Vysokorýchlostný káblový internet je čoraz dostupnejší. A spolu s rozvojom mobilných technológií sa používanie domáceho internetu na každom zo zariadení stáva relevantným. Na to slúži Wi-Fi router, ktorého účelom je distribúcia internetu medzi rôznych užívateľov počas bezdrôtového pripojenia.

Osobitná pozornosť by sa mala venovať bezpečnosti vašej siete

Pri kúpe ho stačí nastaviť pri prvom zapnutí. Spolu so smerovačom sa dodáva disk s konfiguračnou pomôckou. S ním je nastavenie domácej siete také jednoduché ako lúskanie hrušiek. Napriek tomu majú neskúsení používatelia často problémy vo fáze nastavenia zabezpečenia siete. Systém vás vyzve, aby ste vybrali metódu autentifikácie, pričom máte na výber najmenej štyri možnosti. Každý z nich má určité výhody a nevýhody a ak sa chcete chrániť pred činmi votrelcov, mali by ste si vybrať najspoľahlivejšiu možnosť. O tom je náš článok.

Autentifikačné metódy

Väčšina domácich smerovačov podporuje nasledujúce metódy overovania siete: Žiadne šifrovanie, WEP, WPA / WPA2-Enterprise, WPA / WPA2-Personal (WPA / WPA2-PSK). Posledné tri majú tiež niekoľko šifrovacích algoritmov. Poďme na to podrobnejšie.

Nedostatok ochrany

Táto metóda hovorí sama za seba. Pripojenie je úplne otvorené, môže sa k nemu pripojiť úplne každý. Zvyčajne sa táto metóda používa na verejných miestach, ale je lepšie ju nepoužívať doma. Minimum, ktoré vám to hrozí, je, že po pripojení susedia obsadia váš kanál a vy jednoducho nebudete môcť dosiahnuť maximálnu rýchlosť podľa vášho tarifného plánu. V najhoršom prípade ho útočníci môžu použiť na vlastné účely, odcudziť vaše dôverné informácie alebo sa dopustiť iného nezákonného konania. Nemusíte si však pamätať heslo, ale súhlaste, je to dosť pochybná výhoda.

WEP

Pri tomto spôsobe sieťovej autentifikácie sú prenášané informácie chránené tajným kľúčom. Typ ochrany je „Otvorený systém“ a „Zdieľaný kľúč“. V prvom prípade k identifikácii dochádza filtrovaním podľa MAC adresy bez použitia ďalšieho kľúča. Ochrana je v skutočnosti najmenšia, a preto nie je bezpečná. V druhom musíte prísť s tajným kódom, ktorý bude použitý ako bezpečnostný kľúč. Môže to byť 64, 128 zo 152-bitov. Systém vám povie, aký dlhý má byť kód v závislosti od jeho kódovania – hexadecimálne alebo ASCII. Je možné nastaviť niekoľko z týchto kódov. Spoľahlivosť ochrany je relatívna a dlho sa považuje za zastaranú.

WPA / WPA2 - Enterprise a WPA / WPA2-Personal

Veľmi spoľahlivý spôsob sieťovej autentifikácie, v prvom prípade sa používa v podnikoch, v druhom - doma av malých kanceláriách. Rozdiel medzi nimi je v tom, že v domácej verzii sa používa trvalý kľúč, ktorý je nakonfigurovaný v prístupovom bode. Spolu so šifrovacím algoritmom a SSID spojenia tvorí bezpečné spojenie. Na prístup k takejto sieti potrebujete poznať heslo. Preto, ak je spoľahlivý a nikomu ho neprezradíte, pre byt alebo dom - je to ideálna možnosť. Navyše ho takmer všetci výrobcovia označujú ako Odporúčaný.

V druhom prípade sa používa dynamický kľúč a každému používateľovi je priradený individuálny. Doma sa s tým nemá zmysel trápiť, preto sa používa len vo veľkých podnikoch, kde je bezpečnosť firemných dát veľmi dôležitá.

Ďalšie zabezpečenie závisí aj od šifrovacieho algoritmu. Sú dva z nich: AES a TKIP. Je lepšie použiť prvý, pretože druhý je derivátom WEP a ukázal sa ako neúčinný.

Ako zmeniť metódu overovania Wi-Fi

Ak ste už v minulosti konfigurovali autentifikáciu vášho pripojenia, no nie ste si istí správnym spôsobom, určite si to teraz skontrolujte. Prejdite do nastavení smerovača zadaním jeho IP adresy, používateľského mena a hesla do prehliadača (podrobnejšie nájdete v článku o IP adrese smerovača na našej webovej stránke). Musíte prejsť na kartu nastavení zabezpečenia siete. V rôznych modeloch smerovača môže byť umiestnený rôznymi spôsobmi. Potom vyberte metódu overenia siete, vymyslite silné heslo, kliknite na „Uložiť“ a reštartujte smerovač. Nezabudnite sa znova pripojiť k sieti cez novú sieť zo všetkých zariadení.

Záver

Dúfame, že tieto informácie budú pre vás užitočné. Nezrušte nastavenia zabezpečenia siete Wi-Fi. Nenechávajte ho otvorené, ale zvoľte odporúčaný spôsob overenia a správny šifrovací algoritmus.

Aký spôsob zabezpečenia pripojenia používate? Podeľte sa s nami v komentároch.

Šifrovanie WPA zahŕňa použitie zabezpečenej siete Wi-Fi. Vo všeobecnosti WPA znamená Wi-Fi Protected Access, teda chránený.

Väčšina správcov systému vie, ako nakonfigurovať tento protokol a vie o ňom veľa.

Bežní ľudia sa však môžu dozvedieť veľa o tom, čo je WPA, ako ho nastaviť a ako ho používať.

Je pravda, že na internete nájdete veľa článkov na túto tému, z ktorých nie je možné nič pochopiť. Preto dnes budeme hovoriť jednoduchým jazykom o ťažkých veciach.

Trochu teórie

WPA je teda protokol, technológia, program, ktorý obsahuje súbor certifikátov používaných pri prenose.

Zjednodušene povedané, táto technológia vám umožňuje použiť rôzne metódy na zabezpečenie vašej Wi-Fi siete.

Môže to byť elektronický kľúč, je to aj špeciálny certifikát o práve používať túto sieť (o tom si povieme neskôr).

Vo všeobecnosti s pomocou tohto programu budú môcť sieť používať iba tí, ktorí na to majú právo, a to je všetko, čo potrebujete vedieť.

Pre informáciu: Autentifikácia je prostriedok ochrany, ktorý vám umožňuje zistiť totožnosť osoby a jej právo na prístup k sieti porovnávaním nahlásených a očakávaných údajov.

Osoba sa môže napríklad overiť, keď použije svoje vlastné. Ak len zadá užívateľské meno a heslo, ide len o autorizáciu.

Odtlačok prsta vám však umožňuje skontrolovať, či sa táto osoba skutočne prihlási a nie niekto vzal jej údaje a vstúpil s ich pomocou.

Ryža. 1. Skener odtlačkov prstov smartfónu

A tiež na diagrame je WLC - bezdrôtový LAN ovládač. Na pravej strane je autentifikačný server.

To všetko spája bežný Switch (zariadenie, ktoré jednoducho spája rôzne sieťové zariadenia). Kľúč je odoslaný z kontroléra na autentifikačný server a tam je uložený.

Klient pri pokuse o pripojenie k sieti musí odovzdať LAP kľúč, ktorý pozná. Tento kľúč ide na autentifikačný server a porovná sa s požadovaným kľúčom.

Ak sa kľúče zhodujú, signál je voľne distribuovaný klientovi.

Ryža. 2. Príklad schémy WPA v Cisco Pocket Tracer

Komponenty WPA

Ako sme už povedali vyššie, WPA používa špeciálne kľúče, ktoré sa generujú vždy, keď sa pokúsite spustiť prenos signálu, teda zapnúť Wi-Fi, a tiež sa raz za čas zmeniť.

WPA zahŕňa niekoľko technológií naraz, ktoré pomáhajú generovať a prenášať rovnaké kľúče.

Na obrázku nižšie je znázornený všeobecný vzorec, ktorý zahŕňa všetky zložky uvažovanej technológie.

Ryža. 3. Formula s komponentmi WPA

Teraz sa pozrime na každú z týchto zložiek samostatne:

• 1X je štandard, ktorý sa používa na generovanie tohto jedinečného kľúča, s ktorým sa v budúcnosti uskutoční autentifikácia.
• EAP je takzvaný Extensible Authentication Protocol. Je zodpovedný za formát správ, ktorými sa kľúče prenášajú.
• TKIP je protokol, ktorý umožňoval rozšírenie veľkosti kľúča na 128 bajtov (predtým vo WEP to bolo len 40 bajtov).
• MIC je mechanizmus na kontrolu správ (predovšetkým sa kontroluje ich integrita). Ak správy nespĺňajú kritériá, budú odoslané späť.

Stojí za zmienku, že teraz existuje WPA2, ktorý okrem všetkých vyššie uvedených používa aj šifrovanie CCMP a AES.

Nebudeme teraz hovoriť o tom, čo to je, ale WPA2 je spoľahlivejší ako WPA. To je všetko, čo naozaj potrebujete vedieť.

Ešte raz od začiatku

Takže tu to máte. Sieť využíva technológiu WPA.

Na pripojenie k sieti Wi-Fi musí každé zariadenie poskytnúť používateľský certifikát alebo, jednoduchšie, špeciálny kľúč vydaný autentifikačným serverom.

Až potom bude môcť využívať sieť. To je všetko!

Teraz viete, čo je WPA. Teraz si povedzme, čo je na tejto technológii dobré a čo zlé.

Výhody a nevýhody šifrovania WPA

Medzi výhody tejto technológie patria:

1. Zvýšená bezpečnosť prenosu dát (v porovnaní s WEP, jeho predchodcom, WPA).
2. Prísnejšia kontrola prístupu k Wi-Fi.
3. Kompatibilné so širokou škálou zariadení, ktoré sa používajú na organizáciu bezdrôtovej siete.
4. Centralizované riadenie bezpečnosti. Centrom je v tomto prípade autentifikačný server. To bráni útočníkom získať prístup k skrytým údajom.
5. Podniky môžu používať svoje vlastné bezpečnostné zásady.
6. Jednoduché nastavenie a používanie.

Samozrejme, táto technológia má aj nevýhody, ktoré sa často ukážu ako veľmi významné. Hovoríme najmä o nasledujúcich veciach:

1. TKIP je možné prelomiť maximálne za 15 minút. Oznámila to skupina špecialistov v roku 2008 na konferencii PacSec.
2. V roku 2009 vyvinuli špecialisti z univerzity v Hirošime metódu na hacknutie akejkoľvek siete pomocou WPA za jednu minútu.
3. S pomocou zraniteľnosti, ktorú pomenovali špecialisti Hole196, môžete použiť WPA2 s vaším kľúčom, a nie s kľúčom, ktorý vyžaduje autentifikačný server.
4. Vo väčšine prípadov je možné hacknúť akékoľvek WPA pomocou obvyklého vymenovania všetkých možných možností (brute-force), ako aj pomocou takzvaného slovníkového útoku. V druhom prípade sa možnosti nepoužívajú v chaotickom poradí, ale podľa slovníka.

Samozrejme, na využitie všetkých týchto zraniteľností a problémov je potrebné mať špeciálne znalosti v oblasti budovania počítačových sietí.

Pre väčšinu bežných používateľov nie je nič z toho dostupné. Nemusíte sa preto obávať, že by niekto získal prístup k vašej Wi-Fi.

Ryža. 4. Cracker a počítač

Ahojte všetci!

Trochu som analyzoval komentáre, ktoré návštevníci zanechávajú na stránke, skontroloval žiadosti a uvedomil som si, že existuje veľmi častý problém s pripojením k Wi-Fi, o ktorom som ešte nepísal. Na stránke však zostalo veľa komentárov so žiadosťou o pomoc pri riešení tohto problému. Niečo som tam poradil, no neviem, či ti moja rada pomohla (málokedy niekto napíše o výsledkoch 🙁).

A včera Roman (Ďakujem milý človek 🙂) zanechal komentár k článku, v ktorom sa podelil o informácie o tom, ako problém vyriešil "Uložené, zabezpečenie WPA \ WPA2"... Tento komentár mi pomohol trochu sa zorientovať v probléme a rozhodol som sa zhromaždiť všetky tipy na riešenie tejto chyby do jedného článku.

Podstata problému

Pri pripájaní telefónu alebo tabletu (s najväčšou pravdepodobnosťou v systéme Android), do domácej siete alebo niekde v kaviarni sa vedľa názvu siete zobrazí nápis "Uložené, zabezpečenie WPA \ WPA2"... A stále viac a viac sa nič nedeje. Ak kliknete na túto sieť a vyberiete Pripojiť potom sa nic nestane. Ako táto chyba vyzerá, môžete vidieť na snímke obrazovky vyššie.

Tento problém som zámerne vyvolal na svojom Wi-Fi routeri Asus RT-N13U a pokúsil som sa pripojiť telefón HTC One V (Android 4.0). Tak som dostal tento nápis "Uložené, ochrana WPA \ WPA2". Navyše všetko vyšlo na prvýkrát. ako? Je to veľmi jednoduché. V nastaveniach môjho smerovača bol „Režim bezdrôtovej siete“ v režime Auto a nastavil som iba n. Uložil som nastavenia, odpojil telefón od Wi-Fi, ale už sa mi ho nepodarilo pripojiť 🙂.

Hlavné dôvody chyby „Uložené, ochrana WPA \ WPA2“

Priatelia, nemôžem s istotou všetko potvrdiť a dať rady, ktoré budú na sto percent fungovať, dúfam, že chápete. Všetky zariadenia sú iné, nastavenia sú pre každého iné a existuje oveľa viac nuancií.

Ale pokúsim sa zhromaždiť dôvody, ktoré poznám a ako ich vyriešiť, prostredníctvom ktorých sa môže objaviť takýto problém s pripojením k bezdrôtovej sieti.

Ak sa pri pripájaní k bezdrôtovej sieti na telefóne zobrazuje nápis „Uložené, zabezpečenie WPA \ WPA2“ (možno trochu inak), potom sa oplatí skontrolovať tieto nastavenia (Odporúčam vám skontrolovať v rovnakom poradí):

Ak chcete začať, reštartujte smerovač.

Tento problém som si už všimol niekoľkokrát: Internet v telefóne jednoducho prestane fungovať, ale pripojenie je tam a sieť je dobrá. Vypnem a zapnem Wi-Fi na telefóne, ale už sa nepripojím k sieti, píše "Uložené, ochrana WPA2." Pomôže iba reštart routera.

1. Nastavte správny región v nastaveniach smerovača
2. Skontrolujte, či je heslo zo siete Wi-Fi správne
3. Skontrolujte (zmeňte) prevádzkový režim bezdrôtovej siete v nastaveniach smerovača
4. Skontrolujte (zmeňte) typ šifrovania a typ zabezpečenia, zmeňte heslo v nastaveniach smerovača
5. Experimentujte so zmenou kanála, na ktorom funguje vaša bezdrôtová sieť.
6. Skúste zmeniť šírku kanála.

A teraz podrobnejšie vo všetkých bodoch

V nastaveniach smerovača nastavíme správny región

Veľmi často sa táto chyba vyskytuje práve kvôli tomu, že v nastaveniach Wi-Fi je nesprávna oblasť.

Pomocou Tp-Link ako príkladu vám ukážem, ako zmeniť región. Ak máte smerovač od inej spoločnosti, tieto nastavenia sa s najväčšou pravdepodobnosťou zmenia na tej istej stránke, kde sa nastavuje názov a ďalšie nastavenia bezdrôtovej siete.

Na ovládacom paneli prejdite na kartu Bezdrôtový (Bezdrôtový režim) a opačný bod región uveďte krajinu, v ktorej sa nachádzate.

Uložte nastavenia kliknutím na tlačidlo Uložiť(Uložiť).

Skontrolujte svoje heslo a znova sa pripojte

Možno ste práve zadali nesprávne heslo. (v takom prípade však s najväčšou pravdepodobnosťou dôjde k trvalému spojeniu v kruhu. Musíte to však skontrolovať) a predtým, ako prejdete do nastavení smerovača, odporúčam vám to skontrolovať.

Pýtate sa, ako môžem zadať heslo znova, pretože žiadosť o heslo sa nezobrazuje. Musíte odstrániť spojenie. Stačí kliknúť na vašu sieť a vybrať Odstrániť.

Teraz znova kliknite na svoju sieť a zadajte heslo Wi-Fi. Len sa uistite, že je to správne. Ak ste zabudli, pozrite sa na heslo v nastaveniach smerovača alebo na pripojenom počítači (Ak nejaký)... Prečítajte si viac v článku.

Kontrola prevádzkového režimu bezdrôtovej siete

Zdá sa mi, že toto je hlavný dôvod. Len vaše zariadenie (telefón, tablet) nemusí podporovať režim prevádzky, v ktorom router beží.

Prevádzkový režim sú tie nezrozumiteľné písmená b / g / n, čo ste si už určite všimli v nastaveniach routera. Skúste experimentovať so zmenou režimov. Po každej zmene nezabudnite reštartovať router a vypnúť / zapnúť Wi-Fi na telefóne (tablete).

Tu som, nastavte n Only namiesto Auto a vyskočila chyba. A ak je napríklad n Only už zadané v nastaveniach? Toľko k vašim problémom.

Zmeňte typ šifrovania / zabezpečenia, hesla

Je možné, že vášmu zariadeniu nevyhovuje typ zabezpečenia alebo šifrovania, ktoré váš smerovač používa. Alebo sa vám nepáči heslo.

Odporúčam vám nastaviť tieto hodnoty:

WPA / WPA2 – osobné (odporúčané)

Verzia: WPA-PSK

Šifrovanie: AES

Heslo PSK (kľúč) - najmenej osem znakov a iba čísla.

Uložíme, reštartujeme smerovač, vymažeme pripojenie v telefóne a pripojíme sa zadaním nového hesla.

Pozor! Po zmene hesla alebo iných nastavení zabezpečenia môžu nastať problémy s pripojením iných zariadení, ktoré už boli k tejto sieti pripojené. (počítače, notebooky, televízory).

Experimentovanie s kanálom, na ktorom funguje sieť Wi-Fi

Nepravdepodobné, samozrejme, ale môže byť. O tom, čo je kanál bezdrôtovej siete, ako ho zmeniť a prečo, som napísal v článku -.

Skúste experimentovať a zrazu to pomáha.

Šírka kanála

V nastavení smerovača Wi-Fi je taká položka ako Šírka kanála... Ak máte napríklad TP-Link a menu v angličtine, tak je to tzv Šírka kanála.

Tam si môžete vybrať niekoľko možností: Auto, 20MHz a 40MHz - v závislosti od smerovača. Skúste najprv nainštalovať Automat(alebo v Asus 20MHz / 40MHz), ak to nepomôže, tak samostatne.

Kde môžem zmeniť šírku kanála?

Prejdeme do nastavení smerovača ( adresa 192.168.1.1 alebo 192.168.0.1, zadajte prihlasovacie meno / heslo - pozrite sa na spodok smerovača).

Asus

Prejdite na kartu Bezdrôtová sieť a zmeňte opačnú hodnotu Šírka kanála.

TP-Link

Tab Bezdrôtový – Bezdrôtové nastavenia, odstavec Šírka kanála.

Nezabudnite uložiť nastavenia a reštartovať router.

Doslov

Zdá sa, že som napísal všetko, čo som chcel. Naozaj dúfam, že vám moje rady pomôžu. Zbavíte sa tohto problému a spriatelíte si telefón či tablet s Wi-Fi routerom 🙂.

Možno poznáte iné riešenia tohto problému, podeľte sa o ne v komentároch - budem vďačný!

Veľa štastia!

Viac na stránke:

Telefón (tablet) sa nepripojí k sieti Wi-Fi, píše „Uložené, ochrana WPA \ WPA2“ aktualizované: 7. februára 2018 autorom: admin

Často vzniká otázka: aký typ šifrovania Wi-Fi zvoliť pre domáci smerovač. Zdalo by sa to ako maličkosť, ale pri nesprávnych parametroch môžu nastať problémy so sieťou a dokonca aj s prenosom informácií cez ethernetový kábel.

Preto tu zvážime, aké typy šifrovania údajov podporujú moderné smerovače WiFi a ako sa typ šifrovania aes líši od populárnych wpa a wpa2.

Typ bezdrôtového šifrovania: ako si vybrať spôsob zabezpečenia?

Celkovo teda existujú 3 typy šifrovania:

1. 1. Šifrovanie WEP

Typ šifrovania WEP sa objavil vo vzdialených 90-tych rokoch a bol prvou možnosťou na ochranu sietí Wi-Fi: bol umiestnený ako analóg šifrovania v káblových sieťach a používal šifru RC4. Pre prenášané dáta existovali tri bežné šifrovacie algoritmy – Neesus, Apple a MD5 – ale každý z nich neposkytoval požadovanú úroveň zabezpečenia. V roku 2004 IEEE vyhlásilo štandard za zastaraný, pretože napokon prestal poskytovať bezpečné pripojenie k sieti. V súčasnosti sa tento typ šifrovania pre wifi neodporúča, pretože nie je kryptograficky silná.

1. 2.WPS je štandard na nepoužívanie. Ak sa chcete pripojiť k smerovaču, stačí kliknúť na príslušné tlačidlo, o ktorom sme podrobne hovorili v článku.

WPS teoreticky umožňuje pripojiť sa k prístupovému bodu pomocou osemmiestneho kódu, no v praxi často stačia len štyri.

Túto skutočnosť pokojne využívajú početní hackeri, ktorí sa dostatočne rýchlo (za 3 - 15 hodín) nabúrajú do wifi sietí, takže používanie tohto pripojenia sa tiež neodporúča.

1. 3.Typ šifrovania WPA / WPA2

S šifrovaním WPA je všetko oveľa lepšie. Namiesto zraniteľnej šifry RC4 je tu použité šifrovanie AES, kde dĺžka hesla je ľubovoľná hodnota (8 - 63 bitov). Tento typ šifrovania poskytuje normálnu úroveň zabezpečenia a je celkom vhodný pre jednoduché wifi routery. Okrem toho existujú dva typy:

Typ PSK (Pre-Shared Key) - pripojenie k prístupovému bodu sa vykonáva pomocou preddefinovaného hesla.
- Enterprise – heslo pre každý uzol sa generuje automaticky s overením na serveroch RADIUS.

Typ šifrovania WPA2 je pokračovaním WPA s vylepšeniami zabezpečenia. Tento protokol používa RSN, ktoré je založené na šifrovaní AES.

Podobne ako šifrovanie WPA, aj WPA2 má dva režimy prevádzky: PSK a Enterprise.

Od roku 2006 je typ šifrovania WPA2 podporovaný všetkými zariadeniami Wi-Fi, zodpovedajúcu geo je možné zvoliť pre každý smerovač.

Výhody šifrovania WPA2 oproti WPA:

Šifrovacie kľúče sa generujú počas pripojenia k smerovaču (namiesto statických);
- Použitie Michaelovho algoritmu na riadenie integrity prenášaných správ
- Použitie inicializačného vektora podstatne väčšej dĺžky.
Okrem toho by ste mali zvoliť typ šifrovania Wi-Fi v závislosti od toho, kde sa váš smerovač používa:

Šifrovanie WEP, TKIP a CKIP by sa nemalo používať vôbec;

Pre domáci prístupový bod je WPA / WPA2 PSK v poriadku;

Pre to stojí za výber WPA / WPA2 Enterprise.

WPA2-Enterprise. Ako vytvoriť zabezpečenú sieť Wi-Fi

Problém ochrany firemných dát je každým rokom naliehavejší. Cez bezdrôtové siete sa prenáša čoraz viac kritických údajov a informačná bezpečnosť (IS) čoraz viac závisí od kvalifikácie IT profesionálov.

V roku 2015 sa hackerom po prvý raz v Rusku podarilo spáchať tri veľké krádeže za rekordných 721 miliónov rubľov. Na prvý pohľad dobre chránené finančné inštitúcie utrpeli. Tieto prelomové udalosti sa odohrali na pozadí nepriaznivej ekonomickej situácie, ktorá sťažuje investície do informačnej bezpečnosti.

Wi-Fi - história úspechu hackerov

Pôvodne bol štandard Wi-Fi 802.11 založený na autentifikačnom režime WEP so šifrovacím algoritmom RC4, ktorý používa bežný statický alebo dynamický kľúč s dĺžkou 64 alebo 128 bitov. WEP bol prvýkrát napadnutý v roku 2000. Počítač s procesorom Pentium 4, ktorý bol v tých rokoch populárny, trval dešifrovanie asi 1 hodinu. Využitie zdrojov moderných cloud serverov a dostupného mobilného internetu cez 3G/LTE vám umožní prelomiť ochranu v priebehu niekoľkých sekúnd.

Fotografia 1: Typy sietí v závislosti od sily šifrovania

V roku 2003 sa objavilo WPA s algoritmom TKIP, ktorý generuje kľúč pre každý paket. Dnes je možné WPA-TKIP s trochou šťastia prelomiť v priebehu niekoľkých hodín. Napríklad v lete 2015 sa belgickým výskumníkom podarilo zachytiť šifrované súbory cookie a získať prístup k počítaču za hodinu.

Od roku 2006 je povinným štandardom pre zariadenia Wi-Fi podpora pokročilejšieho šifrovacieho algoritmu WPA2 AES. Je spoľahlivejší, takže nemá zmysel používať predchádzajúce algoritmy. Avšak, podobne ako TKIP, aj tento algoritmus môže byť hacknutý „head-on“ hľadaním hesiel hrubou silou pomocou slovníka. Špeciálny softvér využíva masívny DDoS útok na deaktiváciu prístupového bodu. Ďalej emuluje činnosť bodu s rovnakým SSID. Po pokuse o autorizáciu „obete“ v takomto bode hacker získa hashovaciu funkciu kľúča PMK-R0. Ďalším krokom je spustenie procesu hádania hesla. Jednoduché heslá sú hrubo vynútené za pár hodín, kým uhádnutie zložitých hesiel môže trvať týždne alebo dokonca mesiace.

Dodatočné ochranné opatrenia

Niekedy sa na zabezpečenie dodatočnej ochrany siete používa filtrovanie MAC adries (jedinečné číslo pre každú aktívnu jednotku v sieti). Pri filtrovaní sa do siete môžu pripojiť iba zariadenia, ktorých MAC adresy správca zadal do dôveryhodnej tabuľky na smerovači alebo prístupovom bode. Teoreticky sa týmto spôsobom dá zabrániť neoprávneným pripojeniam. V praxi sa však filtrovanie MAC adries rýchlo rozpadne, napríklad pomocou „hrubej sily“ (brute-force), teda zoskenovaním MAC adresy pripojeného klienta a následným „drzým“ útokom nazývaným deautentifikácia a pripojenie vášho zariadenia k zmenená MAC adresa.

Filtrovanie MAC adries teda nie je seriózne zabezpečenie, ale spôsobuje veľa nepríjemností. Predovšetkým musíte manuálne pridať každé nové zariadenie do dôveryhodnej tabuľky.

Režim skrytého SSID Je populárny spôsob, ako ďalej chrániť vašu Wi-Fi sieť. Každá sieť má svoje jedinečné SSID (názov siete). V režime skrytých identifikátorov klientske zariadenia nevidia sieť v zozname dostupných. V režime Hide SSID sa môžete pripojiť k sieti iba vtedy, ak s istotou poznáte jej identifikátor a existuje pripravený profil pripojenia.

Nájdenie skrytej siete je pomerne jednoduché s nástrojmi, ako je Kismet. Samotné napojenie na skrytú sieť dáva hackerovi jej existenciu a identifikátor. Scenár hackovania je navyše rovnaký ako v konvenčných sieťach Wi-Fi. Ako vidíte, Hide SSID tiež nie je spoľahlivým spôsobom ochrany, ale tiež spôsobuje problémy. Najprv musíte manuálne pripojiť nové zariadenia. Okrem toho štandardy Wi-Fi pôvodne poskytovali otvorené vysielanie SSID, takže väčšina zariadení bude mať problémy s automatickým pripojením k Hide SSID. Vo všeobecnosti je používanie Hide SSID nepraktické.

Rozdiely medzi osobnými (PSK) a firemnými (Enterprise)

Je potrebné rozlišovať medzi rôznymi prístupmi k poskytovaniu osobných a firemných sietí. Doma a v malých kanceláriách sa zvyčajne používa PSK (Pre-Shared Key) – heslo s 8 a viac znakmi. Toto heslo je rovnaké pre všetkých a je často príliš jednoduché, preto je náchylné na hrubú silu alebo úniky (prepustenie zamestnanca, chýbajúci notebook, neúmyselne na očiach nalepená nálepka s heslom a pod.). Ani najnovšie šifrovacie algoritmy pri používaní PSK nezaručujú spoľahlivú ochranu, a preto sa nepoužívajú v serióznych sieťach. Firemné riešenia používajú na autentifikáciu dynamický kľúč, ktorý mení každú reláciu pre každého používateľa. Kľúč možno pravidelne aktualizovať počas relácie pomocou autorizačného servera — zvyčajne servera RADIUS.

WPA2-Enterprise + 802.1X a bezpečnostné certifikácie – najsilnejšie zabezpečenie

Firemné siete so šifrovaním WPA2-Enterprise sa spoliehajú na overenie 802.1x prostredníctvom servera RADIUS. Protokol 802.1x (EAPOL) definuje metódy odosielania a prijímania požiadaviek na autentifikačné údaje a je zvyčajne zabudovaný do operačných systémov a špeciálnych softvérových balíkov.

802.1x preberá v sieti tri úlohy:

• klient (suplikant) - klientske zariadenie, ktoré potrebuje prístup do siete;
• autentifikačný server (zvyčajne RADIUS);
• autentifikátor - router/prepínač, ktorý pripája viacero klientskych zariadení k autentifikačnému serveru a odpája/pripája klientske zariadenia.

Fotografia 3: Schéma prevádzky WPA2-Enterprise 802.1x

Existuje niekoľko prevádzkových režimov pre 802.1x, ale najbežnejší a najspoľahlivejší je nasledujúci:

• Autentifikátor odošle požiadavku EAP na klientske zariadenie hneď, ako zistí aktívne pripojenie.
• Klient odošle EAP odpoveď – paket identity. Autentifikátor pošle tento paket na autentifikačný server (RADIUS).
• RADIUS skontroluje paket a prístupové práva klientskeho zariadenia v porovnaní s databázou používateľov alebo inými kritériami a potom odošle povolenie alebo zamietnutie pripojenia k autentifikátoru. Autentifikátor teda povolí alebo zakáže prístup do siete.

Fotografia 2: Interné protokoly EAP (metódy)

Použitie servera RADIUS vám umožňuje opustiť PSK a vygenerovať individuálne kľúče, ktoré sú platné len pre konkrétnu reláciu pripojenia. Jednoducho povedané, šifrovacie kľúče nie je možné získať z klientskeho zariadenia. Ochrana pred zachytením paketov je zabezpečená šifrovaním pomocou rôznych interných protokolov EAP, z ktorých každý má svoje vlastné charakteristiky. Protokol EAP-FAST vám umožňuje prihlásiť sa pomocou prihlasovacieho mena a hesla a PEAP-GTC - pomocou špeciálneho tokenu (prístupová karta, karty s jednorazovými heslami, flash disky atď.). PEAP-MSCHAPv2 a EAP-TLS autorizujú pomocou klientskych certifikátov.

Iba certifikáty WPA2-Enterprise a digitálne bezpečnostné certifikáty v kombinácii s EAP-TLS alebo EAP-TTLS poskytujú maximálnu ochranu Wi-Fi. Certifikát je vopred vygenerovaný súbor na serveri RADIUS a klientskom zariadení. Klient a autentifikačný server tieto súbory vzájomne kontrolujú, čím je zaručená ochrana pred neoprávneným pripojením cudzích zariadení a falošnými prístupovými bodmi. EAP-TTL / TTLS je súčasťou štandardu 802.1X a využíva infraštruktúru verejných kľúčov (PKI) na komunikáciu medzi klientom a RADIUS. PKI na autorizáciu používa súkromný kľúč (používateľ pozná) a verejný kľúč (uložený v certifikáte, potenciálne známy každému). Kombinácia týchto kľúčov poskytuje silnú autentifikáciu.

Digitálne certifikáty musia byť vykonané pre každé bezdrôtové zariadenie. Ide o časovo náročný proces, a preto sa certifikáty zvyčajne používajú iba v sieťach Wi-Fi, ktoré vyžadujú maximálnu bezpečnosť. Zároveň môžete certifikát jednoducho zrušiť a klienta zablokovať.

Dnes WPA2-Enterprise v kombinácii s bezpečnostnými certifikáciami poskytuje silnú ochranu pre podnikové Wi-Fi siete. Ak je správne nakonfigurovaný a používaný, je takmer nemožné prelomiť takúto ochranu „z ulice“, teda bez fyzického prístupu k autorizovaným klientskym zariadeniam. Správcovia siete však niekedy robia chyby, ktoré zanechávajú medzery pre narušiteľov, aby prenikli do siete. Problém je znásobený dostupnosťou hackerského softvéru a podrobných pokynov, ktoré môžu použiť aj amatéri.

Hackovací softvér je dostupný pre každého

WPA2-Enterprise s overením prihlasovacieho mena a hesla bez použitia certifikátov je možné hacknúť pomocou hackerskej distribúcie Kali Linux a Wi-Fi karty v režime prístupového bodu. Podstatou hacku je vytvoriť falošný prístupový bod so serverom RADIUS na príjem paketov EAP a bezpečné prihlásenie do siete. Vytvorenie falošného bodu nie je dnes problém s nástrojmi, ako je Mana Toolkit zabudovaný do Kali.

Foto 4: Útočníci zvyčajne používajú smartfón s pripojenou kartou a mobilnú verziu Kali NetHunter

Pomocou falošného prístupového bodu MANA získa hacker hash hesiel a používateľské mená siete a potom heslá hrubou silou na výkonnom počítači. To sa deje dostatočne rýchlo vďaka veľkému výpočtovému výkonu moderných procesorov. Okrem toho existujú algoritmy pre heslá hrubou silou pomocou grafických kariet GPU, ktoré zrýchľujú proces až na niekoľko hodín.

Výsledkom je, že hacker získa prístup k účtom, aby sa mohol prihlásiť do podnikovej siete Wi-Fi alebo VPN.

Aby ste predišli takýmto útokom, musíte použiť bezpečnostné certifikáty na všetkých mobilných a stacionárnych zariadeniach, ktoré majú prístup do siete. Neodporúča sa tiež používať certifikáty s vlastným podpisom, teda tie, ktoré vytvoril správca siete. Faktom je, že pri pripájaní nových zariadení môžu dôveryhodní používatelia vidieť správy o potenciálnej neistote certifikátov s vlastným podpisom. Používateľ, ktorý je na takéto správy zvyknutý, nemusí venovať pozornosť správe, ktorá sa objaví pri pripojení k falošnému prístupovému bodu. Pre maximálnu ochranu je lepšie používať certifikáty od oficiálnych dodávateľov.

"Muž uprostred" - hlavná hrozba

Hackerský útok Man in the Middle (MITM) je najvážnejšou hrozbou pre dobre fungujúci WPA2-Enterprise s bezpečnostnými certifikátmi.

Fotografia 5: Podstata útoku typu man-in-the-middle: hacker premení priame zabezpečené spojenie na dve rôzne s hackerským klientom uprostred

Schéma je veľmi jednoduchá: na žiadosť o verejný kľúč neodpovedá dôveryhodný používateľ, ale sprostredkovateľ, ktorý sa vydáva za dôveryhodného používateľa. Počítač útočníka funguje ako PROXY server. Výsledkom je výmena dôverných informácií a útočník môže zachytiť, nahradiť, vymazať alebo upraviť dátové pakety.

Podobná schéma na zavedenie do dôvernej komunikácie bola vynájdená ešte pred internetom - v časoch papierových listov, keď sa pôvodné listy na ceste nahrádzali falošnými.

K prieniku do siete dochádza prostredníctvom už autorizovaného účtu, to znamená, že vyžaduje počiatočné hacknutie siete Wi-Fi. Inými slovami, pre úspešný útok musí hacker nájsť slabé miesto v sieti WPA2-Enterprise. Zvyčajne ide o nečestný útok na prístupový bod popísaný vyššie alebo o autorizované zariadenie bez nainštalovaných bezpečnostných certifikátov. Útok HTTPS je ešte jednoduchší: prehliadač vytvorí spojenie SSL chránené certifikátom so sprostredkovateľom a útočník vytvorí ďalšie spojenie SSL s webovým serverom. Prehliadač varuje používateľa, že certifikát SSL nie je bezpečný, ale toto upozornenie je často ignorované.

Takéto útoky sú nebezpečné najmä pre finančné systémy, ktoré vykonávajú platby prostredníctvom online platobných systémov. Hacker môže infikovať e-maily, webové stránky, DBMS škodlivým kódom, získať prístup k internetovému bankovníctvu, účtom na sociálnych sieťach, webom CMS atď.

Sprostredkovateľská ochrana

Útok MITM nie je absolútnou zbraňou hackera. Ak sú splnené všetky požiadavky na informačnú bezpečnosť, zavedenie sprostredkovateľa je nemožné.

V prvom rade, pre skrytý útok musí sprostredkovateľ zachytiť všetky správy medzi klientom a serverom, to znamená byť nepretržite v oblasti pokrytia podnikovej siete Wi-Fi.

Pri nasadzovaní bezdrôtovej siete je preto dôležité kontaktovať špecialistov a navrhnúť ju s minimálnym pokrytím mimo budovy (objednajte si rádiové plánovanie - http: // webová stránka / pred_obsledovanie /). Existujú aj jemné zraniteľnosti. Používateľ si môže napríklad do kancelárie priniesť bezdrôtovú klávesnicu (pre smartfóny, PC), čím vzniká riziko vzdialeného odpočúvania prihlasovacieho mena a hesla. Aby sa predišlo takýmto prípadom, mali by sa používať iba káblové klávesnice alebo špeciálne bezdrôtové klávesnice so zabudovaným šifrovaním AES. Potom je použitie keyloggerov nemožné.

Zamestnanci tiež potrebujú vedieť, čo sú nezabezpečené certifikáty, aby sa nestali obeťou pripojenia k falošnému prístupovému bodu. Klientske a serverové SSL certifikáty musia byť overené vzájomne dôveryhodnou CA, aby sa predišlo útokom zmocnenia sa účtu cez HTTPs na stránkach vrátane online bankovníctva organizácie.

Osobitné miesto v prevencii MITM zastáva odmietnutie používania filtrovania ssl-bump. Často sa používa v kanceláriách na odmietnutie prístupu na určité stránky (sociálne siete, zábavné zdroje atď.). V zabezpečenom spojení je prevádzka šifrovaná na strane odosielateľa a príjemcu a pri použití ssl-bump filtrovania je šifrovaná v bráne. To znamená, že filtrovanie ssl-bump je samo osebe útokom MITM cez HTTPs. V prvom rade to vyvoláva právne otázky o skrytom prístupe správcu siete k osobným údajom zamestnancov, napríklad účtom na sociálnych sieťach alebo internet bankingu. Ale čo je najdôležitejšie, ssl-bump "otvára bránu" pre hackera, ktorý potrebuje iba prevziať bránu. V skutočnosti správca sám vykonáva všetky prípravné operácie na útok na jeho sieť.

Záver: Preto je na prvom mieste školenie špecialistov a efektívne využívanie existujúcich technológií ochrany údajov. Napríklad šifrovanie WPA2-Enterprise sa môže stať nepreniknuteľnou bariérou pre útočníkov, ak viete, ako ho správne zorganizovať. Zverte problematiku informačnej bezpečnosti profesionálom!

Potrebujem konzultáciu. Kontaktujte ma.