Ang Wired Equivalent Privacy (WEP) ay isang hindi napapanahong algorithm para sa pagtiyak ng seguridad ng isang IEEE 802.11 wireless network.

Ang mga wireless network na gumagamit ng radyo ay mas madaling kapitan ng eavesdropping kaysa sa mga wired.

Noong 1999, nilayon ang WEP na magbigay ng privacy na maihahambing sa isang wired network. Gayundin ang WEP ay isang opsyonal na tampok IEEE standard 802.11, na ginagamit upang matiyak ang secure na paghahatid ng data. Ito ay kapareho ng protocol ng seguridad sa mga cable na lokal na network nang hindi gumagamit ng karagdagang mga pamamaraan pag-encrypt.

teknolohiya ng WEP

Ayon sa pamantayang 802.11, ang WEP data encryption ay ginagamit para sa mga sumusunod na layunin:

1. Pag-iwas sa hindi awtorisadong pag-access sa data kapag gumagamit ng wireless mga aparato sa network.

2. Pag-iwas sa pagharang sa trapiko ng wireless na lokal na network.

Pinapayagan ng WEP ang administrator na wired na network tukuyin ang isang hanay ng mga key para sa bawat user batay sa "key string" na pinoproseso ng WEP algorithm. Hindi ma-access ng sinumang user na walang kinakailangang key ang network.

Gaya ng nakasaad sa detalye, ginagamit ng WEP ang RC4 encryption algorithm na may 40-bit o 128-bit key. Kapag pinagana ang WEP, ang lahat ng mga istasyon (parehong kliyente at mga access point) ay tumatanggap ng kanilang sariling key, na ginagamit upang i-encrypt ang data bago ito ipadala sa transmitter. Kung ang isang istasyon ay nakatanggap ng isang packet na hindi naka-encrypt gamit ang naaangkop na key, ito ay hindi kasama sa trapiko. Ang pamamaraang ito ay nagsisilbing protektahan laban sa hindi awtorisadong pag-access at pagharang ng data.

Mula noong 2001, ang isang bilang ng mga malubhang depekto na natukoy ng mga cryptanalyst ay nagpakita na ang mga komunikasyon sa WEP ngayon ay maaaring ma-hack sa loob ng ilang minuto. Pagkalipas ng ilang buwan, lumikha ang IEEE ng bagong 802.11i task force upang labanan ang mga problema. Noong 2003 Wi-Fi Inihayag ng alyansa na ang WEP ay pinalitan ng WPA, na isang susog sa 802.11i. Noong 2004, nang ganap na pinagtibay ang pamantayang 802.11i (o WPA2), sinabi ng IEEE na hindi inirerekomenda ang WEP-40 at WEP-104 dahil hindi nila ginampanan ang kanilang mga responsibilidad sa seguridad. Sa kabila ng mga pagkukulang nito, malawak pa ring ginagamit ang WEP ngayon.

Ang mga mananaliksik sa seguridad ng impormasyon ay naglathala ng isang detalyadong ulat sa mga kahinaan sa mga paraan ng pag-encrypt na malawakang ginagamit upang protektahan ang impormasyong ipinadala sa mga wireless network.

Ang ugat ng problema ay ang mga umiiral na butas sa privacy, na nagmumula sa mga bahid sa algorithm ng pagtatalaga ng code na ginamit sa Wired Equivalent Privacy (WEP), isang protocol na bahagi ng 802.11 network radio standard.

Ang mga kahinaan sa seguridad sa radyo ay malawakang naidokumento dati, ngunit ang pangunahing pagkakaiba sa bagong natuklasang kapintasan ay mas madaling pagsamantalahan. Ayon sa EE-Times, ang passively intercepting ciphertext at pagkatapos ay iproseso ito gamit ang paraan na iminungkahi ng mga mananaliksik ay magpapahintulot sa isang attacker na may koneksyon sa radio LAN na hulaan ang mga security code sa loob ng wala pang 15 minuto. Ang pagpapataas ng haba ng susi na ginamit sa pag-encode ay walang pakinabang sa pagtalo sa mga pag-atake batay sa isang pangunahing depekto sa pamamaraan ng pamamaraan ng pag-encode na ginamit.

Mekanismo ng pag-encrypt ng WEP

Ang WEP (Wired Equivalent Privacy) encryption ay batay sa RC4 (Rivest’s Cipher v.4) algorithm, na isang simetriko na stream encryption. Tulad ng nabanggit kanina, para sa normal na pagpapalitan ng data ng user, ang mga encryption key ng subscriber at ang radio access point ay dapat magkapareho.

Ang core ng algorithm ay binubuo ng isang key stream generation function. Ang function na ito ay bumubuo ng isang sequence ng mga bit na pagkatapos ay pinagsama sa sa malinaw na teksto sa pamamagitan ng pagsusuma ng modulo dalawa. Binubuo ang decryption ng muling pagbuo ng keystream na ito at pagsasama-sama nito ng modulo dalawa gamit ang ciphergram upang mabawi ang orihinal na teksto. Ang iba pang pangunahing bahagi ng algorithm ay ang pagpapasimula ng function, na gumagamit ng variable-length na key upang lumikha ng paunang estado ng keystream generator.

Ang RC4 ay talagang isang klase ng mga algorithm na tinukoy ng laki ng block nito. Ang parameter na ito n ay ang laki ng salita para sa algorithm. Karaniwan, n = 8, ngunit para sa mga layunin ng pagsusuri maaari itong bawasan. Gayunpaman, upang mapataas ang antas ng seguridad, kinakailangang itakda ang halagang ito sa mas mataas na halaga. Ang panloob na estado ng RC4 ay binubuo ng 2n word array at dalawang counter, bawat isa ay may sukat na salita. Ang array ay kilala bilang isang S-box at tatawagin ito bilang S sa mga sumusunod na palaging naglalaman ng permutasyon ng 2n posibleng kahulugan ng isang salita. Ang dalawang counter ay itinalaga ng i at j.

Algoritmo ng pagsisimula ng RC4

Gumagamit ang algorithm na ito ng key na nakaimbak sa Key at may haba na l bytes. Nagsisimula ang pagsisimula sa pagpuno sa array S, pagkatapos ang array na ito ay pinaghalo sa pamamagitan ng mga permutasyon na tinutukoy ng key. Dahil isang aksyon lang ang ginagawa sa S, dapat paniwalaan ng assertion na palaging naglalaman ang S ng lahat ng value ng codeword.

Paunang pagpuno ng array:

para sa i = 0 hanggang 2n – 1

Nag-aagawan:

para sa i = 0 hanggang 2n – 1

j = j + S[i] + Susi

Permutasyon (S[i], S[j])

Inaayos ng RC4 keystream generator ang mga value na nakaimbak sa S at pumipili ng bagong value mula sa S bilang resulta sa bawat pagkakataon. Sa isang RC4 cycle, ang isang n-bit na salita K ay tinutukoy mula sa pangunahing stream, na kung saan ay karagdagang summed sa orihinal na teksto upang makuha ang ciphertext.

Pagsisimula:

Siklo ng henerasyon:

Permutasyon (S[i], S[j])

Resulta: K = S + S[j]].

Mga tampok ng WEP protocol

Sapat na lumalaban sa mga pag-atake na nauugnay sa simpleng enumeration ng mga encryption key, na sinisiguro ng kinakailangang haba ng key at ang dalas ng pagpapalit ng mga key at pagsisimula ng vector;

Self-syncing para sa bawat mensahe. Ang pag-aari na ito ay susi para sa mga protocol ng layer ng pag-access ng media, kung saan mataas ang bilang ng mga sira at nawawalang packet;

Kahusayan: Ang WEP ay madaling ipatupad;

pagiging bukas;

Ang paggamit ng WEP encryption ay opsyonal sa IEEE 802.11 network.

Ginagamit ang stream at block encryption upang patuloy na i-encrypt ang stream ng data.

Pag-encrypt ng stream

Ang stream encryption ay gumaganap ng bitwise na pagdaragdag ng modulo 2 (eksklusibong OR function, XOR) ng key sequence na nabuo ng encryption algorithm batay sa isang paunang natukoy na key at ang orihinal na mensahe. Ang key sequence ay may haba na tumutugma sa haba ng orihinal na mensaheng ie-encrypt.

I-block ang pag-encrypt

Gumagana ang block encryption sa mga bloke ng paunang natukoy na haba na hindi nagbabago sa panahon ng proseso ng pag-encrypt. Ang orihinal na mensahe ay pira-piraso sa mga bloke at ang XOR function ay kinakalkula sa key sequence at bawat bloke. Ang laki ng block ay naayos, at ang huling fragment ng orihinal na mensahe ay nilagyan ng mga blangkong character sa haba ng isang normal na bloke. Halimbawa, sa block ciphering na may 16-byte na mga bloke, ang orihinal na 38-byte na mensahe ay nahahati sa dalawang 16-byte na bloke at isang 6-byte na bloke, na pagkatapos ay pinalamanan ng 10 byte ng mga null na character sa haba ng isang normal na bloke .

Ang stream encryption at block encryption ay gumagamit ng Electronic Code Book (ECB) na paraan. Ang pamamaraan ng ECB ay nailalarawan sa katotohanan na ang parehong orihinal na mensahe sa input ay palaging bumubuo ng parehong naka-encrypt na mensahe sa output. Ito ay isang potensyal na butas sa seguridad dahil ang isang tagamasid sa labas, sa pag-detect ng mga paulit-ulit na pagkakasunud-sunod sa isang naka-encrypt na mensahe, ay makakagawa ng mga edukadong hula tungkol sa pagkakakilanlan ng mga nilalaman ng orihinal na mensahe.

Upang malutas ang problemang ito gamitin ang:

· Initialization Vectors (IVs).

· Feedback(mga mode ng feedback).

Bago magsimula ang proseso ng pag-encrypt, ang isang 40- o 104-bit na sikretong key ay ipinamamahagi sa lahat ng mga istasyon sa wireless network. Ang isang initialization vector (IV) ay idinagdag sa sikretong key.

Vector ng pagsisimula

Ang Initialization Vector (IV) ay ginagamit upang baguhin ang key sequence. Kapag gumagamit ng initialization vector, ang key sequence ay nabuo ng isang encryption algorithm, ang input nito ay isang secret key na sinamahan ng IV. Kapag nagbago ang initialization vector, nagbabago rin ang key sequence. Sa Fig. 8.3, ang orihinal na mensahe ay naka-encrypt gamit ang isang bagong key sequence na nabuo ng encryption algorithm pagkatapos magsumite ng kumbinasyon ng sikretong key at ang initialization vector sa input nito, na bumubuo ng isang naka-encrypt na mensahe sa output.

Kaya, ang parehong hindi naka-encrypt na frame na ipinadala nang maraming beses ay magbubunga ng isang natatanging naka-encrypt na frame sa bawat oras.

Ang initialization vector ay 24 bits ang haba at pinagsama sa isang 40- o 104-bit WEP base encryption key upang makagawa ng 64- o 128-bit key bilang input sa encryption algorithm. Ang vector ng pagsisimula ay nasa hindi naka-encrypt na anyo sa header ng frame sa channel ng radyo upang matagumpay na ma-decode ng receiving end ang frame. Bagama't karaniwan nang pag-usapan ang paggamit ng WEP encryption na may mga key na 64 o 128 bits, ang epektibong haba ng key ay 40 o 104 bits lamang dahil ang initialization vector ay ipinapadala nang hindi naka-encrypt. Kapag nagse-set up ng hardware encryption, na may 40-bit na epektibong key, 5 byte na ASCII character (5×8=40) o 10 hexadecimal na numero (10×4=40) ang ipinasok, at may 104-bit na epektibong key, 13 byte Ang mga ASCII na character ay ipinasok ( 3x8=104) o 26 na hexadecimal na numero (26x4=104). Maaaring hawakan ng ilang kagamitan ang isang 128-bit na key.

Mga kahinaan ng WEP encryption at mga halimbawa ng mga pag-atake

Ang lahat ng pag-atake sa WEP ay batay sa mga depekto sa RC4 cipher, tulad ng posibilidad ng pagsisimula ng mga banggaan ng vector at mga pagbabago sa frame. Ang lahat ng uri ng pag-atake ay nangangailangan ng pagharang at pagsusuri ng mga frame ng wireless network. Depende sa uri ng pag-atake, nag-iiba ang bilang ng mga frame na kinakailangan para sa pag-hack. Gamit ang mga programa tulad ng Aircrack-ng, i-hack ang isang wireless network gamit ang WEP encryption Ito ay isinasagawa nang napakabilis at hindi nangangailangan ng mga espesyal na kasanayan.

Pag-atake ng Flarere-Mantin-Shamir

Ito ay iminungkahi noong 2001 nina Scott Flurer, Itzik Mantin at Adi Shamir. Nangangailangan ng pagkakaroon ng mahihinang mga vector ng initialization sa mga frame. Sa karaniwan, humigit-kumulang kalahating milyong mga frame ang kailangang ma-intercept para ma-hack. Ang mga mahihinang vector lamang ang ginagamit sa pagsusuri. Kung wala sila (halimbawa, pagkatapos ng pagwawasto ng algorithm ng pag-encrypt) pag-atakeng ito hindi epektibo.

Pag-atake ng KoreK

Ito ay iminungkahi noong 2004 ng isang hacker na tumatawag sa kanyang sarili na KoreK. Ang kakaiba nito ay ang pag-atake ay hindi nangangailangan ng mahihinang mga vector ng pagsisimula. Upang mag-hack, kailangan mong humarang ng ilang daang libong mga frame. Ang mga initialization vector lang ang ginagamit sa pagsusuri.

Pag-atake ng Tevs-Weinman-Pyshkin

Ito ay iminungkahi noong 2007 nina Erik Tews, Ralf-Philipp Weinmann at Andrey Pyshkin. Gumagamit ng kakayahang mag-inject ng mga kahilingan sa ARP sa isang wireless network. Ito ang kasalukuyang pinakamabisang pag-atake, na nangangailangan lamang ng ilang sampu-sampung libong mga frame upang masira. Ang buong mga frame ay ginagamit sa pagsusuri.

• key exchange at mga mekanismo ng pagsusuri sa integridad ng data
• maliit na lapad ng key at initialization vector (English Initialization vector)
• paraan ng pagpapatunay
• algorithm ng pag-encrypt.

Noong 2001, lumitaw ang pagtutukoy ng WEP-104, na, gayunpaman, ay hindi nalutas ang problema, dahil ang haba ng initialization vector at ang paraan ng pagsuri sa integridad ng data ay nanatiling pareho. Noong 2004, inaprubahan ng IEEE ang mga bagong mekanismo na WPA at WPA2. Mula noon, ang WEP ay itinuturing na hindi na ginagamit. Noong 2008, ang pamantayan ng DSS (Data Security Standard) ay inilabas ng SSC (Security Standards Council) ng organisasyon ng PCI (Payment Card Industry), na nagrekomenda ng pagtigil sa paggamit ng WEP para sa pag-encrypt pagkatapos ng Hunyo 30, 2010.

magandang araw, mahal na mga kaibigan, mga kakilala at iba pang personalidad. Ngayon ay pag-uusapan natin Pag-encrypt ng WiFi , na lohikal mula sa pamagat.

Sa tingin ko, marami sa inyo ang gumagamit ng isang bagay bilang, na nangangahulugang, malamang, din WiFi sa mga ito para sa iyong mga laptop, tablet at iba pang mga mobile device.

Hindi sinasabi na ang parehong Wi-Fi na ito ay dapat na naka-lock ng isang password, kung hindi man mapaminsalang kapitbahay gagamitin nila ang iyong Internet nang libre, o mas masahol pa, ang iyong computer :)

Hindi sinasabi na bilang karagdagan sa password, mayroon ding lahat ng uri ng iba't ibang uri ng pag-encrypt ng mismong password na ito, o mas tiyak, ang iyong WiFi protocol upang hindi lamang ito magamit, ngunit hindi rin ma-hack.

Sa pangkalahatan, ngayon gusto kong makipag-usap sa iyo ng kaunti tungkol sa isang bagay tulad ng WiFi encryption, o sa halip ang mga ito WPE, WPA, WPA2, WPS at iba pang katulad nila.

Handa ka na ba? Magsimula na tayo.

WiFi encryption - pangkalahatang impormasyon

Upang magsimula, pag-usapan natin sa napakasimpleng paraan kung ano ang hitsura ng pagpapatunay sa isang router (server), iyon ay, kung ano ang hitsura ng proseso ng pag-encrypt at pagpapalitan ng data. Ito ang nakuha naming larawan:

Iyon ay, una, bilang isang kliyente, sinasabi namin na kami ay kami, iyon ay, alam namin ang password (berdeng arrow sa itaas). Ang server, sabihin nating isang router, ay nagagalak at nagbibigay sa amin ng isang random na string (ito rin ang susi kung saan namin ine-encrypt ang data), at pagkatapos ay ang data na naka-encrypt gamit ang parehong key na ito ay ipinagpapalit.

Ngayon ay pag-usapan natin ang mga uri ng pag-encrypt, ang kanilang mga kahinaan at iba pa. Magsimula tayo sa pagkakasunud-sunod, lalo na sa BUKAS, iyon ay, mula sa kawalan ng anumang cipher, at pagkatapos ay lumipat kami sa lahat ng iba pa.

Uri 1 - OPEN

Tulad ng naintindihan mo na (at sinabi ko lang), sa katunayan, BUKAS- ito ay ang kawalan ng anumang proteksyon, i.e. Wifi Walang pag-encrypt bilang isang klase, at ikaw at ang iyong router ay ganap na hindi kasangkot sa pagprotekta sa channel at ipinadalang data.

Ito mismo ang prinsipyo kung saan gumagana ang mga wired network - wala silang built-in na proteksyon, at sa pamamagitan ng "pag-crash" dito o simpleng pagkonekta sa isang hub/switch/router, ang network adapter ay makakatanggap ng mga packet mula sa lahat ng device sa network na ito segment sa malinaw na teksto.

Gayunpaman, sa isang wireless network maaari kang "mag-crash" kahit saan - 10-20-50 metro o higit pa, at ang distansya ay nakasalalay hindi lamang sa kapangyarihan ng iyong transmitter, kundi pati na rin sa haba ng antenna ng hacker. Samakatuwid, ang bukas na paghahatid ng data sa isang wireless network ay mas mapanganib, dahil sa katunayan ang iyong channel ay magagamit sa lahat.

Uri 2 - WEP (Wired Equivalent Privacy)

Isa sa mga pinakaunang uri Wifi ang pag-encrypt ay WEP. Lumabas sa dulo 90 -x at kasalukuyang isa sa pinakamahinang uri ng pag-encrypt.

Sa maraming modernong mga router, ang ganitong uri ng pag-encrypt ay ganap na hindi kasama sa listahan ng mga pagpipiliang mapagpipilian:

Dapat itong iwasan sa halos parehong paraan tulad ng bukas na mga network- nagbibigay ito ng seguridad sa loob lamang ng maikling panahon, pagkatapos nito ang anumang paghahatid ay maaaring ganap na ibunyag, anuman ang pagiging kumplikado ng password.

Ang sitwasyon ay pinalala ng katotohanan na ang mga password ay nasa WEP- ito ay alinman 40 , o 104 bit na mayroong isang napakaikling kumbinasyon at maaari itong mapili sa ilang segundo (hindi nito isinasaalang-alang ang mga error sa pag-encrypt mismo).

Pangunahing problema WEP- isang pangunahing error sa disenyo. WEP aktwal na nagpapadala ng ilang byte ng parehong key kasama ng bawat data packet.

Kaya, anuman ang pagiging kumplikado ng susi, ang anumang pagpapadala ay maaaring ihayag sa pamamagitan lamang ng pagkakaroon ng sapat na bilang ng mga naharang na packet (ilang sampu-sampung libo, na medyo maliit para sa isang aktibong ginagamit na network).

Uri 3 - WPA at WPA2 (Wi-Fi Protected Access)

Ito ang ilan sa mga pinaka-modernong uri ng bagay tulad ng Pag-encrypt ng WiFi at sa ngayon, sa katunayan, halos wala pang naiimbento.

Sa totoo lang, pinalitan ng henerasyon ng mga ganitong uri ng pag-encrypt ang mahabang pagtitiis WEP. Ang haba ng password ay arbitrary, mula sa 8 sa 63 bytes, na nagpapahirap sa pagpili (ihambing sa 3, 6 At 15 mga byte sa WEP).

Mga karaniwang suporta iba't ibang mga algorithm pag-encrypt ng ipinadalang data pagkatapos ng pakikipagkamay: TKIP At CCMP.

Ang una ay parang tulay sa pagitan WEP At WPA, na naimbento noong panahong iyon IEEE ay abala sa paglikha ng isang ganap na algorithm CCMP. TKIP parang lang WEP, dumaranas ng ilang uri ng pag-atake, at sa pangkalahatan ay hindi masyadong secure.

Sa ngayon ay bihirang gamitin ito (bagaman kung bakit ito ginagamit pa ay hindi malinaw sa akin) at sa pangkalahatan ang paggamit WPA Sa TKIP halos kapareho ng paggamit ng simple WEP.

Bilang karagdagan sa iba't ibang mga algorithm ng pag-encrypt, WPA(2) sumusuporta sa dalawang magkaibang mga mode ng paunang pagpapatunay (pag-verify ng password para sa pag-access ng kliyente sa network) - PSK At Enterprise. PSK(minsan tinatawag WPA Personal) - pag-login gamit ang isang password na ipinasok ng kliyente kapag kumokonekta.

Ito ay simple at maginhawa, ngunit sa kaso ng malalaking kumpanya maaari itong maging isang problema - sabihin nating umalis ang iyong empleyado at upang hindi na niya ma-access ang network, kailangan mong baguhin ang password para sa buong network at abisuhan ang iba pang mga empleyado tungkol sa ito. Enterprise inaalis ang problemang ito sa pamamagitan ng pagkakaroon ng maraming key na nakaimbak sa hiwalay na server - RADIUS.

Bukod, Enterprise ni-standardize ang mismong proseso ng pagpapatunay sa protocol EAP (E xtensible A pagpapatunay P rotocol), na nagpapahintulot sa iyo na magsulat ng iyong sariling algorithm.

Uri 4 - WPS/QSS

Wifi pag-encrypt WPS, aka QSS- isang kawili-wiling teknolohiya na nagbibigay-daan sa amin na huwag mag-isip tungkol sa isang password, ngunit pindutin lamang ang isang pindutan at agad na kumonekta sa network. Sa esensya, ito ay isang "legal" na paraan ng pag-bypass sa proteksyon ng password sa pangkalahatan, ngunit ang nakakagulat na ito ay naging laganap dahil sa isang napakaseryosong maling pagkalkula sa mismong sistema ng pag-access - ito ay mga taon pagkatapos ng malungkot na karanasan sa WEP.

WPS pinapayagan ang kliyente na kumonekta sa access point gamit ang isang 8-character code na binubuo ng mga numero ( PIN). Gayunpaman, dahil sa isang error sa pamantayan, kailangan mo lamang hulaan 4 sa kanila. Kaya, ang lahat ng iyon ay sapat na 10000 sumusubok na hulaan at, anuman ang pagiging kumplikado ng password upang ma-access ang wireless network, awtomatiko mong makukuha ang access na ito, at kasama nito, bilang karagdagan, ang parehong password na ito.

Dahil nangyayari ang pakikipag-ugnayan na ito bago ang anumang mga pagsusuri sa seguridad, bawat segundo ay maaaring ipadala ni 10-50 mga kahilingan sa pag-login sa pamamagitan ng WPS, at sa pamamagitan ng 3-15 oras (minsan higit, minsan mas kaunti) matatanggap mo ang mga susi sa langit.

Nang matuklasan ang kahinaan na ito, nagsimulang magpatupad ang mga tagagawa ng limitasyon sa bilang ng mga pagtatangka sa pag-login ( limitasyon ng rate), pagkatapos lumampas sa kung saan ang access point ay awtomatikong nag-o-off nang ilang sandali WPS- gayunpaman, sa ngayon ay hindi hihigit sa kalahati ng mga naturang device mula sa mga nailabas na nang walang ganitong proteksyon.

Higit pa - ang pansamantalang hindi pagpapagana ay hindi nagbabago ng anuman sa panimula, dahil sa isang pagtatangka sa pag-login kada minuto kakailanganin lang namin 10000/60/24 = 6,94 araw. A PIN karaniwang matatagpuan bago matapos ang buong cycle.

Nais kong muling iguhit ang iyong pansin sa katotohanan na kapag ang WPS ang iyong password ay hindi maiiwasang mabubunyag, anuman ang pagiging kumplikado nito. Kaya kung kailangan mo ito sa lahat WPS- i-on lamang ito kapag kumokonekta sa network, at itago ito sa natitirang oras.

Afterword

Sa katunayan, maaari kang gumuhit ng iyong sariling mga konklusyon, ngunit sa pangkalahatan, ito ay hindi sinasabi na dapat mong gamitin ang hindi bababa sa WPA, o mas mabuti WPA2.

Sa susunod na artikulo sa WiFi pag-uusapan natin kung paano nakakaapekto ang iba't ibang uri ng pag-encrypt sa pagganap ng channel at router, at isaalang-alang din ang ilang iba pang mga nuances.

Gaya ng nakasanayan, kung mayroon kang anumang mga katanungan, karagdagan, atbp., pagkatapos ay maligayang pagdating sa mga komento sa paksa tungkol sa Pag-encrypt ng WiFi.

PS: Para sa pagkakaroon ng materyal na ito, salamat sa may-akda ng Habr sa ilalim ng palayaw ProgerXP. Sa katunayan, ang lahat ng teksto ay kinuha mula sa kanyang materyal, upang hindi muling likhain ang gulong gamit ang iyong sariling mga salita.

1. Panimula

2.Pamantayang Seguridad ng WEP

3.Pamantayang seguridad ng WPA

4.Pamantayang seguridad ng WPA2

5.Konklusyon

6. Listahan ng mga sanggunian na ginamit

Panimula

Kwento mga wireless na teknolohiya Ang paghahatid ng impormasyon ay nagsimula sa pagtatapos ng ika-19 na siglo sa paghahatid ng unang signal ng radyo at ang paglitaw sa 20s ng ika-20 siglo ng mga unang tatanggap ng radyo na may modulasyon ng amplitude. Noong 1930s, lumitaw ang frequency modulation radio at telebisyon. Noong 1970s, ang unang wireless na sistema ng telepono ay nilikha bilang isang natural na bunga ng pangangailangan para sa mobile voice transmission. Sa una ang mga ito ay mga analog na network, at noong unang bahagi ng 80s ang pamantayan ng GSM ay binuo, na minarkahan ang simula ng paglipat sa mga digital na pamantayan, bilang pagbibigay ng mas mahusay na pamamahagi ng spectrum, pinakamahusay na kalidad hudyat mas mahusay na seguridad. Mula noong 90s ng ikadalawampu siglo, ang posisyon ng mga wireless network ay lumalakas. Ang mga wireless na teknolohiya ay matatag na nakabaon sa ating buhay. Pagbuo sa napakabilis na bilis, lumikha sila ng mga bagong device at serbisyo.

Isang kasaganaan ng mga bagong wireless na teknolohiya tulad ng CDMA (Code Division Multiple Access), GSM (Global for Mobile Communications, isang pandaigdigang sistema para sa mga mobile na komunikasyon), TDMA (Time Division Multiple Access), 802.11, WAP (Wireless Application Protocol), 3G (third generation), GPRS (General Packet Radio Service, packet data service), Bluetooth (blue tooth, pinangalanang Harald Blue Tooth, isang Viking pinuno na nabuhay noong ika-10 siglo), EDGE (Enhanced Data Rates para sa GSM Evolution, mas mataas na bilis ng paghahatid ay ibinibigay para sa GSM), i-mode, atbp. ay nagpapahiwatig na ang isang rebolusyon ay nagsisimula sa lugar na ito.

Ang pagbuo ng mga wireless local network (WLAN), Bluetooth (medium at short distance network) ay napaka-promising din. Naka-deploy ang mga wireless network sa mga paliparan, unibersidad, hotel, restaurant, at negosyo. Ang kasaysayan ng pagbuo ng mga pamantayan ng wireless network ay nagsimula noong 1990, nang ang 802.11 na komite ay nabuo ng pandaigdigang organisasyon na IEEE (Institute of Electrical and Electronics Engineers). Ang World Wide Web at ang ideya ng pagtatrabaho sa Internet gamit ang mga wireless na aparato ay nagbigay ng isang makabuluhang impetus sa pagbuo ng mga wireless na teknolohiya. Sa pagtatapos ng 90s, ang mga gumagamit ay inalok ng serbisyo ng WAP, na sa una ay hindi pumukaw ng maraming interes sa populasyon. Ito ang mga pangunahing mga serbisyo ng impormasyon– balita, panahon, lahat ng uri ng iskedyul, atbp. Gayundin, ang Bluetooth at WLAN ay nasa napakababang demand sa simula, pangunahin dahil sa mataas na halaga ng mga paraan ng komunikasyong ito. Gayunpaman, habang bumababa ang mga presyo, bumaba rin ang interes ng publiko. Sa kalagitnaan ng unang dekada ng ika-21 siglo, ang bilang ng mga gumagamit ng wireless Internet service ay umabot sa sampu-sampung milyon. Sa pagdating ng mga wireless na komunikasyon sa Internet, ang mga isyu sa seguridad ay dumating sa unahan. Ang mga pangunahing problema kapag gumagamit ng mga wireless network ay ang pagharang ng mga mensahe mula sa mga serbisyo ng paniktik, komersyal na negosyo at indibidwal, pagharang ng mga numero ng credit card, pagnanakaw ng bayad na oras ng koneksyon, at pagkagambala sa gawain ng mga sentro ng komunikasyon.

Tulad ng anumang network ng kompyuter, ang Wi-Fi ay pinagmumulan ng mas mataas na panganib ng hindi awtorisadong pag-access. Bilang karagdagan, mas madaling tumagos sa isang wireless network kaysa sa isang regular - hindi mo kailangang kumonekta sa mga wire, kailangan mo lamang na nasa lugar ng pagtanggap ng signal.

Ang mga wireless network ay naiiba sa mga cable network lamang sa unang dalawa - pisikal (Phy) at bahagyang channel (MAC) - mga antas ng pitong antas na modelo ng pakikipag-ugnayan ng open system. Higit pa mataas na antas ay ipinatupad tulad ng sa mga wired network, at ang tunay na seguridad ng network ay tiyak na tiyak sa mga antas na ito. Samakatuwid, ang pagkakaiba sa seguridad ng mga ito at ng iba pang mga network ay nagmumula sa pagkakaiba sa seguridad ng pisikal at MAC layer.

Bagaman ngayon ang proteksyon ng mga Wi-Fi network ay gumagamit ng mga kumplikadong algorithmic mathematical na modelo ng pagpapatunay, pag-encrypt ng data at kontrol sa integridad ng kanilang paghahatid, gayunpaman, ang posibilidad ng pag-access sa impormasyon mga hindi awtorisadong tao ay lubhang makabuluhan. At kung ang pagsasaayos ng network ay hindi binibigyan ng angkop na pansin, ang isang umaatake ay maaaring:

· makakuha ng access sa mga mapagkukunan at disk ng mga gumagamit ng Wi-Fi network, at sa pamamagitan nito sa mga mapagkukunan ng LAN;

· mag-eavesdrop sa trapiko at kunin ang kumpidensyal na impormasyon mula dito;

· papangitin ang impormasyong dumadaan sa network;

· magpakilala ng mga pekeng access point;

· magpadala ng spam at magsagawa ng iba pang ilegal na pagkilos sa ngalan ng iyong network.

Ngunit bago mo simulan ang pagprotekta sa iyong wireless network, kailangan mong maunawaan ang mga pangunahing prinsipyo ng organisasyon nito. Karaniwan, ang mga wireless network ay binubuo ng mga access node at mga kliyente na may mga wireless adapter. Ang mga access node at wireless adapter ay nilagyan ng mga transceiver upang makipagpalitan ng data sa isa't isa. Ang bawat AP at wireless adapter ay nakatalaga ng 48-bit MAC address, na gumaganang katumbas ng isang Ethernet address. Ang mga access node ay kumokonekta sa mga wireless at wired network, na nagpapahintulot sa mga wireless na kliyente na ma-access ang mga wired network. Ang komunikasyon sa pagitan ng mga wireless na kliyente sa mga ad hoc network ay posible nang walang AP, ngunit ang paraang ito ay bihirang ginagamit sa mga institusyon. Ang bawat wireless network ay tinutukoy ng isang SSID na itinalaga ng administrator (Service Set Identifier). Maaaring makipag-ugnayan ang mga wireless client sa AP kung nakikilala nila ang SSID ng access node. Kung mayroong ilang mga access node sa isang wireless network na may parehong SSID (at ang parehong mga parameter ng pagpapatunay at pag-encrypt), pagkatapos ay posible na lumipat sa mga mobile wireless client sa pagitan nila.

Ang pinakakaraniwang wireless na pamantayan ay ang 802.11 at ang mga advanced na variant nito. Ang 802.11 na detalye ay tumutukoy sa mga katangian ng isang network na tumatakbo sa bilis na hanggang 2 Mbit/s. Ang mga pinahusay na bersyon ay nagbibigay ng higit pa mataas na bilis. Ang una, 802.11b, ay ang pinakamalawak na ginagamit, ngunit mabilis itong pinapalitan ng 802.11g standard. Gumagana ang 802.11b wireless network sa 2.4 GHz band at nagbibigay ng mga rate ng paglilipat ng data na hanggang 11 Mbps. Ang isang pinahusay na bersyon, 802.11a, ay na-ratified mas maaga kaysa sa 802.11b, ngunit dumating sa merkado sa ibang pagkakataon. Gumagana ang mga device ng pamantayang ito sa 5.8 GHz band na may karaniwang bilis na 54 Mbps, ngunit nag-aalok ang ilang vendor ng mas mataas na bilis na hanggang 108 Mbps sa turbo mode. Ang pangatlo, pinahusay na bersyon, 802.11g, ay gumagana sa 2.4 GHz band, tulad ng 802.11b, na may karaniwang bilis na 54 Mbit/s at mas mataas na bilis (hanggang 108 Mbit/s) sa turbo mode. Karamihan sa mga 802.11g wireless network ay may kakayahang pangasiwaan ang 802.11b na mga kliyente salamat sa pabalik na pagkakatugma 802.11g standard, ngunit ang praktikal na compatibility ay nakasalalay sa partikular na pagpapatupad ng vendor. Ang pangunahing bahagi ng modernong wireless na kagamitan sumusuporta sa dalawa o higit pang 802.11 na variant. Bago wireless na pamantayan, 802.16, na tinutukoy bilang WiMAX, ay idinisenyo na may partikular na layunin ng pagbibigay ng wireless na access sa mga negosyo at tahanan sa pamamagitan ng mga istasyong katulad ng komunikasyong cellular. Ang teknolohiyang ito ay hindi tinalakay sa artikulong ito.

Ang aktwal na saklaw ng isang AP ay nakasalalay sa maraming mga kadahilanan, kabilang ang 802.11 na variant at dalas ng pagpapatakbo kagamitan, tagagawa, kapangyarihan, antenna, panlabas at panloob na mga pader at mga tampok ng topolohiya ng network. Gayunpaman, ang isang wireless adapter na may makitid na beam antenna na may mataas na pakinabang ay maaaring magbigay ng komunikasyon sa AP at wireless network sa isang malaking distansya, hanggang sa humigit-kumulang isa at kalahating kilometro depende sa mga kondisyon.

Dahil sa pampublikong katangian ng spectrum ng radyo, may mga natatanging alalahanin sa seguridad na wala sa mga wired network. Halimbawa, upang mag-eavesdrop sa mga mensahe sa isang wired network, kailangan mo ng pisikal na access sa ganoon bahagi ng network, bilang punto ng koneksyon ng device sa lokal na network, switch, router, firewall o host computer. Ang isang wireless network ay nangangailangan lamang ng isang receiver, tulad ng isang regular na frequency scanner. Dahil sa pagiging bukas ng mga wireless network, inihanda ng mga karaniwang developer ang pagtutukoy ng Wired Equivalent Privacy (WEP), ngunit ginawa itong opsyonal. Gumagamit ang WEP ng shared key na alam ng mga wireless na kliyente at ang mga access node kung saan sila nakikipag-usap. Maaaring gamitin ang susi para sa parehong pagpapatunay at pag-encrypt. Ginagamit ng WEP ang RC4 encryption algorithm. Binubuo ang 64-bit key ng 40 bits na tinukoy ng user at isang 24-bit initialization vector. Sa pagtatangkang pahusayin ang seguridad ng mga wireless network, ang ilang mga tagagawa ng kagamitan ay bumuo ng mga advanced na algorithm na may 128-bit o mas mahabang WEP key, na binubuo ng 104-bit o mas mahabang bahagi ng user at isang initialization vector. Ginagamit ang WEP sa 802.11a, 802.11b at 802.11g na katugmang kagamitan. Gayunpaman, sa kabila ng tumaas na haba ng key, ang mga bahid ng WEP (lalo na ang mahinang mga mekanismo ng pagpapatunay at mga susi sa pag-encrypt na maaaring ibunyag ng cryptanalysis) ay mahusay na naidokumento, at ang WEP ay hindi itinuturing na isang maaasahang algorithm ngayon.

Bilang tugon sa mga pagkukulang ng WEP, nagpasya ang Wi-Fi Alliance na bumuo ng pamantayang Wi-Fi Protected Access (WPA). Ang WPA ay mas mataas kaysa sa WEP sa pamamagitan ng pagdaragdag ng TKIP (Temporal Key Integrity Protocol) at isang malakas na mekanismo ng pagpapatotoo batay sa 802.1x at EAP (Extensible Authentication Protocol). Ang WPA ay inilaan upang maging isang gumaganang pamantayan na maaaring isumite sa IEEE para sa pag-apruba bilang isang extension sa 802.11 na mga pamantayan. Ang extension, 802.11i, ay niratipikahan noong 2004, at ang WPA ay na-update sa WPA2 upang maging tugma sa Advanced Encryption Standard (AES) sa halip na WEP at TKIP. Ang WPA2 ay backward compatible at maaaring gamitin kasabay ng WPA. Ang WPA ay inilaan para sa mga enterprise network na may RADIUS (Remote Authentication Dial-In User Service) na imprastraktura sa pagpapatotoo, ngunit ang isang bersyon ng WPA na tinatawag na WPA Pre-Shared Key (WPAPSK) ay nakatanggap ng suporta mula sa ilang mga manufacturer at inihahanda para sa paggamit maliliit na negosyo. Tulad ng WEP, gumagana ang WPAPSK sa isang shared key, ngunit mas secure ang WPAPSK kaysa sa WEP.

Sa gawaing ito, susuriin namin nang detalyado ang mga paraan ng pagprotekta sa mga network, isaalang-alang ang mga prinsipyo ng operasyon, kalamangan at kahinaan.

Pamantayan sa seguridad ng WEP

Sinusuportahan ng lahat ng modernong wireless device (mga access point, wireless adapter at router) ang protocol ng seguridad ng WEP (Wired Equivalent Privacy), na orihinal na kasama sa detalye ng IEEE 802.11 wireless network. Ang protocol na ito ay isang uri ng analogue ng wired na seguridad (hindi bababa sa ang pangalan nito ay isinalin sa ganoong paraan), ngunit sa katotohanan ay hindi ito nagbibigay ng anumang antas ng seguridad na katumbas ng mga wired na network.

Ang WEP protocol ay nagbibigay-daan sa iyo upang i-encrypt ang isang stream ng ipinadalang data batay sa RC4 algorithm na may key size na 64 o 128 bits - ang mga key na ito ay may tinatawag na static na bahagi na 40 hanggang 104 bits ang haba at isang karagdagang dynamic na bahagi ng 24 bit sa laki, na tinatawag na initialization vector (IV).

Ang pamamaraan ng pag-encrypt ng WEP ay ang mga sumusunod. Sa una, ang data na ipinadala sa packet ay sinuri para sa integridad (CRC-32 algorithm), pagkatapos nito checksum(Integrity check value, ICV) ay idinagdag sa packet header service field. Susunod, nabuo ang isang 24-bit initialization vector (IV), at isang static (40- o 104-bit) na sikretong key ay idinagdag dito. Ang 64- o 128-bit na key na nakuha sa ganitong paraan ay ang paunang key para sa pagbuo ng isang pseudo-random na numero, na ginagamit upang i-encrypt ang data. Susunod, ang data ay halo-halong (naka-encrypt) gamit ang isang lohikal mga operasyon ng XOR na may pseudo-random key sequence, at ang initialization vector ay idinaragdag sa frame service field. Iyon lang, actually.

Ang protocol ng seguridad ng WEP ay nagbibigay ng dalawang paraan upang patotohanan ang mga user: Buksan ang System(bukas) at Shared Key (shared). Kapag gumagamit bukas na pagpapatunay, sa esensya, walang ginagawang pagpapatunay, ibig sabihin, maaaring ma-access ng sinumang user ang wireless network. Gayunpaman, kahit na may bukas na sistema Pinapayagan ang pag-encrypt ng data ng WEP

Pag-hack ng wireless network gamit ang WEP protocol

Ngunit ang nakalistang paraan ng proteksyon ay hindi sapat. At para patunayan ito, magsisimula ako sa mga tagubilin para sa pag-hack ng 802.11b/g wireless network batay sa protocol ng seguridad ng WEP.

Upang i-hack ang isang network, bilang karagdagan sa isang laptop na may wireless adapter, kakailanganin mo espesyal na utility, tulad ng aircrack 2.4, na malayang makikita sa Internet.

Ang utility na ito ay may dalawang bersyon: para sa Linux at para sa Windows. Interesado lang kami sa mga file na iyon na matatagpuan sa direktoryo ng aircrack-2.4\win32.

Mayroong tatlong maliliit na kagamitan sa direktoryong ito ( maipapatupad na file): airodump.exe, aircrack.exe at airdecap.exe. Ang unang utility ay idinisenyo upang harangin ang mga packet ng network, ang pangalawa ay upang pag-aralan ang mga ito at makakuha ng isang password sa pag-access, at ang pangatlo ay upang i-decrypt ang mga naharang na file ng network.

Siyempre, hindi lahat ay kasing simple ng maaaring tila. Ang katotohanan ay ang lahat ng naturang mga programa ay binuo para sa mga partikular na modelo ng chip batay sa kung saan ang mga adapter ng network ay binuo. Kaya, walang garantiya na ang isang random na napiling wireless adapter ay magiging tugma sa aircrack-2.4. Bukod dito, kahit na gumagamit ng isang katugmang adaptor (list mga katugmang adaptor(mas tiyak, ang mga wireless adapter chips) ay matatagpuan sa dokumentasyon para sa programa) kakailanganin mong makipag-usap sa mga driver, palitan ang karaniwang driver mula sa tagagawa adaptor ng network sa isang dalubhasa para sa isang partikular na chip.

Ang pamamaraan para sa pag-hack ng isang wireless network ay medyo simple. Magsisimula kami sa pamamagitan ng paglulunsad ng airodump.exe utility, na isang network sniffer para sa pagharang ng mga packet. Kapag sinimulan mo ang programa, magbubukas ang isang dialog box kung saan kakailanganin mong tukuyin ang wireless network adapter, ang uri ng network adapter chip (Network interface type (o/a)), ang wireless channel number (Channel(s): 1 hanggang 14, 0=lahat) (kung hindi alam ang channel ng numero, maaari mong i-scan ang lahat ng channel). Ang pangalan ng output file kung saan ang mga nakuhang packet ay naka-imbak ay tinukoy din (Output filename prefix), at ito ay ipinahiwatig kung ito ay kinakailangan upang makuha ang lahat ng buong packet (cap file) o bahagi lamang ng mga packet na may initialization vectors (ivs file) (Isulat lamang ang mga WEP IV (y /n)). Kapag gumagamit ng WEP encryption, upang pumili ng isang lihim na key, ito ay sapat na upang makabuo ng isang ivs file. Bilang default, ang mga ivs o cap file ay nilikha sa parehong direktoryo ng airodump program mismo.

Pagkatapos i-configure ang lahat ng mga opsyon ng airodump utility, magbubukas ang isang window ng impormasyon, na nagpapakita ng impormasyon tungkol sa mga nakitang punto wireless na pag-access, impormasyon tungkol sa mga kliyente sa network at mga istatistika ng mga naharang na packet. Kung mayroong ilang mga access point, ang mga istatistika ay ipapakita para sa bawat isa sa kanila.

Una, isulat ang MAC address ng access point, SSID wireless network at ang MAC address ng isa sa mga kliyente na konektado dito (kung marami). Kaya, pagkatapos ay kailangan mong maghintay hanggang sa isang sapat na bilang ng mga packet ay naharang.

Ang bilang ng mga packet na kailangang ma-intercept upang matagumpay na ma-hack ang isang network ay depende sa haba ng WEP key (64 o 128 bits) at, siyempre, sa swerte. Kung ang network ay gumagamit ng isang 64-bit na WEP key, kung gayon para sa isang matagumpay na pag-hack ito ay sapat na upang makuha ang kalahating milyong mga packet, at sa maraming mga kaso kahit na mas kaunti. Ang tagal nito ay nakadepende sa dami ng trapiko sa pagitan ng kliyente at ng access point, ngunit karaniwang mas mababa sa ilang minuto. Kung ang isang 128-bit na susi ay ginamit, para sa garantisadong pag-hack, kakailanganing harangin ang humigit-kumulang dalawang milyong packet. Upang ihinto ang proseso ng pagkuha ng packet (pagpapatakbo ng utility), gamitin ang kumbinasyon ng Ctrl+C key.

Matapos mabuo ang output ivs file, maaari mong simulan ang pagsusuri nito. Sa prinsipyo, maaari itong gawin nang sabay-sabay sa packet interception, ngunit para sa pagiging simple ay isasaalang-alang namin ang pagsasagawa ng dalawang pamamaraang ito nang sunud-sunod. Upang pag-aralan ang nabuong ivs file, kakailanganin mo ang aircrack.exe utility, na inilunsad mula sa command line. Sa aming halimbawa ginamit namin sumusunod na mga parameter ilunsad:

aircrack.exe –b 00:13:46:1C:A4:5F –n 64 –i 1 out.ivs.

SA sa kasong ito–b 00:13:46:1C:A4:5F ay isang indikasyon ng MAC address ng access point, –n 64 ay isang indikasyon ng haba ng encryption key na ginamit, –i 1 ay ang key index, at out Ang .ivs ay ang file na sinusuri. Buong listahan Maaari mong tingnan ang mga parameter ng paglulunsad ng utility sa pamamagitan lamang ng pag-type command line aircrack.exe command na walang mga parameter.

Sa prinsipyo, dahil ang impormasyon tulad ng key index at haba ng encryption key ay karaniwang hindi alam nang maaga, ang tradisyonal na paraan upang patakbuhin ang command ay ang mga sumusunod: aircrack.exe out.ivs.

Ito ay kung gaano kadali at mabilis na magbukas ng mga wireless network na may WEP encryption, kaya ang pag-uusap tungkol sa seguridad ng network sa kasong ito ay karaniwang hindi naaangkop. Sa katunayan, posible bang pag-usapan ang isang bagay na talagang wala!

Sa pinakadulo simula ng artikulo, binanggit namin na ang lahat ng mga access point ay mayroon ding mga tampok tulad ng paggamit ng isang nakatagong network identifier mode at pag-filter ng mga MAC address, na idinisenyo upang mapataas ang seguridad ng wireless network. Ngunit hindi iyon nakakatulong.

Sa katunayan, ang network identifier ay hindi masyadong invisible - kahit na ang mode na ito ay na-activate sa access point. Halimbawa, ang airodump utility na nabanggit na namin ay magpapakita pa rin sa iyo ng network SSID, na maaaring magamit sa ibang pagkakataon upang lumikha ng profile ng koneksyon sa network (at isang hindi awtorisadong koneksyon).

At kung pinag-uusapan natin ang tungkol sa isang walang kabuluhang hakbang sa seguridad bilang pag-filter ng mga MAC address, kung gayon ang lahat ay napaka-simple dito. Mayroong napakaraming iba't ibang mga utility para sa parehong Linux at Windows na nagbibigay-daan sa iyong palitan ang MAC address interface ng network. Halimbawa, para sa hindi awtorisadong pag-access sa network, pinalitan namin ang MAC address ng isang wireless adapter gamit ang SMAC 1.2 utility. Naturally, ang MAC address ng kliyente na awtorisado sa network ay ginagamit bilang bagong MAC address, na tinutukoy ng parehong airodump utility.

Nais kong tandaan na pagkatapos ng pagdating ng WPA, ang problema sa WEP ay hindi nawala ang kaugnayan nito. Ang katotohanan ay na sa ilang mga kaso, upang madagdagan ang saklaw ng isang wireless network, ang tinatawag na mga distributed wireless network (WDS) ay ipinakalat batay sa ilang mga access point. Ngunit ang pinaka-kagiliw-giliw na bagay ay ang parehong mga ipinamamahaging network na ito ay hindi sumusuporta sa WPA protocol at ang tanging katanggap-tanggap na hakbang sa seguridad sa kasong ito ay ang paggamit ng WEP encryption. Well, ang mga WDS network na ito ay na-hack sa eksaktong kaparehong paraan tulad ng mga network na nakabatay sa isang access point.

Kaya, hindi mahirap pagtagumpayan ang sistema ng seguridad ng isang wireless network batay sa WEP encryption. Ang WEP ay hindi kailanman sinadya buong proteksyon mga network. Kailangan lang nitong magbigay ng wireless network na may antas ng seguridad na maihahambing sa wired network. Ito ay malinaw kahit na mula sa pangalan ng karaniwang "Wired Equivalent Privacy" - katumbas ng seguridad sa isang wired network. Ang pagkuha ng WEP key ay, wika nga, katulad ng pagkuha ng pisikal na access sa isang wired network. Ang susunod na mangyayari ay depende sa mga setting ng seguridad ng mga mapagkukunan ng network.

Karamihan mga network ng korporasyon nangangailangan ng pagpapatunay, iyon ay, upang makakuha ng access sa mga mapagkukunan, ang gumagamit ay kailangang magbigay ng isang pangalan at password. Ang mga server ng naturang mga network ay pisikal na protektado - sarado sa isang espesyal na silid, mga patch panel at switch cable network naka-lock sa mga aparador. Bilang karagdagan, ang mga network ay madalas na naka-segment sa paraang hindi makakarating ang mga user sa kung saan hindi nila kailangang pumunta.

Sa kasamaang palad, ang mga gumagamit ng PC na may mga operating system Mga kumpanya ng Microsoft at Apple ay hindi sanay na gumamit ng kahit na ang pinakasimpleng proteksyon ng password. Bagama't ang mga simpleng home network ay maaaring magbigay ng mga benepisyo sa pamamagitan ng pagpayag sa isang koneksyon sa Internet na maibahagi sa maraming user o sa pamamagitan ng pagbibigay pagbabahagi sa printer, ang mahinang proteksyon ay kadalasang nagdudulot ng impeksyon sa network ng iba't ibang mga virus at worm.

Ang kahinaan ng WEP ay natuklasan nang medyo mabilis pagkatapos na pumasok ang 802.11 network sa mas malawak na merkado. Upang malutas ang problemang ito, sinubukan nilang ipatupad ang mga mekanismo para sa pag-ikot ng susi, pagpapalakas ng IV, pati na rin ang iba pang mga scheme. Ngunit sa lalong madaling panahon naging malinaw na ang lahat ng mga pamamaraan na ito ay hindi epektibo, at bilang isang resulta, maraming mga wireless network ay ganap na sarado o pinaghiwalay sa mga segment na may limitadong pag-access, para saan ganap na pag-access nangangailangan ng paglikha ng isang VPN tunnel o ang paggamit ng mga karagdagang hakbang sa seguridad.

Sa kabutihang palad, kinilala ng mga tagagawa ng kagamitan sa wireless networking ang pangangailangan na lumikha ng mas matatag na paraan ng seguridad ng wireless network upang magpatuloy sa pagbebenta ng kagamitan sa mga customer ng enterprise at hinihingi ang mga user sa bahay. Dumating ang sagot noong huling bahagi ng taglagas 2002 sa anyo ng paunang karaniwang Wi-Fi Protected Access, o WPA.

Ang dokumentadong impormasyon ng kategoryang pinaghihigpitang pag-access, ayon sa mga tuntunin ng legal na rehimen nito, ay nahahati sa impormasyong inuri bilang lihim ng estado at kumpidensyal na impormasyon.

Inuuri ang impormasyon kung naglalaman ito ng impormasyong inuri bilang lihim ng estado.

Ang lihim ng estado ay tumutukoy sa impormasyong protektado ng estado sa larangan ng militar, patakarang panlabas, pang-ekonomiya, katalinuhan, counterintelligence at operational investigative na aktibidad, na ang pagpapakalat nito ay maaaring makapinsala sa seguridad. Russian Federation.

Ang antas ng lihim ng impormasyon na bumubuo ng isang lihim ng estado ay dapat na tumutugma sa kalubhaan ng pinsala na maaaring idulot sa seguridad ng Russian Federation bilang resulta ng pagpapakalat ng impormasyong ito.

Tatlong antas ng lihim ng impormasyon na bumubuo ng isang lihim ng estado ay itinatag, at ang mga klasipikasyon ng lihim na naaayon sa mga antas na ito para sa mga tagapagdala ng tinukoy na impormasyon: espesyal na kahalagahan, pinakamataas na lihim at lihim. Ang secrecy stamp ay tumutukoy sa mga detalye (minarkahan sa mismong medium at (o) sa kasamang dokumentasyon para dito), na nagpapahiwatig ng antas ng pagiging lihim ng impormasyong nakapaloob sa kanilang medium.

Ang impormasyon ng partikular na kahalagahan ay kinabibilangan ng impormasyon sa militar, patakarang panlabas, pang-ekonomiya, pang-agham at teknikal, katalinuhan, counterintelligence at mga aktibidad sa pag-iimbestiga sa pagpapatakbo, ang pagpapakalat nito ay maaaring makapinsala sa mga interes ng Russian Federation sa mga lugar na ito.

Ang nangungunang lihim na impormasyon ay impormasyon sa larangan ng militar, patakarang panlabas, pang-ekonomiya, pang-agham at teknikal, katalinuhan, counterintelligence at operational investigative na aktibidad, ang pagpapakalat nito ay maaaring makapinsala sa mga interes ng isang ministeryo (kagawaran) o sektor ng ekonomiya ng Russian Federation sa isa o higit pa sa mga lugar na ito.

Ang lihim na impormasyon ay dapat magsama ng impormasyong naglalaman ng mga lihim ng estado, na ang pagpapakalat nito ay maaaring makapinsala sa mga interes ng isang negosyo, institusyon o organisasyon sa militar, patakarang panlabas, pang-ekonomiya, siyentipiko at teknikal, katalinuhan, counterintelligence o operational investigative na aktibidad.

Ang kumpidensyal na impormasyon ay dokumentado na impormasyon, ang pag-access sa kung saan ay limitado alinsunod sa batas ng Russian Federation.

Ang kumpidensyal na impormasyon ay maaaring personal, opisyal, komersyal, forensic, propesyonal, pang-industriya.

Kasama sa kumpidensyal na personal na impormasyon ang impormasyong naglalaman ng personal na data (impormasyon tungkol sa mga katotohanan, kaganapan at kalagayan ng pribadong buhay ng isang mamamayan) na nagpapahintulot sa kanyang pagkakakilanlan na makilala, maliban sa impormasyong napapailalim sa pagpapakalat sa media sa inireseta na paraan.

Ang opisyal na lihim ay tumutukoy sa protektadong impormasyon na hindi isang lihim ng estado, ang hindi awtorisadong pamamahagi nito ng isang empleyado kung kanino pinagkatiwalaan ang impormasyong ito kaugnay ng kanyang pagganap. mga responsibilidad sa trabaho, ay maaaring magdulot ng pinsala sa mga awtoridad ng gobyerno, mga negosyong pag-aari ng estado, institusyon, organisasyon o makagambala sa kanilang paggana.

Kasama sa isang lihim ng kalakalan ang impormasyong naglalaman ng aktwal o potensyal na komersyal na halaga dahil sa hindi nito alam sa mga ikatlong partido. Walang libreng access dito ayon sa batas, at ang may-ari ng impormasyon ay gumagawa ng mga hakbang upang maprotektahan ang pagiging kompidensyal nito.

Ang kumpidensyal na impormasyon ng forensic investigative ay naglalaman ng impormasyong bumubuo ng sikreto ng imbestigasyon at mga legal na paglilitis.

Kasama sa propesyonal na kumpidensyal na impormasyon ang impormasyong naglalaman ng impormasyong nauugnay sa propesyonal na aktibidad, ang pag-access kung saan ay nililimitahan ng mga batas (medikal, notaryo, pribilehiyo ng abogado-kliyente, pagiging kumpidensyal ng sulat, mga pag-uusap sa telepono, mga gamit sa koreo, telegrapiko at iba pang mga mensahe).

Ang kumpidensyal na impormasyon sa industriya ay naglalaman ng impormasyon tungkol sa kakanyahan ng isang imbensyon, modelo ng utility o disenyong pang-industriya bago ang opisyal na paglalathala ng impormasyon tungkol sa mga ito.

Depende sa antas ng pagiging lihim ng impormasyong pinoproseso, ang mga bagay sa VT at nakalaang lugar ay ikinategorya din.

Kapag tinutukoy ang mga kategorya ng mga bagay sa computer science, ang mga teknikal na paraan at sistema ay maaaring maging mahalagang bahagi ng mga nakatigil o mobile na bagay. Maraming mga bagay, kabilang ang mga iba't ibang kategorya, ay matatagpuan sa loob ng isang kinokontrol na zone. Ang kategorya ng isang bagay ay tinutukoy ng pinakamataas na klasipikasyon ng impormasyong pinoproseso.

Ang mga kondisyon ng lokasyon ay itinuturing na espesyal kung ang pasilidad ng computer science ay matatagpuan wala pang 100 m mula sa mga institusyon ibang bansa(mga embahada, konsulado, misyon, permanenteng misyon ng mga dayuhang estado, opisina ng dayuhan at joint venture sa mga dayuhang kumpanya, apartment at summer cottage ng kanilang mga dayuhang empleyado na tumatangkilik sa extraterritoriality).

Kung ang pasilidad ng computer science ay matatagpuan sa layo na higit sa 100 m mula sa mga institusyon ng mga dayuhang bansa, kung gayon ang mga kondisyon ng lokasyon ay itinuturing na normal.

Kasama sa unang kategorya ang mga bagay sa computer science kung saan pinoproseso ang impormasyong may espesyal na kahalagahan, anuman ang mga kondisyon ng kanilang lokasyon, pati na rin ang ganap. uri ng impormasyon kapag naghahanap ng mga pasilidad ng VT at nakalaang lugar sa mga espesyal na kondisyon.

Ang mga pasilidad ng VT kung saan ang impormasyon na inuri bilang "top secret" sa ilalim ng normal na mga kondisyon ng lokasyon at "lihim" sa ilalim ng mga espesyal na kundisyon ay naproseso ay nabibilang sa pangalawang kategorya.

Kung ang VT object ay matatagpuan sa ilalim ng normal na mga kondisyon at ang impormasyong inuri bilang "lihim" ay pinoproseso sa object, kung gayon ang VT object ay kabilang sa ikatlong kategorya.

Ayon sa mga kinakailangan para sa pagtiyak ng seguridad ng impormasyon, ang mga pasilidad ng gobyerno, militar at pang-industriya ay nahahati sa 3 kategorya:

· una - mga bagay, sa panahon ng pagtatayo, muling pagtatayo at pagpapatakbo kung saan kinakailangan upang itago o i-distort ang impormasyon tungkol sa kanilang lokasyon, layunin o profile ng aktibidad;

· pangalawa – mga pasilidad kung saan kinakailangan upang matiyak ang proteksyon ng impormasyong nagpapalipat-lipat sa mga teknikal na paraan, pati na rin ang impormasyon tungkol sa mga armas na binuo (ginagawa, sinusubok) o ginagamit at kagamitang pangmilitar o tungkol sa produksyon at mga teknolohiyang napapailalim sa proteksyon;

· pangatlo - mga pasilidad kung saan kinakailangan upang matiyak ang proteksyon ng impormasyon na nagpapalipat-lipat sa mga teknikal na paraan, pati na rin ang mga negosyo na nagsasagawa ng pananaliksik at pag-unlad ng trabaho sa kanilang sariling inisyatiba at sa isang self-financing na batayan, ang pangangailangan na protektahan ang impormasyon tungkol sa kung saan maaaring lumitaw sa ang takbo ng gawaing isinasagawa.