Sécurité Wi-Fi. Bonne protection Wi-Fi. Sécurité Wi-Fi. Cryptage WEP, WPA, WPA2

Aujourd'hui, beaucoup ont wifi domestique routeur. Après tout, il est beaucoup plus facile de connecter sans fil à Internet un ordinateur portable, une tablette et un smartphone, dont il y a plus que des personnes dans chaque famille. Et il (le routeur) est essentiellement une passerelle vers l'univers de l'information. Lire la porte d'entrée. Et cela dépend de cette porte si un invité non invité vient à vous sans votre permission. Il est donc très important de faire attention réglage correct routeur afin que votre réseau sans fil ne soit pas vulnérable.

Je n'ai pas besoin de me rappeler que cacher le SSID d'un point d'accès ne vous protège pas. Restreindre l'accès par adresse MAC n'est pas efficace. Par conséquent, seules des méthodes de cryptage modernes et un mot de passe complexe.

Pourquoi crypter ? Qui a besoin de moi ? je n'ai rien à cacher

Ce n'est pas si effrayant si le code PIN est volé carte de crédit et ils lui retireront tout l'argent. De plus, si quelqu'un utilisera Internet à vos frais, connaître le mot de passe Wi-Fi. Et ce n'est pas si effrayant s'ils publient vos photos de soirées d'entreprise où vous êtes dans un état disgracieux. C'est beaucoup plus offensant lorsque des intrus s'introduisent dans votre ordinateur et suppriment des photos de la façon dont vous avez sorti votre fils de l'hôpital, comment il a fait ses premiers pas et est allé en première année. Les sauvegardes sont un sujet à part, elles ont certainement besoin d'être faites... Mais votre réputation peut être restaurée avec le temps, de l'argent peut être gagné, mais les photographies qui vous sont chères ont disparu. Je pense que tout le monde a quelque chose qu'il ne veut pas perdre.
Votre routeur est le périphérique à la frontière entre le privé et le public, alors configurez-le au maximum. De plus, ce n'est pas si difficile.

Technologies et algorithmes de chiffrement

J'oublie la théorie. Peu importe comment cela fonctionne, l'essentiel est de pouvoir l'utiliser.
Les technologies de sécurité sans fil ont évolué dans l'ordre chronologique suivant : WEP, WPA, WPA2. Les méthodes de cryptage RC4, TKIP, AES ont également évolué.
Le meilleur en termes de sécurité aujourd'hui est le bundle WPA2-AES. C'est ainsi que vous devriez essayer de configurer le Wi-Fi. Ça devrait ressembler a quelque chose comme ca:

WPA2 est requis depuis le 16 mars 2006. Mais parfois, vous pouvez toujours trouver des équipements qui ne le prennent pas en charge. En particulier, si Windows XP est installé sur votre ordinateur sans Service Pack 3, WPA2 ne fonctionnera pas. Par conséquent, pour des raisons de compatibilité, sur les routeurs, vous pouvez trouver des paramètres WPA2-PSK -> AES + TKIP et une autre ménagerie.
Mais si vous disposez d'un parc d'appareils moderne, il est préférable d'utiliser WPA2 (WPA2-PSK) -> AES, comme l'option la plus sécurisée aujourd'hui.

Quelle est la différence entre WPA (WPA2) et WPA-PSK (WPA2-PSK)

La norme WPA fournit le protocole d'authentification extensible (EAP) comme base du mécanisme d'authentification de l'utilisateur. Une condition indispensable à l'authentification est la présentation par l'utilisateur d'un certificat (autrement appelé mandat) confirmant son droit d'accès au réseau. Pour ce droit, l'utilisateur est vérifié par rapport à une base de données spéciale d'utilisateurs enregistrés. Sans authentification, il sera interdit à l'utilisateur de naviguer sur le réseau. La base d'utilisateurs enregistrés et le système de vérification dans grands réseaux généralement situé sur serveur dédié(le plus souvent RAYON).
Le mode simplifié de clé pré-partagée (WPA-PSK, WPA2-PSK) vous permet d'utiliser un mot de passe unique qui est stocké directement dans le routeur. D'une part, tout est simplifié, il n'est pas nécessaire de créer et de maintenir une base d'utilisateurs, d'autre part, tout le monde se connecte sous le même mot de passe.
À la maison, il est plus conseillé d'utiliser WPA2-PSK, c'est-à-dire le mode simplifié de la norme WPA. La sécurité Wi-Fi ne souffre pas de cette simplification.

Mot de passe d'accès Wi-Fi

Tout est simple ici. Le mot de passe de votre point d'accès sans fil (routeur) doit comporter plus de 8 caractères et contenir des lettres à la casse différente, des chiffres, des signes de ponctuation. Et il ne doit en aucun cas être associé à vous. Cela signifie que vous ne pouvez pas utiliser vos dates de naissance, vos noms, numéros de voiture, numéros de téléphone, etc. comme mot de passe.
Puisqu'il est presque impossible de casser WPA2-AES de front (il n'y a eu que quelques cas simulés dans des conditions de laboratoire), les principales méthodes de craquage de WPA2 sont les attaques par dictionnaire et la force brute (recherche séquentielle de toutes les options de mot de passe). Par conséquent, plus le mot de passe est complexe, moins les attaquants ont de chances.

... en URSS, les consignes automatiques se sont généralisées dans les gares. Une lettre et trois chiffres ont été utilisés comme combinaison de la serrure. Cependant, peu de gens savent que la première version des casiers utilisait 4 chiffres comme combinaison de code. Quelle est la différence, semble-t-il? Après tout, le nombre de combinaisons de codes est le même - 10 000 (dix mille). Mais comme l'a montré la pratique (en particulier le Département des enquêtes criminelles de Moscou), lorsqu'on a demandé à une personne d'utiliser une combinaison à 4 chiffres comme mot de passe pour un casier, de nombreuses personnes ont utilisé leur année de naissance (afin de ne pas oublier). Ce que les cybercriminels n'ont pas utilisé sans succès. Après tout, les deux premiers chiffres de la date de naissance de la majorité absolue de la population du pays étaient connus - 19. Il reste à déterminer à l'œil nu l'âge approximatif du bagagiste, et chacun d'entre nous peut le faire avec une précision de +/- 3 ans, et dans le reste on obtient (plus précisément, des attaquants) moins de 10 combinaisons pour sélectionner un code d'accès à un casier de stockage automatique...

Mot de passe le plus populaire

La paresse et l'irresponsabilité humaines font des ravages. Voici une liste des mots de passe les plus courants :

1. 123456
2. azerty
3. 111111
4. 123123
5. 1a2b3c
6. Date de naissance
7. Numéro de téléphone

Règles de sécurité des mots de passe

1. À chacun ses goûts. C'est-à-dire que le mot de passe du routeur ne doit pas être le même que l'un de vos autres mots de passe. Du courrier par exemple. Faites en sorte que tous les comptes aient leurs propres mots de passe et qu'ils soient tous différents.
2. Utilisez des mots de passe forts qui ne peuvent pas être devinés. Par exemple : 2Rk7-kw8Q11vlOp0

Ont Mot de passe WiFi il y a un gros plus. Vous n'avez pas besoin de le mémoriser. Il peut être écrit sur un morceau de papier et collé au bas du routeur.

Zone Wi-Fi invité

Si votre routeur vous permet d'organiser un espace invité. Assurez-vous de le faire. Le protéger naturellement avec WPA2 et un mot de passe fort. Et maintenant, lorsque des amis viennent chez vous et demandent Internet, vous n'avez pas à leur dire le mot de passe principal. De plus, la zone invité dans les routeurs est isolée du réseau principal. Et tout problème avec les appareils de vos invités n'affectera pas votre réseau domestique.

Aujourd'hui, nous allons approfondir un peu le sujet de la protection. connexion sans fil... Voyons de quoi il s'agit - on l'appelle aussi "authentification" - et laquelle est préférable de choisir. Sûrement lorsque vous êtes tombé sur des abréviations telles que WEP, WPA, WPA2, WPA2 / PSK. Et aussi certaines de leurs variétés - Personal ou Enterprice et TKIP ou AES. Eh bien, examinons-les tous de plus près et déterminons quel type de cryptage choisir pour assurer une vitesse maximale sans perte de vitesse.

Notez que la protection de votre Mot de passe WiFi c'est impératif, quel que soit le type de cryptage que vous choisissez. Même l'authentification la plus simple évitera de sérieux problèmes à l'avenir.

Pourquoi je dis ça ? Ce n'est même pas que la connexion de nombreux clients gauchers ralentira votre réseau - ce ne sont que des fleurs. La raison principale est que si votre réseau n'est pas protégé par mot de passe, alors un intrus peut s'y tenir, qui effectuera des actions illégales sous votre routeur, et vous devrez alors répondre de ses actions, alors prenez la protection du wifi avec tous gravité.

Cryptage des données WiFi et types d'authentification

Alors, nous étions convaincus de la nécessité de crypter le réseau wifi, voyons maintenant de quels types il existe :

Qu'est-ce que la protection Wi-Fi WEP ?

WEP(Wired Equivalent Privacy) est la toute première norme apparue, qui ne répond plus aux exigences modernes en termes de fiabilité. Tous les programmes configurés pour pirater le réseau méthode wifiénumération de caractères, visant plus précisément la sélection de la clé de cryptage WEP.

Qu'est-ce que la clé ou le mot de passe WPA ?

WPA(Wi-Fi Protected Access) est une norme d'authentification plus moderne qui vous permet de protéger en toute sécurité réseau local et Internet contre la pénétration illégale.

Qu'est-ce que WPA2-PSK - Personnel ou Entreprise ?

WPA2- une version améliorée du type précédent. Le piratage de WPA2 est presque impossible, il offre le degré de sécurité maximal, donc dans mes articles, je dis toujours sans explication que vous devez l'installer - maintenant vous savez pourquoi.

Il existe deux autres types de normes de sécurité WiFi WPA2 et WPA :

• Personnel est appelé WPA/PSK ou WPA2/PSK. Ce type est le plus largement utilisé et optimal pour une utilisation dans la plupart des cas - à la fois à la maison et au bureau. Dans WPA2 / PSK, nous définissons un mot de passe d'au moins 8 caractères, qui est stocké dans la mémoire de l'appareil que nous connectons au routeur.
• Entreprise- une configuration plus complexe qui nécessite l'activation de la fonction RADIUS sur le routeur. Cela fonctionne selon le principe, c'est-à-dire qu'un mot de passe distinct est attribué à chaque gadget connecté distinct.

Types de cryptage WPA - TKIP ou AES ?

Nous avons donc décidé que WPA2 / PSK (Personnel) serait le meilleur choix pour la sécurité du réseau, mais il dispose de deux autres types de cryptage des données pour l'authentification.

• TKIP- aujourd'hui, c'est déjà un type obsolète, mais il est encore largement utilisé, car de nombreux appareils pour un certain nombre d'années de sortie ne le supportent que. Ne fonctionne pas avec la technologie WPA2/PSK et ne prend pas en charge le WiFi 802.11n.
• AES- le type de cryptage WiFi le plus récent et le plus fiable du moment.

Comment choisir le type de cryptage et mettre la clé WPA sur le routeur WiFi ?

Une fois la théorie réglée, passons à la pratique. Étant donné que les normes WiFi 802.11 "B" et "G", qui ont une vitesse maximale jusqu'à 54 Mbps, n'ont pas été utilisées depuis longtemps - aujourd'hui la norme est 802.11 "N" ou "AC", qui prend en charge les accélérations à 300 Mbps et plus, alors il n'a aucun sens d'envisager l'option d'utiliser la protection WPA/PSK avec le type de cryptage TKIP. Par conséquent, lorsque vous configurez un réseau sans fil, définissez la valeur par défaut

WPA2 / PSK - AES

Ou, en dernier recours, spécifiez "Auto" comme type de cryptage afin de permettre la connexion d'appareils avec un module WiFi obsolète.

Dans ce cas, la clé WPA, ou plus simplement le mot de passe de connexion au réseau, doit comporter de 8 à 32 caractères, dont des lettres minuscules et majuscules anglaises, ainsi que divers caractères spéciaux.

Sécurité sans fil sur le routeur TP-Link

Les captures d'écran ci-dessus montrent le panneau de contrôle d'un routeur TP-Link moderne dans nouvelle version micrologiciel. Le paramètre de cryptage du réseau se trouve ici dans la section " Paramètres additionnels- Mode sans fil.

Dans l'ancienne version "verte", les configurations de réseau WiFi qui nous intéressent se situent dans le " Mode sans fil - Sécurité". Faites tout comme sur l'image - ce sera super !

Si vous avez remarqué, il existe toujours un élément tel que "Période de renouvellement de la clé de groupe WPA". Le fait est qu'afin de fournir plus de protection, le véritable clé numérique WPA pour le cryptage de la connexion change dynamiquement. Ici, vous définissez la valeur en secondes après laquelle le changement se produit. Je recommande de ne pas le toucher et de le laisser à sa valeur par défaut - dans différents modèles l'intervalle de rafraîchissement est différent.

Méthode d'authentification du routeur ASUS

Sur les routeurs ASUS, tous les paramètres WiFi se trouvent sur une page "Réseau sans fil"

Protection du réseau via le routeur Zyxel Keenetic

De même, pour Zyxel Keenetic - rubrique "Réseau WiFi - Point d'accès"

Dans les routeurs Keenetic sans le préfixe "Zyxel", le type de cryptage est modifié dans la section " réseau domestique».

Configuration de la sécurité du routeur D-Link

Sur D-Link nous recherchons la rubrique " Wi-Fi - Sécurité»

Eh bien, aujourd'hui, nous avons déterminé les types de cryptage WiFi et des termes tels que WEP, WPA, WPA2-PSK, TKIP et AES et avons découvert lequel il est préférable de choisir. Vous pouvez également lire d'autres options de sécurité réseau dans l'un des articles précédents, dans lequel je parle des adresses MAC et IP et d'autres méthodes de protection.

Vidéo sur la configuration du type de cryptage sur le routeur

Avec la prolifération des réseaux sans fil, les protocoles de cryptage WPA et WPA2 sont devenus connus de presque tous les propriétaires d'appareils se connectant au Wi-Fi. Ils sont indiqués dans les propriétés des connexions, et l'attention de la plupart des utilisateurs qui ne sont pas administrateurs système attire un minimum. Il y a suffisamment d'informations sur le fait que WPA2 est un produit de l'évolution de WPA, et donc WPA2 est plus récent et mieux adapté aux réseaux d'aujourd'hui.

Définition

WPA Est un protocole de cryptage conçu pour protéger les réseaux sans fil de la norme IEEE 802.11, développé par la Wi-Fi Alliance en 2003 en remplacement du protocole WEP obsolète et non sécurisé.

WPA2 Est un protocole de cryptage qui est un développement amélioré de WPA, introduit en 2004 par la Wi-Fi Alliance.

Comparaison

Trouver la différence entre WPA et WPA2 n'est pas pertinent pour la plupart des utilisateurs, car toutes les protections réseau sans fil revient à choisir un mot de passe d'accès plus ou moins complexe. Aujourd'hui, la situation est telle que tous les appareils fonctionnant en Réseaux Wi-Fi sont nécessaires pour prendre en charge WPA2, de sorte que le choix de WPA ne peut être dû qu'à des situations non standard. Par exemple, Système d'exploitation les versions antérieures à Windows XP SP3 ne prennent pas en charge WPA2 sans correctif, de sorte que les machines et périphériques contrôlés par de tels systèmes nécessitent l'attention de l'administrateur réseau. Même quelques smartphones modernes peut ne pas prendre en charge le nouveau protocole de cryptage, principalement pour les gadgets asiatiques hors marque. D'autre part, certains Versions Windows plus ancien que XP ne prend pas en charge WPA2 au niveau de l'objet stratégie de groupe, par conséquent, dans ce cas, ils nécessitent plus réglage fin les connexions de réseau.

La différence technique entre WPA et WPA2 réside dans la technologie de cryptage, en particulier dans les protocoles utilisés. WPA utilise le protocole TKIP, WPA2 utilise le protocole AES. En pratique, cela signifie que le WPA2 plus moderne offre un degré de sécurité réseau plus élevé. Par exemple, le protocole TKIP vous permet de créer une clé d'authentification jusqu'à 128 bits, AES - jusqu'à 256 bits.

Site de conclusions

1. WPA2 est un WPA amélioré.
2. WPA2 utilise le protocole AES, WPA utilise le protocole TKIP.
3. WPA2 est pris en charge par tous les appareils sans fil modernes.
4. WPA2 peut ne pas être pris en charge par les systèmes d'exploitation hérités.
5. WPA2 est plus sécurisé que WPA.

V Ces derniers temps il y a eu de nombreuses publications « révélatrices » sur le piratage de tout prochain protocole ou technologie qui compromet la sécurité des réseaux sans fil. Est-ce vraiment le cas, qu'est-ce qu'il faut craindre et comment sécuriser au maximum l'accès à votre réseau ? WEP, WPA, 802.1x, EAP, PKI signifient peu pour vous ? Ce bref aperçu permettra de rassembler toutes les technologies de cryptage et d'autorisation d'accès radio utilisées. Je vais essayer de montrer qu'un réseau sans fil correctement configuré est une barrière infranchissable pour un attaquant (jusqu'à une certaine limite, bien sûr).

Les bases

Toute interaction entre un point d'accès (réseau) et un client sans fil est basée sur :

• Authentification- comment le client et le point d'accès se présentent et confirment qu'ils ont le droit de communiquer entre eux ;
• Chiffrement- quel algorithme de brouillage des données transmises est utilisé, comment la clé de cryptage est générée et quand elle est modifiée.

Les paramètres du réseau sans fil, principalement son nom (SSID), sont régulièrement annoncés par le point d'accès dans les paquets de balises de diffusion. En plus des paramètres de sécurité attendus, les souhaits de QoS, les paramètres 802.11n, les vitesses prises en charge, les informations sur les autres voisins, etc. sont transmis. L'authentification définit comment le client est présenté au point. Options possibles :

• Ouvert- soi-disant réseau ouvert, dans lequel tous les appareils connectés sont autorisés à la fois
• partagé- l'authenticité de l'appareil connecté doit être vérifiée avec une clé/mot de passe
• PAE- l'authenticité de l'appareil connecté doit être vérifiée à l'aide du protocole EAP par un serveur externe

L'ouverture du réseau ne signifie pas que n'importe qui peut travailler avec lui en toute impunité. Pour transmettre des données dans un tel réseau, il est nécessaire de faire correspondre l'algorithme de cryptage appliqué et, par conséquent, d'établir correctement une connexion cryptée. Les algorithmes de cryptage sont les suivants :

• Rien- pas de cryptage, les données sont transmises en clair
• WEP- chiffrement basé sur l'algorithme RC4 avec différentes longueurs de clés statiques ou dynamiques (64 ou 128 bits)
• CKIP- un remplacement propriétaire pour WEP de Cisco, une première version de TKIP
• TKIP- Remplacement WEP amélioré avec des contrôles et une sécurité supplémentaires
• AES / CCMP- l'algorithme le plus avancé basé sur AES256 avec des contrôles et une protection supplémentaires

Combinaison Authentification ouverte, pas de cryptage largement utilisé dans les systèmes d'accès invités tels que la fourniture d'Internet dans un café ou un hôtel. Pour vous connecter, il vous suffit de connaître le nom du réseau sans fil. Souvent, une telle connexion est combinée à une vérification supplémentaire sur le portail captif en redirigeant une requête HTTP personnalisée vers page supplémentaire, sur laquelle vous pouvez demander une confirmation (login-mot de passe, accord avec les règles, etc.).

Chiffrement WEP est compromis et ne peut pas être utilisé (même avec des clés dynamiques).

Termes couramment utilisés WPA et WPA2 déterminer, en fait, l'algorithme de cryptage (TKIP ou AES). Étant donné que les adaptateurs clients prennent en charge WPA2 (AES) depuis un certain temps, il est inutile d'utiliser le cryptage TKIP.

Différence entre WPA2 Personnel et WPA2 Entreprise C'est de là que proviennent les clés de chiffrement utilisées dans la mécanique de l'algorithme AES. Pour les applications privées (domicile, petites), une clé statique (mot de passe, mot de passe, PSK (Pre-Shared Key)) d'une longueur minimale de 8 caractères est utilisée, qui est spécifiée dans les paramètres du point d'accès, et est la même pour tous clients de ce réseau sans fil. Compromettre une telle clé (laisser un voisin filer, un employé licencié, un ordinateur portable volé) nécessite un changement de mot de passe immédiat pour tous les utilisateurs restants, ce qui n'est réaliste que dans le cas d'un petit nombre d'entre eux. Pour les applications d'entreprise, comme son nom l'indique, une clé dynamique est utilisée, qui est individuelle pour chaque client actif pour le moment. Cette clé peut être périodiquement mise à jour pendant le fonctionnement sans rompre la connexion, et un composant supplémentaire est responsable de sa génération - un serveur d'autorisation, et il s'agit presque toujours d'un serveur RADIUS.

Tous les paramètres de sécurité possibles sont résumés dans cette plaque :

Biens	WEP statique	WEP dynamique	WPA	WPA 2 (Entreprise)
Identification	Utilisateur, ordinateur, carte WLAN	Utilisateur, ordinateur	Utilisateur, ordinateur	Utilisateur, ordinateur
Autorisation	Clé partagée	PAE	EAP ou clé partagée	EAP ou clé partagée
Intégrité	Valeur de contrôle d'intégrité (ICV) 32 bits	ICV 32 bits	Code d'intégrité des messages (MIC) 64 bits	CRT / CBC-MAC (Code d'authentification de chaînage de blocs de chiffrement en mode compteur - CCM) Fait partie d'AES
Chiffrement	Clé statique	Clé de session	Clé par paquet via TKIP	CCMP (AES)
Distribution des clés	One-shot, manuellement	Clé principale par paire de segments (PMK)	Dérivé de PMK	Dérivé de PMK
Vecteur d'initialisation	Texte, 24 bits	Texte, 24 bits	Vecteur étendu, 65 bits	Numéro de paquet (PN) 48 bits
Algorithme	RC4	RC4	RC4	AES
Longueur de clé, bit	64/128	64/128	128	jusqu'à 256
Infrastructure requise	Non	RAYON	RAYON	RAYON

Bien que WPA2 Personal (WPA2 PSK) soit clair, une solution d'entreprise nécessite une considération supplémentaire.

WPA2 Entreprise

Ici, nous avons affaire à un ensemble supplémentaire de protocoles différents. Composant personnalisé côté client Logiciel, le suppliant (généralement une partie du système d'exploitation) interagit avec la partie autorisante, le serveur AAA. V cet exemple le fonctionnement d'un réseau radio unifié basé sur des points d'accès légers et un contrôleur est affiché. Dans le cas de l'utilisation de points d'accès « intelligents », tout le rôle d'intermédiaire entre les clients et le serveur peut être assumé par le point lui-même. Dans ce cas, les données du demandeur client sont transmises par radio, formées dans le protocole 802.1x (EAPOL), et du côté du contrôleur, elles sont encapsulées dans des paquets RADIUS.

L'utilisation du mécanisme d'autorisation EAP dans votre réseau conduit au fait qu'après une authentification réussie (presque certainement ouverte) du client par le point d'accès (conjointement avec le contrôleur, le cas échéant), ce dernier demande au client d'autoriser (confirmer son autorité) avec le serveur d'infrastructure RADIUS :

Usage WPA2 Entreprise nécessite un serveur RADIUS sur votre réseau. Actuellement, les produits suivants sont les plus efficaces :

• Microsoft Network Policy Server (NPS), anciennement IAS- configurable via MMC, gratuit, mais vous devez acheter Windows
• Serveur de contrôle d'accès sécurisé Cisco (ACS) 4.2, 5.3- configurable via une interface web, riche en fonctionnalités, permet de créer des systèmes distribués et tolérants aux pannes, coûte cher
• GratuitRADIUS- gratuit, configurable par des configurations de texte, pas pratique en gestion et surveillance

Dans ce cas, le responsable du traitement surveille de près l'échange d'informations en cours et attend une autorisation réussie ou un refus de celui-ci. En cas de succès, le serveur RADIUS est en mesure de transmettre des paramètres supplémentaires au point d'accès (par exemple, dans quel VLAN placer l'abonné, quelle adresse IP lui attribuer, profil QoS, etc.). A la fin de l'échange, le serveur RADIUS permet au client et au point d'accès de générer et d'échanger des clés de chiffrement (individuelles, valables uniquement pour cette session) :

PAE

Le protocole EAP lui-même est conteneurisé, c'est-à-dire que le mécanisme d'autorisation proprement dit est à la merci des protocoles internes. À l'heure actuelle, les éléments suivants ont acquis une distribution importante :

• EAP-RAPIDE(Authentification flexible via Secure Tunneling) - développé par Cisco ; permet l'autorisation par login-mot de passe transmis dans le tunnel TLS entre le suppliant et le serveur RADIUS
• EAP-TLS(Sécurité de la couche de transport). Utilise une infrastructure à clé publique (PKI) pour authentifier le client et le serveur (suppliant et serveur RADIUS) via des certificats émis par une autorité de certification (CA) de confiance. Nécessite l'abonnement et l'installation de certificats client pour chaque appareil sans fil ne convient donc qu'aux environnements d'entreprise gérés. Windows Certificate Server permet à un client de générer lui-même un certificat s'il est membre d'un domaine. Le blocage d'un client se fait facilement en révoquant son certificat (ou via des comptes).
• EAP-TTLS(Tunneled Transport Layer Security) est similaire à EAP-TLS, mais aucun certificat client n'est requis lors de la création d'un tunnel. Dans un tel tunnel, similaire à une connexion de navigateur SSL, une autorisation supplémentaire est effectuée (en utilisant un mot de passe ou autre chose).
• PEAP-MSCHAPv2(EAP protégé) - Similaire à EAP-TTLS en ce sens qu'il établit initialement un tunnel TLS crypté entre un client et un serveur, nécessitant un certificat de serveur. Plus tard, l'autorisation a lieu dans un tel tunnel en utilisant le protocole bien connu MSCHAPv2.
• PEAP-CGV(Generic Token Card) - similaire à la précédente, mais nécessite des cartes de mot de passe à usage unique (et l'infrastructure correspondante)

Toutes ces méthodes (à l'exception d'EAP-FAST) nécessitent un certificat de serveur (sur le serveur RADIUS) émis par une autorité de certification (CA). Dans ce cas, le certificat CA lui-même doit être présent sur l'appareil du client dans le groupe de confiance (ce qui est facile à mettre en œuvre à l'aide de la stratégie de groupe sous Windows). De plus, EAP-TLS nécessite un certificat client individuel. L'authentification du client est effectuée selon signature numérique, donc (facultatif) comparer le certificat fourni par le client au serveur RADIUS avec celui que le serveur a récupéré de l'infrastructure PKI (Active Directory).

La prise en charge de l'une des méthodes EAP doit être fournie par un demandeur côté client. La norme intégrée à Windows XP/Vista/7, iOS, Android fournit au moins EAP-TLS, et EAP-MSCHAPv2, ce qui explique la popularité de ces méthodes. L'utilitaire ProSet est livré avec les adaptateurs client Intel Windows pour étendre la liste disponible. Le client Cisco AnyConnect fait de même.

Quelle est la fiabilité

Après tout, que faut-il à un attaquant pour compromettre votre réseau ?

Pour l'authentification ouverte, aucun cryptage n'est rien. Connecté au réseau, et c'est tout. L'environnement radio étant ouvert, le signal voyage dans différentes directions, il n'est donc pas facile de le bloquer. S'il existe des adaptateurs clients appropriés qui permettent d'écouter l'air, le trafic réseau est considéré comme si l'attaquant était connecté au câble, au concentrateur, au port SPAN du commutateur.
Le chiffrement basé sur WEP ne nécessite qu'une force brute IV et l'un des nombreux utilitaires d'analyse disponibles gratuitement.
Pour le chiffrement basé sur TKIP ou AES, le déchiffrement direct est possible en théorie, mais en pratique, aucun piratage n'a été rencontré.

Bien sûr, vous pouvez essayer de deviner la clé PSK ou le mot de passe pour l'une des méthodes EAP. Aucune attaque commune contre ces méthodes n'est connue. Vous pouvez essayer des techniques d'ingénierie sociale, ou