Kurumsal ağınızı WPA2-Enterprise ile koruma. Nasıl güvenilir hale getirilir. WPA2-PSK - nedir bu? Güvenlik türü WPA2-PSK

19.08.2019

Kablosuz protokoller ve şifreleme yöntemleriyle ilişkili birçok tehlikeli risk vardır. Bu nedenle, çeşitli kablosuz güvenlik protokollerinin sağlam tasarımı bunları en aza indirmek için kullanılır. Bunlar kablosuz güvenlik protokolleri Kablosuz ağ üzerinde iletilen verileri şifreleyerek bilgisayarlara yetkisiz erişimin önlenmesini sağlar.

WPA2, WPA, WEP Wi-Fi protokolleri arasındaki fark

Çoğu kablosuz erişim noktasında üç kablosuz şifreleme standardından birini etkinleştirme seçeneği bulunur:

WEP (Kabloluya Eşdeğer Gizlilik)
WPA2

WEP veya Kabloluya Eşdeğer Gizlilik

İlk kablosuz güvenlik ağı WEP veya Kabloluya Eşdeğer Gizlilik protokolüydü. 64 bit şifrelemeyle (zayıf) başladı ve sonunda 256 bit şifrelemeye (güçlü) kadar ilerledi. Yönlendiricilerdeki en popüler uygulama hala 128 bit şifrelemedir (arada). Güvenlik araştırmacıları, bilgisayar korsanlarının birkaç dakika içinde WEP anahtarını kırmasına olanak tanıyan birkaç güvenlik açığı keşfedene kadar bu, olası bir çözüm olarak kabul edildi. Kullandı ÇHS veya Döngüsel Artıklık Kontrolü.

WPA veya Wi-Fi Korumalı Erişim

WEP'in eksikliklerini gidermek amacıyla, kablosuz protokoller için yeni bir güvenlik standardı olarak WPA geliştirildi. Mesaj bütünlüğünü sağlamak için şunları kullandı: bütünlük protokolüTKİP veya Geçici Anahtar Bütünlüğü. Bu, CRC veya Döngüsel Artıklık Denetimi kullanan WEP'ten bazı açılardan farklıydı. TKIP'in CRC'den çok daha güçlü olduğu düşünülüyordu. Kullanımı, her veri paketinin benzersiz bir şifreleme anahtarı kullanılarak iletilmesini sağladı. Tuş kombinasyonu, tuşların kodunun çözülmesinin zorluğunu arttırdı ve böylece dışarıdan izinsiz girişlerin sayısını azalttı. Ancak WEP gibi WPA'nın da bir dezavantajı vardı. Böylece WPA, WPA 2'de genişletildi.

WPA2

WPA 2 şu anda en güvenli protokol olarak kabul edilmektedir. WPA ve WPA2 arasında görülen en önemli değişikliklerden biri algoritmaların zorunlu kullanımıdır AES (Gelişmiş Şifreleme Standardı) ve tanıtım CCMP (Blockchain Kimlik Doğrulama Kodu Protokolü ile Sayaç Şifreleme Modu) TKIP'in yerine geçecek. CCM modu, kimlik doğrulama için Gizlilik Modunu (CTR) ve Zincir Kod Kimlik Doğrulamasını (CBC-MAC) birleştirir. Bu modlar geniş çapta incelenmiş ve günümüzde yazılım veya donanımda iyi güvenlik ve performans sağlayan iyi anlaşılmış kriptografik özelliklere sahip oldukları kanıtlanmıştır.

WPA2 (Kablosuz Korumalı Erişim sürüm 2.0), Wi-Fi kablosuz ağlarında veri koruması sağlayan bir dizi algoritma ve protokolün ikinci sürümüdür. Beklendiği gibi WPA2, Wi-Fi kablosuz ağlarının güvenliğini önceki teknolojilerle karşılaştırıldığında önemli ölçüde artıracaktır. Yeni standart, özellikle daha güçlü AES (Gelişmiş Şifreleme Standardı) şifreleme algoritmasının ve 802.1X kimlik doğrulamasının zorunlu kullanımını sağlar.

Günümüzde kurumsal kablosuz ağda güvenilir bir güvenlik mekanizması sağlamak için WPA2'yi destekleyen cihaz ve yazılımların kullanılması gerekli (ve zorunludur). Önceki nesil protokoller - WEP ve WPA - yeterince güçlü olmayan güvenlik ve şifreleme algoritmalarına sahip öğeler içerir. Dahası, İnternet'ten kolayca indirilebilen ve eğitimsiz acemi bilgisayar korsanları tarafından bile başarıyla kullanılabilen WEP tabanlı ağları hacklemek için programlar ve teknikler zaten geliştirilmiştir.

WPA2 protokolleri iki kimlik doğrulama modunda çalışır: kişisel (Kişisel) ve kurumsal (Kurumsal). WPA2-Kişisel modunda, girilen düz metin parolasından 256 bitlik bir PSK (Ön Paylaşımlı Anahtar) oluşturulur. PSK anahtarı, SSID (Hizmet Seti Tanımlayıcısı) ile birlikte, kablosuz cihazların etkileşimi için PTK (İkili Geçici Anahtar) geçici oturum anahtarları oluşturmak için kullanılır. Statik WEP protokolü gibi, WPA2-Kişisel protokolünün de anahtarları ağdaki kablosuz cihazlara dağıtma ve koruma ihtiyacıyla ilgili bazı sorunları vardır, bu da onu bir düzine cihazdan oluşan küçük ağlarda kullanım için daha uygun hale getirirken, WPA2 en uygunudur. kurumsal ağlar -Kurumsal.

WPA2-Kurumsal modu, statik anahtar dağıtımı ve yönetimindeki zorlukları giderir ve çoğu kurumsal kimlik doğrulama hizmetiyle entegrasyonu, hesap tabanlı erişim kontrolü sağlar. Bu mod, kullanıcı adı ve parola, güvenlik sertifikası veya tek kullanımlık parola gibi kimlik bilgilerini gerektirir ve kimlik doğrulama, iş istasyonu ile merkezi kimlik doğrulama sunucusu arasında gerçekleştirilir. Erişim noktası veya kablosuz denetleyici, bağlantıları izler ve kimlik doğrulama isteklerini uygun kimlik doğrulama sunucusuna (genellikle Cisco ACS gibi bir RADIUS sunucusuna) iletir. WPA2-Kuruluş modu, kullanıcı ve cihaz kimlik doğrulamasını destekleyen 802.1X standardını temel alır ve hem kablolu anahtarlar hem de kablosuz erişim noktaları için uygundur.

WPA'dan farklı olarak daha güçlü AES şifreleme algoritması kullanılır. WPA'ya benzer şekilde WPA2 de iki türe ayrılır: WPA2-PSK ve WPA2-802.1x.

Veri bütünlüğünü ve gizliliğini sağlamak için yeni, daha güvenilir mekanizmalar sağlar:

CCMP (Sayaç Modu-CBC-MAC Protokolü), Gelişmiş Şifreleme Standardı (AES) şifreleme algoritmasının Sayaç Şifreleme Bloğu Zincirleme Moduna (CCM) dayanmaktadır. CCM iki mekanizmayı birleştirir: Gizlilik için Sayaç (CTR) ve kimlik doğrulama için Şifre Bloğu Zincirleme Mesajı Kimlik Doğrulama Kodu (CBC-MAC).

WRAP (Kablosuz Sağlam Kimlik Doğrulama Protokolü), AES şifreleme algoritmasının Dengeleme Kod Kitabı (OCB) modunu temel alır.

Eski ekipmanlarla geriye dönük uyumluluk için TKIP protokolü. IEEE 802.1x/EAP protokollerine dayalı karşılıklı kimlik doğrulama ve anahtar teslimi. Geçici ağlarda güvenliği artırmak için Güvenli Bağımsız Temel Hizmet Seti (IBSS). Dolaşım desteği.

Kablosuz ağların güvenliğine katkı CCMP mekanizması ve IEEE 802.11i standardıdır. İkincisi, güvenli bir ağ (Sağlam Güvenlik Ağı, RSN) ve güvenli bir ağ bağlantısı (Robust Security Network Association, RSNA) kavramını tanıtır ve ardından tüm algoritmaları aşağıdakilere ayırır:

RSNA algoritmaları (RSNA oluşturmak ve kullanmak için);

RSNA öncesi algoritmalar.

RSNA öncesi algoritmalar şunları içerir:

mevcut IEEE 802.11 kimlik doğrulaması (standartın 1999 baskısında tanımlandığı şekliyle kimlik doğrulamaya atıfta bulunur).

Yani, bu tür algoritmalar, WEP şifrelemeli veya şifrelemesiz (daha doğrusu kimlik doğrulama yok) Açık Sistem kimlik doğrulamasını ve Paylaşılan Anahtarı içerir.

RSNA algoritmaları şunları içerir:

TKİP; CCMP; RSNA oluşturma ve sonlandırma prosedürü (IEEE 802.1x kimlik doğrulamasının kullanımı dahil); anahtar değişim prosedürü.

Aynı zamanda CCMP algoritması zorunludur ve TKIP isteğe bağlıdır ve eski cihazlarla uyumluluğun sağlanması amaçlanmaktadır.

Standart iki işlevsel model sağlar: IEEE 802.1x aracılığıyla kimlik doğrulama, yani EAP protokolünü kullanma ve kimlik doğrulayıcı ve istemcide kayıtlı önceden tanımlanmış bir anahtarı kullanma (bu moda Ön Paylaşımlı Anahtar, PSK adı verilir). Bu durumda, PSK anahtarı bir PMK anahtarı görevi görür ve bunların kimlik doğrulaması ve oluşturulmasına ilişkin diğer prosedürler de farklı değildir.

TKIP prosedürünü kullanan şifreleme algoritmalarına zaten WPA adı verildiğinden ve CCMP prosedürü de WPA2 olduğundan, RSNA'yı karşılayan şifreleme yöntemlerinin şunlar olduğunu söyleyebiliriz: WPA-EAP (WPA-Kurumsal), WPA-PSK (WPA-Preshared Key , WPA- Kişisel), WPA2-EAP (WPA2-Kurumsal), WPA2-PSK (WPA2-Ön Paylaşımlı Anahtar, WPA2-Kişisel).

TKIP ve CCMP algoritmalarının bağlantı kurma ve anahtar değişim prosedürü aynıdır. CCMP'nin kendisi (CBC-MAC (Mesaj Kimlik Doğrulama Kodu (MAC) Protokolü ile Şifre Blok Zincirleme (CBC)) ile Sayaç modu (CTR)) TKIP gibi gizlilik, kimlik doğrulama, bütünlük ve tekrar oynatma saldırılarına karşı koruma sağlamak üzere tasarlanmıştır. algoritması, FIPS PUB 197 spesifikasyonunda tanımlanan AES şifreleme algoritmasının CCM yöntemini temel alır. CCMP'de kullanılan tüm AES işlemleri, 128 bit anahtar ve 128 bit blok boyutuna sahip AES kullanır.

Standardın en son yeniliği, PMK anahtar önbelleğe alma ve ön kimlik doğrulamayı kullanan erişim noktaları arasında hızlı dolaşım teknolojisinin desteklenmesidir.

PMK önbelleğe alma prosedürü, eğer bir istemci bir erişim noktasına bağlanırken tam kimlik doğrulamayı geçtiyse, ondan alınan PMK anahtarını saklar ve bu noktaya bir sonraki bağlandığında istemci daha önce alınmış bir PMK anahtarını gönderir. . Bu, kimlik doğrulamayı sona erdirecektir, yani 4 Yönlü El Sıkışma gerçekleştirilmeyecektir.

Ön kimlik doğrulama prosedürü, istemcinin erişim noktasına bağlanıp kimlik doğrulamasını geçmesinden sonra, aynı SSID ile diğer erişim noktalarında ("duyduğu") kimlik doğrulamasını aynı anda (önceden) iletebilmesi, yani önceden alabilmesidir. anahtar PMK'dır. Gelecekte bağlandığı erişim noktası arızalanırsa veya sinyali aynı ağ adına sahip başka bir noktadan daha zayıf çıkarsa, istemci önbelleğe alınmış bir PMK anahtarıyla hızlı bir şema kullanarak yeniden bağlanacaktır.

2001 yılında ortaya çıkan ve anahtar uzunluğunu 104 bit'e çıkaran WEP2 spesifikasyonu, başlatma vektörünün uzunluğu ve veri bütünlüğünü kontrol etme yöntemi aynı kaldığı için sorunu çözmedi. Çoğu saldırı türü daha önce olduğu gibi basit bir şekilde uygulandı.

Çözüm

Sonuç olarak tüm bilgileri özetlemek ve kablosuz ağların korunmasına yönelik önerilerde bulunmak istiyorum.

Kablosuz bir ağın güvenliğini sağlamak için üç mekanizma vardır: istemciyi ve AP'yi aynı (varsayılan olmayan) SSID'yi kullanacak şekilde yapılandırmak, AP'nin yalnızca MAC adresleri AP tarafından bilinen istemcilerle iletişim kurmasına izin vermek ve istemcileri, AP'de kimlik doğrulaması yapacak şekilde yapılandırmak AP ve trafiği şifreleyin. Çoğu AP, varsayılan bir SSID ile, izin verilen istemci MAC adresleri listesi olmadan ve kimlik doğrulama ve şifreleme için bilinen bir paylaşılan anahtarla (veya hiçbir kimlik doğrulama veya şifreleme olmadan) çalışacak şekilde yapılandırılmıştır. Genellikle bu ayarlar üreticinin Web sitesindeki çevrimiçi yardımda belgelenmiştir. Bu seçenekler deneyimsiz bir kullanıcının kablosuz ağ kurup kullanmaya başlamasını kolaylaştırır, ancak aynı zamanda bilgisayar korsanlarının ağa sızmasını da kolaylaştırır. Çoğu erişim düğümünün SSID'yi yayınlayacak şekilde yapılandırılmış olması durum daha da kötüleşiyor. Bu nedenle, bir saldırgan standart SSID'leri kullanarak güvenlik açığı bulunan ağları bulabilir.

Güvenli bir kablosuz ağa ulaşmanın ilk adımı, varsayılan AP SSID'sini değiştirmektir. Ayrıca AP ile iletişimi etkinleştirmek için istemcide bu ayarın değiştirilmesi gerekir. Kuruluşun yöneticisi ve kullanıcıları için anlamlı olan ancak bu kablosuz ağı, yetkisiz kişiler tarafından ele geçirilen diğer SSID'ler arasında açıkça tanımlamayan bir SSID atamak uygundur.

Bir sonraki adım, mümkünse erişim düğümünün SSID'yi yayınlamasını engellemektir. Sonuç olarak, bir saldırganın kablosuz ağın ve SSID'nin varlığını tespit etmesi (yine de mümkün olmasına rağmen) daha zor hale gelir. Bazı AP'lerde SSID yayınını iptal edemezsiniz. Bu gibi durumlarda yayın aralığını mümkün olduğu kadar arttırmalısınız. Ayrıca bazı istemciler yalnızca SSID'nin erişim düğümü tarafından yayınlanması durumunda iletişim kurabilir. Bu nedenle, hangi modun sizin özel durumunuza uygun olduğunu belirlemek için bu ayarı denemeniz gerekebilir.

Daha sonra erişim düğümlerine yalnızca bilinen MAC adreslerine sahip kablosuz istemcilerden erişilmesine izin verebilirsiniz. Bu, büyük bir kuruluş için uygun olmayabilir, ancak az sayıda kablosuz istemciye sahip küçük bir işletme için güvenilir bir ek savunma hattıdır. Saldırganların kurumsal AP'ye bağlanmasına izin verilen MAC adreslerini bulması ve kendi kablosuz adaptörlerinin MAC adresini yetkili bir adresle değiştirmesi gerekecektir (bazı adaptör modellerinde MAC adresi değiştirilebilir).

Kimlik doğrulama ve şifreleme seçeneklerini seçmek, kablosuz bir ağın güvenliğini sağlamanın en zor kısmı olabilir. Ayarları atamadan önce, özellikle kablosuz ağınız zaten farklı satıcıların çeşitli ekipmanlarıyla yapılandırılmışsa, destekledikleri güvenlik protokollerini belirlemek için erişim düğümlerinin ve kablosuz bağdaştırıcıların envanterini çıkarmalısınız. Bazı cihazlar, özellikle de eski AP'ler ve kablosuz adaptörler, WPA, WPA2 veya uzatılmış uzunluktaki WEP anahtarlarıyla uyumlu olmayabilir.

Dikkat edilmesi gereken bir diğer durum, bazı eski cihazların kullanıcıların anahtarı temsil eden onaltılık bir sayı girmesini gerektirmesi, diğer eski AP'lerin ve kablosuz bağdaştırıcıların ise kullanıcıların anahtara dönüşen bir parola girmesini gerektirmesidir. Sonuç olarak, tek bir anahtarın tüm ekipmanlar tarafından kullanılmasını sağlamak zordur. Bu tür ekipmanın sahipleri, rastgele WEP anahtarları oluşturmak ve parola cümlelerini onaltılık sayılara dönüştürmek için WEP Anahtar Oluşturucu gibi kaynakları kullanabilir.

Genel olarak WEP yalnızca kesinlikle gerekli olduğunda kullanılmalıdır. WEP kullanılması zorunluysa, maksimum uzunluktaki anahtarları seçmeli ve ağı Paylaşılan yerine Açık moda yapılandırmalısınız. Ağdaki Açık modda herhangi bir istemci kimlik doğrulaması gerçekleştirilmez ve herkes erişim düğümleriyle bağlantı kurabilir. Bu hazırlık bağlantıları kablosuz iletişim kanalını kısmen yükler ancak AP ile bağlantı kuran saldırganlar WEP şifreleme anahtarını bilmedikleri için veri alışverişine devam edemeyeceklerdir. AP'yi yalnızca bilinen MAC adreslerinden gelen bağlantıları kabul edecek şekilde yapılandırarak ön bağlantıları bile engelleyebilirsiniz. Açık'tan farklı olarak, Paylaşımlı modda erişim düğümü, bir sorgulama-yanıt prosedüründe kablosuz istemcilerin kimliğini doğrulamak için WEP anahtarını kullanır ve bir saldırgan, sıranın şifresini çözebilir ve WEP şifreleme anahtarını belirleyebilir.

WPA kullanabiliyorsanız WPA, WPA2 ve WPA-PSK arasında seçim yapmalısınız. Bir yandan WPA veya WPA2'yi, diğer yandan WPA-PSK'yi seçerken ana faktör, kullanıcıların kimliğini doğrulamak için WPA ve WPA2 için gerekli altyapıyı dağıtma yeteneğidir. WPA ve WPA2, RADIUS sunucularının ve muhtemelen Genel Anahtar Altyapısının (PKI) dağıtımını gerektirir. WEP gibi WPA-PSK, kablosuz istemci ve AP tarafından bilinen paylaşılan bir anahtarla çalışır. WPA-PSK WEP'in dezavantajı olmadığı için WPA-PSK paylaşımlı anahtarını kimlik doğrulama ve şifreleme amacıyla güvenle kullanabilirsiniz.

Kaynakça

1. Goralski V. xDSL Teknolojileri. M.: Lori, 2006, 296 s.

2. www.vesna.ug.com;

3.www.young.shop.narod.com;

7. www.opennet.ru

8.www.pulscen.ru

9.www.cisco.com

10. Baranovskaya T.P., Loiko V.I. Bilgisayar sistemleri ve ağlarının mimarisi. M.: Finans ve İstatistik, 2003, 256 s.

11. Mann S., Krell M. Linux. TCP/IP ağlarının yönetimi. M.: Binom-Press, 2004, 656 s.

12. Smith R. Linux ağ araçları. M.: Williams, 2003, 672 s.

13. Kulgin M. Bilgisayar ağları. İnşaat pratiği. St.Petersburg: Peter, 2003, 464 s.

14. Tanenbaum E. Bilgisayar ağları. St.Petersburg: Peter, 2005, 992 s.

15. Olifer V.G., Olifer N.A. Veri Ağlarının Temelleri. Ders kursu. M.: İnternet Bilgi Teknolojileri Üniversitesi, 2003, 248 s.

16. Vishnevsky V.M. Bilgisayar ağı tasarımının teorik temelleri. M.: Tekhnosfer, 2003, 512 s.

Bu makale, kablosuz WiFi ağlarını kullanırken güvenlik konusuna ayrılmıştır.

Giriş - WiFi Güvenlik Açıkları

Bu veriler WiFi ağları üzerinden iletildiğinde kullanıcı verilerinin savunmasız kalmasının temel nedeni, alışverişin radyo dalgaları üzerinden gerçekleşmesidir. Bu da WiFi sinyalinin fiziksel olarak mevcut olduğu herhangi bir noktada mesajların ele geçirilmesini mümkün kılıyor. Basitçe söylemek gerekirse, bir erişim noktasının sinyali 50 metrelik bir mesafede tespit edilebiliyorsa, bu WiFi ağının tüm ağ trafiğinin erişim noktasından 50 metrelik bir yarıçap içinde ele geçirilmesi mümkündür. Yan odada, binanın başka bir katında, sokakta.

Bu resmi hayal edin. Ofiste yerel ağ WiFi üzerinden kurulur. Bu ofisin erişim noktasından gelen sinyal binanın dışından, örneğin bir otoparktan alınır. Bina dışındaki bir saldırgan, ofis ağına, yani bu ağın sahipleri tarafından fark edilmeden erişim sağlayabilir. WiFi ağlarına kolayca ve gizlice erişilebilir. Teknik olarak kablolu ağlardan çok daha kolaydır.

Evet. Bugüne kadar WiFi ağlarını koruma araçları geliştirilmiş ve uygulanmıştır. Bu koruma, erişim noktası ile ona bağlı uç cihaz arasındaki tüm trafiğin şifrelenmesine dayanır. Yani, bir saldırgan radyo sinyalini yakalayabilir, ancak onun için bu sadece dijital bir "çöp" olacaktır.

WiFi koruması nasıl çalışır?

Erişim noktası, WiFi ağına yalnızca doğru şifreyi (erişim noktası ayarlarında belirtilir) gönderen cihazı içerir. Bu durumda parola da karma biçiminde şifrelenmiş olarak gönderilir. Karma, geri dönüşü olmayan şifrelemenin sonucudur. Yani karma hale getirilen verilerin şifresi çözülemez. Bir saldırgan şifre karmasını ele geçirirse şifreyi ele geçiremeyecektir.

Ancak erişim noktası şifrenin doğru olup olmadığını nasıl biliyor? Peki ya kendisi de bir karma alırsa ancak şifresini çözemezse? Çok basit - erişim noktası ayarlarında şifre saf haliyle belirtilir. Yetkilendirme programı boş bir parola alır, ondan bir karma oluşturur ve ardından bu karma değerini istemciden alınan karmayla karşılaştırır. Karma değerleri eşleşiyorsa müşterinin şifresi doğrudur. Karmaların ikinci özelliği burada kullanılıyor; benzersizdirler. Aynı karma, iki farklı veri kümesinden (şifreler) elde edilemez. İki karma eşleşirse her ikisi de aynı veri kümesinden oluşturulmuştur.

Bu arada. Bu özellik sayesinde veri bütünlüğünü kontrol etmek için karmalar kullanılır. İki karma (belirli bir süre içinde oluşturulan) eşleşirse, orijinal veriler (bu süre zarfında) değiştirilmemiştir.

Ancak bir Wi-Fi ağının güvenliğini sağlamanın en modern yöntemi (WPA2) güvenilir olmasına rağmen bu ağ hacklenebilir. Nasıl?

WPA2 tarafından korunan bir ağa erişmenin iki yöntemi vardır:

Bir şifre veritabanı kullanılarak bir şifrenin seçilmesi (sözlük araması denir).
WPS işlevindeki bir güvenlik açığından yararlanılması.

İlk durumda, saldırgan erişim noktasının şifre karmasını ele geçirir. Daha sonra karmalar binlerce veya milyonlarca kelimeden oluşan bir veritabanıyla karşılaştırılır. Sözlükten bir kelime alınır, bu kelime için bir hash oluşturulur ve daha sonra bu hash, ele geçirilen hash ile karşılaştırılır. Bir erişim noktasında ilkel bir şifre kullanılıyorsa bu erişim noktasının şifresinin kırılması an meselesidir. Örneğin, 8 basamaklı bir şifre (WPA2 için minimum şifre uzunluğu 8 karakter uzunluğundadır) bir milyon kombinasyondan oluşur. Modern bir bilgisayarda, bir milyon değeri birkaç gün, hatta saat içinde sıralayabilirsiniz.

İkinci durumda ise WPS fonksiyonunun ilk versiyonlarındaki bir güvenlik açığından yararlanılıyor. Bu özellik, yazıcı gibi parolası olmayan bir aygıtı erişim noktasına bağlamanıza olanak tanır. Bu özelliği kullanırken cihaz ve erişim noktası dijital kod alışverişinde bulunur ve cihaz doğru kodu gönderirse erişim noktası istemciye yetki verir. Bu işlevde bir güvenlik açığı vardı; kodun 8 hanesi vardı, ancak yalnızca dördünün benzersiz olup olmadığı kontrol edildi! Yani WPS'i hacklemek için 4 haneli değerleri veren tüm değerleri aramanız gerekiyor. Sonuç olarak, WPS aracılığıyla bir erişim noktasını hacklemek, en zayıf cihazda yalnızca birkaç saat içinde gerçekleştirilebilir.

Wi-Fi ağ güvenliğini ayarlama

WiFi ağının güvenliği erişim noktasının ayarlarına göre belirlenir. Bu ayarların birçoğu ağ güvenliğini doğrudan etkiler.

WiFi ağ erişim modu

Erişim noktası iki moddan birinde çalışabilir: açık veya korumalı. Açık erişim durumunda erişim noktasına herhangi bir cihaz bağlanabilir. Korumalı erişim durumunda yalnızca doğru erişim şifresini ileten cihaz bağlanır.

WiFi ağ korumasının üç türü (standartları) vardır:

WEP (Kabloluya Eşdeğer Gizlilik). Korumanın ilk standardı. Koruma mekanizmalarının zayıflığı nedeniyle çok kolay hacklenebildiği için günümüzde aslında koruma sağlayamıyor.
WPA (Wi-Fi Korumalı Erişim). Kronolojik olarak ikinci koruma standardı. Yaratılış ve devreye alma sırasında WiFi ağları için etkili koruma sağladı. Ancak 2000'li yılların sonunda güvenlik mekanizmalarındaki açıklardan WPA korumasını hackleme fırsatları ortaya çıktı.
WPA2 (Wi-Fi Korumalı Erişim). En son koruma standardı. Belirli kurallara uyulduğunda güvenilir koruma sağlar. Bugüne kadar WPA2 güvenliğini kırmanın bilinen yalnızca iki yolu vardır. Sözlük şifresi kaba kuvvet ve WPS hizmetini kullanan bir geçici çözüm.

Bu nedenle WiFi ağınızın güvenliğini sağlamak için WPA2 güvenlik türünü seçmelisiniz. Ancak tüm istemci cihazları bunu destekleyemez. Örneğin, Windows XP SP2 yalnızca WPA'yı destekler.

WPA2 standardını seçmenin yanı sıra ek koşullar da gereklidir:

AES şifreleme yöntemini kullanın.

WiFi ağına erişim şifresi aşağıdaki gibi oluşturulmalıdır:

Kullanmakşifredeki harfler ve sayılar. Rastgele bir harf ve rakam kümesi. Veya yalnızca sizin için anlamlı olan çok nadir bir kelime veya ifade.
Olumsuzörneğin isim + doğum tarihi veya bir kelime + birkaç rakam gibi basit şifreler kullanın lena1991 veya dom12345.
Yalnızca dijital bir şifre kullanmanız gerekiyorsa, uzunluğu en az 10 karakter olmalıdır. Çünkü sekiz karakterlik bir dijital şifre, gerçek zamanlı olarak kaba kuvvet yöntemi kullanılarak seçilir (bilgisayarın gücüne bağlı olarak birkaç saatten birkaç güne kadar).

Bu kurallara uygun karmaşık şifreler kullanırsanız sözlük kullanarak şifre tahmin ederek WiFi ağınız hacklenemez. Örneğin şöyle bir şifre için 5Fb9pE2a(rastgele alfanümerik), mümkün olan maksimum 218340105584896 kombinasyonlar. Günümüzde seçim yapmak neredeyse imkansızdır. Bir bilgisayar saniyede 1.000.000 (milyon) kelimeyi karşılaştırsa bile tüm değerlerin tekrarlanması neredeyse 7 yıl alacaktır.

WPS (Wi-Fi Korumalı Kurulum)

Erişim noktasında WPS (Wi-Fi Korumalı Kurulum) işlevi varsa, onu devre dışı bırakmanız gerekir. Bu özellik gerekliyse sürümünün aşağıdaki yeteneklere güncellendiğinden emin olmalısınız:

Başlangıçta olduğu gibi 4 yerine 8 PIN kodu karakterinin tamamının kullanılması.
İstemciden yanlış PIN kodu göndermeye yönelik birkaç denemeden sonra gecikmeyi etkinleştirin.

WPS güvenliğini artırmaya yönelik ek bir seçenek de alfasayısal bir PIN kodu kullanmaktır.

Herkese Açık Wi-Fi Güvenliği

Bugün interneti halka açık yerlerde - kafelerde, restoranlarda, alışveriş merkezlerinde vb. WiFi ağları üzerinden kullanmak moda. Bu tür ağları kullanmanın kişisel verilerinizin çalınmasına yol açabileceğini anlamak önemlidir. İnternete böyle bir ağ üzerinden erişirseniz ve daha sonra bir web sitesine giriş yaparsanız, verileriniz (kullanıcı adı ve şifre) aynı WiFi ağına bağlı başka bir kişi tarafından ele geçirilebilir. Sonuçta, yetkilendirmeyi geçen ve erişim noktasına bağlı herhangi bir cihazda, bu ağdaki diğer tüm cihazlardan gelen ağ trafiğine müdahale edebilirsiniz. Ve halka açık Wi-Fi ağlarının özelliği, saldırgan da dahil olmak üzere herkesin ona yalnızca açık bir ağa değil, aynı zamanda korunan bir ağa da bağlanabilmesidir.

İnternete halka açık bir Wi-Fi ağı üzerinden bağlandığınızda verilerinizi korumak için ne yapabilirsiniz? Tek bir seçenek var - HTTPS protokolünü kullanmak. Bu protokol, istemci (tarayıcı) ile site arasında şifreli bir bağlantı kurar. Ancak tüm siteler HTTPS protokolünü desteklemez. HTTPS protokolünü destekleyen bir sitedeki adresler https:// önekiyle başlar. Bir sitedeki adreslerde http:// öneki bulunuyorsa bu, sitenin HTTPS'yi desteklemediği veya kullanmadığı anlamına gelir.

Bazı siteler varsayılan olarak HTTPS kullanmaz ancak bu protokole sahiptir ve https:// önekini açıkça (manuel olarak) belirtirseniz kullanılabilir.

İnterneti kullanmanın diğer durumlarında (sohbetler, Skype vb.) olduğu gibi, bu verileri korumak için ücretsiz veya ücretli VPN sunucularını kullanabilirsiniz. Yani, önce VPN sunucusuna bağlanın ve ancak o zaman sohbeti kullanın veya web sitesini açın.

WiFi Şifre Koruması

Bu makalenin ikinci ve üçüncü bölümlerinde WPA2 güvenlik standardını kullanırken WiFi ağını hacklemenin yollarından birinin sözlük kullanarak şifreyi tahmin etmek olduğunu yazmıştım. Ancak bir saldırganın WiFi ağınızın şifresini ele geçirmesi için başka bir fırsat daha vardır. Şifrenizi monitöre yapıştırılmış yapışkan bir notta saklarsanız bu, yabancı birinin şifreyi görmesini mümkün kılar. Ve şifreniz WiFi ağınıza bağlı bir bilgisayardan çalınabilir. Bilgisayarlarınız yabancıların erişimine karşı korunmuyorsa, bu, dışarıdan biri tarafından yapılabilir. Bu, kötü amaçlı yazılım kullanılarak yapılabilir. Ayrıca şifre, ofis dışına (ev, daire) alınan bir cihazdan - akıllı telefondan, tabletten çalınabilir.

Bu nedenle WiFi ağınız için güvenilir korumaya ihtiyacınız varsa şifrenizi güvenli bir şekilde saklamak için adımlar atmanız gerekir. Yetkisiz kişilerin erişimine karşı koruyun.

Bu makaleyi yararlı bulduysanız veya beğendiyseniz, yazara maddi destek vermekten çekinmeyin. Para atarak bunu yapmak kolaydır Yandex Cüzdan No. 410011416229354. Veya telefonda +7 918-16-26-331 .

Küçük bir miktar bile yeni makaleler yazmaya yardımcı olabilir :)

Wi-Fi ağınızı korumak ve bir şifre belirlemek için kablosuz ağ güvenliği türünü ve şifreleme yöntemini seçmelisiniz. Ve bu aşamada birçok insanın bir sorusu var: Hangisini seçmeli? WEP mi, WPA mı yoksa WPA2 mi? Kişisel mi, Kurumsal mı? AES mi TKIP mi? Wi-Fi ağınızı en iyi hangi güvenlik ayarları koruyacaktır? Bütün bu soruları bu yazı çerçevesinde cevaplamaya çalışacağım. Olası tüm kimlik doğrulama ve şifreleme yöntemlerini ele alalım. Yönlendirici ayarlarında hangi Wi-Fi ağ güvenliği parametrelerinin en iyi şekilde ayarlandığını öğrenelim.

Lütfen güvenlik türünün veya kimlik doğrulamanın, ağ kimlik doğrulamasının, korumanın, kimlik doğrulama yönteminin aynı şey olduğunu unutmayın.

Kimlik doğrulama türü ve şifreleme, kablosuz bir Wi-Fi ağı için ana güvenlik ayarlarıdır. Öncelikle bunların ne olduğunu, hangi sürümlerin bulunduğunu, yeteneklerini vb. bulmamız gerektiğini düşünüyorum. Daha sonra ne tür koruma ve şifrelemeyi seçeceğimizi öğreneceğiz. Size birkaç popüler yönlendirici örneğini kullanarak göstereceğim.

Bir şifre ayarlamanızı ve kablosuz ağınızı korumanızı şiddetle tavsiye ederim. Maksimum koruma düzeyini ayarlayın. Ağı korumasız olarak açık bırakırsanız, herkes ona bağlanabilir. Bu öncelikle güvensizdir. Ayrıca yönlendiricinizde ekstra yük, bağlantı hızının düşmesi ve farklı cihazların bağlanmasıyla ilgili her türlü sorun.

Wi-Fi ağ koruması: WEP, WPA, WPA2

Üç koruma seçeneği vardır. Tabii ki "Açık" (Koruma yok) sayılmaz.

WEP(Kabloluya Eşdeğer Gizlilik) eski ve güvenli olmayan bir kimlik doğrulama yöntemidir. Bu ilk ve pek başarılı olmayan koruma yöntemidir. Saldırganlar, WEP kullanılarak korunan kablosuz ağlara kolaylıkla erişebilir. Bu modu yönlendiricinizin ayarlarında ayarlamanıza gerek yoktur, ancak orada mevcut olmasına rağmen (her zaman değil).
WPA(Wi-Fi Korumalı Erişim) güvenilir ve modern bir güvenlik türüdür. Tüm cihazlar ve işletim sistemleriyle maksimum uyumluluk.
WPA2– WPA'nın yeni, geliştirilmiş ve daha güvenilir bir sürümü. AES CCMP şifreleme desteği vardır. Şu anda bir Wi-Fi ağını korumanın en iyi yolu budur. Kullanmanızı tavsiye ettiğim şey budur.

WPA/WPA2 iki türde olabilir:

WPA/WPA2 - Kişisel (PSK)- Bu olağan kimlik doğrulama yöntemidir. Yalnızca bir şifre (anahtar) ayarlamanız ve ardından bunu bir Wi-Fi ağına bağlanmak için kullanmanız gerektiğinde. Tüm cihazlarda aynı şifre kullanılır. Şifrenin kendisi cihazlarda saklanır. Görüntüleyebileceğiniz veya gerekirse değiştirebileceğiniz yer. Bu seçeneğin kullanılması tavsiye edilir.
WPA/WPA2 - Kurumsal- esas olarak ofislerdeki ve çeşitli kuruluşlardaki kablosuz ağları korumak için kullanılan daha karmaşık bir yöntem. Daha yüksek düzeyde koruma sağlar. Yalnızca aygıtları yetkilendirmek için bir RADIUS sunucusu kurulduğunda kullanılır (şifreleri veren).

Kimlik doğrulama yöntemini bulduğumuzu düşünüyorum. Kullanılacak en iyi şey WPA2 - Kişiseldir (PSK). Daha iyi uyumluluk ve eski cihazların bağlanmasında sorun yaşanmaması için WPA/WPA2 karma modunu ayarlayabilirsiniz. Bu, birçok yönlendiricideki varsayılan ayardır. Veya "Önerilen" olarak işaretlendi.

Kablosuz Ağ Şifreleme

İki yol var TKİP Ve AES.

AES kullanılması tavsiye edilir. Ağınızda AES şifrelemesini desteklemeyen (yalnızca TKIP) eski cihazlarınız varsa ve bunları kablosuz ağa bağlarken sorun yaşayacaksanız, bunu "Otomatik" olarak ayarlayın. TKIP şifreleme türü 802.11n modunda desteklenmez.

Her durumda, kesinlikle WPA2 - Kişisel (önerilen) yüklerseniz, yalnızca AES şifrelemesi mevcut olacaktır.

Wi-Fi yönlendiricime hangi korumayı yüklemeliyim?

Kullanmak WPA2 - AES şifrelemeli kişisel. Bugün, bu en iyi ve en güvenli yoldur. ASUS yönlendiricilerde kablosuz ağ güvenliği ayarları şu şekilde görünür:

Ve bu güvenlik ayarları TP-Link yönlendiricilerinde böyle görünüyor (eski donanım yazılımıyla).

TP-Link için daha ayrıntılı talimatları görebilirsiniz.

Diğer yönlendiriciler için talimatlar:

Tüm bu ayarları yönlendiricinizde nerede bulacağınızı bilmiyorsanız, yorumları yazın, size anlatmaya çalışacağım. Model belirtmeyi unutmayın.

Eski cihazlar (Wi-Fi bağdaştırıcıları, telefonlar, tabletler vb.) WPA2 - Kişisel'i (AES) desteklemeyebileceğinden, bağlantı sorunları olması durumunda karma modu (Otomatik) ayarlayın.

Şifreyi veya diğer güvenlik ayarlarını değiştirdikten sonra cihazların ağa bağlanmak istemediğini sıklıkla fark ediyorum. Bilgisayarlar "Bu bilgisayara kaydedilen ağ ayarları bu ağın gereksinimlerini karşılamıyor" hatasını alabilir. Cihazdaki ağı silmeyi (unutmayı) ve tekrar bağlanmayı deneyin. Windows 7'de bunun nasıl yapılacağını yazdım. Ancak Windows 10'da ihtiyacınız var.

Şifre (anahtar) WPA PSK

Hangi tür güvenlik ve şifreleme yöntemini seçerseniz seçin, bir parola belirlemeniz gerekir. WPA anahtarı, Kablosuz Şifre, Wi-Fi ağ güvenlik anahtarı vb. olarak da bilinir.

Şifre uzunluğu 8 ila 32 karakter arasındadır. Latin alfabesinin harflerini ve rakamlarını kullanabilirsiniz. Ayrıca özel karakterler: - @ $ # ! vb. Boşluk yok! Şifre büyük/küçük harfe duyarlıdır! Bu, "z" ve "Z"nin farklı karakterler olduğu anlamına gelir.

Basit şifreler belirlemenizi önermiyorum. Çok uğraşsalar bile kimsenin tahmin edemeyeceği güçlü bir şifre oluşturmak daha iyidir.

Bu kadar karmaşık bir şifreyi hatırlamanız pek mümkün değildir. Bunu bir yere not etsek iyi olur. Wi-Fi şifrelerinin kolayca unutulması alışılmadık bir durum değildir. Bu gibi durumlarda ne yapılması gerektiğini yazıda yazdım: .

Daha fazla güvenliğe ihtiyacınız varsa MAC adresi bağlamayı kullanabilirsiniz. Doğru, buna gerek görmüyorum. WPA2 - AES ile eşleştirilmiş kişisel ve karmaşık bir şifre oldukça yeterlidir.

Wi-Fi ağınızı nasıl korursunuz? Yorumlara yazın. Peki soru sor :)

İyi günler, blog sitesinin sevgili okuyucuları! Bugün DIR-615 kablosuz güvenliği hakkında konuşacağız. ağ güvenliği genel olarak. Size WPA kavramının ne olduğunu anlatacağım. Aşağıda adım adım talimatlar verilmiştir sihirbaz kullanarak kablosuz ağ kurma, bir ağ anahtarı atamanın otomatik ve manuel modları hakkında. Daha sonra nasıl yapılacağını göstereceğiz WPS sihirbazını kullanarak kablosuz cihaz ekleme. Son olarak WPA-Kişisel (PSK) ve WPA-Kurumsal (RADIUS) yapılandırmalarının açıklamasını yapacağım.

Ağ güvenliği

Bu makalede, söz verdiğim gibi, verilerinizi davetsiz misafirlere karşı korumak için kullanabileceğiniz farklı güvenlik düzeyleri hakkında yazacağım. DIR-615 aşağıdaki güvenlik türlerini sunar:

WPA nedir?

WPA veya Wi-Fi Korumalı Erişim, güvenlik özelliklerini geliştirmek için tasarlanmış bir Wi-Fi standardıdır WEP.

WEP'e göre 2 önemli gelişme:

Geliştirilmiş veri şifreleme TKİP. TKIP, anahtarları bir karma algoritması kullanarak ve bir bütünlük kontrolü özelliği ekleyerek karıştırır, böylece anahtarların kurcalanmamasını sağlar. WPA2, 802.11i'yi temel alır ve şunları kullanır: AES TKİP yerine.
WEP'te genellikle bulunmayan Kullanıcı Kimlik Doğrulaması, EAP. WEP, kablosuz bir ağa erişimi, bilgisayarın bulunması ve çalınması nispeten kolay olan özel donanım MAC adresine göre düzenler. EAP, yalnızca yetkili ağ kullanıcılarının ağa erişebilmesini sağlamak için daha güvenli bir genel anahtar şifreleme sistemi üzerine kurulmuştur.

WPA-PSK/WPA2-PSK, kablosuz bağlantınızın kimliğini doğrulamak için bir parola veya anahtar kullanır. Bu anahtar, uzunluğu 8 ila 63 karakter arasında olan alfasayısal bir şifredir. Şifre karakterler (!?*&_) ve boşluk içerebilir. Bu anahtar, kablosuz yönlendiricinize veya erişim noktanıza girilen anahtarla tam olarak aynı olmalıdır.

WPA/WPA2, aracılığıyla kullanıcı kimlik doğrulamasını sağlar EAP. EAP, yalnızca yetkili ağ kullanıcılarının ağa erişebilmesini sağlamak için daha güvenli bir genel anahtar şifreleme sistemi üzerine kurulmuştur.

Kablosuz Kurulum Sihirbazı

Güvenlik sihirbazını başlatmak için sabahı açın Kurmak ve ardından düğmeye tıklayın Kablosuz ağ kurulum sihirbazı .

Otomatik Ağ Anahtarı Ataması

Bu ekran göründüğünde kurulum tamamlanmıştır. Ağ güvenlik ayarlarınızın ayrıntılı bir raporu size sunulacaktır.
Tıklamak Kaydetmek , devam etmek.

Manuel Ağ Anahtarı Ataması

Bir kablosuz güvenlik parolası seçin. tam olarak 5 veya 13 karakter uzunluğunda olmalıdır. Ayrıca 0-9 ve A-F kullanılarak tam olarak 10 veya 26 karakter olabilir.
Devam etmek için tıklayın.

Yükleme tamamlandı. Kablosuz güvenlik ayarlarınızın ayrıntılı bir raporu size sunulacaktır. Tıklamak Kaydetmek Güvenlik Sihirbazını tamamlamak için.

WPS Sihirbazını kullanarak Kablosuz Cihaz Ekleme

PBC: Yöntemi kullanmak için bu seçeneği seçin PBC Kablosuz istemci eklemek için. Tıklamak Bağlamak .

WPA-Kişisel (PSK) Yapılandırması

Kablosuz ağ bağdaştırıcılarınızı açmadan önce kablosuz yönlendiricinizde şifrelemeyi etkinleştirmeniz önerilir. Şifrelemeyi etkinleştirmeden önce lütfen kablosuz bağlantı kurun. Ek yük nedeniyle şifrelemeyi etkinleştirdiğinizde kablosuz sinyaliniz düşebilir.

WPA-Kuruluş (RADIUS) Yapılandırması

Bir web tarayıcı penceresi açıp yönlendiricinin IP adresini (192.168.0.1) girerek web tabanlı yapılandırma yardımcı programında oturum açın. Tıklamak Kurmak , ve daha sonra kablosuz ağ ayarları Sol taraftan.
Sonraki Güvenlik Modu , seçme WPA-Kurumsal.
Yorum: Devre dışı bırakılmalıdır

En son makaleler

2024-04-21 01:43:53
Vodafone neden MTS'nin izinden gidiyor ve bölgeselleşmeyi tanıtıyor?
2024-04-19 01:45:08
Bitdefender Antivirus: Soru Sormayan Etkili Bir Savunmacı
2024-04-18 01:41:53
başarısız kelimesinin anlamları

Popüler Makaleler

Editörün Seçimi

2024-04-13 02:01:28

Beeline'da farklı bir tarifeye nasıl geçilir: tüm yöntemler
Operatörlerinden gelen çok cazip tekliflerin bolluğu nedeniyle, mobil operatör MTS'nin aboneleri sıklıkla başka bir tarifeye nasıl geçilecekleri sorusuyla karşılaşıyor...
2024-04-13 02:01:28

Akıllı telefonlar Meizu Çok güzel Flyme
Meizu / Meizu, Çin'in önde gelen akıllı telefon üreticilerinden biridir. Meizu modelleri sürekli olarak en çok satan Android akıllı telefonlar arasında yer alıyor...
2024-04-13 02:01:28

Megafon SIM kartıyla tüm cihazlardaki bakiyeyi hızlı bir şekilde nasıl bulabilirim?
Nitekim ilk durumda abone, başka bir aboneye para aktarmak veya paket tahakkuk ettirmek gibi ek eylemler gerçekleştirebilecektir...
2024-04-12 01:45:27

Windows için ücretsiz programlar ücretsiz indir
Dr.Web'e Genel Bakış Dr. Web CureIt, kişisel bilgisayardaki virüslü nesneleri tedavi etmek/kaldırmak için ücretsiz bir anti-virüs yardımcı programıdır.
2024-04-12 01:45:27

Kaldırılamıyorsa Avast bilgisayarınızdan nasıl kaldırılır
İnternette gezinmenin yanı sıra çıkarılabilir depolama ortamlarıyla veri alışverişinin sonucu genellikle ekipmana virüs bulaşmasıdır....