Langattoman suojauksen ja salauksen tyyppi. Kumpi valita? Asetamme oikean alueen reitittimen asetuksissa. Lisäsuojatoimenpiteet
Tänään kaivellaan hieman syvemmälle langattoman yhteyden suojauksen aiheeseen. Selvitetään, mikä se on - sitä kutsutaan myös "todennusksi" - ja kumpi on parempi valita. Olet luultavasti törmännyt lyhenteisiin, kuten WEP, WPA, WPA2, WPA2/PSK. Ja myös joitain niiden lajikkeita - Personal tai Enterprise ja TKIP tai AES. No, tarkastellaanpa niitä kaikkia tarkemmin ja selvitetään, minkä tyyppinen salaus valitaan varmistaaksesi maksimaalisen nopeuden nopeutta tinkimättä.
Huomaan, että suojellaksesi sinua WiFi salasana tarpeellista riippumatta valitsemastasi salaustyypistä. Jopa eniten yksinkertainen todennus välttyy melkoisesti vakavia ongelmia.
Miksi sanon tämän? Ei ole edes kysymys siitä, että monien väärien asiakkaiden yhdistäminen hidastaa verkkoasi – se on vasta alkua. pääsyy tosiasia on, että jos verkkoasi ei ole suojattu salasanalla, hyökkääjä voi liittyä siihen ja suorittaa reitittimesi alta laittomat toimet, ja sitten sinun on vastattava hänen teoistaan, joten ota wifi-suojaus vakavasti.
WiFi-tietojen salaus- ja todennustyypit
Joten olemme vakuuttuneita tarpeesta salata wifi-verkko, katsotaan nyt, mitä tyyppejä on:
Mikä on WEP wifi-suojaus?
WEP(Wired Equivalent Privacy) on ensimmäinen ilmestynyt standardi, joka ei enää täytä luotettavuusvaatimuksia nykyaikaiset vaatimukset. Kaikki ohjelmat, jotka on määritetty hakkeroimaan verkko wifi-menetelmä merkkien numeroinnin tarkoituksena on suurelta osin valita WEP-salausavain.
Mikä on WPA-avain tai salasana?
WPA (Wi-Fi suojattu Pääsy) - lisää moderni standardi todennus, jonka avulla voit suojata luotettavasti paikallinen verkko ja Internetiin laittomalta pääsyltä.
Mikä on WPA2-PSK – henkilökohtainen vai yritys?
WPA2- parannettu versio edellisestä tyypistä. WPA2:n hakkerointi on melkein mahdotonta, se tarjoaa maksimaalisen suojaustason, joten artikkeleissani sanon aina ilman selitystä, että sinun on asennettava se - nyt tiedät miksi.
WiFi-turvastandardeilla WPA2 ja WPA on kaksi muuta lajiketta:
- Henkilökohtainen, merkitty WPA/PSK tai WPA2/PSK. Tämä tyyppi on laajimmin käytetty ja optimaalinen käytettäväksi useimmissa tapauksissa - sekä kotona että toimistossa. WPA2/PSK:ssa asetamme vähintään 8 merkin pituisen salasanan, joka tallennetaan sen laitteen muistiin, jonka yhdistämme reitittimeen.
- Yritys- monimutkaisempi kokoonpano, joka edellyttää, että RADIUS-toiminto on käytössä reitittimessä. Se toimii periaatteen mukaan, eli jokaiselle yksittäiselle yhdistetylle gadgetille on määritetty erillinen salasana.
WPA-salaustyypit - TKIP vai AES?
Joten päätimme niin optimaalinen valinta verkon turvallisuuden vuoksi käytössä on WPA2/PSK (Personal), mutta siinä on kaksi muuta tietojen salaustyyppiä todennusta varten.
- TKIP- Nykyään tämä on vanhentunut tyyppi, mutta sitä käytetään edelleen laajalti, koska monet laitteet tietyn vuoden ajan tukevat vain sitä. Ei toimi WPA2/PSK-tekniikan kanssa eikä tue 802.11n WiFiä.
- AES- uusin ja luotettavin WiFi-salaustyyppi tällä hetkellä.
Minkä tyyppinen salaus minun pitäisi valita ja asettaa WPA-avain WiFi-reitittimeeni?
Olemme selvittäneet teorian - siirrytään käytäntöön. Koska WiFi-standardit 802.11 "B" ja "G", joilla on suurin nopeus 54 Mbit/s asti, kukaan ei ole käyttänyt sitä pitkään aikaan - nykyään normi on 802.11 “N” tai “AC”, joka tukee jopa 300 Mbit/s ja suurempia nopeuksia, harkitse sitten WPA/PSK-suojauksen käyttöä tyypin kanssa TKIP-salaus siinä ei ole järkeä. Siksi, kun määrität langattoman verkon, aseta se oletusasetukseksi
WPA2/PSK - AES
Tai viimeisenä keinona määritä "Auto" salaustyypiksi varmistaaksesi, että yhdistät edelleen vanhentuneita laitteita. WiFi moduuli.
Tässä tapauksessa WPA-avaimessa tai yksinkertaisesti sanottuna verkkoon yhdistämisen salasanassa on oltava 8–32 merkkiä, mukaan lukien englanninkieliset pienet kirjaimet ja isot kirjaimet, sekä erilaisia erikoismerkkejä.
Langaton suojaus TP-Link-reitittimessäsi
Yllä olevat kuvakaappaukset näyttävät modernin ohjauspaneelin TP-Link reititin V uusi versio laiteohjelmisto. Verkkosalauksen määrittäminen tässä on "Lisäasetukset - Langaton tila».
Vanhassa "vihreässä" versiossa olemme kiinnostuneita WiFi-kokoonpanot verkot sijaitsevat valikossa " Langaton tila - Suojaus". Jos teet kaiken kuten kuvassa, se on hienoa!
Jos huomasit, siellä on myös sellainen kohta kuin "WPA-ryhmäavaimen päivitysjakso". Tosiasia on, että turvallisuuden lisäämiseksi todellinen WPA-digitaalinen avain yhteyden salaamiseen muuttuu dynaamisesti. Tässä asetat arvon sekunteina, jonka jälkeen muutos tapahtuu. Suosittelen olemaan koskematta siihen ja jättämään sen oletusarvoksi - sisään eri malleja Päivitysväli on erilainen.
Todennusmenetelmä ASUS-reitittimessä
ASUS-reitittimillä kaikki WiFi-asetukset sijaitsee yhdellä "Langaton verkko" -sivulla
Verkkosuojaus Zyxel Keenetic -reitittimen kautta
Samoin Zyxel Keeneticille - osio "WiFi-verkko - tukiasema"
SISÄÄN Keenetic reitittimet Ilman "Zyxel"-etuliitettä salaustyyppiä muutetaan "Kotiverkko"-osiossa.
D-Link-reitittimen suojauksen määrittäminen
D-Linkistä etsimme osion " Wi-Fi - Turvallisuus»
No, tänään ymmärsimme WiFi-salauksen tyypit ja termit, kuten WEP, WPA, WPA2-PSK, TKIP ja AES, ja opimme kumpi on parempi valita. Lue myös muista verkon suojausvaihtoehdoista yhdessä aiemmista artikkeleistani, joissa puhun MAC- ja IP-osoitteista ja muista suojausmenetelmistä.
Video reitittimen salaustyypin asettamisesta
Hyvää päivää, rakkaat ystävät, tuttuja ja muita henkilöitä. Tänään puhumme WiFi-salaus , mikä on otsikon perusteella loogista.
Luulen, että monet teistä käyttävät sellaista asiaa kuin mikä tarkoittaa mitä todennäköisimmin myös WiFi niillä kannettaville tietokoneille, tableteille ja muille mobiililaitteille.
Sanomattakin on selvää, että tämä sama Wi-Fi on lukittava salasanalla, muuten haitalliset naapurit käyttävät Internetiäsi ilmaiseksi tai vielä pahempaa tietokonettasi :)
On sanomattakin selvää, että salasanan lisäksi on olemassa myös kaikenlaisia eri tyyppejä juuri tämän salasanan salaus, tarkemmin sanottuna sinun WiFi protokollaa, jotta sitä ei vain käytetä, vaan sitä ei myöskään voida hakkeroida.
Yleensä tänään haluaisin puhua kanssasi hieman sellaisesta asiasta kuin WiFi salaus, tai pikemminkin nämä WPE, WPA, WPA2, WPS ja muut heidän kaltaiset.
Valmis? Aloitetaan.
WiFi-salaus - yleistä tietoa
Puhutaanpa aluksi hyvin yksinkertaistetulla tavalla siitä, miltä reitittimen (palvelimen) todennus näyttää, eli miltä salaus- ja tiedonvaihtoprosessi näyttää. Tämä on kuva, jonka saamme:
Eli ensin asiakkaana sanomme, että olemme me, eli tiedämme salasanan (vihreä nuoli ylhäällä). Palvelin, esimerkiksi reititin, iloitsee ja antaa sen meille satunnainen merkkijono(se on myös avain, jolla salaamme tiedot), ja sitten samalla avaimella salatut tiedot vaihdetaan.
Puhutaanpa nyt salaustyypeistä, niiden haavoittuvuuksista ja niin edelleen. Aloitetaan järjestyksessä, nimittäin AVATA, eli salauksen puuttumisesta, ja sitten siirrytään kaikkeen muuhun.
Tyyppi 1 - AUKI
Kuten jo ymmärsit (ja juuri sanoin), itse asiassa AVATA- tämä on minkään suojan puuttuminen, ts. Wifi Luokana ei ole salausta, etkä sinä ja reitittimesi ole ehdottomasti mukana kanavan ja lähetettyjen tietojen suojaamisessa.
Tämä on juuri se periaate, jolla he työskentelevät. kiinteät verkot- niissä ei ole sisäänrakennettua suojausta ja "törmäystä" siihen tai yksinkertaisesti yhdistämistä keskittimeen/kytkimeen/reitittimeen verkkosovitin vastaanottaa paketteja kaikilta tämän verkkosegmentin laitteilta selkeänä tekstinä.
Langattoman verkon avulla voit kuitenkin "kaatua" mistä tahansa - 10-20-50 metriä tai enemmän, ja etäisyys ei riipu vain lähettimen tehosta, vaan myös hakkerin antennin pituudesta. Siksi avoin tiedonsiirto langattoman verkon kautta on paljon vaarallisempaa, koska itse asiassa kanavasi on kaikkien saatavilla.
Tyyppi 2 - WEP (Wired Equivalent Privacy)
Yksi varhaisimmista tyypeistä Wifi salaus on WEP. Tuli ulos lopussa 90 -x ja on tällä hetkellä yksi heikoimmista salaustyypeistä.
Haluatko tietää ja pystyä tekemään enemmän itse?
Tarjoamme sinulle koulutusta seuraavilla aloilla: tietokoneet, ohjelmat, hallinto, palvelimet, verkot, verkkosivujen rakentaminen, SEO ja paljon muuta. Ota selvää yksityiskohdista nyt!
Monissa nykyaikaisissa reitittimissä tämäntyyppinen salaus on kokonaan poissuljettu valittavien vaihtoehtojen luettelosta:
Sitä tulisi välttää samalla tavalla kuin avoimia verkkoja - se tarjoaa suojan vain päälle lyhyt aika, jonka jälkeen kaikki lähetykset voidaan paljastaa täysin riippumatta salasanan monimutkaisuudesta.
Tilannetta pahentaa se, että salasanat sisään WEP- se on joko 40 , tai 104 bittiä, että kyseessä on erittäin lyhyt yhdistelmä ja se voidaan valita sekunneissa (tämä ei ota huomioon itse salauksen virheitä).
Pääongelma WEP- perustavanlaatuinen suunnitteluvirhe. WEP lähettää itse asiassa useita tavuja tätä samaa avainta jokaisen datapaketin mukana.
Siten avaimen monimutkaisuudesta riippumatta mikä tahansa lähetys voidaan paljastaa yksinkertaisesti riittävällä määrällä siepattuja paketteja (useita kymmeniä tuhansia, mikä on melko vähän aktiivisesti käytetyssä verkossa).
Tyyppi 3 – WPA ja WPA2 (Wi-Fi Protected Access)
Nämä ovat joitain nykyaikaisimmista tyypeistä sellaisista asioista kuin WiFi-salaus ja tähän mennessä itse asiassa uusia ei ole juurikaan keksitty.
Itse asiassa tämäntyyppisten salausten luominen korvasi pitkämielisyyden WEP. Salasanan pituus on mielivaltainen, alkaen 8 ennen 63 tavua, mikä tekee valinnasta erittäin vaikeaa (vertaa 3, 6 Ja 15 tavua sisään WEP).
Vakiotuet erilaisia algoritmeja lähetettyjen tietojen salaus kättelyn jälkeen: TKIP Ja CCMP.
Ensimmäinen on jotain kuin silta välillä WEP Ja WPA, joka keksittiin tuolloin IEEE olivat kiireisiä täysimittaisen algoritmin luomisessa CCMP. TKIP yhtä hyvin kuin WEP, kärsii tietyntyyppisistä hyökkäyksistä, eikä se yleensä ole kovin turvallinen.
Nykyään sitä käytetään harvoin (vaikka minulle ei ole selvää miksi sitä edelleen käytetään) ja yleensä käyttö WPA Kanssa TKIP melkein sama kuin käyttämällä yksinkertaista WEP.
Paitsi erilaisia algoritmeja salaus, WPA(2) tukee kahta erilaista alkutodennustilaa (salasanan varmistus asiakkaan verkkoon pääsyä varten) - PSK Ja Yritys. PSK(joskus kutsutaan WPA Personal) - kirjaudu sisään yhdellä salasanalla, jonka asiakas antaa yhteyden muodostaessaan.
Tämä on yksinkertaista ja kätevää, mutta suurissa yrityksissä se voi olla ongelma - oletetaan, että työntekijäsi lähti ja jotta hän ei enää pääse verkkoon, sinun on vaihdettava koko verkon salasana ja ilmoitettava muille työntekijöille se. Yritys poistaa tämän ongelman, koska erilliseen palvelimeen on tallennettu useita avaimia - SÄDE.
Sitä paitsi, Yritys standardoi itse autentikointiprosessin protokollassa EAP (E laajennettavissa A todennus P rotocol), jonka avulla voit kirjoittaa oman algoritmin.
Tyyppi 4 - WPS/QSS
Wifi salaus WPS, alias QSS - mielenkiintoista tekniikkaa, jonka avulla emme ajattele salasanaa ollenkaan, vaan painat painiketta ja muodostamme välittömästi yhteyden verkkoon. Pohjimmiltaan tämä on "laillinen" tapa ohittaa salasanasuojaus yleensä, mutta yllättävää on, että se on yleistynyt itse pääsyjärjestelmässä tapahtuneen erittäin vakavan virheen vuoksi - tämä on vuosia surullisen kokemuksen jälkeen. WEP.
WPS sallii asiakkaan muodostaa yhteyden tukiasemaan käyttämällä 8-merkkistä koodia, joka koostuu numeroista ( PIN-koodi). Kuitenkin standardin virheen vuoksi sinun tarvitsee vain arvata 4 heistä. Eli kaikki mikä riittää 10000 yrittää arvata ja langattomaan verkkoon pääsyn salasanan monimutkaisuudesta riippumatta saat automaattisesti tämän pääsyn ja sen lisäksi tämän saman salasanan sellaisena kuin se on.
Koska tämä vuorovaikutus tapahtuu ennen turvatarkastuksia, sekunnissa voidaan lähettää 10-50 kirjautumispyynnöt kautta WPS, ja läpi 3-15 tuntia (joskus enemmän, joskus vähemmän) saat avaimet taivaaseen.
Kun tämä haavoittuvuus havaittiin, valmistajat alkoivat rajoittaa sisäänkirjautumisyritysten määrää ( hintaraja), jonka ylittyessä tukiasema sammuu automaattisesti hetkeksi WPS- Toistaiseksi tällaisista laitteista on kuitenkin enintään puolet niistä laitteista, jotka on jo julkaistu ilman tätä suojaa.
Vielä enemmän - väliaikainen käytöstä poistaminen ei muuta mitään olennaisesti, koska yhdellä kirjautumisyrityksellä minuutissa tarvitsemme vain 10000/60/24 = 6,94 päivää. A PIN-koodi yleensä löydetään ennen kuin koko sykli on suoritettu.
Haluan jälleen kerran kiinnittää huomionne siihen, että kun WPS salasanasi paljastetaan väistämättä sen monimutkaisuudesta riippumatta. Joten jos sitä ylipäätään tarvitset WPS- kytke se päälle vain, kun muodostat yhteyden verkkoon, ja pidä se pois päältä muun ajan.
Jälkisana
Itse asiassa voit tehdä omat johtopäätöksesi, mutta yleisesti ottaen on sanomattakin selvää, että sinun pitäisi käyttää ainakin WPA, ja paremmin WPA2.
Seuraavassa artikkelissa aiheesta WiFi puhumme siitä, miten ne vaikuttavat Erilaisia tyyppejä kanavan ja reitittimen suorituskyvyn salaus ja harkitse myös joitain muita vivahteita.
Kuten aina, jos sinulla on kysyttävää, lisäyksiä jne., Tervetuloa kommentteihin aiheesta WiFi-salaus.
PS: Tämän materiaalin olemassaolosta kiitos lempinimen Habrin kirjoittajalle ProgerXP. Itse asiassa kaikki teksti on otettu hänen materiaalistaan, jotta et keksi pyörää uudelleen omin sanoin.
SISÄÄN Viime aikoina Useita "paljastavia" julkaisuja on julkaistu joidenkin langattomien verkkojen turvallisuutta vaarantavien uusien protokollien tai tekniikoiden hakkeroinnista. Onko näin todella, mitä sinun pitäisi pelätä ja miten voit varmistaa, että verkkoon pääsy on mahdollisimman turvallinen? Merkitsevätkö sanat WEP, WPA, 802.1x, EAP, PKI sinulle vähän? Tämä lyhyt arvostelu auttaa yhdistämään kaikki sovellettavat salaus- ja radiopääsyn valtuutustekniikat. Yritän näyttää, että oikein konfiguroitu langaton verkko muodostaa hyökkääjälle ylitsepääsemättömän esteen (tietysti tiettyyn rajaan asti).
Perusasiat
Kaikki tukiaseman (verkon) ja langattoman asiakkaan välinen vuorovaikutus perustuu:
- Todennus- kuinka asiakas ja tukiasema esittelevät itsensä toisilleen ja vahvistavat, että heillä on oikeus kommunikoida keskenään;
- Salaus- mitä salausalgoritmia siirrettävälle datalle käytetään, miten salausavain luodaan ja milloin se muuttuu.
Tukiasema mainostaa säännöllisesti langattoman verkon parametreja, ensisijaisesti sen nimeä (SSID), lähetysmajakkapaketeissa. Odotettujen suojausasetusten lisäksi lähetetään QoS-, 802.11n-parametreja, tuettuja nopeuksia, tietoja muista naapureista jne. koskevia pyyntöjä. Todennus määrittää, kuinka asiakas esittelee itsensä pisteelle. Mahdolliset vaihtoehdot:
- Avata- niin sanottu avoin verkko, jossa kaikki liitetyt laitteet valtuutetaan kerralla
- Jaettu- yhdistetyn laitteen aitous on tarkistettava avaimella/salasanalla
- EAP- ulkoisen palvelimen on varmistettava liitetyn laitteen aitous EAP-protokollalla
Verkoston avoimuus ei tarkoita, että kuka tahansa voisi työskennellä sen parissa rankaisematta. Tietojen siirtämiseksi tällaisessa verkossa käytettävän salausalgoritmin on vastattava ja vastaavasti salatun yhteyden on muodostettava oikein. Salausalgoritmit ovat:
- Ei mitään- ei salausta, tiedot välitetään selkeänä tekstinä
- WEP- RC4-algoritmiin perustuva salaus eri pituuksia staattinen tai dynaaminen avain (64 tai 128 bittiä)
- CKIP- patentoitu korvaus Ciscon WEP:lle, TKIP:n varhaiselle versiolle
- TKIP- Parannettu WEP-korvaus lisätarkastuksilla ja -suojauksella
- AES/CCMP- Edistyksellisin AES256-pohjainen algoritmi lisätarkastuksilla ja -suojauksella
Yhdistelmä Avaa todennus, ei salausta käytetään laajalti vieraiden pääsyjärjestelmissä, kuten Internetin tarjoamisessa kahvilassa tai hotellissa. Yhdistääksesi sinun tarvitsee vain tietää langattoman verkon nimi. Usein tämä yhteys yhdistetään lisätarkastus Captive Portalissa ohjaamalla käyttäjän HTTP-pyyntö lisäsivulle, jossa voit pyytää vahvistusta (sisäänkirjautumissalasana, hyväksyntä sääntöjen kanssa jne.).
Salaus WEP on vaarantunut, eikä sitä voida käyttää (edes dynaamisten avainten tapauksessa).
Yleisesti esiintyvät termit WPA Ja WPA2 määrittää itse asiassa salausalgoritmin (TKIP tai AES). Koska asiakassovittimet ovat tukeneet WPA2:ta (AES) jo jonkin aikaa, TKIP-salauksen käyttäminen ei ole järkevää.
Ero välillä WPA2 Personal Ja WPA2 Enterprise sieltä ovat peräisin AES-algoritmin mekaniikassa käytetyt salausavaimet. Yksityisissä (koti, pieni) sovelluksissa käytetään staattista avainta (salasana, koodisana, PSK (Pre-Shared Key)), jonka vähimmäispituus on 8 merkkiä, joka asetetaan tukiaseman asetuksissa ja on sama kaikki tietyn langattoman verkon asiakkaat. Tällaisen avaimen kompromissi (he roiskuivat naapurille, työntekijä erotettiin, kannettava tietokone varastettiin) edellyttää välitöntä salasanan vaihtoa kaikille jäljellä oleville käyttäjille, mikä on realistista vain, jos heitä on vähän. Yrityssovelluksissa, kuten nimestä voi päätellä, käytetään dynaamista avainta, joka on yksilöllinen kullekin käynnissä olevalle asiakkaalle. Tämä avain voidaan päivittää ajoittain käytön aikana katkaisematta yhteyttä, ja sen luomisesta vastaa lisäkomponentti - valtuutuspalvelin, ja melkein aina tämä on RADIUS-palvelin.
Kaikki mahdolliset turvallisuusparametrit on koottu tähän kilveen:
| Omaisuus | Staattinen WEP | Dynaaminen WEP | WPA | WPA 2 (yritys) |
| Henkilöllisyystodistus | Käyttäjä, tietokone, WLAN-kortti | Käyttäjä, tietokone | Käyttäjä, tietokone | Käyttäjä, tietokone |
| Valtuutus | Jaettu avain | EAP | EAP tai jaettu avain | EAP tai jaettu avain |
| Rehellisyys | 32-bittinen eheyden tarkistusarvo (ICV) | 32-bittinen ICV | 64-bittinen viestin eheyskoodi (MIC) | CRT/CBC-MAC (laskuritilan salauslohkoketjun todennuskoodi – CCM) osa AES:ää |
| Salaus | Staattinen avain | Istunnon avain | Pakettikohtainen avain TKIP:n kautta | CCMP (AES) |
| Avainten jakelu | Kertakäyttöinen, manuaalinen | Pair-wise Master Key (PMK) -segmentti | Johdettu PMK:sta | Johdettu PMK:sta |
| Alustusvektori | Teksti, 24 bittiä | Teksti, 24 bittiä | Edistynyt vektori, 65-bittinen | 48-bittinen pakettinumero (PN) |
| Algoritmi | RC4 | RC4 | RC4 | AES |
| Avaimen pituus, bitit | 64/128 | 64/128 | 128 | 256 asti |
| Vaadittu infrastruktuuri | Ei | SÄDE | SÄDE | SÄDE |
Vaikka WPA2 Personal (WPA2 PSK) on selkeä, yritysratkaisu vaatii lisäharkintaa.
WPA2 Enterprise
Tässä on kyse lisäsarjasta erilaisia protokollia. Asiakaspuolella on erityinen komponentti ohjelmisto Pyynnön esittäjä (yleensä osa käyttöjärjestelmää) on vuorovaikutuksessa valtuuttavan osan, AAA-palvelimen, kanssa. SISÄÄN tässä esimerkissä näyttää kevyille tukiasemille ja ohjaimelle rakennetun yhtenäisen radioverkon toiminnan. Käytettäessä liityntäpisteitä "aivoilla" piste voi ottaa koko välittäjän roolin asiakkaiden ja palvelimen välillä. Tällöin asiakkaan anottava data välitetään 802.1x-protokollassa (EAPOL) muodostetun radion kautta ja ohjaimen puolella se kääritään RADIUS-paketteihin.
EAP-valtuutusmekanismin käyttö verkossasi johtaa siihen, että tukiaseman onnistuneen (melkein varmasti avoimen) asiakkaan todennuksen jälkeen (yhdessä mahdollisen ohjaimen kanssa) jälkimmäinen pyytää asiakasta valtuuttamaan (vahvistamaan valtuutuksensa) infrastruktuurin RADIUS-palvelimen kanssa:
Käyttö WPA2 Enterprise vaatii RADIUS-palvelimen verkossasi. Tällä hetkellä tehokkaimmat tuotteet ovat seuraavat:
- Microsoft Network Policy Server (NPS), entinen IAS- määritetty MMC:n kautta, ilmainen, mutta sinun on ostettava Windows
- Cisco Secure Access Control Server (ACS) 4.2, 5.3- voidaan konfiguroida web-käyttöliittymän kautta, on toiminnaltaan hienostunut, mahdollistaa hajautettujen ja vikasietoisten järjestelmien luomisen, on kallista
- FreeRADIUS- ilmainen, määritetty käyttämällä tekstiasetuksia, ei kätevää hallita ja valvoa
Tällöin rekisterinpitäjä seuraa tarkasti meneillään olevaa tiedonvaihtoa ja odottaa onnistunutta valtuutusta tai kieltäytymistä. Jos onnistuu, RADIUS-palvelin pystyy siirtämään lisäparametreja tukiasemaan (esimerkiksi mihin VLANiin tilaaja tulee sijoittaa, mikä IP-osoite määritetään, QoS-profiili jne.). Vaihdon lopussa RADIUS-palvelin sallii asiakkaan ja tukiaseman luoda ja vaihtaa salausavaimia (yksittäisiä, voimassa vain tässä istunnossa):
EAP
Itse EAP-protokolla on konttipohjainen, mikä tarkoittaa, että varsinainen valtuutusmekanismi on jätetty sisäisten protokollien varaan. Tällä hetkellä seuraavat ovat saaneet merkittävää jakelua:
- EAP-NOPEA(Flexible Authentication via Secure Tunneling) - kehittänyt Cisco; sallii valtuutuksen käyttämällä sisäänkirjautumista ja salasanaa, jotka välitetään TLS-tunnelissa pyytäjän ja RADIUS-palvelimen välillä
- EAP-TLS(Transport Layer Security). Käyttää julkisen avaimen infrastruktuuria (PKI) asiakkaan ja palvelimen (kohde- ja RADIUS-palvelimen) valtuutukseen luotetun varmenneviranomaisen (CA) myöntämien varmenteiden avulla. Edellyttää asiakasvarmenteiden myöntämistä ja asentamista jokaiseen langattomaan laitteeseen, joten se sopii vain hallittuun yritysympäristöön. Windows Certificate Server -palvelimessa on toimintoja, joiden avulla asiakas voi luoda oman varmenteensa, jos asiakas on toimialueen jäsen. Asiakkaan estäminen voidaan tehdä helposti peruuttamalla sen varmenne (tai tilien kautta).
- EAP-TTLS(Tunneled Transport Layer Security) on samanlainen kuin EAP-TLS, mutta se ei vaadi asiakassertifikaattia tunnelia luotaessa. Tällaisessa tunnelissa, kuten selaimen SSL-yhteydessä, suoritetaan lisävaltuutus (käyttäen salasanaa tai jotain muuta).
- PEAP-MSCHAPv2(Suojattu EAP) – samanlainen kuin EAP-TTLS, kun asiakkaan ja palvelimen välille muodostetaan aluksi salattu TLS-tunneli, joka vaatii palvelinvarmenteen. Myöhemmin valtuutus tapahtuu tällaisessa tunnelissa käyttämällä tunnettu protokolla MSCHAPv2
- PEAP-GTC(Generic Token Card) - samanlainen kuin edellinen, mutta vaatii kertaluonteiset salasanakortit (ja vastaavan infrastruktuurin)
Kaikki nämä menetelmät (paitsi EAP-FAST) edellyttävät varmenneviranomaisen (CA) myöntämää palvelinvarmennetta (RADIUS-palvelimella). Tässä tapauksessa itse CA-varmenteen on oltava asiakkaan laitteessa luotetussa ryhmässä (mikä on helppo toteuttaa käyttämällä ryhmäpolitiikka Windowsissa). Lisäksi EAP-TLS vaatii yksilöllisen asiakkaan varmenne. Asiakkaan todennus suoritetaan seuraavasti: digitaalinen allekirjoitus, joten (valinnainen) vertaamalla asiakkaan RADIUS-palvelimelle antamaa varmennetta siihen, mitä palvelin haki PKI-infrastruktuurista (Active Directory).
Asiakaspuolen alihankkijan on tarjottava tuki kaikille EAP-menetelmille. Vakiona sisäänrakennettu Windows XP/Vista/7, iOS, Android tarjoaa vähintään EAP-TLS:n ja EAP-MSCHAPv2:n, mikä tekee näistä menetelmistä suosittuja. Intelin Windows-asiakassovittimien mukana tulee ProSet-apuohjelma, joka laajenee saatavilla oleva luettelo. Cisco AnyConnect Client tekee samoin.
Kuinka luotettava se on?
Loppujen lopuksi, mitä hyökkääjältä vaaditaan hakkeroitumaan verkkoosi?
Avoin todennus, ei salausta - ei mitään. Yhdistetty verkkoon, ja siinä se. Koska radiomedia on auki, signaali kulkee eri suuntiin, eikä sitä ole helppo estää. Jos sinulla on sopivat asiakassovittimet, joiden avulla voit kuunnella lähetystä, verkkoliikennettä näkyy ikään kuin hyökkääjä olisi kytkenyt johtoon, keskittimeen tai kytkimen SPAN-porttiin.
WEP-pohjainen salaus vaatii vain IV-ajan ja yhden monista vapaasti saatavilla olevista skannausapuohjelmista.
TKIP- tai AES-salauksessa suora salauksen purku on teoriassa mahdollista, mutta käytännössä hakkerointitapauksia ei ole esiintynyt.
Voit tietysti yrittää arvata jonkin EAP-menetelmän PSK-avaimen tai salasanan. Näitä menetelmiä vastaan ei tunneta yleisiä hyökkäyksiä. Voit kokeilla menetelmiä sosiaalinen suunnittelu tai termorektaalinen kryptausanalyysi.
Pääset EAP-FAST-, EAP-TTLS-, PEAP-MSCHAPv2-suojattuun verkkoon vain, jos tiedät käyttäjän kirjautumissalasanan (hakkerointi sinänsä on mahdotonta). Hyökkäykset, kuten raa'an voiman hyökkäykset tai MSCHAP:n haavoittuvuuksiin kohdistuvat hyökkäykset, eivät myöskään ole mahdollisia tai vaikeita johtuen siitä, että EAP-asiakas-palvelin-kanava on suojattu salatulla tunnelilla.
Pääsy PEAP-GTC:n sulkemaan verkkoon on mahdollista joko hakkeroimalla token-palvelin tai varastamalla token salasanan kanssa.
Pääsy EAP-TLS:n sulkemaan verkkoon on mahdollista varastamalla käyttäjävarmenne (tietysti sen yksityisen avaimen kanssa) tai myöntämällä kelvollinen mutta tyhjä varmenne. Tämä on mahdollista vain, jos sertifiointikeskus vaarantuu, joka on normaaleissa yrityksissä suojattu arvokkaimpana IT-resurssina.
Koska kaikki yllä mainitut menetelmät (paitsi PEAP-GTC) sallivat salasanojen/sertifikaattien tallentamisen (välimuistiin tallentamisen), mobiililaitteen varastamisen jälkeen hyökkääjä saa täysi pääsy ilman kysymyksiä verkosta. Voi toimia ehkäisevänä toimenpiteenä täydellinen salaus kovalevy salasanapyynnöllä laitetta käynnistettäessä.
Muista: asianmukaisella suunnittelulla langaton verkko voidaan suojata erittäin hyvin; Ei ole keinoja hakkeroida tällaista verkkoa (tietyssä määrin)
Langattomien verkkojen ja protokollien yleistyessä WPA-salaus ja WPA2 ovat tulleet tutuiksi melkein kaikille Wi-Fi-verkkoon yhdistävien laitteiden omistajille. Ne on ilmoitettu yhteyksien ominaisuuksissa ja useimpien käyttäjien huomiossa, jotka eivät ole järjestelmänvalvojat, houkutella vähintään. Riittää, kun tietää, että WPA2 on WPA:n evoluutio, ja siksi WPA2 on uudempi ja soveltuu paremmin nykyaikaisiin verkkoihin.
WPA on salausprotokolla, joka on suunniteltu suojaamaan IEEE 802.11 -standardin mukaisia langattomia verkkoja ja jonka Wi-Fi Alliance kehitti vuonna 2003 korvaamaan vanhentuneen ja turvattoman WEP-protokollan.
WPA2- salausprotokolla, joka on WPA:n parannettu kehitys, jonka Wi-Fi Alliance esitteli vuonna 2004.
Ero WPA:n ja WPA2:n välillä
WPA:n ja WPA2:n välisen eron löytäminen ei ole olennaista useimmille käyttäjille, koska kaikki langattoman verkon suojaus perustuu enemmän tai vähemmän monimutkaisen pääsysalasanan valitsemiseen. Nykyään tilanne on sellainen, että kaikkien Wi-Fi-verkoissa toimivien laitteiden on tuettava WPA2:ta, joten WPA:n valinta voi määräytyä vain epätyypillisissä tilanteissa. Esim, OS vanhempi kuin Windows XP SP3 ei tue WPA2:ta ilman korjaustiedostoja, joten tällaisten järjestelmien hallinnoimat koneet ja laitteet vaativat verkonvalvojan huomion. Jopa jotkin nykyaikaiset älypuhelimet eivät ehkä tue uutta salausprotokollaa, tämä koskee pääasiassa muita kuin aasialaisia laitteita. Toisaalta jotkin XP:tä vanhemmat Windows-versiot eivät tue WPA2-työskentelyä GPO-tasolla, joten tässä tapauksessa ne vaativat enemmän hienosäätö verkkoyhteyksiä.
Tekninen ero WPA:n ja WPA2:n välillä on salaustekniikka, erityisesti käytetyt protokollat. WPA käyttää TKIP-protokollaa, WPA2 AES-protokollaa. Käytännössä tämä tarkoittaa, että nykyaikaisempi WPA2 tarjoaa paremman verkon suojausasteen. Esimerkiksi TKIP-protokollan avulla voit luoda todennusavaimen, jonka koko on enintään 128 bittiä, AES - jopa 256 bittiä.
TheDifference.ru määritti, että WPA2:n ja WPA:n välinen ero on seuraava:
WPA2 on parannus WPA:han verrattuna.
WPA2 käyttää AES-protokolla, WPA on TKIP-protokolla.
Kaikki nykyaikaiset langattomat laitteet tukevat WPA2:ta.
Vanhemmat käyttöjärjestelmät eivät välttämättä tue WPA2:ta.
WPA2 on turvallisempi kuin WPA.
WPA2-yritys. Kuinka luoda suojattu Wi-Fi-verkko
Yritystietojen suojaamisen ongelma on yhä kiireellisempi vuosi vuodelta. Yhä enemmän kriittistä dataa siirretään langattomien verkkojen kautta, ja tietoturva (IS) riippuu yhä enemmän IT-asiantuntijoiden pätevyydestä.
Vuonna 2015 hakkerit onnistuivat ensimmäistä kertaa Venäjällä tekemään kolme suurta varkautta ennätysmäärällä. kokonaismäärä 721 miljoonaa ruplaa. Näennäisesti hyvin suojatut rahoituslaitokset kärsivät. Nämä merkittävät tapahtumat tapahtuivat epäsuotuisan taloudellisen tilanteen taustalla, mikä vaikeuttaa tietoturvaan investoimista.
Wi-Fi - tarina hakkereiden menestyksestä
Aluksi Wi-Fi 802.11 -standardi sisälsi WEP-todennustilan RC4-salausalgoritmilla, joka käyttää tavallista staattista tai dynaamista avainta, jonka pituus on 64 tai 128 bittiä. WEP murrettiin ensimmäisen kerran vuonna 2000. Suosittu tietokone noina vuosina Pentium prosessori 4 vaati noin 1 tunnin salauksen purkamiseen. Nykyaikaisten pilvipalvelimien resursseja hyödyntäen ja helposti saatavilla Mobiili internet 3G/LTE:n kautta voit avata suojauksen muutamassa sekunnissa.
Kuva 1: Verkkotyypit salauksen vahvuuden mukaan
Vuonna 2003 WPA ilmestyi TKIP-algoritmin kanssa, joka luo avaimen jokaiselle paketille. Nykyään WPA-TKIP voidaan hyvällä tuurilla murtaa muutamassa tunnissa. Esimerkiksi kesällä 2015 belgialaiset tutkijat pystyivät sieppaamaan salattuja evästeitä ja pääsemään tietokoneeseen tunnissa.
Vuodesta 2006 lähtien pakollinen standardi Wi-Fi-laitteet tukee edistyneempää WPA2 AES -salausalgoritmia. Se on luotettavampi, joten ei ole mitään järkeä käyttää aikaisempia algoritmeja. Kuitenkin, kuten TKIP, tämä algoritmi voidaan myös hakkeroida suoraan pakottamalla salasanavaihtoehtoja sanakirjan avulla. Erikoisohjelmisto käyttää massiivista DDoS-hyökkäystä tukiaseman poistamiseen käytöstä. Seuraavaksi se emuloi pisteen toimintaa samalla SSID:llä. Yritettyään valtuuttaa "uhrin" tällaisessa vaiheessa hakkeri vastaanottaa PMK-R0-avaimen hash-toiminnon. Seuraava vaihe on salasanan valintaprosessi. Yksinkertaiset salasanat valitaan muutaman tunnin kuluessa, kun valinta monimutkaiset salasanat se voi kestää useita viikkoja tai jopa kuukausia.
Lisäsuojatoimenpiteet
Joskus varten lisäsuoja verkko käyttää MAC-osoitesuodatusta ( ainutlaatuinen numero jokainen aktiivinen yksikkö verkossa). Suodattaessa vain laitteet, joiden MAC-osoitteet järjestelmänvalvoja on syöttänyt reitittimen tai tukiaseman luotettuun taulukkoon, voivat muodostaa yhteyden verkkoon. Teoriassa tällä tavalla voit estää luvattomat yhteydet. Mutta käytännössä MAC-osoitesuodatus hajoaa nopeasti, esimerkiksi käyttämällä " raaka voima"(brute foss), eli yhdistetyn asiakkaan MAC-osoitteen skannaus ja sitä seuraava "rohkea" hyökkäys, jota kutsutaan deuthenticationiksi ja laitteesi yhdistäminen muuttuneella MAC-osoitteella.
Näin ollen MAC-osoitesuodatus ei ole vakava suoja, mutta samalla se aiheuttaa paljon haittaa. Erityisesti sinun on lisättävä jokainen uusi laite manuaalisesti luotettuun taulukkoon.
Piilotettu ID-tila verkon SSID — suosittu tapa Wi-Fi-verkon lisäsuojaus. Jokaisella verkolla on oma ainutlaatuinen SSID (verkon nimi). Piilotetun tunnisteen tilassa asiakaslaitteet eivät näe verkkoa käytettävissä olevien verkkojen luettelossa. Voit muodostaa yhteyden verkkoon Piilota SSID -tilassa vain, jos tiedät sen tarkan tunnisteen ja sinulla on valmiiksi valmis yhteysprofiili.
Piilotetun verkon havaitseminen on melko helppoa Kismetin kaltaisten apuohjelmien avulla. Pelkkä yhteys piilotettuun verkkoon paljastaa sen olemassaolon ja tunnisteen hakkereille. Sitten hakkerointiskenaario on sama kuin tavallisissa Wi-Fi-verkoissa. Kuten näet, Piilota SSID ei myöskään ole luotettava suojausmenetelmä, mutta se aiheuttaa myös ongelmia. Ensinnäkin sinun on liitettävä uudet laitteet manuaalisesti. Lisäksi Wi-Fi-standardit tarjosivat alun perin avoimen SSID-lähetyksen, joten useimmilla laitteilla on ongelmia automaattisen yhteyden muodostamisessa Piilota SSID:hen. Piilota SSID:tä ei yleensä suositella.
Erot henkilökohtaisen (PSK) ja yrityksen (yritys) välillä
On tarpeen erottaa erilaisia lähestymistapoja tarjota henkilökohtaisia ja yritysverkkoja. Kotona ja pienissä toimistoissa käytetään yleensä PSK:ta (Pre-Shared Key) - 8-merkkistä salasanaa. Tämä salasana on sama kaikille ja on usein liian yksinkertainen, joten se on alttiina arvauksille tai vuodoille (työntekijän irtisanominen, kadonnut kannettava tietokone, tarra, jossa salasana on huolimattomasti kiinni näkyvissä jne.). Jopa uusimmat salausalgoritmit PSK:ta käytettäessä eivät takaa luotettavaa turvallisuutta ja siksi vakavia verkkoja ei päde. Yritysratkaisut He käyttävät todentamiseen dynaamista avainta, joka muuttaa jokaisen istunnon jokaisen käyttäjän osalta. Avain voidaan päivittää ajoittain istunnon aikana käyttämällä valtuutuspalvelinta - yleensä RADIUS-palvelinta.
WPA2-Enterprise + 802.1X ja suojaussertifikaatit - luotettavin suoja
WPA2-Enterprise-salauksella varustetut yritysverkot perustuvat todennukseen 802.1x-protokollaa käyttäen RADIUS-palvelimen kautta. 802.1x-protokolla (EAPOL) määrittää menetelmät todennustietopyyntöjen lähettämiseen ja vastaanottamiseen, ja se on yleensä sisäänrakennettu käyttöjärjestelmiin ja erityisiin ohjelmistopaketteihin.
802.1x:llä on kolme roolia verkossa:
- asiakas (supplicant) - asiakaslaite, joka tarvitsee pääsyn verkkoon;
- todennuspalvelin (yleensä RADIUS);
- autentikaattori - reititin/kytkin, joka yhdistää useita asiakaslaitteita todennuspalvelimeen ja katkaisee/liittää asiakaslaitteita.
Kuva 3: WPA2-Enterprise 802.1x -käyttökaavio
802.1x:n toimintatapoja on useita, mutta yleisin ja luotettavin on seuraava:
- Todentaja lähettää EAP-pyynnön asiakaslaitteelle heti, kun se havaitsee aktiivisen yhteyden.
- Asiakas lähettää EAP-vastauksen - tunnistuspaketin. Todentaja välittää tämän paketin todennuspalvelimelle (RADIUS).
- RADIUS tarkistaa paketin ja asiakaslaitteen käyttöoikeudet käyttäjän tietokannan tai muiden kriteerien perusteella ja lähettää sitten autentikaattorin sallimaan tai kieltämään yhteyden. Vastaavasti autentikaattori sallii tai estää pääsyn verkkoon.
Kuva 2: EAP:n sisäiset protokollat (menetelmät).
RADIUS-palvelimen avulla voit hylätä PSK:n ja luoda yksittäisiä avaimia, jotka ovat voimassa vain tietyssä yhteysistunnossa. Yksinkertaisesti sanottuna salausavaimia ei voi hakea asiakaslaitteelta. Suojaus pakettien sieppausta vastaan tarjotaan salauksella käyttämällä erilaisia sisäisiä EAP-protokollia, joista jokaisella on omat ominaisuutensa. Siten EAP-FAST-protokolla antaa sinun kirjautua sisään sisäänkirjautumisen ja salasanan avulla ja PEAP-GTC - erityisellä tunnuksella (käyttökortti, kortit kertaluonteisilla salasanoilla, flash-asemat jne.). PEAP-MSCHAPv2- ja EAP-TLS-protokollat tarjoavat käyttöoikeuden asiakasvarmenteilla.
Vain WPA2-Enterprise- ja digitaaliset suojaussertifikaatit yhdistettynä EAP-TLS:ään tai EAP-TTLS:ään tarjoavat maksimaalisen Wi-Fi-verkon suojauksen. Varmenne on valmiiksi luotuja tiedostoja RADIUS-palvelimella ja asiakaslaitteella. Asiakas ja todennuspalvelin tarkistavat nämä tiedostot keskenään ja takaavat näin suojan vieraiden laitteiden luvattomilta yhteyksiltä ja vääriltä tukiasemilta. EAP-TTL/TTLS-protokollat ovat osa 802.1X-standardia ja käyttävät julkisen avaimen infrastruktuuria (PKI) viestintään asiakkaan ja RADIUS:n välillä. PKI:tä käytetään valtuutukseen Salainen avain(käyttäjän tuntema) ja julkinen avain (tallennettu varmenteeseen, mahdollisesti kaikkien tiedossa). Näiden avainten yhdistelmä tarjoaa vahvan todennuksen.
Digitaaliset varmenteet on luotava kaikille langaton laite. Tämä on työvoimavaltainen prosessi, joten varmenteita käytetään yleensä vain Wi-Fi-verkoissa, jotka vaativat maksimaalista suojausta. Samalla voit helposti peruuttaa varmenteen ja estää asiakkaan.
Nykyään WPA2-Enterprise yhdessä suojaussertifikaattien kanssa tarjoaa luotettava suoja yritysten Wi-Fi-verkot. Jos se on määritetty ja käytetty oikein, on lähes mahdotonta hakkeroida tällaista suojausta "kadulta" eli ilman fyysistä pääsyä valtuutettuihin asiakaslaitteisiin. Verkon ylläpitäjät tekevät kuitenkin joskus virheitä, jotka jättävät "porsaanreikiä" hyökkääjille tunkeutua verkkoon. Ongelmaa vaikeuttaa hakkerointiohjelmistojen saatavuus ja vaiheittaiset ohjeet, jota jopa amatöörit voivat käyttää.
Hakkeriohjelmistot ovat kaikkien saatavilla
WPA2-Enterprise, jossa on sisäänkirjautumis- ja salasanatodennus ilman varmenteita, voidaan hakkeroida Kali Linuxin hakkerijakelun ja Wi-Fi-kortin avulla tukiasematilassa. Hakkeroinnin ydin on luoda väärennetty tukiasema RADIUS-palvelimella vastaanottamaan EAP-paketteja ja kirjautumaan suojattuun verkkoon. Väärennetyn pisteen luominen ei ole nykyään ongelma sellaisten apuohjelmien avulla kuin Kaliin sisäänrakennettu Mana Toolkit.
Kuva 4: Hyökkääjät käyttävät yleensä älypuhelinta, johon on kytketty kortti ja mobiiliversio Kali NetHunter
Väärennetyn MANA-tukiaseman avulla hakkeri saa salasanojen tiivisteet ja verkon käyttäjien kirjautumiset ja käyttää sitten raakaa voimaa salasanojen arvaamiseen tehokkaalla tietokoneella. Tämä tapahtuu melko nopeasti nykyaikaisten prosessorien suuren laskentatehon ansiosta. Lisäksi on olemassa algoritmeja salasanojen raa'alle pakottamiselle GPU-näytönohjainkorteilla, mikä nopeuttaa prosessia muutamassa tunnissa.
Tämän seurauksena hakkeri saa pääsyn kirjautumistileihin yritysverkosto Wi-Fi tai VPN.
Tällaisten hyökkäysten estämiseksi on tarpeen käyttää suojausvarmenteita kaikissa matkapuhelimissa ja kiinteät laitteet joilla on pääsy verkkoon. Ei myöskään ole suositeltavaa käyttää itse allekirjoitettuja, eli verkonvalvojan luomia varmenteita. Tosiasia on, että luotetut käyttäjät voivat nähdä uusia laitteita yhdistäessään viestejä itse allekirjoitettujen varmenteiden mahdollisesta turvattomuudesta. Kun käyttäjä on tottunut tällaisiin viesteihin, hän ei ehkä kiinnitä huomiota viestiin, joka tulee näkyviin, kun hän muodostaa yhteyden väärään tukiasemaan. Parhaan suojan saamiseksi on parempi käyttää virallisten toimittajien sertifikaatteja.
"Mies keskellä" on suurin uhka
Hakkerihyökkäys nimeltä "Man in the middle" (lyhennettynä MITM) on vakavin uhka oikein organisoidulle WPA2-yritykselle, jolla on suojaussertifikaatit.
Kuva 5: "Man in the Middle" -hyökkäyksen ydin: hakkeri muuttaa suoran suojatun yhteyden kahdeksi erilaiseksi hakkeriasiakkaan kanssa keskellä
Järjestelmä on hyvin yksinkertainen: pyynnöstä julkinen avain Luotettu käyttäjä ei vastaa, vaan välittäjä, joka teeskentelee olevansa luotettu käyttäjä. Hyökkääjän tietokone toimii PROXY-palvelimena. Tämän seurauksena vaihto tapahtuu luottamuksellista tietoa, ja hyökkääjä voi siepata, huijata, poistaa tai muokata datapaketteja.
Samanlainen järjestelmä luottamuksellisen viestinnän käyttöönottamiseksi keksittiin jo ennen Internetiä - paperikirjeiden päivinä, jolloin alkuperäiset kirjeet korvattiin väärennöksillä.
Verkkoon liittyminen tapahtuu jo valtuutetun kautta tili, eli se vaatii Wi-Fi-verkon alustavan hakkeroinnin. Toisin sanoen onnistuneen hyökkäyksen saavuttamiseksi hakkerin on löydettävä heikkous WPA2-Enterprise-verkossa. Tyypillisesti tämä on hyökkäys väärennetyn tukiaseman kautta, kuten yllä on kuvattu, tai valtuutetun laitteen kautta asennettuja varmenteita turvallisuus. Hyökkäys HTTPS:n yli on vieläkin yksinkertaisempi: selain muodostaa varmenteilla suojatun SSL-yhteyden välimiehen kanssa ja hyökkääjä muodostaa toisen SSL-yhteyden verkkopalvelimeen. Selain varoittaa käyttäjää, että SSL-varmenne on suojaamaton, mutta tämä varoitus jätetään usein huomiotta.
Tällaiset hyökkäykset ovat erityisen vaarallisia rahoitusjärjestelmille, jotka suorittavat maksuja verkkomaksujärjestelmien kautta. Hakkeri voi tartuttaa vahingoittava koodi sähköpostit, verkkosivut, DBMS, pääsy verkkopankkiin, sosiaalisten verkostojen tileihin, sisällönhallintajärjestelmän sivustoihin jne.
Suojaus välittäjältä
MITM-hyökkäys ei ole hakkerin perimmäinen ase. Jos kaikki tietoturvavaatimukset täyttyvät, välittäjän käyttöönotto on mahdotonta.
Ensinnäkin peitellyn hyökkäyksen miehen on siepattava kaikki asiakkaan ja palvelimen väliset viestit, eli oltava jatkuvasti yrityksen Wi-Fin peittoalueella.
Siksi langatonta verkkoa otettaessa on tärkeää ottaa yhteyttä asiantuntijoihin ja suunnitella se mahdollisimman pienellä peitolla rakennuksen ulkopuolella (tilaa radiosuunnittelu - http://site/pred_obsledovanie/). On myös selviä haavoittuvuuksia. Käyttäjä voi esimerkiksi tuoda langattoman näppäimistön (älypuhelimia, PC:itä varten) toimistoon, mikä luo riskin kirjautumistunnuksen ja salasanan etäkuunteluun. Tällaisten tapausten estämiseksi sinun tulee käyttää vain langallisia näppäimistöjä tai erityisiä langattomia näppäimistöjä, joissa on sisäänrakennettu AES-salaus. Sitten näppäinloggereiden käyttö on mahdotonta.
Työntekijöiden tulee myös olla tietoisia turvattomista varmenteista, jotta he eivät joutuisi väärennetyn tukiaseman yhteyden uhriksi. Asiakkaan ja palvelimen SSL-varmenteet on vahvistettava molemminpuolisesti luotetun varmentajan toimesta, jotta HTTPs-hyökkäykset eivät valtaisi tilejä verkkosivustoilla, mukaan lukien organisaation verkkopankit.
Erityinen paikka MITM-ehkäisyssä on ssl-bump-suodatuksen käytön kieltämisellä. Sitä käytetään usein toimistoissa estämään pääsy tietyille sivustoille (sosiaaliset verkostot, viihderesurssit jne.). Turvallisessa yhteydessä liikenne salataan vastaanottaja- ja lähettäjäpuolella, ja ssl-bump-suodatusta käytettäessä se salataan yhdyskäytävässä. Eli ssl-bump-suodatus itsessään on MITM-hyökkäys HTTP:n kautta. Ensinnäkin tämä herättää oikeudellisia kysymyksiä piilotettu pääsy verkon ylläpitäjä työntekijöiden henkilötietoihin, kuten sosiaalisten verkostojen tilit tai verkkopankki. Mutta mikä tärkeintä, ssl-bump "avaa portin" hakkereille, jonka tarvitsee vain ottaa yhdyskäytävä haltuunsa. Itse asiassa ylläpitäjä tekee kaiken itse valmistelutoimia hyökätä verkkoosi.
Johtopäätös: Siksi asiantuntijoiden koulutus ja tehokas käyttö olemassa olevia teknologioita datan suojelu. Näin ollen WPA2-Enterprise-salauksesta voi tulla hyökkääjille läpäisemätön este, jos osaat järjestää sen oikein. Anna kysymys tietoturva ammattilaiset!
Tarvitsen neuvoja. Ota yhteyttä minuun.
