Informácie, ktoré môžete získať v tomto článku, môžu byť použité na získanie neoprávneného prístupu k sieťam a vaše konanie môže spadať pod články 272-273 Trestného zákona Ruskej federácie. Tieto informácie sú tu zverejnené len na informačné účely a za ich použitie na nezákonné účely nesiete výhradnú zodpovednosť. Tento článok je venovaný téme, ktorá bola posvätená na stretnutí MGUPI User Group „Zabezpečenie bezdrôtových sietí (WPA2)“.

Úvod

V predchádzajúcom článku som rozoberal všeobecné princípy bezdrôtových sietí a ako zabezpečiť ich bezpečnosť. Zaoberal sa typmi bezdrôtových sietí a všeobecnými princípmi ich zabezpečenia, ako aj príkladom toho, aké ľahké je pristupovať k sieti so šifrovaním WEP.
Tento článok popíše, ako WPA funguje a aké hlavné zraniteľnosti v ňom môžu zneužiť útočníci na nelegálny vstup do vašej siete.

Výhody WPA oproti WEP

WPA, WiFi Protected Access je nový, v súčasnosti najmodernejší mechanizmus na ochranu bezdrôtových sietí pred neoprávneným prístupom. WPA a jeho ďalší vývoj WPA2 nahradil mechanizmus WEP, ktorý sa v tom čase stával zastaraným. Ešte raz sa pozrime, ako funguje WEP:

1. Dátový rámec pozostáva zo zašifrovanej časti a nezašifrovanej časti. Šifrovaná časť obsahuje dáta a kontrolný súčet (CRC32), nešifrovaná časť - inicializačný vektor a identifikátor kľúča.

2. Každý dátový rámec je zašifrovaný prúdovou šifrou RC4 pomocou inicializačného vektora s pripojeným kľúčom WEP ako šifrovacím kľúčom.

Pre každý dátový rámec sa teda vygeneruje vlastný šifrovací kľúč, no zároveň sa každý nový šifrovací kľúč od toho druhého líši len inicializačným vektorom. (24 bitov, keď dĺžka kľúča môže byť 40 alebo 104 bitov) Ak teda útočník zachytí veľké množstvo paketov, dostane nasledovné: - veľké množstvo inicializačných vektorov
-Veľké množstvo šifrovaných údajov
- šifrovací kľúč pre každý nasledujúci rámec sa líši od predchádzajúceho iba o 4 bity (dĺžka inicializačného vektora)
Takto je možné extrahovať kľúč vykonaním matematických operácií na balíkoch.
Na úspešné získanie kľúča WEP potrebuje útočník:
- byť na mieste, kde je možnosť príjmu sieťového signálu (RSSI -85 dBm úplne stačí)
- Zachyťte približne 100-200 tisíc inicializačných vektorov v závislosti od dĺžky kľúča (WEP-40 alebo WEP-104). Zvyčajne na to musíte zachytiť 25-50 MB prenosu prenášaného v sieti. V prípade vysokej sieťovej aktivity (nahrávanie súborov (najmä pomocou sietí peer-to-peer) videokonferencie) bude stačiť 5-10 minút na zachytenie požadovaného objemu prevádzky.

Všimnite si tiež, ako útočník zachytáva prevádzku.
Adaptéry bezdrôtovej siete zvyčajne fungujú normálne – akceptujú iba pakety odoslané na ich MAC adresu za predpokladu, že sú pripojené k tejto bezdrôtovej sieti. Fyzicky však nič nebráni adaptéru bezdrôtovej siete zachytiť všetky pakety, ktoré sú v jeho dosahu na zvolenom kanáli. Na implementáciu tejto funkcie existujú špeciálne neoficiálne ovládače a softvér. Okrem toho sa takýto softvér predáva legálne a používa sa na monitorovanie bezdrôtových sietí. Príkladom takéhoto programu je CommView for WiFi od TamoSoft. Potom útočník analyzuje zachytenú komunikáciu. Keďže WEP bol prelomený už pred mnohými rokmi, na internete nájdete nástroje, ktoré automaticky extrahujú kľúč zo súboru CAP s prevádzkou, z ktorých najbežnejší je Aircrack.
WEP má teda nasledujúce nevýhody
-predvídateľnosť šifrovacieho kľúča pre rámec
- nedostatok prostriedkov autentifikácie v sieti
-slabý mechanizmus na kontrolu integrity údajov
Preto mnohé podniky úplne upustili od používania bezdrôtových sietí, aby sa vyhli úniku podnikových informácií. S príchodom WPA a neskôr WPA2 sa však situácia zmenila a čoraz viac firemných používateľov začalo používať WPA. V porovnaní s WEP má skutočne niekoľko výhod:
- matematická nezávislosť šifrovacích kľúčov pre každý paket
-nový mechanizmus výpočtu kontrolného súčtu
-WPA zahŕňa autentifikáciu 802.1X

Ako funguje WPA

Prvé modifikácie WPA boli pokročilé WEP.
Zvážte jeden z prvých protokolov WPA, WPA-TKIP
Používa 48-bitový inicializačný vektor a mení pravidlá konštrukcie vektorov, používa tiež MIC (kód integrity správy) na výpočet kontrolného súčtu, ktorý sa používa namiesto zastaraného a menej spoľahlivého CRC32.
A najdôležitejším vylepšením je, že dĺžka šifrovacieho kľúča je teraz 128 bitov namiesto 40. Existuje špeciálna hierarchia pre správu kľúčov, aby sa zabránilo predvídateľnosti šifrovacieho kľúča pre každý rámec. Šifrovací kľúč pre každý dátový rámec je vďaka TKIP vygenerovaný tak, aby sa navzájom neopakovali, aj keď len čiastočne.
Siete WPA sú tak úplne chránené pred útokmi replay (opakovanie kľúča) a falšovania (spoofing obsahu paketov), ​​čo sa nedalo povedať o WEP, kde bolo možné obísť kontrolu kontrolného súčtu CRC32 a tiež poslať rámec s presne rovnakým šifrovací kľúč, ako ten predchádzajúci.
Spolu s tým má WPA integrované autentifikačné mechanizmy: EAP, ako aj plnú podporu štandardov 802.1X pre autentifikáciu. EAP je skratka pre Extensible Authentication Protocol, jeden z najpoužívanejších overovacích protokolov. Používa sa na autentifikáciu v káblových sieťach, a preto možno WPA-bezdrôtovú sieť jednoducho integrovať do existujúcej infraštruktúry. Predpokladom pre autentizáciu je predloženie prístupového tokenu používateľom, ktorý potvrdzuje jeho právo na prístup do siete. Na získanie tokenu sa odošle žiadosť do špeciálnej databázy a bez overenia bude používateľovi zakázané pracovať v sieti. Overovací systém je umiestnený na špeciálnom serveri RADIUS a ako databáza sa používa Active Directory (v systémoch Windows)
WPA je teda syntézou nasledujúcich technológií a štandardov:
WPA = 802.1X + EAP + TKIP + MIC
Ochrana TKIP však bola v roku 2008 čiastočne prelomená. Aby ste to úspešne obišli, bezdrôtový smerovač musí používať QoS. Útočník by mohol získať schopnosť zachytiť a dešifrovať dáta prenášané v sieti, ako aj falošné pakety prenášané v sieti. Preto bol vyvinutý WPA2, čo je vylepšený WPA.

Ako funguje WPA2

Objavenie zraniteľností v WPA viedlo k vytvoreniu metódy zabezpečenia WPA2. Jeho podstatný rozdiel oproti WPA je v tom, že prevádzka v sieti je šifrovaná nielen zo zariadení, ktoré nie sú pripojené k tejto sieti, ale aj medzi sebou navzájom. Inými slovami, každé zariadenie má svoje vlastné šifrovacie kľúče na komunikáciu s prístupovým bodom. V sieti je niekoľko šifrovacích kľúčov:
1) Párový prechodový kľúč (PTK). Tento typ kľúča sa používa na šifrovanie osobnej prevádzky každého klienta. Sieť je teda chránená „zvnútra“, takže jeden klient autorizovaný v sieti nemôže zachytiť prevádzku iného klienta.
2) Skupinový dočasný kľúč (GTK). Tento kľúč šifruje vysielané dáta.
WPA2 sa používa ako šifrovací algoritmus CCMP

CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), protokol blokovej šifry s kódom pravosti správy a režimom blokového a čítacieho reťazenia, je šifrovací protokol pre sieť WPA2, ktorý používa algoritmus AES ako základ pre šifrovanie údajov. Štandard FIPS-197 používa 128-bitový šifrovací kľúč.
Hlavným rozdielom od TKIP a WEP je centralizovaná správa integrity paketov, ktorá sa vykonáva na úrovni AES.
Štruktúra paketov šifrovaných CCMP

Paket CCMP sa zvýšil o 16 oktetov. Hlavička CCMP sa skladá z troch častí: PN (číslo paketu, 48-bit), ExtIV (inicializačný vektor) a identifikátor kľúča.
Zapuzdrenie údajov pomocou CCMP:
1) Počet paketov sa zvýši o určité číslo, aby sa zabránilo opakovaniu paketov
2) Vygenerujú sa ďalšie poverenia
3) Vytvorí sa pole služby nonce
4) Číslo balíka a ID kľúča sú umiestnené v hlavičke balíka
5) Poverenia nonce a voliteľné poverenia sú zašifrované pomocou dočasného kľúča.


Dekapsulácia údajov pomocou CCMP:
1) Vygenerujte ďalšie polia identity a nepoužívajte paketové dáta.
2) Z hlavičky šifrovaného paketu sa extrahuje ďalšie pole poverení
3) Extrahuje pole A2, číslo paketu a pole priority
4) Vyberie sa pole MIC
5) Paket sa dešifruje a skontroluje sa jeho integrita pomocou šifrovaného textu paketu, dodatočných identifikačných údajov, dočasného kľúča a samotného MIC.
6) Balík sa zostavuje v dešifrovanej forme.
7) Pakety s duplicitným číslom sa vyradia

Tento spôsob šifrovania v sieti je momentálne najspoľahlivejší.

Metódy overovania v WPA \ WPA2

Predpokladom pre WPA \ WPA2 je autentifikácia, to znamená potvrdenie používateľských práv na prístup k zdrojom
Na tento účel klasická implementácia WAP \ WPA2 zahŕňa podporu pre 802.11 a EAP.
Inými slovami, aby klientske zariadenie úspešne dokončilo proces pripojenia, musí sa identifikovať. V praxi to vyzerá takto: používateľ je vyzvaný na zadanie prihlasovacieho mena a hesla pre prístup do siete. Overenie poverení sa vykonáva na serveri RADIUS, ktorý následne komunikuje s autentifikačným serverom. Radič domény Windows Server 2008R2 sa používa ako autentifikačný server a používa sa aj ako server RADIUS.
Tento prístup k implementácii WPA \ WPA2 sa nazýva WPA-Enterprise. Používa sa vo veľkých produkčných sieťach, kde je už nasadená infraštruktúra Active Directory.
Je však jasné, že nasadenie Active Directory a RADIUS v prostredí malých firiem alebo domácností je takmer nemožné. Preto Wi-Fi Alliance vyvinula zjednodušenú implementáciu s názvom WPA-PSK (Pre-Shared Key), ktorá umožňuje používanie štandardov WPA \ WPA2 v domácnosti. Používa rovnaké šifrovacie protokoly, ale jeho schéma overovania používateľa je výrazne zjednodušená. Aby zariadenie prijalo sieťový prístupový token, musí byť na zariadení zadaná špeciálna prístupová fráza s názvom Pre-Shared Key. Dĺžka musí byť od 8 do 32 znakov, navyše môžete použiť špeciálne znaky, ako aj symboly národných abecied. Po zadaní prístupovej frázy je táto umiestnená do špeciálneho asociačného paketu (key exchange packet, handshake), ktorý je prenášaný do prístupového bodu. Ak je prístupová fráza správna, zariadeniu sa vydá sieťový prístupový token. Tento prístup je mnohokrát jednoduchší ako WPA-Enterprise, a preto našiel široké uplatnenie medzi malými podnikmi a domácimi používateľmi.

Chyby zabezpečenia vo WPA \ WPA2

Napriek všetkým svojim výhodám WPA \ WPA2 nie je zbavený zraniteľností.
Po prvé, v roku 2006 bolo prelomené šifrovanie TKIP WPA. Využívanie vám umožňuje čítať údaje prenášané z prístupového bodu do klientskeho stroja, ako aj prenášať falošné informácie do klientskeho stroja. Tento útok vyžaduje, aby sieť používala QoS.
Preto tiež neodporúčam používať WPA na zabezpečenie vašej bezdrôtovej siete. Iste, je to ťažšie prelomiť ako WEP a WPA vás ochráni pred útokmi školákov pomocou Aircracku, ale neodolá ani cielenému útoku na vašu organizáciu. Pre čo najväčšiu bezpečnosť odporúčam použiť WPA2
WPA2 však nie je zbavený zraniteľností. V roku 2008 bola objavená zraniteľnosť, ktorá umožňovala útok typu man-in-the-center. Umožnil účastníkovi siete zachytiť a dešifrovať dáta prenášané medzi ostatnými účastníkmi siete pomocou ich párového prechodného kľúča. Preto pri práci v takejto sieti má zmysel používať dodatočné šifrovacie nástroje pre prenášané informácie.(Napríklad Shipka PCDST) Zároveň si uvedomte, že na zneužitie tejto zraniteľnosti musí byť útočník autorizovaný a pripojený k sieť.
Chcel by som sa však zamerať na „domácu“ implementáciu WPA-PSK. Zjednodušuje autorizačnú schému, takým „úzkym miestom“ v nej je samotný predzdieľaný kľúč, keďže zadanie tohto kľúča dáva zariadeniu plný prístup do siete (pokiaľ nie je povolené filtrovanie MAC).
Samotný kľúč je uložený v prístupovom bode. V závislosti od modelu a firmvéru zariadenia sa implementujú metódy jeho ochrany. V niektorých prípadoch útočníkovi stačí prístup k webovému ovládaciemu panelu a získanie predzdieľaného kľúča, ktorý je tam uložený ako čistý text. V niektorých prípadoch je pole s ním chránené ako pole s heslom, ale stále je možné ho extrahovať, ak útočník môže odstrániť pamäťový čip zo zariadenia a získať k nemu prístup na nízkej úrovni. Preto dbajte na fyzickú bezpečnosť vášho bezdrôtového zariadenia.
A nakoniec, najnovšou zraniteľnosťou je schopnosť zachytiť pakety handshake, ktoré prenášajú vopred zdieľaný kľúč, keď je zariadenie pripojené k sieti. Podľa toho, ako dlho je predzdieľaný kľúč zašifrovaný, má útočník iba jednu možnosť - útok hrubou silou na zachytené asociatívne pakety. Na jednej strane je to iracionálne, ale treba pochopiť, že na to nemusíte byť vôbec blízko prístupového bodu a na takýto útok hrubou silou (alebo slovníkom) môže útočník použiť veľké výpočtové zdroje.
Za zmienku tiež stojí, že na zachytenie handshake nemusí útočník čakať, kým sa k sieti pripojí nové zariadenie. Na niektorých bezdrôtových adaptéroch je pri použití neštandardných ovládačov možné posielať do siete reasociačné pakety, ktoré prerušia sieťové pripojenia a iniciujú novú výmenu kľúčov v sieti medzi klientmi a prístupovým bodom. V tomto prípade je pre zachytenie požadovaných paketov potrebné, aby bol k sieti pripojený aspoň jeden klient. Útočník musí byť tiež blízko prístupového bodu, aby výkon jeho adaptéra (a také adaptéry sú zvyčajne málo citlivé a málo výkonné a počas prevádzky sa prehrievali) postačoval na ODOSIELANIE reasociačných paketov (spomeňte si na WEP, kde len ste potrebovali „stihnúť“ dostatočnú návštevnosť ). A nakoniec, útok hrubou silou trvá dlho, ale použitie výpočtového klastra značne zjednodušuje úlohu.

Záver

Tento článok bol o tom, ako funguje mechanizmus WPA \ WPA2, ako aj o jeho hlavných zraniteľnostiach.
Preto na ochranu WPA \ WPA2 doma používajte dlhé, zložité heslá (nie slovníkové) a používajte špeciálne znaky, najlepšie netlačiteľné znaky ASCII. Malo by sa však chápať, že v tomto prípade bude možnosť pripojenia mnohých mobilných zariadení obmedzená, ak z tohto zariadenia nebude možné zadať heslo.
V práci vždy používajte WPA-Enterprise, najmä ak už máte nasadenú sieť Active Directory. Vďaka tomu bude vaša sieť v bezpečí pred väčšinou útokov. Nezabúdajte však ani na ďalšie prostriedky ochrany vašej infraštruktúry.
Ďalší článok z tejto série poskytne príklad, ako môže útočník získať prístup k sieti WPA2-PSK pomocou slabého hesla a tiež dočasne zakázať sieť WPA prostredníctvom útoku odmietnutia služby.

Často vzniká otázka: aký typ šifrovania Wi-Fi zvoliť pre domáci smerovač. Zdalo by sa to ako maličkosť, ale pri nesprávnych parametroch môžu nastať problémy so sieťou a dokonca aj s prenosom informácií cez ethernetový kábel.

Preto tu zvážime, aké typy šifrovania údajov podporujú moderné smerovače WiFi a ako sa typ šifrovania aes líši od populárnych wpa a wpa2.

Typ bezdrôtového šifrovania: ako si vybrať spôsob zabezpečenia?

Celkovo teda existujú 3 typy šifrovania:

1. 1. Šifrovanie WEP

Typ šifrovania WEP sa objavil vo vzdialených 90-tych rokoch a bol prvou možnosťou na ochranu sietí Wi-Fi: bol umiestnený ako analóg šifrovania v káblových sieťach a používal šifru RC4. Pre prenášané dáta existovali tri bežné šifrovacie algoritmy – Neesus, Apple a MD5 – ale každý z nich neposkytoval požadovanú úroveň zabezpečenia. V roku 2004 IEEE vyhlásilo štandard za zastaraný, pretože napokon prestal poskytovať bezpečné pripojenie k sieti. V súčasnosti sa tento typ šifrovania pre wifi neodporúča, pretože nie je kryptograficky bezpečný.

1. 2.WPS je štandard na nepoužívanie. Ak sa chcete pripojiť k smerovaču, stačí kliknúť na príslušné tlačidlo, o ktorom sme podrobne hovorili v článku.

WPS teoreticky umožňuje pripojiť sa k prístupovému bodu pomocou osemmiestneho kódu, no v praxi často stačia len štyri.

Túto skutočnosť pokojne využívajú početní hackeri, ktorí sa dostatočne rýchlo (za 3 - 15 hodín) nabúrajú do wifi sietí, takže používanie tohto pripojenia sa tiež neodporúča.

1. 3.Typ šifrovania WPA / WPA2

S šifrovaním WPA je všetko oveľa lepšie. Namiesto zraniteľnej šifry RC4 je tu použité šifrovanie AES, kde dĺžka hesla je ľubovoľná hodnota (8 - 63 bitov). Tento typ šifrovania poskytuje normálnu úroveň zabezpečenia a je celkom vhodný pre jednoduché wifi routery. Okrem toho existujú dva typy:

Typ PSK (Pre-Shared Key) - pripojenie k prístupovému bodu sa vykonáva pomocou preddefinovaného hesla.
- Enterprise – heslo pre každý uzol sa generuje automaticky s overením na serveroch RADIUS.

Typ šifrovania WPA2 je pokračovaním WPA s vylepšeniami zabezpečenia. Tento protokol používa RSN, ktoré je založené na šifrovaní AES.

Podobne ako šifrovanie WPA, aj WPA2 má dva režimy prevádzky: PSK a Enterprise.

Od roku 2006 je typ šifrovania WPA2 podporovaný všetkými zariadeniami Wi-Fi, zodpovedajúcu geo je možné zvoliť pre každý smerovač.

Výhody šifrovania WPA2 oproti WPA:

Šifrovacie kľúče sa generujú počas pripojenia k smerovaču (namiesto statických);
- Použitie Michaelovho algoritmu na riadenie integrity prenášaných správ
- Použitie inicializačného vektora podstatne väčšej dĺžky.
Okrem toho by ste mali zvoliť typ šifrovania Wi-Fi v závislosti od toho, kde sa váš smerovač používa:

Šifrovanie WEP, TKIP a CKIP by sa nemalo používať vôbec;

Pre domáci prístupový bod je WPA / WPA2 PSK v poriadku;

Pre to stojí za výber WPA / WPA2 Enterprise.

Šifrovanie Wi-Fi – ktorý protokol by ste si mali vybrať?

Kúpil som si nový router a rozhodol som sa ho nastaviť sám. Všetko som nastavil – internet aj bezdrôtová sieť fungujú. Otázka vyvstala, pretože rádiové vlny (v mojom prípade Wi-Fi) sa šírili nielen v mojom byte. V súlade s tým môžu byť zachytené. Teoreticky. Smerovač má nastavenie bezdrôtového šifrovania. Predpokladám, že ide o vylúčenie odpočúvania a odpočúvania. Otázkou je, ktorý zo šifrovacích protokolov dostupných v mojom routeri si mám vybrať? Dostupné: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Aký druh šifrovania Wi-Fi by som mal použiť v mojom prípade?

norik | 16. február 2015 10:14 hod
Vynechám popisy všetkých zastaraných šifrovacích protokolov Wi-Fi. Preto popíšem len tie, ktoré má zmysel používať. Ak tu protokol nie je popísaný, potom je buď exotický, alebo ho nepotrebujete.

WPA a WPA2 (Wi-Fi Protected Access) – dostupné na všetkých smerovačoch. Najpopulárnejší a najrozšírenejší protokol. Je jedným z najmodernejších. IMHO je najlepšou voľbou pre domácnosť a malú kanceláriu. Pre veľké kancelárie je však tiež celkom vhodný, až na to, že má zmysel skomplikovať autorizáciu. Dĺžka hesla je až 63 bajtov, takže ak ho prelomíte, môžete skôr zošedivieť. Samozrejme, musíte zvoliť WPA2, ak ho podporujú všetky zariadenia v sieti (len veľmi staré miniaplikácie tomu nerozumejú).

Skutočne cenné je, že v rámci tejto služby možno použiť niekoľko šifrovacích algoritmov. Medzi nimi: 1. TKIP - neodporúčam, pretože je celkom možné nájsť dieru.
2. CCMP je oveľa lepší.
3. AES – páči sa mi najviac, ale nepodporujú ho všetky zariadenia, hoci je v špecifikácii WPA2.

WPA2 tiež poskytuje dva režimy počiatočnej autentifikácie. Tieto režimy sú PSK a Enterprise. WPA Personal, tiež známy ako WPA PSK, znamená, že všetci používatelia vstúpia do bezdrôtovej siete s jediným heslom zadaným na strane klienta v čase pripojenia k sieti. Vynikajúce pre domácnosť, ale problematické pre veľkú kanceláriu. Každý si bude ťažko meniť heslo zakaždým, keď odíde iný zamestnanec, ktorý ho pozná.

WPA Enterprise predpokladá samostatný server so sadou kľúčov. Pre domácnosť alebo kanceláriu pre 6 áut je to ťažkopádne, ale ak sú v kancelárii 3 tucty bezdrôtových zariadení, môžete sa tomu venovať.

V skutočnosti to v súčasnosti vyčerpáva výber šifrovania Wi-Fi. Ostatné protokoly buď nemajú šifrovanie alebo heslo, alebo majú diery v algoritmoch, kam sa nedostanú len úplne leniví. Na domáce použitie odporúčam kombináciu WPA2 Personal AES. Pre veľké kancelárie - WPA2 Enterprise AES. Ak neexistuje AES, potom je možné upustiť od TKIP, ale potom zostáva pravdepodobnosť prečítania paketov neoprávnenou osobou. Predpokladá sa, že WPA2 TKIP nebol nikdy napadnutý, na rozdiel od WPA TKIP, ale bol ...

Dobrý deň, milí čitatelia blogu! Dnes budeme hovoriť o bezdrôtovom zabezpečení DIR-615, o bezpečnosť siete všeobecne. Poviem vám, čo je WPA. Ďalej vám poskytnem pokyny krok za krokom. nastavenie bezdrôtovej siete pomocou sprievodcu, o automatickom a manuálnom režime prideľovania sieťového kľúča. Nižšie sa ukáže ako pridať bezdrôtové zariadenie pomocou sprievodcu WPS... Nakoniec popíšem konfiguráciu WPA-Personal (PSK) a WPA-Enterprise (RADIUS).

Zabezpečenie siete

V tomto článku, ako som sľúbil, napíšem o rôznych úrovniach zabezpečenia, ktoré môžete použiť na ochranu svojich údajov pred votrelcami. DIR-615 ponúka nasledujúce typy zabezpečenia:

Čo je WPA?

WPA alebo Wi-Fi Protected Access je štandard Wi-Fi, ktorý bol navrhnutý na zlepšenie funkcií zabezpečenia WEP.

2 hlavné vylepšenia oproti WEP:

• Vylepšené šifrovanie údajov prostredníctvom TKIP... TKIP kombinuje kľúče pomocou hašovacieho algoritmu a pridáva kontrolu integrity, aby sa zabezpečilo, že s kľúčmi nebude možné manipulovať. WPA2 je založený na 802.11i a používa AES namiesto TKIP.
• Overenie používateľa, ktoré vo WEP vo všeobecnosti chýba EAP... WEP reguluje prístup k bezdrôtovej sieti na základe špecifickej hardvérovej MAC adresy počítača, ktorú je možné pomerne ľahko zistiť a ukradnúť. EAP je postavený na bezpečnejšom systéme šifrovania verejného kľúča, aby sa zaistilo, že k sieti budú mať prístup iba autorizovaní používatelia siete.

WPA-PSK / WPA2-PSK používa prístupovú frázu alebo kľúč na overenie vášho bezdrôtového pripojenia. Tento kľúč je alfanumerické heslo s dĺžkou 8 až 63 znakov. Heslo môže obsahovať znaky (!? * & _) a medzery. Tento kľúč musí byť presne ten istý kľúč zadaný na vašom bezdrôtovom smerovači alebo prístupovom bode.

WPA / WPA2 umožňuje autentifikáciu používateľa cez EAP... EAP je postavený na bezpečnejšom systéme šifrovania verejného kľúča, aby sa zaistilo, že k sieti budú mať prístup iba autorizovaní používatelia siete.

Sprievodca nastavením bezdrôtového pripojenia

Ak chcete spustiť sprievodcu zabezpečením, otvorte ráno Nastaviť a potom stlačte tlačidlo Sprievodca nastavením bezdrôtovej siete .

Automatické priradenie sieťového kľúča

Po zobrazení tejto obrazovky je inštalácia dokončená. Zobrazí sa vám podrobná správa o nastaveniach zabezpečenia siete.
Kliknite Uložiť , pokračovať.

Manuálne priradenie sieťového kľúča

Vyberte heslo zabezpečenia bezdrôtovej siete. musí mať presne 5 alebo 13 znakov. Môže mať tiež presne 10 alebo 26 znakov pomocou 0-9 a A-F.
Pokračujte kliknutím.

Inštalácia dokončená. Poskytne sa vám podrobná správa o vašich nastaveniach zabezpečenia bezdrôtovej siete. Kliknite Uložiť dokončiť Master Security.

Pridajte bezdrôtové zariadenie pomocou sprievodcu WPS

PBC: Túto možnosť vyberte, ak chcete použiť metódu PBC pridať bezdrôtového klienta. Kliknite Pripojte sa .

Konfigurácia WPA-Personal (PSK).

Pred povolením adaptérov bezdrôtovej siete sa odporúča povoliť šifrovanie na bezdrôtovom smerovači. Pred povolením šifrovania nastavte bezdrôtové pripojenie. Váš bezdrôtový signál sa môže zhoršiť, keď povolíte šifrovanie kvôli dodatočnej réžii.

WPA-Enterprise Configuration (RADIUS)

Pred povolením adaptérov bezdrôtovej siete sa odporúča povoliť šifrovanie na bezdrôtovom smerovači. Pred povolením šifrovania nastavte bezdrôtové pripojenie. Váš bezdrôtový signál sa môže zhoršiť, keď povolíte šifrovanie kvôli dodatočnej réžii.

1. Prihláste sa do Web Based Configuration Utility otvorením okna webového prehliadača a zadaním IP adresy smerovača (192.168.0.1). Kliknite Nastaviť , a potom Bezdrôtové nastavenia Z ľavej strany.
2. Ďalej v Bezpečnostný režim , vyberte WPA-Enterprise.
   Komentujte: Zakázať

WPA2-Enterprise. Ako vytvoriť zabezpečenú sieť Wi-Fi

Problém ochrany firemných dát je každým rokom naliehavejší. Cez bezdrôtové siete sa prenáša čoraz viac kritických údajov a informačná bezpečnosť (IS) čoraz viac závisí od kvalifikácie IT profesionálov.

V roku 2015 sa hackerom po prvý raz v Rusku podarilo spáchať tri veľké krádeže za rekordných 721 miliónov rubľov. Na prvý pohľad dobre chránené finančné inštitúcie utrpeli. Tieto prelomové udalosti sa odohrali na pozadí nepriaznivej ekonomickej situácie, ktorá sťažuje investície do informačnej bezpečnosti.

Wi-Fi - história úspechu hackerov

Pôvodne bol štandard Wi-Fi 802.11 založený na autentifikačnom režime WEP so šifrovacím algoritmom RC4, ktorý používa bežný statický alebo dynamický kľúč s dĺžkou 64 alebo 128 bitov. WEP bol prvýkrát napadnutý v roku 2000. Počítač s procesorom Pentium 4, ktorý bol v tých rokoch populárny, trval dešifrovanie asi 1 hodinu. Využitie zdrojov moderných cloud serverov a dostupného mobilného internetu cez 3G/LTE vám umožní prelomiť ochranu v priebehu niekoľkých sekúnd.

Fotografia 1: Typy sietí v závislosti od sily šifrovania

V roku 2003 sa objavilo WPA s algoritmom TKIP, ktorý generuje kľúč pre každý paket. Dnes je možné WPA-TKIP s trochou šťastia prelomiť v priebehu niekoľkých hodín. Napríklad v lete 2015 sa belgickým výskumníkom podarilo zachytiť šifrované súbory cookie a získať prístup k počítaču za hodinu.

Od roku 2006 je povinným štandardom pre zariadenia Wi-Fi podpora pokročilejšieho šifrovacieho algoritmu WPA2 AES. Je spoľahlivejší, takže nemá zmysel používať predchádzajúce algoritmy. Avšak, podobne ako TKIP, aj tento algoritmus môže byť hacknutý „head-on“ hľadaním hesiel hrubou silou pomocou slovníka. Špeciálny softvér využíva masívny DDoS útok na deaktiváciu prístupového bodu. Ďalej emuluje činnosť bodu s rovnakým SSID. Po pokuse o autorizáciu „obete“ v takomto bode hacker získa hashovaciu funkciu kľúča PMK-R0. Ďalším krokom je spustenie procesu hádania hesla. Jednoduché heslá sú hrubo vynútené za pár hodín, kým uhádnutie zložitých hesiel môže trvať týždne alebo dokonca mesiace.

Dodatočné ochranné opatrenia

Niekedy sa na zabezpečenie dodatočnej ochrany siete používa filtrovanie MAC adries (jedinečné číslo pre každú aktívnu jednotku v sieti). Pri filtrovaní sa k sieti môžu pripojiť iba zariadenia, ktorých MAC adresy správca zadal do dôveryhodnej tabuľky na smerovači alebo prístupovom bode. Teoreticky sa týmto spôsobom dá zabrániť neoprávneným pripojeniam. V praxi sa ale filtrovanie MAC adries rýchlo rozpadne, napríklad pomocou „hrubej sily“ (brute force), teda zoskenovaním MAC adresy pripojeného klienta a následným „drzým“ útokom nazývaným deautentifikácia a spojenie vášho zariadenia so zmeneným Mac adresa.

Filtrovanie MAC adries teda nie je seriózne zabezpečenie, ale spôsobuje veľa nepríjemností. Predovšetkým musíte manuálne pridať každé nové zariadenie do dôveryhodnej tabuľky.

Režim skrytého SSID Je populárny spôsob, ako ďalej chrániť vašu Wi-Fi sieť. Každá sieť má svoje jedinečné SSID (názov siete). V režime skrytých identifikátorov klientske zariadenia nevidia sieť v zozname dostupných. V režime Hide SSID sa k sieti pripojíte len vtedy, ak s istotou poznáte jej identifikátor a existuje pripravený profil pripojenia.

Nájdenie skrytej siete je pomerne jednoduché s nástrojmi, ako je Kismet. Samotné napojenie na skrytú sieť dáva hackerovi jej existenciu a identifikátor. Scenár hackovania je navyše rovnaký ako v konvenčných sieťach Wi-Fi. Ako vidíte, Hide SSID tiež nie je spoľahlivým spôsobom ochrany, ale tiež spôsobuje problémy. Najprv musíte manuálne pripojiť nové zariadenia. Okrem toho štandardy Wi-Fi pôvodne poskytovali otvorené vysielanie SSID, takže väčšina zariadení bude mať problémy s automatickým pripojením k Hide SSID. Vo všeobecnosti je používanie Hide SSID nepraktické.

Rozdiely medzi osobnými (PSK) a firemnými (Enterprise)

Je potrebné rozlišovať medzi rôznymi prístupmi k poskytovaniu osobných a firemných sietí. Doma a v malých kanceláriách sa zvyčajne používa PSK (Pre-Shared Key) – heslo s 8 a viac znakmi. Toto heslo je rovnaké pre všetkých a je často príliš jednoduché, preto je náchylné na hrubú silu alebo úniky (prepustenie zamestnanca, chýbajúci notebook, neúmyselne na očiach nalepená nálepka s heslom a pod.). Ani najnovšie šifrovacie algoritmy pri používaní PSK nezaručujú spoľahlivú ochranu, a preto sa nepoužívajú v serióznych sieťach. Firemné riešenia používajú na autentifikáciu dynamický kľúč, ktorý mení každú reláciu pre každého používateľa. Kľúč možno pravidelne aktualizovať počas relácie pomocou autorizačného servera — zvyčajne servera RADIUS.

WPA2-Enterprise + 802.1X a bezpečnostné certifikácie – najsilnejšie zabezpečenie

Firemné siete so šifrovaním WPA2-Enterprise sa spoliehajú na overenie 802.1x prostredníctvom servera RADIUS. Protokol 802.1x (EAPOL) definuje metódy odosielania a prijímania požiadaviek na autentifikačné údaje a je zvyčajne zabudovaný do operačných systémov a špeciálnych softvérových balíkov.

802.1x preberá v sieti tri úlohy:

• klient (suplikant) - klientske zariadenie, ktoré potrebuje prístup do siete;
• autentifikačný server (zvyčajne RADIUS);
• autentifikátor - router/prepínač, ktorý pripája viacero klientskych zariadení k autentifikačnému serveru a odpája/pripája klientske zariadenia.

Fotografia 3: Schéma prevádzky WPA2-Enterprise 802.1x

Existuje niekoľko prevádzkových režimov pre 802.1x, ale najbežnejší a najspoľahlivejší je nasledujúci:

• Autentifikátor odošle požiadavku EAP na klientske zariadenie hneď, ako zistí aktívne pripojenie.
• Klient odošle EAP odpoveď – paket identity. Autentifikátor pošle tento paket na autentifikačný server (RADIUS).
• RADIUS skontroluje paket a prístupové práva klientskeho zariadenia v porovnaní s databázou používateľov alebo inými kritériami a potom odošle povolenie alebo zamietnutie pripojenia k autentifikátoru. Autentifikátor teda povolí alebo zakáže prístup do siete.

Fotografia 2: Interné protokoly EAP (metódy)

Použitie servera RADIUS vám umožňuje opustiť PSK a vygenerovať individuálne kľúče, ktoré sú platné len pre konkrétnu reláciu pripojenia. Jednoducho povedané, šifrovacie kľúče nie je možné získať z klientskeho zariadenia. Ochrana pred zachytením paketov je zabezpečená šifrovaním pomocou rôznych interných protokolov EAP, z ktorých každý má svoje vlastné charakteristiky. Protokol EAP-FAST vám umožňuje prihlásiť sa pomocou prihlasovacieho mena a hesla a PEAP-GTC - pomocou špeciálneho tokenu (prístupová karta, karty s jednorazovými heslami, flash disky atď.). PEAP-MSCHAPv2 a EAP-TLS autorizujú pomocou klientskych certifikátov.

Iba certifikáty WPA2-Enterprise a digitálne bezpečnostné certifikáty v kombinácii s EAP-TLS alebo EAP-TTLS poskytujú maximálnu ochranu Wi-Fi. Certifikát je vopred vygenerovaný súbor na serveri RADIUS a klientskom zariadení. Klient a autentifikačný server tieto súbory vzájomne kontrolujú, čím je zaručená ochrana pred neoprávneným pripojením cudzích zariadení a falošnými prístupovými bodmi. EAP-TTL / TTLS je súčasťou štandardu 802.1X a využíva infraštruktúru verejných kľúčov (PKI) na komunikáciu medzi klientom a RADIUS. PKI na autorizáciu používa súkromný kľúč (používateľ pozná) a verejný kľúč (uložený v certifikáte, potenciálne známy každému). Kombinácia týchto kľúčov poskytuje silnú autentifikáciu.

Digitálne certifikáty musia byť vykonané pre každé bezdrôtové zariadenie. Ide o časovo náročný proces, a preto sa certifikáty zvyčajne používajú iba v sieťach Wi-Fi, ktoré vyžadujú maximálnu bezpečnosť. Zároveň môžete certifikát jednoducho zrušiť a klienta zablokovať.

Dnes WPA2-Enterprise v kombinácii s bezpečnostnými certifikáciami poskytuje silnú ochranu pre podnikové Wi-Fi siete. Ak je správne nakonfigurovaný a používaný, je takmer nemožné prelomiť takúto ochranu „z ulice“, teda bez fyzického prístupu k autorizovaným klientskym zariadeniam. Správcovia siete však niekedy robia chyby, ktoré zanechávajú medzery pre narušiteľov, aby prenikli do siete. Problém je znásobený dostupnosťou hackerského softvéru a podrobných pokynov, ktoré môžu použiť aj amatéri.

Hackovací softvér je dostupný pre každého

WPA2-Enterprise s overením prihlasovacieho mena a hesla bez použitia certifikátov je možné hacknúť pomocou hackerskej distribúcie Kali Linux a Wi-Fi karty v režime prístupového bodu. Podstatou hacku je vytvoriť falošný prístupový bod so serverom RADIUS na príjem paketov EAP a bezpečné prihlásenie do siete. Vytvorenie falošného bodu nie je dnes problém s nástrojmi, ako je Mana Toolkit zabudovaný do Kali.

Foto 4: Útočníci zvyčajne používajú smartfón s pripojenou kartou a mobilnú verziu Kali NetHunter

Pomocou falošného prístupového bodu MANA získa hacker hash hesiel a používateľské mená siete a potom heslá hrubou silou na výkonnom počítači. To sa deje dostatočne rýchlo vďaka veľkému výpočtovému výkonu moderných procesorov. Okrem toho existujú algoritmy pre heslá hrubou silou pomocou grafických kariet GPU, ktoré zrýchľujú proces až na niekoľko hodín.

Výsledkom je, že hacker získa prístup k účtom, aby sa mohol prihlásiť do podnikovej siete Wi-Fi alebo VPN.

Na predchádzanie takýmto útokom je potrebné používať bezpečnostné certifikáty na všetkých mobilných a stacionárnych zariadeniach, ktoré majú prístup do siete. Neodporúča sa tiež používať certifikáty s vlastným podpisom, teda tie, ktoré vytvoril správca siete. Faktom je, že pri pripájaní nových zariadení môžu dôveryhodní používatelia vidieť správy o potenciálnej neistote certifikátov s vlastným podpisom. Používateľ, ktorý je na takéto správy zvyknutý, nemusí venovať pozornosť správe, ktorá sa objaví pri pripojení k falošnému prístupovému bodu. Pre maximálnu ochranu je lepšie používať certifikáty od oficiálnych dodávateľov.

"Muž uprostred" - hlavná hrozba

Hackerský útok Man in the Middle (MITM) je najvážnejšou hrozbou pre dobre fungujúci WPA2-Enterprise s bezpečnostnými certifikátmi.

Fotografia 5: Podstata útoku typu man-in-the-middle: hacker premení priame zabezpečené spojenie na dve rôzne s hackerským klientom uprostred

Schéma je veľmi jednoduchá: na žiadosť o verejný kľúč neodpovedá dôveryhodný používateľ, ale sprostredkovateľ, ktorý sa vydáva za dôveryhodného používateľa. Počítač útočníka funguje ako PROXY server. Výsledkom je výmena dôverných informácií a útočník môže zachytiť, nahradiť, vymazať alebo upraviť dátové pakety.

Podobná schéma na zavedenie do dôvernej komunikácie bola vynájdená ešte pred internetom - v časoch papierových listov, keď sa pôvodné listy na ceste nahrádzali falošnými.

K prieniku do siete dochádza prostredníctvom už autorizovaného účtu, to znamená, že vyžaduje počiatočné hacknutie siete Wi-Fi. Inými slovami, pre úspešný útok musí hacker nájsť slabé miesto v sieti WPA2-Enterprise. Zvyčajne ide o nečestný útok na prístupový bod popísaný vyššie alebo o autorizované zariadenie bez nainštalovaných bezpečnostných certifikátov. Útok HTTPS je ešte jednoduchší: prehliadač vytvorí spojenie SSL chránené certifikátom so sprostredkovateľom a útočník vytvorí ďalšie spojenie SSL s webovým serverom. Prehliadač varuje používateľa, že certifikát SSL nie je bezpečný, ale toto upozornenie je často ignorované.

Takéto útoky sú nebezpečné najmä pre finančné systémy, ktoré vykonávajú platby prostredníctvom online platobných systémov. Hacker môže infikovať e-maily, webové stránky, DBMS škodlivým kódom, získať prístup k internetovému bankovníctvu, účtom na sociálnych sieťach, webom CMS atď.

Sprostredkovateľská ochrana

Útok MITM nie je absolútnou zbraňou hackera. Ak sú splnené všetky požiadavky na informačnú bezpečnosť, zavedenie sprostredkovateľa je nemožné.

V prvom rade, pre skrytý útok musí sprostredkovateľ zachytiť všetky správy medzi klientom a serverom, to znamená byť nepretržite v oblasti pokrytia podnikovej siete Wi-Fi.

Preto je pri nasadzovaní bezdrôtovej siete dôležité osloviť špecialistov a navrhnúť ju s minimálnym pokrytím mimo budovy (objednajte si rádiové plánovanie - http: // web / pred_obsledovanie /). Existujú aj jemné zraniteľnosti. Používateľ si môže napríklad do kancelárie priniesť bezdrôtovú klávesnicu (pre smartfóny, PC), čím vzniká riziko vzdialeného odpočúvania prihlasovacieho mena a hesla. Aby sa predišlo takýmto prípadom, mali by sa používať iba káblové klávesnice alebo špeciálne bezdrôtové klávesnice so zabudovaným šifrovaním AES. Potom je použitie keyloggerov nemožné.

Zamestnanci tiež potrebujú vedieť, čo sú nezabezpečené certifikáty, aby sa nestali obeťou pripojenia k falošnému prístupovému bodu. Klientske a serverové SSL certifikáty musia byť overené vzájomne dôveryhodnou CA, aby sa predišlo útokom zmocnenia sa účtu cez HTTPs na stránkach vrátane online bankovníctva organizácie.

Osobitné miesto v prevencii MITM zastáva odmietnutie používania filtrovania ssl-bump. Často sa používa v kanceláriách na odmietnutie prístupu na určité stránky (sociálne siete, zábavné zdroje atď.). V zabezpečenom spojení je prevádzka šifrovaná na strane odosielateľa a príjemcu a pri použití ssl-bump filtrovania je šifrovaná v bráne. To znamená, že filtrovanie ssl-bump je samo osebe útokom MITM cez HTTPs. V prvom rade to vyvoláva právne otázky o skrytom prístupe správcu siete k osobným údajom zamestnancov, napríklad účtom na sociálnych sieťach alebo internet bankingu. Ale čo je najdôležitejšie, ssl-bump "otvára bránu" pre hackera, ktorý potrebuje iba prevziať bránu. V skutočnosti správca sám vykonáva všetky prípravné operácie na útok na jeho sieť.

Záver: Preto je na prvom mieste školenie špecialistov a efektívne využívanie existujúcich technológií ochrany údajov. Napríklad šifrovanie WPA2-Enterprise sa môže stať nepreniknuteľnou bariérou pre útočníkov, ak viete, ako ho správne zorganizovať. Zverte problematiku informačnej bezpečnosti profesionálom!

Potrebujem konzultáciu. Kontaktujte ma.