Salaus wpa2 LAN-portin läsnäolo. Wi-Fi-salaus – mikä protokolla valita? TKIP vai AES? Mikä on parempi

Wi-Fi-salaus- mikä protokolla valita?

Ostin itse uusi reititin ja päätin perustaa sen itse. Kaikki on asennettu - Internet ja langaton verkko toimivat. Heräsi kysymys, koska radioaallot (Wi-Fi minun tapauksessani) leviävät paitsi asunnossani. Näin ollen ne voidaan siepata. Teoriassa. Reitittimessä on langattoman verkon salausasetus. Oletan, että se on juuri kuuntelun ja "kuuntelun" poissulkemista. Kysymys kuuluu, mikä reitittimessäni saatavilla olevista salausprotokollista minun pitäisi valita? Saatavilla: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Mitä Wi-Fi-salausta minun pitäisi käyttää tapauksessani?

norik | 16. helmikuuta 2015, 10.14
Jätän pois vanhentuneiden Wi-Fi-salausprotokollien kuvaukset. Siksi kuvailen vain niitä, joiden käyttö on järkevää. Jos protokollaa ei ole kuvattu tässä, se on joko eksoottinen tai et tarvitse sitä.

WPA ja WPA2 (Wi-Fi Protected Access) - saatavilla kaikissa reitittimissä. Suosituin ja yleisin protokolla. Se on myös yksi nykyaikaisimmista. IMHO - paras valinta kotiin ja pieneen toimistoon. Se soveltuu kuitenkin varsin hyvin myös suuriin toimistoihin, paitsi että valtuuttamista on järkevää monimutkaistaa. Sen salasanan pituus on jopa 63 tavua, joten jos murtat sen arvaamalla, voit muuttua harmaaksi aikaisemmin. Tietenkin sinun on valittava WPA2, jos kaikki verkon laitteet tukevat sitä (vain erittäin vanhat laitteet eivät ymmärrä sitä).

Se, mikä on todella arvokasta, on sisällä tästä palvelusta Useita salausalgoritmeja voidaan käyttää. Niistä: 1. TKIP - En suosittele sitä, koska on täysin mahdollista löytää reikä.
2. CCMP - paljon parempi.
3. AES - Pidän siitä eniten, mutta kaikki laitteet eivät tue sitä, vaikka se sisältyy WPA2-spesifikaatioon.

WPA2 tarjoaa myös kaksi alkutodennustilaa. Nämä tilat ovat PSK ja Enterprise. WPA Personal, joka tunnetaan myös nimellä WPA PSK, tarkoittaa, että kaikki käyttäjät kirjautuvat langattomaan verkkoon yksi salasana, joka on syötetty asiakaspuolella verkkoon liitettäessä. Erinomainen kotiin, mutta ongelmallinen isoon toimistoon. Jokaisen salasanan vaihtaminen tulee olemaan vaikeaa aina, kun toinen sen tietävä työntekijä eroaa.

WPA Enterprise vaatii erillisen palvelimen, jossa on avaimia. Kotiin tai toimistoon, jossa on 6 konetta, tämä on hankalaa, mutta jos toimistossa on 3 tusinaa langatonta laitetta, voit huolehtia siitä.

Itse asiassa tämä tyhjentää Wi-Fi-salauksen valinnan Tämä hetki. Muissa protokollissa joko ei ole salausta tai salasanaa ollenkaan tai algoritmeissa on aukkoja, joihin vain erittäin laiska ei pääsisi. Suosittelen WPA2 Personal AES -yhdistelmää kotikäyttöön. Suurille toimistoille - WPA2 Enterprise AES. Jos AES:tä ei ole, niin TKIP:llä pärjää, mutta silloin pakettien lukemisen todennäköisyys säilyy ulkopuolisen toimesta. On olemassa mielipide, että WPA2 TKIP:tä ei koskaan hakkeroitu, toisin kuin WPA TKIP:tä, mutta se oli suojattu...

Tämä artikkeli on omistettu turvallisuuteen käytettäessä langattomia WiFi-verkkoja.

Johdanto - WiFi-haavoittuvuudet

Pääsyy siihen, miksi käyttäjätiedot ovat haavoittuvia, kun nämä tiedot siirretään WiFi-verkkojen kautta, on se, että vaihto tapahtuu radioaaltojen kautta. Ja tämä mahdollistaa viestien sieppaamisen missä tahansa pisteessä, jossa WiFi-signaali on fyysisesti saatavilla. Yksinkertaisesti sanottuna, jos tukiaseman signaali voidaan havaita 50 metrin etäisyydeltä, niin tämän verkon kaiken verkkoliikenteen sieppaus WiFi-verkot mahdollista 50 metrin säteellä tukiasemasta. Viereisessä huoneessa, rakennuksen toisessa kerroksessa, kadulla.

Kuvittele tämä kuva. Toimistossa paikalliseen verkkoon rakennettu wifin kautta. Tämän toimiston tukiaseman signaali poimitaan rakennuksen ulkopuolelta, esimerkiksi parkkipaikalta. Hyökkääjä rakennuksen ulkopuolella voi päästä sisään toimistoverkko, eli tämän verkon omistajat huomaamatta. WiFi-verkkoihin pääsee helposti ja huomaamattomasti. Teknisesti paljon helpompaa kuin kiinteät verkot.

Joo. Tähän mennessä on kehitetty ja otettu käyttöön keinoja suojata WiFi-verkkoja. Tämä suojaus perustuu kaiken liikenteen salaamiseen tukiaseman ja siihen yhdistetyn päätelaitteen välillä. Eli hyökkääjä voi siepata radiosignaalin, mutta hänelle se on vain digitaalista "roskaa".

Kuinka WiFi-suojaus toimii?

Tukiasema sisällyttää WiFi-verkkoonsa vain laitteen, joka lähettää oikean salasanan (määritetty tukiaseman asetuksissa). Tässä tapauksessa salasana lähetetään myös salattuna, hashin muodossa. Hash on tulosta peruuttamattomasta salauksesta. Toisin sanoen tiivistettyä dataa ei voida purkaa. Jos hyökkääjä kaappaa salasanahajakoodin, hän ei voi saada salasanaa.

Mutta mistä tukiasema tietää, onko salasana oikea vai ei? Entä jos hän saa myös hashin, mutta ei voi purkaa sen salausta? Se on yksinkertaista - tukiaseman asetuksissa salasana määritetään puhtaassa muodossaan. Valtuutusohjelma ottaa tyhjän salasanan, luo siitä tiivisteen ja vertaa sitä sitten asiakkaalta saatuun tiivisteeseen. Jos tiivisteet täsmäävät, asiakkaan salasana on oikea. Tässä käytetään hashien toista ominaisuutta - ne ovat ainutlaatuisia. Samaa tiivistettä ei voida saada kahdesta eri tietojoukosta (salasanoista). Jos kaksi tiivistettä täsmäävät, ne molemmat luotiin samasta tietojoukosta.

Muuten. Tämän ominaisuuden ansiosta tiivisteitä käytetään tietojen eheyden hallitsemiseen. Jos kaksi (jollakin ajanjaksolla luotua) tiivistettä täsmää, alkuperäisiä tietoja (sinä ajanjaksona) ei ole muutettu.

Kuitenkin huolimatta siitä, että eniten moderni menetelmä WiFi-verkon suojaus (WPA2) on luotettava, tämä verkko voidaan hakkeroida. Miten?

On kaksi tapaa päästä WPA2:lla suojattuun verkkoon:

1. Salasanan valinta salasanatietokannan avulla (ns. sanakirjahaku).
2. WPS-toiminnon haavoittuvuuden hyväksikäyttö.

Ensimmäisessä tapauksessa hyökkääjä sieppaa tukiaseman salasanahajautuskoodin. Hajautusarvoja verrataan sitten tuhansien tai miljoonien sanojen tietokantaan. Sana otetaan sanakirjasta, tälle sanalle luodaan tiiviste ja sitten tätä tiivistettä verrataan siepatettuun tiivisteeseen. Jos tukiasemassa käytetään primitiivistä salasanaa, tämän tukiaseman salasanan murtaminen on ajan kysymys. Esimerkiksi 8-numeroisessa salasanassa (8 merkkiä pitkä on salasanan vähimmäispituus WPA2:lle) on miljoona yhdistelmää. Päällä moderni tietokone Voit lajitella miljoona arvoa muutamassa päivässä tai jopa tunnissa.

Toisessa tapauksessa hyödynnetään WPS-toiminnon ensimmäisten versioiden haavoittuvuutta. Tämän ominaisuuden avulla voit liittää tukiasemaan laitteen, jolla ei ole salasanaa, kuten tulostimen. Tätä ominaisuutta käytettäessä laite ja tukiasema vaihtavat digitaalista koodia ja jos laite lähettää oikean koodin, tukiasema valtuuttaa asiakkaan. Tässä toiminnossa oli haavoittuvuus - koodissa oli 8 numeroa, mutta vain neljän ainutlaatuisuus tarkistettiin! Eli WPS:n hakkeroimiseksi sinun on etsittävä kaikki arvot, jotka antavat 4 numeroa. Tämän seurauksena tukiaseman hakkerointi WPS:n kautta voidaan tehdä vain muutamassa tunnissa millä tahansa heikoimmalla laitteella.

WiFi-verkon suojauksen määrittäminen

WiFi-verkon suojaus määräytyy tukiaseman asetusten mukaan. Useat näistä asetuksista vaikuttavat suoraan verkon turvallisuuteen.

WiFi-verkon käyttötila

Tukiasema voi toimia jommassakummassa kahdesta tilasta - avoimesta tai suojatusta. Kun avoin pääsy, mikä tahansa laite voi muodostaa yhteyden tukiasemaan. Suojatun pääsyn tapauksessa vain lähettävä laite oikea salasana pääsy.

WiFi-verkon suojausta on kolmea tyyppiä (standardia):

• WEP (Wired Equivalent Privacy). Ensimmäinen suojastandardi. Nykyään se ei itse asiassa tarjoa suojaa, koska se voidaan hakkeroida erittäin helposti suojamekanismien heikkouden vuoksi.
• WPA (Wi-Fi Protected Access). Kronologisesti toinen suojastandardi. Luomisen ja käyttöönoton aikana se oli tehokas WiFi suojaus verkkoja. Mutta 2000-luvun lopulla löydettiin hakkerointimahdollisuuksia WPA-suojaus suojamekanismien haavoittuvuuksien kautta.
• WPA2 (Wi-Fi Protected Access). Uusin suojausstandardi. Tarjoaa luotettavan suojan, kun tiettyjä sääntöjä noudatetaan. Tähän mennessä on vain kaksi tunnettua tapaa murtaa WPA2-suojaus. Sanasalasanan raaka voima ja kiertotapa WPS-palvelun avulla.

Siksi sinun on valittava WPA2-suojaustyyppi, jotta voit varmistaa WiFi-verkkosi turvallisuuden. Kaikki asiakaslaitteet eivät kuitenkaan tue sitä. Esimerkiksi Windows XP SP2 tukee vain WPA:ta.

WPA2-standardin valinnan lisäksi vaaditaan lisäehtoja:

Käytä AES-salausmenetelmää.

Salasanan WiFi-verkkoon pääsyä varten on kirjoitettava seuraavasti:

1. Käyttää kirjaimia ja numeroita salasanassa. Satunnainen joukko kirjaimia ja numeroita. Tai hyvin harvinainen sana tai lause, jolla on merkitystä vain sinulle.
2. Ei käyttää yksinkertaiset salasanat esimerkiksi nimi + syntymäaika tai jokin sana + muutama numero lena 1991 tai dom12345.
3. Jos tarvitset vain digitaalinen salasana, sen pituuden on oltava vähintään 10 merkkiä. Koska kahdeksanmerkkinen digitaalinen salasana valitaan raakavoimamenetelmillä. reaaliaika(useita tunteja useisiin päiviin tietokoneen tehosta riippuen).

Jos käytät monimutkaiset salasanat, näiden sääntöjen mukaisesti WiFi-verkkoasi ei voi murtautua arvaamalla salasana sanakirjan avulla. Esimerkiksi salasanalle, kuten 5Fb9pE2a(satunnainen aakkosnumeerinen), suurin mahdollinen 218340105584896 yhdistelmiä. Nykyään valinta on lähes mahdotonta. Vaikka tietokone vertaisi 1 000 000 (miljoonaa) sanaa sekunnissa, kaikkien arvojen iterointi kestäisi lähes 7 vuotta.

WPS (Wi-Fi Protected Setup)

Jos tukiasemassa on WPS (Wi-Fi Suojattu asennus), sinun on poistettava se käytöstä. Jos tätä ominaisuutta tarvitaan, sinun on varmistettava, että sen versio päivitetään seuraaviin ominaisuuksiin:

1. Käytä kaikkia 8 PIN-koodin merkkiä 4:n sijaan, kuten alussa.
2. Ota viive käyttöön useiden yritysten jälkeen lähettää väärän PIN-koodin asiakkaalta.

Lisävaihtoehto WPS-turvallisuuden parantamiseksi on käyttää aakkosnumeerista PIN-koodia.

Julkinen WiFi-turvallisuus

Nykyään on muotia käyttää Internetiä WiFi-verkkojen kautta julkisilla paikoilla- kahviloissa, ravintoloissa, ostoskeskuksissa jne. On tärkeää ymmärtää, että tällaisten verkkojen käyttö voi johtaa henkilötietojesi varkauksiin. Jos käytät Internetiä tällaisen verkon kautta ja kirjaudut sitten sisään verkkosivustolle, toinen henkilö, joka on yhteydessä samaan WiFi-verkkoon, saattaa siepata tietosi (käyttäjätunnus ja salasana). Loppujen lopuksi voit siepata millä tahansa laitteella, joka on läpäissyt valtuutuksen ja on yhdistetty tukiasemaan verkkoliikennettä kaikista muista tämän verkon laitteista. Ja julkisten WiFi-verkkojen erikoisuus on, että kuka tahansa voi muodostaa yhteyden siihen, mukaan lukien hyökkääjä, eikä vain avoimeen, vaan myös suojattuun verkkoon.

Mitä voit tehdä tietojesi suojaamiseksi, kun muodostat yhteyden Internetiin? julkinen WiFi netto? On vain yksi vaihtoehto - käyttää HTTPS-protokollaa. Tämä protokolla muodostaa salatun yhteyden asiakkaan (selaimen) ja sivuston välille. Mutta kaikki sivustot eivät tue HTTPS-protokolla. HTTPS-protokollaa tukevan sivuston osoitteet alkavat https://-etuliitteellä. Jos sivuston osoitteissa on http://-etuliite, tämä tarkoittaa, että sivusto ei tue HTTPS:ää tai ei käytä sitä.

Jotkut sivustot eivät käytä HTTPS:ää oletuksena, mutta niillä on tämä protokolla, ja niitä voidaan käyttää, jos määrität erikseen (manuaalisesti) https://-etuliitteen.

Muissa Internetin käyttötapauksissa - chatissa, Skypessä jne., voit käyttää ilmaisia ​​tai maksullisia VPN-palvelimia näiden tietojen suojaamiseen. Eli yhdistä ensin VPN-palvelin ja käytä vasta sitten chattia tai avointa sivustoa.

WiFi salasanasuojaus

Tämän artikkelin toisessa ja kolmannessa osassa kirjoitin, että WPA2-suojausstandardin käytön tapauksessa yksi tavoista WiFi-hakkerointi verkko on valita salasana sanakirjasta. Mutta hyökkääjällä on toinen mahdollisuus saada salasana WiFi-verkkoosi. Jos tallennat salasanasi näyttöön liimatulle tarralapulle, tämä mahdollistaa sen, että tuntematon näkee salasanan. Ja salasanasi voidaan varastaa WiFi-verkkoosi yhdistetystä tietokoneesta. Se voi tehdä muukalainen, jos tietokoneitasi ei ole suojattu luvattomalta käytöltä. Tämä voidaan tehdä käyttämällä haittaohjelma. Lisäksi salasana voidaan varastaa laitteesta, joka viedään toimiston ulkopuolelle (talo, asunto) - älypuhelimesta, tabletista.

Joten jos tarvitset luotettava suoja WiFi-verkkoosi, sinun on ryhdyttävä toimenpiteisiin salasanasi turvalliseen tallentamiseen. Suojaa se luvattomalta pääsyltä.

Jos pidit tästä artikkelista hyödyllisenä tai pidit siitä, älä epäröi tukea kirjoittajaa taloudellisesti. Tämä on helppo tehdä heittämällä rahaa Yandex-lompakko nro 410011416229354. Tai puhelimessa +7 918-16-26-331 .

Pienikin summa voi auttaa kirjoittamaan uusia artikkeleita :)

SISÄÄN Viime aikoina Useita "paljastavia" julkaisuja on julkaistu joidenkin langattomien verkkojen turvallisuutta vaarantavien uusien protokollien tai tekniikoiden hakkeroinnista. Onko näin todella, mitä sinun pitäisi pelätä ja miten voit varmistaa, että verkkoon pääsy on mahdollisimman turvallinen? Merkitsevätkö sanat WEP, WPA, 802.1x, EAP, PKI sinulle vähän? Tämä lyhyt arvostelu auttaa yhdistämään kaikki sovellettavat salaus- ja radiopääsyn valtuutustekniikat. Yritän näyttää, että oikein konfiguroitu langaton verkko muodostaa hyökkääjälle ylitsepääsemättömän esteen (tietysti tiettyyn rajaan asti).

Perusasiat

Kaikki tukiaseman (verkon) ja langattoman asiakkaan välinen vuorovaikutus perustuu:

• Todennus- kuinka asiakas ja tukiasema esittelevät itsensä toisilleen ja vahvistavat, että heillä on oikeus kommunikoida keskenään;
• Salaus- mitä salausalgoritmia siirrettävälle datalle käytetään, miten salausavain luodaan ja milloin se muuttuu.

Tukiasema mainostaa säännöllisesti langattoman verkon parametreja, ensisijaisesti sen nimeä (SSID), lähetysmajakkapaketeissa. Odotettujen suojausasetusten lisäksi lähetetään QoS-, 802.11n-parametreja, tuettuja nopeuksia, tietoja muista naapureista jne. koskevia pyyntöjä. Todennus määrittää, kuinka asiakas esittelee itsensä pisteelle. Mahdolliset vaihtoehdot:

• Avata- niin sanottu avoin verkko, jossa kaikki liitetyt laitteet valtuutetaan kerralla
• Jaettu- yhdistetyn laitteen aitous on tarkistettava avaimella/salasanalla
• EAP- ulkoisen palvelimen on varmistettava liitetyn laitteen aitous EAP-protokollalla

Verkoston avoimuus ei tarkoita, että kuka tahansa voisi työskennellä sen parissa rankaisematta. Tietojen siirtämiseksi tällaisessa verkossa käytettävän salausalgoritmin on vastattava ja vastaavasti salatun yhteyden on muodostettava oikein. Salausalgoritmit ovat:

• Ei mitään- ei salausta, tiedot välitetään selkeänä tekstinä
• WEP- RC4-algoritmiin perustuva salaus eri pituuksia staattinen tai dynaaminen avain (64 tai 128 bittiä)
• CKIP- patentoitu korvaus Ciscon WEP:lle, TKIP:n varhaiselle versiolle
• TKIP- Parannettu WEP-korvaus lisätarkastuksilla ja -suojauksella
• AES/CCMP- Edistyksellisin AES256-pohjainen algoritmi lisätarkastuksilla ja -suojauksella

Yhdistelmä Avaa todennus, ei salausta käytetään laajalti vieraiden pääsyjärjestelmissä, kuten Internetin tarjoamisessa kahvilassa tai hotellissa. Yhdistääksesi sinun tarvitsee vain tietää langattoman verkon nimi. Usein tämä yhteys yhdistetään lisätarkastus Captive-portaaliin ohjaamalla käyttäjän HTTP-pyyntö osoitteeseen lisäsivu, josta voit pyytää vahvistuksen (kirjautumissalasana, hyväksyntä sääntöjen kanssa jne.).

Salaus WEP on vaarantunut, eikä sitä voida käyttää (edes dynaamisten avainten tapauksessa).

Yleisesti esiintyvät termit WPA Ja WPA2 määrittää itse asiassa salausalgoritmin (TKIP tai AES). Koska asiakassovittimet ovat tukeneet WPA2:ta (AES) jo jonkin aikaa, TKIP-salauksen käyttäminen ei ole järkevää.

Ero välillä WPA2 Personal Ja WPA2 Enterprise sieltä ovat peräisin AES-algoritmin mekaniikassa käytetyt salausavaimet. Yksityisissä (koti, pieni) sovelluksissa käytetään staattista avainta (salasana, koodisana, PSK (Pre-Shared Key)), jonka vähimmäispituus on 8 merkkiä, joka asetetaan tukiaseman asetuksissa ja on sama kaikki tietyn langattoman verkon asiakkaat. Tällaisen avaimen kompromissi (he roiskuivat naapurille, työntekijä erotettiin, kannettava tietokone varastettiin) edellyttää välitöntä salasanan vaihtoa kaikille jäljellä oleville käyttäjille, mikä on realistista vain, jos heitä on vähän. Yrityssovelluksissa, kuten nimestä voi päätellä, käytetään dynaamista avainta, joka on yksilöllinen kullekin käynnissä olevalle asiakkaalle. Tämä avain voidaan päivittää ajoittain käytön aikana katkaisematta yhteyttä, ja se on vastuussa sen luomisesta lisäkomponentti- valtuutuspalvelin, ja melkein aina tämä on RADIUS-palvelin.

Kaikki mahdolliset parametrit turvallisuustiedot on yhteenveto tässä kilvessä:

Omaisuus	Staattinen WEP	Dynaaminen WEP	WPA	WPA 2 (yritys)
Henkilöllisyystodistus	Käyttäjä, tietokone, WLAN-kortti	Käyttäjä, tietokone	Käyttäjä, tietokone	Käyttäjä, tietokone
Valtuutus	Jaettu avain	EAP	EAP tai jaettu avain	EAP tai jaettu avain
Rehellisyys	32-bittinen eheyden tarkistusarvo (ICV)	32-bittinen ICV	64-bittinen viestin eheyskoodi (MIC)	CRT/CBC-MAC (laskuritilan salauslohkoketjun todennuskoodi – CCM) osa AES:ää
Salaus	Staattinen avain	Istunnon avain	Pakettikohtainen avain TKIP:n kautta	CCMP (AES)
Avainten jakelu	Kertakäyttöinen, manuaalinen	Pair-wise Master Key (PMK) -segmentti	Johdettu PMK:sta	Johdettu PMK:sta
Alustusvektori	Teksti, 24 bittiä	Teksti, 24 bittiä	Edistynyt vektori, 65-bittinen	48-bittinen pakettinumero (PN)
Algoritmi	RC4	RC4	RC4	AES
Avaimen pituus, bitit	64/128	64/128	128	256 asti
Vaadittu infrastruktuuri	Ei	SÄDE	SÄDE	SÄDE

Jos kaikki on selvää WPA2 Personalin (WPA2 PSK) kanssa, yritysratkaisu vaatii lisäharkintaa.

WPA2 Enterprise

Tässä on kyse lisäsarjasta erilaisia ​​protokollia. Asiakaspuolella on erityinen komponentti ohjelmisto Pyynnön esittäjä (yleensä osa käyttöjärjestelmää) on vuorovaikutuksessa valtuuttavan osan, AAA-palvelimen, kanssa. SISÄÄN tässä esimerkissä näyttää kevyille tukiasemille ja ohjaimelle rakennetun yhtenäisen radioverkon toiminnan. Käytettäessä liityntäpisteitä "aivoilla" piste voi ottaa koko välittäjän roolin asiakkaiden ja palvelimen välillä. Tällöin asiakkaan anottava data välitetään 802.1x-protokollassa (EAPOL) muodostetun radion kautta ja ohjaimen puolella se kääritään RADIUS-paketteihin.

EAP-valtuutusmekanismin käyttö verkossasi johtaa siihen, että tukiaseman onnistuneen (melkein varmasti avoimen) asiakkaan todennuksen jälkeen (yhdessä mahdollisen ohjaimen kanssa) jälkimmäinen pyytää asiakasta valtuuttamaan (vahvistamaan valtuutuksensa) infrastruktuurin RADIUS-palvelimen kanssa:

Käyttö WPA2 Enterprise vaatii RADIUS-palvelimen verkossasi. Tällä hetkellä tehokkaimmat tuotteet ovat seuraavat:

• Microsoft Network Policy Server (NPS), entinen IAS- määritetty MMC:n kautta, ilmainen, mutta sinun on ostettava Windows
• Cisco Secure Access Control Server (ACS) 4.2, 5.3- konfiguroitu verkkokäyttöliittymän kautta, toiminnallisesti kehittynyt, mahdollistaa hajautettujen ja vikasietoisten järjestelmien luomisen, kalliita
• FreeRADIUS- ilmainen, määritetty käyttämällä tekstiasetuksia, ei kätevää hallita ja valvoa

Tällöin rekisterinpitäjä seuraa tarkasti meneillään olevaa tiedonvaihtoa ja odottaa onnistunutta valtuutusta tai kieltäytymistä. Jos onnistuu, RADIUS-palvelin pystyy lähettämään yhteyden tukiasemaan Lisävaihtoehdot(esimerkiksi mihin VLANiin tilaaja sijoitetaan, mikä IP-osoite määritetään, QoS-profiili jne.). Vaihdon lopussa RADIUS-palvelin sallii asiakkaan ja tukiaseman luoda ja vaihtaa salausavaimia (yksittäisiä, voimassa vain tässä istunnossa):

EAP

Itse EAP-protokolla on konttipohjainen, mikä tarkoittaa, että varsinainen valtuutusmekanismi on jätetty sisäisten protokollien varaan. Päällä tällä hetkellä Seuraavat ovat saaneet merkittävää jakelua:

• EAP-NOPEA(Flexible Authentication via Secure Tunneling) - kehittänyt Cisco; sallii valtuutuksen käyttämällä sisäänkirjautumista ja salasanaa, jotka välitetään TLS-tunnelissa pyytäjän ja RADIUS-palvelimen välillä
• EAP-TLS(Transport Layer Security). Käyttää infrastruktuuria julkiset avaimet(PKI) valtuuttamaan asiakkaan ja palvelimen (hakija ja RADIUS-palvelin) luotetun varmenneviranomaisen (CA) myöntämien varmenteiden avulla. Edellyttää asiakassertifikaattien myöntämistä ja asentamista jokaiselle langaton laite, joten se sopii vain hallittuihin yritysympäristöihin. Windows Certificate Server -palvelimessa on toimintoja, joiden avulla asiakas voi luoda oman varmenteensa, jos asiakas on toimialueen jäsen. Asiakkaan estäminen voidaan tehdä helposti peruuttamalla sen varmenne (tai tilien kautta).
• EAP-TTLS(Tunneled Transport Layer Security) on samanlainen kuin EAP-TLS, mutta se ei vaadi asiakassertifikaattia tunnelia luotaessa. Tällaisessa tunnelissa, kuten selaimen SSL-yhteydessä, suoritetaan lisävaltuutus (käyttäen salasanaa tai jotain muuta).
• PEAP-MSCHAPv2(Suojattu EAP) – samanlainen kuin EAP-TTLS, kun asiakkaan ja palvelimen välille muodostetaan aluksi salattu TLS-tunneli, joka vaatii palvelinvarmenteen. Myöhemmin valtuutus tapahtuu tällaisessa tunnelissa käyttämällä tunnettu protokolla MSCHAPv2
• PEAP-GTC(Generic Token Card) - samanlainen kuin edellinen, mutta vaatii kertaluonteiset salasanakortit (ja vastaavan infrastruktuurin)

Kaikki nämä menetelmät (paitsi EAP-FAST) edellyttävät varmenneviranomaisen (CA) myöntämää palvelinvarmennetta (RADIUS-palvelimella). Tässä tapauksessa itse CA-varmenteen on oltava asiakkaan laitteessa luotetussa ryhmässä (mikä on helppo toteuttaa käyttämällä ryhmäpolitiikka Windowsissa). Lisäksi EAP-TLS vaatii yksilöllisen asiakkaan varmenne. Asiakkaan todennus suoritetaan seuraavasti: digitaalinen allekirjoitus, joten (valinnainen) vertaamalla asiakkaan RADIUS-palvelimelle antamaa varmennetta siihen, mitä palvelin haki PKI-infrastruktuurista (Active Directory).

Asiakaspuolen alihankkijan on tarjottava tuki kaikille EAP-menetelmille. Vakiona sisäänrakennettu Windows XP/Vista/7, iOS, Android tarjoaa vähintään EAP-TLS:n ja EAP-MSCHAPv2:n, mikä tekee näistä menetelmistä suosittuja. Intelin Windows-asiakassovittimien mukana tulee ProSet-apuohjelma, joka laajenee saatavilla oleva luettelo. Cisco AnyConnect Client tekee samoin.

Kuinka luotettava se on?

Loppujen lopuksi, mitä hyökkääjältä vaaditaan hakkeroitumaan verkkoosi?

Avoin todennus, ei salausta - ei mitään. Yhdistetty verkkoon, ja siinä se. Koska radiomedia on auki, signaali kulkee eri suuntiin, eikä sitä ole helppo estää. Jos sinulla on sopivat asiakassovittimet, joilla voit kuunnella ilmaa, verkkoliikenne näkyy samalla tavalla kuin jos hyökkääjä olisi yhdistänyt johtoon, keskittimeen tai kytkimen SPAN-porttiin.
WEP-pohjainen salaus vaatii vain IV-ajan ja yhden monista vapaasti saatavilla olevista skannausapuohjelmista.
TKIP- tai AES-salauksessa suora salauksen purku on teoriassa mahdollista, mutta käytännössä hakkerointitapauksia ei ole esiintynyt.

Voit tietysti yrittää arvata jonkin EAP-menetelmän PSK-avaimen tai salasanan. Näitä menetelmiä vastaan ​​ei tunneta yleisiä hyökkäyksiä. Voit kokeilla menetelmiä sosiaalinen suunnittelu, tai

Hei kaikki!

Analysoin hieman kommentteja, joita vierailijat jättävät sivustolle, tarkistin pyynnöt ja tajusin, että Wi-Fi-yhteyden muodostamisessa on hyvin yleinen ongelma, josta en ole vielä kirjoittanut. Mutta sivustolle jätettiin monia kommentteja, joissa pyydettiin apua tämän ongelman ratkaisemiseksi. Neuvoin siellä jotain, mutta en tiedä, auttoiko neuvoni sinua (harvoin kukaan kirjoittaa tuloksista 🙁).

Ja eilen, Roman (Kiitos hyvä mies :) Jätin artikkeliin kommentin, jossa jaoin tietoja siitä, kuinka hän ratkaisi ongelman "Tallennettu, WPA\WPA2-suojaus". Tämä kommentti auttoi minua ymmärtämään ongelmaa hieman, ja päätin kerätä kaikki vinkit tämän virheen ratkaisemiseksi yhteen artikkeliin.

Ongelman ydin

Kun kytket puhelimen tai tabletin (todennäköisimmin Androidilla), Vastaanottaja kotiverkko, tai jossain kahvilassa, verkon nimen viereen ilmestyy teksti "Tallennettu, WPA\WPA2-suojaus". Eikä muuta tapahdu. Jos napsautat tätä verkkoa ja valitset Kytkemään, silloin ei tapahdu mitään. Näet, miltä tämä virhe näyttää yllä olevasta kuvakaappauksesta.

Aiheutin tämän ongelman erityisesti Asus RT-N13U Wi-Fi-reitittimessäni ja yritin muodostaa yhteyden HTC puhelin One V (Android 4.0) . Joten sain tämän viestin "Tallennettu, WPA\WPA2-suojaus". Lisäksi kaikki sujui ensimmäisellä kerralla. Miten? Kyllä, hyvin yksinkertaista. Reitittimen asetuksissa "Langaton verkkotila" asetettiin Auto-tilaan, ja asetin sen arvoon n Only. Tallensin asetukset, katkaisin puhelimen Wi-Fi-yhteyden, mutta yhteyttä ei enää voinut muodostaa :)

Virhe "Tallennettu, WPA\WPA2-suojaus" tärkeimmät syyt

Ystävät, en voi sanoa tarkasti kaikkea ja antaa neuvoja, jotka toimivat sataprosenttisesti, toivottavasti ymmärrätte. Kaikki laitteet ovat erilaisia, jokaisella on erilaiset asetukset ja monia muita vivahteita.

Mutta yritän kerätä minulle tuntemiani syitä ja tapoja ratkaista ne, joiden kautta tällainen ongelma langattomaan verkkoon yhdistämisessä voi syntyä.

Jos näit puhelimessasi viestin "Tallennettu, WPA\WPA2-suojattu" yhdistäessäsi langattomaan verkkoon (ehkä vähän erilainen), niin kannattaa tarkistaa nämä asetukset (Suosittelen tarkistamaan samassa järjestyksessä):

Aloita käynnistämällä reititin uudelleen.

Olen huomannut tämän ongelman jo useita kertoja: puhelimen Internet yksinkertaisesti lakkaa toimimasta, mutta yhteys on olemassa ja verkko on hyvä. Kytken Wi-Fin pois päältä ja päälle puhelimessani, mutta se ei enää muodosta yhteyttä verkkoon, vaan siinä lukee "Tallennettu, WPA2-suojaus". Vain reitittimen uudelleenkäynnistys auttaa.

1. Paljasta oikea alue reitittimen asetuksissa
2. Tarkista, onko Wi-Fi-verkon salasana oikea
3. Tarkista (vaihda) langattoman verkon toimintatila reitittimen asetuksista
4. Tarkista (vaihda) salaustyyppi ja suojaustyyppi, vaihda salasana reitittimen asetuksista
5. Kokeile vaihtaa kanavaa, jolla langaton verkkosi toimii.
6. Kokeile muuttaa kanavan leveyttä.

Ja nyt tarkemmin kaikista kohdista

Aseta oikea alue reitittimen asetuksista

Hyvin usein tämä virhe ilmenee juuri siksi, että Wi-Fi-asetukset on asetettu väärälle alueelle.

Olen päällä esimerkki Tp-Link Näytän sinulle kuinka aluetta vaihdetaan. Jos sinulla on toisen yrityksen reititin, näitä asetuksia todennäköisesti muutetaan samalla sivulla, jossa määritit langattoman verkon nimen ja muut asetukset.

Siirry Ohjauspaneelissa välilehdelle Langaton (Langaton tila) ja pistettä vastapäätä Alue ilmoita maa, jossa olet.

Tallenna asetukset napsauttamalla -painiketta Tallentaa(Tallentaa) .

Tarkista salasanasi ja muodosta yhteys uudelleen

Olet ehkä yksinkertaisesti syöttänyt salasanasi väärin (vaikka se todennäköisesti menee sitten pysyvä yhteys, pyöreä. Mutta sinun täytyy tarkistaa), ja ennen kuin pääset reitittimen asetuksiin, suosittelen tarkistamaan tämän.

Saatat kysyä, kuinka voin syöttää salasanan uudelleen, koska salasanapyyntö ei tule näkyviin. Sinun on poistettava yhteys. Napsauta vain verkkoasi ja valitse Poistaa.

Napsauta nyt verkkoasi uudelleen ja anna Wi-Fi-salasanasi. Varmista vain, että se on oikein. Jos unohdat, katso salasana reitittimen asetuksista tai liitetyltä tietokoneelta (jos sellaisia ​​on). Lue lisää artikkelista.

Langattoman verkon toimintatilan tarkistaminen

Minusta näyttää siltä, ​​että tämä pääsyy. Vain laitteesi (puhelin, tabletti) ei välttämättä tue toimintatilaa, jossa reititin toimii.

Toimintatapa on niitä outoja kirjaimia b/g/n, jonka olet luultavasti jo huomannut reitittimen asetuksissa. Kokeile tilan vaihtamista. Älä unohda käynnistää reititintä uudelleen jokaisen muutoksen jälkeen ja kytkeä puhelimesi (tablettisi) Wi-Fi pois / päälle.

Joten asensin n Onlyn Auton sijasta ja virhe ilmestyi. Entä jos sinulla on esimerkiksi jo asetuksissa n Only? Tässä ovat ongelmasi.

Salaus-/suojaustyypin, salasanan muuttaminen

Saattaa olla, että laitteesi ei yksinkertaisesti pidä reitittimen käyttämästä suojauksesta tai salauksesta. Tai et pidä salasanasta.

Suosittelen asettamaan seuraavat arvot:

WPA/WPA2 – henkilökohtainen (suositus)

Versio: WPA-PSK

Salaus: AES

PSK-salasana (avain) – vain vähintään kahdeksan merkkiä ja numeroa.

Tallennamme, käynnistämme reitittimen uudelleen, poistamme yhteyden puhelimesta ja muodostamme yhteyden antamalla uuden salasanan.

Huomio! Salasanan tai muiden suojausasetusten vaihtamisen jälkeen voi ilmetä ongelmia muiden tähän verkkoon jo liitettyjen laitteiden yhdistämisessä (tietokoneet, kannettavat tietokoneet, televisiot).

Kokeilu kanavalla, jolla Wi-Fi-verkko toimii

Se on tietysti epätodennäköistä, mutta voi olla. Kirjoitin artikkelissa siitä, mikä langaton verkkokanava on, kuinka sitä vaihdetaan ja miksi.

Kokeile kokeilla ja katso auttaako se.

Kanavan leveys

Tuossa on sellainen pointti Wi-Fi-asetukset reititin, esim Kanavan leveys. Jos sinulla on esimerkiksi TP-Link ja valikko on englanninkielinen, sitä kutsutaan nimellä Kanavan leveys.

Siellä voit valita useita vaihtoehtoja: Auto, 20MHz ja 40MHz - reitittimestä riippuen. Kokeile asentaa ensin Auto(tai Asus 20MHz/40MHz), jos se ei auta, niin erikseen.

Missä voin muuttaa kanavan leveyttä?

Mene reitittimen asetuksiin ( osoite 192.168.1.1 tai 192.168.0.1, kirjoita kirjautumistunnus/salasana - katso reitittimen alaosaa).

Asus

Siirry välilehdelle Langaton verkko ja muuta arvoa päinvastaiseksi Kanavan leveys.

TP-linkki

Tab Langaton – langattomat asetukset, kappale Kanavan leveys.

Älä unohda tallentaa asetuksia ja käynnistää reititin uudelleen.

Jälkisana

Olen näköjään kirjoittanut kaiken mitä halusin. Toivon todella, että neuvoni auttaa sinua. Pääset eroon tästä ongelmasta ja ystävystyt puhelimen tai tabletin kanssa Wi-Fi-reititin 🙂 .

Ehkä tiedät muita ratkaisuja tähän ongelmaan, jaa ne kommenteissa - olen kiitollinen!

Toivottaen!

Sivustolla myös:

Puhelin (tabletti) ei muodosta yhteyttä Wi-Fi-verkkoon, se sanoo "Tallennettu, WPA\WPA2-suojattu" päivitetty: 7. helmikuuta 2018: järjestelmänvalvoja

Langattomiin protokolliin ja salausmenetelmiin liittyy monia vaarallisia riskejä. Siten eri protokollien vankkaa rakennetta käytetään niiden minimoimiseen langaton tietoturva. Nämä langattomat suojausprotokollat estää luvattoman pääsyn tietokoneisiin salaamalla langattoman verkon kautta lähetetyt tiedot.

Ero WPA2-, WPA- ja WEP Wi-Fi-protokollien välillä

Eniten pisteitä langaton yhteys on mahdollisuus ottaa käyttöön yksi kolmesta langattomasta salausstandardista:

1. WEP (Wired Equivalent Privacy)
2. WPA2

WEP tai Wired Equivalent Privacy

Ensimmäinen langaton verkko suojaus oli WEP tai Wired Equivalent Privacy -protokolla. Se alkoi 64-bittisellä salauksella (heikko) ja lopulta meni 256-bittiseen salaukseen (vahva). Suosituin toteutus reitittimissä on edelleen 128-bittinen salaus (välissä). Tätä pidettiin mm Mahdollinen ratkaisu kunnes tietoturvatutkijat löysivät siitä useita haavoittuvuuksia, jotka antoivat hakkereille mahdollisuuden hakkeroida WEP-avain muutaman minuutin sisällä. Hän käytti CRC tai Syklinen redundanssin tarkistus.

WPA- tai Wi-Fi-suojattu pääsy

WEP:n puutteiden voittamiseksi WPA kehitettiin nimellä uusi standardi turvaa varten langattomat protokollat. Viestin eheyden varmistamiseksi hän käytti eheysprotokollaTKIP tai Temporaalinen avaimen eheys. Tämä erosi jollain tapaa WEP:stä, jossa käytettiin CRC:tä tai syklistä redundanssitarkistusta. TKIP:n uskottiin olevan paljon vahvempi kuin CRC. Sen käyttö varmisti, että jokainen datapaketti lähetettiin käyttämällä ainutlaatuista salausavainta. Näppäinyhdistelmä vaikeutti näppäinten dekoodausta ja vähensi siten ulkopuolelta tulevien tunkeutumisten määrää. Kuitenkin, kuten WEP, WPA: lla oli myös haittapuoli. Näin ollen WPA laajennettiin WPA 2:ssa.

WPA2

WPA 2 tunnetaan tällä hetkellä eniten suojattu protokolla. Yksi kaikista tärkeitä muutoksia näkyy WPA:n ja WPA2:n välillä pakollinen käyttö algoritmeja AES (Advanced Encryption Standard) ja esittely CCMP (Counter Cipher Mode with Blockchain Authentication Code Protocol) TKIP:n korvikkeena. CCM-tila yhdistää luottamuksellisuustilan (CTR) ja ketjukooditodennuksen (CBC-MAC) todennusta varten. Näitä tiloja on tutkittu laajasti, ja niillä näyttää olevan hyvin ymmärrettäviä salausominaisuuksia, jotka tarjoavat hyvä turvallisuus ja suorituskyky ohjelmistossa tai laitteisto tähän mennessä.