Jakou metodu eap zvolit. Schéma autentizace

V procesu ověřování jsou tři hlavní účastníci:

• Authenticator – účastník procesu vyžadujícího autentizaci (WiFi přístupový bod, přepínač atd.).
• Uzel nebo klient (anglický peer) je účastníkem procesu, který bude ověřen (počítač, notebook, telefon atd.).
• Autentizační server je účastníkem procesu, který je schopen jej autentizovat podle některých dat z uzlu.

V některých případech může být ověřovacím serverem a ověřovatelem stejné zařízení, například domácí zařízení používající metodu EAP-PSK. Obecně je proces ověřování následující:

1. Autentizátor odešle požadavek EAP na zahájení ověřování klienta. Požadavek v poli Typ obsahuje informaci o tom, jaká metoda bude použita (EAP-TLS, EAP-PSK atd.). Autentizátor nemusí nutně odeslat tento požadavek, například pokud není vyžadována autentizace na portu, ke kterému je klient připojen, v tomto případě pro zahájení autentizační procedury musí klient odeslat paket s polem Kód odpovídajícím Typ zahájení.
2. V případě platného požadavku od autentizátora odešle klient ověřovateli odpověď EAP. Odpověď obsahuje pole Typ odpovídající poli Typ v požadavku.
3. Autentizátor odešle požadavek na autentizační server s informacemi o tom, jaká autentizační metoda je použita.
4. Autentizační server žádá klienta o potřebné informace přes autentizátor, v tuto chvíli autentizátor vlastně funguje jako proxy.
5. Klient odpoví serveru s požadovanou informací. Položky 4 a 5 se opakují, dokud se autentizační server nerozhodne povolit přístup, zamítnout přístup nebo došlo k chybě.
6. Autentizační server odešle paket do autentizátoru indikující úspěch nebo selhání autentizace.
7. Autentizátor odešle klientovi EAP paket s kódem odpovídajícím odpovědi ověřovacího serveru (EAP-Success nebo EAP-Failure).

Souhrnná tabulka kódů paketů EAP:

Metody

SKOK

Lightweight Extensible Authentication Protocol(angl. Lightweight Extensible Authentication Protocol ), metoda vyvinutá společností Cisco před ratifikací bezpečnostního standardu IEEE 802.11i. Cisco zavedlo protokol prostřednictvím CCX (Cisco Certified Extensions) jako součást 802.1X a Dynamic WEP, protože v tomto odvětví neexistuje samostatný průmyslový standard. Operační systémy rodiny Windows nemají vestavěnou podporu LEAP, ale podpora protokolu je rozšířena v klientských programech třetích stran (nejčastěji dodávaných s bezdrátovým zařízením). Podporu Windows LEAP lze přidat instalací klientského softwaru Cisco, který podporuje LEAP a EAP-FAST. Mnoho dalších výrobců zařízení WLAN také podporuje LEAP kvůli jeho vysoké prevalenci.

LEAP používá upravenou verzi protokolu MS-CHAP – slabě bezpečný autentizační protokol, ve kterém lze snadno kompromitovat informace o uživatelích a heslech; Na začátku roku 2004 napsal Joshua Wright exploit LEAP nazvaný ASLEAP. Hackování je založeno na skutečnosti, že za prvé, všechny prvky požadavku a odpovědi, kromě hashe hesla, jsou přenášeny nešifrovaně nebo snadno vypočítané na základě dat, která jsou odesílána přes síť. To znamená, že lidský útočník uprostřed získávání hash hesla by stačil k opětovné autorizaci. Za druhé, tvorba klíčů je potenciálně slabá. Nulová výplň 5 bajtů znamená, že poslední klíč má mezeru 2 16 klíčů. Nakonec je stejný zdrojový text zašifrován dvěma klíči (při odesílání hashe na server a při odpovědi), což znamená, že k prolomení obou klíčů stačí složitost 2 56. Poté, co má útočník všechny klíče, obdrží hash hesla, který stačí pro opětovnou autentizaci (více v MS-CHAP).

Tato metoda je nativně podporována ve všech operačních systémech rodiny Windows (od Windows 2000 SP4), Linux a Mac OS X (od verze 10.3).

Na rozdíl od mnoha jiných implementací TLS, jako je HTTPS, většina implementací EAP-TLS vyžaduje předinstalovaný certifikát X.509 od klienta, což znemožňuje požadavek deaktivovat, ačkoli to standard nenařizuje. To mohlo zabránit šíření „otevřených“, ale šifrovaných bezdrátových přístupových bodů. V srpnu 2012 přidaly hostapd a wpa_supplicant podporu pro UNAUTH-TLS, nativní metodu ověřování EAP, a 25. února 2014 přidaly podporu pro WFA-UNAUTH-TLS, metodu ověřování, která pouze ověřuje server. To umožní pracovat přes EAP-TLS stejným způsobem jako přes HTTPS, kde bezdrátový přístupový bod umožňuje bezplatné připojení (tj. nevyžaduje ověření klienta), ale zároveň šifruje provoz (IEEE 802.11i-2004, to znamená WPA2) a v případě potřeby umožňuje autentizaci. Standardy také obsahují návrhy na použití IEEE 802.11u v přístupových bodech k signalizaci dostupnosti metody EAP-TLS, která ověřuje pouze server pomocí standardu IETF EAP-TLS spíše než metody EAP třetí strany.

Požadavek předinstalovaného certifikátu na straně klienta je jedním z důvodů, proč je EAP-TLS vysoce bezpečný a příkladem obětování pohodlí ve prospěch zabezpečení. K prolomení EAP-TLS nestačí prolomit heslo uživatele, pro úspěšný útok bude muset útočník získat také klientský certifikát pro uživatele. Nejlepšího zabezpečení lze dosáhnout uložením klientských certifikátů na čipové karty.

EAP-TTLS

Zabezpečení tunelové transportní vrstvy, metoda EAP, která rozšiřuje možnosti metody TLS. Je vyvinut Funk Software a Certicom a je poměrně dobře podporován na většině platforem (Windows od verze 8 a Windows Mobile od verze 8.1).

Klient může (ale nemusí) být ověřen serverem pomocí certifikátu PKI podepsaného CA. Nevyžadování autentizace klienta značně zjednodušuje konfigurační proceduru, protože není potřeba generovat a instalovat individuální certifikát pro každého z nich.

Poté, co je server autentizován klientem pomocí certifikátu podepsaného certifikační autoritou a volitelně klient-server, může server použít výsledné zabezpečené připojení (tunel) k další autentizaci klienta. Tunel umožňuje použití autentizačních protokolů určených pro kanály chráněné před MITM útoky a odposlechy. S metodou EAP-TTLS nejsou žádné informace používané pro ověřování přenášeny v čistém textu, takže je ještě obtížnější prolomit.

EAP-PSK

Předsdílený klíč, metoda definovaná v RFC 4764, která používá předem sjednaný klíč pro vzájemné ověřování a výměnu klíčů relace. Metoda je navržena pro práci v nezabezpečených sítích, jako je IEEE 802.11, a v případě úspěšné autentizace poskytuje zabezpečené obousměrné spojení mezi klientem a přístupovým bodem.

EAP-PSK je zdokumentován v experimentálním RFC a poskytuje lehkou a rozšiřitelnou metodu EAP, která nepoužívá asymetrické šifrování. Tato metoda vyžaduje čtyři zprávy (minimum možného) pro vzájemnou autentizaci.

Napsat recenzi na "EAP"

Poznámky (upravit)

Výňatek z EAP

Následujícího dne se princ Andrei rozloučil pouze s jedním počtem, aniž by čekal, až dámy odejdou, a odešel domů.
Byl už začátek června, když princ Andrey, vracející se domů, znovu zajel do toho březového háje, v němž ho tento starý, sukovitý dub tak zvláštně a nezapomenutelně zasáhl. Zvonky zvonily v lese ještě tlumeněji než před měsícem a půl; všechno bylo plné, stinné a husté; a mladé smrky, roztroušené v lese, nenarušily celkovou krásu a napodobujíce obecný charakter se jemně zazelenaly nadýchanými mladými výhonky.
Celý den bylo horko, kde se sbírala bouřka, ale jen malý obláček cákal na prach cesty a na šťavnaté listí. Levá strana lesa byla temná, ve stínu; ten pravý, mokrý, lesklý, zářil na slunci, lehce se houpal od větru. Všechno kvetlo; slavíci praskali a váleli se teď blízko, teď daleko.
"Ano, tady, v tomto lese, byl dub, se kterým jsme souhlasili," pomyslel si princ Andrey. "Ale kde je," pomyslel si znovu princ Andrey, pohlédl na levou stranu silnice a aniž by to věděl, nepoznal ho, obdivoval dub, který hledal. Starý dub, celý proměněný, se táhl jako stan ze svůdné tmavé zeleně, roztával se a mírně se houpal v paprscích večerního slunce. Žádné sukovité prsty, žádné boláky, žádná stará nedůvěra a smutek – nic nebylo vidět. Šťavnaté mladé listy si prorazily cestu tvrdou stoletou kůrou bez uzlů, takže nebylo možné uvěřit, že je stvořil tento stařec. "Ano, to je ten samý dub," pomyslel si princ Andrey a najednou ho přepadl nepřiměřený jarní pocit radosti a obnovy. Najednou se mu zároveň vybavily všechny nejlepší chvíle jeho života. A Austerlitz s vysokou oblohou a mrtvou, vyčítavou tváří jeho ženy, a Pierre na trajektu a dívka, rozrušená krásou noci, této noci a měsícem - a to vše ho náhle připomnělo.
"Ne, život ve věku 31 let nekončí, najednou, konečně, vždy, rozhodl princ Andrey." Nejen, že vím vše, co je ve mně, je nutné, aby to věděli všichni: jak Pierre, tak tato dívka, která chtěla letět do nebe, je nutné, aby mě všichni znali, aby můj život nepokračoval já sám. aby nežili tak nezávisle na mém životě, aby se to odráželo na všech a aby všichni žili se mnou společně!"

Po návratu z cesty se princ Andrew rozhodl na podzim odjet do Petrohradu a přišel s různými důvody pro toto rozhodnutí. Celá řada rozumných, logických důvodů, proč potřeboval jít do Petrohradu a dokonce sloužit, byla připravena na jeho služby každá minuta. Ani teď nechápal, jak mohl vůbec pochybovat o potřebě aktivně se podílet na životě, stejně jako před měsícem nechápal, jak ho napadla myšlenka opustit vesnici. Zdálo se mu jasné, že všechny jeho životní zkušenosti měly být promarněné a nesmyslné, kdyby je neaplikoval do díla a znovu se aktivně zapojil do života. Nechápal ani, jak na základě stejných ubohých racionálních argumentů bylo dříve zřejmé, že by se ponížil, kdyby nyní, po svých životních lekcích, znovu uvěřil v možnost být užitečný a v možnost štěstí a lásky. Teď moje mysl naznačovala něco úplně jiného. Po této cestě se princ Andrei začal ve vesnici nudit, jeho předchozí zaměstnání ho nezajímalo a často, když seděl sám ve své pracovně, vstal, šel k zrcadlu a dlouho se díval na svou tvář. Pak se odvrátil a podíval se na portrét zesnulé Lizy, která na něj s kudrnami bičovanými a la grecque [v řečtině] něžně a vesele hleděla ze zlatého rámu. Už nemluvila se svým manželem ta dřívější hrozná slova, prostě a vesele se na něj zvědavě dívala. A princ Andrew se složenýma rukama dlouho chodil po místnosti, teď se mračil, teď se usmíval, měnil názor na ty nerozumné, nevyslovitelné myšlenky, tajné jako zločin, myšlenky spojené s Pierrem, se slávou, s dívka u okna, s dubem, s ženskou krásou a láskou, která mu změnila celý život. A v těchto chvílích, když k němu někdo přišel, byl obzvlášť suchý, přísně rozhodný a hlavně nepříjemně logický.
„Mon cher, [má drahá,],“ říkala princezna Marya, když v takovou chvíli vstoupila, „Nikoluška teď nemůže jít na procházku: je velká zima.
"Kdyby bylo teplo," odpověděl princ Andrey v takových chvílích své sestře zvlášť suše, "byl by v jedné košili, a protože je zima, musí si obléknout teplé oblečení, které bylo k tomu vymyšleno. Vyplývá to z toho, že je zima, a nejen zůstat doma, když dítě potřebuje vzduch, “řekl se zvláštní logikou, jako by někoho trestal za všechnu tu tajnou, nelogickou, vnitřní práci, která se odehrávala v mu. Princezna Marya v těchto případech přemýšlela o tom, jak tato duševní práce muže vysušuje.

Princ Andrew přijel do Petrohradu v srpnu 1809. Byla to doba vrcholu slávy mladého Speranského a energie převratů, které provedl. Právě letos v srpnu byl císař, jedoucí v kočáře, vyhozen, poranil si nohu a zůstal v Peterhofu tři týdny, vídal se každý den a výhradně se Speranským. V této době se připravovaly nejen dva tak slavné a znepokojivé společenské dekrety o zničení soudních úředníků a o zkouškách pro hodnosti kolegiálních přísedících a státních radních, ale také celá státní ústava, která měla změnit dosavadní soudní, správní a finanční řád vlády v Rusku od státní rady po radu volost. Nyní se ty neurčité, liberální sny, s nimiž císař Alexandr nastoupil na trůn a které se snažil uskutečnit s pomocí svých pomocníků Czartorižského, Novosilceva, Kochubeje a Strogonova, které sám žertem nazýval comite du salut publique, splnily. [výbor pro veřejnou bezpečnost]
Nyní byli všichni společně nahrazeni Speranským za civilní část a Arakčejevem za armádu. Princ Andrew se krátce po svém příjezdu jako komorník objevil u dvora a na odchodu. Car, který se s ním dvakrát setkal, ho nepoctil jediným slovem. Princ Andrey si vždy předtím myslel, že je proti panovníkovi, že panovník nemá rád jeho tvář a celou jeho bytost. V suchém, vzdáleném pohledu, jímž se na něj císař díval, našel princ Andrei potvrzení této domněnky ještě více než dříve. Dvořané vysvětlovali knížeti Andreji panovníkovu nevšímavost vůči němu tím, že Jeho Veličenstvo bylo nespokojeno s tím, že Bolkonskij od roku 1805 nesloužil.
"Sám vím, že nejsme mocní ve svých sympatiích a antipatiích, pomyslel si princ Andrew, a proto není třeba přemýšlet o tom, že bych panovníkovi předložil svou poznámku o vojenských předpisech, ale věc bude mluvit sama za sebe." Předal svůj vzkaz starému polnímu maršálovi, příteli jeho otce. Polní maršál, který mu určil hodinu, ho jemně přijal a slíbil, že podá zprávu panovníkovi. O několik dní později bylo princi Andrei oznámeno, že se musí hlásit ministru války hraběti Arakčejevovi.
V devět hodin ráno, v určený den, se princ Andrej objevil v přijímací místnosti hraběte Arakčeeva.
Osobně princ Andrej Arakčeeva neznal a nikdy ho neviděl, ale vše, co o něm věděl, v něm vzbuzovalo malý respekt k tomuto muži.
„Je to ministr války, důvěrník panovníka císaře; nikdo by se neměl starat o jeho osobní vlastnosti; dostal pokyn, aby zvážil mou poznámku, proto je jediný a může to zkusit,“ pomyslel si princ Andrej, čekajíc mezi mnoha významnými i nedůležitými osobami na recepci hraběte Arakčeeva.
Princ Andrew během své, většinou adjutantské, služby viděl mnoho důležitých vedoucích a různé charaktery těchto recepčních mu byly velmi jasné. Hrabě Arakčejev měl velmi zvláštní recepční charakter. Nedůležité osoby čekající na audienci v přijímací místnosti hraběte Arakčeeva měly pocit studu a podřízenosti; na více úředníkech se projevil jeden obecný pocit trapnosti skrytý pod rouškou chvástání a posměchu sobě samému, svému postavení a očekávané tváři. Někteří zamyšleně přecházeli nahoru a dolů, jiní se šeptem smáli a princ Andrej zaslechl výsměch [posměšná přezdívka] Andreichových sil a slova: „strýc se zeptá“, odkazující na hraběte Arakčeeva. Jeden generál (důležitá osoba), zjevně uražen tím, že musel tak dlouho čekat, seděl, přehazoval nohy a opovržlivě se pro sebe usmíval.
Ale jakmile se dveře otevřely, na všech tvářích se okamžitě projevila jen jedna věc – strach. Princ Andrew požádal konajícího důstojníka, aby o sobě znovu podal zprávu, ale oni se na něj posměšně podívali a řekli, že na něj přijde řada v pravý čas. Poté, co pobočník z ministerské kanceláře přivedl a vyvedl několik osob, byl strašlivými dveřmi vpuštěn důstojník, který prince Andreje zasáhl svým poníženým a vyděšeným vzhledem. Důstojnická audience trvala dlouho. Najednou se za dveřmi ozvalo pípání nepříjemného hlasu a bledý důstojník s chvějícími se rty odtud vyšel, popadl se za hlavu a prošel čekárnou.
Poté byl princ Andrey odveden ke dveřím a zřízenec šeptem řekl: "vpravo, k oknu."
Princ Andrej vstoupil do skromné, uklizené kanceláře a u stolu uviděl čtyřicetiletého muže s dlouhým pasem, dlouhou, nakrátko ostříhanou hlavou a hustými vráskami, se zamračeným obočím přes čtverec se zelenýma matnýma očima a svěšenou červenou. nos. Arakčejev k němu otočil hlavu a nedíval se na něj.
- Co žádáš? zeptal se Arakčejev.
"Ne... prosím, Vaše Excelence," řekl princ Andrew tiše. Arakcheevovy oči se obrátily k němu.
- Posaďte se, - řekl Arakčejev, - princ Bolkonskij?
"O nic nežádám, ale císař se rozhodl poslat nótu, kterou jsem předložil Vaší Excelenci...
"Jestli prosím vidíš, můj nejdražší, přečetl jsem si tvůj vzkaz," přerušil ho Arakčejev, jen laskavě řekl první slova, znovu se nedíval do tváře a stále více upadal do reptajícího opovržlivého tónu. - Navrhujete nové vojenské zákony? Zákonů je mnoho, ty staré nemá kdo plnit. V dnešní době jsou všechny zákony psané, je snazší napsat, než udělat.
- Přišel jsem na příkaz císaře, abych se zeptal Vaší Excelence, jaký tah hodláte dát k předložené nótě? - řekl princ Andrey zdvořile.
- Dal jsem na vaši poznámku usnesení a zaslal jsem ho výboru. Neschvaluji, - řekl Arakčejev, vstal a vzal papír z psacího stolu. - Tady! - dal princi Andreymu.
Na papíře přes to tužkou, bez velkých písmen, bez pravopisu, bez interpunkčních znamének bylo napsáno: „Bylo to dříve neoprávněně složeno jako napodobenina okopírovaná z francouzských vojenských předpisů a z vojenského článku, aniž by bylo nutné ustupovat.“
- Kterému výboru byla nóta předána? “ zeptal se princ Andrey.
- Výboru pro vojenské předpisy a předložil jsem vaši čest jako člena. Pouze bez platu.
Princ Andrew se usmál.
"Nechci.
"Bez platu, člen," opakoval Arakčejev. - Mám tu čest. Hej, zavolej! Kdo jiný? - vykřikl a uklonil se princi Andreymu.

Zatímco princ Andrey čekal na oznámení o svém přijetí do výboru, obnovil své staré známosti, zejména s těmi osobami, které, jak věděl, jsou u moci a mohly by být pro něj nezbytné. Cítil nyní v Petrohradě pocit podobný tomu, který prožíval v předvečer bitvy, kdy byl mučen neklidnou zvědavostí a neodolatelně přitahován do vyšších sfér, do míst, kde se připravovala budoucnost, na níž závisel osud milionů lidí. . Z hněvu starých, ze zvědavosti nezasvěcených, ze zdrženlivosti zasvěcených, ze spěchu, starostí všech, z nesčetného množství výborů, komisí, o jejichž existenci se znovu každý den dovídal, nyní, v roce 1809, se zde v Petrohradě připravovala jakási obrovská civilní bitva, jejíž vrchní velitel byl pro něj neznámý, tajemný a zdál se mu génius, osoba - Speranskij. A nejmlhavěji známá záležitost transformace a Speransky, hlavní postava, ho začal zajímat tak vášnivě, že záležitost vojenských předpisů velmi brzy začala v jeho mysli přecházet na vedlejší místo.

Mnoho lidí má dnes doma Wi-Fi router. Koneckonců, je mnohem jednodušší bezdrátově připojit k internetu notebook, tablet a smartphone, kterých je v každé rodině více než lidí. A on (směrovač) je v podstatě bránou do informačního vesmíru. Přečtěte si přední dveře. A na těchto dveřích záleží, zda k vám bez vašeho svolení přijde nezvaný host. Proto je velmi důležité dbát na správnou konfiguraci routeru, aby vaše bezdrátová síť nebyla zranitelná.

Nemusím připomínat, že skrytí SSID přístupového bodu vás nechrání. Omezení přístupu pomocí MAC adresy není účinné. Proto pouze moderní metody šifrování a složité heslo.

Proč šifrovat? kdo mě potřebuje? Nemám co skrývat

Není to tak děsivé, když ukradnou PIN kód z kreditní karty a vyberou z ní všechny peníze. Navíc, pokud někdo bude používat internet na vaše náklady, zná heslo Wi-Fi. A není to tak děsivé, když zveřejní vaše fotky z firemních večírků, kde jste v nevzhledném stavu. Mnohem urážlivější je, když se do vašeho počítače vloupají vetřelci a smažou fotky, jak jste syna odvezli z nemocnice, jak udělal první krůčky a šel do první třídy. Zálohování je samostatné téma, určitě je potřeba udělat... Ale vaše reputace se dá časem obnovit, peníze se dají vydělat, ale fotografie, které jsou vám drahé, jsou pryč. Myslím, že každý má něco, co nechce ztratit.
Váš router je hraničním zařízením mezi soukromým a veřejným, takže jej nastavte na maximum. Navíc to není tak těžké.

Šifrovací technologie a algoritmy

Teorii vynechávám. Je jedno, jak to funguje, hlavní je umět to používat.
Bezdrátové bezpečnostní technologie se vyvíjely v následujícím chronologickém pořadí: WEP, WPA, WPA2. Vyvinuly se také šifrovací metody RC4, TKIP, AES.
Nejlepší z hlediska zabezpečení je dnes balíček WPA2-AES. Takto byste se měli pokusit nakonfigurovat Wi-Fi. Mělo by to vypadat nějak takto:

WPA2 je povinný od 16. března 2006. Ale někdy se stále můžete setkat s vybavením, které to nepodporuje. Zejména pokud máte v počítači nainstalovaný systém Windows XP bez aktualizace Service Pack 3, nebude WPA2 fungovat. Z důvodu kompatibility tedy na routerech najdete nastavení WPA2-PSK -> AES + TKIP a další zvěřinec.
Ale pokud máte moderní flotilu zařízení, pak je lepší použít WPA2 (WPA2-PSK) -> AES, jako dnes nejbezpečnější možnost.

Jaký je rozdíl mezi WPA (WPA2) a WPA-PSK (WPA2-PSK)

Standard WPA poskytuje protokol EAP (Extensible Authentication Protocol) jako základ pro mechanismus ověřování uživatele. Nezbytnou podmínkou pro autentizaci je předložení uživatelem certifikátu (jinak nazývaného mandát), který potvrzuje jeho právo na přístup do sítě. Pro toto právo je uživatel porovnáván se speciální databází registrovaných uživatelů. Bez ověření bude uživateli zakázáno procházet síť. Databáze registrovaných uživatelů a ověřovací systém ve velkých sítích jsou obvykle umístěny na speciálním serveru (nejčastěji RADIUS).
Zjednodušený režim Pre-Shared Key (WPA-PSK, WPA2-PSK) umožňuje používat jediné heslo, které je uloženo přímo v routeru. Na jednu stranu je vše zjednodušeno, není potřeba vytvářet a udržovat uživatelskou základnu, na druhou stranu se všichni přihlašují pod stejným heslem.
Doma je vhodnější používat WPA2-PSK, tedy zjednodušený režim standardu WPA. Zabezpečení Wi-Fi tímto zjednodušením netrpí.

Heslo pro přístup k Wi-Fi

Všechno je zde jednoduché. Heslo pro váš bezdrátový přístupový bod (router) musí mít více než 8 znaků a musí obsahovat různá písmena, číslice a interpunkční znaménka. A neměl by s vámi být nijak spojován. To znamená, že jako heslo nemůžete použít data narození, svá jména, čísla aut, telefonní čísla atd.
Protože je téměř nemožné prolomit WPA2-AES čelně (v laboratorních podmínkách bylo simulováno pouze několik případů), jsou hlavními metodami prolomení WPA2 slovníkové útoky a brute-force (sekvenční prohledávání všech možností hesla). Proto čím složitější heslo, tím menší šance mají útočníci.

... v SSSR se na nádražích rozšířily automatické skříňky. Jako kombinace zámku bylo použito jedno písmeno a tři čísla. Málokdo však ví, že první verze skříněk používala jako kombinaci kódu 4 číslice. Jaký je rozdíl, zdá se? Ostatně i počet kombinací kódů je stejný – 10 000 (deset tisíc). Jak ale ukázala praxe (zejména moskevská kriminálka), když byl člověk požádán, aby jako heslo do skříňky použil 4místnou kombinaci, spousta lidí použila svůj rok narození (aby nezapomněli). Co kyberzločinci neúspěšně nevyužili. Ostatně byly známy první dvě číslice v datu narození naprosté většiny obyvatel země - 19. Zbývá od oka určit přibližný věk zavazadel, a to může každý z nás udělat s přesností na +/- 3 roky a ve zbytku dostaneme (přesněji útočníci) méně 10 kombinací pro výběr přístupového kódu do automatické úložné skříňky ...

Nejoblíbenější heslo

Lidská lenost a nezodpovědnost si vybírá svou daň. Zde je seznam nejoblíbenějších hesel:

1. 123456
2. qwerty
3. 111111
4. 123123
5. 1a2b3c
6. Datum narození
7. Mobilní číslo

Pravidla zabezpečení hesel

1. Každému, co jeho vlastní. To znamená, že heslo routeru by nemělo být stejné jako žádné z vašich ostatních hesel. Například z pošty. Stanovte si pravidlo, že všechny účty mají svá vlastní hesla a všechna jsou jiná.
2. Používejte silná hesla, která nelze uhodnout. Například: 2Rk7-kw8Q11vlOp0

Heslo k Wi-Fi má jedno obrovské plus. Nemusíte se to učit nazpaměť. Dá se napsat na papír a přilepit na spodní stranu routeru.

Wi-Fi zóna pro hosty

Pokud vám váš router umožňuje uspořádat oblast pro hosty. Určitě to udělejte. Přirozeně jej chráníte pomocí WPA2 a silného hesla. A teď, když k vám domů přijdou přátelé a požádají vás o internet, nemusíte jim říkat hlavní heslo. Navíc je oblast hosta v routerech izolována od hlavní sítě. A jakékoli problémy se zařízeními vašich hostů neovlivní vaši domácí síť.

ANDREY PLATONOV

Budování zabezpečené bezdrátové sítě: WPA-Enterprise, 802.1x EAP-TLS

Existuje více než sto článků o nejistotě bezdrátových sítí. Mnohé jsou navíc zcela identické a k ničemu: říkají, že WEP je špatné, že MAC adresy lze snadno změnit, a nakonec píší: „Existuje jen jedna cesta ven a záchrana. Musíte použít WPA." A pointa. Tento materiál obsahuje přesně to, co jste chtěli slyšet za „tečkou“ – praktický průvodce organizací dobře zabezpečené bezdrátové sítě.

Bezpečné nebezpečné Wi-Fi

Dnes je zřejmé, že přes všechny problémy spojené s bezpečností, spolehlivostí a složitostí provozu se bezdrátová řešení řady 802.11a/b/g přesto stala nedílnou součástí infrastruktury mnoha podnikových, domácích a dokonce i operátorských sítí. Částečně je to proto, že většina těchto problémů je v dnešním vývoji Wi-Fi již minulostí. Bezdrátové sítě ve všech ohledech se staly mnohem chytřejšími a rychlejšími: objevilo se QoS, chytré antény (technologie MIMO), reálné rychlosti dosahovaly 40 Mbps (například technologie SuperG, SuperAG od Atheros). Kromě toho došlo k velkým změnám v souboru technologií, které zajišťují bezpečnost bezdrátových sítí. Promluvme si o tom podrobněji.

V dobách, kdy byla Wi-Fi pouze pro elitu, se k ochraně bezdrátových sítí používalo šifrování WEP a MAC filtry. To vše rychle přestalo stačit, WEP byl rozpoznán jako nezabezpečený kvůli statické povaze šifrovacích klíčů a nedostatku autentizačních mechanismů, ani MAC filtry neposkytovaly zvláštní zabezpečení. Začal vývoj nového standardu IEEE 802.11i, který byl navržen tak, aby řešil všechny naléhavé bezpečnostní problémy. Na půli cesty k 802.11i se objevila sada technologií pod obecným názvem WPA (Wi-Fi Protected Access) – součást dosud nepřipraveného standardu 802.11i. WPA zahrnuje prostředky pro autentizaci uživatele, šifrování pomocí dynamických klíčů WEP (TKIP / MIC). Poté bylo 802.11i konečně dokončeno a zrodil se WPA2. Ke všemu výše uvedenému byla přidána podpora silnějšího šifrování AES (Advanced Encryption Standard), které funguje ve spojení s bezpečnostním protokolem CCMP (Counter with Cipher Block Chaining Message Authentication Code Protocol – jedná se o pokročilejší analog TKIP ve WPA ). WPA2 se postupně začalo objevovat v nových modelech přístupových bodů (například D-Link DWL-3200AP), ale zatím je spíše exotikou. Všechny produkty, které podporují WPA2, jsou zpětně kompatibilní se zařízením, které podporuje WPA.

WPA i WPA2 zahrnují pokročilé řízení bezdrátového přístupu založené na standardu IEEE 802.1x. Architektura 802.1x používá několik požadovaných bran:

• Zákazník. Klientem je žadatel – program na klientském počítači, který řídí proces ověřování.
• Authenticator. Jedná se o přístupový bod, který funguje jako prostředník mezi klientem a ověřovacím serverem. Kabelový přepínač může být také autentizátorem 802.1x se používá v různých sítích.
• Authentication Server - RADIUS server.

IEEE 802.1x umožňuje řadu autentizačních metod a algoritmů. To je možné díky Extensible Authentication Protocol (EAP), ve kterém jsou „vnořeny“ atributy odpovídající konkrétní autentizační metodě. Proto existuje mnoho variant 802.1x EAP: EAP-MD5, EAP-PEAP, EAP-LEAP, EAP-SIM atd. Tento článek popisuje implementaci autentizace v bezdrátové síti založené na digitálních certifikátech - 802.1x EAP- TLS. Tato metoda se nejčastěji používá v podnikových bezdrátových sítích a má poměrně vysoký stupeň zabezpečení. Kromě toho je EAP-TLS někdy jednou z hlavních metod ochrany v sítích bezdrátových poskytovatelů.

Ověření 802.1x EAP-TLS

EAP-TLS je založeno na SSL v3.0, ale na rozdíl od tradiční autentizace SSL (například při navazování zabezpečeného http připojení - HTTPS) EAP-TLS ověřuje klienta a server vzájemně. Klient (žadatel) a server RADIUS musí podporovat metodu ověřování EAP-TLS; přístupový bod musí podporovat autentizaci 802.1x / EAP a nemusí vědět, která metoda autentizace je v konkrétním případě použita. Obrázek níže znázorňuje proces ověřování v bezdrátové síti pomocí EAP-TLS.

Zde je vhodné ukončit malou lyrickou a teoretickou odbočku, která je nezbytná pro získání hrubé představy o tom, co se skrývá v hlubinách zabezpečené bezdrátové sítě. Dále bude navržena praktická implementace výše popsaných konceptů. Jako server RADIUS bude použit počítač s FreeBSD 5.3 s balíčkem FreeRADIUS. K organizaci infrastruktury PKI (Public Key Infrastructure) bude použit balíček OpenSSL. Celá bezdrátová síť bude založena na levném a spolehlivém bezdrátovém zařízení D-Link. Předpokládá se, že na klientských počítačích je nainstalován Windows XP SP2. tento operační systém má vestavěný superlicant a nedávná aktualizace od společnosti Microsoft přidává podporu pro WPA2.

Nainstalujte a nakonfigurujte OpenSSL a FreeRADIUS

Předpokládá, že FreeBSD 5.3 má nainstalovanou jednu NIC, je aktualizována kolekce portů, je přítomen Midnight Commander a počítač je připojen k internetu. V následujícím budeme předpokládat, že bezdrátová síť je nasazena v podnikové síti s maskou 192.168.0.0/24.

Nejprve pár slov o konfiguraci bezdrátové sítě a poté uvedeme příklad konfigurace D-Link DWL-2100AP pro zajištění interakce se serverem RADIUS.

Vnitropodniková bezdrátová síť se obvykle skládá z několika přístupových bodů (veškeré pokrytí je rozděleno do malých buněk), které jsou připojeny ke kabelovému přepínači. K vybudování WLAN se často používají přepínače s vestavěnou podporou Power over Ethernet (802.3af) na portech (například D-Link DES-1316K). S jejich pomocí je vhodné napájet přístupové body rozeseté po kanceláři. Body umístěné poblíž jsou naladěny na kanály, které se nepřekrývají, aby se navzájem nerušily. V pásmu 2,4 GHz, ve kterém pracuje zařízení 802.11b/g, jsou 3 nepřekrývající se kanály pro zařízení s 11 kanály a 4 nepřekrývající se kanály pro zařízení, ve kterých lze vybrat 13 kanálů (širokopásmový signál přístupového bod zabírá 3 kanály rozsahu). Přístupové body D-Link DWL-2100AP a DWL-2700AP lze naladit na kterýkoli ze 13 kanálů, navíc můžete povolit funkci automatického ladění prázdného kanálu. Takže to uděláme.

Pokud jsou v síti mobilní účastníci, kteří se pohybují v celé oblasti pokrytí, můžete nastavit všechny body se stejným názvem bezdrátové sítě - SSID, pak se účastník automaticky připojí k novému bodu, pokud je spojení s předchozím ztracený. V tomto případě bude znovu ověřen, což v závislosti na žadateli může trvat několik sekund nebo déle. Takto je realizován nejjednodušší neinteligentní roaming v rámci sítě. Další možnost: pokud má každý bod své vlastní SSID, můžete ve vlastnostech bezdrátového připojení nakonfigurovat několik profilů bezdrátové sítě a zaškrtnout tam možnost „připojit k jakékoli dostupné síti“. Pokud tedy dojde ke ztrátě spojení, klient se připojí k novému bodu.

Nakonfigurujeme DWL-2100AP pro interakci s RADIUS.

• Přejdeme na webové rozhraní přístupového bodu (jak to udělat, je napsáno v pokynech k bodu), okamžitě změňte výchozí heslo na kartě TOOLS / ADMIN /.
• Na záložce HOME / LAN přiřaďte přístupovému bodu IP adresu, která byla nastavena v client.conf: 192.168.0.220.

• Na záložce HOME / WIRELESS provedeme vše, jak je znázorněno na obr. 3; v poli "Radius Secret" zadejte heslo, které odpovídá tomuto bodu v client.conf (zadali jsme "12345").

Zbytek přístupových bodů je nakonfigurován stejným způsobem, pouze budou mít různé IP adresy, kanály (pokud jsou nastaveny ručně) a také hodnotu pole „Radius Secret“.

Vytváříme certifikáty

Nejprve pár obecných slov o tom, co je PKI. Jedná se o jakousi infrastrukturu, jejíž každý subjekt má unikátní digitální certifikát prokazující jeho identitu; digitální certifikát mimo jiné obsahuje soukromý klíč. Zprávy s ním zakódované lze dešifrovat pomocí znalosti odpovídajícího veřejného klíče. Naopak zprávy zašifrované veřejným klíčem lze dešifrovat pouze pomocí soukromého klíče. Každý subjekt PKI má veřejný a soukromý klíč.

Subjektem PKI může být buď počítač uživatele nebo PDA, nebo jakýkoli jiný prvek síťové infrastruktury - router, webový server a dokonce i RADIUS server, což je náš případ. V čele celého tohoto systému stojí hlavní autorita CA (Certificate Autority), předpokládá se, že mu všichni důvěřují a všichni ho znají – zabývá se podepisováním certifikátů (osvědčuje, že nositelem certifikátu je skutečně ten, za koho se vydává ). Pomáhají mu speciální služby pro přijímání žádostí o certifikáty a jejich vydávání; čísla všech vydaných a zrušených certifikátů jsou uložena ve zvláštní evidenci. Ve skutečnosti se celá tato zdánlivě velká farma vejde na jeden počítač a jeden člověk ji hravě zvládne.

K vytvoření certifikátů použijeme skripty dodávané s FreeRADIUS.

• Nejprve si vytvoříme vlastní CA – k tomu si budeme muset vygenerovat digitální podpis, který podepíše všechny jí vydané certifikáty a také veřejný klíč.
• Poté vytvoříme certifikát serveru, nainstalujeme jej na RADIUS.
• A nakonec vygenerujeme certifikáty pro instalaci na klientské počítače.

Vytvořte adresář / usr / local / etc / raddb / CA, zkopírujte tam soubor CA.all a soubor xpextensions ze složky /usr/ports/net/freeradius/work/freeradius-1.0.2/scripts/. CA.all je interaktivní skript, který generuje certifikáty CA, klienta a serveru. Xpextensions je soubor obsahující speciální klíče Microsoft "Extended Key Usage", které jsou vyžadovány pro EAP-TLS pro práci se systémy Windows.

Otevřete soubor CA.all:

• v řádku 1 opravíme cestu - měla by vypadat takto:

SSL = / usr / local / openssl

• na řádku 32 opravíme cestu - měla by vypadat takto:

echo “newreq.pem” | /usr/local/openssl/ssl/misc/CA.pl -newca

Zkopírujte CA.all do souboru CA_users.all. Poté otevřeme poslední a necháme text z řádků 48 až 64, zbytek řádků smažeme - zbytek je sekce CA.all, ve které se generují klientské certifikáty. Bude použit mnohokrát, takže je vhodné jej oddělit do samostatného skriptu. Otevřete CA.all, odstraňte z něj řádky od 48 do 64 - vše, co bylo vybráno v samostatném skriptu a uložte.

Poznámka: soubory CA.all a CA_users.all - obsahují tajnou přístupovou frázi "cokoli", která se používá jako dodatečné bezpečnostní opatření při vydávání a revokaci certifikátů. Osoba, která tuto frázi nezná, nebude moci certifikát podepsat ani zrušit. V zásadě to kromě provozovatele CA nebude potřebovat nikdo jiný. Pro zvýšení bezpečnosti je třeba nahradit všechna slova „cokoli“ ve skriptech CA.all a CA_users.all svým heslem. Bude také nutné jej zadat v eap.conf do řádku „private_key_password = what“. V následujícím budu předpokládat, že jsme heslo „cokoli“ nechali všude nezměněné. Zavedeme jej vytvořením klientských a serverových certifikátů a také jejich revokací.

Vytvořte CA a certifikát serveru

Spusťte CA.all. První věc, kterou interaktivně generuje, je kořenový certifikát CA (cacert.pem), pár veřejného/soukromého klíče (cakey.pem), veřejný klíč kořenového certifikátu PKCS # 12 (root.der), poté certifikát serveru (cert_srv. pem ), který nainstalujeme na RADIUS. Všechny uvedené soubory (a dokonce i některé neuvedené) se objeví ve složce CA.

Vytvořte CA (bude se jmenovat „Administrátor“):

Vytvořte certifikát pro RADIUS:

Zkopírujte soubory /raddb/CA/cert_srv.pem a /raddb/CA/demoCA/cacert.pem do složky / raddb / certs - nainstalovali jste certifikáty na server RADIUS.

Vytváříme klientské certifikáty

Ke generování klientských certifikátů používáme náš skript CA_users.all. Vytvořme například certifikát pro uživatele1:

• Otevřete soubor CA_users.all, nahraďte všechna slova cert-clt. * V něm uživatelem 1. * (Toto je nutné k rozlišení podle názvu souboru, který certifikát je určen pro kterého uživatele, jinak bude vytvořen certifikát se stejným souborem jméno ( cert-clt. *) Vytvoříme několik certifikátů najednou pro uživatele 1, 2, 3, 4, 5). Případně můžete použít popisné názvy souborů obsahujících certifikát, například SergeyPetrov, IvanIvanov atd.
• Heslo - "cokoliv" v řádcích 3, 4 je nahrazeno skutečným, jak je uvedeno ve výpisu:

soubor CA_users.all

1 | openssl req -new -keyout newreq.pem -out newreq.pem -days 730 -passin pass: cokoliv -passout pass: cokoliv

2 | openssl ca -policy policy_anything -out newcert.pem -passin pass: cokoliv -key cokoliv -extensions xpclient_ext \

Extfile xpextensions -infiles newreq.pem

3 | openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -out user1.p12 -clcerts -passin pass: cokoliv -passout pass: user1_password

4 | openssl pkcs12 -in user1.p12 -out user1.pem -passin pass: user1_password -passout pass: user1_password

5 | openssl x509 -informujte PEM -outform DER -in user1.pem -out user1.der

Zadáme například "user1_password" - toto heslo bude dotázáno při instalaci certifikátu na počítač uživatele, je třeba si jej zapamatovat. Toto, jak jsem řekl, je dalším prostředkem autentizace pro akce související s vydáním certifikátu.

• Skript uložíme a spustíme, získáme tři soubory user1.der, user1.pem, user1.p12 - druhý je certifikát ve formátu PKСS # 12 pro instalaci na klienta Windows.

Spusťte upravený soubor CA_users.all. Vytvořte certifikát pro uživatele 1:

Název země (2 písmenný kód): RU

Nyní vygenerujeme heslo pro uživatele 2:

• Otevřete soubor CA_users.all, nahraďte soubor user1. * V něm soubor user2. *
• Nahraďte heslo „user1_password“ za „user2_password“ (nezapomeňte si jej zapamatovat, abyste mohli certifikát nainstalovat později).
• Skript uložíme a spustíme – získáme soubor uživatel2.p12.

Vytvořte certifikát pro uživatele 2:

Každý certifikát uložíme na samostatnou disketu, zapíšeme na něj instalační heslo („userX_password“), na stejnou disketu zapíšeme veřejný klíč root.der (ten je pro všechny stejný) a vydáme jej uživateli. Uživatel si certifikát nainstaluje na svůj počítač (o tom později) a vloží disketu do trezoru.

Instalace certifikátů na klientský počítač

Uživatel (řekněme ten, kterého jsme pojmenovali uživatel1) tedy obdržel disketu, jejímž obsahem jsou dva soubory root.der a uživatel1.p12. Na disketě je také napsáno heslo „user1_password“.

Začněme instalací root.der

• dvakrát klikněte na soubor root.der;
• klikněte na "Instalovat certifikát";
• klikněte na "Další";
• vyberte možnost „Umístit všechny certifikáty do následujícího úložiště“, klikněte na „Procházet“ (obr. 4);

• vyberte "Důvěryhodné kořenové certifikační úřady", klikněte na "OK" (obr. 5);

• klikněte na „Další“ a poté na „Dokončit“;
• je vydáno bezpečnostní varování: „Nelze ověřit, že certifikát patří“ Administrátorovi…. Nainstalovat tento certifikát?" stiskneme "Ano";
• zobrazí se zpráva „Import byl úspěšně dokončen.“ klikněte dvakrát na „OK“.

Nainstalujte uživatelský certifikát user1.p12.

• Dvakrát klikněte na soubor user1.p12 a dvakrát klikněte na „Další“.

• Zde je potřeba zadat heslo, které jsme nastavili pro certifikát user1. V našem příkladu je to "user1_pass-word" (nebo co si vymyslíte), běžně se zapisuje na disketu s certifikátem. Zadejte jej a klikněte na „Další“.
• Klikněte na „Další“ a poté na „Dokončit“ – zobrazí se zpráva „Import byl úspěšně dokončen“, klikněte na „OK“.

Poznámka: všechny certifikáty, které jsme nainstalovali, lze zobrazit prostřednictvím MMC pomocí modulu snap-in Certifikáty -> Aktuální uživatel (Osobní -> Certifikáty).

Konfigurace bezdrátových adaptérů D-Link DWL-G650 (DWL-G520 / DWL-G120) a žadatele

D-Link DWL-G650 je adaptér CardBus, DWL-G520 je adaptér PCI a DWL-G120 je adaptér USB. Jsou konfigurovány zcela identicky. Podívejme se na postup pomocí DWL-G650 jako příkladu.

• Vyjmeme adaptér z krabice, odložíme jej stranou; nainstalujte ovladače z přiloženého disku. Po instalaci ovladače odebereme nativní utilitu pro konfiguraci adaptéru ze spuštění, protože pro tyto účely použijeme službu bezdrátové konfigurace hardwaru zabudovanou ve Windows XP. Adaptér vložíme do počítače.
• Klikněte jednou levým tlačítkem myši na ikonu přeškrtnutého bezdrátového připojení (v systémové liště), poté vyberte položku „Změnit další parametry“ (obr. 7).

• Vyberte záložku "Bezdrátové sítě", tam vyberte naši bezdrátovou síť (megacompany_DWL-2100AP), přejděte na "Vlastnosti" (obr. 8).

• Na kartě "Připojení" v rozbalovací nabídce "Šifrování dat" vyberte protokol TKIP. Přesuneme se na záložku „Autentizace“ (obr. 9).

• Zde necháme vše beze změny, přejdeme do "Vlastnosti" EAP (obr. 10).

• Umístíme spínače, jak je znázorněno na obr. 11, v okně „Důvěryhodné kořenové certifikační autority“ vyberte naši CA – bude se jmenovat Správce (pokud je vše provedeno přesně tak, jak je popsáno v části „Vytváření certifikátů“).

• Pro každý případ klikněte na „Zobrazit certifikát“ a prostudujte si, kdo je poskytovatelem certifikátu. Dbáme na to, aby se jednalo o našeho firemního CA „Administrátora“, kterého jsme vytvořili (obr. 12).

• Klikněte na "OK", tím je konfigurace síťové karty a superlicantu dokončena.

Kontrolujeme práci WPA-Enterprise v naší síti

Nyní nadešel dlouho očekávaný čas vyzkoušet všechna nastavení v provozu. Spusťte FreeRADIUS v režimu ladění pomocí příkazu "radiusd -X" a na obrazovce uvidíte:

poloměr # poloměrd –X

Na konci jsou řádky:

No, nebo v nejhorším případě je napsáno, proč se FreeRADIUS nespustil - nezoufejte, pokud se tak stane. Je třeba pečlivě prostudovat chybovou zprávu a zkontrolovat všechna nastavení.

Klikněte na ikonu připojení k bezdrátové síti a poté na bezdrátovou síť s názvem „mega-company_DWL-2100AP“. Poté otočíme pohled na monitor, na kterém běží radiusd a zobrazí se proces úspěšné autentizace (neukážeme celý výstup serveru, protože je poměrně velký, uvedeme pouze úvodní a závěrečné řádky).

Začátek odběru:

Konec výběru:

Autentizace byla úspěšná, počítač získá IP adresu ze serveru DHCP a nyní může pracovat v bezdrátové síti. Mimochodem, pokud je na počítači nainstalováno několik klientských certifikátů (to se také stává), superlikant nabídne výběr, který z nich použije pro konkrétní autentizaci.

Zrušení certifikátů

Zdálo by se, že vše je již jasné – bezpečná bezdrátová síť již byla vybudována, ale ve skutečnosti je zde ještě jeden důležitý aspekt, který nyní zvážíme. Předpokládejme, že chcete odepřít přístup k bezdrátové síti jednomu z počítačů (například osobnímu notebooku některého ze zaměstnanců), na který jsme dříve nainstalovali certifikát. Důvody mohou být ty nejběžnější – propuštění zaměstnance, snížení atd. Pro vyřešení tohoto problému je potřeba označit v registru (/usr/local/etc/raddb/CA/demoCA/index.txt), který ukládá seznam všech podepsaných certifikátů, certifikát uživatele, kterému chceme odepřít přístup do sítě, jako odvolaný. Poté je potřeba vytvořit (nebo aktualizovat, pokud již existuje) seznam zneplatněných certifikátů (CRL - Certificate Revocation List). A poté nakonfigurujte RADIUS tak, aby při ověřování uživatelů odkazoval na tento seznam a kontroloval, zda se v něm nachází předložený klientský certifikát.

V našich předchozích experimentech jsme vytvořili dva certifikáty pro uživatele 1 (Andrey Ivanov) a uživatele 2 (Michail Ivanov). Například tomu druhému zakažme přístup k bezdrátové síti. Pojďme si projít další tři kroky.

Krok 1

Certifikát uživatele2 v registru označíme jako odvolaný: v / usr / local / etc / raddb / CA zadáme příkaz:

radius # openssl ca -revoke user2.pem

OpenSSL nadává, ale dělá, co chceme. Během provádění příkazu musíte zadat tajnou přístupovou frázi ("cokoli"). V tomto případě bude v /raddb/CA/demoCA/index.txt certifikát označen jako revokovaný, což si můžeme ověřit pohledem na tento soubor. Písmeno "R" se objeví vedle položky odpovídající revokovanému certifikátu.

Krok 2

Vytvořte seznam odvolání (CRL). Pokud již existuje, bude aktualizován. Když jsme v / usr / local / etc / raddb / CA, zadáme příkaz:

radius # openssl ca -gencrl -out ca.crl

Opět při provádění příkazu musíte zadat tajné heslo „cokoli“. V důsledku toho se soubor ca.crl objeví v adresáři / raddb / CA / - toto je seznam odvolání. Uvnitř to vypadá jako šifrování, můžete si to prohlédnout takto:

radius # openssl crl -in ca.crl -text –noout

Vidíme v něm jeden zneplatněný certifikát se sériovým číslem D734AD0E8047BD8D (alias user2, aka Michail Ivanov).

Všimněte si, že důležitou vlastností CRL je datum vypršení platnosti. Musí být aktualizován nejpozději do data vypršení platnosti (Aktualizace: 26. června 23:33:19 2005 GMT). Datum vypršení platnosti CRL lze nastavit v souboru openssl.cnf (měli jsme default_crl_days = 30).

Krok 3

Připojujeme seznam recenzí k FreeRADIUS:

• zkopírujte soubor /raddb/CA/ca.crl do / raddb / certs / (přes starý ca.crl, pokud tam je);
• přejděte na / raddb / certs / a přilepte ca.crl k souboru cacert.pem:

kočka cacert.pem ca.crl> ca.pem

• proveďte malé změny v části souboru TLS /raddb/eap.conf

# zde jsme změnili cacert.pem na ca.pem

CA_file = $ (raddbdir) /certs/ca.pem

CA_path = $ (raddbdir) / certs #přidejte tento řádek

check_crl = ano # a tento řádek

Zkusme ověřit počítač pomocí certifikátu user2 v síti. Ověření se nezdaří a uživatel1 podle potřeby volně vstoupí do bezdrátové sítě.

Nyní lze zabezpečenou bezdrátovou síť považovat za postavenou.

Počet lidí, kteří aktivně používají internet, roste mílovými kroky: v práci při řešení firemních cílů a administrativy, doma, na veřejných místech. Wi-Fi sítě a zařízení získávají na popularitě, což vám umožňuje volný přístup k internetu.

Síť Wi-Fi má napevno nastavené heslo, bez jehož znalosti bude téměř nemožné se ke konkrétní síti připojit, kromě veřejných sítí (kavárny, restaurace, obchodní centra, přístupové body na ulicích). "Prakticky" by nemělo být chápáno v doslovném smyslu: existuje dostatek řemeslníků, kteří jsou schopni "otevřít" síť a získat přístup nejen ke zdroji routeru, ale také k datům přenášeným v konkrétní síti.

Ale v tomto úvodním slově jsme mluvili o připojení k wi-fi - autentizace uživatel (klient), když se klientské zařízení a přístupový bod navzájem objeví a potvrdí, že spolu mohou komunikovat.

Možnosti autentizace:

• Otevřeno- otevřená síť, ve které jsou všechna připojená zařízení autorizována najednou
• Sdíleno- pravost připojeného zařízení musí být ověřena klíčem / heslem
• EAP- pravost připojeného zařízení musí být ověřena pomocí protokolu EAP externím serverem

Šifrování směrovače: metody a jejich vlastnosti

Šifrování- jedná se o šifrovací algoritmus (scramble - šifrovat, míchat) přenášená data, měnit a generovat šifrovací klíč

Pro zařízení wifi byly vyvinuty různé typy šifrování, které umožňují chránit síť před hackery a data před veřejným přístupem.

Dnes existuje několik možností šifrování. Zvažme každý z nich podrobněji.

Následující typy vynikají a jsou nejběžnější:

• OTEVŘENO;
• WPA, WPA2;

První typ, označovaný jako OPEN, obsahuje v názvu všechny informace potřebné k poznání. Tento režim neumožní šifrování dat ani ochranu síťového zařízení, protože přístupový bod bude za předpokladu, že je tento typ vybrán, trvale otevřený a dostupný všem zařízením, která jej budou detekovat. Nevýhody a zranitelnosti tohoto typu „šifrování“ jsou zřejmé.

Pokud je síť otevřená, neznamená to, že s ní může kdokoli pracovat. Chcete-li takovou síť používat a přenášet v ní data, musíte odpovídat použité metodě šifrování. A další podmínkou pro používání takové sítě je absence MAC filtru, který určuje MAC adresy uživatelů, aby bylo možné rozpoznat, která zařízení mají zakázáno nebo povoleno používat tuto síť.

WEP

Druhý typ, známý jako WEP, pochází z 90. let minulého století a byl předchůdcem všech následujících typů šifrování. Šifrování Wep je dnes nejslabší ze všech existujících možností ochrany. Většina moderních routerů, sestavených odborníky a beroucích v úvahu zájmy soukromí uživatelů, nepodporuje šifrování wep.

Mezi mínusy, přestože existuje alespoň nějaká ochrana (ve srovnání s OPEN), vyniká nespolehlivost: je to způsobeno krátkodobou ochranou, která se aktivuje v určitých intervalech. Po uplynutí této doby lze heslo pro vaši síť snadno vynutit hrubou silou a klíč wep bude prolomen do 1 minuty. Je to způsobeno bitovostí klíče wep, která je v závislosti na vlastnostech síťového zařízení od 40 do 100 bitů.

Zranitelnost klíče Wep spočívá ve skutečnosti, že části hesla jsou přenášeny společně s datovými pakety. Zachycení paketů pro specialistu – hackera nebo crackera – je snadný úkol. Je také důležité pochopit skutečnost, že moderní softwarové nástroje jsou schopny zachytit datové pakety a jsou vytvořeny speciálně pro tento účel.

Šifrování wep je tedy nejnespolehlivějším způsobem ochrany vaší sítě a síťového zařízení.

WPA, WPA2

Takové odrůdy jsou z hlediska organizace ochrany v současnosti nejmodernější a dokonalé. Neexistují k nim žádné analogy. Možnost nastavit libovolnou délku vhodnou pro uživatele a alfanumerická kombinace klíče wpa značně ztěžuje život těm, kteří chtějí neoprávněně používat konkrétní síť nebo zachytit data z této sítě.

Tyto standardy podporují různé šifrovací algoritmy, které lze přenášet po interakci protokolů TKIP a AES. Typ šifrování aes je pokročilejší protokol než tkip a je podporován a aktivně využíván většinou moderních směrovačů.

Šifrování Wpa nebo wpa2 je preferovaným typem pro domácí i firemní použití. Ten umožňuje použít dva režimy autentizace: kontrola hesel pro přístup určitých uživatelů do obecné sítě se provádí v závislosti na zadaném nastavení v režimu PSK nebo Enterprise.

PSK předpokládá přístup k síťovým zařízením a internetovým zdrojům pomocí jediného hesla, které je nutné zadat při připojení k routeru. Toto je preferovaná možnost pro domácí síť, jejíž připojení se provádí na malé ploše s určitými zařízeními, například: mobilním, osobním počítačem a notebookem.

Pro společnosti se solidním personálem není PSK vhodný režim ověřování, proto byl vyvinut druhý režim, Enterprise. Jeho použití umožňuje používat různé klíče, které budou uloženy na speciálním dedikovaném serveru.

WPS

Skutečně moderní a umožňuje připojení k bezdrátové síti stisknutím tlačítka. Nemá smysl přemýšlet o heslech nebo klíčích, ale stojí za to zdůraznit a vzít v úvahu řadu závažných nedostatků týkajících se přístupu k sítím s WPS.

Připojení prostřednictvím této technologie se provádí pomocí klíče, který obsahuje 8 znaků. Zranitelnost typu šifrování je následující: má závažnou chybu, která umožňuje útočníkům nebo hackerům získat přístup k síti, pokud mají k dispozici alespoň 4 číslice z osmimístné kombinace. Počet pokusů o uhodnutí hesla se pohybuje kolem několika tisíc, ale pro moderní software je toto číslo směšné. Pokud změříme proces vynucení WPS v čase, pak proces nebude trvat déle než jeden den.

Za zmínku stojí skutečnost, že tato zranitelnost je ve fázi zlepšování a lze ji opravit, proto se v následujících modelech zařízení s režimem WPS začala zavádět omezení počtu pokusů o přihlášení, což výrazně zkomplikovalo úkol neoprávněných přístup pro zájemce o toto.

Pro zvýšení celkové úrovně zabezpečení však zkušení uživatelé doporučují zásadně opustit uvažovanou technologii.

Shrnutí

Nejmodernější a skutečně nejspolehlivější metodou organizace ochrany sítě a dat v ní přenášených je WPA nebo její analogový WPA2.

První možnost je vhodnější pro domácí použití určitým počtem zařízení a uživatelů.

Druhý, který má funkci duálního ověřování, je vhodnější pro velké společnosti. Jeho použití je odůvodněno tím, že při propouštění zaměstnanců není potřeba měnit hesla a klíče, protože určitý počet dynamických hesel je uložen na speciálně vyhrazeném serveru, ke kterému mají přístup pouze současní zaměstnanci společnosti.

Je třeba poznamenat, že WPA2 preferuje většina náročných uživatelů i pro domácí použití. Z hlediska organizace ochrany zařízení a dat je tato metoda šifrování nejpokročilejší, která dnes existuje.

Pokud jde o rostoucí oblibu WPS, opuštění od něj znamená do jisté míry zabezpečit s jeho pomocí síťová zařízení a přenášená informační data. Dokud nebude technologie dostatečně vyvinuta a nebude mít všechny výhody, například WPA2, doporučuje se upustit od jejího používání, a to i přes zdánlivou snadnost použití a pohodlí. Bezpečnost sítě a informačních polí přenášených v ní je totiž pro většinu uživatelů prioritou.

V kontaktu s

Podívejme se na několik metod ověřování WLAN, jmenovitě otevřené ověřování, PSK a EAP.

Otevřete ověřování

Ve výchozím nastavení není pro bezdrátová zařízení vyžadováno žádné ověřování. Všechna zařízení mohou navazovat spojení bez ohledu na jejich typ a příslušnost. To se nazývá otevřené ověřování... Otevřené ověřování by se mělo používat pouze ve veřejných bezdrátových sítích, jako jsou školy a internetové kavárny (restaurace). Lze jej použít v sítích, kde se po připojení k síti bude autentizace provádět jinými prostředky.

Předsdílený klíč (PSK)

Při použití režimu PSK přístupový bod a klient musí používat sdílený klíč nebo přístupový kód. Přístupový bod odešle klientovi náhodný řetězec bajtů. Klient vezme tento řetězec, zašifruje jej (nebo zakóduje) pomocí klíče a odešle jej zpět do přístupového bodu. Přístupový bod obdrží zašifrovaný řetězec a použije svůj klíč k jeho dešifrování. Pokud se dešifrovaný řetězec přijatý od klienta shoduje s původním řetězcem odeslaným klientovi, je klientovi uděleno oprávnění k navázání spojení.

V tomto případě se provádí jednosměrná autentizace, tzn. přístupový bod zkontroluje podrobnosti o připojeném uzlu. PSK neznamená ověření přístupového bodu hostitelem ani neověřuje uživatele připojujícího se k hostiteli.

Extensible Authentication Protocol (EAP)

EAP poskytuje vzájemnou nebo obousměrnou autentizaci i autentizaci uživatele. Pokud je na klientovi nainstalován software EAP, klient komunikuje s interním ověřovacím serverem, jako je Remote Dial-In User Authentication (RADIUS). Tento interní server funguje nezávisle na přístupovém bodu a spravuje databázi uživatelů, kteří mají oprávnění k přístupu do sítě. U EAP musí uživatel, nejen hostitel, poskytnout uživatelské jméno a heslo, které jsou následně ověřeny v databázi serveru RADIUS. Pokud jsou poskytnuté přihlašovací údaje platné, je uživatel považován za ověřeného.