• typ šifrování tkip. WPA2-Enterprise neboli správný přístup k zabezpečení Wi-Fi sítě

    Mnoho směrovačů nabízí jako možnosti následující bezpečnostní standardy: WPA2-PSK (TKIP), WPA2-PSK (AES) a WPA2-PSK (TKIP/AES). Udělejte špatnou volbu a získejte pomalejší a méně zabezpečenou síť.

    Standardy WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) a WPA2 (Wi-Fi Protected Access II), z nichž vám bude nabídnut výběr při konfiguraci nastavení zabezpečení bezdrátové sítě, jsou hlavními algoritmy zabezpečení informací. WEP je nejstarší z nich a nejzranitelnější, protože při jeho používání bylo objeveno mnoho slabin. WPA poskytuje pokročilejší ochranu, ale je také známo, že je náchylné k hackerům. WPA2 je v současnosti vyvíjející se standard a je zdaleka nejběžnější možností zabezpečení. TKIP (Temporal Key Integrity Protocol) a AES (Advanced Encryption Standard) jsou dva různé typyšifrování, které lze použít ve standardu WPA2. Podívejme se, jak se liší a který z nich vám nejvíce vyhovuje.

    AES vs. TKIP

    TKIP a AES jsou dva jiný standardšifrování, které lze použít v sítích Wi-Fi. TKIP je starší šifrovací protokol zavedený standardem WPA jako náhrada extrémně nespolehlivého algoritmu WEP. Ve skutečnosti je TKIP v mnoha ohledech podobný šifrovacímu algoritmu WEP. TKIP se již nepovažuje za spolehlivou metodu ochrany a v současné době se nedoporučuje. Jinými slovy, neměli byste to používat.

    AES je silnější šifrovací protokol zavedený standardem WPA2. AES není nějaký nudný jeden nebo druhý standard navržený speciálně pro Wi-Fi sítě. Jedná se o seriózní globální šifrovací standard přijatý dokonce i vládou USA. Když například zašifrujete pevný disk pomocí TrueCrypt, může použít šifrovací algoritmus AES. AES je celosvětově uznávaný standard, který poskytuje virtuálně kompletní zabezpečení a jeho možnými slabinami je jeho potenciální náchylnost k útokům hrubou silou (kterým se brání poměrně složitými přístupovými frázemi) a bezpečnostní chyby spojené s dalšími aspekty WPA2.

    Zkrácenou možností zabezpečení je TKIP, starší šifrovací protokol používaný standardem WPA. AES pro Wi-Fi je novější řešení šifrování používané v novém a bezpečném standardu WPA2. Teoreticky by to mohl být konec. V praxi však v závislosti na vašem routeru nemusí stačit pouhá volba WPA2.

    Zatímco standard WPA2 používá AES pro optimální zabezpečení, může také používat TKIP tam, kde je vyžadována zpětná kompatibilita se zařízeními předchozí generace. V tomto uspořádání se zařízení, která podporují WPA2, připojí podle WPA2 a zařízení, která podporují WPA, se připojí podle WPA. To znamená, že „WPA2“ nemusí vždy znamenat WPA2-AES. Na zařízeních bez explicitního určení možností „TKIP“ nebo „AES“ je však WPA2 obvykle synonymem pro WPA2-AES.
    Zkratka „PSK“ v celém názvu těchto možností znamená „předsdílený klíč“ – vaše přístupová fráze (šifrový klíč). To odlišuje osobní standardy od WPA-Enterprise, který používá server RADIUS k vydávání jedinečných klíčů přes velké podnikové nebo vládní sítě Wi-Fi.

    Možnosti zabezpečení Wi-Fi

    Ještě těžší? Nic překvapivého. Vše, co opravdu musíte udělat, je najít v pracovním seznamu vašeho zařízení jednu možnost, která poskytuje největší ochranu. Zde je nejpravděpodobnější seznam možností pro váš router:

    • otevřený (rizikový): Žádné Wi-Fi ve veřejných sítích kódové fráze. Tuto možnost byste neměli nastavovat – vážně, mohli byste dát policii záminku, aby vás přišla navštívit.
    • WEP 64 (rizikové): Starý protokol WEP je snadno zranitelný a neměli byste jej používat.
    • WEP 128 (rizikové): toto je stejné WEP, ale se zvýšenou délkou šifrovacího klíče. Ve skutečnosti není o nic méně zranitelný než WEP 64.
    • WPA-PSK (TKIP): Používá původní verzi protokolu WPA (v podstatě WPA1). Není zcela bezpečný a byl nahrazen WPA2.
    • WPA-PSK (AES): Používá původní protokol WPA, kde byl TKIP nahrazen modernějším šifrovacím standardem AES. Tato možnost je nabízena jako dočasné opatření, ale zařízení, která podporují AES, budou téměř vždy podporovat WPA2, zatímco zařízení vyžadující WPA nebudou podporovat AES téměř nikdy. Takže tato varianta nedává moc smysl.
    • WPA2-PSK (TKIP): Toto používá moderní standard WPA2 se starým šifrovacím algoritmem TKIP. Tato možnost není bezpečná a její jedinou výhodou je, že je vhodná pro starší zařízení, která nepodporují možnost WPA2-PSK (AES).
    • WPA2-PSK (AES): Toto je nejčastěji používaná možnost zabezpečení. Využívá WPA2, nejnovější standard šifrování Wi-Fi, a nejnovější šifrovací protokol AES. Tuto možnost byste měli použít. Na některých zařízeních uvidíte možnost nazvanou jednoduše „WPA2“ nebo „WPA2-PSK“, což ve většině případů znamená použití AES.
    • WPAWPA2-PSK (TKIP/AES): Některá zařízení nabízejí – a dokonce doporučují – tuto smíšenou možnost. Tato možnost umožňuje používat WPA i WPA2 s TKIP i AES. To zajišťuje maximální kompatibilitu s jakýmikoli starými zařízeními, které můžete mít, ale také dává hackerům příležitost proniknout do vaší sítě prolomením zranitelnějších protokolů WPA a TKIP.

      • Certifikace WPA2 je platná od roku 2004 a v roce 2006 se stala povinná. Každé zařízení s logem Wi-Fi vyrobené po roce 2006 musí podporovat šifrovací standard WPA2.

      Vzhledem k tomu, že vaše zařízení s podporou Wi-Fi je pravděpodobně mladší 11 let, můžete se cítit pohodlně, když zvolíte možnost WPA2-PSK (AES). Nastavením této možnosti budete moci také zkontrolovat stav svého zařízení. Pokud zařízení přestane fungovat, můžete jej kdykoli vrátit nebo vyměnit. I když, pokud je pro vás bezpečnost důležitá, můžete si jednoduše koupit nové zařízení, které bylo vyrobeno nejdříve v roce 2006.

      WPA a TKIP zpomalují Wi-Fi síť

      Možnosti WPA a TKIP vybrané pro kompatibilitu mohou také zpomalit síť Wi-Fi. Mnoho moderních wifi routery Ty, které podporují 802.11n nebo novější a rychlejší standardy, se zpomalí na 54 Mb/s, pokud nastavíte možnost WPA nebo TKIP, abyste zajistili kompatibilitu s hypotetickými staršími zařízeními.

      Pro srovnání, při použití WPA2 s AES dokonce 802.11n podporuje rychlosti až 300 Mbps, zatímco 802.11ac nabízí teoretickou nejvyšší rychlost 3,46 Gbps za optimálních (čti: ideálních) podmínek.
      U většiny směrovačů, jak jsme již viděli, seznam možností obvykle zahrnuje WEP, WPA (TKIP) a WPA2 (AES) - a možná smíšenou možnost režimu maximální kompatibility WPA (TKIP) + WPA2 (AES) doplněnou o nejlepší záměry .
      Pokud máte neobvyklý typ routeru, který nabízí WPA2 buď spolu s TKIP, nebo spolu s AES, zvolte AES. Téměř všechna vaše zařízení s ním budou určitě fungovat, navíc rychleji a bezpečněji. AES je jednoduchá a racionální volba.

    Šifrování Wi-Fi – jaký protokol zvolit?

    Koupil jsem si sám nový router a rozhodl jsem se to založit sám. Vše je nastaveno – internet i bezdrátová síť fungují. Otázka vyvstala, protože rádiové vlny (v mém případě Wi-Fi) jsou distribuovány nejen v rámci mého bytu. V souladu s tím mohou být zachyceny. Teoreticky. Router má nastavení bezdrátového šifrování. Předpokládám, že jde o vyloučení odposlechu a „odposlechu“. Otázkou je, který z šifrovacích protokolů dostupných v mém routeru si mám vybrat? Dostupné: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Jaké šifrování Wi-Fi bych měl v mém případě použít?


    norik | 16. února 2015, 10:14
    Vynechám popisy jakýchkoli zastaralých šifrovacích protokolů Wi-Fi. Proto popíšu jen ty, které má smysl používat. Pokud zde protokol není popsán, pak je buď exotický, nebo jej nepotřebujete.

    WPA a WPA2 (Wi-Fi Protected Access) – dostupné na všech routerech. Nejoblíbenější a nejrozšířenější protokol. Je také jedním z nejmodernějších. IMHO - Nejlepší volba pro domácnost a malou kancelář. Docela se ale hodí i do velkých kanceláří, až na to, že má smysl ztížit autorizaci. Délka hesla je až 63 bajtů, takže ho můžete prolomit výběrem – můžete zešedivět dříve. Samozřejmě je potřeba zvolit WPA2, pokud jej podporují všechna zařízení v síti (jen velmi staré gadgety tomu nerozumí).

    Skutečně cenné je to, co je uvnitř tuto službu lze použít více šifrovacích algoritmů. Mezi nimi: 1. TKIP - nedoporučuji, protože je docela možné najít díru.
    2. CCMP je mnohem lepší.
    3. AES – líbí se mi nejvíc, ale nepodporují ho všechna zařízení, i když je dostupný ve specifikaci WPA2.

    WPA2 také poskytuje dva režimy počátečního ověřování. Tyto režimy jsou PSK a Enterprise. WPA Personal, také známý jako WPA PSK, znamená, že všichni uživatelé vstoupí do bezdrátové sítě s jediným heslem zadaným na straně klienta v okamžiku připojení k síti. Ideální pro domácnost, ale trochu složitější pro velkou kancelář. Bude obtížné změnit heslo pro každého pokaždé, když jiný zaměstnanec, který ho zná, skončí.

    WPA Enterprise vyžaduje samostatný server se sadou klíčů. Pro domácnost nebo kancelář pro 6 strojů je to těžkopádné, ale pokud má kancelář 3 tucty bezdrátových zařízení, pak se můžete postarat.

    Ve skutečnosti tím končí volba zapnutého šifrování Wi-Fi tento moment. Zbytek protokolů buď nemá žádné šifrování nebo heslo, nebo má díry v algoritmech, kam se nedostanou jen úplně líní. Do domácnosti doporučuji kombinaci WPA2 Personal AES. Pro velké kanceláře - WPA2 Enterprise AES. Pokud neexistuje AES, lze se obejít bez TKIP, ale pak zůstává pravděpodobnost čtení paketů od outsidera. Existuje názor, že WPA2 TKIP nebyl nikdy hacknut, na rozdíl od WPA TKIP, ale opatrně ...

    Tento článek se zaměřuje na problematiku bezpečnosti při používání bezdrátových WiFi sítí.

    Úvod - Zranitelnosti WiFi

    hlavní důvod Zranitelnost uživatelských dat, když jsou tato data přenášena přes WiFi sítě, spočívá v tom, že výměna probíhá přes rádiové vlny. A to umožňuje zachytit zprávy na jakémkoli místě, kde je fyzicky dostupný signál WiFi. Jednoduše řečeno, pokud lze zachytit signál přístupového bodu na vzdálenost 50 metrů, pak je zachycení veškerého síťového provozu této WiFi sítě možné v okruhu 50 metrů od přístupového bodu. Ve vedlejší místnosti, v druhém patře budovy, na ulici.

    Představte si takový obrázek. V kanceláři je lokální síť vybudována přes WiFi. Signál přístupového bodu této kanceláře je zachycován mimo budovu, například na parkovišti. Vetřelec mimo budovu má přístup kancelářská síť, tedy pro vlastníky této sítě neznatelně. K WiFi sítím lze přistupovat snadno a diskrétně. Technicky mnohem jednodušší než drátové sítě.

    Ano. K dnešnímu dni byly vyvinuty a implementovány nástroje ochrany WiFi sítě. Taková ochrana je založena na šifrování veškerého provozu mezi přístupovým bodem a koncovým zařízením, které je k němu připojeno. To znamená, že útočník může zachytit rádiový signál, ale pro něj to bude jen digitální „smetí“.

    Jak funguje zabezpečení WiFi?

    Přístupový bod zahrnuje do své WiFi sítě pouze zařízení, které odesílá správné (uvedené v nastavení přístupového bodu) heslo. V tomto případě je heslo zasláno také zašifrované, ve formě hashe. Hash je výsledkem nevratného šifrování. To znamená, že data, která jsou převedena na hash, nelze dešifrovat. Pokud útočník zachytí hash hesla, nebude moci heslo získat.

    Jak ale přístupový bod pozná, zda je heslo správné nebo ne? Pokud také obdrží hash, ale nemůže ho dešifrovat? Je to jednoduché – v nastavení přístupového bodu je heslo zadáno v čisté podobě. Autorizační program vezme čisté heslo, vygeneruje z něj hash a poté tento hash porovná s tím, který obdržel od klienta. Pokud se hash shoduje, pak je heslo klienta správné. Je zde využita druhá vlastnost hashů – jsou unikátní. Stejný hash nelze získat ze dvou různých datových sad (hesel). Pokud se dva hash shodují, pak jsou oba vytvořeny ze stejné datové sady.

    Mimochodem. Díky této funkci se ke kontrole integrity dat používají hashe. Pokud se dva hash (vytvořené za určité časové období) shodují, pak se původní data (za toto časové období) nezměnila.

    Nicméně i přes to, že nejmodernější metoda zabezpečení WiFi sítě (WPA2) je spolehlivá, lze tuto síť hacknout. Jak?

    Existují dva způsoby přístupu k síti chráněné WPA2:

    1. Hádání hesel na základě databáze hesel (tzv. vyhledávání ve slovníku).
    2. Zneužití zranitelnosti ve funkci WPS.

    V prvním případě útočník zachytí hash hesla k přístupovému bodu. Poté se provede hašovací porovnání s databází obsahující tisíce nebo miliony slov. Slovo je převzato ze slovníku, je vygenerován hash pro toto slovo a poté je tento hash porovnán s hashem, který byl zachycen. Pokud je na přístupovém bodu použito primitivní heslo, pak je prolomení hesla tohoto přístupového bodu otázkou času. Například 8místné heslo (8 znaků je minimální délka hesla pro WPA2) je jeden milion kombinací. Na moderní počítač je možné vyčíslit milion hodnot za několik dní nebo dokonce hodin.

    Ve druhém případě je zneužita zranitelnost v prvních verzích funkce WPS. Tato funkce umožňuje k přístupovému bodu připojit zařízení, které nelze zadat pomocí hesla, například tiskárnu. Při použití této funkce si zařízení a přístupový bod vymění digitální kód, a pokud zařízení odešle správný kód, přístupový bod klienta autorizuje. V této funkci byla zranitelnost - kód byl 8místný, ale jedinečnost byla kontrolována pouze čtyřmi z nich! To znamená, že k hacknutí WPS musíte vyjmenovat všechny hodnoty, které dávají 4 číslice. Výsledkem je, že hackování přístupového bodu prostřednictvím WPS lze provést během několika hodin na jakémkoli nejslabším zařízení.

    Konfigurace zabezpečení sítě WiFi

    Zabezpečení WiFi sítě je určeno nastavením přístupového bodu. Některá z těchto nastavení přímo ovlivňují zabezpečení sítě.

    Režim přístupu WiFi

    Přístupový bod může pracovat v jednom ze dvou režimů – otevřený nebo chráněný. Když otevřený přístup, k hotspotu se může připojit jakékoli zařízení. V případě zabezpečeného přístupu pouze zařízení, které vysílá správné heslo přístup.

    Existují tři typy (standardy) pro ochranu WiFi sítí:

    • WEP (Wired Equivalent Privacy). Úplně první bezpečnostní standard. Dnes ve skutečnosti neposkytuje ochranu, protože je velmi snadno hacknut kvůli slabosti ochranných mechanismů.
    • WPA (Wi-Fi Protected Access). Chronologicky druhý standard ochrany. V době vzniku a zprovoznění poskytoval účinnou ochranu WiFi sítí. Ale na konci roku 2000 byly nalezeny příležitosti prolomit ochranu WPA prostřednictvím zranitelností v ochranných mechanismech.
    • WPA2 (chráněný přístup Wi-Fi). Nejnovější bezpečnostní standard. Poskytuje spolehlivou ochranu při dodržení určitých pravidel. K dnešnímu dni jsou známy pouze dva způsoby, jak prolomit zabezpečení WPA2. Hrubá síla slovníkového hesla a řešení prostřednictvím služby WPS.

    Pro zajištění bezpečnosti WiFi sítě tedy musíte zvolit typ zabezpečení WPA2. Ne všechna klientská zařízení jej však mohou podporovat. Například Windows XP SP2 podporuje pouze WPA.

    Kromě výběru standardu WPA2 jsou vyžadovány další podmínky:

    Použijte metodu šifrování AES.

    Heslo pro přístup k WiFi síti musí být složeno takto:

    1. Použití písmena a číslice v hesle. Libovolná sada písmen a číslic. Nebo velmi vzácné, smysluplné pouze pro vás, slovo nebo frázi.
    2. Ne použití jednoduchá hesla třeba jméno + datum narození nebo nějaké slovo + pár čísel lena1991 nebo dom12345.
    3. Pokud je nutné použít pouze číselné heslo, pak jeho délka musí být minimálně 10 znaků. Protože osmimístné číselné heslo se vybírá hrubou silou reálný čas(od několika hodin do několika dnů, v závislosti na výkonu počítače).

    Pokud používáte složitá hesla v souladu s těmito pravidly, pak vaši WiFi síť nelze hacknout pomocí hádání hesel pomocí slovníku. Například pro heslo jako 5Fb9pE2a(libovolné alfanumerické), maximální možné 218340105584896 kombinace. Dnes je výběr téměř nemožný. I když počítač porovnává 1 000 000 (milionů) slov za sekundu, bude trvat téměř 7 let, než projde všechny hodnoty.

    WPS (Wi-Fi Protected Setup)

    Pokud má přístupový bod funkci WPS (Wi-Fi Protected Setup), musíte ji deaktivovat. Pokud je tato funkce potřebná, musíte se ujistit, že její verze je aktualizována na následující funkce:

    1. Použití všech 8 znaků PIN namísto 4, jak tomu bylo na začátku.
    2. Povolení zpoždění po několika pokusech o přenos nesprávného kódu PIN z klienta.

    Další možností pro zlepšení zabezpečení WPS je použití alfanumerického kódu PIN.

    Zabezpečení veřejné WiFi

    Dnes je v módě používat internet přes WiFi sítě na veřejných místech – v kavárnách, restauracích, obchodních centrech atp. Je důležité pochopit, že používání takových sítí může vést ke krádeži vašich osobních údajů. Pokud přes takovou síť přistupujete k internetu a následně se autorizujete na stránce, mohou být vaše data (login a heslo) zachycena jinou osobou, která je připojena ke stejné WiFi síti. Ve skutečnosti můžete zachytit jakékoli zařízení, které prošlo autorizací a je připojeno k přístupovému bodu síťový provoz ze všech ostatních zařízení ve stejné síti. A zvláštností veřejných WiFi sítí je, že se k ní může připojit kdokoli, včetně narušitele, a to nejen do otevřené sítě, ale i do zabezpečené.

    Co můžete udělat pro ochranu svých dat, když se připojujete k internetu prostřednictvím veřejné WiFi sítě? Existuje pouze jedna možnost – použít protokol HTTPS. V rámci tohoto protokolu je navázáno šifrované spojení mezi klientem (prohlížečem) a webem. Ale ne všechny stránky podporují HTTPS protokol. Adresy na webu, který podporuje protokol HTTPS, začínají předponou https://. Pokud mají adresy na webu předponu http://, znamená to, že web nepodporuje HTTPS nebo se nepoužívá.

    Některé weby standardně nepoužívají HTTPS, ale mají tento protokol a lze jej použít, pokud explicitně (ručně) zadáte předponu https://.

    Pokud jde o další využití internetu – chaty, skype atd., lze k ochraně těchto dat využít bezplatné nebo placené VPN servery. To znamená, že se nejprve připojte k VPN server a teprve poté použijte chat nebo otevřete web.

    Ochrana WiFi heslem

    Ve druhé a třetí části tohoto článku jsem psal, že v případě použití bezpečnostního standardu WPA2 je jedním ze způsobů Hackování WiFi sítě je vybrat heslo ze slovníku. Pro útočníka je tu ale další možnost, jak získat heslo do vaší WiFi sítě. Pokud si své heslo ponecháte na nálepce nalepené na monitoru, bude možné, aby toto heslo viděl i někdo zvenčí. Také vaše heslo může být odcizeno z počítače připojeného k vaší WiFi síti. To může provést někdo zvenčí, pokud vaše počítače nejsou chráněny před přístupem cizích osob. To lze provést pomocí malware. Heslo lze navíc ukrást i ze zařízení, které je vyneseno mimo kancelář (domov, byt) – ze smartphonu, tabletu.

    Pokud tedy potřebujete spolehlivou ochranu vaší WiFi sítě, musíte podniknout kroky k bezpečnému uložení hesla. Chraňte jej před přístupem neoprávněných osob.

    Pokud se vám tento článek hodil nebo se vám jen líbil, pak se nestyďte – podpořte autora finančně. Toho lze snadno provést vhozením peněz Peněženka Yandex № 410011416229354. Nebo na telefonu +7 918-16-26-331 .

    I malá částka může pomoci při psaní nových článků :)

    Protokol WPA2 definovaný standardem IEEE 802.11i, vytvořeným v roce 2004, aby nahradil . Bylo to implementováno CCMP a šifrování AES, kvůli kterému WPA2 se stal bezpečnější než jeho předchůdce. Podpora od roku 2006 WPA2 je předpoklad pro všechna certifikovaná zařízení.

    Rozdíl mezi WPA a WPA2

    Hledání rozdílu mezi WPA2 a WPA2 není pro většinu uživatelů relevantní, protože veškerá ochrana bezdrátové sítě spočívá na výběru více či méně složité heslo pro přístup. Dnes je situace taková, že všechna zařízení pracující ve Wi-Fi sítích musí podporovat WPA2, takže výběr WPA lze určit pouze podle nestandardní situace. Např, OS starší než Windows XP SP3 nepodporují neopravený WPA2, takže stroje a zařízení spravované takovými systémy vyžadují pozornost správce sítě. Dokonce i některé moderní smartphony nemusí podporovat nový šifrovací protokol, zejména u asijských gadgetů jiných značek. Na druhou stranu některé Verze Windows starší než XP nepodporují WPA2 na úrovni objektu skupinová politika, takže v tomto případě vyžadují více doladění síťová připojení.

    Technickým rozdílem mezi WPA a WPA2 je technologie šifrování, zejména použité protokoly. WPA používá protokol TKIP, WPA2 používá protokol AES. V praxi to znamená, že modernější WPA2 poskytuje vyšší stupeň zabezpečení sítě. Například protokol TKIP umožňuje vytvořit ověřovací klíč o velikosti až 128 bitů, AES - až 256 bitů.

    Rozdíl mezi WPA2 a WPA je následující:

    • WPA2 je vylepšením WPA.
    • WPA2 používá protokol AES, WPA používá protokol TKIP.
    • WPA2 podporují všechna moderní bezdrátová zařízení.
    • WPA2 nemusí být podporovány staršími operačními systémy.
    • WPA2 je bezpečnější než WPA.

    Autentizace v WPA2

    WPA i WPA2 fungují ve dvou režimech ověřování: osobní (osobní) A firemní (podnikové). Režim WPA2-Personal generuje 256bitový klíč, někdy označovaný jako předsdílený klíč, z přístupové fráze zadané jako prostý text. Klíč PSK, stejně jako jeho identifikátor a délka společně tvoří matematický základ pro vytvoření hlavního párového klíče PMK (Párový hlavní klíč), který se používá k inicializaci čtyřcestného handshake a generování dočasného páru nebo klíče relace PTK (Pairwise Transient Key), aby bezdrátové uživatelské zařízení komunikovalo s přístupovým bodem. Stejně jako statický má WPA2-Personal své vlastní problémy s distribucí klíčů a údržbou, takže je vhodnější pro malé kanceláře než pro podniky.

    WPA2-Enterprise však překonává problémy s distribucí a správou statického klíče a jeho integrace s většinou podnikových autentizačních služeb poskytuje řízení přístupu založené na účtech. Tento režim vyžaduje přihlašovací údaje, jako je uživatelské jméno a heslo, bezpečnostní certifikát nebo jednorázové heslo; autentizace se provádí mezi pracovní stanicí a centrálním autentizačním serverem. Přístupový bod nebo bezdrátový ovladač monitoruje připojení a odesílá ověřovací pakety na příslušný ověřovací server, obvykle . Režim WPA2-Enterprise je založen na standardu 802.1X, který podporuje ověřování uživatelů a strojů na základě portů, vhodné pro kabelové přepínače i bezdrátové přístupové body.

    šifrování WPA2

    Standard WPA2 je založen na metodě šifrování AES, kterou nahradil standardy DES a 3DES jako de facto průmyslový standard. Výpočetně náročný standard AES potřebuje hardwarovou podporu, která není vždy dostupná ve starších zařízeních WLAN.

    WPA2 používá protokol CBC-MAC (Cipher Block Chaining Message Authentication Code) pro ověřování a integritu dat a režim čítače (CTR) pro šifrování dat a kontrolní součet MIC. WPA2 Message Integrity Code (MIC) není nic jiného než kontrolní součet a na rozdíl od WPA poskytuje integritu dat pro nezměněná pole záhlaví 802.11. To zabraňuje útokům na přehrání paketů za účelem dešifrování paketů nebo kompromitování kryptografických informací.

    128bitový inicializační vektor (IV) se používá k výpočtu MIC, metoda AES se používá k šifrování IV a dočasný klíč výsledkem je 128bitový výsledek. Tento výsledek a dalších 128 bitů dat jsou pak XORed. Jeho výsledek je zašifrován pomocí AES a TK a poté je opět provedena operace XOR na posledním výsledku a dalších 128 bitech dat. Postup se opakuje, dokud není vyčerpáno celé užitečné zatížení. Prvních 64 bitů výsledku získaného v posledním kroku se použije k výpočtu hodnoty MIC.

    K šifrování dat a MIC se používá algoritmus založený na režimu čítače. Stejně jako u inicializačního vektorového šifrování MIC začíná tento algoritmus přednačtením 128bitového čítače, kde je pole čítače nahrazeno hodnotou odpovídající délce dat hodnotou čítače nastavenou na jedničku. K zašifrování každého paketu se tedy používá čítač.

    Pomocí AES a TK se zašifruje prvních 128 bitů dat a poté se na 128bitovém výsledku tohoto šifrování provede operace XOR. Prvních 128 bitů dat poskytuje první 128bitový šifrovaný blok. Předem načtená hodnota čítače se zvýší a zašifruje pomocí AES a klíče pro šifrování dat. Výsledek tohoto šifrování a dalších 128 bitů dat je pak znovu XORed.

    Postup se opakuje, dokud nejsou zašifrovány všechny 128bitové datové bloky. Poté se konečná hodnota v poli čítače vynuluje, čítač se zašifruje pomocí Algoritmus AES a poté se na výsledku šifrování a MIC provede operace XOR. Výsledek poslední operace je připojen k zašifrovanému rámci.

    Jakmile je MIC vypočten pomocí protokolu CBC-MAC, data a MIC jsou zašifrovány. Poté se k těmto informacím vpředu přidá hlavička 802.11 a pole s číslem paketu CCMP, připojí se upoutávka 802.11 a vše se společně odešle na cílovou adresu.

    Dešifrování dat se provádí v opačném pořadí šifrování. K extrakci čítače se používá stejný algoritmus jako při jeho šifrování. Dešifrovací algoritmus založený na režimu čítače a klíč TK se používají k dešifrování čítače a zašifrované části užitečného zatížení. Výsledkem tohoto procesu jsou dešifrovaná data a kontrolní součet MIC. Poté se pomocí algoritmu CBC-MAC přepočítá MIC pro dešifrovaná data. Pokud se hodnoty MIC neshodují, paket je zahozen. Pokud se zadané hodnoty shodují, dešifrovaná data jsou odeslána na síťový zásobník a poté klientovi.

    Širokopásmový přístup k internetu už dávno není luxusem nejen ve velkých městech, ale i v odlehlých regionech. Přitom mnozí hned získávají bezdrátové routery ušetřit za mobilní internet a připojit chytré telefony, tablety a další přenosná zařízení k vysokorychlostní lince. Poskytovatelé navíc stále častěji instalují routery s vestavěným bezdrátový hotspot přístup.

    Mezitím spotřebitelé ne vždy chápou, jak to vlastně funguje. síťový hardware a jaké nebezpečí může nést. Hlavní mylnou představou je, že soukromý klient si jednoduše nedokáže představit, že by mu bezdrátové připojení mohlo ublížit – koneckonců není bankou, ani tajnou službou, ani majitelem porno úložiště. Jakmile na to ale začnete přicházet, hned se budete chtít vrátit ke starému dobrému kabelu.

    1. Do mé domácí sítě se nikdo nenabourá

    Zde je hlavní mylná představa domácích uživatelů, vedoucí k zanedbávání elementárních norem zabezpečení sítě. Všeobecně se uznává, že pokud nejste celebrita, banka nebo internetový obchod, nikdo s vámi nebude ztrácet čas, protože výsledky budou neadekvátní vynaloženému úsilí.

    Navíc z nějakého důvodu tvrdošíjně koluje názor, že údajně malé bezdrátové sítě je obtížnější hacknout než ty velké, což má zrnko pravdy, ale obecně je to také mýtus. Je zřejmé, že toto tvrzení vychází z toho, že malé lokální sítě mají omezený dosah šíření signálu, takže stačí snížit jeho úroveň a hacker takovou síť z poblíž zaparkovaného auta nebo z kavárny v sousedství prostě neodhalí.

    Kdysi to možná byla pravda, ale dnešní zloději jsou vybaveni vysoce citlivými anténami schopnými zachytit i ty nejnáročnější Slabý signál. A to, že máte v kuchyni tablet, který neustále ztrácí připojení, vůbec neznamená, že hacker sedící v autě dva domy od vás se nebude moci ponořit do vaší bezdrátové sítě.

    Pokud jde o názor, že hackování vaší sítě nestojí za námahu, není to vůbec pravda: vaše gadgety obsahují moře různých druhů osobní informace, která minimálně umožní útočníkovi objednávat nákupy vaším jménem, ​​získat půjčku nebo pomocí metod sociální inženýrství, abyste dosáhli ještě nesrozumitelnějších cílů, jako je pronikání do sítě vašeho zaměstnavatele nebo dokonce jeho partnerů. Zároveň postoj k bezpečnosti sítě běžní uživatelé dnešek je tak odmítavý, že trhlina domácí síť nebude těžké ani pro začátečníky.

    2. Doma nepotřebujete dvoupásmový nebo třípásmový router

    Předpokládá se, že vícepásmové směrovače potřebují pouze zvláště nároční majitelé velkého množství gadgetů, kteří chtějí vytlačit bezdrátová komunikace maximální dostupná rychlost. Mezitím mohl kdokoli z nás používat alespoň dvoupásmový router.

    Hlavní výhodou vícepásmového routeru je to různá zařízení mohou být „rozptýleny“ do různých rozsahů, a tím zvýšit potenciální rychlost přenosu dat a samozřejmě spolehlivost komunikace. Například by mělo smysl připojit notebooky do stejného rozsahu, set-top boxy- do druhého a mobilní gadgety- do třetice.

    3. Pásmo 5 GHz je lepší než pásmo 2,4 GHz

    Ocenil výhody frekvenční rozsah 5 GHz obecně doporučuje, aby na něj všichni přešli a úplně přestali používat frekvenci 2,4 GHz. Ale jak už to bývá, všechno není tak jednoduché.

    Ano, 5 GHz je fyzicky méně „obsazeno“ než masivnější 2,4 GHz – včetně toho, že 2,4 GHz provozuje většinu zařízení založených na starých standardech. 5 GHz je však v komunikačním dosahu horší, zejména pokud jde o pronikání betonovými zdmi a jinými překážkami.

    Obecně zde neexistuje jednoznačná odpověď, můžeme vám pouze poradit, abyste použili rozsah, ve kterém máte konkrétně lepší příjem. Ostatně se může klidně ukázat, že na nějakém konkrétním místě je pásmo 5 GHz přetížené zařízeními – i když je to velmi nepravděpodobné.

    4. Není třeba se dotýkat nastavení routeru

    Předpokládá se, že konfiguraci zařízení je nejlepší přenechat profesionálům a váš zásah může pouze poškodit výkon sítě. Obvyklým způsobem Zástupci ISP (a správci systému) zastrašit uživatele, aby se snížila pravděpodobnost špatné nastavení a následné domácí hovory.

    Je jasné, že pokud netušíte, o co jde, je lepší na nic nesahat, ale i neprofesionál je docela schopný změnit některá nastavení, zvýšit bezpečnost, spolehlivost a výkon sítě. Jděte alespoň na webové rozhraní a podívejte se, co se tam dá změnit – pokud ale nevíte, co to dá, je lepší nechat vše tak, jak je.

    V každém případě má smysl provést čtyři úpravy, pokud již nejsou provedeny v nastavení vašeho routeru:

    1) Kdykoli je to možné, přejděte na nový standard- pokud je podporován routerem i vašimi zařízeními. Přechod z 802.11n na 802.11ac poskytne výrazné zvýšení rychlosti, stejně jako přechod ze staršího 802.11b/g na 802.11n.

    2) Změňte typ šifrování. Někteří instalátoři stále nechávají domácí bezdrátové sítě buď zcela otevřené, nebo se zastaralým šifrovacím standardem WEP. Nezapomeňte změnit typ na WPA2 se šifrováním AES a složitým dlouhým heslem.

    3) Změňte výchozí uživatelské jméno a heslo. Téměř všichni poskytovatelé při instalaci nového zařízení ponechávají tato data ve výchozím nastavení – pokud nejsou výslovně požádáni o změnu. Jde o známou „díru“ v domácích sítích a každý hacker ji pro začátek určitě zkusí využít.

    4) Zakázat WPS (Wi-Fi Protected Setup). Technologie WPS je ve směrovačích standardně povolena – je k tomu určena rychlé připojení kompatibilních mobilních zařízení připojit k síti bez zadávání dlouhých hesel. Nicméně, WPS dělá vaše lokální síť velmi zranitelný vůči hackování metodou „hrubé síly“ - jednoduchý výběr kódu PIN WPS, který se skládá z 8 číslic, po kterém útočník snadno získá přístup ke klíči WPA / WPA2 PSK. Přitom kvůli chybě v normě stačí určit jen 4 číslice a to už je jen 11 000 kombinací a pro hackování nebude potřeba všechny vytřídit.

    5. Skrytím SSID skryjete síť před hackery

    SSID je servisní identifikátor sítě nebo jednoduše název vaší sítě, který se používá k navázání spojení různá zařízení kdy k němu připojeni. Vypnutím vysílání SSID se neobjevíte v seznamu sousedů dostupné sítě, ale to neznamená, že ho hackeři nenajdou: odmaskování skrytého SSID je úkol pro začátečníka.

    Skrytím SSID zároveň dokonce usnadňujete život hackerům: všechna zařízení, která se snaží připojit k vaší síti, projdou přes nejbližší přístupové body a mohou se připojit k „pasti“ sítím speciálně vytvořeným útočníky. Takovou náhradní otevřenou síť můžete nasadit pod svým vlastním zveřejněným SSID, ke kterému se vaše zařízení jednoduše automaticky připojí.

    Obecné doporučení tedy zní: dejte své síti název, který neuvádí ani poskytovatele, ani výrobce routeru, ani žádné osobní údaje, které vám umožní identifikovat vás a zahájit cílené útoky na slabá místa.

    6. Šifrování není potřeba, pokud máte antivirus a firewall

    Typický příklad, kdy je teplý zaměňován s měkkým. Programy chrání před softwarovými hrozbami online nebo již ve vaší síti, nechrání vás před zachycením samotných dat přenášených mezi routerem a vaším počítačem.

    K zajištění bezpečnosti sítě je zapotřebí sada nástrojů, která zahrnuje šifrovací protokoly, hardwarové nebo softwarové brány firewall a antivirové balíčky.

    7. Pro domácí síť stačí šifrování WEP

    WEP není žádným způsobem bezpečný a lze jej prolomit během několika minut pomocí smartphonu. Z hlediska bezpečnosti se od zcela otevřené sítě liší jen málo a to je její hlavní problém. Pokud vás zajímá historie problému, můžete na internetu najít spoustu materiálů, které WEP snadno prolomily již na počátku 21. století. Potřebujete takové „zabezpečení“?

    8. Směrovač šifrovaný WPA2-AES nelze hacknout

    Pokud vezmeme „sférický router se šifrováním WPA2-AES ve vakuu“, pak to platí: podle posledních odhadů se stávajícími výpočetní výkon prolomení AES pomocí metod hrubé síly by trvalo miliardy let. Ano, miliardy.

    To ale vůbec neznamená, že AES neumožní hackerovi dostat se k vašim datům. Jako vždy je hlavním problémem lidský faktor. V tento případ, hodně záleží na tom, jak složité a dobře napsané bude vaše heslo. S „domácím“ přístupem k vymýšlení hesel budou k prolomení WPA2-AES v poměrně krátké době stačit metody sociálního inženýrství.

    O pravidlech pro sestavování dobrá hesla podrobně jsme se věnovali ne tak dávno, takže všechny zájemce odkazujeme na tento článek.

    9. Šifrování WPA2-AES snižuje rychlost přenosu dat

    Technicky je to pravda, ale moderní routery mají hardware, který tento pokles minimalizuje. Pokud zaznamenáte výrazné zpomalení připojení, znamená to, že používáte zastaralý router, který implementoval trochu jiné standardy a protokoly. Například WPA2-TKIP. TKIP byl sám o sobě bezpečnější než jeho předchůdce WEP, ale byl kompromisním řešením, které umožňovalo použití staršího hardwaru s modernějšími a zabezpečenějšími protokoly. Ke „spřátelení“ TKIP s novým typem šifrování AES byly použity různé softwarové triky, které vedly ke zpomalení rychlosti přenosu dat.

    V roce 2012 byl standard TKIP 802.11 rozpoznán jako nedostatečně bezpečný, ale stále se často vyskytuje ve starších směrovačích. Existuje pouze jedno řešení problému - koupit si moderní model.

    10. Funkční router není třeba měnit

    Zásada pro ty, kteří se dnes docela spokojí s mechanickým psacím strojem a číselníkem. Nové bezdrátové standardy se objevují pravidelně a pokaždé se zvyšuje nejen rychlost přenosu dat, ale také zabezpečení sítě.

    Dnes, s 802.11ac schopným přenášet data rychlostí nad 50 Mb/s, může starý router, který podporuje 802.11n a všechny předchozí standardy, omezit potenciál propustnost sítí. V případě tarifní plány, poskytující rychlosti nad 100 Mbps, jednoduše si připlatíte, aniž byste dostali plnohodnotnou službu.

    Samozřejmě není vůbec nutné akutně měnit fungující router, ale jednoho dne přijde okamžik, kdy se k němu nebude moci připojit ani jedno moderní zařízení.

    Přečtěte si více: