yüksek hız kablolu internet giderek daha erişilebilir hale geliyor. Ve geliştirme ile birlikte mobil Teknoloji kullanma sorunu ev interneti her cihazda. Bu amaca bir Wi-Fi yönlendirici tarafından hizmet edilir, amacı dağıtmaktır. kablosuz bağlantı Farklı kullanıcılar arasında internet.

Ağınızın güvenliğine özel dikkat gösterilmelidir.

Satın alırken ilk açtığınızda kurmanız yeterlidir. Yönlendirici, yapılandırma yardımcı programı içeren bir CD ile birlikte gelir. Ev ağınızı kurmayı çok kolaylaştırır. Ama yine de, deneyimsiz kullanıcılar genellikle ağ güvenliği ayarları aşamasında sorunlar vardır. Sistem sizden bir kimlik doğrulama yöntemi seçmenizi ister ve aralarından seçim yapabileceğiniz en az dört seçenek vardır. Her birinin belirli avantajları ve dezavantajları vardır ve kendinizi davetsiz misafirlerin eylemlerinden korumak istiyorsanız, en güvenilir seçeneği seçmelisiniz. Bu bizim makalemiz.

Kimlik Doğrulama Yöntemleri

Çoğu ev yönlendirici modeli aşağıdaki ağ kimlik doğrulama yöntemlerini destekler: şifreleme yok, WEP, WPA/WPA2-Kuruluş, WPA/WPA2-Kişisel (WPA/WPA2-PSK). Son üçü ayrıca birkaç şifreleme algoritmasına sahiptir. Hadi daha yakından bakalım.

Koruma eksikliği

Bu yöntem kendisi için konuşur. Bağlantı tamamen açıktır, kesinlikle herkes ona bağlanabilir. Tipik olarak, bu yöntem şu durumlarda kullanılır: halka açık yerlerde, ancak evde kullanmamak daha iyidir. Bunun sizi en az tehdit ettiği şey, bağlandığınız zaman komşuların kanalınızı işgal etmesi ve sizin kanalınızı alamamanızdır. en yüksek hız senin göre tarife planı. AT En kötü durumda saldırganlar bunu kendi amaçları için kullanabilir, gizli bilgilerinizi çalabilir veya başka yasa dışı eylemler gerçekleştirebilir. Ancak şifreyi hatırlamanıza gerek yok, ancak bunun oldukça şüpheli bir avantaj olduğunu kabul etmelisiniz.

WEP

Bu ağ kimlik doğrulama yöntemini kullanırken iletilen bilgi gizli anahtar ile korunmaktadır. Koruma türü sistemi aç" ve " Paylaşılan anahtar". İlk durumda, ek bir anahtar kullanmadan MAC adresine göre filtreleme nedeniyle tanımlama gerçekleşir. Koruma aslında en minimal olanıdır, bu nedenle güvensizdir. İkincisinde, gelmelisin gizli kod Güvenlik anahtarı olarak kullanılacaktır. 152 bitten 64, 128 olabilir. Sistem, kodlamasına bağlı olarak - onaltılık veya ASCII - kodun ne kadar uzun olması gerektiğini size söyleyecektir. Bu kodlardan birkaçını ayarlayabilirsiniz. Korumanın güvenilirliği görecelidir ve uzun süredir modası geçmiş olarak kabul edilmektedir.

WPA/WPA2-Kurumsal ve WPA/WPA2-Kişisel

İlki işletmelerde, ikincisi - evde ve evde kullanılan çok güçlü bir ağ kimlik doğrulama yöntemi küçük ofisler. Aralarındaki fark, içinde ev versiyonu erişim noktasında yapılandırılan kalıcı bir anahtar kullanılır. Bağlantının şifreleme algoritması ve SSID'si ile birlikte güvenli bir bağlantı oluşturur. Böyle bir ağa erişmek için şifreyi bilmeniz gerekir. Bu nedenle, bir daire veya ev için güvenilirse ve bunu kimseye ifşa etmiyorsanız, bu ideal bir seçenektir. Ayrıca, hemen hemen tüm üreticiler bunu önerildiği gibi işaretler.

İkinci durumda, bir dinamik anahtar kullanılır ve her kullanıcıya ayrı bir anahtar atanır. Evde bununla uğraşmanın bir anlamı yok, bu yüzden sadece kurumsal verilerin güvenliğinin çok önemli olduğu büyük işletmelerde kullanılıyor.

Ek güvenlik ayrıca şifreleme algoritmasına da bağlıdır. İki tane var: AES ve TKIP. Bunlardan birincisini kullanmak daha iyidir, çünkü ikincisi WEP'in bir türevidir ve etkisiz olduğu kanıtlanmıştır.

Wi-Fi kimlik doğrulama yöntemi nasıl değiştirilir

Bağlantı kimlik doğrulamanızı daha önce yapılandırdıysanız ancak hangisi olduğundan emin değilseniz doğru yöntemşimdi kontrol ettiğinizden emin olun. Tarayıcıya IP adresini, kullanıcı adını ve şifresini girerek yönlendirici ayarlarına gidin (daha fazla ayrıntı web sitemizdeki yönlendiricinin IP adresi makalesinde bulunabilir). Ağ güvenliği ayarları sekmesine gitmeniz gerekiyor. AT farklı modeller yönlendirici, farklı şekillerde bulunabilir. Ardından ağ kimlik doğrulama yöntemini seçin, güçlü şifre, Kaydet'e tıklayın ve yönlendiricinizi yeniden başlatın. Tüm cihazlardan yeni bir ağa yeniden bağlanmayı unutmayın.

Çözüm

Umarız bu bilgiler sizin için faydalı olmuştur. Wi-Fi güvenlik ayarlarını ihmal etmeyin. Açık bırakmayın, önerilen kimlik doğrulama yöntemini seçin ve doğru algoritmaşifreleme.

Hangi bağlantı güvenliği yöntemini kullanıyorsunuz? Yorumlarda bizimle paylaşın.

WPA şifrelemesi, güvenli WiFi ağları. Genel olarak, WPA, Wi-Fi Korumalı Erişim, yani korumalı anlamına gelir.

Çoğunluk sistem yöneticileri Bu protokolü nasıl yapılandıracağınızı bilin ve onun hakkında çok şey bilin.

Ama aynı zamanda sıradan insanlar WPA'nın ne olduğu, nasıl kurulacağı ve nasıl kullanılacağı hakkında oldukça fazla şey öğrenebilir.

Doğru, İnternette bu konuda hiçbir şey anlamanın imkansız olduğu birçok makale bulabilirsiniz. Bu yüzden bugün konuşacağız sade dil zor şeyler hakkında.

biraz teori

Dolayısıyla, WPA bir protokol, bir teknoloji, iletim sırasında kullanılan bir dizi sertifikayı içeren bir programdır.

Basitçe söylemek gerekirse, bu teknoloji çeşitli metodlar için kablosuz koruma ağlar.

Olabilir elektronik anahtar, aynı zamanda bu ağı kullanma hakkının özel bir sertifikasıdır (bundan daha sonra bahsedeceğiz).

Genel olarak, sadece ağı kullanma hakkına sahip olanlar bu program ile ağı kullanabilecekler ve bilmeniz gereken tek şey bu.

Referans için: Kimlik doğrulama, bir kişinin kimliğini ve ağa erişim hakkını, kendisi tarafından bildirilen verileri ve beklenen verileri karşılaştırarak belirlemenize izin veren bir koruma aracıdır.

Örneğin, bir kişinin kimliği, . Sadece bir kullanıcı adı ve şifre girerse, bu sadece yetkilendirmedir.

Ancak parmak izi, bu kişinin gerçekten içeri girip girmediğini ve birinin verilerini alıp onların yardımıyla girmediğini kontrol etmenizi sağlar.

Pirinç. 1. Akıllı telefonda parmak izi tarayıcı

Ayrıca şemada bir WLC var - bir kablosuz denetleyici yerel ağ. Sağda kimlik doğrulama sunucusu var.

Bütün bunlar normal bir Anahtar (çeşitli anahtarları basitçe bağlayan bir cihaz) ile bağlanır. ağ cihazları). Anahtar, denetleyiciden kimlik doğrulama sunucusuna gönderilir ve orada saklanır.

İstemci, ağa bağlanmaya çalışırken, bildiği bir anahtarı LAP'ye göndermelidir. Bu anahtar, kimlik doğrulama sunucusuna gider ve bununla karşılaştırılır. doğru anahtar.

Anahtarlar eşleşirse, sinyal istemciye serbestçe yayılır.

Pirinç. 2. Yaklaşık şema Cisco Pocket Tracer'da WPA

WPA'nın Bileşenleri

Yukarıda söylediğimiz gibi, WPA, sinyal iletimini her başlatmaya çalıştığınızda, yani Wi-Fi'yi açmaya çalıştığınızda üretilen ve arada bir değişen özel anahtarlar kullanır.

WPA, aynı anda bu anahtarların oluşturulmasına ve iletilmesine yardımcı olan birkaç teknoloji içerir.

Aşağıdaki şekil gösterir Genel formül, dikkate alınan teknolojinin tüm bileşenlerini içerir.

Pirinç. 3. WPA içerikli formül

Şimdi bu bileşenlerin her birine ayrı ayrı bakalım:

• 1X, daha fazla kimlik doğrulamanın gerçekleştiği çok benzersiz anahtarı oluşturmak için kullanılan standarttır.
• EAP, Genişletilebilir Kimlik Doğrulama Protokolü olarak adlandırılır. Anahtarların iletildiği mesajların formatından sorumludur.
• TKIP, anahtar boyutunun 128 bayta genişletilmesine izin veren bir protokoldür (önceden WEP'te yalnızca 40 bayttı).
• MIC, mesajları kontrol etmek için bir mekanizmadır (özellikle bütünlük açısından kontrol edilirler). Mesajlar kriterlere uygun değilse geri gönderilir.

Şimdi, yukarıdakilerin tümüne ek olarak CCMP kullanan ve zaten WPA2 olduğunu söylemeye değer. AES şifrelemesi.

Şimdi ne olduğu hakkında konuşmayacağız, ancak WPA2, WPA'dan daha güvenlidir. Gerçekten bilmeniz gereken tek şey bu.

Baştan bir kez daha

Yani sahipsin. Ağ, WPA teknolojisini kullanır.

Wi-Fi'ye bağlanmak için her cihazın bir kullanıcı sertifikası veya daha basit olarak kimlik doğrulama sunucusu tarafından verilen özel bir anahtar sağlaması gerekir.

Ancak o zaman ağı kullanabilecektir. Bu kadar!

Artık WPA'nın ne olduğunu biliyorsunuz. Şimdi bu teknolojinin neyin iyi neyin kötü olduğundan bahsedelim.

WPA şifrelemenin avantajları ve dezavantajları

Bu teknolojinin avantajları aşağıdakileri içerecektir:

1. Gelişmiş veri iletim güvenliği (öncülü WPA olan WEP'e kıyasla).
2. Daha sıkı Wi-Fi erişim kontrolü.
3. İle uyumlu büyük miktar düzenlemek için kullanılan cihazlar Kablosuz ağ.
4. Merkezi Yönetim güvenlik. Bu durumda merkez, kimlik doğrulama sunucusudur. Bu nedenle, saldırganlar gizli verilere erişemez.
5. İşletmeler kendi güvenlik politikalarını kullanabilirler.
6. Kurulum kolaylığı ve daha fazla kullanım.

Tabii ki, bu teknolojinin dezavantajları da var ve çoğu zaman çok önemli oldukları ortaya çıkıyor. Özellikle, Konuşuyoruz işte ne:

1. TKIP anahtarı maksimum 15 dakika içinde kırılabilir. Bu, 2008 yılında bir grup uzman tarafından PacSec konferansında ifade edilmiştir.
2. 2009 yılında, Hiroşima Üniversitesi'nden uzmanlar, WPA kullanarak herhangi bir ağı bir dakika içinde kırmak için bir yöntem geliştirdi.
3. Hole196 adlı güvenlik açığının yardımıyla, WPA2'yi kimlik doğrulama sunucusunun gerektirdiği anahtarla değil, kendi anahtarınızla kullanabilirsiniz.
4. Çoğu durumda, herhangi bir WPA, hepsinin basit bir numaralandırması kullanılarak kırılabilir. seçenekler(kaba kuvvet) ve sözde sözlük saldırısı kullanma. İkinci durumda, seçenekler kaotik bir düzende değil, sözlüğe göre kullanılır.

Elbette tüm bu zafiyetlerden ve sorunlardan yararlanmak için yapı alanında özel bilgi birikimine sahip olmanız gerekiyor. bilgisayar ağları.

Çoğu sıradan kullanıcı için tüm bunlar mevcut değildir. Bu nedenle, birinin Wi-Fi'nize erişmesi konusunda çok fazla endişelenmenize gerek yok.

Pirinç. 4. Kraker ve bilgisayar

Herkese selam!

Ziyaretçilerin sitede bıraktığı birkaç yorumu inceledim, istekleri kontrol ettim ve Wi-Fi'ye bağlanma konusunda henüz yazmadığım çok yaygın bir sorun olduğunu fark ettim. Ancak sitede bu sorunu çözmek için yardım isteyen çok sayıda yorum yapıldı. Orada bir şey tavsiye ettim ama tavsiyemin sana yardım edip etmediğini bilmiyorum (nadiren biri sonuçlar hakkında yazacaktır 🙁).

Ve dün, Roma (Teşekkür ederim nazik adam 🙂) sorunu nasıl çözdüğüne dair bilgi paylaştığı makaleye yorum yaptı "Kaydedildi, WPA\WPA2 güvenliği". Bu yorum sorunu çözmeme biraz yardımcı oldu ve bu hatayı çözmek için tüm ipuçlarını tek bir makalede toplamaya karar verdim.

Sorunun özü

Bir telefon veya tablet bağlarken (büyük olasılıkla Android'de), ile ev ağı veya bir kafede bir yerde, ağın adının yanında bir yazıt görünür "Kaydedildi, WPA\WPA2 güvenliği". Ve giderek daha fazla hiçbir şey olmuyor. Bu ağa tıklayıp seçerseniz Prize takmaya, o zaman hiçbir şey olmayacak. Yukarıdaki ekran görüntüsünde bu hatanın nasıl göründüğünü görebilirsiniz.

Asus RT-N13U Wi-Fi yönlendiricimde bu sorunu özellikle kışkırttım ve bağlanmaya çalıştım htc telefon Bir V (Android 4.0) . Bu yüzden "Kaydedildi, WPA\WPA2 koruması" yazısını aldım. Ve ilk seferinde her şey yolunda gitti. Nasıl? Evet, çok basit. Yönlendirici ayarlarımda, “Kablosuz Ağ Modu” Otomatik olarak ayarlandı ve ben onu Yalnızca n olarak ayarladım. Ayarları kaydettim, telefonun Wi-Fi bağlantısını kestim ama artık çalışmadı 🙂 .

"Kaydedildi, WPA\WPA2 Korumalı" Hatasının Ana Nedenleri

Arkadaşlar kesin olarak her şeyi söyleyemem ve yüzde yüz işe yarayacak tavsiyeler veremem umarım anlamışsınızdır. Tüm cihazlar farklıdır, ayarlar herkes için farklıdır ve daha birçok nüans vardır.

Ancak, kablosuz bir ağa bağlanma ile ilgili böyle bir sorunun ortaya çıkabileceği, bana bilinen nedenleri ve bunları çözmenin yollarını toplamaya çalışacağım.

Bir kablosuz ağa bağlanırken telefonunuzda “Kayıtlı, WPA \ WPA2 koruması” yazısını gördüyseniz (biraz farklı olabilir), o zaman bu ayarları kontrol etmelisiniz (Aynı sırayla kontrol etmenizi tavsiye ederim):

Başlamak için yönlendiricinizi yeniden başlatmanız yeterlidir.

Böyle bir sorunu birkaç kez fark ettim: Telefondaki İnternet çalışmayı durduruyor, ancak bir bağlantı var ve ağ iyi. Telefonda Wi-Fi'yi kapatıp açıyorum ama artık ağa bağlanmıyor, “Kayıtlı, WPA2 koruması” diyor. Yalnızca yönlendiriciyi yeniden başlatmak yardımcı olur.

1. ortaya çıkarmak doğru bölge yönlendirici ayarlarında
2. Wi-Fi şifresinin doğru olup olmadığını kontrol edin
3. Yönlendirici ayarlarında kablosuz ağ çalışma modunu kontrol edin (değiştirin)
4. Şifreleme türünü ve güvenlik türünü kontrol edin (değiştirin), yönlendirici ayarlarında parolayı değiştirin
5. Kablosuz ağınızın çalıştığı kanalı değiştirmeyi deneyin.
6. Kanal genişliğini değiştirmeyi deneyin.

Ve şimdi tüm noktalarda daha ayrıntılı olarak

Yönlendirici ayarlarında doğru bölgeyi belirledik

Çok sık olarak, bu hata tam olarak yanlış bölge Wi-Fi ayarlarında olduğu için oluşur.

ben varım Tp-Link örneği Size bölgeyi nasıl değiştireceğinizi göstereceğim. Başka bir şirketten bir yönlendiriciniz varsa, bu ayarlar büyük olasılıkla kablosuz ağın adının ve diğer ayarlarının ayarlandığı sayfada değiştirilir.

Kontrol panelinde sekmeye gidin Kablosuz (Kablosuz modu) ve zıt nokta bölge bulunduğunuz ülkeyi belirtin.

Düğmeye tıklayarak ayarları kaydedin Kaydetmek(Kaydetmek) .

Şifrenizi kontrol edin ve yeniden bağlanın

Belki de şifreyi yanlış girdin (doğru, o zaman büyük olasılıkla gidecek kalıcı bağlantı, yuvarlak. Ama kontrol etmeniz gerekiyor), ve yönlendirici ayarlarına girmeden önce kontrol etmenizi tavsiye ederim.

Şifre isteği gözükmüyor diye şifreyi tekrar nasıl tutabilirim diye soruyorsunuz. Bağlantıyı kaldırmanız gerekiyor. Sadece ağınıza tıklayın ve seçin Silmek.

Şimdi ağınıza tekrar tıklayın ve Wi-Fi şifrenizi girin. Sadece doğru olduğundan emin ol. Unuttuysanız, yönlendirici ayarlarındaki veya bağlı bilgisayardaki şifreye bakın. (varsa). Makalede daha fazlasını okuyun.

Kablosuz ağ modunun kontrol edilmesi

Bana öyle geliyor ki bu Temel sebep. Sadece senin cihazın (telefon, tablet) yönlendiricinin çalıştığı çalışma modunu desteklemeyebilir.

çalışma modu anlaşılmaz harfler s/g/n, muhtemelen yönlendirici ayarlarında zaten fark etmişsinizdir. Mod değiştirmeyi denemeyi deneyin. Her değişiklikten sonra yönlendiriciyi yeniden başlatmayı ve telefonunuzda (tablet) Wi-Fi'yi kapatıp açmayı unutmayın.

İşte buradayım, Otomatik yerine Yalnızca n'yi ayarlayın ve bir hata ortaya çıktı. Ve örneğin, ayarlarınızda zaten n Only? İşte sorunlarınız.

Şifreleme / güvenlik türünü, şifreyi değiştirin

Cihazınız yönlendiricinin kullandığı güvenlik veya şifreleme türünü sevmiyor olabilir. Ya da şifreyi beğenmedim.

Bu değerleri ayarlamanızı öneririm:

WPA/WPA2 - Kişisel (Önerilen)

Sürüm: WPA-PSK

Şifreleme: AES

PSK Şifresi (anahtar) - en az sekiz karakter ve sadece rakamlar.

Kaydediyoruz, yönlendiriciyi yeniden başlatıyoruz, telefondaki bağlantıyı siliyoruz ve yeni bir şifre girerek bağlanıyoruz.

Dikkat! Şifreyi veya diğer güvenlik ayarlarını değiştirdikten sonra, bu ağa zaten bağlı olan diğer cihazları bağlarken sorunlar olabilir. (bilgisayarlar, dizüstü bilgisayarlar, televizyonlar).

Wi-Fi ağının çalıştığı kanalla denemeler yapmak

Mümkün değil elbette, ama olabilir. Bir kablosuz ağ kanalının ne olduğu, nasıl değiştirileceği ve neden hakkında bir makalede yazdım -.

Denemeyi deneyin ve yardımcı olup olmadığına bakın.

Kanal genişliği

bir nokta var Wi-Fi kurulumu yönlendirici, nasıl Kanal genişliği. Örneğin, TP-Link'iniz varsa ve menü İngilizce ise, buna denir. Kanal genişliği.

Burada birkaç seçenek seçebilirsiniz: Otomatik, 20MHz ve 40MHz - yönlendiriciye bağlıdır. Önce yüklemeyi deneyin Oto(veya Asus 20MHz / 40MHz'de), yardımcı olmazsa, ayrı olarak.

Kanal genişliğini nereden değiştirebilirim?

Yönlendirici ayarlarına git 192.168.1.1 veya 192.168.0.1 adresi, giriş / şifre girin - yönlendiricinin altına bakın).

asus

Sekmeye git Kablosuz ağ ve karşısındaki değeri değiştirin Kanal genişliği.

TP Bağlantısı

sekme Kablosuz – kablosuz ağ ayarları, paragraf Kanal genişliği.

Ayarlarınızı kaydetmeyi ve yönlendiricinizi yeniden başlatmayı unutmayın.

son söz

İstediğim her şeyi yazdım. Gerçekten tavsiyemin size yardımcı olacağını umuyorum. ile bu sorundan kurtulacak ve telefonunuz veya tabletiniz ile arkadaş olacaksınız. WiFi yönlendirici 🙂 .

Belki de bu sorunun başka çözümlerini biliyorsunuzdur, yorumlarda paylaşın - minnettar olacağım!

İyi şanlar!

Sitede daha fazlası:

Telefon (tablet) Wi-Fi'ye bağlanmıyor, "Kaydedildi, WPA \ WPA2 koruması" yazıyor güncelleme: 7 Şubat 2018: yönetici

Soru genellikle ortaya çıkar: ne tür bir Wi-Fi şifrelemesi seçilir? ev yönlendirici. Önemsiz görünebilir, ancak yanlış parametrelerle, ağa ve hatta bir Ethernet kablosu üzerinden bilgi aktarımı ile bile sorunlar ortaya çıkabilir.

Bu nedenle, burada modern tarafından ne tür veri şifrelemenin desteklendiğini ele alacağız. WiFi yönlendiricileri ve aes şifreleme türünün popüler wpa ve wpa2'den nasıl farklı olduğu.

Kablosuz ağ şifreleme türü: bir koruma yöntemi nasıl seçilir?

Yani toplamda 3 tür şifreleme vardır:

1. 1. WEP şifrelemesi

WEP şifreleme türü, uzak 90'larda ortaya çıktı ve Wi-Fi ağlarını korumak için ilk seçenekti: bir şifreleme analogu olarak konumlandırıldı. kablolu ağlar ve RC4 şifresini kullandı. Üç ortak veri şifreleme algoritması vardı - Neesus, Apple ve MD5 - ancak her biri gerekli güvenlik seviyesini sağlamadı. 2004 yılında, IEEE, nihayet ağa bağlanma güvenliğini sağlamayı bırakması nedeniyle standardın eski olduğunu ilan etti. AT şu an wifi için bu tür şifreleme önerilmez, çünkü. kriptografik olarak güvenli değildir.

1. 2.WPS kullanımını gerektirmeyen bir standarttır. Yönlendiriciye bağlanmak için makalede ayrıntılı olarak açıkladığımız uygun düğmeye tıklamanız yeterlidir.

Teorik olarak WPS, sekiz basamaklı bir kod kullanarak bir erişim noktasına bağlanmanıza izin verir, ancak pratikte yalnızca dört tanesi yeterlidir.

Bu gerçek, yeterince hızlı (3 - 15 saat içinde) hack yapan çok sayıda bilgisayar korsanı tarafından sessizce kullanılır. kablosuz ağlar, öyleyse kullan bu bileşik ayrıca tavsiye edilmez.

1. 3.Bir çeşit WPA Şifreleme/WPA2

WPA şifreleme ile işler çok daha iyi. Güvenlik açığı bulunan RC4 şifresi yerine, burada şifre uzunluğunun rastgele bir değer olduğu (8 - 63 bit) AES şifrelemesi kullanılır. Bu tipşifreleme, normal düzeyde bir güvenlik güvenliği sağlar ve aşağıdakiler için oldukça uygundur: basit wifi yönlendiriciler. Bu durumda, bunun iki çeşidi vardır:

PSK (Ön Paylaşımlı Anahtar) yazın - erişim noktasına bağlantı, önceden tanımlanmış bir şifre kullanılarak gerçekleştirilir.
- Kurumsal - her düğümün parolası, RADIUS sunucularında doğrulama ile otomatik olarak oluşturulur.

WPA2 şifreleme türü, güvenlik iyileştirmeleriyle birlikte WPA'nın bir uzantısıdır. AT bu protokol AES şifrelemesine dayanan RSN kullanılır.

WPA şifrelemesi gibi, WPA2 türünün de iki çalışma modu vardır: PSK ve Enterprise.

2006'dan beri, WPA2 şifreleme türü herkes tarafından desteklenmektedir. Wi-Fi ekipmanı, ilgili coğrafi konum herhangi bir yönlendirici için seçilebilir.

WPA2 şifrelemesinin WPA'ya göre avantajları:

Yönlendiriciye bağlantı sırasında şifreleme anahtarları oluşturulur (statik olanlar yerine);
- Bütünlük kontrolü için Michael algoritmasını kullanma iletilen mesajlar
- Önemli ölçüde daha uzun bir başlatma vektörünün kullanılması.
Ek olarak, yönlendiricinizin kullanıldığı yere bağlı olarak Wi-Fi şifreleme türü seçilmelidir:

WEP, TKIP ve CKIP şifrelemesi kesinlikle kullanılmamalıdır;

Bir ev erişim noktası için WPA / WPA2 PSK uygundur;

WPA / WPA2 Enterprise'ı seçmeye değer.

WPA2-Kurumsal. Güvenli bir Wi-Fi ağı nasıl oluşturulur

Kurumsal verileri koruma sorunu her yıl daha acil hale geliyor. Gittikçe daha fazla kritik veri kablosuz ağlar üzerinden aktarılıyor ve bilgi güvenliği (IS) giderek BT ​​uzmanlarının becerilerine bağımlı hale geliyor.

2015 yılında, Rusya'daki bilgisayar korsanları ilk kez rekor düzeyde üç büyük hırsızlık gerçekleştirmeyi başardı. toplam tutar 721 milyon ruble. İyi korunmuş, ilk bakışta finans kurumları zarar gördü. Bu dönüm noktası olaylar, bilgi güvenliğine yatırım yapmayı zorlaştıran olumsuz bir ekonomik durumun arka planında gerçekleşti.

Wi-Fi - hack başarısının geçmişi

Başlangıçta, Wi-Fi 802.11 standardı, 64 veya 128 bitlik geleneksel bir statik veya dinamik anahtar kullanan RC4 şifreleme algoritmasıyla WEP kimlik doğrulama moduna dayanıyordu. WEP ilk olarak 2000 yılında kırıldı. O yıllarda popüler olan bir bilgisayar Pentium işlemci 4 şifresini çözmek için yaklaşık 1 saat gerekli. Modern kaynakların kullanımı bulut sunucuları ve erişilebilir Mobil İnternet 3G/LTE aracılığıyla korumayı birkaç saniye içinde açmanıza olanak tanır.

Fotoğraf 1: Şifreleme gücüne bağlı olarak ağ türleri

2003 yılında WPA, her paket için bir anahtar üreten TKIP algoritması ile ortaya çıktı. Bugün, WPA-TKIP biraz şansla birkaç saat içinde kırılabilir. Örneğin, 2015 yazında Belçikalı araştırmacılar, şifrelenmiş çerezleri ele geçirmeyi ve bir saat içinde bir bilgisayara erişim sağlamayı başardılar.

2006 yılından bu yana, zorunlu standart WiFi cihazları daha gelişmiş WPA2 AES şifreleme algoritmasını desteklemektir. Daha güvenilirdir, bu nedenle önceki algoritmaları kullanmanın bir anlamı yoktur. Ancak, TKIP gibi, bu algoritma da bir sözlük kullanılarak brute-force şifre seçenekleriyle brute-forced olabilir. Büyük bir DDoS saldırısı kullanan özel yazılım, erişim noktasını devre dışı bırakır. Ayrıca, aynı SSID'ye sahip bir noktanın çalışmasını taklit eder. Böyle bir noktada “kurbanı” yetkilendirmeye çalıştıktan sonra, hacker PMK-R0 anahtarının hash fonksiyonunu alır. Bir sonraki adım, şifre tahmin sürecini başlatır. Basit şifreler birkaç saat içinde seçilirken, seçim karmaşık şifreler birkaç hafta hatta aylar sürebilir.

Ek koruyucu önlemler

bazen için ek koruma ağ, MAC adresi filtrelemeyi kullanır ( benzersiz numara her biri aktif birim internet üzerinden). Filtreleme yaparken, yalnızca yönetici tarafından yönlendirici veya erişim noktasındaki güvenilen tabloya MAC adresleri girilen cihazlar ağa bağlanabilir. Teorik olarak yetkisiz bağlantılar bu şekilde engellenebilir. Ancak pratikte, MAC adresi filtreleme, örneğin "kaba kuvvet" (kaba kuvvet) kullanılarak, yani bağlı istemcinin MAC adresini tarayarak ve kimlik doğrulama adı verilen "küstah" bir saldırıyı izleyerek ve cihazınızı değiştirilmiş bir MAC ile bağlayarak hızla bozulur. adres.

Bu nedenle, MAC adresi filtreleme ciddi bir koruma değildir, ancak çok fazla rahatsızlık yaratır. Özellikle, her yeni cihazı güvenilir tabloya manuel olarak eklemeniz gerekir.

Gizli SSID Modu — popüler yol Wi-Fi ağının ek koruması. Her ağın kendi benzersiz tanımlayıcı SSID (ağ adı). Gizli kimlik modunda, istemci cihazlar mevcut olanlar listesinde ağı görmez. SSID'yi Gizle modunda bir ağa ancak tanımlayıcısını tam olarak biliyorsanız ve önceden yapılmış bir bağlantı profili varsa bağlanabilirsiniz.

Kısmet gibi yardımcı programların yardımıyla gizli bir ağ bulmak oldukça kolaydır. Bağlantının kendisi, gizli ağ varlığını ve kimliğini bir bilgisayar korsanına ifşa eder. Ayrıca, bilgisayar korsanlığı senaryosu, geleneksel Wi-Fi ağlarındaki ile aynıdır. Gördüğünüz gibi, SSID'yi Gizle de güvenilir bir koruma yöntemi değil, aynı zamanda sorun yaratıyor. Her şeyden önce, yeni cihazları manuel olarak bağlamanız gerekir. Ayrıca wifi standartları orijinal olarak SSID'nin açık yayını için sağlanmıştır, bu nedenle çoğu cihaz SSID'yi Gizle'ye otomatik olarak bağlanırken sorun yaşar. Genel olarak, SSID'yi Gizle kullanımı pratik değildir.

Kişisel (PSK) ve kurumsal (Kurumsal) arasındaki farklar

ayırt edilmelidir Farklı yaklaşımlar kişisel ve kurumsal ağlar sağlamak. Evde ve küçük ofislerde genellikle PSK (Ön Paylaşımlı Anahtar) kullanılır - 8 veya daha fazla karakterden oluşan bir şifre. Bu parola herkes için aynıdır ve genellikle çok basittir, bu nedenle kaba kuvvete veya sızıntılara karşı savunmasızdır (bir çalışanın işten çıkarılması, kayıp bir dizüstü bilgisayar, yanlışlıkla düz bir şekilde yapıştırılmış bir parola etiketi vb.). Hatta en en son algoritmalar PSK kullanırken şifreleme, güvenilir korumayı garanti etmez ve bu nedenle ciddi ağlarda kullanılmaz. Kurumsal çözümler kimlik doğrulaması için her kullanıcı için her oturumu değiştiren dinamik bir anahtar kullanın. Anahtar, oturum sırasında, genellikle bir RADIUS sunucusu olan bir yetkilendirme sunucusu tarafından periyodik olarak güncellenebilir.

WPA2-Enterprise + 802.1X ve güvenlik sertifikaları - en güçlü koruma

WPA2-Kurumsal şifreli kurumsal ağlar, bir RADIUS sunucusu aracılığıyla 802.1x kimlik doğrulamasını temel alır. 802.1x protokolü (EAPOL), bir kimlik doğrulama verisi isteği gönderme ve alma yöntemlerini tanımlar ve genellikle yerleşiktir. İşletim sistemleri ve özel yazılım paketleri.

802.1x, bir ağda üç rol üstlenir:

• istemci (isteyen) - ağa erişmesi gereken bir istemci cihazı;
• kimlik doğrulama sunucusu (genellikle RADIUS);
• kimlik doğrulayıcı - birden çok istemci cihazını bir kimlik doğrulama sunucusuna bağlayan ve istemci cihazlarının bağlantısını kesen/bağlayan bir yönlendirici/anahtar.

Fotoğraf 3: WPA2-Enterprise 802.1x Şeması

802.1x için birkaç çalışma modu vardır, ancak en yaygın ve güvenilir olanı şudur:

• Kimlik doğrulayıcı, aktif bir bağlantı algılar algılamaz istemci cihaza bir EAP isteği gönderir.
• İstemci bir EAP yanıtı - bir kimlik paketi gönderir. Kimlik doğrulayıcı bu paketi kimlik doğrulama sunucusuna (RADIUS) iletir.
• RADIUS, istemci cihazının paketini ve erişim haklarını kullanıcı veritabanına veya diğer kriterlere göre kontrol eder ve ardından bağlanmak için kimlik doğrulayıcıya izin veya red gönderir. Buna göre, kimlik doğrulayıcı ağa erişime izin verir veya erişimi reddeder.

Fotoğraf 2: EAP'nin dahili protokolleri (yöntemleri)

Bir RADIUS sunucusu kullanmak, PSK'dan çıkmanıza ve yalnızca belirli bir bağlantı oturumu için geçerli olan ayrı anahtarlar oluşturmanıza olanak tanır. Basitçe söylemek gerekirse, şifreleme anahtarları istemci cihazdan alınamaz. Paket koklama koruması, her biri kendi özelliklerine sahip çeşitli dahili EAP protokolleri kullanılarak şifreleme yoluyla sağlanır. Bu nedenle, EAP-FAST protokolü, bir kullanıcı adı ve şifre ile ve PEAP-GTC ile - özel bir jetonla (erişim kartı, tek seferlik şifreli kartlar, flash sürücüler vb.) oturum açmanıza izin verir. PEAP-MSCHAPv2 ve EAP-TLS protokolleri, istemci sertifikalarını kullanarak yetkilendirme sağlar.

Yalnızca WPA2-Enterprise, bir Wi-Fi ağı için maksimum güvenlik sağlar ve dijital sertifikalar EAP-TLS veya EAP-TTLS protokolü ile birlikte güvenlik. Sertifika, RADIUS sunucusunda ve istemci cihazında önceden oluşturulmuş dosyalardır. Kimlik doğrulama istemcisi ve sunucusu bu dosyaları karşılıklı olarak kontrol eder ve böylece yetkisiz bağlantılar diğer insanların cihazlarından ve yanlış erişim noktalarından. EAP-TTL/TTLS protokolleri, 802.1X standardının bir parçasıdır ve istemci ile RADIUS arasında iletişim kurmak için Ortak Anahtar Altyapısını (PKI) kullanır. Yetkilendirme kullanımları için PKI gizli anahtar(kullanıcı bilir) ve ortak anahtar (sertifikada saklanır, potansiyel olarak herkes tarafından bilinir). Bu anahtarların kombinasyonu, güçlü kimlik doğrulama sağlar.

Dijital sertifikalar herkes için yapılmalı Kablosuz cihaz. Bu zaman alıcı bir işlemdir, bu nedenle sertifikalar genellikle yalnızca aşağıdakileri gerektiren Wi-Fi ağlarında kullanılır: maksimum koruma. Aynı zamanda, sertifikayı kolayca iptal edebilir ve istemciyi engelleyebilirsiniz.

Bugün, WPA2-Enterprise, güvenlik sertifikalarıyla birlikte, güvenilir koruma kurumsal Wi-Fi ağları. saat doğru ayar ve bu tür bir korumayı "sokaktan" kırmak neredeyse imkansızdır, yani fiziksel erişim yetkiliye istemci cihazları. Ancak, ağ yöneticileri bazen saldırganların ağa girmesi için bir boşluk bırakan hatalar yaparlar. Sorun, bilgisayar korsanlığı yazılımının mevcudiyeti ve adım adım talimatlar amatörler bile kullanabilir.

Hacker yazılımı herkes tarafından kullanılabilir

Sertifika kullanılmadan oturum açma ve parola doğrulamalı WPA2-Enterprise, bir bilgisayar korsanı dağıtımı kullanılarak saldırıya uğrayabilir Kali Linux ve etkin nokta modunda Wi-Fi kartları. Saldırının özü, EAP paketlerini almak ve güvenli bir ağda oturum açmak için bir RADIUS sunucusuyla sahte bir erişim noktası oluşturmaktır. Sahte bir nokta oluşturmak, Kali'de yerleşik olarak bulunan Mana Toolkit gibi araçlarla bugün bir sorun değil.

Fotoğraf 4: Saldırganlar genellikle karta bağlı bir akıllı telefon kullanır ve mobil versiyon Kali NetHunter

Bir bilgisayar korsanı, sahte bir MANA erişim noktası kullanarak, ağ kullanıcılarının parola karmalarını ve oturum açma bilgilerini alır ve ardından güçlü bir bilgisayarda parolaları kaba kuvvetle zorlar. Bu, büyük sayesinde oldukça hızlı bir şekilde yapılır. işlem gücü modern işlemciler. Ek olarak, şifrelerin numaralandırılması için algoritmalar vardır. GPU süreci birkaç saate kadar hızlandıran video kartları.

Sonuç olarak, bilgisayar korsanı giriş hesaplarına erişim kazanır Şirket ağı WiFi veya VPN.

Bu tür saldırıları önlemek için tüm mobil ve mobil cihazlarda güvenlik sertifikalarının kullanılması gerekmektedir. sabit cihazlar ağa erişimi olan. Kendinden imzalı sertifikaların, yani ağ yöneticisi tarafından oluşturulanların kullanılması da önerilmez. Gerçek şu ki, yeni cihazlar bağlanırken, güvenilir kullanıcılar kendinden imzalı sertifikaların potansiyel güvensizliği hakkında mesajlar görebilir. Bu tür mesajlara alışan kullanıcı, sahte bir erişim noktasına bağlanırken görünen mesaja dikkat etmeyebilir. Maksimum koruma için resmi tedarikçilerden alınan sertifikaları kullanmak daha iyidir.

"Ortadaki adam" - ana tehdit

"Man in the Middle" (Man in the Middle veya kısaca MITM) olarak adlandırılan bir hacker saldırısı, güvenlik sertifikalarına sahip düzgün bir şekilde organize edilmiş bir WPA2-Enterprise için en ciddi tehdittir.

Fotoğraf 5: "Ortadaki adam" saldırısının özü: bir bilgisayar korsanı, ortada bir bilgisayar korsanı istemcisi olan doğrudan güvenli bir bağlantıyı iki farklı bağlantıya dönüştürür

Şema çok basit: istek üzerine Genel anahtar yanıt veren güvenilir bir kullanıcı değil, güvenilir kullanıcı gibi davranan bir aracıdır. Saldırganın bilgisayarı bir PROXY sunucusu gibi davranır. Sonuç olarak takas var kesin bilgi, ve bir saldırgan veri paketlerini yakalayabilir, yanıltabilir, kaldırabilir veya değiştirebilir.

Gizli iletişimleri tanıtmak için benzer bir şema, İnternet'ten bile önce icat edildi - orijinal harflerin yolda sahte olanlarla değiştirildiği kağıt mektup günlerinde.

Ağa uygulama, önceden yetkilendirilmiş bir hesap, yani, Wi-Fi ağının ilk hacklenmesini gerektirir. Başka bir deyişle, başarılı bir saldırı için bir bilgisayar korsanının bulması gerekir. zayıflık WPA2-Kuruluş ağında. Bu, genellikle, yukarıda açıklandığı gibi, hileli bir erişim noktası saldırısı veya yetkisiz bir cihazdır. yüklü sertifikalar güvenlik. HTTPS üzerinden bir saldırı daha da basittir: tarayıcı, aracıya sertifika güvenli bir SSL bağlantısı kurar ve saldırgan, web sunucusuna başka bir SSL bağlantısı kurar. Tarayıcı, kullanıcıyı SSL sertifikasının güvenli olmadığı konusunda uyarır, ancak bu uyarı genellikle göz ardı edilir.

Bu tür saldırılar özellikle tehlikelidir. finansal sistemler online ödeme sistemleri ile ödeme yapmak. Bir bilgisayar korsanı virüs bulaştırabilir zararlı kod e-postalar, web sayfaları, DBMS, İnternet bankacılığına erişim, sosyal medya hesapları, CMS siteleri vb.

Bir aracıdan korunma

MITM saldırısı, bilgisayar korsanının nihai silahı değildir. Bilgi güvenliğinin tüm gereksinimleri karşılanırsa, aracının devreye girmesi imkansızdır.

Her şeyden önce, gizli bir saldırı için aracı, istemci ile sunucu arasındaki tüm mesajları ele geçirmeli, yani sürekli olarak kurumsal Wi-Fi kapsama alanında olmalıdır.

Bu nedenle, bir kablosuz ağ kurarken uzmanlara başvurmak ve onu bina dışında minimum kapsama alanıyla tasarlamak önemlidir (radyo planlaması sipariş edin - http://website/pred_obsledovanie/). Ayrıca belirgin olmayan güvenlik açıkları da vardır. Örneğin, bir kullanıcı ofise kablosuz bir klavye (akıllı telefonlar, PC'ler için) getirebilir, bu da oturum açma ve parolanın uzaktan ele geçirilmesi riskini oluşturur. Bu gibi durumları önlemek için başvuru yapmanız yeterlidir. kablolu klavyeler veya özel kablosuz klavyeler yerleşik AES şifrelemesi ile. O zaman keylogger kullanımı imkansız hale gelir.

Ayrıca, sahte bir erişim noktasına bağlanma kurbanı olmamak için çalışanlar, güvenli olmayan sertifikaların ne olduğunun farkında olmalıdır. SSL Sertifikalarıİstemci ve sunucu, kuruluşun İnternet bankacılığı da dahil olmak üzere sitelerdeki hesapların ele geçirilmesiyle HTTP'ler üzerinden saldırıları önlemek için karşılıklı güvenilen bir sertifika yetkilisi tarafından doğrulanmalıdır.

MITM önlemede özel bir yer, ssl-bump filtrelemeyi kullanmayı reddetmekle işgal edilir. Genellikle ofislerde belirli sitelere (sosyal ağlar, eğlence kaynakları vb.). Güvenli bir bağlantıda, trafik alıcı ve gönderici tarafında şifrelenir ve ssl-bump filtreleme kullanılırken ağ geçidinde şifrelenir. Yani, ssl-bump filtrelemenin kendisi HTTP'ler üzerinden bir MITM saldırısıdır. Her şeyden önce, koyar Yasal sorunlar hakkında gizli erişim sosyal medya hesapları veya çevrimiçi bankacılık gibi çalışanların kişisel verilerine ağ yöneticisi. Ancak, en önemlisi, ssl-bump, yalnızca ağ geçidini ele geçirmesi gereken bir bilgisayar korsanı için "kapıyı açar". Aslında yönetici, ağına yapılacak bir saldırı için tüm hazırlık işlemlerini kendisi yürütür.

Sonuç: Bu nedenle, uzmanların eğitimi ve etkili kullanım mevcut veri koruma teknolojileri. Örneğin, WPA2-Enterprise şifrelemesi, onu doğru şekilde nasıl düzenleyeceğinizi biliyorsanız, davetsiz misafirler için aşılmaz bir engel haline gelebilir. soruya güven bilgi Güvenliği profesyoneller!

Tavsiyeye ihtiyacım var. Benimle iletişime geç.