag-isyu at pag-install ng mga certificate ng kliyente sa bawat wireless na device, kaya angkop lamang ito para sa isang pinamamahalaang corporate environment. Ang Windows Certificate Server ay may mga pasilidad na nagpapahintulot sa kliyente na makabuo ng sarili nitong certificate kung ang kliyente ay miyembro ng isang domain. Ang pagharang sa isang kliyente ay madaling magawa sa pamamagitan ng pagbawi sa sertipiko nito (o sa pamamagitan ng mga account).
- EAP-TTLS(Tunneled Transport Layer Security) ay katulad ng EAP-TLS, ngunit hindi nangangailangan ng certificate ng kliyente kapag gumagawa ng tunnel. Sa naturang tunnel, katulad ng koneksyon sa SSL ng browser, ang karagdagang awtorisasyon ay isinasagawa (gamit ang isang password o iba pa).
- PEAP-MSCHAPv2(Protected EAP) - katulad ng EAP-TTLS dahil sa una itong nagtatag ng isang naka-encrypt na TLS tunnel sa pagitan ng kliyente at server, na nangangailangan ng sertipiko ng server. Kasunod nito, ang naturang tunnel ay pinahintulutan gamit ang kilalang MSCHAPv2 protocol.
- PEAP-GTC(Generic Token Card) - katulad ng nauna, ngunit nangangailangan ng isang beses na password card (at ang kaukulang imprastraktura)
Ang lahat ng mga pamamaraang ito (maliban sa EAP-FAST) ay nangangailangan ng isang server certificate (sa RADIUS server) na ibinigay ng isang certification authority (CA). Sa kasong ito, ang CA certificate mismo ay dapat na nasa device ng kliyente sa pinagkakatiwalaang grupo (na madaling ipatupad gamit ang Group Policy sa Windows). Bilang karagdagan, ang EAP-TLS ay nangangailangan ng indibidwal na sertipiko ng kliyente. Ang pagiging tunay ng kliyente ay napatunayan sa pamamagitan ng digital signature at (opsyonal) sa pamamagitan ng paghahambing ng certificate na ibinigay ng kliyente sa RADIUS server sa kung ano ang nakuha ng server mula sa imprastraktura ng PKI (Active Directory).
Ang suporta para sa alinman sa mga pamamaraan ng EAP ay dapat ibigay ng isang supplicant sa panig ng kliyente. Ang karaniwang built-in na Windows XP/Vista/7, iOS, Android ay nagbibigay ng hindi bababa sa EAP-TLS, at EAP-MSCHAPv2, na nagpapasikat sa mga pamamaraang ito. Ang mga Intel client adapter para sa Windows ay kasama ng ProSet utility, na nagpapalawak sa available na listahan. Ganoon din ang ginagawa ng Cisco AnyConnect Client.
Gaano ito maaasahan?
Pagkatapos ng lahat, ano ang kinakailangan para sa isang umaatake upang i-hack ang iyong network?Para sa Open Authentication, No Encryption - wala. Nakakonekta sa network, at iyon na. Dahil bukas ang daluyan ng radyo, naglalakbay ang signal sa iba't ibang direksyon, at hindi ito madaling harangan. Kung mayroon kang naaangkop na mga adaptor ng kliyente na nagbibigay-daan sa iyong makinig sa hangin, makikita ang trapiko sa network sa parehong paraan na parang nakakonekta ang umaatake sa wire, sa hub, sa SPAN port ng switch.
Ang pag-encrypt na nakabatay sa WEP ay nangangailangan lamang ng IV brute force na oras at isa sa maraming malayang magagamit na mga kagamitan sa pag-scan.
Para sa pag-encrypt batay sa TKIP o AES, ang direktang pag-decryption ay posible sa teorya, ngunit sa pagsasagawa ay walang mga kaso ng pag-hack.
Siyempre, maaari mong subukang hulaan ang PSK key o password para sa isa sa mga pamamaraan ng EAP. Ang mga karaniwang pag-atake laban sa mga pamamaraang ito ay hindi alam. Maaari mong subukang gumamit ng mga pamamaraan ng social engineering, o
Madalas lumitaw ang tanong: anong uri ng Wi-Fi encryption ang pipiliin para sa iyong home router. Ito ay maaaring mukhang isang maliit na bagay, ngunit kung ang mga parameter ay hindi tama, ang mga problema ay maaaring lumitaw sa network, at kahit na sa pagpapadala ng impormasyon sa pamamagitan ng isang Ethernet cable.
Samakatuwid, dito ay titingnan natin kung anong mga uri ng data encryption ang sinusuportahan ng mga modernong WiFi router, at kung paano naiiba ang uri ng aes encryption mula sa sikat na wpa at wpa2.
Uri ng pag-encrypt ng wireless network: paano pumili ng paraan ng seguridad?
Kaya, mayroong 3 uri ng pag-encrypt sa kabuuan:
- 1. WEP encryption
Ang uri ng WEP encryption ay lumitaw noong 90s at ang unang opsyon para sa pagprotekta sa mga Wi-Fi network: ito ay nakaposisyon bilang isang analogue ng encryption sa mga wired network at ginamit ang RC4 cipher. Mayroong tatlong karaniwang algorithm ng pag-encrypt para sa ipinadalang data - Neesus, Apple at MD5 - ngunit ang bawat isa sa kanila ay hindi nagbigay ng kinakailangang antas ng seguridad. Noong 2004, idineklara ng IEEE na hindi na ginagamit ang pamantayan dahil sa katotohanan na sa wakas ay tumigil ito sa pagbibigay ng mga secure na koneksyon sa network. Sa ngayon, hindi inirerekomenda na gamitin ang ganitong uri ng pag-encrypt para sa wifi, dahil... hindi ito crypto-proof.
- 2.WPS ay isang pamantayan na hindi kasama ang paggamit ng . Upang kumonekta sa router, mag-click lamang sa naaangkop na pindutan, na inilarawan namin nang detalyado sa artikulo.
Sa teoryang, pinapayagan ka ng WPS na kumonekta sa isang access point gamit ang isang walong digit na code, ngunit sa pagsasanay, apat lang ang madalas na sapat.
Ang katotohanang ito ay madaling sinamantala ng maraming hacker na mabilis (sa loob ng 3 - 15 oras) na naghack ng mga wifi network, kaya hindi rin inirerekomenda ang paggamit ng koneksyon na ito.
- 3.Uri ng pag-encrypt WPA/WPA2
Ang mga bagay ay mas mahusay sa WPA encryption. Sa halip na ang vulnerable RC4 cipher, AES encryption ang ginagamit dito, kung saan ang haba ng password ay arbitrary (8 - 63 bits). Ang ganitong uri ng pag-encrypt ay nagbibigay ng isang normal na antas ng seguridad, at medyo angkop para sa mga simpleng wifi router. Mayroong dalawang uri nito:
I-type ang PSK (Pre-Shared Key) – ang koneksyon sa access point ay isinasagawa gamit ang isang paunang natukoy na password.
- Enterprise – ang password para sa bawat node ay awtomatikong nabuo at nasuri sa mga server ng RADIUS.
Ang uri ng pag-encrypt ng WPA2 ay isang pagpapatuloy ng WPA na may mga pagpapahusay sa seguridad. Gumagamit ang protocol na ito ng RSN, na nakabatay sa AES encryption.
Tulad ng WPA encryption, ang WPA2 ay may dalawang mode ng operasyon: PSK at Enterprise.
Mula noong 2006, ang uri ng pag-encrypt ng WPA2 ay sinusuportahan ng lahat ng kagamitan sa Wi-Fi, at ang kaukulang geo ay maaaring mapili para sa anumang router.
Ang TKIP at AES ay dalawang alternatibong uri ng pag-encrypt na ginagamit sa mga mode ng seguridad ng WPA at WPA2. Sa mga setting ng seguridad ng wireless network ng mga router at access point, maaari kang pumili ng isa sa tatlong opsyon sa pag-encrypt:
- TKIP;
- TKIP+AES.
Kung pipiliin mo ang huli (pinagsama) na opsyon, ang mga kliyente ay makakakonekta sa access point gamit ang alinman sa dalawang algorithm.
TKIP o AES? Alin ang mas maganda?
Sagot: para sa mga modernong device, ang AES algorithm ay talagang mas angkop.
Gumamit lamang ng TKIP kung mayroon kang mga problema sa pagpili ng una (kung minsan ay nangyayari na kapag gumagamit ng AES encryption, ang koneksyon sa access point ay naaantala o hindi talaga naitatag. Karaniwan itong tinatawag na hindi pagkakatugma ng kagamitan).
Ano ang pinagkaiba
Ang AES ay isang moderno at mas secure na algorithm. Ito ay katugma sa 802.11n standard at nagbibigay ng mataas na bilis ng paglipat ng data.
Hindi na ginagamit ang TKIP. Mayroon itong mas mababang antas ng seguridad at sumusuporta sa mga rate ng paglilipat ng data na hanggang 54 Mbit/s.
Paano lumipat mula TKIP sa AES
Case 1. Ang access point ay gumagana sa TKIP+AES mode
Sa kasong ito, kailangan mo lang baguhin ang uri ng pag-encrypt sa mga device ng kliyente. Ang pinakamadaling paraan upang gawin ito ay ang tanggalin ang profile sa network at muling kumonekta dito.
Case 2: TKIP lang ang ginagamit ng access point
Sa kasong ito:
1. Una, pumunta sa web interface ng access point (o router, ayon sa pagkakabanggit). Baguhin ang encryption sa AES at i-save ang mga setting (magbasa nang higit pa sa ibaba).
2. Baguhin ang encryption sa mga device ng kliyente (higit pang mga detalye sa susunod na talata). At muli, mas madaling kalimutan ang network at kumonekta muli dito sa pamamagitan ng pagpasok ng security key.
Paganahin ang AES encryption sa router
Paggamit ng D-Link bilang isang halimbawa
Pumunta sa seksyon Wireless Setup.
I-click ang button Manu-manong Wireless Connection Setup.
Itakda ang mode ng seguridad WPA2-PSK.
Maghanap ng item Uri ng Cipher at itakda ang halaga AES.
I-click I-save ang Mga Setting.
Paggamit ng TP-Link bilang isang halimbawa
Buksan ang seksyon Wireless.
Pumili ng item Wireless Security.
Sa bukid Bersyon pumili WPA2-PSK.
Sa bukid Pag-encrypt pumili AES.
I-click ang button I-save:
Baguhin ang uri ng wireless encryption sa Windows
Windows 10 at Windows 8.1
Ang mga bersyon ng OS na ito ay walang . Samakatuwid, mayroong tatlong mga pagpipilian para sa pagbabago ng encryption.
Opsyon 1. Ang Windows mismo ay makakakita ng hindi pagkakatugma sa mga setting ng network at ipo-prompt kang muling ipasok ang security key. Sa kasong ito, awtomatikong mai-install ang tamang algorithm ng pag-encrypt.
Opsyon 2. Hindi makakonekta ang Windows at mag-aalok na kalimutan ang network sa pamamagitan ng pagpapakita ng kaukulang pindutan:
Pagkatapos nito, makakakonekta ka sa iyong network nang walang mga problema, dahil... matatanggal ang kanyang profile.
Opsyon 3. Kakailanganin mong tanggalin nang manu-mano ang profile ng network sa pamamagitan ng command line at pagkatapos ay kumonekta muli sa network.
Sundin ang mga hakbang na ito:
1 Ilunsad ang Command Prompt.
2 Ipasok ang utos:
Netsh wlan ipakita ang mga profile
upang magpakita ng listahan ng mga naka-save na profile ng wireless network.
3 Ngayon ipasok ang utos:
Netsh wlan tanggalin ang profile "iyong pangalan ng network"
upang tanggalin ang napiling profile.
Kung ang pangalan ng network ay naglalaman ng espasyo (halimbawa "wifi 2"), ilagay ito sa mga quotes.
Ipinapakita ng larawan ang lahat ng inilarawan na pagkilos:
4 Ngayon mag-click sa icon ng wireless network sa taskbar:
5 Pumili ng network.
6 I-click Kumonekta:
7 Ipasok ang iyong security key.
Windows 7
Ang lahat ay mas simple at mas malinaw dito.
1 I-click ang icon ng wireless network sa taskbar.
3 Mag-click sa link Pamamahala ng Wireless Network:
4 Mag-right-click sa profile ng nais na network.
5 Piliin Mga Katangian:
Pansin! Sa hakbang na ito maaari mo ring i-click Tanggalin ang network at kumonekta lang ulit dito! Kung magpasya kang gawin ito, hindi mo na kailangang magbasa pa.
6 Pumunta sa tab Kaligtasan.
Ang artikulong ito ay nakatuon sa isyu ng seguridad kapag gumagamit ng mga wireless WiFi network.
Panimula - Mga Kahinaan sa WiFi
Ang pangunahing dahilan kung bakit mahina ang data ng user kapag ipinadala ang data na ito sa mga WiFi network ay ang pagpapalitan ay nangyayari sa mga radio wave. At ginagawa nitong posible na ma-intercept ang mga mensahe sa anumang punto kung saan pisikal na magagamit ang signal ng WiFi. Sa madaling salita, kung ang signal mula sa isang access point ay maaaring makita sa layo na 50 metro, kung gayon ang pagharang sa lahat ng trapiko sa network ng WiFi network na ito ay posible sa loob ng radius na 50 metro mula sa access point. Sa susunod na silid, sa isa pang palapag ng gusali, sa kalye.
Isipin ang larawang ito. Sa opisina, ang lokal na network ay binuo sa pamamagitan ng WiFi. Ang signal mula sa access point ng opisinang ito ay kinukuha sa labas ng gusali, halimbawa sa isang parking lot. Ang isang umaatake sa labas ng gusali ay maaaring makakuha ng access sa network ng opisina, iyon ay, hindi napapansin ng mga may-ari ng network na ito. Madali at maingat na ma-access ang mga WiFi network. Sa teknikal na paraan, mas madali kaysa sa mga wired network.
Oo. Sa ngayon, ang paraan ng pagprotekta sa mga WiFi network ay binuo at ipinatupad. Nakabatay ang proteksyong ito sa pag-encrypt ng lahat ng trapiko sa pagitan ng access point at ng end device na nakakonekta dito. Iyon ay, ang isang umaatake ay maaaring humarang ng isang signal ng radyo, ngunit para sa kanya ito ay magiging digital na "basura".
Paano gumagana ang proteksyon ng WiFi?
Kasama sa access point sa WiFi network nito ang device na nagpapadala ng tamang password (tinukoy sa mga setting ng access point).
Sa kasong ito, ipinapadala rin ang password na naka-encrypt, sa anyo ng isang hash. Ang hash ay resulta ng hindi maibabalik na pag-encrypt. Ibig sabihin, hindi ma-decrypt ang data na na-hash. Kung harangin ng isang umaatake ang hash ng password, hindi niya makukuha ang password.
Ngunit paano malalaman ng access point kung tama o hindi ang password? Paano kung makatanggap din siya ng hash, ngunit hindi ito ma-decrypt? Ito ay simple - sa mga setting ng access point ang password ay tinukoy sa purong anyo nito. Ang programa ng awtorisasyon ay kumukuha ng isang blangkong password, lumilikha ng hash mula dito, at pagkatapos ay ihahambing ang hash na ito sa natanggap mula sa kliyente. Kung magkatugma ang mga hash, tama ang password ng kliyente. Ang pangalawang tampok ng mga hash ay ginagamit dito - ang mga ito ay natatangi. Ang parehong hash ay hindi maaaring makuha mula sa dalawang magkaibang set ng data (mga password). Kung magkatugma ang dalawang hash, pareho silang ginawa mula sa parehong hanay ng data.
Oo nga pala. Salamat sa feature na ito, ginagamit ang mga hash para kontrolin ang integridad ng data. Kung magkatugma ang dalawang hash (nalikha sa loob ng isang yugto ng panahon), ang orihinal na data (sa panahong iyon) ay hindi nabago.
Gayunpaman, sa kabila ng katotohanan na ang pinakamodernong paraan ng pag-secure ng isang WiFi network (WPA2) ay maaasahan, ang network na ito ay maaaring ma-hack. Paano?
- Mayroong dalawang paraan para sa pag-access sa isang network na protektado ng WPA2:
- Pagpili ng isang password gamit ang database ng password (tinatawag na paghahanap sa diksyunaryo).
Pagsasamantala sa isang kahinaan sa WPS function.
Sa pangalawang kaso, ang isang kahinaan sa mga unang bersyon ng function ng WPS ay pinagsamantalahan. Nagbibigay-daan sa iyo ang feature na ito na ikonekta ang isang device na walang password, gaya ng printer, sa access point. Kapag ginagamit ang feature na ito, ang device at ang access point ay nagpapalitan ng digital code at kung ang device ay nagpapadala ng tamang code, ang access point ay pinahihintulutan ang client. Nagkaroon ng kahinaan sa function na ito - ang code ay may 8 digit, ngunit apat lang sa kanila ang nasuri para sa pagiging natatangi! Iyon ay, upang i-hack ang WPS kailangan mong maghanap sa lahat ng mga halaga na nagbibigay ng 4 na numero. Bilang resulta, ang pag-hack ng access point sa pamamagitan ng WPS ay maaaring gawin sa loob lamang ng ilang oras, sa anumang pinakamahinang device.
Pagse-set up ng seguridad sa WiFi network
Ang seguridad ng WiFi network ay tinutukoy ng mga setting ng access point. Ang ilan sa mga setting na ito ay direktang nakakaapekto sa seguridad ng network.
WiFi network access mode
Maaaring gumana ang access point sa isa sa dalawang mode - bukas o protektado. Sa kaso ng bukas na pag-access, maaaring kumonekta ang anumang device sa access point. Sa kaso ng protektadong pag-access, tanging ang aparato na nagpapadala ng tamang password sa pag-access ang konektado.
Mayroong tatlong uri (mga pamantayan) ng proteksyon ng WiFi network:
- WEP (Wired Equivalent Privacy). Ang pinakaunang pamantayan ng proteksyon. Ngayon, hindi talaga ito nagbibigay ng proteksyon, dahil madali itong ma-hack dahil sa kahinaan ng mga mekanismo ng proteksyon.
- WPA (Wi-Fi Protected Access). Chronologically ang pangalawang pamantayan ng proteksyon. Sa panahon ng paglikha at pag-commissioning, nagbigay ito ng epektibong proteksyon para sa mga WiFi network. Ngunit sa pagtatapos ng 2000s, natagpuan ang mga pagkakataon na i-hack ang proteksyon ng WPA sa pamamagitan ng mga kahinaan sa mga mekanismo ng seguridad.
- WPA2 (Wi-Fi Protected Access). Ang pinakabagong pamantayan sa proteksyon. Nagbibigay ng maaasahang proteksyon kapag sinusunod ang ilang partikular na panuntunan. Sa ngayon, mayroon lamang dalawang kilalang paraan upang sirain ang seguridad ng WPA2.
Brute force ng password ng diksyunaryo at isang solusyon gamit ang serbisyo ng WPS.
Kaya, upang matiyak ang seguridad ng iyong WiFi network, dapat mong piliin ang uri ng seguridad ng WPA2.
Gayunpaman, hindi lahat ng device ng kliyente ay maaaring suportahan ito. Halimbawa, sinusuportahan lamang ng Windows XP SP2 ang WPA.
Bilang karagdagan sa pagpili ng pamantayang WPA2, kinakailangan ang mga karagdagang kundisyon:
- Gumamit ng paraan ng pag-encrypt ng AES. Ang password upang ma-access ang WiFi network ay dapat na binubuo ng mga sumusunod:
- Gamitin mga titik at numero sa password. Isang random na hanay ng mga titik at numero. O isang napakabihirang salita o parirala na makabuluhan lamang sa iyo. Hindi gumamit ng mga simpleng password tulad ng pangalan + petsa ng kapanganakan, o ilang salita + ilang numero, halimbawa dom12345.
- Kung kailangan mong gumamit lamang ng isang digital na password, ang haba nito ay dapat na hindi bababa sa 10 character. Dahil ang isang walong-character na digital na password ay pinili gamit ang isang brute force na paraan sa real time (mula sa ilang oras hanggang ilang araw, depende sa kapangyarihan ng computer).
Kung gumagamit ka ng mga kumplikadong password alinsunod sa mga panuntunang ito, hindi ma-hack ang iyong WiFi network sa pamamagitan ng paghula ng password gamit ang isang diksyunaryo. Halimbawa, para sa isang password tulad ng 5Fb9pE2a(random alphanumeric), maximum na posible 218340105584896 mga kumbinasyon.
Ngayon halos imposible na pumili. Kahit na ang isang computer ay maghambing ng 1,000,000 (milyong) salita sa bawat segundo, aabutin ng halos 7 taon upang maulit ang lahat ng mga halaga.
WPS (Wi-Fi Protected Setup)
- Kung ang access point ay may function na WPS (Wi-Fi Protected Setup), kailangan mong i-disable ito. Kung kinakailangan ang feature na ito, dapat mong tiyakin na ang bersyon nito ay na-update sa mga sumusunod na kakayahan:
- Gamit ang lahat ng 8 PIN code na character sa halip na 4, gaya ng nangyari sa simula.
Paganahin ang pagkaantala pagkatapos ng ilang pagsubok na magpadala ng maling PIN code mula sa kliyente.
Ang isang karagdagang opsyon upang mapabuti ang seguridad ng WPS ay ang paggamit ng alphanumeric na PIN code.
Pampublikong WiFi Security
Ano ang maaari mong gawin upang maprotektahan ang iyong data kapag kumokonekta sa Internet sa pamamagitan ng pampublikong WiFi network? Mayroon lamang isang pagpipilian - upang gamitin ang HTTPS protocol. Ang protocol na ito ay nagtatatag ng naka-encrypt na koneksyon sa pagitan ng kliyente (browser) at ng site. Ngunit hindi lahat ng site ay sumusuporta sa HTTPS protocol. Ang mga address sa isang site na sumusuporta sa HTTPS protocol ay nagsisimula sa https:// prefix. Kung ang mga address sa isang site ay may prefix na http://, nangangahulugan ito na hindi sinusuportahan ng site ang HTTPS o hindi ito ginagamit.
Ang ilang mga site ay hindi gumagamit ng HTTPS bilang default, ngunit mayroon itong protocol at maaaring gamitin kung tahasan mong (manual) na tinukoy ang https:// prefix.
Tulad ng para sa iba pang mga kaso ng paggamit ng Internet - mga chat, Skype, atbp., maaari mong gamitin ang libre o bayad na mga VPN server upang maprotektahan ang data na ito. Iyon ay, kumonekta muna sa VPN server, at pagkatapos lamang gamitin ang chat o bukas na website.
Proteksyon ng Password ng WiFi
Sa ikalawa at pangatlong bahagi ng artikulong ito, isinulat ko na kapag ginagamit ang pamantayan ng seguridad ng WPA2, ang isa sa mga paraan upang ma-hack ang isang WiFi network ay ang hulaan ang password gamit ang isang diksyunaryo. Ngunit may isa pang pagkakataon para sa isang umaatake na makuha ang password sa iyong WiFi network. Kung iimbak mo ang iyong password sa isang sticky note na nakadikit sa monitor, ginagawa nitong posible para sa isang estranghero na makita ang password na ito.
At ang iyong password ay maaaring manakaw mula sa isang computer na konektado sa iyong WiFi network. Magagawa ito ng isang tagalabas kung ang iyong mga computer ay hindi protektado mula sa pag-access ng mga tagalabas. Magagawa ito gamit ang malware. Bilang karagdagan, ang password ay maaaring ninakaw mula sa isang aparato na kinuha sa labas ng opisina (bahay, apartment) - mula sa isang smartphone, tablet.
Kaya, kung kailangan mo ng maaasahang proteksyon para sa iyong WiFi network, kailangan mong gumawa ng mga hakbang upang ligtas na maiimbak ang iyong password. Protektahan ito mula sa pag-access ng mga hindi awtorisadong tao. Kung nakita mong kapaki-pakinabang ang artikulong ito o nagustuhan mo lang, huwag mag-atubiling suportahan ang may-akda sa pananalapi. Madaling gawin ito sa pamamagitan ng pagtapon ng pera Yandex Wallet No. 410011416229354 +7 918-16-26-331 .
. O sa telepono
