«...Ασφάλεια πληροφοριών και ασύρματα δίκτυα;
Αλλά δεν είναι αυτές αλληλοαποκλειόμενες έννοιες;»
Από μια συζήτηση στην έκθεση Svyazexpocom-2004"

Οι συσκευές ασύρματης επικοινωνίας που βασίζονται σε πρότυπα 802.11x κινούνται πολύ επιθετικά στην αγορά εξοπλισμού δικτύου σήμερα. Αυτό δεν προκαλεί έκπληξη: ευκολία χρήσης για χρήστες κινητών και σχεδόν κινητών, οργάνωση εμπορικών και εταιρικών hotspot, "τελευταίο μίλι", σύνδεση τοπικών δικτύων (LAN) μεταξύ τους - όλα αυτά δεν είναι μια πλήρης λίστα λόγων για την εφαρμογή τέτοιες λύσεις. Πράγματι, ο αριθμός όλων των ειδών εξοπλισμού λειτουργίας 802.11x στον κόσμο είναι εντυπωσιακός: σύμφωνα με την J"son & Partners, ο αριθμός των hot spot μόνο στο τέλος του 2003 ξεπέρασε τις 43 χιλιάδες και μέχρι το τέλος του 2004 θα πρέπει να φτάσει 140 χιλιάδες. Το μερίδιο της Ρωσίας σε αυτούς τους δείκτες είναι μικρό, αλλά ο αριθμός των ασύρματων δικτύων επικοινωνίας (συμπεριλαμβανομένων των hot spots) αυξάνεται σταθερά στη χώρα μας. Σημειώνουμε επίσης ότι στη χώρα μας περισσότερο από το 80% των εταιρικών δικτύων ασύρματης επικοινωνίας είναι κατασκευασμένα Ο "παλαιότερος" και πιο συχνά χρησιμοποιούμενος εξοπλισμός - Cisco Aironet.

Αλλά δεν είναι μόνο οι αριθμοί που είναι εντυπωσιακοί. Πολύ πιο εκπληκτικό είναι ο αριθμός των παρανοήσεων που σχετίζονται με την εξασφάλιση ασφαλούς μετάδοσης δεδομένων σε τέτοια δίκτυα. Το εύρος των απόψεων εδώ είναι το ευρύτερο: από την απόλυτη εμπιστοσύνη σε οποιονδήποτε εξοπλισμό και οποιεσδήποτε ρυθμίσεις του έως μη κολακευτικά χαρακτηριστικά του είδους που αναφέραμε ως επίγραφο.

802.11x - ευαισθησία σε εξωτερικές απειλές

Η ίδια η ουσία της ασύρματης μετάδοσης δεδομένων είναι γεμάτη με τη δυνατότητα μη εξουσιοδοτημένων συνδέσεων σε σημεία πρόσβασης, υποκλοπής δεδομένων και άλλων προβλημάτων. Η απουσία καλωδίου, το οποίο είναι οργανωτικά εύκολο να προστατευτεί, δημιουργεί μια αίσθηση δυσάρεστου ανοίγματος και προσβασιμότητας.

Αξίζει να αναφερθούν οι απειλές «μη πρωτοκόλλου» - είναι η βάση του προβλήματος. Κατά την ανάπτυξη ενός ασύρματου εταιρικού δικτύου, οι διαχειριστές ενδιαφέρονται πρωτίστως για την υψηλής ποιότητας κάλυψη του χώρου του γραφείου. Πολύ συχνά, κανείς δεν λαμβάνει απλώς υπόψη του ότι οι ύπουλοι χάκερ μπορούν να συνδεθούν στο δίκτυο απευθείας από ένα αυτοκίνητο που είναι σταθμευμένο στο δρόμο. Επιπλέον, υπάρχουν καταστάσεις κατά τις οποίες, καταρχήν, είναι αδύνατο να εξαλειφθεί η ίδια η πιθανότητα «ακρόασης» της μεταδιδόμενης κίνησης. Ένα παράδειγμα είναι οι εξωτερικές κεραίες. Παρεμπιπτόντως, στις χώρες της ΚΑΚ η σύνδεση γραφείων LAN μεταξύ τους μέσω ασύρματης σύνδεσης είναι μια πολύ δημοφιλής λύση.

Μια εξίσου επικίνδυνη απειλή είναι η πιθανότητα κλοπής εξοπλισμού. Εάν η πολιτική ασφαλείας ενός ασύρματου δικτύου βασίζεται σε διευθύνσεις MAC, τότε οποιοδήποτε στοιχείο (κάρτα δικτύου, σημείο πρόσβασης) κλαπεί από έναν εισβολέα ανοίγει αμέσως αυτό το δίκτυο.

Και τέλος, το πρόβλημα των «πολύ έξυπνων» χρηστών. Συχνά, η μη εξουσιοδοτημένη σύνδεση σημείων πρόσβασης σε LAN είναι έργο των ίδιων των εργαζομένων του οργανισμού. Επιπλέον, αυτό γίνεται αποκλειστικά για τη διευκόλυνση της εργασίας, μερικές φορές ακόμη και με καλές προθέσεις. Φυσικά, αυτοί οι εργαζόμενοι διασφαλίζουν επίσης προστασία πληροφοριών όταν συνδέουν τέτοιες συσκευές στο δίκτυο από μόνοι τους και δεν φαντάζονται πάντα τις συνέπειες μιας τέτοιας «αυτοάμυνας».

Αυτά και παρόμοια προβλήματα πρέπει να αντιμετωπιστούν διεξοδικά. Ας σημειώσουμε αμέσως ότι τα οργανωτικά μέτρα δεν εξετάζονται στο πλαίσιο αυτού του άρθρου - συνήθως επιλέγονται με βάση τις συνθήκες λειτουργίας κάθε συγκεκριμένου δικτύου. Όσον αφορά τα τεχνικά μέτρα, ο υποχρεωτικός αμοιβαίος έλεγχος ταυτότητας των συσκευών και η εισαγωγή ενεργών (για παράδειγμα, Observer 8.3, Airopeek NX 2.01, Wireless Sniffer 4.75) και παθητικών (όπως APTools 0.1.0, xprobe 0.0.2) δίνουν πολύ καλό αποτέλεσμα.

Ευπάθεια «παλιών» μεθόδων ασφαλείας

Η επιτροπή IEEE 802.11 ανέκαθεν συμμετείχε στην προστασία δεδομένων σε ασύρματα δίκτυα. Δυστυχώς, οι μέθοδοι που χρησιμοποιήθηκαν για τη διασφάλιση της ασφάλειας των δικτύων 802.11x στο στάδιο της αρχικής ανάπτυξής τους (1997-1998) ήταν, για να το θέσω ήπια, ανεπιτυχείς. Περιλάμβαναν κρυπτογράφηση και έλεγχο ταυτότητας WEP (Wired Equivalent Privacy): βασισμένη σε διεύθυνση MAC, Open και PreShared Key.

Ας εξετάσουμε με τη σειρά τις μεθόδους που αναφέρονται. Το κλασικό πρωτόκολλο κρυπτογράφησης WEP, που αναπτύχθηκε από την RSA Data Security, χρησιμοποιεί ένα κλειδί 40 bit που προστίθεται στο δημιουργημένο διάνυσμα αρχικοποίησης (IV, το μήκος του είναι 24 bit). Χρησιμοποιώντας το κλειδί που προκύπτει, τα δεδομένα χρήστη και ένα άθροισμα ελέγχου κρυπτογραφούνται χρησιμοποιώντας τον αλγόριθμο RC4. Το διάνυσμα IV μεταδίδεται στο καθαρό.

Το πρώτο μειονέκτημα αυτής της μεθόδου είναι ότι ένα κλειδί 40 bit δεν αρκεί για την ηρεμία. Ακόμη και το DES, με το κλειδί 56-bit του, έχει αναγνωριστεί εδώ και καιρό ως αναξιόπιστο. Το δεύτερο μειονέκτημα είναι η αμετάβλητη του κλειδιού. Η χρήση στατικού κλειδιού απλοποιεί το πρόβλημα του hacking. Επειδή το κλειδί 40 bit είναι αναξιόπιστο, θα ήθελα να το αλλάζω πιο συχνά. Και τέλος, η ίδια η προσέγγιση της κρυπτογράφησης είναι πολύ αμφισβητήσιμη. Το μέγεθος του IV είναι 24 bit, πράγμα που σημαίνει ότι θα επαναληφθεί το αργότερο μετά από 5 ώρες (μήκος πακέτου 1500 bytes, ταχύτητα 11 Mbit/s).

Οι Nikita Borisov, Ian Goldberg και David Wagner ήταν οι πρώτοι που μελέτησαν αυτό το πρόβλημα και ήδη το 2001, οι πρώτες υλοποιήσεις προγραμμάτων οδήγησης και προγραμμάτων εμφανίστηκαν να αντιμετωπίζουν την κρυπτογράφηση WEP. Ένα έγγραφο που περιγράφει αυτήν την ευπάθεια δημοσιεύεται στη διεύθυνση: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.htm l.

Οι μέθοδοι ελέγχου ταυτότητας δεν είναι επίσης πολύ αξιόπιστες. Για παράδειγμα, δεν κοστίζει τίποτα για να «παρακολουθήσετε» ολόκληρη τη διαδικασία ελέγχου ταυτότητας από τη διεύθυνση MAC - τελικά, οι διευθύνσεις MAC στο πλαίσιο μεταδίδονται χωρίς κρυπτογράφηση. Εάν ένας εισβολέας γνωρίζει την αποδεκτή μέθοδο ελέγχου ταυτότητας, είναι σχεδόν έτοιμος να εισέλθει στο δίκτυο. Η πιο αξιόπιστη από τις αναφερόμενες μεθόδους είναι το PreShared Key, αλλά είναι καλό μόνο εάν είναι κρυπτογραφημένο με ασφάλεια και αντικαθιστά τακτικά κωδικούς πρόσβασης υψηλής ποιότητας.

Είναι μια κοινή παρανόηση ότι η χρήση ενός μοναδικού αναγνωριστικού συνόλου υπηρεσιών (SSID) θα αποτρέψει τις μη εξουσιοδοτημένες συνδέσεις. Δυστυχώς, το SSID είναι κατάλληλο μόνο για λογική διαίρεση των συσκευών δικτύου σε ομάδες - τίποτα περισσότερο. Το μόνο πράγμα που μπορείτε να κάνετε με ένα SSID είναι να μπερδέψετε έναν νεαρό χάκερ χρησιμοποιώντας "μη εκτυπώσιμους" χαρακτήρες. Τα σημεία πρόσβασης (Σημείο πρόσβασης, AP), για παράδειγμα, από τη Cisco Systems, σας επιτρέπουν να το κάνετε αυτό (μπορείτε να καθορίσετε τους χαρακτήρες που περιλαμβάνονται στο SSID σε δεκαεξαδικό - \xbd\xba).

Έτσι, αν λάβουμε επίσης υπόψη τη μάζα των «περίεργων» εφήβων με φορητούς υπολογιστές, ένα ασύρματο δίκτυο επικοινωνίας αναπόφευκτα αντιμετωπίζει το πρόβλημα της προστασίας από σχεδόν εγγυημένες επιθέσεις WEP.

Επιθέσεις WEP

Το ανεπαρκές μήκος του κλειδιού, η έλλειψη περιστροφής του κλειδιού και η ίδια η αρχή κρυπτογράφησης RC4, που περιγράφεται παραπάνω, καθιστούν δυνατή την οργάνωση μιας πολύ αποτελεσματικής παθητικής επίθεσης. Επιπλέον, ο εισβολέας δεν χρειάζεται να εκτελέσει ενέργειες με τις οποίες θα μπορούσε να εντοπιστεί, αρκεί απλώς να ακούσει το κανάλι. Σε αυτή την περίπτωση, δεν απαιτείται ειδικός εξοπλισμός - αρκεί μια κανονική κάρτα WLAN, που αγοράζεται για 20-25 δολάρια, καθώς και ένα πρόγραμμα που θα συσσωρεύει πακέτα στον σκληρό δίσκο μέχρι να συμπέσουν οι τιμές του διανύσματος IV. Όταν ο αριθμός των πακέτων γίνει επαρκής (συνήθως από 1 εκατομμύριο έως 4 εκατομμύρια), είναι εύκολο να υπολογιστεί το κλειδί WEP. Ένα από τα πιο δημοφιλή προγράμματα για τέτοιες «ασκήσεις» είναι το AirSnort (http://airsnort.shmoo.com). Αυτό το λογισμικό λειτουργεί με κάρτες δικτύου της Cisco Systems, κάρτες που βασίζονται στο NMC Prism-2 (υπάρχουν αρκετές από αυτές), καθώς και σε κάρτες Orinoco ή τους κλώνους τους.

Ένας χάκερ που χρησιμοποιεί μεθόδους ενεργής επίθεσης μπορεί να επιτύχει καλά αποτελέσματα. Για παράδειγμα, μπορείτε να στείλετε γνωστά δεδομένα εκτός του LAN, ας πούμε, από το Διαδίκτυο, ενώ ταυτόχρονα αναλύετε τον τρόπο με τον οποίο το σημείο πρόσβασης τα κρυπτογραφούσε. Αυτή η μέθοδος σάς επιτρέπει τόσο να υπολογίσετε το κλειδί όσο και να χειριστείτε τα δεδομένα.

Μια άλλη μέθοδος ενεργής επίθεσης είναι η επίθεση Bit-Flip. Ο αλγόριθμος των ενεργειών εδώ έχει ως εξής (Εικ. 1):

1. Αναχαιτίζουμε ένα κρυπτογραφημένο πλαίσιο WEP.
2. Αλλάζουμε τυχαία πολλά bit στο πεδίο «δεδομένα» και υπολογίζουμε εκ νέου το άθροισμα ελέγχου CRC-32.
3. Στέλνουμε το τροποποιημένο πλαίσιο στο σημείο πρόσβασης.
4. Το σημείο πρόσβασης θα δεχτεί το πλαίσιο στο επίπεδο σύνδεσης επειδή το άθροισμα ελέγχου είναι σωστό.
5. Το σημείο πρόσβασης θα προσπαθήσει να αποκρυπτογραφήσει τα δεδομένα και να απαντήσει με ένα γνωστό κείμενο, για παράδειγμα: "Το κλειδί κρυπτογράφησης είναι εσφαλμένο".
6. Η σύγκριση του κρυπτογραφημένου και μη κρυπτογραφημένου κειμένου μπορεί να επιτρέψει τον υπολογισμό του κλειδιού.

Σε αυτό το άρθρο, δεν θα εξετάσουμε μια πιθανή επίθεση DOS σε εξοπλισμό χρησιμοποιώντας τη μέθοδο διαμόρφωσης ευρείας ζώνης DSSS. Αυτός ο τύπος εξοπλισμού περιλαμβάνει συσκευές 802.11b και 802.11a που λειτουργούν σε χαμηλές ταχύτητες.

Ενδιάμεσα συμπεράσματα

Όλα τα παραπάνω υποδηλώνουν ότι οι παλιές μέθοδοι διασφάλισης της ασφάλειας στα ασύρματα δίκτυα είναι αναξιόπιστες. και εάν ο εξοπλισμός δεν επιτρέπει την εφαρμογή σύγχρονων λύσεων για την προστασία των πληροφοριών, τότε η επιλογή των στρατηγικών είναι μικρή: είτε χρησιμοποιήστε τις πιο αυστηρές διοικητικές πολιτικές (δείτε την πλαϊνή γραμμή "Διαχειριστικά μέτρα"), είτε χρησιμοποιήστε την τεχνολογία IPSec - ESP.

Η τεχνολογία IPSec - ESP σίγουρα θα προστατεύσει τα δεδομένα, αλλά θα μειώσει σημαντικά την απόδοση του LAN. Ωστόσο, αυτή η τεχνολογία αναπτύχθηκε για παγκόσμια δίκτυα και είναι άχρηστη η χρήση της σε ένα ασύρματο τοπικό δίκτυο. Η χρήση του μέσω ασύρματων καναλιών δικαιολογείται μόνο στην περίπτωση σύνδεσης διακλαδώσεων ή άλλων παρόμοιων λύσεων.

Σύγχρονες απαιτήσεις ασφαλείας ή "Life with Cisco"

Για την ησυχία κάθε χρήστη, υπάρχουν μόνο τρία ζητήματα που πρέπει να αντιμετωπιστούν για την επισκεψιμότητά του: εμπιστευτικότητα (τα δεδομένα πρέπει να είναι κρυπτογραφημένα με ασφάλεια), ακεραιότητα (τα δεδομένα πρέπει να είναι εγγυημένα ότι δεν αλλάζουν από τρίτο μέρος) και αυθεντικότητα ( εμπιστοσύνη ότι τα δεδομένα λαμβάνονται από τη σωστή πηγή).

Αυθεντικοποίηση

Το πρότυπο 802.1x ορίζεται ως πιο σύγχρονο από τα πρότυπα του 1997-1998. μια μέθοδος ελέγχου ταυτότητας που χρησιμοποιείται ευρέως σε διάφορους εξοπλισμούς δικτύου, συμπεριλαμβανομένων των ασύρματων συσκευών. Η θεμελιώδης διαφορά του από τις παλαιότερες μεθόδους ελέγχου ταυτότητας είναι η εξής: μέχρι να πραγματοποιηθεί αμοιβαία επαλήθευση, ο χρήστης δεν μπορεί ούτε να λάβει ούτε να μεταδώσει δεδομένα. Το πρότυπο προβλέπει επίσης δυναμική διαχείριση των κλειδιών κρυπτογράφησης, γεγονός που καθιστά φυσικά πιο δύσκολη την παθητική επίθεση στο WEP.

Για παράδειγμα, ορισμένοι προγραμματιστές χρησιμοποιούν τα πρωτόκολλα EAP-TLS και PEAP για έλεγχο ταυτότητας στις συσκευές τους, αλλά η Cisco Systems (http://www.cisco.com) προσεγγίζει το πρόβλημα πιο «ευρεία», προσφέροντας, μαζί με αυτά, ακολουθώντας για τα ασύρματα δίκτυά της μια σειρά από πρωτόκολλα.

Επεκτάσιμο πρωτόκολλο ελέγχου ταυτότητας - Ασφάλεια επιπέδου μεταφοράς(EAP-TLS) είναι ένα πρότυπο IETF που παρέχει έλεγχο ταυτότητας μέσω της αμφίδρομης ανταλλαγής ψηφιακών πιστοποιητικών.

Προστατευμένο ΕΑΠ(PEAP) εξακολουθεί να αποτελεί προσχέδιο προτύπου από το IETF. Προβλέπει την ανταλλαγή ψηφιακών πιστοποιητικών και επιπλέον επαλήθευση ονόματος και κωδικού πρόσβασης μέσω μιας ειδικά δημιουργημένης κρυπτογραφημένης σήραγγας.

Ελαφρύ EAP(LEAP) είναι ένα ιδιόκτητο πρωτόκολλο της Cisco Systems. Ένα "ελαφρύ" πρωτόκολλο αμοιβαίου ελέγχου ταυτότητας παρόμοιο με το πρωτόκολλο ελέγχου ταυτότητας δύο κατευθύνσεων Challenge (CHAP). Χρησιμοποιεί κοινόχρηστο κλειδί, επομένως απαιτεί λίγη ευφυΐα κατά τη δημιουργία κωδικών πρόσβασης. Διαφορετικά, όπως κάθε άλλη μέθοδος, το PreShared Key είναι επιρρεπές σε επιθέσεις λεξικού.

EAP - Ευέλικτος έλεγχος ταυτότητας μέσω ασφαλούς σήραγγας(EAP-FAST) - αναπτύχθηκε από τη Cisco με βάση το πρόχειρο πρότυπο IETF για προστασία από επιθέσεις λεξικών και είναι εξαιρετικά αξιόπιστο. Απαιτεί ελάχιστη προσπάθεια από τον διαχειριστή για υποστήριξη. Η αρχή της λειτουργίας του είναι παρόμοια με το LEAP, αλλά ο έλεγχος ταυτότητας πραγματοποιείται μέσω ασφαλούς σήραγγας. Οι πρώτες υλοποιήσεις εμφανίστηκαν τον Απρίλιο του 2004. Υποστηρίζονται ξεκινώντας από τις εκδόσεις λογισμικού IOS 12.2(11)JA, VxWorks 12.01T, Cisco Secure ACS 3.2.3.

Όλες οι σύγχρονες μέθοδοι ελέγχου ταυτότητας (βλ. πίνακα) υποδηλώνουν υποστήριξη για δυναμικά κλειδιά, κάτι που είναι καλά νέα. Ωστόσο, εάν συγκρίνουμε όλα αυτά τα πρότυπα από άλλες απόψεις, οι μέθοδοι EAP-TLS και PEAP φαίνονται πιο δύσκαμπτες. Και πράγματι είναι. Είναι πιο κατάλληλα για χρήση σε δίκτυα που βασίζονται σε εξοπλισμό διαφόρων κατασκευαστών.

Χαρακτηριστικά των μεθόδων ελέγχου ταυτότητας

Δείκτης	Τρόπος
	ΠΗΔΑΩ	EAP-FAST	ΠΕΑΠ	EAP-TLS
Υποστήριξη για σύγχρονο λειτουργικό σύστημα	Ναί	Ναί	Οχι όλα	Οχι όλα
Πολυπλοκότητα λογισμικού και ένταση πόρων ελέγχου ταυτότητας	Χαμηλός	Χαμηλός	Μέση τιμή	Υψηλός
Δυσκολία ελέγχου	Χαμηλός*	Χαμηλός	Μέση τιμή	Μέση τιμή
Single Sign on (μονή σύνδεση στα Windows)	Ναί	Ναί	Οχι	Ναί
Δυναμικά Κλειδιά	Ναί	Ναί	Ναί	Ναί
Κωδικοί πρόσβασης μίας χρήσης	Οχι	Ναί	Ναί	Οχι
Υποστήριξη για βάσεις δεδομένων χρηστών που δεν είναι σε μορφή Microsoft Windows	Οχι	Ναί	Ναί	Ναί
Γρήγορη ασφαλής περιαγωγή	Ναί	Ναί	Οχι	Οχι
Δυνατότητα τοπικού ελέγχου ταυτότητας	Ναί	Ναί	Οχι	Οχι

Οι μέθοδοι ελέγχου ταυτότητας που αναπτύχθηκαν από τη Cisco φαίνονται πιο όμορφες. Αυτό που τα κάνει ιδιαίτερα ελκυστικά είναι η υποστήριξή τους για την τεχνολογία Fast Secure Roaming, η οποία σας επιτρέπει να κάνετε εναλλαγή μεταξύ διαφορετικών σημείων πρόσβασης (ο χρόνος εναλλαγής είναι περίπου 100 ms), κάτι που είναι ιδιαίτερα σημαντικό κατά τη μετάδοση φωνητικής κίνησης. Με το EAP-TLS και το PEAP, ο εκ νέου έλεγχος ταυτότητας θα διαρκέσει πολύ περισσότερο και θα έχει ως αποτέλεσμα την απόρριψη της συνομιλίας. Το κύριο μειονέκτημα του LEAP και του LEAP-FAST είναι προφανές - αυτά τα πρωτόκολλα υποστηρίζονται μόνο σε εξοπλισμό Cisco Systems.

Κρυπτογράφηση και ακεραιότητα

Με βάση τις συστάσεις 802.11i, η Cisco Systems έχει εφαρμόσει το πρωτόκολλο TKIP (Temporal Key Integrity Protocol), το οποίο διασφαλίζει την αλλαγή του κλειδιού κρυπτογράφησης PPK (Per Packet Keying) σε κάθε πακέτο και την παρακολούθηση της ακεραιότητας των μηνυμάτων MIC (Message Integrity Check).

Η διαδικασία PPK περιλαμβάνει την αλλαγή του IV σε κάθε πακέτο. Επιπλέον, η κρυπτογράφηση πραγματοποιείται χρησιμοποιώντας την τιμή συνάρτησης κατακερματισμού από το IV και το ίδιο το κλειδί WEP. Αν λάβουμε επίσης υπόψη ότι τα κλειδιά WEP αλλάζουν δυναμικά, η αξιοπιστία κρυπτογράφησης γίνεται αρκετά υψηλή.

Η διασφάλιση της ακεραιότητας είναι ευθύνη της διαδικασίας MIC. Τα πεδία MIC και SEQuence number προστίθενται στο πλαίσιο που δημιουργείται· ο αριθμός σειράς του πακέτου υποδεικνύεται στο πεδίο SEQ, το οποίο σας επιτρέπει να προστατεύεστε από επιθέσεις που βασίζονται σε επαναλήψεις και παραβιάσεις της ακολουθίας. Ένα πακέτο με λανθασμένο αριθμό σειράς απλώς αγνοείται. Το πεδίο MIC 32-bit περιέχει την τιμή της συνάρτησης κατακερματισμού που υπολογίζεται από τις τιμές της ίδιας της κεφαλίδας του πακέτου 802.11, του πεδίου SEQ και των δεδομένων χρήστη (Εικ. 2).

Ένα άλλο πολλά υποσχόμενο πρωτόκολλο κρυπτογράφησης και ακεραιότητας που έχει ήδη αποδειχθεί σε ενσύρματες λύσεις είναι το AES (Advanced Encryption Standard). Αναπτύχθηκε σχετικά πρόσφατα - τον Οκτώβριο του 2001 και έχει καλύτερη κρυπτογραφική ισχύ σε σύγκριση με το DES και το GOST 28147-89. Το μήκος του κλειδιού AES είναι 128, 192 ή 256 bit. Όπως σημειώθηκε, παρέχει τόσο κρυπτογράφηση όσο και ακεραιότητα.

Σημειώστε ότι ο αλγόριθμος που χρησιμοποιείται σε αυτόν (Rijndael) δεν απαιτεί μεγάλους πόρους ούτε κατά την υλοποίηση ούτε κατά τη λειτουργία, κάτι που είναι πολύ σημαντικό για τη μείωση της καθυστέρησης δεδομένων και του φόρτου του επεξεργαστή.

Το AES τρέχει ήδη σε Cisco IOS (k9) ξεκινώντας με 12.2(13)T. Επί του παρόντος, σχεδόν όλες οι συσκευές Cisco Systems 802.11g είναι έτοιμες να υποστηρίξουν το AES. Η διαδικτυακή κοινότητα αναμένει την ανακοίνωση για την κυκλοφορία αυτού του λογισμικού, αλλά οι προθεσμίες που έχουν δηλωθεί επανειλημμένα δεν τηρούνται. Ωστόσο, τώρα έχει προκύψει κάποια σαφήνεια. Η εταιρεία ανακοίνωσε ότι όλες οι συσκευές που λειτουργούν στο πρότυπο 802.11g μπορούν να εξοπλιστούν εντελώς ελεύθερα με νέο λογισμικό, το οποίο σίγουρα θα εμφανιστεί σύντομα... Αλλά μόνο μετά την επικύρωση του προτύπου 802.11i. Το πρότυπο επικυρώθηκε από την IEEE στα τέλη Ιουνίου (βλ. πλαϊνή γραμμή "802.11i Standard Ratified"). Περιμένουμε λοιπόν, κύριε.

Προστατευμένη πρόσβαση Wi-Fi

Το πρότυπο Wi-Fi Protected Access (WPA) είναι ένα σύνολο κανόνων για την εφαρμογή προστασίας δεδομένων σε δίκτυα 802.11x. Από τον Αύγουστο του 2003, η συμμόρφωση με το WPA αποτελεί μέρος των απαιτήσεων για εξοπλισμό που είναι πιστοποιημένος ως πιστοποιημένος Wi-Fi (http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf).

Σημειώστε ότι η προδιαγραφή WPA περιλαμβάνει ένα ελαφρώς τροποποιημένο πρωτόκολλο TKIP-PPK. Η κρυπτογράφηση εκτελείται σε ένα "μίγμα" πολλών κλειδιών - του τρέχοντος και των επόμενων. Σε αυτή την περίπτωση, το μήκος του IV αυξάνεται στα 48 bit.

Το WPA ορίζει επίσης τον έλεγχο ακεραιότητας μηνυμάτων σύμφωνα με μια απλοποιημένη έκδοση του MIC (Michael MIC), η οποία διαφέρει από αυτή που περιγράφεται στο ότι η συνάρτηση κατακερματισμού υπολογίζεται με βάση λιγότερα πεδία, αλλά το ίδιο το πεδίο MIC είναι μεγαλύτερο - 64 bit. Αυτό καθιστά δυνατή την εφαρμογή πρόσθετων μέτρων προστασίας πληροφοριών, για παράδειγμα, αυστηροποίηση των απαιτήσεων για επανασυσχετίσεις, επαναπροσδιορισμούς ταυτότητας κ.λπ.

Οι προδιαγραφές περιλαμβάνουν επίσης υποστήριξη για 802.1x/EAP και κοινόχρηστο έλεγχο ταυτότητας κλειδιού και, φυσικά, διαχείριση κλειδιών.

Είναι ιδιαίτερα ευχάριστο το γεγονός ότι οι συσκευές WPA είναι έτοιμες να συνεργαστούν τόσο με πελάτες των οποίων ο εξοπλισμός υποστηρίζει σύγχρονα πρότυπα όσο και με πελάτες που δεν ενδιαφέρονται εντελώς για την ασφάλειά τους και χρησιμοποιούν παλιό εξοπλισμό ή λογισμικό. Ο συγγραφέας συνιστά κατηγορηματικά: να διανείμετε χρήστες με διαφορετικούς βαθμούς ασφάλειας σε διαφορετικά εικονικά LAN και να εφαρμόσετε την πολιτική ασφαλείας σας σύμφωνα με αυτό.

Σήμερα, με την προϋπόθεση ότι χρησιμοποιείται σύγχρονος εξοπλισμός και λογισμικό, είναι πολύ πιθανό να δημιουργηθεί ένα ασφαλές και ανθεκτικό στις επιθέσεις ασύρματο δίκτυο βασισμένο σε πρότυπα 802.11x. Για να γίνει αυτό, χρειάζεται απλώς να εφαρμόσετε πολλά λογικά αξιώματα σε αυτό.

Πρέπει να θυμόμαστε ότι ένα ασύρματο δίκτυο είναι σχεδόν πάντα συνδεδεμένο με ενσύρματο. Εκτός από την ανάγκη προστασίας των ασύρματων καναλιών, το γεγονός αυτό χρησιμεύει ως κίνητρο για την εισαγωγή νέων μεθόδων ασφαλείας στα ενσύρματα δίκτυα. Διαφορετικά, μπορεί να προκύψει μια κατάσταση όπου το δίκτυο έχει κατακερματισμένη ασφάλεια, η οποία ουσιαστικά δημιουργεί μια πιθανή απειλή για την ασφάλεια.

Συνιστάται να χρησιμοποιείτε εξοπλισμό που διαθέτει πιστοποιητικό Wi-Fi Certified που έχει εκδοθεί αργότερα από τον Αύγουστο του 2003, δηλαδή που επιβεβαιώνει τη συμμόρφωση με το WPA.

Πολλοί διαχειριστές, κατά την εγκατάσταση συσκευών στο LAN, αποθηκεύουν τις προεπιλεγμένες ρυθμίσεις του κατασκευαστή. Σε σοβαρά ασύρματα δίκτυα αυτό είναι απολύτως απαράδεκτο.

Φυσικά, πρέπει να εφαρμόσουμε 802.1x/EAP/TKIP/MIC και δυναμική διαχείριση κλειδιών. Εάν το δίκτυο είναι μικτό, χρησιμοποιήστε εικονικά τοπικά δίκτυα. Τώρα σχεδόν οποιοσδήποτε κατασκευαστής σημείων πρόσβασης υποστηρίζει αυτήν την τεχνολογία. Και αν δεν το υποστηρίζει, τότε δεν πρέπει να υποστηρίξετε έναν τέτοιο κατασκευαστή αγοράζοντας τον εξοπλισμό του. Εάν χρησιμοποιούνται εξωτερικές κεραίες (για παράδειγμα, όταν συνδέετε διαφορετικά LAN), συνιστάται η τεχνολογία εικονικού ιδιωτικού δικτύου VPN.

Αξίζει να συνδυάσετε μεθόδους προστασίας πρωτοκόλλου και λογισμικού με διοικητικές. Είναι επίσης λογικό να σκεφτούμε την εφαρμογή της τεχνολογίας Intrusion Detection System (IDS) για τον εντοπισμό πιθανών εισβολών. Μπορείτε επίσης να χρησιμοποιήσετε τα προϊόντα λογισμικού που περιγράφονται παραπάνω.

Τέλος, και το πιο σημαντικό, χρησιμοποιήστε την κοινή λογική όταν σχεδιάζετε ένα ασφαλές ασύρματο δίκτυο. Θυμηθείτε: οποιαδήποτε κρυπτογράφηση ή άλλος χειρισμός δεδομένων εισάγει αναπόφευκτα πρόσθετη καθυστέρηση, αυξάνει την κυκλοφορία υπηρεσιών και το φορτίο στους επεξεργαστές των συσκευών δικτύου. Φυσικά, η ασφάλεια είναι ένας σημαντικός παράγοντας στα σύγχρονα δίκτυα, αλλά δεν έχει νόημα εάν η κίνηση των χρηστών δεν λάβει το κατάλληλο εύρος ζώνης. Εξάλλου, δυστυχώς, όλα τα δίκτυα δημιουργούνται τελικά για χρήστες και όχι για διαχειριστές. Ωστόσο, το θέμα QoS σε ασύρματα δίκτυα 802.11x αξίζει ένα ξεχωριστό άρθρο.

Το πρότυπο 802.11i επικυρώθηκε Στις 25 Ιουνίου 2004, το Institute of Electrical and Electronics Engineers (IEEE) επικύρωσε το πολυαναμενόμενο πρότυπο ασφάλειας ασύρματου LAN, 802.11i. Πριν από την έγκρισή του, το 2002, η κοινοπραξία Wi-Fi Alliance πρότεινε τη χρήση του πρωτοκόλλου WPA ως ενδιάμεση επιλογή. Περιλαμβάνει ορισμένους μηχανισμούς 802.11i, συμπεριλαμβανομένης της κρυπτογράφησης TKIP και της δυνατότητας χρήσης του συστήματος ελέγχου ταυτότητας χρήστη 802.1x που βασίζεται στο πρωτόκολλο RADIUS. Το πρωτόκολλο WPA υπάρχει σε δύο τροποποιήσεις: ελαφρύ (για οικιακούς χρήστες) και συμπεριλαμβανομένου του προτύπου ελέγχου ταυτότητας 802.1x (για εταιρικούς χρήστες). Το επίσημο πρότυπο 802.11i προσθέτει στο πρωτόκολλο WPA την απαίτηση χρήσης του προτύπου κρυπτογράφησης AES, το οποίο παρέχει ένα επίπεδο ασφάλειας που πληροί τις απαιτήσεις της Κλάσης FIPS 140-2 (Ομοσπονδιακό Πρότυπο Επεξεργασίας Πληροφοριών) που χρησιμοποιείται στην κυβέρνηση των ΗΠΑ. Ωστόσο, σε πολλά υπάρχοντα δίκτυα, το πρωτόκολλο AES ενδέχεται να απαιτεί αντικατάσταση εξοπλισμού, εκτός εάν είναι εξοπλισμένο με ειδικές δυνατότητες κρυπτογράφησης και αποκρυπτογράφησης. Επιπλέον, το νέο πρότυπο έχει αποκτήσει αρκετές σχετικά ελάχιστα γνωστές ιδιότητες. Ένα από αυτά - η προσωρινή αποθήκευση κλειδιών - καταγράφει πληροφορίες για αυτόν απαρατήρητες από τον χρήστη, επιτρέποντάς του να μην εισαγάγει ξανά όλες τις πληροφορίες για τον εαυτό του όταν εγκαταλείπει την περιοχή κάλυψης του ασύρματου δικτύου και στη συνέχεια επιστρέφει σε αυτήν. Η δεύτερη καινοτομία είναι ο προ-έλεγχος ταυτότητας. Η ουσία του είναι η εξής: από το σημείο πρόσβασης στο οποίο είναι συνδεδεμένος ο χρήστης, αποστέλλεται ένα πακέτο προ-επαλήθευσης ταυτότητας σε άλλο σημείο πρόσβασης, παρέχοντας σε αυτόν τον χρήστη προ-έλεγχο ακόμη και πριν εγγραφεί στο νέο σημείο και έτσι μειώνεται ο χρόνος εξουσιοδότησης όταν μετακίνηση μεταξύ σημείων πρόσβασης. Η Wi-Fi Alliance σκοπεύει να ξεκινήσει τις δοκιμές συσκευών για συμμόρφωση με το νέο πρότυπο (ονομάζεται επίσης WPA2) πριν από τον Σεπτέμβριο του τρέχοντος έτους. Σύμφωνα με τους εκπροσώπους της, δεν θα χρειαστεί ευρεία αντικατάσταση του εξοπλισμού. Και ενώ οι συσκευές με δυνατότητα WPA1 μπορούν να λειτουργούν σε περιβάλλοντα όπου δεν απαιτείται προηγμένη κρυπτογράφηση και έλεγχος ταυτότητας RADIUS, τα προϊόντα 802.11i μπορούν να θεωρηθούν εξοπλισμός WPA που υποστηρίζει AES.

Τα ασύρματα δίκτυα δεν είναι ασφαλή. Επιτρέψτε μου να επαναλάβω: τα ασύρματα δίκτυα δεν είναι ασφαλή. Τις περισσότερες φορές είναι αρκετά ασφαλή για τους περισσότερους χρήστες, αλλά τέτοια δίκτυα δεν μπορούν να γίνουν εντελώς ιδιωτικά.

Η απλή αλήθεια είναι ότι ένα ασύρματο δίκτυο χρησιμοποιεί ραδιοσήματα με ένα καλά καθορισμένο σύνολο χαρακτηριστικών, έτσι όποιος θέλει να αφιερώσει αρκετό χρόνο και προσπάθεια στην παρακολούθηση αυτών των σημάτων μπορεί πιθανότατα να βρει έναν τρόπο να υποκλέψει και να διαβάσει τα δεδομένα που περιέχονται σε αυτά. Εάν στέλνετε ευαίσθητες πληροφορίες μέσω ασύρματης σύνδεσης, ένας εισβολέας θα μπορούσε να τις αντιγράψει. Οι αριθμοί πιστωτικών καρτών, οι κωδικοί πρόσβασης λογαριασμών και άλλα προσωπικά στοιχεία είναι ευάλωτα.

Η κρυπτογράφηση και άλλες μέθοδοι ασφαλείας μπορεί να κάνουν ελαφρώς πιο δύσκολη την υποκλοπή δεδομένων, αλλά δεν παρέχουν πλήρη προστασία έναντι ενός πραγματικά εξελιγμένου κατασκόπου. Όπως μπορεί να σας πει οποιοσδήποτε αστυνομικός, οι κλειδαριές προέρχονται από έντιμους ανθρώπους, αλλά οι έμπειροι κλέφτες ξέρουν πώς να τις αντιμετωπίσουν. Είναι εύκολο να βρείτε έναν ολόκληρο κατάλογο εργαλείων για την παραβίαση της κρυπτογράφησης WEP στο Διαδίκτυο.

Κάνοντας την κατάσταση ακόμη πιο επικίνδυνη, πολλοί διαχειριστές δικτύων και χρήστες ασύρματης σύνδεσης στο σπίτι αφήνουν τις πόρτες και τα παράθυρα των δικτύων τους ορθάνοιχτα χωρίς να εκμεταλλεύονται την κρυπτογράφηση και άλλα χαρακτηριστικά ασφαλείας που είναι ενσωματωμένα σε κάθε ασύρματο σημείο και κόμβο δικτύου 802.11b. Η σύνδεση σε μη ασφαλή ιδιωτικά δίκτυα είναι δυνατή σε πολλές αστικές περιοχές και σε μεγάλο αριθμό τοπικών δικτύων. Την άνοιξη του 2001, το San Francisco Chronicle ανέφερε ότι ένας ειδικός σε θέματα ασφάλειας δικτύου με κατευθυντική κεραία τοποθετημένη στην οροφή ενός φορτηγού στο κέντρο του Σαν Φρανσίσκο μπόρεσε να συνδεθεί σε κατά μέσο όρο μισή ντουζίνα ασύρματα δίκτυα ανά μπλοκ. Ο αριθμός τέτοιων δικτύων αυξάνεται σταθερά. Ένα χρόνο αργότερα, μια ομάδα εργαζομένων της Microsoft που διεξήγαγε ένα «άτυπο τεστ» ανακάλυψε περισσότερα από 200 μη ασφαλή ανοιχτά σημεία πρόσβασης σε ένα δίκτυο προαστιακών γειτονιών στο Σιάτλ. Και τα καταστήματα Tully's Coffee αναφέρουν ότι παρατηρούν τους πελάτες τους να συνδέονται σε δίκτυα Wi-Fi μέσω hotspot στα καταστήματα Starbucks απέναντι.

Αρκεί μια απλή αριθμητική: το σημείο πρόσβασής σας έχει εμβέλεια 100 μέτρων ή περισσότερο προς όλες τις κατευθύνσεις, επομένως το σήμα είναι πιθανό να επεκταθεί πέρα ​​από την ιδιοκτησία σας (ή τους τοίχους του διαμερίσματός σας). Μια συσκευή δικτύου στο διπλανό δωμάτιο του κτιρίου ή απέναντι μπορεί πιθανότατα να ανιχνεύσει το δίκτυο. Ένας φορητός υπολογιστής ή ένα PDA τοποθετημένο σε ένα αυτοκίνητο σταθμευμένο στο δρόμο είναι επίσης ικανό για παρόμοια δράση. Εάν δεν ληφθούν ορισμένες προφυλάξεις, ο χειριστής αυτής της συσκευής μπορεί να εγγραφεί στο δίκτυό σας, να κλέψει αρχεία από διακομιστές και να διεισδύσει στη σύνδεσή σας στο Διαδίκτυο για ροή βίντεο ή διαδικτυακά παιχνίδια.

Είναι σημαντικό να κατανοήσουμε ότι μιλάμε για δύο διαφορετικούς τύπους ασύρματων απειλών για την ασφάλεια. Ο πρώτος είναι ο κίνδυνος να συνδεθεί κάποιος άλλος στο δίκτυό σας χωρίς τη γνώση ή την άδειά σας. το δεύτερο είναι η πιθανότητα ένας εξελιγμένος εισβολέας να κλέψει δεδομένα καθώς τα στέλνετε και τα λαμβάνετε. Κάθε ένα από αυτά είναι ένα ξεχωριστό πιθανό πρόβλημα και το καθένα απαιτεί μια ειδική μέθοδο πρόληψης και προστασίας. Αν και μπορεί να είναι αλήθεια ότι κανένα από τα επί του παρόντος διαθέσιμα εργαλεία δεν μπορεί να παρέχει πλήρη προστασία, μπορεί να κάνουν τη ζωή πολύ πιο δύσκολη για τους περισσότερους περιστασιακούς επιτιθέμενους.

Τα ασύρματα δίκτυα αντιπροσωπεύουν μια αντιστάθμιση μεταξύ ασφάλειας και χρηστικότητας. Τα προφανή οφέλη μιας ασύρματης σύνδεσης δικτύου - γρήγορη και εύκολη πρόσβαση στο δίκτυο από φορητό υπολογιστή ή απομονωμένη τοποθεσία - έχουν κόστος. Για τους περισσότερους χρήστες, αυτό το κόστος δεν υπερβαίνει την ευκολία ενός ασύρματου δικτύου. Αλλά όπως κλειδώνετε το αυτοκίνητό σας όταν παρκάρετε, θα πρέπει να λάβετε παρόμοια μέτρα για την προστασία του δικτύου και των δεδομένων σας.

Προστασία του δικτύου και των δεδομένων σας

Τι μπορείτε να κάνετε για να προστατευθείτε από ξένους ως χειριστής ασύρματου δικτύου; Έχετε δύο επιλογές: μπορείτε να αποδεχτείτε το γεγονός ότι τα δίκτυα 802.11b δεν είναι απολύτως ασφαλή, αλλά να χρησιμοποιήσετε τις ενσωματωμένες δυνατότητες ασφάλειας δικτύου για να επιβραδύνετε τους κακούς παράγοντες. Μπορείτε να παραιτηθείτε από τα ενσωματωμένα εργαλεία και αντ' αυτού να χρησιμοποιήσετε ένα τείχος προστασίας για απομόνωση.

Είναι σαφές ότι τα χαρακτηριστικά ασφαλείας είναι ενσωματωμένα στα πρωτόκολλα 802.11b.

απαράδεκτη για απόλυτη προστασία των διαβιβαζόμενων δεδομένων. Εάν έχετε διαβάσει άρθρα σχετικά με την ασφάλεια των ασύρματων δικτύων σε εμπορικά περιοδικά και έχετε μελετήσει συζητήσεις σε διαδικτυακά φόρουμ, είναι εύκολο να πιστέψετε ότι τα δίκτυα Wi-Fi είναι τόσο διαρροή όσο το παροιμιώδες κόσκινο. Αλλά αυτό μπορεί να υπερβάλει την πραγματική απειλή για το δικό σας δίκτυο. Να θυμάστε ότι τα περισσότερα άτομα που είναι κοντά στο να κλέψουν τα μηνύματά σας ή να διεισδύσουν στο δίκτυό σας δεν θα μείνουν απλά και θα περιμένουν να ξεκινήσετε τη μετάδοση δεδομένων. Και για να είμαστε απόλυτα ειλικρινείς, τα περισσότερα από τα δεδομένα που αποστέλλονται μέσω του δικτύου σας στην πραγματικότητα δεν έχουν κανένα ενδιαφέρον. Όμως τα εργαλεία κρυπτογράφησης είναι διαθέσιμα σε κάθε δίκτυο Wi-Fi, επομένως θα πρέπει να τα χρησιμοποιήσετε πραγματικά.

Η πιο σοβαρή απειλή δεν είναι ότι θα υποκλαπούν οι επικοινωνίες σας, αλλά ότι θα δημιουργηθούν παράνομες συνδέσεις με αυτές. Αυτό θα επιτρέψει σε μη εξουσιοδοτημένο χρήστη είτε να διαβάσει αρχεία που είναι αποθηκευμένα σε άλλους δικτυωμένους υπολογιστές είτε να χρησιμοποιήσει την ευρυζωνική σύνδεσή σας στο Διαδίκτυο χωρίς τη γνώση ή την άδειά σας.

Είναι λογικό να φροντίζετε για τη διαχείριση του δικτύου σας. Εάν επιλέξετε να εφαρμόσετε ασφάλεια 802.11b, υπάρχουν ειδικά βήματα που πρέπει να ακολουθήσετε:

Τοποθετήστε το σημείο πρόσβασής σας στη μέση του κτιρίου, όχι δίπλα σε ένα παράθυρο. Αυτό θα μειώσει την απόσταση που πρέπει να διανύσουν τα σήματα σας μέσα από τοίχους.

Χρησιμοποιήστε κρυπτογράφηση WEP (Wired Equivalent Privacy), διαθέσιμη σε όλους τους κόμβους δικτύου 802.11b. Με αρκετό χρόνο και τον κατάλληλο εξοπλισμό, το WEP δεν είναι δύσκολο να σπάσει, αλλά τα κρυπτογραφημένα πακέτα είναι ακόμα πιο δύσκολο να διαβαστούν από τα δεδομένα που αποστέλλονται χωρίς κρυπτογράφηση. Αυτό το κεφάλαιο παρέχει περισσότερες πληροφορίες σχετικά με την κρυπτογράφηση WEP.

Αλλάζετε συχνά τα κλειδιά WEP. Η εξαγωγή κλειδιών κρυπτογράφησης WEP από μια ροή δεδομένων απαιτεί χρόνο και κάθε φορά που αλλάζετε τα κλειδιά, οι κακοί ηθοποιοί που προσπαθούν να κλέψουν τα δεδομένα σας πρέπει να ξεκινούν από την αρχή. Η αλλαγή των κλειδιών σας μία ή δύο φορές το μήνα δεν είναι πολύ συχνή.

Μην αποθηκεύετε τα κλειδιά WEP σε εύκολα προσβάσιμο μέρος. Σε ένα μεγάλο δίκτυο, μπορεί να γίνει προσπάθεια αποθήκευσής τους σε μια τοπική ιστοσελίδα ή σε ένα αρχείο κειμένου. Μην το κάνεις αυτό;

Μην χρησιμοποιείτε email για τη μετάδοση κλειδιών WEP. Εάν κάποιος ξένος κλέψει ονόματα λογαριασμών και κωδικούς πρόσβασης, ο κλέφτης θα λάβει μηνύματα με τα νέα σας κλειδιά πριν τα λάβουν οι νόμιμοι χρήστες σας.

Προσθέστε ένα άλλο επίπεδο κρυπτογράφησης, όπως Kerberos, SSH ή VPN πάνω από την κρυπτογράφηση WEP που είναι ενσωματωμένη στο ασύρματο δίκτυο.

Μην χρησιμοποιείτε το προεπιλεγμένο SSID του σημείου πρόσβασής σας. Αυτές οι ρυθμίσεις είναι πολύ γνωστές στους χάκερ δικτύου.

Αλλάξτε το SSID σε κάτι που δεν προσδιορίζει την εργασία ή την τοποθεσία σας. Εάν ένας εισβολέας ανακαλύψει το όνομα BigCorpNet και κοιτάξει γύρω του και δει τα κεντρικά γραφεία της BigCorp απέναντι, πιθανότατα θα στοχεύσει το δίκτυό σας. Το ίδιο ισχύει και για το οικιακό σας δίκτυο. Μην το αποκαλείτε Perkins αν αυτό είναι το όνομα στο εξωτερικό του γραμματοκιβωτίου σας. Μην χρησιμοποιείτε ένα SSID που ακούγεται ότι το δίκτυό σας περιέχει κάποιου είδους δελεαστικές πληροφορίες - χρησιμοποιήστε ένα ασήμαντο όνομα, όπως ένα κενό πεδίο, "network-" ή ακόμα και μια σειρά από τυχαίους χαρακτήρες (W24rnQ).

Αλλάξτε τη διεύθυνση IP και τον κωδικό πρόσβασης του σημείου πρόσβασής σας. Οι προεπιλεγμένοι κωδικοί πρόσβασης για τα περισσότερα εργαλεία διαμόρφωσης σημείου πρόσβασης είναι εύκολο να βρεθούν (και συχνά επαναλαμβάνονται από τον έναν προμηθευτή στον άλλο - συμβουλή: μην χρησιμοποιείτε "διαχειριστή"), επομένως δεν είναι καν αρκετά καλοί για προστασία από τους δικούς σας χρήστες. μόνοι ξένοι που σκοπεύουν να χρησιμοποιήσουν το δίκτυό σας για δικούς τους σκοπούς.

Απενεργοποιήστε τη δυνατότητα εκπομπής SSID για ένα σημείο πρόσβασης που επιτρέπει συνδέσεις από πελάτες χωρίς το σωστό SSID. Αυτό δεν εγγυάται ότι το δίκτυό σας θα είναι αόρατο, αλλά μπορεί να βοηθήσει.

Ενεργοποιήστε τη δυνατότητα ελέγχου πρόσβασης για το σημείο πρόσβασής σας. Ο έλεγχος πρόσβασης περιορίζει τις συνδέσεις σε πελάτες δικτύου με καθορισμένες διευθύνσεις MAC. Το σημείο πρόσβασης θα αρνηθεί τη σύνδεση με οποιονδήποτε προσαρμογέα του οποίου η διεύθυνση δεν βρίσκεται στη λίστα. Αυτό μπορεί να μην είναι πρακτικό εάν θέλετε να επιτρέψετε σε άλλους επισκέπτες να χρησιμοποιούν το δίκτυό σας, αλλά είναι ένα χρήσιμο εργαλείο για δίκτυα οικιακών και μικρών γραφείων όπου γνωρίζετε όλους τους πιθανούς χρήστες σας. Παρόμοια με τη δυνατότητα "μετάδοσης SSID", αυτό δεν αποτελεί εγγύηση, αλλά δεν θα βλάψει επίσης.

Δοκιμάστε την ασφάλεια του δικτύου σας προσπαθώντας να το βρείτε από το δρόμο. Πάρτε έναν φορητό υπολογιστή με ένα πρόγραμμα σάρωσης σε λειτουργία, όπως το Network Stumbler ή ένα βοηθητικό πρόγραμμα που εμφανίζει την κατάσταση του προσαρμογέα δικτύου σας και ξεκινήστε να απομακρύνεστε από το κτίριο. Εάν μπορείτε να εντοπίσετε το δίκτυό σας από ένα τετράγωνο μακριά, το ίδιο μπορεί και ένας ξένος. Θυμηθείτε ότι οι κακοί μπορούν να χρησιμοποιήσουν κατευθυντικές κεραίες με υψηλό κέρδος, οι οποίες αυξάνουν αυτή την απόσταση.

Σκεφτείτε ότι το δίκτυο είναι ανοιχτό για κοινή χρήση. Βεβαιωθείτε ότι όλοι όσοι χρησιμοποιούν το δίκτυο γνωρίζουν ότι χρησιμοποιούν ένα ανασφαλές σύστημα.

Επεκτείνετε την πρόσβαση σε αρχεία μόνο σε αρχεία που θέλετε πραγματικά να μοιραστείτε. Μην ανοίγετε ολόκληρο το δίσκο. Χρησιμοποιήστε προστασία με κωδικό πρόσβασης για κάθε προσβάσιμο στοιχείο.

Χρησιμοποιήστε τα ίδια εργαλεία ασφαλείας που θα χρησιμοποιούσατε σε ένα ενσύρματο δίκτυο. Στην καλύτερη περίπτωση, το ασύρματο τμήμα του LAN σας δεν είναι πιο ασφαλές από το ενσύρματο τμήμα, επομένως πρέπει να λάβετε τις ίδιες προφυλάξεις. Στις περισσότερες περιπτώσεις, το ασύρματο τμήμα του δικτύου είναι πολύ λιγότερο ασφαλές από το ενσύρματο τμήμα.

Εξετάστε το ενδεχόμενο να χρησιμοποιήσετε ένα εικονικό ιδιωτικό δίκτυο (VPN) για πρόσθετη ασφάλεια.

Ορισμένοι ειδικοί χρησιμοποιούν διαφορετική μέθοδο για την ασφάλεια ενός ασύρματου δικτύου. Αποδέχονται την ιδέα ότι το δίκτυο 802.11b είναι ανασφαλές, επομένως δεν προσπαθούν καν να χρησιμοποιήσουν τις ενσωματωμένες δυνατότητες ασφαλείας. Για παράδειγμα, η ομάδα ασφαλείας δικτύου Advanced Supercomputing Division της NASA στην Καλιφόρνια διαπίστωσε ότι "το ίδιο το δίκτυο δεν παρέχει ισχυρή προστασία ταυτότητας και παραβίαση" και ότι "τα χαρακτηριστικά ασφαλείας 802.11b καταναλώνουν μόνο πόρους χωρίς να παρέχουν πραγματική ασφάλεια σε αντάλλαγμα". Έτσι, απενεργοποιεί όλες τις δυνατότητες ασφαλείας 802.11b και χρησιμοποιεί το δικό του ασύρματο τείχος προστασίας, το Wireless Firewall Gateway (WFG). Το WFG είναι ένας δρομολογητής που βρίσκεται μεταξύ του ασύρματου και του υπόλοιπου δικτύου, επομένως όλη η κίνηση δικτύου από και προς τις ασύρματες συσκευές (συμπεριλαμβανομένης της πρόσβασης στο Διαδίκτυο) πρέπει να διέρχεται από την πύλη.

Ως πρόσθετο πλεονέκτημα, αυτή η μέθοδος ασφαλείας διατηρεί το διαχειριστικό αποτύπωμα κάθε πακέτου στο ελάχιστο, καθώς δεν περιέχουν έλεγχο ταυτότητας ή κρυπτογράφηση. Αυτό μειώνει τον αριθμό των bit σε κάθε πακέτο, γεγονός που αυξάνει τον αποτελεσματικό ρυθμό μεταφοράς δεδομένων του δικτύου.

Άλλοι πάροχοι ασύρματων δικτύων χρησιμοποιούν VPN για να ελέγχουν την πρόσβαση μέσω των ασύρματων πυλών τους. Ένα VPN προσθέτει ένα άλλο επίπεδο ασφάλειας από σημείο σε σημείο στο επίπεδο IP (αντί για το φυσικό επίπεδο όπου λαμβάνει χώρα η κρυπτογράφηση στο 802.11b) προτού ο χρήστης μπορέσει να σερφάρει στο δίκτυο.

Η ασφάλεια δικτύου είναι απαραίτητη σε δύο περιπτώσεις - ένας διαχειριστής δικτύου δεν θέλει να επιτρέψει σε μη εξουσιοδοτημένους χρήστες να εισέλθουν στο δίκτυό τους και μεμονωμένοι χρήστες δεν θέλουν να αποκτήσει κανείς πρόσβαση στα προσωπικά τους αρχεία. Όταν συνδέεστε σε ένα κοινόχρηστο δίκτυο, πρέπει να λαμβάνετε ορισμένες προφυλάξεις ώστε να μην διαβάζονται τα αρχεία σας μέσω του δικτύου.

Για απενεργοποίηση Κοινή χρήση αρχείων(Πρόσβαση αρχείου) Πριν συνδεθείτε σε κοινόχρηστο δίκτυο, χρησιμοποιήστε την ακόλουθη διαδικασία στα Windows 95, Windows 98 και Windows ME:

1. Β Πίνακας Ελέγχου(Πίνακας Ελέγχου) ανοίξτε το παράθυρο διαλόγου Δίκτυο(Καθαρά).

2. Επιλέξτε Κοινή χρήση αρχείων και εκτυπωτών(Πρόσβαση σε αρχεία και εκτυπωτές).

3. Στο πλαίσιο διαλόγου Fi le και Κοινή χρήση εκτυπωτήαπενεργοποιήστε τη λειτουργία Θέλω να δώσω σε άλλους πρόσβαση στα αρχεία μου(Δώστε σε άλλους πρόσβαση στα αρχεία μου).

Τα Windows 2000 και τα Windows XP δεν διαθέτουν κεντρικό σημείο για να απενεργοποιήσετε την πρόσβαση στα αρχεία, επομένως πρέπει να απενεργοποιήσετε κάθε πρόσβαση ξεχωριστά.

1. Ανοίξτε ένα παράθυρο Ο υπολογιστής μου(Ο υπολογιστής μου).

2. Τα εικονίδια για όλες τις διαθέσιμες μονάδες δίσκου και φακέλους έχουν ένα εικονίδιο χεριού. Για να απενεργοποιήσετε την πρόσβαση, κάντε δεξί κλικ στο εικονίδιο και επιλέξτε Κοινή χρήση και ασφάλεια(Πρόσβαση και Ασφάλεια) στο μενού.

3. Απενεργοποιήστε τη δυνατότητα Κοινή χρήση αυτού του φακέλου στο δίκτυο(Ανοίξτε την πρόσβαση σε αυτόν τον φάκελο μέσω του δικτύου).

4. Κάντε κλικ στο κουμπί Εντάξει(Ναι) για να κλείσετε το παράθυρο διαλόγου.

5. Επαναλάβετε τη διαδικασία για κάθε διαθέσιμο φάκελο ή αρχείο. Μην ξεχάσετε τον φάκελο Κοινόχρηστα έγγραφα(Γενικά έγγραφα).

Όταν επιστρέφετε στο γραφείο ή στο οικιακό σας δίκτυο, πρέπει να αντιστρέψετε τη διαδικασία για να αποκτήσετε ξανά πρόσβαση στα αρχεία σας.

Ένα άλλο πρόβλημα είναι ο κίνδυνος ενός κατασκόπου να παρακολουθεί δεδομένα που αποστέλλονται μέσω ραδιοεπικοινωνιών και να κλέβει εμπιστευτικές πληροφορίες εν κινήσει. Αυτό δεν είναι τόσο συνηθισμένο όσο η πρόσβαση ενός κατασκόπου στο δίκτυο και η ανάγνωση αρχείων, αλλά είναι δυνατό. Η κρυπτογράφηση και άλλα εργαλεία ασφαλείας μπορεί να δυσκολέψουν την αποκωδικοποίηση δεδομένων, αλλά είναι καλύτερο να αντιμετωπίζετε ένα δίκτυο Wi-Fi όπως θα κάνατε με ένα κινητό τηλέφωνο: μην στέλνετε ποτέ μήνυμα ή αρχείο που περιέχει ευαίσθητες πληροφορίες.

802.11b Εργαλεία ασφαλείας

Τα εργαλεία ασφαλείας στις προδιαγραφές 802.11b δεν είναι τέλεια, αλλά είναι καλύτερα από το τίποτα. Ακόμα κι αν αποφασίσετε να μην τα χρησιμοποιήσετε, είναι σημαντικό να κατανοήσετε τι είναι και πώς λειτουργούν πριν τα απενεργοποιήσετε.

Όνομα δικτύου (SSID)

Όπως συζητήθηκε στο Κεφάλαιο 1, κάθε ασύρματο δίκτυο έχει ένα όνομα. Σε ένα δίκτυο με ένα μόνο σημείο πρόσβασης, το όνομα είναι το Basic Service Set ID (BSSID). Όταν ένα δίκτυο περιέχει περισσότερα από ένα σημεία πρόσβασης, το όνομα γίνεται Αναγνωριστικό εκτεταμένου συνόλου υπηρεσιών (ESSID). Η τυπική ονομασία για όλα τα ονόματα δικτύου είναι SSID - ο όρος που θα δείτε πιο συχνά στα βοηθητικά προγράμματα διαμόρφωσης για σημεία ασύρματης πρόσβασης και πελάτες.

Κατά τη διαμόρφωση σημείων πρόσβασης για ένα δίκτυο, πρέπει να εκχωρήσετε ένα SSID σε αυτό. Κάθε σημείο πρόσβασης και πελάτης δικτύου στο δίκτυο πρέπει να χρησιμοποιεί το ίδιο SSID. Σε υπολογιστές με Windows, το SSID του ασύρματου προσαρμογέα πρέπει επίσης να είναι το όνομα της ομάδας εργασίας.

Όταν εντοπίζονται δύο ή περισσότερα σημεία πρόσβασης με το ίδιο SSID, ο χρήστης υποθέτει ότι είναι όλα μέρος του ίδιου δικτύου (ακόμα και αν τα σημεία πρόσβασης λειτουργούν σε διαφορετικά ραδιοφωνικά κανάλια) και έρχεται σε επαφή με το σημείο πρόσβασης που παρέχει το ισχυρότερο ή καθαρότερο σήμα. Εάν, λόγω παρεμβολής ή εξασθένησης, αυτό το σήμα επιδεινωθεί, ο πελάτης θα προσπαθήσει να μετακινηθεί σε άλλο σημείο πρόσβασης, το οποίο πιστεύει ότι ανήκει στο ίδιο δίκτυο.

Εάν δύο διαφορετικά δίκτυα με επικάλυψη σήματος έχουν το ίδιο όνομα, ο πελάτης θα υποθέσει ότι και τα δύο είναι μέρος του ίδιου δικτύου και μπορεί να επιχειρήσει τη μετάβαση. Από την πλευρά του χρήστη, μια τέτοια λανθασμένη μετάβαση μοιάζει με πλήρη διακοπή της σύνδεσης δικτύου. Επομένως, κάθε ασύρματο δίκτυο που μπορεί να επικαλύπτεται με άλλο πρέπει να έχει ένα μοναδικό SSID.

Εξαιρέσεις στον κανόνα του μοναδικού SSID είναι τα δημόσια και ομαδικά δίκτυα, τα οποία παρέχουν πρόσβαση μόνο στο Διαδίκτυο και όχι σε άλλους υπολογιστές ή συσκευές στο τοπικό δίκτυο. Τέτοια δίκτυα μοιράζονται συχνά ένα κοινό SSID, ώστε οι συνδρομητές να μπορούν να τα ανακαλύψουν και να συνδεθούν σε αυτά από πολλές τοποθεσίες.

Ορισμένα σημεία πρόσβασης, συμπεριλαμβανομένου του σταθμού βάσης AirPort της Apple και παρόμοιων συστημάτων Orinoco, διαθέτουν μια δυνατότητα που σας επιτρέπει να επιλέξετε μεταξύ "ανοιχτής" και "κλειστής" πρόσβασης. Όταν ένα σημείο πρόσβασης έχει ρυθμιστεί για δημόσια πρόσβαση, δέχεται συνδέσεις από έναν πελάτη του οποίου το SSID έχει οριστεί σε Οποιος(Οποιοδήποτε), το ίδιο με τις συσκευές που έχουν διαμορφωθεί να επικοινωνούν χρησιμοποιώντας το SSID του ίδιου του σημείου πρόσβασης. Όταν ένα σημείο πρόσβασης έχει οριστεί ως ιδιωτικό (η Apple το αποκαλεί "κρυφό δίκτυο"), δέχεται μόνο συνδέσεις των οποίων το SSID ταιριάζει με το SSID του. Αυτός είναι ένας καλός τρόπος για να προστατεύσετε το δίκτυό σας από ξένους, αλλά λειτουργεί μόνο εάν κάθε κόμβος του δικτύου χρησιμοποιεί έναν προσαρμογέα από την Orinoco (η κάρτα Apple AirPort είναι μια ιδιόκτητη έκδοση του προσαρμογέα Orinoco). Εάν ένας προσαρμογέας κατασκευασμένος από οποιονδήποτε άλλο κατασκευαστή προσπαθήσει να συνδεθεί σε ένα κλειστό σημείο πρόσβασης, θα το αγνοήσει, ακόμα κι αν το SSID ταιριάζει.

Το SSID δικτύου παρέχει μια πολύ περιορισμένη μορφή ελέγχου πρόσβασης, επειδή πρέπει να καθορίσετε το SSID κατά τη ρύθμιση της ασύρματης σύνδεσής σας. Η δυνατότητα SSID σημείου πρόσβασης είναι πάντα ένα πεδίο κειμένου που δέχεται όποιο όνομα θέλετε να του δώσετε. Ωστόσο, πολλά προγράμματα διαμόρφωσης δικτύου (συμπεριλαμβανομένων των εργαλείων ασύρματης δικτύωσης στα Windows XP και εκείνων που συνοδεύουν ορισμένες μεγάλες μάρκες προσαρμογέων δικτύου) εντοπίζουν αυτόματα και εμφανίζουν το SSID κάθε ενεργού δικτύου εντός της περιοχής σήματος τους. Επομένως, δεν είναι πάντα απαραίτητο να γνωρίζετε το SSID δικτύου πριν από τη σύνδεση. Μερικές φορές ένα βοηθητικό πρόγραμμα διαμόρφωσης (μια οθόνη παρακολούθησης δικτύου ή ένα πρόγραμμα σάρωσης παρόμοιο με το Network Stumbler) θα σας εμφανίσει τα ονόματα κάθε κοντινού δικτύου σε μια λίστα ή μενού.

Ως παράδειγμα στο Σχ. Η Εικόνα 14.1 δείχνει το αποτέλεσμα ενός σαρωτή Network Stumbler στο αεροδρόμιο Seattle-Tacoma, όπου το WayPort εξυπηρετεί τον τερματικό σταθμό επιβατών και το MobileStar παρέχει κάλυψη στο VIP Club της American Airlines. (Το MobileStar έγινε μέρος μιας άλλης υπηρεσίας λίγο αφότου έκανα αυτό το σχέδιο, επομένως τα ονόματα των δικτύων έχουν αλλάξει, αλλά η υπηρεσία παραμένει η ίδια).

Κάθε σημείο πρόσβασης συνοδεύεται από μια προεπιλεγμένη ρύθμιση SSID. Αυτές οι προεπιλεγμένες ρυθμίσεις είναι ευρέως γνωστές και δημοσιευμένες σε κοινότητες παρακολούθησης (βλ., για παράδειγμα, http://www.wi2600.org/mediawhore/nf0/wireless/ssid_defaults). Προφανώς, οι προεπιλεγμένες ρυθμίσεις δεν πρέπει να χρησιμοποιούνται σε κανένα δίκτυο.

Ρύζι. 14.1

Πολλά σημεία πρόσβασης διαθέτουν μια δυνατότητα απόκρυψης SSID, που συχνά ονομάζεται Κρυφό δίκτυοή Κρυφό δίκτυο. Αυτή η δυνατότητα βοηθά στην αποτροπή ορισμένων κατασκόπων από το να ανακαλύψουν το όνομα του δικτύου σας, αλλά κάθε φορά που ένας νέος πελάτης συνδέεται σε αυτό ή ένας υπάρχων πελάτης λαμβάνει ένα αδύναμο σήμα, το SSID μεταδίδεται και ένα πρόγραμμα όπως το Kismet το εντοπίζει. Η απόκρυψη του SSID μπορεί να επιβραδύνει τον περιστασιακό επισκέπτη, αλλά δεν παρέχει πραγματική ασφάλεια.

Κρυπτογράφηση WEP

Η κρυπτογράφηση WEP είναι μια δυνατότητα κάθε συστήματος 802.11b, επομένως είναι σημαντικό να γνωρίζετε πώς λειτουργεί, ακόμα κι αν επιλέξετε να μην τη χρησιμοποιήσετε. Όπως υποδηλώνει το όνομά του, ο αρχικός σκοπός του Wired Equivalent Privacy (WEP) ήταν να παρέχει ένα επίπεδο ασφάλειας για ασύρματα δίκτυα συγκρίσιμο με αυτό ενός ενσύρματου δικτύου. Αλλά υπάρχει ένας πολύ κοινός ισχυρισμός ότι ένα δίκτυο που βασίζεται σε κρυπτογράφηση WEP είναι σχεδόν τόσο ευάλωτο σε εισβολή όσο ένα δίκτυο χωρίς καμία απολύτως ασφάλεια. Θα προστατεύει από τον περιστασιακό κατάσκοπο, αλλά δεν θα είναι ιδιαίτερα αποτελεσματικό έναντι ενός επίμονου διαρρήκτη.

Το WEP εκτελεί τρεις λειτουργίες: αποτρέπει τη μη εξουσιοδοτημένη πρόσβαση στο δίκτυο, επαληθεύει την ακεραιότητα κάθε πακέτου και προστατεύει τα δεδομένα από κακούς. Για την κρυπτογράφηση πακέτων δεδομένων, το WEP χρησιμοποιεί ένα μυστικό κλειδί κρυπτογράφησης πριν το μεταδώσει ο πελάτης δικτύου ή το σημείο πρόσβασης και χρησιμοποιεί το ίδιο κλειδί για την αποκωδικοποίηση των δεδομένων μετά τη λήψη τους.

Όταν ένας πελάτης προσπαθεί να επικοινωνήσει με το δίκτυο χρησιμοποιώντας διαφορετικό κλειδί, το αποτέλεσμα αλλοιώνεται και αγνοείται. Επομένως, οι ρυθμίσεις WEP πρέπει να είναι ακριβώς οι ίδιες σε κάθε σημείο πρόσβασης και προσαρμογέα πελάτη στο δίκτυο. Αυτό ακούγεται αρκετά απλό, αλλά δημιουργεί σύγχυση επειδή οι πωλητές χρησιμοποιούν διαφορετικές μεθόδους για να καθορίσουν το μέγεθος και τη μορφή του κλειδιού WEP. Οι λειτουργίες είναι συνεπείς από μάρκα σε μάρκα, αλλά οι ίδιες ρυθμίσεις δεν έχουν πάντα τους ίδιους χαρακτηρισμούς.

Πόσα bit υπάρχουν στο κλειδί WEP σας;

Πρώτον, το κλειδί WEP μπορεί να είναι είτε 64 είτε 128 bit. Τα κλειδιά 128 bit είναι πιο δύσκολο να σπάσουν, αλλά αυξάνουν επίσης το χρόνο που απαιτείται για τη μετάδοση κάθε πακέτου.

Η σύγχυση μεταξύ των υλοποιήσεων διαφορετικών προμηθευτών προκύπτει επειδή το WEP 40 bit είναι το ίδιο με ένα κλειδί WEP 64 bit και ένα κλειδί 104 bit είναι το ίδιο με ένα κλειδί 128 bit. Ένα τυπικό κλειδί WEP 64-bit είναι μια συμβολοσειρά που περιέχει ένα εσωτερικά δημιουργημένο διάνυσμα προετοιμασίας 24-bit και ένα μυστικό κλειδί 40-bit που έχει εκχωρηθεί από τον διαχειριστή του δικτύου. Οι προδιαγραφές και τα προγράμματα διαμόρφωσης ορισμένων κατασκευαστών το ονομάζουν "κρυπτογράφηση 64 bit" και άλλα "κρυπτογράφηση 40 bit". Σε κάθε περίπτωση, το σχήμα κρυπτογράφησης παραμένει το ίδιο, επομένως ένας προσαρμογέας που χρησιμοποιεί κρυπτογράφηση 40 bit είναι πλήρως συμβατός με ένα σημείο πρόσβασης ή έναν προσαρμογέα που χρησιμοποιεί κρυπτογράφηση 64 bit.

Πολλοί προσαρμογείς δικτύου και σημεία πρόσβασης περιέχουν επίσης μια δυνατότητα "ισχυρής κρυπτογράφησης" που χρησιμοποιεί ένα κλειδί 128-bit (το οποίο είναι στην πραγματικότητα ένα μυστικό κλειδί 104-bit με ένα διάνυσμα αρχικοποίησης 24-bit).

Η ισχυρή κρυπτογράφηση είναι μονόδρομη συμβατή με κρυπτογράφηση 64 bit, αλλά δεν είναι αυτόματη, επομένως όλα τα στοιχεία ενός μικτού δικτύου συσκευών με κλειδί 128 bit και 64 bit θα λειτουργούν με κρυπτογράφηση 64 bit. Εάν το σημείο πρόσβασης και όλοι οι προσαρμογείς υποστηρίζουν κρυπτογράφηση 128 bit, χρησιμοποιήστε ένα κλειδί 128 bit. Αλλά εάν θέλετε το δίκτυό σας να είναι συμβατό με προσαρμογείς και σημεία πρόσβασης που αναγνωρίζουν μόνο κρυπτογράφηση 64 bit, διαμορφώστε ολόκληρο το δίκτυό σας ώστε να χρησιμοποιεί κλειδιά 64 bit.

ASCII ή δεκαεξαδικό κλειδί;

Αλλά το μήκος του κλειδιού από μόνο του προκαλεί σύγχυση κατά τη ρύθμιση της κρυπτογράφησης WEP. Ορισμένα προγράμματα απαιτούν το κλειδί ως μια συμβολοσειρά χαρακτήρων κειμένου, ενώ άλλα το απαιτούν ως δεκαεξαδικό αριθμό. Άλλοι μπορούν να δημιουργήσουν ένα κλειδί από μια προαιρετική φράση πρόσβασης.

Κάθε χαρακτήρας ASCII αποτελείται από 8 bit, επομένως ένα κλειδί WEP 40 bit (ή 64 bit) περιέχει 5 χαρακτήρες και ένα κλειδί 104 bit (ή 128 bit) αποτελείται από 13 χαρακτήρες. Στο δεκαεξαδικό, κάθε αριθμός αποτελείται από 4 bit, επομένως ένα κλειδί 40 bit περιέχει 10 δεκαεξαδικούς χαρακτήρες και ένα κλειδί 128 bit έχει 26 χαρακτήρες.

Στο Σχ. Στο Σχήμα 14.2, το οποίο δείχνει το παράθυρο Ρύθμιση ασύρματης σύνδεσης για ένα σημείο πρόσβασης D-Link, το πεδίο Ασφάλεια κοινόχρηστου κλειδιού 40-bit χρησιμοποιεί δεκαεξαδικούς χαρακτήρες και έχει χώρο για δέκα χαρακτήρες. Το πρόγραμμα D-Link περιέχει και τους δέκα χαρακτήρες σε μία γραμμή, αλλά κάποιοι άλλοι τους χωρίζουν σε πέντε ομάδες των δύο αριθμών ή σε δύο ομάδες των πέντε αριθμών.

Ρύζι. 14.2

Σε έναν υπολογιστή, το κλειδί φαίνεται το ίδιο σε κάθε περίπτωση, αλλά είναι ευκολότερο να αντιγράψετε τη συμβολοσειρά όταν είναι χωρισμένη σε μέρη.

Πολλά βοηθητικά προγράμματα πελάτη, όπως το πλαίσιο διαλόγου Ιδιότητες ασύρματου δικτύου στα Windows XP (εμφανίζεται στην Εικόνα 14.3), προσφέρουν επιλογή είτε δεκαεξαδικού κώδικα είτε κειμένου, ώστε να μπορείτε να χρησιμοποιήσετε την κατάλληλη μορφή για το σημείο πρόσβασης.

Η φράση πρόσβασης είναι μια συμβολοσειρά κειμένου που οι προσαρμογείς και τα σημεία πρόσβασης μετατρέπουν αυτόματα σε μια συμβολοσειρά δεκαεξαδικών χαρακτήρων. Δεδομένου ότι οι άνθρωποι γενικά θυμούνται λέξεις ή φράσεις με νόημα πιο εύκολα από το δεκαεξαδικό gobbledygook, μια φράση πρόσβασης είναι πιο εύκολη στη μεταφορά από μια δεκαεξαδική συμβολοσειρά. Ωστόσο, μια φράση πρόσβασης είναι χρήσιμη μόνο όταν όλοι οι προσαρμογείς και τα σημεία πρόσβασης στο δίκτυο είναι κατασκευασμένα από τον ίδιο κατασκευαστή.

Ρύζι. 14.3

Ποια χαρακτηριστικά υπάρχουν;

Παρόμοια με όλες σχεδόν τις ρυθμίσεις στο βοηθητικό πρόγραμμα διαμόρφωσης 802.11b, τα ονόματα των συναρτήσεων WEP δεν είναι σταθερά από το ένα πρόγραμμα στο άλλο.

Ορισμένοι χρησιμοποιούν ένα ανοιχτό σύνολο λειτουργιών όπως "ενεργοποίηση κρυπτογράφησης WEP", ενώ άλλοι χρησιμοποιούν τεχνική ορολογία που προέρχεται από την επίσημη προδιαγραφή 802.11. Το Open System Authentication είναι η δεύτερη παραλλαγή του ονόματος "WEP Encryption Disabled".

Ορισμένα σημεία πρόσβασης παρέχουν επίσης μια προαιρετική δυνατότητα ελέγχου ταυτότητας δημόσιου κλειδιού που χρησιμοποιεί κρυπτογράφηση WEP, όπου ο πελάτης δικτύου έχει το κλειδί, αλλά τα μη κρυπτογραφημένα δεδομένα γίνονται δεκτά από άλλους κόμβους δικτύου.

Συνδυασμός δεκαεξαδικών πλήκτρων και πλήκτρων κειμένου

Η ρύθμιση ενός μικτού δικτύου γίνεται πιο περίπλοκη όταν ορισμένοι κόμβοι δικτύου χρησιμοποιούν μόνο δεκαεξαδικά κλειδιά ενώ άλλοι απαιτούν κλειδιά κειμένου. Εάν παρουσιαστεί αυτή η κατάσταση στο δίκτυό σας, πρέπει να ακολουθήσετε τους παρακάτω κανόνες για να τους διαμορφώσετε με το WEP:

Μετατρέψτε όλα τα κλειδιά κειμένου σε δεκαεξαδικό. Εάν το πρόγραμμα διαμόρφωσης απαιτεί ένα πλήκτρο κειμένου, εισαγάγετε τους χαρακτήρες Ω(ένα μηδέν ακολουθούμενο από ένα πεζό x) πριν από τη δεκαεξαδική συμβολοσειρά. Εάν χρησιμοποιείτε το λογισμικό AirPort της Apple, αντί για ΩΣτην αρχή του δεκαεξαδικού κλειδιού, πρέπει να εισαγάγετε ένα σύμβολο δολαρίου ( $ );

Βεβαιωθείτε ότι όλα τα κλειδιά κρυπτογράφησης έχουν τον σωστό αριθμό χαρακτήρων.

Εάν τα πράγματα και πάλι δεν λειτουργούν, διαβάστε τις ενότητες ασφαλείας στα εγχειρίδια για τους προσαρμογείς δικτύου και τα σημεία πρόσβασης. Είναι πιθανό μία ή περισσότερες από αυτές τις συσκευές στο δίκτυο να έχουν κάποιο κρυφό χαρακτηριστικό προσωπικότητας που δεν γνωρίζετε.

Αλλαγή κλειδιών WEP

Πολλά σημεία πρόσβασης και προσαρμογείς πελάτη δικτύου μπορούν να υποστηρίξουν έως και τέσσερα διαφορετικά κλειδιά WEP 64-bit, αλλά μόνο ένα είναι ενεργό τη φορά, όπως φαίνεται στην Εικόνα 1. 14.4. Άλλα κλειδιά είναι τα εφεδρικά κλειδιά, τα οποία μπορούν να επιτρέψουν στον διαχειριστή του δικτύου να προσαρμόσει την ασφάλεια του δικτύου με σύντομη ειδοποίηση. Οι προσαρμογείς και τα σημεία πρόσβασης που υποστηρίζουν κρυπτογράφηση 128 bit χρησιμοποιούν μόνο ένα κλειδί WEP 128 bit τη φορά.

Ρύζι. 14.4

Σε ένα δίκτυο όπου η κρυπτογράφηση WEP είναι οργανωμένη σοβαρά. Τα κλειδιά WEP πρέπει να αλλάζονται τακτικά, σύμφωνα με ένα πρόγραμμα. Ένας μήνας είναι αρκετός για ένα δίκτυο που δεν μεταδίδει σημαντικά δεδομένα, αλλά για ένα πιο σοβαρό δίκτυο, ένα νέο κλειδί πρέπει να εγκαθίσταται μία ή δύο φορές την εβδομάδα. Θυμηθείτε να σημειώσετε τα τρέχοντα κλειδιά WEP σας σε ασφαλές μέρος.

Σε ένα οικιακό ή μικρό δίκτυο γραφείων, πιθανότατα θα αλλάξετε μόνοι σας όλα τα κλειδιά WEP. Διαφορετικά, ο διαχειριστής του δικτύου ή ο επαγγελματίας ασφαλείας θα πρέπει να διανέμει τα νέα κλειδιά WEP σε χαρτί, σε σημείωμα και όχι μέσω email. Για επιπλέον επίπεδο ασφάλειας σε δίκτυα που χρησιμοποιούν κρυπτογράφηση 64-bit, δώστε εντολή στους χρήστες σας να αλλάζουν δύο κλειδιά τη φορά (όχι την τρέχουσα προεπιλογή). Στείλτε ένα ξεχωριστό σημείωμα ειδοποιώντας τους χρήστες ποιο κλειδί έχει γίνει η νέα προεπιλογή και πότε πρέπει να αλλάξει.

Μια τυπική εβδομαδιαία οδηγία μπορεί να μοιάζει με αυτό:

Εισαγάγετε τα ακόλουθα νέα κλειδιά WEP 64-bit:

Κλειδί 1: XX XX XX XX XX

Κλειδί 4: ΕΕΕΕΕΕΕΕΕΕ

Μια άλλη σημείωση μια εβδομάδα αργότερα θα παρέχει τους κωδικούς για το κλειδί 2 και το κλειδί 3.

Μια ξεχωριστή σημείωση μπορεί να λέει: «Το δίκτυό μας θα αλλάξει στο Key 3 τα μεσάνυχτα της Τρίτης. Αλλάξτε το προεπιλεγμένο κλειδί του προσαρμογέα δικτύου σας." Για να αλλάξετε, επιλέξτε μια ώρα κατά την οποία ο λιγότερος αριθμός χρηστών χρησιμοποιούν το ασύρματο δίκτυο, καθώς οποιαδήποτε ενεργή σύνδεση στο σημείο πρόσβασης τη στιγμή που αλλάζουν τα κλειδιά θα σπάσει και δεν θα είναι δυνατή η επαναφορά έως ότου αλλάξουν τα κλειδιά στον προσαρμογέα πελάτη. Οι χρήστες μπορούν να εισάγουν νέα κλειδιά εκ των προτέρων ως εναλλακτικά του τρέχοντος ενεργού κλειδιού και να τα αλλάζουν με μερικά κλικ όταν το νέο κλειδί τεθεί σε ισχύ.

Είναι αρκετή η προστασία WEP;

Αρκετοί επιστήμονες υπολογιστών έχουν δημοσιεύσει αναφορές για την κρυπτογράφηση WEP, υποστηρίζοντας ότι δεν χρησιμοποιείται για την προστασία ευαίσθητων δεδομένων. Όλοι επισημαίνουν σοβαρές ελλείψεις στη θεωρία και την πρακτική της κρυπτογραφίας που χρησιμοποιείται στη σύνθεση αλγορίθμων κρυπτογράφησης WEP. Αυτοί οι ειδικοί είναι ομόφωνοι στη σύστασή τους: Όποιος χρησιμοποιεί ασύρματο δίκτυο 802.11 δεν πρέπει να βασίζεται στο WEP για λόγους ασφαλείας. Πρέπει να χρησιμοποιήσετε άλλες μεθόδους για την προστασία των δικτύων σας.

Μια ομάδα από το Πανεπιστήμιο της Καλιφόρνια, στο Μπέρκλεϋ, βρήκε πολυάριθμα ελαττώματα στον αλγόριθμο WEP που τον καθιστούν ευάλωτο σε τουλάχιστον τέσσερις διαφορετικούς τύπους επιθέσεων:

Παθητικές επιθέσεις που χρησιμοποιούν στατιστική ανάλυση για την αποκωδικοποίηση δεδομένων.

Ενεργές επιθέσεις με τη δημιουργία κρυπτογραφημένων πακέτων που αναγκάζουν το σημείο πρόσβασης να δέχεται ψευδείς εντολές.

Επιτίθεται αναλύοντας κρυπτογραφημένα πακέτα για τη δημιουργία ενός λεξικού, το οποίο στη συνέχεια μπορεί να χρησιμοποιηθεί για αυτόματη αποκωδικοποίηση δεδομένων σε πραγματικό χρόνο.

Επιθέσεις που τροποποιούν τις κεφαλίδες πακέτων για να ανακατευθύνουν τα δεδομένα σε έναν προορισμό που ελέγχεται από τον εισβολέα.

Η έκθεση του Berkeley ολοκληρώνεται με την κατηγορηματική δήλωση: «Η ασφάλεια WEP δεν ισοδυναμεί με ενσύρματη ασφάλεια. Τα προβλήματα με το πρωτόκολλο είναι αποτέλεσμα παρανόησης ορισμένων από τα βασικά της κρυπτογραφίας και συνεπώς της ανασφαλούς χρήσης μεθόδων κρυπτογράφησης».

Ερευνητές από το Πανεπιστήμιο Rice και το AT&T Labs δημοσίευσαν τις δικές τους περιγραφές των επιθέσεων τους σε δίκτυα κρυπτογραφημένα με WEP (http://www.cs.rice.edu/~astubble/wep), που τους οδήγησε σε ένα παρόμοιο συμπέρασμα: «WEP in 802.11 είναι εντελώς ανασφαλές». Κατάφεραν να παραγγείλουν και να λάβουν τον απαραίτητο εξοπλισμό, να δημιουργήσουν έναν πάγκο δοκιμών, να αναπτύξουν το εργαλείο επίθεσης και να αποκτήσουν με επιτυχία ένα κλειδί WEP 128-bit σε λιγότερο από μια εβδομάδα.

Τόσο οι αναφορές του Berkeley όσο και της AT&T Labs συντάσσονται από τεχνικούς εμπειρογνώμονες, για τεχνικούς εμπειρογνώμονες και αναλύουν την κρυπτογραφία. Τα επιχειρήματά τους είναι κατανοητά, αλλά οι μέθοδοί τους προϋποθέτουν ότι ο κακοπροαίρετος έχει κάποιες σοβαρές τεχνικές γνώσεις. Ωστόσο, εργαλεία για λιγότερο εξελιγμένους κωδικοποιητές μπορούν να βρεθούν εξίσου εύκολα. Τόσο το AirSnort (http://airsnort.shmoo.com) όσο και το WEPCrack() είναι προγράμματα Linux που παρακολουθούν τα σήματα ασύρματου δικτύου και εκμεταλλεύονται τις αδυναμίες του αλγόριθμου WEP για να αποκτήσουν το κλειδί κρυπτογράφησης.

Οι προγραμματιστές του AirSnort ισχυρίζονται ότι το πρόγραμμά τους μπορεί να χακάρει με επιτυχία τα περισσότερα δίκτυα μέσα σε δύο εβδομάδες. Αυτή η τεχνολογία παρακολουθεί τα σήματα δικτύου χωρίς να τα επηρεάζει, επομένως ο διαχειριστής του δικτύου δεν μπορεί να εντοπίσει την παρουσία επίθεσης. Το πρόγραμμα κυκλοφορεί για να επιδεινωθεί το πρόβλημα. Εάν η κρυπτογράφηση WEP είναι εύκολο να σπάσει, οι ομάδες προτύπων αναγκάζονται είτε να βρουν έναν τρόπο να την κάνουν πιο ασφαλή είτε να την αντικαταστήσουν με μια πιο δύσκολη επιλογή.

Για να το συνοψίσουμε: κρατήστε το απλό και κρυπτογραφήστε τα δεδομένα του δικτύου σας.

Τα κρυπτογραφημένα δεδομένα είναι πιο ασφαλή από τη μετάδοση απλού κειμένου και η διάρρηξη ενός κλειδιού WEP απαιτεί χρόνο, επομένως το WEP προσθέτει ένα άλλο (πιθανώς αδύναμο) επίπεδο ασφάλειας, ειδικά αν αλλάζετε συχνά κλειδιά. Η κρυπτογράφηση WEP δεν μπορεί να σας προστατεύσει από σοβαρούς εχθρούς, αλλά θα σας προστατεύσει από τυχαίους κακοπροαίρετους. Είναι πολύ πιο εύκολο να διεισδύσετε σε ένα δίκτυο που δεν χρησιμοποιεί κρυπτογράφηση (που είναι αυτό που κάνουν οι περισσότεροι), έτσι ένας χάκερ που ανακαλύπτει ένα κρυπτογραφημένο σήμα πιθανότατα θα προχωρήσει σε έναν στόχο με λιγότερη ασφάλεια.

Ερχεται βοήθεια

Προφανώς, ένας σχεδιασμός ασφαλείας με τρύπες αρκετά μεγάλες ώστε να οδηγεί ένα γιγαντιαίο ψηφιακό φορτηγό είναι σχεδόν τόσο κακός όσο και καθόλου ασφάλεια. Οι επιτυχείς επιθέσεις στην κρυπτογράφηση WEP και τα άμεσα διαθέσιμα εργαλεία για την εκμετάλλευση ελαττωμάτων του πρωτοκόλλου ασφαλείας αναγκάζουν τα μέλη του Wi-Fi Alliance να εξετάσουν σοβαρά την υποστήριξη της άδειας χρήσης τους ως το de facto πρότυπο για ασύρματη δικτύωση. Λέξεις όπως «κρίση» χρησιμοποιούνται από αυτούς για να περιγράψουν την προσοχή που δίνεται σε αυτά τα ζητήματα.

Θέλουν να βρουν μια λύση προτού η φήμη των παραβιάσεων ασφαλείας υπερκεράσει τη ζήτηση για τον ασύρματο εξοπλισμό Ethernet που δημιούργησαν και διαφήμισαν προσεκτικά.

Τα νέα πρότυπα που θα λύσουν αυτό το πρόβλημα θα ονομάζονται 802.11i.IEEE. Η Επιτροπή Προτύπων 802.11 άρχισε να συζητά το πρόβλημα αρκετούς μήνες πριν γίνει γνωστό στο κοινό. Μια επιτροπή που ονομάζεται Ομάδα Εργασίας i (TGi) εργάζεται σε μια νέα, βελτιωμένη προδιαγραφή ασφαλείας που (ελπίζουμε) να αντιμετωπίσει όλες τις γνωστές αδυναμίες των προτύπων κρυπτογράφησης WEP. Η ομάδα υπόσχεται ότι τα νέα εργαλεία ασφαλείας θα λειτουργούν αυτόματα και θα είναι συμβατά με παλαιότερο εξοπλισμό που δεν χρησιμοποιεί τα νέα εργαλεία. Η ερευνητική ομάδα έχει μια τοποθεσία Web στη διεύθυνση http://grouper.ieee.Org/groups/802/11/Reports, όπου μπορείτε να βρείτε πληροφορίες για τη συνάντηση και να διαβάσετε μερικά από τα τεχνικά έγγραφα.

Η Wi-Fi Alliance θέλει τα μέλη της να αρχίσουν να χρησιμοποιούν το προϊόν TGi το συντομότερο δυνατό. Αυτό μπορεί να εκτονώσει την κατάσταση πριν γίνει εμπορική καταστροφή. Μόλις οι μηχανικοί αναφέρουν μια λύση, όλοι οι κατασκευαστές σημείων πρόσβασης και προσαρμογέων δικτύου θα ενσωματώσουν τις νέες μεθόδους ασφαλείας στα προϊόντα τους και η Alliance θα τις προσθέσει στη σουίτα δοκιμών πιστοποίησης Wi-Fi. Το ενημερωμένο λογισμικό και υλικολογισμικό θα διασφαλίσουν τη συμβατότητα των υπαρχόντων προϊόντων 802.11b με τα νέα πρωτόκολλα 802.11i.

Έλεγχος πρόσβασης

Τα περισσότερα σημεία πρόσβασης διαθέτουν μια δυνατότητα που επιτρέπει στον διαχειριστή δικτύου να περιορίζει την πρόσβαση σε προσαρμογείς-πελάτες από μια καθορισμένη λίστα. Εάν μια συσκευή δικτύου της οποίας η διεύθυνση MAC δεν βρίσκεται στη λίστα των εξουσιοδοτημένων χρηστών προσπαθήσει να συνδεθεί, το σημείο πρόσβασης αγνοεί το αίτημα για συσχέτιση με το δίκτυο. Αυτή η μέθοδος μπορεί να είναι αποτελεσματική στην αποτροπή της σύνδεσης αγνώστων σε ασύρματο δίκτυο, αλλά αναγκάζει τον διαχειριστή του δικτύου να διατηρεί μια πλήρη λίστα με τους προσαρμογείς των χρηστών και τις διευθύνσεις MAC τους. Κάθε φορά που ένας νέος χρήστης θέλει να συνδεθεί στο δίκτυο και κάθε φορά που ένας νόμιμος χρήστης αλλάζει προσαρμογείς, κάποιος πρέπει να προσθέσει μια άλλη διεύθυνση MAC στη λίστα. Αυτό είναι εφικτό σε ένα δίκτυο οικιακών ή μικρών γραφείων, αλλά μπορεί να είναι μεγάλο πρόβλημα για μια μεγάλη επιχείρηση ή σύστημα πανεπιστημιούπολης.

Κάθε βοηθητικό πρόγραμμα διαμόρφωσης σημείου πρόσβασης χρησιμοποιεί διαφορετική μορφή για λίστες πρόσβασης. Το εγχειρίδιο και η ηλεκτρονική τεκμηρίωση που παρέχεται με το σημείο πρόσβασής σας θα πρέπει να παρέχουν λεπτομερείς οδηγίες σχετικά με τον τρόπο δημιουργίας και χρήσης μιας λίστας ελέγχου πρόσβασης. Το πρότυπο 802.11b δεν ορίζει μέγιστο μέγεθος ACL για ένα σημείο πρόσβασης, επομένως οι αριθμοί κατανέμονται σε όλη την κάρτα. Ορισμένα σημεία πρόσβασης περιορίζουν τη λίστα σε πολλές δεκάδες παραμέτρους. Άλλα, όπως το Proxim Harmony AP Controller, θα υποστηρίζουν έως και 10.000 μεμονωμένες διευθύνσεις. Τα υπόλοιπα επιτρέπουν απεριόριστο αριθμό. Εάν σκοπεύετε να χρησιμοποιήσετε μια λίστα διευθύνσεων για να ελέγξετε την πρόσβαση στο δίκτυό σας, βεβαιωθείτε ότι το σημείο πρόσβασης θα χειρίζεται μια λίστα αρκετά μεγάλη ώστε να υποστηρίζει όλους τους χρήστες με επαρκή χώρο για το μέλλον. Ένας εμπειρικός κανόνας είναι ότι το σημείο πρόσβασης πρέπει να επιτρέπει τουλάχιστον διπλάσιο αριθμό διευθύνσεων MAC σε σύγκριση με τον τρέχοντα αριθμό χρηστών στο δίκτυό σας.

Ο έλεγχος ταυτότητας MAC δεν μπορεί να προστατεύσει από όλες τις εισβολές, καθώς η αλλαγή της διεύθυνσης MAC είναι ασήμαντη στις περισσότερες κάρτες δικτύου: το μόνο που έχει να κάνει ένας εισβολέας είναι να παρακολουθεί την κυκλοφορία του δικτύου σας αρκετά ώστε να βρει έναν έγκυρο χρήστη και να αντιγράψει τη διεύθυνση MAC του.

Ωστόσο, αυτός μπορεί να είναι ένας πολύ αποτελεσματικός τρόπος για να επιβραδύνετε τον περιστασιακό κατάσκοπο.

Έλεγχος ταυτότητας: Πρότυπο 802.1x

Λόγω των τρυπών ασφαλείας στις προδιαγραφές κρυπτογράφησης WEP, πολλοί κατασκευαστές εξοπλισμού ασύρματου δικτύου και προγραμματιστές λογισμικού έχουν ήδη προσαρμόσει το νέο πρότυπο IEEE - 802.1x - για να προσθέσουν ένα άλλο επίπεδο ασφάλειας στα δίκτυά τους. Το πρότυπο 802.1x ορίζει ένα πλαίσιο που μπορεί να υποστηρίξει πολλές διαφορετικές μορφές ελέγχου ταυτότητας, συμπεριλαμβανομένων πιστοποιητικών, έξυπνων καρτών και κωδικών πρόσβασης μίας χρήσης, τα οποία παρέχουν μεγαλύτερη ασφάλεια από τα στοιχεία ελέγχου πρόσβασης που είναι ενσωματωμένα στο 802.11.

Στα ασύρματα δίκτυα 802.11, μια τεχνολογία που ονομάζεται Robust Security Network είναι χτισμένη πάνω από το πλαίσιο 802.1x για τον περιορισμό της πρόσβασης δικτύου σε εξουσιοδοτημένες συσκευές.

Οι περισσότεροι τελικοί χρήστες θα πρέπει να γνωρίζουν δύο πράγματα για το 802.1x: πρώτον, είναι ενσωματωμένο σε κάποιο (αλλά όχι σε όλα) υλικό και λογισμικό 802.11b, συμπεριλαμβανομένου του βοηθητικού προγράμματος ρύθμισης παραμέτρων ασύρματης σύνδεσης που συνοδεύει τα Windows XP και πολλά σύγχρονα σημεία πρόσβασης, ώστε να μπορεί να παρέχει ένα άλλο δυνητικό στρώμα προστασίας. και δεύτερον, εξακολουθεί να έχει σοβαρά ελαττώματα που μπορεί να εκμεταλλευτεί ένας εξειδικευμένος χάκερ δικτύου για να διεισδύσει σε ένα ασύρματο δίκτυο. Οι δυσάρεστες τεχνικές λεπτομέρειες, που αναλύθηκαν από δύο ερευνητές του Πανεπιστημίου του Μέριλαντ, είναι διαθέσιμες στο διαδίκτυο στη διεύθυνση http://www.cs.umd.edu/~waa/1x.pdf.

Φαίνεται σαν να έχει εμφανιστεί ένα ορόσημο, έτσι δεν είναι; Μηχανικοί από ενδιαφερόμενες εταιρείες υλικού και λογισμικού ενώνονται κάτω από το λάβαρο μιας ερευνητικής ομάδας

Τι να κάνω? Είναι ένα ασφαλές ασύρματο δίκτυο ένα ανέφικτο ιδανικό; Αν κοιτάξετε την ασύρματη ασφάλεια ως ένα παιχνίδι γάτας με το ποντίκι, είναι αρκετά ξεκάθαρο ότι τα ποντίκια (κατάσκοποι και κροτίδες δικτύου) είναι οι νικητές. Αλλά αυτά τα ποντίκια απαιτούν προηγμένες γνώσεις και υλικό για να ξεπεράσουν τα υπάρχοντα εργαλεία κρυπτογράφησης και ελέγχου ταυτότητας.

Σκεφτείτε το σαν την εξώπορτα του σπιτιού σας: αν την αφήσετε ορθάνοιχτη, ο καθένας μπορεί να μπει και να κλέψει τα πράγματά σας, αλλά αν κλειδώσετε την πόρτα και κλείσετε τα παράθυρα, θα είναι πολύ πιο δύσκολο για έναν διαρρήκτη να μπει μέσα . Ένας ειδικός μπορεί να ανοίξει την κλειδαριά, αλλά αυτό θα πάρει πολύ χρόνο και προσπάθεια.

Τείχη προστασίας

Εάν αποδεχτείτε ότι η κρυπτογράφηση WEP και το 802.1x δεν παρέχουν επαρκή ασύρματη ασφάλεια, το επόμενο λογικό βήμα είναι να βρείτε έναν άλλο τρόπο για να αποτρέψετε την πρόσβαση τρίτων στο δίκτυό σας. Χρειάζεστε ένα τείχος προστασίας.

Το τείχος προστασίας είναι ένας διακομιστής μεσολάβησης που φιλτράρει όλα τα δεδομένα που περνούν μέσω αυτού προς ή από το δίκτυο, ανάλογα με ένα σύνολο κανόνων που ορίζει ο διαχειριστής του δικτύου. Για παράδειγμα, ένα τείχος προστασίας μπορεί να φιλτράρει δεδομένα από μια άγνωστη πηγή ή αρχεία που σχετίζονται με μια συγκεκριμένη πηγή (ιούς). Ή μπορεί να επιτρέπει όλα τα δεδομένα που αποστέλλονται από το τοπικό δίκτυο στο Διαδίκτυο, αλλά να επιτρέπει μόνο συγκεκριμένους τύπους δεδομένων από το Διαδίκτυο. Η πιο κοινή χρήση ενός τείχους προστασίας δικτύου είναι ως πύλη προς το Διαδίκτυο, όπως φαίνεται στο σχήμα. 14.5. Το τείχος προστασίας παρακολουθεί όλα τα δεδομένα που έρχονται και πηγαίνουν μεταξύ του τοπικού δικτύου στη μία πλευρά και του Διαδικτύου από την άλλη. Αυτός ο τύπος τείχους προστασίας έχει σχεδιαστεί για να προστατεύει τους υπολογιστές σε ένα δίκτυο από μη εξουσιοδοτημένη πρόσβαση από το Διαδίκτυο.

Ρύζι. 14.5

Σε ένα ασύρματο δίκτυο, το τείχος προστασίας μπορεί επίσης να βρίσκεται στην πύλη μεταξύ των σημείων ασύρματης πρόσβασης και του ενσύρματου δικτύου. Ένα τέτοιο τείχος προστασίας απομονώνει το ασύρματο τμήμα του δικτύου από το ενσύρματο δίκτυο, επομένως οι κακοί που συνδέουν τους υπολογιστές τους στο δίκτυο χωρίς άδεια δεν μπορούν να χρησιμοποιήσουν την ασύρματη σύνδεση για πρόσβαση στο Διαδίκτυο ή στο ενσύρματο τμήμα του δικτύου. Στο Σχ. Το Σχήμα 14.6 δείχνει τη θέση του τείχους προστασίας σε ένα ασύρματο δίκτυο.

Ρύζι. 14.6

Μην δίνετε την ευκαιρία στους εισβολείς ασύρματων δικτύων

Οι περισσότεροι άνθρωποι που προσπαθούν να συνδεθούν σε ένα ασύρματο δίκτυο δεν ανησυχούν για άλλους υπολογιστές. ενδιαφέρονται για δωρεάν πρόσβαση στο Διαδίκτυο υψηλής ταχύτητας. Εάν δεν μπορούν να χρησιμοποιήσουν το δίκτυό σας για λήψη αρχείων ή σύνδεση στις αγαπημένες τους ιστοσελίδες, πιθανότατα θα προσπαθήσουν να βρουν κάποιο άλλο μη ασφαλές σημείο ασύρματης σύνδεσης. Αυτό δεν σημαίνει ότι πρέπει να αποθηκεύετε ευαίσθητα δεδομένα σε προσβάσιμα αρχεία σε μη ασφαλείς υπολογιστές, αλλά εάν μπορείτε να περιορίσετε ή να αρνηθείτε την πρόσβαση στο Διαδίκτυο, θα κάνετε το δίκτυό σας πολύ λιγότερο ελκυστικό για τους επικριτές. Ένα τείχος προστασίας σε ένα ασύρματο δίκτυο μπορεί να εκτελέσει διάφορες λειτουργίες: ενεργεί ως δρομολογητής μεταξύ του ασύρματου και ενσύρματου δικτύου ή ως γέφυρα μεταξύ του δικτύου και του Διαδικτύου, εμποδίζοντας όλη την κίνηση από το ασύρματο προς την ενσύρματη πλευρά που δεν προέρχεται από πιστοποιημένο χρήστης. Αλλά δεν παρεμβαίνει σε εντολές, μηνύματα ή μεταφορές αρχείων που πραγματοποιούνται από αξιόπιστους χρήστες.

Δεδομένου ότι τόσο οι εξουσιοδοτημένοι χρήστες όσο και οι ξένοι βρίσκονται στην μη ασφαλή πλευρά του τείχους προστασίας, αυτό δεν απομονώνει τους ασύρματους κόμβους ο ένας από τον άλλο. Ένας εισβολέας μπορεί ακόμα να έχει πρόσβαση σε άλλον υπολογιστή στο ίδιο ασύρματο δίκτυο και να διαβάσει διαθέσιμα αρχεία, επομένως είναι καλύτερο να το απενεργοποιήσετε Κοινή χρήση αρχείων(Πρόσβαση σε αρχεία) σε οποιονδήποτε υπολογιστή που είναι συνδεδεμένος σε ασύρματο δίκτυο.

Ένα ασύρματο τείχος προστασίας πρέπει να χρησιμοποιεί κάποιο είδος ελέγχου ταυτότητας για να επιτρέπει στους εξουσιοδοτημένους χρήστες να περάσουν την πύλη και να φιλτράρουν όλους τους άλλους. Εάν ο έλεγχος πρόσβασης βάσει διεύθυνσης MAC είναι ενσωματωμένος σε συστήματα 802.11b και ο πρόσθετος έλεγχος ταυτότητας στο 802.1x δεν είναι αποδεκτός, τότε το εξωτερικό τείχος προστασίας θα πρέπει να απαιτεί από κάθε χρήστη να εισάγει μια σύνδεση και έναν κωδικό πρόσβασης πριν συνδεθεί στο Διαδίκτυο.

Εάν το ασύρματο δίκτυό σας περιέχει υπολογιστές με πολλά λειτουργικά συστήματα, το τείχος προστασίας πρέπει να χρησιμοποιεί μια σύνδεση που λειτουργεί σε οποιαδήποτε πλατφόρμα. Ο ευκολότερος τρόπος για να το πετύχετε αυτό είναι να χρησιμοποιήσετε έναν διακομιστή ελέγχου ταυτότητας που βασίζεται στο Web, όπως αυτός που περιλαμβάνεται στον διακομιστή Web Apache (http://httpd.apache.org).

Η NASA χρησιμοποιεί τον Apache σε έναν αποκλειστικό διακομιστή για να δημιουργήσει μια τοποθεσία Web που ειδοποιεί τους χρήστες όταν εισάγουν όνομα λογαριασμού και κωδικό πρόσβασης.

Ο διακομιστής χρησιμοποιεί μια δέσμη ενεργειών Perl/CGI για να συγκρίνει τα στοιχεία σύνδεσης και τον κωδικό πρόσβασης με τη βάση δεδομένων. Εάν είναι σωστές, δίνει εντολή στον διακομιστή να δέχεται εντολές και δεδομένα από τη διεύθυνση IP του χρήστη. Εάν δεν υπάρχει σύνδεση στη βάση δεδομένων ή ο κωδικός πρόσβασης είναι ανακριβής, ο διακομιστής Apache εμφανίζει την ιστοσελίδα "Μη έγκυρο όνομα χρήστη και κωδικός πρόσβασης".

Ο διακομιστής ιστού Apache είναι διαθέσιμος ως εφαρμογή Unix που τρέχει σε έναν παλιό, αργό υπολογιστή με πρώιμο Pentium ή ακόμα και CPU 486, επομένως είναι συχνά δυνατό να επαναχρησιμοποιηθεί ένας παλιός υπολογιστής που δεν χρησιμοποιείται πλέον στην καθημερινή εργασία για να χρησιμοποιηθεί ως τείχος προστασίας . Τόσο η εφαρμογή Apache όσο και το λειτουργικό σύστημα Unix είναι διαθέσιμα ως λογισμικό ανοιχτού κώδικα, επομένως θα πρέπει να είναι δυνατή η κατασκευή ενός τείχους προστασίας που βασίζεται σε Apache με εξαιρετικά χαμηλό κόστος.

Εάν προτιμάτε να χρησιμοποιείτε Windows αντί για Unix, έχετε πολλές επιλογές. Μπορείτε να χρησιμοποιήσετε την έκδοση του Apache των Windows NT/2000 ή ένα εμπορικό βοηθητικό πρόγραμμα, όπως το Wireless Enforcer από το Sygate (http://www.sygate.com/prodacls/sse/sse_swe_securjty.htm) - Το Wireless Enforcer λειτουργεί με άλλα στοιχεία του Sygate Secure Enterprise Suite Sygate Security) για να εκχωρήσετε και να επαληθεύσετε ένα μοναδικό δακτυλικό αποτύπωμα σε κάθε εξουσιοδοτημένο χρήστη. Εάν οι ξένοι προσπαθήσουν να συνδεθούν στο σημείο πρόσβασης χωρίς το απαιτούμενο δακτυλικό αποτύπωμα, το δίκτυο τους αποκλείει.

Απομόνωση του δικτύου σας από το Διαδίκτυο

Δεν πραγματοποιούνται όλες οι επιθέσεις σε ένα ασύρματο δίκτυο μέσω του αέρα. Ένα ασύρματο δίκτυο απαιτεί το ίδιο είδος υποστήριξης τείχους προστασίας έναντι επιθέσεων στο Διαδίκτυο όπως κάθε άλλο δίκτυο. Πολλά σημεία πρόσβασης περιέχουν διαμορφώσιμες λειτουργίες τείχους προστασίας, αλλά εάν το δικό σας δεν έχει, το δίκτυό σας πρέπει να περιέχει ένα ή περισσότερα από τα ακόλουθα τείχη προστασίας:

Πρόγραμμα τείχους προστασίας σε κάθε υπολογιστή.

Ένας ξεχωριστός δρομολογητής ή αποκλειστικός υπολογιστής που λειτουργεί ως τείχος προστασίας δικτύου.

Ένα ολοκληρωμένο πακέτο ασφαλείας, όπως το πακέτο Sygate που περιγράφεται στην προηγούμενη ενότητα.

Τα προγράμματα-πελάτες τείχους προστασίας παρέχουν μια άλλη γραμμή άμυνας έναντι επιθέσεων στο δίκτυό σας μέσω του Διαδικτύου. Μερικά από αυτά προέρχονται από κακούς που αναζητούν έναν τρόπο να διαβάσουν τα αρχεία σας και άλλους πόρους που θέλετε να κρύψετε από τον έξω κόσμο. Άλλοι μπορεί να θέλουν να χρησιμοποιήσουν τον υπολογιστή σας ως σημείο διανομής για απόπειρες ανεπιθύμητης αλληλογραφίας ή διείσδυσης σε έναν υπολογιστή αλλού στον κόσμο, για να κάνουν πιο δύσκολη την παρακολούθηση του πραγματικού πόρου. Άλλοι διανέμουν ιούς ή χρησιμοποιούν ανεπιθύμητα προγράμματα που αναλαμβάνουν τον έλεγχο του υπολογιστή και εμφανίζουν εκφοβιστικά ή διαφημιστικά μηνύματα. Επιπλέον, ένα μη ασφαλές μηχάνημα με πολύ αχρησιμοποίητο αποθηκευτικό χώρο μπορεί να είναι ένας ελκυστικός στόχος για τους χάκερ που θέλουν να διανείμουν πειρατικό λογισμικό, μουσική ή αρχεία βίντεο (δεν νομίζετε ότι μπορεί να αποθηκεύουν αυτά τα χάλια στους δικούς τους υπολογιστές;).

Εάν ρυθμίσετε ένα τείχος προστασίας που σας ειδοποιεί όταν ένας εξωτερικός υπολογιστής προσπαθεί να συνδεθεί στο δίκτυό σας, πιθανότατα θα βλέπετε πολλές απόπειρες εισβολής κάθε μέρα.

Σημεία πρόσβασης με τείχη προστασίας

Η απλούστερη επιλογή για τη χρήση ενός ασύρματου τείχους προστασίας είναι να χρησιμοποιήσετε αυτό που είναι ενσωματωμένο στο σημείο πρόσβασης. Ορισμένοι συνδυάζουν τις λειτουργίες ενός σημείου ασύρματης πρόσβασης με έναν ευρυζωνικό δρομολογητή και έναν μεταγωγέα Ethernet, έτσι ώστε να υποστηρίζουν πελάτες ενσύρματου και ασύρματου δικτύου.

Όπως γνωρίζετε, ένας δρομολογητής δικτύου παρέχει μετάφραση μεταξύ μιας αριθμητικής διεύθυνσης IP που ορίζει την πύλη ενός τοπικού δικτύου και των εσωτερικών διευθύνσεων IP που ορίζουν μεμονωμένους υπολογιστές μέσα σε αυτό. Ένα τείχος προστασίας συνήθως αποκλείει όλα τα εισερχόμενα αιτήματα δεδομένων σε τοπικούς κεντρικούς υπολογιστές δικτύου, αλλά αυτό δημιουργεί προβλήματα όταν θέλετε να χρησιμοποιήσετε έναν ή περισσότερους υπολογιστές τοπικού δικτύου ως διακομιστές αρχείων. Για την επίλυση αυτού του προβλήματος, το τείχος προστασίας περιλαμβάνει έναν εικονικό διακομιστή που ανακατευθύνει αιτήματα συγκεκριμένου τύπου στον κατάλληλο υπολογιστή εντός του δικτύου.

Κάθε αίτημα σύνδεσης σε διακομιστή περιέχει έναν συγκεκριμένο αριθμό θύρας που καθορίζει τον τύπο του διακομιστή. Για παράδειγμα, οι διακομιστές Web χρησιμοποιούν τη θύρα 80 και το FTP χρησιμοποιεί τη θύρα 21, επομένως αυτοί οι αριθμοί θυρών αποτελούν μέρος του αιτήματος πρόσβασης. Όταν αποδέχεστε αιτήματα για πρόσβαση στον διακομιστή, πρέπει να ενεργοποιήσετε τη λειτουργία μετάφρασης διευθύνσεων δικτύου (NAT) στο τείχος προστασίας για να δρομολογήσετε αυτά τα αιτήματα σε έναν καθορισμένο υπολογιστή εντός του τοπικού δικτύου. Στο Σχ. 14.7 ο εικονικός διακομιστής έχει ρυθμιστεί ώστε να χρησιμοποιεί έναν υπολογιστή με τοπική διεύθυνση IP 192.168.0.177 ως διακομιστή Web και 192.168.0.164 ως διακομιστή αρχείων FTP. Στον πίνακα Ο Πίνακας 14.1 δείχνει τους πιο συνηθισμένους αριθμούς θυρών υπηρεσίας.

Τραπέζι 14.1 Κοινοί αριθμοί θύρας υπηρεσίας TCP/IP

Υπάρχουν εκατοντάδες άλλοι αριθμοί θυρών που χρησιμοποιούνται σε διαφορετικά δίκτυα, αλλά τους περισσότερους δεν θα δείτε ποτέ σε πραγματική χρήση. Η επίσημη λίστα των εκχωρημένων θυρών βρίσκεται στη διεύθυνση http://www.iana.org/assignments/port-numbers.

Ρύζι. 14.7

Η μετάφραση NAT προϋποθέτει ότι οι διευθύνσεις IP κάθε εικονικού διακομιστή δεν πρέπει να αλλάζουν από το ένα αίτημα στο άλλο. Ένας διακομιστής ιστού με τρέχοντα αριθμό 192.168.0.23 δεν πρέπει να μεταβεί σε 192.168.0.47 σε μια εβδομάδα. Αυτό συνήθως δεν είναι πρόβλημα σε ενσύρματο δίκτυο, αλλά σε ασύρματο, όπου οι πελάτες δικτύου συνδέονται και αποχωρούν συνεχώς. Ο διακομιστής DHCP εκχωρεί αυτόματα τον επόμενο διαθέσιμο αριθμό σε κάθε νέο πελάτη. Εάν ένας από αυτούς τους χρήστες βρίσκεται στη θέση μιας από τις θύρες υπηρεσίας δικτύου, το NAT ενδέχεται να μην το εντοπίσει. Αυτό το πρόβλημα δεν είναι πολύ συνηθισμένο, καθώς τα περισσότερα δίκτυα δεν χρησιμοποιούν φορητούς υπολογιστές ως διακομιστές, αλλά συμβαίνει μερικές φορές. Η λύση είναι είτε να απενεργοποιήσετε τον διακομιστή DHCP και να εκχωρήσετε μια μόνιμη διεύθυνση IP σε κάθε πελάτη, είτε να μετακινήσετε τη θύρα υπηρεσίας σε έναν υπολογιστή που έχει ενσύρματη σύνδεση στο δίκτυο.

Λογισμικό τείχους προστασίας

Ένα τείχος προστασίας ασύρματης πύλης στη διασύνδεση μεταξύ του σημείου πρόσβασης και του ενσύρματου τμήματος του LAN σας θα εμποδίσει τους ξένους να χρησιμοποιήσουν το δίκτυο για πρόσβαση στο Διαδίκτυο και ένα τείχος προστασίας σύνδεσης στο Διαδίκτυο θα απορρίψει τις προσπάθειες σύνδεσης στο δίκτυο από το Διαδίκτυο, αλλά μια άλλη μορφή απαιτείται ασφάλεια για ένα ασύρματο δίκτυο. Εάν κάποιος έχει πρόσβαση στο ασύρματο δίκτυό σας χωρίς άδεια, θα θέλετε να απαλλαγείτε από άλλους νόμιμους υπολογιστές στο ίδιο δίκτυο. Αυτό σημαίνει ότι χρειάζεστε ένα πρόγραμμα τείχους προστασίας πελάτη για κάθε κόμβο δικτύου.

Ένα τείχος προστασίας πελάτη εκτελεί τις ίδιες λειτουργίες στη διεπαφή δικτύου ενός υπολογιστή που εκτελεί ένα τείχος προστασίας δικτύου ή επιχείρησης για ολόκληρο το δίκτυο. Εντοπίζει προσπάθειες σύνδεσης σε θύρες TCP και τις αγνοεί εάν δεν ταιριάζουν με μία ή περισσότερες ρυθμίσεις διαμόρφωσης προγράμματος τείχους προστασίας.

Ορισμένα τείχη προστασίας είναι διαθέσιμα ως δοκιμαστική έκδοση, ενώ άλλα είναι δωρεάν για μη εμπορικούς χρήστες, ώστε να μπορείτε να τα δοκιμάσετε εύκολα στο δικό σας σύστημα και να δείτε ποιο σας αρέσει περισσότερο.

Παρακάτω είναι μερικά προγράμματα για Windows:

Οι χρήστες Unix και Linux έχουν επίσης πολλές δυνατότητες τείχους προστασίας. Τα περισσότερα από αυτά γράφτηκαν για χρήση σε αυτόνομους υπολογιστές με τείχος προστασίας, οι οποίοι χρησιμοποιούνται ευρέως ως πύλες δικτύου, αλλά μπορούν εξίσου να λειτουργήσουν ως προστασία για μεμονωμένους πελάτες δικτύου.

Στο Linux, το τείχος προστασίας είναι μέρος του πυρήνα, ο χρήστης εργάζεται μαζί του μέσω βοηθητικών προγραμμάτων κονσόλας - είτε ipchains είτε iptables. Και τα δύο τεκμηριώνονται στο http:// linuxdoc.org/HOWTO/IPCHAINS-HOWVTO.html και στο http:// www.netfilter.org/unreliable-guides/packet-filtering-HOWTO αντίστοιχα. Το IP Filter είναι ένα πακέτο λογισμικού που παρέχει υπηρεσίες τείχους προστασίας για συστήματα FreeBSD και NetBSD. Ο επίσημος ιστότοπος του φίλτρου IP βρίσκεται στη διεύθυνση http://coombs.anu.edu.au/-avalon και το http://www.obfuscation.org/ipf/ipf-howto.txt διαθέτει ένα εξαιρετικό έγγραφο σχετικά με τη χρήση του. Το πρόγραμμα μπορεί να απορρίψει ή να επιτρέψει οποιοδήποτε πακέτο να διέρχεται από το τείχος προστασίας, καθώς και να φιλτράρει κατά μάσκα δικτύου ή διεύθυνση κεντρικού υπολογιστή, να εφαρμόζει περιορισμούς στη θύρα υπηρεσίας και να παρέχει υπηρεσίες μετάφρασης NAT.

Το NetBSD/i386 Firewall είναι ένα άλλο δωρεάν τείχος προστασίας Unix.

Τρέχει σε οποιονδήποτε υπολογιστή με CPU 486 ή υψηλότερη με ελάχιστη μνήμη 8 MB. Η αρχική σελίδα του NetBSD/i386 Firewall Project βρίσκεται στη διεύθυνση http://www.dubbele.com.

Το PortSentry είναι ένα εργαλείο σάρωσης θυρών που ενσωματώνεται σε πολλές ευρέως χρησιμοποιούμενες εκδόσεις του Linux, συμπεριλαμβανομένων των Red Hat, Caldera, Debian και Turbo Linux. Είναι διαθέσιμο για λήψη στη διεύθυνση http://www.psionic.com/products/portsentry.html.

Εικονικά ιδιωτικά δίκτυα

Απομονώνοντας τη σύνδεση μεταξύ κόμβων δικτύου από άλλη κίνηση δικτύου, ένα VPN μπορεί να προσθέσει ένα άλλο επίπεδο προστασίας. Ένα VPN είναι ένα κρυπτογραφημένο κανάλι μετάδοσης που συνδέει δύο τερματικά σημεία δικτύου μέσω μιας «σήραγγας δεδομένων». Πολλοί ειδικοί σε θέματα ασφάλειας δικτύου συνιστούν το VPN ως έναν αποτελεσματικό τρόπο προστασίας ενός ασύρματου δικτύου από κακούς και μη εξουσιοδοτημένους χρήστες. Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με τη ρύθμιση και τη χρήση ενός VPN στο επόμενο κεφάλαιο.

Φυσική προστασία

Μέχρι στιγμής έχουμε μιλήσει για την αποτροπή πρόσβασης ηλεκτρονικών κλεφτών στο δίκτυό σας. Είναι αρκετά εύκολο να αποκτήσετε πρόσβαση στο δίκτυο χρησιμοποιώντας υπάρχον υλικό που δεν έχει ακόμη διαμορφωθεί για αυτό. Αυτό είναι ακόμα πιο εύκολο εάν ο εισβολέας έχει κλαπεί έναν υπολογιστή από εξουσιοδοτημένο χρήστη.

Η απώλεια ενός φορητού υπολογιστή δεν είναι ευχάριστη. Είναι ακόμη χειρότερο να επιτρέψετε σε έναν κλέφτη να χρησιμοποιήσει έναν κλεμμένο υπολογιστή για να εντοπίσει ξανά το δίκτυο. Ως διαχειριστής δικτύου, θα πρέπει να υπενθυμίσετε στους χρήστες σας ότι οι φορητές συσκευές τους είναι ελκυστικοί στόχοι για κλέφτες και να προσφέρετε μερικές συμβουλές για το πώς να τους προστατεύσετε. Ως χρήστης, εσείς οι ίδιοι πρέπει να τηρείτε τους ίδιους κανόνες.

Ο πρώτος κανόνας είναι απλός - μην ξεχνάτε ότι φοράτε υπολογιστή. Φαίνεται προφανές, αλλά οι οδηγοί ταξί στο Λονδίνο βρήκαν περίπου 2.900 φορητούς υπολογιστές (και 62.000 κινητά τηλέφωνα!) που είχαν μείνει στα αυτοκίνητα σε διάστημα έξι μηνών. Αμέτρητα άλλα έχουν εγκαταλειφθεί σε αεροπλάνα, δωμάτια ξενοδοχείων, προαστιακά τρένα και αίθουσες συνεδριάσεων. Μην διαφημίζετε ότι έχετε υπολογιστή. Οι νάιλον τσάντες με ένα μεγάλο λογότυπο "IBM" ή "COMPAQ" στο πλάι μπορεί να φαίνονται μοντέρνες, αλλά δεν είναι τόσο ασφαλείς όσο ένας κανονικός χαρτοφύλακας ή τσάντα για ψώνια.

Να έχετε πάντα τον υπολογιστή στα χέρια σας ή στον ώμο σας όταν δεν είναι κλειδωμένος σε ντουλάπα ή αποθήκη. Αποσπάστε την προσοχή για ένα λεπτό και ένας έμπειρος κλέφτης μπορεί να το κλέψει. Οι τερματικοί σταθμοί του αεροδρομίου, οι σιδηροδρομικοί σταθμοί και τα λόμπι των ξενοδοχείων είναι κοινές τοποθεσίες για κλοπές. Μην αφήνετε έναν μη ασφαλή προσωπικό υπολογιστή στο γραφείο κατά τη διάρκεια της νύχτας. Μην το αφήσετε να περάσει από σαρωτές αεροδρομίου. Ζητήστε από τον επιθεωρητή να τον επιθεωρήσει προσωπικά ή βεβαιωθείτε ότι μπορείτε να επιστρέψετε τον υπολογιστή αμέσως αφού ολοκληρώσει τη διαδρομή του κατά μήκος του μεταφορικού ιμάντα. Δύο άτομα που συνεργάζονται μπορούν εύκολα να σας κρατήσουν και να κλέψουν τον υπολογιστή σας πριν τον αποκτήσετε. Αν κάποιος προσπαθήσει να κλέψει τον υπολογιστή σας κατά τον έλεγχο αποσκευών, κάντε φασαρία και καλέστε την ασφάλεια για βοήθεια. Βεβαιωθείτε ότι οι υπολογιστές σας και τα μεμονωμένα εξαρτήματά σας, όπως οι κάρτες PC, έχουν ετικέτες ιδιοκτησίας στο εσωτερικό και στο εξωτερικό.

Το Security Tracking of Office Property (http://www.stoptheft.com) προσφέρει εγγράψιμες, τυπωμένες κυανοακρυλικές αυτοκόλλητες ετικέτες ασφαλείας που απαιτούν 360 κιλά δύναμης για να αφαιρεθούν, με μόνιμη χημική σήμανση "Stolen Property" που εμφανίζεται εάν κάποιος... ή διαγράψει η συντόμευση.

Εάν μπορείτε να πείσετε τους πελάτες σας να χρησιμοποιούν συσκευές ειδοποίησης στους υπολογιστές τους, μπορεί να αυξήσετε τις πιθανότητες να επιστρέψουν. Το Trackit (http://www.trackit-corp.co m) είναι μια συσκευή ειδοποίησης δύο μερών που χρησιμοποιεί έναν πομπό με κλιπ και έναν μικροσκοπικό δέκτη που βρίσκεται σε μια τσάντα υπολογιστή. Όταν ο πομπός απέχει περισσότερο από 12 μέτρα από τον δέκτη, ο δέκτης εκπέμπει μια σειρήνα 110 dB, η οποία συνήθως αναγκάζει έναν κλέφτη να πέσει μια κλεμμένη τσάντα.

Τέλος, κρατήστε μια λίστα με αριθμούς μοντέλου και σειριακούς αριθμούς ξεχωριστά από τις ίδιες τις συσκευές. Χρειάζεστε αυτές τις πληροφορίες για την ασφαλιστική σας αξίωση.

Όταν ανακαλύψετε ότι ένας από τους υπολογιστές που είναι συνδεδεμένοι στο δίκτυό σας έχει χαθεί ή κλαπεί, είναι σημαντικό να προστατεύσετε το υπόλοιπο δίκτυο. Εάν είναι δυνατόν, αλλάξτε το SSID δικτύου, τον κωδικό πρόσβασης και τα κλειδιά WEP το συντομότερο δυνατό. Εάν το δίκτυό σας χρησιμοποιεί μια λίστα διευθύνσεων MAC για τον έλεγχο της πρόσβασης, αφαιρέστε τη διεύθυνση MAC της κλεμμένης συσκευής από τη λίστα των εξουσιοδοτημένων συνδέσεων.

Σύνδεση του δικτύου σας με τον κόσμο

Εάν χρησιμοποιείτε ασύρματο δίκτυο για να μοιράζεστε την πρόσβαση στο Διαδίκτυο ενός δικτύου γειτονιάς ή πανεπιστημιούπολης ή θέλετε να επιτρέψετε στους πελάτες και άλλους επισκέπτες να συνδεθούν στο ασύρματο δίκτυό σας, δεν θα πρέπει να χρησιμοποιείτε WEP ή άλλα εργαλεία ασφαλείας για να περιορίσετε την πρόσβαση σε γνωστούς χρήστες. αλλά θα πρέπει να παρέχετε κάποια μέτρα ασφαλείας.

Η επιθυμία σας να δώσετε στους ανθρώπους μια άμεση σύνδεση στο Διαδίκτυο δεν σημαίνει ότι θέλετε να τους αφήσετε να περιφέρονται σε άλλους υπολογιστές του δικτύου σας· θέλετε να απομονώσετε τα σημεία ασύρματης πρόσβασης από το υπόλοιπο δίκτυό σας.

Εάν όλοι οι τοπικοί κεντρικοί υπολογιστές στο δίκτυό σας είναι ενσύρματοι, η καλύτερη πρακτική είναι να τοποθετήσετε ένα τείχος προστασίας μεταξύ του σημείου ασύρματης πρόσβασης και του ενσύρματου LAN, επιτρέποντας στο σημείο πρόσβασης (και στους υπολογιστές που είναι συνδεδεμένοι σε αυτό μέσω ασύρματων συνδέσεων) να συνδέονται μόνο στο Διαδίκτυο και όχι σε κανένα από τα ενσύρματα δίκτυα τοπικών κεντρικών υπολογιστών, όπως φαίνεται στο Σχ. 14.8.

Ωστόσο, εάν ορισμένοι από τους οικιακούς υπολογιστές σας χρησιμοποιούν ασύρματες συνδέσεις, πρέπει να τους προστατεύσετε από την πρόσβαση άλλων που χρησιμοποιούν το κοινόχρηστο τμήμα του δικτύου σας. Υπάρχουν μερικοί τρόποι υλοποίησης αυτού του σχεδίου: στο Σχ. Το σχήμα 14.9 δείχνει ένα ασύρματο δίκτυο με ένα τείχος προστασίας λογισμικού σε κάθε οικιακό υπολογιστή και η Εικ. 14.10 - ένα σύστημα που χρησιμοποιεί δύο ξεχωριστά ασύρματα δίκτυα με διαφορετικά SSID συνδεδεμένα στον ίδιο κόμβο Διαδικτύου. Ο γενικός κανόνας είναι να χρησιμοποιείτε ένα ή περισσότερα τείχη προστασίας για να απομονώσετε το δημόσιο τμήμα του δικτύου σας από υπολογιστές που δεν θέλετε να εκτεθούν στον υπόλοιπο κόσμο.

Ρύζι. 14.8

Ρύζι. 14.9

Ρύζι. 14.10

Σημειώσεις:

Για να ελέγξετε κεντρικά την πρόσβαση σε αρχεία στα Windows XP και στα Windows 2000, κάντε δεξί κλικ στο μενού περιβάλλοντος Ο υπολογιστής μουκαι επιλέξτε Διαχειρίζονται. Στο δεξιό παράθυρο, επιλέξτε έναν σελιδοδείκτη Κοινόχρηστοι φάκελοι, έπειτα Μερίδια. - Σημείωση επιστημονικός εκδ.

Τα τελευταία χρόνια παρατηρείται η άνοδος της ασύρματης τεχνολογίας. Τα δίκτυα Wi-Fi (τυποποιημένα δίκτυα 802.11a/b/g) γίνονται όλο και πιο δημοφιλή και αν παλαιότερα αφορούσε κυρίως τη χρήση ασύρματων δικτύων σε γραφεία και hot spot, τώρα χρησιμοποιούνται ευρέως τόσο στο σπίτι όσο και στην ανάπτυξη κινητών τηλεφώνων γραφεία (γραφεία κατά τη διάρκεια επαγγελματικών ταξιδιών). Τα σημεία ασύρματης πρόσβασης και οι ασύρματοι δρομολογητές κατηγορίας SOHO πωλούνται ειδικά για οικιακούς χρήστες και μικρά γραφεία, ενώ οι ασύρματοι δρομολογητές τσέπης πωλούνται για χρήστες κινητών. Ωστόσο, όταν αποφασίζετε να μεταβείτε σε ασύρματο δίκτυο, θα πρέπει να θυμόμαστε ότι στο τρέχον στάδιο ανάπτυξης έχει ένα σημαντικό μειονέκτημα - ατέλεια όσον αφορά την ασφάλεια. Σε αυτό το άρθρο θα μιλήσουμε για τις πιο ευάλωτες περιοχές των ασύρματων δικτύων και θα δείξουμε με πρακτικά παραδείγματα πώς παραβιάζονται. Η γνώση που αποκτήθηκε μπορεί να χρησιμοποιηθεί με επιτυχία για τον έλεγχο της ασφάλειας των ασύρματων δικτύων, κάτι που θα σας επιτρέψει να αποφύγετε τα παραδοσιακά λάθη που γίνονται κατά την ανάπτυξη ασύρματων δικτύων. Θα εξετάσουμε πρώτα τα βασικά μέτρα ασφαλείας που χρησιμοποιούνται για την προστασία των ασύρματων δικτύων σήμερα και στη συνέχεια θα μιλήσουμε για το πώς μπορούν να ξεπεραστούν από τους εισβολείς.

Μέθοδοι Ασύρματης Ασφάλειας

Τα πρότυπα ασύρματου δικτύου 802.11a/b/g παρέχουν αρκετούς μηχανισμούς ασφαλείας:

• έλεγχος ταυτότητας και λειτουργία κρυπτογράφησης δεδομένων χρησιμοποιώντας το πρωτόκολλο WEP (Wired Equivalent Privacy).
• έλεγχος ταυτότητας και λειτουργία κρυπτογράφησης δεδομένων χρησιμοποιώντας το πρωτόκολλο WPA (Wi-Fi Protected Access).
• φιλτράρισμα κατά διευθύνσεις MAC.
• χρησιμοποιώντας τη λειτουργία κρυφού αναγνωριστικού δικτύου.

Πρωτόκολλο WEP

Όλες οι σύγχρονες ασύρματες συσκευές (σημεία πρόσβασης, ασύρματοι προσαρμογείς και δρομολογητές) υποστηρίζουν το πρωτόκολλο ασφαλείας WEP, το οποίο αρχικά περιλαμβανόταν στην προδιαγραφή ασύρματου δικτύου IEEE 802.11.

Το πρωτόκολλο WEP σάς επιτρέπει να κρυπτογραφείτε τη ροή δεδομένων που μεταδίδεται με βάση τον αλγόριθμο RC4 με μέγεθος κλειδιού 64 ή 128 bit. Ορισμένες συσκευές υποστηρίζουν επίσης κλειδιά 152, 256 και 512 bit, αλλά αυτό είναι μάλλον η εξαίρεση στον κανόνα. Τα κλειδιά έχουν ένα λεγόμενο στατικό στοιχείο μήκους 40 και 104 bit, αντίστοιχα, για κλειδιά 64 και 128 bit, καθώς και ένα πρόσθετο δυναμικό στοιχείο μεγέθους 24 bit, που ονομάζεται Διάνυσμα Εκκίνησης (IV).

Στο απλούστερο επίπεδο, η διαδικασία κρυπτογράφησης WEP είναι η εξής. Αρχικά, τα δεδομένα που μεταδίδονται στο πακέτο ελέγχονται για ακεραιότητα (αλγόριθμος CRC-32), μετά το οποίο το άθροισμα ελέγχου (Τιμή ελέγχου ακεραιότητας, ICV) προστίθεται στο πεδίο εξυπηρέτησης της κεφαλίδας του πακέτου. Στη συνέχεια, δημιουργείται ένα διάνυσμα αρχικοποίησης 24 bit (IV), στο οποίο προστίθεται ένα στατικό μυστικό κλειδί (40 ή 104 bit). Το κλειδί 64 ή 128 bit που λαμβάνεται με αυτόν τον τρόπο είναι το αρχικό κλειδί για τη δημιουργία του ψευδοτυχαίου αριθμού που χρησιμοποιείται για την κρυπτογράφηση των δεδομένων. Στη συνέχεια, τα δεδομένα αναμιγνύονται (κρυπτογραφούνται) χρησιμοποιώντας τη λογική λειτουργία XOR με μια ψευδοτυχαία ακολουθία κλειδιών και το διάνυσμα αρχικοποίησης προστίθεται στο πεδίο υπηρεσίας πλαισίου.

Στην πλευρά λήψης, τα δεδομένα μπορούν να αποκρυπτογραφηθούν, καθώς μαζί με αυτό μεταδίδονται πληροφορίες σχετικά με το διάνυσμα αρχικοποίησης και το στατικό στοιχείο του κλειδιού αποθηκεύεται από τον χρήστη στον οποίο μεταφέρονται τα δεδομένα.

Το πρωτόκολλο WEP παρέχει δύο μεθόδους ελέγχου ταυτότητας χρήστη: Open System (ανοιχτό) και Shared Key (κοινόχρηστο). Με τον ανοιχτό έλεγχο ταυτότητας, στην πραγματικότητα δεν πραγματοποιείται έλεγχος ταυτότητας, που σημαίνει ότι οποιοσδήποτε χρήστης μπορεί να αποκτήσει πρόσβαση στο ασύρματο δίκτυο. Ωστόσο, ακόμη και στην περίπτωση ανοιχτού συστήματος, επιτρέπεται η κρυπτογράφηση δεδομένων WEP.

Πρωτόκολλο WAP

Το 2003, εισήχθη ένα άλλο πρότυπο ασφαλείας - το WPA, το κύριο χαρακτηριστικό του οποίου είναι η τεχνολογία δυναμικής δημιουργίας κλειδιών κρυπτογράφησης δεδομένων, που χτίστηκε με βάση το TKIP (Temporal Key Integrity Protocol), το οποίο αποτελεί περαιτέρω ανάπτυξη της κρυπτογράφησης RC4 αλγόριθμος. Σύμφωνα με το πρωτόκολλο TKIP, οι συσκευές δικτύου λειτουργούν με ένα διάνυσμα αρχικοποίησης 48 bit (σε αντίθεση με το διάνυσμα WEP 24 bit) και εφαρμόζουν κανόνες για την αλλαγή της ακολουθίας των bit του, γεγονός που εξαλείφει την επαναχρησιμοποίηση του κλειδιού. Το πρωτόκολλο TKIP προβλέπει τη δημιουργία ενός νέου κλειδιού 128-bit για κάθε μεταδιδόμενο πακέτο. Επιπλέον, τα κρυπτογραφικά αθροίσματα ελέγχου στο WPA υπολογίζονται χρησιμοποιώντας μια νέα μέθοδο - MIC (Message Integrity Code). Κάθε πλαίσιο περιέχει έναν ειδικό κωδικό ακεραιότητας μηνύματος οκτώ byte, η επαλήθευση του οποίου σας επιτρέπει να αποκρούσετε επιθέσεις χρησιμοποιώντας πλαστά πακέτα. Ως αποτέλεσμα, αποδεικνύεται ότι κάθε πακέτο δεδομένων που μεταδίδεται μέσω του δικτύου έχει το δικό του μοναδικό κλειδί και κάθε συσκευή ασύρματου δικτύου είναι εφοδιασμένη με ένα κλειδί που αλλάζει δυναμικά.

Επιπλέον, το πρωτόκολλο WPA υποστηρίζει κρυπτογράφηση χρησιμοποιώντας το προηγμένο πρότυπο AES (Advanced Encryption Standard), το οποίο διαθέτει πιο ασφαλή κρυπτογραφικό αλγόριθμο σε σύγκριση με τα πρωτόκολλα WEP και TKIP.

Κατά την ανάπτυξη ασύρματων δικτύων στο σπίτι ή σε μικρά γραφεία, χρησιμοποιείται συνήθως μια παραλλαγή του πρωτοκόλλου ασφαλείας WPA που βασίζεται σε κοινόχρηστα κλειδιά - WPA-PSK (Pre Shared Key). Στο μέλλον, θα εξετάσουμε μόνο την επιλογή WPA-PSK, χωρίς να αγγίξουμε τις επιλογές πρωτοκόλλου WPA που απευθύνονται σε εταιρικά δίκτυα, όπου η εξουσιοδότηση χρήστη πραγματοποιείται σε ξεχωριστό διακομιστή RADIUS.

Όταν χρησιμοποιείτε το WPA-PSK, προσδιορίζεται ένας κωδικός πρόσβασης από 8 έως 63 χαρακτήρες στις ρυθμίσεις του σημείου πρόσβασης και στα προφίλ ασύρματης σύνδεσης πελάτη.

Φιλτράρισμα διεύθυνσης MAC

Το φιλτράρισμα διευθύνσεων MAC, το οποίο υποστηρίζεται από όλα τα σύγχρονα σημεία πρόσβασης και ασύρματους δρομολογητές, αν και δεν αποτελεί μέρος του προτύπου 802.11, θεωρείται ωστόσο ότι βελτιώνει την ασφάλεια ενός ασύρματου δικτύου. Για την υλοποίηση αυτής της λειτουργίας, δημιουργείται ένας πίνακας διευθύνσεων MAC των ασύρματων προσαρμογέων πελατών που είναι εξουσιοδοτημένοι να λειτουργούν σε αυτό το δίκτυο στις ρυθμίσεις του σημείου πρόσβασης.

Λειτουργία κρυφού SSID

Μια άλλη προφύλαξη που χρησιμοποιείται συχνά σε ασύρματα δίκτυα είναι η λειτουργία κρυφού αναγνωριστικού δικτύου. Σε κάθε ασύρματο δίκτυο εκχωρείται ένα μοναδικό αναγνωριστικό (SSID), το οποίο είναι το όνομα του δικτύου. Όταν ένας χρήστης προσπαθεί να συνδεθεί σε ένα δίκτυο, το πρόγραμμα οδήγησης του προσαρμογέα ασύρματου δικτύου πρώτα σαρώνει τα ραδιοκύματα για την παρουσία ασύρματων δικτύων. Όταν χρησιμοποιείτε τη λειτουργία κρυφού αναγνωριστικού (κατά κανόνα, αυτή η λειτουργία ονομάζεται Απόκρυψη SSID), το δίκτυο δεν εμφανίζεται στη λίστα των διαθέσιμων και μπορείτε να συνδεθείτε σε αυτό μόνο εάν, πρώτον, το SSID του είναι επακριβώς γνωστό και, δεύτερον, έχει δημιουργηθεί ένα προφίλ εκ των προτέρων σύνδεση με αυτό το δίκτυο.

Παραβίαση ασύρματων δικτύων

Έχοντας εξοικειωθεί με τις κύριες μεθόδους προστασίας των δικτύων 802.11a/b/g, θα εξετάσουμε τρόπους για να τις ξεπεράσουμε. Σημειώστε ότι τα ίδια εργαλεία χρησιμοποιούνται για την παραβίαση δικτύων WEP και WPA, οπότε πρώτα θα σας πούμε τι περιλαμβάνεται στο οπλοστάσιο του εισβολέα.

Πρώτα απ 'όλα, χρειαζόμαστε φορητό υπολογιστή με ασύρματο προσαρμογέα. Το κύριο πρόβλημα που προκύπτει κατά τη διαδικασία επιλογής εργαλείων ασύρματης πειρατείας είναι η διασφάλιση της συμβατότητας μεταξύ του τσιπ προσαρμογέα ασύρματου δικτύου που χρησιμοποιείται από το λογισμικό και του λειτουργικού συστήματος.

Επιλογή ασύρματου προσαρμογέα

Το γεγονός είναι ότι τα περισσότερα βοηθητικά προγράμματα που σας επιτρέπουν να χακάρετε ασύρματα δίκτυα είναι «προσαρμοσμένα» για συστήματα Linux. Υπάρχουν εκδόσεις ορισμένων βοηθητικών προγραμμάτων για τα Windows XP. Ωστόσο, ανάλογα με το τσιπ προσαρμογέα ασύρματου δικτύου, ορισμένες κάρτες ασύρματης σύνδεσης μπορούν να χρησιμοποιηθούν με βοηθητικά προγράμματα τόσο για συστήματα Linux όσο και για συστήματα Windows XP και ορισμένοι ασύρματοι προσαρμογείς μπορούν να χρησιμοποιηθούν με βοηθητικά προγράμματα μόνο για Linux ή μόνο για συστήματα Windows XP. Υπάρχουν ασύρματοι προσαρμογείς που δεν υποστηρίζονται από βοηθητικά προγράμματα Linux ή Windows XP. Επιπλέον, υπάρχουν τσιπ που, αν και υποστηρίζονται από βοηθητικά προγράμματα, λειτουργούν εξαιρετικά αργά (όσον αφορά τη λήψη και την ανάλυση πακέτων).

Το γεγονός είναι ότι για να εκτελέσετε το έργο της παραβίασης ασύρματων δικτύων, απαιτούνται ειδικά (μη τυπικά) προγράμματα οδήγησης για προσαρμογείς ασύρματου δικτύου. Οι τυπικές λειτουργίες οποιουδήποτε ασύρματου προσαρμογέα είναι η Infrastructure (Basic Service Set, BSS) και η ad-hoc (Independent Basic Service Set, IBSS). Στη λειτουργία Infrastructure, κάθε πελάτης συνδέεται στο δίκτυο μέσω ενός σημείου πρόσβασης και σε λειτουργία ad-hoc, οι ασύρματοι προσαρμογείς μπορούν να επικοινωνούν μεταξύ τους απευθείας, χωρίς να χρησιμοποιούν σημείο πρόσβασης. Ωστόσο, και οι δύο αυτές λειτουργίες δεν επιτρέπουν στον ασύρματο προσαρμογέα να ακούει στον αέρα και να παρακολουθεί πακέτα. Και στις δύο περιπτώσεις, ο προσαρμογέας δικτύου θα πιάσει πακέτα που προορίζονται μόνο για το δίκτυο για το οποίο έχει ρυθμιστεί. Για να μπορείτε να βλέπετε άλλα δίκτυα (με κρυφό ESSID) και να καταγράφετε πακέτα, υπάρχει μια ειδική λειτουργία παρακολούθησης (λειτουργία παρακολούθησης), κατά την εναλλαγή στην οποία ο προσαρμογέας δεν σχετίζεται με κάποιο συγκεκριμένο δίκτυο και συλλαμβάνει όλα τα διαθέσιμα πακέτα. Συνήθως, τα προγράμματα οδήγησης που παρέχονται από τον κατασκευαστή του προσαρμογέα ασύρματου δικτύου δεν υποστηρίζουν τη λειτουργία παρακολούθησης και για να την ενεργοποιήσετε, πρέπει να εγκαταστήσετε ειδικά προγράμματα οδήγησης, συχνά γραμμένα από μια ομάδα προγραμματιστών τρίτων. Θα πρέπει αμέσως να σημειωθεί ότι για λειτουργικά συστήματα Windows τέτοια ειδικά προγράμματα οδήγησης υπάρχουν μόνο για ασύρματους προσαρμογείς που βασίζονται σε τσιπ Hermes, Realtek, Aironet και Atheros. Η υποστήριξη προγραμμάτων οδήγησης για αυτήν τη λειτουργία για λειτουργικά συστήματα της οικογένειας Linux/BSD καθορίζεται σε μεγάλο βαθμό από το άνοιγμα των προδιαγραφών για την κάρτα, ωστόσο, η λίστα των υποστηριζόμενων συσκευών είναι πολύ ευρύτερη από ό,τι για την οικογένεια των Windows. Προγράμματα οδήγησης για συστήματα Linux/BSD με υποστήριξη για λειτουργία παρακολούθησης μπορούν να βρεθούν για ασύρματους προσαρμογείς που βασίζονται στα ακόλουθα chipset: Prism, Orinoco, Atheros, Ralink, Aironet, Realtek, Hermes και Intel, αν και τα προγράμματα οδήγησης που βασίζονται σε τσιπ Intel δεν είναι κατάλληλα για όλους συσκευές.

Επί του παρόντος, όλοι οι φορητοί υπολογιστές που βασίζονται στην κινητή τεχνολογία Intel Centrino διαθέτουν ενσωματωμένους ασύρματους προσαρμογείς βασισμένους σε τσιπ Intel (τσιπ IPW2100, IPW2200, IPW2915, IPW3945), αλλά για τους σκοπούς μας αυτοί οι προσαρμογείς δεν είναι κατάλληλοι - αν και είναι συμβατοί με βοηθητικά προγράμματα Linux. για πειρατεία, αυτά τα τσιπ λειτουργούν εξαιρετικά αργά και γενικά δεν είναι συμβατά με τα βοηθητικά προγράμματα των Windows.

Επιλογή λειτουργικού συστήματος

Όσον αφορά την επιλογή του λειτουργικού συστήματος, μπορούν να δοθούν οι ακόλουθες συστάσεις. Τα συστήματα Linux είναι πιο προτιμότερα για αυτούς τους σκοπούς, καθώς όταν χρησιμοποιείτε το Linux το εύρος των πιθανών εργαλείων είναι πολύ ευρύτερο και τα βοηθητικά προγράμματα Linux λειτουργούν πολύ πιο γρήγορα. Αλλά αυτό δεν σημαίνει ότι δεν μπορείτε να χρησιμοποιήσετε τα Windows XP μαζί με βοηθητικά προγράμματα των Windows. Στο μέλλον, θα εξετάσουμε και τις δύο επιλογές για την παραβίαση ασύρματων δικτύων - δηλαδή τη χρήση βοηθητικών προγραμμάτων Linux και Windows. Ταυτόχρονα, καταλαβαίνουμε πολύ καλά ότι δεν βιάζονται όλοι οι χρήστες να αλλάξουν από τα Windows στο Linux. Παρά όλες τις αδυναμίες του, το λειτουργικό σύστημα Windows είναι πολύ πιο διαδεδομένο και είναι πολύ πιο εύκολο να το μάθει κάποιος αρχάριος χρήστης. Επομένως, κατά τη γνώμη μας, η βέλτιστη επιλογή είναι να χρησιμοποιήσετε τα Windows XP ως το κύριο λειτουργικό σύστημα σε φορητό υπολογιστή και για εργασίες παραβίασης ασύρματου δικτύου - Linux Live CD, το οποίο εκτελείται από ένα CD και δεν απαιτεί εγκατάσταση στον σκληρό υπολογιστή του υπολογιστή οδηγώ. Η καλύτερη λύση στην περίπτωσή μας θα ήταν ο δίσκος BackTrack, ο οποίος είναι χτισμένος στο λειτουργικό σύστημα Linux (έκδοση πυρήνα 2.6.18.3) και περιέχει όλα τα απαραίτητα πακέτα εργαλείων για πειρατεία δικτύων. Μια εικόνα αυτού του δίσκου μπορεί να ληφθεί από τον ιστότοπο χρησιμοποιώντας τον σύνδεσμο: http://www.remote-exploit.org/backtrack.html.

Σετ λογισμικού

Παραδοσιακά, για την παραβίαση ασύρματων δικτύων, χρησιμοποιείται το πακέτο λογισμικού aircrack, το οποίο υπάρχει σε εκδόσεις τόσο για Windows XP (aircrack-ng 0.6.2-win) όσο και για Linux (aircrack-ng 0.7). Αυτό το πακέτο διανέμεται εντελώς δωρεάν και μπορείτε να το κατεβάσετε από την επίσημη ιστοσελίδα www.aircrack-ng.org. Απλώς δεν έχει νόημα να αναζητήσετε άλλα βοηθητικά προγράμματα, καθώς αυτό το πακέτο είναι η καλύτερη λύση στην κατηγορία του. Επιπλέον, (η έκδοση Linux, φυσικά) περιλαμβάνεται στον δίσκο BackTrack.

Παραβίαση ασύρματων δικτύων με χρήση ενός BackTrack Live CD

Έτσι, ανεξάρτητα από το λειτουργικό σύστημα που έχετε εγκαταστήσει στον φορητό υπολογιστή σας, θα χρησιμοποιήσουμε τη δισκέτα εκκίνησης BackTrack για να χακάρουμε το ασύρματο δίκτυο. Σημειώστε ότι εκτός από τα εργαλεία που χρειαζόμαστε για να χακάρουμε ένα ασύρματο δίκτυο, αυτός ο δίσκος περιέχει πολλά άλλα βοηθητικά προγράμματα που μας επιτρέπουν να ελέγχουμε δίκτυα (σαρωτές θυρών, sniffers κ.λπ.). Παρεμπιπτόντως, ένας τέτοιος δίσκος είναι χρήσιμος για κάθε διαχειριστή συστήματος που ασχολείται με τον έλεγχο δικτύου.

Η παραβίαση οποιουδήποτε ασύρματου δικτύου με χρήση του δίσκου BackTrack πραγματοποιείται σε τρία στάδια (Πίνακας 1):

• συλλογή πληροφοριών σχετικά με το ασύρματο δίκτυο·
• σύλληψη πακέτων?
• ανάλυση πακέτων.

Το πρώτο βήμα είναι να συλλέξετε λεπτομερείς πληροφορίες σχετικά με το ασύρματο δίκτυο που παραβιάζεται: τις διευθύνσεις MAC του σημείου πρόσβασης και του ενεργού πελάτη του ασύρματου δικτύου, το όνομα του δικτύου (αναγνωριστικό δικτύου) και τον τύπο της κρυπτογράφησης που χρησιμοποιείται. Για να το κάνετε αυτό, χρησιμοποιήστε τα βοηθητικά προγράμματα airmon-ng, airodump-ng και Kismet - το πρώτο από αυτά είναι απαραίτητο για τη διαμόρφωση του προγράμματος οδήγησης προσαρμογέα ασύρματου δικτύου για την παρακολούθηση του ασύρματου δικτύου και τα άλλα δύο σας επιτρέπουν να λάβετε τις απαραίτητες πληροφορίες σχετικά με το ασύρματο δίκτυο. Όλα αυτά τα βοηθητικά προγράμματα περιλαμβάνονται ήδη στο δίσκο BackTrack.

Πίνακας 1. Βήματα για την παραβίαση ενός ασύρματου δικτύου χρησιμοποιώντας το BackTrack Live CD

Αριθμός σκηνής	Περιγραφή	Χρησιμοποιούνται βοηθητικά προγράμματα	Αποτέλεσμα
	Συλλογή πληροφοριών ασύρματου δικτύου	airmon-ng airodump-ng Kismet	Διεύθυνση MAC σημείου πρόσβασης, διεύθυνση MAC ενεργού πελάτη, τύπος δικτύου, αναγνωριστικό δικτύου, τύπος κρυπτογράφησης (WEP, WPA-PSK), αριθμός καναλιού επικοινωνίας
	Υποκλοπή πακέτων	airodump-ng Kismet airoplay-ng
	Ανάλυση πακέτων		Επιλογή κλειδιού	Επιλογή κωδικού πρόσβασης

Το επόμενο βήμα είναι να συλλάβετε πακέτα χρησιμοποιώντας το βοηθητικό πρόγραμμα airodump-ng. Στην περίπτωση που χρησιμοποιείται κρυπτογράφηση WEP στο δίκτυο, είναι απαραίτητο να συλλέγονται πακέτα IV που περιέχουν διανύσματα αρχικοποίησης. Εάν η επισκεψιμότητα στο δίκτυο είναι χαμηλή (για παράδειγμα, ο πελάτης είναι ανενεργός), τότε μπορείτε επιπλέον να χρησιμοποιήσετε το βοηθητικό πρόγραμμα airoplay-ng για να αυξήσετε την επισκεψιμότητα μεταξύ του πελάτη και του σημείου πρόσβασης.

Εάν το δίκτυο χρησιμοποιεί κρυπτογράφηση WPA-PSK, τότε είναι απαραίτητο να συλλέγονται πακέτα που περιέχουν πληροφορίες σχετικά με τη διαδικασία ελέγχου ταυτότητας πελάτη στο δίκτυο (διαδικασία χειραψίας). Για να αναγκάσετε τον πελάτη να υποβληθεί σε έλεγχο ταυτότητας στο δίκτυο, μπορείτε να χρησιμοποιήσετε το βοηθητικό πρόγραμμα airoplay-ng για να ξεκινήσετε τη διαδικασία αναγκαστικής αποσύνδεσής του από το δίκτυο και στη συνέχεια επαναφοράς της σύνδεσης.

Στο τελευταίο στάδιο, οι αναχαιτισμένες πληροφορίες αναλύονται χρησιμοποιώντας το βοηθητικό πρόγραμμα aircrack-ng. Στην περίπτωση της κρυπτογράφησης WEP, η πιθανότητα εικασίας του κλειδιού εξαρτάται από τον αριθμό των συλλεγόμενων πακέτων IV και η κρυπτογράφηση WPA-PSK εξαρτάται από το λεξικό που χρησιμοποιείται για την εικασία του κωδικού πρόσβασης.

Πρακτικά παραδείγματα

Μετά από μια σύντομη περιγραφή της διαδικασίας για την παραβίαση ενός ασύρματου δικτύου, θα προχωρήσουμε στην εξέταση πρακτικών παραδειγμάτων με λεπτομερή περιγραφή κάθε σταδίου και των βοηθητικών προγραμμάτων που χρησιμοποιούνται.

Στην περίπτωσή μας, είχαμε να κάνουμε με ένα πειραματικό δίκτυο που αποτελείται από ένα σημείο πρόσβασης D-Link DWL-7000AP και έναν πελάτη δικτύου με έναν ασύρματο προσαρμογέα PCI Gigabyte GN-WPEAG.

Για να χακάρουμε το δίκτυο, χρησιμοποιήσαμε φορητό υπολογιστή με ασύρματο προσαρμογέα PCMCIA GN-WMAG Gigabyte που βασίζεται στο τσιπ Atheros. Λάβετε υπόψη ότι όταν χρησιμοποιείτε το δίσκο BackTrack, δεν απαιτούνται πρόσθετα προγράμματα οδήγησης για τον προσαρμογέα Gigabyte GN-WPEAG - όλα είναι ήδη στο δίσκο.

Στάδιο 1. Συλλογή πληροφοριών για το ασύρματο δίκτυο

Άρα, στο πρώτο στάδιο πρέπει να συλλέξουμε πληροφορίες για το ασύρματο δίκτυο. Εισάγουμε τον ασύρματο προσαρμογέα στο φορητό υπολογιστή και φορτώνουμε το λειτουργικό σύστημα από το CD. Στη συνέχεια, καλέστε την κονσόλα και ξεκινήστε το βοηθητικό πρόγραμμα airmon-ng, που περιλαμβάνεται στο πακέτο aircrack-ng.

Αυτό το βοηθητικό πρόγραμμα σάς επιτρέπει να προσδιορίσετε τις διαθέσιμες ασύρματες διεπαφές και να εκχωρήσετε τη λειτουργία παρακολούθησης δικτύου σε μία από τις διαθέσιμες διεπαφές.

Η σύνταξη για τη χρήση της εντολής airmon-ng είναι η εξής:

airmon-ng ,

που είναι οι επιλογές να καθορίσει την έναρξη ή τη διακοπή της λειτουργίας παρακολούθησης, - η ασύρματη διεπαφή που παρακολουθείται και η προαιρετική παράμετρος καθορίζει τον αριθμό του καναλιού στο ασύρματο δίκτυο που παρακολουθείται.

Αρχικά, η εντολή airmon-ng καθορίζεται χωρίς παραμέτρους, γεγονός που σας επιτρέπει να λάβετε μια λίστα με τις διαθέσιμες ασύρματες διεπαφές. Για παράδειγμα, στην περίπτωσή μας, η απάντηση στην εντολή airmon-ng ήταν η εξής:

Χρήση: airmon-ng

Πρόγραμμα οδήγησης chipset διεπαφής

wifi0 Atheros madwifi-ng

ath0 Atheros madwifi-ng VAP (γονικό: wifi0)

Επιλέγοντας το wifi0 ως ασύρματη διεπαφή, πληκτρολογήστε την εντολή airmon-ng start wifi0. Ως αποτέλεσμα, έχουμε μια άλλη διεπαφή ath1, η οποία βρίσκεται σε λειτουργία παρακολούθησης (Εικ. 1).

Ρύζι. 1. Ρύθμιση της λειτουργίας παρακολούθησης ασύρματου δικτύου

Στη συνέχεια, πρέπει να εκτελέσετε το βοηθητικό πρόγραμμα airodump-ng, το οποίο χρησιμοποιείται τόσο για τη λήψη πακέτων σε ασύρματα δίκτυα 802.11 όσο και για τη συλλογή πληροφοριών σχετικά με το ασύρματο δίκτυο. Η σύνταξη για τη χρήση της εντολής είναι η εξής:

airodump-ng .

Πιθανές επιλογές εντολών εμφανίζονται στον πίνακα. 2.

Πίνακας 2. Πιθανές επιλογές για την εντολή airodump-ng

	Πιθανό νόημα	Περιγραφή
		Αποθηκεύστε μόνο πακέτα IV
		Χρησιμοποιήστε τον δαίμονα GPS. Στην περίπτωση αυτή θα καταγράφονται και οι συντεταγμένες του σημείου λήψης
Γράψτε (ή -w)	Ονομα αρχείου	Καθορισμός του ονόματος του αρχείου που θα καταγραφεί. Εάν καθορίσετε μόνο το όνομα του αρχείου, θα αποθηκευτεί στον κατάλογο εργασίας του προγράμματος
		Καταγράψτε όλα τα πακέτα χωρίς φιλτράρισμα
	Αριθμός καναλιού (1 έως 11)	Καθορισμός του αριθμού καναλιού. Από προεπιλογή, ακούγονται όλα τα κανάλια.
		Καθορισμός του πρωτοκόλλου 802.11a/b/g

Στην περίπτωσή μας, η διεπαφή ath1 έχει ρυθμιστεί σε λειτουργία παρακολούθησης.

Ωστόσο, μέχρι στιγμής δεν έχουμε πληροφορίες σχετικά με τον τύπο του δικτύου (802.11a/b/g), τον τύπο κρυπτογράφησης στο δίκτυο και επομένως δεν γνωρίζουμε ποια πακέτα πρέπει να υποκλαπούν (όλα ή μόνο τα πακέτα IV) . Επομένως, αρχικά δεν πρέπει να χρησιμοποιείτε επιλογές στην εντολή airodump-ng, αλλά χρειάζεται μόνο να καθορίσετε τη διεπαφή - αυτό θα μας επιτρέψει να συλλέξουμε τις απαραίτητες πληροφορίες σχετικά με το δίκτυο.

Έτσι, στο πρώτο στάδιο εκκινούμε την εντολή airodump-ng χρησιμοποιώντας την ακόλουθη σύνταξη:

airodump-ng-ath1

Αυτό θα μας επιτρέψει να λάβουμε τις απαραίτητες πληροφορίες σχετικά με το δίκτυο, και συγκεκριμένα:

• Διεύθυνση MAC του σημείου πρόσβασης.
• Διεύθυνση MAC πελάτη.
• Τύπος δικτύου;
• Δίκτυο ESSID;
• τύπος κρυπτογράφησης?
• αριθμός καναλιού επικοινωνίας.

Στο παράδειγμά μας, εισάγοντας την εντολή airodump-ng ath1, μπορέσαμε να προσδιορίσουμε όλες τις απαραίτητες παραμέτρους δικτύου (Εικ. 2):

Ρύζι. 2. Συγκέντρωση πληροφοριών για το δίκτυο
χρησιμοποιώντας το βοηθητικό πρόγραμμα airodump-ng

• Η διεύθυνση MAC του σημείου πρόσβασης είναι 00:0D:88:56:33:B5;
• Διεύθυνση MAC πελάτη - 00:0E:35:48:C4:76
• τύπος δικτύου - 802,11 g;
• Δίκτυο ESSID - dlinkG;
• τύπος κρυπτογράφησης - WEP;
• αριθμός καναλιού επικοινωνίας - 11.

Λάβετε υπόψη ότι το βοηθητικό πρόγραμμα airodump-ng σάς επιτρέπει να προσδιορίσετε το αναγνωριστικό δικτύου (ESSID) ανεξάρτητα από το εάν το σημείο πρόσβασης έχει οριστεί σε λειτουργία κρυφού SSID ή όχι.

Για να συλλέξετε πληροφορίες σχετικά με το δίκτυο, μπορείτε επίσης να χρησιμοποιήσετε το βοηθητικό πρόγραμμα Kismet που περιλαμβάνεται στο δίσκο BackTrack - σε αντίθεση με το airodump-ng, σας επιτρέπει να συλλέγετε πολύ περισσότερες πληροφορίες σχετικά με το ασύρματο δίκτυο και από αυτή την άποψη είναι ένα πλήρες και καλύτερο στην κατηγορία του αναλυτής ασύρματου δικτύου. Αυτό το βοηθητικό πρόγραμμα έχει μια γραφική διεπαφή (Εικ. 3), η οποία διευκολύνει σημαντικά την εργασία με αυτό.

Ρύζι. 3. Συγκέντρωση πληροφοριών για το δίκτυο
χρησιμοποιώντας το βοηθητικό πρόγραμμα Kismet

Στάδιο 2: Υποκλοπή πακέτων

Μόλις συλλεχθούν λεπτομερείς πληροφορίες σχετικά με το ασύρματο δίκτυο, μπορείτε να ξεκινήσετε την υποκλοπή πακέτων χρησιμοποιώντας τα ίδια βοηθητικά προγράμματα που χρησιμοποιήθηκαν για τη συλλογή πληροφοριών σχετικά με το δίκτυο - airodump-ng ή Kismet. Ωστόσο, σε αυτή την περίπτωση θα χρειαστούμε μια ελαφρώς διαφορετική σύνταξη εντολών.

Κρυπτογράφηση WEP

Αρχικά, ας εξετάσουμε την επιλογή όταν το δίκτυο χρησιμοποιεί κρυπτογράφηση WEP. Σε αυτήν την περίπτωση, πρέπει να φιλτράρουμε μόνο πακέτα με διάνυσμα αρχικοποίησης (πακέτα IV) και να τα γράψουμε σε ένα αρχείο, το οποίο αργότερα θα χρησιμοποιηθεί για την επιλογή ενός κλειδιού.

Για παράδειγμα, εάν είναι γνωστό ότι το δίκτυο που δέχεται επίθεση είναι ένα δίκτυο 802.11g, χρησιμοποιεί κρυπτογράφηση WEP και η μετάδοση πραγματοποιείται στο κανάλι 11, τότε η σύνταξη εντολών για την υποκλοπή πακέτων θα μπορούσε να είναι η εξής:

airodump-ng --ivs –w dump --band g --κανάλι 11 ath1

Σε αυτό το παράδειγμα, γράφουμε μόνο πακέτα IV σε ένα αρχείο που ονομάζεται dump. Η πιθανότητα επιτυχούς επιλογής κλειδιού εξαρτάται από τον αριθμό των συσσωρευμένων πακέτων IV και το μήκος του κλειδιού. Κατά κανόνα, με μήκος κλειδιού 128 bit, αρκεί να συγκεντρωθούν περίπου 1-2 εκατομμύρια IV πακέτα και με μήκος κλειδιού 64 bit - της τάξης πολλών εκατοντάδων χιλιάδων πακέτων. Ωστόσο, το μήκος του κλειδιού είναι άγνωστο εκ των προτέρων και κανένα βοηθητικό πρόγραμμα δεν μπορεί να το προσδιορίσει. Επομένως, για ανάλυση είναι επιθυμητό να υποκλαπούν τουλάχιστον 1,5 εκατομμύρια πακέτα. Στο Σχ. Το σχήμα 4 δείχνει ένα παράδειγμα σύλληψης 1.137.637 IV πακέτων στο βοηθητικό πρόγραμμα airodump-ng.

Ρύζι. 4. Καταγράψτε πακέτα χρησιμοποιώντας το βοηθητικό πρόγραμμα airodump-ng

Ο αριθμός των πακέτων που συλλαμβάνονται εμφανίζεται διαδραστικά στο βοηθητικό πρόγραμμα airodump-ng και για να σταματήσετε τη διαδικασία σύλληψης πακέτων, πρέπει απλώς να πατήσετε το συνδυασμό πλήκτρων Ctrl+C.

Το βοηθητικό πρόγραμμα Kismet μπορεί επίσης να χρησιμοποιηθεί για τη λήψη πακέτων. Στην πραγματικότητα, η διαδικασία υποκλοπής ξεκινά αμέσως μετά την εκκίνηση του βοηθητικού προγράμματος και η εγγραφή γίνεται σε ένα αρχείο με την επέκταση dump, το οποίο αποθηκεύεται στον κατάλογο εργασίας του προγράμματος. Ωστόσο, σε αντίθεση με το βοηθητικό πρόγραμμα airodump-ng, σε αυτήν την περίπτωση είναι αδύνατο να φιλτράρετε μόνο πακέτα IV και να ορίσετε τον αριθμό του καναλιού επικοινωνίας. Επομένως, όταν χρησιμοποιείτε το βοηθητικό πρόγραμμα Kismet, η απόδοση (ποσοστό συσσώρευσης) των πακέτων είναι χαμηλότερη και ο αριθμός των πακέτων που πρέπει να υποκλαπούν θα πρέπει να είναι μεγαλύτερος από ό,τι όταν χρησιμοποιείτε το βοηθητικό πρόγραμμα airodump-ng.

Συχνά, κατά την υποκλοπή πακέτων, προκύπτει μια κατάσταση όταν δεν υπάρχει εντατική ανταλλαγή κίνησης μεταξύ του σημείου πρόσβασης και του πελάτη, επομένως, για να συσσωρευτεί ο αριθμός των πακέτων που απαιτούνται για την επιτυχή παραβίαση δικτύου, πρέπει να περιμένετε πολύ καιρό. Ωστόσο, αυτή η διαδικασία μπορεί να επιταχυνθεί αναγκάζοντας τον πελάτη να επικοινωνήσει με το σημείο πρόσβασης χρησιμοποιώντας το βοηθητικό πρόγραμμα aireplay-ng (Εικ. 5). Αυτό το βοηθητικό πρόγραμμα εκκινείται παράλληλα με το βοηθητικό πρόγραμμα airodump-ng, για το οποίο πρέπει να ξεκινήσετε μια άλλη περίοδο λειτουργίας κονσόλας.

Ρύζι. 5. Χρήση του βοηθητικού προγράμματος aireplay-ng για την προετοιμασία της κυκλοφορίας
μεταξύ σημείου πρόσβασης και πελάτη

Η σύνταξη της εντολής είναι η εξής:

aireplay-ng

Αυτή η εντολή έχει έναν πολύ μεγάλο αριθμό διαφορετικών επιλογών, τις οποίες μπορείτε να βρείτε εκτελώντας την εντολή χωρίς παραμέτρους.

Για τους σκοπούς μας, η σύνταξη της εντολής θα μοιάζει με αυτό:

aireplay –ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1

Σε αυτήν την περίπτωση, η παράμετρος -e dlinkG καθορίζει το αναγνωριστικό ασύρματου δικτύου. παράμετρος -a 00:0d:88:56:33:b5 - Διεύθυνση MAC του σημείου πρόσβασης. παράμετρος -c 00:0f:ea:91:7d:95 - διεύθυνση MAC πελάτη. επιλογή --deauth 20 - επίθεση για διακοπή της σύνδεσης (20 φορές) ακολουθούμενη από έλεγχο ταυτότητας πελάτη. Όταν γίνεται έλεγχος ταυτότητας ενός πελάτη, η κίνηση μεταξύ αυτού και του σημείου πρόσβασης αυξάνεται απότομα και ο αριθμός των πακέτων που μπορούν να υποκλαπούν αυξάνεται. Εάν είναι απαραίτητο, μπορείτε να αυξήσετε τον αριθμό των διακοπών σύνδεσης ή να επαναλάβετε αυτήν την εντολή μέχρι να συγκεντρωθεί ο απαιτούμενος αριθμός πακέτων.

Κρυπτογράφηση WPA-PSK

Με την κρυπτογράφηση WPA-PSK σε ασύρματο δίκτυο, ο αλγόριθμος υποκλοπής πακέτων είναι ελαφρώς διαφορετικός. Σε αυτήν την περίπτωση, δεν χρειάζεται να φιλτράρουμε πακέτα IV, καθώς με την κρυπτογράφηση WPA-PSK απλά δεν υπάρχουν, αλλά επίσης δεν έχει νόημα να συλλάβουμε όλα τα πακέτα στη σειρά. Στην πραγματικότητα, το μόνο που χρειαζόμαστε είναι ένα μικρό μέρος της κίνησης μεταξύ του σημείου πρόσβασης και του πελάτη ασύρματου δικτύου, το οποίο θα περιέχει πληροφορίες σχετικά με τη διαδικασία ελέγχου ταυτότητας του πελάτη στο δίκτυο (διαδικασία χειραψίας). Αλλά για να υποκλαπεί η διαδικασία ελέγχου ταυτότητας πελάτη στο δίκτυο, πρέπει πρώτα να ξεκινήσει αναγκαστικά χρησιμοποιώντας το βοηθητικό πρόγραμμα aireplay-ng.

Επομένως, με την κρυπτογράφηση WPA-PSK, ο αλγόριθμος υποκλοπής πακέτων θα είναι ο εξής. Ανοίγουμε δύο συνεδρίες κονσόλας και στην πρώτη συνεδρία εκτελούμε μια εντολή για να αναγκάσουμε το δίκτυο να αποσυνδεθεί, ακολουθούμενη από εκ νέου αναγνώριση του πελάτη (βοηθητικό πρόγραμμα aireplay-ng, επίθεση κατά εξακρίβωσης ταυτότητας) και στη δεύτερη περίοδο λειτουργίας με μια παύση ενός ή δύο δευτερόλεπτα εκτελούμε μια εντολή για την αναχαίτιση πακέτων (airodump-ng utility ). Οι συντακτικές εντολών είναι οι εξής:

aireplay–ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -deauth 10 ath1

airodump-ng –w dump -band g -κανάλι 11 ath1

Όπως μπορείτε να δείτε, η σύνταξη της εντολής aireplay-ng είναι ακριβώς η ίδια με την κρυπτογράφηση WEP, όταν αυτή η εντολή χρησιμοποιήθηκε για την προετοιμασία της κυκλοφορίας μεταξύ του σημείου πρόσβασης και του προγράμματος-πελάτη δικτύου (η μόνη διαφορά είναι ότι υπάρχουν λιγότερα πακέτα κατάργησης ταυτότητας) . Η σύνταξη της εντολής airodump-ng δεν διαθέτει φίλτρο πακέτου IV.

Η διαδικασία σύλληψης πακέτων πρέπει να συνεχιστεί για λίγα μόνο δευτερόλεπτα, αφού με την επίθεση αποταυτοποίησης ενεργοποιημένη, η πιθανότητα σύλληψης πακέτων χειραψίας είναι σχεδόν εκατό τοις εκατό.

Στάδιο 3: Ανάλυση πακέτων

Στο τελευταίο στάδιο, τα υποκλαπέντα πακέτα αναλύονται χρησιμοποιώντας το βοηθητικό πρόγραμμα aircrack-ng, το οποίο εκκινείται σε μια περίοδο λειτουργίας κονσόλας. Φυσικά, η σύνταξη της εντολής aircrack-ng είναι διαφορετική για την κρυπτογράφηση WEP και WPA-PSK. Η γενική σύνταξη εντολών είναι η εξής:

aircrack-ng

Οι πιθανές επιλογές εντολών παρουσιάζονται στον πίνακα. 3. Λάβετε υπόψη ότι πολλά αρχεία με την επέκταση *.cap ή *.ivs μπορούν να καθοριστούν ως αρχεία που περιέχουν πακέτα καταγραφής (αρχείο(α) καταγραφής). Επιπλέον, κατά την παραβίαση δικτύων με κρυπτογράφηση WEP, τα βοηθητικά προγράμματα airodump-ng και aircrack-ng μπορούν να εκκινηθούν ταυτόχρονα (χρησιμοποιούνται δύο συνεδρίες κονσόλας). Σε αυτήν την περίπτωση, το aircrack-ng θα ενημερώσει αυτόματα τη βάση δεδομένων των πακέτων IV.

Πίνακας 3. Πιθανές επιλογές για την εντολή aircrack-ng

	Πιθανό νόημα	Περιγραφή
	1 = στατικό WEP, 2 = WPA-PSK	Καθορίζει τον τύπο της επίθεσης (WEP ή WPA-PSK)
		Εάν δοθεί η επιλογή, θα χρησιμοποιηθούν όλα τα πακέτα IV με την ίδια τιμή ESSID. Αυτή η επιλογή χρησιμοποιείται επίσης για την παραβίαση δικτύων WPA-PSK εάν το ESSID δεν μεταδίδεται (λειτουργία κρυφού αναγνωριστικού δικτύου)
	Διεύθυνση MAC σημείου πρόσβασης	Επιλογή δικτύου με βάση τη διεύθυνση MAC του σημείου πρόσβασης
		Κρυφός τρόπος λειτουργίας. Οι πληροφορίες δεν εμφανίζονται μέχρι να βρεθεί το κλειδί ή να μην είναι δυνατή η εύρεση του κλειδιού
		Για δίκτυα WEP, περιορίζει την επιλογή κλειδιού μόνο σε ένα σύνολο αριθμών και γραμμάτων
		Για δίκτυα WEP, περιορίζει την εικασία κλειδιών μόνο σε ένα σύνολο δεκαεξαδικών χαρακτήρων
		Για δίκτυα WEP, περιορίζει την επιλογή κλειδιού μόνο σε ένα σύνολο αριθμών
		Για δίκτυα WEP, καθορίζει την αρχή του κλειδιού σε δεκαεξαδική μορφή. Χρησιμοποιείται για τον εντοπισμό σφαλμάτων του προγράμματος
	Διεύθυνση MAC πελάτη	Για δίκτυα WEP, ορίζει ένα φίλτρο πακέτων με βάση τη διεύθυνση MAC του πελάτη. -m ff:ff:ff:ff:ff:ff χρησιμοποιείται για τη συλλογή όλων των IV πακέτων
	64 (για κλειδί 40 bit) 128 (για κλειδί 104 bit) 152 (για κλειδί 128 bit) 256 (για κλειδί 232 bit) 512 (για κλειδί 488 bit)	Για δίκτυα WEP, καθορίζει το μήκος του κλειδιού. Το προεπιλεγμένο μήκος κλειδιού είναι 104 bit
		Για δίκτυα WEP, υποδεικνύει τη συλλογή πακέτων IV που έχουν ένα δεδομένο ευρετήριο κλειδιού (από 1 έως 4). Από προεπιλογή αυτή η επιλογή αγνοείται
		Η παράμετρος χρησιμοποιείται κατά τη διάρρηξη δικτύων WEP - για κλειδί 104-bit η προεπιλεγμένη τιμή είναι 2, για κλειδιά 40-bit - 5. Μια υψηλότερη τιμή αυτής της παραμέτρου σάς επιτρέπει να υπολογίζετε κλειδιά με λιγότερα πακέτα, αλλά για μεγαλύτερο χρονικό διάστημα
		Χρησιμοποιείται κατά την παραβίαση δικτύων WEP. Αυτή η παράμετρος σάς επιτρέπει να εξαιρέσετε συγκεκριμένους τύπους επιθέσεων korek (υπάρχουν 17 τύποι επιθέσεων korek συνολικά)
		Χρησιμοποιείται κατά την παραβίαση δικτύων WEP. Απενεργοποιεί την αναζήτηση για τον τελευταίο χαρακτήρα σε ένα κλειδί
		Χρησιμοποιείται κατά την παραβίαση δικτύων WEP. Επιτρέπει την αναζήτηση του τελευταίου χαρακτήρα σε ένα πλήκτρο (προεπιλογή)
		Χρησιμοποιείται κατά την παραβίαση δικτύων WEP. Επιτρέπει την αναζήτηση για τους δύο τελευταίους χαρακτήρες σε ένα κλειδί
		Χρησιμοποιείται κατά την παραβίαση δικτύων WEP. Απαγορεύει τη χρήση πολλαπλών επεξεργαστών σε συστήματα SMP
		Χρησιμοποιείται κατά την παραβίαση δικτύων WEP. Σας επιτρέπει να χρησιμοποιήσετε έναν ειδικό (πειραματικό) τύπο επίθεσης για να επιλέξετε ένα κλειδί. Χρησιμοποιείται όταν οι τυπικές επιθέσεις δεν επιτρέπουν την εύρεση του κλειδιού όταν χρησιμοποιούνται περισσότερα από 1 εκατομμύριο πακέτα IV
	Πορεία προς το λεξικό	Κατά τη διάρκεια μιας επίθεσης WPA-PSK, καθορίζει τη διαδρομή προς το λεξικό που χρησιμοποιείται

Όταν χρησιμοποιείτε κρυπτογράφηση WEP, το κύριο πρόβλημα είναι ότι δεν γνωρίζουμε εκ των προτέρων το μήκος του κλειδιού που χρησιμοποιείται για την κρυπτογράφηση. Επομένως, μπορείτε να δοκιμάσετε να δοκιμάσετε πολλές επιλογές για το μήκος του κλειδιού, το οποίο καθορίζεται από την παράμετρο -n. Εάν αυτή η παράμετρος δεν έχει καθοριστεί, τότε από προεπιλογή το μήκος του κλειδιού ορίζεται σε 104 bit (-n 128).

Εάν γνωρίζετε κάποιες πληροφορίες για το ίδιο το κλειδί (για παράδειγμα, αποτελείται μόνο από αριθμούς, ή μόνο από γράμματα, ή μόνο από ένα σύνολο γραμμάτων και αριθμών, αλλά δεν περιέχει ειδικούς χαρακτήρες), τότε μπορείτε να χρησιμοποιήσετε το -c, Επιλογές -t και -h.

Στην περίπτωσή μας, χρησιμοποιήσαμε την εντολή aircrack-ng με την ακόλουθη σύνταξη:

aircrack-ng –a 1 –e dlinkG –b 00:0d:88:56:33:b5 –c 00:0f:ea:91:7d:95 –n 128 dump.ivs.

Εδώ, ο καθορισμός της διεύθυνσης MAC του σημείου πρόσβασης και του προγράμματος-πελάτη, καθώς και του ESSID δικτύου, είναι περιττός, καθώς χρησιμοποιήθηκε μόνο ένα σημείο πρόσβασης και ένας ασύρματος πελάτης. Ωστόσο, εάν υπάρχουν πολλοί πελάτες και υπάρχουν πολλά σημεία πρόσβασης, τότε πρέπει να καθοριστούν και αυτές οι παράμετροι.

Ως αποτέλεσμα, μπορέσαμε να βρούμε ένα κλειδί 128-bit σε μόλις 25 δευτερόλεπτα (Εικ. 6). Όπως μπορείτε να δείτε, η παραβίαση ενός δικτύου που βασίζεται στην κρυπτογράφηση WEP δεν είναι σοβαρό πρόβλημα, αλλά δεν καταλήγει πάντα με επιτυχία. Μπορεί να αποδειχθεί ότι δεν έχουν συσσωρευτεί αρκετά πακέτα IV για την επιλογή ενός κλειδιού.

Ρύζι. 6. Επιλογή κλειδιού 128 bit
χρησιμοποιώντας το βοηθητικό πρόγραμμα aircrack-ng

Η κρυπτογράφηση WPA-PSK χρησιμοποιεί την ακόλουθη σύνταξη εντολών:

aircrack-ng –a 2 –e dlinkG–b 00:0d:88:56:33:b5 –w dict dump.cap.

Σε αυτή την περίπτωση, η πιθανότητα ενός θετικού αποτελέσματος, δηλαδή η πιθανότητα να μαντέψετε ολόκληρο τον κωδικό πρόσβασης, εξαρτάται από το λεξικό που χρησιμοποιείται. Εάν ο κωδικός πρόσβασης βρίσκεται στο λεξικό, θα βρεθεί. Το λεξικό που χρησιμοποιείται από το πρόγραμμα aircrack-ng πρέπει πρώτα να τοποθετηθεί στον φάκελο εργασίας του προγράμματος ή να καθοριστεί η πλήρης διαδρομή προς το λεξικό. Μια επιλογή από καλά λεξικά μπορείτε να βρείτε στον ιστότοπο www.insidepro.com. Εάν δεν βοηθήσουν, τότε πιθανότατα ο κωδικός πρόσβασης είναι ένα σύνολο χαρακτήρων χωρίς νόημα. Εξάλλου, τα λεξικά περιέχουν λέξεις ή φράσεις, καθώς και βολικές, εύκολες στη μνήμη συντομεύσεις πληκτρολογίου. Είναι σαφές ότι δεν υπάρχει αυθαίρετο σύνολο χαρακτήρων στα λεξικά. Αλλά και σε αυτή την περίπτωση υπάρχει διέξοδος. Ορισμένα βοηθητικά προγράμματα που έχουν σχεδιαστεί για την εικασία κωδικού πρόσβασης μπορούν να δημιουργήσουν λεξικά από ένα δεδομένο σύνολο χαρακτήρων και μέγιστο μήκος λέξης. Ένα παράδειγμα τέτοιου προγράμματος είναι το PasswordPro v.2.2.5.0.

Ωστόσο, σημειώνουμε για άλλη μια φορά ότι η πιθανότητα παραβίασης ενός κωδικού πρόσβασης WPA-PSK είναι πολύ χαμηλή. Εάν ο κωδικός πρόσβασης δεν έχει καθοριστεί με τη μορφή οποιασδήποτε λέξης, αλλά είναι ένας τυχαίος συνδυασμός γραμμάτων και αριθμών, τότε είναι σχεδόν αδύνατο να τον μαντέψετε.

Γενίκευση

Για να συνοψίσουμε όλα όσα ειπώθηκαν παραπάνω σχετικά με την παραβίαση ασύρματων δικτύων, θα αναφέρουμε για άλλη μια φορά τα κύρια στάδια αυτής της διαδικασίας και τις εντολές που χρησιμοποιούνται σε καθένα από αυτά.

Στάδιο 1. Συλλογή πληροφοριών για το δίκτυο:

Airmon-ng start wifi0;

Airodump-ng ath1.

Στάδιο 2. Συλλογή πακέτων:

• Θήκη WEP:

Airodump-ng --ivs -w dump --band g --κανάλι 11 ath1,

Aireplay -ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1

(εάν δεν υπάρχει επαρκής κίνηση. Η εντολή εκκινείται σε ξεχωριστή συνεδρία κονσόλας).

• Θήκη WPA-PSC:

-aireplay-ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 10 ath1,

Airodump-ng -w dump --band g --κανάλι 11 ath1

(η εντολή εκτελείται σε ξεχωριστή συνεδρία κονσόλας).

Στάδιο 3. Ανάλυση πακέτων:

• Θήκη WEP:

Aircrack-ng -a 1 -e dlinkG -b 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -n 128 dump.ivs;

• Θήκη WPA-PSK:

Aircrack-ng -a 2 -e dlinkG-b 00:0d:88:56:33:b5 -w dict dump.cap.

Παραβίαση ασύρματων δικτύων χρησιμοποιώντας το πακέτο aircrack-ng 0.6.2-win και τα Windows XP

Όπως ήδη σημειώσαμε στην αρχή του άρθρου, υπάρχει μια έκδοση του πακέτου aircrack-ng 0.6.2-win που υποστηρίζεται από το λειτουργικό σύστημα Windows XP. Ας σημειώσουμε αμέσως ότι οι δυνατότητες του πακέτου δεν είναι τόσο εκτεταμένες σε σύγκριση με το αντίστοιχο Linux, και επομένως, εάν δεν υπάρχει ισχυρή προκατάληψη για το Linux, τότε είναι προτιμότερο να χρησιμοποιήσετε την επιλογή με το δίσκο BackTrack.

Το πρώτο πράγμα που θα πρέπει να αντιμετωπίσετε όταν χρησιμοποιείτε την έκδοση Windows του προγράμματος aircrack-ng είναι η ανάγκη αντικατάστασης των τυπικών προγραμμάτων οδήγησης από τον κατασκευαστή του προσαρμογέα ασύρματου δικτύου με ειδικά προγράμματα οδήγησης που υποστηρίζουν λειτουργία παρακολούθησης και παρακολούθησης πακέτων. Επιπλέον, όπως και στην περίπτωση της έκδοσης Linux του προγράμματος, η συγκεκριμένη έκδοση του προγράμματος οδήγησης εξαρτάται από το τσιπ στο οποίο είναι κατασκευασμένος ο προσαρμογέας δικτύου. Για παράδειγμα, όταν χρησιμοποιούσαμε τον ασύρματο προσαρμογέα PCMCIA Gigabyte GN-WMAG που βασίζεται στο τσιπ Atheros AR5004, χρησιμοποιήσαμε την έκδοση προγράμματος οδήγησης 5.2.1.1 από την WildPackets.

Η διαδικασία για την παραβίαση ενός ασύρματου δικτύου χρησιμοποιώντας την έκδοση Windows του πακέτου aircrack-ng είναι αρκετά απλή και εννοιολογικά επαναλαμβάνει τη διαδικασία για την παραβίαση ασύρματων δικτύων χρησιμοποιώντας την έκδοση Linux του πακέτου. Παραδοσιακά εκτελείται σε τρία στάδια: συλλογή πληροφοριών για το δίκτυο, υποκλοπή πακέτων και ανάλυσή τους.

Για να ξεκινήσετε να εργάζεστε με το βοηθητικό πρόγραμμα, πρέπει να εκτελέσετε το αρχείο Aircrack-ng GUI.exe, το οποίο έχει μια βολική γραφική διεπαφή και είναι, στην πραγματικότητα, ένα γραφικό κέλυφος για όλα τα βοηθητικά προγράμματα που περιλαμβάνονται στο aircrack-ng 0.6.2-win πακέτο. Το κύριο παράθυρο του προγράμματος (Εικ. 7) έχει πολλές καρτέλες, με εναλλαγή μεταξύ των οποίων μπορείτε να ενεργοποιήσετε τα απαραίτητα βοηθητικά προγράμματα.

Ρύζι. 7. Κύριο παράθυρο του βοηθητικού προγράμματος Aircrack-ng GUI

Για να συλλέξετε τις απαραίτητες πληροφορίες σχετικά με το δίκτυο, πρέπει να μεταβείτε στην καρτέλα airdump-ng, μετά την οποία το βοηθητικό πρόγραμμα airdump-ng 0.6.2 θα ξεκινήσει σε ξεχωριστό παράθυρο.

Όταν εκτελείτε το πρόγραμμα airdump-ng 0.6.2 (Εικ. 8), θα ανοίξει ένα παράθυρο διαλόγου στο οποίο θα πρέπει να καθορίσετε τον προσαρμογέα ασύρματου δικτύου (αριθμός ευρετηρίου διεπαφής δικτύου), το τσιπ τύπου διεπαφής δικτύου (o/a), επικοινωνίες αριθμού ασύρματου καναλιού (Κανάλι(α): 1 έως 14, 0=όλα) (εάν ο αριθμός καναλιού είναι άγνωστος, τότε μπορείτε να σαρώσετε όλα τα κανάλια). Επιπλέον, καθορίζεται το όνομα του αρχείου εξόδου στο οποίο αποθηκεύονται τα πακέτα που έχουν συλληφθεί (πρόθεμα ονόματος αρχείου εξόδου) και υποδεικνύεται εάν είναι απαραίτητο να συλληφθούν όλα τα πακέτα (αρχεία CAP) ή μόνο μέρος των πακέτων με διανύσματα αρχικοποίησης (αρχεία IVS) (Γράψτε μόνο WEP IV (y/n)). Με την κρυπτογράφηση WEP, για να επιλέξετε ένα μυστικό κλειδί, αρκεί να δημιουργήσετε μόνο ένα αρχείο IVS, αλλά όταν χρησιμοποιείτε κρυπτογράφηση WPA-PSK, θα χρειαστείτε ένα αρχείο cap. Από προεπιλογή, τα αρχεία IVS ή CAP δημιουργούνται στον ίδιο κατάλογο με το πρόγραμμα airdump-ng 0.6.2.

Ρύζι. 8. Ρύθμιση του βοηθητικού προγράμματος airdump-ng 0.6.2

Μετά τη διαμόρφωση όλων των επιλογών του βοηθητικού προγράμματος airodump-ng 0.6.2, θα ανοίξει ένα παράθυρο πληροφοριών, το οποίο εμφανίζει πληροφορίες σχετικά με τα εντοπισμένα σημεία ασύρματης πρόσβασης, πληροφορίες για πελάτες δικτύου και στατιστικά στοιχεία των πακέτων που έχουν υποκλαπεί (Εικ. 9).

Ρύζι. 9. Παράθυρο πληροφοριών του βοηθητικού προγράμματος airodump-ng 0.6.2

Εάν υπάρχουν πολλά σημεία πρόσβασης, θα εμφανίζονται στατιστικά στοιχεία για καθένα από αυτά.

Το πρώτο βήμα είναι να γράψετε τη διεύθυνση MAC του σημείου πρόσβασης, το SSID του ασύρματου δικτύου και τη διεύθυνση MAC ενός από τους πελάτες που είναι συνδεδεμένοι σε αυτό (αν υπάρχουν πολλά από αυτά). Στη συνέχεια, πρέπει να περιμένετε μέχρι να υποκλαπεί επαρκής αριθμός πακέτων. Για να σταματήσετε τη διαδικασία λήψης πακέτων (λειτουργία βοηθητικού προγράμματος), χρησιμοποιήστε το συνδυασμό πλήκτρων Ctrl+C. Σημειώστε ότι η έκδοση του πακέτου για Windows δεν παρέχει μεθόδους για την αναγκαστική αύξηση της κυκλοφορίας μεταξύ του σημείου πρόσβασης και του προγράμματος-πελάτη δικτύου (θυμηθείτε ότι η έκδοση Linux του πακέτου παρέχει το βοηθητικό πρόγραμμα aireplay-ng για αυτό).

Το κύριο πρόβλημα κατά την παραβίαση δικτύων WPA-PSK χρησιμοποιώντας την έκδοση Windows του προγράμματος Aircrack-ng GNU 0.6.2 είναι ότι η διαδικασία προετοιμασίας του πελάτη στο δίκτυο πρέπει να καταγράφεται στο αρχείο CAP, δηλαδή, θα πρέπει να καθίσετε σε ενέδρα με το τρέχον πρόγραμμα airodump-ng. Μόλις καταγραφεί η διαδικασία προετοιμασίας του προγράμματος-πελάτη δικτύου στο αρχείο CAP, μπορείτε να διακόψετε το πρόγραμμα airodump και να ξεκινήσετε τη διαδικασία αποκρυπτογράφησης. Στην πραγματικότητα, σε αυτήν την περίπτωση δεν υπάρχει ανάγκη συσσώρευσης πακέτων που έχουν υποκλαπεί, καθώς μόνο τα πακέτα που μεταδίδονται μεταξύ του σημείου πρόσβασης και του πελάτη κατά την προετοιμασία χρησιμοποιούνται για τον υπολογισμό του μυστικού κλειδιού.

Στην περίπτωση της κρυπτογράφησης WEP, αφού δημιουργήσετε το αρχείο εξόδου IVS, μπορείτε να αρχίσετε να το αναλύετε χρησιμοποιώντας το βοηθητικό πρόγραμμα aircrack-ng 0.6.2, για την εκκίνηση του οποίου πρέπει να ανοίξετε ξανά το κύριο παράθυρο του προγράμματος Aircrack-ng GUI στο κατάλληλη καρτέλα και διαμορφώστε το βοηθητικό πρόγραμμα aircrack-ng. Με την κρυπτογράφηση WEP, η ρύθμιση του βοηθητικού προγράμματος συνίσταται στη ρύθμιση του μήκους του κλειδιού WEP, στον καθορισμό του ESSID του ασύρματου δικτύου, στη ρύθμιση της διεύθυνσης MAC του σημείου πρόσβασης, εξαιρώντας ορισμένους τύπους επιθέσεων (επιθέσεις RoreK), στη ρύθμιση, εάν είναι απαραίτητο, το σύνολο χαρακτήρων που χρησιμοποιείται για το κλειδί, κ.λπ. Όλες οι ίδιες ρυθμίσεις παρέχονται εδώ όπως στην περίπτωση της έκδοσης Linux αυτού του βοηθητικού προγράμματος. Η μόνη διαφορά είναι ότι στην έκδοση Linux όλες οι ρυθμίσεις καθορίζονται ως επιλογές στη γραμμή εντολών, ενώ στην έκδοση των Windows χρησιμοποιείται ένα βολικό γραφικό περιβάλλον για τη διαμόρφωση του βοηθητικού προγράμματος (Εικ. 10).

Ρύζι. 11. Αποτέλεσμα ανάλυσης αρχείων IVS
aircrack-ng 0.6.2 βοηθητικό πρόγραμμα

Το αποτέλεσμα της ανάλυσης αρχείου IVS φαίνεται στο Σχ. 11. Είναι απίθανο να ΒΡΕΘΗΚΕ η γραμμή ΚΛΕΙΔΙ! χρειάζεται σχόλια. Σημείωση: το μυστικό κλειδί υπολογίστηκε σε μόλις 1 δευτερόλεπτο!

Όταν χρησιμοποιείτε κρυπτογράφηση WPA-PSK στις ρυθμίσεις του βοηθητικού προγράμματος aircrack-ng 0.6.2, είναι απαραίτητο να χρησιμοποιείτε το αρχείο CAP ως αρχείο εξόδου και όχι το αρχείο IVS. Επιπλέον, πρέπει να καθορίσετε τη διαδρομή προς το λεξικό που χρησιμοποιείται για το hacking, το οποίο είναι προεγκατεστημένο στον κατάλογο με το πρόγραμμα aircrack-ng 0.6.2 (Εικ. 12).

Ρύζι. 12. Αποτέλεσμα ανάλυσης αρχείου ivs
aircrack-ng 0.6.2 βοηθητικό πρόγραμμα

Το αποτέλεσμα της ανάλυσης αρχείου CAP φαίνεται στο Σχ. 13. Ωστόσο, πρέπει να ληφθεί υπόψη ότι ένα θετικό αποτέλεσμα της αναζήτησης κλειδιού είναι δυνατό μόνο εάν ο κωδικός πρόσβασης υπάρχει στο λεξικό που αναλύθηκε.

Ρύζι. 13. Αποτέλεσμα ανάλυσης αρχείων CAP

Παράκαμψη προστασίας φίλτρου διευθύνσεων MAC

Στην αρχή του άρθρου, σημειώσαμε ότι εκτός από την κρυπτογράφηση WEP και WPA-PSK, χρησιμοποιούνται συχνά λειτουργίες όπως η λειτουργία κρυφού αναγνωριστικού δικτύου και το φιλτράρισμα διευθύνσεων MAC. Αυτά ταξινομούνται παραδοσιακά ως ασύρματα χαρακτηριστικά ασφαλείας.

Όπως έχουμε ήδη δείξει με το πακέτο aircrack-ng, δεν μπορείτε να βασιστείτε καθόλου στη λειτουργία κρυφού αναγνωριστικού δικτύου. Το βοηθητικό πρόγραμμα airodump-ng που αναφέραμε θα εξακολουθεί να σας δείχνει το SSID δικτύου, το οποίο μπορεί αργότερα να χρησιμοποιηθεί για τη δημιουργία προφίλ σύνδεσης (μη εξουσιοδοτημένο!) στο δίκτυο.

Λοιπόν, αν μιλάμε για ένα τέτοιο μέτρο ασφαλείας όπως το φιλτράρισμα από διευθύνσεις MAC, τότε όλα είναι πολύ απλά εδώ. Στο Διαδίκτυο μπορείτε να βρείτε πολλά διαφορετικά βοηθητικά προγράμματα τόσο για Linux όσο και για Windows που σας επιτρέπουν να αντικαταστήσετε τη διεύθυνση MAC μιας διεπαφής δικτύου. Ως παράδειγμα, μπορούμε να αναφέρουμε τα ακόλουθα βοηθητικά προγράμματα των Windows: SMAC 2.0 (πληρωμένο βοηθητικό πρόγραμμα, http://www.klcconsulting.net/smac), MAC MakeUP (δωρεάν βοηθητικό πρόγραμμα, www.gorlani.com/publicprj/macmakeup/macmakeup.asp - εικ. 14) ή MAC Spoofer 2006 (δωρεάν βοηθητικό πρόγραμμα).

Ρύζι. 14. Παραπλάνηση διεύθυνσης MAC με χρήση του βοηθητικού προγράμματος MAC MakeUP

Έχοντας πραγματοποιήσει μια τέτοια αντικατάσταση, μπορείτε να προσποιηθείτε ότι είστε δικός σας και να εφαρμόσετε μη εξουσιοδοτημένη πρόσβαση στο ασύρματο δίκτυο. Επιπλέον, και οι δύο πελάτες (πραγματικοί και απρόσκλητοι) θα υπάρχουν αρκετά ήρεμα στο ίδιο δίκτυο με την ίδια διεύθυνση MAC, επιπλέον, σε αυτήν την περίπτωση στον απρόσκλητο επισκέπτη θα εκχωρηθεί ακριβώς η ίδια διεύθυνση IP με τον πραγματικό πελάτη δικτύου.

συμπεράσματα

Έτσι, δεν είναι δύσκολο να ξεπεραστεί ολόκληρο το σύστημα ασφαλείας ενός ασύρματου δικτύου που βασίζεται στην κρυπτογράφηση WEP. Ίσως πολλοί θα πουν ότι αυτό είναι άσχετο, καθώς το πρωτόκολλο WEP έχει πεθάνει εδώ και καιρό - δεν χρησιμοποιείται. Αντικαταστάθηκε από το πιο ισχυρό πρωτόκολλο WPA. Ωστόσο, ας μη βιαζόμαστε να βγάλουμε συμπεράσματα. Αυτό είναι αλήθεια, αλλά μόνο εν μέρει. Το γεγονός είναι ότι σε ορισμένες περιπτώσεις, για να αυξηθεί η εμβέλεια ενός ασύρματου δικτύου, αναπτύσσονται τα λεγόμενα κατανεμημένα ασύρματα δίκτυα (WDS) με βάση πολλά σημεία πρόσβασης. Το πιο ενδιαφέρον είναι ότι τέτοια δίκτυα δεν υποστηρίζουν το πρωτόκολλο WPA και το μόνο αποδεκτό μέτρο ασφαλείας σε αυτή την περίπτωση είναι η χρήση κρυπτογράφησης WEP. Σε αυτήν την περίπτωση, τα δίκτυα WDS παραβιάζονται με τον ίδιο ακριβώς τρόπο όπως τα δίκτυα που βασίζονται σε ένα μόνο σημείο πρόσβασης. Επιπλέον, τα PDA εξοπλισμένα με ασύρματη μονάδα δεν υποστηρίζουν επίσης το πρωτόκολλο WPA, επομένως για να συμπεριλάβετε έναν πελάτη που βασίζεται σε PDA σε ένα ασύρματο δίκτυο, πρέπει να χρησιμοποιήσετε το πρωτόκολλο WEP σε αυτό. Κατά συνέπεια, το πρωτόκολλο WEP θα είναι σε ζήτηση στα ασύρματα δίκτυα για μεγάλο χρονικό διάστημα.

Τα παραδείγματα πειρατείας ασύρματων δικτύων που εξετάσαμε καταδεικνύουν πολύ ξεκάθαρα την ευπάθειά τους. Αν μιλάμε για το πρωτόκολλο WEP, μπορεί να συγκριθεί με αλάνθαστη προστασία. Αυτό είναι περίπου το ίδιο με έναν συναγερμό αυτοκινήτου - μόνο που σας σώζει από τους χούλιγκανς. Όσον αφορά προφυλάξεις όπως το φιλτράρισμα διευθύνσεων MAC και η λειτουργία κρυφού αναγνωριστικού δικτύου, δεν μπορούν να θεωρηθούν καθόλου ως προστασία. Ωστόσο, ακόμη και τέτοια μέσα δεν πρέπει να παραμελούνται, αν και μόνο σε συνδυασμό με άλλα μέτρα.

Το πρωτόκολλο WPA, αν και πολύ πιο δύσκολο να σπάσει, είναι επίσης ευάλωτο. Ωστόσο, μην χάνετε την καρδιά σας - δεν είναι όλα τόσο απελπιστικά. Το γεγονός είναι ότι η επιτυχία της παραβίασης ενός μυστικού κλειδιού WPA εξαρτάται από το αν βρίσκεται στο λεξικό ή όχι. Το τυπικό λεξικό που χρησιμοποιήσαμε έχει μέγεθος λίγο περισσότερο από 40 MB, που γενικά δεν είναι τόσο μεγάλο. Μετά από τρεις προσπάθειες, καταφέραμε να βρούμε ένα κλειδί που δεν υπήρχε στο λεξικό και η παραβίαση του δικτύου αποδείχθηκε αδύνατη. Ο αριθμός των λέξεων σε αυτό το λεξικό είναι μόνο 6.475.760, ο οποίος, φυσικά, είναι πολύ μικρός. Μπορείτε να χρησιμοποιήσετε λεξικά με μεγαλύτερη χωρητικότητα, για παράδειγμα, στο Διαδίκτυο μπορείτε να παραγγείλετε ένα λεξικό σε τρία CD, δηλαδή σε μέγεθος σχεδόν 2 GB, αλλά ακόμη και αυτό δεν περιέχει όλους τους πιθανούς κωδικούς πρόσβασης. Πράγματι, ας υπολογίσουμε χονδρικά τον αριθμό των κωδικών πρόσβασης μήκους από 8 έως 63 χαρακτήρες που μπορούν να σχηματιστούν χρησιμοποιώντας 26 γράμματα του αγγλικού αλφαβήτου (με διάκριση πεζών-κεφαλαίων), δέκα αριθμούς και 32 γράμματα του ρωσικού αλφαβήτου. Αποδεικνύεται ότι κάθε σύμβολο μπορεί να επιλεγεί με 126 τρόπους. Αντίστοιχα, αν λάβουμε υπόψη μόνο κωδικούς πρόσβασης με μήκος 8 χαρακτήρων, τότε ο αριθμός των πιθανών συνδυασμών θα είναι 1268=6,3·1016. Εάν το μέγεθος κάθε λέξης 8 χαρακτήρων είναι 8 byte, τότε το μέγεθος ενός τέτοιου λεξικού θα είναι 4,5 εκατομμύρια terabyte. Αλλά αυτοί είναι μόνο συνδυασμοί οκτώ συμβόλων! Τι είδους λεξικό θα αποκτήσετε αν διαβάσετε όλους τους πιθανούς συνδυασμούς από 8 έως 63 χαρακτήρες;! Δεν χρειάζεται να είστε μαθηματικός για να υπολογίσετε ότι το μέγεθος ενός τέτοιου λεξικού θα είναι περίπου 1,2·10119 TB.

Μην απελπίζεστε λοιπόν. Υπάρχει μεγάλη πιθανότητα ο κωδικός πρόσβασης που χρησιμοποιείτε να μην υπάρχει στο λεξικό. Απλώς, όταν επιλέγετε έναν κωδικό πρόσβασης, δεν πρέπει να χρησιμοποιείτε λέξεις που έχουν νόημα. Είναι καλύτερο να είναι ένα τυχαίο σύνολο χαρακτήρων - κάτι σαν "FGproukqweRT4j563app".

Μη εξουσιοδοτημένη πρόσβαση - ανάγνωση, ενημέρωση ή καταστροφή πληροφοριών χωρίς την αρμόδια αρχή να το κάνει.

Η μη εξουσιοδοτημένη πρόσβαση πραγματοποιείται, κατά κανόνα, με τη χρήση του ονόματος κάποιου άλλου, την αλλαγή των φυσικών διευθύνσεων των συσκευών, τη χρήση πληροφοριών που απομένουν μετά την επίλυση προβλημάτων, την τροποποίηση λογισμικού και πληροφοριών, την κλοπή μέσων αποθήκευσης, την εγκατάσταση εξοπλισμού εγγραφής.

Για την επιτυχή προστασία των πληροφοριών σας, ο χρήστης πρέπει να έχει απολύτως σαφή κατανόηση των πιθανών τρόπων μη εξουσιοδοτημένης πρόσβασης. Οι κύριοι τυπικοί τρόποι λήψης μη εξουσιοδοτημένων πληροφοριών:

· κλοπή μέσων αποθήκευσης και απορρίμματα παραγωγής.

· Αντιγραφή μέσων αποθήκευσης υπερβαίνοντας τα μέτρα ασφαλείας.

· Μεταμφίεση ως εγγεγραμμένος χρήστης.

· φάρσα (μεταμφίεση ως αιτήματα συστήματος).

· αξιοποίηση των ελλείψεων των λειτουργικών συστημάτων και των γλωσσών προγραμματισμού.

· χρήση σελιδοδεικτών λογισμικού και μπλοκ λογισμικού τύπου «Δούρειος ίππος».

· Υποκλοπή ηλεκτρονικής ακτινοβολίας.

· αναχαίτιση ακουστικής ακτινοβολίας.

· φωτογράφιση από απόσταση.

· χρήση συσκευών ακρόασης.

· κακόβουλη απενεργοποίηση μηχανισμών προστασίας κ.λπ.

Για την προστασία των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση, χρησιμοποιούνται τα ακόλουθα:

1) οργανωτικές εκδηλώσεις.

2) τεχνικά μέσα.

3) λογισμικό?

4) κρυπτογράφηση.

Οι οργανωτικές εκδηλώσεις περιλαμβάνουν:

· Λειτουργία πρόσβασης.

· αποθήκευση πολυμέσων και συσκευών σε χρηματοκιβώτιο (δισκέτες, οθόνη, πληκτρολόγιο κ.λπ.).

· περιορισμός της πρόσβασης προσώπων στις αίθουσες ηλεκτρονικών υπολογιστών κ.λπ.

Τα τεχνικά μέσα περιλαμβάνουν:

· φίλτρα, οθόνες για εξοπλισμό.

· Κλειδί για το κλείδωμα του πληκτρολογίου.

· Συσκευές ελέγχου ταυτότητας – για ανάγνωση δακτυλικών αποτυπωμάτων, σχήμα χεριού, ίριδα, ταχύτητα και τεχνικές πληκτρολόγησης κ.λπ.

· ηλεκτρονικά κλειδιά σε μικροκυκλώματα κ.λπ.

Τα εργαλεία λογισμικού περιλαμβάνουν:

· Πρόσβαση με κωδικό πρόσβασης – ρύθμιση αδειών χρήστη.

· Κλείδωμα της οθόνης και του πληκτρολογίου χρησιμοποιώντας έναν συνδυασμό πλήκτρων στο βοηθητικό πρόγραμμα Diskreet από το πακέτο Norton Utilites.

· χρήση εργαλείων προστασίας κωδικού πρόσβασης BIOS - στο ίδιο το BIOS και στον υπολογιστή συνολικά, κ.λπ.

Η κρυπτογράφηση είναι ο μετασχηματισμός (κωδικοποίηση) ανοιχτών πληροφοριών σε κρυπτογραφημένες πληροφορίες που είναι απρόσιτες σε τρίτους. Μέθοδοι κρυπτογράφησης και αποκρυπτογράφησης μηνυμάτων μελετώνται από την επιστήμη της κρυπτολογίας, της οποίας η ιστορία ξεκινά περίπου τέσσερις χιλιάδες χρόνια.

2.5. Προστασία πληροφοριών σε ασύρματα δίκτυα

Ο απίστευτα γρήγορος ρυθμός εφαρμογής ασύρματων λύσεων στα σύγχρονα δίκτυα μας κάνει να σκεφτόμαστε την αξιοπιστία της προστασίας δεδομένων.

Η ίδια η αρχή της ασύρματης μετάδοσης δεδομένων περιλαμβάνει τη δυνατότητα μη εξουσιοδοτημένων συνδέσεων σε σημεία πρόσβασης.

Μια εξίσου επικίνδυνη απειλή είναι η πιθανότητα κλοπής εξοπλισμού. Εάν η πολιτική ασφάλειας ασύρματου δικτύου βασίζεται σε διευθύνσεις MAC, τότε μια κάρτα δικτύου ή ένα σημείο πρόσβασης που έχει κλαπεί από έναν εισβολέα μπορεί να ανοίξει πρόσβαση στο δίκτυο.

Συχνά, η μη εξουσιοδοτημένη σύνδεση σημείων πρόσβασης σε ένα LAN πραγματοποιείται από τους ίδιους τους υπαλλήλους της επιχείρησης, οι οποίοι δεν σκέφτονται την προστασία.

Τέτοια προβλήματα πρέπει να αντιμετωπιστούν διεξοδικά. Τα οργανωτικά μέτρα επιλέγονται με βάση τις συνθήκες λειτουργίας του κάθε συγκεκριμένου δικτύου. Όσον αφορά τα τεχνικά μέτρα, πολύ καλά αποτελέσματα επιτυγχάνονται με τη χρήση υποχρεωτικού αμοιβαίου ελέγχου ταυτότητας των συσκευών και την εισαγωγή ενεργών ελέγχων.

Το 2001, εμφανίστηκαν οι πρώτες υλοποιήσεις προγραμμάτων οδήγησης και προγραμμάτων που μπορούσαν να αντιμετωπίσουν την κρυπτογράφηση WEP. Το πιο επιτυχημένο είναι το PreShared Key. Αλλά είναι καλό μόνο εάν υπάρχει αξιόπιστη κρυπτογράφηση και τακτική αντικατάσταση κωδικών πρόσβασης υψηλής ποιότητας (Εικ. 1).

Εικόνα 1 - Αλγόριθμος για την ανάλυση κρυπτογραφημένων δεδομένων

Σύγχρονες απαιτήσεις προστασίας

Αυθεντικοποίηση

Επί του παρόντος, σε διάφορους εξοπλισμούς δικτύου, συμπεριλαμβανομένων των ασύρματων συσκευών, χρησιμοποιείται ευρέως μια πιο σύγχρονη μέθοδος ελέγχου ταυτότητας, η οποία ορίζεται στο πρότυπο 802.1x - μέχρι να πραγματοποιηθεί αμοιβαία επαλήθευση, ο χρήστης δεν μπορεί ούτε να λάβει ούτε να μεταδώσει δεδομένα.

Ορισμένοι προγραμματιστές χρησιμοποιούν τα πρωτόκολλα EAP-TLS και PEAP για έλεγχο ταυτότητας στις συσκευές τους.Η Cisco Systems προσφέρει τα ακόλουθα πρωτόκολλα για τα ασύρματα δίκτυά της, εκτός από αυτά που αναφέρονται: EAP-TLS, PEAR, LEAP, EAP-FAST.

Όλες οι σύγχρονες μέθοδοι ελέγχου ταυτότητας απαιτούν υποστήριξη για δυναμικά κλειδιά.

Το κύριο μειονέκτημα του LEAP και του EAP-FAST είναι ότι αυτά τα πρωτόκολλα υποστηρίζονται κυρίως σε εξοπλισμό Cisco Systems (Εικ. 2).

Εικόνα 2 - Δομή πακέτων 802.11x με χρήση κρυπτογράφησης TKIP-PPK, MIC και WEP.

Κρυπτογράφηση και ακεραιότητα

Με βάση τις συστάσεις της Cisco Systems 802.11i, έχει εφαρμοστεί το πρωτόκολλο TCIP (Temporal Integrity Protocol), το οποίο διασφαλίζει την αλλαγή του κλειδιού κρυπτογράφησης PPK (Per Packet Keying) σε κάθε πακέτο και την παρακολούθηση της ακεραιότητας των μηνυμάτων MIC (Message Integrity Check).

Ένα άλλο πολλά υποσχόμενο πρωτόκολλο κρυπτογράφησης και ακεραιότητας είναι το AES (Advanced Encryption Standard). Έχει καλύτερη κρυπτογραφική ισχύ σε σύγκριση με το DES και το GOST 28147-89. Παρέχει τόσο κρυπτογράφηση όσο και ακεραιότητα.

Σημειώστε ότι ο αλγόριθμος που χρησιμοποιείται σε αυτόν (Rijndael) δεν απαιτεί μεγάλους πόρους ούτε κατά την υλοποίηση ούτε κατά τη λειτουργία, κάτι που είναι πολύ σημαντικό για τη μείωση της καθυστέρησης δεδομένων και του φόρτου του επεξεργαστή.

Το πρότυπο ασφαλείας για ασύρματα τοπικά δίκτυα είναι 802.11i.

Το πρότυπο Wi-Fi Protected Access (WPA) είναι ένα σύνολο κανόνων που διασφαλίζουν την εφαρμογή προστασίας δεδομένων σε δίκτυα 802.11x. Από τον Αύγουστο του 2003, η συμμόρφωση με τα πρότυπα WPA είναι υποχρεωτική απαίτηση για εξοπλισμό που είναι πιστοποιημένος ως πιστοποιημένος Wi-Fi.

Η προδιαγραφή WPA περιλαμβάνει ένα τροποποιημένο πρωτόκολλο TKOP-PPK. Η κρυπτογράφηση πραγματοποιείται χρησιμοποιώντας έναν συνδυασμό πολλών κλειδιών - του τρέχοντος και των επόμενων. Σε αυτή την περίπτωση, το μήκος του IV αυξάνεται στα 48 bit. Αυτό καθιστά δυνατή την εφαρμογή πρόσθετων μέτρων για την προστασία των πληροφοριών, για παράδειγμα, την αυστηροποίηση των απαιτήσεων για επανασυσχετίσεις και εκ νέου έλεγχο ταυτότητας.

Οι προδιαγραφές περιλαμβάνουν υποστήριξη για 802.1x/EAP, έλεγχο ταυτότητας κοινόχρηστου κλειδιού και, φυσικά, διαχείριση κλειδιών.

Πίνακας 3 - Μέθοδοι για την εφαρμογή της πολιτικής ασφάλειας

Δείκτης
Υποστήριξη για σύγχρονο λειτουργικό σύστημα
Πολυπλοκότητα λογισμικού και ένταση πόρων ελέγχου ταυτότητας
Δυσκολία ελέγχου
Single Sign on (μονή σύνδεση στα Windows)
Δυναμικά Κλειδιά
Κωδικοί πρόσβασης μίας χρήσης

Συνέχεια του Πίνακα 3

Με την προϋπόθεση ότι χρησιμοποιείται σύγχρονος εξοπλισμός και λογισμικό, είναι πλέον πολύ πιθανό να δημιουργηθεί ένα ασφαλές και ανθεκτικό στις επιθέσεις ασύρματο δίκτυο με βάση τα πρότυπα της σειράς 802.11x.

Σχεδόν πάντα, ένα ασύρματο δίκτυο συνδέεται με ένα ενσύρματο και αυτό, εκτός από την ανάγκη προστασίας των ασύρματων καναλιών, είναι απαραίτητο να παρέχεται προστασία σε ενσύρματα δίκτυα. Διαφορετικά, το δίκτυο θα έχει κατακερματισμένη ασφάλεια, κάτι που αποτελεί ουσιαστικά κίνδυνο ασφάλειας. Συνιστάται να χρησιμοποιείτε εξοπλισμό που διαθέτει πιστοποιητικό Wi-Fi Certified, δηλαδή επιβεβαίωση της συμμόρφωσης με το WPA.

Πρέπει να εφαρμόσουμε 802.11x/EAP/TKIP/MIC και δυναμική διαχείριση κλειδιών. Στην περίπτωση μικτού δικτύου, θα πρέπει να χρησιμοποιούνται VLAN. Εάν υπάρχουν εξωτερικές κεραίες, χρησιμοποιείται τεχνολογία εικονικού ιδιωτικού δικτύου VPN.

Είναι απαραίτητος ο συνδυασμός μεθόδων προστασίας πρωτοκόλλου και λογισμικού, καθώς και διοικητικών.

Τι θα μπορούσε να είναι πιο σημαντικό στην εποχή μας από την προστασία του οικιακού σας δικτύου Wi-Fi :) Αυτό είναι ένα πολύ δημοφιλές θέμα, για το οποίο έχουν γραφτεί περισσότερα από ένα άρθρα μόνο σε αυτόν τον ιστότοπο. Αποφάσισα να συγκεντρώσω όλες τις απαραίτητες πληροφορίες για αυτό το θέμα σε μια σελίδα. Τώρα θα εξετάσουμε λεπτομερώς το ζήτημα της προστασίας ενός δικτύου Wi-Fi. Θα σας πω και θα σας δείξω πώς να προστατεύσετε το Wi-Fi με κωδικό πρόσβασης, πώς να το κάνετε σωστά σε δρομολογητές διαφορετικών κατασκευαστών, ποια μέθοδο κρυπτογράφησης να επιλέξετε, πώς να επιλέξετε κωδικό πρόσβασης και τι πρέπει να γνωρίζετε εάν είστε σχεδιάζετε να αλλάξετε τον κωδικό πρόσβασης του ασύρματου δικτύου σας.

Σε αυτό το άρθρο θα μιλήσουμε ακριβώς σχετικά με την προστασία του οικιακού ασύρματου δικτύου σας. Και μόνο για την προστασία με κωδικό πρόσβασης. Αν λάβουμε υπόψη την ασφάλεια ορισμένων μεγάλων δικτύων στα γραφεία, τότε είναι προτιμότερο να προσεγγίσουμε την ασφάλεια εκεί λίγο διαφορετικά (τουλάχιστον διαφορετική λειτουργία ελέγχου ταυτότητας). Εάν πιστεύετε ότι ένας κωδικός πρόσβασης δεν είναι αρκετός για την προστασία του δικτύου σας Wi-Fi, τότε θα σας συμβούλευα να μην ασχοληθείτε. Ορίστε έναν καλό, περίπλοκο κωδικό πρόσβασης χρησιμοποιώντας αυτές τις οδηγίες και μην ανησυχείτε. Είναι απίθανο κάποιος να ξοδέψει χρόνο και προσπάθεια για να χακάρει το δίκτυό σας. Ναι, μπορείτε, για παράδειγμα, να αποκρύψετε το όνομα δικτύου (SSID) και να ορίσετε το φιλτράρισμα κατά διευθύνσεις MAC, αλλά αυτά είναι περιττά προβλήματα που στην πραγματικότητα θα προκαλέσουν μόνο ενόχληση κατά τη σύνδεση και τη χρήση ασύρματου δικτύου.

Εάν σκέφτεστε να προστατεύσετε το Wi-Fi σας ή να αφήσετε το δίκτυο ανοιχτό, τότε μπορεί να υπάρχει μόνο μία λύση - να το προστατέψετε. Ναι, το Διαδίκτυο είναι απεριόριστο και σχεδόν όλοι στο σπίτι έχουν το δικό τους δρομολογητή, αλλά τελικά κάποιος θα συνδεθεί στο δίκτυό σας. Γιατί το χρειαζόμαστε αυτό, επειδή οι επιπλέον πελάτες είναι ένα επιπλέον φορτίο στο δρομολογητή. Και αν δεν είναι ακριβό, τότε απλά δεν θα αντέξει αυτό το φορτίο. Επίσης, εάν κάποιος συνδεθεί στο δίκτυό σας, θα μπορεί να έχει πρόσβαση στα αρχεία σας (εάν έχει διαμορφωθεί το τοπικό δίκτυο)και πρόσβαση στις ρυθμίσεις του δρομολογητή σας (εξάλλου, πιθανότατα δεν αλλάξατε τον τυπικό κωδικό πρόσβασης διαχειριστή που προστατεύει τον πίνακα ελέγχου).

Φροντίστε να προστατεύετε το δίκτυο Wi-Fi σας με έναν καλό κωδικό πρόσβασης με τη σωστή (σύγχρονη) μέθοδο κρυπτογράφησης. Συνιστώ να εγκαταστήσετε αμέσως την προστασία κατά τη ρύθμιση του δρομολογητή. Επίσης, καλό θα ήταν να αλλάζετε τον κωδικό πρόσβασής σας από καιρό σε καιρό.

Εάν ανησυχείτε ότι κάποιος θα χακάρει το δίκτυό σας ή το έχετε ήδη κάνει, τότε απλά αλλάξτε τον κωδικό πρόσβασής σας και ζήστε με την ησυχία σας. Παρεμπιπτόντως, καθώς θα συνεχίσετε να συνδέεστε στον πίνακα ελέγχου του δρομολογητή σας, θα συνιστούσα επίσης το , το οποίο χρησιμοποιείται για την εισαγωγή των ρυθμίσεων του δρομολογητή.

Σωστή προστασία του οικιακού σας δικτύου Wi-Fi: ποια μέθοδο κρυπτογράφησης να επιλέξετε;

Κατά τη διαδικασία ρύθμισης κωδικού πρόσβασης, θα χρειαστεί να επιλέξετε μια μέθοδο κρυπτογράφησης δικτύου Wi-Fi (μέθοδος αυθεντικότητας). Προτείνω μόνο εγκατάσταση WPA2 - Προσωπικό, με αλγόριθμο κρυπτογράφησης AES. Για ένα οικιακό δίκτυο, αυτή είναι η καλύτερη λύση, αυτή τη στιγμή η νεότερη και πιο αξιόπιστη. Αυτό είναι το είδος προστασίας που προτείνουν οι κατασκευαστές δρομολογητών να εγκαταστήσουν.

Μόνο υπό μία προϋπόθεση ότι δεν έχετε παλιές συσκευές που θέλετε να συνδέσετε σε Wi-Fi. Εάν, μετά τη ρύθμιση, ορισμένες από τις παλιές σας συσκευές αρνούνται να συνδεθούν στο ασύρματο δίκτυο, μπορείτε να εγκαταστήσετε ένα πρωτόκολλο WPA (με αλγόριθμο κρυπτογράφησης TKIP). Δεν συνιστώ την εγκατάσταση του πρωτοκόλλου WEP, καθώς είναι ήδη ξεπερασμένο, δεν είναι ασφαλές και μπορεί εύκολα να χακαριστεί. Ναι, και ενδέχεται να υπάρχουν προβλήματα με τη σύνδεση νέων συσκευών.

Συνδυασμός πρωτοκόλλου WPA2 - Προσωπικό με κρυπτογράφηση AES, αυτή είναι η καλύτερη επιλογή για οικιακό δίκτυο. Το ίδιο το κλειδί (κωδικός πρόσβασης) πρέπει να αποτελείται από τουλάχιστον 8 χαρακτήρες. Ο κωδικός πρόσβασης πρέπει να αποτελείται από αγγλικά γράμματα, αριθμούς και σύμβολα. Ο κωδικός πρόσβασης κάνει διάκριση πεζών-κεφαλαίων. Δηλαδή, τα "111AA111" και "111aa111" είναι διαφορετικοί κωδικοί πρόσβασης.

Δεν ξέρω τι δρομολογητή έχετε, οπότε θα ετοιμάσω σύντομες οδηγίες για τους πιο δημοφιλείς κατασκευαστές.

Εάν μετά την αλλαγή ή τον ορισμό κωδικού πρόσβασης αντιμετωπίζετε προβλήματα με τη σύνδεση συσκευών στο ασύρματο δίκτυο, δείτε τις συστάσεις στο τέλος αυτού του άρθρου.

Σας συμβουλεύω να σημειώσετε αμέσως τον κωδικό πρόσβασης που θα ορίσετε. Εάν το ξεχάσετε, θα πρέπει να εγκαταστήσετε ένα νέο ή .

Προστασία Wi-Fi με κωδικό πρόσβασης σε δρομολογητές Tp-Link

Σύνδεση στο δρομολογητή (μέσω καλωδίου ή Wi-Fi), εκκινήστε οποιοδήποτε πρόγραμμα περιήγησης και ανοίξτε τη διεύθυνση 192.168.1.1 ή 192.168.0.1 (η διεύθυνση του δρομολογητή σας, καθώς και το τυπικό όνομα χρήστη και ο κωδικός πρόσβασης υποδεικνύονται στο αυτοκόλλητο στο κάτω μέρος της ίδιας της συσκευής). Δώστε το όνομα χρήστη και τον κωδικό πρόσβασής σας. Από προεπιλογή, αυτά είναι admin και admin. Στο , περιέγραψα την εισαγωγή των ρυθμίσεων με περισσότερες λεπτομέρειες.

Στις ρυθμίσεις μεταβείτε στην καρτέλα Ασύρματος(Ασύρματη Λειτουργία) - Ασύρματη ασφάλεια(Ασύρματη ασφάλεια). Επιλέξτε το πλαίσιο δίπλα στη μέθοδο προστασίας WPA/WPA2 - Προσωπικό (Συνιστάται). Στο αναπτυσσόμενο μενού Εκδοχή(έκδοση) επιλέξτε WPA2-PSK. Στο μενού Κρυπτογράφηση(κρυπτογράφηση) εγκατάσταση AES. Στο χωράφι Κωδικός πρόσβασης ασύρματου δικτύου(PSK Password) Εισαγάγετε έναν κωδικό πρόσβασης για την προστασία του δικτύου σας.

Ορισμός κωδικού πρόσβασης σε δρομολογητές Asus

Στις ρυθμίσεις πρέπει να ανοίξουμε την καρτέλα Ασύρματο δίκτυοκαι κάντε τις ακόλουθες ρυθμίσεις:

• Στο αναπτυσσόμενο μενού "Μέθοδος ελέγχου ταυτότητας", επιλέξτε WPA2 - Personal.
• "Κρυπτογράφηση WPA" - εγκαταστήστε το AES.
• Στο πεδίο "WPA Pre-Shared Key", σημειώστε τον κωδικό πρόσβασης για το δίκτυό μας.

Για να αποθηκεύσετε τις ρυθμίσεις, κάντε κλικ στο κουμπί Ισχύουν.

Συνδέστε τις συσκευές σας στο δίκτυο με νέο κωδικό πρόσβασης.

Προστασία του ασύρματου δικτύου του δρομολογητή D-Link

Μεταβείτε στις ρυθμίσεις του δρομολογητή D-Link στη διεύθυνση 192.168.0.1. Μπορείτε να δείτε αναλυτικές οδηγίες. Στις ρυθμίσεις, ανοίξτε την καρτέλα WiFi - Ρυθμίσεις ασφαλείας. Ορίστε τον τύπο ασφαλείας και τον κωδικό πρόσβασης όπως στο παρακάτω στιγμιότυπο οθόνης.

Ορισμός κωδικού πρόσβασης σε άλλους δρομολογητές

Έχουμε επίσης αναλυτικές οδηγίες για τους δρομολογητές ZyXEL και Tenda. Δείτε τους συνδέσμους:

Εάν δεν έχετε βρει οδηγίες για το δρομολογητή σας, τότε μπορείτε να ρυθμίσετε την προστασία δικτύου Wi-Fi στον πίνακα ελέγχου του δρομολογητή σας, στην ενότητα ρυθμίσεων που ονομάζεται: ρυθμίσεις ασφαλείας, ασύρματο δίκτυο, Wi-Fi, Ασύρματο κ.λπ. Νομίζω ότι μπορώ να το βρω ότι δεν θα είναι δύσκολο. Και νομίζω ότι γνωρίζετε ήδη ποιες ρυθμίσεις πρέπει να ορίσετε: WPA2 - Personal και AES κρυπτογράφηση. Λοιπόν, αυτό είναι το κλειδί.

Εάν δεν μπορείτε να το καταλάβετε, ρωτήστε στα σχόλια.

Τι να κάνετε εάν οι συσκευές δεν συνδέονται μετά την εγκατάσταση ή την αλλαγή κωδικού πρόσβασης;

Πολύ συχνά, μετά την εγκατάσταση και ειδικά μετά την αλλαγή του κωδικού πρόσβασης, οι συσκευές που ήταν προηγουμένως συνδεδεμένες στο δίκτυό σας δεν θέλουν να συνδεθούν σε αυτό. Σε υπολογιστές, αυτά είναι συνήθως σφάλματα "Οι ρυθμίσεις δικτύου που είναι αποθηκευμένες σε αυτόν τον υπολογιστή δεν πληρούν τις απαιτήσεις αυτού του δικτύου" και "Τα Windows δεν μπόρεσαν να συνδεθούν με...". Σε tablet και smartphone (Android, iOS), ενδέχεται επίσης να εμφανιστούν σφάλματα όπως "Δεν ήταν δυνατή η σύνδεση στο δίκτυο", "Συνδεδεμένο, προστατευμένο" κ.λπ.

Αυτά τα προβλήματα μπορούν να λυθούν με απλή διαγραφή του ασύρματου δικτύου και επανασύνδεση με νέο κωδικό πρόσβασης. Έγραψα πώς να διαγράψετε ένα δίκτυο στα Windows 7. Εάν έχετε Windows 10, τότε πρέπει να "ξεχάσετε το δίκτυο" χρησιμοποιώντας το . Σε κινητές συσκευές, πατήστε παρατεταμένα το δίκτυό σας και επιλέξτε "Διαγράφω".

Εάν παρουσιαστούν προβλήματα σύνδεσης σε παλαιότερες συσκευές, ορίστε το πρωτόκολλο ασφαλείας WPA και την κρυπτογράφηση TKIP στις ρυθμίσεις του δρομολογητή.