Dobrý deň milí čitatelia. Slabý systém ochrana smerovača ohrozuje vašu sieť. Všetci vieme, aké dôležité je zabezpečenie smerovača, no väčšina ľudí si neuvedomuje, že určité nastavenia zabezpečenia môžu spomaliť celú sieť.

Hlavnými možnosťami šifrovania údajov prechádzajúcich cez smerovač sú protokoly WPA2-AES a WPA2-TKIP. Dnes si povieme o každom z nich a vysvetlíme, prečo by ste si mali vybrať AES.

Úvod do WPA

WPA, alebo Wi-Fi Protected Access, bola odpoveďou Wi-Fi Alliance na bezpečnostné slabiny, ktorými protokol WEP oplýval. Je dôležité poznamenať, že to nebolo myslené ako úplné riešenie. Skôr to malo byť dočasnou voľbou, ktorá ľuďom umožní používať ich existujúce smerovače bez toho, aby sa uchýlili k WEP, ktoré má výrazné bezpečnostné chyby.

Zatiaľ čo WPA bolo lepšie ako WEP, malo aj svoje vlastné bezpečnostné problémy. Hoci útoky zvyčajne nedokázali prelomiť samotný algoritmus TKIP (Temporal Key Integrity Protocol), ktorý má 256-bitové šifrovanie, mohli obísť doplnkový systém, zabudovaný do tohto protokolu a volaný WPS alebo Chránené Nastavenie Wi-Fi .

Wi-Fi Protected Setup bolo navrhnuté tak, aby uľahčilo vzájomné prepojenie zariadení. Kvôli početným bezpečnostným dieram, s ktorými bol vydaný, však WPS začalo upadať do zabudnutia a vzalo so sebou aj WPA.

Na tento moment WPA aj WEP sa už nepoužívajú, takže sa dostaneme do podrobností a namiesto toho sa na to pozrieme Nová verzia Protokol - WPA2.

Prečo je WPA2 lepší

V roku 2006 sa WPA stalo zastaraným a bolo nahradené WPA2.

Nahradenie šifrovania TKIP novým a bezpečným algoritmom AES (Advanced Encryption Standard) viedlo k rýchlejším a bezpečnejším sieťam Wi-Fi. Dôvodom je, že TKIP nebol úplný algoritmus, ale skôr dočasná alternatíva. Jednoducho povedané, WPA-TKIP bola prechodná voľba, ktorá udržala siete v prevádzke počas troch rokov medzi príchodom WPA-TKIP a vydaním WPA2-AES.

Faktom je, že AES je skutočný šifrovací algoritmus, ktorý sa používa nielen na ochrana wifi siete. Toto je seriózny globálny štandard uplatňovaný vládou kedysi populárneho Program TrueCrypt a mnoho ďalších na ochranu údajov pred zvedavými očami. Skutočnosť, že tento štandard chráni vašu domácu sieť - pekný bonus, ale to si vyžaduje zakúpenie nového smerovača.

AES vs TKIP z hľadiska bezpečnosti

TKIP je v podstate oprava pre WEP, riešenie problémov vďaka čomu by útočník mohol získať váš kľúč po preskúmaní relatívne malého množstva prevádzky, ktorá prešla smerovačom. TKIP opravil túto zraniteľnosť vydaním nového kľúča každých pár minút, čo by teoreticky zabránilo hackerovi zhromaždiť dostatok údajov na dešifrovanie kľúča alebo prúdovej šifry RC4, na ktorú sa algoritmus spolieha.

Zatiaľ čo TKIP bol vo svojej dobe veľkým bezpečnostným vylepšením, dnes sa stane zastaranou technológiou, ktorá sa už nepovažuje za dostatočne bezpečnú na ochranu sietí pred hackermi. Napríklad jeho najväčšia, no nie jediná zraniteľnosť, známa ako útok chop-chop, sa stala verejne známou ešte pred príchodom samotnej metódy šifrovania.

Útok chop-chop umožňuje hackerom, ktorí vedia, ako zachytiť a analyzovať streamované dáta generované sieťou, použiť ich na dešifrovanie kľúča a zobrazenie informácií v obyčajnom texte, nie v kódovanom texte.

AES je úplne iný šifrovací algoritmus, oveľa lepší ako TKIP. Tento algoritmus je 128-, 192- alebo 256-bitová bloková šifra, ktorá netrpí zraniteľnosťami, ktoré mal TKIP.

Ak vysvetlíš algoritmus jednoduchý jazyk, vezme čistý text a skonvertuje ho na šifrovaný text. Pre vonkajšieho pozorovateľa, ktorý nemá kľúč, vyzerá takýto text ako reťazec náhodné znaky. Zariadenie alebo osoba na druhej strane prenosu má kľúč, ktorý odomyká alebo dešifruje dáta. V tomto prípade má smerovač prvý kľúč a šifruje údaje pred prenosom a počítač má druhý kľúč, ktorý dešifruje informácie a umožňuje ich zobrazenie na obrazovke.

Úroveň šifrovania (128, 192 alebo 256 bitov) určuje počet permutácií použitých na údaje, a teda aj potenciálny počet možných kombinácií, ak by ste ich prelomili.

Dokonca aj najslabšiu úroveň šifrovania AES (128-bit) je teoreticky nemožné prelomiť, pretože výpočtový výkon jeho nájdenie by trvalo 100 miliárd rokov správne rozhodnutie pre tento algoritmus.

AES vs TKIP z hľadiska rýchlosti

TKIP je zastaraná metóda šifrovania a okrem bezpečnostných problémov spomaľuje aj systémy, ktoré s ňou stále pracujú.

Väčšina nových smerovačov (všetky 802.11n alebo staršie) štandardne používa šifrovanie WPA2-AES, ale ak používate starší smerovač alebo si z nejakého dôvodu zvolíte šifrovanie WPA-TKIP, je vysoká pravdepodobnosť, že stratíte veľkú rýchlosť.

Každý smerovač, ktorý podporuje 802.11n (hoci by ste si stále mali zaobstarať smerovač AC), sa spomalí na 54 Mb/s pri povolenie WPA alebo TKIP v nastaveniach zabezpečenia. Je to preto, aby sa zabezpečilo správne fungovanie bezpečnostných protokolov so staršími zariadeniami.

Teoreticky ponúka 802.11ac so šifrovaním WPA2-AES najvyššia rýchlosť 3,46 Gbps za optimálnych (čítaj: nemožné) podmienok. Ale aj napriek tomu sú WPA2 a AES stále oveľa rýchlejšie ako TKIP.

Výsledky

AES a TKIP sa nedajú vôbec porovnávať. AES je pokročilejšia technológia v každom zmysle slova. Vysokorýchlostné smerovače, bezpečné prehliadanie a algoritmus, na ktorý sa spoliehajú aj vlády najväčšie krajiny urobte z neho jedinú správnu voľbu pre všetky nové a už teraz existujúcej Wi-Fi siete.

Vzhľadom na všetko, čo AES ponúka, existuje nejaký dobrý dôvod, prečo tento algoritmus nepoužiť? domácej siete? Prečo ho (alebo nepoužívate)?

Veľký problém pre všetky bezdrôtové siete lokálnych sietí(a v tomto prípade všetky káblové siete LAN) je bezpečnosť. Bezpečnosť je tu rovnako dôležitá ako pre každého používateľa internetu. Bezpečnosť je ťažká otázka a vyžaduje neustálu pozornosť. Obrovská škoda môže byť užívateľovi spôsobená tým, že používa náhodné hot-spoty (hot-spot) resp. otvorené body WI-FI pripojenie doma alebo v kancelárii a nepoužíva šifrovanie ani VPN (Virtual Private Network – virtuálna privátna sieť). Je to nebezpečné, pretože používateľ zadáva svoje osobné alebo profesionálne údaje a sieť nie je chránená pred vonkajším prienikom.

WEP

Spočiatku bolo ťažké zabezpečiť adekvátne zabezpečenie bezdrôtových sietí LAN.

Hackeri sa ľahko pripájajú k takmer akékoľvek WiFi siete prelomením skorých verzií bezpečnostných systémov, ako je napríklad Wired Equivalent Privacy (WEP). Tieto udalosti zanechali svoje stopy a dlho niektoré spoločnosti sa zdráhali implementovať alebo neimplementovať bezdrôtové siete vôbec, pretože sa obávali, že dáta sa medzi sebou prenášajú bezdrôtové wifi zariadenia a WiFi hotspoty prístup je možné zachytiť a dešifrovať. Tento bezpečnostný model teda spomalil proces integrácie bezdrôtových sietí do biznisu a znervóznil používateľov, ktorí používajú WiFi siete doma. Potom vznikol inštitút IEEE pracovná skupina 802.11i, ktorý pracoval na vytvorení komplexného bezpečnostného modelu, ktorý poskytuje 128-bitové AES šifrovanie a autentifikáciu na zabezpečenie údajov. Wi-Fi Alliance predstavila svoju vlastnú prechodnú verziu tejto bezpečnostnej špecifikácie 802.11i: Wi-Fi Protected Access (WPA). Modul WPA kombinuje niekoľko technológií na riešenie zraniteľností systému 802.11 WEP. WPA teda poskytuje silná autentifikácia používatelia používajúci štandard 802.1x (vzájomná autentifikácia a zapuzdrenie dát prenášaných medzi bezdrôtovými klientske zariadenia, prístupové body a server) a Extensible Authentication Protocol (EAP).

Princíp činnosti zabezpečovacích systémov je schematicky znázornený na obr.1

WPA je tiež vybavený dočasným modulom pre WEP šifrovanie-využíva 128-bitové šifrovanie kľúča a používa protokol TKIP (Temporary Key Integrity Protocol). A s pomocou kontrolný súčet správy (MIC) zabraňuje úprave alebo formátovaniu dátových paketov. Táto kombinácia technológií chráni dôvernosť a integritu dátovej komunikácie a zaisťuje bezpečnosť prostredníctvom kontroly prístupu, takže prístup do siete získajú iba oprávnení používatelia.

WPA

Ďalšie zvýšenie bezpečnosti a kontroly WPA prístup je vytvoriť nový jedinečný hlavný kľúč pre interakciu medzi každým užívateľským bezdrôtovým zariadením a prístupovými bodmi a poskytnúť autentifikačnú reláciu. A tiež pri vytváraní generátora náhodných kľúčov a pri procese generovania kľúča pre každý balík.

Štandard IEEE 802.11i bol ratifikovaný v júni 2004, čím sa vďaka technológii WPA výrazne rozšírili mnohé z jeho možností. Wi-Fi Alliance posilnila svoj bezpečnostný modul v programe WPA2. Teda úroveň zabezpečenia prenosu WiFi dáta Vyšiel štandard 802.11 požadovaná úroveň na realizáciu bezdrôtové riešenia a technológie v podnikoch. Jednou z významných zmien 802.11i (WPA2) oproti WPA je použitie 128-bitového štandardu Advanced Encryption Standard (AES). WPA2 AES používa režim CBC-MAC (režim činnosti pre šifrovací blok, ktorý umožňuje použitie rovnakého kľúča na šifrovanie aj autentifikáciu) na zabezpečenie dôvernosti údajov, autentifikácie, integrity a ochrany pri prehrávaní. 802.11i ponúka aj ukladanie kľúčov a predbežnej autentifikácie do vyrovnávacej pamäte na organizáciu používateľov podľa prístupového bodu.

WPA2

So štandardom 802.11i sa celý reťazec bezpečnostných modulov (prihlásenie, výmena autorít, autentifikácia a šifrovanie údajov) stáva bezpečnejším a účinnú ochranu z necielených a cielených útokov. Systém WPA2 umožňuje správcovi WiFi siete prejsť od bezpečnostných problémov k prevádzke a správe zariadení.

Štandard 802.11r je modifikáciou štandardu 802.11i. Tento štandard bol ratifikovaný v júli 2008. Štandardná technológia rýchlejšie a spoľahlivejšie prenáša kľúčové hierarchie založené na technológii Handoff (prenos kontroly) počas pohybu používateľa medzi prístupovými bodmi. Štandard 802.11r je plne kompatibilný s WiFi štandardmi 802.11a/b/g/n.

Existuje aj štandard 802.11w, ktorý je navrhnutý tak, aby zlepšil bezpečnostný mechanizmus založený na štandarde 802.11i. Tento štandard je určený na ochranu riadiacich paketov.

802.11i a 802.11w sú bezpečnostné mechanizmy pre 802.11n WiFi siete.

Šifrovanie súborov a priečinkov v systéme Windows 7

Funkcia šifrovania umožňuje zašifrovať súbory a priečinky, ktoré budú neskôr na inom zariadení nečitateľné bez špeciálneho kľúča. Táto funkcia je prítomná v takých verziách systému Windows 7 ako Professional, Enterprise alebo Ultimate. Nasleduje popis spôsobov, ako povoliť šifrovanie súborov a priečinkov.

Povoliť šifrovanie súborov:

Štart -> Počítač (vyberte súbor na šifrovanie) -> pravé tlačidlo kliknite na súbor->Vlastnosti->Rozšírené(karta Všeobecné)->Ďalšie atribúty->Nastaviť značku v časti Šifrovať obsah na ochranu údajov->OK->Použiť->Ok(Vyberte použiť iba na súbor)->

Povoliť šifrovanie priečinkov:

Štart -> Počítač (vyberte priečinok na šifrovanie)-> kliknite pravým tlačidlom myši na priečinok-> Vlastnosti-> Rozšírené (karta Všeobecné)-> Ďalšie atribúty-> Vložte značku do Šifrovať obsah na ochranu údajov-> OK-> Použiť- > Ok (Vyberte použiť iba na súbor)->Zatvoriť dialógové okno Vlastnosti (kliknite na tlačidlo Ok alebo Zavrieť).

Pred čítaním tento materiál, odporúčame prečítať si predchádzajúce články zo série:
• Staviame sieť vlastnými rukami a pripájame ju k internetu, prvá časť - budovanie káblovej ethernetovej siete (bez prepínača, v prípade dvoch počítačov a s prepínačom, ako aj v prítomnosti troch alebo viacerých strojov ) a organizovanie prístupu na internet prostredníctvom jedného zo sieťových počítačov, na ktorom sú nainštalované dve sieťové karty a operačný systém systém Windows XPPro.
• Druhá časť: Konfigurácia bezdrôtového zariadenia v sieti Peer-to-Peer – rozoberá problémy so sieťou pri používaní iba bezdrôtových adaptérov.

V predchádzajúcom článku bolo šifrovaniu v bezdrôtových sieťach venovaných len pár slov – bolo prisľúbené, že sa tejto problematike budeme venovať v samostatnom článku. Dnes si plníme svoju povinnosť :)

Najprv trocha teórie.

Šifrovaniu údajov v bezdrôtových sieťach sa venuje toľko pozornosti kvôli samotnej povahe takýchto sietí. Prebieha prenos údajov bezdrôtovo pomocou rádiových vĺn a v všeobecný prípad používajú sa všesmerové antény. Údaje teda počuje každý - nielen ten, komu sú určené, ale aj sused, ktorý žije za stenou alebo má „záujem“, zastavuje sa s notebookom pod oknom. Samozrejme, vzdialenosti, na ktoré bezdrôtové siete fungujú (bez zosilňovačov alebo smerových antén), sú malé - asi 100 metrov ideálne podmienky. Steny, stromy a iné prekážky výrazne tlmia signál, no stále to problém nerieši.

Spočiatku sa na ochranu používal iba SSID (názov siete). Vo všeobecnosti však možno takúto metódu nazvať ochranou s veľkým rozsahom - prenáša sa SSID otvorený formulár a nikto nebráni útočníkovi, aby ho odpočúval a potom v jeho nastaveniach nahradil želaného. Nehovoriac o tom, že (to platí pre prístupové body) sa dá povoliť režim vysielania pre SSID, t.j. bude nútený vysielať všetkým poslucháčom.

Preto bolo potrebné šifrovanie údajov. Prvým takýmto štandardom bol WEP – Wired Equivalent Privacy. Šifrovanie sa vykonáva pomocou 40 alebo 104-bitového kľúča (šifrovanie prúdu pomocou algoritmu RC4 na statickom kľúči). A samotný kľúč je sada znakov ASCII s dĺžkou 5 (pre 40-bitový kľúč) alebo 13 (pre 104-bitový kľúč) znakov. Súbor týchto znakov sa preloží do postupnosti hexadecimálne číslice, čo je kľúč. Ovládače od mnohých výrobcov umožňujú zadávať priamo namiesto sady znakov ASCII hexadecimálne hodnoty(rovnaká dĺžka). Upozorňujem na skutočnosť, že algoritmy na prevod zo sekvencie znakov ASCII na hexadecimálne hodnoty kľúča sa môžu líšiť pre rôznych výrobcov. Ak teda sieť používa heterogénne bezdrôtové zariadenie a nemôžete nastaviť šifrovanie WEP pomocou prístupovej frázy ASCII, skúste namiesto toho zadať kľúč v hexadecimálnom formáte.

Pýtate sa však, čo vyhlásenia výrobcov o podpore 64 a 128-bitového šifrovania? Správne, marketing tu hrá rolu – 64 je viac ako 40 a 128 je 104. V skutočnosti sú dáta šifrované pomocou kľúča s dĺžkou 40 alebo 104. Ale okrem ASCII frázy (statická zložka kľúča) , existuje aj niečo ako Initialization Vector - IV - inicializačný vektor. Slúži na randomizáciu zvyšku kľúča. Vektor voliteľný náhodne a počas prevádzky sa dynamicky mení. V zásade ide o rozumné riešenie, pretože umožňuje zaviesť do kľúča náhodný komponent. Dĺžka vektora je 24 bitov, takže celková dĺžka kľúča je 64 (40+24) alebo 128 (104+24) bitov.

Všetko by bolo v poriadku, ale použitý šifrovací algoritmus (RC4) v súčasnosti nie je príliš silný - so silnou túžbou po relatívne málo času kľúč môžete zdvihnúť hrubou silou. Hlavná zraniteľnosť WEP je však spojená práve s inicializačným vektorom. IV dĺžka je len 24 bitov. To nám dáva približne 16 miliónov kombinácií – 16 miliónov rôznych vektorov. Číslo „16 miliónov“ síce znie celkom pôsobivo, no vo svete je všetko relatívne. AT skutočná práca všetky možné varianty kľúčov budú použité v priebehu desiatich minút až niekoľkých hodín (pre 40-bitový kľúč). Potom sa vektory začnú opakovať. Útočníkovi stačí zhromaždiť dostatok paketov jednoduchým počúvaním prevádzky bezdrôtovej siete a nájdením týchto opakovaní. Potom výber statickej zložky kľúča (ASCII-fráza) nezaberie veľa času.

To však nie je všetko. Existujú takzvané „nestabilné“ inicializačné vektory. Použitie takýchto vektorov v kľúči umožňuje útočníkovi začať hádať statickú časť kľúča takmer okamžite, namiesto toho, aby čakal niekoľko hodín pasívne hromadenie sieťovej prevádzky. Mnoho výrobcov vkladá softvér (alebo hardvér) bezdrôtové zariadenia) kontrola podobných vektorov, a ak sa na podobné vektory narazia, sú ticho vyradené, t.j. nie sú zapojené do procesu šifrovania. Bohužiaľ, nie všetky zariadenia majú túto funkciu.

V súčasnosti niektorí výrobcovia bezdrôtové zariadenie ponúkajú „rozšírené verzie“ algoritmu WEP – používajú kľúče dlhšie ako 128 (presnejšie 104) bitov. Ale v týchto algoritmoch sa zvyšuje iba statická zložka kľúča. Dĺžka inicializačného vektora zostáva rovnaká so všetkými z toho vyplývajúcimi dôsledkami (inými slovami, len predĺžime čas na výber statického kľúča). Je samozrejmé, že rozšírené algoritmy WEP od rôznych predajcov nemusia byť kompatibilné.

Dobre vystrašený? ;-)

Bohužiaľ, pri použití protokolu 802.11b nebudete môcť vybrať nič iné ako WEP. Konkrétnejšie, niektorí (menšinoví) predajcovia poskytujú rôzne implementácie šifrovania WPA (metódy softvéru), ktoré sú oveľa robustnejšie ako WEP. Ale tieto "záplaty" sú nekompatibilné aj v rámci výbavy jedného výrobcu. Vo všeobecnosti pri používaní zariadenia 802.11b existujú iba tri spôsoby šifrovania prenosu:

• 1. Pri použití WEP s maximálnou dĺžkou kľúča (128 bitov alebo viac), ak zariadenie podporuje cyklické opätovné kľúčovanie zo zoznamu (až štyri kľúče v zozname), je vhodné túto zmenu aktivovať.
• 2. Používanie štandardu 802.1x
• 3. Pomocou tretej strany softvér pre organizácie VPN tunely (šifrované dátové toky) cez bezdrôtovú sieť. Na to je jeden zo strojov vybavený server VPN(zvyčajne s podporou pptp), na iných - nakonfigurované VPN klientov. Táto téma si vyžaduje samostatné posúdenie a presahuje rámec tohto článku.

802.1x používa na prácu množstvo niektorých protokolov:

• EAP (Extensible Authentication Protocol) - protokol na rozšírenú autentifikáciu používateľov alebo vzdialených zariadení;
• TLS (Transport Layer Security) - bezpečnostný protokol transportná vrstva zabezpečuje integritu prenosu dát medzi serverom a klientom, ako aj ich vzájomnú autentifikáciu;
• RADIUS (Remote Authentication Dial-In User Server) je autentifikačný server pre vzdialených klientov. Poskytuje autentifikáciu používateľa.

Protokol 802.1x zabezpečuje autentifikáciu vzdialených klientov a vydávanie dočasných kľúčov na šifrovanie dát. Kľúče (v zašifrovanej forme) sa klientovi odošlú na krátky čas, po ktorom sa vygeneruje a odošle nový kľúč. Šifrovací algoritmus sa nezmenil - rovnaký RC4, ale časté striedanie kľúča veľmi sťažuje jeho prelomenie. Tento protokol je podporovaný iba v operačných systémoch (od spoločnosti Microsoft) Windows XP. Jeho veľkou nevýhodou (pre koncového užívateľa) je, že protokol vyžaduje RADIUS server, ktorý s najväčšou pravdepodobnosťou nebude v domácej sieti.

Zariadenia, ktoré podporujú štandard 802.11g, podporujú pokročilý šifrovací algoritmus WPA - Wi-Fi Protected Access. Celkovo ide o dočasný štandard navrhnutý tak, aby zaplnil medzeru v zabezpečení až do príchodu protokolu IEEE 802.11i (takzvaný WPA2). WPA zahŕňa 802.1X, EAP, TKIP a MIC.

Z neuvažovaných protokolov sa tu objavujú TKIP a MIC:

• TKIP (Temporal Key Integrity Protocol) je implementácia dynamických šifrovacích kľúčov, navyše každé zariadenie v sieti dostáva aj svoj vlastný hlavný kľúč (ktorý sa tiež z času na čas mení). Šifrovacie kľúče majú 128 bitov a generujú sa pomocou zložitého algoritmu a celkový počet možných kľúčov dosahuje stovky miliárd a veľmi často sa menia. Použitý šifrovací algoritmus je však stále RC4.
• MIC (Message Integrity Check) je protokol kontroly integrity paketov. Protokol umožňuje vyradiť pakety, ktoré boli do kanála „vložené“ treťou stranou, t.j. nezanechal platného odosielateľa.

Veľké množstvo výhod protokolu TKIP nepokrýva jeho hlavnú nevýhodu - algoritmus RC4 používaný na šifrovanie. V súčasnosti síce nie sú hlásené žiadne prípady hackovania WPA založeného na TKIP, ale ktovie, čo nám prinesie budúcnosť? Preto použitie štandardu AES (Advanced Štandard šifrovania), ktorý nahrádza TKIP. Mimochodom, v budúcom štandarde WPA2 je povinná požiadavka používať AES na šifrovanie.

Aké závery možno vyvodiť?

• ak sú v sieti iba zariadenia 802.11g, je lepšie použiť šifrovanie založené na WPA;
• ak je to možné (ak to podporujú všetky zariadenia), povoľte šifrovanie AES;

Prejdeme k priamej konfigurácii šifrovania na zariadeniach. Používam rovnaké bezdrôtové adaptéry ako v predchádzajúcom článku:

Cardbus adaptér Asus WL-100g nainštalovaný na notebooku. Rozhranie na správu kariet je pomôcka od spoločnosti ASUS (ASUS WLAN Control Center).

Externý adaptér s USB rozhraním ASUS WL-140 . Správa adaptéra - cez vstavané rozhranie Windows XP (Zero Wireless Configuration). Táto karta je 802.11b, takže nepodporuje WPA.

Poplatok s PCI rozhranie Asus WL-130g. Riadiace rozhranie implementované (výrobcom čipsetu tejto karty PCI).

ASUS WLAN Control Center – ASUS WL-100g

Začnime nastavením šifrovania v ASUS WLAN Control Center. Všetky nastavenia sú sústredené v sekcii Šifrovanie. Najprv vyberte typ overenia ( Sieťová autentifikácia), máme k dispozícii tri typy: otvorený systém, zdieľaný kľúč a WPA.

1. Šifrovanie WEP.

Typy Open System/Shared Key sú podmnožiny autentifikačného algoritmu zabudovaného do WEP. Režim otvoreného systému nie je bezpečný a dôrazne sa neodporúča zapínať ho, ak je možné aktivovať zdieľaný kľúč. Je to spôsobené tým, že v režime Open System na vstup do bezdrôtovej siete (priradenie k inej stanici alebo prístupovému bodu) stačí poznať iba SSID siete a v režime zdieľaného kľúča potrebujete nastaviť spoločný šifrovací kľúč WEP pre celú sieť.

Ďalej vyberte Šifrovanie - WEP, veľkosť kľúča - 128 bitov (64-bitový kľúč je lepšie nepoužívať vôbec). Vyberáme formát kľúča, HEX (vstup kľúča v hexadecimálnom tvare) alebo generovanie kľúča zo sekvencie ASCII (nezabudnite, že algoritmy generovania sa môžu líšiť od výrobcu). Berieme do úvahy aj to, že kľúč (alebo kľúče) WEP musí byť rovnaký na všetkých zariadeniach v rovnakej sieti. Celkovo môžete zadať až štyri kľúče. Poslednou položkou je výber, ktorý z kláves sa bude používať (Default Key). AT tento prípad Existuje ďalší spôsob - začať používať všetky štyri kľúče postupne, čo zvyšuje bezpečnosť. (kompatibilné iba so zariadeniami rovnakého výrobcu).

2. WPA šifrovanie.

Ak je podporovaný na všetkých zariadeniach (zvyčajne 802.11g zariadenia), dôrazne sa odporúča použiť tento režim namiesto starého a zraniteľného WEP.

Bezdrôtové zariadenia zvyčajne podporujú dva režimy WPA:

• Štandardné WPA. Nevyhovuje nám, keďže vyžaduje prítomnosť RADIUS servera v sieti (okrem toho funguje len v spojení s prístupovým bodom).
• WPA-PSK - WPA s podporou pre zdieľané kľúče (prednastavené kľúče). A to je to, čo potrebujete - kľúč (rovnaký pre všetky zariadenia) sa manuálne nastavuje na všetkých bezdrôtových adaptéroch a cez neho sa vykonáva primárna autentifikácia staníc.

Ako šifrovací algoritmus si môžete vybrať TKIP alebo AES. Ten druhý nie je implementovaný na všetkých bezdrôtových klientoch, ale ak ho podporujú všetky stanice, potom je lepšie na ňom zostať. Bezdrôtový sieťový kľúč – ide o rovnaký všeobecný predzdieľaný kľúč. Je žiaduce urobiť to dlhšie a nepoužívať slovo zo slovníka alebo množiny slov. V ideálnom prípade by to mal byť nejaký druh abrakadabra.

Po kliknutí na tlačidlo Použiť (alebo Ok) sa použijú zadané nastavenia bezdrôtová mapa. V tomto prípade možno postup nastavenia šifrovania považovať za dokončený.

Ovládacie rozhranie implementované Ralinkom - Asus WL-130g

Nastavenie sa veľmi nelíši od už zvažovaného rozhrania od ASUS WLAN CC. V okne rozhrania, ktoré sa otvorí, prejdite na kartu Profil, vyberte požadovaný profil a kliknite Upraviť.

1. Šifrovanie WEP.

Šifrovanie sa nastavuje na karte Autentifikácia a bezpečnosť. Ak je zapnuté šifrovanie WEP, vyberte možnosť Zdieľané v Autentický typ(tie. verejný kľúč).

Vyberte typ šifrovania – WEP a zadajte až štyri ASCII alebo hexadecimálne kľúče. V rozhraní nemôžete nastaviť dĺžku kľúča, okamžite sa použije 128-bitový kľúč.

2. WPA šifrovanie.

Ak v Autentický typ vyberte WPA-None, potom povolíme šifrovanie so zdieľaným kľúčom WPA. Vyberte typ šifrovania ( Šifrovanie) TKIP alebo AES a zadajte predzdieľaný kľúč ( Predzdieľaný kľúč WPA).

Tým je konfigurácia šifrovania v tomto rozhraní dokončená. Ak chcete uložiť nastavenia v profile, stačí kliknúť na tlačidlo Dobre.

Zero Wireless Configuration (vstavané rozhranie Windows) - ASUS WL-140

ASUS WL-140 je karta 802.11b, takže podporuje iba šifrovanie WEP.

1. Šifrovanie WEP.

V nastaveniach bezdrôtový adaptér prejsť na záložku Bezdrôtové siete. Ďalej vyberte našu bezdrôtovú sieť a stlačte tlačidlo Naladiť.

V zobrazenom okne aktivujte Šifrovanie údajov. Tiež aktivujeme Overenie siete, vypnutím tejto položky povolíte autentifikáciu typu „Otvorený systém“, t.j. každý klient sa bude môcť pripojiť k sieti, pričom pozná svoje SSID.

Zadajte sieťový kľúč (a zopakujte ho v ďalšom poli). Kontrolujeme jeho index (sériové číslo), väčšinou sa rovná jednej (t.j. prvý kľúč). Číslo kľúča musí byť na všetkých zariadeniach rovnaké.

Kľúč (sieťové heslo), ako nám hovorí operačný systém, musí obsahovať 5 alebo 13 znakov alebo musí byť celý zadaný v hexadecimálnom tvare. Ešte raz upozorňujem na skutočnosť, že algoritmus prevodu kľúča zo znaku na hexadecimálny sa môže líšiť od Microsoftu a výrobcov vlastných rozhraní na správu bezdrôtových adaptérov, takže bude spoľahlivejšie zadávať kľúč v hexadecimálnom formáte (t.j. čísla od 0 do 9 a písmená od A po F).

V rozhraní je tiež príznak, ktorý je zodpovedný za Automatické poskytnutie kľúča ale neviem presne kde by to fungovalo. Časť pomocníka hovorí, že hardvérový kľúč môže byť pripojený k bezdrôtovému adaptéru jeho výrobcom. Vo všeobecnosti je lepšie túto funkciu neaktivovať.

Týmto sa dokončí nastavenie šifrovania pre adaptér 802.11b.

Mimochodom, o pomoci zabudovanej do OS. Veľa z toho, čo tu bolo povedané, a ešte viac nájdete v Centrum pomoci a podpory, ktorá má dobrý systém pomoci, stačí zadať Kľúčové slová a kliknite na zelenú šípku vyhľadávania.

2. WPA šifrovanie.

Po zvážení nastavenia šifrovania pomocou adaptéra ASUS WL-140 802.11b ako príkladu sme sa nedotkli nastavení WPA v systéme Windows, pretože karta tento režim nepodporuje. Zoberme si tento aspekt na príklade iného adaptéra - ASUS WL-100g. Možnosť konfigurácie WPA v systéme Windows XP sa objaví pri inštalácii servisný balík verzia 2 (alebo príslušné aktualizácie z webovej lokality spoločnosti Microsoft).

Service Pack 2 výrazne rozširuje funkcie a pohodlie nastavení bezdrôtovej siete. Položky hlavného menu sa síce nezmenili, no pribudli k nim nové.

Šifrovanie sa konfiguruje štandardným spôsobom: najskôr vyberte ikonu bezdrôtového adaptéra a potom stlačte tlačidlo Vlastnosti.

Prejsť na záložku Bezdrôtové siete a vyberieme si, ktorú sieť budeme konfigurovať (zvyčajne je to jedna). Kliknite Vlastnosti.

V zobrazenom okne zvoľte WPA-None, t.j. WPA s preddefinovanými kľúčmi (ak vyberiete Kompatibilné, potom povolíme režim konfigurácie šifrovania WEP, ktorý už bol popísaný vyššie).

Vyberieme AES alebo TKIP (ak všetky zariadenia v sieti podporujú AES, potom je lepšie ho vybrať) a dvakrát zadáme kľúč WPA (druhý do potvrdzovacieho poľa). Najlepšie nejaké dlhé a ťažko sa zbierajú.

Po kliknutí na Dobre Nastavenie šifrovania WPA možno tiež považovať za dokončené.

Na záver pár slov o sprievodcovi nastavením bezdrôtovej siete, ktorý sa objavil s balíkom Service Pack 2.

Vo vlastnostiach sieťový adaptér tlačidlo výberu Bezdrôtové siete.

V zobrazenom okne kliknite na Nastavte bezdrôtovú sieť.

Tu je nám povedané, kde sme. Kliknite Ďalej.

Vyberte si Nastavte bezdrôtovú sieť. (Ak si vyberiete Pridať, môžete vytvoriť profily pre iné počítače v rovnakej bezdrôtovej sieti).

V zobrazenom okne nastavte SSID siete, aktivujte, ak je to možné, šifrovanie WPA a vyberte spôsob zadania kľúča. Generovanie je možné ponechať na operačný systém alebo je možné kľúče zadať manuálne. Ak je vybratá prvá, zobrazí sa okno s výzvou na zadanie požadovaný kľúč(alebo kľúče).

• v textovom súbore na neskôr manuálne zadávanie na iných strojoch.
• Uloženie profilu na USB flash disk automatický vstup na iných počítačoch so systémom Windows XP s integrovaným balíkom Service Pack verzie 2.

Ak je režim ukladania nastavený na Flash, potom v ďalšie okno budete vyzvaní, aby ste vložili médium Flash a vybrali ho z ponuky.

Ak by bolo zvolené manuálne uloženie parametre, potom po stlačení tlačidla Typ…

… sa zobrazí textový súbor s nakonfigurovanými nastaveniami siete. Upozorňujem na skutočnosť, že sa generujú náhodné a dlhé (t. j. dobré) kľúče, ale ako šifrovací algoritmus sa používa TKIP. Algoritmus AES je možné neskôr zapnúť manuálne v nastaveniach, ako je popísané vyššie.

Celkom

Dokončili sme konfiguráciu šifrovania na všetkých adaptéroch bezdrôtovej siete. Teraz môžete skontrolovať, či sa počítače navzájom vidia. Ako to urobiť, bolo popísané v druhej časti cyklu „urob si sám“ (postupujeme rovnako, ako keď v sieti nebolo povolené šifrovanie).

Ak máme problémy a nie všetky počítače sa navzájom vidia, skontrolujeme Všeobecné nastavenia pre adaptéry:

• Autentifikačný algoritmus musí byť rovnaký pre všetkých (zdieľané kľúče alebo WPA);
• Šifrovací algoritmus musí byť rovnaký pre všetkých (WEP-128bit, WPA-TKIP alebo WPA-AES);
• Dĺžka kľúča (v prípade šifrovania WEP) musí byť rovnaká pre všetky stanice v sieti (zvyčajná dĺžka je 128 bitov);
• Samotný kľúč musí byť rovnaký na všetkých staniciach v sieti. Ak sa použije WEP, potom možný dôvod- v sieti sa používa kľúč ASCII a heterogénne zariadenia (od rôznych výrobcov). Skúste zadať kľúč v šestnástkovej sústave.

Šifrovanie Wi-Fi – ktorý protokol si vybrať?

Kúpil som si sám seba nový router a rozhodol som sa to nastaviť sám. Všetko je nastavené – internet aj bezdrôtová sieť fungujú. Vyvstala otázka, pretože rádiové vlny (v mojom prípade Wi-Fi) sa šíria nielen v rámci môjho bytu. V súlade s tým môžu byť zachytené. Teoreticky. Smerovač má nastavenie bezdrôtového šifrovania. Predpokladám, že je to na vylúčenie odpočúvania a "odpočúvania". Otázkou je, ktorý zo šifrovacích protokolov dostupných v mojom routeri si mám vybrať? Dostupné: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Aké šifrovanie Wi-Fi by som mal použiť v mojom prípade?

norik | 16. februára 2015, 10:14 hod
Vynechám popisy všetkých zastaraných šifrovacích protokolov Wi-Fi. Preto popíšem len tie, ktoré má zmysel používať. Ak tu protokol nie je popísaný, potom je buď exotický, alebo ho nepotrebujete.

WPA a WPA2 (Wi-Fi Protected Access) – dostupné na všetkých smerovačoch. Najpopulárnejší a najpoužívanejší protokol. Je tiež jedným z najmodernejších. PODĽA MÔJHO NÁZORU - najlepšia voľba pre domov a nie veľká kancelária. Je však celkom vhodný aj do veľkých kancelárií, až na to, že má zmysel sťažiť autorizáciu. Dĺžka hesla je až 63 bajtov, takže ho prelúskate výberom – skôr môžete zošedivieť. Samozrejme, musíte zvoliť WPA2, ak ho podporujú všetky zariadenia v sieti (len veľmi staré miniaplikácie tomu nerozumejú).

Skutočne cenné je to, čo je vo vnútri túto službu je možné použiť viacero šifrovacích algoritmov. Medzi nimi: 1. TKIP - neodporúčam, pretože je celkom možné nájsť dieru.
2. CCMP je oveľa lepší.
3. AES – páči sa mi najviac, ale nie je podporovaný všetkými zariadeniami, aj keď je dostupný v špecifikácii WPA2.

WPA2 tiež poskytuje dva režimy počiatočnej autentifikácie. Tieto režimy sú PSK a Enterprise. WPA Personal, tiež známy ako WPA PSK, znamená, že všetci používatelia budú zahrnutí do bezdrôtovej siete jediné heslo, zadaný na strane klienta v čase pripojenia do siete. Ideálne pre domácnosť, ale trochu zložité pre veľkú kanceláriu. Bude ťažké zmeniť heslo pre každého vždy, keď iný zamestnanec, ktorý ho pozná, skončí.

WPA Enterprise vyžaduje samostatný server so sadou kľúčov. Pre domácnosť alebo kanceláriu pre 6 strojov je to ťažkopádne, ale ak sú v kancelárii 3 tucty bezdrôtových zariadení, môžete sa postarať.

V skutočnosti je to v súčasnosti koniec výberu šifrovania Wi-Fi. Ostatné protokoly buď nemajú žiadne šifrovanie alebo heslo, alebo majú diery v algoritmoch, do ktorých sa nedostanú len úplne leniví. Do domácnosti odporúčam kombináciu WPA2 Personal AES. Pre veľké kancelárie - WPA2 Enterprise AES. Ak nie je AES, potom je možné upustiť od TKIP, ale potom zostáva možnosť čítania paketov cudzincom. Existuje názor, že WPA2 TKIP nebol nikdy napadnutý, na rozdiel od WPA TKIP, ale opatrne ...

Často vzniká otázka: aký typ šifrovania Wi-Fi zvoliť pre domáci smerovač. Zdalo by sa to ako maličkosť, ale pri nesprávnych parametroch do siete a dokonca aj pri prenose informácií cez ethernetový kábel môžu nastať problémy.

Preto tu zvážime, aké typy šifrovania údajov sú podporované modernými WiFi routery a ako sa typ šifrovania aes líši od populárnych wpa a wpa2.

Typ šifrovania bezdrôtovej siete: ako zvoliť spôsob ochrany?

Celkovo teda existujú 3 typy šifrovania:

1. 1. Šifrovanie WEP

Typ šifrovania WEP sa objavil vo vzdialených 90-tych rokoch a bol prvou možnosťou na ochranu sietí Wi-Fi: bol umiestnený ako analóg šifrovania v káblových sieťach a používal šifru RC4. Existovali tri bežné algoritmy šifrovania údajov - Neesus, Apple a MD5 - ale každý z nich neposkytoval požadovanú úroveň zabezpečenia. V roku 2004 IEEE vyhlásilo štandard za zastaraný, pretože konečne prestal zabezpečovať bezpečnosť pripojenia k sieti. V súčasnosti sa tento typ šifrovania pre wifi neodporúča, pretože. nie je kryptograficky bezpečný.

1. 2.WPS je štandard, ktorý nevyžaduje použitie . Pre pripojenie k routeru stačí kliknúť na príslušné tlačidlo, ktoré sme podrobne opísali v článku.

WPS teoreticky umožňuje pripojiť sa k prístupovému bodu pomocou osemmiestneho kódu, no v praxi často stačia len štyri.

Túto skutočnosť v tichosti využívajú početní hackeri, ktorí rýchlo (za 3 - 15 hodín) hacknú wifi siete, preto použite túto zlúčeninu tiež sa neodporúča.

1. 3.Typ šifrovania WPA/WPA2

S šifrovaním WPA je všetko oveľa lepšie. Namiesto zraniteľnej šifry RC4 je tu použité šifrovanie AES, kde dĺžka hesla je ľubovoľná hodnota (8 - 63 bitov). Tento typšifrovanie poskytuje normálnu úroveň zabezpečenia a je celkom vhodné pre jednoduché wifi smerovače. V tomto prípade existujú dve odrody:

Typ PSK (Pre-Shared Key) - pripojenie k prístupovému bodu sa vykonáva pomocou preddefinovaného hesla.
- Enterprise - heslo pre každý uzol sa generuje automaticky s overením na serveroch RADIUS.

Typ šifrovania WPA2 je rozšírením WPA s vylepšeniami zabezpečenia. Tento protokol používa RSN, ktoré je založené na šifrovaní AES.

Podobne ako šifrovanie WPA, aj typ WPA2 má dva režimy prevádzky: PSK a Enterprise.

Od roku 2006 je typ šifrovania WPA2 podporovaný všetkými Wi-Fi zariadenia, je možné vybrať zodpovedajúcu geo pre každý smerovač.