Escolha dos leitores
Artigos populares
Hoje muitos têm Wi-Fi em casa roteador. Afinal, sem fio é muito mais fácil conectar à Internet um laptop, um tablet e um smartphone, que são mais do que pessoas em cada família. E ele (o roteador) é essencialmente a porta de entrada para o universo da informação. Leia a porta da frente. E depende desta porta se um convidado indesejado virá até você sem a sua permissão. Portanto, é muito importante ficar atento configuração correta roteador para que sua rede sem fio não fique vulnerável.
Acho que não preciso lembrá-lo de que ocultar o SSID do ponto de acesso não protege você. Restringir o acesso por endereço MAC não é eficaz. Portanto, apenas métodos modernos de criptografia e uma senha complexa.
Não é tão assustador se o seu código PIN for roubado Cartão de crédito e eles vão tirar todo o dinheiro dela. Além disso, se alguém navegar na Internet às suas custas, sabendo a senha do Wi-Fi. E não é tão assustador se suas fotos de festas corporativas forem publicadas onde você parece feio. É muito mais ofensivo quando invasores entram no seu computador e apagam fotos de como você pegou seu filho na maternidade, como ele deu os primeiros passos e foi para a primeira série. Os backups são um tópico separado, é claro que precisam ser feitos... Mas com o tempo, sua reputação pode ser restaurada, você pode ganhar dinheiro, mas as fotos que lhe são caras não estão mais lá. Acho que todo mundo tem algo que não quer perder.
Seu roteador é um dispositivo de fronteira entre o privado e o público, portanto, certifique-se de que esteja totalmente protegido. Além disso, não é tão difícil.
Estou deixando de fora a teoria. Não importa como funciona, o principal é saber utilizá-lo.
Tecnologias de segurança sem fio desenvolvidas na seguinte ordem cronológica: WEP, WPA, WPA2. Os métodos de criptografia RC4, TKIP, AES também evoluíram.
O melhor em termos de segurança hoje é a combinação WPA2-AES. É exatamente assim que você deve tentar configurar o Wi-Fi. Deve ser algo assim:
O WPA2 é obrigatório desde 16 de março de 2006. Mas às vezes você ainda pode encontrar equipamentos que não suportam isso. Em particular, se você tiver o Windows XP instalado em seu computador sem o terceiro service pack, o WPA2 não funcionará. Portanto, por questões de compatibilidade, nos roteadores você pode encontrar opções de configuração WPA2-PSK -> AES+TKIP e outro zoológico.
Mas se a sua frota de dispositivos for moderna, então é melhor usar WPA2 (WPA2-PSK) -> AES, como a opção mais segura atualmente.
O padrão WPA fornece o Extensible Authentication Protocol (EAP) como base para o mecanismo de autenticação do usuário. Uma condição indispensável para a autenticação é a apresentação pelo usuário de um certificado (também chamado de credencial) confirmando seu direito de acesso à rede. Para obter este direito, o usuário é verificado em um banco de dados especial de usuários registrados. Sem autenticação, o usuário estará proibido de utilizar a rede. Base de usuários cadastrados e sistema de verificação em grandes redes geralmente localizado em servidor especial(na maioria das vezes RAIO).
O modo de chave pré-compartilhada simplificada (WPA-PSK, WPA2-PSK) permite que você use uma senha, que é armazenada diretamente no roteador. Por um lado, tudo é simplificado, não há necessidade de criar e manter uma base de usuários, por outro lado, todos fazem login com a mesma senha.
Em casa é mais aconselhável usar WPA2-PSK, ou seja, o modo simplificado do padrão WPA. A segurança do Wi-Fi não sofre com esta simplificação.
Tudo é simples aqui. A senha do seu ponto de acesso sem fio (roteador) deve ter mais de 8 caracteres e conter letras maiúsculas, números e sinais de pontuação diferentes. E ele não deveria estar associado a você de forma alguma. Isso significa que datas de nascimento, seus nomes, números de carro, números de telefone, etc. não podem ser usados como senha.
Como é quase impossível quebrar o WPA2-AES de frente (houve apenas alguns casos simulados em condições de laboratório), os principais métodos para quebrar o WPA2 são o ataque de dicionário e a força bruta (pesquisa sequencial de todas as opções de senha). Portanto, quanto mais complexa a senha, menores são as chances dos invasores.
... na URSS, os armários automáticos tornaram-se difundidos nas estações ferroviárias. O código de bloqueio era uma letra e três números. No entanto, poucas pessoas sabem que a primeira versão dos armários de armazenamento usava 4 dígitos como combinação de código. Que diferença pareceria? Afinal, o número de combinações de códigos é o mesmo – 10.000 (dez mil). Mas, como a prática tem mostrado (especialmente o Departamento de Investigação Criminal de Moscou), quando uma pessoa foi solicitada a usar uma combinação de 4 dígitos como senha para um armário de armazenamento, muitas pessoas usaram seu ano de nascimento (para não esquecer ). O que os invasores usaram com bastante sucesso. Afinal, eram conhecidos os dois primeiros dígitos da data de nascimento da maioria absoluta da população do país - 19. Resta determinar a olho nu a idade aproximada do despachante da bagagem, e qualquer um de nós pode fazer isso com uma precisão de +/- 3 anos, e o restante que obtemos (mais precisamente, os invasores) é menos 10 combinações para selecionar um código de acesso celular câmera automática armazenar...
A preguiça e a irresponsabilidade humanas cobram seu preço. Aqui está uma lista das senhas mais populares:
você Senha do wifi há uma grande vantagem. Você não precisa se lembrar disso. Você pode escrever em um pedaço de papel e colá-lo na parte inferior do roteador.
Se o seu roteador permitir, você pode organizar uma área para convidados. Então certifique-se de fazer isso. Protegendo-o naturalmente com WPA2 e uma senha forte. E agora, quando amigos chegam à sua casa e pedem acesso à Internet, você não precisa mais informar sua senha principal. Além disso, a zona convidada nos roteadores é isolada da rede principal. E quaisquer problemas com os dispositivos dos seus convidados não afetarão a sua rede doméstica.
Hoje vamos nos aprofundar um pouco mais no tema proteção. conexão sem fio. Vamos descobrir o que é - também chamado de “autenticação” - e qual é melhor escolher. Você provavelmente já encontrou abreviações como WEP, WPA, WPA2, WPA2/PSK. E também algumas de suas variedades - Personal ou Enterprice e TKIP ou AES. Bem, vamos dar uma olhada em todos eles e descobrir que tipo de criptografia escolher para garantir velocidade máxima sem sacrificar a velocidade.
Noto que para proteger o seu Senha do wifi necessário, independentemente do tipo de criptografia que você escolher. Mesmo a autenticação mais simples evitará problemas bastante sérios no futuro.
Por que eu digo isso? Não é nem mesmo uma questão de que conectar muitos clientes errados irá desacelerar sua rede – isso é apenas o começo. A principal razão é que se a sua rede não estiver protegida por senha, um invasor pode se anexar a ela, que realizará ações ilegais no seu roteador, e então você terá que responder por suas ações, então leve a proteção wi-fi muito a sério .
Então, estamos convencidos da necessidade de criptografar a rede wifi, agora vamos ver quais tipos existem:
WEP(Wired Equivalent Privacy) é o primeiro padrão a surgir, mas sua confiabilidade não atende mais aos requisitos modernos. Todos os programas configurados para hackear a rede método wi-fi as pesquisas de caracteres visam principalmente a seleção de uma chave de criptografia WEP.
WPA(Wi-Fi Protected Access) é um padrão de autenticação mais moderno que permite proteger de forma confiável rede local e a Internet contra a penetração ilegal.
WPA2- uma versão melhorada do tipo anterior. Hackear o WPA2 é quase impossível, ele oferece o máximo grau de segurança, por isso em meus artigos sempre digo sem explicação que você precisa instalá-lo - agora você sabe por quê.
Os padrões de segurança WiFi WPA2 e WPA têm mais duas variedades:
Portanto, decidimos que WPA2/PSK (Pessoal) é a melhor escolha para segurança de rede, mas possui mais dois tipos de criptografia de dados para autenticação.
Resolvemos a teoria - vamos passar à prática. Como ninguém utiliza os padrões WiFi 802.11 “B” e “G”, que têm velocidade máxima de até 54 Mbit/s, hoje a norma é 802.11 “N” ou “AC”, que suporta velocidades de até 300 Mbit /s e superiores, então não faz sentido considerar a opção de usar a proteção WPA/PSK com o tipo de criptografia TKIP. Portanto, ao configurar uma rede sem fio, defina-a como padrão
WPA2/PSK-AES
Ou, como último recurso, especifique “Auto” como o tipo de criptografia para ainda permitir a conexão de dispositivos com um módulo WiFi desatualizado.
Neste caso, a chave WPA, ou simplesmente, a senha de conexão à rede, deve ter de 8 a 32 caracteres, incluindo letras minúsculas e maiúsculas do inglês, além de diversos caracteres especiais.
As capturas de tela acima mostram o painel de controle de um roteador TP-Link moderno em nova versão firmware. A configuração da criptografia de rede aqui está na seção " Configurações adicionais- Modo sem-fio.
Na antiga versão “verde”, as configurações de rede WiFi que nos interessam estão localizadas no “ Modo sem fio - Segurança". Se fizer tudo como na imagem, vai ficar ótimo!
Se você notou, também existe um item como “Período de atualização da chave do grupo WPA”. O fato é que para proporcionar maior proteção, chave digital WPA para criptografia de conexão muda dinamicamente. Aqui você define o valor em segundos após o qual a alteração ocorre. Recomendo não tocá-lo e deixá-lo no padrão - em modelos diferentes O intervalo de atualização é diferente.
Nos roteadores ASUS, todas as configurações de WiFi estão localizadas em uma página “Rede sem fio”
Da mesma forma para Zyxel Keenético— seção “Rede WiFi - Ponto de acesso”
Em roteadores Keenetic sem o prefixo “Zyxel”, o tipo de criptografia pode ser alterado no “ rede doméstica».
No D-Link procuramos a seção “ WiFi - Segurança»
Bem, hoje entendemos os tipos de criptografia WiFi e termos como WEP, WPA, WPA2-PSK, TKIP e AES e aprendemos qual é o melhor para escolher. Leia também sobre outras opções de segurança de rede em um dos meus artigos anteriores, no qual falo sobre endereços MAC e IP e outros métodos de segurança.
Com a disseminação das redes sem fio, os protocolos de criptografia WPA e WPA2 tornaram-se conhecidos por quase todos os proprietários de dispositivos conectados ao Wi-Fi. Eles são indicados nas propriedades da conexão e atraem atenção mínima da maioria dos usuários que não são administradores de sistema. Basta saber que o WPA2 é uma evolução do WPA e, portanto, o WPA2 é mais novo e mais adequado para redes modernas.
WPAé um protocolo de criptografia projetado para proteger redes sem fio do padrão IEEE 802.11, desenvolvido pela Wi-Fi Alliance em 2003 como substituto do protocolo WEP desatualizado e inseguro.
WPA2- um protocolo de criptografia que é um desenvolvimento aprimorado do WPA, introduzido em 2004 pela Wi-Fi Alliance.
Encontrar a diferença entre WPA e WPA2 não é relevante para a maioria dos usuários, uma vez que toda a proteção rede sem fio se resume a escolher uma senha de acesso mais ou menos complexa. Hoje a situação é tal que todos os dispositivos operando em Redes Wi-Fi, são necessários para suportar WPA2, portanto a escolha de WPA só pode ser determinada em situações não padronizadas. Por exemplo, SO anteriores ao Windows XP SP3 não suportam WPA2 sem aplicação de patches, portanto, máquinas e dispositivos gerenciados por tais sistemas requerem a atenção de um administrador de rede. Até mesmo alguns smartphones modernos pode não suportar o novo protocolo de criptografia, isso se aplica principalmente a gadgets asiáticos sem marca. Por outro lado, alguns Versões do Windows anteriores ao XP não suportam WPA2 no nível do objeto política de grupo, então neste caso eles exigem mais afinação conexões de rede.
A diferença técnica entre WPA e WPA2 é a tecnologia de criptografia, em particular, os protocolos utilizados. WPA usa o protocolo TKIP, WPA2 usa o protocolo AES. Na prática, isso significa que o WPA2 mais moderno oferece um maior grau de segurança de rede. Por exemplo, o protocolo TKIP permite criar uma chave de autenticação de até 128 bits, AES - até 256 bits.
EM Ultimamente Muitas publicações “expositoras” surgiram sobre a invasão de algum novo protocolo ou tecnologia que compromete a segurança das redes sem fio. É realmente assim, do que você deve ter medo e como garantir que o acesso à sua rede seja o mais seguro possível? As palavras WEP, WPA, 802.1x, EAP, PKI significam pouco para você? Esta breve visão geral ajudará a reunir todas as tecnologias atuais de criptografia e autorização de acesso por rádio. Tentarei mostrar que uma rede sem fio configurada corretamente representa uma barreira intransponível para um invasor (até certo limite, é claro).
Os parâmetros de uma rede sem fio, principalmente seu nome (SSID), são regularmente anunciados pelo ponto de acesso em pacotes de beacon de transmissão. Além das configurações de segurança esperadas, são transmitidas solicitações de QoS, parâmetros 802.11n, velocidades suportadas, informações sobre outros vizinhos, etc. A autenticação determina como o cliente se apresenta ao ponto. Opções possíveis:
Combinação Autenticação aberta, sem criptografia amplamente utilizado em sistemas de acesso de hóspedes, como o fornecimento de Internet em um café ou hotel. Para se conectar, você só precisa saber o nome da rede sem fio. Freqüentemente, essa conexão é combinada com verificação adicional no Portal Cativo, redirecionando a solicitação HTTP do usuário para página adicional, onde você pode solicitar confirmação (login-senha, concordância com as regras, etc.).
Criptografia WEP está comprometido e não pode ser usado (mesmo no caso de chaves dinâmicas).
Termos de ocorrência comum WPA E WPA2 determinar, de fato, o algoritmo de criptografia (TKIP ou AES). Devido ao fato de os adaptadores clientes suportarem WPA2 (AES) há algum tempo, não faz sentido usar a criptografia TKIP.
Diferença entre WPA2 Pessoal E WPA2 Empresarialé de onde vêm as chaves de criptografia usadas na mecânica do algoritmo AES. Para aplicações privadas (domésticas, pequenas), é utilizada uma chave estática (senha, palavra de código, PSK (chave pré-compartilhada)) com comprimento mínimo de 8 caracteres, que é definida nas configurações do ponto de acesso e é a mesma para todos os clientes de uma determinada rede sem fio. O comprometimento de tal chave (eles contaram tudo para um vizinho, um funcionário foi demitido, um laptop foi roubado) exige uma mudança imediata de senha para todos os usuários restantes, o que só é realista se houver um pequeno número deles. Para aplicações corporativas, como o nome sugere, é utilizada uma chave dinâmica, individual para cada cliente em execução no momento. Esta chave pode ser atualizada periodicamente durante a operação sem interromper a conexão, e um componente adicional é responsável por sua geração - o servidor de autorização, e quase sempre este é um servidor RADIUS.
Todos os parâmetros de segurança possíveis estão resumidos nesta placa:
Propriedade | WEP estático | WEP dinâmico | WPA | WPA 2 (empresarial) |
Identificação | Usuário, computador, placa WLAN | Usuário, computador |
Usuário, computador |
Usuário, computador |
Autorização |
Chave compartilhada |
PAE |
EAP ou chave compartilhada |
EAP ou chave compartilhada |
Integridade |
Valor de verificação de integridade de 32 bits (ICV) |
ICV de 32 bits |
Código de integridade de mensagem (MIC) de 64 bits |
CRT/CBC-MAC (Código de autenticação de encadeamento de bloco de criptografia em modo contador - CCM) Parte do AES |
Criptografia |
Chave estática |
Chave de sessão |
Chave por pacote via TKIP |
CCMP (AES) |
Distribuição de chaves |
Único, manual |
Segmento de chave mestra em pares (PMK) |
Derivado de PMK |
Derivado de PMK |
Vetor de inicialização |
Texto, 24 bits |
Texto, 24 bits |
Vetor avançado, 65 bits |
Número de pacote de 48 bits (PN) |
Algoritmo |
RC4 |
RC4 |
RC4 |
AES |
Comprimento da chave, bits |
64/128 |
64/128 |
128 |
até 256 |
Infraestrutura necessária |
Não |
RAIO |
RAIO |
RAIO |
Embora o WPA2 Personal (WPA2 PSK) seja claro, uma solução empresarial requer mais considerações.
O uso do mecanismo de autorização EAP em sua rede leva ao fato de que após a autenticação bem-sucedida (quase certamente aberta) do cliente pelo ponto de acesso (junto com o controlador, se houver), este último solicita ao cliente que autorize (confirme sua autoridade) com o servidor RADIUS de infraestrutura:
Uso WPA2 Empresarial requer um servidor RADIUS na sua rede. No momento, os produtos mais eficientes são os seguintes:
Neste caso, o responsável pelo tratamento monitoriza cuidadosamente a troca contínua de informações e aguarda a autorização ou recusa bem-sucedida da mesma. Se for bem-sucedido, o servidor RADIUS será capaz de transferir parâmetros adicionais para o ponto de acesso (por exemplo, em qual VLAN colocar o assinante, qual endereço IP atribuir, perfil de QoS, etc.). Ao final da troca, o servidor RADIUS permite que o cliente e o ponto de acesso gerem e troquem chaves de criptografia (individuais, válidas apenas para esta sessão):
Todos esses métodos (exceto EAP-FAST) exigem um certificado de servidor (no servidor RADIUS) emitido por uma autoridade de certificação (CA). Nesse caso, o próprio certificado CA deve estar presente no dispositivo do cliente no grupo confiável (o que é fácil de implementar usando a Política de Grupo no Windows). Além disso, o EAP-TLS exige um certificado de cliente individual. A autenticação do cliente é realizada da seguinte forma: assinatura digital, portanto (opcional) comparando o certificado fornecido pelo cliente ao servidor RADIUS com o que o servidor recuperou da infraestrutura PKI (Active Directory).
O suporte para qualquer um dos métodos EAP deve ser fornecido por um suplicante do lado do cliente. O padrão integrado do Windows XP/Vista/7, iOS, Android fornece pelo menos EAP-TLS e EAP-MSCHAPv2, o que torna esses métodos populares. Os adaptadores clientes Intel para Windows vêm com o utilitário ProSet, que expande a lista disponível. O cliente Cisco AnyConnect faz o mesmo.
Para autenticação aberta, sem criptografia - nada. Conectado à rede e pronto. Como o meio de rádio está aberto, o sinal viaja em diferentes direções, não é fácil bloqueá-lo. Se você tiver os adaptadores clientes apropriados que permitem ouvir o ar, o tráfego de rede será visível da mesma forma como se o invasor tivesse se conectado ao fio, ao hub, à porta SPAN do switch.
A criptografia baseada em WEP requer apenas tempo IV e um dos muitos utilitários de varredura disponíveis gratuitamente.
Para criptografia baseada em TKIP ou AES, a descriptografia direta é possível em teoria, mas na prática não houve casos de hacking.
Claro, você pode tentar adivinhar a chave PSK ou a senha de um dos métodos EAP. Não há ataques comuns conhecidos contra esses métodos. Você pode tentar usar métodos de engenharia social ou
Artigos relacionados: | |
Como definir o programa padrão para abrir um determinado tipo de arquivo no Windows!
Trabalho com diferentes formatos de dados, mas muitas vezes tenho que... Roteador Wi-fi Asus RT-N12: configurando uma conexão com um computador
Os roteadores Asus estão firmemente estabelecidos na vida cotidiana de casa e... A configuração do sistema não identificada altera o que fazer
Olá, querido leitor! Isso aconteceu há duas semanas... |