• tkip veya aes nedir? Bir wifi yönlendirici için ne tür bir şifreleme seçilmeli

    Geniş bant İnternet erişimi, yalnızca büyük şehirlerde değil, aynı zamanda uzak bölgelerde de bir lüks olmaktan çoktan çıktı. Aynı zamanda, birçoğu hemen edinir kablosuz yönlendiriciler kaydetmek için mobil internet ve akıllı telefonları, tabletleri ve diğer taşınabilir ekipmanları yüksek hızlı hatta bağlayın. Ayrıca, sağlayıcılar giderek artan bir şekilde yerleşik yerleşik yönlendiriciler kuruyor. kablosuz erişim noktası erişim.

    Bu arada, tüketiciler gerçekte nasıl çalıştığını her zaman anlamazlar. ağ donanımı ve hangi tehlikeyi taşıyabileceği. Ana yanılgı, özel bir müşterinin kablosuz bağlantının kendisine herhangi bir zarar verebileceğini düşünmemesidir - sonuçta o bir banka değildir, gizli bir servis değildir ve porno deposunun sahibi değildir. Ama anlamaya başlar başlamaz, hemen eski güzel kabloya geri dönmek isteyeceksiniz.

    1. Hiç kimse ev ağıma giremez

    İşte ev kullanıcılarının temel normların ihmal edilmesine yol açan ana yanılgısı. ağ güvenliği. Bir ünlü, bir banka veya bir çevrimiçi mağaza değilseniz, o zaman kimsenin size zaman kaybetmeyeceği, çünkü sonuçların gösterilen çabalar için yetersiz kalacağı genel olarak kabul edilir.

    Dahası, bazı nedenlerden dolayı, inatla küçük kablosuz ağların büyük ağlara göre hacklenmesinin daha zor olduğu görüşü inatla dolaşıyor, ki bu biraz doğruluk payı var, ancak genel olarak bu aynı zamanda bir efsanedir. Açıkçası, bu ifade, küçük yerel ağların sınırlı bir sinyal yayılma aralığına sahip olduğu gerçeğine dayanmaktadır, bu nedenle seviyesini düşürmek yeterlidir ve bir bilgisayar korsanı, yakınlarda park etmiş bir arabadan veya mahalledeki bir kafeden böyle bir ağı tespit edemez.

    Bu bir zamanlar doğru olabilir, ancak bugünün hırsızları en çok şeyi bile yakalayabilen son derece hassas antenlerle donatılmıştır. zayıf sinyal. Mutfağınızda sürekli olarak bağlantısını kaybeden bir tabletinizin olması, sizden iki ev ötedeki bir arabada oturan bir bilgisayar korsanının sizin yerinize giremeyeceği anlamına gelmez. Kablosuz ağ.

    Ağınızı hacklemenin çabaya değmeyeceği görüşüne gelince, bu hiç de doğru değil: gadget'larınız her türden bir deniz içeriyor kişisel bilgi, en azından bir saldırganın sizin adınıza satın alma siparişi vermesine, borç almasına veya yöntemler kullanmasına izin verir. sosyal mühendislik, işvereninizin ve hatta ortaklarının ağına girmek gibi daha da açık olmayan hedeflere ulaşmak için. Aynı zamanda, ağ güvenliğine yönelik tutum sıradan kullanıcılar bugün o kadar küçümseyici ki çatlak ev ağı yeni başlayanlar için bile zor olmayacaktır.

    2. Evde çift veya üç bantlı bir yönlendiriciye ihtiyacınız yok

    Çok bantlı yönlendiricilere yalnızca, özellikle sıkmak isteyen çok sayıda gadget'ın talepkar sahipleri tarafından ihtiyaç duyulduğuna inanılıyor. kablosuz iletişim maksimum kullanılabilir hız. Bu arada, herhangi birimiz en azından bir çift bantlı yönlendirici kullanabiliriz.

    Çok bantlı bir yönlendiricinin ana avantajı, farklı cihazlar farklı aralıklara "dağılabilir" ve böylece potansiyel veri aktarım hızını ve tabii ki iletişimin güvenilirliğini artırır. Örneğin, dizüstü bilgisayarları aynı aralığa bağlamak mantıklı olacaktır, set üstü kutular- ikinciye ve mobil araçlar- üçüncüye.

    3. 5GHz bandı, 2.4GHz bandından daha iyidir

    Faydaları takdir etti Frekans aralığı 5 GHz genellikle herkesin ona geçmesini ve 2,4 GHz frekansını kullanmayı tamamen bırakmasını önerir. Ancak, her zamanki gibi, her şey o kadar basit değil.

    Evet, 5 GHz, daha yoğun olan 2,4 GHz'den fiziksel olarak daha az "doludur" - 2,4 GHz'in eski standartlara göre çoğu cihazı çalıştırması da buna dahildir. Ancak, 5 GHz, özellikle beton duvarlar ve diğer engellerden geçiş söz konusu olduğunda, iletişim menzili açısından yetersizdir.

    Genel olarak, burada kesin bir cevap yoktur, yalnızca özellikle daha iyi sinyal aldığınız aralığı kullanmanızı tavsiye edebiliriz. Ne de olsa, belirli bir yerde 5 GHz bandının cihazlarla aşırı yüklendiği ortaya çıkabilir - bu pek olası olmasa da.

    4. Yönlendirici ayarlarına dokunmanıza gerek yok

    Ekipman yapılandırmasının profesyonellere bırakılmasının en iyisi olduğu ve sizin müdahalenizin yalnızca ağın performansına zarar verebileceği varsayılmaktadır. ISP temsilcilerinin (ve sistem yöneticilerinin) kullanıcıyı korkutmasının olağan yolu, bu olasılığı azaltmaktır. yanlış ayarlar ve sonraki ev aramaları.

    Ne hakkında olduğu hakkında hiçbir fikriniz yoksa, hiçbir şeye dokunmamanın daha iyi olduğu açıktır, ancak profesyonel olmayan biri bile bazı ayarları değiştirme, ağın güvenliğini, güvenilirliğini ve performansını artırma konusunda oldukça yeteneklidir. En azından web arayüzüne gidin ve orada neleri değiştirebileceğinizi görün - ancak ne vereceğini bilmiyorsanız, her şeyi olduğu gibi bırakmak daha iyidir.

    Her durumda, yönlendiricinizin ayarlarında henüz yapılmadıysa, dört ayar yapmak mantıklıdır:

    1) Mümkün olduğunda yeni standarda geçin- hem yönlendirici hem de cihazlarınız tarafından destekleniyorsa. 802.11n'den 802.11ac'ye geçiş, eski 802.11b/g'den 802.11n'ye geçiş gibi önemli bir hız artışı sağlayacaktır.

    2) Şifreleme türünü değiştirin. Bazı yükleyiciler hala ev kablosuz ağlarını ya tamamen açık ya da eski WEP şifreleme standardıyla bırakıyor. Türü WPA2 c olarak değiştirdiğinizden emin olun. AES şifrelemesi ve karmaşık uzun parola.

    3) Varsayılan kullanıcı adını ve şifreyi değiştirin. Neredeyse tüm sağlayıcılar, yeni ekipman kurarken, özellikle değiştirmeleri istenmedikçe bu verileri varsayılan olarak bırakır. Bu, ev ağlarında iyi bilinen bir "deliktir" ve herhangi bir bilgisayar korsanı, başlangıç ​​​​için kesinlikle onu kullanmaya çalışacaktır.

    4) WPS'yi (Wi-Fi Korumalı Kurulum) devre dışı bırakın. WPS teknolojisi genellikle yönlendiricilerde varsayılan olarak etkindir - şu şekilde tasarlanmıştır: hızlı bağlantı uyumlu mobil cihazlar girmeden ağa uzun şifreler. Ancak WPS, yerel ağ"kaba kuvvet" yöntemiyle bilgisayar korsanlığına karşı çok savunmasız - 8 basamaktan oluşan basit bir WPS pin kodu seçimi, ardından saldırgan WPA / WPA2 PSK anahtarına kolayca erişir. Aynı zamanda standarttaki bir hata nedeniyle sadece 4 hane belirlemek yeterlidir ve bu sadece 11.000 kombinasyondur ve hackleme için hepsinin sıralanması gerekmeyecektir.

    5. SSID'yi gizlemek, ağı bilgisayar korsanlarından gizler

    SSID, ağın hizmet tanımlayıcısıdır veya yalnızca ağınızın bir bağlantı kurmak için kullanılan adıdır. çeşitli cihazlar hiç ona bağlı. SSID yayınını kapatarak komşu listesinde görünmeyeceksiniz. kullanılabilir ağlar, ancak bu, bilgisayar korsanlarının onu bulamayacağı anlamına gelmez: gizli bir SSID'nin maskesini kaldırmak, yeni başlayanlar için bir görevdir.

    Aynı zamanda SSID'yi gizleyerek bilgisayar korsanlarının hayatını daha da kolaylaştırırsınız: ağınıza bağlanmaya çalışan tüm cihazlar en yakın erişim noktalarından geçer ve saldırganlar tarafından özel olarak oluşturulmuş "tuzak" ağlara bağlanabilir. Açıklanan kendi SSID'niz altında, cihazlarınızın kolayca otomatik olarak bağlanacağı böyle bir yedek açık ağ kurabilirsiniz.

    Bu nedenle, genel öneri şudur: ağınıza, yönlendiricinin sağlayıcısını veya üreticisini veya sizi tanımlamanıza ve zayıf noktalara yönelik hedefli saldırılar başlatmanıza izin veren herhangi bir kişisel bilgiden bahsetmeyen bir ad verin.

    6. Virüsten koruma ve güvenlik duvarınız varsa şifrelemeye gerek yoktur

    Sıcak ile yumuşak karıştırıldığında bunun tipik bir örneği. Programlar, çevrimiçi veya zaten ağınızda bulunan yazılım tehditlerine karşı koruma sağlar, sizi yönlendirici ile bilgisayarınız arasında iletilen verilerin kendisini ele geçirmekten korumaz.

    Ağ güvenliğini sağlamak için şifreleme protokolleri, donanım veya yazılım güvenlik duvarları ve anti-virüs paketleri içeren bir dizi araç gereklidir.

    7. Bir ev ağı için WEP şifrelemesi yeterlidir

    WEP hiçbir şekilde güvenli değildir ve bir akıllı telefon ile dakikalar içinde kırılabilir. Güvenlik açısından tamamen açık bir ağdan çok az farklıdır ve ana sorunu budur. Sorunun tarihçesiyle ilgileniyorsanız, internette WEP'in 2000'lerin başında kolayca kırıldığına dair birçok materyal bulabilirsiniz. Böyle bir "güvenliğe" ihtiyacınız var mı?

    8. WPA2-AES şifreli bir yönlendirici hacklenemez

    "Boşlukta WPA2-AES şifrelemeli küresel bir yönlendirici" alırsak, bu doğrudur: en son tahminlere göre, mevcut işlem gücü kaba kuvvet yöntemleri kullanarak AES'yi kırmak milyarlarca yıl alırdı. Evet, milyarlarca.

    Ancak bu, AES'in bir bilgisayar korsanının verilerinize erişmesine izin vermeyeceği anlamına gelmez. Her zaman olduğu gibi asıl sorun insan faktörü. Bu durumda, birçok şey şifrenizin ne kadar karmaşık ve iyi yazılmış olacağına bağlıdır. Şifreleri icat etmeye "ev" yaklaşımıyla, sosyal mühendislik yöntemleri WPA2-AES'i oldukça kısa sürede kırmak için yeterli olacaktır.

    İyi şifreler derleme kuralları hakkında, çok uzun zaman önce detaylandırmadık, bu nedenle ilgilenen herkesi bu makaleye yönlendiriyoruz.

    9. WPA2-AES şifrelemesi, veri aktarım hızını azaltır

    Teknik olarak bu doğrudur, ancak modern yönlendiriciler bu düşüşü en aza indirecek donanıma sahiptir. Bağlantıda önemli bir yavaşlama görürseniz bu, biraz farklı standartlar ve protokoller uygulayan eski bir yönlendirici kullandığınız anlamına gelir. Örneğin, WPA2-TKIP. TKIP kendi başına selefi WEP'ten daha güvenliydi, ancak eski donanımın daha modern ve güvenli protokollerle kullanılmasına izin veren uzlaşmacı bir çözümdü. TKIP'yi yeni bir AES şifreleme türüyle "arkadaş edinmek" için, veri aktarım hızında yavaşlamaya neden olan çeşitli yazılım hileleri kullanıldı.

    2012'de, 802.11 standardı TKIP'nin yeterince güvenli olmadığı kabul edildi, ancak hala eski yönlendiricilerde bulunuyor. Sorunun tek bir çözümü var - modern bir model satın almak.

    10. Çalışan bir yönlendiricinin değiştirilmesi gerekmez

    Bugün mekanik daktilo ve çevirmeli telefondan oldukça memnun olanlar için bir ilke. Düzenli olarak yeni kablosuz standartlar ortaya çıkıyor ve her seferinde yalnızca veri aktarım hızı değil, aynı zamanda ağ güvenliği de artıyor.

    Bugün, 50 Mbps'nin üzerindeki hızlarda veri aktarabilen 802.11ac ile, 802.11n'yi ve önceki tüm standartları destekleyen eski bir yönlendirici, potansiyeli sınırlayabilir. verim ağlar. 100 Mbps'nin üzerinde hız sağlayan tarife planları söz konusu olduğunda, tam teşekküllü bir hizmet almadan sadece ekstra para ödersiniz.

    Tabii ki, çalışan bir yönlendiriciyi acilen değiştirmek gerekli değildir, ancak bir gün tek bir modern cihazın ona bağlanamayacağı bir an gelecektir.

    İÇİNDE Son zamanlarda kablosuz ağların güvenliğini tehlikeye atan bir sonraki protokol veya teknolojinin hacklenmesi hakkında birçok "açıklayıcı" yayın var. Bu gerçekten böyle mi, neyden korkmalı ve ağınıza erişimi mümkün olduğunca güvenli hale nasıl getirebilirsiniz? WEP, WPA, 802.1x, EAP, PKI kelimeleri sizin için çok mu az şey ifade ediyor? Bu kısa genel bakış, radyo erişiminin şifrelenmesi ve yetkilendirilmesi için kullanılan tüm teknolojilerin bir araya getirilmesine yardımcı olacaktır. Düzgün yapılandırılmış bir kablosuz ağın bir saldırgan için aşılmaz bir engel olduğunu (elbette belirli bir sınıra kadar) göstermeye çalışacağım.

    Temel bilgiler

    Bir erişim noktası (ağ) ile bir kablosuz istemci arasındaki tüm etkileşimler şunlar üzerine kuruludur:
    • kimlik doğrulama- istemci ve erişim noktasının kendilerini birbirlerine nasıl tanıttıkları ve birbirleriyle iletişim kurma hakları olduğunu nasıl teyit ettikleri;
    • şifreleme- iletilen veriler için hangi karıştırma algoritmasının kullanıldığı, şifreleme anahtarının nasıl üretildiği ve ne zaman değiştirildiği.

    Başta adı (SSID) olmak üzere kablosuz ağ parametreleri, erişim noktası tarafından yayın işaret paketlerinde düzenli olarak duyurulur. Beklenen güvenlik ayarlarına ek olarak, QoS, 802.11n parametreleri, desteklenen hızlar, diğer komşular hakkında bilgiler vb. için istekler iletilir. Kimlik doğrulama, istemcinin noktaya nasıl göründüğünü belirler. Olası seçenekler:

    • açık- tüm bağlı cihazların aynı anda yetkilendirildiği sözde açık ağ
    • paylaşılan- bağlı cihazın orijinalliği bir anahtar/şifre ile doğrulanmalıdır
    • DAP- bağlı cihazın orijinalliği, harici bir sunucu tarafından EAP protokolü aracılığıyla doğrulanmalıdır
    Ağın açık olması, herhangi birinin cezasız bir şekilde onunla çalışabileceği anlamına gelmez. Böyle bir ağda veri iletmek için, kullanılan şifreleme algoritmasının ve buna bağlı olarak şifreli bir bağlantının doğru kurulmasının eşleşmesi gerekir. Şifreleme algoritmaları şunlardır:
    • Hiçbiri- şifreleme yok, veriler net bir şekilde iletilir
    • WEP- Farklı statik veya dinamik anahtar uzunluklarına (64 veya 128 bit) sahip RC4 tabanlı şifre
    • CKIP- Cisco'nun TKIP'nin erken bir sürümü olan WEP'in tescilli ikamesi
    • TKIP- ek kontroller ve koruma ile WEP için iyileştirilmiş değiştirme
    • AES/CCMP- ek kontroller ve koruma ile AES256'ya dayalı en gelişmiş algoritma

    Kombinasyon Açık Kimlik Doğrulaması, Şifreleme Yok sistemlerinde yaygın olarak kullanılan misafir erişimi bir kafede veya otelde internet sağlamak gibi. Bağlanmak için, yalnızca kablosuz ağın adını bilmeniz gerekir. Bu bağlantı genellikle ile birleştirilir ek kontrolözel HTTP isteğini yönlendirerek Captive Portal'a ek sayfa, onay isteyebileceğiniz (giriş-şifre, kurallarla anlaşma vb.)

    şifreleme WEP tehlikeye girer ve kullanılamaz (dinamik anahtarlar söz konusu olduğunda bile).

    Yaygın olarak kullanılan terimler WPA Ve WPA2 aslında şifreleme algoritmasını (TKIP veya AES) belirler. İstemci bağdaştırıcılarının oldukça uzun bir süredir WPA2'yi (AES) desteklemesi nedeniyle, TKIP algoritmasını kullanarak şifreleme kullanmanın bir anlamı yoktur.

    arasındaki fark WPA2 Kişisel Ve WPA2 Kurumsal AES algoritmasının mekaniğinde kullanılan şifreleme anahtarlarının geldiği yerdir. Özel (ev, küçük) uygulamalar için statik bir anahtar kullanılır (şifre, bir kod sözcüğü, Erişim noktası ayarlarında ayarlanan ve bu kablosuz ağın tüm istemcileri için aynı olan minimum 8 karakter uzunluğunda PSK (Ön Paylaşımlı Anahtar). Böyle bir anahtarın tehlikeye atılması (bir komşuya söylenmiş, bir çalışan işten atılmış, bir dizüstü bilgisayar çalınmış), kalan tüm kullanıcılar için acil bir parola değişikliği gerektirir ki bu yalnızca az sayıda kullanıcı için gerçekçidir. Kurumsal uygulamalar için, adından da anlaşılacağı gibi, çalışan her istemci için ayrı olan bir dinamik anahtar kullanılır. şu an. Bu anahtar, çalışma sırasında bağlantıyı kesmeden periyodik olarak güncellenebilir ve onu oluşturmaktan sorumludur. ek bileşen bir yetkilendirme sunucusudur ve neredeyse her zaman bir RADIUS sunucusudur.

    Tüm olası güvenlik parametreleri bu levhada özetlenmiştir:

    Mülk Statik WEP Dinamik WEP WPA WPA2 (Kuruluş)
    Tanılama Kullanıcı, bilgisayar, WLAN kartı kullanıcı, bilgisayar
    		kullanıcı, bilgisayar
    		kullanıcı, bilgisayar
    yetki
    		Paylaşılan anahtar

    DAP

    EAP veya paylaşılan anahtar

    EAP veya paylaşılan anahtar

    Bütünlük

    32-bit Bütünlük Kontrol Değeri (ICV)

    32-bit ICV

    64-bit Mesaj Bütünlüğü Kodu (MIC)

    CRT/CBC-MAC (Sayaç modu Şifre Blok Zincirleme Kimlik Doğrulama Kodu - CCM) AES'nin bir parçası

    şifreleme

    statik anahtar

    oturum anahtarı

    TKIP aracılığıyla paket anahtarı başına

    CCMP (AES)

    Anahtar dağıtımı

    Tek, manuel

    İkili Ana Anahtar (PMK) segmenti

    PMK'dan türetilmiştir

    PMK'dan türetilmiştir

    Başlatma vektörü

    Metin, 24 bit

    Metin, 24 bit

    Genişletilmiş vektör, 65 bit

    48 bitlik paket numarası (PN)

    algoritma

    RC4

    RC4

    RC4

    AES

    Anahtar uzunluğu, bit

    64/128
    64/128
    128
    256'ya kadar

    Gerekli Altyapı

    HAYIR

    YARIÇAP

    YARIÇAP

    YARIÇAP

    WPA2 Kişisel (WPA2 PSK) ile her şey açıksa, kurumsal çözüm ek değerlendirme gerektirir.

    WPA2 Kurumsal



    Burada uğraşıyoruz ek setçeşitli protokoller. İstemci tarafında özel bileşen yazılım, istek sahibi (genellikle işletim sisteminin bir parçasıdır), yetkilendirme bölümü olan AAA sunucusuyla etkileşime girer. İÇİNDE bu örnek hafif erişim noktaları ve bir denetleyici üzerine kurulmuş birleşik bir radyo ağının çalışması görüntülenir. Erişim noktalarının "beyinli" kullanılması durumunda, noktanın kendisi, istemciler ve sunucu arasında bir aracı rolünün tamamını üstlenebilir. Aynı zamanda, istekte bulunan istemcinin verileri radyo aracılığıyla 802.1x protokolüne (EAPOL) iletilir ve denetleyici tarafında bunlar RADIUS paketlerine sarılır.

    Ağınızda EAP yetkilendirme mekanizmasının kullanılması, erişim noktası (varsa denetleyici ile birlikte) tarafından başarılı (neredeyse kesinlikle açık) istemci kimlik doğrulamasından sonra, ikincisinin istemciden yetkilendirmesini (kimlik bilgilerini doğrulamasını) istemesine yol açar. altyapı RADIUS sunucusundan:

    Kullanım WPA2 Kurumsal ağınızda bir RADIUS sunucusu gerektirir. Bugüne kadar, en verimli aşağıdaki ürünlerdir:

    • Microsoft Ağ İlkesi Sunucusu (NPS), eski adıyla IAS- MMC aracılığıyla ücretsiz olarak yapılandırılabilir, ancak Windows satın almanız gerekir
    • Cisco Güvenli Erişim Kontrol Sunucusu (ACS) 4.2, 5.3- bir web arabirimi aracılığıyla yapılandırılabilir, zengin özelliklere sahip, dağıtılmış ve hataya dayanıklı sistemler oluşturmanıza olanak tanır, pahalıdır
    • ÜcretsizRADIUS- ücretsiz, metin yapılandırmalarıyla yapılandırılmış, yönetimi ve izlenmesi uygun olmayan

    Kontrolör aynı zamanda devam eden bilgi alışverişini dikkatle izler ve yetkilendirmenin başarılı olmasını veya reddedilmesini bekler. Başarılı olursa, RADIUS sunucusu erişim noktasını gönderebilir Ekstra seçenekler(örneğin, abonenin hangi VLAN'a yerleştirileceği, ona hangi IP adresinin atanacağı, QoS profili vb.). Değişimin sonunda RADIUS sunucusu, istemcinin ve erişim noktasının şifreleme anahtarları (bireysel, yalnızca bu oturum için geçerlidir) oluşturmasına ve değiş tokuş etmesine izin verir:

    DAP

    EAP protokolünün kendisi kapsayıcılıdır, yani gerçek yetkilendirme mekanizması dahili protokollerin insafına verilmiştir. Açık şu anda Aşağıdakiler bazı önemli ilgi gördü:
    • EAP-HIZLI(Güvenli Tünelleme Yoluyla Esnek Kimlik Doğrulama) - Cisco tarafından geliştirilmiştir; istek sahibi ile RADIUS sunucusu arasında TLS tüneli içinde iletilen oturum açma parolası ile yetkilendirmeye izin verir
    • EAP-TLS(Taşıma katmanı Güvenliği). altyapı kullanır ortak anahtarlar Güvenilir bir sertifika yetkilisi (CA) tarafından verilen sertifikalar aracılığıyla istemci ve sunucu (alt bileşen ve RADIUS sunucusu) yetkilendirmesi için (PKI). Her biri için istemci sertifikalarının verilmesini ve yüklenmesini gerektirir Kablosuz cihaz, bu nedenle yalnızca yönetilen bir kurumsal ortam için uygundur. Windows Sertifika Sunucusu, istemci bir etki alanının üyesiyse, istemcinin kendi sertifikasını oluşturmasına izin veren olanaklara sahiptir. Bir müşteriyi engellemek, sertifikasını iptal ederek (veya hesaplar aracılığıyla) kolayca yapılabilir.
    • EAP-TTLS(Tünelli Aktarım Katmanı Güvenliği), EAP-TLS'ye benzer, ancak tünel oluştururken istemci sertifikası gerekmez. Böyle bir tünelde, tarayıcının SSL bağlantısına benzer şekilde, ek yetkilendirme gerçekleştirilir (şifre veya başka bir şey kullanılarak).
    • PEAP-MSCHAPv2(Korumalı EAP) - başlangıçta istemci ile sunucu arasında bir sunucu sertifikası gerektiren şifreli bir TLS tüneli oluşturması açısından EAP-TTLS'ye benzer. Ardından, iyi bilinen MSCHAPv2 protokolü kullanılarak böyle bir tünelde yetkilendirme gerçekleştirilir.
    • PEAP-GTC(Genel Belirteç Kartı) - öncekine benzer, ancak tek seferlik parola kartları (ve ilgili altyapı) gerektirir

    Bu yöntemlerin tümü (EAP-FAST hariç), bir Sertifika Yetkilisi (CA) tarafından verilen bir sunucu sertifikası (RADIUS sunucusunda) gerektirir. Aynı zamanda, CA sertifikasının kendisi de güvenilen gruptaki istemci cihazda bulunmalıdır (kullanımı kolaydır). Grup ilkesi Windows'ta). Ek olarak, EAP-TLS, bireysel bir istemci sertifikası gerektirir. İstemci kimlik doğrulaması şu şekilde gerçekleştirilir: elektronik imza ve (isteğe bağlı olarak) RADIUS sunucusuna istemci tarafından sağlanan sertifikayı, sunucunun PKI altyapısından (Active Directory) aldığı sertifikayla karşılaştırarak.

    EAP yöntemlerinden herhangi biri için destek, istemci tarafında istek sahibi tarafından sağlanmalıdır. Standart yerleşik Windows XP/Vista/7, iOS, Android, bu yöntemleri popüler kılan en az EAP-TLS ve EAP-MSCHAPv2 sağlar. Windows için Intel İstemci Adaptörleri, genişleyen ProSet yardımcı programıyla birlikte gelir. mevcut liste. Cisco AnyConnect İstemcisi de aynısını yapar.

    ne kadar güvenilir

    Sonuçta, bir saldırganın ağınıza girmesi için neye ihtiyacı var?

    Açık Kimlik Doğrulama için Şifreleme Yok hiçbir şeydir. Ağa ve her şeye bağlı. Radyo ortamı açık olduğu için sinyal farklı yönlerde yayılır, engellemek kolay değildir. Hava dinlemenizi sağlayan uygun client adaptörleriniz varsa, ağ trafiği Saldırganın tele, hub'a, anahtarın SPAN portuna bağlı olduğu gibi görünür.
    WEP tabanlı şifreleme, yalnızca IV kaba kuvvet süresi ve ücretsiz olarak kullanılabilen birçok tarama yardımcı programından birini gerektirir.
    TKIP veya AES tabanlı şifreleme için teoride doğrudan şifre çözme mümkündür, ancak pratikte herhangi bir bilgisayar korsanlığı vakası olmamıştır.

    Elbette, PSK anahtarını veya EAP yöntemlerinden birinin parolasını tahmin etmeye çalışabilirsiniz. Bu yöntemlere yönelik yaygın saldırılar bilinmemektedir. Sosyal mühendislik yöntemlerini uygulamayı deneyebilir veya

    Birçok yönlendirici, şu güvenlik standartlarını seçenek olarak sağlar: WPA2-PSK (TKIP), WPA2-PSK (AES) ve WPA2-PSK (TKIP/AES). Yanlış seçim yapın ve daha yavaş ve daha az güvenli bir ağ elde edin.

    WEP (Kablolu Eşdeğer Gizlilik), WPA (Wi-Fi Protected Access) ve WPA2 (Wi-Fi Protected Access II), kablosuz ağ güvenlik ayarlarını yapılandırırken aralarından seçim yapmanız istenecek, temel bilgi güvenliği algoritmalarıdır. WEP, kullanımı sırasında birçok zayıflık keşfedildiğinden, bunların en eskisi ve en savunmasız olanıdır. WPA daha gelişmiş koruma sağlar, ancak bilgisayar korsanlığına karşı da hassas olduğu bilinmektedir. WPA2 şu anda gelişmekte olan bir standarttır ve açık ara en yaygın güvenlik seçeneğidir. TKIP (Geçici Anahtar Bütünlüğü Protokolü) ve AES (Gelişmiş Şifreleme Standardı) iki çeşitli tipler WPA2 standardında kullanılabilen şifreleme. Nasıl farklı olduklarını ve hangisinin size en uygun olduğunu görelim.

    AES'e karşı TKIP

    TKIP ve AES, Wi-Fi ağlarında kullanılabilen iki farklı şifreleme standardıdır. TKIP, son derece güvenilmez WEP algoritmasının yerini almak için WPA standardı tarafından sunulan daha eski bir şifreleme protokolüdür. Aslında, TKIP birçok yönden WEP şifreleme algoritmasına benzer. TKIP artık güvenilir bir koruma yöntemi olarak kabul edilmemektedir ve şu anda önerilmemektedir. Başka bir deyişle, kullanmamalısınız.

    AES, WPA2 standardı tarafından sunulan daha güçlü bir şifreleme protokolüdür. AES, özellikle Wi-Fi ağları için tasarlanmış sıkıcı bir standart değildir. Bu, ABD hükümeti tarafından bile benimsenen ciddi bir küresel şifreleme standardıdır. Örneğin, şifrelediğinizde HDD kullanarak TrueCrypt programları, bunun için AES şifreleme algoritmasını kullanabilir. AES, sanal olarak sağlayan dünya çapında tanınan bir standarttır. tam güvenlik, ve olası zayıflıkları, (oldukça karmaşık parolalarla karşılanan) kaba kuvvet saldırılarına karşı potansiyel duyarlılığı ve WPA2'nin diğer yönleriyle ilişkili güvenlik kusurlarıdır.

    Kesilmiş bir güvenlik seçeneği, WPA standardı tarafından kullanılan daha eski bir şifreleme protokolü olan TKIP'dir. AES for Wi-Fi, yeni ve güvenli WPA2 standardında kullanılan daha yeni bir şifreleme çözümüdür. Teorik olarak, bu her şeyin sonu olabilir. Ancak pratikte, yönlendiricinize bağlı olarak, basit seçim WPA2 yeterli olmayabilir.

    WPA2 standardı, optimum güvenlik için AES kullanırken, önceki nesil cihazlarla geriye dönük uyumluluğun gerekli olduğu durumlarda TKIP'yi de kullanabilir. Bu düzenlemede WPA2'yi destekleyen cihazlar WPA2'ye göre, WPA'yı destekleyen cihazlar ise WPA'ya göre bağlanacaktır. Yani, "WPA2" her zaman WPA2-AES anlamına gelmez. Ancak, "TKIP" veya "AES" seçenekleri açıkça belirtilmeyen cihazlarda, WPA2 genellikle WPA2-AES ile eşanlamlıdır.
    Bu seçeneklerin tam adındaki "PSK" kısaltması, "önceden paylaşılan anahtar" anlamına gelir - parolanız (şifre anahtarı). Bu, kişisel standartları, büyük kurumsal veya devlet Wi-Fi ağları üzerinden benzersiz anahtarlar vermek için bir RADIUS sunucusu kullanan WPA-Enterprise'tan ayırır.

    Wi-Fi güvenlik seçenekleri

    Daha mı zor? Şaşırtıcı bir şey yok. Ama gerçekten yapmanız gereken tek şey, cihazınızın çalışma listesinde en fazla korumayı sağlayan seçeneği bulmak. Yönlendiriciniz için en olası seçeneklerin listesi aşağıdadır:

    • açık (riskli): V açık ağlar Wifi yok kod cümleleri. Bu seçeneği belirlememelisiniz - cidden, polise sizi ziyaret etmesi için bir bahane verebilirsiniz.
    • WEP 64 (riskli): Eski WEP protokolü kolayca savunmasızdır ve onu kullanmamalısınız.
    • WEP 128 (riskli): Bu aynı WEP'dir, ancak şifreleme anahtarının uzunluğu artırılmıştır. Aslında, WEP 64'ten daha az savunmasız değildir.
    • WPA-PSK (TKIP): Bu, WPA protokolünün (temelde WPA1) orijinal sürümünü kullanır. Tamamen güvenli değildir ve yerini WPA2 almıştır.
    • WPA-PSK (AES): Bu, TKIP'nin daha modern AES şifreleme standardı ile değiştirildiği orijinal WPA protokolünü kullanır. Bu seçenek geçici bir önlem olarak sunulur, ancak AES'yi destekleyen cihazlar hemen hemen her zaman WPA2'yi desteklerken, WPA gerektiren cihazlar AES'yi neredeyse hiçbir zaman desteklemez. Dolayısıyla bu seçenek pek mantıklı değil.
    • WPA2-PSK (TKIP): Bu, eski algoritma ile modern WPA2 standardını kullanır TKIP şifrelemesi. Bu seçenek güvenli değildir ve tek avantajı, WPA2-PSK (AES) seçeneğini desteklemeyen eski cihazlar için uygun olmasıdır.
    • WPA2-PSK (AES): Bu, en sık kullanılan güvenlik seçeneğidir. En son Wi-Fi şifreleme standardı olan WPA2'yi ve en son AES şifreleme protokolünü kullanır. Bu seçeneği kullanmalısınız. Bazı cihazlarda, çoğu durumda AES kullanmak anlamına gelen, basitçe "WPA2" veya "WPA2-PSK" olarak adlandırılan bir seçenek göreceksiniz.
    • WPAWPA2-PSK (TKIP/AES): Bazı cihazlar bu karma seçeneği sunar ve hatta önerir. Bu seçenek, hem WPA hem de WPA2'yi hem TKIP hem de AES ile kullanmanıza izin verir. Bu, sahip olabileceğiniz herhangi bir eski cihazla maksimum uyumluluk sağlar, ancak bilgisayar korsanlarına daha savunmasız WPA ve TKIP protokollerini kırarak ağınıza sızma fırsatı da verir.

      • WPA2 sertifikası 2004'ten beri geçerli ve 2006'da zorunlu hale geldi. 2006'dan sonra üretilen Wi-Fi logosuna sahip tüm cihazların WPA2 şifreleme standardını desteklemesi gerekir.

      Wi-Fi özellikli cihazınız muhtemelen 11 yaşının altında olduğundan, sadece WPA2-PSK (AES) seçeneğini seçerek kendinizi rahat hissedebilirsiniz. Bu seçeneği ayarlayarak, cihazınızın sağlığını da kontrol edebileceksiniz. Cihaz çalışmayı durdurursa, her zaman iade edebilir veya değiştirebilirsiniz. Güvenlik sizin için önemliyse de büyük önem, 2006'dan önce üretilmemiş yeni bir cihaz satın alabilirsiniz.

      WPA ve TKIP, Wi-Fi ağını yavaşlatır

      Uyumluluk için seçilen WPA ve TKIP seçenekleri de Wi-Fi ağını yavaşlatabilir. 802.11n veya daha yeni ve daha hızlı standartları destekleyen birçok modern Wi-Fi yönlendirici, varsayımsal eski cihazlarla uyumluluğu sağlamak için WPA veya TKIP seçeneğini yüklerseniz hızı 54 Mbps'ye düşürür.

      Buna karşılık, AES ile WPA2 kullanıldığında, 802.11n bile 300 Mbps'ye kadar hızları desteklerken, 802.11ac teorik olarak en yüksek hız Optimum (okuma: ideal) koşullar altında 3,46 Gbps.
      Çoğu yönlendiricide, daha önce gördüğümüz gibi, seçenekler listesi genellikle WEP, WPA (TKIP) ve WPA2 (AES) içerir - ve belki de en iyileriyle eklenen karma bir WPA (TKIP) + WPA2 (AES) maksimum uyumluluk modu seçeneği niyetler
      TKIP veya AES ile birlikte WPA2 sunan alışılmadık bir yönlendiriciniz varsa, AES'yi seçin. Neredeyse tüm cihazlarınız kesinlikle onunla çalışacaktır, üstelik daha hızlı ve daha güvenlidir. AES basit ve rasyonel bir seçimdir.

    Wi-Fi ağınızı korumak ve bir parola ayarlamak için, kablosuz ağ güvenlik türünü ve şifreleme yöntemini seçtiğinizden emin olun. Ve üzerinde bu aşama Birçok insanın bir sorusu var: hangisini seçmeli? WEP mi, WPA mı, yoksa WPA2 mi? Kişisel mi Kurumsal mı? AES mi, TKIP mi? Hangi güvenlik ayarları Wi-Fi ağınızı en iyi şekilde korur? Bu yazıda tüm bu soruları cevaplamaya çalışacağım. Her şeyi düşünün olası yöntemler kimlik doğrulama ve şifreleme. Hangi güvenlik ayarlarını öğrenin Wi-Fi ağları yönlendirici ayarlarında ayarlamak daha iyidir.

    Güvenlik veya kimlik doğrulama türü, ağ kimlik doğrulaması, güvenlik, kimlik doğrulama yönteminin aynı olduğunu unutmayın.

    Kimlik Doğrulama Türü ve Şifreleme, kablosuz Wi-Fi ağınız için temel güvenlik ayarlarıdır. Bence önce ne olduklarını, hangi sürümlerin olduğunu, yeteneklerini vb. Anlamalısın. Ondan sonra, ne tür bir koruma ve şifreleme seçeceğimizi zaten öğreneceğiz. Size birkaç popüler yönlendirici örneğini göstereceğim.

    Bir parola oluşturmanızı ve kablosuz ağınızı korumanızı önemle tavsiye ederim. Düzenlemek maksimum seviye koruma. Ağı açık, korumasız bırakırsanız, herkes ona bağlanabilir. Her şeyden önce güvenli değil. Ve Ekstra yük yönlendiricinizde, bağlantı hızında düşüş ve farklı cihazları birbirine bağlayan her türlü sorun.

    Wi-Fi Ağ Güvenliği: WEP, WPA, WPA2

    Üç koruma seçeneği vardır. Tabii ki, "Açık" (Koruma yok) sayılmaz.

    • WEP(Kabloluya Eşdeğer Gizlilik), eski ve güvenli olmayan bir kimlik doğrulama yöntemidir. Bu, ilk ve çok başarılı olmayan koruma yöntemidir. Saldırganlar, WEP kullanılarak korunan kablosuz ağlara kolayca erişebilir. Orada olmasına rağmen (her zaman değil) bu modu yönlendiricinizin ayarlarında ayarlamanıza gerek yoktur.
    • WPA(Wi-Fi Korumalı Erişim) güvenilir ve modern bir güvenlik türüdür. Tüm cihazlar ve işletim sistemleri ile maksimum uyumluluk.
    • WPA2 WPA'nın yeni, geliştirilmiş ve daha güvenilir bir sürümüdür. AES CCMP şifrelemesi için destek var. Şimdilik, bu en iyi yol. Wi-Fi koruması ağlar. Kullanmanı tavsiye ettiğim şey bu.

    WPA/WPA2 iki tip olabilir:

    • WPA/WPA2 - Kişisel (PSK)- Bu olağan yol kimlik doğrulama. Yalnızca bir parola (anahtar) belirlemeniz ve ardından bunu bir Wi-Fi ağına bağlanmak için kullanmanız gerektiğinde. Tüm cihazlar için tek şifre kullanılmaktadır. Şifrenin kendisi cihazlarda saklanır. Gerekirse nerede görüntülenebileceği veya değiştirilebileceği. Bu seçeneği kullanmanız önerilir.
    • WPA/WPA2-Kuruluş- esas olarak ofislerde ve çeşitli kurumlarda kablosuz ağları korumak için kullanılan daha karmaşık bir yöntem. Daha fazlasına izin verir yüksek seviye koruma. Yalnızca cihaz yetkilendirmesi için bir RADIUS sunucusu kurulduğunda kullanılır (şifreleri veren).

    Sanırım kimlik doğrulama yöntemini bulduk. En iyisi WPA2 - Kişisel (PSK) kullanmaktır. Daha iyi uyumluluk için, eski cihazlara bağlanırken sorun olmaması için, WPA/WPA2 karma modunu ayarlayabilirsiniz. Çoğu yönlendiricide bu yöntem varsayılan olarak ayarlanmıştır. Veya "Önerilen" olarak işaretlenmiş.

    Kablosuz şifreleme

    iki yol var TKIP Ve AES.

    AES önerilir. Ağda AES şifrelemeyi desteklemeyen (yalnızca TKIP) eski cihazlarınız varsa ve kablosuz ağa bağlanmada sorun yaşayacaksanız, "Otomatik" ayarını yapın. TKIP şifreleme türü, 802.11n modunda desteklenmez.

    Her durumda, kesinlikle WPA2 - Kişisel (önerilir) yüklerseniz, yalnızca AES şifrelemesi kullanılabilir.

    Bir Wi-Fi yönlendiriciye hangi koruma uygulanmalı?

    Kullanmak WPA2 - AES şifrelemeli kişisel. Bugüne kadar, bu en iyisi ve en güvenli yol. ASUS yönlendiricilerde kablosuz güvenlik ayarları şu şekilde görünür:

    Ve bu güvenlik ayarları TP-Link yönlendiricilerinde böyle görünür (eski bellenim ile).

    Daha detaylı talimatlar TP-Link için görebilirsiniz .

    Diğer yönlendiriciler için talimatlar:

    Tüm bu ayarları yönlendiricinizde nerede bulacağınızı bilmiyorsanız, yorumları yazın, önermeye çalışacağım. Modeli belirtmeyi unutmayınız.

    WPA2'den beri - Kişisel (AES) eski cihazlar ( Wi-Fi bağdaştırıcıları, telefonlar, tabletler vb.) desteklenmeyebilir, bağlantı sorunlarınız varsa lütfen karma modu (Otomatik) kullanın.

    Parolayı veya diğer güvenlik ayarlarını değiştirdikten sonra cihazların ağa bağlanmak istemediğini sık sık fark ediyorum. Bilgisayarlar "Bu bilgisayarda depolanan ağ ayarları, bu ağın gereksinimleriyle eşleşmiyor" hatası alabilir. Cihazdaki ağı silmeyi (unutmayı) ve yeniden bağlanmayı deneyin. Bunu Windows 7'de nasıl yapacağımı yazdım. Ve Windows 10'da ihtiyacınız olan .

    Şifre (anahtar) WPA PSK

    Hangi tür güvenlik ve şifreleme yöntemini seçerseniz seçin, bir parola belirlemeniz gerekir. Aynı zamanda bir WPA anahtarı, Kablosuz Şifre, Wi-Fi ağ güvenlik anahtarı vb.

    Parola uzunluğu 8 ila 32 karakter arasındadır. Latin harfleri ve rakamları kullanılabilir. Ayrıca özel karakterler: - @ $ # ! vb. Boşluk yok! Parola büyük/küçük harfe duyarlıdır! Bu, "z" ve "Z"nin farklı karakterler olduğu anlamına gelir.

    koymanı tavsiye etmem basit şifreler. Daha iyi oluştur güçlü şifre, çok uğraşsalar bile kimsenin kesin olarak anlayamayacağı.

    Bu kadar karmaşık bir şifreyi hatırlamanız pek olası değildir. Bir yere not etsen iyi olur. Bir Wi-Fi şifresinin unutulması alışılmadık bir durum değildir. Bu gibi durumlarda ne yapmalı, makalede yazdım:.

    Daha da fazla güvenliğe ihtiyacınız varsa, MAC adres bağlamayı kullanabilirsiniz. Doğru, buna gerek görmüyorum. WPA2 - Kişisel, AES ile eşleştirilmiş ve karmaşık bir parola yeterlidir.

    Wi-Fi ağınızın güvenliğini nasıl sağlıyorsunuz? Yorumlara yazın. Peki soru sorun 🙂

    ilk kurduğumda ev wifi yönlendirici ciddi bir hata yaptı: yanlış şifreleme protokolünü seçti. Sonuç olarak ertesi gün 8 haneli bir şifre ile bile puanım hacklendi. Bunu ancak birkaç hafta sonra fark ettim ve ondan önce yavaş yüklenen sayfalar ve kesintiye uğrayan video akışından memnundum. Ve bu sorunun sadece yarısı: eğer geçerse güvensiz bağlantı iletmek kesin bilgi ve çalışma belgeleri, yanlış ellere "bırakabilirler". Bu tür sorunlardan kaçınmak istiyor musunuz? En uygun şifreleme protokolünü seçmek yeterlidir.

    WEP 64 ve WEP 128

    Bir yönlendirici kurarken yapabileceğiniz en kötü şey, WEP şifreleme protokolünü ayarlamaktır. Minimum güvenlik seviyesini bile garanti edemez: puanınız birkaç dakika içinde ele geçirilebilir. Ve sadece yararlanmak için değil bedava internet ama aynı zamanda kişisel verileri almak için.

    WPA-PSK (TKIP) ve

    Seçmenizi önermediğim başka bir şifreleme protokolü: açıkçası güvenlik% 100 değil. Özellikle TKIP şifreleme türünü seçtiyseniz.

    WPA2-AES ve WPA2-TKIP

    WPA2 protokol sürümü en güncel seçenektir. Şifreleme türüyle ilgili soru ortaya çıktığında, WPA2-AES'i seçin - sağlayacaktır maksimum koruma Wi-Fi ağınız ve veri güvenliğiniz. Karşılaştırıldığında, TKIP şifreleme türü daha az güvenli kabul edilir. Ama eğer varsa eski cihaz Ve

    Devamını oku: