Останнім часом з'явилося багато «викривальних» публікацій про зламування будь-якого чергового протоколу чи технології, що компрометує безпеку бездротових мереж. Чи так це насправді, чого варто боятися і як зробити, щоб доступ до вашої мережі був максимально захищений? Слова WEP, WPA, 802.1x, EAP, PKI мало що значать для вас? Цей невеликий огляд допоможе звести докупи всі застосовувані технології шифрування та авторизації радіо-доступу. Я спробую показати, що правильно налаштована бездротова мережа є непереборним бар'єром для зловмисника (до певної межі, звичайно).

Основи

Будь-яка взаємодія точки доступу (мережі) та бездротового клієнта побудована на:

• Аутентифікації- як клієнт та точка доступу представляються один одному і підтверджують, що вони мають право спілкуватися між собою;
• Шифрування- який алгоритм скремблювання даних, що передаються, застосовується, як генерується ключ шифрування, і коли він змінюється.

Параметри бездротової мережі, в першу чергу її ім'я (SSID), регулярно анонсуються точкою доступу в широкомовних пакетах. Крім очікуваних налаштувань безпеки, передаються побажання по QoS, за параметрами 802.11n, швидкості, відомості про інших сусідів та інше. Аутентифікація визначає, як клієнт представляється точці. Можливі варіанти:

• Open- так звана відкрита мережа, в якій всі пристрої, що підключаються, авторизовані відразу
• Shared- справжність пристрою, що підключається, повинна бути перевірена ключем/паролем
• EAP- справжність пристрою, що підключається, повинна бути перевірена за протоколом EAP зовнішнім сервером

Відкритість мережі не означає, що будь-хто охочий зможе безкарно з нею працювати. Щоб передавати в такій мережі дані, необхідно збіг алгоритму шифрування, що застосовується, і відповідно йому коректне встановлення шифрованого з'єднання. Алгоритми шифрування такі:

• None- відсутність шифрування, дані передаються у відкритому вигляді
• WEP- заснований на алгоритмі RC4 шифр з різною довжиною статичного чи динамічного ключа (64 або 128 біт)
• CKIP- пропрієтарна заміна WEP від ​​Cisco, ранній варіант TKIP
• TKIP- покращена заміна WEP з додатковими перевірками та захистом
• AES/CCMP- найбільш досконалий алгоритм, заснований на AES256 з додатковими перевірками та захистом

Комбінація Open Authentication, No Encryptionшироко використовується в системах гостьового доступу на зразок надання Інтернету в кафе або готелі. Для підключення потрібно знати лише ім'я бездротової мережі. Найчастіше таке підключення комбінується з додатковою перевіркою на Captive Portal шляхом редиректу користувача HTTP-запиту на додаткову сторінку, на якій можна запитати підтвердження (логін-пароль, згоду з правилами тощо).

Шифрування WEPскомпрометовано, і використовувати його не можна (навіть у разі динамічних ключів).

Терміни, що широко зустрічаються WPAі WPA2визначають, власне, алгоритм шифрування (TKIP чи AES). У силу того, що вже досить давно клієнтські адаптери підтримують WPA2 (AES), застосовувати шифрування за алгоритмом TKIP немає сенсу.

Різниця між WPA2 Personalі WPA2 Enterpriseполягає в тому, звідки беруться ключі шифрування, які у механіці алгоритму AES. Для приватних (домашніх, дрібних) застосувань використовується статичний ключ (пароль, кодове слово, PSK (Pre-Shared Key)) мінімальної довжиною 8 символів, що задається в налаштуваннях точки доступу, і у всіх клієнтів бездротової мережі однаковим. Компрометація такого ключа (пробовталися сусідові, звільнений співробітник, вкрадений ноутбук) вимагає негайної зміни пароля у всіх користувачів, що залишилися, що реалістично тільки у разі невеликого їх числа. Для корпоративних застосувань, як випливає з назви, використовується динамічний ключ, індивідуальний для кожного клієнта, що працює в даний момент. Цей ключ може періодично оновлюватись по ходу роботи без розриву з'єднання, і за його генерацію відповідає додатковий компонент - сервер авторизації, і майже завжди це RADIUS-сервер.

Усі можливі параметри безпеки зведені у цій табличці:

Властивість	Статичний WEP	Динамічний WEP	WPA	WPA 2 (Enterprise)
Ідентифікація	Користувач, комп'ютер, карта WLAN	Користувач, комп'ютер	Користувач, комп'ютер	Користувач, комп'ютер
Авторизація	Загальний ключ	EAP	EAP або спільний ключ	EAP або спільний ключ
Цілісність	32-bit Integrity Check Value (ICV)	32-bit ICV	64-bit Message Integrity Code (MIC)	CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code - CCM) Part of AES
Шифрування	Статичний ключ	Сесійний ключ	Попакетний ключ через TKIP	CCMP (AES)
Розподіл ключів	Одноразове, вручну	Сегмент Pair-wise Master Key (PMK)	Похідне від PMK	Похідне від PMK
Вектор ініціалізації	Текст, 24 біти	Текст, 24 біти	Розширений вектор, 65 біт	48-бітний номер пакета (PN)
Алгоритм	RC4	RC4	RC4	AES
Довжина ключа, біт	64/128	64/128	128	до 256
Необхідна інфраструктура	Ні	RADIUS	RADIUS	RADIUS

Якщо з WPA2 Personal (WPA2 PSK) все зрозуміло, корпоративне рішення потребує додаткового розгляду.

WPA2 Enterprise

Тут ми маємо справу із додатковим набором різних протоколів. На стороні клієнта спеціальний компонент програмного забезпечення, supplicant (зазвичай частина ОС) взаємодіє з авторизуючою частиною AAA сервером. У цьому прикладі відображено роботу уніфікованої радіомережі, побудованої на легковажних точках доступу та контролері. У разі використання точок доступу «з мізками» всю роль посередника між клієнтами та сервером може на себе взяти сама точка. При цьому дані клієнтського суппліканта по радіо передаються сформованими протоколом 802.1x (EAPOL), а на стороні контролера вони обертаються в RADIUS-пакети.

Застосування механізму авторизації EAP у вашій мережі призводить до того, що після успішної (майже напевно відкритої) автентифікації клієнта точкою доступу (спільно з контролером, якщо він є), остання просить клієнта авторизуватися (підтвердити свої повноваження) у інфраструктурного RADIUS-сервера:

Використання WPA2 Enterpriseпотребує наявності у вашій мережі RADIUS-сервера. На сьогоднішній момент найбільш працездатними є такі продукти:

• Microsoft Network Policy Server (NPS), колишній IAS- конфігурується через MMC, безкоштовний, але треба купити винду
• Cisco Secure Access Control Server (ACS) 4.2, 5.3- конфігурується через веб-інтерфейс, наворочений за функціоналом, дозволяє створювати розподілені та відмовостійкі системи, коштує дорого
• FreeRADIUS- Безкоштовний, конфігурується текстовими конфігами, в управлінні та моніторингу не зручний

При цьому контролер уважно спостерігає за обміном, що відбувається, і чекає успішної авторизації, або відмови в ній. При успіху RADIUS-сервер здатний передати точці доступу додаткові параметри (наприклад, в якій VLAN помістити абонента, який йому привласнити IP-адресу, профіль QoS і т.п.). На завершення обміну RADIUS-сервер дає можливість клієнту та точці доступу згенерувати та обмінятися ключами шифрування (індивідуальними, валідними тільки для даної сеcсії):

EAP

Сам протокол EAP є контейнерним, тобто фактичний механізм авторизації дається відкуп внутрішніх протоколів. На даний момент скільки-небудь значне поширення набули такі:

• EAP-FAST(Flexible Authentication via Secure Tunneling) – розроблений фірмою Cisco; дозволяє проводити авторизацію за логіном-паролем, що передається всередині TLS тунелю між супплікантом та RADIUS-сервером
• EAP-TLS(Transport Layer Security). Використовує інфраструктуру відкритих ключів (PKI) для авторизації клієнта та сервера (супліканта та RADIUS-сервера) через сертифікати, виписані довіреним центром (CA). Вимагає виписування та встановлення клієнтських сертифікатів на кожен бездротовий пристрій, тому підходить лише для керованого корпоративного середовища. Сервер сертифікатів Windows має засоби, що дозволяють клієнту самостійно генерувати сертифікат, якщо клієнт - член домену. Блокування клієнта легко здійснюється відгуком його сертифіката (чи через облікові записи).
• EAP-TTLS(Tunneled Transport Layer Security) аналогічний EAP-TLS, але під час створення тунелю не потрібен клієнтський сертифікат. У такому тунелі, аналогічному SSL-з'єднанню браузера, виконується додаткова авторизація (за паролем або ще).
• PEAP-MSCHAPv2(Protected EAP) - схожий на EAP-TTLS у плані початкового встановлення шифрованого TLS тунелю між клієнтом і сервером, що вимагає серверного сертифіката. Надалі в такому тунелі відбувається авторизація за відомим протоколом MSCHAPv2
• PEAP-GTC(Generic Token Card) – аналогічно попередньому, але вимагає карт одноразових паролів (і відповідної інфраструктури)

Усі ці методи (крім EAP-FAST) вимагають наявності сертифіката сервера (на RADIUS-сервері), виписаного центром, що засвідчує (CA). При цьому сертифікат CA повинен бути присутнім на пристрої клієнта в групі довірених (що неважко реалізувати засобами групової політики в Windows). Додатково EAP-TLS вимагає індивідуального клієнтського сертифіката. Перевірка справжності клієнта здійснюється як за цифровим підписом, так (опціонально) порівняно з наданим клієнтом сертифікатом RADIUS-серверу з тим, що сервер витягнув з PKI-інфраструктури (Active Directory).

Підтримка будь-якого з EAP методів має забезпечуватися суплікантом на стороні клієнта. Стандартний, вбудований у Windows XP/Vista/7, iOS, Android забезпечує як мінімум EAP-TLS і EAP-MSCHAPv2, що зумовлює популярність цих методів. З клієнтськими адаптерами Intel під Windows поставляється утиліта ProSet, яка розширює доступний список. Це робить Cisco AnyConnect Client.

Наскільки це надійно

Зрештою, що потрібно зловмисникові, щоб зламати вашу мережу?

Для Open Authentication, No Encryption – нічого. Підключився до мережі і все. Оскільки радіосередовище відкрито, сигнал поширюється на різні боки, заблокувати його непросто. За наявності відповідних клієнтських адаптерів, що дозволяють прослуховувати ефір, мережевий трафік видно так само, ніби атакуючий підключився до проводу, хаб, SPAN-порт комутатора.
Для шифрування, заснованого на WEP, потрібен лише час на перебір IV, і одна з багатьох доступних утиліт сканування.
Для шифрування, заснованого на TKIP чи AES пряме дешифрування можливе теоретично, але практично випадки злому не траплялися.

Звичайно, можна спробувати підібрати ключ PSK або пароль до одного з EAP-методів. Поширені атаки на ці методи не відомі. Можна намагатися застосувати методи соціальної інженерії, або

Багато роутерів в якості опцій надають такі стандарти безпеки: WPA2-PSK (TKIP), WPA2-PSK (AES) та WPA2-PSK (TKIP/AES). Зробите неправильний вибір – отримайте повільнішу та менш захищену мережу.

Стандарти WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) та WPA2 (Wi-Fi Protected Access II), які будуть вам запропоновані на вибір при налаштуванні параметрів безпеки бездротової мережі, є основними алгоритмами захисту інформації. WEP є найстарішим і найуразливішим, оскільки за час його використання в ньому було виявлено безліч слабких місць. WPA дає більш досконалий захист, але за наявними даними він також схильний до злому. WPA2 – в даний час розвивається стандарт – на даний момент є найпоширенішим варіантом захисту. TKIP (Temporal Key Integrity Protocol) і AES (Advanced Encryption Standard) є два різних типи шифрування, які можуть застосовуватися в стандарті WPA2. Давайте подивимося, чим вони відрізняються і який з них найбільше підходить вам.

AES vs. TKIP

TKIP і AES є два різні стандарти шифрування, які можуть використовуватися в мережах Wi-Fi. TKIP – старіший протокол шифрування, введений свого часу стандартом WPA замість вкрай ненадійного алгоритму WEP. Насправді TKIP багато в чому подібний до алгоритму шифрування WEP. TKIP вже не вважається надійним методом захисту і зараз не рекомендується. Іншими словами, вам не слід використовувати його.

AES – надійніший протокол шифрування, введений стандартом WPA2. AES - це не який-небудь сумний, той стандарт, розроблений спеціально для мереж Wi-Fi. Це серйозний світовий стандарт шифрування, озброєний навіть урядом США. Наприклад, коли ви зашифровуєте жорсткий диск за допомогою TrueCrypt, вона може використовувати для цього алгоритм шифрування AES. AES є загальновизнаним стандартом, що забезпечує практично повну безпеку, а його можливі слабкі місця – потенційна сприйнятливість до атак методом «грубою сили» (для протидії яким застосовуються досить складні кодові фрази) та недоліки захисту, пов'язані з іншими аспектами WPA2.

Усічений варіант захисту – TKIP, старіший протокол шифрування, що використовується стандартом WPA. AES для Wi-Fi – нове рішення в частині шифрування, яке застосовується у новому та безпечному стандарті WPA2. Теоретично цьому можна було б закінчити. Але на практиці, залежно від вашого роутера, простого вибору WPA2 може виявитися недостатньо.

Хоча стандарт WPA2 для оптимального захисту передбачає використання AES, він може використовувати і TKIP – там, де потрібна зворотна сумісність із пристроями попередніх поколінь. При такому розкладі пристрої, що підтримують WPA2, підключатимуться відповідно до WPA2, а пристрої, що підтримують WPA, підключатимуться відповідно до WPA. Тобто WPA2 не завжди означає WPA2-AES. Тим не менш, на пристроях без явного вказівки опцій TKIP або AES WPA2 зазвичай є синонімом WPA2-AES.
Абревіатура "PSK" у повному найменуванні цих опцій розшифровується як "pre-shared key" - ваша кодова фраза (ключ шифру). Це відрізняє персональні стандарти від WPA-Enterprise, де використовується RADIUS-сервер для видачі унікальних ключів у великих корпоративних або урядових мережах Wi-Fi.

Опції безпеки для мережі Wi-Fi

Ще складніше? Нічого дивного. Але все, що вам насправді потрібно зробити – це знайти в робочому списку пристрою одну, що забезпечує найбільший захист опцію. Ось найімовірніший список опцій вашого роутера:

• Open (risky): у відкритих мережах Wi-Fi немає кодових фраз. Вам не слід встановлювати цю опцію – серйозно, ви можете дати привід поліції натрапити до вас у гості.
• WEP 64 (risky): старий стандарт WEP легко вразливий, і вам не слід його використовувати.
• WEP 128 (risky): це той самий WEP, але зі збільшеною довжиною шифрувального ключа. За фактом уразливий не менше, ніж WEP 64.
• WPA-PSK (TKIP): тут використовується оригінальна версія WPA (по суті – WPA1). Він не цілком безпечний та був замінений на WPA2.
• WPA-PSK (AES): тут використовується оригінальний протокол WPA, де TKIP замінено більш сучасним стандартом шифрування AES. Цей варіант пропонується як тимчасовий захід, але пристрої, які підтримують AES, майже завжди підтримуватимуть WPA2, тоді як пристрої, яким потрібна WPA, майже ніколи не підтримуватимуть AES. Отже, ця опція немає великого сенсу.
• WPA2-PSK (TKIP): тут використовується сучасний стандарт WPA2 зі старим алгоритмом TKIP шифрування. Цей варіант не є безпечним, і його гідність полягає тільки в тому, що він підходить для старих пристроїв, які не підтримують опцію WPA2-PSK (AES).
• WPA2-PSK (AES): це найбільш уживана опція безпеки Тут використовується WPA2, найновіший стандарт шифрування для мереж Wi-Fi, та найновіший протокол шифрування AES. Ви повинні використовувати цю опцію. На деяких пристроях ви побачите опцію під назвою просто WPA2 або WPA2-PSK, що в більшості випадків передбачає використання AES.
• WPAWPA2-PSK (TKIP/AES): деякі пристрої пропонують – і навіть рекомендують – таку змішану опцію. Ця опція дозволяє використовувати і WPA, і WPA2 – як з TKIP, так і AES. Це забезпечує максимальну сумісність із будь-якими стародавніми пристроями, які у вас можуть бути, але також дає хакерам можливість проникнути у вашу мережу шляхом злому більш вразливих протоколів WPA та TKIP.

Сертифікація WPA2 дійсна з 2004 р., 2006 р. вона стала обов'язковою. Будь-який пристрій з логотипом Wi-Fi, виготовлений після 2006 р., повинен підтримувати стандарт шифрування WPA2.

Оскільки ваш пристрій з можливістю підключення до мережі Wi-Fi, швидше за все, молодше 11 років, ви можете почуватися спокійно, просто вибираючи опцію WPA2-PSK (AES). Встановивши цю опцію, ви також можете перевірити працездатність вашого пристрою. Якщо пристрій перестає працювати, ви завжди зможете повернути або обміняти його. Хоча, якщо безпека має для вас велике значення, ви можете просто купити новий пристрій, вироблений не раніше 2006 року.

WPA та TKIP уповільнюють мережу Wi-Fi

Опції WPA і TKIP, що вибираються з метою сумісності, можуть ще й уповільнити роботу мережі Wi-Fi. Багато сучасних роутерів Wi-Fi, які підтримують 802.11n або новіші та швидкі стандарти, будуть знижувати швидкість до 54 Мбіт/с, якщо ви встановите на них опцію WPA або TKIP, – для забезпечення гарантованої сумісності з гіпотетичними старими пристроями.

Для порівняння, при використанні WPA2 з AES навіть стандарт 802.11n підтримує швидкість до 300 Мбіт/с, а стандарт 802.11ac пропонує теоретичну максимальну швидкість 3,46 Гбіт/с за оптимальних (читай ідеальних) умов.
У більшості роутерів, як ми вже переконалися, список опцій зазвичай включає WEP, WPA (TKIP) і WPA2 (AES) – і, можливо, змішану опцію режиму максимальної сумісності WPA (TKIP) + WPA2 (AES), додану з кращими намірами .
Якщо у вас є роутер незвичайного типу, який пропонує WPA2 або разом з TKIP, або разом з AES, вибирайте AES. Майже всі ваші пристрої точно будуть з ним працювати, до того ж, швидше і безпечніше. AES – простий та раціональний вибір.

TKIP та AES – це два альтернативні типи шифрування, які застосовуються в режимах безпеки WPA та WPA2. У налаштуваннях безпеки бездротової мережі в роутерах та точках доступу можна вибирати один із трьох варіантів шифрування:

• TKIP;
• TKIP+AES.

Вибираючи останній (комбінований) варіант, клієнти зможуть підключатися до точки доступу, використовуючи будь-який з двох алгоритмів.

TKIP чи AES? Що краще?

Відповідь: для сучасних пристроїв однозначно більше підходить алгоритм AES.

Використовуйте TKIP тільки в тому випадку, якщо при виборі першого у вас виникають проблеми (це іноді буває, що при використанні шифрування AES зв'язок з точкою доступу обривається або не встановлюється взагалі. Зазвичай це називають несумісністю обладнання).

В чому різниця

AES – це сучасний та безпечніший алгоритм. Він сумісний зі стандартом 802.11n та забезпечує високу швидкість передачі даних.

TKIP є застарілим. Він має нижчий рівень безпеки і підтримує швидкість передачі даних аж до 54 Мбіт/сек.

Як перейти з TKIP на AES

Випадок 1. Точка доступу працює в режимі TKIP+AES

У цьому випадку вам достатньо змінити тип шифрування на пристроях клієнта. Найпростіше це зробити, вилучивши профіль мережі та підключившись до неї заново.

Випадок 2. Точка доступу використовує лише TKIP

В цьому випадку:

1. Спочатку зайдіть на веб-інтерфейс точки доступу (або роутера відповідно). Змініть шифрування на AES та збережіть налаштування (докладніше читайте нижче).

2. Змініть шифрування на клієнтських пристроях (докладніше – у наступному параграфі). І знову ж таки, простіше забути мережу і підключитися до неї заново, ввівши ключ безпеки.

Увімкнення AES-шифрування на роутері

На прикладі D-Link

Зайдіть у розділ Wireless Setup.

Натисніть кнопку Manual Wireless Connection Setup.

Встановіть режим безпеки WPA2-PSK.

Знайдіть пункт Cipher Typeта встановіть значення AES.

Натисніть Save Settings.

На прикладі TP-Link

Відкрийте розділ Wireless.

Виберіть пункт Wireless Security.

В полі VersionВиберіть WPA2-PSK.

В полі EncryptionВиберіть AES.

Натисніть кнопку Save:

Зміна типу шифрування бездротової мережі у Windows

Windows 10 та Windows 8.1

У цих версіях ОС немає розділу. Тому тут три варіанти зміни шифрування.

Варіант 1. Windows сама виявить розбіжність параметрів мережі та запропонує заново ввести ключ безпеки. При цьому правильний алгоритм шифрування буде встановлено автоматично.

Варіант 2. Windows не зможе підключитися і запропонує забути мережу, відобразивши відповідну кнопку:

Після цього ви зможете підключитися до мережі без проблем, т.к. її профіль буде видалено.

Варіант 3.Вам доведеться видаляти профіль мережі вручну через командний рядок і потім підключатися до мережі заново.

Виконайте наступні дії:

1 Запустіть командний рядок.

2 Введіть команду:

Netsh wlan show profiles

для виведення списку збережених профілів бездротової мережі.

3 Тепер введіть команду:

Netsh wlan delete profile "ім'я вашої мережі"

видалення вибраного профілю.

Якщо ім'я мережі містить пробіл (наприклад "wifi 2"), Візьміть його в лапки.

На зображенні показані всі описані дії:

4 Тепер на панелі завдань натисніть іконку бездротової мережі.

5 Виберіть мережу.

6 Натисніть Підключитися:

7 Введіть ключ безпеки.

Windows 7

Тут все простіше та наочніше.

1 На панелі завдань натисніть іконку бездротової мережі.

3 Натисніть на посилання Управління бездротовими мережами:

4 Натисніть правою кнопкою миші за профілем потрібної мережі.

5 Виберіть Властивості:

Увага! На цьому кроці можна також натиснути Видалити мережуі просто підключитися до неї заново! Якщо ви вирішите зробити так, далі читати не потрібно.

6 Перейдіть на вкладку Безпека.

Ця стаття присвячена питанню безпеки під час використання бездротових мереж WiFi.

Вступ - вразливість WiFi

Головна причина вразливості даних, коли ці дані передаються через мережі WiFi, полягає в тому, що обмін відбувається по радіохвилі. А це дає можливість перехопити повідомлення в будь-якій точці, де фізично доступний сигнал WiFi. Спрощено кажучи, якщо сигнал точки доступу можна вловити на дистанції 50 метрів, перехоплення всього мережевого трафіку цієї WiFi мережі можливе в радіусі 50 метрів від точки доступу. У сусідньому приміщенні, на іншому поверсі будівлі, на вулиці.

Уявіть таку картину. В офісі локальна мережа збудована через WiFi. Сигнал точки доступу цього офісу ловиться за межами будівлі, наприклад, на автостоянці. Зловмисник, за межами будівлі, може отримати доступ до офісної мережі, тобто непомітно для власників цієї мережі. До мереж WiFi можна отримати доступ легко та непомітно. Технічно значно легше, ніж до провідних мереж.

Так. На сьогоднішній день розроблено та впроваджено засоби захисту WiFi мереж. Такий захист заснований на шифруванні всього трафіку між точкою доступу та кінцевим пристроєм, який підключений до неї. Тобто радіосигнал перехопити зловмисник може, але для нього це буде просто цифрове сміття.

Як працює захист WiFi?

Точка доступу включає в свою WiFi мережу тільки той пристрій, який надішле правильний (вказаний в налаштуваннях точки доступу) пароль. У цьому пароль теж пересилається зашифрованим, як хеша. Хеш це результат незворотного шифрування. Тобто дані, переведені в хеш, розшифрувати не можна. Якщо зловмисник перехопить хеш пароля, він не зможе отримати пароль.

Але як точка доступу дізнається правильний вказаний пароль чи ні? Якщо вона також отримує хеш, а розшифрувати його не може? Все просто – в налаштуваннях точки доступу пароль вказаний у чистому вигляді. Програма авторизації бере чистий пароль, створює з нього хеш і потім порівнює цей хеш із отриманим від клієнта. Якщо хеші збігаються означає у клієнта пароль правильний. Тут використовується друга особливість хешей – вони унікальні. Одноманітний хеш не можна отримати із двох різних наборів даних (паролей). Якщо два хеші збігаються, то вони обидва створені з однакового набору даних.

До речі. Завдяки цій особливості хеш використовуються для контролю цілісності даних. Якщо два хеші (створені з проміжком часу) збігаються, значить вихідні дані (за цей проміжок часу) не були змінені.

Тим не менш, незважаючи на те, що найбільш сучасний метод захисту WiFi мережі (WPA2) надійний, ця мережа може бути зламана. Яким чином?

Є дві методики доступу до мережі під захистом WPA2:

1. Підбір пароля на основі паролів (так званий перебір за словником).
2. Використання вразливості у функції WPS.

У першому випадку зловмисник перехоплює хеш пароля до точки доступу. Потім за базою даних, у якій записані тисячі, чи мільйони слів, виконується порівняння хешів. Зі словника береться слово, генерується хеш для цього слова і потім цей хеш порівнюється з тим хешом, який був перехоплений. Якщо на точці доступу використовується примітивний пароль, тоді зламування пароля, цієї точки доступу, питання часу. Наприклад, пароль з 8 цифр (довжина 8 символів це мінімальна довжина пароля для WPA2) це один мільйон комбінацій. На сучасному комп'ютері зробити перебір одного мільйона значень можна за кілька днів або годин.

У другому випадку використовується вразливість у перших версіях функції WPS. Ця функція дозволяє підключити до точки доступу пристрій, на якому не можна ввести пароль, наприклад, принтер. При використанні цієї функції пристрій та точка доступу обмінюються цифровим кодом і якщо пристрій надішле правильний код, точка доступу авторизує клієнта. У цій функції була вразливість – код був із 8 цифр, але унікальність перевірялася лише чотирма з них! Тобто для злому WPS потрібно зробити перебір всіх значень, які дають 4 цифри. В результаті зламування точки доступу через WPS може бути виконаний буквально за кілька годин, на будь-якому, найслабшому пристрої.

Налаштування захисту мережі WiFi

Безпека мережі WiFi визначається настройками точки доступу. Декілька цих налаштувань прямо впливають на безпеку мережі.

Режим доступу до мережі WiFi

Точка доступу може працювати в одному з двох режимів – відкритому або захищеному. У разі відкритого доступу, підключитися до точки досуту може будь-який пристрій. У разі захищеного доступу підключається лише той пристрій, який передає правильний пароль доступу.

Існує три типи (стандарту) захисту WiFi мереж:

• WEP (Wired Equivalent Privacy). Найперший стандарт захисту. Сьогодні фактично не забезпечує захист, оскільки зламується дуже легко завдяки слабкості механізмів захисту.
• WPA (Wi-Fi Protected Access). Хронологічно другий стандарт захисту. На момент створення та введення в експлуатацію забезпечував ефективний захист WiFi мереж. Але наприкінці нульових років було знайдено можливості для злому захисту WPA через уразливість у механізмах захисту.
• WPA2 (Wi-Fi Protected Access). Останній стандарт захисту. Забезпечує надійний захист за дотримання певних правил. На сьогоднішній день відомі лише два способи злому захисту WPA2. Перебір пароля за словником та обхідний шлях через службу WPS.

Таким чином, для забезпечення безпеки WiFi необхідно вибирати тип захисту WPA2. Однак, не всі клієнтські пристрої можуть його підтримувати. Наприклад, Windows XP SP2 підтримує лише WPA.

Крім вибору стандарту WPA2, необхідні додаткові умови:

Використовувати метод шифрування AES.

Пароль для доступу до мережі WiFi необхідно складати так:

1. Використовуйтелітери та цифри в паролі. Довільний набір букв і цифр. Або дуже рідкісне, значуще лише для вас, слово чи фразу.
2. Невикористовуйте прості паролі на кшталт ім'я + дата народження, або якесь слово + кілька цифр, наприклад lena1991або dom12345.
3. Якщо потрібно використовувати тільки цифровий пароль, його довжина повинна бути не менше 10 символів. Тому що восьмисимвольний цифровий пароль підбирається шляхом перебору за реальний час (від декількох годин до декількох днів, залежно від потужності комп'ютера).

Якщо ви будете використовувати складні паролі відповідно до цих правил, то вашу WiFi мережу не можна буде зламати методом підбору пароля за словником. Наприклад, для пароля виду 5Fb9pE2a(довільний буквено-цифровий), максимально можливо 218340105584896 комбінацій. Сьогодні це практично неможливо для підбору. Навіть якщо комп'ютер порівнюватиме 1 000 000 (мільйон) слів на секунду, йому знадобиться майже 7 років для перебору всіх значень.

WPS (Wi-Fi Protected Setup)

Якщо точка доступу має функцію WPS (Wi-Fi Protected Setup), потрібно вимкнути її. Якщо ця функція необхідна, переконайтеся, що її версія оновлена ​​до наступних можливостей:

1. Використання всіх 8 символів пінкод замість 4-х, як це було спочатку.
2. Увімкнення затримки після кількох спроб передачі неправильного пінкоду з боку клієнта.

Додаткова можливість покращити захист WPS – це використання цифробуквенного пінода.

Безпека громадських мереж WiFi

Сьогодні модно користуватися Інтернет через WiFi мережі у громадських місцях – у кафе, ресторанах, торгових центрах тощо. Важливо розуміти, що використання таких мереж може призвести до крадіжки ваших персональних даних. Якщо ви входите в Інтернет через таку мережу і потім виконуєте авторизацію на будь-якому сайті, ваші дані (логін і пароль) можуть бути перехоплені іншою людиною, яка підключена до цієї ж мережі WiFi. Адже на будь-якому пристрої, який пройшов авторизацію і підключений до точки доступу, можна перехоплювати мережевий трафік з усіх інших пристроїв цієї мережі. А особливість громадських мереж WiFi у тому, що до неї може підключитися будь-який бажаючий, у тому числі зловмисник, причому не лише до відкритої мережі, а й захищеної.

Що можна зробити для захисту своїх даних, при підключенні до Інтернету через громадську мережу WiFi? Є лише одна можливість – використовувати протокол HTTPS. В рамках цього протоколу встановлюється зашифроване з'єднання між клієнтом (браузером) та сайтом. Але не всі веб-сайти підтримують протокол HTTPS. Адреси на сайті, що підтримує протокол HTTPS, починаються з префіксу https://. Якщо адреси на сайті мають префікс http:// це означає, що на сайті немає підтримки HTTPS або вона не використовується.

Деякі сайти за умовчанням не використовують HTTPS, але мають цей протокол і його можна використовувати, якщо явним чином (вручну) вказати префікс https://.

Що стосується інших випадків використання Інтернету - чати, скайп і т.д, то для захисту цих даних можна використовувати безкоштовні або платні сервери VPN. Тобто спочатку підключатися до сервера VPN, а потім використовувати чат або відкритий сайт.

Захист пароля WiFi

У другій і третій частинах цієї статті я писав про те, що у разі використання стандарту захисту WPA2, один із шляхів злому WiFi мережі полягає у підборі пароля за словником. Але для зловмисника є ще одна можливість отримати пароль до вашої мережі WiFi. Якщо ви зберігаєте пароль на стікері, приклеєному до монітора, це дає можливість побачити цей пароль сторонній людині. А ще ваш пароль може бути викрадений з комп'ютера, який підключений до вашої WiFi мережі. Це може зробити стороння людина, якщо ваші комп'ютери не захищені від доступу сторонніх. Це можна зробити за допомогою шкідливої ​​програми. Крім того пароль можна вкрасти і з пристрою, який виноситься за межі офісу (будинки, квартири) - зі смартфона, планшета.

Таким чином, якщо вам потрібний надійний захист вашої мережі WiFi, необхідно вживати заходів і для надійного зберігання пароля. Захищати його від сторонніх осіб.

Якщо вам виявилася корисною або просто сподобалася ця стаття, тоді не соромтеся - підтримайте матеріально автора. Це легко зробити закинувши грошики на Яндекс Гаманець № 410011416229354. Або на телефон +7 918-16-26-331 .

Навіть невелика сума може допомогти написання нових статей:)

Кількість людей, які активно користуються інтернетом, зростає, як на дріжджах: на роботі для вирішення корпоративних цілей та адміністрування, вдома, у громадських місцях. Розповсюдження отримують Wi-Fi мережі та обладнання, що дозволяє безперешкодно отримувати доступ до Інтернету.

Вай фай мережа має зашитий у вигляді пароля, не знаючи який, підключитися до конкретної мережі буде практично неможливо, крім громадських мереж (кафе, ресторани, торгові центри, точки доступу на вулицях). «Практично» не варто розуміти в буквальному сенсі: умільців, здатних «розкрити» мережу і отримати доступ не тільки до ресурсу роутера, а й до даних, що передаються всередині конкретної мережі, достатньо.

Але в цьому вступному слові ми поговорили про підключення до wi-fi. автентифікаціїкористувача (клієнта), коли клієнтський пристрій та точка доступу виявляють один одного та підтверджують, що можуть спілкуватися між собою.

Варіанти аутентифікації:

• Open- відкрита мережа, в якій всі пристрої, що підключаються, авторизовані відразу
• Shared- справжність пристрою, що підключається, повинна бути перевірена ключем/паролем
• EAP- справжність пристрою, що підключається, повинна бути перевірена за протоколом EAP зовнішнім сервером

Шифрування- це алгоритм скремблювання (scramble - шифрувати, перемішувати) даних, що передаються, зміна і генерація ключа шифрування

Для обладнання wifi були розроблені різні типи шифрування, що дають можливість захищати мережу від злому, а дані загального доступу.

На сьогоднішній день виділяються кілька варіантів шифрування. Розглянемо кожен із них докладніше.

Виділяються і є найпоширенішими такі типи:

• OPEN;
• WPA, WPA2;

Перший тип, що називається не інакше, як OPEN, все необхідну пізнання інформацію містить у назві. Зашифрувати дані або захистити мережеве обладнання такий режим не дозволить, тому що точка доступу буде за умови вибору такого типу постійно відкритою і доступною для всіх пристроїв, якими вона буде виявлена. Мінуси та вразливості такого типу «шифрування» очевидні.

Якщо мережа відкрита, це не означає, що будь-хто може з нею працювати. Щоб користуватися такою мережею і передавати в ній дані, потрібно збіг методу шифрування, що використовується. І ще одна умова користування такою мережею – відсутність MAC-фільтра, який визначає MAC-адреси користувачів, для того, щоб розпізнати яким пристроям заборонено або дозволено користуватися даною мережею

WEP

Другий тип, він же WEP, сягає корінням у 90-ті роки минулого століття, будучи родоначальником всіх наступних типів шифрування. Wep шифрування сьогодні – найслабший із усіх існуючих варіантів організації захисту. Більшість сучасних роутерів, що створюються фахівцями та враховують інтереси конфіденційності користувачів, не підтримують шифрування wep.

Серед мінусів, попри факт наявності будь-якого захисту (порівняно з OPEN), виділяється ненадійність: вона обумовлена ​​короткочасним захистом, який активується на певні інтервали часу. Після закінчення цього проміжку пароль до вашої мережі можна буде легко підібрати, а ключ wep буде зламаний за час до 1 хвилини. Це зумовлено бітністю wep ключа, що становить залежно від характеристик мережного обладнання від 40 до 100 біт.

Вразливість wep ключа полягає у факті передачі частин пароля в сукупності з пакетами даних. Перехоплення пакетів для фахівця - хакера або зломщика - завдання, легке для здійснення. Важливо розуміти і той факт, що сучасні програмні засоби здатні перехоплювати пакети даних та створені спеціально для цього.

Таким чином, шифрування wep – найненадійніший спосіб захисту вашої мережі та мережевого обладнання.

WPA, WPA2

Такі різновиди – найсучасніші та досконалішими з погляду організації зашиті на даний момент. Аналогів їм немає. Можливість задати будь-яку зручну користувачеві довжину і цифробуквенну комбінацію wpa ключа досить ускладнює життя бажаючим несанкціоновано скористатися конкретною мережею або перехопити дані цієї мережі.

Дані стандарти підтримують різні алгоритми шифрування, які можуть бути передані після взаємодії протоколів TKIP і AES. Тип шифрування aes є більш досконалим протоколом, ніж tkip, і більшістю сучасних роутерів підтримується та активно використовується.

Шифрування wpa або wpa2 – кращий тип як домашнього використання, так корпоративного. Останній дає можливість застосування двох режимів аутентифікації: перевірка паролів для доступу певних користувачів до спільної мережі здійснюється, залежно від налаштувань, за режимом PSK або Enterprise.

PSK передбачає доступ до мережного обладнання та ресурсів Інтернету при використанні єдиного пароля, який потрібно ввести при підключенні до роутера. Це найкращий варіант для домашньої мережі, підключення якої здійснюється в рамках невеликих площ певними пристроями, наприклад: мобільним, персональним комп'ютером та ноутбуком.

Для компаній, що мають солідні штати співробітників, PSK є недостатньо зручним режимом автентифікації, тому було розроблено другий режим – Enterprise. Його використання дає можливість застосування безлічі ключів, які зберігатимуться на спеціальному виділеному сервері.

WPS

По-справжньому сучасна і , уможливлює підключення до бездротової мережі за допомогою одного натискання на кнопку. Замислюватися про паролі або ключі безглуздо, але варто виділити та враховувати низку серйозних недоліків, що стосуються допуску до мереж WPS.

Підключення за допомогою такої технології здійснюється при використанні ключа, що включає 8 символів. Уразливість типу шифрування полягає в наступному: він має серйозну помилку, яка зломщикам або хакерам дозволяє отримати доступ до мережі, якщо їм доступні хоча б 4 цифри з восьмизначної комбінації. Кількість спроб підбору пароля при цьому складає близько кількох тисяч, проте для сучасних програмних засобів це число смішне. Якщо вимірювати процес форсування WPS у часі, процес займе не більше доби.

Варто відзначити і той факт, що дана вразливість перебувати на стадії вдосконалення і піддається виправленню, тому в наступних моделях обладнання з режимом WPS стали впроваджуватися обмеження на кількість спроб входу, що суттєво ускладнило завдання несанкціонованого доступу для зацікавлених осіб.

Проте, щоб підвищити загальний рівень безпеки, досвідчені користувачі рекомендують принципово відмовлятися від розглянутої технології.

Підбиваючи підсумки

Найсучаснішою та по-справжньому надійною методикою організації захисту мережі та даних, що передаються в ній, є WPA або її аналог WPA2.

Перший варіант переважний для домашнього використання певною кількістю пристроїв та користувачів.

Другий, що має функцію аутентифікації за двома режимами, більше підходить для великих компаній. Застосування його виправдано тим, що при звільненні співробітників немає потреби у зміні паролів і ключів, оскільки певна кількість динамічних паролів зберігаються на спеціально виділеному сервері, доступ до якого мають лише поточні співробітники компанії.

Слід зазначити, більшість просунутих користувачів віддають перевагу WPA2 навіть домашнього використання. З точки зору організації захисту обладнання та даних, такий метод шифрування є найдосконалішим із існуючих на сьогоднішній день.

Що стосується WPS, що набирає популярності, то відмовитися від нього – значить певною мірою убезпечити мережеве обладнання та інформаційні дані, що передаються за його допомогою. Поки технологія не розвинена достатньо і не має всіх переваг, наприклад, WPA2, від її застосування рекомендується утриматися всупереч простоті застосування і зручності, що здається. Адже безпека мережі та інформаційних масивів, що передаються в ній, – пріоритет для більшості користувачів.