thuis-ramen-Verschil tussen wpa en wpa2. WPA2-PSK: wat is het? Draadloze netwerkcodering

Verschil tussen wpa en wpa2. WPA2-PSK: wat is het? Draadloze netwerkcodering

). En je moet het breken met brute force-wachtwoorden.

WPA/WPA2 staat u toe om beide te gebruiken EAS-bases authenticatie ( RADIUS-server "Enterprise") of Pre-Shared Key (PSK) “Persoonlijk” gebaseerd authenticatie.

Encryptie WPA/WPA2PSK kwetsbaar voor woordenboekaanvallen. Om deze aanval uit te voeren, moet je verkrijgen 4-weg WPA-handshake tussen Wifi-client en toegangspunt ( AR).

De apparatuur die ik gebruik, wordt beschreven in het artikel

Laten we beginnen.
Laten we eerst gaan vangen Handdruk. We zullen het opnieuw nodig hebben Linux, evenals programma's: Kismet(Ik heb je verteld hoe je het moet instellen).
Laten we lanceren Kismet:

sudo kismet

We selecteren het netwerk dat we nodig hebben en kijken op welk kanaal het zich bevindt (kolom CH).

Nu vertellen we de netwerkkaart op welk kanaal hij altijd actief is.
Om dit te doen, selecteert u in het menu Kismet->Kanaal configureren

En selecteer in het venster dat verschijnt: Slot.
In het veld Kan/Freq We zullen ons kanaalnummer vermelden.
En laten we drukken Wijziging.

Daarna openen we een weergave van wat er op het netwerk gebeurt. Selecteer hiervoor het gewenste netwerk en klik op Binnenkomen.
Het ophalen van pakketten zou moeten beginnen. Wij zijn geïnteresseerd in pakketten Datapakketten En Cryptpakketten. Hun aantal zou moeten toenemen.
Als deze 0 zijn, zijn er geen clients op het netwerk, of LAN-kaart ging niet in de promiscue modus.

Als de pakketten zijn aangekomen, hoeft u alleen nog maar te wachten en periodiek te controleren of u zich heeft aangemeld het gewenste netwerk Handdruk.

Beschikbaarheid Handdruk neem contact op met het hulpprogramma luchtscheur-ng
Om dit te doen, lanceren we het periodiek en kijken of Handdruk.

aircrack-ng dump bestandsnaam

Ik vergat overigens te zeggen: Kismet voegt alles toe nuttige bestanden naar de map van waaruit het is gestart. Bestanden met vastgelegde pakketten hebben de extensie .pcapdump

De dump moet worden verzameld voordat de eerste verschijnt Handdruk.

Om de ontvangst te versnellen Handdruk, kunt u proberen iemand van het netwerk te ontkoppelen. Hiervoor hebben we een seconde nodig Wifi kaart (of een tweede computer met Wifi) en nut airplay-ng. Kijk MAC adres van de actieve client (kijk in de netwerkeigenschappen in Kismet) en hardlopen airplay-ng We proberen het uit te schakelen.

aireplay-ng -0 3 -a XX:XX:XX:XX:XX:XX -c YY:YY:YY:YY:YY:YY wlan0
-0 — deauthenticatie (aantal pakketten 3 )
-A— MAC-adres van het toegangspunt ( XX:XX:XX:XX:XX:XX)
-C— MAC-adres van client ( JJ:JJ:JJ:JJ:JJ:JJ) waarop deauthenticatie van toepassing is.

aircrack-ng -b XX:XX:XX:XX:XX:XX -w wachtwoorden.txt /tmp/*.pcapdump

aircrack -ng - b XX: XX: XX: XX: XX: XX-w wachtwoorden. txt/tmp/*. pcapdump

Waar -B zegt dat we het wachtwoord op het netwerk zullen raden BSSID XX:XX:XX:XX:XX:XX.
-w wachtwoorden.txt-w wachtwoordbestand gebruiken wachtwoorden.txt
/tmp/*.pcapdump— we zeggen dat we alle bestanden met de extensie als dumps zullen gebruiken .pcapdump in map /tmp/

In plaats van te zoeken in het woordenboek, kunt u ook beginnen met zoeken naar alle wachtwoorden op een rij. Hiervoor hebben we een hulpprogramma nodig Johannes de Ripper. We zullen het gebruiken als een wachtwoordgenerator.

john --stdout --incrementeel | aircrack-ng -b XX:XX:XX:XX:XX:XX -w - /tmp/*.pcapdump

john -- stdout -- incrementeel | aircrack - ng - b XX: XX: XX: XX: XX: XX - w - / tmp / * . pcapdump

Hier zijn de parameters luchtscheur-ng vergelijkbaar met het vorige commando.
Maar we geven aan het john-hulpprogramma aan dat het wachtwoorden moet uitgeven via standaard uitvoer (--stdout) en dat dit een zoektocht naar wachtwoorden op volgorde zal zijn ( --toenemend).
Deze wachtwoordzoekoptie heeft 100% kans om het wachtwoord te verkrijgen. De enige vraag is uw capaciteit en tijd.
Om het zoeken naar wachtwoorden te versnellen, kunt u opgeven dat niet op alle tekens wordt gezocht, maar alleen op bepaalde tekens. Om dit te doen, moet de parameter --toenemend Er bestaat toegevoegde opties. Bijvoorbeeld --incrementeel: cijfers zal alleen over getallen herhalen.
U kunt alle opties voor het genereren van wachtwoorden bekijken (en uw eigen opties maken) in het bestand /etc/john/john.conf

IN De laatste tijd Er zijn veel “ontmaskerende” publicaties verschenen over het hacken van een nieuw protocol of nieuwe technologie die de veiligheid van draadloze netwerken in gevaar brengt. Is dit werkelijk zo, waar moet u bang voor zijn en hoe kunt u ervoor zorgen dat de toegang tot uw netwerk zo veilig mogelijk is? Betekenen de woorden WEP, WPA, 802.1x, EAP, PKI weinig voor u? Dit Korte beoordeling zal helpen bij het samenbrengen van alle toepasselijke encryptie- en autorisatietechnologieën voor radiotoegang. Ik zal proberen aan te tonen dat een goed geconfigureerd draadloos netwerk een onoverkomelijke barrière vormt voor een aanvaller (tot een bepaalde limiet uiteraard).

Basisprincipes

Elke interactie tussen een toegangspunt (netwerk) en een draadloze client is gebaseerd op:
  • Authenticatie- hoe de cliënt en het toegangspunt zichzelf aan elkaar voorstellen en bevestigen dat zij het recht hebben om met elkaar te communiceren;
  • Encryptie- welk versleutelingsalgoritme voor verzonden gegevens wordt gebruikt, hoe de coderingssleutel wordt gegenereerd en wanneer deze verandert.

Opties draadloos netwerk, voornamelijk de naam (SSID), wordt regelmatig door het toegangspunt geadverteerd in uitzendbakenpakketten. Naast de verwachte beveiligingsinstellingen worden verzoeken om QoS, 802.11n-parameters, ondersteunde snelheden, informatie over andere buren, enz. verzonden. Authenticatie bepaalt hoe de cliënt zich ter zake presenteert. Mogelijke opties:

  • Open- een zogenaamd open netwerk waarin alle aangesloten apparaten direct geautoriseerd worden
  • Gedeeld- de authenticiteit van het aangesloten apparaat moet worden geverifieerd met een sleutel/wachtwoord
  • EAP- de authenticiteit van het aangesloten apparaat moet worden geverifieerd met behulp van het EAP-protocol door een externe server
De openheid van het netwerk betekent niet dat iedereen er ongestraft mee kan werken. Om gegevens in een dergelijk netwerk te kunnen verzenden, moet het gebruikte versleutelingsalgoritme overeenkomen en dienovereenkomstig moet de versleutelde verbinding correct tot stand worden gebracht. De versleutelingsalgoritmen zijn:
  • Geen- geen codering, gegevens worden in duidelijke tekst verzonden
  • WEP- cijfer gebaseerd op het RC4-algoritme met verschillende statische of dynamische sleutellengtes (64 of 128 bits)
  • CKIP- eigen vervanging voor Cisco's WEP, vroege versie van TKIP
  • TKIP- Verbeterde WEP-vervanging met extra controles en bescherming
  • AES/CCMP- het meest geavanceerde algoritme op basis van AES256 met extra controles en bescherming

Combinatie Open authenticatie, geen codering veel gebruikt in systemen toegang voor gasten zoals het aanbieden van internet in een café of hotel. Om verbinding te maken hoeft u alleen de naam van het draadloze netwerk te weten. Vaak wordt deze verbinding gecombineerd met extra controle naar de Captive Portal door het HTTP-verzoek van de gebruiker ernaar om te leiden extra pagina, waar u bevestiging kunt vragen (login-wachtwoord, akkoord met de regels, etc.).

Encryptie WEP is aangetast en kan niet worden gebruikt (zelfs niet in het geval van dynamische sleutels).

Veel voorkomende termen WPA En WPA2 bepaal in feite het versleutelingsalgoritme (TKIP of AES). Omdat clientadapters al geruime tijd WPA2 (AES) ondersteunen, heeft het geen zin om TKIP-codering te gebruiken.

Verschil tussen WPA2 Persoonlijk En WPA2 Enterprise is waar de coderingssleutels die worden gebruikt in de werking van het AES-algoritme vandaan komen. Voor privétoepassingen (thuis, klein) is een statische sleutel (wachtwoord, een codewoord, PSK (Pre-Shared Key)) met een minimale lengte van 8 tekens, die is ingesteld in de instellingen van het toegangspunt, en is hetzelfde voor alle clients van dit draadloze netwerk. Het compromitteren van zo'n sleutel (ze hebben de bonen gemorst naar een buurman, een medewerker is ontslagen, een laptop is gestolen) vereist een onmiddellijke wachtwoordwijziging voor alle overige gebruikers, wat alleen realistisch is als het er maar een klein aantal zijn. Voor bedrijfstoepassingen wordt, zoals de naam al doet vermoeden, een dynamische sleutel gebruikt, individueel voor elke werkende klant dit moment. Deze sleutel kan tijdens het gebruik periodiek worden bijgewerkt zonder de verbinding te verbreken, en een extra component is verantwoordelijk voor het genereren ervan: de autorisatieserver, en bijna altijd is dit een RADIUS-server.

Op dit plaatje zijn alle mogelijke veiligheidsparameters samengevat:

Eigendom Statische WEP Dynamische WEP WPA WPA 2 (onderneming)
Identificatie Gebruiker, computer, WLAN-kaart Gebruiker, computer
Gebruiker, computer
Gebruiker, computer
Autorisatie
Gedeelde sleutel

EAP

EAP of gedeelde sleutel

EAP of gedeelde sleutel

Integriteit

32-bit integriteitscontrolewaarde (ICV)

32-bits ICV

64-bits berichtintegriteitscode (MIC)

CRT/CBC-MAC (tellermodus Cipher Block Chaining Auth Code - CCM) Onderdeel van AES

Encryptie

Statische sleutel

Sessiesleutel

Sleutel per pakket via TKIP

CCMP (AES)

Sleuteldistributie

Eenmalig, handmatig

Paarsgewijs hoofdsleutelsegment (PMK).

Afgeleid van PMK

Afgeleid van PMK

Initialisatievector

Tekst, 24 bits

Tekst, 24 bits

Geavanceerde vector, 65 bit

48-bit pakketnummer (PN)

Algoritme

RC4

RC4

RC4

AES

Sleutellengte, bits

64/128
64/128
128
tot 256

Vereiste infrastructuur

Nee

STRAAL

STRAAL

STRAAL

Hoewel WPA2 Personal (WPA2 PSK) duidelijk is, vereist een bedrijfsoplossing verdere overweging.

WPA2 Enterprise



Hier hebben wij mee te maken extra setje diverse protocollen. Aan de cliëntzijde werkt een speciale softwarecomponent, de aanvrager (meestal onderdeel van het besturingssysteem), samen met het autorisatiegedeelte, de AAA-server. IN in dit voorbeeld toont de werking van een verenigd radionetwerk gebouwd op lichtgewicht toegangspunten en een controller. In het geval van het gebruik van toegangspunten met ‘hersenen’ kan de gehele rol van intermediair tussen clients en server door het punt zelf worden overgenomen. In dit geval worden de klantgegevens verzonden via de radio die is gevormd in het 802.1x-protocol (EAPOL), en aan de kant van de controller worden ze verpakt in RADIUS-pakketten.

Het gebruik van het EAP-autorisatiemechanisme in uw netwerk leidt ertoe dat na succesvolle (vrijwel zeker open) clientauthenticatie door het toegangspunt (samen met de eventuele controller), deze laatste de client vraagt ​​om autorisatie (bevestig zijn autoriteit) met de infrastructuur RADIUS-server:

Gebruik WPA2 Enterprise vereist een RADIUS-server op uw netwerk. Op dit moment zijn de meest efficiënte producten de volgende:

  • Microsoft Network Policy Server (NPS), voormalig IAS- geconfigureerd via MMC, gratis, maar je moet Windows kopen
  • Cisco beveiligde toegang Controleserver(ACS) 4,2, 5,3- geconfigureerd via een webinterface, verfijnd in functionaliteit, stelt u in staat gedistribueerde en fouttolerante systemen te creëren, duur
  • GratisRADIUS- gratis, geconfigureerd met tekstconfiguraties, niet gemakkelijk te beheren en te monitoren

In dit geval houdt de verwerkingsverantwoordelijke nauwlettend toezicht op de voortdurende informatie-uitwisseling en wacht hij op een succesvolle autorisatie of weigering ervan. Als dit lukt, kan de RADIUS-server naar het toegangspunt verzenden Extra opties(bijvoorbeeld in welk VLAN de abonnee moet worden geplaatst, welk IP-adres moet worden toegewezen, QoS-profiel, enz.). Aan het einde van de uitwisseling staat de RADIUS-server de client en het toegangspunt toe om coderingssleutels te genereren en uit te wisselen (individueel, alleen geldig voor deze sessie):

EAP

Het EAP-protocol zelf is containergebaseerd, wat betekent dat het feitelijke autorisatiemechanisme wordt overgelaten aan interne protocollen. Op momenteel De volgende personen hebben een significante uitkering ontvangen:
  • EAP-SNEL(Flexibele authenticatie via Secure Tunneling) - ontwikkeld door Cisco; maakt autorisatie mogelijk met behulp van een gebruikersnaam en wachtwoord die worden verzonden binnen de TLS-tunnel tussen de aanvrager en de RADIUS-server
  • EAP-TLS(Transportlaagbeveiliging). Maakt gebruik van infrastructuur openbare sleutels(PKI) om de client en server (aanvrager en RADIUS-server) te autoriseren via certificaten uitgegeven door een vertrouwde certificeringsinstantie (CA). Vereist de uitgifte en installatie van clientcertificaten op elk draadloos apparaat en is daarom alleen geschikt voor een beheerde bedrijfsomgeving. Server Windows-certificaten heeft tools waarmee de klant zelfstandig een certificaat voor zichzelf kan genereren als de klant lid is van een domein. Het blokkeren van een client kan eenvoudig worden gedaan door het certificaat in te trekken (of via accounts).
  • EAP-TTLS(Tunneled Transport Layer Security) is vergelijkbaar met EAP-TLS, maar vereist geen clientcertificaat bij het maken van een tunnel. In zo'n tunnel wordt, vergelijkbaar met een SSL-verbinding in een browser, extra autorisatie uitgevoerd (met behulp van een wachtwoord of iets anders).
  • PEAP-MSCHAPv2(Protected EAP) - vergelijkbaar met EAP-TTLS wat betreft de initiële oprichting van een gecodeerde TLS-tunnel tussen de client en de server, waarvoor een servercertificaat vereist is. Vervolgens wordt een dergelijke tunnel geautoriseerd met behulp van het bekende MSCHAPv2-protocol.
  • PEAP-GTC(Generieke Tokenkaart) - vergelijkbaar met de vorige, maar vereist eenmalige wachtwoordkaarten (en de bijbehorende infrastructuur)

Voor al deze methoden (behalve EAP-FAST) is een servercertificaat (op de RADIUS-server) vereist dat is uitgegeven door een certificeringsinstantie (CA). In dit geval moet het CA-certificaat zelf aanwezig zijn op het apparaat van de client in de vertrouwde groep (wat eenvoudig te implementeren is met behulp van Groepsbeleid in Windows). Bovendien vereist EAP-TLS een individueel clientcertificaat. Clientauthenticatie wordt als volgt uitgevoerd: digitale handtekening, dus (optioneel) door het door de client aangeleverde certificaat aan de RADIUS-server te vergelijken met wat de server uit de PKI-infrastructuur (Active Directory) heeft opgehaald.

Ondersteuning voor elk van de EAP-methoden moet worden geleverd door een aanvrager aan de clientzijde. De standaard ingebouwde Windows XP/Vista/7, iOS, Android bieden minimaal EAP-TLS en EAP-MSCHAPv2, wat deze methoden populair maakt. Intel-clientadapters voor Windows worden geleverd met een ProSet-hulpprogramma dat zich uitbreidt beschikbare lijst. Cisco AnyConnect Client doet hetzelfde.

Hoe betrouwbaar is het?

Wat heeft een aanvaller immers nodig om uw netwerk te hacken?

Voor open authenticatie, geen codering - niets. Verbonden met het netwerk, en dat is alles. Omdat het radiomedium open is, reist het signaal naar binnen verschillende kanten, het blokkeren ervan is niet eenvoudig. Als u over geschikte clientadapters beschikt waarmee u naar de uitzending kunt luisteren, netwerk verkeer zichtbaar alsof de aanvaller verbinding had gemaakt met de draad, met de hub, met de SPAN-poort van de switch.
Op WEP gebaseerde versleuteling vereist slechts IV brute force-tijd en een van de vele gratis beschikbare scanhulpprogramma's.
Bij encryptie op basis van TKIP of AES is directe decryptie in theorie mogelijk, maar in de praktijk hebben zich geen gevallen van hacking voorgedaan.

Natuurlijk kunt u proberen de PSK-sleutel of het wachtwoord voor een van de EAP-methoden te raden. Er zijn geen veelvoorkomende aanvallen op deze methoden bekend. U kunt proberen social engineering-methoden te gebruiken, of

WPA2 (Wireless Protected Access ver. 2.0) is de tweede versie van een reeks algoritmen en protocollen die gegevensbescherming bieden in draadloze Wi-Fi-netwerken. Zoals verwacht zou WPA2 de veiligheid van draadloze Wi-Fi-netwerken aanzienlijk moeten verbeteren in vergelijking met eerdere technologieën. Nieuwe standaard biedt in het bijzonder verplicht gebruik krachtiger algoritme AES-codering(Advanced Encryption Standard) en 802.1X-authenticatie.

Om een ​​betrouwbaar beveiligingsmechanisme in een draadloos bedrijfsnetwerk te garanderen, is het tegenwoordig noodzakelijk (en verplicht) om apparaten en software te gebruiken die WPA2 ondersteunen. Eerdere generaties protocollen – WEP en WPA – bevatten elementen met onvoldoende sterke beveiligings- en encryptie-algoritmen. Bovendien zijn er al programma's en technieken ontwikkeld om WEP-gebaseerde netwerken te hacken die gemakkelijk van internet kunnen worden gedownload en zelfs door ongetrainde beginnende hackers met succes kunnen worden gebruikt.

WPA2-protocollen werken in twee authenticatiemodi: persoonlijk (Personal) en zakelijk (Enterprise). In WPA2-Personal-modus vanaf de ingevoerde in duidelijke tekst De wachtwoordzin genereert een 256-bit PSK (PreShared Key). De PSK-sleutel wordt samen met de SSID (Service Set Identifier) ​​gebruikt om tijdelijke PTK-sessiesleutels (Pairwise Transient Key) te genereren voor de interactie van draadloze apparaten. Net als het statische WEP-protocol heeft het WPA2-Personal-protocol dat bepaalde problemen geassocieerd met de noodzaak om sleutels op draadloze netwerkapparaten te distribueren en te onderhouden, waardoor deze beter geschikt zijn voor gebruik in kleine netwerken vanaf een tiental apparaten, terwijl WPA2-Enterprise optimaal is voor bedrijfsnetwerken.

De WPA2-Enterprise-modus lost statische sleuteldistributie- en beheerproblemen op en kan met de meeste worden geïntegreerd zakelijke diensten authenticatie biedt toegangscontrole op basis van accounts. Voor deze modus zijn aanmeldingsgegevens vereist, zoals een gebruikersnaam en wachtwoord, een beveiligingscertificaat of eenmalig wachtwoord, authenticatie wordt uitgevoerd tussen werkstation en een centrale authenticatieserver. Het toegangspunt of de draadloze controller bewaakt verbindingen en stuurt authenticatieverzoeken door naar de juiste authenticatieserver (meestal een RADIUS-server zoals Cisco ACS). De WPA2-Enterprise-modus is gebaseerd op de 802.1X-standaard, die gebruikers- en apparaatauthenticatie ondersteunt, geschikt voor zowel bekabelde switches als draadloze punten toegang.



In tegenstelling tot WPA wordt het sterkere AES-coderingsalgoritme gebruikt. Net als WPA is WPA2 ook onderverdeeld in twee typen: WPA2-PSK en WPA2-802.1x.

Biedt nieuwe, betrouwbaardere mechanismen om de integriteit en vertrouwelijkheid van gegevens te garanderen:

CCMP (Counter-Mode-CBC-MAC Protocol), gebaseerd op de Counter Cipher-Block Chaining Mode (CCM) van het Advanced Encryption Standard (AES)-coderingsalgoritme. CCM combineert twee mechanismen: Counter (CTR) voor vertrouwelijkheid en Cipher Block Chaining Message Authentication Code (CBC-MAC) voor authenticatie.

WRAP (Wireless Robust Authentication Protocol), gebaseerd op de Offset Codebook (OCB)-modus van het AES-coderingsalgoritme.

TKIP-protocol te bieden achterwaartse compatibiliteit met eerder geproduceerde apparatuur. Wederzijdse authenticatie en sleutellevering op basis van IEEE 802.1x/EAP-protocollen. Veilige onafhankelijke basisserviceset (IBSS) voor verbeterde beveiliging Ad-hocnetwerken. Ondersteuning voor roaming.

Bijdrage aan de veiligheid van draadloze netwerken is het CCMP-mechanisme en de IEEE 802.11i-standaard. Deze laatste introduceert het concept van een beveiligd netwerk (Robust Beveiligingsnetwerk, RSN) en betrouwbaar beschermd netwerkverbinding(Robust Security Network Association, RSNA), waarna het alle algoritmen verdeelt in:

RSNA-algoritmen (voor het maken en gebruiken van RSNA);

Pre-RSNA-algoritmen.

Pre-RSNA-algoritmen omvatten:

bestaande IEEE 802.11-authenticatie (verwijzend naar de authenticatie gedefinieerd in de editie van 1999 van de standaard).

Dat wil zeggen dat dit soort algoritmen Open System-authenticatie met of zonder WEP-codering (preciezer gezegd: geen authenticatie) en Shared Key omvatten.

RSNA-algoritmen omvatten:

TKIP; CCMP; Procedure voor het opzetten en beëindigen van RSNA (inclusief het gebruik van IEEE 802.1x-authenticatie); procedure voor sleuteluitwisseling.

Tegelijkertijd is het CCMP-algoritme verplicht en is TKIP optioneel en bedoeld om compatibiliteit met oudere apparaten te garanderen.

De standaard biedt twee functionele modellen: met authenticatie via IEEE 802.1x, d.w.z. met behulp van het EAP-protocol, en met behulp van een vooraf gedefinieerde sleutel die is geregistreerd op de authenticator en client (deze modus wordt Preshared Key, PSK genoemd). IN in dit geval De PSK-sleutel fungeert als een PMK-sleutel en de verdere procedure voor de authenticatie en generatie ervan is niet anders.

Omdat versleutelingsalgoritmen die de TKIP-procedure gebruiken al WPA worden genoemd en de CCMP-procedure WPA2 is, kunnen we zeggen dat versleutelingsmethoden die voldoen aan RSNA zijn: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA- Persoonlijk), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-vooraf gedeelde sleutel, WPA2-Personal).

De procedure voor het tot stand brengen van de verbinding en de sleuteluitwisseling voor de TKIP- en CCMP-algoritmen is hetzelfde. CCMP zelf (Counter mode (CTR) met CBC-MAC (Cipher-Block Chaining (CBC) met Message Authentication Code (MAC) Protocol), zoals TKIP, is ontworpen om vertrouwelijkheid, authenticatie, integriteit en bescherming tegen replay-aanvallen te bieden. Dit algoritme is gebaseerd op de AES CCM-coderingsalgoritmemethode, die is gedefinieerd in de FIPS PUB 197-specificatie. Alle AES-processen die in CCMP worden gebruikt, gebruiken AES met een 128-bits sleutel en een 128-bits blokgrootte.

De nieuwste innovatie van de standaard is ondersteuning voor snelle roamingtechnologie tussen toegangspunten met behulp van PMK-sleutelcaching en pre-authenticatie.

De PMK-cachingprocedure houdt in dat als een client eenmaal de volledige authenticatie heeft doorstaan ​​bij het verbinden met een bepaald toegangspunt, hij de van hem ontvangen PMK-sleutel opslaat, en de volgende keer dat hij verbinding maakt met dit punt, zal de client een eerder ontvangen PMK-sleutel sturen . Hierdoor wordt de authenticatie beëindigd, d.w.z. dat de 4-Way Handshake niet wordt uitgevoerd.

De pre-authenticatieprocedure houdt in dat nadat de klant verbinding heeft gemaakt en de authenticatie op het toegangspunt heeft doorstaan, hij tegelijkertijd (vooraf) de authenticatie kan doorgeven op andere toegangspunten (die hij “hoort”) met dezelfde SSID, d.w.z. vooraf hun sleutel is PMK. En mocht in de toekomst het toegangspunt waarmee hij is verbonden uitvallen of het signaal zwakker blijkt te zijn dan een ander punt met dezelfde netwerknaam, dan zal de client opnieuw verbinding maken via snel schema met een in de cache opgeslagen PMK-sleutel.

De WEP2-specificatie, die in 2001 verscheen en de sleutellengte verhoogde tot 104 bits, loste het probleem niet op, aangezien de lengte van de initialisatievector en de methode voor het controleren van de data-integriteit hetzelfde bleven. De meeste soorten aanvallen werden net zo eenvoudig geïmplementeerd als voorheen.

Conclusie

Tot slot zou ik alle informatie willen samenvatten en aanbevelingen doen voor het beschermen van draadloze netwerken.

Er zijn drie mechanismen voor het beveiligen van een draadloos netwerk: configureer de client en het AP om dezelfde (niet-standaard) SSID te gebruiken, laat het AP alleen communiceren met clients waarvan het MAC-adres bekend is bij het AP, en configureer clients om zich te authenticeren bij het draadloze netwerk. AP en versleutel verkeer. De meeste AP's zijn geconfigureerd om te werken met een standaard SSID, geen lijst met toegestane client-MAC-adressen en een bekende gedeelde sleutel voor authenticatie en codering (of helemaal geen authenticatie of codering). Normaal gesproken worden deze parameters gedocumenteerd in de operationele versie hulp systeem op de website van de fabrikant. Deze opties maken het voor een onervaren gebruiker gemakkelijk om een ​​draadloos netwerk op te zetten en te gebruiken, maar maken het tegelijkertijd gemakkelijker voor hackers om in te breken in het netwerk. De situatie wordt verergerd door het feit dat de meeste toegangsknooppunten zijn geconfigureerd om de SSID uit te zenden. Daarom kan een inbreker het vinden kwetsbare netwerken via standaard SSID.

De eerste stap naar een veilig draadloos netwerk is het wijzigen van de standaard AP SSID. Bovendien moet je veranderen deze parameter op de client om communicatie met het AP mogelijk te maken. Het is handig om een ​​SSID toe te wijzen die zinvol is voor de beheerder en gebruikers van de onderneming, maar die dit draadloze netwerk niet duidelijk identificeert tussen andere SSID's die door onbevoegde personen worden onderschept.

De volgende stap is om, indien mogelijk, te voorkomen dat het toegangsknooppunt de SSID uitzendt. Als gevolg hiervan wordt het voor een aanvaller moeilijker (hoewel nog steeds mogelijk) om de aanwezigheid van een draadloos netwerk en SSID te detecteren. Bij sommige toegangspunten kunt u de SSID-uitzending niet annuleren. In dergelijke gevallen moet het interval zoveel mogelijk worden vergroot. uitzending. Bovendien kunnen sommige clients alleen communiceren als de SSID wordt uitgezonden door het toegangsknooppunt. Daarom moet u mogelijk met deze instelling experimenteren om te bepalen welke modus geschikt is voor uw specifieke situatie.

U kunt vervolgens toestaan ​​dat toegangsknooppunten alleen toegankelijk zijn vanaf draadloze clients met bekende MAC-adressen. Het is onwaarschijnlijk dat deze maatregel geschikt is in een grote organisatie, maar in een klein bedrijf met een klein aantal draadloze clients is deze wel betrouwbaar extra lijn verdediging Aanvallers zullen de MAC-adressen moeten achterhalen die verbinding mogen maken met het zakelijke toegangspunt en het MAC-adres van hun eigen draadloze adapter moeten vervangen door een geautoriseerd exemplaar (op sommige adaptermodellen kan het MAC-adres worden gewijzigd).

Het selecteren van authenticatie- en encryptie-opties kan het moeilijkste onderdeel zijn van het beveiligen van een draadloos netwerk. Voordat u instellingen toewijst, moet u de toegangsknooppunten en draadloze adapters inventariseren om te bepalen welke beveiligingsprotocollen zij ondersteunen, vooral als uw draadloze netwerk al is geconfigureerd met een verscheidenheid aan apparatuur van verschillende leveranciers. Sommige apparaten, vooral oudere toegangspunten en draadloze adapters, zijn mogelijk niet compatibel met WPA-, WPA2- of uitgebreide WEP-sleutels.

Een andere situatie waar u rekening mee moet houden is dat bij sommige oudere apparaten gebruikers een hexadecimaal getal moeten invoeren dat de sleutel vertegenwoordigt, terwijl bij andere oudere AP's en draadloze adapters gebruikers een wachtwoordzin moeten invoeren die in een sleutel wordt omgezet. Als gevolg hiervan is het moeilijk om ervoor te zorgen dat één sleutel door alle apparatuur wordt gebruikt. Eigenaren soortgelijke apparatuur kan bronnen zoals WEP Key Generator gebruiken om willekeurige WEP-sleutels te genereren en wachtwoordzinnen om te zetten in hexadecimale getallen.

Over het algemeen mag WEP alleen worden gebruikt als dit absoluut noodzakelijk is. Als het gebruik van WEP verplicht is, moet u sleutels kiezen maximale lengte en configureer het netwerk in de Open-modus in plaats van Gedeeld. In de Open-modus op het netwerk wordt er geen clientauthenticatie uitgevoerd en kan iedereen een verbinding tot stand brengen met toegangsknooppunten. Deze voorbereidende verbindingen worden gedeeltelijk belast draadloos kanaal communicatie, maar aanvallers die een verbinding met het toegangspunt tot stand hebben gebracht, kunnen niet doorgaan met het uitwisselen van gegevens omdat ze de WEP-coderingssleutel niet kennen. U kunt zelfs pre-verbindingen blokkeren door het toegangspunt zo te configureren dat alleen verbindingen van bekende MAC-adressen worden geaccepteerd. In tegenstelling tot Open gebruikt het toegangsknooppunt in de gedeelde modus de WEP-sleutel om draadloze clients te authenticeren in een challenge-response-procedure, en een aanvaller kan de volgorde ontsleutelen en de WEP-coderingssleutel bepalen.

Als u WPA kunt gebruiken, moet u kiezen tussen WPA, WPA2 en WPA-PSK. De belangrijkste factor bij het kiezen van WPA of WPA2 enerzijds, en WPA-PSK anderzijds, is de mogelijkheid om de infrastructuur in te zetten die nodig is voor WPA en WPA2 om gebruikers te authenticeren. WPA en WPA2 vereisen de inzet van RADIUS-servers en mogelijk Public Key Infrastructure (PKI). WPA-PSK werkt, net als WEP, met een gedeelde sleutel die bekend is draadloze cliënt en AP. WPA-PSK U kunt de gedeelde WPA-PSK-sleutel veilig gebruiken voor authenticatie en encryptie, aangezien deze niet het nadeel van WEP heeft.

Bibliografie

1. Goralski V. xDSL-technologieën. M.: Lori, 2006, 296 p.

2. www.vesna.ug.com;

3. www.young.shop.narod.com;

7. www.opennet.ru

8. www.pulscen.ru

9. www.cisco.com

10. Baranovskaya T.P., Loiko V.I. Architectuur computersystemen en netwerken. M.: Financiën en Statistiek, 2003, 256 p.

11. Mann S., Krell M.Linux. Beheer van TCP/IP-netwerken. M.: Binom-Press, 2004, 656 p.

12. Smith R. Linux-netwerktools. M.: Williams, 2003, 672 p.

13. Kulgin M. Computernetwerken. Bouwpraktijk. Sint-Petersburg: Peter, 2003, 464 p.

14. Tanenbaum E. Computernetwerken. Sint-Petersburg: Peter, 2005, 992 blz.

15. Olifer V.G., Olifer N.A. Basisprincipes van datanetwerken. Lezing cursus. M.: Internetuniversiteit Informatie technologieën, 2003, 248 blz.

16. Vishnevsky V.M. Theoretische grondslagen van computernetwerkontwerp. M.: Technosphere, 2003, 512 p.

Wanneer er op sommige locaties verbinding wordt gemaakt met Wi-Fi-netwerken, doen zich een aantal problemen voor die het tot stand brengen van een verbinding tussen het apparaat en het netwerk aanzienlijk belemmeren of helemaal onmogelijk maken.

Meestal worden soortgelijke problemen ondervonden door gebruikers van apparaten waarop ze draaien Android-platform.

Wanneer u verbinding probeert te maken met het netwerk, verschijnt er een foutmelding en verschijnt het volgende bericht in het gedeelte met netwerkinformatie: "Opgeslagen, WPA/WPA2 beveiligd."

Met als doel gedetailleerde studie Dit probleem kan thuis worden gereproduceerd. Om dit te doen, moet u de instellingen van de wifi-router wijzigen en het netwerktype wijzigen van Auto in Alleen n, wat in de meeste gevallen aan dit probleem zal bijdragen.

De exacte oorzaak van dit probleem kan niet worden vastgesteld. In de meeste gevallen komt dit door storingen in de router die verbinding maakt met het netwerk.

Gevallen zijn meer dan eens waargenomen toen de indicator wifi-signaal De telefoon geeft aan dat er een actieve verbinding is, maar er is geen internettoegang.

De manier om dit probleem op te lossen is volledige herstart werking van de router, waardoor u dit probleem in de meeste gevallen kunt oplossen.

Waarom treedt er een wpa- en wpa2-beveiligingsfout op via Wi-Fi op Android?

Een andere mogelijke reden De oorzaak van dit probleem is het wijzigen van het coderingstype. Als het netwerk bijvoorbeeld voorheen open was en vervolgens gecodeerd werd en alleen toegankelijk voor een bepaald aantal mensen, dan zal het verschijnen van de fout 'Opgeslagen, WPA/WPA2 beschermd' ook onvermijdelijk zijn.

Om dit soort problemen te voorkomen, wordt u ten zeerste aanbevolen alle netwerkgegevens zorgvuldig te controleren.

Het veranderen van de bedrijfsmodus van de router, door de modus te veranderen, door de b/g/n-parameters te wijzigen die beschikbaar zijn in de instellingen van het apparaat zelf, kan ook een positief effect hebben op het optreden van dit probleem.

Om een ​​normale verbinding en een conflictvrije werking van de router met het apparaat dat het signaal ontvangt te garanderen, wordt het ten zeerste aanbevolen om standaardparameters en -waarden in te stellen.

Deze waarden zijn:

1) Netwerktype WPA/WPA2 Persoonlijk (aanbevolen)

2) WPA-PSK-verbindingsversie

3) Versleutelingstype herkend mobiele toestellen, A.E.S.

4) Een nieuw sleutelwachtwoord invoeren dat uit 8 of meer tekens en cijfers bestaat.

Nadat u al het bovenstaande heeft gedaan, normale operatie de router wordt hersteld. Vervolgens wordt aanbevolen om de router opnieuw op te starten en de bestaande verbinding te verwijderen op het apparaat dat het signaal ontvangt, en zoek dit vervolgens op wifi-netwerk, selecteer het uit de lijst met beschikbare apparaten en voer de handeling uit om het apparaat aan te sluiten en te onthouden. Een variant van dit probleem, waarvan de waarschijnlijkheid erg laag is, maar nog steeds bestaat, is een verandering in de frequentie en kanaalbreedte van het apparaat dat het wifi-signaal genereert.

De kanaalbreedte, automatisch beschikbaar in de routerinstellingen, wordt weergegeven in drie categorieën: Auto, 20Mhz en 40Mhz. Het wordt aanbevolen om van frequentie te wisselen, waardoor u het verloren signaal mogelijk kunt herstellen.

Om het proces van het wijzigen van de kanaalbreedte uit te voeren, moet u naar de routerinstellingen gaan en vervolgens inloggen door de gegevens in te voeren die op het onderpaneel van het apparaat staan ​​aangegeven. Vervolgens moet u alle aangebrachte wijzigingen opslaan en de router opnieuw opstarten om volledige werking te garanderen.

Samenvattend treedt het probleem "Opgeslagen, WPA/WPA2-beveiligd" op wanneer u probeert verbinding te maken met een Android-apparaat bestaand netwerk ontstaat door een aantal omstandigheden en technische problemen waarvoor geen duidelijke oplossing bestaat. Er is ook een optie die dit probleem koppelt aan de imperfectie en onvolledigheid van het Android-platform.

Hoe dan ook, als u zich zorgvuldig aan de bovenstaande regels houdt, kunt u de schijn van een ziekte voorkomen soortgelijke fout, en als je het voorkomen ervan niet hebt kunnen voorkomen, schrijf er dan over in de reacties op het artikel - we zullen proberen te helpen!

Nadrukkelijk bekabeld internet wordt steeds toegankelijker. En met de ontwikkeling van mobiele technologie wordt dat ook zo actuele kwestie gebruik van internet thuis op elk apparaat. Een Wi-Fi-router dient dit doel; het doel is om te verspreiden draadloze verbinding Internet tussen verschillende gebruikers.

Er moet speciale aandacht worden besteed aan de veiligheid van uw netwerk.

Bij aankoop hoeft u het alleen maar te configureren wanneer u het voor de eerste keer inschakelt. Bij de router wordt een schijf met een configuratiehulpprogramma geleverd. Gebruik het om te configureren thuisnetwerk zo makkelijk als taart. Desalniettemin, onervaren gebruikers Problemen ontstaan ​​vaak in de fase van de netwerkbeveiligingsinstellingen. Het systeem vraagt ​​u een authenticatiemethode te selecteren en er zijn ten minste vier opties waaruit u kunt kiezen. Elk van hen heeft bepaalde voor- en nadelen, en als je jezelf wilt beschermen tegen de acties van aanvallers, moet je de meest betrouwbare optie kiezen. Dit is waar ons artikel over gaat.

Authenticatiemethoden

De meeste modellen thuisrouters ondersteunen de volgende netwerkverificatiemethoden: geen codering, WEP, WPA/WPA2-Enterprise, WPA/WPA2-Personal (WPA/WPA2-PSK). De laatste drie hebben ook verschillende versleutelingsalgoritmen. Laten we dat eens van dichterbij bekijken.

Gebrek aan bescherming

Deze methode spreekt voor zich. De verbinding is volledig open, absoluut iedereen kan er verbinding mee maken. Deze methode wordt meestal op openbare plaatsen gebruikt, maar thuis is het beter om deze niet te gebruiken. Het minimum waarmee dit u bedreigt, is dat uw buren uw kanaal zullen bezetten wanneer u verbonden bent, en dat u eenvoudigweg niet de maximale snelheid kunt halen die overeenkomt met uw behoeften. tariefplan. In het ergste geval kunnen aanvallers dit voor hun eigen doeleinden gebruiken en uw gegevens stelen vertrouwelijke informatie of het plegen van andere illegale acties. Maar u hoeft het wachtwoord niet te onthouden, maar u moet toegeven dat dit een nogal twijfelachtig voordeel is.

WEP

Wanneer u deze netwerkauthenticatiemethode gebruikt, wordt de verzonden informatie beschermd met een geheime sleutel. Het type bescherming is " Open systeem" en "Gedeelde sleutel". In het eerste geval vindt identificatie plaats door filtering op MAC-adres zonder gebruik extra sleutel. De bescherming is in feite het meest minimaal en daarom onveilig. In de tweede moet je bedenken geheime code, die zal worden gebruikt als de beveiligingssleutel. Het kan 64, 128 of 152 bit zijn. Het systeem zal u vertellen hoe lang de code moet zijn, afhankelijk van de codering: hexadecimaal of ASCII. U kunt verschillende van dergelijke codes instellen. De betrouwbaarheid van bescherming is relatief en wordt al lang als achterhaald beschouwd.

WPA/WPA2 – Enterprise en WPA/WPA2-Personal

Een zeer betrouwbare methode om de authenticiteit van het netwerk te verifiëren, in het eerste geval wordt het gebruikt in ondernemingen, in het tweede geval - thuis en in kleine kantoren. Het verschil tussen beide is dat de thuisversie een permanente sleutel gebruikt, die op het toegangspunt wordt geconfigureerd. Samen met het versleutelingsalgoritme en de verbindings-SSID vormt het een veilige verbinding. Om toegang te krijgen tot een dergelijk netwerk, moet u het wachtwoord weten. Daarom, als het betrouwbaar is en u het aan niemand bekendmaakt, is dit een ideale optie voor een appartement of huis. Bovendien markeren bijna alle fabrikanten het als aanbevolen.

In het tweede geval wordt een dynamische sleutel gebruikt en krijgt elke gebruiker een individuele sleutel toegewezen. Het heeft geen zin om hier thuis mee bezig te zijn, dus wordt het alleen gebruikt in grote ondernemingen waar de beveiliging van bedrijfsgegevens erg belangrijk is.

Extra betrouwbaarheid hangt ook af van het versleutelingsalgoritme. Er zijn er twee: AES en TKIP. Het is beter om de eerste te gebruiken, aangezien deze een afgeleide is van WEP en een mislukking is gebleken.

Hoe de Wi-Fi-verificatiemethode te wijzigen

Als u eerder verificatie voor uw verbinding hebt geconfigureerd, maar niet zeker weet welke juiste methode, bekijk het nu zeker. Ga naar de routerinstellingen door het IP-adres, de login en het wachtwoord in de browser in te voeren (meer lees je in het artikel IP-adres van de router op onze website). U moet naar het tabblad Netwerkbeveiligingsinstellingen gaan. IN verschillende modellen router, deze kan op een andere locatie worden geplaatst. Selecteer vervolgens een netwerkverificatiemethode en bedenk sterk wachtwoord, klik op "Opslaan" en start de router opnieuw op. Vergeet niet vanaf alle apparaten opnieuw verbinding te maken met het netwerk.

Conclusie

We hopen dat u deze informatie nuttig vond. Negeer de Wi-Fi-beveiligingsinstellingen niet. Laat het niet open, maar selecteer de aanbevolen authenticatiemethode en juiste algoritme encryptie.

Welke verbindingsbeveiligingsmethode gebruikt u? Deel het met ons in de reacties.

Gerelateerde publicaties: