Кой метод на eap да изберете. Схема за удостоверяване

Има три основни участници в процеса на удостоверяване:

• Удостоверител - участник в процеса, изискващ удостоверяване (WiFi точка за достъп, комутатор и др.).
• Възел или клиент (на английски партньор) е участник в процеса, който ще бъде удостоверен (компютър, лаптоп, телефон и т.н.).
• Сървърът за удостоверяване е участник в процес, който може да го удостовери според някои данни от възел.

В някои случаи сървърът за удостоверяване и удостоверителят могат да бъдат едно и също устройство, например домашни устройства, използващи метода EAP-PSK. Като цяло процесът на удостоверяване е както следва:

1. Удостоверителят изпраща EAP заявка за стартиране на удостоверяване на клиента. Заявката в полето Тип съдържа информация кой метод ще бъде използван (EAP-TLS, EAP-PSK и др.). Удостоверителят не изпраща непременно тази заявка, например, ако не се изисква удостоверяване на порта, към който е свързан клиентът, в този случай, за да започне процедурата за удостоверяване, клиентът трябва да изпрати пакет с полето Code, съответстващо на Тип иницииране.
2. Клиентът изпраща EAP отговор на удостоверителя в случай на валидна заявка от удостоверителя. Отговорът съдържа поле Тип, съответстващо на полето Тип в заявката.
3. Удостоверителят изпраща заявка до сървъра за удостоверяване, предавайки информация за това кой метод за удостоверяване се използва.
4. Сървърът за удостоверяване иска от клиента необходимата информация чрез удостоверителя, като в този момент автентификаторът всъщност работи като прокси.
5. Клиентът отговаря на сървъра с исканата информация. Елементи 4 и 5 се повтарят, докато сървърът за удостоверяване реши да разреши достъп, откаже или грешка.
6. Сървърът за удостоверяване изпраща пакет до удостоверителя, указващ успеха или неуспеха на удостоверяването.
7. Аутентификаторът изпраща на EAP клиента пакет с код, съответстващ на отговора на сървъра за удостоверяване (EAP-Success или EAP-Failure).

Обобщена таблица с кодове на EAP пакети:

Методи

СКОК

Лек разширяем протокол за удостоверяване(англ. Лек разширяем протокол за удостоверяване ), метод, разработен от Cisco преди ратифицирането на стандарта за сигурност IEEE 802.11i. Cisco въведе протокола чрез CCX (Cisco Certified Extensions) като част от 802.1X и Dynamic WEP поради липсата на отделен индустриален стандарт в индустрията. Операционните системи от семейството на Windows нямат вградена поддръжка за LEAP, но поддръжката на протокола е широко разпространена в клиентски програми на трети страни (най-често в комплект с безжично оборудване). Поддръжката на Windows LEAP може да бъде добавена чрез инсталиране на клиентски софтуер на Cisco, който поддържа LEAP и EAP-FAST. Много други производители на WLAN оборудване също поддържат LEAP поради голямото му разпространение.

LEAP използва модифицирана версия на протокола MS-CHAP - слабо защитен протокол за удостоверяване, при който информацията за потребител и парола е лесно компрометирана; В началото на 2004 г. Джошуа Райт написа LEAP експлойт, наречен ASLEAP. Хакването се основава на факта, че първо, всички елементи на заявката и отговора, в допълнение към хеша на паролата, се предават некриптирани или лесно се изчисляват въз основа на данните, които се изпращат по мрежата. Това означава, че човек нападател в средата на получаване на хеша на паролата би бил достатъчен за повторно оторизиране. Второ, създаването на ключ е потенциално слабо. Нулево допълване от 5 байта означава, че последният ключ има 2 16 ключово пространство. И накрая, един и същ изходен текст е криптиран с два ключа (при изпращане на хеша към сървъра и при отговор), което означава, че сложността от 2 56 е достатъчна за разбиване на двата ключа. След като нападателят разполага с всички ключове, той получава хеш на паролата, който е достатъчен за повторно удостоверяване (повече в MS-CHAP).

Този метод се поддържа първоначално във всички операционни системи от семейството на Windows (започвайки от Windows 2000 SP4), Linux и Mac OS X (започвайки от версия 10.3).

За разлика от много други TLS реализации, като HTTPS, повечето реализации на EAP-TLS изискват предварително инсталиран сертификат X.509 от клиента, което прави невъзможно деактивирането на изискването, въпреки че стандартът не налага това. Това би могло да предотврати разпространението на "отворени", но криптирани безжични точки за достъп. През август 2012 г. hostapd и wpa_supplicant добавиха поддръжка за UNAUTH-TLS, естествения метод за удостоверяване на EAP, а на 25 февруари 2014 г. добавиха поддръжка за WFA-UNAUTH-TLS, метод за удостоверяване, който удостоверява само сървъра. Това ще позволи да се работи през EAP-TLS по същия начин като през HTTPS, където безжичната точка за достъп позволява безплатна връзка (тоест не изисква удостоверяване на клиента), но в същото време криптира трафика (IEEE 802.11i-2004, тоест WPA2) и позволява удостоверяване на преминаване, ако е необходимо. Стандартите също така съдържат предложения за използване на IEEE 802.11u в точки за достъп, за да се сигнализира за наличието на EAP-TLS метод, който удостоверява само сървъра, използвайки IETF стандартния EAP-TLS, а не EAP метод на трета страна.

Изискването на предварително инсталиран сертификат от страна на клиента е една от причините EAP-TLS да е много защитен и пример за жертване на удобството в полза на сигурността. За разбиване на EAP-TLS не е достатъчно да се компрометира паролата на потребителя; за успешна атака нападателят ще трябва да се сдобие и с клиентския сертификат за потребителя. Най-добрата сигурност може да бъде постигната чрез съхраняване на клиентски сертификати в смарт карти.

EAP-TTLS

Сигурност на тунелен транспортен слой, EAP метод, който разширява възможностите на метода TLS. Той е разработен от Funk Software и Certicom и се поддържа доста добре на повечето платформи (Windows от версия 8 и Windows Mobile от версия 8.1).

Клиентът може (но не е задължително) да бъде удостоверен от сървъра с помощта на PKI сертификат, подписан от CA. Неизискването за удостоверяване на клиента значително опростява процедурата по конфигуриране, тъй като не е необходимо да се генерира и инсталира индивидуален сертификат за всеки от тях.

След като сървърът бъде удостоверен от клиента с помощта на сертификат, подписан от сертифициращия орган и, по избор, от клиент-сървър, сървърът може да използва получената защитена връзка (тунел) за по-нататъшно удостоверяване на клиента. Тунелът позволява използването на протоколи за удостоверяване, предназначени за канали, защитени от MITM атаки и подслушване. С метода EAP-TTLS никаква информация, използвана за удостоверяване, не се предава в ясен текст, което прави още по-трудно разбиването.

EAP-PSK

Предварително споделен ключ, метод, дефиниран в RFC 4764, който използва предварително договорен ключ за взаимно удостоверяване и обмен на ключове за сесия. Методът е предназначен да работи в незащитени мрежи като IEEE 802.11 и в случай на успешна автентификация осигурява сигурна двупосочна връзка между клиента и точката за достъп.

EAP-PSK е документиран в експериментален RFC и осигурява лек и разширяем EAP метод, който не използва асиметрично криптиране. Този метод изисква четири съобщения (минималната възможна) за взаимно удостоверяване.

Напишете отзив за "EAP"

Бележки (редактиране)

Извадка от EAP

На следващия ден, след като се сбогува само с един граф, без да чака дамите да си тръгнат, принц Андрей се прибра у дома.
Беше вече началото на юни, когато принц Андрю, връщайки се у дома, отново влезе в онази брезова горичка, в която този стар, възглавен дъб така странно и запомнящо го порази. Звънчетата звъняха още по-приглушено в гората от преди месец и половина; всичко беше пълно, сенчесто и гъсто; а младите смърчове, пръснати в гората, не нарушаваха цялостната красота и, имитирайки общия характер, нежно озеленяваха с пухкави млади филизи.
Целият ден беше горещ, където се събираше гръмотевична буря, но само малко облаче се плисна върху праха на пътя и по сочните листа. Лявата страна на гората беше тъмна, в сянка; дясната, мокра, лъскава, блестеше на слънце, леко се люлееше от вятъра. Всичко беше в разцвет; пращеха и се търкаляха ту наблизо, ту далече.
„Да, тук, в тази гора, имаше този дъб, с който се съгласихме“, помисли си княз Андрей. „Ама къде е той“, помисли отново княз Андрей, като погледна към лявата страна на пътя и без да знае, без да го познае, се възхищаваше на дъба, който търсеше. Старият дъб, целият преобразен, се простираше като шатра от пищна, тъмна зеленина, разтопена, поклащайки се леко под лъчите на вечерното слънце. Без възли пръсти, без рани, без старо недоверие и мъка - нищо не се виждаше. Сочните млади листа си проправиха път през здравата вековна кора без възли, така че не беше възможно да се повярва, че този старец ги е произвел. „Да, това е същият дъб“, помисли си княз Андрей и изведнъж го обзе неразумно пролетно чувство на радост и обновление. Всички най-добри моменти от живота му изведнъж му се припомниха едновременно. И Аустерлиц с високото небе, и мъртвото, укорително лице на жена му, и Пиер на ферибота, и момичето, развълнувано от красотата на нощта, и тази нощ, и луната - и всичко това изведнъж го припомни.
„Не, животът не е свършил на 31 години, изведнъж, накрая, неизменно, реши принц Андрей. Не само, че знам всичко, което е в мен, е необходимо всички да знаят това: и Пиер, и това момиче, което искаше да лети в небето, необходимо е всички да ме познават, така че животът ми да не продължи аз сам. за да не живеят толкова независимо от живота ми, че да се отразява върху всички и всички да живеят с мен заедно!"

Връщайки се от пътуването си, принц Андрю реши да отиде в Петербург през есента и измисли различни причини за това решение. Цяла поредица от разумни, логични причини, поради които трябваше да отиде в Санкт Петербург и дори да служи, всяка минута беше готова за услугите му. Дори сега не разбираше как изобщо може да се съмнява в необходимостта да участва активно в живота, както преди месец не разбираше как може да му хрумне мисълта да напусне селото. Изглеждаше му ясно, че всичките му преживявания в живота трябваше да бъдат пропилени и глупости, ако не ги беше приложил към работата и отново взе активно участие в живота. Той дори не разбираше как въз основа на същите лоши рационални аргументи преди беше очевидно, че той щеше да се унижи, ако сега, след житейските си уроци, отново повярва във възможността да бъде полезен и във възможността за щастие и любов. Сега умът ми подсказваше нещо съвсем различно. След това пътуване принц Андрей започна да се отегчава в селото, предишните му занимания не го интересуваха и често, седейки сам в кабинета си, той ставаше, отиваше до огледалото и дълго гледаше лицето си. После се извърна и погледна портрета на починалата Лиза, която с къдрици, разбити a la grecque [на гръцки], нежно и весело го гледаше от златна рамка. Тя вече не говореше на съпруга си предишните ужасни думи, просто и весело го гледаше с любопитство. И принц Андрю, със скръстени назад ръце, обикаляше дълго из стаята, ту намръщен, ту усмихнат, променяйки мнението си за онези неразумни, неизразими мисли, тайни като престъпление, мисли, свързани с Пиер, със слава, с момиче на прозореца, с дъб, с женска красота и любов, която промени целия му живот. И в тези моменти, когато някой дойде при него, той беше особено сух, строго решителен и особено неприятно логичен.
„Mon cher, [мила моя]“, казваше княгиня Мария, влизайки в такъв момент, „Николушка сега не може да се разхожда: много е студено.
„Ако беше топло“, особено сухо в такива моменти отговаряше принц Андрей на сестра си, „щеше да отиде с една риза, а понеже е студено, трябва да облече топли дрехи, които са измислени за това. Това следва от факта, че е студено, а не просто да си стои вкъщи, когато детето има нужда от въздух “, каза той с особена логика, сякаш наказва някого за цялата тази тайна, нелогична, вътрешна работа, която се извършваше в него. Принцеса Мария мислеше в тези случаи как тази умствена работа изсушава мъжете.

Принц Андрю пристига в Санкт Петербург през август 1809 г. Това беше времето на апогея на славата на младия Сперански и на енергията на направените от него преврати. През този август императорът, возещ се в карета, беше изхвърлен, нарани крака си и остана в Петерхоф в продължение на три седмици, като се виждаше всеки ден и изключително със Сперански. По това време не само се подготвяха две толкова известни и тревожни обществени постановления за унищожаване на съдебни служители и за изпити за чинове на колегиални заседатели и държавни съветници, но и цяла държавна конституция, която трябваше да промени съществуващата съдебна власт, административен и финансов ред на управлението в Русия от държавния съвет до волостното настоятелство. Сега се сбъднаха и сбъднаха онези смътни, либерални мечти, с които император Александър се възкачи на престола и които той се стремеше да осъществи с помощта на своите помощници Чарторижски, Новосилцев, Кочубей и Строгонов, които самият той на шега наричаше comite du salut publique. [комисия по обществена безопасност.]
Сега всички заедно бяха заменени от Сперански за цивилната част и Аракчеев за военната. Принц Андрю, малко след пристигането си, като шамбелан се яви в двора и на излизане. Царят, като го срещна два пъти, не го удостои с нито една дума. Княз Андрей винаги е смятал, че е антипатичен към суверена, че суверенът не харесва лицето му и цялото му същество. В сухия, далечен поглед, с който го гледаше императорът, княз Андрей намери потвърждение на това предположение още повече от преди. Придворните обясниха на княз Андрей невниманието на суверена към него с факта, че Негово Величество е недоволен от факта, че Болконски не е служил от 1805 г.
„Аз самият знам как ние не сме силни в своите симпатии и антипатии, помисли си принц Андрю, и затова няма нужда да мисля да представя лично моята бележка относно военните разпоредби на суверена, но въпросът ще говори сам за себе си. Той предал бележката си на стар фелдмаршал, приятел на баща му. Фелдмаршалът, след като му назначи час, нежно го прие и обеща да докладва на суверена. Няколко дни по-късно е съобщено на княз Андрей, че трябва да докладва на военния министър граф Аракчеев.
В девет часа сутринта, в уречения ден, княз Андрей се появи в приемната на граф Аракчеев.
Лично княз Андрей не познаваше Аракчеев и никога не го виждаше, но всичко, което знаеше за него, не му вдъхваше уважение към този човек.
„Той е военен министър, доверено лице на суверена на императора; никой не трябва да се интересува от личните му имоти; той беше инструктиран да разгледа моята бележка, следователно той е единственият и може да го даде“, помисли княз Андрей, чакайки сред много важни и маловажни лица в приема на граф Аракчеев.
Принц Андрю по време на службата си, предимно адютант, видя много важни лица начело и различните характери на тези рецепционисти му бяха много ясни. Граф Аракчеев имаше много особен рецепционистски характер. Незначителните лица, чакащи реда си за аудиенция в приемната на граф Аракчеев, изпитваха чувство на срам и покорност; при повече длъжностни лица се изрази едно общо чувство на неловкост, скрито под прикритието на самонадеяност и подигравка със себе си, с позицията си и пред очакваното лице. Някои вървяха нагоре-надолу замислено, други се смееха шепнешком, а княз Андрей чу прозвището [подигравателно прозвище] на войските на Андрейч и думите: „чичо ще пита“ за граф Аракчеев. Един генерал (важна личност), очевидно обиден от факта, че трябваше да чака толкова дълго, седеше размествайки крака и се усмихваше презрително на себе си.
Но щом вратата се отвори, само едно нещо мигновено се изрази на всички лица - страх. Принц Андрю помоли дежурния офицер отново да докладва за себе си, но те го погледнаха с насмешка и казаха, че неговият ред ще дойде навреме. След няколко докарани и изведени от адютанта от кабинета на министъра, през страшната врата беше допуснат офицер, който порази княз Андрей с унизения и уплашен вид. Аудиенцията на офицера продължи дълго. Изведнъж зад вратата се чу трясък на неприятен глас и бледият офицер с треперещи устни излезе оттам и се хвана за главата, мина през чакалнята.
След това княз Андрей беше отведен до вратата, а прислужникът шепнешком каза: „вдясно, до прозореца“.
Принц Андрей влезе в скромен, подреден офис и на масата видя четиридесетгодишен мъж с дълга талия, дълга, късо подстригана глава и гъсти бръчки, с намръщени вежди над квадрата със зелени тъпи очи и увиснала червена нос. Аракчеев обърна глава към него, без да го поглежда.
- Какво питаш? - попита Аракчеев.
— Не... моля, ваше превъзходителство — каза тихо принц Андрю. Очите на Аракчеев се обърнаха към него.
- Седни, - каза Аракчеев, - княз Болконски?
„Не моля за нищо, но императорът благоволи да изпрати бележката, която представих на ваше превъзходителство…
„Вижте ли, скъпа моя, прочетох бележката ви“, прекъсна го Аракчеев, като изрече само първите думи любезно, отново без да се вглежда в лицето му и изпадайки все повече и повече в мрънкащ презрителен тон. - Предлагате ли нови военни закони? Има много закони, няма кой да изпълни старите. В днешно време всички закони са написани, по-лесно е да се пише, отколкото да се прави.
- Дойдох по нареждане на императора, за да попитам Ваше превъзходителство, какъв ход възнамерявате да направите на представената нота? - каза учтиво княз Андрей.
- Поставих резолюция върху вашата бележка и я изпратих на комисията. Не одобрявам - каза Аракчеев, като стана и взе хартия от масата за писане. - Тук! - даде на княз Андрей.
На хартия отсреща, с молив, без главни букви, без правопис, без препинателни знаци, пишеше: „преди това е неоправдано съставено като имитация, преписана от френските военни разпоредби и от военната статия без необходимост от отстъпление“.
- На коя комисия е прехвърлена бележката? - попита княз Андрей.
- На комисията по военния правилник и представих записването на вашата чест като член. Само без заплата.
Принц Андрю се усмихна.
„Не искам.
„Без заплата, член“, повтори Аракчеев. - Имам честта. Хей, обади се! Кой друг? - извика той, кланяйки се на княз Андрей.

В очакване на известие за приемането му в комитета, княз Андрей поднови старите си познанства, особено с онези лица, които той знаеше, че са на власт и може да са му необходими. Той изпита сега в Петербург чувство, подобно на това, което изпитваше в навечерието на битката, когато беше измъчван от неспокойно любопитство и неудържимо привлечен към висшите сфери, където се подготвяше бъдещето, от което зависеше съдбата на милиони . Той усещаше по гнева на старите, по любопитството на непосветените, по сдържаността на посветените, по бързането, загрижеността на всеки, по безбройния брой комисии, комисии, за чието съществуване научаваше всеки ден, че сега, през 1809 г., тук в Петербург се подготвяше някаква огромна гражданска битка, за която главнокомандващият беше непознат за него, мистериозен и му се струваше гений, личността - Сперански. И най-неясно познатият му въпрос за трансформацията и Сперански, главната фигура, започнаха да го интересуват толкова страстно, че въпросът за военните разпоредби много скоро започна да преминава на второстепенно място в съзнанието му.

Много хора днес имат Wi-Fi рутер у дома. В крайна сметка е много по-лесно да свържете безжично към интернет лаптоп, таблет и смартфон, от които има повече от хората във всяко семейство. И той (рутерът) по същество е портал към информационната вселена. Прочетете входната врата. И от тази врата зависи дали при вас ще дойде неканен гост без ваше разрешение. Ето защо е много важно да обърнете внимание на правилната конфигурация на рутера, така че вашата безжична мрежа да не е уязвима.

Няма нужда да ми се напомня, че скриването на SSID на точка за достъп не ви защитава. Ограничаването на достъпа по MAC адрес не е ефективно. Следователно, само съвременни методи за криптиране и сложна парола.

Защо криптиране? Кой има нужда от мен? нямам какво да крия

Не е толкова страшно, ако откраднат ПИН кода от кредитната карта и теглят всички пари от нея. Освен това, ако някой ще използва интернет за ваша сметка, знаейки паролата за Wi-Fi. И не е толкова страшно, ако ти публикуват снимки от фирмени партита, на които си в грозно състояние. Много по-обидно е, когато натрапници проникнат в компютъра ви и изтрият снимки как сте извели сина си от болницата, как е направил първите си стъпки и е ходил в първи клас. Архивите са отделна тема, те със сигурност трябва да се правят ... Но вашата репутация може да бъде възстановена с времето, пари могат да се спечелят, но снимките, които са ви скъпи, ги няма. Мисля, че всеки има нещо, което не иска да загуби.
Вашият рутер е граничното устройство между частно и публично, така че го настройте максимално. Освен това не е толкова трудно.

Технологии и алгоритми за криптиране

Пропускам теорията. Няма значение как работи, основното е да можете да го използвате.
Технологиите за безжична сигурност са се развили в следния хронологичен ред: WEP, WPA, WPA2. Методите за криптиране RC4, TKIP, AES също са се развили.
Най-добрият по отношение на сигурността днес е пакетът WPA2-AES. Ето как трябва да опитате да конфигурирате Wi-Fi. Трябва да изглежда така:

WPA2 се изисква от 16 март 2006 г. Но понякога все още можете да намерите оборудване, което не го поддържа. По-специално, ако имате инсталиран Windows XP на вашия компютър без Service Pack 3, WPA2 няма да работи. Следователно, от съображения за съвместимост, на рутери можете да намерите WPA2-PSK -> AES + TKIP настройки и още една менажерия.
Но ако имате модерен парк от устройства, тогава е по-добре да използвате WPA2 (WPA2-PSK) -> AES, като най-сигурната опция днес.

Каква е разликата между WPA (WPA2) и WPA-PSK (WPA2-PSK)

Стандартът WPA предоставя Extensible Authentication Protocol (EAP) като основа за механизма за удостоверяване на потребителя. Необходимо условие за удостоверяване е представянето от потребителя на сертификат (наричан иначе мандат), потвърждаващ правото му на достъп до мрежата. За това право потребителят се проверява в специална база данни с регистрирани потребители. Без удостоверяване на потребителя ще бъде забранено да сърфира в мрежата. Базата данни с регистрирани потребители и системата за проверка в големите мрежи обикновено се намират на специален сървър (най-често RADIUS).
Опростеният режим на предварително споделен ключ (WPA-PSK, WPA2-PSK) ви позволява да използвате една парола, която се съхранява директно в рутера. От една страна, всичко е опростено, няма нужда от създаване и поддържане на потребителска база, от друга страна, всички влизат под една и съща парола.
У дома е по-препоръчително да използвате WPA2-PSK, тоест опростения режим на стандарта WPA. Wi-Fi сигурността не страда от това опростяване.

Парола за достъп до Wi-Fi

Тук всичко е просто. Паролата за вашата безжична точка за достъп (рутер) трябва да е с дължина повече от 8 знака и да съдържа букви в различни главни букви, цифри, препинателни знаци. И той не трябва да се свързва с вас по никакъв начин. Това означава, че не можете да използвате датите на раждане, вашите имена, номера на автомобили, телефонни номера и т.н. като парола.
Тъй като е почти невъзможно да се разбие WPA2-AES челно (имаше само няколко случая, симулирани в лабораторни условия), основните методи за разбиване на WPA2 са речникови атаки и груба сила (последователно търсене на всички опции за пароли). Следователно, колкото по-сложна е паролата, толкова по-малко шансове имат нападателите.

... в СССР автоматичните шкафчета станаха широко разпространени на железопътните гари. Като комбинация от ключалката са използвани една буква и три цифри. Малко хора обаче знаят, че първата версия на шкафчетата е използвала 4 цифри като кодова комбинация. Каква е разликата, изглежда? В крайна сметка броят на кодовите комбинации е същият - 10 000 (десет хиляди). Но както показа практиката (особено Московския отдел за криминално разследване), когато човек беше помолен да използва 4-цифрена комбинация като парола за шкафче, много хора използваха годината на раждане (за да не забравят). Това, което киберпрестъпниците не са използвали безуспешно. В крайна сметка първите две цифри в датата на раждане на абсолютното мнозинство от населението на страната бяха известни - 19. Остава на око да се определи приблизителната възраст на превозвача на багаж и всеки от нас може да направи това с точност до +/- 3 години, а в останалата част получаваме (по-точно нападателите) по-малко 10 комбинации за избор на код за достъп до автоматично шкафче за съхранение ...

Най-популярната парола

Човешкият мързел и безотговорността си вземат своето. Ето списък с най-популярните пароли:

1. 123456
2. qwerty
3. 111111
4. 123123
5. 1a2b3c
6. Дата на раждане
7. Номер на мобилен телефон

Правила за сигурност с парола

1. Всеки с вкуса си. Това означава, че паролата на рутера не трябва да е същата като която и да е от другите ви пароли. От пощата например. Направете правило, че всички акаунти имат свои собствени пароли и всички те са различни.
2. Използвайте силни пароли, които не могат да бъдат отгатнати. Например: 2Rk7-kw8Q11vlOp0

Паролата за Wi-Fi има един огромен плюс. Не е нужно да го запомняте. Може да се напише на лист хартия и да се залепи в долната част на рутера.

Wi-Fi зона за гости

Ако вашият рутер ви позволява да организирате зона за гости. Не забравяйте да го направите. Естествено го защитава с WPA2 и силна парола. И сега, когато приятели дойдат в дома ви и поискат интернет, не е нужно да им казвате главната парола. Освен това зоната за гости в рутерите е изолирана от основната мрежа. И всички проблеми с устройствата на вашите гости няма да засегнат вашата домашна мрежа.

АНДРЕЙ ПЛАТОНОВ

Изграждане на сигурна безжична мрежа: WPA-Enterprise, 802.1x EAP-TLS

Има над сто статии за несигурността на безжичните мрежи. Освен това много от тях са напълно идентични и безполезни: казват, че WEP е лош, че MAC адресите могат лесно да се променят и накрая пишат: „Има само един изход и спасение. Трябва да използвате WPA." И точката. Този материал съдържа точно това, което искахте да чуете след "точката" - практично ръководство за организиране на добре защитена безжична мрежа.

Безопасен несигурен Wi-Fi

Днес става очевидно, че въпреки всички проблеми, свързани със сигурността, надеждността и сложността на работа, безжичните решения от семейството 802.11a / b / g все пак се превърнаха в неразделна част от инфраструктурата на много корпоративни, домашни и дори операторски мрежи. Това отчасти е така, защото повечето от тези проблеми вече са нещо от миналото в днешното развитие на Wi-Fi. Безжичните мрежи във всички отношения станаха много по-умни и по-бързи: появиха се QoS, интелигентни антени (MIMO технология), реалните скорости достигнаха 40 Mbps (например технологии SuperG, SuperAG от Atheros). Освен това настъпиха големи промени в набора от технологии, които гарантират сигурността на безжичните мрежи. Нека поговорим за това по-подробно.

В дните, когато Wi-Fi беше само за елита, WEP криптирането и MAC филтрите бяха използвани за защита на безжичните мрежи. Всичко това бързо стана недостатъчно, WEP беше признат за несигурен поради статичната природа на ключовете за криптиране и липсата на механизми за удостоверяване, MAC филтрите също не осигуряваха специална сигурност. Започна разработването на нов стандарт IEEE 802.11i, който е предназначен да реши всички належащи проблеми със сигурността. На половината път до 802.11i се появи набор от технологии под общото име WPA (Wi-Fi Protected Access) – част от все още неготовия стандарт 802.11i. WPA включва средства за удостоверяване на потребителя, криптиране с помощта на динамични WEP ключове (TKIP / MIC). Тогава 802.11i най-накрая беше завършен и се роди WPA2. Към всичко изброено по-горе е добавена поддръжка за по-силно криптиране AES (Advanced Encryption Standard), който работи във връзка с протокола за сигурност CCMP (Counter with Cipher Block Chaining Message Authentication Code Protocol - това е по-усъвършенстван аналог на TKIP в WPA ). WPA2 постепенно започна да се появява в нови модели точки за достъп (например D-Link DWL-3200AP), но засега е доста екзотичен. Всички продукти, които поддържат WPA2, са обратно съвместими с оборудване, което поддържа WPA.

И WPA, и WPA2 включват усъвършенствани контроли за безжичен достъп, базирани на стандарта IEEE 802.1x. Архитектурата 802.1x използва няколко необходими порта:

• Клиент. Клиентът е молителят - програмата на клиентския компютър, която контролира процеса на удостоверяване.
• Удостоверител. Това е точка за достъп, която действа като посредник между клиента и сървъра за удостоверяване. Кабелният превключвател също може да бъде удостоверител, тъй като 802.1x се използва в различни мрежи.
• Сървър за удостоверяване - RADIUS сървър.

IEEE 802.1x позволява различни методи и алгоритми за удостоверяване. Това е възможно благодарение на Extensible Authentication Protocol (EAP), в който атрибутите, съответстващи на определен метод за удостоверяване, са „вложени“. Следователно има много разновидности на 802.1x EAP: EAP-MD5, EAP-PEAP, EAP-LEAP, EAP-SIM и др. Тази статия ще опише прилагането на удостоверяване в безжична мрежа, базирана на цифрови сертификати - 802.1x EAP- TLS. Този метод се използва най-често в корпоративни безжични мрежи и има доста висока степен на сигурност. Освен това EAP-TLS понякога е един от основните методи за защита в мрежите на безжичните доставчици.

802.1x EAP-TLS удостоверяване

EAP-TLS се основава на SSL v3.0, но за разлика от традиционното SSL удостоверяване (например при установяване на защитена http връзка - HTTPS), EAP-TLS удостоверява клиента и сървъра взаимно. Клиентът (заявител) и RADIUS сървърът трябва да поддържат EAP-TLS метода за удостоверяване; точката за достъп трябва да поддържа 802.1x / EAP удостоверяване и не е необходимо да знае кой метод за удостоверяване се използва в конкретен случай. Фигурата по-долу изобразява процеса на удостоверяване в безжична мрежа, използваща EAP-TLS.

Тук е подходящо да приключим с малко лирично и теоретично отклонение, което е необходимо, за да добиете груба представа какво се крие в дълбините на сигурна безжична мрежа. След това ще бъде предложена практическа реализация на описаните по-горе концепции. Компютър с FreeBSD 5.3 с пакет FreeRADIUS ще бъде използван като RADIUS сървър. За организиране на инфраструктурата на PKI (Public Key Infrastructure) ще се използва пакетът OpenSSL. Цялата безжична мрежа ще се основава на евтино и надеждно безжично оборудване D-Link. Предполага се, че Windows XP SP2 е инсталиран на клиентските машини. тази операционна система има вграден суперликант, а скорошна актуализация от Microsoft добавя поддръжка за WPA2.

Инсталирайте и конфигурирайте OpenSSL и FreeRADIUS

Предполага се, че FreeBSD 5.3 има инсталиран един NIC, колекцията от портове е актуализирана, Midnight Commander присъства и компютърът е свързан към Интернет. По-нататък ще приемем, че безжичната мрежа е разгърната в корпоративна мрежа с маска 192.168.0.0/24.

Като начало, няколко думи за конфигурирането на безжична мрежа, а след това ще дадем пример за конфигуриране на D-Link DWL-2100AP, за да осигурим взаимодействие с RADIUS сървър.

Вътрешноофисната безжична мрежа обикновено се състои от няколко точки за достъп (цялото покритие е разделено на малки клетки), които са свързани към кабелен комутатор. Често за изграждане на WLAN се използват комутатори с вградена поддръжка на Power over Ethernet (802.3af) на портове (например D-Link DES-1316K). С тяхна помощ е удобно да се захранват точките за достъп, разпръснати из офиса. Точките, разположени наблизо, са настроени към канали на обхват, които не се припокриват, така че да не пречат една на друга. В обхвата 2,4 GHz, в който работи оборудването 802.11b / g, има 3 неприпокриващи се канала за оборудване с 11 канала и 4 неприпокриващи се канала за оборудване, в което могат да бъдат избрани 13 канала (широколентовият сигнал на достъпа точка заема 3 канала от диапазона). Точките за достъп D-Link DWL-2100AP и DWL-2700AP могат да бъдат настроени на всеки от 13 канала, освен това можете да активирате функцията за автоматична настройка на празен канал. Така че ще го направим.

Ако в мрежата има мобилни абонати, които се движат в цялата зона на покритие, можете да зададете всички точки с едно и също име на безжичната мрежа - SSID, тогава абонатът автоматично ще се свърже с нова точка, ако връзката с предишната е изгубен. В този случай той ще бъде повторно удостоверен, което, в зависимост от молителя, ще отнеме от няколко секунди или повече. Така се реализира най-простият неинтелигентен роуминг в рамките на мрежата. Друг вариант: ако всяка точка има свой собствен SSID, тогава можете да конфигурирате няколко профила на безжична мрежа в свойствата на безжичната връзка и да поставите отметка в опцията "свържете се с всяка налична мрежа" там. По този начин, ако връзката се загуби, клиентът ще се свърже с нова точка.

Ние конфигурираме DWL-2100AP да взаимодейства с RADIUS.

• Отиваме в уеб интерфейса на точката за достъп (как да направите това, е написано в инструкциите за точката), незабавно променяме паролата по подразбиране в раздела ИНСТРУМЕНТИ / АДМИНИСТРАЦИЯ /.
• В раздела HOME / LAN задайте IP адреса на точката за достъп, която е зададена в clients.conf: 192.168.0.220.

• В раздела НАЧАЛО / БЕЗЖИЧНО правим всичко, както е показано на фиг. 3; в полето "Radius Secret" посочете паролата, която съответства на тази точка в clients.conf (ние посочихме "12345").

Останалите точки за достъп са конфигурирани по същия начин, само че те ще имат различни IP-адреси, канали (ако са зададени ръчно), както и стойността на полето "Radius Secret".

Ние създаваме сертификати

Първо, няколко общи думи за това какво е PKI. Това е вид инфраструктура, всеки субект на която притежава уникален цифров сертификат, който доказва неговата самоличност; наред с други неща, цифров сертификат съдържа частен ключ. Съобщенията, кодирани с него, могат да бъдат декриптирани, като се знае съответния публичен ключ. Обратно, съобщенията, криптирани с публичния ключ, могат да бъдат декриптирани само с помощта на частния ключ. Всеки PKI субект има публичен и частен ключ.

Субектът на PKI може да бъде или компютър на потребител или PDA, или всеки друг елемент от мрежовата инфраструктура - рутер, уеб сървър и дори RADIUS сървър, какъвто е случаят в нашия случай. Начело на цялата тази система стои главният орган CA (Certificate Autority), предполага се, че всеки му вярва и всеки го познава - той се занимава с подписване на сертификати (удостоверяващи, че носителят на сертификата наистина е този, за когото се твърди, че е ). Подпомагат го специални служби за приемане на заявки за удостоверения и тяхното издаване; номерата на всички издадени и отменени удостоверения се съхраняват в специален регистър. В действителност цялата тази на пръв поглед голяма ферма се побира на един компютър и един човек може лесно да я управлява.

За да създадем сертификати, ще използваме скриптовете, които идват с FreeRADIUS.

• Първо, ще създадем собствен CA - за това ще трябва да генерираме цифров подпис, който ще подпише всички издадени от него сертификати, както и публичния ключ.
• След това ще създадем сървърен сертификат, който ще го инсталираме на RADIUS.
• И накрая, ще генерираме сертификати за инсталиране на клиентски компютри.

Създайте директорията / usr / local / etc / raddb / CA, копирайте файла CA.all и файла xpextensions от папката /usr/ports/net/freeradius/work/freeradius-1.0.2/scripts/ там. CA.all е интерактивен скрипт, който генерира CA, клиентски и сървърни сертификати. Xpextensions е файл, съдържащ специални ключове на Microsoft "Extended Key Usage", които са необходими за EAP-TLS за работа с Windows системи.

Отворете файла CA.all:

• в ред 1 ще коригираме пътя - трябва да изглежда така:

SSL = / usr / local / openssl

• на ред 32 коригираме пътя - трябва да изглежда така:

echo “newreq.pem” | /usr/local/openssl/ssl/misc/CA.pl -newca

Копирайте CA.all във файла CA_users.all. След това отваряме последния и оставяме текста от редове 48 до 64, изтриваме останалите редове - останалото е секцията CA.all, в която се генерират клиентски сертификати. Ще се използва много пъти, така че е удобно да го отделите в отделен скрипт. Отворете CA.all, изтрийте редове от 48 до 64 от него - всичко, което е избрано в отделен скрипт и го запазете.

Забележка: файловете CA.all и CA_users.all - съдържат секретната парола "whatever", която се използва като допълнителна мярка за сигурност при издаване и анулиране на сертификати. Човек, който не знае тази фраза, няма да може да подпише или отмени сертификата. По принцип, освен оператора CA, никой друг няма да има нужда от него. За да увеличите сигурността, трябва да замените всички думи "каквото и да е" в скриптовете CA.all и CA_users.all с вашата парола. Той също така ще трябва да бъде въведен в eap.conf в реда "private_key_password = whatever". По-нататък ще предполагам, че сме оставили паролата „каквото и да е“ навсякъде непроменена. Ще го въведем чрез създаване на клиентски и сървърни сертификати, както и тяхното отменяне.

Създайте CA и сървърен сертификат

Стартирайте CA.all. Първото нещо, което генерира интерактивно, е коренният сертификат на CA (cacert.pem), двойка публичен/частен ключ (cakey.pem), публичен ключ на PKCS #12 root сертификат (root.der), след това сертификат на сървър (cert_srv. pem ), който ще инсталираме на RADIUS. Всички изброени файлове (и дори някои, които не са изброени) ще се появят в папката CA.

Създайте CA (той ще се нарича "Администратор"):

Създайте сертификат за RADIUS:

Копирайте файловете /raddb/CA/cert_srv.pem и /raddb/CA/demoCA/cacert.pem в папката /raddb/certs - инсталирайте сертификатите на RADIUS сървъра.

Създаваме клиентски сертификати

За да генерираме клиентски сертификати, ние използваме нашия скрипт CA_users.all. Например, нека създадем сертификат за user1:

• Отворете CA_users.all, заменете всички думи cert-clt. * В него с user1. * (Това е необходимо, за да се разграничи по името на файла кой сертификат е предназначен за кой потребител, в противен случай ще бъде създаден сертификат със същия файл име ( cert-clt. *). Ще създадем няколко сертификата наведнъж за user1, user2,3,4,5). Като алтернатива можете да използвате описателните имена на файловете, съдържащи сертификата, например SergeyPetrov, IvanIvanov и др.
• Паролата - "каквото и да е" в редове 3, 4 се заменя с реална, както е показано в списъка:

CA_users.all файл

1 | openssl req -new -keyout newreq.pem -out newreq.pem -days 730 -passin pass: независимо -passout pass: независимо

2 | openssl ca -policy policy_anything -out newcert.pem -passin pass: whatever -key whatever -extensions xpclient_ext \

Extfile xpextensions -infiles newreq.pem

3 | openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -out user1.p12 -clcerts -passin pass: каквото -passout pass: user1_password

4 | openssl pkcs12 -in user1.p12 -out user1.pem -passin pass: user1_password -passout pass: user1_password

5 | openssl x509 -inform PEM -outform DER -in user1.pem -out user1.der

Например въвеждаме "user1_password" - тази парола ще бъде поискана при инсталиране на сертификата на компютъра на потребителя, тя трябва да бъде запомнена. Това, както казах, е допълнително средство за удостоверяване за действия, свързани с издаване на сертификат.

• Записваме и стартираме скрипта, получаваме три файла user1.der, user1.pem, user1.p12 - последният е сертификат във формат PKСS # 12 за инсталиране на клиент на Windows.

Стартирайте модифицирания CA_users.all. Създайте сертификат за потребител1:

Име на държавата (2-буквен код): RU

Сега генерираме парола за user2:

• Отворете CA_users.all, заменете user1. * В него с user2. *
• Заменете паролата "user1_password" с "user2_password" (не забравяйте да я запомните, за да можете да инсталирате сертификата по-късно).
• Записваме и стартираме скрипта - получаваме файла user2.p12.

Създайте сертификат за потребител2:

Записваме всеки сертификат на отделна дискета, записваме паролата за инсталиране ("userX_password") върху него, записваме публичния ключ root.der на същата дискета (той е еднакъв за всички) и я издаваме на потребителя. Потребителят инсталира сертификата на своя компютър (повече за това по-късно) и поставя флопи диска в сейфа.

Инсталиране на сертификати на клиентския компютър

И така, потребителят (да кажем този, който нарекохме user1) получи флопи диск, чието съдържание е два файла root.der и user1.p12. На дискетата е написана и паролата "user1_password".

Нека започнем с инсталирането на root.der

• щракнете двукратно върху файла root.der;
• щракнете върху "Инсталиране на сертификат";
• щракнете върху "Напред";
• изберете опцията "Поставете всички сертификати в следния магазин", щракнете върху "Преглед" (фиг. 4);

• изберете "Доверени Root Certification Authorities", щракнете върху "OK" (фиг. 5);

• щракнете върху "Напред", след това "Край";
• се издава предупреждение за сигурност: „Не е възможно да се провери дали сертификатът принадлежи на“ Администратор.... Да инсталирате този сертификат?" натискаме "Да";
• се показва съобщението „Импортирането завърши успешно.“, щракнете върху „OK“ два пъти.

Инсталирайте потребителския сертификат user1.p12.

• Щракнете двукратно върху файла user1.p12, щракнете върху "Напред" два пъти.

• Тук трябва да въведете паролата, която сме задали за сертификата user1. В нашия пример това е "user1_pass-word" (или каквото измислите), условно се записва на дискета със сертификат. Въведете го и кликнете върху „Напред“.
• Щракнете върху "Напред", след това върху "Край" - показва се съобщението "Импортирането успешно завърши", щракнете върху "OK".

Забележка: всички сертификати, които сме инсталирали, могат да се видят през MMC с помощта на добавката Сертификати -> Текущ потребител (Личен -> Сертификати).

Конфигуриране на безжични адаптери D-Link DWL-G650 (DWL-G520 / DWL-G120) и молител

D-Link DWL-G650 е CardBus адаптер, DWL-G520 е PCI адаптер, а DWL-G120 е USB адаптер. Те са конфигурирани напълно идентично. Нека разгледаме процедурата, използвайки DWL-G650 като пример.

• Изваждаме адаптера от кутията, оставяме го настрана; инсталирайте драйверите от включения диск. След като инсталираме драйвера, премахваме родната помощна програма за конфигуриране на адаптера от стартиране, тъй като за тези цели ще използваме услугата за конфигуриране на безжичен хардуер, вградена в Windows XP. Вмъкваме адаптера в компютъра.
• Щракнете веднъж с левия бутон на мишката върху зачеркнатата икона за безжична връзка (в системната област), след което изберете елемента „Промяна на допълнителни параметри“ (фиг. 7).

• Изберете раздела "Безжични мрежи", изберете нашата безжична мрежа там (megacompany_DWL-2100AP), отидете на "Свойства" (фиг. 8).

• В раздела „Връзки“ в падащото меню „Шифроване на данни“ изберете протокола TKIP. Преминаваме към раздела "Удостоверяване" (фиг. 9).

• Тук оставяме всичко непроменено, отиваме в "Свойства" на EAP (фиг. 10).

• Поставяме превключвателите, както е показано на фиг. 11, в прозореца "Доверени Root Certification Authorities" изберете нашия CA - той ще се нарича администратор (ако всичко е направено точно както е описано в раздела "Създаване на сертификати").

• За всеки случай щракнете върху „Преглед на сертификата“ и проучете кой е доставчикът на сертификат. Уверяваме се, че това е нашият корпоративен CA "Администратор", който създадохме (фиг. 12).

• Щракнете върху "OK", това завършва конфигурацията на мрежовата карта и суперликанта.

Проверяваме работата на WPA-Enterprise в нашата мрежа

Сега дойде дългоочакваното време за тестване на всички настройки в експлоатация. Стартирайте FreeRADIUS в режим на отстраняване на грешки с командата "radiusd -X" и вижте на екрана:

радиус # радиусd –X

В края има редове:

Е, или в най-лошия случай, пише защо FreeRADIUS не стартира - не се отчайвайте, ако това се случи. Трябва внимателно да проучите съобщението за грешка и да проверите всички настройки.

Щракнете върху иконата за безжична мрежова връзка, след това върху безжичната мрежа с име "mega-company_DWL-2100AP". След това насочваме погледа си към монитора, на който работи radiusd и се показва процесът на успешно удостоверяване (няма да показваме целия изход на сървъра, защото е доста голям, ще дадем само началния и крайния ред).

Начало на тегленето:

Край на тегленето:

Удостоверяването беше успешно, компютърът получава IP адрес от DHCP сървъра и вече може да работи в безжичната мрежа. Между другото, ако на компютъра са инсталирани няколко клиентски сертификата (това също се случва), тогава суперликантът ще предложи да избере кой да използва за конкретно удостоверяване.

Отмяна на сертификати

Изглежда, че всичко вече е ясно - вече е изградена защитена безжична мрежа, но всъщност има още един важен аспект, който сега ще разгледаме. Да предположим, че искате да откажете достъп до безжичната мрежа за един от компютрите (например личния лаптоп на един от служителите), на който преди това сме инсталирали сертификата. Причините могат да бъдат най-обикновени - уволнение на служител, съкращаване и т.н. За да разрешите този проблем, трябва да маркирате в регистъра (/usr/local/etc/raddb/CA/demoCA/index.txt), който съхранява списък на всички подписани сертификати, сертификатът на потребителя, на когото искаме да откажем достъп до мрежата, като отменен. След това трябва да създадете (или да актуализирате, ако вече съществува) списък за анулиране на сертификат (CRL - Certificate Revocation List). След това конфигурирайте RADIUS така, че при удостоверяване на потребители да се позовава на този списък и да проверява дали представеният клиентски сертификат е в него.

В предишните ни експерименти създадохме два сертификата за user1 (Андрей Иванов) и user2 (Михаил Иванов). Например, нека откажем достъп до безжичната мрежа за последната. Нека преминем през следващите три стъпки.

Етап 1

Маркираме сертификата user2 в регистъра като отменен: като сме в / usr / local / etc / raddb / CA, ние даваме командата:

radius # openssl ca -revoke user2.pem

OpenSSL се кълне, но прави каквото искаме. По време на изпълнението на командата трябва да въведете тайната парола ("каквото и да е"). В този случай в /raddb/CA/demoCA/index.txt сертификатът ще бъде маркиран като анулиран, което можем да проверим, като разгледаме този файл. Буквата "R" се появява до вписването, съответстващо на анулирания сертификат.

Стъпка 2

Създайте списък за оттегляне (CRL). Ако вече съществува, ще бъде актуализиран. Намирайки се в / usr / local / etc / raddb / CA, ние даваме командата:

радиус # openssl ca -gencrl -out ca.crl

Отново по време на изпълнението на командата трябва да въведете тайната парола "каквото и да е". В резултат на това файлът ca.crl се появява в директорията / raddb / CA / - това е списъкът за оттегляне. Вътре изглежда като криптиране, можете да го видите по следния начин:

радиус # openssl crl -in ca.crl -text –noout

В него виждаме един отнет сертификат със сериен номер D734AD0E8047BD8D (известен още като user2, известен още като Михаил Иванов).

Имайте предвид, че важно свойство на CRL е неговата дата на изтичане. Той трябва да бъде актуализиран не по-късно от датата на изтичане (Актуализация: 26 юни 23:33:19 2005 GMT). Датата на изтичане на CRL може да бъде зададена във файла openssl.cnf (имахме default_crl_days = 30).

Стъпка 3

Свързваме списъка с прегледи към FreeRADIUS:

• копирайте файла /raddb/CA/ca.crl в /raddb/certs/ (над стария ca.crl, ако го има);
• отидете на / raddb / certs / и залепете ca.crl към файла cacert.pem:

котка cacert.pem ca.crl> ca.pem

• направете малки промени в секцията на TLS файла /raddb/eap.conf

# тук променихме cacert.pem на ca.pem

CA_file = $ (raddbdir) /certs/ca.pem

CA_path = $ (raddbdir) / certs #добавете този ред

check_crl = yes # и този ред

Нека се опитаме да удостоверим компютъра със сертификата user2 в мрежата. Удостоверяването е неуспешно и user1 свободно влиза в безжичната мрежа, както е необходимо.

Сега сигурната безжична мрежа може да се счита за изградена.

Броят на хората, които активно използват интернет, нараства скокове и граници: на работа за справяне с корпоративни цели и администрация, у дома, на обществени места. Wi-Fi мрежите и оборудването набират популярност, което ви позволява да имате свободен достъп до Интернет.

Wi-Fi мрежата има парола с твърд кабел, без да знаете коя, ще бъде почти невъзможно да се свържете с конкретна мрежа, с изключение на обществени мрежи (кафенета, ресторанти, търговски центрове, точки за достъп по улиците). „Практически“ не трябва да се разбира в буквалния смисъл: има достатъчно майстори, които са в състояние да „отворят“ мрежата и да получат достъп не само до ресурса на рутера, но и до данните, предавани в рамките на определена мрежа.

Но в тази уводна дума говорихме за свързване към wi-fi - удостоверяванепотребител (клиент), когато клиентското устройство и точката за достъп се открият взаимно и потвърдят, че могат да комуникират един с друг.

Опции за удостоверяване:

• Отвори- отворена мрежа, в която всички свързани устройства са оторизирани наведнъж
• Споделено- автентичността на свързаното устройство трябва да се провери с ключ/парола
• EAP- автентичността на свързаното устройство трябва да бъде проверена с помощта на EAP протокола от външен сървър

Криптиране на рутер: методи и техните характеристики

криптиране- това е алгоритъм за кодиране (scramble - за криптиране, смесване) на предадените данни, промяна и генериране на ключа за криптиране

Разработени са различни видове криптиране за wifi оборудване, което прави възможно защитата на мрежата от хакване, а данните от публичен достъп.

Днес се открояват няколко опции за криптиране. Нека разгледаме всеки един от тях по-подробно.

Следните видове се открояват и са най-често срещаните:

• ОТВОРЕНО;
• WPA, WPA2;

Първият тип, наричан ОТВОРЕНО, съдържа цялата информация, необходима за познание в името. Този режим няма да позволи криптиране на данни или защита на мрежово оборудване, тъй като точката за достъп ще бъде, при условие, че е избран този тип, постоянно отворена и достъпна за всички устройства, които ще я открият. Недостатъците и уязвимостите на този тип "криптиране" са очевидни.

Ако мрежата е отворена, това не означава, че всеки може да работи с нея. За да използвате такава мрежа и да прехвърляте данни в нея, трябва да съответствате на използвания метод на криптиране. И още едно условие за използване на такава мрежа е липсата на MAC филтър, който определя MAC адресите на потребителите, за да разпознае кои устройства са забранени или разрешени да използват тази мрежа

WEP

Вторият тип, известен още като WEP, датира от 90-те години на миналия век, като прародител на всички следващи видове криптиране. Wep криптирането днес е най-слабата от всички съществуващи опции за защита. Повечето съвременни рутери, изградени от експерти и отчитащи интересите на поверителността на потребителите, не поддържат wep криптиране.

Сред минусите, въпреки факта, че има поне някакъв вид защита (в сравнение с OPEN), ненадеждността се откроява: тя се дължи на краткосрочна защита, която се активира на определени интервали. След този период паролата за вашата мрежа може лесно да бъде използвана с груба сила, а ключът wep ще бъде разбит за до 1 минута. Това се дължи на битността на wep ключа, която в зависимост от характеристиките на мрежовото оборудване е от 40 до 100 бита.

Уязвимостта на Wep key се крие във факта, че части от паролата се предават заедно с пакети данни. Прихващането на пакети за специалист - хакер или кракер - е лесна задача за изпълнение. Също така е важно да се разбере фактът, че съвременните софтуерни инструменти са способни да прихващат пакети от данни и са създадени специално за това.

По този начин, wep криптирането е най-ненадеждният начин за защита на вашата мрежа и мрежово оборудване.

WPA, WPA2

Такива сортове са най-модерните и перфектни от гледна точка на организацията на защитата в момента. Няма аналози за тях. Възможността за задаване на удобна за потребителя дължина и буквено-цифровата комбинация на ключа wpa прави живота доста труден за тези, които искат неоторизирано да използват конкретна мрежа или да прихващат данни от тази мрежа.

Тези стандарти поддържат различни алгоритми за криптиране, които могат да се предават след взаимодействието на протоколите TKIP и AES. Типът aes криптиране е по-усъвършенстван протокол от tkip и се поддържа и използва активно от повечето съвременни рутери.

Wpa или wpa2 криптиране е предпочитаният тип както за домашна, така и за корпоративна употреба. Последното дава възможност да се използват два режима на удостоверяване: проверката на пароли за достъп на определени потребители до общата мрежа се извършва, в зависимост от посочените настройки, в режим PSK или Enterprise.

PSK поема достъп до мрежово оборудване и интернет ресурси с помощта на една парола, която трябва да бъде въведена при свързване към рутера. Това е предпочитаният вариант за домашна мрежа, чието свързване се осъществява в рамките на малка площ с определени устройства, например: мобилен, персонален компютър и лаптоп.

За компании със солиден персонал PSK не е удобен режим за удостоверяване, така че е разработен вторият режим, Enterprise. Използването му прави възможно използването на различни ключове, които ще се съхраняват на специален специален сървър.

WPS

Наистина модерен и прави възможно свързването към безжична мрежа с натискане на бутон. Няма смисъл да мислим за пароли или ключове, но си струва да се подчертаят и да се вземат предвид редица сериозни недостатъци по отношение на достъпа до мрежи с WPS.

Свързването чрез тази технология се осъществява с помощта на ключ, който включва 8 знака. Уязвимостта на типа криптиране е следната: има сериозна грешка, която позволява на нападателите или хакерите да получат достъп до мрежата, ако са им достъпни поне 4 цифри от осемцифрена комбинация. В същото време броят на опитите за отгатване на парола е около няколко хиляди, но за съвременния софтуер тази цифра е абсурдна. Ако измерим процеса на форсиране на WPS във времето, тогава процесът ще отнеме не повече от един ден.

Струва си да се отбележи фактът, че тази уязвимост е на етап подобрение и може да бъде коригирана, следователно в следващите модели оборудване с WPS режим започнаха да се въвеждат ограничения за броя на опитите за влизане, което значително усложни задачата за неоторизирани достъп за тези, които се интересуват от това.

Независимо от това, за да се повиши общото ниво на сигурност, опитни потребители препоръчват принципно да изоставите разглежданата технология.

Обобщаване

Най-модерният и наистина надежден метод за организиране на защитата на мрежата и предаваните в нея данни е WPA или негов аналог WPA2.

Първият вариант е за предпочитане за домашна употреба от определен брой устройства и потребители.

Вторият, който има функция за удостоверяване в двоен режим, е по-подходящ за големи компании. Използването му е оправдано от факта, че при уволнение на служители не е необходимо да се променят пароли и ключове, тъй като определен брой динамични пароли се съхраняват на специално посветен сървър, до който имат достъп само настоящи служители на компанията.

Трябва да се отбележи, че WPA2 се предпочита от повечето опитни потребители дори за домашна употреба. От гледна точка на организиране на защитата на оборудването и данните, този метод за криптиране е най-модерният, който съществува днес.

Що се отнася до нарастващата популярност на WPS, изоставянето му означава до известна степен да се защити мрежовото оборудване и информационните данни, предавани с негова помощ. Докато технологията не е достатъчно развита и няма всички предимства, например WPA2, се препоръчва да се въздържате от използването й, въпреки очевидната лекота на използване и удобство. В крайна сметка сигурността на мрежата и информационните масиви, предавани в нея, е приоритет за повечето потребители.

Във връзка с

Нека да разгледаме няколко метода за удостоверяване на WLAN, а именно отворено удостоверяване, PSK и EAP.

Отворете удостоверяване

По подразбиране не се изисква удостоверяване за безжични устройства. Всички устройства имат право да установяват връзки, независимо от техния тип и принадлежност. Нарича се отворено удостоверяване... Отворената автентификация трябва да се използва само в обществени безжични мрежи като училища и интернет кафенета (ресторанти). Може да се използва в мрежи, където удостоверяването ще се извършва по други средства след свързване към мрежата.

Предварително споделен ключ (PSK)

При използване на режима PSKточката за достъп и клиентът трябва да използват споделен ключ или парола. Точката за достъп изпраща произволен низ от байтове на клиента. Клиентът взема този низ, криптира го (или го кодира) с помощта на ключа и го изпраща обратно до точката за достъп. Точката за достъп получава криптирания низ и използва своя ключ, за да го декриптира. Ако декриптираният низ, получен от клиента, съвпада с оригиналния низ, изпратен на клиента, тогава на клиента се дава разрешение да установи връзката.

В този случай се извършва еднопосочна автентификация, т.е. точката за достъп проверява подробностите за свързания възел. PSK не предполага удостоверяване на точката за достъп от хоста, нито удостоверява потребителя, свързващ се с хоста.

Разширяем протокол за удостоверяване (EAP)

EAPосигурява взаимно или двупосочно удостоверяване, както и удостоверяване на потребителя. Ако EAP софтуерът е инсталиран на клиента, клиентът комуникира с вътрешен сървър за удостоверяване, като отдалечено удостоверяване на потребител с набиране (RADIUS). Този вътрешен сървър работи независимо от точката за достъп и поддържа база данни с потребители, които имат разрешение за достъп до мрежата. С EAP потребителят, а не само хостът, трябва да предостави потребителско име и парола, които след това се проверяват в базата данни на RADIUS сървъра. Ако предоставените идентификационни данни са валидни, потребителят се счита за удостоверен.