बुकमार्क करने के लिए
संपर्कसाइट के बारे में

कौन सा ईएपी तरीका चुनना है। प्रमाणीकरण योजना

प्रमाणीकरण की प्रक्रिया में तीन मुख्य प्रतिभागी हैं:

  • प्रमाणक (अंग्रेजी प्रमाणक) - प्रमाणीकरण की आवश्यकता वाली प्रक्रिया में एक भागीदार (वाईफाई पहुंच बिंदु, स्विच, आदि)।
  • नोड या क्लाइंट (अंग्रेजी सहकर्मी) - प्रक्रिया में एक भागीदार जिसे प्रमाणित किया जाएगा (कंप्यूटर, लैपटॉप, फोन, आदि)।
  • प्रमाणीकरण सर्वर (इंजी। प्रमाणीकरण सर्वर) - एक प्रक्रिया प्रतिभागी जो नोड से कुछ डेटा के अनुसार इसे प्रमाणित करने में सक्षम है।

कुछ मामलों में, प्रमाणीकरण सर्वर और प्रमाणक एक ही उपकरण हो सकते हैं, जैसे कि EAP-PSK पद्धति का उपयोग करने वाले घरेलू उपकरण। सामान्य तौर पर, प्रमाणीकरण प्रक्रिया इस प्रकार है:

  1. प्रमाणीकरणकर्ता क्लाइंट प्रमाणीकरण शुरू करने के लिए एक ईएपी अनुरोध भेजता है। प्रकार फ़ील्ड में अनुरोध में जानकारी है कि किस विधि का उपयोग किया जाएगा (ईएपी-टीएलएस, ईएपी-पीएसके, आदि)। प्रमाणक आवश्यक रूप से यह अनुरोध नहीं भेजता है, उदाहरण के लिए, यदि उस पोर्ट पर प्रमाणीकरण की आवश्यकता नहीं है जिससे क्लाइंट जुड़ा हुआ है, तो क्लाइंट को प्रमाणीकरण प्रक्रिया शुरू करने के लिए इनिशिएटिव प्रकार के अनुरूप कोड फ़ील्ड के साथ एक पैकेट भेजना होगा।
  2. प्रमाणीकरणकर्ता से वैध अनुरोध के मामले में क्लाइंट प्रमाणक को ईएपी प्रतिक्रिया भेजता है। प्रतिक्रिया में अनुरोध में टाइप फ़ील्ड के अनुरूप टाइप फ़ील्ड होता है।
  3. प्रमाणीकरणकर्ता प्रमाणीकरण सर्वर को एक अनुरोध भेजता है, जिसके बारे में जानकारी देता है कि किस प्रमाणीकरण विधि का उपयोग किया जा रहा है।
  4. प्रमाणीकरण सर्वर क्लाइंट से प्रमाणीकरणकर्ता के माध्यम से आवश्यक जानकारी का अनुरोध करता है, जिस बिंदु पर प्रमाणीकरणकर्ता वास्तव में प्रॉक्सी के रूप में काम करता है।
  5. क्लाइंट अनुरोधित जानकारी के साथ सर्वर को प्रतिक्रिया देता है। आइटम 4 और 5 तब तक दोहराए जाते हैं जब तक प्रमाणीकरण सर्वर एक्सेस, इनकार या त्रुटि की अनुमति देने का निर्णय नहीं लेता है।
  6. प्रमाणीकरण सर्वर प्रमाणीकरण की सफलता या विफलता का संकेत देते हुए प्रमाणीकरणकर्ता को एक पैकेट भेजता है।
  7. प्रमाणीकरणकर्ता प्रमाणीकरण सर्वर की प्रतिक्रिया (ईएपी-सफलता या ईएपी-विफलता) के अनुरूप कोड के साथ ईएपी क्लाइंट को एक पैकेट भेजता है।

EAP पैकेज कोड की सारांश तालिका:

तरीकों

छलांग

लाइटवेट एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल(अंग्रेज़ी) लाइटवेट एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल ), 802.11i सुरक्षा मानक के IEEE के अनुसमर्थन से पहले सिस्को द्वारा विकसित एक विधि। उद्योग में एक अलग उद्योग मानक की कमी के कारण सिस्को ने 802.1X प्रोटोकॉल और गतिशील WEP के हिस्से के रूप में CCX (सिस्को प्रमाणित एक्सटेंशन) के माध्यम से प्रोटोकॉल वितरित किया। विंडोज परिवार के ऑपरेटिंग सिस्टम में एलईएपी प्रोटोकॉल के लिए अंतर्निहित समर्थन नहीं है, हालांकि, तीसरे पक्ष के क्लाइंट प्रोग्राम (अक्सर वायरलेस उपकरण के साथ बंडल) में प्रोटोकॉल समर्थन व्यापक है। विंडोज़ में लीप समर्थन सिस्को क्लाइंट सॉफ़्टवेयर स्थापित करके जोड़ा जा सकता है जो एलईएपी और ईएपी-फास्ट प्रोटोकॉल के लिए समर्थन प्रदान करता है। कई अन्य डब्लूएलएएन उपकरण निर्माता भी इसके उच्च प्रसार के कारण एलईएपी प्रोटोकॉल का समर्थन करते हैं।

LEAP MS-CHAP प्रोटोकॉल के एक संशोधित संस्करण का उपयोग करता है, एक कमजोर सुरक्षित प्रमाणीकरण प्रोटोकॉल जिसमें उपयोगकर्ता और पासवर्ड की जानकारी से आसानी से समझौता किया जाता है; 2004 की शुरुआत में, ASLEAP नामक LEAP प्रोटोकॉल के लिए एक शोषण जोशुआ राइट द्वारा लिखा गया था। हैक इस तथ्य पर आधारित है कि, सबसे पहले, अनुरोध और प्रतिक्रिया के सभी तत्व, पासवर्ड हैश के अलावा, नेटवर्क पर भेजे गए डेटा के आधार पर अनएन्क्रिप्टेड या आसानी से गणना की जाती है। इसका मतलब यह है कि यह एक मध्य हमलावर के लिए फिर से अधिकृत करने के लिए पासवर्ड हैश प्राप्त करने के लिए पर्याप्त होगा। दूसरा, प्रमुख पीढ़ी संभावित रूप से कमजोर है। 5 बाइट्स को शून्य से जोड़ने का अर्थ है कि अंतिम कुंजी में 2 16 का कुंजी स्थान है। अंत में, एक ही प्लेनटेक्स्ट को दो चाबियों (सर्वर को हैश भेजते समय और उत्तर देते समय) के साथ एन्क्रिप्ट किया जाता है, जिसका अर्थ है कि 2 56 की जटिलता दोनों चाबियों को क्रैक करने के लिए पर्याप्त है। एक बार हमलावर के पास सभी चाबियां हो जाने के बाद, उसे पासवर्ड का हैश मिलता है, जो पुनः प्रमाणित करने के लिए पर्याप्त है (MS-CHAP में अधिक विवरण)।

इस पद्धति के लिए अंतर्निहित समर्थन विंडोज परिवार के सभी ऑपरेटिंग सिस्टम (विंडोज 2000 एसपी4 से शुरू), लिनक्स और मैक ओएस एक्स (संस्करण 10.3 से) में उपलब्ध है।

टीएलएस के कई अन्य कार्यान्वयनों के विपरीत, जैसे कि एचटीटीपीएस, अधिकांश ईएपी-टीएलएस कार्यान्वयन के लिए क्लाइंट पर पहले से स्थापित X.509 प्रमाणपत्र की आवश्यकता होती है, जिससे आवश्यकता को अक्षम करने का कोई विकल्प नहीं मिलता है, हालांकि मानक इसे अनिवार्य नहीं करता है। इसने "खुले" लेकिन एन्क्रिप्टेड वायरलेस एक्सेस पॉइंट के प्रसार को रोका हो सकता है। अगस्त 2012 में hostapd और wpa_supplicant ने UNAUTH-TLS, EAP की मूल प्रमाणीकरण विधि के लिए समर्थन जोड़ा, और 25 फरवरी, 2014 को WFA-UNAUTH-TLS के लिए समर्थन जोड़ा, एक प्रमाणीकरण विधि जो केवल सर्वर को प्रमाणित करती है। यह आपको ईएपी-टीएलएस के माध्यम से उसी तरह काम करने की अनुमति देगा जैसे एचटीटीपीएस के माध्यम से, जहां वायरलेस एक्सेस प्वाइंट मुफ्त कनेक्शन की अनुमति देता है (यानी, इसे क्लाइंट प्रमाणीकरण की आवश्यकता नहीं है), लेकिन यह यातायात को एन्क्रिप्ट करता है (आईईईई 802.11i-2004, कि है, WPA2) और यदि आवश्यक हो तो पास प्रमाणीकरण की अनुमति देता है। मानकों में एक ईएपी-टीएलएस विधि की उपलब्धता का संकेत देने के लिए एक्सेस पॉइंट्स में आईईईई 802.11 यू का उपयोग करने के प्रस्ताव भी शामिल हैं जो केवल मानक आईईटीएफ ईएपी-टीएलएस प्रोटोकॉल का उपयोग कर सर्वर को प्रमाणित करता है, न कि किसी तृतीय-पक्ष ईएपी विधि के बजाय।

ग्राहक पक्ष पर पूर्व-स्थापित प्रमाणपत्र की आवश्यकता ईएपी-टीएलएस पद्धति की उच्च सुरक्षा के कारणों में से एक है और सुरक्षा के पक्ष में सुविधा का त्याग करने का एक उदाहरण है। ईएपी-टीएलएस को तोड़ने के लिए, उपयोगकर्ता के पासवर्ड से समझौता करना पर्याप्त नहीं है; एक सफल हमले के लिए, हमलावर को उपयोगकर्ता से संबंधित क्लाइंट प्रमाणपत्र को भी अपने कब्जे में लेना होगा। क्लाइंट प्रमाणपत्रों को स्मार्ट कार्डों में संग्रहीत करके सर्वोत्तम सुरक्षा प्राप्त की जा सकती है।

ईएपी-टीटीएलएस

सुरंग परिवहन परत सुरक्षा (सुरंग के माध्यम से परिवहन परत सुरक्षा),एक ईएपी विधि जो टीएलएस विधि की क्षमताओं का विस्तार करती है। यह फंक सॉफ्टवेयर और सर्टिकॉम द्वारा विकसित किया गया है और अधिकांश प्लेटफार्मों (संस्करण 8 से विंडोज और संस्करण 8.1 के बाद से विंडोज मोबाइल) पर काफी अच्छी तरह से समर्थित है।

क्लाइंट CA द्वारा हस्ताक्षरित PKI प्रमाणपत्र का उपयोग करके सर्वर द्वारा प्रमाणित किया जा सकता है (लेकिन इसकी आवश्यकता नहीं है)। वैकल्पिक क्लाइंट प्रमाणीकरण सेटअप प्रक्रिया को बहुत सरल करता है, क्योंकि उनमें से प्रत्येक के लिए अलग-अलग प्रमाणपत्र बनाने और स्थापित करने की कोई आवश्यकता नहीं है।

सर्वर को सीए द्वारा हस्ताक्षरित प्रमाणपत्र का उपयोग करके और वैकल्पिक रूप से क्लाइंट-सर्वर द्वारा क्लाइंट द्वारा प्रमाणित किए जाने के बाद, सर्वर क्लाइंट को और अधिक प्रमाणित करने के लिए परिणामी सुरक्षित कनेक्शन (सुरंग) का उपयोग कर सकता है। सुरंग उन चैनलों के लिए डिज़ाइन किए गए प्रमाणीकरण प्रोटोकॉल के उपयोग की अनुमति देता है जो MITM हमलों से और "वायरटैपिंग" से सुरक्षित हैं। ईएपी-टीटीएलएस पद्धति का उपयोग करते समय, प्रमाणीकरण के लिए उपयोग की जाने वाली कोई भी जानकारी स्पष्ट रूप से प्रसारित नहीं होती है, जिससे इसे हैक करना और भी मुश्किल हो जाता है।

ईएपी-पीएसके

गुप्त कुंजी, RFC 4764 में परिभाषित एक विधि जो पारस्परिक प्रमाणीकरण और सत्र कुंजी विनिमय के लिए पूर्व-सहमत कुंजी का उपयोग करती है। विधि को आईईईई 802.11 जैसे असुरक्षित नेटवर्क पर काम करने के लिए डिज़ाइन किया गया है और, यदि सफलतापूर्वक प्रमाणित किया जाता है, तो क्लाइंट और एक्सेस प्वाइंट के बीच एक सुरक्षित दो-तरफा कनेक्शन प्रदान करता है।

EAP-PSK को एक प्रयोगात्मक RFC में प्रलेखित किया गया है और यह एक हल्का और एक्स्टेंसिबल EAP विधि प्रदान करता है जो असममित एन्क्रिप्शन का उपयोग नहीं करता है। इस विधि में आपसी प्रमाणीकरण के लिए चार संदेशों (न्यूनतम संभव संख्या) की आवश्यकता होती है।

लेख "ईएपी" पर एक समीक्षा लिखें

टिप्पणियाँ

EAP की विशेषता बताने वाला एक अंश

- सोन्या! सोन्या! - पहली आवाज फिर सुनाई दी। - अच्छा, तुम कैसे सो सकते हो! हाँ, देखो क्या सुंदरता है! आह, क्या खुशी है! जागो, सोन्या, - उसने लगभग अपनी आवाज़ में आँसू के साथ कहा। "इतनी प्यारी रात कभी नहीं रही, कभी नहीं।
सोन्या ने अनिच्छा से कुछ जवाब दिया।
- नहीं, उस चाँद को देखो! ... ओह, क्या आकर्षण है! तुम इधर आओ। डार्लिंग, कबूतर, यहाँ आओ। हम देखेंगे? तो मैं नीचे बैठ जाता, इस तरह, मैं अपने आप को अपने घुटनों के नीचे पकड़ लूंगा - जितना संभव हो उतना तंग - आपको तनाव करना होगा। ऐशे ही!
- ठीक है, तुम गिरने वाले हो।
एक संघर्ष और सोन्या की असंतुष्ट आवाज थी: "आखिरकार, दूसरा घंटा।"
ओह, तुम मेरे लिए सब कुछ बर्बाद कर रहे हो। अच्छा, जाओ, जाओ।
सब कुछ फिर से शांत हो गया, लेकिन प्रिंस आंद्रेई को पता था कि वह अभी भी वहीं बैठी है, उसने कभी एक शांत हलचल सुनी, कभी आह भरी।
- बाप रे! बाप रे! क्या है वह! वह अचानक चिल्लाई। - नींद की तरह सो जाओ! और खिड़की पटक दी।
"और यह मेरे अस्तित्व के लिए कोई मायने नहीं रखता!" राजकुमार आंद्रेई ने सोचा जब वह उसकी बातचीत सुन रहा था, किसी कारण से इंतजार कर रहा था और डर रहा था कि वह उसके बारे में कुछ कहेगी। "और वह फिर से! और कैसे जानबूझकर! उसने सोचा। युवा विचारों और आशाओं का ऐसा अप्रत्याशित भ्रम, जो उनके पूरे जीवन का खंडन करता था, अचानक उनकी आत्मा में पैदा हुआ, कि वह अपनी स्थिति को समझने में असमर्थ महसूस करते हुए तुरंत सो गए।

अगले दिन, केवल एक गिनती को अलविदा कहने के बाद, महिलाओं के जाने की प्रतीक्षा किए बिना, प्रिंस आंद्रेई घर चले गए।
यह पहले से ही जून की शुरुआत थी, जब राजकुमार आंद्रेई, घर लौट रहे थे, फिर से उस बर्च ग्रोव में चले गए, जिसमें इस पुराने, नुकीले ओक ने उसे इतना अजीब और यादगार बना दिया। डेढ़ महीने पहले की तुलना में जंगल में घंटियाँ और भी अधिक गूँजती थीं; सब कुछ भरा, छायादार और मोटा था; और युवा देवदार के पेड़, जंगल में बिखरे हुए, सामान्य सुंदरता को परेशान नहीं करते थे और सामान्य चरित्र की नकल करते हुए, कोमल युवा शूटिंग के साथ हरे रंग में बदल गए।
दिन भर गरमी थी, कहीं गरज-चमक जम रही थी, लेकिन सड़क की धूल और रसीले पत्तों पर एक छोटा सा बादल छंट गया। जंगल के बाईं ओर अंधेरा था, छाया में; दाहिना, गीला और चमकदार, धूप में चमक रहा था, हवा में थोड़ा लहरा रहा था। सब कुछ खिल रहा था; कोकिला चहकती और लुढ़कती थीं, अब पास, अब बहुत दूर।
"हाँ, यहाँ, इस जंगल में, यह ओक था, जिसके साथ हम सहमत थे," प्रिंस आंद्रेई ने सोचा। "हाँ, वह कहाँ है," प्रिंस आंद्रेई ने फिर सोचा, सड़क के बाईं ओर देखते हुए और इसे जाने बिना, उसे पहचाने बिना, उस ओक की प्रशंसा की जिसे वह ढूंढ रहा था। पुराना ओक, सब कुछ बदल गया, रसदार, गहरे हरे रंग के तम्बू की तरह फैल गया, शाम के सूरज की किरणों में थोड़ा सा हिल रहा था। कोई अनाड़ी उँगलियाँ नहीं, कोई घाव नहीं, कोई पुराना अविश्वास और शोक नहीं - कुछ भी दिखाई नहीं दे रहा था। रसदार, युवा पत्ते बिना गांठ के सख्त, सौ साल पुरानी छाल से टूट गए, जिससे यह विश्वास करना असंभव था कि इस बूढ़े ने उन्हें पैदा किया था। "हाँ, यह वही ओक का पेड़ है," प्रिंस आंद्रेई ने सोचा, और अचानक खुशी और नवीकरण की एक अकारण, वसंत भावना उसके ऊपर आ गई। उनके जीवन के सभी बेहतरीन पल अचानक उन्हें एक ही समय में याद आ गए। और एक उच्च आकाश के साथ ऑस्टरलिट्ज़, और उसकी पत्नी का मृत, तिरस्कारपूर्ण चेहरा, और पियरे पर फेरी, और लड़की, रात की सुंदरता से उत्साहित, और इस रात, और चाँद - और यह सब अचानक उसके पास आया मन।
"नहीं, 31 साल की उम्र में जीवन खत्म नहीं हुआ है, अचानक, प्रिंस आंद्रेई ने बिना बदलाव के पूरी तरह से फैसला किया। न केवल मुझे वह सब कुछ पता है जो मुझमें है, यह आवश्यक है कि हर कोई यह जानता हो: पियरे और यह लड़की दोनों जो आकाश में उड़ना चाहती थी, यह आवश्यक है कि हर कोई मुझे जानता हो, ताकि मेरा जीवन अकेले मेरे लिए न चले इसलिए कि वे मेरे जीवन से इतने स्वतंत्र रूप से नहीं जीते हैं, कि यह सभी पर परिलक्षित होता है और वे सभी मेरे साथ रहते हैं!

अपनी यात्रा से लौटकर, प्रिंस आंद्रेई ने गिरावट में पीटर्सबर्ग जाने का फैसला किया और इस निर्णय के विभिन्न कारणों के साथ आए। उचित, तार्किक तर्कों की एक पूरी श्रृंखला क्यों उन्हें पीटर्सबर्ग जाने और यहां तक ​​कि सेवा करने की आवश्यकता थी, हर मिनट उनकी सेवाओं के लिए तैयार थे। अब भी उसे समझ नहीं आ रहा था कि वह जीवन में सक्रिय भाग लेने की आवश्यकता पर कभी संदेह कैसे कर सकता है, जैसे एक महीने पहले उसे समझ नहीं आ रहा था कि गाँव छोड़ने का विचार उसके मन में कैसे आ सकता है। उसे यह स्पष्ट लग रहा था कि जीवन में उसके सभी अनुभव व्यर्थ और बकवास हो गए होंगे यदि उसने उन्हें काम पर नहीं लगाया होता और जीवन में फिर से सक्रिय भाग नहीं लिया होता। उन्हें यह भी समझ में नहीं आया कि, उन्हीं घटिया तर्कसंगत तर्कों के आधार पर, पहले यह स्पष्ट हो गया था कि यदि अब जीवन में अपने पाठों के बाद, वह फिर से उपयोगी होने की संभावना में विश्वास करते हैं तो वह खुद को अपमानित कर लेते। खुशी और प्यार की संभावना। अब मेरा मन कुछ और कह रहा था। इस यात्रा के बाद, प्रिंस आंद्रेई ग्रामीण इलाकों में ऊबने लगे, उनकी पिछली गतिविधियों में उनकी दिलचस्पी नहीं थी, और अक्सर, अपने कार्यालय में अकेले बैठे, वे उठे, आईने के पास गए और लंबे समय तक अपना चेहरा देखा। फिर वह दूर हो गया और मृतक लिसा के चित्र को देखा, जो कर्ल के साथ ला ग्रीक [ग्रीक में] फूला हुआ था, कोमलता से और खुशी से उसे एक सुनहरे फ्रेम से देखा। वह अब अपने पति से पहले के भयानक शब्द नहीं बोलती थी, वह बस और खुशी से उसे उत्सुकता से देखती थी। और प्रिंस आंद्रेई, अपने हाथों को पीछे की ओर मोड़ते हुए, लंबे समय तक कमरे में घूमते रहे, अब भौंकते हुए, अब मुस्कुराते हुए, उन अनुचित, शब्दों में अकथनीय पर पुनर्विचार करते हुए, पियरे से जुड़े अपराध विचारों के रूप में गुप्त, प्रसिद्धि के साथ, खिड़की पर लड़की के साथ , ओक के साथ, स्त्री सौंदर्य और प्रेम के साथ जिसने उसका पूरा जीवन बदल दिया। और उन क्षणों में जब कोई उसके पास आया, तो वह विशेष रूप से शुष्क, कठोर दृढ़ और विशेष रूप से अप्रिय तार्किक था।
- मोन चेर, [माई डियर,] - राजकुमारी मैरी ऐसे पल में प्रवेश करते हुए कहती थी, - निकोलुश्का आज टहलने नहीं जा सकती: बहुत ठंड है।
"अगर यह गर्म होता," प्रिंस आंद्रेई ने अपनी बहन को ऐसे क्षणों में विशेष रूप से शुष्क रूप से उत्तर दिया, "वह एक शर्ट में जाएगा, और चूंकि यह ठंडा है, इसलिए आपको गर्म कपड़े पहनने की जरूरत है, जो इसके लिए आविष्कार किए गए हैं। यह इस तथ्य से निम्नानुसार है कि यह ठंडा है, न कि केवल घर पर रहने के लिए जब बच्चे को हवा की आवश्यकता होती है, ”उन्होंने विशेष तर्क के साथ कहा, जैसे कि किसी को इस सभी गुप्त, अतार्किक आंतरिक कार्य के लिए दंडित करना जो उसके अंदर हुआ था। राजकुमारी मरिया ने इन मामलों में सोचा कि यह मानसिक कार्य पुरुषों को कैसे सूखता है।

प्रिंस आंद्रेई अगस्त 1809 में सेंट पीटर्सबर्ग पहुंचे। यह युवा स्पेरन्स्की की महिमा और उनके द्वारा किए गए तख्तापलट की ऊर्जा के अपोजिट का समय था। इसी अगस्त में, संप्रभु, एक गाड़ी में सवार होकर, बाहर फेंक दिया गया, उसका पैर घायल हो गया, और तीन सप्ताह तक पीटरहॉफ में रहा, स्पेरन्स्की को दैनिक और विशेष रूप से देखता रहा। उस समय, न केवल दो फरमान, इतने प्रसिद्ध और समाज के लिए खतरनाक, अदालती रैंकों के विनाश पर और कॉलेजिएट मूल्यांकनकर्ताओं और राज्य पार्षदों के रैंकों के लिए परीक्षाओं पर तैयार किए जा रहे थे, बल्कि एक संपूर्ण राज्य संविधान भी था, जिसे बदलना था रूस को राज्य परिषद से वोल्स्ट बोर्ड तक शासित करने का मौजूदा न्यायिक, प्रशासनिक और वित्तीय आदेश। अब वे अस्पष्ट, उदार सपने जिनके साथ सम्राट अलेक्जेंडर सिंहासन पर आए, और जिन्हें उन्होंने अपने सहायकों ज़ार्टोरिज़्स्की, नोवोसिल्त्सेव, कोचुबे और स्ट्रोगोनोव की मदद से साकार करने की कोशिश की, जिन्हें वह खुद मजाक में कॉमेट डू सैल्यूट पब्लिक कहते थे, अब उन्हें साकार और मूर्त रूप दिया गया। . [सार्वजनिक सुरक्षा समिति।]
अब वे सभी नागरिक भाग के लिए स्पेरन्स्की और सेना के लिए अरकचेव द्वारा प्रतिस्थापित किए गए हैं। प्रिंस आंद्रेई अपने आगमन के तुरंत बाद, एक चैंबरलेन के रूप में, अदालत में पेश हुए और बाहर चले गए। संप्रभु ने दो बार उनसे मुलाकात की, एक भी शब्द के साथ उनका सम्मान नहीं किया। इससे पहले भी राजकुमार आंद्रेई को हमेशा ऐसा लगता था कि वह संप्रभु के प्रति दयनीय थे, कि उनका चेहरा और उनका पूरा अस्तित्व संप्रभु के लिए अप्रिय था। सूखी, दूर की नज़र में, जिसके साथ संप्रभु ने उसकी ओर देखा, प्रिंस आंद्रेई ने इस धारणा की पुष्टि पहले से कहीं अधिक की। दरबारियों ने राजकुमार आंद्रेई को इस तथ्य से संप्रभु की असावधानी से समझाया कि महामहिम इस तथ्य से असंतुष्ट थे कि बोल्कॉन्स्की ने 1805 से सेवा नहीं की थी।
प्रिंस आंद्रेई ने सोचा, "मैं खुद जानता हूं कि हम अपनी पसंद और नापसंद में कितने शक्तिहीन हैं।" उन्होंने अपने नोट को अपने पिता के एक मित्र पुराने फील्ड मार्शल को दिया। फील्ड मार्शल ने, उसे एक घंटा नियुक्त करते हुए, कृपया उसका स्वागत किया और संप्रभु को रिपोर्ट करने का वादा किया। कुछ दिनों बाद प्रिंस आंद्रेई को यह घोषणा की गई कि उन्हें युद्ध मंत्री, काउंट अरकचेव के सामने पेश होना है।
नियत दिन पर सुबह नौ बजे, प्रिंस आंद्रेई काउंट अरकचेव के स्वागत कक्ष में दिखाई दिए।
व्यक्तिगत रूप से, प्रिंस आंद्रेई अरकचीव को नहीं जानते थे और उन्हें कभी नहीं देखा था, लेकिन उनके बारे में जो कुछ भी वह जानता था वह इस आदमी के लिए थोड़ा सम्मान प्रेरित करता था।
"वह युद्ध मंत्री, संप्रभु सम्राट के विश्वासपात्र हैं; किसी को भी अपनी निजी संपत्तियों की परवाह नहीं करनी चाहिए; उन्हें मेरे नोट पर विचार करने का निर्देश दिया गया था, इसलिए वह अकेले ही इसे गति में स्थापित कर सकते हैं, ”प्रिंस आंद्रेई ने सोचा, काउंट अरकचीव के प्रतीक्षा कक्ष में कई महत्वपूर्ण और महत्वहीन व्यक्तियों के बीच प्रतीक्षा कर रहे हैं।
प्रिंस एंड्री, अपनी सेवा के दौरान, ज्यादातर सहायक, ने महत्वपूर्ण व्यक्तियों के बहुत सारे स्वागत देखे, और इन रिसेप्शनिस्टों के विभिन्न चरित्र उनके लिए बहुत स्पष्ट थे। काउंट अरकचेव का उनके स्वागत कक्ष में एक बहुत ही खास चरित्र था। काउंट अरकचेव के प्रतीक्षालय में दर्शकों की कतार में खड़े महत्वहीन चेहरों पर शर्म और विनम्रता का भाव लिखा हुआ था; अधिक आधिकारिक चेहरों पर, अजीबता की एक सामान्य भावना व्यक्त की गई थी, जो स्वयं पर, किसी की स्थिति में और अपेक्षित व्यक्ति पर स्वैगर और उपहास की आड़ में छिपी हुई थी। कुछ सोच-समझकर आगे-पीछे चले, अन्य फुसफुसाते हुए हँसे, और प्रिंस आंद्रेई ने सिला आंद्रेइच के सोब्रिकेट [मजाक उपनाम] और शब्दों को सुना: "चाचा पूछेंगे," काउंट अरकचेव का जिक्र करते हुए। एक सामान्य (एक महत्वपूर्ण व्यक्ति), जाहिरा तौर पर इस तथ्य से नाराज था कि उसे इतने लंबे समय तक इंतजार करना पड़ा, अपने पैरों को हिलाकर बैठ गया और तिरस्कारपूर्वक मुस्कुरा रहा था।
लेकिन जैसे ही दरवाजा खुला, सभी चेहरों पर एक ही बात तुरंत प्रकट हो गई - भय। प्रिंस आंद्रेई ने ड्यूटी अधिकारी से अपने बारे में दूसरी बार रिपोर्ट करने के लिए कहा, लेकिन उन्होंने उसे मजाक के साथ देखा और कहा कि नियत समय में उसकी बारी आएगी। कई व्यक्तियों को मंत्री के कार्यालय से सहायक द्वारा लाया और बाहर निकालने के बाद, एक अधिकारी को भयानक दरवाजे से अंदर जाने दिया गया, राजकुमार आंद्रेई को उसके अपमानित और भयभीत रूप से मारा। काफी देर तक अफसर के दर्शन होते रहे। अचानक, दरवाजे के पीछे से एक अप्रिय आवाज की आवाज सुनाई दी, और एक पीला अधिकारी, कांपते होंठों के साथ, वहां से निकला, और अपना सिर पकड़कर स्वागत कक्ष में चला गया।
उसके बाद, प्रिंस आंद्रेई को दरवाजे पर ले जाया गया, और कर्तव्य अधिकारी ने कानाफूसी में कहा: "दाईं ओर, खिड़की तक।"
प्रिंस आंद्रेई ने एक गरीब, साफ-सुथरे अध्ययन में प्रवेश किया और मेज पर एक चालीस वर्षीय व्यक्ति को एक लंबी कमर वाला, एक लंबा, छोटा-फटा हुआ सिर और मोटी झुर्रियों वाला, एक चौकोर, हरी सुस्त आँखों और एक लटकी हुई भौंहों के साथ देखा। लाल नाक। अरकचेव ने उसकी ओर देखे बिना अपना सिर घुमाया।
- आप क्या पूछ रहे थे? अरकचेव ने पूछा।
"मैं कुछ नहीं पूछ रहा हूँ, महामहिम," प्रिंस आंद्रेई ने चुपचाप कहा। अरकचेव की निगाहें उस पर पड़ीं।
- बैठो, - अरकचेव ने कहा, - प्रिंस बोल्कॉन्स्की?
"मैं कुछ भी नहीं मांगता, लेकिन संप्रभु सम्राट ने मेरे द्वारा आपके महामहिम को प्रस्तुत किया गया नोट भेजने का आदेश दिया ...
"यदि आप कृपया, मेरे प्रिय, मैंने आपका नोट पढ़ा," अरकचेव ने बाधित किया, केवल पहले शब्दों को प्यार से कहा, फिर से उसके चेहरे को देखे बिना और अधिक से अधिक बड़बड़ाते हुए तिरस्कारपूर्ण स्वर में गिर गया। क्या आप नए सैन्य कानूनों का प्रस्ताव करते हैं? कई कानून हैं, पुराने को पूरा करने वाला कोई नहीं है। आजकल, सभी कानून लिखे गए हैं, लिखना करने से ज्यादा आसान है।
- मैं सम्राट के कहने पर महामहिम से पूछने आया था कि आप जमा किए गए नोट को क्या पाठ्यक्रम देना चाहते हैं? प्रिंस एंड्रयू ने विनम्रता से कहा।
- मैंने आपके नोट पर एक प्रस्ताव रखा और समिति को भेज दिया। मुझे मंजूर नहीं है, - अरकचेव ने कहा, उठकर डेस्क से कागज ले रहा है। - यहाँ! - उन्होंने प्रिंस आंद्रेई को दिया।
कागज पर, उन्होंने इसे पेंसिल में, बिना बड़े अक्षरों के, बिना वर्तनी के, विराम चिह्नों के बिना पार किया, यह लिखा गया था: "यह अनुचित रूप से, एक नकल के रूप में, फ्रांसीसी सैन्य चार्टर से लिखा गया है और बिना आवश्यकता के सैन्य लेख से लिखा गया है। पीछे हटना।"
- किस कमेटी को भेजा गया नोट? प्रिंस एंड्रयू से पूछा।
- सैन्य नियमों पर समिति के लिए, और मैंने एक सदस्य के रूप में आपका बड़प्पन प्रस्तुत किया है। बिना वेतन के ही।
प्रिंस एंड्रयू मुस्कुराए।
- मैं नहीं चाहता।
"अवैतनिक सदस्य," अरकचेव ने दोहराया। - मेरा सौभाग्य है। अरे बुलाओ! और कौन? वह चिल्लाया, राजकुमार आंद्रेई को नमन।

समिति के सदस्य के रूप में अपने नामांकन की अधिसूचना की प्रतीक्षा करते हुए, प्रिंस आंद्रेई ने अपने पुराने परिचितों को नवीनीकृत किया, खासकर उन व्यक्तियों के साथ, जिन्हें वह जानता था, सत्ता में थे और उन्हें उनकी आवश्यकता हो सकती थी। अब उसने पीटर्सबर्ग में एक ऐसी भावना का अनुभव किया जो उसने युद्ध की पूर्व संध्या पर अनुभव की थी, जब वह बेचैन जिज्ञासा से तड़प रहा था और उच्च क्षेत्रों में अथक रूप से आकर्षित हुआ था, जहां भविष्य तैयार किया जा रहा था, जिस पर लाखों लोगों का भाग्य निर्भर था। उन्होंने वृद्ध लोगों के क्रोध से, अशिक्षितों की जिज्ञासा से, दीक्षाओं के संयम से, सभी की जल्दबाजी और चिंता से, असंख्य समितियों और आयोगों से, जिनके अस्तित्व को उन्होंने हर दिन फिर से सीखा, महसूस किया। , कि अब, 1809 में, यहाँ पीटर्सबर्ग में तैयारी की जा रही थी, किसी प्रकार की विशाल गृहयुद्ध, जिसमें से कमांडर-इन-चीफ उनके लिए अज्ञात, रहस्यमय और उन्हें एक शानदार व्यक्ति - स्पेरन्स्की लग रहा था। परिवर्तन का सबसे अस्पष्ट रूप से ज्ञात मामला, और मुख्य व्यक्ति, स्पेरन्स्की, दोनों ने उसे इतनी लगन से दिलचस्पी लेना शुरू कर दिया कि सैन्य नियमों का मामला बहुत जल्द उसके दिमाग में एक माध्यमिक स्थान पर जाने लगा।

आज कई लोगों के घर में वाई-फाई राउटर है। वास्तव में, वायरलेस रूप से इंटरनेट से एक लैपटॉप, एक टैबलेट और एक स्मार्टफोन कनेक्ट करना बहुत आसान है, जिनमें से प्रत्येक परिवार में लोगों की तुलना में अधिक तलाकशुदा हैं। और वह (राउटर) अनिवार्य रूप से सूचना ब्रह्मांड का द्वार है। सामने के दरवाजे को पढ़ें। और यह इस दरवाजे पर निर्भर करता है कि आपकी अनुमति के बिना कोई बिन बुलाए मेहमान आपके पास आएगा या नहीं। इसलिए, राउटर के सही कॉन्फ़िगरेशन पर ध्यान देना बहुत महत्वपूर्ण है ताकि आपका वायरलेस नेटवर्क कमजोर न हो।

मुझे नहीं लगता कि मुझे आपको यह याद दिलाने की आवश्यकता है कि एक्सेस प्वाइंट के SSID को छिपाने से आपकी सुरक्षा नहीं होती है। मैक पते द्वारा पहुंच प्रतिबंधित करना प्रभावी नहीं है। इसलिए, केवल आधुनिक एन्क्रिप्शन विधियाँ और एक जटिल पासवर्ड।

एन्क्रिप्ट क्यों करें? मुझे कौन चाहिए? मेरे पास छुपने के लिए कुछ नहीं है

यह इतना डरावना नहीं है अगर वे क्रेडिट कार्ड से पिन कोड चुरा लेते हैं और उसमें से सारे पैसे निकाल लेते हैं। खासकर अगर कोई वाई-फाई का पासवर्ड जानकर इंटरनेट पर आपके खर्चे पर बैठेगा। और यह इतना डरावना नहीं है अगर वे आपकी तस्वीरों को कॉर्पोरेट पार्टियों से प्रकाशित करते हैं जहां आप भद्दे दिखते हैं। यह बहुत अधिक आक्रामक होता है जब हमलावर आपके कंप्यूटर में घुस जाते हैं और तस्वीरें हटा देते हैं कि आपने अपने बेटे को अस्पताल से कैसे ले लिया, कैसे उसने अपना पहला कदम उठाया और पहली कक्षा में गया। बैकअप एक अलग विषय है, निश्चित रूप से उन्हें करने की आवश्यकता है ... लेकिन आप समय के साथ अपनी प्रतिष्ठा बहाल कर सकते हैं, पैसा कमा सकते हैं, लेकिन जो तस्वीरें आपको प्रिय हैं वे अब नहीं हैं। मुझे लगता है कि हर किसी के पास कुछ ऐसा होता है जिसे वह खोना नहीं चाहता।
आपका राउटर निजी और सार्वजनिक के बीच एक बॉर्डर डिवाइस है, इसलिए इसकी सुरक्षा को पूरी तरह से सेट करें। इसके अलावा, यह इतना मुश्किल नहीं है।

एन्क्रिप्शन प्रौद्योगिकियां और एल्गोरिदम

मैं सिद्धांत छोड़ देता हूं। इससे कोई फर्क नहीं पड़ता कि यह कैसे काम करता है, मुख्य बात इसका उपयोग करने में सक्षम होना है।
वायरलेस सुरक्षा प्रौद्योगिकियां निम्नलिखित कालानुक्रमिक क्रम में विकसित हुई हैं: WEP, WPA, WPA2। एन्क्रिप्शन विधियाँ RC4, TKIP, AES भी विकसित हुई हैं।
सुरक्षा के लिहाज से आज सबसे अच्छा WPA2-AES का एक गुच्छा है। इस तरह आपको वाई-फाई सेट करने का प्रयास करना चाहिए। यह कुछ इस तरह दिखना चाहिए:

WPA2 को 16 मार्च 2006 से अनिवार्य कर दिया गया है। लेकिन कभी-कभी आप अभी भी ऐसे उपकरण पा सकते हैं जो इसका समर्थन नहीं करते हैं। विशेष रूप से, यदि आपके कंप्यूटर पर तीसरे सर्विस पैक के बिना Windows XP स्थापित है, तो WPA2 काम नहीं करेगा। इसलिए, संगतता कारणों से, राउटर पर आप WPA2-PSK -> AES + TKIP सेटिंग्स और अन्य मेनेजरीज पा सकते हैं।
लेकिन अगर आपका डिवाइस फ्लीट आधुनिक है, तो WPA2 (WPA2-PSK) -> AES को आज सबसे सुरक्षित विकल्प के रूप में उपयोग करना बेहतर है।

WPA (WPA2) और WPA-PSK (WPA2-PSK) में क्या अंतर है

WPA मानक उपयोगकर्ता प्रमाणीकरण तंत्र के आधार के रूप में एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) प्रदान करता है। प्रमाणीकरण के लिए एक अनिवार्य शर्त एक प्रमाण पत्र के उपयोगकर्ता द्वारा प्रस्तुति है (अन्यथा टिकट कहा जाता है) नेटवर्क तक पहुंचने के अपने अधिकार की पुष्टि करता है। इस अधिकार के लिए, उपयोगकर्ता को पंजीकृत उपयोगकर्ताओं के एक विशेष डेटाबेस के खिलाफ जाँच की जाती है। प्रमाणीकरण के बिना, उपयोगकर्ता के लिए नेटवर्किंग प्रतिबंधित होगी। पंजीकृत उपयोगकर्ताओं का डेटाबेस और बड़े नेटवर्क में सत्यापन प्रणाली आमतौर पर एक विशेष सर्वर (अक्सर RADIUS) पर स्थित होती है।
सरलीकृत पूर्व-साझा कुंजी (WPA-PSK, WPA2-PSK) आपको एकल पासवर्ड का उपयोग करने की अनुमति देता है जो सीधे राउटर में संग्रहीत होता है। एक ओर, सब कुछ सरल है, उपयोगकर्ता आधार बनाने और बनाए रखने की कोई आवश्यकता नहीं है, दूसरी ओर, हर कोई एक ही पासवर्ड के तहत लॉग इन करता है।
घर पर, WPA2-PSK, यानी WPA मानक का सरलीकृत मोड का उपयोग करना अधिक समीचीन है। वाई-फाई सुरक्षा इस सरलीकरण से ग्रस्त नहीं है।

वाई-फाई एक्सेस पासवर्ड

यहाँ सब कुछ सरल है। आपके वायरलेस एक्सेस प्वाइंट (राउटर) का पासवर्ड 8 वर्णों से अधिक का होना चाहिए और इसमें अलग-अलग अक्षरों, संख्याओं, विराम चिह्नों के अक्षर होने चाहिए। और वह आपके साथ किसी भी तरह से जुड़ा नहीं होना चाहिए। इसका मतलब है कि आप पासवर्ड के रूप में जन्मतिथि, अपना नाम, कार नंबर, फोन नंबर आदि का उपयोग नहीं कर सकते हैं।
चूंकि WPA2-AES हेड-ऑन को तोड़ना लगभग असंभव है (प्रयोगशाला में सिम्युलेटेड केवल कुछ मामले थे), WPA2 को क्रैक करने के मुख्य तरीके डिक्शनरी अटैक और ब्रूट-फोर्स (सभी पासवर्ड विकल्पों की अनुक्रमिक गणना) हैं। इसलिए, पासवर्ड जितना जटिल होगा, हमलावरों की संभावना उतनी ही कम होगी।

यूएसएसआर में, रेलवे स्टेशनों पर स्वचालित लॉकर का व्यापक रूप से उपयोग किया जाता था। लॉक के लिए कोड संयोजन के रूप में एक अक्षर और तीन नंबरों का उपयोग किया गया था। हालाँकि, कम ही लोग जानते हैं कि स्टोरेज सेल के पहले संस्करण में कोड संयोजन के रूप में 4 अंकों का उपयोग किया जाता था। क्या अंतर होगा? आखिरकार, कोड संयोजनों की संख्या समान है - 10,000 (दस हजार)। लेकिन जैसा कि अभ्यास से पता चला है (विशेषकर मॉस्को आपराधिक जांच विभाग), जब किसी व्यक्ति को स्टोरेज सेल में पासवर्ड के रूप में 4 अंकों के संयोजन का उपयोग करने के लिए कहा गया था, तो बहुत से लोगों ने अपने जन्म के वर्ष का उपयोग किया था (ताकि भूल न जाएं) . जिसका हमलावरों ने सफलतापूर्वक फायदा उठाया है। आखिरकार, देश की जनसंख्या के पूर्ण बहुमत के जन्म की तारीख में पहले दो अंक ज्ञात थे - 19। यह उस व्यक्ति की अनुमानित आयु निर्धारित करने के लिए बनी हुई है जिसने सामान में चेक किया था, और हम में से कोई भी ऐसा कर सकता है +/- 3 वर्षों की सटीकता, और शेष में हमें स्वचालित लॉकर के सेल में एक्सेस कोड का चयन करने के लिए 10 से कम संयोजन (अधिक सटीक, हमलावर) मिलते हैं ...

सबसे लोकप्रिय पासवर्ड

मानवीय आलस्य और गैरजिम्मेदारी उनके टोल लेती है। यहां सबसे लोकप्रिय पासवर्ड की सूची दी गई है:

  1. 123456
  2. Qwerty
  3. 111111
  4. 123123
  5. 1a2b3c
  6. जन्म की तारीख
  7. सेलफोन नंबर

पासवर्ड सुरक्षा नियम

  1. हर किसी का अपना। यानी राउटर का पासवर्ड आपके किसी दूसरे पासवर्ड से मेल नहीं खाना चाहिए। उदाहरण के लिए मेल से। यह नियम बना लें कि सभी खातों के अपने पासवर्ड होते हैं और वे सभी अलग-अलग होते हैं।
  2. ऐसे मजबूत पासवर्ड का इस्तेमाल करें जिनका अंदाजा नहीं लगाया जा सकता। उदाहरण के लिए: 2Rk7-kw8Q11vlOp0

वाई-फाई पासवर्ड का एक बड़ा प्लस है। इसे याद रखने की जरूरत नहीं है। इसे कागज के एक टुकड़े पर लिखा जा सकता है और राउटर के नीचे चिपकाया जा सकता है।

वाई-फाई अतिथि क्षेत्र

यदि आपका राउटर आपको अतिथि क्षेत्र व्यवस्थित करने की अनुमति देता है। तो अवश्य करें। स्वाभाविक रूप से इसे WPA2 और एक मजबूत पासवर्ड के साथ सुरक्षित रखना। और अब, जब दोस्त आपके घर आते हैं और इंटरनेट मांगते हैं, तो आपको उन्हें मुख्य पासवर्ड बताने की ज़रूरत नहीं है। इसके अलावा, राउटर में अतिथि क्षेत्र मुख्य नेटवर्क से अलग है। और आपके मेहमानों के डिवाइस में कोई भी समस्या आपके होम नेटवर्क को प्रभावित नहीं करेगी।

एंड्री प्लैटोनोव

एक सुरक्षित वायरलेस नेटवर्क बनाना: WPA-Enterprise, 802.1x EAP-TLS

वायरलेस नेटवर्क की असुरक्षा के बारे में सौ अच्छे लेख हैं। इसके अलावा, कई पूरी तरह से समान और बेकार हैं: वे कहते हैं कि WEP खराब है, मैक पते आसानी से धोखा दे जाते हैं, और निष्कर्ष में लिखा है: "केवल एक ही रास्ता है और मोक्ष है। WPA का उपयोग किया जाना चाहिए।" और बिंदु। इस सामग्री में ठीक वही है जो आप "डॉट" के बाद सुनना चाहते थे - एक अच्छी तरह से सुरक्षित वायरलेस नेटवर्क को व्यवस्थित करने के लिए एक व्यावहारिक मार्गदर्शिका।

सुरक्षित असुरक्षित वाई-फाई

आज यह स्पष्ट हो गया है कि सुरक्षा, विश्वसनीयता और संचालन की जटिलता से जुड़ी सभी समस्याओं के बावजूद, 802.11a / b / g परिवार के वायरलेस समाधान फिर भी कई कॉर्पोरेट, घरेलू और यहां तक ​​कि वाहक नेटवर्क के बुनियादी ढांचे का एक अभिन्न अंग बन गए हैं। यह आंशिक रूप से इसलिए है क्योंकि इनमें से अधिकतर समस्याएं अब वाई-फाई के साथ अतीत की बात हैं। वायरलेस नेटवर्क हर मामले में बहुत अधिक स्मार्ट और तेज हो गए हैं: क्यूओएस दिखाई दिया, स्मार्ट एंटेना (एमआईएमओ तकनीक), वास्तविक गति 40 एमबीपीएस तक पहुंच गई (उदाहरण के लिए, सुपरजी, एथेरोस से सुपरएजी प्रौद्योगिकियां)। इसके अलावा, वायरलेस नेटवर्क की सुरक्षा सुनिश्चित करने वाली प्रौद्योगिकियों के सेट में बड़े बदलाव हुए हैं। आइए इस बारे में अधिक विस्तार से बात करते हैं।

उन दिनों में जब वाई-फाई केवल अभिजात वर्ग के लिए था, वायरलेस नेटवर्क को सुरक्षित करने के लिए WEP एन्क्रिप्शन और मैक फिल्टर का उपयोग किया जाता था। यह सब जल्दी से अपर्याप्त हो गया, स्थिर एन्क्रिप्शन कुंजियों के कारण WEP को असुरक्षित के रूप में पहचाना गया और प्रमाणीकरण तंत्र की कमी के कारण, मैक फ़िल्टर ने भी अधिक सुरक्षा नहीं दी। एक नए IEEE 802.11i मानक का विकास शुरू हुआ, जिसे सभी आवश्यक सुरक्षा समस्याओं को हल करने के लिए डिज़ाइन किया गया था। 802.11i के आधे रास्ते में, सामान्य नाम WPA (वाई-फाई प्रोटेक्टेड एक्सेस) के तहत प्रौद्योगिकियों का एक सेट दिखाई दिया - अभी तक तैयार 802.11i मानक का हिस्सा नहीं है। WPA में उपयोगकर्ता प्रमाणीकरण के साधन, गतिशील WEP कुंजियों (TKIP/MIC) का उपयोग करके एन्क्रिप्शन शामिल हैं। फिर 802.11i अंत में समाप्त हो गया और WPA2 का जन्म हुआ। उपरोक्त सभी के लिए, मजबूत एईएस (उन्नत एन्क्रिप्शन स्टैंडर्ड) एन्क्रिप्शन के लिए समर्थन जोड़ा गया था, जो सीसीएमपी (सिफर ब्लॉक चेनिंग मैसेज ऑथेंटिकेशन कोड प्रोटोकॉल के साथ काउंटर) सुरक्षा प्रोटोकॉल के साथ मिलकर काम करता है - यह डब्ल्यूपीए में टीकेआईपी का एक अधिक उन्नत एनालॉग है। . WPA2 धीरे-धीरे एक्सेस पॉइंट्स के नए मॉडल में दिखाई देने लगा (उदाहरण के लिए, D-Link DWL-3200AP), लेकिन अभी तक यह काफी आकर्षक है। सभी WPA2-सक्षम उत्पाद WPA-सक्षम हार्डवेयर के साथ पिछड़े संगत हैं।

WPA और WPA2 दोनों में IEEE 802.1x मानक के आधार पर उन्नत वायरलेस नेटवर्क एक्सेस कंट्रोल शामिल है। 802.1x आर्किटेक्चर कई आवश्यक तार्किक तत्वों का उपयोग करता है:

  • ग्राहक। क्लाइंट सप्लिकेंट है, क्लाइंट कंप्यूटर पर एक प्रोग्राम जो प्रमाणीकरण प्रक्रिया का प्रबंधन करता है।
  • प्रमाणक। यह एक एक्सेस प्वाइंट है जो क्लाइंट और प्रमाणीकरण सर्वर के बीच मध्यस्थ के रूप में कार्य करता है। प्रमाणक एक वायर्ड स्विच भी हो सकता है, क्योंकि 802.1x का उपयोग विभिन्न नेटवर्क पर किया जाता है।
  • प्रमाणीकरण सर्वर एक RADIUS सर्वर है।

IEEE 802.1x विभिन्न प्रमाणीकरण विधियों और एल्गोरिदम के उपयोग की अनुमति देता है। यह ईएपी (एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल) प्रोटोकॉल के लिए संभव है, जिसमें विशेषताएँ एक विशेष प्रमाणीकरण विधि के अनुरूप "एम्बेडेड" होती हैं। इसलिए, 802.1x EAP की कई किस्में हैं: EAP-MD5, EAP-PEAP, EAP-LEAP, EAP-SIM, आदि। यह लेख डिजिटल प्रमाणपत्रों के आधार पर वायरलेस नेटवर्क में प्रमाणीकरण के कार्यान्वयन का वर्णन करेगा - 802.1x EAP- टीएलएस। इस पद्धति का उपयोग अक्सर कॉर्पोरेट वायरलेस नेटवर्क में किया जाता है और इसमें काफी उच्च स्तर की सुरक्षा होती है। इसके अलावा, EAP-TLS कभी-कभी वायरलेस प्रदाता नेटवर्क में प्राथमिक सुरक्षा विधियों में से एक होता है।

802.1x ईएपी-टीएलएस प्रमाणीकरण

ईएपी-टीएलएस एसएसएल v3.0 प्रोटोकॉल पर आधारित है, हालांकि, पारंपरिक एसएसएल प्रमाणीकरण (उदाहरण के लिए, एक सुरक्षित एचटीटीपी कनेक्शन - एचटीटीपीएस का आयोजन करते समय) के विपरीत, ईएपी-टीएलएस क्लाइंट और सर्वर को पारस्परिक रूप से प्रमाणित करता है। क्लाइंट (आवेदक) और RADIUS सर्वर को EAP-TLS प्रमाणीकरण पद्धति का समर्थन करना चाहिए; एक्सेस प्वाइंट को 802.1x/ईएपी प्रमाणीकरण का समर्थन करना चाहिए और यह जानने की जरूरत नहीं है कि किसी विशेष मामले में कौन सी प्रमाणीकरण विधि का उपयोग किया जाता है। नीचे दिया गया आंकड़ा ईएपी-टीएलएस का उपयोग कर वायरलेस नेटवर्क में प्रमाणीकरण प्रक्रिया दिखाता है।

यहां एक छोटे से गीतात्मक और सैद्धांतिक विषयांतर को पूरा करना उचित है, जो एक सुरक्षित वायरलेस नेटवर्क के आंतों में क्या निहित है, इसका एक मोटा विचार प्राप्त करने के लिए आवश्यक है। इसके बाद, ऊपर वर्णित अवधारणाओं का एक व्यावहारिक कार्यान्वयन प्रस्तावित किया जाएगा। फ्रीरेडियस पैकेज के साथ फ्रीबीएसडी 5.3 चलाने वाले कंप्यूटर को रेडियस सर्वर के रूप में इस्तेमाल किया जाएगा। ओपनएसएसएल पैकेज का इस्तेमाल पीकेआई (पब्लिक की इंफ्रास्ट्रक्चर) इंफ्रास्ट्रक्चर को व्यवस्थित करने के लिए किया जाएगा। संपूर्ण वायरलेस नेटवर्क सस्ते और विश्वसनीय डी-लिंक वायरलेस उपकरण पर आधारित होगा। यह माना जाता है कि Windows XP SP2 क्लाइंट मशीनों पर स्थापित है, क्योंकि इस ऑपरेटिंग सिस्टम में एक बिल्ट-इन सप्लिकेंट है, और हाल ही में एक Microsoft अद्यतन WPA2 के लिए समर्थन जोड़ता है।

ओपनएसएसएल और फ्रीरेडियस को स्थापित और कॉन्फ़िगर करना

यह माना जाता है कि फ्रीबीएसडी 5.3 सिस्टम में एक नेटवर्क कार्ड स्थापित है, पोर्ट संग्रह अपडेट किया गया है, मिडनाइट कमांडर मौजूद है, और कंप्यूटर स्वयं इंटरनेट से जुड़ा है। भविष्य में, हम मानेंगे कि वायरलेस नेटवर्क को कॉर्पोरेट नेटवर्क में 192.168.0.0/24 के मास्क के साथ तैनात किया गया है।

पहले, वायरलेस नेटवर्क स्थापित करने के बारे में कुछ शब्द, और फिर हम RADIUS सर्वर के साथ संचार करने के लिए D-Link DWL-2100AP को कॉन्फ़िगर करने का एक उदाहरण देंगे।

एक इंट्रा-ऑफिस वायरलेस नेटवर्क में आमतौर पर कई एक्सेस पॉइंट होते हैं (सभी कवरेज छोटे सेल में विभाजित होते हैं) जो एक वायर्ड स्विच से जुड़े होते हैं। अक्सर, WLAN बनाने के लिए, बंदरगाहों पर पावर ओवर ईथरनेट (802.3af) के लिए अंतर्निहित समर्थन वाले स्विच (उदाहरण के लिए, D-Link DES-1316K) का उपयोग किया जाता है। उनकी मदद से कार्यालय के चारों ओर बिखरे पहुंच बिंदुओं को बिजली की आपूर्ति करना सुविधाजनक है। आस-पास के बिंदुओं को श्रेणी के गैर-अतिव्यापी चैनलों के लिए ट्यून किया जाता है ताकि वे एक दूसरे के साथ हस्तक्षेप न करें। 2.4 गीगाहर्ट्ज बैंड में, जहां 802.11 बी/जी उपकरण संचालित होता है, 11 चैनलों वाले उपकरणों के लिए 3 गैर-अतिव्यापी चैनल उपलब्ध हैं, और 13 चैनलों वाले उपकरणों के लिए 4 गैर-अतिव्यापी चैनल उपलब्ध हैं (पहुंच बिंदु के वाइडबैंड सिग्नल पर कब्जा है) बैंड के 3 चैनल)। एक्सेस पॉइंट D-Link DWL-2100AP और DWL-2700AP को 13 में से किसी भी चैनल में कॉन्फ़िगर किया जा सकता है, इसके अलावा, आप एक फ्री चैनल के लिए ऑटोमैटिक सेटिंग को इनेबल कर सकते हैं। तो हम करेंगे।

यदि नेटवर्क में मोबाइल ग्राहक हैं जो पूरे कवरेज क्षेत्र में चलते हैं, तो आप सभी बिंदुओं को एक ही वायरलेस नेटवर्क नाम - एसएसआईडी के साथ सेट कर सकते हैं, तो ग्राहक स्वचालित रूप से एक नए बिंदु से जुड़ जाएगा यदि पिछले एक से कनेक्शन खो गया है। उसी समय, वह पुन: प्रमाणीकरण से गुजरेगा, जो कि याचक के आधार पर, कई सेकंड या उससे अधिक समय लेगा। इस प्रकार नेटवर्क के भीतर सबसे सरल गैर-बुद्धिमान रोमिंग कार्यान्वित की जाती है। एक अन्य विकल्प: यदि प्रत्येक बिंदु का अपना SSID है, तो आप वायरलेस कनेक्शन गुणों में कई वायरलेस नेटवर्क प्रोफाइल को कॉन्फ़िगर कर सकते हैं और वहां "किसी भी उपलब्ध नेटवर्क से कनेक्ट करें" विकल्प की जांच कर सकते हैं। इस प्रकार, यदि कनेक्शन खो जाता है, तो ग्राहक एक नए बिंदु से जुड़ जाएगा।

हम RADIUS के साथ बातचीत करने के लिए DWL-2100AP को कॉन्फ़िगर करते हैं।

  • हम एक्सेस प्वाइंट के वेब इंटरफेस पर जाते हैं (यह कैसे करना है यह बिंदु के निर्देशों में लिखा गया है), टूल / एडमिन / टैब पर तुरंत डिफ़ॉल्ट पासवर्ड बदलें।
  • होम / लैन टैब पर, हम क्लाइंट.कॉन्फ़ में निर्दिष्ट आईपी पते को एक्सेस प्वाइंट: 192.168.0.220 पर असाइन करते हैं।

  • होम/वायरलेस टैब पर, सब कुछ करें जैसा कि अंजीर में दिखाया गया है। 3; "त्रिज्या गुप्त" फ़ील्ड में, वह पासवर्ड निर्दिष्ट करें जो दिए गए बिंदु से संबंधित है client.conf (हमने "12345" निर्दिष्ट किया है)।

शेष पहुंच बिंदु उसी तरह कॉन्फ़िगर किए गए हैं, केवल उनके पास अलग-अलग आईपी पते, चैनल (यदि वे मैन्युअल रूप से सेट किए गए हैं), साथ ही साथ "रेडियस सीक्रेट" फ़ील्ड का मान होगा।

प्रमाणपत्र बनाएं

सबसे पहले, PKI क्या है, इसके बारे में कुछ सामान्य शब्द। यह एक तरह का इंफ्रास्ट्रक्चर है, जिसके हर विषय के पास अपनी पहचान साबित करने वाला एक यूनिक डिजिटल सर्टिफिकेट होता है; अन्य बातों के अलावा, डिजिटल प्रमाणपत्र में एक निजी कुंजी होती है। इसके साथ एन्कोड किए गए संदेशों को संबंधित सार्वजनिक कुंजी को जानकर डिक्रिप्ट किया जा सकता है। इसके विपरीत, सार्वजनिक कुंजी से एन्क्रिप्ट किए गए संदेशों को केवल निजी कुंजी से ही डिक्रिप्ट किया जा सकता है। प्रत्येक PKI विषय की एक सार्वजनिक और एक निजी कुंजी होती है।

पीकेआई विषय या तो एक उपयोगकर्ता कंप्यूटर या पीडीए, या नेटवर्क बुनियादी ढांचे का कोई अन्य तत्व हो सकता है - एक राउटर, एक वेब सर्वर, और यहां तक ​​कि एक रेडियस सर्वर, जो हमारे मामले में मामला है। इस पूरी प्रणाली के प्रमुख में मुख्य प्राधिकरण सीए (प्रमाण पत्र प्राधिकरण) है, यह माना जाता है कि हर कोई उस पर भरोसा करता है और हर कोई उसे जानता है - वह प्रमाण पत्र पर हस्ताक्षर करने में लगा हुआ है (प्रमाणित करता है कि प्रमाण पत्र का धारक वास्तव में वह है जो वह होने का दावा करता है ) प्रमाणपत्रों के लिए अनुरोध प्राप्त करने और उन्हें जारी करने के लिए उन्हें विशेष सेवाओं द्वारा सहायता प्रदान की जाती है; सभी जारी और रद्द किए गए प्रमाणपत्रों की संख्या एक विशेष रजिस्टर में संग्रहीत की जाती है। वास्तव में, यह सब प्रतीत होता है कि बड़ा खेत एक कंप्यूटर पर फिट बैठता है, और एक व्यक्ति इसे आसानी से प्रबंधित कर सकता है।

प्रमाणपत्र बनाने के लिए, हम उन लिपियों का उपयोग करेंगे जो FreeRADIUS के साथ आती हैं।

  • आरंभ करने के लिए, आइए अपना स्वयं का सीए बनाएं - इसके लिए एक डिजिटल हस्ताक्षर उत्पन्न करना आवश्यक होगा, जो उन्हें जारी किए गए सभी प्रमाणपत्रों के साथ-साथ सार्वजनिक कुंजी पर हस्ताक्षर करेगा।
  • फिर हम एक सर्वर सर्टिफिकेट बनाएंगे, इसे RADIUS पर सेट करेंगे।
  • अंत में, क्लाइंट कंप्यूटर पर इंस्टॉलेशन के लिए सर्टिफिकेट जेनरेट करते हैं।

/usr/local/etc/raddb/CA निर्देशिका बनाएं, वहां /usr/ports/net/freeradius/work/freeradius-1.0.2/scripts/ फ़ोल्डर से CA.all फ़ाइल और xpextensions फ़ाइल की प्रतिलिपि बनाएँ। CA.all एक इंटरेक्टिव स्क्रिप्ट है जो CA, क्लाइंट और सर्वर सर्टिफिकेट बनाती है। Xpextensions Microsoft की विशेष "विस्तारित कुंजी उपयोग" कुंजियों वाली एक फ़ाइल है, जो कि विंडोज सिस्टम के साथ काम करने के लिए EAP-TLS के लिए आवश्यक है।

CA.all फ़ाइल खोलें:

  • पंक्ति 1 में, पथ को ठीक करें - यह इस तरह दिखना चाहिए:

एसएसएल =/usr/स्थानीय/खुलता है

  • लाइन 32 पर हम पथ को ठीक करते हैं - यह इस तरह दिखना चाहिए:

गूंज "newreq.pem" | /usr/स्थानीय/openssl/ssl/misc/CA.pl -newca

CA.all को CA_users.all फ़ाइल में कॉपी करें। फिर हम अंतिम को खोलते हैं और टेक्स्ट को 48 से 64 तक की पंक्तियों में छोड़ देते हैं, शेष पंक्तियों को हटा देते हैं - बाकी CA.all अनुभाग है, जिसमें क्लाइंट प्रमाणपत्र उत्पन्न होते हैं। इसका कई बार पुन: उपयोग किया जाएगा, इसलिए इसे एक अलग स्क्रिप्ट में अलग करना सुविधाजनक है। CA.all खोलें, इसमें से 48 से 64 तक की पंक्तियों को हटा दें - वह सब कुछ जो हमने एक अलग स्क्रिप्ट में चुना है और इसे सेव करें।

नोट: CA.all और CA_users.all फाइलों में "जो कुछ भी" गुप्त पासफ़्रेज़ होता है, जिसका उपयोग प्रमाणपत्र जारी करते समय और उन्हें रद्द करते समय एक अतिरिक्त सुरक्षा उपाय के रूप में किया जाता है। एक व्यक्ति जो इस वाक्यांश को नहीं जानता है वह प्रमाण पत्र पर हस्ताक्षर या रद्द करने में सक्षम नहीं होगा। सिद्धांत रूप में, सीए ऑपरेटर को छोड़कर किसी और को इसकी आवश्यकता नहीं होगी। सुरक्षा बढ़ाने के लिए, आपको CA.all और CA_users.all स्क्रिप्ट के सभी शब्दों को आपके द्वारा आविष्कार किए गए पासवर्ड से बदलने की आवश्यकता है। इसे eap.conf में "private_key_password = जो कुछ भी" लाइन में दर्ज करना होगा। इसके अलावा, मुझे लगता है कि हमने पासवर्ड "जो कुछ भी" हर जगह अपरिवर्तित छोड़ दिया है। क्लाइंट और सर्वर प्रमाणपत्र बनाते समय, साथ ही उन्हें रद्द करते समय हम इसका परिचय देंगे।

सीए और सर्वर सर्टिफिकेट बनाएं

हम CA.all शुरू करते हैं। पहली चीज जो यह अंतःक्रियात्मक रूप से उत्पन्न करता है वह है CA रूट प्रमाणपत्र (cacert.pem), सार्वजनिक निजी कुंजी जोड़ी (केकी.पेम), PKCS#12 प्रारूप में रूट प्रमाणपत्र सार्वजनिक कुंजी (root.der), फिर सर्वर प्रमाणपत्र (cert_srv) .pem ) जिसे हम RADIUS पर सेट करेंगे। सभी सूचीबद्ध फ़ाइलें (और यहां तक ​​कि कुछ सूचीबद्ध नहीं) सीए फ़ोल्डर में दिखाई देंगी।

एक CA बनाएँ (इसे "व्यवस्थापक" कहा जाएगा):

संगठनात्मक इकाई का नाम (जैसे, अनुभाग): megacompany.central.office

सामान्य नाम (जैसे, आपका नाम) :व्यवस्थापक

RADIUS के लिए एक प्रमाणपत्र बनाएँ:

संगठन का नाम (उदाहरण के लिए, कंपनी): मेगाकंपनी कंपनी। लिमिटेड

संगठनात्मक इकाई का नाम (जैसे, अनुभाग): RADIUS

सामान्य नाम (जैसे, आपका नाम): RADIUS

मेल पता : [ईमेल संरक्षित]

/raddb/CA/cert_srv.pem और /raddb/CA/demoCA/cacert.pem फ़ाइलों को /raddb/certs फ़ोल्डर में कॉपी करें - RADIUS सर्वर पर प्रमाणपत्र स्थापित करें।

क्लाइंट प्रमाणपत्र बनाना

क्लाइंट प्रमाणपत्र जेनरेट करने के लिए हम अपनी CA_users.all स्क्रिप्ट का उपयोग करते हैं। उदाहरण के लिए, आइए उपयोगकर्ता उपयोगकर्ता1 के लिए एक प्रमाणपत्र बनाएं:

  • CA_users.all खोलें, इसमें सभी शब्द cert-clt.* को user1 से बदलें। * (फ़ाइल नाम से अंतर करने के लिए यह आवश्यक है कि कौन सा प्रमाणपत्र किस उपयोगकर्ता के लिए है, अन्यथा समान फ़ाइल नाम वाला प्रमाणपत्र बनाया जाएगा ( cert-clt.*), लेकिन हम user1, user2,3,4,5) के लिए एक साथ कई सर्टिफिकेट बनाएंगे। वैकल्पिक रूप से, आप प्रमाणपत्र वाली फ़ाइलों के नामों का उपयोग कर सकते हैं, उदाहरण के लिए, सर्गेईपेट्रोव, इवानइवानोव, आदि।
  • पासवर्ड - "जो कुछ भी" लाइन 3, 4 में एक वास्तविक के साथ बदल दिया गया है, जैसा कि लिस्टिंग में दिखाया गया है:

CA_users.all फ़ाइल

1| opensl req -new -keyout newreq.pem -out newreq.pem -days 730 -पासिन पास: जो भी -पासआउट पास: जो भी हो

2| opensl ca -policy policy_anything -out newcert.pem -passin पास: जो भी -कुंजी जो भी हो -एक्सटेंशन xpclient_ext \

Extfile xpextensions -infiles newreq.pem

3| opensl pkcs12 -export -in newcert.pem -inkey newreq.pem -out user1.p12 -clcerts -passin पास: जो भी -पासआउट पास: user1_password

4| opensl pkcs12 -in user1.p12 -out user1.pem -passin pass:user1_password -passout pass:user1_password

5| opensl x509 -सूचना पीईएम -आउटफॉर्म डीईआर -इन यूजर1.पीईएम -आउट यूजर1.डर

उदाहरण के लिए, "user1_password" दर्ज करें - यह पासवर्ड उपयोगकर्ता के कंप्यूटर पर प्रमाणपत्र स्थापित करते समय पूछा जाएगा, इसे याद रखना चाहिए। जैसा कि मैंने कहा, यह प्रमाण पत्र जारी करने से संबंधित कार्यों के लिए प्रमाणीकरण का एक अतिरिक्त साधन है।

  • हम स्क्रिप्ट को सहेजते हैं और चलाते हैं, हमें तीन फाइलें मिलती हैं user1.der, user1.pem, user1.p12 - बाद वाला विंडोज क्लाइंट पर इंस्टॉलेशन के लिए PKCS # 12 फॉर्मेट में एक सर्टिफिकेट है।

संशोधित CA_users.all चलाएँ। User1 के लिए एक प्रमाणपत्र बनाएं:

देश का नाम (2 अक्षर कोड):RU

राज्य या प्रांत का नाम (पूरा नाम): मास्को

इलाके का नाम (उदाहरण के लिए, शहर): मास्को

संगठन का नाम (उदाहरण के लिए, कंपनी): मेगाकंपनी कंपनी। लिमिटेड

सामान्य नाम (जैसे, आपका नाम): एंड्री इवानोव

मेल पता : [ईमेल संरक्षित]

कृपया निम्नलिखित "अतिरिक्त" विशेषताएं दर्ज करें

आपके प्रमाणपत्र अनुरोध के साथ भेजा जाना है

एक चुनौती पासवर्ड: जो कुछ भी

एक वैकल्पिक कंपनी का नाम: (एंटर दबाएं)

अब हम उपयोगकर्ता user2 के लिए एक पासवर्ड जनरेट करते हैं:

  • CA_users.all खोलें, user1.* को user2 से बदलें।*
  • हम पासवर्ड "user1_password" को "user2_password" से बदल देते हैं (इसे याद रखना न भूलें ताकि आप बाद में प्रमाणपत्र स्थापित कर सकें)।
  • हम स्क्रिप्ट को सहेजते हैं और चलाते हैं - हमें user2.p12 फ़ाइल मिलती है।

User2 के लिए एक प्रमाणपत्र बनाएं:

देश का नाम (2 अक्षर कोड):RU

राज्य या प्रांत का नाम (पूरा नाम): मास्को

इलाके का नाम (उदाहरण के लिए, शहर): मास्को

संगठन का नाम (उदाहरण के लिए, कंपनी): मेगाकंपनी कंपनी। लिमिटेड

संगठनात्मक इकाई का नाम (जैसे, अनुभाग): आईटी विभाग

सामान्य नाम (जैसे, आपका नाम): मिखाइल इवानोव

मेल पता : [ईमेल संरक्षित]

कृपया निम्नलिखित "अतिरिक्त" विशेषताएं दर्ज करें

आपके प्रमाणपत्र अनुरोध के साथ भेजा जाना है

एक चुनौती पासवर्ड: जो कुछ भी

एक वैकल्पिक कंपनी का नाम:

हम प्रत्येक प्रमाणपत्र को एक अलग फ़्लॉपी डिस्क पर सहेजते हैं, उस पर स्थापना के लिए पासवर्ड ("userX_password") लिखते हैं, उसी फ़्लॉपी डिस्क पर सार्वजनिक कुंजी root.der लिखते हैं (यह सभी के लिए समान है) और इसे उपयोगकर्ता को जारी करते हैं। उपयोगकर्ता अपने कंप्यूटर पर प्रमाणपत्र स्थापित करता है (उस पर और बाद में) और फ़्लॉपी डिस्क को तिजोरी में रखता है।

क्लाइंट कंप्यूटर पर प्रमाणपत्र स्थापित करना

तो उपयोगकर्ता (मान लीजिए जिसे हमने उपयोगकर्ता 1 नाम दिया है) को एक फ्लॉपी डिस्क मिली जिसमें दो फाइलें root.der और user1.p12 हैं। पासवर्ड "user1_password" भी डिस्केट पर लिखा होता है।

आइए root.der installing इंस्टॉल करके शुरू करें

  • root.der फ़ाइल पर डबल-क्लिक करें;
  • "प्रमाणपत्र स्थापित करें" पर क्लिक करें;
  • अगला पर क्लिक करें";
  • "सभी प्रमाणपत्रों को निम्न स्टोर में रखें" विकल्प का चयन करें, "ब्राउज़ करें" पर क्लिक करें (चित्र 4);

  • "विश्वसनीय रूट प्रमाणन प्राधिकरण" चुनें, "ओके" पर क्लिक करें (चित्र 5);

  • "अगला" पर क्लिक करें, फिर "समाप्त करें";
  • एक सुरक्षा चेतावनी जारी की जाती है: "यह सत्यापित करने में असमर्थ है कि प्रमाणपत्र" प्रशासक .... का है। यह प्रमाणपत्र स्थापित करें? "हां" पर क्लिक करें;
  • संदेश "आयात सफलतापूर्वक पूरा हुआ।" प्रदर्शित होता है, दो बार "ओके" पर क्लिक करें।

उपयोगकर्ता प्रमाणपत्र user1.p12 स्थापित करें।

  • User1.p12 फ़ाइल पर डबल-क्लिक करें, "अगला" दो बार क्लिक करें।

  • यहां आपको वह पासवर्ड दर्ज करना होगा जिसे हमने उपयोगकर्ता 1 प्रमाणपत्र के लिए सेट किया है। हमारे उदाहरण में, यह "user1_pass-word" है (ठीक है, या आप जो भी लेकर आए हैं), यह सशर्त रूप से एक फ्लॉपी डिस्क पर एक प्रमाणपत्र के साथ लिखा जाता है। इसे दर्ज करें और "अगला" पर क्लिक करें।
  • "अगला" पर क्लिक करें, फिर "समाप्त करें" - संदेश "आयात सफलतापूर्वक पूरा हुआ" प्रदर्शित होता है, "ओके" पर क्लिक करें।

नोट: हमारे द्वारा इंस्टॉल किए गए सभी प्रमाणपत्रों को "प्रमाणपत्र -> वर्तमान उपयोगकर्ता (व्यक्तिगत -> प्रमाणपत्र)" स्नैप-इन का उपयोग करके एमएमसी के माध्यम से देखा जा सकता है।

D-Link DWL-G650 (DWL-G520/DWL-G120) वायरलेस एडेप्टर और सप्लिकेंट सेट करना

D-Link DWL-G650 एक कार्डबस अडैप्टर है, DWL-G520 एक PCI अडैप्टर है, और DWL-G120 एक USB अडैप्टर है। वे बिल्कुल उसी तरह स्थापित हैं। एक उदाहरण के रूप में DWL-G650 का उपयोग करने की प्रक्रिया पर विचार करें।

  • हम एडॉप्टर को बॉक्स से बाहर निकालते हैं, इसे एक तरफ रख देते हैं; किट के साथ आने वाली डिस्क से ड्राइवर स्थापित करें। ड्राइवर को स्थापित करने के बाद, हम एडॉप्टर को स्टार्टअप से कॉन्फ़िगर करने के लिए मूल उपयोगिता को हटा देते हैं, क्योंकि हम इस उद्देश्य के लिए विंडोज एक्सपी में निर्मित वायरलेस उपकरण कॉन्फ़िगरेशन सेवा का उपयोग करेंगे। हम एडॉप्टर को कंप्यूटर में डालते हैं।
  • हमने क्रॉस-आउट वायरलेस कनेक्शन आइकन (सिस्टम ट्रे में) पर एक बार बायाँ-क्लिक किया, फिर "उन्नत सेटिंग्स बदलें" आइटम (चित्र 7) का चयन करें।

  • "वायरलेस नेटवर्क" टैब चुनें, वहां हमारे वायरलेस नेटवर्क (megacompany_DWL-2100AP) का चयन करें, "गुण" (चित्र 8) पर जाएं।

  • "कनेक्शन" टैब पर, "डेटा एन्क्रिप्शन" ड्रॉप-डाउन मेनू में, टीकेआईपी प्रोटोकॉल का चयन करें। हम "प्रमाणीकरण" टैब पर जाते हैं (चित्र 9)।

  • यहां हम सब कुछ अपरिवर्तित छोड़ देते हैं, ईएपी (छवि 10) के "गुण" पर जाते हैं।

  • चित्र में दिखाए अनुसार स्विच सेट करें। 11, "विश्वसनीय रूट प्रमाणन प्राधिकरण" विंडो में, हमारे सीए का चयन करें - इसे प्रशासक कहा जाएगा (यदि सब कुछ ठीक उसी तरह किया जाता है जैसा कि "प्रमाण पत्र बनाना" अनुभाग में वर्णित है)।

  • बस मामले में, "प्रमाणपत्र देखें" पर क्लिक करें और अध्ययन करें कि प्रमाणपत्र प्रदाता कौन है। हम सुनिश्चित करते हैं कि यह हमारा कॉर्पोरेट सीए "प्रशासक" है, जिसे हमने बनाया है (चित्र 12)।

  • "ओके" पर क्लिक करें, यह नेटवर्क कार्ड और सप्लिकेंट के कॉन्फ़िगरेशन को पूरा करता है।

हमारे नेटवर्क में WPA-Enterprise के संचालन की जाँच करना

अब लंबे समय से प्रतीक्षित सभी सेटिंग्स की जांच करने का समय आ गया है। हम "radiusd -X" कमांड के साथ डिबग मोड में FreeRADIUS शुरू करते हैं और स्क्रीन पर देखते हैं:

त्रिज्या# त्रिज्या -X

प्रारंभ - कॉन्फ़िगरेशन फ़ाइलें पढ़ना ...

reread_config: त्रिज्या पढ़ना.conf

अंत में पंक्तियाँ हैं:

प्रमाणीकरण पर सुनना 192.168.0.222:1812

प्रमाणीकरण पर सुनना 192.168.0.222:1813

प्रमाणीकरण पर सुनना 192.168.0.222:1814

अनुरोधों को संसाधित करने के लिए तैयार।

ठीक है, या सबसे खराब स्थिति में, लिखा है कि FreeRADIUS क्यों शुरू नहीं हुआ - ऐसा होने पर निराशा न करें। आपको त्रुटि संदेश का सावधानीपूर्वक अध्ययन करने और सभी सेटिंग्स की जांच करने की आवश्यकता है।

हम वायरलेस नेटवर्क कनेक्शन आइकन पर क्लिक करते हैं, फिर वायरलेस नेटवर्क पर "mega-company_DWL-2100AP" नाम से। फिर हम अपनी नजर उस मॉनीटर की ओर ले जाते हैं जिस पर रेडियस चल रहा है और सफल प्रमाणीकरण प्रक्रिया प्रदर्शित होती है (हम संपूर्ण सर्वर आउटपुट नहीं दिखाएंगे, क्योंकि यह काफी बड़ा है, हम केवल प्रारंभिक और अंतिम लाइनें देंगे)।

आउटपुट प्रारंभ:

rad_recv: होस्ट से एक्सेस-अनुरोध पैकेट 192.168.0.220:1044, आईडी = 0, लंबाई = 224

संदेश-प्रमाणक = 0x

सेवा-प्रकार = फ़्रेमयुक्त-उपयोगकर्ता

उपयोगकर्ता नाम = "एंड्रे इवानोव"

फ़्रेमयुक्त एमटीयू = 1488

कॉलेड-स्टेशन-आईडी = "00-11-95-8E-BD-30:megacompany_DWL-2100AP"

कॉलिंग-स्टेशन-आईडी = "00-0D-88-88-D5-46"

NAS-पहचानकर्ता = "डी-लिंक एक्सेस प्वाइंट"

आउटपुट अंत:

उपयोगकर्ता नाम = "एंड्रे इवानोव"

समाप्त अनुरोध 4

अगले अनुरोध पर जा रहे हैं

6 सेकंड में जागना...

संपूर्ण अनुरोध सूची चलना ---

टाइमस्टैम्प 4294d303 के साथ अनुरोध 0 आईडी 0 की सफाई

टाइमस्टैम्प 4294d303 के साथ अनुरोध 1 आईडी 1 की सफाई

टाइमस्टैम्प 4294d303 के साथ अनुरोध 2 आईडी 2 को साफ करना

टाइमस्टैम्प 4294d303 के साथ अनुरोध 3 आईडी 3 की सफाई

टाइमस्टैम्प 4294d303 के साथ अनुरोध 4 आईडी 4 की सफाई

कुछ भी नहीं करना। जब तक हम एक अनुरोध नहीं देखते तब तक सो रहे हैं।

प्रमाणीकरण सफल रहा, कंप्यूटर डीएचसीपी सर्वर से एक आईपी पता प्राप्त करता है और अब वायरलेस नेटवर्क पर काम कर सकता है। वैसे, यदि कंप्यूटर पर कई क्लाइंट प्रमाणपत्र स्थापित हैं (ऐसा भी होता है), तो याची यह चुनने की पेशकश करेगा कि विशिष्ट प्रमाणीकरण के लिए किसका उपयोग करना है।

प्रमाणपत्र निरस्तीकरण

ऐसा लगता है कि सब कुछ पहले से ही स्पष्ट है - एक सुरक्षित वायरलेस नेटवर्क पहले ही बनाया जा चुका है, लेकिन वास्तव में एक और महत्वपूर्ण पहलू है जिस पर अब हम विचार करेंगे। मान लीजिए कि हमें किसी एक कंप्यूटर (उदाहरण के लिए, कर्मचारियों में से एक का निजी लैपटॉप) तक वायरलेस नेटवर्क तक पहुंच से इनकार करने की आवश्यकता है, जिस पर हमने पहले एक प्रमाणपत्र स्थापित किया था। कारण सबसे सामान्य हो सकते हैं - किसी कर्मचारी की बर्खास्तगी, कमी, आदि। इस समस्या को हल करने के लिए, आपको रजिस्ट्री (/usr/local/etc/raddb/CA/demoCA/index.txt) में चिह्नित करना होगा, जो स्टोर करता है सभी हस्ताक्षरित प्रमाणपत्रों की एक सूची, उस उपयोगकर्ता का प्रमाणपत्र जिसे हम रद्द किए जाने के रूप में नेटवर्क तक पहुंच से इनकार करना चाहते हैं। उसके बाद, आपको एक प्रमाणपत्र निरस्तीकरण सूची (सीआरएल - प्रमाणपत्र निरस्तीकरण सूची) बनाने (या अद्यतन, यदि यह पहले से मौजूद है) बनाने की आवश्यकता है। और फिर RADIUS को इस तरह से कॉन्फ़िगर करें कि, उपयोगकर्ताओं को प्रमाणित करते समय, यह इस सूची तक पहुँचता है और जाँचता है कि प्रस्तुत क्लाइंट प्रमाणपत्र इसमें शामिल है या नहीं।

अपने पिछले प्रयोगों में, हमने उपयोगकर्ता1 (एंड्रे इवानोव) और उपयोगकर्ता2 (मिखाइल इवानोव) के लिए दो प्रमाणपत्र बनाए। उदाहरण के लिए, आइए बाद वाले तक वायरलेस नेटवर्क तक पहुंच से इनकार करें। आइए निम्नलिखित तीन चरणों को करें।

स्टेप 1

हम रजिस्ट्री में user2 प्रमाणपत्र को निरस्त के रूप में चिह्नित करते हैं: जबकि /usr/local/etc/raddb/CA में, हम आदेश जारी करते हैं:

त्रिज्या# Opensl ca -revoke user2.pem

943: त्रुटि: 0E06D06C: कॉन्फ़िगरेशन फ़ाइल रूटीन: NCONF_get_string: कोई मान नहीं:

प्रमाणपत्र रद्द करना D734AD0E8047BD8F।

ओपनएसएसएल कसम खाता है, लेकिन हमें जो चाहिए वह करता है। आदेश के निष्पादन के दौरान, आपको एक गुप्त पासफ़्रेज़ ("जो कुछ भी") दर्ज करना होगा। साथ ही, प्रमाणपत्र को /raddb/CA/demoCA/index.txt में निरस्त के रूप में चिह्नित किया जाएगा, जिसे हम इस फ़ाइल को देखकर सत्यापित कर सकते हैं। निरस्त प्रमाण पत्र के अनुरूप प्रविष्टि के सामने "R" अक्षर है।

चरण दो

एक निरसन सूची (सीआरएल) बनाएं। यदि यह पहले से मौजूद है, तो इसे अपडेट किया जाएगा। /usr/local/etc/raddb/CA में होने के कारण, हम कमांड जारी करते हैं:

त्रिज्या# Opensl ca -gencrl -out ca.crl

/etc/ssl/openssl.cnf . से विन्यास का उपयोग करना

963: त्रुटि: 0E06D06C: कॉन्फ़िगरेशन फ़ाइल रूटीन: NCONF_get_string: कोई मान नहीं:

/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/conf/conf_lib.c:

329:समूह=CA_डिफ़ॉल्ट नाम=अद्वितीय_विषय

./demoCA/private/cakey.pem के लिए पास वाक्यांश दर्ज करें:

डीबग: Unique_subject = "हाँ"

फिर से, कमांड के निष्पादन के दौरान, आपको गुप्त पासवर्ड "जो भी हो" दर्ज करना होगा। परिणामस्वरूप, ca.crl फ़ाइल /raddb/CA/ निर्देशिका में प्रकट होती है - यह निरसन सूची है। अंदर, यह एन्क्रिप्शन जैसा दिखता है, आप इसे इस तरह देख सकते हैं:

त्रिज्या# ओपनएसएल सीआरएल -इन सीए.सीआरएल -टेक्स्ट --noout

प्रमाणपत्र निरस्तीकरण सूची (सीआरएल):

संस्करण 1 (0x0)

जारीकर्ता: /सी=आरयू/एसटी=मॉस्को/एल=मॉस्को/ओ=मेगाकंपनी कंपनी Ltd./OU=megacompany.central.office/CN=Administrator/ [ईमेल संरक्षित]

अंतिम अद्यतन: 27 मई 23:33:19 2005 जीएमटी

अगला अपडेट: जून 26 23:33:19 2005 जीएमटी

निरस्त प्रमाण पत्र:

सीरियल नंबर: D734AD0E8047BD8D

निरसन दिनांक: 27 मई 23:13:16 2005 जीएमटी

सिग्नेचर एल्गोरिथम: md5WithRSAencryption

D4:22:d6:a3:b7:70:0e:77:cd:d0:e3:73:c6:56:a7:9d:b2:d5:

0a:e1:23:ac:29:5f:52:b0:69:c8:88:2f:98:1c:d6:be:23:b1:

B9:ea:5a:a7:9b:fe:d3:f7:2e:a9:a8:bc:32:d5:e9:64:06:c4:

91:53:37:97:fa:32:3e:df:1a:5b:e9:fd:95:e0:0d:35:a7:ac:

11:c2:fe:32:4e:1b:29:c2:1b:21:f8:99:cd:4b:9f:f5:8a:71:

B8:c9:02:df:50:e6:c1:ef:6b:e4:dc:f7:68:da:ce:8e:1d:60:

69:48:विज्ञापन:

हम इसमें सीरियल नंबर D734AD0E8047BD8D (उर्फ यूजर 2 उर्फ ​​मिखाइल इवानोव) के साथ एक निरस्त प्रमाणपत्र देखते हैं।

ध्यान दें कि सीआरएल की एक महत्वपूर्ण संपत्ति इसकी समाप्ति तिथि है। इसे इसकी समाप्ति तिथि (अपडेट: 26 जून 23:33:19 2005 जीएमटी) से बाद में अपडेट नहीं किया जाना चाहिए। CRL वैधता अवधि को Opensl.cnf फ़ाइल में सेट किया जा सकता है (हमारे पास default_crl_days = 30 था)।

चरण 3

निरसन सूची को FreeRADIUS से जोड़ना:

  • फ़ाइल /raddb/CA/ca.crl को /raddb/certs/ में कॉपी करें (पुराने ca.crl पर, यदि यह वहां मौजूद है);
  • /raddb/certs/ पर जाएं और ca.crl को cacert.pem फ़ाइल में पेस्ट करें:

बिल्ली cacert.pem ca.crl > ca.pem

  • TLS फ़ाइल के अनुभाग में छोटे परिवर्तन करें /raddb/eap.conf

# यहां हमने cacert.pem को ca.pem में बदल दिया है

CA_file = $(raddbdir)/certs/ca.pem

CA_path = $(raddbdir)/सर्ट #इस लाइन को जोड़ें

check_crl = हाँ # और यह पंक्ति

आइए नेटवर्क पर user2 प्रमाणपत्र के साथ कंप्यूटर को प्रमाणित करने का प्रयास करें। प्रमाणीकरण पास नहीं होता है, और उपयोगकर्ता 1 स्वतंत्र रूप से वायरलेस नेटवर्क में प्रवेश करता है, जिसे साबित करना आवश्यक था।

अब एक सुरक्षित वायरलेस नेटवर्क को निर्मित माना जा सकता है।

सक्रिय रूप से इंटरनेट का उपयोग करने वाले लोगों की संख्या तेजी से बढ़ रही है: कॉर्पोरेट उद्देश्यों और प्रशासन के लिए काम पर, घर पर, सार्वजनिक स्थानों पर। वाई-फाई नेटवर्क और उपकरण जो आपको इंटरनेट का स्वतंत्र रूप से उपयोग करने की अनुमति देते हैं, व्यापक हो रहे हैं।

वाई-फाई नेटवर्क एक पासवर्ड के रूप में सुरक्षित है, जिसे जाने बिना सार्वजनिक नेटवर्क (कैफे, रेस्तरां, शॉपिंग सेंटर, सड़कों पर पहुंच बिंदु) को छोड़कर किसी विशिष्ट नेटवर्क से जुड़ना लगभग असंभव होगा। "व्यावहारिक रूप से" को शाब्दिक रूप से नहीं लिया जाना चाहिए: ऐसे पर्याप्त शिल्पकार हैं जो नेटवर्क को "खोलने" में सक्षम हैं और न केवल राउटर संसाधन तक पहुंच प्राप्त करते हैं, बल्कि किसी विशेष नेटवर्क के भीतर प्रसारित डेटा तक भी पहुंच प्राप्त करते हैं।

लेकिन इस इंट्रोडक्शन में हमने वाई-फाई से कनेक्ट होने की बात की- प्रमाणीकरणउपयोगकर्ता (क्लाइंट) जब क्लाइंट डिवाइस और एक्सेस प्वाइंट एक दूसरे को खोजते हैं और पुष्टि करते हैं कि वे एक दूसरे के साथ संवाद कर सकते हैं।

प्रमाणीकरण विकल्प:

  • खुला हुआ- एक खुला नेटवर्क जिसमें सभी जुड़े हुए उपकरण एक ही बार में अधिकृत होते हैं
  • साझा- कनेक्टेड डिवाइस की प्रामाणिकता को एक कुंजी/पासवर्ड से सत्यापित किया जाना चाहिए
  • ईएपी- कनेक्टेड डिवाइस की प्रामाणिकता को बाहरी सर्वर द्वारा ईएपी प्रोटोकॉल के माध्यम से सत्यापित किया जाना चाहिए

राउटर एन्क्रिप्शन: तरीके और उनकी विशेषताएं

कूटलेखन- यह एक स्क्रैम्बलिंग एल्गोरिथम (हाथापाई - एन्क्रिप्ट, मिक्स) प्रेषित डेटा है, एक एन्क्रिप्शन कुंजी को बदलें और उत्पन्न करें

वाईफाई उपकरण के लिए विभिन्न प्रकार के एन्क्रिप्शन विकसित किए गए हैं, जिससे नेटवर्क को हैकिंग से और सार्वजनिक पहुंच से डेटा की रक्षा करना संभव हो गया है।

आज तक, कई एन्क्रिप्शन विकल्प हैं। आइए उनमें से प्रत्येक पर अधिक विस्तार से विचार करें।

निम्नलिखित प्रकार प्रतिष्ठित हैं और सबसे आम हैं:

  • खुला हुआ;
  • डब्ल्यूपीए, डब्ल्यूपीए2;

पहले प्रकार, जिसे केवल ओपन के रूप में संदर्भित किया जाता है, में नाम में संज्ञान के लिए आवश्यक सभी जानकारी होती है। यह मोड आपको डेटा एन्क्रिप्ट करने या नेटवर्क उपकरण की सुरक्षा करने की अनुमति नहीं देगा, क्योंकि एक्सेस प्वाइंट स्थायी रूप से खुला रहेगा और सभी उपकरणों के लिए उपलब्ध होगा जिसके द्वारा यह पता लगाया जाएगा कि क्या इस प्रकार का चयन किया गया है। इस प्रकार के "एन्क्रिप्शन" के नुकसान और कमजोरियां स्पष्ट हैं।

सिर्फ इसलिए कि एक नेटवर्क खुला है इसका मतलब यह नहीं है कि कोई भी इसका इस्तेमाल कर सकता है। ऐसे नेटवर्क का उपयोग करने और उस पर डेटा संचारित करने के लिए, आपको उपयोग की जाने वाली एन्क्रिप्शन विधि से मेल खाना चाहिए। और इस तरह के नेटवर्क का उपयोग करने के लिए एक और शर्त एक मैक फिल्टर की अनुपस्थिति है जो उपयोगकर्ताओं के मैक पते को यह पहचानने के लिए निर्धारित करती है कि कौन से डिवाइस प्रतिबंधित हैं या इस नेटवर्क का उपयोग करने की अनुमति है

WEP

दूसरा प्रकार, जिसे WEP के रूप में भी जाना जाता है, पिछली शताब्दी के 90 के दशक में वापस चला जाता है, जो बाद के सभी प्रकार के एन्क्रिप्शन का पूर्वज है। वीपी एन्क्रिप्शन आज सुरक्षा के आयोजन के सभी मौजूदा विकल्पों में सबसे कमजोर है। अधिकांश आधुनिक राउटर, जो विशेषज्ञों द्वारा बनाए गए हैं और उपयोगकर्ता गोपनीयता के हितों को ध्यान में रखते हुए, वीप एन्क्रिप्शन का समर्थन नहीं करते हैं।

Minuses के बीच, इस तथ्य के बावजूद कि कम से कम कुछ सुरक्षा (OPEN की तुलना में) है, अविश्वसनीयता बाहर खड़ी है: यह अल्पकालिक सुरक्षा के कारण है, जो निश्चित समय अंतराल के लिए सक्रिय है। इस अवधि के बाद, आपके नेटवर्क के पासवर्ड का आसानी से अनुमान लगाया जा सकता है, और वीप कुंजी 1 मिनट में क्रैक हो जाएगी। यह वीप कुंजी की थोड़ी गहराई के कारण होता है, जो नेटवर्क उपकरण की विशेषताओं के आधार पर 40 से 100 बिट्स तक भिन्न होता है।

वीप कुंजी की भेद्यता इस तथ्य में निहित है कि पासवर्ड के कुछ हिस्सों को डेटा पैकेट के संयोजन में प्रेषित किया जाता है। एक विशेषज्ञ के लिए पैकेट अवरोधन - एक हैकर या पटाखा - एक आसान काम है। इस तथ्य को समझना भी महत्वपूर्ण है कि आधुनिक सॉफ्टवेयर उपकरण डेटा पैकेट को इंटरसेप्ट करने में सक्षम हैं और विशेष रूप से इसके लिए डिज़ाइन किए गए हैं।

इस प्रकार, आपके नेटवर्क और नेटवर्क उपकरणों की सुरक्षा के लिए वीप एन्क्रिप्शन सबसे अविश्वसनीय तरीका है।

WPA, WPA2

इस समय सुरक्षा के संगठन के मामले में ऐसी किस्में सबसे आधुनिक और परिपूर्ण हैं। उनका कोई एनालॉग नहीं है। किसी भी उपयोगकर्ता के अनुकूल लंबाई और अल्फ़ान्यूमेरिक wpa कुंजी संयोजन सेट करने की क्षमता उन लोगों के लिए जीवन को काफी कठिन बना देती है जो अनधिकृत रूप से किसी विशेष नेटवर्क का उपयोग करना चाहते हैं या इस नेटवर्क से डेटा को इंटरसेप्ट करना चाहते हैं।

ये मानक विभिन्न एन्क्रिप्शन एल्गोरिदम का समर्थन करते हैं जिन्हें टीकेआईपी और एईएस प्रोटोकॉल की बातचीत के बाद प्रेषित किया जा सकता है। एईएस एन्क्रिप्शन प्रकार टीकिप की तुलना में अधिक उन्नत प्रोटोकॉल है, और अधिकांश आधुनिक राउटर द्वारा समर्थित और सक्रिय रूप से उपयोग किया जाता है।

wpa या wpa2 एन्क्रिप्शन घरेलू और कॉर्पोरेट उपयोग दोनों के लिए पसंदीदा प्रकार है। उत्तरार्द्ध दो प्रमाणीकरण मोड का उपयोग करना संभव बनाता है: पीएसके या एंटरप्राइज मोड का उपयोग करके निर्दिष्ट सेटिंग्स के आधार पर, कुछ उपयोगकर्ताओं के सार्वजनिक नेटवर्क तक पहुंच के लिए पासवर्ड की जांच की जाती है।

पीएसके में एकल पासवर्ड का उपयोग करके नेटवर्क उपकरण और इंटरनेट संसाधनों तक पहुंच शामिल है जिसे राउटर से कनेक्ट करते समय दर्ज किया जाना चाहिए। यह होम नेटवर्क के लिए पसंदीदा विकल्प है जो कुछ उपकरणों, जैसे मोबाइल, पर्सनल कंप्यूटर और लैपटॉप द्वारा एक छोटे से क्षेत्र में जुड़ा हुआ है।

कर्मचारियों के ठोस कर्मचारियों वाली कंपनियों के लिए, पीएसके एक सुविधाजनक प्रमाणीकरण मोड नहीं है, इसलिए एक दूसरा मोड विकसित किया गया था - एंटरप्राइज। इसका उपयोग कई कुंजियों का उपयोग करना संभव बनाता है जिन्हें एक विशेष समर्पित सर्वर पर संग्रहीत किया जाएगा।

डब्ल्यूपीएस

वास्तव में आधुनिक और एक बटन के एक पुश के साथ वायरलेस नेटवर्क से कनेक्ट करना संभव बनाता है। पासवर्ड या चाबियों के बारे में सोचना व्यर्थ है, लेकिन डब्ल्यूपीएस के साथ नेटवर्क तक पहुंच के संबंध में कई गंभीर कमियों को उजागर करना और उन पर विचार करना उचित है।

इस तकनीक का उपयोग करके कनेक्शन एक कुंजी का उपयोग करके किया जाता है जिसमें 8 वर्ण शामिल होते हैं। एन्क्रिप्शन प्रकार की भेद्यता इस प्रकार है: इसमें एक गंभीर त्रुटि है जो क्रैकर्स या हैकर्स को नेटवर्क तक पहुंचने की अनुमति देती है यदि आठ अंकों के संयोजन से कम से कम 4 अंक उनके लिए उपलब्ध हों। इस मामले में पासवर्ड का अनुमान लगाने के प्रयासों की संख्या लगभग कई हजार है, लेकिन आधुनिक सॉफ्टवेयर के लिए यह संख्या हास्यास्पद है। यदि हम समय पर WPS को बाध्य करने की प्रक्रिया को मापते हैं, तो इस प्रक्रिया में एक दिन से अधिक समय नहीं लगेगा।

यह इस तथ्य पर ध्यान देने योग्य है कि यह भेद्यता विकास के अधीन है और इसे ठीक किया जा सकता है, इसलिए, डब्ल्यूपीएस मोड के साथ उपकरणों के बाद के मॉडल में, लॉगिन प्रयासों की संख्या पर प्रतिबंध लगाया जाने लगा, जिसने अनधिकृत पहुंच के कार्य को काफी जटिल कर दिया। जो इसमें रुचि रखते हैं।

फिर भी, सुरक्षा के समग्र स्तर को बढ़ाने के लिए, अनुभवी उपयोगकर्ता मूल रूप से मानी गई तकनीक को छोड़ने की सलाह देते हैं।

उपसंहार

एक नेटवर्क और उसके भीतर प्रसारित डेटा की सुरक्षा को व्यवस्थित करने का सबसे आधुनिक और सही मायने में विश्वसनीय तरीका WPA या इसका एनालॉग WPA2 है।

कुछ निश्चित उपकरणों और उपयोगकर्ताओं द्वारा घरेलू उपयोग के लिए पहला विकल्प पसंद किया जाता है।

दूसरा, जिसमें दो मोड में प्रमाणीकरण का कार्य है, बड़ी कंपनियों के लिए अधिक उपयुक्त है। इसका उपयोग इस तथ्य से उचित है कि जब कर्मचारी चले जाते हैं, तो पासवर्ड और चाबियों को बदलने की कोई आवश्यकता नहीं होती है, क्योंकि एक निश्चित संख्या में डायनामिक पासवर्ड एक विशेष रूप से समर्पित सर्वर पर संग्रहीत होते हैं, जिस तक केवल कंपनी के वर्तमान कर्मचारियों की पहुंच होती है।

यह ध्यान दिया जाना चाहिए कि अधिकांश उन्नत उपयोगकर्ता घरेलू उपयोग के लिए भी WPA2 पसंद करते हैं। उपकरण और डेटा की सुरक्षा को व्यवस्थित करने के दृष्टिकोण से, यह एन्क्रिप्शन विधि आज के मौजूदा लोगों में सबसे उन्नत है।

डब्ल्यूपीएस के लिए, जो लोकप्रियता प्राप्त कर रहा है, इसे छोड़ने का मतलब कुछ हद तक नेटवर्क उपकरण और इसकी मदद से प्रसारित सूचना डेटा को सुरक्षित करना है। जब तक तकनीक पर्याप्त रूप से विकसित नहीं हो जाती है और इसमें सभी फायदे नहीं होते हैं, उदाहरण के लिए, WPA2, उपयोग में आसानी और सुविधा के बावजूद इसका उपयोग करने से परहेज करने की सिफारिश की जाती है। आखिरकार, नेटवर्क की सुरक्षा और उसके भीतर प्रसारित सूचना सरणियों अधिकांश उपयोगकर्ताओं के लिए प्राथमिकता है।

के साथ संपर्क में

टिप्पणियाँ 0

आइए कई WLAN प्रमाणीकरण विधियों को देखें, जैसे कि खुला प्रमाणीकरण, PSK और EAP।

प्रमाणीकरण खोलें

डिफ़ॉल्ट रूप से, वायरलेस डिवाइस प्रमाणीकरण की आवश्यकता नहीं होती है। सभी उपकरणों को उनके प्रकार और स्वामित्व की परवाह किए बिना कनेक्शन स्थापित करने की अनुमति है। यह कहा जाता है खुला प्रमाणीकरण. खुले प्रमाणीकरण का उपयोग केवल सार्वजनिक वायरलेस नेटवर्क जैसे कि स्कूल और इंटरनेट कैफे (रेस्तरां) पर किया जाना चाहिए। इसका उपयोग नेटवर्क में किया जा सकता है जहां नेटवर्क से कनेक्ट होने के बाद अन्य माध्यमों से प्रमाणीकरण किया जाएगा।

Preshared Key (PSK)

मोड का उपयोग करते समय पीएसकेएक्सेस प्वाइंट और क्लाइंट को एक साझा कुंजी या पासफ़्रेज़ का उपयोग करना चाहिए। एक्सेस प्वाइंट क्लाइंट को बाइट्स की एक यादृच्छिक स्ट्रिंग भेजता है। क्लाइंट इस स्ट्रिंग को प्राप्त करता है, कुंजी का उपयोग करके इसे एन्क्रिप्ट (या स्क्रैम्बल) करता है, और इसे वापस एक्सेस पॉइंट पर भेजता है। एक्सेस प्वाइंट एन्क्रिप्टेड स्ट्रिंग प्राप्त करता है और इसे डिक्रिप्ट करने के लिए इसकी कुंजी का उपयोग करता है। यदि क्लाइंट से प्राप्त डिक्रिप्टेड स्ट्रिंग क्लाइंट को भेजी गई मूल स्ट्रिंग से मेल खाती है, तो क्लाइंट को कनेक्शन स्थापित करने की अनुमति दी जाती है।

इस मामले में, एक तरफ़ा प्रमाणीकरण किया जाता है, अर्थात। एक्सेस प्वाइंट कनेक्टेड नोड के विवरण की जांच करता है। पीएसके को एक्सेस प्वाइंट को प्रमाणित करने के लिए होस्ट की आवश्यकता नहीं है, न ही यह होस्ट से कनेक्ट होने वाले उपयोगकर्ता को प्रमाणित करता है।

एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP)

ईएपीपारस्परिक या दो-तरफ़ा प्रमाणीकरण, साथ ही उपयोगकर्ता प्रमाणीकरण प्रदान करता है। यदि क्लाइंट साइड पर EAP सॉफ़्टवेयर स्थापित है, तो क्लाइंट एक आंतरिक प्रमाणीकरण सर्वर, जैसे रिमोट डायल-इन उपयोगकर्ता प्रमाणीकरण सेवा (RADIUS) के साथ संचार करता है। यह आंतरिक सर्वर एक्सेस प्वाइंट से स्वतंत्र रूप से संचालित होता है और उन उपयोगकर्ताओं के डेटाबेस को बनाए रखता है जिनके पास नेटवर्क तक पहुंचने की अनुमति है। EAP का उपयोग करते समय, उपयोगकर्ता को, न कि केवल होस्ट को, एक उपयोगकर्ता नाम और पासवर्ड की आपूर्ति करनी चाहिए, जिसे तब RADIUS सर्वर के डेटाबेस के विरुद्ध सत्यापित किया जाता है। यदि प्रस्तुत किए गए क्रेडेंशियल मान्य हैं, तो उपयोगकर्ता को प्रमाणित माना जाता है।



1 सितारा2 सितारे3 सितारे4 सितारे5 सितारे 5,00 / 3
घर संगणक कौन सा ईएपी तरीका चुनना है। प्रमाणीकरण योजना
संबंधित आलेख: