Cum de a cripta o rețea wireless - lumea inovării în domeniul calculatoarelor

În articolul precedent, doar cîteva cuvinte au fost dedicate cripțiunii în rețelele fără fir - a fost promis că va acoperi această problemă într-un articol separat. Astăzi ne îndeplinim angajamentul nostru :)

Pentru a începe cu - un pic de teorie.

Criptarea datelor în rețelele fără fir are o atenție atât de mare datorită însăși naturii acestor rețele. Datele sunt transmise fără fir utilizând unde radio, cu antene omnidirecționale utilizate în general. Astfel, datele sunt auzite de toată lumea - nu numai cel căruia îi sunt destinate, ci și vecinul care trăiește în spatele zidului sau "interesat", sa oprit cu laptopul sub fereastră. Desigur, distanțele la care funcționează rețelele fără fir (fără amplificatoare sau antene direcționale) sunt mici - în jur de 100 de metri în condiții ideale. Pereții, copacii și alte obstacole sting foarte puternic semnalul, dar încă nu rezolvă problema.

Inițial, numai codul SSID (numele rețelei) a fost utilizat pentru protecție. Dar, în general vorbind, este protejat prin această metodă poate fi numită o întindere - SSID este transmis în clar, și nimic nu împiedică un atacator să trage cu urechea la el, și apoi înlocuiți în setările dorite. Să nu mai vorbim de faptul că (acest lucru se aplică punctelor de acces), modul de difuzare pentru SSID poate fi activat, i. E. va fi forțată să fie difuzată pentru toți ascultătorii.

Prin urmare, a existat o nevoie de criptare a datelor. Primul standard a fost WEP - Wired Equivalent Privacy. Criptarea este efectuată utilizând o cheie de 40 sau 104 de biți (criptarea fluxului utilizând algoritmul RC4 pe o cheie statică). Și cheia în sine este un set de caractere ASCII de lungime 5 (pentru 40 de biți) sau 13 (pentru chei de 104 biți). Setul acestor simboluri este tradus într-o succesiune de cifre hexazecimale, care sunt cheia. Driverele mai multor producători vă permit să introduceți în loc de un set de caractere ASCII valori direct hexazecimale (aceeași lungime). Vă atrag atenția că algoritmii pentru traducerea din secvența ASCII a caracterelor la valorile hexazecimal ale unei taste pot fi diferiți de diferiți producători. Prin urmare, în cazul în care rețeaua utilizează un echipament wireless eterogenă și nu puteți chiar de configurare criptare WEP cu-ASCII-fraza-cheie - încercați să introducă în locul său o cheie în notație hexazecimală.

Și ce zici de declarațiile producătorilor cu privire la suportul de criptare pe 64 și 128 de biți, vă întrebați? Bine, aici rolul jucat de introducere pe piață - 64 mai mult de 40, și 128 - 104. În realitate, criptarea datelor se face utilizând o lungime a cheii de 40 sau 104. Dar, în plus față de ASCII-expresie (componenta statică a cheii), există încă un astfel de lucru ar fi Vector de Initiere - IV Vector de inițializare. Servește la randomizarea restului cheii. Vectorul este selectat aleator și schimbat dinamic în timpul funcționării. În principiu, aceasta este o soluție rezonabilă, deoarece vă permite să introduceți o componentă aleatorie în cheie. Lungimea vectorului este de 24 de biți, deci lungimea totală a cheii este de 64 (40 + 24) sau 128 (104 + 24) biți.

Totul este bine, dar algoritmul de criptare (RC4) utilizat în prezent nu este deosebit de persistent - dacă doriți o mulțime, puteți ridica cheia într-un timp relativ scurt. Dar totuși vulnerabilitatea principală a WEP este legată de vectorul de inițializare. Lungimea lui IV este de numai 24 de biți. Acest lucru ne oferă aproximativ 16 milioane de combinații - 16 milioane de vectori diferiți. Deși cifra "16 milioane" sună destul de impresionantă, dar în lume totul este relativ. În funcționare reală, toate variantele cheie posibile vor fi utilizate pentru o perioadă de zece minute până la câteva ore (pentru o cheie de 40 de biți). După aceasta, vectorii vor începe să repete. Un atacator ar trebui să formeze un număr suficient de pachete doar ascultând traficul de rețea fără fir și să găsească aceste repetări. După aceasta, selectarea componentei statice a cheii (fraza ASCII) nu ia mult timp.

Dar asta nu e tot. Există așa-numitele vectori de inițializare "instabili". Utilizarea unor astfel de vectori în cheie permite unui atacator să înceapă aproape imediat să selecteze partea statică a cheii, în loc să aștepte câteva ore, acumulând pasiv traficul de rețea. Mulți furnizori construiesc în software (sau o parte hardware a dispozitivelor fără fir) o verificare pentru astfel de vectori și, dacă se întâlnesc, sunt tăiați în tăcere; Nu participați la procesul de criptare. Din păcate, nu toate dispozitivele au o astfel de funcție.

În prezent, unii producători de echipamente wireless oferă "versiuni extinse" ale algoritmului WEP - folosesc chei mai lungi de 128 (mai precis 104) biți. Dar, în aceste algoritmi, numai componenta statică a cheii crește. Lungimea vectorului de inițializare rămâne aceeași, cu toate consecințele care rezultă (cu alte cuvinte, doar mărim timpul pentru selectarea cheii statice). Este de la sine înțeles că algoritmii WEP cu lungimea cheii extinsă pentru diferiți producători ar putea să nu fie compatibili.

Din păcate, utilizând protocolul 802.11b, nu poate fi selectată decât WEP. Mai precis, unii producători (minoritari) furnizează diferite implementări de criptare WPA (metode soft-ware), care este mult mai stabilă decât WEP. Dar aceste "patch-uri" sunt incompatibile chiar și în echipamentul unui producător. În general, atunci când utilizați echipamente 802.11b, există doar trei moduri de a cripta traficul:
  • 1. Utilizând WEP cu lungimea maximă a cheii (128 biti sau mai mare), dacă echipamentul acceptă schimbarea ciclică a tastelor din listă (până la patru taste din listă), este recomandat să activați acest comutator.
  • 2. Utilizând standardul 802.1x
  • 3. Utilizați software terță parte pentru a organiza tuneluri VPN (fluxuri de date criptate) printr-o rețea fără fir. Pentru a face acest lucru, una dintre mașini are un server VPN (de obicei cu suport pentru pptp), pe altele - clienții VPN sunt configurați. Acest subiect necesită o analiză separată și depășește domeniul de aplicare al acestui articol.
802.1x utilizează o mulțime de protocoale pentru funcționarea sa:
  • EAP (Protocolul de autentificare extensibilă) - protocol pentru autentificarea avansată a utilizatorilor sau a dispozitivelor la distanță;
  • TLS (Security Layer Security) - protocol de securitate a stratului de transport, asigură integritatea transferului de date între server și client, precum și autentificarea reciprocă a acestora;
  • RADIUS (Server de autentificare de la distanță) - serverul de autentificare (autentificare) a clienților la distanță. De asemenea, oferă autentificarea utilizatorului.

Protocolul 802.1x asigură autentificarea clienților aflați la distanță și emite chei temporare pentru criptarea datelor. Cheile (în formă criptată) sunt trimise clientului pentru o perioadă scurtă de timp după care se generează și se trimite o nouă cheie. Algoritmul de criptare nu sa schimbat - același RC4, dar rotația frecventă a cheilor îngreunează foarte mult probabilitatea de hacking. Sprijinul pentru acest protocol este disponibil numai în sistemele de operare (de la Microsoft) Windows XP. Dezavantajul său mare (pentru utilizatorul final) este că protocolul necesită un server RADIUS, care cel mai probabil nu va exista în rețeaua de domiciliu.

Dispozitivele care acceptă standardul 802.11g acceptă algoritmul îmbunătățit de criptare WPA - Wi-Fi Protected Access. În general, acesta este un standard temporar conceput pentru a umple nișa de securitate înainte de sosirea protocolului IEEE 802.11i (așa-numitul WPA2). WPA include 802.1X, EAP, TKIP și MIC.

Din protocoalele nerevitate apar aici TKIP și MIC:
  • TKIP (Temporal Key Protocol de Integritate) - realizarea cheilor de criptare dinamice, plus la aceasta, fiecare dispozitiv din rețea primește, de asemenea, un master-cheie (care se schimbă, de asemenea, din timp în timp). cheile de criptare sunt lungi de 128 de biți și este generat de un algoritm complex, iar numărul total de combinații posibile cheie ajunge la sute de miliarde de, iar acestea sunt foarte des schimbate. Cu toate acestea, algoritmul de criptare folosit este încă RC4.
  • MIC (Check Integrity Message) - protocolul de verificare a integrității pachetelor. Protocolul vă permite să lăsați pachetele care au fost "inserate" în canal de către un terț, adică nu plecat

de la expeditorul valabil.

Numărul mare de avantaje ale protocolului TKIP nu acoperă principalul său dezavantaj, algoritmul RC4 folosit pentru criptare. Deși în momentul de față nu au existat cazuri de hacking WPA pe baza TKIP, dar cine știe ce ne va aduce viitorul? Prin urmare, acum devine din ce în ce mai populară utilizarea standardului AES (Advanced Encryption Standard), care vine să înlocuiască TKIP. Apropo, în viitorul standard WPA2 există o cerință obligatorie de a utiliza AES pentru criptare.

Ce concluzii pot fi trase?

  • Dacă există numai dispozitive 802.11g în rețea, este mai bine să utilizați criptarea bazată pe WPA;
  • dacă este posibil (cu suportul tuturor dispozitivelor), include criptarea AES;

Să trecem la configurarea directă a criptare pe dispozitive. Eu folosesc aceleași adaptoare wireless ca în articolul precedent:

Adaptorul Cardbus Asus WL-100g este instalat pe laptop. Interfața de gestionare a cardului este un utilitar de la ASUS (ASUS WLAN Control Center).

Adaptor extern cu interfață USB ASUS WL-140. Adaptorul este controlat prin interfața încorporată Windows XP (Configurare Zero Wireless). Această cartelă este standard 802.11b, deci WPA nu o acceptă.

Placa cu interfață PCI Asus WL-130g. Interfața de management în implementarea Ralink (producătorul chipset-ului acestei plăci PCI).

Să începem cu setările de criptare din interfața de management a ASUS WLAN Control Center. Toate setările sunt concentrate în secțiunea Criptare. Mai întâi vom selecta tipul de autentificare (autentificare în rețea), avem trei tipuri disponibile: Deschideți Sistem, Cheie partajată și WPA.

Apoi, alegeți criptarea (Encryption) - WEP, dimensiunea cheii este de 128 de biți (este mai bine să nu folosiți deloc o cheie pe 64 de biți). Selectați formatul de tastă, HEX (introduceți cheia în hex) sau generarea de chei din secvența ASCII (nu uitați că algoritmii de generare poate varia de la producători). De asemenea, luăm în considerare faptul că cheia WEP (sau cheile) trebuie să fie aceeași pe toate dispozitivele din aceeași rețea. În total, puteți introduce până la patru taste. Ultimul pas este selectarea tastelor care vor fi utilizate (tasta implicită). În acest caz, există un alt mod - de a începe să utilizați toate cele patru taste în ordine, ceea ce crește securitatea. (compatibilitate numai cu dispozitive de la același producător).

Cu suport pentru toate dispozitivele (de obicei, dispozitivele 802.11g), este recomandat să utilizați acest mod în locul unui WEP învechit și vulnerabil.

De obicei, dispozitivele wireless suportă două moduri WPA:
  • Standard WPA. Nu ne convine, deoarece necesită un server RADIUS în rețea (funcționează și numai împreună cu punctul de acces).
  • WPA-PSK - WPA cu suport pentru chei pre-partajate (chei predefinite). Și asta este ceea ce aveți nevoie - tasta (aceeași pentru toate dispozitivele) este setată manual pe toate adaptoarele fără fir și autentificarea primară a posturilor este efectuată prin aceasta.

Ca algoritmi de criptare, puteți selecta TKIP sau AES. Acesta din urmă nu este implementat pe toți clienții fără fir, dar dacă este acceptat de toate posturile, este mai bine să se oprească. Tasta de rețea wireless este aceeași cheie generală Pre Shared. Este de dorit să facem mai mult și să nu folosim un cuvânt din dicționar sau un set de cuvinte. În mod ideal, ar trebui să fie un fel de bâlbâială.

După apăsarea butonului Aplicați (sau Ok), setările specificate vor fi aplicate cardului wireless. La această procedură, setările de criptare pot fi considerate complete.

Interfața de control în punerea în aplicare a Ralink - Asus WL-130g

Configurația nu este foarte diferită de cea deja adoptată de ASUS WLAN CC. În fereastra care se deschide, accesați fila Profil. selectați profilul dorit și faceți clic pe Editare.

Criptarea este configurată în fila Autentificare și securitate. În cazul activării criptării WEP, selectați Partajare în tipul de autentificare (adică cheia publică).

Alegeți tipul de criptare - WEP și introduceți până la patru chei ASCII sau hex. Lungimea cheii în interfață nu poate fi setată, o cheie de 128 biți este utilizată imediat.

2. criptare WPA.

Dacă selectați WPA-None în tipul de autentificare, atunci vom activa criptarea WPA cu o cheie publică. Selectați tipul de criptare (criptare) TKIP sau AES și introduceți cheia partajată (cheie WPA pre-partajată).

Aceasta finalizează setarea de criptare în această interfață. Pentru a salva setările din profil, faceți clic pe butonul Ok.

Zero Wireless Configuration (interfață încorporată Windows) - ASUS WL-140

ASUS WL-140 este un card 802.11b, deci suportă doar criptarea WEP.

1. criptare WEP.

În setările adaptorului fără fir, accesați fila Wireless Networks (Rețele fără fir). Apoi, selectați rețeaua noastră wireless și faceți clic pe butonul Configurare.

În fereastra care apare, activați criptarea datelor. De asemenea, activați autentificarea în rețea. dezactivarea acestui element va duce la includerea autentificării "Open System", adică orice client va putea să se conecteze la rețea, cunoscând SSID-ul său.

Introduceți cheia de rețea (și din nou în câmpul următor). Verificăm indexul său (numărul ordinal), de obicei este egal cu unul (adică prima cheie). Numărul de cheie trebuie să fie același pe toate dispozitivele.

Cheia (parola de rețea), așa cum ne spune sistemul de operare, ar trebui să conțină 5 sau 13 caractere sau să fie complet introdusă în hexazecimal. Încă o dată Vă atrag atenția că algoritmul cheie de transfer de tipul de caractere în hex poate diferi de la Microsoft și producătorii de propria interfață pentru gestionarea adaptoare wireless, astfel încât mai sigur pentru a introduce cheia în hex (de exemplu, numere de la 0 la 9 și litere de la A la F).

În interfață există, de asemenea, un steag responsabil pentru furnizarea automată a cheii. dar nu știu exact unde va funcționa acest lucru. Secțiunea de ajutor spune că cheia poate fi cusută în adaptorul fără fir de către producătorul acestuia. În general, este mai bine să nu activați această funcție.

În acest sens, setarea de criptare pentru adaptorul 802.11b poate fi considerată completă.

Apropo, despre ajutorul integrat în sistemul de operare. Cele mai multe dintre ceea ce se spune aici și chiar mai multe pot fi găsite în Centrul de ajutor și asistență. care are un sistem de ajutor bun, introduceți doar cuvintele cheie și faceți clic pe săgeata de căutare verde.

2. criptare WPA.

Luând în considerare setarea de criptare de pe adaptor exemplu 802.11b ASUS WL-140, nu ne-am atins setările WPA în Windows, cardul nu suportă acest mod. Luați în considerare acest aspect pe exemplul unui alt adaptor - ASUS WL-100g. Abilitatea de a configura WPA în Windows XP apare odată cu instalarea Service Pack versiunea 2 (sau a actualizărilor corespunzătoare de pe site-ul Web Microsoft).

Service Pack 2 extinde foarte mult funcțiile și confortul setărilor rețelei fără fir. Deși elementele de bază ale meniului nu s-au schimbat, au fost adăugate altele noi.

Configurați criptarea în modul standard: mai întâi selectați pictograma adaptor wireless, apoi faceți clic pe butonul Proprietăți.

Accesați fila Rețele fără fir și alegeți ce rețea să configurați (de obicei este una). Dați clic pe Proprietăți.

În fereastra care apare, selectați WPA-None, adică WPA cu taste predefinite (dacă selectați Compatibil, vom activa modul de configurare a criptării WEP, care a fost deja descris mai sus).

Selectați AES sau TKIP (în cazul în care toate dispozitivele de rețea suport pentru AES, cel mai bine este să-l selectați) și introduceți de două ori (a doua în confirmare) WPA-cheie. Este de dorit să aveți o lungă și dificilă ridicare.

După ce faceți clic pe Ok, setarea de criptare WPA poate fi, de asemenea, considerată completă.

Cum de a cripta o rețea wireless - lumea inovării în domeniul calculatoarelor







Articole similare

Trimiteți-le prietenilor: