Configurez une clé de sécurité pour le réseau sans fil. Le type de sécurité et de cryptage sans fil. Lequel choisir

On ne peut pas qualifier aujourd’hui de quelque chose d’extraordinaire. Cependant, de nombreux utilisateurs (notamment les propriétaires appareils mobiles) sont confrontés au problème de savoir quel système de sécurité utiliser : WEP, WPA ou WPA2-PSK. Nous verrons de quel type de technologies il s’agit maintenant. Cependant, la plus grande attention sera portée au WPA2-PSK, puisque c'est cette protection qui est aujourd'hui la plus demandée.

WPA2-PSK : qu'est-ce que c'est ?

Disons tout de suite : il s'agit d'un système de protection de toute connexion locale vers réseau sans fil basé sur le Wi-Fi. Vers des systèmes filaires basés cartes réseau en utilisant une connexion Ethernet directe, cela n’a aucun effet.

Grâce à l'utilisation de la technologie, WPA2-PSK est aujourd'hui le plus « avancé ». Même les méthodes quelque peu obsolètes qui nécessitent un nom d'utilisateur et un mot de passe, et impliquent également le cryptage de données confidentielles lors de la transmission et de la réception, ressemblent, pour le moins, à du baby talk. Et c'est pourquoi.

Types de protection

Commençons donc par le fait que jusqu'à récemment, le plus technologie sûre La structure WEP a été considérée comme protégeant la connexion. Il utilisait la vérification de l'intégrité des clés lors de la connexion sans fil de n'importe quel appareil et était une norme IEEE 802.11i.

La protection du réseau WiFi WPA2-PSK fonctionne, en principe, presque de la même manière, mais elle vérifie la clé d'accès au niveau 802.1X. En d'autres termes, le système vérifie toutes les options possibles.

Cependant, il existe une technologie plus récente appelée WPA2 Enterprise. Contrairement au WPA, il nécessite non seulement une clé d'accès personnelle, mais également la présence d'un serveur Radius permettant l'accès. De plus, un tel algorithme d'authentification peut fonctionner simultanément dans plusieurs modes (par exemple, Entreprise et PSK, utilisant le cryptage de niveau AES CCMP).

Protocoles de protection et de sécurité de base

Tout comme celles du passé, les méthodes de sécurité modernes utilisent le même protocole. Il s'agit de TKIP (système de sécurité WEP basé sur la mise à jour logicielle et l'algorithme RC4). Tout cela nécessite de saisir une clé temporaire pour accéder au réseau.

Comme montré utilisation pratique, un tel algorithme en lui-même n'offrait aucune sécurité particulière pour la connexion à un réseau sans fil. C'est pourquoi de nouvelles technologies ont été développées : d'abord WPA puis WPA2, complétées par PSK (personal key access) et TKIP (temporary key). En outre, il incluait également des données d'émission-réception, aujourd'hui connues sous le nom de norme AES.

Technologie obsolète

Le type de sécurité WPA2-PSK est relativement nouveau. Avant cela, comme mentionné ci-dessus, le système WEP était utilisé en combinaison avec TKIP. La protection TKIP n'est rien de plus qu'un moyen d'augmenter la profondeur de bits de la clé d'accès. À l'heure actuelle, on pense que le mode de base permet d'augmenter la clé de 40 à 128 bits. Avec tout cela, vous pouvez également remplacer une seule clé WEP par plusieurs clés différentes, générées et envoyées automatiquement par le serveur lui-même, qui authentifie l'utilisateur lors de la connexion.

De plus, le système lui-même implique l'utilisation d'une hiérarchie stricte de distribution de clés, ainsi qu'une technique qui vous permet de vous débarrasser du problème dit de prévisibilité. En d'autres termes, lorsque, par exemple, pour un réseau sans fil utilisant la sécurité WPA2-PSK, le mot de passe est défini sous la forme d'une séquence du type « 123456789 », il n'est pas difficile de deviner que les mêmes programmes générateurs de clé et de mot de passe, généralement appelés KeyGen ou quelque chose comme ça, lorsque vous entrez les quatre premiers caractères, les quatre caractères suivants peuvent être automatiquement générés. Ici, comme on dit, il n’est pas nécessaire d’être unique pour deviner le type de séquence utilisé. Mais ceci, comme on l’a probablement déjà compris, est l’exemple le plus simple.

Quant à la date de naissance de l'utilisateur dans le mot de passe, elle n'est pas du tout évoquée. Vous pouvez facilement être identifié grâce aux mêmes données d’enregistrement sur les réseaux sociaux. Les mots de passe numériques de ce type ne sont absolument pas fiables en eux-mêmes. Il est préférable d'utiliser des chiffres, des lettres, ainsi que des symboles (même non imprimables si vous spécifiez une combinaison de touches « raccourci ») et un espace. Cependant, même avec cette approche, WPA2-PSK peut être craqué. Ici, il est nécessaire d'expliquer la méthodologie de fonctionnement du système lui-même.

Algorithme d'accès typique

Maintenant, quelques mots supplémentaires sur le système WPA2-PSK. Qu’en est-il en termes d’application pratique ? Il s'agit d'une combinaison de plusieurs algorithmes, pour ainsi dire, en mode travail. Expliquons la situation avec un exemple.

Idéalement, la séquence d'exécution de la procédure de protection de la connexion et de cryptage des informations transmises ou reçues se résume à la suivante :

WPA2-PSK (WPA-PSK) + TKIP + AES.

Dans ce cas, le rôle principal est joué par la clé publique (PSK) d'une longueur de 8 à 63 caractères. L'ordre exact dans lequel les algorithmes seront utilisés (que le cryptage ait lieu en premier, ou après la transmission, ou au cours du processus à l'aide de clés intermédiaires aléatoires, etc.) n'a pas d'importance.

Mais même avec une protection et un système de cryptage au niveau AES 256 (c'est-à-dire la profondeur de bits de la clé de cryptage), pirater WPA2-PSK pour les pirates informatiques avertis en la matière sera une tâche difficile, mais possible.

Vulnérabilité

En 2008, lors de la conférence PacSec, une technique a été présentée qui permet de pirater une connexion sans fil et de lire les données transmises du routeur au terminal client. Tout cela a duré environ 12 à 15 minutes. Cependant, il n'a pas été possible de pirater la transmission inverse (client-routeur).

Le fait est que lorsque le mode routeur QoS est activé, vous pouvez non seulement lire les informations transmises, mais également les remplacer par de fausses informations. En 2009, des experts japonais ont présenté une technologie capable de réduire le temps de piratage à une minute. Et en 2010, des informations sont apparues sur Internet selon lesquelles le moyen le plus simple de pirater le module Hole 196 présent dans WPA2 est d'utiliser votre propre clé privée.

Il n'est pas question d'interférence avec les clés générées. Tout d'abord, une attaque par dictionnaire est utilisée en combinaison avec la force brute, puis l'espace de connexion sans fil est analysé afin d'intercepter les paquets transmis et de les enregistrer ensuite. Il suffit à l'utilisateur d'établir une connexion, il est immédiatement désautorisé et la transmission des paquets initiaux est interceptée (handshake). Après cela, vous n'avez même plus besoin d'être à proximité du point d'accès principal. Vous pouvez facilement travailler hors ligne. Cependant, pour effectuer toutes ces actions, vous aurez besoin d’un logiciel spécial.

Comment pirater WPA2-PSK ?

Pour des raisons évidentes, l'algorithme complet de piratage d'une connexion ne sera pas présenté ici, car il peut être utilisé comme une sorte d'instruction d'action. Arrêtons-nous seulement sur les points principaux, et seulement en termes généraux.

En règle générale, lors de l'accès direct au routeur, celui-ci peut être basculé vers le mode dit Airmon-NG pour surveiller le trafic (airmon-ng start wlan0 - renommer l'adaptateur sans fil). Après cela, le trafic est capturé et enregistré à l'aide de la commande airdump-ng mon0 (données du canal de suivi, vitesse de la balise, vitesse et méthode de cryptage, quantité de données transférées, etc.).

Ensuite, la commande permettant de corriger la chaîne sélectionnée est utilisée, après quoi la commande Aireplay-NG Deauth est saisie avec les valeurs qui l'accompagnent (elles ne sont pas données pour des raisons de légalité de l'utilisation de telles méthodes).

Après cela (lorsque l'utilisateur a déjà été autorisé à se connecter), il peut simplement être déconnecté du réseau. Dans ce cas, lorsque vous vous reconnecterez du côté du piratage, le système répétera l'autorisation de connexion, après quoi il sera possible d'intercepter tous les mots de passe d'accès. Ensuite, une fenêtre avec une « poignée de main » apparaîtra. Ensuite, vous pouvez lancer un fichier spécial appelé WPACrack, qui vous permettra de déchiffrer n'importe quel mot de passe. Naturellement, personne ne dira exactement comment il est lancé. Notons seulement que si vous avez certaines connaissances, l'ensemble du processus prend de quelques minutes à plusieurs jours. Par exemple, un processeur de niveau Intel fonctionnant sur la norme fréquence d'horloge 2,8 GHz, capable de traiter pas plus de 500 mots de passe par seconde, soit 1,8 million par heure. En général, comme cela est déjà clair, il ne faut pas se leurrer.

Au lieu d'une postface

C'est tout pour WPA2-PSK. Ce dont il s’agit ne sera peut-être pas clair dès la première lecture. Néanmoins, je pense que tout utilisateur comprendra les bases de la protection des données et les systèmes de cryptage utilisés. De plus, aujourd'hui, presque tous les propriétaires de gadgets mobiles sont confrontés à ce problème. Avez-vous déjà remarqué que lors de la création d'une nouvelle connexion sur le même smartphone, le système vous propose d'utiliser certain type sécurité (WPA2-PSK) ? Beaucoup n'y prêtent tout simplement pas attention, mais en vain. Dans les paramètres avancés, vous pouvez en utiliser suffisamment un grand nombre de paramètres supplémentaires pour améliorer le système de sécurité.

Aujourd'hui, beaucoup ont Wi-Fi à la maison routeur. Après tout, sans fil, il est beaucoup plus facile de connecter à Internet un ordinateur portable, une tablette et un smartphone, qui comptent plus de personnes dans chaque famille. Et lui (le routeur) est essentiellement la passerelle vers l’univers de l’information. Lisez la porte d'entrée. Et cela dépend de cette porte si un invité non invité viendra à vous sans votre permission. Il est donc très important de faire attention à la bonne configuration du routeur afin que votre réseau sans fil ne soit pas vulnérable.

Je ne pense pas avoir besoin de vous rappeler que masquer le SSID du point d’accès ne vous protège pas. Restreindre l'accès par adresse MAC n'est pas efficace. Par conséquent, seules des méthodes de cryptage modernes et un mot de passe complexe.

Pourquoi chiffrer ? Qui a besoin de moi ? je n'ai rien à cacher

Ce n'est pas si effrayant si votre code PIN est volé carte de crédit et ils lui prendront tout l'argent. De plus, si quelqu'un surfe sur Internet à vos frais, connaissant le mot de passe Wi-Fi. Et ce n'est pas si effrayant s'ils publient vos photos de soirées d'entreprise où vous avez l'air inesthétique. C'est beaucoup plus offensant lorsque des attaquants pénètrent dans votre ordinateur et suppriment des photos de la façon dont vous avez récupéré votre fils à la maternité, de la façon dont il a fait ses premiers pas et est allé en première année. Les sauvegardes sont un sujet à part, bien sûr elles doivent être faites... Mais avec le temps, votre réputation peut être restaurée, vous pouvez gagner de l'argent, mais les photographies qui vous sont chères ne sont plus là. Je pense que tout le monde a quelque chose qu’il ne veut pas perdre.
Votre routeur est un appareil frontalier entre privé et public, alors assurez-vous qu'il est entièrement protégé. De plus, ce n'est pas si difficile.

Technologies et algorithmes de cryptage

Je laisse de côté la théorie. Peu importe comment cela fonctionne, l’essentiel est de savoir comment l’utiliser.
Technologies de sécurité sans fil développées dans l'ordre chronologique suivant : WEP, WPA, WPA2. Les méthodes de chiffrement RC4, TKIP, AES ont également évolué.
Le meilleur en termes de sécurité aujourd’hui est la combinaison WPA2-AES. C'est exactement ainsi que vous devriez essayer de configurer le Wi-Fi. Ça devrait ressembler a quelque chose comme ca:

WPA2 est obligatoire depuis le 16 mars 2006. Mais parfois, vous pouvez toujours trouver du matériel qui ne le prend pas en charge. En particulier, si Windows XP est installé sur votre ordinateur sans le 3ème service pack, alors WPA2 ne fonctionnera pas. Ainsi, pour des raisons de compatibilité, sur les routeurs vous pouvez trouver des options de configuration WPA2-PSK -> AES+TKIP et une autre ménagerie.
Mais si votre parc d'appareils est moderne, il est préférable d'utiliser WPA2 (WPA2-PSK) -> AES, comme l'option la plus sécurisée aujourd'hui.

Quelle est la différence entre WPA(WPA2) et WPA-PSK(WPA2-PSK)

La norme WPA fournit le protocole EAP (Extensible Authentication Protocol) comme base du mécanisme d'authentification des utilisateurs. Une condition indispensable à l'authentification est la présentation par l'utilisateur d'un certificat (autrement appelé identifiant) confirmant son droit d'accès au réseau. Pour obtenir ce droit, l'utilisateur est vérifié par rapport à une base de données spéciale d'utilisateurs enregistrés. Sans authentification, l'utilisateur se verra interdire d'utiliser le réseau. Base d'utilisateurs enregistrés et système de vérification dans grands réseaux généralement situé sur serveur spécial(le plus souvent RAYON).
Le mode clé pré-partagée simplifié (WPA-PSK, WPA2-PSK) vous permet d'utiliser un mot de passe, qui est stocké directement dans le routeur. D'une part, tout est simplifié, il n'est pas nécessaire de créer et de maintenir une base d'utilisateurs, d'autre part, tout le monde se connecte avec le même mot de passe.
A la maison, il est plus conseillé d'utiliser WPA2-PSK, c'est-à-dire le mode simplifié de la norme WPA. La sécurité Wi-Fi ne souffre pas de cette simplification.

Mot de passe d'accès Wi-Fi (cryptage)

Tout est simple ici. Le mot de passe de votre point d'accès sans fil (routeur) doit comporter plus de 8 caractères et contenir des lettres dans des casses différentes, des chiffres et des signes de ponctuation. Et il ne doit en aucun cas être associé à vous. Cela signifie que vos dates de naissance, vos noms, numéros de voiture, numéros de téléphone, etc. ne peuvent pas être utilisés comme mot de passe.
Puisqu'il est pratiquement impossible de casser WPA2-AES de front (il n'y a eu que quelques cas simulés en laboratoire), les principales méthodes de piratage de WPA2 sont l'attaque par dictionnaire et la force brute (recherche séquentielle de toutes les options de mot de passe). Par conséquent, plus le mot de passe est complexe, moins les attaquants ont de chances.

... en URSS, les casiers de stockage automatiques se sont généralisés dans les gares. Le code de verrouillage était composé d'une lettre et de trois chiffres. Cependant, peu de gens savent que la première version des casiers de stockage utilisait 4 chiffres comme combinaison de codes. Il semblerait, quelle est la différence ? Après tout, le nombre de combinaisons de codes est le même - 10 000 (dix mille). Mais comme l'a montré la pratique (en particulier le Département des enquêtes criminelles de Moscou), lorsqu'on a demandé à une personne d'utiliser une combinaison de 4 chiffres comme mot de passe pour accéder à une cellule de stockage, beaucoup de gens ont utilisé leur année de naissance (afin de ne pas oublier ). Ce que les attaquants ont utilisé avec beaucoup de succès. Après tout, les deux premiers chiffres de la date de naissance de la majorité absolue de la population du pays étaient connus - 19. Il ne reste plus qu'à déterminer à l'œil nu l'âge approximatif de la personne qui enregistre les bagages, et chacun d'entre nous peut le faire. avec une précision de +/- 3 ans, et dans le reste on obtient (plus précisément, les attaquants) moins de 10 combinaisons pour sélectionner un code d'accès à un casier de stockage automatique...

Mot de passe le plus populaire

La paresse et l’irresponsabilité humaines ont des conséquences néfastes. Voici une liste des mots de passe les plus populaires :

123456
qwerty
111111
123123
1a2b3c
Date de naissance
Numéro de téléphone portable

Règles de sécurité lors de la création d'un mot de passe

À chacun ses goûts. Autrement dit, le mot de passe du routeur ne doit correspondre à aucun autre mot de passe dont vous disposez. Du courrier, par exemple. Faites en sorte que tous les comptes aient leurs propres mots de passe et qu'ils soient tous différents.
Utilisez des mots de passe forts qui ne peuvent être devinés. Par exemple : 2Rk7-kw8Q11vlOp0

U Mot de passe WiFi il y a un énorme avantage. Vous n'avez pas besoin de vous en souvenir. Vous pouvez l'écrire sur un morceau de papier et le coller au bas du routeur.

Zone Wi-Fi invité

Si votre routeur vous permet d'organiser un espace invité. Alors assurez-vous de le faire. Protégez-le naturellement avec WPA2 et un mot de passe fort. Et désormais, lorsque des amis viennent chez vous et demandent un accès à Internet, vous n’avez plus besoin de leur communiquer votre mot de passe principal. De plus, la zone invité des routeurs est isolée du réseau principal. Et tout problème avec les appareils de vos invités n'affectera pas votre réseau domestique.

Quoi de plus important à notre époque que de protéger votre réseau Wi-Fi domestique :) C'est un sujet très populaire, sur lequel plus d'un article a été écrit sur ce seul site. J'ai décidé de rassembler toutes les informations nécessaires sur ce sujet sur une seule page. Nous allons maintenant examiner le problème en détail Protection Wi-Fi réseaux. Je vais vous expliquer et vous montrer comment protéger le Wi-Fi avec un mot de passe, comment le faire correctement sur des routeurs de différents fabricants, quelle méthode de cryptage choisir, comment choisir un mot de passe et ce que vous devez savoir si vous l'êtes. vous envisagez de changer le mot de passe de votre réseau sans fil.

Dans cet article, nous parlerons exactement sur la protection de votre réseau sans fil domestique. Et uniquement à propos de la protection par mot de passe. Si l'on considère la sécurité de certains grands réseaux dans les bureaux, il est alors préférable d'aborder la sécurité un peu différemment. (au moins un mode d'authentification différent). Si vous pensez qu'un seul mot de passe ne suffit pas pour protéger votre réseau Wi-Fi, alors je vous conseille de ne pas vous embêter. Définissez un mot de passe bon et complexe en suivant ces instructions et ne vous inquiétez pas. Il est peu probable que quiconque consacre du temps et des efforts à pirater votre réseau. Oui, vous pouvez, par exemple, masquer le nom du réseau (SSID) et définir un filtrage par adresses MAC, mais ce sont des tracas inutiles qui, en réalité, ne feront que causer des désagréments lors de la connexion et de l'utilisation d'un réseau sans fil.

Si vous envisagez de protéger votre réseau Wi-Fi ou de laisser le réseau ouvert, il ne peut y avoir qu'une seule solution : le protéger. Oui, Internet est illimité et presque tout le monde à la maison possède son propre routeur, mais quelqu'un finira par se connecter à votre réseau. Pourquoi avons-nous besoin de cela, car des clients supplémentaires représentent une charge supplémentaire sur le routeur. Et si ce n’est pas cher, alors il ne résistera tout simplement pas à cette charge. De plus, si quelqu'un se connecte à votre réseau, il pourra accéder à vos fichiers (si le réseau local est configuré), et accédez aux paramètres de votre routeur.

Assurez-vous de protéger votre Réseau Wi-Fi un bon mot de passe avec la méthode de cryptage correcte (moderne). Je recommande d'installer la protection immédiatement lors de la configuration du routeur. De plus, ce serait une bonne idée de changer votre mot de passe de temps en temps.

Si vous craignez que quelqu'un pirate votre réseau, ou l'a déjà fait, changez simplement votre mot de passe et vivez en paix. À propos, puisque vous vous connecterez toujours au panneau de configuration de votre routeur, je vous recommanderais également lequel est utilisé pour saisir les paramètres du routeur.

Bien protéger son réseau Wi-Fi domestique : quelle méthode de cryptage choisir ?

Pendant le processus de définition du mot de passe, vous devrez sélectionner une méthode de cryptage du réseau Wi-Fi (Méthode d'authentification). Je recommande d'installer uniquement WPA2 – Personnel, avec algorithme de cryptage AES. Pour un réseau domestique, c'est la meilleure solution, actuellement la plus récente et la plus fiable. C’est le type de protection que les fabricants de routeurs recommandent d’installer.

Seulement à une condition que vous n’ayez pas d’anciens appareils que vous souhaitez connecter au Wi-Fi. Si après configuration, certains de vos anciens appareils refusent de se connecter au réseau sans fil, vous pouvez installer un protocole WPA (avec algorithme de cryptage TKIP). Je ne recommande pas d'installer le protocole WEP, car il est déjà obsolète, non sécurisé et peut être facilement piraté. Oui, et des problèmes peuvent survenir lors de la connexion de nouveaux appareils.

Combinaison de protocoles WPA2 – Personnel avec cryptage AES, c'est la meilleure option pour réseau domestique. La clé elle-même (mot de passe) doit comporter au moins 8 caractères. Le mot de passe doit être composé de lettres, de chiffres et de symboles anglais. Le mot de passe est sensible à la casse. Autrement dit, « 111AA111 » et « 111aa111 » sont des mots de passe différents.

Je ne sais pas de quel routeur vous disposez, je vais donc préparer de brèves instructions pour les fabricants les plus populaires.

Si après avoir modifié ou défini un mot de passe, vous rencontrez des problèmes pour connecter des appareils au réseau sans fil, consultez les recommandations à la fin de cet article.

Je vous conseille de noter immédiatement le mot de passe que vous définirez. Si vous l'oubliez, vous devrez en installer un nouveau, ou.

Protéger le Wi-Fi avec un mot de passe sur les routeurs Tp-Link

Connexion au routeur (par câble ou Wi-Fi), lancez n'importe quel navigateur et ouvrez l'adresse 192.168.1.1, ou 192.168.0.1 (l'adresse de votre routeur, ainsi que le nom d'utilisateur et le mot de passe standard sont indiqués sur l'autocollant au bas de l'appareil lui-même). Fournissez votre nom d'utilisateur et votre mot de passe. Par défaut, ce sont admin et admin. B, j'ai décrit la saisie des paramètres plus en détail.

Dans les paramètres allez dans l'onglet Sans fil(Mode sans fil) - Sécurité sans fil(Sécurité sans fil). Cochez la case à côté de la méthode de protection WPA/WPA2 – Personnel (recommandé). Dans le menu déroulant Version(version) sélectionner WPA2-PSK. au menu Chiffrement(cryptage) installer AES. Sur le terrain Mot de passe sans fil(Mot de passe PSK) Saisissez un mot de passe pour protéger votre réseau.

Définir un mot de passe sur les routeurs Asus

Dans les paramètres, nous devons ouvrir l'onglet Réseau sans fil, puis effectuez les réglages suivants :

Dans le menu déroulant « Méthode d'authentification », sélectionnez WPA2 – Personnel.
"Cryptage WPA" - installez AES.
Dans le champ « Clé pré-partagée WPA », notez le mot de passe de notre réseau.

Pour enregistrer les paramètres, cliquez sur le bouton Appliquer.

Connectez vos appareils au réseau avec un nouveau mot de passe.

Protéger le réseau sans fil de votre routeur D-Link

Accédez à vos paramètres Routeur D-Link au 192.168.0.1. Tu peux regarder Instructions détaillées. Dans les paramètres, ouvrez l'onglet Wifi - Les paramètres de sécurité. Définissez le type de sécurité et le mot de passe comme dans la capture d'écran ci-dessous.

Définir un mot de passe sur d'autres routeurs

Nous l'avons également pour les routeurs ZyXEL et Tenda. Voir les liens :

Si vous n'avez pas trouvé d'instructions pour votre routeur, vous pouvez configurer la protection du réseau Wi-Fi dans le panneau de configuration de votre routeur, dans la section des paramètres intitulée : paramètres de sécurité, réseau sans fil, Wi-Fi, sans fil, etc. je pense que je peux le trouver, ce ne sera pas difficile. Et je pense que vous savez déjà quels paramètres définir : WPA2 - Cryptage personnel et AES. Eh bien, c'est la clé.

Si vous n'arrivez pas à le comprendre, demandez dans les commentaires.

Que faire si les appareils ne se connectent pas après l'installation ou le changement de mot de passe ?

Très souvent, après l'installation, et surtout après avoir modifié le mot de passe, les appareils qui étaient auparavant connectés à votre réseau ne veulent pas s'y connecter. Sur les ordinateurs, il s'agit généralement des erreurs « Les paramètres réseau enregistrés sur cet ordinateur ne répondent pas aux exigences de ce réseau » et « Windows n'a pas pu se connecter à... ». Sur les tablettes et les smartphones (Android, iOS), des erreurs telles que « Impossible de se connecter au réseau », « Connecté, protégé », etc. peuvent également apparaître.

Ces problèmes sont en train d'être résolus retrait simple réseau sans fil, et reconnexion, déjà avec un nouveau mot de passe. J'ai écrit comment supprimer un réseau sous Windows 7. Si vous disposez de Windows 10, vous devez alors « oublier le réseau ». Sur les appareils mobiles, appuyez longuement sur votre réseau et sélectionnez "Supprimer".

Si des problèmes de connexion surviennent sur des appareils plus anciens, définissez le protocole de sécurité WPA et le cryptage TKIP dans les paramètres du routeur.

Le filtrage des mots de passe et des adresses MAC devrait vous protéger du piratage. En fait, la sécurité dépend en grande partie de votre prudence. Des méthodes de sécurité inappropriées, des mots de passe simples et une attitude négligente envers les étrangers sur votre réseau domestique offrent aux attaquants des opportunités d'attaque supplémentaires. Dans cet article, vous apprendrez comment déchiffrer un mot de passe WEP, pourquoi vous devriez abandonner les filtres et comment sécuriser votre réseau sans fil de tous les côtés.

Protection contre les invités indésirables

Votre réseau n'est pas sécurisé, par conséquent, tôt ou tard, quelqu'un se connectera à votre réseau sans fil. outsider- peut-être même pas volontairement, car les smartphones et les tablettes sont capables de se connecter automatiquement à des réseaux non sécurisés. S'il ouvre simplement plusieurs sites, il est fort probable que rien de grave ne se produira, à l'exception de la consommation de trafic. La situation deviendra plus compliquée si un invité commence à télécharger du contenu illégal via votre connexion Internet.

Si vous n'avez pas encore pris de mesures de sécurité, accédez à l'interface du routeur via un navigateur et modifiez vos données d'accès au réseau. L'adresse du routeur ressemble généralement à : http://192.168.1.1. Si ce n'est pas le cas, vous pouvez alors connaître l'adresse IP de votre Périphérique réseau via la ligne de commande. Dans le système d'exploitation Windows 7, cliquez sur le bouton « Démarrer » et entrez la commande « cmd » dans la barre de recherche. Appelez les paramètres réseau avec la commande « ipconfig » et recherchez la ligne « Passerelle par défaut ». L'IP spécifiée est l'adresse de votre routeur, qui doit être saisie dans la barre d'adresse du navigateur. L'emplacement des paramètres de sécurité de votre routeur varie selon le fabricant. En règle générale, ils se trouvent dans une section portant le nom « WLAN | Sécurité".

Si votre réseau sans fil utilise une connexion non sécurisée, vous devez être particulièrement prudent avec le contenu situé dans des dossiers avec accès partagé, puisqu'en l'absence de protection, il est à l'entière disposition des autres utilisateurs. Dans le même temps, dans le système d'exploitation Windows XP Home, la situation de l'accès partagé est tout simplement catastrophique : par défaut, les mots de passe ne peuvent pas du tout être définis ici - cette fonction n'est présente que dans la version professionnelle. Au lieu de cela, toutes les demandes réseau sont effectuées via un compte invité non sécurisé. Vous pouvez sécuriser votre réseau sous Windows XP avec une petite manipulation : exécutez ligne de commande, saisissez « net user guest YourNewPassword » et confirmez l’opération en appuyant sur la touche « Entrée ». Après redémarrer Windows Il ne sera possible d'accéder aux ressources réseau que si vous disposez d'un mot de passe. Cependant, un réglage plus précis dans cette version du système d'exploitation n'est malheureusement pas possible. La gestion des paramètres de partage est bien plus pratique sous Windows 7. Ici, pour limiter le nombre d'utilisateurs, il suffit d'aller dans le « Centre Réseau et partage » dans le Panneau de configuration et de créer groupe résidentiel protégé par mot de passe.

Le manque de protection adéquate dans un réseau sans fil est une source d'autres dangers, car les pirates peuvent utiliser des programmes spéciaux (renifleurs) pour tout identifier. connexions non sécurisées. De cette façon, il sera facile pour les pirates d’intercepter vos données d’identification provenant de divers services.

Les pirates

Comme auparavant, les deux méthodes de sécurité les plus populaires aujourd'hui sont le filtrage des adresses MAC et le masquage du SSID (nom du réseau) : ces mesures de sécurité ne vous protégeront pas. Afin d'identifier le nom du réseau, un attaquant n'a besoin que d'un adaptateur WLAN, qui passe en mode surveillance à l'aide d'un pilote modifié, et d'un renifleur - par exemple Kismet. L'attaquant surveille le réseau jusqu'à ce qu'un utilisateur (client) s'y connecte. Il manipule ensuite les paquets de données et expulse ainsi le client du réseau. Lorsque l'utilisateur se reconnecte, l'attaquant voit le nom du réseau. Cela semble compliqué, mais en réalité, l’ensemble du processus ne prend que quelques minutes. Contourner le filtre MAC est également simple : l'attaquant détermine l'adresse MAC et l'attribue à son appareil. Ainsi, la connexion d'un tiers reste inaperçue pour le propriétaire du réseau.

Si votre appareil ne prend en charge que le cryptage WEP, agissez immédiatement : un tel mot de passe peut être déchiffré même par des non-professionnels en quelques minutes.

Le progiciel Aircrack-ng est particulièrement populaire parmi les cyber-escrocs, qui, en plus du sniffer, comprend une application pour télécharger et modifier les pilotes de l'adaptateur WLAN, et permet également de récupérer la clé WEP. Les méthodes de piratage les plus connues sont les attaques PTW et FMS/KoreK, dans lesquelles le trafic est intercepté et une clé WEP est calculée sur la base de son analyse. Dans cette situation, vous n'avez que deux options : premièrement, vous devez rechercher le dernier micrologiciel de votre appareil, qui prendra en charge les dernières méthodes de cryptage. Si le fabricant ne fournit pas de mises à jour, il vaut mieux refuser d'utiliser un tel appareil, car vous compromettez ainsi la sécurité de votre réseau domestique.

Le conseil populaire visant à réduire la portée du Wi-Fi ne donne qu’une apparence de protection. Les voisins pourront toujours se connecter à votre réseau, mais les attaquants utilisent souvent des adaptateurs Wi-Fi avec une portée plus longue.

Points d'accès publics

Les lieux dotés d’une connexion Wi-Fi gratuite attirent les cyber-fraudeurs car d’énormes quantités d’informations y transitent et tout le monde peut utiliser des outils de piratage. Les hotspots publics peuvent être trouvés dans les cafés, les hôtels et autres lieux publics. Mais d’autres utilisateurs des mêmes réseaux peuvent intercepter vos données et, par exemple, prendre le contrôle de vos comptes sur différents services web.

Protection des cookies. Certaines méthodes d’attaque sont si simples que n’importe qui peut les utiliser. L'extension Firesheep pour le navigateur Firefox lit et répertorie automatiquement les comptes d'autres utilisateurs, notamment Amazon, Google, Facebook et Twitter. Si un hacker clique sur l'une des entrées de la liste, il recevra immédiatement accès totalà votre compte et pourra modifier les données utilisateur à votre discrétion. Firesheep ne déchiffre pas les mots de passe, mais copie uniquement les cookies actifs et non chiffrés. Pour vous protéger contre de telles interceptions, vous devez utiliser le module complémentaire spécial HTTPS Everywhere pour Firefox. Cette extension oblige les services en ligne à toujours utiliser une connexion cryptée via HTTPS si elle est prise en charge par le serveur du fournisseur de services.

Protection Android. Dans un passé récent, une faille dans la salle d’opération a attiré l’attention de tous. Système Android, ce qui pourrait permettre aux fraudeurs d'accéder à vos comptes dans des services tels que Picasa et Google Calendar, ainsi que de lire vos contacts. Société Google a éliminé cette vulnérabilité dans Android 2.3.4, mais la plupart des appareils précédemment achetés par les utilisateurs ont des versions plus anciennes du système installées. Pour les protéger, vous pouvez utiliser l'application SyncGuard.

WPA2

La meilleure protection est assurée par la technologie WPA2, utilisée par les fabricants équipement informatique depuis 2004. La plupart des appareils prennent en charge ce type de cryptage. Mais, comme d'autres technologies, WPA2 a aussi son point faible : en utilisant une attaque par dictionnaire ou la méthode bruteforce, les pirates peuvent déchiffrer les mots de passe - mais seulement s'ils ne sont pas fiables. Les dictionnaires parcourent simplement les clés stockées dans leurs bases de données - en règle générale, toutes les combinaisons possibles de chiffres et de noms. Les mots de passe comme « 1234 » ou « Ivanov » sont devinés si rapidement que l’ordinateur du pirate n’a même pas le temps de se réchauffer.

La méthode bruteforce ne consiste pas à utiliser une base de données toute faite, mais au contraire à sélectionner un mot de passe en listant toutes les combinaisons possibles de caractères. De cette façon, un attaquant peut calculer n'importe quelle clé - la seule question est de savoir combien de temps cela lui prendra. La NASA, dans ses directives de sécurité, recommande un mot de passe d'au moins huit caractères, et de préférence seize. Tout d’abord, il est important qu’il soit composé de lettres minuscules et majuscules, de chiffres et de caractères spéciaux. Il faudrait des décennies à un pirate informatique pour déchiffrer un tel mot de passe.

Votre réseau n'est pas encore entièrement protégé, puisque tous les utilisateurs qui s'y trouvent ont accès à votre routeur et peuvent modifier ses paramètres. Certains appareils fournissent fonctions supplémentaires des protections dont il faudrait également profiter.

Tout d'abord, désactivez la possibilité de manipuler le routeur via Wi-Fi. Malheureusement, cette fonctionnalité n'est disponible que sur certains appareils, tels que les routeurs Linksys. Tous modèles modernes Les routeurs ont également la possibilité de définir un mot de passe pour l'interface de gestion, ce qui vous permet de restreindre l'accès aux paramètres.

Comme tout programme, le micrologiciel du routeur est imparfait - de petites failles ou des failles critiques dans le système de sécurité ne sont pas exclues. Habituellement, les informations à ce sujet se propagent instantanément sur Internet. Vérifiez régulièrement la présence d'un nouveau micrologiciel pour votre routeur (certains modèles disposent même d'une fonction de mise à jour automatique). Un autre avantage du firmware flash est qu’il peut ajouter de nouvelles fonctions à l’appareil.

L'analyse périodique du trafic réseau permet de reconnaître la présence d'invités non invités. Dans l'interface de gestion du routeur, vous pouvez trouver des informations sur les appareils connectés à votre réseau et à quel moment. Il est plus difficile de connaître la quantité de données téléchargées par un utilisateur particulier.

Accès invité - un moyen de protéger votre réseau domestique

Si vous protégez votre routeur avec un mot de passe fort grâce au cryptage WPA2, vous ne courrez plus aucun danger. Mais seulement jusqu'à ce que vous partagiez votre mot de passe avec d'autres utilisateurs. Les amis et connaissances qui, avec leur smartphone, tablette ou ordinateur portable, souhaitent accéder à Internet via votre connexion constituent un facteur de risque. Par exemple, la possibilité que leurs appareils soient infectés ne peut être exclue. malware. Cependant, vous n'aurez pas à refuser vos amis pour cette raison, puisque les modèles de routeurs haut de gamme, tels que le Belkin N ou le Netgear WNDR3700, offrent un accès invité spécifiquement pour de tels cas. Avantage ce mode est que le routeur crée un réseau séparé avec votre propre mot de passe, et celui de la maison n'est pas utilisé.

Fiabilité des clés de sécurité

WEP (CONFIDENTIALITÉ ÉQUIVALENTE FILAIRE). Utilise un générateur de nombres pseudo-aléatoires (algorithme RC4) pour obtenir la clé, ainsi que des vecteurs d'initialisation. Ce dernier composant n'étant pas crypté, il est possible que des tiers interviennent et recréent la clé WEP.

WPA (ACCÈS PROTÉGÉ WI-FI) Basé sur le mécanisme WEP, mais offre une clé dynamique pour une sécurité étendue. Les clés générées à l'aide de l'algorithme TKIP peuvent être piratées à l'aide de l'attaque Bek-Tevs ou Ohigashi-Moriya. Pour ce faire, les paquets individuels sont déchiffrés, manipulés et renvoyés au réseau.

WPA2 (ACCÈS PROTÉGÉ WI-FI 2) Utilise l'algorithme fiable AES (Advanced Encryption Standard) pour le cryptage. Parallèlement à TKIP, le protocole CCMP (Counter-Mode/CBC-MAC Protocol) a été ajouté, qui est également basé sur l'algorithme AES. Jusqu’à présent, un réseau protégé par cette technologie ne pouvait être piraté. La seule option pour les pirates est une attaque par dictionnaire ou « méthode de force brute », où la clé est devinée en devinant, mais avec un mot de passe complexe, il est impossible de la deviner.

Expliquons brièvement ce que sont WEP, WPA et WPA2 et quelle est la différence entre eux.

WEP

Explication: Confidentialité équivalente filaire. Traduit comme Sécurité équivalente à une connexion filaire. Apparemment, les inventeurs ont surestimé la fiabilité de ce type de protection en lui donnant son nom.

WEP est un mode de sécurité sans fil hérité. Fournit un faible niveau de protection. En mode de sécurité Windows, WEP est souvent appelé Open, c'est-à-dire Type ouvert.

WPA

Explication: Accès Wi-Fi protégé (accès Wi-Fi protégé)

Divisé en 2 sous-espèces :

WPA-Personnel (-Clé personnelle ou -PSK)
WPA-Entreprise.

WPA-PSK

Cette option convient à un usage domestique. Pour autoriser sur le réseau, vous n'avez besoin que d'une clé de sécurité.

WPA-Entreprise

Il s'agit d'une option plus avancée et sophistiquée pour réseaux d'entreprise pour garantir un niveau de sécurité plus élevé. Un serveur Radius est requis pour l'autorisation.

WPA2

WPA2 est une version plus moderne et améliorée de la sécurité WPA. De même, il peut fonctionner dans les deux modes : PSK et Enterprise. Il diffère en ce qu'il prend en charge le type de cryptage AES CCMP.

Ce qui est mieux? WEP, WPA ou WPA2 ?

Sur un équipement moderne, dans la plupart des cas, la meilleure option serait d'utiliser le WPA2-PSK avec type de cryptage AES:

Que faire si je ne connais pas le type de sécurité utilisé par le réseau wifi ?

Si vous ne savez pas quel cryptage est utilisé sur votre point d'accès (routeur), déconnectez-vous du réseau et. Puis reconnectez-vous. Vous n'aurez qu'à saisir la clé de sécurité. Dans ce cas, le mode de sécurité sera sélectionné automatiquement.

On ne peut pas qualifier aujourd’hui de quelque chose d’extraordinaire. Cependant, de nombreux utilisateurs (en particulier les propriétaires d'appareils mobiles) sont confrontés au problème de savoir quel système de sécurité utiliser : WEP, WPA ou WPA2-PSK. Nous verrons de quel type de technologies il s’agit maintenant. Cependant, la plus grande attention sera portée au WPA2-PSK, puisque c'est cette protection qui est aujourd'hui la plus demandée.

WPA2-PSK : qu'est-ce que c'est ?

Disons tout de suite : c'est un système pour protéger n'importe qui connexion localeà un réseau sans fil basé sur le WI-Fi. Cela n'a rien à voir avec les systèmes filaires basés sur des cartes réseau utilisant une connexion directe via Ethernet.

Types de protection

Commençons donc par le fait que jusqu'à récemment, la structure WEP était considérée comme la technologie de sécurité de connexion la plus sécurisée. Il utilisait la vérification de l'intégrité des clés lors de la connexion sans fil de n'importe quel appareil et était une norme IEEE 802.11i.

Protocoles de protection et de sécurité de base

Tout comme celles du passé, les méthodes de sécurité modernes utilisent le même protocole. Il s'agit de TKIP (système de sécurité basé sur la mise à jour WEP) logiciel et l'algorithme RC4). Tout cela nécessite de saisir une clé temporaire pour accéder au réseau.

Comme l'a montré l'utilisation pratique, un tel algorithme à lui seul ne permettait pas de fournir des connexions particulièrement sécurisées à un réseau sans fil. C'est pourquoi de nouvelles technologies ont été développées : d'abord WPA puis WPA2, complétées par PSK (personal key access) et TKIP (temporary key). En outre, il incluait également des données d'émission-réception, aujourd'hui connues sous le nom de norme AES.

Technologie obsolète

Quant à la date de naissance de l'utilisateur dans le mot de passe, elle n'est pas du tout évoquée. Vous pouvez facilement être identifié en utilisant les mêmes données d'enregistrement dans dans les réseaux sociaux. Les mots de passe numériques de ce type ne sont absolument pas fiables en eux-mêmes. Il est préférable d'utiliser des chiffres, des lettres, ainsi que des symboles (même non imprimables si vous spécifiez une combinaison de touches « raccourci ») et un espace. Cependant, même avec cette approche, WPA2-PSK peut être craqué. Ici, il est nécessaire d'expliquer la méthodologie de fonctionnement du système lui-même.

Algorithme d'accès typique

Idéalement, la séquence d'exécution de la procédure de protection de la connexion et de cryptage des informations transmises ou reçues se résume à la suivante :

WPA2-PSK (WPA-PSK) + TKIP + AES.

Vulnérabilité

Il n'est pas question d'interférence avec les clés générées. Tout d'abord, une attaque dite par dictionnaire est utilisée en combinaison avec la force brute, puis l'espace est analysé. connexion sans fil dans le but d'intercepter les paquets transmis et de leur enregistrement ultérieur. Il suffit à l'utilisateur d'établir une connexion, il est immédiatement désautorisé et la transmission des paquets initiaux est interceptée (handshake). Après cela, vous n'avez même plus besoin d'être à proximité du point d'accès principal. Vous pouvez facilement travailler hors ligne. Cependant, pour effectuer toutes ces actions, vous aurez besoin d’un logiciel spécial.

Comment pirater WPA2-PSK ?

Après cela (lorsque l'utilisateur a déjà été autorisé à se connecter), il peut simplement être déconnecté du réseau. Dans ce cas, lorsque vous vous reconnecterez du côté du piratage, le système répétera l'autorisation de connexion, après quoi il sera possible d'intercepter tous les mots de passe d'accès. Ensuite, une fenêtre avec une « poignée de main » apparaîtra. Ensuite, vous pouvez lancer un fichier spécial appelé WPACrack, qui vous permettra de déchiffrer n'importe quel mot de passe. Naturellement, personne ne dira exactement comment il est lancé. Notons seulement que si vous avez certaines connaissances, l'ensemble du processus prend de quelques minutes à plusieurs jours. Par exemple, un processeur de niveau Intel fonctionnant à une fréquence d'horloge standard de 2,8 GHz n'est capable de traiter pas plus de 500 mots de passe par seconde, soit 1,8 million par heure. En général, comme cela est déjà clair, il ne faut pas se leurrer.

Au lieu d'une postface

C'est tout pour WPA2-PSK. Ce dont il s’agit ne sera peut-être pas clair dès la première lecture. Néanmoins, je pense que tout utilisateur comprendra les bases de la protection des données et les systèmes de cryptage utilisés. De plus, aujourd'hui, presque tous les propriétaires de gadgets mobiles sont confrontés à ce problème. Avez-vous déjà remarqué que lors de la création d'une nouvelle connexion sur le même smartphone, le système propose d'utiliser un certain type de sécurité (WPA2-PSK) ? Beaucoup n'y prêtent tout simplement pas attention, mais en vain. Dans les paramètres avancés, vous pouvez utiliser un assez grand nombre de paramètres supplémentaires pour améliorer le système de sécurité.

DANS Dernièrement De nombreuses publications « révélatrices » ont paru sur le piratage de certains nouveaux protocoles ou technologies compromettant la sécurité des réseaux sans fil. Est-ce vraiment le cas, de quoi devriez-vous avoir peur et comment pouvez-vous garantir que l'accès à votre réseau est aussi sécurisé que possible ? Les mots WEP, WPA, 802.1x, EAP, PKI ne vous disent rien ? Ce petit aperçu permettra de rassembler toutes les technologies de chiffrement et d’autorisation d’accès radio utilisées. Je vais essayer de montrer qu'un réseau sans fil correctement configuré représente une barrière infranchissable pour un attaquant (jusqu'à une certaine limite bien sûr).

Les bases

Toute interaction entre un point d'accès (réseau) et un client sans fil est basée sur :

Authentification- comment le client et le point d'accès se présentent et confirment qu'ils ont le droit de communiquer entre eux ;
Chiffrement- quel algorithme de brouillage des données transmises est utilisé, comment la clé de cryptage est générée et quand elle change.

Les paramètres d'un réseau sans fil, principalement son nom (SSID), sont régulièrement annoncés par le point d'accès dans des paquets de balises de diffusion. En plus des paramètres de sécurité attendus, des demandes de QoS, de paramètres 802.11n, de vitesses prises en charge, d'informations sur les autres voisins, etc. L'authentification détermine la manière dont le client se présente au point. Options possibles :

Ouvrir- soi-disant réseau ouvert, dans lequel tous les appareils connectés sont autorisés en même temps
partagé- l'authenticité de l'appareil connecté doit être vérifiée avec une clé/mot de passe
PAE- l'authenticité de l'appareil connecté doit être vérifiée grâce au protocole EAP par un serveur externe

L’ouverture du réseau ne signifie pas que quiconque puisse l’utiliser en toute impunité. Pour transmettre des données sur un tel réseau, l'algorithme de cryptage utilisé doit correspondre et, par conséquent, la connexion cryptée doit être correctement établie. Les algorithmes de cryptage sont :

Aucun- pas de cryptage, les données sont transmises en texte clair
WEP- chiffre basé sur l'algorithme RC4 avec différentes longueurs de clés statiques ou dynamiques (64 ou 128 bits)
CKIP- remplacement propriétaire du WEP de Cisco, première version de TKIP
TKIP- Remplacement WEP amélioré avec des contrôles et une protection supplémentaires
AES/CCMP- l'algorithme le plus avancé basé sur AES256 avec des contrôles et une protection supplémentaires

Combinaison Authentification ouverte, pas de cryptage largement utilisé dans les systèmes d'accès clients tels que la fourniture d'Internet dans un café ou un hôtel. Pour vous connecter, il vous suffit de connaître le nom du réseau sans fil. Souvent, une telle connexion est combinée à une vérification supplémentaire sur le portail captif en redirigeant la requête HTTP de l'utilisateur vers page supplémentaire, où vous pouvez demander une confirmation (login-mot de passe, accord avec le règlement, etc.).

Chiffrement WEP est compromis et ne peut pas être utilisé (même dans le cas de clés dynamiques).

Termes courants WPA Et WPA2 déterminer, en effet, l'algorithme de cryptage (TKIP ou AES). Étant donné que les adaptateurs clients prennent en charge WPA2 (AES) depuis un certain temps, il ne sert à rien d'utiliser le cryptage TKIP.

Différence entre WPA2 Personnel Et WPA2 Entreprise C'est de là que proviennent les clés de cryptage utilisées dans la mécanique de l'algorithme AES. Pour les applications privées (domestiques, petites), une clé statique (mot de passe, mot de code, PSK (Pre-Shared Key)) d'une longueur minimale de 8 caractères est utilisée, qui est définie dans les paramètres du point d'accès et est la même pour tous les clients d’un réseau sans fil donné. La compromission d'une telle clé (ils ont vendu la mèche à un voisin, un employé a été licencié, un ordinateur portable a été volé) nécessite un changement immédiat du mot de passe pour tous les utilisateurs restants, ce qui n'est réaliste que s'ils sont un petit nombre. Pour les applications d'entreprise, comme son nom l'indique, une clé dynamique est utilisée, individuelle pour chaque client en cours d'exécution. Cette clé peut être périodiquement mise à jour pendant le fonctionnement sans rompre la connexion, et un composant supplémentaire est responsable de sa génération - le serveur d'autorisation, et il s'agit presque toujours d'un serveur RADIUS.

Tous les paramètres de sécurité possibles sont résumés dans cette plaque :

Propriété	WEP statique	WEP dynamique	WPA	WPA 2 (Entreprise)
Identification	Utilisateur, ordinateur, carte WLAN	Utilisateur, ordinateur	Utilisateur, ordinateur	Utilisateur, ordinateur
Autorisation	Clé partagée	PAE	EAP ou clé partagée	EAP ou clé partagée
Intégrité	Valeur de contrôle d'intégrité (ICV) 32 bits	ICV 32 bits	Code d'intégrité des messages (MIC) 64 bits	CRT/CBC-MAC (Code d'authentification de chaînage de blocs de chiffrement en mode compteur - CCM) Fait partie d'AES
Chiffrement	Clé statique	Clé de session	Clé par paquet via TKIP	CCMP (AES)
Distribution des clés	Unique, manuel	Segment de clé principale par paire (PMK)	Dérivé de PMK	Dérivé de PMK
Vecteur d'initialisation	Texte, 24 bits	Texte, 24 bits	Vecteur avancé, 65 bits	Numéro de paquet de 48 bits (PN)
Algorithme	RC4	RC4	RC4	AES
Longueur de clé, bits	64/128	64/128	128	jusqu'à 256
Infrastructure requise	Non	RAYON	RAYON	RAYON

Bien que WPA2 Personal (WPA2 PSK) soit clair, une solution d'entreprise nécessite une réflexion plus approfondie.

WPA2 Entreprise

Nous avons ici affaire à ensemble supplémentaire divers protocoles. Côté client, un composant logiciel spécial, le supplicant (généralement une partie du système d'exploitation) interagit avec la partie autorisation, le serveur AAA. DANS dans cet exemple affiche le fonctionnement d'un réseau radio unifié construit sur des points d'accès légers et un contrôleur. Dans le cas de l'utilisation de points d'accès dotés de « cerveaux », tout le rôle d'intermédiaire entre clients et serveur peut être assumé par le point lui-même. Dans ce cas, les données du client demandeur sont transmises via la radio formée dans le protocole 802.1x (EAPOL) et du côté du contrôleur, elles sont enveloppées dans des paquets RADIUS.

L'utilisation du mécanisme d'autorisation EAP dans votre réseau conduit au fait qu'après une authentification réussie (presque certainement ouverte) du client par le point d'accès (avec le contrôleur, le cas échéant), ce dernier demande au client d'autoriser (confirmer son autorité) avec l'infrastructure serveur RADIUS :

Usage WPA2 Entreprise nécessite un serveur RADIUS sur votre réseau. À l’heure actuelle, les produits les plus efficaces sont les suivants :

Microsoft Network Policy Server (NPS), ancien IAS- configuré via MMC, gratuit, mais vous devez acheter Windows
Serveur de contrôle d'accès sécurisé Cisco (ACS) 4.2, 5.3- configuré via une interface Web, aux fonctionnalités sophistiquées, vous permet de créer des systèmes distribués et tolérants aux pannes, coûteux
GratuitRADIUS- gratuit, configuré à l'aide de configurations de texte, peu pratique à gérer et à surveiller

Dans ce cas, le responsable du traitement surveille attentivement l'échange d'informations en cours et attend l'autorisation ou le refus de celui-ci. En cas de succès, le serveur RADIUS est capable de transférer des paramètres supplémentaires au point d'accès (par exemple, dans quel VLAN placer l'abonné, quelle adresse IP attribuer, profil QoS, etc.). A la fin de l'échange, le serveur RADIUS permet au client et au point d'accès de générer et d'échanger des clés de chiffrement (individuelles, valables uniquement pour cette session) :

PAE

Le protocole EAP lui-même est basé sur des conteneurs, ce qui signifie que le mécanisme d'autorisation réel est laissé aux protocoles internes. À l'heure actuelle, les éléments suivants ont reçu une distribution significative :

PAE-RAPIDE(Authentification flexible via Secure Tunneling) - développé par Cisco ; permet l'autorisation à l'aide d'un login et d'un mot de passe transmis dans le tunnel TLS entre le demandeur et le serveur RADIUS
EAP-TLS(Sécurité de la couche de transport). Utilise les infrastructures clés publiques(PKI) pour autoriser le client et le serveur (candidat et serveur RADIUS) via des certificats émis par une autorité de certification (CA) de confiance. Nécessite l'émission et l'installation de certificats clients pour chacun appareil sans fil, ne convient donc qu'aux environnements d'entreprise gérés. Le serveur de certificats Windows dispose de fonctionnalités permettant au client de générer son propre certificat s'il est membre d'un domaine. Le blocage d'un client peut facilement être effectué en révoquant son certificat (ou via Comptes).
EAP-TTLS(Tunneled Transport Layer Security) est similaire à EAP-TLS, mais ne nécessite pas de certificat client lors de la création d'un tunnel. Dans un tel tunnel, similaire à une connexion SSL de navigateur, une autorisation supplémentaire est effectuée (à l'aide d'un mot de passe ou autre).
PEAP-MSCHAPv2(EAP protégé) - similaire à EAP-TTLS en termes d'établissement initial d'un tunnel TLS crypté entre le client et le serveur, nécessitant un certificat de serveur. Par la suite, un tel tunnel est autorisé grâce au protocole bien connu MSCHAPv2.
PEAP-GTC(Generic Token Card) - similaire à la précédente, mais nécessite des cartes à mot de passe à usage unique (et l'infrastructure correspondante)

Toutes ces méthodes (sauf EAP-FAST) nécessitent un certificat de serveur (sur le serveur RADIUS) délivré par une autorité de certification (CA). Dans ce cas, le certificat CA lui-même doit être présent sur l'appareil du client dans le groupe de confiance (ce qui est facile à mettre en œuvre en utilisant stratégie de groupe sous Windows). De plus, EAP-TLS nécessite un certificat client individuel. L'authentification du client s'effectue comme suit : signature numérique, donc (facultatif) en comparant le certificat fourni par le client au serveur RADIUS avec ce que le serveur a récupéré de l'infrastructure PKI (Active Directory).

La prise en charge de l’une des méthodes EAP doit être fournie par un demandeur côté client. La norme intégrée Windows XP/Vista/7, iOS et Android fournit au moins EAP-TLS et EAP-MSCHAPv2, ce qui rend ces méthodes populaires. Les adaptateurs clients Intel pour Windows sont livrés avec l'utilitaire ProSet, qui élargit la liste disponible. Le client Cisco AnyConnect fait de même.

Dans quelle mesure est-il fiable ?

Après tout, que faut-il pour qu’un attaquant pirate votre réseau ?

Pour l'authentification ouverte, pas de cryptage - rien. Connecté au réseau, et c'est tout. Le support radio étant ouvert, le signal se propage dans des directions différentes, il n'est pas facile de le bloquer. Si vous disposez des adaptateurs clients appropriés qui vous permettent d'écouter l'air, le trafic réseau est visible de la même manière que si l'attaquant s'était connecté au fil, au hub, au port SPAN du commutateur.
Le cryptage basé sur WEP ne nécessite que du temps IV et l'un des nombreux utilitaires d'analyse disponibles gratuitement.
Pour le cryptage basé sur TKIP ou AES, un décryptage direct est théoriquement possible, mais en pratique il n'y a eu aucun cas de piratage.

Bien sûr, vous pouvez essayer de deviner la clé PSK ou le mot de passe pour l'une des méthodes EAP. Les attaques courantes contre ces méthodes ne sont pas connues. Vous pouvez essayer d'utiliser des méthodes d'ingénierie sociale, ou

Aujourd’hui, de nombreuses personnes possèdent un routeur Wi-Fi à la maison. Après tout, sans fil, il est beaucoup plus facile de connecter à Internet un ordinateur portable, une tablette et un smartphone, qui comptent plus de personnes dans chaque famille. Et lui (le routeur) est essentiellement la passerelle vers l’univers de l’information. Lisez la porte d'entrée. Et cela dépend de cette porte si un invité non invité viendra à vous sans votre permission. Il est donc très important de faire attention réglage correct routeur afin que votre réseau sans fil ne soit pas vulnérable.

Pourquoi chiffrer ? Qui a besoin de moi ? je n'ai rien à cacher

Ce n’est pas si effrayant s’ils volent le code PIN de votre carte de crédit et en retirent tout l’argent. De plus, si quelqu'un surfe sur Internet à vos frais, connaissant le mot de passe Wi-Fi. Et ce n'est pas si effrayant s'ils publient vos photos de soirées d'entreprise où vous avez l'air inesthétique. C'est beaucoup plus offensant lorsque des attaquants pénètrent dans votre ordinateur et suppriment des photos de la façon dont vous avez récupéré votre fils à la maternité, de la façon dont il a fait ses premiers pas et est allé en première année. Les sauvegardes sont un sujet à part, bien sûr elles doivent être faites... Mais avec le temps, votre réputation peut être restaurée, vous pouvez gagner de l'argent, mais les photographies qui vous sont chères ne sont plus là. Je pense que tout le monde a quelque chose qu’il ne veut pas perdre.
Votre routeur est un appareil frontalier entre privé et public, alors assurez-vous qu'il est entièrement protégé. De plus, ce n'est pas si difficile.

Technologies et algorithmes de cryptage

Quelle est la différence entre WPA(WPA2) et WPA-PSK(WPA2-PSK)

La norme WPA fournit le protocole EAP (Extensible Authentication Protocol) comme base du mécanisme d'authentification des utilisateurs. Une condition indispensable à l'authentification est la présentation par l'utilisateur d'un certificat (autrement appelé identifiant) confirmant son droit d'accès au réseau. Pour obtenir ce droit, l'utilisateur est vérifié par rapport à une base de données spéciale d'utilisateurs enregistrés. Sans authentification, l'utilisateur se verra interdire d'utiliser le réseau. La base d'utilisateurs enregistrés et le système de vérification dans les grands réseaux sont généralement situés sur un serveur spécial (le plus souvent RADIUS).
Le mode clé pré-partagée simplifié (WPA-PSK, WPA2-PSK) vous permet d'utiliser un mot de passe, qui est stocké directement dans le routeur. D'une part, tout est simplifié, il n'est pas nécessaire de créer et de maintenir une base d'utilisateurs, d'autre part, tout le monde se connecte avec le même mot de passe.
A la maison, il est plus conseillé d'utiliser WPA2-PSK, c'est-à-dire le mode simplifié de la norme WPA. La sécurité Wi-Fi ne souffre pas de cette simplification.

Mot de passe d'accès Wi-Fi

Tout est simple ici. Le mot de passe de votre point d'accès sans fil (routeur) doit comporter plus de 8 caractères et contenir des lettres dans des casses différentes, des chiffres et des signes de ponctuation. Et il ne doit en aucun cas être associé à vous. Cela signifie que vos dates de naissance, vos noms, numéros de voiture, numéros de téléphone, etc. ne peuvent pas être utilisés comme mot de passe.
Puisqu'il est presque impossible de casser WPA2-AES de front (il n'y a eu que quelques cas simulés en laboratoire), les principales méthodes de piratage de WPA2 sont l'attaque par dictionnaire et la force brute (recherche séquentielle de toutes les options de mot de passe). Par conséquent, plus le mot de passe est complexe, moins les attaquants ont de chances.

... en URSS, les casiers de stockage automatiques se sont généralisés dans les gares. Le code de verrouillage était composé d'une lettre et de trois chiffres. Cependant, peu de gens savent que la première version des casiers de stockage utilisait 4 chiffres comme combinaison de codes. Il semblerait, quelle est la différence ? Après tout, le nombre de combinaisons de codes est le même - 10 000 (dix mille). Mais comme l'a montré la pratique (en particulier le Département des enquêtes criminelles de Moscou), lorsqu'on a demandé à une personne d'utiliser une combinaison de 4 chiffres comme mot de passe pour accéder à une cellule de stockage, beaucoup de gens ont utilisé leur année de naissance (afin de ne pas oublier ). Ce que les attaquants ont utilisé avec beaucoup de succès. Après tout, les deux premiers chiffres de la date de naissance de la majorité absolue de la population du pays étaient connus - 19. Il ne reste plus qu'à déterminer à l'œil nu l'âge approximatif de la personne chargée de l'enregistrement des bagages, et chacun d'entre nous peut le faire. ceci avec une précision de +/- 3 ans, et le reste que nous obtenons (plus précisément, les attaquants) est de moins de 10 combinaisons pour sélectionner un code d'accès à un casier de stockage automatique...

Mot de passe le plus populaire

La paresse et l’irresponsabilité humaines ont des conséquences néfastes. Voici une liste des mots de passe les plus populaires :

123456
qwerty
111111
123123
1a2b3c
Date de naissance
Numéro de téléphone portable

Règles de sécurité lors de la création d'un mot de passe

À chacun ses goûts. Autrement dit, le mot de passe du routeur ne doit correspondre à aucun autre mot de passe dont vous disposez. Du courrier, par exemple. Faites en sorte que tous les comptes aient leurs propres mots de passe et qu'ils soient tous différents.
Utilisez des mots de passe forts qui ne peuvent être devinés. Par exemple : 2Rk7-kw8Q11vlOp0

Le mot de passe Wi-Fi présente un énorme avantage. Vous n'avez pas besoin de vous en souvenir. Vous pouvez l'écrire sur un morceau de papier et le coller au bas du routeur.

Zone Wi-Fi invité

Pour protéger votre réseau Wi-Fi et définir un mot de passe, vous devez sélectionner le type de sécurité du réseau sans fil et la méthode de cryptage. Et à ce stade, beaucoup de gens se posent une question : lequel choisir ? WEP, WPA ou WPA2 ? Personnel ou Entreprise ? AES ou TKIP ? Quels paramètres de sécurité protégeront au mieux votre réseau Wi-Fi ? Je vais essayer de répondre à toutes ces questions dans le cadre de cet article. Considérons tout méthodes possibles authentification et cryptage. Découvrons quels paramètres de sécurité du réseau Wi-Fi sont les mieux définis dans les paramètres du routeur.

Veuillez noter que le type de sécurité, ou l'authentification, l'authentification réseau, la sécurité, la méthode d'authentification sont tous la même chose.

Le type d'authentification et le cryptage sont les principaux paramètres de sécurité Wi-Fi sans fil réseaux. Je pense que nous devons d'abord déterminer de quoi il s'agit, quelles versions existent, leurs capacités, etc. Après quoi nous découvrirons quel type de protection et de cryptage choisir. Je vais vous montrer en utilisant l'exemple de plusieurs routeurs populaires.

Je recommande fortement de définir un mot de passe et de protéger votre réseau sans fil. Définissez le niveau de protection maximum. Si vous laissez le réseau ouvert, sans protection, alors n’importe qui peut s’y connecter. C’est avant tout dangereux. Et aussi une charge supplémentaire sur votre routeur, une baisse de la vitesse de connexion et toutes sortes de problèmes de connexion des différents appareils.

Protection du réseau Wi-Fi : WEP, WPA, WPA2

Il existe trois options de protection. Bien sûr, sans compter « Ouvert » (Aucune protection).

WEP(Wired Equivalent Privacy) est une méthode d’authentification obsolète et non sécurisée. C'est la première méthode de protection, et celle-ci n'est pas très efficace. Les attaquants peuvent facilement accéder aux réseaux sans fil protégés par WEP. Il n'est pas nécessaire de paramétrer ce mode dans les paramètres de votre routeur, bien qu'il y soit présent (pas toujours).
WPA(Wi-Fi Protected Access) est un type de sécurité fiable et moderne. Compatibilité maximale avec tous les appareils et systèmes d'exploitation.
WPA2– une nouvelle version améliorée et plus fiable de WPA. Le cryptage AES CCMP est pris en charge. Pour le moment, c'est La meilleure façon Protection du réseau Wi-Fi. C'est ce que je recommande d'utiliser.

WPA/WPA2 peut être de deux types :

WPA/WPA2 – Personnel (PSK)- Il s'agit de la méthode d'authentification habituelle. Lorsqu'il vous suffit de définir un mot de passe (clé), puis de l'utiliser pour vous connecter à un réseau Wi-Fi. Le même mot de passe est utilisé pour tous les appareils. Le mot de passe lui-même est stocké sur les appareils. Où vous pouvez le visualiser ou le modifier si nécessaire. Il est recommandé d'utiliser cette option.
WPA/WPA2 - Entreprise- une méthode plus complexe qui est principalement utilisée pour protéger les réseaux sans fil dans les bureaux et divers établissements. Permet un niveau de protection plus élevé. Utilisé uniquement lorsqu'un serveur RADIUS est installé pour autoriser les appareils (qui donne des mots de passe).

Je pense que nous avons trouvé la méthode d'authentification. La meilleure chose à utiliser est WPA2 – Personnel (PSK). Pour une meilleure compatibilité, afin qu'il n'y ait aucun problème pour connecter des appareils plus anciens, vous pouvez définir le mode mixte WPA/WPA2. Il s'agit du paramètre par défaut sur de nombreux routeurs. Ou marqué comme « Recommandé ».

Cryptage du réseau sans fil

Il y a deux manières TKIP Et AES.

Il est recommandé d'utiliser AES. Si vous avez des appareils plus anciens sur votre réseau qui ne prennent pas en charge le cryptage AES (mais uniquement TKIP) et qu'il y aura des problèmes pour les connecter au réseau sans fil, réglez-le sur « Auto ». Le type de cryptage TKIP n'est pas pris en charge en mode 802.11n.

Dans tous les cas, si vous installez strictement WPA2 - Personnel (recommandé), alors seul le cryptage AES sera disponible.

Quelle protection dois-je installer sur mon routeur Wi-Fi ?

Utiliser WPA2 – Personnel avec cryptage AES. Aujourd’hui, c’est le moyen le meilleur et le plus sûr. Voici à quoi ressemblent les paramètres de sécurité du réseau sans fil sur les routeurs ASUS :

Et voici à quoi ressemblent ces paramètres de sécurité sur les routeurs de TP-Link (avec ancien firmware).

Vous pouvez voir des instructions plus détaillées pour TP-Link.

Instructions pour les autres routeurs :

Si vous ne savez pas où trouver tous ces paramètres sur votre routeur, alors écrivez dans les commentaires, je vais essayer de vous le dire. N'oubliez pas de préciser le modèle.

Depuis les anciens appareils WPA2 - Personnels (AES) ( Adaptateurs Wi-Fi, téléphones, tablettes, etc.) peuvent ne pas le prendre en charge, alors en cas de problèmes de connexion, réglez le mode mixte (Auto).

Je remarque souvent qu'après avoir modifié le mot de passe ou d'autres paramètres de sécurité, les appareils ne veulent pas se connecter au réseau. Les ordinateurs peuvent recevoir l'erreur « Les paramètres réseau enregistrés sur cet ordinateur ne répondent pas aux exigences de ce réseau ». Essayez de supprimer (oublier) le réseau sur l'appareil et de vous reconnecter. J'ai écrit comment faire cela sous Windows 7. Mais sous Windows 10, vous avez besoin de .

Mot de passe (clé) WPA PSK

Quel que soit le type de méthode de sécurité et de cryptage que vous choisissez, vous devez définir un mot de passe. Également connue sous le nom de clé WPA, mot de passe sans fil, clé de sécurité du réseau Wi-Fi, etc.

La longueur du mot de passe est de 8 à 32 caractères. Vous pouvez utiliser des lettres de l'alphabet latin et des chiffres. Egalement des caractères spéciaux : - @ $ # ! etc. Pas d'espace ! Le mot de passe est sensible à la casse ! Cela signifie que « z » et « Z » sont des caractères différents.

Je ne recommande pas de parier mots de passe simples. Il vaut mieux créer mot de passe fort, que personne ne pourra récupérer, même s'il fait de gros efforts.

Il est peu probable que vous puissiez vous souvenir d'un mot de passe aussi complexe. Ce serait bien de l'écrire quelque part. Il n’est pas rare que les mots de passe Wi-Fi soient tout simplement oubliés. J'ai écrit dans l'article quoi faire dans de telles situations : .

Si vous avez besoin d'encore plus de sécurité, vous pouvez utiliser la liaison d'adresse MAC. C’est vrai, je n’en vois pas la nécessité. WPA2 - Personnel associé à AES et un mot de passe complexe suffisent amplement.

Comment protéger votre réseau Wi-Fi ? Écrivez dans les commentaires. Eh bien, posez des questions :)