• Ne tür bir kablosuz ağ güvenliği seçilmelidir. WPA2-PSK - nedir bu? Güvenlik tipi WPA2-PSK

    kablosuz şifreleme- hangi protokolü seçmeli?

    kendimi satın aldım yeni yönlendirici ve kendim kurmaya karar verdim. Her şey ayarlandı - İnternet ve kablosuz ağ çalışıyor. Soru ortaya çıktı, çünkü radyo dalgaları (benim durumumda Wi-Fi) sadece dairem çerçevesinde dağıtılmıyor. Buna göre, yakalanabilirler. Teoride. Yönlendiricinin bir şifreleme ayarı var Kablosuz ağ. Bunun dinlemeyi ve "dinlemeyi" dışlamak olduğunu varsayıyorum. Soru şu ki, yönlendiricimde bulunan şifreleme protokollerinden hangisini seçmeliyim? Mevcut: WPE, WPA-Kişisel, WPA-Kurumsal, WPA2-Kişisel, WPA2-Kurumsal, WPS. Benim durumumda hangi Wi-Fi şifrelemesini kullanmalıyım?


    norik | 16 Şubat 2015, 10:14
    Eski Wi-Fi şifreleme protokollerinin açıklamalarını atlayacağım. Bu nedenle, yalnızca kullanımı mantıklı olanları anlatacağım. Protokol burada açıklanmadıysa, ya egzotiktir ya da ona ihtiyacınız yoktur.

    WPA ve WPA2 (Wi-Fi Korumalı Erişim) - tüm yönlendiricilerde bulunur. En popüler ve yaygın olarak kullanılan protokol. Aynı zamanda en modern olanlardan biridir. BENİM NACİZANE FİKRİME GÖRE - en iyi seçim ev ve küçük ofis için. Bununla birlikte, yetkilendirmeyi zorlaştırmanın mantıklı olması dışında, büyük ofisler için de oldukça uygundur. Parolanın uzunluğu 63 bayta kadardır, böylece seçerek kırabilirsiniz - daha önce griye dönebilirsiniz. Elbette, ağdaki tüm cihazlar tarafından destekleniyorsa WPA2'yi seçmeniz gerekir (yalnızca çok eski araçlar bunu anlamaz).

    Asıl değerli olan içindekidir bu servisçoklu şifreleme algoritmaları kullanılabilir. Bunlar arasında: 1. TKIP - Bir delik bulmak oldukça mümkün olduğu için tavsiye etmiyorum.
    2. CCMP çok daha iyi.
    3. AES - En çok bunu beğendim, ancak WPA2 spesifikasyonunda mevcut olmasına rağmen tüm cihazlar tarafından desteklenmiyor.

    WPA2 ayrıca iki ilk kimlik doğrulama modu sağlar. Bu modlar PSK ve Enterprise'dır. WPA PSK olarak da bilinen WPA Personal, tüm kullanıcıların şebekeye bağlanırken istemci tarafında girilen tek bir şifre ile kablosuz ağa girecekleri anlamına gelir. Bir ev için mükemmel, ancak büyük bir ofis için biraz zor. Onu tanıyan başka bir çalışan işten ayrıldığında herkes için şifreyi değiştirmek zor olacaktır.

    WPA Enterprise, bir dizi anahtar içeren ayrı bir sunucu gerektirir. 6 makinelik bir ev veya ofis için bu zahmetlidir, ancak ofiste 3 düzine kablosuz cihaz varsa, o zaman halledebilirsiniz.

    Aslında bu, Wi-Fi şifreleme seçiminin sonudur. şu an. Protokollerin geri kalanı ya hiç şifrelemeye ya da parolaya sahip değildir ya da algoritmalarda yalnızca tamamen tembel olanların giremeyeceği boşluklara sahiptir. Ev için bir WPA2 Kişisel AES kombinasyonu öneririm. Büyük ofisler için - WPA2 Enterprise AES. AES yoksa, TKIP'den vazgeçilebilir, ancak paketleri okuma olasılığı devam eder bir yabancı tarafından. WPA2 TKIP'nin, WPA TKIP'den farklı olarak asla saldırıya uğramadığına dair bir görüş var, ancak dikkatlice ...

    ), bu da sizi zararlı komşular gibi yetkisiz bağlantılardan korumanıza olanak tanır. Parola bir paroladır, ancak elbette komşularınız arasında "hacker-crackers" olmadığı sürece kırılabilir. Bu nedenle, Wi-Fi protokolü, her zaman olmasa da, Wi-Fi'yi bilgisayar korsanlığına karşı korumanıza izin veren çeşitli şifreleme türlerine de sahiptir.

    Şu anda, şu tür şifreleme türleri var: AÇIK, , WPA, WPA2 bugün konuşacağımız şey.

    AÇIK

    AÇIK şifreleme aslında şifreleme değildir ve başka bir deyişle koruması yoktur. Bu nedenle, etkin noktanızı bulan herkes ona kolayca bağlanabilir. WPA2 şifrelemesi koymak ve bir tür karmaşık şifre bulmak en iyisi olacaktır.

    Bu tipşifreleme 90'ların sonunda ortaya çıktı ve ilk. Şimdilik WEB anı (Kabloluya Eşdeğer Gizlilik) en zayıf şifreleme türüdür. Wi-Fi'yi destekleyen bazı yönlendiriciler ve diğer cihazlar WEB desteğini hariç tutar.

    Dediğim gibi, WEB şifrelemesi çok güvensizdir ve aynı OPEN gibi kaçınılmalıdır, çünkü çok fazla kişi için koruma oluşturur. Kısa bir zaman, bundan sonra herhangi bir karmaşıklığın şifresini kolayca öğrenebilirsiniz. Genellikle WEB şifreleri 40 veya 103 bittir, bu da bir kombinasyonu birkaç saniye içinde tahmin etmenizi sağlar.

    Gerçek şu ki, WEB bu şifrenin (anahtarın) bazı kısımlarını veri paketleriyle birlikte iletir ve bu paketler kolayca yakalanabilir. Şu anda, aynı paketleri yakalamakla meşgul olan birkaç program var, ancak bu makalede bundan bahsetmeyeceğim.

    WPA/WPA2


    Bu tür en modern olanıdır ve henüz yenileri yoktur. Ayarlanabilir keyfi uzunluk 8'den 64 bayta kadar şifre ve bu kırılmayı oldukça zorlaştırıyor.

    Bu arada, WPA standardı, iletişimden sonra iletilen birçok şifreleme algoritmasını destekler. TKIPİle CCMP. TKIP arasında bir köprü gibiydi. Ve WPA ve kadar vardı IEEE ( Elektrik ve Elektronik Mühendisleri Enstitüsü) tam bir algoritma oluşturdu CCMP. Bu arada, TKIP de bazı tür saldırılara maruz kaldı, bu nedenle çok güvenli olmadığı da düşünülüyor.

    Ayrıca WPA2 şifrelemesi, iki başlangıç ​​kimlik doğrulaması modu kullanır; diğer bir deyişle, ağa kullanıcı (istemci) erişimi için parola doğrulaması. Arandılar PSK Ve Girişim. İlk mod, bağlanırken girdiğimiz tek bir şifre ile giriş yapmak anlamına gelir. Büyük şirketler için bu pek uygun değildir, çünkü bazı çalışanların ayrılmasından sonra, ağa erişememesi için her seferinde şifreyi değiştirmeniz ve bu ağa bağlı diğer çalışanlara bu konuda bilgi vermeniz gerekir. Bu. Bu nedenle, her şeyi daha uygun hale getirmek için bir mod bulduk. Girişim, sunucuda depolanan birçok anahtarı kullanmanıza izin verir YARIÇAP.

    WPS

    teknoloji WPS veya başka bir şekilde QSS tek bir düğmeye basarak ağa bağlanmanızı sağlar. Prensip olarak, şifreyi düşünemezsiniz bile. Ama burada da kabul sisteminde ciddi hesap yanlışları olan sakıncalar var.

    İLE WPS kullanarak 8 karakterden oluşan bir kod kullanarak farklı bir şekilde ağa bağlanabiliyoruz. TOPLU İĞNE. Ama içinde bu standart bu pin kodunun sadece 4 hanesini öğrendikten sonra tüm anahtarı bulabileceğiniz bir hata var, bunun için yeterli 10 bin deneme. Böylece, ne kadar karmaşık olursa olsun, bir şifre alabilirsiniz.

    WPS üzerinden girmek için saniyede 10-50 istek gönderebilirsiniz ve 4-16 saat sonra uzun zamandır beklenen anahtarı alırsınız.

    Elbette her şey sona eriyor, bu güvenlik açığı keşfedildi ve şimdiden gelecekteki teknolojilerde oturum açma denemelerinin sayısına kısıtlamalar getirmeye başladılar, bu sürenin sona ermesinden sonra erişim noktası WPS'yi geçici olarak devre dışı bırakır. Bugüne kadar, kullanıcıların yarısından fazlası hala bu korumaya sahip olmayan cihazlara sahiptir.

    Parolanızı korumak istiyorsanız, WPS'yi devre dışı bırakmanız önerilir, bu genellikle yönetici panelinde yapılır. WPS'yi ara sıra kullanıyorsanız, yalnızca ağa bağlandığınızda açın, geri kalan zamanlarda kapatın.

    Bu şekilde bilgi sahibi olduk çeşitli tipler x Wi-Fi ağ şifrelemesi, hangileri daha iyi ve hangileri daha kötü. Elbette WPA ile başlayan şifrelemeyi kullanmak daha iyidir, ancak WPA2 çok daha iyidir.

    Herhangi bir sorunuz veya eklemek istediğiniz bir şey varsa, yorumlarda aboneliğinizi iptal ettiğinizden emin olun.

    Bu arada, hakkında bir video izleyebilirsiniz. wifi bağlantısı nasıl artırılır, Ve usb modemi hızlandırmak.

    İÇİNDE Son zamanlarda kablosuz ağların güvenliğini tehlikeye atan bir sonraki protokol veya teknolojinin hacklenmesi hakkında birçok "açıklayıcı" yayın olmuştur. Bu gerçekten böyle mi, neyden korkmalı ve ağınıza erişimi mümkün olduğunca güvenli hale nasıl getirebilirsiniz? WEP, WPA, 802.1x, EAP, PKI kelimeleri sizin için çok mu az şey ifade ediyor? Bu kısa genel bakış, radyo erişiminin şifrelenmesi ve yetkilendirilmesi için kullanılan tüm teknolojilerin bir araya getirilmesine yardımcı olacaktır. Düzgün yapılandırılmış bir kablosuz ağın bir saldırgan için aşılmaz bir engel olduğunu (elbette belirli bir sınıra kadar) göstermeye çalışacağım.

    Temel bilgiler

    Bir erişim noktası (ağ) ile bir kablosuz istemci arasındaki tüm etkileşimler şunlar üzerine kuruludur:
    • kimlik doğrulama- istemci ve erişim noktasının kendilerini birbirlerine nasıl tanıttıkları ve birbirleriyle iletişim kurma hakları olduğunu nasıl teyit ettikleri;
    • şifreleme- iletilen veriler için hangi karıştırma algoritmasının kullanıldığı, şifreleme anahtarının nasıl üretildiği ve ne zaman değiştirildiği.

    Başta adı (SSID) olmak üzere kablosuz ağ parametreleri, erişim noktası tarafından yayın işaret paketlerinde düzenli olarak duyurulur. Beklenen güvenlik ayarlarına ek olarak, QoS, 802.11n parametreleri, desteklenen hızlar, diğer komşular hakkında bilgiler vb. için istekler iletilir. Kimlik doğrulama, istemcinin noktaya nasıl göründüğünü belirler. Olası seçenekler:

    • açık- tüm bağlı cihazların aynı anda yetkilendirildiği sözde açık ağ
    • paylaşılan- bağlı cihazın orijinalliği bir anahtar/şifre ile doğrulanmalıdır
    • DAP- bağlı cihazın orijinalliği, harici bir sunucu tarafından EAP protokolü aracılığıyla doğrulanmalıdır
    Ağın açık olması, herhangi birinin cezasız bir şekilde onunla çalışabileceği anlamına gelmez. Böyle bir ağda veri iletmek için, kullanılan şifreleme algoritmasının eşleşmesi ve buna bağlı olarak şifreli bir bağlantının doğru kurulması gerekir. Şifreleme algoritmaları şunlardır:
    • Hiçbiri- şifreleme yok, veriler net bir şekilde iletilir
    • WEP- Farklı statik veya dinamik anahtar uzunluklarına (64 veya 128 bit) sahip RC4 tabanlı şifre
    • CKIP- Cisco'nun TKIP'nin erken bir sürümü olan WEP'in tescilli ikamesi
    • TKIP- ek kontroller ve koruma ile WEP için iyileştirilmiş değiştirme
    • AES/CCMP- ek kontroller ve koruma ile AES256'ya dayalı en gelişmiş algoritma

    Kombinasyon Açık Kimlik Doğrulaması, Şifreleme Yok sistemlerinde yaygın olarak kullanılan misafir erişimi bir kafede veya otelde internet sağlamak gibi. Bağlanmak için, yalnızca kablosuz ağın adını bilmeniz gerekir. Bu bağlantı genellikle ile birleştirilir ek kontrolözel HTTP isteğini yönlendirerek Captive Portal'a ek sayfa, onay isteyebileceğiniz (giriş-şifre, kurallarla anlaşma vb.)

    şifreleme WEP tehlikeye girer ve kullanılamaz (dinamik anahtarlar söz konusu olduğunda bile).

    Yaygın olarak kullanılan terimler WPA Ve WPA2 aslında şifreleme algoritmasını (TKIP veya AES) belirler. İstemci bağdaştırıcılarının oldukça uzun bir süredir WPA2'yi (AES) desteklemesi nedeniyle, TKIP algoritmasını kullanarak şifreleme kullanmanın bir anlamı yoktur.

    arasındaki fark WPA2 Kişisel Ve WPA2 Kurumsal AES algoritmasının mekaniğinde kullanılan şifreleme anahtarlarının geldiği yerdir. Özel (ev, küçük) uygulamalar için statik bir anahtar kullanılır (şifre, bir kod sözcüğü, Erişim noktasının ayarlarında ayarlanan ve bu kablosuz ağın tüm istemcileri için aynı olan minimum 8 karakter uzunluğunda PSK (Ön Paylaşımlı Anahtar). Böyle bir anahtarın ele geçirilmesi (komşuya gevezelik edilmesi, bir çalışanın işten atılması, bir dizüstü bilgisayarın çalınması), kalan tüm kullanıcılar için acil bir parola değişikliği gerektirir ki bu yalnızca az sayıda kullanıcı için gerçekçidir. Kurumsal uygulamalar için, adından da anlaşılacağı gibi, şu anda çalışan her müşteri için ayrı olan dinamik bir anahtar kullanılır. Bu anahtar, çalışma sırasında bağlantıyı kesmeden periyodik olarak güncellenebilir ve onu oluşturmaktan sorumludur. ek bileşen bir yetkilendirme sunucusudur ve neredeyse her zaman bir RADIUS sunucusudur.

    Tüm olası güvenlik parametreleri bu levhada özetlenmiştir:

    Mülk Statik WEP Dinamik WEP WPA WPA2 (Kuruluş)
    Tanılama Kullanıcı, bilgisayar, WLAN kartı kullanıcı, bilgisayar
    		kullanıcı, bilgisayar
    		kullanıcı, bilgisayar
    yetki
    		Paylaşılan anahtar

    DAP

    EAP veya paylaşılan anahtar

    EAP veya paylaşılan anahtar

    Bütünlük

    32-bit Bütünlük Kontrol Değeri (ICV)

    32-bit ICV

    64-bit Mesaj Bütünlüğü Kodu (MIC)

    CRT/CBC-MAC (Sayaç modu Şifre Blok Zincirleme Kimlik Doğrulama Kodu - CCM) AES'nin bir parçası

    şifreleme

    statik anahtar

    oturum anahtarı

    TKIP aracılığıyla paket anahtarı başına

    CCMP (AES)

    Anahtar dağıtımı

    Tek, manuel

    İkili Ana Anahtar (PMK) segmenti

    PMK'dan türetilmiştir

    PMK'dan türetilmiştir

    Başlatma vektörü

    Metin, 24 bit

    Metin, 24 bit

    Genişletilmiş vektör, 65 bit

    48 bitlik paket numarası (PN)

    algoritma

    RC4

    RC4

    RC4

    AES

    Anahtar uzunluğu, bit

    64/128
    64/128
    128
    256'ya kadar

    Gerekli Altyapı

    HAYIR

    YARIÇAP

    YARIÇAP

    YARIÇAP

    WPA2 Kişisel (WPA2 PSK) ile her şey açıksa, kurumsal çözüm ek değerlendirme gerektirir.

    WPA2 Kurumsal



    Burada uğraşıyoruz ek setçeşitli protokoller. İstemci tarafında özel bileşen yazılım, istek sahibi (genellikle işletim sisteminin bir parçasıdır), yetkilendirme bölümü olan AAA sunucusuyla etkileşime girer. İÇİNDE bu örnek hafif erişim noktaları ve bir denetleyici üzerine kurulmuş birleşik bir radyo ağının çalışması görüntülenir. Erişim noktalarının "beyinli" kullanılması durumunda, noktanın kendisi, istemciler ve sunucu arasında bir aracı rolünün tamamını üstlenebilir. Aynı zamanda, istekte bulunan istemcinin verileri radyo aracılığıyla 802.1x protokolüne (EAPOL) iletilir ve denetleyici tarafında bunlar RADIUS paketlerine sarılır.

    Ağınızda EAP yetkilendirme mekanizmasının kullanılması, erişim noktası (varsa denetleyici ile birlikte) tarafından başarılı (neredeyse kesinlikle açık) istemci kimlik doğrulamasından sonra, ikincisinin istemciden yetkilendirmesini (kimlik bilgilerini doğrulamasını) istemesine yol açar. altyapı RADIUS sunucusundan:

    Kullanım WPA2 Kurumsal ağınızda bir RADIUS sunucusu gerektirir. Bugüne kadar, en verimli aşağıdaki ürünlerdir:

    • Microsoft Ağ İlkesi Sunucusu (NPS), eski adıyla IAS- MMC aracılığıyla ücretsiz olarak yapılandırılabilir, ancak Windows satın almanız gerekir
    • Cisco Güvenli Erişim Kontrol Sunucusu (ACS) 4.2, 5.3- bir web arabirimi aracılığıyla yapılandırılabilir, zengin özelliklere sahip, dağıtılmış ve hataya dayanıklı sistemler oluşturmanıza olanak tanır, pahalıdır
    • ÜcretsizRADIUS- ücretsiz, metin yapılandırmalarıyla yapılandırılmış, yönetimi ve izlenmesi uygun olmayan

    Kontrolör aynı zamanda devam eden bilgi alışverişini dikkatle izler ve yetkilendirmenin başarılı olmasını veya reddedilmesini bekler. Başarılı olursa, RADIUS sunucusu erişim noktasını gönderebilir Ekstra seçenekler(örneğin, abonenin hangi VLAN'a yerleştirileceği, ona hangi IP adresinin atanacağı, QoS profili vb.). Değişimin sonunda RADIUS sunucusu, istemcinin ve erişim noktasının şifreleme anahtarları (bireysel, yalnızca bu oturum için geçerlidir) oluşturmasına ve değiş tokuş etmesine izin verir:

    DAP

    EAP protokolünün kendisi kapsayıcılıdır, yani gerçek yetkilendirme mekanizması dahili protokollerin insafına verilmiştir. Açık şu anda Aşağıdakiler bazı önemli ilgi gördü:
    • EAP-HIZLI(Güvenli Tünelleme Yoluyla Esnek Kimlik Doğrulama) - Cisco tarafından geliştirilmiştir; istek sahibi ile RADIUS sunucusu arasında TLS tüneli içinde iletilen oturum açma parolası ile yetkilendirmeye izin verir
    • EAP-TLS(Taşıma katmanı Güvenliği). altyapı kullanır ortak anahtarlar Güvenilir bir sertifika yetkilisi (CA) tarafından verilen sertifikalar aracılığıyla istemci ve sunucu (alt bileşen ve RADIUS sunucusu) yetkilendirmesi için (PKI). Her biri için istemci sertifikalarının verilmesini ve yüklenmesini gerektirir Kablosuz cihaz, bu nedenle yalnızca yönetilen bir kurumsal ortam için uygundur. Windows Sertifika Sunucusu, istemci bir etki alanının üyesiyse, istemcinin kendi sertifikasını oluşturmasına izin veren olanaklara sahiptir. Bir müşteriyi engellemek, sertifikasını iptal ederek (veya hesaplar aracılığıyla) kolayca yapılabilir.
    • EAP-TTLS(Tünelli Aktarım Katmanı Güvenliği), EAP-TLS'ye benzer, ancak tünel oluştururken istemci sertifikası gerekmez. Böyle bir tünelde, tarayıcının SSL bağlantısına benzer şekilde, ek yetkilendirme gerçekleştirilir (şifre veya başka bir şey kullanılarak).
    • PEAP-MSCHAPv2(Korumalı EAP) - başlangıçta istemci ile sunucu arasında bir sunucu sertifikası gerektiren şifreli bir TLS tüneli oluşturması açısından EAP-TTLS'ye benzer. Ardından, iyi bilinen MSCHAPv2 protokolü kullanılarak böyle bir tünelde yetkilendirme gerçekleştirilir.
    • PEAP-GTC(Genel Belirteç Kartı) - öncekine benzer, ancak tek seferlik parola kartları (ve ilgili altyapı) gerektirir

    Bu yöntemlerin tümü (EAP-FAST hariç), bir Sertifika Yetkilisi (CA) tarafından verilen bir sunucu sertifikası (RADIUS sunucusunda) gerektirir. Aynı zamanda, CA sertifikasının kendisi de güvenilen gruptaki istemci cihazda bulunmalıdır (kullanımı kolaydır). Grup ilkesi Windows'ta). Ek olarak, EAP-TLS, bireysel bir istemci sertifikası gerektirir. İstemci kimlik doğrulaması şu şekilde gerçekleştirilir: elektronik imza ve (isteğe bağlı olarak) RADIUS sunucusuna istemci tarafından sağlanan sertifikayı, sunucunun PKI altyapısından (Active Directory) aldığı sertifikayla karşılaştırarak.

    EAP yöntemlerinden herhangi biri için destek, istemci tarafında istek sahibi tarafından sağlanmalıdır. Standart yerleşik Windows XP/Vista/7, iOS, Android, bu yöntemleri popüler kılan en az EAP-TLS ve EAP-MSCHAPv2 sağlar. Windows için Intel İstemci Adaptörleri, genişleyen ProSet yardımcı programıyla birlikte gelir. mevcut liste. Cisco AnyConnect İstemcisi de aynısını yapar.

    ne kadar güvenilir

    Sonuçta, bir saldırganın ağınıza girmesi için neye ihtiyacı var?

    Açık Kimlik Doğrulama için Şifreleme Yok hiçbir şeydir. Ağa ve her şeye bağlı. Radyo ortamı açık olduğundan, sinyal yayılır farklı taraflar Engellemek kolay değil. Hava dinlemenizi sağlayan uygun client adaptörleriniz varsa, ağ trafiği Saldırganın tele, hub'a, anahtarın SPAN portuna bağlı olduğu gibi görünür.
    WEP tabanlı şifreleme, yalnızca IV kaba kuvvet süresi ve ücretsiz olarak kullanılabilen birçok tarama yardımcı programından birini gerektirir.
    TKIP veya AES tabanlı şifreleme için teoride doğrudan şifre çözme mümkündür, ancak pratikte herhangi bir bilgisayar korsanlığı vakası olmamıştır.

    Elbette, PSK anahtarını veya EAP yöntemlerinden birinin parolasını tahmin etmeye çalışabilirsiniz. Bu yöntemlere yönelik yaygın saldırılar bilinmemektedir. yöntemleri deneyebilirsiniz sosyal mühendislik, veya

    Son zamanlarda, kablosuz ağların güvenliğini tehlikeye atan bir sonraki protokol veya teknolojinin hacklenmesi hakkında birçok "açıklayıcı" yayın var. Bu gerçekten böyle mi, neyden korkmalı ve ağınıza erişimi mümkün olduğunca güvenli hale nasıl getirebilirsiniz? WEP, WPA, 802.1x, EAP, PKI kelimeleri sizin için çok mu az şey ifade ediyor? Bu kısa genel bakış, radyo erişiminin şifrelenmesi ve yetkilendirilmesi için kullanılan tüm teknolojilerin bir araya getirilmesine yardımcı olacaktır. Düzgün yapılandırılmış bir kablosuz ağın bir saldırgan için aşılmaz bir engel olduğunu (elbette belirli bir sınıra kadar) göstermeye çalışacağım.

    Temel bilgiler

    Bir erişim noktası (ağ) ile bir kablosuz istemci arasındaki tüm etkileşimler şunlar üzerine kuruludur:
    • kimlik doğrulama- istemci ve erişim noktasının kendilerini birbirlerine nasıl tanıttıkları ve birbirleriyle iletişim kurma hakları olduğunu nasıl teyit ettikleri;
    • şifreleme- iletilen veriler için hangi karıştırma algoritmasının kullanıldığı, şifreleme anahtarının nasıl üretildiği ve ne zaman değiştirildiği.

    Başta adı (SSID) olmak üzere kablosuz ağ parametreleri, erişim noktası tarafından yayın işaret paketlerinde düzenli olarak duyurulur. Beklenen güvenlik ayarlarına ek olarak, QoS, 802.11n parametreleri, desteklenen hızlar, diğer komşular hakkında bilgiler vb. için istekler iletilir. Kimlik doğrulama, istemcinin noktaya nasıl göründüğünü belirler. Olası seçenekler:

    • açık- tüm bağlı cihazların aynı anda yetkilendirildiği sözde açık ağ
    • paylaşılan- bağlı cihazın orijinalliği bir anahtar/şifre ile doğrulanmalıdır
    • DAP- bağlı cihazın orijinalliği, harici bir sunucu tarafından EAP protokolü aracılığıyla doğrulanmalıdır
    Ağın açık olması, herhangi birinin cezasız bir şekilde onunla çalışabileceği anlamına gelmez. Böyle bir ağda veri iletmek için, kullanılan şifreleme algoritmasının eşleşmesi ve buna bağlı olarak şifreli bir bağlantının doğru kurulması gerekir. Şifreleme algoritmaları şunlardır:
    • Hiçbiri- şifreleme yok, veriler net bir şekilde iletilir
    • WEP- Farklı statik veya dinamik anahtar uzunluklarına (64 veya 128 bit) sahip RC4 tabanlı şifre
    • CKIP- Cisco'nun TKIP'nin erken bir sürümü olan WEP'in tescilli ikamesi
    • TKIP- ek kontroller ve koruma ile WEP için iyileştirilmiş değiştirme
    • AES/CCMP- ek kontroller ve koruma ile AES256'ya dayalı en gelişmiş algoritma

    Kombinasyon Açık Kimlik Doğrulaması, Şifreleme Yok bir kafede veya otelde internet erişimi sağlamak gibi misafir erişim sistemlerinde yaygın olarak kullanılmaktadır. Bağlanmak için, yalnızca kablosuz ağın adını bilmeniz gerekir. Çoğu zaman, böyle bir bağlantı, Captive Portal'da kullanıcının HTTP isteğini onay isteyebileceğiniz ek bir sayfaya (oturum açma-şifre, kurallara uyma vb.) yönlendirerek ek doğrulama ile birleştirilir.

    şifreleme WEP tehlikeye girer ve kullanılamaz (dinamik anahtarlar söz konusu olduğunda bile).

    Yaygın olarak kullanılan terimler WPA Ve WPA2 aslında şifreleme algoritmasını (TKIP veya AES) belirler. İstemci bağdaştırıcılarının oldukça uzun bir süredir WPA2'yi (AES) desteklemesi nedeniyle, TKIP algoritmasını kullanarak şifreleme kullanmanın bir anlamı yoktur.

    arasındaki fark WPA2 Kişisel Ve WPA2 Kurumsal AES algoritmasının mekaniğinde kullanılan şifreleme anahtarlarının geldiği yerdir. Özel (ev, küçük) uygulamalar için, erişim noktası ayarlarında ayarlanan ve en az 8 karakter uzunluğunda statik bir anahtar (şifre, kod sözcüğü, PSK (Ön Paylaşımlı Anahtar)) kullanılır ve bu anahtar için aynıdır. bu kablosuz ağın tüm istemcileri. Böyle bir anahtarın tehlikeye atılması (bir komşuya söylenmiş, bir çalışan işten atılmış, bir dizüstü bilgisayar çalınmış), kalan tüm kullanıcılar için acil bir parola değişikliği gerektirir ki bu yalnızca az sayıda kullanıcı için gerçekçidir. Kurumsal uygulamalar için, adından da anlaşılacağı gibi, şu anda çalışan her müşteri için ayrı olan dinamik bir anahtar kullanılır. Bu anahtar, çalışma sırasında bağlantıyı kesmeden periyodik olarak güncellenebilir ve onu oluşturmaktan ek bir bileşen sorumludur - yetkilendirme sunucusu ve neredeyse her zaman bu RADIUS sunucusudur.

    Tüm olası güvenlik parametreleri bu levhada özetlenmiştir:

    Mülk Statik WEP Dinamik WEP WPA WPA2 (Kuruluş)
    Tanılama Kullanıcı, bilgisayar, WLAN kartı kullanıcı, bilgisayar
    		kullanıcı, bilgisayar
    		kullanıcı, bilgisayar
    yetki
    		Paylaşılan anahtar

    DAP

    EAP veya paylaşılan anahtar

    EAP veya paylaşılan anahtar

    Bütünlük

    32-bit Bütünlük Kontrol Değeri (ICV)

    32-bit ICV

    64-bit Mesaj Bütünlüğü Kodu (MIC)

    CRT/CBC-MAC (Sayaç modu Şifre Blok Zincirleme Kimlik Doğrulama Kodu - CCM) AES'nin bir parçası

    şifreleme

    statik anahtar

    oturum anahtarı

    TKIP aracılığıyla paket anahtarı başına

    CCMP (AES)

    Anahtar dağıtımı

    Tek, manuel

    İkili Ana Anahtar (PMK) segmenti

    PMK'dan türetilmiştir

    PMK'dan türetilmiştir

    Başlatma vektörü

    Metin, 24 bit

    Metin, 24 bit

    Genişletilmiş vektör, 65 bit

    48 bitlik paket numarası (PN)

    algoritma

    RC4

    RC4

    RC4

    AES

    Anahtar uzunluğu, bit

    64/128
    64/128
    128
    256'ya kadar

    Gerekli Altyapı

    HAYIR

    YARIÇAP

    YARIÇAP

    YARIÇAP

    WPA2 Personal (WPA2 PSK) ile her şey açıksa, kurumsal çözüm için ek değerlendirme gerekir.

    WPA2 Kurumsal



    Burada ek bir dizi farklı protokolle uğraşıyoruz. İstemci tarafında, özel bir yazılım bileşeni olan istek sahibi (genellikle işletim sisteminin bir parçasıdır), yetkilendirme bölümü olan AAA sunucusuyla etkileşime girer. Bu örnek, hafif erişim noktaları ve bir denetleyici üzerine kurulmuş birleşik bir radyo ağının çalışmasını göstermektedir. Erişim noktalarının "beyinli" kullanılması durumunda, noktanın kendisi, istemciler ve sunucu arasında bir aracı rolünün tamamını üstlenebilir. Aynı zamanda, istekte bulunan istemcinin verileri radyo aracılığıyla 802.1x protokolüne (EAPOL) iletilir ve denetleyici tarafında bunlar RADIUS paketlerine sarılır.

    Ağınızda EAP yetkilendirme mekanizmasının kullanılması, erişim noktası (varsa denetleyici ile birlikte) tarafından başarılı (neredeyse kesinlikle açık) istemci kimlik doğrulamasından sonra, ikincisinin istemciden yetkilendirmesini (kimlik bilgilerini doğrulamasını) istemesine yol açar. altyapı RADIUS sunucusundan:

    Kullanım WPA2 Kurumsal ağınızda bir RADIUS sunucusu gerektirir. Bugüne kadar, en verimli aşağıdaki ürünlerdir:

    • Microsoft Ağ İlkesi Sunucusu (NPS), eski adıyla IAS- MMC aracılığıyla ücretsiz olarak yapılandırılabilir, ancak Windows satın almanız gerekir
    • Cisco Güvenli Erişim Kontrol Sunucusu (ACS) 4.2, 5.3- bir web arabirimi aracılığıyla yapılandırılabilir, zengin özelliklere sahip, dağıtılmış ve hataya dayanıklı sistemler oluşturmanıza olanak tanır, pahalıdır
    • ÜcretsizRADIUS- ücretsiz, metin yapılandırmalarıyla yapılandırılmış, yönetimi ve izlenmesi uygun olmayan

    Kontrolör aynı zamanda devam eden bilgi alışverişini dikkatle izler ve yetkilendirmenin başarılı olmasını veya reddedilmesini bekler. Başarılı olursa, RADIUS sunucusu erişim noktasına ek parametreler gönderebilir (örneğin, abonenin hangi VLAN'a yerleştirileceği, ona hangi IP adresinin atanacağı, QoS profili vb.). Değişimin sonunda RADIUS sunucusu, istemcinin ve erişim noktasının şifreleme anahtarları (bireysel, yalnızca bu oturum için geçerlidir) oluşturmasına ve değiş tokuş etmesine izin verir:

    DAP

    EAP protokolünün kendisi kapsayıcılıdır, yani gerçek yetkilendirme mekanizması dahili protokollerin insafına verilmiştir. Şu anda, aşağıdakiler bazı önemli dağıtımlar kazanmıştır:
    • EAP-HIZLI(Güvenli Tünelleme Yoluyla Esnek Kimlik Doğrulama) - Cisco tarafından geliştirilmiştir; istek sahibi ile RADIUS sunucusu arasında TLS tüneli içinde iletilen oturum açma parolası ile yetkilendirmeye izin verir
    • EAP-TLS(Taşıma katmanı Güvenliği). Güvenilir bir sertifika yetkilisi (CA) tarafından verilen sertifikalar aracılığıyla istemciyi ve sunucuyu (isteyen ve RADIUS sunucusu) yetkilendirmek için bir ortak anahtar altyapısı (PKI) kullanır. Her kablosuz cihaz için istemci sertifikalarının verilmesini ve kurulmasını gerektirir, bu nedenle yalnızca yönetilen bir kurumsal ortam için uygundur. Windows Sertifika Sunucusu, istemci bir etki alanının üyesiyse, istemcinin kendi sertifikasını oluşturmasına izin veren olanaklara sahiptir. Bir müşteriyi engellemek, sertifikasını iptal ederek (veya hesaplar aracılığıyla) kolayca yapılabilir.
    • EAP-TTLS(Tünelli Aktarım Katmanı Güvenliği), EAP-TLS'ye benzer, ancak tünel oluştururken istemci sertifikası gerekmez. Böyle bir tünelde, tarayıcının SSL bağlantısına benzer şekilde, ek yetkilendirme gerçekleştirilir (şifre veya başka bir şey kullanılarak).
    • PEAP-MSCHAPv2(Korumalı EAP) - başlangıçta istemci ile sunucu arasında bir sunucu sertifikası gerektiren şifreli bir TLS tüneli oluşturması açısından EAP-TTLS'ye benzer. Ardından, iyi bilinen MSCHAPv2 protokolü kullanılarak böyle bir tünelde yetkilendirme gerçekleştirilir.
    • PEAP-GTC(Genel Belirteç Kartı) - öncekine benzer, ancak tek seferlik parola kartları (ve ilgili altyapı) gerektirir

    Bu yöntemlerin tümü (EAP-FAST hariç), bir Sertifika Yetkilisi (CA) tarafından verilen bir sunucu sertifikası (RADIUS sunucusunda) gerektirir. Bu durumda, CA sertifikasının kendisinin güvenilen gruptaki istemci aygıtında bulunması gerekir (bu, Windows'ta Grup İlkesi araçlarını kullanarak kolayca uygulanabilir). Ek olarak, EAP-TLS, bireysel bir istemci sertifikası gerektirir. İstemci kimlik doğrulaması, hem dijital imzayla hem de (isteğe bağlı olarak) istemci tarafından RADIUS sunucusuna sağlanan sertifikanın, sunucunun PKI altyapısından (Active Directory) aldığı sertifikayla karşılaştırılarak gerçekleştirilir.

    EAP yöntemlerinden herhangi biri için destek, istemci tarafında istek sahibi tarafından sağlanmalıdır. Standart yerleşik Windows XP/Vista/7, iOS, Android, bu yöntemleri popüler kılan en az EAP-TLS ve EAP-MSCHAPv2 sağlar. Windows için Intel İstemci Adaptörleri, mevcut listeyi genişleten bir ProSet yardımcı programıyla birlikte gelir. Cisco AnyConnect İstemcisi de aynısını yapar.

    ne kadar güvenilir

    Sonuçta, bir saldırganın ağınıza girmesi için neye ihtiyacı var?

    Açık Kimlik Doğrulama için Şifreleme Yok hiçbir şeydir. Ağa ve her şeye bağlı. Radyo ortamı açık olduğu için sinyal farklı yönlerde yayılır, engellemek kolay değildir. Havayı dinlemenize izin veren uygun istemci bağdaştırıcılarına sahipseniz, ağ trafiği, saldırganın kabloya, hub'a, anahtarın SPAN bağlantı noktasına bağlı olduğu gibi görünür.
    WEP tabanlı şifreleme, yalnızca IV kaba kuvvet süresi ve ücretsiz olarak kullanılabilen birçok tarama yardımcı programından birini gerektirir.
    TKIP veya AES tabanlı şifreleme için teoride doğrudan şifre çözme mümkündür, ancak pratikte herhangi bir bilgisayar korsanlığı vakası olmamıştır.

    Elbette, PSK anahtarını veya EAP yöntemlerinden birinin parolasını tahmin etmeye çalışabilirsiniz. Bu yöntemlere yönelik yaygın saldırılar bilinmemektedir. Sosyal mühendislik yöntemlerini uygulamayı deneyebilir veya

    Birçok yönlendirici, şu güvenlik standartlarını seçenek olarak sağlar: WPA2-PSK (TKIP), WPA2-PSK (AES) ve WPA2-PSK (TKIP/AES). Yanlış seçim yapın ve daha yavaş ve daha az güvenli bir ağ elde edin.

    Kablosuz ağ güvenlik ayarlarını yapılandırırken size önerilecek olan WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) ve WPA2 (Wi-Fi Protected Access II) standartları, temel bilgi güvenliği algoritmalarıdır. WEP, kullanımı sırasında birçok zayıflık keşfedildiğinden, bunların en eskisi ve en savunmasız olanıdır. WPA daha gelişmiş koruma sağlar, ancak bilgisayar korsanlığına karşı da hassas olduğu bilinmektedir. WPA2 şu anda gelişmekte olan bir standarttır ve açık ara en yaygın güvenlik seçeneğidir. TKIP (Geçici Anahtar Bütünlüğü Protokolü) ve AES (Gelişmiş Şifreleme Standardı), WPA2 standardında kullanılabilen iki farklı şifreleme türüdür. Nasıl farklı olduklarını ve hangisinin size en uygun olduğunu görelim.

    AES'e karşı TKIP

    TKIP ve AES ikidir farklı standart Wi-Fi ağlarında kullanılabilen şifreleme. TKIP, son derece güvenilmez WEP algoritmasının yerini almak için WPA standardı tarafından sunulan daha eski bir şifreleme protokolüdür. Aslında, TKIP birçok yönden algoritmaya benzer. WEP şifrelemesi. TKIP artık güvenilir bir koruma yöntemi olarak kabul edilmemektedir ve şu anda önerilmemektedir. Başka bir deyişle, kullanmamalısınız.

    AES, WPA2 standardı tarafından sunulan daha güçlü bir şifreleme protokolüdür. AES, özellikle Wi-Fi ağları için tasarlanmış sıkıcı bir standart değildir. Bu, ABD hükümeti tarafından bile benimsenen ciddi bir küresel şifreleme standardıdır. Örneğin, şifrelediğinizde HDD kullanarak TrueCrypt programları, bunun için algoritmayı kullanabilir AES şifrelemesi. AES, sanal olarak sağlayan dünya çapında tanınan bir standarttır. tam güvenlik, ve olası zayıflıkları, (oldukça karmaşık parolalarla karşılanan) kaba kuvvet saldırılarına karşı potansiyel duyarlılığı ve WPA2'nin diğer yönleriyle ilişkili güvenlik kusurlarıdır.

    Kesilmiş bir güvenlik seçeneği, WPA standardı tarafından kullanılan daha eski bir şifreleme protokolü olan TKIP'dir. AES for Wi-Fi, yeni ve yeni ağlarda kullanılan daha yeni bir şifreleme çözümüdür. güvenli standart WPA2. Teorik olarak, bu her şeyin sonu olabilir. Ancak pratikte, yönlendiricinize bağlı olarak, basit seçim WPA2 yeterli olmayabilir.

    WPA2 standardı, optimum güvenlik için AES kullanırken, önceki nesil cihazlarla geriye dönük uyumluluğun gerekli olduğu durumlarda TKIP'yi de kullanabilir. Bu düzenlemede WPA2'yi destekleyen cihazlar WPA2'ye göre, WPA'yı destekleyen cihazlar ise WPA'ya göre bağlanacaktır. Yani, "WPA2" her zaman WPA2-AES anlamına gelmez. Ancak, "TKIP" veya "AES" seçenekleri açıkça belirtilmeyen cihazlarda, WPA2 genellikle WPA2-AES ile eşanlamlıdır.
    Bu seçeneklerin tam adındaki "PSK" kısaltması, "önceden paylaşılan anahtar" anlamına gelir - parolanız (şifre anahtarı). Bu, kişisel standartları, büyük kurumsal veya devlet Wi-Fi ağları üzerinden benzersiz anahtarlar vermek için bir RADIUS sunucusu kullanan WPA-Enterprise'tan ayırır.

    Wi-Fi güvenlik seçenekleri

    Daha mı zor? Şaşırtıcı bir şey yok. Ama gerçekten yapmanız gereken tek şey, cihazınızın çalışma listesinde en fazla korumayı sağlayan seçeneği bulmak. Yönlendiriciniz için en olası seçeneklerin listesi aşağıdadır:

    • açık (riskli): V açık ağlar Wifi yok kod cümleleri. Bu seçeneği belirlememelisiniz - cidden, polise sizi ziyaret etmesi için bir bahane verebilirsiniz.
    • WEP 64 (riskli): Eski WEP protokolü kolayca savunmasızdır ve onu kullanmamalısınız.
    • WEP 128 (riskli): Bu aynı WEP'dir, ancak şifreleme anahtarının uzunluğu artırılmıştır. Aslında, WEP 64'ten daha az savunmasız değildir.
    • WPA-PSK (TKIP): Bu, WPA protokolünün (temelde WPA1) orijinal sürümünü kullanır. Tamamen güvenli değildir ve yerini WPA2 almıştır.
    • WPA-PSK (AES): Bu, TKIP'nin daha modern AES şifreleme standardı ile değiştirildiği orijinal WPA protokolünü kullanır. Bu seçenek geçici bir önlem olarak sunulur, ancak AES'yi destekleyen cihazlar hemen hemen her zaman WPA2'yi desteklerken, WPA gerektiren cihazlar AES'yi neredeyse hiçbir zaman desteklemez. Dolayısıyla bu seçenek pek mantıklı değil.
    • WPA2-PSK (TKIP): Bu, eski algoritma ile modern WPA2 standardını kullanır TKIP şifrelemesi. Bu seçenek güvenli değildir ve tek avantajı, WPA2-PSK (AES) seçeneğini desteklemeyen eski cihazlar için uygun olmasıdır.
    • WPA2-PSK (AES): Bu, en sık kullanılan güvenlik seçeneğidir. En son Wi-Fi şifreleme standardı olan WPA2'yi ve en son AES şifreleme protokolünü kullanır. Bu seçeneği kullanmalısınız. Bazı cihazlarda, çoğu durumda AES kullanmak anlamına gelen, basitçe "WPA2" veya "WPA2-PSK" olarak adlandırılan bir seçenek göreceksiniz.
    • WPAWPA2-PSK (TKIP/AES): Bazı cihazlar bu karma seçeneği sunar ve hatta önerir. Bu seçenek, hem WPA hem de WPA2'yi hem TKIP hem de AES ile kullanmanıza izin verir. Bu, sahip olabileceğiniz herhangi bir eski cihazla maksimum uyumluluk sağlar, ancak bilgisayar korsanlarına daha savunmasız WPA ve TKIP protokollerini kırarak ağınıza sızma fırsatı da verir.

      • WPA2 sertifikası 2004'ten beri geçerli ve 2006'da zorunlu hale geldi. 2006'dan sonra üretilen Wi-Fi logosuna sahip tüm cihazların WPA2 şifreleme standardını desteklemesi gerekir.

      Cihazınız bağlı olduğu için Wi-Fi ağları büyük olasılıkla 11 yaşın altında, WPA2-PSK (AES) seçeneğini seçerek kendinizi rahat hissedebilirsiniz. Bu seçeneği ayarlayarak, cihazınızın sağlığını da kontrol edebileceksiniz. Cihaz çalışmayı durdurursa, her zaman iade edebilir veya değiştirebilirsiniz. Güvenlik sizin için önemliyse de büyük önem, 2006'dan önce üretilmemiş yeni bir cihaz satın alabilirsiniz.

      WPA ve TKIP, Wi-Fi ağını yavaşlatır

      Uyumluluk için seçilen WPA ve TKIP seçenekleri de Wi-Fi ağını yavaşlatabilir. Birçok modern kablosuz yönlendiriciler Varsayımsal eski cihazlarla uyumluluk sağlamak için WPA veya TKIP seçeneğini ayarlarsanız, 802.11n veya daha yeni ve daha hızlı standartları destekleyenler 54 Mbps'ye kadar yavaşlayacaktır.

      Buna karşılık, AES ile WPA2 kullanıldığında, 802.11n bile 300 Mbps'ye kadar hızları desteklerken, 802.11ac teorik olarak en yüksek hız Optimum (okuma: ideal) koşullar altında 3,46 Gbps.
      Çoğu yönlendiricide, daha önce gördüğümüz gibi, seçenekler listesi genellikle WEP, WPA (TKIP) ve WPA2 (AES) içerir - ve belki de en iyileriyle eklenen karma bir WPA (TKIP) + WPA2 (AES) maksimum uyumluluk modu seçeneği niyetler
      TKIP veya AES ile birlikte WPA2 sunan alışılmadık bir yönlendiriciniz varsa, AES'yi seçin. Neredeyse tüm cihazlarınız kesinlikle onunla çalışacaktır, üstelik daha hızlı ve daha güvenlidir. AES basit ve rasyonel bir seçimdir.

    Devamını oku: