WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети. Разница между WPA и WPA2

Шифрование WPA2

В основе стандарта WPA2 лежит метод шифрования AES, пришедший на смену стандартам DES и 3DES в качестве отраслевого стандарта де-факто. Требующий большого объема вычислений, стандарт AES нуждается в аппаратной поддержке, которая не всегда имеется в старом оборудовании БЛВС.

Для аутентификации и обеспечения целостности данных WPA2 использует протокол CBC-MAC (Cipher Block Chaining Message Authentication Code), а для шифрования данных и контрольной суммы MIC — режим счетчика (Counter Mode — CTR). Код целостности сообщения (MIC) протокола WPA2 представляет собой не что иное, как контрольную сумму и в отличие от WEP и WPA обеспечивает целостность данных для неизменных полей заголовка 802.11. Это предотвращает атаки типа packet replay с целью расшифровки пакетов или компрометации криптографической информации.

Для расчета MIC используется 128-разрядный вектор инициализации (Initialization Vector — IV), для шифрования IV — метод AES и временный ключ, а в итоге получается 128-разрядный результат. Далее над этим результатом и следующими 128 бит данных выполняется операция “исключающее ИЛИ”. Результат ее шифруется посредством AES и TK, а затем над последним результатом и следующими 128 бит данных снова выполняется операция “исключающее ИЛИ”. Процедура повторяется до тех пор, пока не будет исчерпана вся полезная нагрузка. Первые 64 разряда полученного на самом последнем шаге результата используются для вычисления значения MIC.

Для шифрования данных и MIC используется основанный на режиме счетчика алгоритм. Как и при шифровании вектора инициализации MIC, выполнение этого алгоритма начинается с предварительной загрузки 128-разрядного счетчика, где в поле счетчика вместо значения, соответствующего длине данных, берется значение счетчика, установленное на единицу. Таким образом, для шифрования каждого пакета используется свой счетчик.

С применением AES и TK шифруются первые 128 бит данных, а затем над 128-бит результатом этого шифрования выполняется операция “исключающее ИЛИ”. Первые 128 бит данных дают первый 128-разрядный зашифрованный блок. Предварительно загруженное значение счетчика инкрементально увеличивается и шифруется посредством AES и ключа шифрования данных. Затем над результатом этого шифрования и следующими 128 бит данных, снова выполняется операция “исключающее ИЛИ”.

Процедура повторяется до тех пор, пока не зашифруются все 128-разрядные блоки данных. После этого окончательное значение в поле счетчика сбрасывается в ноль, счетчик шифруется с использованием алгоритма AES, а затем над результатом шифрования и MIC выполняется операция “исключающее ИЛИ”. Результат последней операции пристыковывается к зашифрованному кадру.

После подсчета MIC с использованием протокола CBC-MAC производится шифрование данных и MIC. Затем к этой информации спереди добавляется заголовок 802.11 и поле номера пакета CCMP, пристыковывается концевик 802.11 и все это вместе отправляется по адресу назначения.

Расшифровка данных выполняется в обратном шифрованию порядке. Для извлечения счетчика задействуется тот же алгоритм, что и при его шифровании. Для дешифрации счетчика и зашифрованной части полезной нагрузки применяются основанный на режиме счетчика алгоритм расшифровки и ключ TK. Результатом этого процесса являются расшифрованные данные и контрольная сумма MIC. После этого, посредством алгоритма CBC-MAC, осуществляется перерасчет MIC для расшифрованных данных. Если значения MIC не совпадают, то пакет сбрасывается. При совпадении указанных значений расшифрованные данные отправляются в сетевой стек, а затем клиенту.

Вакансии

Вы — профессионал и ищете работу по специальности?

Даже если в списке наших вакансий сегодня вы не нашли подходящей — пожалуйста, присылайте в наш отдел кадров своё резюме. Мы обязательно примем его к сведению и в случае необходимости свяжемся с вами.

Инженер-конструктор Энгельгардт А.К.

Работает в компании с октября 2006 года

Интересная, местами творческая работа, требующая постоянного самосовершенствования и нетривиального подхода. Дружелюбный, слаженный и профессиональный коллектив. Хорошие условия труда и отдыха.

Прораб Манокин В.Н.

Работает в компании с марта 2007 года

Наша Компания является одной из крупных в Волгоградской области в сфере промышленной автоматизации. В нашей фирме есть возможность для карьерного и профессионального роста. В ООО «ВПА» меня окружают люди – настоящие профессионалы, с которыми и приятно работать и общаться. А самое главное, мне не стыдно за выполненную работу, т.к. она всегда выполняется в срок и качественно. Это один из базисов нашей Компании. ВПА постоянно растет и меняется. Появляются новые задачи и проекты. Нам интересно вместе не только работать, но также и учиться и отдыхать. Организовываются тренинги и часто проводятся различные мероприятия для сотрудников и их семей.

Электромонтажник Овчинников С.Ю.

Работает в компании с августа 2011 года

Однажды я пришел работать в ВПА
Понравился мне сразу персонал
Когда не получалось что-то у меня
Всегда нашелся тот кто подсказал
Монтаж это сложнейшая работа
Здесь надо не бояться высоты
Здесь слажено ведется вся работа
И часть работы выполняешь ты
Мне стала ВПА родной конторой
Я с гордостью на стройку прихожу
А если новый кто придет работать
Я с радостью ему все покажу
Мы год за годом фирму улучшаем
Объектов что мы сделали не счесть
И о другой работе не мечтаем
Спасибо ВПА за то что у нас есть.

Инженер-программист Нестеров Н.А.

Работает в компании с ноября 2013 года

1. Постоянное развитие и обучение.
   Разные проекты, разное оборудование, взаимодействие с разными людьми. Это и означает, что я всегда учусь.
2. Слаженный и дружный коллектив.
   Все готовы помочь друг другу и найти правильное решение поставленной задачи.
3. Небольшие «пятиминутки»
   Кто же не любит поздравления и угощения в Дни рождения или в особые радостные моменты человека? Вот я один из них!
4. Постоянно актуализированный «рабочий инструмент»
   Постоянные обновления ноутбуков до современных версий; разнообразие адаптеров, способных подключиться практически к любому оборудованию; своевременное «ТО» ноутбуков и оборудования
5. Небольшие «путешествия»
   Работа прежде всего! Но когда есть возможность узнать и изучить достопримечательности городов, сёл и исторических мест, я использую этот шанс на 100%.
6. Достойная и своевременная заработная плата в регионе.

Как это было раньше.

В 1997 году миру представили протокол шифрования WEP – это алгоритм послужил родоначальником семейства защиты беспроводных сетей, однако уже через пару-тройку лет стали раздаваться первые звоночки по поводу безопасности протокола, а ещё через некоторое время появились совершенные механизмы и инструменты, позволяющие проводить взлом сетей с защитой WEP в считанные минуты. Иногда он (тип шифрования) встречается и по сей день, но в силу своей слабости его стараются забыть, и современными устройствами он уже не используется. По этому поводу написано множество материалов и взломать WEP WiFi сеть способен уже любой школьник. Некоторые из утилит с графическим интерфейсом той же Кали делают это в мгновение (взлом WiFi с помощью Gerix). Замену WEP нашли быстро.

настройка Gerix в Кали Линукс для перехвата пакетов

Choose WPA2 for the best router security

Tetra Images / Getty Images

Internet & Network

• Guides & Tutorials

• The Wireless Connection

• Basics

• Installing & Upgrading

• Tips & Tricks

• Key Concepts

• What Are Bitcoins?

by
Bradley Mitchell

An MIT graduate who brings years of technical experience to articles on SEO, computers, and wireless networking.

Updated June 26, 2019

80

80 people found this article helpful

As the name suggests, WPA2 is an upgraded version of Wireless Protected Access (WPA) security and access control technology for Wi-Fi wireless networking. WPA2 has been available on all certified Wi-Fi hardware since 2006 and was an optional feature on some products before that.

WPA vs. WPA2

When WPA replaced the older WEP technology, which used easy-to-crack radio waves, it improved on WEP security by scrambling the encryption key and verifying that is wasn’t altered during data transfer. WPA2 further improves the security of a network with its use of stronger encryption called AES. Although WPA is more secure than WEP, WPA2 is significantly more secure than WPA and the obvious choice for router owners.

WPA2 is designed to improve the security of Wi-Fi connections by requiring the use of stronger wireless encryption than WPA requires. Specifically, WPA2 does not allow the use of an algorithm called Temporal Key Integrity Protocol (TKIP) that is known to have security holes and limitations.

When You Have to Choose

Many older wireless routers for home networks support both WPA and WPA2 technology, and administrators must choose which one to run. WPA2 is a simpler, safer choice.

Some techies point out that using WPA2 requires Wi-Fi hardware to work harder while running the more advanced encryption algorithms, which can theoretically slow down the network’s overall performance more than running WPA. Since its introduction, though, WPA2 technology has proven its value and continues to be recommended for use on wireless home networks. The performance impact of WPA2 is negligible.

Passwords

Another difference between WPA and WPA2 is the length of their passwords. WPA2 requires you to enter a longer password than WPA requires. The shared password only has to be entered one time on the devices that access the router, but it provides an additional layer of protection from people who would crack your network if they could.

Business Considerations

WPA2 comes in two versions: WPA2-Personal and WPA2-Enterprise. The difference lies in the shared password that is used in WPA2-Personal. Corporate Wi-Fi should not use WPA or WPA2-Personal. The Enterprise version eliminates the shared password and instead assigns unique credentials to each employee and device. This protects the company from damage that a departing employee could do.

Continue Reading

Резюме файла WPA

У нас есть один существующие программные обеспечения, связанные с файлами WPA (как правило это программное обеспечение от Swiftpage, Inc., известное как Swiftpage Act), и их можно отнести к категории основных типов файлов один. Традиционно эти файлы имеют формат ACT Word Processing Document .

В большинстве случаев эти файлы относятся к Text Files.

Расширение файла WPA поддерживается Windows. Данные типы файлов можно найти в основном на настольных компьютерах и некоторых мобильных устройствах.

Рейтинг популярности данных файлов составляет «Низкий» и они обычно не используются.

Составляющие WPA

Как мы говорили выше, WPA использует специальные ключи, которые генерируются при каждой попытке начать передачу сигнала, то есть включить Wi-Fi, а также меняются раз в некоторое время.

В WPA входит сразу несколько технологий, которые и помогают генерировать и передавать эти самые ключи.

Ниже, на рисунке, показана общая формула, в которую входят все составляющие рассматриваемой технологии.

Рис. 3. Формула с составляющими WPA

А теперь рассмотрим каждую из этих составляющих по отдельности:

• 1X – это стандарт, который используется для генерирования того самого уникального ключа, с помощью которого в дальнейшем и происходит аутентификация.
• EAP – это так называемый расширяемый протокол аутентификации. Он отвечает за формат сообщений, с помощью которых передаются ключи.
• TKIP – протокол, который позволил расширить размер ключа до 128 байт (раньше, в WEP, он был лишь 40 байт).
• MIC – механизм проверки сообщений (в частности, они проверяются на предмет целостности). Если сообщения не отвечают критериям, они отправляются обратно.

Стоит сказать, что сейчас уже есть WPA2, в котором, кроме всего вышесказанного, используются также CCMP и шифрование AES.

Мы не будем сейчас говорить о том, что это такое, но WPA2 надежнее, чем WPA. Это все, что Вам точно нужно знать.

Еще раз с самого начала

Итак, у Вас есть Wi-Fi. В сети используется технология WPA.

Чтобы подключиться к Wi-Fi, каждое устройство должно предоставить сертификат пользователя, а если проще, то специальный ключ, выданный сервером аутентификации.

Только тогда он сможет использовать сеть. Вот и все!

Теперь Вы знаете, что же такое WPA. Теперь поговорим о том, чем хороша и чем плоха эта технология.

Аутентификация в WPA2

Как WPA, так и WPA2 работают в двух режимах аутентификации: персональном (Personal) и корпоративном (Enterprise). В режиме WPA2-Personal из введенной открытым текстом парольной фразы генерируется 256-разрядный ключ, иногда именуемый предварительно распределяемым ключом PSK (Pre Shared Key). Ключ PSK, а также идентификатор SSID (Service Set Identifier) и длина последнего вместе образуют математический базис для формирования главного парного ключа PMK (Pairwise Master Key), который используется для инициализации четырехстороннего квитирования связи и генерации временного парного или сеансового ключа PTK (Pairwise Transient Key), для взаимодействия беспроводного пользовательского устройства с точкой доступа. Как и статическому протоколу WEP, протоколу WPA2-Personal присуще наличие проблем распределения и поддержки ключей, что делает его более подходящим для применения в небольших офисах, нежели на предприятиях.

Однако в протоколе WPA2-Enterprise успешно решаемы проблемы, касающиеся распределения статических ключей и управления ими, а его интеграция с большинством корпоративных сервисов аутентификации обеспечивает контроль доступа на основе учетных записей. Для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль; аутентификация же осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг соединения и направляют аутентификационные пакеты на соответствующий сервер аутентификации, как правило, это сервер RADIUS. Базой для режима WPA2-Enterprise служит стандарт 802.1X, поддерживающий основанную на контроле портов аутентификацию пользователей и машин, пригодную как для проводных коммутаторов, так и для беспроводных точек доступа.

Преимущества WPA перед WEP

1. Кадр данных состоит из зашифрованной и незашифрованной части. Зашифрованная часть сдержит в себе данные и контрольную суммы(CRC32), незашифрованная – вектор инициализации и идентификатор ключа.

2. Каждый кадр данных шифруется поточным шифром RC4, используя в качестве ключа шифрования вектор инициализации с присоединенным к нему ключом WEP.

Таким образом, для каждого кадра данных генерируется свой ключ шифрования, однако в то же время каждый новый ключ шифрования отличается от другого всего лишь на вектор инициализации. (24 бита, когда длина ключа может быть 40 либо 104 бит)Таким образом, если злоумышленник перехватит большое количество пакетов, то он получит следующее:-большое количество векторов инициализации

-большое количество зашифрованных данных

-ключ шифрования для каждого последующего кадра отличается от предыдущего всего на 4 бита(длина вектора инициализации)

Таким образом, есть возможность извлечения ключа путем выполнения математических операций над пакетами.

Для того, чтобы успешно получить ключ WEP, злоумышленнику необходимо следующее:

-находиться в том месте, где есть возможность приема сигнала сети(вполне хватит RSSI в -85 dBm)

-захватить около 100-200 тыс. векторов инициализации, в зависимости от длины ключа(WEP-40 или WEP-104). Обычно, для этого нужно перехватить 25-50 Мб трафика, передающегося в сети. При наличии высокой сетевой активности (загрузка файлов (особенно с использованием пиринговых сетей) видеоконференции), для захвата необходимого объема трафика хватит 5-10 минут.

Также обратите внимание на то, как злоумышленник выполняет захват трафика.

Обычно, беспроводные сетевые адаптеры работают в нормальном режиме – принимают только те пакеты, которые посланы на их MAC-адрес, при условии, что они подключены к этой беспроводной сети. Однако, физически ни что не мешает беспроводному сетевому адаптеру захватывать все пакеты, которые есть в радиусе его действия на выбранном канале

Для реализации такой возможности существуют специальные неофициальные драйвера и программное обеспечение. Больше того, такое программное обеспечение продается вполне легально, и оно используется для мониторинга беспроводных сетей. Примером такой программы может служить CommView for WiFi компании TamoSoft. Далее злоумышленник выполняет анализ захваченного трафика. Поскольку WEP был взломан уже много лет назад, то в интернете можно найти утилиты, которые в автоматическом режиме извлекают ключ из CAP-файла с трафиком, самой распространенной среди них является Aircrack.

Таким образом, WEP имеет следующие минусы

-предсказуемость ключа шифрования для кадра

-отсутствие средств аутентификации в сети

-слабый механизм проверки целостности данных

Поэтому многие предприятия отказывались от использования беспроводных сетей вообще, чтобы избежать утечку корпоративной информации. Однако с появлением WPA, а в последствии WPA2 ситуация изменилась, и все больше и больше корпоративных пользователей стали использовать WPA. Действительно, в сравнении с WEP он обладает рядом преимуществ:

-математическая независимость друг от друга ключей шифрования для каждого пакета

-новый механизм подсчета контрольной суммы

-WPA включает в себя средства аутентификации протокола 802.1Х

Разница между WPA и WPA2

Поиск разницы между WPA и WPA2 для большинства пользователей актуальности не имеет, так как вся защита беспроводной сети сводится к выбору более-менее сложного пароля на доступ. На сегодняшний день ситуация такова, что все устройства, работающие в сетях Wi-Fi, обязаны поддерживать WPA2, так что выбор WPA обусловлен может быть только нестандартными ситуациями. К примеру, операционные системы старше Windows XP SP3 не поддерживают работу с WPA2 без применения патчей, так что машины и устройства, управляемые такими системами, требуют внимания администратора сети. Даже некоторые современные смартфоны могут не поддерживать новый протокол шифрования, преимущественно это касается внебрендовых азиатских гаджетов. С другой стороны, некоторые версии Windows старше XP не поддерживают работу с WPA2 на уровне объектов групповой политики, поэтому требуют в этом случае более тонкой настройки сетевых подключений.

Техническое отличие WPA от WPA2 состоит в технологии шифрования, в частности, в используемых протоколах. В WPA используется протокол TKIP, в WPA2 — протокол AES. На практике это означает, что более современный WPA2 обеспечивает более высокую степень защиты сети. К примеру, протокол TKIP позволяет создавать ключ аутентификации размером до 128 бит, AES — до 256 бит.

Отличие WPA2 от WPA заключается в следующем:

• WPA2 представляет собой улучшенный WPA.
• WPA2 использует протокол AES, WPA — протокол TKIP.
• WPA2 поддерживается всеми современными беспроводными устройствами.
• WPA2 может не поддерживаться устаревшими операционными системами.
• Степень защиты WPA2 выше, чем WPA.

Тип шифрования беспроводной сети как выбрать способ защиты

Итак, всего существует 3 типа шифрования:

1. 1. WEP шифрование
   

Тип шифрования WEP появился ещё в далеких 90-х и был первым вариантом защиты Wi-Fi сетей: позиционировался он как аналог шифрования в проводных сетях и применял шифр RC4. Существовало три распространенных алгоритма шифровки передаваемых данных — Neesus, Apple и MD5 — но каждый из них не обеспечивал должного уровня безопасности. В 2004 году IEEE объявили стандарт устаревшим ввиду того, что он окончательно перестал обеспечивать безопасность подключения к сети. В данный момент такой тип шифрования для wifi использовать не рекомендуется, т.к. он не является криптостойким.

1. 2. WPS
   — это стандарт, не предусматривающий использование . Для подключения к роутеру достаточно просто нажать на соответствующую кнопку, о которой мы подробно рассказывали в статье .

Теоретически WPS позволяет подключиться к точке доступа по восьмизначному коду, однако на практике зачастую достаточно лишь четырех.

Этим фактом преспокойно пользуются многочисленные хакеры, которые достаточно быстро (за 3 — 15 часов) взламывают сети wifi, поэтому использовать данное соединение также не рекомендуется.

1. 3. Тип шифрования WPA/WPA2
   

Куда лучше обстоят дела с шифрованием WPA. Вместо уязвимого шифра RC4 здесь используется шифрование AES, где длина пароля – величина произвольная (8 – 63 бита). Данный тип шифрования обеспечивает нормальный уровень безопасности безопасность, и вполне подходит для простых wifi маршрутизаторов. При этом существует две его разновидности:

Тип PSK (Pre-Shared Key) – подключение к точке доступа осуществляется с помощью заранее заданного пароля.
— Enterprise – пароль для каждого узла генерируется автоматически с проверкой на серверах RADIUS.

Тип шифрования WPA2 является продолжением WPA с улучшениями безопасности. В данном протоколе применяется RSN, в основе которого лежит шифрование AES.

Как и у шифрования WPA, тип WPA2 имеет два режима работы: PSK и Enterprise.

С 2006 года тип шифрования WPA2 поддерживается всем Wi-Fi оборудованием, соответственное гео можно выбрать для любого маршрутизатора.

Преимущества шифрования WPA2 перед WPA:

Генерация ключей шифрования происходит в процессе подключения к роутеру (взамен статических);
— Использование алгоритма Michael для контроля целостности передаваемых сообщений
— Использование вектора инициализации существенно большей длины.
Кроме того, тип шифрования Wi-Fi выбирать стоит в зависимости от того, где используется ваш роутер:

Шифрование WEP, TKIP и CKIP вообще не стоит использовать;

Для домашней точки доступа вполне подойдет WPA/WPA2 PSK;

Для стоит выбрать WPA/WPA2 Enterprise.

Преимущества и недостатки WPA шифрования

К преимуществам данной технологии стоило бы отнести следующее:

1. Усиленная безопасность передачи данных (в сравнении с WEP, предшественником, WPA).
2. Более жесткий контроль доступа к Wi-Fi.
3. Совместимость с большим количеством устройств, которые используются для организации беспроводной сети.
4. Централизованное управление безопасностью. Центром в этом случае является сервер аутентификации. За счет этого злоумышленники не имеют возможности получить доступ к скрытым данным.
5. Предприятия могут использовать собственные политики безопасности.
6. Простота в настройке и дальнейшем использовании.

Конечно же, есть у данной технологии и недостатки, причем они зачастую оказываются весьма значительными. В частности, речь идет вот о чем:

1. Ключ TKIP можно взломать максимум за 15 минут. Об этом заявила группа специалистов в 2008 году на конференции PacSec.
2. В 2009 году специалистами из Университета Хиросимы был разработан метод взлома любой сети, где используется WPA, за одну минуту.
3. С помощью уязвимости, названной специалистами Hole196, можно использовать WPA2 со своим ключом, а не с тем, который требуется сервером аутентификации.
4. В большинстве случаев любое WPA можно взломать с помощью обычного перебора всех возможных вариантов (брут-форс), а также при помощи так называемой атаки по словарю. Во втором случае используются варианты не в хаотическом порядке, а по словарю.

Конечно, чтобы воспользоваться всеми этими уязвимостями и проблемами, необходимо иметь особенные знания в области построения компьютерных сетей.

Большинству рядовых пользователей все это недоступно. Поэтому Вы можете особо не переживать о том, что кто-то получит доступ к Вашему Wi-Fi.

Рис. 4. Взломщик и компьютер

Вам это может быть интересно:

Услуги

Благодаря высокому профессионализму, учету пожеланий заказчика и творческому подходу к, наши специалисты решают их быстро и качественно.

Электролаборатория

Основным направлением нашей деятельности является автоматизация, проектирование АСУ ТП. Благодаря высокому профессионализму, ориентации на пожелания заказчика и творческому подходу к поставленным задачам, наши специалисты решают их быстро и качественно. Применяемые нами решения современны и способны удовлетворить самого взыскательного клиента.

Разрабатываемые и модернизируемые нами SCADA системы и станции визуализации всегда надежны, информативны, наглядны, интуитивно понятны, максимально просты, с легкостью адаптируются под изменяющуюся ситуацию.

Так же, мы предоставляем услуги по программированию ПЛК не только Siemens но и других мировых лидеров(ABB, Honeywell, Yaskawa, Omron, Yokogawa, Adam и пр.).

В сферу предоставляемого нами сервиса входят так же сборка шкафов автоматики, силовых ШР, ЩР, щитов КИПиА. Cобственный сборочный цех, наряду с высококвалифицированным, опытным персоналом, позволяет производить сборку нескольких единиц одновременно.

Мы используем проверенных поставщиков, таких как Siemens, Danfoss, ABB, Omron, Rittal, а так же оборудование других отечественных и зарубежных производителей.

Наши сотрудники осуществляют полный комплекс сопутствующих работ:

•   пуско-наладочные;
•   ремонтные;
•   электромонтажные;
•   сервисное ТО;
•   диагностика;
•   консалтинг.

В составе нашей кампании имеется электролаборатория, производящая работы любой сложности.

Участок по ремонту приводной техники имеет отличную стендовую и диагностическую базу, что даёт возможность обслуживать практически любой регулируемый привод как отечественного, так и импортного производства, от ДПТ до сервоприводов.

Высокотехнологичный и современный склад, а так же прямые поставки от производителей, позволяют не только держать в наличии запас наиболее ходовых позиций, но и предлагать конкурентоспособные цены, индивидуальные скидки, работать по предзаказу.

Немаловажным будет упомянуть, что за все время нами не было получено ни одной рекламации, касаемо качества и сроков выполнения.

Одно из структурных подразделений ВПА это учебный центр, на базе которого ваши сотрудники могут пройти необходимое обучение, после которого смогут самостоятельно обслуживать систему автоматизации.

Как обезопасить свой Wi-Fi

Отключение WPS

WPS расшифровывается как Wi-Fi Protected Setup, это стандарт и одновременно протокол, который был создан, чтобы сделать настройку беспроводных соединений проще. Несмотря на свою практичность и функциональность, это решение содержит серьёзный изъян: восьмизначный PIN-код, состоящий только из цифр, легко сломать методом примитивного подбора, и это создаёт удобную отправную точку для хакеров, желающих завладеть чужим Wi-Fi.

Что бы узнать, использует или нет беспроводной маршрутизатор протокол WPS, нужно повнимательней рассмотреть коробку, в которой он поставляется: поддержка WPS отмечается наличием особого логотипа на упаковке и отдельной физической кнопкой на корпусе устройства. С точки зрения защиты от взлома этот протокол лучше отключить и никогда им не пользоваться.

Смена пароля на маршрутизаторе

Для того чтобы увидеть панель управления(Вэб-интерфейс) маршрутизатором, нужно написать его внутренний  адрес 192.168.1.1 или 192.168.0.1 в адресной строке браузера.

Внутренний ip адрес роутера всегда указан на задней стороне устройства, иногда там прописан и начальный wi-fi пароль.

После того, как удалось успешно войти в панель с помощью родного пароля, установленного производителем или полученного от провайдера интернет-услуг, можно увидеть раздел изменения администраторского логина или пароля. Множество маршрутизаторов поставляются с примитивными паролями и логинами вроде ‘admin’ и ‘password’, которые, естественно, нужно сменить на нормальные. Сложный пароль сделает взлом маршрутизатора и доступ к его администраторской панели практически невозможным для посторонних лиц.

Уязвимости в WPAWPA2

При всех своих достоинствах, WPA\WPA2 не лишен уязвимостей.

Начнем с того, что еще в 2006 году TKIP-шифрование в WPA было взломано. Эксплоит позволяет прочитать данные, передаваемые от точки доступа клиентской машине, а также передавать поддельную информацию на клиентскую машину. Для реализации этой атаки необходимо, чтобы в сети использовался QoS.

Поэтому я также не рекомендую использовать WPA для защиты вашей беспроводной сети. Конечно, взломать его сложнее, нежели WEP, и WPA защитит вас от атаки школьников с Aircrack, однако, он не устоит против целенаправленной атаки на вашу организацию. Для наибольшей защиты я рекомендую использовать WPA2

Однако и WPA2 не лишен уязвимостей. В 2008 году была обнаружена уязвимость, позволяющая провести атаку «человек в центре». Она позволяла участнику сети перехватить и расшифровать данные, передаваемые между другими участниками сети с использованием их Pairwise Transient Key

Поэтому, при работе в такой сети имеет смысл использовать дополнительные средства шифрования передаваемой информации.(ПСКЗИ «Шипка» например) В то же время обратите внимание, что для того, чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо быть авторизованным и подключенным к сети.

Однако я бы хотел заострить внимание на «домашней» реализации WPA-PSK. В нем упрощена схема авторизации, таким «узким» местом в нем является сам Pre-Shared Key, поскольку ввод этого ключа дает устройству полный доступ в сеть (если не задействована MAC-фильтрация).

Сам ключ хранится в точке доступа

В зависимости от модели и микропрограммного обеспечения устройства, реализуются методы его защиты. В некоторых случаях злоумышленнику достаточно получить доступ в веб-панель управления, и получить Pre-Shared Key, который хранится там открытым текстом. В некоторых случаях, поле с ним защищено, как поле с паролем, но все равно есть возможность его извлечения, если злоумышленник сможет извлечь из устройства микросхему памяти и получить к ней доступ на низком уровне. Поэтому обращайте внимание на физическую защищенность вашего беспроводного оборудования.

И наконец, самой последней уязвимостью является возможность перехвата пакетов handshake, в которых передается Pre-Shared Key при подключении устройства к сети. По сколько Pre-Shared key шифруется, у злоумышленника остается только одна возможность – атака грубой силой на захваченные ассоционные пакеты. С одной стороны, это нерационально, но стоит понимать, что для этого совсем не нужно находиться рядом с точкой доступа, и для такой атаки грубой силой(либо словарной) злоумышленник может задействовать большие вычислительные ресурсы.

Также стоит обратить внимание, что для того, чтобы перехватить handshake злоумышленнику совсем не обязательно ждать того момента, как к сети будет подключено новое устройство. На некоторых беспроводных адаптерах, при использовании нестандартных драйверов, есть возможность посылки в сеть реассоционных пакетов, которые будут прерывать сетевые соединения и инициировать новый обмен ключами в сети между клиентами и точкой доступа. В таком случае, для того, чтобы захватить требуемые пакеты, необходимо, чтобы к сети был подключен хотя бы один клиент. Также, злоумышленнику необходимо находиться близко от точки доступа, чтобы мощности его адаптера (а такие адаптеры обычно низко чувствительны и маломощны, и сильно перегреваются при работе) хватило для ПОСЫЛКИ пакетов реассоциации (вспомните WEP, где нужно было всего лишь «наловить» достаточный объем трафика). И в конце концов, атака грубой силой занимает много времени, однако использование вычислительного кластера существенно упрощает задачу.

Разница между WPA2, WPA, WEP протоколами Wi-Fi

Большинство точек беспроводного доступа имеют возможность включить один из трех стандартов беспроводного шифрования:

1. WEP (Wired Equivalent Privacy)
2. WPA или защищенный доступ Wi-Fi
3. WPA2

WEP или Wired Equivalent Privacy

Первой беспроводной сетью безопасности был WEP или Wired Equivalent Privacy протокол. Он начался с 64-битного шифрования (слабый) и в итоге прошел весь путь до 256-битного шифрования (сильный). Наиболее популярной реализацией в маршрутизаторах по-прежнему является 128-битное шифрование (промежуточное). Это было рассмотрено как возможное решение, пока исследователи безопасности не обнаружили несколько уязвимостей в нем, что позволило хакерам взломать ключ WEP в течение нескольких минут. Он использовал CRC или Cyclic Redundancy Check. 

WPA или защищенный доступ Wi-Fi

Чтобы устранить недостатки WEP, WPA был разработан как новый стандарт безопасности для беспроводных протоколов. Для обеспечения целостности сообщений он использовал протокол целостности TKIP или Temporal Key Integrity. Это было отличным от WEP в некотором смысле, который использовал CRC или Cyclic Redundancy Check. Считалось, что TKIP намного сильнее, чем CRC. Его использование обеспечивало передачу каждого пакета данных с помощью уникального ключа шифрования. Комбинация клавиш увеличила сложность декодирования ключей и тем самым уменьшила количество вторжений из вне. Однако, как и WEP, WPA тоже имел недостаток. Таким образом, WPA был расширен в WPA 2.

WPA2

WPA 2 в настоящее время признан самым безопасным протоколом. Одним из наиболее важных изменений, видимых между WPA и WPA2, является обязательное использование алгоритмов AES (Advanced Encryption Standard) и введение CCMP (режим Counter Cipher Mode с протоколом кода проверки подлинности с цепочкой блоков) в качестве замены TKIP. Режим CCM сочетает в себе режим конфиденциальности (CTR) и аутентификацию кода цепочки (CBC-MAC) для проверки подлинности. Эти режимы широко изучены и, как оказалось, имеют хорошо понятные криптографические свойства, которые обеспечивают хорошую безопасность и производительность в программном или аппаратном обеспечении на сегодняшний день.

Смотрите еще:

• Усилить сигнал WiFi маршрутизатора
• Как узнать IP-адрес роутера
• Как раздавать вай фай с ноутбука
• Настройка модема HG532e huawei
• Настройка модема TP-LINK TD-W8961ND (IPTV, интернет, WiFi)

comments powered by HyperComments

Заключение

В данной статье был о рассмотрено, как работает механизм WPA\WPA2, а также его основные уязвимости.

Поэтому, для защиты WPA\WPA2 дома используйте длинные, сложные (не словарные) пароли, и использованием спецсимволов, и желательно – непечатаемых ASCII символов. Однако стоит понимать, что в таком случае возможность подключения многих мобильных устройств будет ограничена, если пароль нельзя будет ввести с этого устройства.

На работе же всегда используйте WPA-Enterprise, особенно, если у вас уже развернута сеть Active Directory. Это обезопасит вашу сеть от большей части атак. Но также не забывайте о других средствах защиты вашей инфраструктуры.

В следующей статье этого цикла будет приведен пример того,как злоумышленник может получить доступ к сети WPA2-PSK, использующую нестойкий пароль, а также временно вывести WPA-сеть из строя путем атаки Denial of Service.

Протокол WPA2
определяется стандартом IEEE 802.11i, созданным в 2004 году, с целью заменить . В нём реализовано CCMP
и шифрование AES
, за счет чего WPA2
стал более защищённым, чем свой предшественник. С 2006 года поддержка WPA2
является обязательным условием для всех сертифицированных устройств.