Kasama sa WPA encryption ang paggamit ng secure na Wi-Fi network. Sa pangkalahatan, ang ibig sabihin ng WPA ay Wi-Fi Protected Access, ibig sabihin, protektado.

Karamihan mga tagapangasiwa ng system alam nila kung paano i-configure ang protocol na ito at marami silang alam tungkol dito.

Ngunit din ordinaryong tao maaaring matuto ng maraming tungkol sa kung ano ang WPA, kung paano i-configure ito at kung paano ito gamitin.

Totoo, sa Internet maaari kang makahanap ng maraming mga artikulo sa paksang ito, kung saan imposibleng maunawaan ang anuman. Kaya ngayon ay mag-uusap tayo sa simpleng wika O mahirap na bagay.

Isang maliit na teorya

Kaya, ang WPA ay isang protocol, teknolohiya, programa na naglalaman ng isang hanay ng mga sertipiko na ginamit sa panahon ng paghahatid.

Sa madaling salita, pinapayagan ka ng teknolohiyang ito na gamitin iba't ibang pamamaraan upang protektahan ang iyong Wi-Fi network.

Maaaring ito ay elektronikong susi, na isa ring espesyal na sertipiko ng karapatang gamitin ang network na ito (pag-uusapan natin ito mamaya).

Sa pangkalahatan, sa tulong ng programang ito, tanging ang mga may karapatang gawin ito ang makakagamit ng network at iyon lang ang kailangan mong malaman.

Para sa sanggunian: Ang pagpapatunay ay isang tool sa seguridad na nagbibigay-daan sa iyong itatag ang pagkakakilanlan ng isang tao at ang kanyang karapatan na ma-access ang network sa pamamagitan ng paghahambing ng kanyang iniulat at inaasahang data.

Halimbawa, maaaring ma-authenticate ang isang tao kapag inilakip niya ang kanilang . Kung ilalagay lang niya ang kanyang login at password, authorization lang ito.

Ngunit ang isang fingerprint ay nagbibigay-daan sa iyo upang suriin kung ang taong ito ay talagang nagla-log in, at hindi isang tao ang kumuha ng kanyang data at pumasok sa kanilang tulong.

kanin. 1. Fingerprint scanner sa iyong smartphone

At din sa diagram mayroong isang WLC - wireless controller lokal na network. Sa kanan ay ang authentication server.

Ang lahat ng ito ay konektado sa pamamagitan ng isang regular na Switch (isang device na nagkokonekta lamang ng iba mga aparato sa network). Ang susi ay ipinadala mula sa controller sa authentication server at naka-imbak doon.

Kapag sinubukan ng isang kliyente na kumonekta sa isang network, dapat itong magpadala sa LAP ng isang susi na alam nito. Ang key na ito ay napupunta sa authentication server at inihahambing sa gustong key.

Kung tumugma ang mga susi, malayang kumakalat ang signal sa kliyente.

kanin. 2. Sample na WPA scheme sa Cisco Pocket Tracer

Mga bahagi ng WPA

Tulad ng sinabi namin sa itaas, ang WPA ay gumagamit ng mga espesyal na key na nabuo sa tuwing sinusubukan mong simulan ang pagpapadala ng signal, iyon ay, i-on ang Wi-Fi, at nagbabago din sa bawat oras.

Kasama sa WPA ang ilang mga teknolohiya na tumutulong sa pagbuo at pagpapadala ng mga parehong key na ito.

Ipinapakita ng figure sa ibaba pangkalahatang pormula, na kinabibilangan ng lahat ng bahagi ng teknolohiyang isinasaalang-alang.

kanin. 3. Formula na may mga sangkap na WPA

Ngayon tingnan natin ang bawat isa sa mga sangkap na ito nang hiwalay:

• Ang 1X ay isang pamantayan na ginagamit upang makabuo ng parehong natatanging key, sa tulong kung saan ang pagpapatunay ay magaganap sa hinaharap.
• Ang EAP ay ang tinatawag na Extensible Authentication Protocol. Ito ay responsable para sa format ng mga mensahe kung saan ang mga susi ay ipinadala.
• Ang TKIP ay isang protocol na naging posible upang palawakin ang laki ng key sa 128 bytes (dati, sa WEP, ito ay 40 bytes lamang).
• Ang MIC ay isang mekanismo para sa pagsuri ng mga mensahe (sa partikular, ang mga ito ay sinuri para sa integridad). Kung ang mga mensahe ay hindi nakakatugon sa pamantayan, ibabalik ang mga ito.

Ito ay nagkakahalaga na sabihin na ngayon ay mayroon nang WPA2, na, bilang karagdagan sa lahat ng nasa itaas, ay gumagamit din ng CCMP at AES encryption.

Hindi namin pag-uusapan kung ano ito ngayon, ngunit mas secure ang WPA2 kaysa sa WPA. Iyon lang talaga ang kailangan mong malaman.

Isang beses pa mula sa simula

Kaya, mayroon kang . Gumagamit ang network ng teknolohiyang WPA.

Para kumonekta sa Wi-Fi, dapat magbigay ang bawat device ng certificate ng user, o, mas simple, espesyal na susi, na ibinigay ng server ng pagpapatunay.

Saka lang niya magagamit ang network. yun lang!

Ngayon alam mo na kung ano ang WPA. Ngayon pag-usapan natin kung ano ang mabuti at kung ano ang masama sa teknolohiyang ito.

Mga kalamangan at kawalan ng WPA encryption

Ang mga pakinabang ng teknolohiyang ito ay kinabibilangan ng mga sumusunod:

1. Pinahusay na seguridad sa paghahatid ng data (kumpara sa WEP, ang hinalinhan nito, WPA).
2. Mas mahigpit na Wi-Fi access control.
3. Katugma sa isang malaking bilang mga kagamitang ginagamit sa pag-aayos wireless network.
4. Sentralisadong pamamahala sa seguridad. Ang sentro sa kasong ito ay ang authentication server. Dahil dito, ang mga umaatake ay hindi makakakuha ng access sa nakatagong data.
5. Maaaring gamitin ng mga negosyo ang sarili nilang mga patakaran sa seguridad.
6. Madaling i-set up at gamitin.

Siyempre, ang teknolohiyang ito ay mayroon ding mga disadvantages, at ang mga ito ay kadalasang medyo makabuluhan. Sa partikular, pinag-uusapan natin narito ang tungkol sa:

1. Maaaring ma-crack ang TKIP key sa loob ng maximum na 15 minuto. Ito ay sinabi ng isang grupo ng mga espesyalista noong 2008 sa kumperensya ng PacSec.
2. Noong 2009, ang mga espesyalista mula sa Hiroshima University ay bumuo ng isang paraan para sa pag-hack ng anumang network na gumagamit ng WPA sa isang minuto.
3. Gamit ang isang kahinaan na tinatawag na Hole196 ng mga eksperto, maaari mong gamitin ang WPA2 gamit ang sarili mong susi, at hindi ang kailangan ng server ng pagpapatunay.
4. Sa karamihan ng mga kaso, maaaring ma-crack ang anumang WPA gamit ang isang simpleng paghahanap sa lahat posibleng mga opsyon(brute force), gayundin ang paggamit ng tinatawag na dictionary attack. Sa pangalawang kaso, ang mga pagpipilian ay ginagamit hindi sa isang magulong pagkakasunud-sunod, ngunit ayon sa diksyunaryo.

Siyempre, upang samantalahin ang lahat ng mga kahinaan at problemang ito, kailangan mong magkaroon ng espesyal na kaalaman sa larangan ng pagtatayo. mga network ng kompyuter.

Ang lahat ng ito ay hindi naa-access sa karamihan ng mga ordinaryong gumagamit. Samakatuwid, hindi mo kailangang mag-alala nang labis tungkol sa isang taong nakakakuha ng access sa iyong Wi-Fi.

kanin. 4. Magnanakaw at kompyuter

Upang protektahan ang iyong Wi-Fi network at magtakda ng password, dapat mong piliin ang uri ng seguridad ng wireless network at paraan ng pag-encrypt. At sa sa yugtong ito Maraming tao ang may tanong: alin ang pipiliin? WEP, WPA, o WPA2? Personal o Enterprise? AES o TKIP? Anong mga setting ng seguridad ang pinakamahusay na magpoprotekta sa iyong Wi-Fi network? Susubukan kong sagutin ang lahat ng mga tanong na ito sa loob ng balangkas ng artikulong ito. Isaalang-alang natin ang lahat mga posibleng pamamaraan pagpapatunay at pag-encrypt. Alamin natin kung aling mga parameter ng seguridad ng Wi-Fi network ang pinakamahusay na nakatakda sa mga setting ng router.

Pakitandaan na ang uri ng seguridad, o pagpapatunay, pagpapatunay ng network, seguridad, paraan ng pagpapatunay - pareho lang ito.

Ang uri ng pagpapatunay at pag-encrypt ay ang mga pangunahing setting ng seguridad wireless wifi mga network. Sa tingin ko, kailangan muna nating malaman kung ano ang mga ito, anong mga bersyon ang mayroon, ang kanilang mga kakayahan, atbp. Pagkatapos nito ay malalaman natin kung anong uri ng proteksyon at pag-encrypt ang pipiliin. Ipapakita ko sa iyo gamit ang halimbawa ng ilang sikat na router.

Lubos kong inirerekomenda ang pag-set up ng password at pagprotekta sa iyong wireless network. I-install pinakamataas na antas proteksyon. Kung iiwan mong bukas ang network, nang walang proteksyon, maaaring kumonekta dito ang sinuman. Ito ay pangunahing hindi ligtas. At dagdag na load din sa iyong router, pagbaba ng bilis ng koneksyon at lahat ng uri ng problema sa pagkonekta ng iba't ibang device.

Proteksyon ng Wi-Fi network: WEP, WPA, WPA2

Mayroong tatlong mga pagpipilian sa proteksyon. Siyempre, hindi binibilang ang "Bukas" (Walang proteksyon).

• WEP(Wired Equivalent Privacy) ay isang luma at hindi secure na paraan ng pagpapatunay. Ito ang una at hindi masyadong matagumpay na paraan ng proteksyon. Madaling ma-access ng mga attacker ang mga wireless network na protektado gamit ang WEP. Hindi na kailangang itakda ang mode na ito sa mga setting ng iyong router, bagama't naroroon ito (hindi palaging).
• WPA(Wi-Fi Protected Access) – maaasahan at modernong uri seguridad. Pinakamataas na compatibility sa lahat ng device at operating system.
• WPA2– isang bago, pinahusay at mas maaasahang bersyon ng WPA. May suporta AES encryption CCMP. Naka-on sa ngayon, Ito pinakamahusay na paraan Proteksyon ng Wi-Fi network. Ito ang inirerekomenda kong gamitin.

Ang WPA/WPA2 ay maaaring may dalawang uri:

• WPA/WPA2 - Personal (PSK)- Ito ang karaniwang paraan pagpapatunay. Kapag kailangan mo lang magtakda ng password (key) at pagkatapos ay gamitin ito para kumonekta sa isang Wi-Fi network. Ang parehong password ay ginagamit para sa lahat ng mga device. Ang password mismo ay naka-imbak sa mga device. Kung saan maaari mo itong tingnan o baguhin kung kinakailangan. Inirerekomenda na gamitin ang pagpipiliang ito.
• WPA/WPA2 - Enterprise– higit pa kumplikadong pamamaraan, na pangunahing ginagamit upang protektahan ang mga wireless network sa mga opisina at iba't ibang establisyimento. Binibigyang-daan kang magbigay ng higit pa mataas na antas proteksyon. Ginagamit lang kapag naka-install ang RADIUS server para pahintulutan ang mga device (na nagbibigay ng mga password).

Sa tingin ko nalaman na natin ang paraan ng pagpapatunay. Ang pinakamagandang bagay na gagamitin ay WPA2 - Personal (PSK). Para sa mas mahusay na compatibility, para walang mga problema sa pagkonekta ng mga mas lumang device, maaari mong itakda ang WPA/WPA2 mixed mode. Ito ang default na setting sa maraming router. O minarkahan bilang "Inirerekomenda".

Wireless Network Encryption

Mayroong dalawang paraan TKIP At AES.

Inirerekomenda na gumamit ng AES. Kung mayroon kang mas lumang mga device sa iyong network na hindi sumusuporta sa AES encryption (ngunit TKIP lang) at magkakaroon ng mga problema sa pagkonekta sa kanila sa wireless network, pagkatapos ay itakda ito sa "Auto". Uri TKIP encryption hindi suportado sa 802.11n mode.

Sa anumang kaso, kung mahigpit mong i-install ang WPA2 - Personal (inirerekomenda), pagkatapos ay AES encryption lamang ang magagamit.

Anong proteksyon ang dapat kong i-install sa aking Wi-Fi router?

Gamitin WPA2 - Personal na may AES encryption. Ngayon, ito ang pinakamahusay at pinakaligtas na paraan. Ito ang hitsura ng mga setting ng seguridad ng wireless network sa mga router ng ASUS:

At ito ang hitsura ng mga setting ng seguridad na ito sa mga router mula sa TP-Link (na may lumang firmware).

Higit pa detalyadong mga tagubilin para sa TP-Link maaari kang tumingin.

Mga tagubilin para sa iba pang mga router:

Kung hindi mo alam kung saan mahahanap ang lahat ng mga setting na ito sa iyong router, pagkatapos ay isulat sa mga komento, susubukan kong sabihin sa iyo. Basta huwag kalimutang tukuyin ang modelo.

Since WPA2 - Personal (AES) mas lumang mga device ( Mga adaptor ng Wi-Fi, mga telepono, tablet, atbp.) ay maaaring hindi ito suportado, pagkatapos ay sa kaso ng mga problema sa koneksyon, itakda ang mixed mode (Auto).

Madalas kong napapansin na pagkatapos baguhin ang password o iba pang mga setting ng seguridad, ang mga device ay hindi gustong kumonekta sa network. Maaaring makatanggap ang mga computer ng error na "Ang mga setting ng network na naka-save sa computer na ito ay hindi nakakatugon sa mga kinakailangan ng network na ito." Subukang tanggalin (kalimutan) ang network sa device at kumonekta muli. Isinulat ko kung paano gawin ito sa Windows 7. Ngunit sa Windows 10 kailangan mo .

Password (key) WPA PSK

Anuman ang uri ng seguridad at paraan ng pag-encrypt na pipiliin mo, dapat kang magtakda ng password. Ganun din siya WPA key, Wireless Password, Wi-Fi Network Security Key, atbp.

Ang haba ng password ay mula 8 hanggang 32 character. Maaaring gamitin ang mga titik alpabetong Latin at mga numero. Gayundin mga espesyal na palatandaan: - @ $ # ! atbp. Walang puwang! Ang password ay case sensitive! Nangangahulugan ito na ang "z" at "Z" ay magkaibang mga character.

Hindi ko inirerekomenda ang pagtaya mga simpleng password. Mas mahusay na lumikha malakas na password, na hindi makukuha ng sinuman, kahit magsikap sila.

Ito ay malamang na hindi mo matandaan ang gayong kumplikadong password. Masarap isulat ito sa isang lugar. Karaniwang nakalimutan lang ang mga password ng Wi-Fi. Isinulat ko sa artikulo kung ano ang gagawin sa mga ganitong sitwasyon: .

Kung kailangan mo ng higit pang seguridad, maaari mong gamitin ang MAC address binding. Totoo, hindi ko nakikita ang pangangailangan para dito. WPA2 - Personal na ipinares sa AES at kumplikadong password- sapat na.

Paano mo pinoprotektahan ang iyong Wi-Fi network? Sumulat sa mga komento. sige, magtanong :)

SA kani-kanina lang Maraming "naglalantad" na mga publikasyon ang lumitaw tungkol sa pag-hack ng ilang bagong protocol o teknolohiya na nakompromiso ang seguridad ng mga wireless network. Ganito ba talaga, ano ang dapat mong katakutan, at paano mo matitiyak na ang pag-access sa iyong network ay ligtas hangga't maaari? Maliit ba sa iyo ang mga salitang WEP, WPA, 802.1x, EAP, PKI? Ito maikling pagsusuri ay makakatulong sa pagsasama-sama ng lahat ng naaangkop na pag-encrypt at mga teknolohiya ng awtorisasyon sa pag-access sa radyo. Susubukan kong ipakita na ang isang maayos na naka-configure na wireless network ay kumakatawan sa isang hindi malulutas na hadlang para sa isang umaatake (hanggang sa isang tiyak na limitasyon, siyempre).

Mga pangunahing kaalaman

Ang anumang pakikipag-ugnayan sa pagitan ng isang access point (network) at isang wireless client ay batay sa:

• Authentication- kung paano ipinakilala ng kliyente at ng access point ang kanilang mga sarili sa isa't isa at kumpirmahin na may karapatan silang makipag-usap sa isa't isa;
• Pag-encrypt- anong scrambling algorithm para sa ipinadalang data ang ginagamit, kung paano nabuo ang encryption key, at kailan ito nagbabago.

Ang mga parameter ng isang wireless network, pangunahin ang pangalan nito (SSID), ay regular na ina-advertise ng access point sa mga broadcast beacon packet. Bilang karagdagan sa inaasahang mga setting ng seguridad, ang mga kahilingan para sa QoS, 802.11n na mga parameter, suportadong bilis, impormasyon tungkol sa iba pang mga kapitbahay, atbp. Tinutukoy ng pagpapatunay kung paano ipinapakita ng kliyente ang sarili sa punto. Mga posibleng opsyon:

• Bukas- ang tinatawag na bukas na network, kung saan pinahihintulutan ang lahat ng konektadong device nang sabay-sabay
• Ibinahagi- ang pagiging tunay ng nakakonektang device ay dapat ma-verify gamit ang isang key/password
• EAP- ang pagiging tunay ng nakakonektang device ay dapat ma-verify gamit ang EAP protocol ng isang external na server

Ang pagiging bukas ng network ay hindi nangangahulugan na ang sinuman ay maaaring makipagtulungan dito nang walang parusa. Upang magpadala ng data sa naturang network, ang encryption algorithm na ginamit ay dapat tumugma at, nang naaayon, ang naka-encrypt na koneksyon ay dapat na maitatag nang tama. Ang mga algorithm ng pag-encrypt ay:

• wala- walang encryption, ang data ay ipinadala sa malinaw na teksto
• WEP- cipher batay sa RC4 algorithm na may iba't ibang static o dynamic na haba ng key (64 o 128 bits)
• CKIP- pagmamay-ari na kapalit para sa Cisco's WEP, maagang bersyon ng TKIP
• TKIP- Pinahusay na pagpapalit ng WEP na may mga karagdagang pagsusuri at proteksyon
• AES/CCMP- ang pinaka-advanced na algorithm batay sa AES256 na may mga karagdagang pagsusuri at proteksyon

Kumbinasyon Buksan ang Authentication, Walang Encryption malawakang ginagamit sa mga sistema access ng bisita tulad ng pagbibigay ng Internet sa isang cafe o hotel. Upang kumonekta, kailangan mo lamang malaman ang pangalan ng wireless network. Kadalasan ang koneksyon na ito ay pinagsama sa karagdagang tseke sa Captive Portal sa pamamagitan ng pag-redirect sa HTTP na kahilingan ng user sa karagdagang pahina, kung saan maaari kang humiling ng kumpirmasyon (login-password, kasunduan sa mga patakaran, atbp.).

Pag-encrypt WEP ay nakompromiso at hindi magagamit (kahit na sa kaso ng mga dynamic na key).

Mga karaniwang nangyayaring termino WPA At WPA2 matukoy, sa katunayan, ang encryption algorithm (TKIP o AES). Dahil sa ang katunayan na ang mga adaptor ng kliyente ay sumusuporta sa WPA2 (AES) sa loob ng mahabang panahon, walang punto sa paggamit ng TKIP encryption.

Pagkakaiba sa pagitan ng WPA2 Personal At WPA2 Enterprise ay kung saan nagmula ang mga encryption key na ginagamit sa mechanics Algoritmo ng AES. Para sa mga pribadong (bahay, maliit) na application, ginagamit ang isang static na key (password, code word, PSK (Pre-Shared Key)) na may minimum na haba na 8 character, na nakatakda sa mga setting ng access point, at pareho para sa lahat ng mga kliyente ng isang ibinigay na wireless network. Ang kompromiso ng naturang susi (ibinuhos nila ang beans sa isang kapitbahay, isang empleyado ay tinanggal, isang laptop ay ninakaw) ay nangangailangan ng isang agarang pagbabago ng password para sa lahat ng natitirang mga gumagamit, na kung saan ay makatotohanan lamang kung mayroong isang maliit na bilang ng mga ito. Para sa mga aplikasyon ng korporasyon, gaya ng ipinahihiwatig ng pangalan, isang dynamic na key ang ginagamit, indibidwal para sa bawat nagtatrabahong kliyente sa ngayon. Ang key na ito ay maaaring pana-panahong i-update sa panahon ng operasyon nang hindi nasira ang koneksyon, at responsable para sa pagbuo nito karagdagang bahagi- isang server ng pahintulot, at halos palaging ito ay isang server ng RADIUS.

Ang lahat ng posibleng mga parameter ng kaligtasan ay ibinubuod sa plate na ito:

Ari-arian	Static na WEP	Dynamic na WEP	WPA	WPA 2 (Enterprise)
Pagkakakilanlan	User, computer, WLAN card	Gumagamit, kompyuter	Gumagamit, kompyuter	Gumagamit, kompyuter
Awtorisasyon	Nakabahaging Susi	EAP	EAP o nakabahaging key	EAP o nakabahaging key
Integridad	32-bit na Integrity Check Value (ICV)	32-bit na ICV	64-bit Message Integrity Code (MIC)	CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code - CCM) Bahagi ng AES
Pag-encrypt	Static na susi	Susi ng session	Per-packet key sa pamamagitan ng TKIP	CCMP (AES)
Pamamahagi ng susi	Isang beses, manual	Pair-wise Master Key (PMK) na segment	Nagmula sa PMK	Nagmula sa PMK
Vector ng pagsisimula	Teksto, 24 bits	Teksto, 24 bits	Advanced na vector, 65 bit	48-bit na packet number (PN)
Algorithm	RC4	RC4	RC4	AES
Haba ng susi, mga piraso	64/128	64/128	128	hanggang 256
Mga kinakailangang imprastraktura	Hindi	RADIUS	RADIUS	RADIUS

Kung malinaw ang lahat sa WPA2 Personal (WPA2 PSK), solusyon sa negosyo nangangailangan ng karagdagang pagsasaalang-alang.

WPA2 Enterprise

Dito tayo nakikitungo karagdagang set iba't ibang mga protocol. panig ng kliyente espesyal na sangkap software Nakikipag-ugnayan ang nagsusumamo (karaniwan ay bahagi ng OS) sa bahaging nagpapapahintulot, ang AAA server. SA sa halimbawang ito ipinapakita ang pagpapatakbo ng isang pinag-isang network ng radyo na binuo sa magaan na mga access point at isang controller. Sa kaso ng paggamit ng mga access point na may "utak", ang buong tungkulin ng isang tagapamagitan sa pagitan ng mga kliyente at server ay maaaring gawin ng mismong punto. Sa kasong ito, ang data ng supplicant ng kliyente ay ipinapadala sa radyo na nabuo sa 802.1x protocol (EAPOL), at sa gilid ng controller ay nakabalot ito sa mga RADIUS packet.

Ang paggamit ng mekanismo ng awtorisasyon ng EAP sa iyong network ay humahantong sa katotohanan na pagkatapos ng matagumpay na (halos tiyak na bukas) pagpapatotoo ng kliyente sa pamamagitan ng access point (kasama ang controller, kung mayroon), hinihiling ng huli sa kliyente na pahintulutan (kumpirmahin ang awtoridad nito) kasama ang server ng imprastraktura ng RADIUS:

Paggamit WPA2 Enterprise nangangailangan ng RADIUS server sa iyong network. Sa ngayon, ang pinaka-epektibong produkto ay ang mga sumusunod:

• Microsoft Network Policy Server (NPS), dating IAS- na-configure sa pamamagitan ng MMC, libre, ngunit kailangan mong bumili ng Windows
• Cisco Secure Access Control Server (ACS) 4.2, 5.3- na-configure sa pamamagitan ng isang web interface, sopistikado sa pag-andar, ay nagbibigay-daan sa iyo upang lumikha ng mga distributed at fault-tolerant system, mahal
• LibrengRADIUS- libre, na-configure gamit ang mga text config, hindi maginhawa upang pamahalaan at subaybayan

Sa kasong ito, maingat na sinusubaybayan ng controller ang patuloy na pagpapalitan ng impormasyon at naghihintay para sa matagumpay na awtorisasyon o pagtanggi nito. Kung matagumpay, ang RADIUS server ay makakapag-transmit sa access point karagdagang mga pagpipilian(halimbawa, kung saang VLAN ilalagay ang subscriber, kung saang IP address itatalaga, QoS profile, atbp.). Sa pagtatapos ng palitan, pinapayagan ng RADIUS server ang kliyente at ang access point na bumuo at makipagpalitan ng mga encryption key (indibidwal, balido lamang para sa session na ito):

EAP

Ang EAP protocol mismo ay lalagyan, ibig sabihin, ang aktwal na mekanismo ng awtorisasyon ay naiwan sa gumagamit panloob na mga protocol. Naka-on kasalukuyang sandali Ang mga sumusunod ay nakatanggap ng anumang makabuluhang pamamahagi:

• EAP-MABILIS(Flexible Authentication sa pamamagitan ng Secure Tunneling) - binuo ng Cisco; nagbibigay-daan sa awtorisasyon gamit ang isang login at password na ipinadala sa loob ng TLS tunnel sa pagitan ng nagsusumamo at ng RADIUS server
• EAP-TLS(Transport Layer Security). Gumagamit ng imprastraktura mga pampublikong susi(PKI) na pahintulutan ang kliyente at server (aplikante at RADIUS server) sa pamamagitan ng mga certificate na ibinigay ng isang pinagkakatiwalaang awtoridad ng certification (CA). Nangangailangan ng pag-isyu at pag-install ng mga certificate ng kliyente sa bawat wireless na device, kaya angkop lamang ito para sa isang pinamamahalaang corporate environment. server Mga sertipiko ng Windows ay may mga tool na nagbibigay-daan sa kliyente na independiyenteng bumuo ng isang sertipiko para sa sarili nito kung ang kliyente ay miyembro ng isang domain. Ang pagharang sa isang kliyente ay madaling magawa sa pamamagitan ng pagbawi sa sertipiko nito (o sa pamamagitan ng mga account).
• EAP-TTLS(Tunneled Transport Layer Security) ay katulad ng EAP-TLS, ngunit hindi nangangailangan ng certificate ng kliyente kapag gumagawa ng tunnel. Sa naturang tunnel, katulad ng koneksyon sa SSL ng browser, ang karagdagang awtorisasyon ay isinasagawa (gamit ang isang password o iba pa).
• PEAP-MSCHAPv2(Protected EAP) - katulad ng EAP-TTLS sa mga tuntunin ng paunang pagtatatag ng isang naka-encrypt na TLS tunnel sa pagitan ng kliyente at server, na nangangailangan sertipiko ng server. Kasunod nito, ang naturang tunnel ay pinahintulutan gamit ang kilalang MSCHAPv2 protocol.
• PEAP-GTC(Generic Token Card) - katulad ng nauna, ngunit nangangailangan ng mga card minsanang mga password(at kaugnay na imprastraktura)

Ang lahat ng mga pamamaraang ito (maliban sa EAP-FAST) ay nangangailangan ng isang server certificate (sa RADIUS server) na ibinigay ng isang certification authority (CA). Sa kasong ito, ang CA certificate mismo ay dapat na nasa device ng kliyente sa pinagkakatiwalaang grupo (na madaling ipatupad gamit ang patakaran ng grupo sa Windows). Bilang karagdagan, ang EAP-TLS ay nangangailangan ng indibidwal na sertipiko ng kliyente. Ang pagpapatotoo ng kliyente ay isinasagawa tulad ng sumusunod: digital na lagda, kaya (opsyonal) sa pamamagitan ng paghahambing ng certificate na ibinigay ng kliyente sa RADIUS server sa kung ano ang nakuha ng server mula sa imprastraktura ng PKI (Active Directory).

Ang suporta para sa alinman sa mga pamamaraan ng EAP ay dapat ibigay ng isang supplicant sa panig ng kliyente. Ang karaniwang built-in na Windows XP/Vista/7, iOS, Android ay nagbibigay ng hindi bababa sa EAP-TLS, at EAP-MSCHAPv2, na nagpapasikat sa mga pamamaraang ito. Ang mga Intel client adapter para sa Windows ay may kasamang ProSet utility na umaabot magagamit na listahan. Ganoon din ang ginagawa ng Cisco AnyConnect Client.

Gaano ito maaasahan?

Pagkatapos ng lahat, ano ang kinakailangan para i-hack ng isang attacker ang iyong network?

Para sa Open Authentication, No Encryption - wala. Nakakonekta sa network, at iyon na. Dahil bukas ang daluyan ng radyo, pumapasok ang signal magkaibang panig, hindi madali ang pagharang dito. Kung mayroon kang naaangkop na mga adaptor ng kliyente na nagbibigay-daan sa iyong makinig sa broadcast, trapiko sa network nakikita na parang nakakonekta ang attacker sa wire, sa hub, sa SPAN port ng switch.
Ang pag-encrypt na nakabatay sa WEP ay nangangailangan lamang ng IV brute force na oras at isa sa maraming malayang magagamit na mga kagamitan sa pag-scan.
Para sa pag-encrypt batay sa TKIP o AES, ang direktang pag-decryption ay posible sa teorya, ngunit sa pagsasagawa ay walang mga kaso ng pag-hack.

Siyempre, maaari mong subukang hulaan ang PSK key o password para sa isa sa mga pamamaraan ng EAP. Walang kilalang karaniwang pag-atake laban sa mga pamamaraang ito. Maaari mong subukang gumamit ng mga pamamaraan social engineering, o

TKIP at AES ay dalawa alternatibong uri encryption na ginagamit sa mga mode Seguridad ng WPA at WPA2. Sa mga setting ng seguridad ng wireless network sa mga router at access point, maaari kang pumili ng isa sa tatlong pagpipilian pag-encrypt:

• TKIP;
• TKIP+AES.

Kung pipiliin mo ang huli (pinagsama) na opsyon, ang mga kliyente ay makakakonekta sa access point gamit ang alinman sa dalawang algorithm.

TKIP o AES? Alin ang mas maganda?

Sagot: para sa mga modernong kagamitan, ang AES algorithm ay talagang mas angkop.

Gumamit lamang ng TKIP kung mayroon kang mga problema sa pagpili ng una (kung minsan ay nangyayari na kapag gumagamit ng AES encryption, ang koneksyon sa access point ay naaantala o hindi talaga naitatag. Karaniwan itong tinatawag na hindi pagkakatugma ng kagamitan).

Ano ang pinagkaiba

Ang AES ay isang moderno at mas secure na algorithm. Ito ay katugma sa 802.11n na pamantayan at nagbibigay mataas na bilis paglilipat ng data.

Hindi na ginagamit ang TKIP. Siya ay may higit pa mababang antas seguridad at sumusuporta sa mga rate ng paglilipat ng data hanggang 54 Mbit/s.

Paano lumipat mula TKIP sa AES

Case 1. Ang access point ay gumagana sa TKIP+AES mode

Sa kasong ito, kailangan mo lang baguhin ang uri ng pag-encrypt sa mga device ng kliyente. Ang pinakamadaling paraan upang gawin ito ay ang tanggalin ang profile sa network at muling kumonekta dito.

Case 2: TKIP lang ang ginagamit ng access point

Sa kasong ito:

1. Una, pumunta sa web interface ng access point (o router, ayon sa pagkakabanggit). Baguhin ang encryption sa AES at i-save ang mga setting (magbasa nang higit pa sa ibaba).

2. Baguhin ang encryption sa mga device ng kliyente (higit pang mga detalye sa susunod na talata). At muli, mas madaling kalimutan ang network at kumonekta muli dito sa pamamagitan ng pagpasok ng security key.

Paganahin ang AES encryption sa router

Paggamit ng D-Link bilang isang halimbawa

Pumunta sa seksyon Wireless Setup.

I-click ang button Manu-manong Wireless Connection Setup.

Itakda ang mode ng seguridad WPA2-PSK.

Maghanap ng item Uri ng Cipher at itakda ang halaga AES.

I-click I-save ang Mga Setting.

Paggamit ng TP-Link bilang isang halimbawa

Buksan ang seksyon Wireless.

Pumili ng item Wireless Security.

Sa bukid Bersyon pumili WPA2-PSK.

Sa bukid Pag-encrypt pumili AES.

I-click ang button I-save:

Baguhin ang uri ng wireless encryption sa Windows

Windows 10 at Windows 8.1

Ang mga bersyon ng OS na ito ay walang . Samakatuwid, mayroong tatlong mga pagpipilian para sa pagbabago ng encryption.

Opsyon 1. Ang Windows mismo ay makakakita ng hindi pagkakatugma sa mga setting ng network at ipo-prompt kang muling ipasok ang security key. Kasabay nito tamang algorithm awtomatikong mai-install ang pag-encrypt.

Opsyon 2. Hindi makakonekta ang Windows at mag-aalok na kalimutan ang network sa pamamagitan ng pagpapakita ng kaukulang pindutan:

Pagkatapos nito, makakakonekta ka sa iyong network nang walang mga problema, dahil... ang kanyang profile ay tatanggalin.

Opsyon 3. Kakailanganin mong tanggalin nang manu-mano ang profile ng network sa pamamagitan ng command line at pagkatapos ay kumonekta muli sa network.

Sundin ang mga hakbang na ito:

1 Ilunsad ang Command Prompt.

2 Ipasok ang utos:

Netsh wlan ipakita ang mga profile

upang magpakita ng listahan ng mga naka-save na profile ng wireless network.

3 Ngayon ipasok ang utos:

Netsh wlan tanggalin ang profile "iyong pangalan ng network"

upang tanggalin ang napiling profile.

Kung ang pangalan ng network ay naglalaman ng espasyo (halimbawa "wifi 2"), ilagay ito sa mga quotes.

Ipinapakita ng larawan ang lahat ng inilarawan na pagkilos:

4 Ngayon mag-click sa icon ng wireless network sa taskbar:

5 Pumili ng network.

6 I-click Kumonekta:

7 Ipasok ang iyong security key.

Windows 7

Ang lahat ay mas simple at mas malinaw dito.

1 I-click ang icon ng wireless network sa taskbar.

3 Mag-click sa link Pamamahala ng Wireless Network:

4 I-click i-right click mouse sa profile ng nais na network.

5 Piliin Mga Katangian:

Pansin! Sa hakbang na ito maaari mo ring i-click Tanggalin ang network at kumonekta lang ulit dito! Kung magpasya kang gawin ito, hindi mo na kailangang magbasa pa.

6 Pumunta sa tab Kaligtasan.

magandang araw, mahal na mga mambabasa blog site! Ngayon ay pag-uusapan natin wireless na seguridad DIR-615, tungkol sa seguridad sa network pangkalahatan. Sasabihin ko sa iyo kung ano ang konsepto ng WPA. Susunod na ibibigay ko hakbang-hakbang na mga tagubilin pag-set up ng wireless network gamit ang isang wizard, tungkol sa awtomatiko at manu-manong mga mode mga appointment key ng network. Susunod na ipapakita namin kung paano magdagdag ng wireless device gamit ang WPS wizard. Sa wakas, magbibigay ako ng paglalarawan ng mga configuration ng WPA-Personal (PSK) at WPA-Enterprise (RADIUS).

Seguridad sa Network

Sa artikulong ito, tulad ng ipinangako, magsusulat ako tungkol sa iba't ibang antas ng seguridad na magagamit mo upang protektahan ang iyong data mula sa mga nanghihimasok. Ang DIR-615 ay nag-aalok ng mga sumusunod na uri ng seguridad:

Ano ang WPA?

WPA, o Wi-Fi Protected Access Wi-Fi access), - Ito Pamantayan ng Wi-Fi, na idinisenyo upang mapabuti ang mga kakayahan sa seguridad WEP.

2 pangunahing pagpapabuti sa WEP:

• Pinahusay na pag-encrypt ng data sa pamamagitan ng TKIP. Pinaghahalo ng TKIP ang mga susi gamit ang isang algorithm ng hashing at nagdaragdag ng tampok na pagsusuri sa integridad, sa gayon ay tinitiyak na ang mga susi ay hindi maaaring pakialaman. Ang WPA2 ay batay sa 802.11i at mga gamit AES sa halip na TKIP.
• User Authentication, na karaniwang wala sa WEP, sa pamamagitan ng EAP. Kinokontrol ng WEP ang pag-access sa isang wireless network batay sa partikular na hardware Mga MAC address isang computer na medyo madaling malaman at nakawin. Ang EAP ay binuo sa higit pa secure na sistema pag-encrypt pampublikong susi upang matiyak na awtorisado lamang mga gumagamit ng network ay makaka-access sa network.

Gumagamit ang WPA-PSK/WPA2-PSK ng passphrase o key para patotohanan ang iyong wireless na koneksyon. Ang key na ito ay isang alphanumeric na password sa pagitan ng 8 at 63 character ang haba. Ang password ay maaaring magsama ng mga character (!?*&_) at mga puwang. Ang key na ito ay dapat na eksaktong kapareho ng key na inilagay sa iyong wireless na router o access point.

Ang WPA/WPA2 ay nagbibigay-daan sa pagpapatunay ng user sa pamamagitan ng EAP. Ang EAP ay binuo sa isang mas secure na public key encryption system upang matiyak na ang mga awtorisadong user ng network lamang ang makaka-access sa network.

Wireless Setup Wizard

Upang ilunsad ang security wizard, buksan ang umaga Setup at pagkatapos ay i-click ang pindutan Wireless Network Setup Wizard .

Awtomatikong Network Key Assignment

Kapag lumitaw ang screen na ito, kumpleto na ang pag-install. Bibigyan ka ng isang detalyadong ulat ng iyong mga setting ng seguridad sa network.
I-click I-save upang magpatuloy.

Manu-manong Network Key Assignment

Pumili wireless na password seguridad. dapat na eksaktong 5 o 13 character ang haba nito. Maaari rin itong eksaktong 10 o 26 na character gamit ang 0-9 at A-F.
I-click upang magpatuloy.

Kumpleto na ang pag-install. Bibigyan ka ng isang detalyadong ulat ng iyong mga setting ng wireless na seguridad. I-click I-save upang kumpletuhin ang Security Wizard.

Magdagdag ng Wireless Device gamit ang WPS Wizard

PBC: Piliin ang opsyong ito para gamitin ang paraan PBC para magdagdag ng wireless client. I-click Kumonekta .

WPA-Personal (PSK) Configuration

Inirerekomenda na paganahin mo ang pag-encrypt sa iyong wireless router bago i-on ang iyong wireless mga adaptor ng network. Mangyaring i-install ang opsyon wireless na koneksyon bago paganahin ang pag-encrypt. Iyong wireless signal maaaring lumala kapag pinagana ang pag-encrypt dahil sa karagdagang overhead.

WPA-Enterprise (RADIUS) Configuration

Inirerekomenda na paganahin mo ang pag-encrypt sa iyong wireless router bago i-on ang iyong mga wireless network adapter. Mangyaring magtatag ng wireless na pagkakakonekta bago i-enable ang pag-encrypt. Maaaring bumaba ang iyong wireless signal kapag pinagana mo ang pag-encrypt dahil sa karagdagang overhead.

1. Mag-log in sa web-based na configuration utility sa pamamagitan ng pagbubukas ng web browser window at pagpasok ng IP address ng router (192.168.0.1). I-click Setup at pagkatapos Mga Setting ng Wireless sa kaliwang bahagi.
2. Susunod sa Mode ng Seguridad , piliin WPA-Enterprise.
   Magkomento: Dapat hindi pinagana