• Vrsta šifriranja tkip. WPA2-Enterprise, odnosno ispravan pristup sigurnosti Wi-Fi mreže

    Mnogi usmjerivači nude sljedeće sigurnosne standarde kao opcije: WPA2-PSK (TKIP), WPA2-PSK (AES) i WPA2-PSK (TKIP/AES). Napravite pogrešan izbor i dobit ćete sporiju i manje sigurnu mrežu.

    Standardi WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) i WPA2 (Wi-Fi Protected Access II) koji će vam biti ponuđeni da odaberete prilikom postavljanja sigurnosnih postavki bežične mreže, glavna su informacijska sigurnost algoritmi. WEP je najstariji od njih i najranjiviji jer su mu tijekom korištenja otkrivene mnoge slabosti. WPA nudi bolju sigurnost, ali je također navodno osjetljiv na hakiranje. WPA2, standard koji se trenutno razvija, trenutno je najčešća sigurnosna opcija. TKIP (Temporal Key Integrity Protocol) i AES (Advanced Encryption Standard) dva su razne vrste enkripcija koja se može koristiti u WPA2 standardu. Da vidimo po čemu se razlikuju i koji je najbolji za vas.

    AES vs. TKIP

    TKIP i AES su dva drugačiji standard enkripciju koja se može koristiti na Wi-Fi mrežama. TKIP je stariji protokol šifriranja, svojedobno uveden WPA standardom kako bi zamijenio krajnje nepouzdan WEP algoritam. Zapravo, TKIP je vrlo sličan WEP algoritmu šifriranja. TKIP se više ne smatra pouzdanom sigurnosnom metodom i trenutno se ne preporučuje. Drugim riječima, ne biste ga trebali koristiti.

    AES je sigurniji protokol šifriranja uveden standardom WPA2. AES nije neki dosadni, ovaj ili onaj standard dizajniran posebno za Wi-Fi mreže. Ovo je ozbiljan globalni standard šifriranja, koji je usvojila čak i vlada SAD-a. Na primjer, kada kriptirate tvrdi disk pomoću TrueCrypta, on za to može koristiti algoritam za šifriranje AES. AES je univerzalno priznat standard koji pruža virtualno potpuna sigurnost, a njegove moguće slabosti su potencijalna osjetljivost na napade brutalnom silom (koji se suprotstavljaju korištenjem prilično složenih zaporki) i sigurnosni nedostaci povezani s drugim aspektima WPA2.

    Skraćena verzija sigurnosti je TKIP, stariji protokol šifriranja koji koristi WPA standard. AES za Wi-Fi je novije rješenje za šifriranje koje se koristi u novom i sigurnom standardu WPA2. U teoriji, ovo bi mogao biti kraj. Ali u praksi, ovisno o vašem usmjerivaču, jednostavno odabir WPA2 možda neće biti dovoljan.

    Iako WPA2 koristi AES za optimalnu sigurnost, također može koristiti TKIP tamo gdje je potrebna kompatibilnost s prethodnim generacijama uređaja. U ovoj situaciji, uređaji koji podržavaju WPA2 povezat će se u skladu s WPA2, a uređaji koji podržavaju WPA povezat će se u skladu s WPA. Odnosno, "WPA2" ne znači uvijek WPA2-AES. Međutim, na uređajima bez izričitog navođenja opcija "TKIP" ili "AES", WPA2 je obično sinonim za WPA2-AES.
    Skraćenica “PSK” u punom nazivu ovih opcija označava “pre-shared key” - vašu lozinku (šifrirani ključ). Ovo razlikuje osobne standarde od WPA-Enterprise, koji koristi RADIUS poslužitelj za izdavanje jedinstvenih ključeva na velikim korporativnim ili državnim Wi-Fi mrežama.

    Sigurnosne opcije za Wi-Fi mrežu

    Još teže? Ništa iznenađujuće. Ali sve što zapravo trebate učiniti je pronaći jednu opciju na radnom popisu vašeg uređaja koja pruža najveću zaštitu. Ovdje je najvjerojatniji popis opcija za vaš usmjerivač:

    • Otvoreno (rizično): nema Wi-Fi na otvorenim mrežama kodne fraze. Ne biste trebali instalirati ovu opciju - ozbiljno, mogli biste dati policiji razlog da vas posjeti.
    • WEP 64 (rizično): Stari standard WEP protokola lako je ranjiv i ne biste ga trebali koristiti.
    • WEP 128 (rizično): Ovo je isto što i WEP, ali s povećanom duljinom ključa za šifriranje. Zapravo, nije manje ranjiv od WEP 64.
    • WPA-PSK (TKIP): Ovdje se koristi izvorna verzija WPA protokola (u biti WPA1). Nije potpuno siguran i zamijenjen je WPA2.
    • WPA-PSK (AES): Ovo koristi izvorni WPA protokol, zamjenjujući TKIP s modernijim AES standardom šifriranja. Ova se opcija nudi kao privremena mjera, ali uređaji koji podržavaju AES gotovo uvijek podržavaju WPA2, dok uređaji koji zahtijevaju WPA gotovo nikada neće podržavati AES. Dakle, ova opcija nema previše smisla.
    • WPA2-PSK (TKIP): Ovo koristi moderni WPA2 standard sa starijim TKIP algoritmom šifriranja. Ova opcija nije sigurna, a jedina joj je prednost što je prikladna za starije uređaje koji ne podržavaju WPA2-PSK (AES) opciju.
    • WPA2-PSK (AES): Ovo je najčešće korištena sigurnosna opcija. Koristi WPA2, najnoviji standard šifriranja za Wi-Fi mreže i najnoviji protokol šifriranja AES. Trebali biste koristiti ovu opciju. Na nekim uređajima vidjet ćete opciju koja se jednostavno naziva "WPA2" ili "WPA2-PSK", što u većini slučajeva znači korištenje AES-a.
    • WPAWPA2-PSK (TKIP/AES): Neki uređaji nude - pa čak i preporučuju - ovu mješovitu opciju. Ova vam opcija omogućuje korištenje WPA i WPA2 - oba s TKIP i AES. Ovo osigurava maksimalnu kompatibilnost sa svim starim uređajima koje možda imate, ali također daje hakerima priliku da se infiltriraju u vašu mrežu provaljivanjem u ranjivije WPA i TKIP protokole.

      • WPA2 certifikat je na snazi ​​od 2004. godine, a postao je obavezan 2006. godine. Svaki uređaj s logotipom "Wi-Fi" proizveden nakon 2006. mora podržavati standard šifriranja WPA2.

      Budući da je vaš uređaj koji podržava Wi-Fi vjerojatno mlađi od 11 godina, možete se osjećati ugodno jednostavnim odabirom opcije WPA2-PSK (AES). Instaliranjem ove opcije također možete provjeriti funkcionalnost vašeg uređaja. Ako uređaj prestane raditi, uvijek ga možete vratiti ili zamijeniti. No, ako vam je sigurnost velika briga, jednostavno možete kupiti novi uređaj koji je proizveden ne prije 2006. godine.

      WPA i TKIP usporavaju vašu Wi-Fi mrežu

      WPA i TKIP opcije odabrane radi kompatibilnosti također mogu usporiti Wi-Fi mrežu. Mnogi moderni Wi-Fi usmjerivači uređaji koji podržavaju 802.11n ili novije i brže standarde smanjit će brzinu na 54 Mbps ako na njima postavite opciju WPA ili TKIP - kako biste osigurali zajamčenu kompatibilnost s hipotetski starijim uređajima.

      Za usporedbu, kada se koristi WPA2 s AES-om, čak i standard 802.11n podržava brzine do 300 Mbps, a standard 802.11ac nudi teoretsku maksimalna brzina 3,46 Gbps pod optimalnim (čitaj: idealnim) uvjetima.
      Na većini usmjerivača, kao što smo vidjeli, popis opcija obično uključuje WEP, WPA (TKIP) i WPA2 (AES) - i možda mješovitu WPA (TKIP) + WPA2 (AES) opciju maksimalne kompatibilnosti u kombinaciji s najboljim od namjera .
      Ako imate otmjenu vrstu usmjerivača koji nudi WPA2 s TKIP-om ili AES-om, odaberite AES. Gotovo svi vaši uređaji sigurno će raditi s njim, štoviše, brže i sigurnije. AES je jednostavan i racionalan izbor.

    Wi-Fi enkripcija - koji protokol odabrati?

    Kupio sam sebi novi ruter i odlučio sam ga postaviti. Sve je postavljeno - internet i bežična mreža rade. Postavilo se pitanje, jer se radiovalovi (u mom slučaju Wi-Fi) ne šire samo unutar mog stana. Sukladno tome, mogu se presresti. Teoretski. Usmjerivač ima postavku enkripcije bežične mreže. Pretpostavljam da je to upravo zato da se isključi presretanje i “prisluškivanje”. Pitanje je koji od protokola šifriranja dostupnih u mom usmjerivaču trebam odabrati? Dostupno: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Koju Wi-Fi enkripciju trebam koristiti u mom slučaju?


    norik | 16. veljače 2015. u 10:14
    Izostavit ću opise zastarjelih Wi-Fi protokola za šifriranje. Stoga ću opisati samo one koje imaju smisla koristiti. Ako protokol nije ovdje opisan, onda je ili egzotičan ili vam ne treba.

    WPA i WPA2 (Wi-Fi Protected Access) - dostupni na svim ruterima. Najpopularniji i najrašireniji protokol. Također je jedan od najmodernijih. IMHO - najbolji izbor za dom i mali ured. Međutim, također je prilično pogodan za velike urede, osim što ima smisla komplicirati autorizaciju. Duljina lozinke mu je do 63 bajta, pa ako je probijete pogađanjem, možete ranije posivjeti. Naravno, trebate odabrati WPA2 ako ga podržavaju svi uređaji na mreži (samo vrlo stari gadgeti to ne razumiju).

    Ono što je istinski vrijedno je ono što je unutra ove usluge Može se koristiti više algoritama šifriranja. Među njima: 1. TKIP - Ne preporučujem ga, jer je sasvim moguće pronaći rupu.
    2. CCMP - puno bolji.
    3. AES - Najviše mi se sviđa, ali ga ne podržavaju svi uređaji, iako je uključen u WPA2 specifikaciju.

    WPA2 također nudi dva početna načina provjere autentičnosti. Ovi načini su PSK i Enterprise. WPA Personal, također poznat kao WPA PSK, znači da će se svi korisnici prijaviti na bežičnu mrežu s jednom lozinkom unesenom na strani klijenta u trenutku spajanja na mrežu. Izvrstan za dom, ali problematičan za veliki ured. Bit će teško svima promijeniti lozinku svaki put kada drugi zaposlenik koji je zna da otkaz.

    WPA Enterprise zahtijeva zasebni poslužitelj sa skupom ključeva. Za dom ili ured sa 6 strojeva ovo je glomazno, ali ako ih ima 3 tuceta u uredu bežični uređaji, onda se možete brinuti.

    Zapravo, ovo iscrpljuje izbor Wi-Fi enkripcije na u trenutku. Preostali protokoli ili uopće nemaju enkripciju ili lozinku, ili imaju rupe u algoritmima u koje samo vrlo lijeni ne bi ušli. Preporučujem WPA2 Personal AES kombinaciju za kućnu upotrebu. Za velike urede - WPA2 Enterprise AES. Ako nema AES-a, onda možete proći s TKIP-om, ali tada ostaje vjerojatnost da će paketi biti pročitani od strane autsajdera. Postoji mišljenje da WPA2 TKIP nikada nije bio hakiran, za razliku od WPA TKIP-a, ali je bio zaštićen...

    Ovaj članak posvećen je pitanju sigurnosti pri korištenju bežičnih WiFi mreža.

    Uvod - WiFi Ranjivosti

    Glavni razlog Ranjivost korisničkih podataka kada se ti podaci prenose putem WiFi mreža leži u činjenici da se razmjena odvija putem radiovalova. A to omogućuje presretanje poruka na bilo kojem mjestu gdje je WiFi signal fizički dostupan. Pojednostavljeno rečeno, ako se signal s pristupne točke može detektirati na udaljenosti od 50 metara, tada je moguće presretanje cjelokupnog mrežnog prometa te WiFi mreže u krugu od 50 metara od pristupne točke. U susjednoj sobi, na drugom katu zgrade, na ulici.

    Zamislite ovu sliku. U uredu je lokalna mreža izgrađena putem WiFi-ja. Signal s pristupne točke ovog ureda hvata se izvan zgrade, na primjer na parkiralištu. Napadač izvan zgrade mogao bi pristupiti uredska mreža, odnosno neprimjetno od strane vlasnika ove mreže. WiFi mrežama se može pristupiti jednostavno i diskretno. Tehnički puno lakše od žičnih mreža.

    Da. Do danas su razvijena i implementirana sredstva za zaštitu WiFi mreža. Ova se zaštita temelji na kriptiranju cjelokupnog prometa između pristupne točke i krajnjeg uređaja koji je na nju spojen. Odnosno, napadač može presresti radio signal, ali za njega će to biti samo digitalno "smeće".

    Kako radi WiFi zaštita?

    Pristupna točka u svoju WiFi mrežu uključuje samo onaj uređaj koji šalje ispravnu zaporku (određenu u postavkama pristupne točke).

    Ali kako pristupna točka zna je li lozinka ispravna ili ne? Što ako i ona primi hash, ali ga ne može dešifrirati? Jednostavno je - u postavkama pristupne točke lozinka je navedena u čistom obliku. Program za autorizaciju uzima praznu lozinku, stvara hash iz nje, a zatim uspoređuje ovaj hash s onom primljenom od klijenta. Ako se hashovi podudaraju, tada je lozinka klijenta ispravna. Ovdje se koristi druga značajka hasheva - oni su jedinstveni. Isti hash se ne može dobiti iz dva različita skupa podataka (lozinki). Ako se dva hash-a podudaraju, tada su oba stvorena iz istog skupa podataka.

    Usput rečeno. Zahvaljujući ovoj značajci, hashovi se koriste za kontrolu integriteta podataka. Ako se dva hash-a (stvorena tijekom određenog vremenskog razdoblja) podudaraju, tada izvorni podaci (tijekom tog vremenskog razdoblja) nisu promijenjeni.

    No, usprkos činjenici da je najmodernija metoda osiguranja WiFi mreže (WPA2) pouzdana, ova mreža može biti hakirana. Kako?

    Postoje dvije metode za pristup mreži zaštićenoj WPA2:

    1. Odabir lozinke pomoću baze lozinki (tzv. pretraživanje rječnika).
    2. Iskorištavanje ranjivosti u WPS funkciji.

    U prvom slučaju, napadač presreće hash zaporke za pristupnu točku. Hashevi se zatim uspoređuju s bazom podataka od tisuća ili milijuna riječi. Riječ se uzima iz rječnika, generira se hash za tu riječ i zatim se taj hash uspoređuje s hashom koji je presretnut. Ako se na pristupnoj točki koristi primitivna lozinka, onda je probijanje lozinke ove pristupne točke pitanje vremena. Na primjer, lozinka od 8 znamenki (8 znakova je minimalna duljina lozinke za WPA2) sastoji se od milijun kombinacija. Na moderno računalo Možete sortirati milijun vrijednosti u nekoliko dana ili čak sati.

    U drugom slučaju iskorištava se ranjivost u prvim verzijama WPS funkcije. Ova značajka omogućuje povezivanje uređaja koji nema lozinku, poput pisača, s pristupnom točkom. Kada koristite ovu značajku, uređaj i pristupna točka razmjenjuju digitalni kod i ako uređaj pošalje točan kod, pristupna točka autorizira klijenta. Postojala je ranjivost u ovoj funkciji - kod je imao 8 znamenki, ali samo četiri od njih su provjerene na jedinstvenost! Odnosno, da biste hakirali WPS, morate pretražiti sve vrijednosti koje daju 4 znamenke. Kao rezultat toga, hakiranje pristupne točke putem WPS-a može se izvesti u samo nekoliko sati, na bilo kojem najslabijem uređaju.

    Postavljanje sigurnosti WiFi mreže

    Sigurnost WiFi mreže određena je postavkama pristupne točke. Neke od ovih postavki izravno utječu na sigurnost mreže.

    Način pristupa WiFi mreži

    Pristupna točka može raditi u jednom od dva načina - otvorenom ili zaštićenom. U slučaju otvoreni pristup, bilo koji uređaj se može spojiti na pristupnu točku. U slučaju zaštićenog pristupa, samo uređaj koji odašilje ispravna lozinka pristup.

    Postoje tri vrste (standarda) zaštite WiFi mreže:

    • WEP (privatnost ekvivalentna žičanoj mreži). Prvi standard zaštite. Danas zapravo ne pruža zaštitu, jer se vrlo lako hakira zbog slabosti zaštitnih mehanizama.
    • WPA (Wi-Fi zaštićeni pristup). Kronološki drugi standard zaštite. U vrijeme stvaranja i puštanja u rad pružao je učinkovitu zaštitu za WiFi mreže. Ali krajem 2000-ih pronađene su mogućnosti za hakiranje WPA zaštite kroz ranjivosti u sigurnosnim mehanizmima.
    • WPA2 (Wi-Fi zaštićeni pristup). Najnoviji standard zaštite. Pruža pouzdanu zaštitu kada se poštuju određena pravila. Do danas postoje samo dva poznata načina za probijanje WPA2 sigurnosti.

    Rječnička lozinka brute force i zaobilazno rješenje pomoću usluge WPS.

    Stoga, kako biste osigurali sigurnost svoje WiFi mreže, morate odabrati vrstu sigurnosti WPA2.

    Međutim, ne mogu ga podržati svi klijentski uređaji. Na primjer, Windows XP SP2 podržava samo WPA.

    Uz odabir WPA2 standarda potrebni su dodatni uvjeti:

    1. Koristite AES metodu šifriranja. Lozinka za pristup WiFi mreži mora biti sastavljena na sljedeći način:
    2. Koristiti slova i brojke u zaporci. Slučajni skup slova i brojeva. Ili vrlo rijetka riječ ili izraz koji ima značenje samo vama. Ne koristiti jednostavne lozinke kao npr. ime + datum rođenja ili neka riječ + nekoliko brojeva lena1991.
    3. ili dom12345 Ako trebate koristiti samo digitalnu lozinku, tada njezina duljina mora biti najmanje 10 znakova. Budući da se digitalna lozinka od osam znakova odabire metodama grube sile.

    stvarnom vremenu (od nekoliko sati do nekoliko dana, ovisno o snazi ​​računala). Ako koristite složene lozinke u skladu s ovim pravilima, vaša WiFi mreža ne može biti hakirana pogađanjem lozinke pomoću rječnika. Na primjer, za lozinku poput 218340105584896 kombinacije.

    Danas je to gotovo nemoguće odabrati. Čak i kad bi računalo uspoređivalo 1.000.000 (milijuna) riječi u sekundi, trebalo bi gotovo 7 godina za ponavljanje svih vrijednosti.

    WPS (Wi-Fi Protected Setup)

    1. Ako pristupna točka ima funkciju WPS (Wi-Fi Protected Setup), morate je onemogućiti. Ako je ova značajka potrebna, morate osigurati da je njezina verzija ažurirana na sljedeće mogućnosti:
    2. Korištenje svih 8 znakova PIN koda umjesto 4, kao što je bio slučaj u početku.

    Omogućite odgodu nakon nekoliko pokušaja slanja netočnog PIN koda od klijenta.

    Dodatna opcija za poboljšanje WPS sigurnosti je korištenje alfanumeričkog PIN koda.

    Javna WiFi sigurnost Danas je moderno koristiti internet putem WiFi mreže na javnim mjestima - u kafićima, restoranima, trgovačkim centrima itd. Važno je razumjeti da korištenje takvih mreža može dovesti do krađe vaših osobnih podataka. Ako pristupite Internetu putem takve mreže i zatim se prijavite na web stranicu, vaše podatke (korisničko ime i lozinku) može presresti druga osoba koja je spojena na istu WiFi mrežu. Uostalom, na bilo kojem uređaju koji je prošao autorizaciju i povezan je s pristupnom točkom, možete presresti mrežni promet

    sa svih drugih uređaja na ovoj mreži. A posebnost javnih WiFi mreža je da se na njih može spojiti bilo tko, uključujući i napadača, i to ne samo na otvorenu mrežu, već i na zaštićenu. Što možete učiniti da zaštitite svoje podatke kada se povezujete na internet putem javne WiFi mreže? Postoji samo jedna opcija - koristiti HTTPS protokol. Ovaj protokol uspostavlja šifriranu vezu između klijenta (preglednika) i stranice. Ali ne podržavaju sve stranice HTTPS protokol

    . Adrese na stranicama koje podržavaju HTTPS protokol počinju prefiksom https://. Ako adrese na stranici imaju prefiks http://, to znači da stranica ne podržava HTTPS ili ga ne koristi.

    Neka mjesta ne koriste HTTPS prema zadanim postavkama, ali imaju ovaj protokol i mogu se koristiti ako izričito (ručno) navedete prefiks https://. Što se tiče ostalih slučajeva korištenja interneta - chatova, Skypea i sl., za zaštitu ovih podataka možete koristiti besplatne ili plaćene VPN poslužitelje. Odnosno, prvo se povežite s VPN poslužitelj

    , a tek onda koristiti chat ili otvorenu stranicu.

    U drugom i trećem dijelu ovog članka napisao sam da je u slučaju korištenja sigurnosnog standarda WPA2 jedan od načina WiFi hakiranje mreža je odabrati lozinku pomoću rječnika. Ali postoji još jedna prilika da napadač dobije lozinku za vašu WiFi mrežu. Ako pohranite lozinku na ljepljivu ceduljicu zalijepljenu na monitor, stranci mogu vidjeti tu lozinku. A vaša lozinka može biti ukradena s računala spojenog na vašu WiFi mrežu. To može učiniti strana ako vaša računala nisu zaštićena od pristupa stranaca. To se može učiniti pomoću malware

    . Osim toga, lozinka se može ukrasti s uređaja koji se iznese izvan ureda (kuće, stana) – s pametnog telefona, tableta. Pa ako treba pouzdana zaštita

    svoju WiFi mrežu, morate poduzeti korake za sigurno pohranjivanje svoje lozinke. Zaštitite ga od pristupa neovlaštenih osoba. Ako vam je ovaj članak bio koristan ili vam se jednostavno svidio, nemojte se ustručavati financijski podržati autora. To je lako učiniti bacanjem novca Yandex novčanik br. 410011416229354 +7 918-16-26-331 .

    . Ili na telefonu

    Čak i mala količina može pomoći u pisanju novih članaka :) Protokol WPA2 definiran standardom IEEE 802.11i, kreiranim 2004. da zamijeni . Provodi CCMP i šifriranje AES Protokol, zbog čega Protokol postao sigurniji od svog prethodnika. Podrška od 2006 je preduvjet

    za sve certificirane uređaje.

    Razlika između WPA i WPA2 Pronalaženje razlike između WPA2 i WPA2 nije relevantno za većinu korisnika, jer se sva sigurnost bežične mreže svodi na veći ili manji izbor složena lozinka za pristup. Danas je situacija takva da svi uređaji koji rade u Wi-Fi mrežama moraju podržavati WPA2, tako da se odabir WPA može samo odrediti nestandardne situacije . Na primjer, operativni sustavi stariji od Windows XP SP3 ne podržavaju WPA2 bez primjene zakrpa, tako da strojevi i uređaji kojima upravljaju takvi sustavi zahtijevaju pozornost mrežnog administratora. Čak i neki moderni pametni telefoni možda neće podržavati novi protokol šifriranja, to se uglavnom odnosi na azijske gadgete drugih marki. S druge strane, neki Windows verzije stariji od XP-a ne podržavaju WPA2 na razini objekta grupna politika , pa u ovom slučaju zahtijevaju više fino ugađanje

    Tehnička razlika između WPA i WPA2 je tehnologija šifriranja, posebice protokoli koji se koriste. WPA koristi TKIP protokol, WPA2 koristi AES protokol. U praksi to znači da moderniji WPA2 pruža viši stupanj mrežne sigurnosti. Na primjer, protokol TKIP omogućuje vam stvaranje ključa za provjeru autentičnosti veličine do 128 bita, AES - do 256 bita.

    Razlika između WPA2 i WPA je sljedeća:

    • WPA2 je poboljšanje u odnosu na WPA.
    • WPA2 koristi AES protokol, WPA koristi TKIP protokol.
    • WPA2 podržavaju svi moderni bežični uređaji.
    • WPA2 možda neće podržavati stariji operativni sustavi.
    • WPA2 je sigurniji od WPA.

    WPA2 autentifikacija

    I WPA i WPA2 rade u dva načina provjere autentičnosti: osobni I korporativno (Enterprise). U načinu rada WPA2-Personal, 256-bitni ključ, koji se ponekad naziva i unaprijed dijeljeni ključ, generira se iz unesene šifre otvorenog teksta. PSK ključ, kao i identifikator i duljina potonjeg, zajedno čine matematičku osnovu za formiranje glavnog para ključeva PMK (Pairwise Master Key), koji se koristi za inicijalizaciju četverostrukog rukovanja i generiranje privremenog uparenog ili sesijskog ključa PTK (Pairwise Transient Key), za interakciju bežičnog korisničkog uređaja s pristupnom točkom. Kao i statički protokol, WPA2-Personal ima problema s distribucijom ključeva i podrškom, što ga čini prikladnijim za korištenje u malim uredima nego u poduzećima.

    Međutim, WPA2-Enterprise uspješno rješava izazove distribucije i upravljanja statičkim ključevima, a njegova integracija s većinom usluga provjere autentičnosti poduzeća omogućuje kontrolu pristupa temeljenu na računu. Ovaj način rada zahtijeva podatke za prijavu kao što su korisničko ime i lozinka, sigurnosni certifikat ili jednokratna lozinka; autentifikacija se provodi između radne stanice i središnjeg poslužitelja za autentifikaciju. Pristupna točka ili bežični kontroler nadzire vezu i prosljeđuje pakete za provjeru autentičnosti odgovarajućem poslužitelju za provjeru autentičnosti, obično . WPA2-Enterprise način rada temelji se na standardu 802.1X, koji podržava autentifikaciju korisnika i stroja temeljenu na kontroli porta, pogodan i za žične preklopnike i za bežične pristupne točke.

    WPA2 enkripcija

    Standard WPA2 temelji se na metodi šifriranja AES, koja je zamijenila DES standardi i 3DES kao de facto industrijski standard. Računalno intenzivan, AES zahtijeva hardversku podršku koja nije uvijek dostupna u starijoj WLAN opremi.

    WPA2 koristi CBC-MAC (Cipher Block Chaining Message Authentication Code) protokol za autentifikaciju i cjelovitost podataka i Counter Mode (CTR) za enkripciju podataka i MIC kontrolni zbroj. WPA2 Message Integrity Code (MIC) nije ništa više od kontrolne sume i, za razliku od WPA, pruža integritet podataka za nepromjenjiva polja zaglavlja 802.11. Ovo sprječava napade ponavljanjem paketa koji pokušavaju dešifrirati pakete ili kompromitirati kriptografske informacije.

    Za izračunavanje MIC koristi se 128-bitni inicijalizacijski vektor (Initialization Vector - IV), za šifriranje IV - AES metoda i privremeni ključ, a krajnji rezultat je 128-bitni rezultat. Zatim se izvršava operacija isključivog ILI na ovom rezultatu i sljedećih 128 bita podataka. Rezultat se kriptira pomoću AES i TK, a zatim se posljednji rezultat i sljedećih 128 bita podataka ponovno obrađuju XOR-om. Postupak se ponavlja dok se ne potroši sav korisni teret. Prva 64 bita rezultata dobivenog u zadnjem koraku koriste se za izračunavanje MIC vrijednosti.

    Za šifriranje podataka i MIC-a koristi se algoritam koji se temelji na načinu rada brojača. Kao i kod MIC IV šifriranja, ovaj algoritam počinje predučitavanjem 128-bitnog brojača s poljem brojača postavljenim na jedan umjesto vrijednosti duljine podataka. Stoga se za šifriranje svakog paketa koristi drugačiji brojač.

    Prvih 128 bita podataka šifrirano je korištenjem AES i TK, a zatim se operacija isključivog ILI izvodi na 128-bitnom rezultatu ove enkripcije. Prvih 128 bita podataka proizvodi prvi 128-bitni šifrirani blok. Unaprijed učitana vrijednost brojača se povećava i šifrira pomoću AES-a i ključa za šifriranje podataka. Tada se operacija isključivog ILI ponovno izvodi na rezultatu ove enkripcije i sljedećih 128 bita podataka.

    Postupak se ponavlja dok se svi 128-bitni blokovi podataka ne šifriraju. Nakon toga, konačna vrijednost u polju brojača vraća se na nulu, a brojač se šifrira pomoću AES algoritam, a zatim se izvršava operacija isključivog ILI na rezultatu šifriranja i MIC-u. Rezultat posljednje operacije je usidren u šifrirani okvir.

    Nakon što se MIC izračuna pomoću CBC-MAC protokola, podaci i MIC su šifrirani. Zatim se 802.11 zaglavlje i polje s brojem CCMP paketa dodaju ovim informacijama na prednjoj strani, 802.11 prikolica se spaja i cijela se stvar zajedno šalje na odredišnu adresu.

    Dešifriranje podataka provodi se obrnutim redoslijedom od enkripcije. Za izdvajanje brojača koristi se isti algoritam kao i za njegovo šifriranje. Algoritam za dešifriranje koji se temelji na načinu rada brojača i TK ključ koriste se za dešifriranje brojača i šifriranog dijela korisnih podataka. Rezultat ovog procesa su dekriptirani podaci i kontrolni zbroj MIC. Nakon toga, MIC za dešifrirane podatke ponovno se izračunava pomoću algoritma CBC-MAC. Ako se MIC vrijednosti ne podudaraju, paket se odbacuje. Ako se navedene vrijednosti podudaraju, dešifrirani podaci se šalju na mrežni stog a zatim klijentu.

    Širokopojasni pristup internetu odavno je prestao biti luksuz ne samo u velikim gradovima, već iu udaljenim regijama. Istodobno, mnogi odmah stječu bežični usmjerivači uštedjeti na mobilnom internetu i spojiti pametne telefone, tablete i drugu prijenosnu opremu na brzu liniju. Štoviše, pružatelji usluga sve više odmah instaliraju usmjerivače s ugrađenim bežična točka pristup.

    U međuvremenu, potrošači ne razumiju uvijek kako to zapravo radi mrežna oprema i kakvu opasnost može predstavljati. Glavna zabluda je da privatni klijent jednostavno ne shvaća da mu bežična komunikacija može naštetiti - na kraju krajeva, on nije banka, nije tajna služba, niti je vlasnik pornografskih skladišta. Ali kada to počnete shvaćati, odmah ćete se poželjeti vratiti dobrom starom kabelu.

    1. Nitko neće hakirati moju kućnu mrežu

    Ovo je glavna zabluda kućnih korisnika, koja dovodi do zanemarivanja osnovnih standarda sigurnost mreže. Opće je prihvaćeno da ako niste slavna osoba, banka ili online trgovina, nitko neće gubiti vrijeme na vas, jer rezultati neće biti primjereni uloženom trudu.

    Štoviše, iz nekog razloga uporno kruži mišljenje da je navodno male bežične mreže teže hakirati nego velike, u čemu ima zrnce istine, ali općenito je i mit. Očito se ova izjava temelji na činjenici da male lokalne mreže imaju ograničen raspon širenja signala, pa je dovoljno smanjiti njegovu razinu i haker jednostavno neće moći otkriti takvu mrežu iz automobila parkiranog u blizini ili kafić u susjedstvu.

    To je možda nekada bila istina, ali današnji provalnici opremljeni su vrlo osjetljivim antenama koje mogu detektirati čak i slab signal. A činjenica da vaš tablet u vašoj kuhinji stalno gubi vezu ne znači da haker koji sjedi u automobilu dvije kuće od vas neće moći proniknuti u vašu bežičnu mrežu.

    Što se tiče mišljenja da hakiranje vaše mreže nije vrijedno truda, to uopće nije točno: vaši gadgeti sadrže more svih vrsta osobni podaci, što će najmanje omogućiti napadaču da naruči kupnju u vaše ime, dobije zajam ili, koristeći metode društveni inženjering, postići čak i neočitije ciljeve kao što je prodor u mrežu vašeg poslodavca ili čak njegovih partnera. Istodobno, odnos prema sigurnosti mreže obični korisnici danas tako omalovažava taj hak kućna mreža neće biti teško ni za početnike.

    2. Kod kuće vam ne treba dvopojasni ili tropojasni usmjerivač

    Vjeruje se da su višepojasni usmjerivači potrebni samo posebno zahtjevnim vlasnicima velikog broja gadgeta koji žele izvući maksimum iz bežična komunikacija najveća dostupna brzina. U međuvremenu, svatko od nas može koristiti barem dvopojasni usmjerivač.

    Glavna prednost višepojasnog usmjerivača je ta različite uređaje mogu se “raspršiti” po različitim rasponima i time povećati potencijalnu brzinu prijenosa podataka i, naravno, pouzdanost komunikacije. Na primjer, bilo bi sasvim uputno spojiti prijenosna računala na isti pojas, set-top box uređaji- na drugu, i mobilni gadgeti- do trećeg.

    3. Pojas od 5 GHz bolji je od pojasa od 2,4 GHz

    Oni koji cijene dobrobiti frekvencijski raspon 5 GHz se obično preporučuje svima da prijeđu na njega i potpuno prestanu koristiti frekvenciju od 2,4 GHz. Ali, kao i obično, nije sve tako jednostavno.

    Da, 5 GHz fizički je manje "naseljen" od raširenijih 2,4 GHz - također zato što većina uređaja temeljenih na starim standardima radi na 2,4 GHz. Međutim, 5 GHz je inferioran u komunikacijskom dometu, posebno s obzirom na prodor kroz betonske zidove i druge prepreke.

    Općenito, ovdje nema definitivnog odgovora; možemo vam samo savjetovati da koristite raspon u kojem je vaš specifični prijem bolji. Uostalom, moglo bi se ispostaviti da je na nekom određenom mjestu pojas od 5 GHz preopterećen uređajima - iako je to vrlo malo vjerojatno.

    4. Nema potrebe dirati postavke rutera

    Pretpostavlja se da je konfiguraciju opreme bolje prepustiti profesionalcima, a vaša intervencija može samo naštetiti performansama mreže. Normalan način predstavnici davatelja (i administratori sustava) zastrašuju korisnika kako bi smanjili vjerojatnost netočne postavke i naknadne kućne pozive.

    Jasno je da ako nemate pojma o čemu se radi, bolje je ništa ne dirati, ali i neprofesionalac je sasvim sposoban promijeniti neke postavke, povećati sigurnost, pouzdanost i performanse mreže. Idite barem na web sučelje i upoznajte se s onim što tamo možete promijeniti - ali ako ne znate što će učiniti, bolje je ostaviti sve kako jest.

    U svakom slučaju, ima smisla napraviti četiri podešavanja ako već nisu napravljena u postavkama vašeg usmjerivača:

    1) Prijeđite na novi standard kad god je to moguće– ako i ruter i vaši uređaji to podržavaju. Prebacivanje s 802.11n na 802.11ac značajno će povećati brzinu, kao i prebacivanje sa starijeg 802.11b/g na 802.11n.

    2) Promijenite vrstu enkripcije. Neki instalateri još uvijek ostavljaju kućne bežične mreže potpuno otvorenima ili sa zastarjelim standardom WEP šifriranja. Svakako trebate promijeniti vrstu u WPA2 s AES enkripcijom i složenom dugom lozinkom.

    3) Promijenite zadano korisničko ime i lozinku. Gotovo svi pružatelji usluga ostavljaju ove podatke kao zadane prilikom instaliranja nove opreme - osim ako ih izričito ne tražite da ih promijene. Ovo je dobro poznata “rupa” u kućnim mrežama koju će svaki haker svakako prvi pokušati iskoristiti.

    4) Onemogući WPS (Wi-Fi Protected Setup). WPS tehnologija je obično uključena u ruterima prema zadanim postavkama - namijenjena je za brza veza kompatibilne mobilne uređaje na mrežu bez unošenja dugih lozinki. U isto vrijeme, WPS čini vaše lokalna mreža vrlo ranjiv na hakiranje metodom "brute force" - jednostavno pogađanje WPS PIN koda, koji se sastoji od 8 znamenki, nakon čega će napadač lako dobiti pristup WPA/WPA2 PSK ključu. Istodobno, zbog pogreške u standardu, dovoljno je odrediti samo 4 znamenke, a to je samo 11 000 kombinacija, a da biste ga razbili, nećete morati prolaziti kroz sve.

    5. Skrivanje SSID-a će sakriti vašu mrežu od hakera

    SSID je identifikator mrežne usluge ili jednostavno naziv vaše mreže koja se koristi za uspostavljanje veze razne uređaje ikada povezan s njim. Onemogućavanjem emitiranja SSID-a nećete se pojaviti na popisu susjeda dostupne mreže, ali to ne znači da ga hakeri neće moći pronaći: razotkrivanje skrivenog SSID-a zadatak je za početnika.

    U isto vrijeme, skrivanjem SSID-a čak ćete olakšati život hakerima: svi uređaji koji se pokušavaju spojiti na vašu mrežu pokušat će pristupiti najbližim pristupnim točkama i moći će se spojiti na mreže "zamke" koje su posebno stvorili napadači. Možete postaviti takvu zamjensku otvorenu mrežu pod vlastitim otkrivenim SSID-om, na koji će se vaši uređaji jednostavno automatski spojiti.

    Stoga je opća preporuka sljedeća: dajte svojoj mreži naziv koji ne spominje niti pružatelja usluga, niti proizvođača usmjerivača niti bilo kakve osobne podatke koji vam omogućuju da vas identificiraju i provedu ciljane napade na slabe točke.

    6. Enkripcija nije potrebna ako imate antivirusni program i vatrozid

    Tipičan primjer kada se toplo brka s mekim. Programi štite od softverskih prijetnji na mreži; ne štite vas od presretanja samih podataka koji se prenose između usmjerivača i vašeg računala.

    Da biste osigurali sigurnost mreže, potreban vam je skup alata koji uključuje protokole za šifriranje, hardverske ili softverske vatrozide i antivirusne pakete.

    7. WEP enkripcija je dovoljna za vašu kućnu mrežu

    WEP ni na koji način nije siguran i može se hakirati za nekoliko minuta pomoću pametnog telefona. Sigurnosno se malo razlikuje od potpuno otvorene mreže i to je njezin glavni problem. Ako vas zanima povijest problema, na internetu možete pronaći mnogo materijala o tome da je WEP lako provaljen još ranih 2000-ih. Trebate li ovakvu "sigurnost"?

    8. Usmjerivač s WPA2-AES enkripcijom ne može se hakirati

    Ako uzmemo "sferni usmjerivač s WPA2-AES enkripcijom u vakuumu", onda je to točno: prema posljednjim procjenama, s postojećim računalna snaga krekiranje AES-a korištenjem brute force metoda trajalo bi milijarde godina. Da, milijarde.

    Ali to ne znači da AES neće dopustiti hakeru da dođe do vaših podataka. Kao i uvijek, glavni problem je ljudski faktor. U u ovom slučaju, puno ovisi o tome koliko je vaša lozinka složena i dobro izrađena. Uz "svakodnevni" pristup smišljanju lozinki, metode društvenog inženjeringa bit će dovoljne za probijanje WPA2-AES-a u prilično kratkom vremenu.

    O pravilima sastavljanja dobre lozinke Nismo dugo ulazili u detalje pa sve zainteresirane upućujemo na ovaj članak.

    9. WPA2-AES enkripcija smanjuje brzine prijenosa podataka

    Tehnički, to je točno, ali moderni usmjerivači imaju hardver koji ovo smanjenje svede na minimum. Ako imate značajno usporavanje veze, to znači da koristite stariji usmjerivač koji ima malo drugačije standarde i protokole. Na primjer, WPA2-TKIP. Sam TKIP bio je sigurniji od svog prethodnika WEP, ali je bio kompromisno rješenje koje je dopuštalo korištenje starijeg hardvera s modernijim i sigurnijim protokolima. Kako bi se TKIP “sprijateljio” s novom vrstom AES enkripcije korišteni su razni softverski trikovi koji su doveli do usporavanja brzine prijenosa podataka.

    Još 2012. godine standard 802.11 smatrao je da TKIP nije dovoljno siguran, ali se još uvijek često nalazi u starijim usmjerivačima. Postoji samo jedno rješenje problema - kupiti moderan model.

    10. Nema potrebe mijenjati ruter koji radi

    Princip je za one koji su danas sasvim zadovoljni mehaničkim pisaćim strojem i telefonom s brojčanikom. Redovito se pojavljuju novi standardi bežične komunikacije, a svaki put se povećava ne samo brzina prijenosa podataka, već i sigurnost mreže.

    Danas, kada standard 802.11ac dopušta brzine prijenosa podataka iznad 50 Mbps, stariji usmjerivač koji podržava 802.11n i sve prethodne standarde može ograničiti potencijal propusnost mreže. U slučaju tarifni planovi, pružajući brzine iznad 100 Mbit/s, jednostavno ćete platiti dodatni novac bez dobivanja pune usluge.

    Naravno, uopće nije potrebno hitno mijenjati radni usmjerivač, ali jednog lijepog dana doći će vrijeme kada se niti jedan moderan uređaj neće moći povezati s njim.

    Pročitaj više: