“...Мэдээллийн аюулгүй байдал, утасгүй сүлжээ?
Гэхдээ эдгээр нь бие биенээ үгүйсгэдэг ойлголт биш гэж үү?"
"Связэкспоком-2004" үзэсгэлэн дээр болсон ярианаас"

802.11x стандартад суурилсан утасгүй холбооны төхөөрөмжүүд өнөөдөр сүлжээний тоног төхөөрөмжийн зах зээлд маш эрчимтэй хөгжиж байна. Энэ нь гайхмаар зүйл биш юм: гар утасны болон бараг гар утасны хэрэглэгчдийн ашиглахад хялбар байдал, арилжааны болон корпорацийн халуун цэгүүдийн зохион байгуулалт, "сүүлийн миль", дотоод сүлжээг (LAN) бие биетэйгээ холбох - энэ бүхэн нь хэрэгжүүлэх шалтгаануудын бүрэн жагсаалт биш юм. ийм шийдлүүд. Үнэн хэрэгтээ, дэлхий дээр ажиллаж байгаа бүх төрлийн 802.11x тоног төхөөрөмжийн тоо үнэхээр гайхалтай юм: J"son & Partners-ийн мэдээлснээр зөвхөн халуун цэгүүдийн тоо 2003 оны эцэст 43 мянгаас давж, 2004 оны эцэс гэхэд энэ нь хүрэх ёстой. Эдгээр үзүүлэлтүүдэд 140 мянган Оросын эзлэх хувь бага байгаа боловч манай улсад утасгүй холбооны сүлжээний тоо (халуун цэгийг оруулаад) тогтвортой өсч байна "Хамгийн эртний" бөгөөд хамгийн их ашиглагддаг төхөөрөмж - Cisco Aironet.

Гэхдээ гайхалтай нь зөвхөн тоо биш юм; Ийм сүлжээн дэх өгөгдөл дамжуулах найдвартай байдлыг хангахтай холбоотой буруу ойлголтуудын тоо нь илүү гайхалтай юм. Энд байгаа санал бодлын хүрээ нь хамгийн өргөн цар хүрээтэй юм: аливаа төхөөрөмж, түүний тохиргоонд бүрэн итгэхээс эхлээд бидний эпиграф болгон дурдсан төрлийн тааламжгүй шинж чанарууд хүртэл.

802.11x - гадны аюулд өртөмтгий байдал

Утасгүй өгөгдөл дамжуулахын мөн чанар нь хандалтын цэгүүдэд зөвшөөрөлгүй холбогдох, өгөгдөл саатуулах болон бусад бэрхшээлүүдээр дүүрэн байдаг. Байгууллагын хувьд хамгаалахад хялбар кабель байхгүй байгаа нь тааламжгүй нээлттэй, хүртээмжтэй мэдрэмжийг бий болгодог.

"Протоколын бус" аюул заналхийллийг дурдах нь зүйтэй - эдгээр нь асуудлын үндэс суурь юм. Утасгүй корпорацийн сүлжээг хөгжүүлэхдээ администраторууд оффисын талбайн өндөр чанартай хамрах хүрээг голчлон анхаардаг. Ихэнх тохиолдолд зальтай хакерууд гудамжинд байрлуулсан машинаас шууд сүлжээнд холбогддог гэдгийг хэн ч анхаарч үздэггүй. Үүнээс гадна зарчмын хувьд дамжуулж буй траффикийг "сонсох" боломжийг арилгах боломжгүй нөхцөл байдал байдаг. Жишээ нь гадаад антеннууд юм. Дашрамд дурдахад, ТУХН-ийн орнуудад утасгүй сүлжээ ашиглан LAN оффисуудыг хооронд нь холбох нь маш түгээмэл шийдэл юм.

Үүнтэй адил аюултай аюул бол тоног төхөөрөмж хулгайлах магадлал юм. Хэрэв утасгүй сүлжээний аюулгүй байдлын бодлого нь MAC хаягууд дээр суурилдаг бол халдагчийн хулгайлсан аливаа бүрэлдэхүүн хэсэг (сүлжээний карт, хандалтын цэг) энэ сүлжээг шууд нээж өгдөг.

Эцэст нь "хэт ухаалаг" хэрэглэгчдийн асуудал. Ихэнхдээ нэвтрэх цэгүүдийг LAN сүлжээнд зөвшөөрөлгүй холбох нь байгууллагын ажилчдын өөрсдийнх нь ажил юм. Түүнээс гадна, энэ нь зөвхөн ажлын тав тухыг хангахын тулд, заримдаа бүр сайн санааны үүднээс хийгддэг. Мэдээжийн хэрэг, эдгээр ажилтнууд ийм төхөөрөмжийг сүлжээнд холбохдоо мэдээллийн хамгаалалтыг хангадаг бөгөөд ийм "өөрийгөө хамгаалах" үр дагаврыг үргэлж төсөөлдөггүй.

Эдгээр болон үүнтэй төстэй асуудлуудыг цогцоор нь шийдвэрлэх шаардлагатай байна. Зохион байгуулалтын арга хэмжээг энэ зүйлийн хүрээнд авч үзэхгүй гэдгийг нэн даруй тэмдэглэе - тэдгээрийг ихэвчлэн тодорхой сүлжээ бүрийн үйл ажиллагааны нөхцөл дээр үндэслэн сонгодог. Техникийн арга хэмжээний хувьд төхөөрөмжүүдийн заавал бие биенээ баталгаажуулах, идэвхтэй (жишээлбэл, Observer 8.3, Airopeek NX 2.01, Wireless Sniffer 4.75) болон идэвхгүй (APTools 0.1.0, xprobe 0.0.2 гэх мэт) хяналтын хэрэгслүүдийг нэвтрүүлэх нь маш сайн үр дүнг өгдөг. сайн үр дүн.

"Хуучин" хамгаалалтын аргуудын эмзэг байдал

IEEE 802.11 хороо нь утасгүй сүлжээн дэх өгөгдлийг хамгаалахад үргэлж оролцож ирсэн. Харамсалтай нь, 802.11x сүлжээний аюулгүй байдлыг хангахад ашигласан аргууд нь анхны хөгжлийн үе шатандаа (1997-1998 он) зөөлөн хэлэхэд амжилтгүй болсон. Эдгээрт WEP (Wired Equivalent Privacy) шифрлэлт, баталгаажуулалт багтсан: MAC хаяг дээр суурилсан, Нээлттэй, PreShared Key.

Жагсаалтанд орсон аргуудыг дарааллаар нь авч үзье. RSA Data Security-ийн боловсруулсан сонгодог WEP шифрлэлтийн протокол нь үүсгэсэн эхлүүлэх вектор дээр нэмсэн 40 битийн түлхүүрийг ашигладаг (IV, урт нь 24 бит). Үүссэн түлхүүрийг ашиглан хэрэглэгчийн өгөгдөл болон шалгах нийлбэрийг RC4 алгоритм ашиглан шифрлэнэ. IV векторыг тунгалаг байдлаар дамжуулдаг.

Энэ аргын эхний сул тал нь 40 битийн түлхүүр нь сэтгэлийн амар амгаланг хангахад хангалтгүй юм. 56 битийн түлхүүртэй DES хүртэл найдваргүй гэж хүлээн зөвшөөрөгдсөн. Хоёр дахь сул тал нь түлхүүрийн хувиршгүй байдал юм; Статик түлхүүр ашиглах нь хакердах асуудлыг хялбаршуулдаг. 40 битийн түлхүүр нь найдваргүй тул би үүнийг илүү олон удаа өөрчлөхийг хүсч байна. Эцэст нь, шифрлэлтийн арга нь өөрөө маш эргэлзээтэй юм. IV-ийн хэмжээ нь 24 бит бөгөөд энэ нь 5 цагийн дараа давтагдана гэсэн үг юм (пакетийн урт 1500 байт, хурд 11 Мбит/с).

Никита Борисов, Иан Голдберг, Дэвид Вагнер нар энэ асуудлыг анх судалж үзсэн бөгөөд 2001 онд WEP шифрлэлтийг даван туулах драйверууд болон програмуудын анхны хэрэгжилт гарч ирэв. Энэхүү эмзэг байдлыг тодорхойлсон баримт бичгийг http://www.isaac.cs.berkeley.edu/isaac/wep-faq.htm хаягаар нийтэлсэн болно.

Баталгаажуулах аргууд нь тийм ч найдвартай биш юм. Жишээлбэл, MAC хаягаар баталгаажуулах процедурыг бүхэлд нь "сонсоход" ямар ч зардал гарахгүй - эцэст нь хүрээ дэх MAC хаягууд шифрлэгдээгүй дамждаг. Хэрэв халдагч хүлээн зөвшөөрөгдсөн баталгаажуулалтын аргын талаар мэддэг бол тэр сүлжээнд нэвтрэхэд бараг бэлэн байна. Жагсаалтад орсон аргуудаас хамгийн найдвартай нь PreShared Key юм, гэхдээ энэ нь найдвартай шифрлэгдсэн, өндөр чанартай нууц үгийг байнга сольж байгаа тохиолдолд л сайн.

Өвөрмөц Service Set ID (SSID) ашиглах нь зөвшөөрөлгүй холболтоос сэргийлнэ гэсэн нийтлэг буруу ойлголт юм. Харамсалтай нь, SSID нь зөвхөн сүлжээний төхөөрөмжүүдийг бүлэгт логикоор хуваахад тохиромжтой - өөр юу ч биш. SSID ашиглан хийж чадах цорын ганц зүйл бол "хэвлэх боломжгүй" тэмдэгтүүдийг ашиглан залуу хакерыг төөрөгдүүлэх явдал юм. Хандалтын цэгүүд (Access Point, AP), жишээлбэл, Cisco Systems-ээс үүнийг хийх боломжийг танд олгоно (та SSID-д багтсан тэмдэгтүүдийг арван зургаатын тоогоор зааж өгч болно - \xbd\xba).

Тиймээс, хэрэв бид зөөврийн компьютертэй "сониуч" өсвөр насныхны массыг харгалзан үзвэл утасгүй холбооны сүлжээ нь бараг баталгаатай WEP халдлагаас хамгаалах асуудалтай тулгардаг.

WEP халдлага

Түлхүүрийн урт хангалтгүй, түлхүүрийн эргэлт байхгүй, дээр дурдсан RC4 шифрлэлтийн зарчим нь маш үр дүнтэй идэвхгүй халдлагыг зохион байгуулах боломжийг олгодог. Түүнээс гадна халдлага үйлдэгчид түүнийг илрүүлэх ямар ч үйлдэл хийх шаардлагагүй, зүгээр л сувгийг сонсоход хангалттай. Энэ тохиолдолд тусгай төхөөрөмж шаардлагагүй - 20-25 доллараар худалдаж авсан ердийн WLAN карт, мөн IV векторын утгууд давхцах хүртэл хатуу диск дээр пакетуудыг хуримтлуулах програм хангалттай. Пакетуудын тоо хангалттай бол (ихэвчлэн 1 саяас 4 сая хүртэл) WEP түлхүүрийг тооцоолоход хялбар байдаг. Ийм "дасгал" хийх хамгийн алдартай програмуудын нэг бол AirSnort (http://airsnort.shmoo.com) юм. Энэхүү программ хангамж нь Cisco Systems-ийн сүлжээний картууд, NMC Prism-2 дээр суурилсан картууд (тэдгээрийн нэлээд хэд нь байдаг), мөн Orinoco картууд эсвэл тэдгээрийн клонууд дээр ажилладаг.

Идэвхтэй халдлагын аргыг ашигладаг хакер сайн үр дүнд хүрч чадна. Жишээлбэл, та LAN-ийн гаднаас, тухайлбал интернетээс мэдэгдэж байгаа өгөгдлийг илгээж, хандалтын цэг үүнийг хэрхэн шифрлэсэн талаар нэгэн зэрэг дүн шинжилгээ хийж болно. Энэ арга нь түлхүүрийг тооцоолох, өгөгдлийг удирдах боломжийг олгодог.

Өөр нэг идэвхтэй халдлагын арга бол Bit-Flip халдлага юм. Энд байгаа үйлдлийн алгоритм нь дараах байдалтай байна (Зураг 1).

1. Бид WEP шифрлэгдсэн хүрээг саатуулдаг.
2. Бид "өгөгдөл" талбарт хэд хэдэн битийг санамсаргүй байдлаар сольж, CRC-32 шалгах нийлбэрийг дахин тооцоолно.
3. Бид өөрчлөгдсөн хүрээг хандалтын цэг рүү илгээдэг.
4. Шалгах нийлбэр зөв тул хандалтын цэг нь холбоосын давхарга дээрх хүрээг хүлээн авах болно.
5. Хандалтын цэг нь өгөгдлийн шифрийг тайлахыг оролдох ба "Таны шифрлэлтийн түлхүүр буруу байна" гэх мэт мэдэгдэж буй текстээр хариулах болно.
6. Шифрлэгдсэн болон шифрлэгдээгүй текстийг харьцуулах нь түлхүүрийг тооцоолох боломжийг олгоно.

Энэ нийтлэлд бид DSSS өргөн зурвасын модуляцийн аргыг ашиглан тоног төхөөрөмжид DOS халдлагад өртөж болзошгүйг авч үзэхгүй. Энэ төрлийн тоног төхөөрөмжид бага хурдтай ажилладаг 802.11b ба 802.11a төхөөрөмжүүд багтана.

Завсрын дүгнэлт

Дээр дурдсан бүх зүйл нь утасгүй сүлжээнд аюулгүй байдлыг хангах хуучин аргууд найдваргүй болохыг харуулж байна; Хэрэв тоног төхөөрөмж нь мэдээллийг хамгаалах орчин үеийн шийдлүүдийг хэрэгжүүлэхийг зөвшөөрдөггүй бол стратегийн сонголт бага байна: захиргааны хамгийн хатуу бодлогыг ашиглах ("Захиргааны арга хэмжээ" хэсгийг үзнэ үү), эсвэл IPSec - ESP технологийг ашиглана уу.

IPSec - ESP технологи нь өгөгдлийг хамгаалах нь гарцаагүй, гэхдээ LAN-ийн гүйцэтгэлийг ихээхэн бууруулдаг. Гэсэн хэдий ч энэ технологийг дэлхийн сүлжээнд зориулж боловсруулсан бөгөөд утасгүй дотоод сүлжээнд ашиглах нь үр ашиггүй юм. Утасгүй сувгаар ашиглах нь зөвхөн салбаруудыг холбох эсвэл бусад ижил төстэй шийдлүүдийн хувьд зөвтгөгддөг.

Орчин үеийн аюулгүй байдлын шаардлага, эсвэл "Cisco-той амьдрал"

Аливаа хэрэглэгчийн сэтгэл санааны амар амгаланг хангахын тулд тэдний траффикийн хувьд зөвхөн гурван асуудлыг шийдвэрлэх шаардлагатай байдаг: нууцлал (өгөгдлийн нууцлалтай байх ёстой), бүрэн бүтэн байдал (өгөгдлийн гуравдагч этгээд өөрчлөгдөхгүй байх баталгаатай байх ёстой) болон жинхэнэ байдал ( өгөгдлийг зөв эх сурвалжаас авсан гэдэгт итгэх).

Баталгаажуулалт

802.1x стандартыг 1997-1998 оны стандартаас илүү орчин үеийн гэж тодорхойлсон. төрөл бүрийн сүлжээний төхөөрөмж, тэр дундаа утасгүй төхөөрөмжүүдэд өргөн хэрэглэгддэг баталгаажуулалтын арга. Үүний хуучин баталгаажуулалтын аргуудаас үндсэн ялгаа нь дараах байдалтай байна: харилцан баталгаажуулалт хийх хүртэл хэрэглэгч ямар ч өгөгдөл хүлээн авах, дамжуулах боломжгүй. Энэхүү стандарт нь шифрлэлтийн түлхүүрүүдийн динамик удирдлагыг хангадаг бөгөөд энэ нь мэдээжийн хэрэг WEP-д идэвхгүй халдлагыг улам хүндрүүлдэг.

Жишээлбэл, хэд хэдэн хөгжүүлэгчид төхөөрөмждөө баталгаажуулахын тулд EAP-TLS болон PEAP протоколуудыг ашигладаг боловч Cisco Systems (http://www.cisco.com) асуудалд илүү "өргөн" хандаж, эдгээртэй хамт утасгүй сүлжээндээ хэд хэдэн протоколуудыг дагаж мөрддөг.

Өргөтгөсөн баталгаажуулалтын протокол - Тээврийн давхаргын аюулгүй байдал(EAP-TLS) нь дижитал гэрчилгээг хоёр талт солилцох замаар баталгаажуулалтыг хангадаг IETF стандарт юм.

Хамгаалагдсан EAP(PEAP) нь IETF-ийн стандартын төсөл хэвээр байна. Энэ нь тусгайлан бүтээсэн шифрлэгдсэн хонгилоор дамжуулан тоон гэрчилгээ солилцох, нэр, нууц үгээ нэмэлт баталгаажуулах боломжийг олгодог.

Хөнгөн EAP(LEAP) нь Cisco Systems-ийн өмчийн протокол юм. Хоёр талын Challenge Authentication Protocol (CHAP)-тай төстэй "хөнгөн" харилцан баталгаажуулалтын протокол. Хуваалцсан түлхүүр ашигладаг тул нууц үг үүсгэхэд тодорхой мэдлэг шаардагдана. Үгүй бол бусад аргуудын нэгэн адил PreShared Key нь толь бичгийн халдлагад өртөмтгий байдаг.

EAP - Secure Tunneling-ээр дамжуулан уян хатан баталгаажуулалт(EAP-FAST) - толь бичгийн халдлагаас хамгаалах зорилгоор IETF стандартын ноорог дээр үндэслэн Cisco боловсруулсан бөгөөд найдвартай. Тусламж авахын тулд администратороос хамгийн бага хүчин чармайлт шаарддаг. Түүний үйл ажиллагааны зарчим нь LEAP-тай төстэй боловч баталгаажуулалтыг найдвартай хонгилоор гүйцэтгэдэг. Эхний хэрэгжүүлэлтүүд 2004 оны 4-р сард гарсан. IOS 12.2(11)JA, VxWorks 12.01T, Cisco Secure ACS 3.2.3 програм хангамжийн хувилбаруудаас эхлэн дэмжигдсэн.

Орчин үеийн баталгаажуулалтын бүх аргууд (хүснэгтийг харна уу) нь динамик түлхүүрүүдийг дэмждэг гэсэн үг бөгөөд энэ нь сайн мэдээ юм. Гэсэн хэдий ч, хэрэв бид эдгээр бүх стандартыг бусад талаас нь харьцуулж үзвэл EAP-TLS болон PEAP аргууд нь илүү төвөгтэй мэт санагддаг. Тэгээд үнэхээр тийм. Эдгээр нь янз бүрийн үйлдвэрлэгчдийн тоног төхөөрөмж дээр баригдсан сүлжээнд ашиглахад илүү тохиромжтой.

Баталгаажуулах аргын онцлог

Индекс	Арга зам
	ХАРАЙХ	EAP-FAST	PEAP	EAP-TLS
Орчин үеийн үйлдлийн системийн дэмжлэг	Тиймээ	Тиймээ	Бүгд биш	Бүгд биш
Програм хангамжийн нарийн төвөгтэй байдал, баталгаажуулалтын нөөцийн эрчим	Бага	Бага	Дундаж	Өндөр
Хяналтын хүндрэл	Бага*	Бага	Дундаж	Дундаж
Ганц нэвтрэх (Windows дээр нэг удаа нэвтрэх)	Тиймээ	Тиймээ	Үгүй	Тиймээ
Динамик түлхүүрүүд	Тиймээ	Тиймээ	Тиймээ	Тиймээ
Нэг удаагийн нууц үг	Үгүй	Тиймээ	Тиймээ	Үгүй
Microsoft Windows форматтай биш хэрэглэгчийн мэдээллийн санг дэмжих	Үгүй	Тиймээ	Тиймээ	Тиймээ
Хурдан аюулгүй роуминг	Тиймээ	Тиймээ	Үгүй	Үгүй
Орон нутгийн баталгаажуулалтын чадвар	Тиймээ	Тиймээ	Үгүй	Үгүй

Cisco-ийн боловсруулсан баталгаажуулалтын аргууд илүү сайхан харагдаж байна. Тэдний сонирхол татахуйц зүйл бол өөр өөр хандалтын цэгүүдийн хооронд шилжих боломжийг олгодог Fast Secure Roaming технологийг дэмждэг бөгөөд энэ нь дуут урсгалыг дамжуулахад онцгой ач холбогдолтой юм. EAP-TLS болон PEAP-ийн тусламжтайгаар дахин баталгаажуулалт нь нэлээд удаан үргэлжлэх бөгөөд харилцан яриаг таслахад хүргэнэ. LEAP ба LEAP-FAST-ийн гол сул тал нь ойлгомжтой - эдгээр протоколуудыг зөвхөн Cisco Systems төхөөрөмжид дэмждэг.

Шифрлэлт ба бүрэн бүтэн байдал

802.11i зөвлөмжид үндэслэн Cisco Systems нь TKIP (Temporal Key Integrity Protocol) протоколыг нэвтрүүлсэн бөгөөд энэ нь пакет тус бүрийн PPK (Per Packet Anahtaring) шифрлэлтийн түлхүүрийг өөрчлөх, MIC (Message Integrity Check) мессежийн бүрэн бүтэн байдлыг хянах боломжийг олгодог.

PPK процедур нь багц бүрийн IV-ийг өөрчлөх явдал юм. Түүнчлэн, шифрлэлт нь IV болон WEP түлхүүрийн хэш функцийн утгыг ашиглан хийгддэг. Хэрэв бид WEP түлхүүрүүд динамикаар өөрчлөгддөгийг харгалзан үзвэл шифрлэлтийн найдвартай байдал нэлээд өндөр болно.

Бүрэн бүтэн байдлыг хангах нь MIC процедурын үүрэг юм. MIC болон SEquence number талбаруудыг үүсгэсэн фрейм дээр нэмсэн бөгөөд багцын дарааллын дугаарыг SEQ талбарт зааж өгсөн бөгөөд энэ нь давталт, дарааллын зөрчлөөс хамааран халдлагаас хамгаалах боломжийг танд олгоно. Буруу дарааллын дугаартай багцыг зүгээр л үл тоомсорлодог. 32 битийн MIC талбар нь 802.11 багцын толгой хэсэг, SEQ талбар болон хэрэглэгчийн өгөгдлөөс тооцсон хэш функцийн утгыг агуулдаг (Зураг 2).

Өөр нэг ирээдүйтэй шифрлэлт, бүрэн бүтэн байдлын протокол бол утастай шийдлүүдэд өөрийгөө нотолсон AES (Advanced Encryption Standard) юм. Энэ нь харьцангуй саяхан - 2001 оны 10-р сард боловсруулагдсан бөгөөд DES болон ГОСТ 28147-89-тай харьцуулахад криптографийн хүч чадал илүү сайн байдаг. AES түлхүүрийн урт нь 128, 192 эсвэл 256 бит юм. Дээр дурдсанчлан, энэ нь шифрлэлт болон бүрэн бүтэн байдлыг хангадаг.

Үүнд ашигласан алгоритм (Rijndael) нь хэрэгжүүлэх эсвэл ажиллуулах явцад их хэмжээний нөөц шаарддаггүй бөгөөд энэ нь өгөгдлийн хоцрогдол, процессорын ачааллыг бууруулахад маш чухал юм.

AES аль хэдийн 12.2(13)T-ээс эхлэн Cisco IOS (k9) дээр ажилладаг. Одоогоор бараг бүх Cisco Systems 802.11g төхөөрөмжүүд AES-ийг дэмжихэд бэлэн байна. Энэхүү программ хангамжийг гаргах тухай мэдэгдлийг онлайн нийгэмлэг хүлээж байгаа боловч удаа дараа заасан хугацаа нь хангагдаагүй байна. Гэсэн хэдий ч одоо тодорхой зүйл гарч ирэв. Тус компани 802.11g стандартад ажилладаг бүх төхөөрөмжийг шинэ программ хангамжаар бүрэн чөлөөтэй тоноглох боломжтой гэж зарласан бөгөөд энэ нь удахгүй гарах нь гарцаагүй... Гэхдээ 802.11i стандартыг соёрхон баталсны дараа л. Стандартыг 6-р сарын сүүлээр IEEE соёрхон баталсан ("802.11i Стандарт Батлагдсан" хэсгийг үзнэ үү). Тиймээс бид хүлээж байна, эрхэм ээ.

Wi-Fi хамгаалалттай хандалт

Wi-Fi Protected Access (WPA) стандарт нь 802.11x сүлжээнд өгөгдлийн аюулгүй байдлыг хэрэгжүүлэх дүрмийн багц юм. 2003 оны 8-р сараас хойш WPA-ийн нийцэл нь Wi-Fi гэрчилгээтэй (http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf) гэж баталгаажсан төхөөрөмжид тавигдах шаардлагын нэг хэсэг болсон.

WPA тодорхойлолт нь бага зэрэг өөрчлөгдсөн TKIP-PPK протоколыг агуулдаг гэдгийг анхаарна уу. Шифрлэлт нь одоогийн болон дараагийн түлхүүрүүдийн хэд хэдэн "холимог" дээр хийгддэг. Энэ тохиолдолд IV-ийн уртыг 48 бит хүртэл нэмэгдүүлнэ.

WPA нь мөн MIC (Michael MIC) -ийн хялбаршуулсан хувилбарын дагуу мессежийн бүрэн бүтэн байдлын хяналтыг тодорхойлдог бөгөөд энэ нь хэш функцийг цөөн талбар дээр үндэслэн тооцдог гэдгээрээ ялгаатай боловч MIC талбар нь өөрөө илүү урт буюу 64 бит юм. Энэ нь мэдээллийг хамгаалах нэмэлт арга хэмжээг хэрэгжүүлэх, жишээлбэл, дахин нэгдэх, дахин баталгаажуулах гэх мэт шаардлагыг чангатгах боломжийг олгодог.

Техникийн үзүүлэлтүүд нь 802.1x/EAP-ийн дэмжлэг, хуваалцсан түлхүүрийн баталгаажуулалт, мэдээжийн хэрэг, түлхүүр менежментийг багтаасан болно.

WPA төхөөрөмжүүд нь тоног төхөөрөмж нь орчин үеийн стандартыг дэмждэг үйлчлүүлэгчид болон аюулгүй байдлынхаа талаар огт хайхрамжгүй ханддаг, хуучин тоног төхөөрөмж эсвэл програм хангамж ашигладаг үйлчлүүлэгчидтэй ажиллахад бэлэн байгаа нь ялангуяа таатай байна. Зохиогч дараахь зүйлийг хатуу зөвлөж байна: өөр өөр виртуал LAN-уудаар янз бүрийн түвшний хамгаалалттай хэрэглэгчдийг түгээж, үүний дагуу аюулгүй байдлын бодлогоо хэрэгжүүлээрэй.

Өнөөдөр орчин үеийн тоног төхөөрөмж, программ хангамжийг ашигласан тохиолдолд 802.11x стандартад суурилсан аюулгүй, халдлагад тэсвэртэй утасгүй сүлжээг бий болгох бүрэн боломжтой. Үүнийг хийхийн тулд та хэд хэдэн үндэслэлтэй постулатуудыг хэрэгжүүлэхэд л хангалттай.

Утасгүй сүлжээ бараг үргэлж утастай холбогддог гэдгийг бид санах ёстой. Утасгүй сувгийг хамгаалах хэрэгцээ шаардлагаас гадна энэ баримт нь утастай сүлжээнд аюулгүй байдлын шинэ аргуудыг нэвтрүүлэх хөшүүрэг болж өгдөг. Үгүй бол сүлжээний аюулгүй байдлын хуваагдал үүссэн нөхцөл байдал үүсч болзошгүй бөгөөд энэ нь аюулгүй байдлын болзошгүй аюулыг бий болгодог.

2003 оны 8-р сараас хойш олгосон Wi-Fi гэрчилгээтэй, өөрөөр хэлбэл WPA-д нийцэж байгааг баталгаажуулсан төхөөрөмжийг ашиглахыг зөвлөж байна.

Олон администраторууд LAN дээр төхөөрөмж суулгахдаа үйлдвэрлэгчийн анхдагч тохиргоог хадгалдаг. Ноцтой утасгүй сүлжээнд энэ нь огт хүлээн зөвшөөрөгдөхгүй.

Мэдээжийн хэрэг, бид 802.1x/EAP/TKIP/MIC болон динамик түлхүүрийн менежментийг хэрэгжүүлэх хэрэгтэй. Хэрэв сүлжээ нь холимог бол виртуал дотоод сүлжээг ашиглана уу. Одоо бараг ямар ч ноцтой хандалтын цэг үйлдвэрлэгч энэ технологийг дэмждэг. Хэрэв тэр үүнийг дэмжихгүй бол та ийм үйлдвэрлэгчийг тоног төхөөрөмжийг нь худалдаж авах замаар дэмжих ёсгүй. Хэрэв гадаад антен ашиглаж байгаа бол (жишээлбэл, өөр өөр LAN-г холбох үед) VPN виртуал хувийн сүлжээний технологийг ашиглахыг зөвлөж байна.

Протокол, програм хангамжийн хамгаалалтын аргуудыг захиргааны аргуудтай хослуулах нь зүйтэй. Боломжит халдлагыг илрүүлэхийн тулд халдлагыг илрүүлэх систем (IDS) технологийг хэрэгжүүлэх талаар бодох нь бас утга учиртай. Та мөн дээр дурдсан програм хангамжийн бүтээгдэхүүнийг ашиглаж болно.

Эцэст нь, хамгийн чухал нь аюулгүй утасгүй сүлжээг төлөвлөхдөө эрүүл саруул ухаан хэрэглээрэй. Санаж байгаарай: аливаа шифрлэлт эсвэл өгөгдлийг өөр өөр аргаар ашиглах нь нэмэлт саатал үүсгэж, үйлчилгээний урсгалын хэмжээ, сүлжээний төхөөрөмжийн процессоруудын ачааллыг нэмэгдүүлдэг. Мэдээжийн хэрэг, аюулгүй байдал нь орчин үеийн сүлжээнд чухал хүчин зүйл боловч хэрэглэгчийн урсгал зохих зурвасын өргөнийг хүлээн авахгүй бол энэ нь утгагүй болно. Эцсийн эцэст, харамсалтай нь аливаа сүлжээг администраторуудад бус харин хэрэглэгчдэд зориулж бүтээдэг. Гэсэн хэдий ч 802.11x утасгүй сүлжээн дэх QoS-ийн сэдэв нь тусдаа нийтлэл байх ёстой.

802.11i стандартыг соёрхон баталсан 2004 оны 6-р сарын 25-нд Цахилгаан ба Электроникийн Инженерүүдийн Хүрээлэн (IEEE) удаан хүлээгдэж буй утасгүй LAN аюулгүй байдлын стандарт болох 802.11i-ийг соёрхон баталсан. Үүнийг батлахаасаа өмнө 2002 онд Wi-Fi Alliance салбарын консорциум нь WPA протоколыг завсрын хувилбар болгон ашиглахыг санал болгосон. Энэ нь TKIP шифрлэлт, RADIUS протокол дээр суурилсан 802.1x хэрэглэгчийн баталгаажуулалтын системийг ашиглах чадвар зэрэг 802.11i механизмуудыг агуулдаг. WPA протокол нь хөнгөн жинтэй (гэрийн хэрэглэгчдэд зориулагдсан) ба 802.1x баталгаажуулалтын стандарт (корпорацын хэрэглэгчид) гэсэн хоёр хувилбартай. Албан ёсны 802.11i стандарт нь WPA протоколд AES шифрлэлтийн стандартыг ашиглах шаардлагыг нэмж оруулсан бөгөөд энэ нь АНУ-ын засгийн газарт хэрэглэгдэж буй FIPS Ангилал 140-2 (Холбооны Мэдээлэл боловсруулах Стандарт)-ын шаардлагыг хангасан аюулгүй байдлын түвшинг хангадаг. Гэсэн хэдий ч одоо байгаа олон сүлжээнд AES протокол нь тусгай шифрлэлт болон шифрийг тайлах боломжоор тоноглогдоогүй тохиолдолд тоног төхөөрөмжийг солих шаардлагатай байж болно. Нэмж дурдахад шинэ стандарт нь харьцангуй бага мэдэгддэг хэд хэдэн шинж чанарыг олж авсан. Тэдгээрийн нэг болох түлхүүрийн кэш нь түүний талаарх мэдээллийг хэрэглэгчдэд анзааралгүй тэмдэглэж, утасгүй сүлжээний хамрах хүрээг орхиж, буцаж ирэхдээ өөрийнхөө тухай бүх мэдээллийг дахин оруулахгүй байх боломжийг олгодог. Хоёр дахь шинэлэг зүйл бол урьдчилсан баталгаажуулалт юм. Үүний мөн чанар нь дараах байдалтай байна: хэрэглэгчийн одоо холбогдсон хандалтын цэгээс урьдчилан баталгаажуулалтын багцыг өөр хандалтын цэг рүү илгээж, энэ хэрэглэгчийг шинэ цэг дээр бүртгүүлэхээс өмнө урьдчилсан баталгаажуулалтыг хангаж, улмаар зөвшөөрлийн хугацааг багасгадаг. хандалтын цэгүүдийн хооронд шилжих. Wi-Fi Alliance энэ оны есдүгээр сараас өмнө төхөөрөмжүүдийг шинэ стандартад (мөн WPA2 гэж нэрлэдэг) нийцэж байгаа эсэхийг шалгаж эхлэхээр төлөвлөж байна. Түүний төлөөлөгчдийн үзэж байгаагаар тоног төхөөрөмжийг өргөнөөр солих шаардлагагүй болно. WPA1-ийг идэвхжүүлсэн төхөөрөмжүүд нь дэвшилтэт шифрлэлт болон RADIUS баталгаажуулалт шаардлагагүй орчинд ажиллах боломжтой боловч 802.11i бүтээгдэхүүнийг AES-ийг дэмждэг WPA төхөөрөмж гэж үзэж болно.

Утасгүй сүлжээ аюулгүй биш байна. Дахин хэлье: утасгүй сүлжээнүүд аюулгүй биш байна. Ихэнх тохиолдолд тэдгээр нь ихэнх хэрэглэгчдэд хангалттай аюулгүй байдаг ч ийм сүлжээг бүрэн хувийн болгох боломжгүй юм.

Энгийн үнэн бол утасгүй сүлжээ нь тодорхой шинж чанартай радио дохиог ашигладаг тул эдгээр дохиог хянахад хангалттай цаг хугацаа, хүчин чармайлт гаргах хүсэлтэй хэн бүхэн тэдгээрт агуулагдаж буй өгөгдлийг таслан зогсоох, унших арга замыг олох боломжтой. Хэрэв та утасгүй холболтоор нууц мэдээллийг илгээвэл халдагчид үүнийг хуулж болно. Зээлийн картын дугаар, дансны нууц үг болон бусад хувийн мэдээлэл эмзэг байдаг.

Шифрлэлт болон бусад аюулгүй байдлын аргууд нь өгөгдлийг таслан зогсооход бага зэрэг хүндрэл учруулдаг боловч үнэхээр нарийн тагнуулчдаас бүрэн хамгаалж чаддаггүй. Ямар ч цагдаагийн ажилтан танд хэлж байгаачлан цоож шударга хүмүүсээс гардаг ч туршлагатай хулгайч нар түүнтэй хэрхэн харьцахаа мэддэг. Интернетээс WEP шифрлэлтийг эвдэх хэрэгслүүдийн бүхэл бүтэн каталогийг олоход хялбар байдаг.

Нөхцөл байдлыг улам аюултай болгож, олон сүлжээний администраторууд болон гэрийн утасгүй хэрэглэгчид 802.11b утасгүй цэг, сүлжээний зангилаа бүрт нэгтгэсэн шифрлэлт болон бусад хамгаалалтын функцийг ашиглахгүйгээр сүлжээнийхээ хаалга, цонхыг нээлттэй орхидог. Хамгаалалтгүй хувийн сүлжээнд нэвтрэх нь олон хот суурин газар болон олон тооны дотоод сүлжээнд боломжтой. 2001 оны хавар San Francisco Chronicle сэтгүүлд Сан Франциско хотын төвд микроавтобусны дээвэр дээр суурилуулсан чиглэлтэй антен бүхий сүлжээний аюулгүй байдлын мэргэжилтэн нэг блок тутамд дунджаар хагас арван утасгүй сүлжээнд нэвтэрч чадсан гэж мэдээлсэн. Ийм сүлжээний тоо тогтмол өсч байна. Жилийн дараа Майкрософт компанийн хэсэг ажилтнууд "албан бус шалгалт" явуулж, Сиэтл хотын захын хорооллын сүлжээнд 200 гаруй хамгаалалтгүй нээлттэй хандалтын цэгүүдийг илрүүлжээ. Tully's Coffee дэлгүүрүүд гудамжны эсрэг талд байрлах Starbucks дэлгүүрийн халуун цэгүүдээр дамжуулан Wi-Fi сүлжээнд нэвтэрч буй үйлчлүүлэгчдээ анзаарч байна гэж мэдэгджээ.

Энгийн арифметик хийхэд хангалттай: таны хандалтын цэг бүх чиглэлд 100м ба түүнээс дээш зайтай тул дохио нь таны өмчөөс (эсвэл орон сууцны хананаас) цааш тархах магадлалтай. Байшингийн хажуугийн өрөөнд эсвэл гудамжны эсрэг талд байрлах сүлжээний төхөөрөмж нь сүлжээг илрүүлэх боломжтой. Гудамжинд байрлуулсан машинд байрлуулсан зөөврийн компьютер эсвэл PDA нь ижил төстэй үйлдэл хийх чадвартай. Хэрэв урьдчилан сэргийлэх арга хэмжээ аваагүй бол энэ төхөөрөмжийн оператор таны сүлжээнд бүртгүүлж, серверээс файл хулгайлж, видео эсвэл онлайн тоглоом дамжуулахын тулд таны интернет холболт руу нэвтэрч болно.

Бид хоёр өөр төрлийн утасгүй аюулгүй байдлын аюулын тухай ярьж байгааг ойлгох нь чухал юм. Эхнийх нь таны мэдээлэл, зөвшөөрөлгүйгээр хэн нэгэн таны сүлжээнд холбогдох аюул; хоёр дахь нь таныг илгээх, хүлээн авах үед нарийн төвөгтэй халдагчид өгөгдлийг хулгайлах магадлал юм. Тэд тус бүр нь тусдаа боломжит асуудал бөгөөд тус бүр нь урьдчилан сэргийлэх, хамгаалах тусгай аргыг шаарддаг. Хэдийгээр одоо байгаа хэрэгслүүдийн аль нь ч бүрэн хамгаалалтыг хангаж чадахгүй нь үнэн байж болох ч тэдгээр нь ихэнх тохиолдлын халдлагуудын амьдралыг улам хүндрүүлдэг.

Утасгүй сүлжээнүүд нь аюулгүй байдал, ашиглах боломжтой байдлын хоорондын солилцоог илэрхийлдэг. Утасгүй сүлжээний холболтын илэрхий давуу тал болох зөөврийн компьютер эсвэл тусгаарлагдсан байршлаас сүлжээнд хурдан, хялбар нэвтрэх боломж нь тодорхой өртөгтэй байдаг. Ихэнх хэрэглэгчдийн хувьд эдгээр зардал нь утасгүй сүлжээний тав тухаас давж гардаггүй. Гэхдээ та машинаа зогсоолдоо түгжихтэй адил сүлжээ болон мэдээллээ хамгаалахын тулд ижил төстэй арга хэмжээ авах хэрэгтэй.

Таны сүлжээ болон өгөгдлийг хамгаалах

Та утасгүй сүлжээний операторын хувьд гадны хүмүүсээс өөрийгөө хамгаалахын тулд юу хийж чадах вэ? Танд хоёр сонголт байна: 802.11b сүлжээ нь бүрэн аюулгүй биш гэдгийг хүлээн зөвшөөрч болох ч муу жүжигчдийг удаашруулахын тулд суурилуулсан сүлжээний хамгаалалтын функцуудыг ашиглах; Та суурилуулсан хэрэгслүүдээс татгалзаж, тусгаарлахын тулд галт ханыг ашиглаж болно.

Аюулгүй байдлын функцууд нь 802.11b протоколд нэгдсэн нь тодорхой байна.

дамжуулагдсан мэдээллийн үнэмлэхүй хамгаалалтыг хүлээн зөвшөөрөх боломжгүй. Хэрэв та худалдааны сэтгүүлүүдээс утасгүй сүлжээний аюулгүй байдлын тухай нийтлэлүүдийг уншиж, онлайн форум дээрх хэлэлцүүлгүүдийг уншсан бол Wi-Fi сүлжээнүүд шигшүүр шиг гоождог гэдэгт итгэхэд хялбар байх болно. Гэхдээ энэ нь таны сүлжээнд учирч буй бодит аюулыг хэтрүүлж магадгүй юм. Таны мессежийг хулгайлах эсвэл сүлжээнд тань нэвтрэхэд ойрхон байгаа ихэнх хүмүүс зүгээр л зүгээр суугаад таныг өгөгдөл дамжуулж эхлэхийг хүлээхгүй гэдгийг санаарай. Үнэнийг хэлэхэд, таны сүлжээгээр дамжуулж буй ихэнх өгөгдөл нь үнэндээ сонирхолгүй байдаг. Гэхдээ шифрлэх хэрэгслүүд нь Wi-Fi сүлжээ бүрт байдаг тул та тэдгээрийг ашиглах хэрэгтэй.

Илүү ноцтой аюул бол таны харилцаа холбоог таслахгүй, харин түүнтэй хууль бус холболт үүсгэх явдал юм. Энэ нь зөвшөөрөлгүй хэрэглэгч бусад сүлжээнд холбогдсон компьютер дээр хадгалагдсан файлуудыг унших, эсвэл таны мэдээлэл, зөвшөөрөлгүйгээр таны өргөн зурвасын интернет холболтыг ашиглах боломжийг олгоно.

Сүлжээгээ удирдахад санаа тавих нь утга учиртай. Хэрэв та 802.11b аюулгүй байдлыг хэрэгжүүлэхээр шийдсэн бол дараах тусгай алхмуудыг дагах хэрэгтэй.

Хандалтын цэгээ цонхны хажууд биш барилгын голд байрлуул. Энэ нь таны дохио ханаар дамжин өнгөрөх зайг багасгах болно;

WEP (Wired Equivalent Privacy) шифрлэлтийг 802.11b сүлжээний бүх цэг дээр ашиглах боломжтой. Хангалттай цаг хугацаа, зөв ​​тоног төхөөрөмжтэй бол WEP-ийг эвдэх нь тийм ч хэцүү биш боловч шифрлэгдсэн пакетуудыг унших нь шифрлэлтгүйгээр илгээсэн өгөгдлөөс илүү хэцүү хэвээр байна. Энэ бүлэгт WEP шифрлэлтийн талаар дэлгэрэнгүй мэдээлэл өгнө;

WEP түлхүүрүүдийг ойр ойрхон солих. Өгөгдлийн урсгалаас WEP шифрлэлтийн түлхүүрийг задлахад цаг хугацаа шаардагдах бөгөөд түлхүүрийг солих бүрт таны өгөгдлийг хулгайлахыг оролдсон муу жүжигчид бүгдийг дахин эхлүүлэх шаардлагатай болдог. Түлхүүрээ сард нэг эсвэл хоёр удаа солих нь тийм ч их биш юм;

WEP түлхүүрүүдийг амархан хүрч болох газар бүү хадгал. Том сүлжээнд тэдгээрийг дотоод вэб хуудас эсвэл текст файлд хадгалах оролдлого хийж болно. Битгий хий;

WEP түлхүүрийг дамжуулахдаа имэйл бүү ашигла. Хэрэв гадны хүн дансны нэр, нууц үгийг хулгайлсан бол хулгайч таны шинэ түлхүүр бүхий мессежийг хууль ёсны хэрэглэгчид хүлээн авахаас өмнө хүлээн авах болно;

Утасгүй сүлжээнд нэгдсэн WEP шифрлэлтийн дээр Kerberos, SSH эсвэл VPN зэрэг шифрлэлтийн өөр давхарга нэмнэ үү;

Өөрийн хандалтын цэгийн өгөгдмөл SSID-г бүү ашигла. Эдгээр тохиргоог сүлжээний хакерууд сайн мэддэг;

SSID-г таны ажил, байршлыг тодорхойлохгүй зүйл болгон өөрчил. Хэрэв халдагчид BigCorpNet нэрийг олж хараад эргэн тойрноо хараад, гудамжны эсрэг талд байрлах BigCorp-н төв байрыг харвал тэд таны сүлжээг онилж магадгүй. Таны гэрийн сүлжээнд мөн адил хамаарна. Хэрэв таны шуудангийн хайрцгийн гадна талд ийм нэр байгаа бол түүнийг Перкинс гэж бүү дууд. Таны сүлжээнд ямар нэгэн сонирхол татахуйц мэдээлэл байгаа мэт сонсогдох SSID-г бүү ашиглаарай - хоосон талбар, "сүлжээ-" эсвэл санамсаргүй тэмдэгтүүдийн цуваа (W24rnQ) гэх мэт онцгүй нэр ашиглана уу;

Хандалтын цэгийнхээ IP хаяг болон нууц үгийг солино уу. Ихэнх хандалтын цэгийн тохиргооны хэрэгслүүдийн өгөгдмөл нууц үгийг олоход хялбар байдаг (мөн нэг үйлдвэрлэгчээс нөгөөд байнга давтагддаг - зөвлөгөө: "админ" гэж бүү ашигла), тиймээс тэдгээр нь таны хэрэглэгчдээс хамгаалахад хангалттай биш юм. таны сүлжээг өөрийн зорилгоор ашиглахыг зорьж буй гадны хүмүүс;

Зөв SSID-гүй үйлчлүүлэгчээс холбогдох боломжийг олгодог хандалтын цэгийн SSID Broadcast функцийг идэвхгүй болго. Энэ нь таны сүлжээ үл үзэгдэх болно гэсэн баталгаа биш, гэхдээ энэ нь туслах болно;

Өөрийн хандалтын цэгийн хандалтын хяналтын функцийг идэвхжүүлнэ үү. Хандалтын хяналт нь заасан MAC хаягтай сүлжээний үйлчлүүлэгчидтэй холбогдохыг хязгаарладаг. Хандалтын цэг нь хаяг нь жагсаалтад байхгүй аливаа адаптертай холбогдохоос татгалзах болно. Хэрэв та бусад зочдод сүлжээгээ ашиглахыг хүсч байвал энэ нь тийм ч тохиромжтой биш байж болох ч энэ нь таны бүх боломжит хэрэглэгчдийг мэддэг гэр болон жижиг оффисын сүлжээнд хэрэгтэй хэрэгсэл юм. "SSID цацах" функцтэй адил энэ нь баталгаа биш, гэхдээ бас гэмтээхгүй;

Сүлжээний аюулгүй байдлыг гудамжнаас хайж олохыг оролдоорой. Network Stumbler эсвэл сүлжээний адаптерийн статусыг харуулдаг хэрэгсэл зэрэг сканнердах програмтай зөөврийн компьютерээ аваад барилгаас холдож эхлээрэй. Хэрэв та холоос сүлжээгээ илрүүлж чадвал гадны хүн ч илрүүлж чадна. Муу санаатай хүмүүс энэ зайг ихэсгэдэг өндөр ашиг бүхий чиглэлтэй антен ашиглаж болно гэдгийг санаарай;

Сүлжээг хуваалцахад нээлттэй гэж бод. Сүлжээг ашиглаж буй хүн бүр аюулгүй систем ашиглаж байгаагаа мэдэж байгаа эсэхийг шалгах;

Файлын хандалтыг зөвхөн хуваалцахыг хүсэж буй файлууддаа сунгана уу. Дискийг бүхэлд нь нээж болохгүй. Хүртээмжтэй зүйл бүрт нууц үгийн хамгаалалт ашиглах;

Утастай сүлжээнд ашигладаг аюулгүй байдлын хэрэгслүүдээ ашиглана уу. Хамгийн сайн нь таны LAN-ийн утасгүй хэсэг нь утастай хэсгээс илүү найдвартай биш тул та ижил урьдчилан сэргийлэх арга хэмжээг авах ёстой. Ихэнх тохиолдолд сүлжээний утасгүй хэсэг нь утастай хэсгээс хамаагүй бага хамгаалалттай байдаг;

Нэмэлт аюулгүй байдлын үүднээс виртуал хувийн сүлжээ (VPN) ашиглах талаар бодож үзээрэй.

Зарим мэргэжилтнүүд утасгүй сүлжээг хамгаалахын тулд өөр аргыг ашигладаг. Тэд 802.11b сүлжээ нь найдвартай биш гэсэн санааг хүлээн зөвшөөрдөг тул суулгасан хамгаалалтын функцийг ашиглахыг оролддоггүй. Жишээлбэл, Калифорни дахь НАСА-гийн Нарийвчилсан суперкомпьютерийн хэлтсийн сүлжээний аюулгүй байдлын баг "Сүлжээ нь өөрөө хүчтэй нэвтрэлт танилт, хөндлөнгийн хамгаалалтыг өгдөггүй" гэдгийг олж мэдсэн бөгөөд "802.11b хамгаалалтын функцууд нь хариуд нь ямар ч бодит аюулгүй байдлыг хангахгүйгээр зөвхөн нөөцийг ашигладаг." Тиймээс энэ нь 802.11b аюулгүй байдлын бүх функцийг идэвхгүй болгож, оронд нь өөрийн утасгүй галт хана болох Wireless Firewall Gateway (WFG)-ийг ашигладаг. WFG нь утасгүй болон бусад сүлжээний хооронд байрладаг чиглүүлэгч тул утасгүй төхөөрөмж (Интернет хандалтыг оруулаад) дотогшоо болон гарах бүх сүлжээний траффик гарцаар дамжих ёстой.

Нэмэлт давуу тал болгон, энэ хамгаалалтын арга нь баталгаажуулалт, шифрлэлт агуулаагүй тул багц бүрийн захиргааны ул мөрийг хамгийн бага хэмжээнд байлгадаг. Энэ нь пакет бүрийн битийн тоог багасгаж, сүлжээний үр дүнтэй өгөгдөл дамжуулах хурдыг нэмэгдүүлдэг.

Бусад утасгүй сүлжээний операторууд утасгүй гарцаар дамжуулан хандалтыг хянахын тулд VPN ашигладаг. VPN нь хэрэглэгч сүлжээгээр аялахаас өмнө IP давхаргад (802.11b-д шифрлэлт хийдэг физик давхаргын оронд) цэгээс цэг рүү чиглэсэн хамгаалалтын өөр давхаргыг нэмж өгдөг.

Сүлжээний аюулгүй байдлыг хангах нь хоёр тохиолдолд зайлшгүй шаардлагатай - сүлжээний администратор нь зөвшөөрөлгүй хэрэглэгчдийг сүлжээндээ нэвтрэхийг хүсэхгүй байгаа бөгөөд хувь хүн өөрийн хувийн файлд хэн ч хандахыг хүсэхгүй байна. Та хуваалцсан сүлжээнд нэвтрэхдээ сүлжээгээр файлуудаа уншихаас урьдчилан сэргийлэх арга хэмжээ авах шаардлагатай.

Идэвхгүй болгох Файл хуваалцах(Файлын хандалт) Дундын сүлжээнд холбогдохын өмнө Windows 95, Windows 98, Windows ME дээр дараах процедурыг ашиглана уу:

1. Б Хяналтын самбар(Хяналтын самбар) харилцах цонхыг нээнэ үү Сүлжээ(цэвэр).

2. Сонго Файл болон принтер хуваалцах(Файл болон принтерт хандах).

3. Fi харилцах цонхонд le болон Принтер хуваалцахфункцийг идэвхгүй болгох Би бусдад өөрийн файлуудаа хандах эрх олгохыг хүсч байна(Миний файлд хандах эрхийг бусдад олгох).

Windows 2000 болон Windows XP-д файлд хандах хандалтыг хаах төвлөрсөн газар байдаггүй тул та тус бүрийг тус тусад нь идэвхгүй болгох ёстой.

1. Цонх нээнэ үү Миний компьютер(Миний компьютер).

2. Таны боломжтой бүх хөтчүүд болон хавтаснуудын дүрс нь гар дүрстэй байна. Хандалтыг идэвхгүй болгохын тулд дүрс дээр хулганы баруун товчийг дараад сонгоно уу Хуваалцах ба аюулгүй байдал(Хандалт ба аюулгүй байдал) цэсэнд орно.

3. Энэ функцийг идэвхгүй болгох Энэ фолдерыг сүлжээнд хуваалцаарай(Сүлжээгээр дамжуулан энэ фолдерт хандах хандалтыг нээнэ үү).

4. Товчлуур дээр дарна уу БОЛЖ БАЙНА УУ(Тийм) харилцах цонхыг хаахын тулд.

5. Боломжтой хавтас эсвэл файл бүрийн хувьд үйл явцыг давтана. Хавтасаа бүү мартаарай Хуваалцсан баримт бичиг(Ерөнхий баримт бичиг).

Оффис эсвэл гэрийн сүлжээндээ буцаж ирэхдээ файлууддаа дахин нэвтрэхийн тулд процедурыг буцаах ёстой.

Өөр нэг асуудал бол тагнуулч радио холбоогоор дамжуулсан өгөгдлийг хянах, нууц мэдээллийг шууд хулгайлах аюул юм. Энэ нь тагнуулч сүлжээнд нэвтэрч, файл уншихтай адил нийтлэг биш боловч боломжтой юм. Шифрлэлт болон бусад аюулгүй байдлын хэрэгслүүд нь өгөгдлийг тайлахад хүндрэл учруулж болзошгүй ч Wi-Fi сүлжээг гар утас шиг харьцах нь дээр: нууц мэдээлэл агуулсан мессеж эсвэл файлыг хэзээ ч бүү илгээ.

802.11b Хамгаалалтын хэрэгслүүд

802.11b техникийн үзүүлэлтүүд дэх хамгаалалтын хэрэгслүүд нь төгс биш ч юу ч биш байснаас дээр. Хэдийгээр та тэдгээрийг ашиглахгүй гэж шийдсэн ч унтраахаасаа өмнө тэдгээр нь юу болох, хэрхэн ажилладагийг ойлгох нь чухал юм.

Сүлжээний нэр (SSID)

1-р бүлэгт дурдсанчлан утасгүй сүлжээ бүр өөрийн гэсэн нэртэй байдаг. Зөвхөн нэг хандалтын цэгтэй сүлжээнд энэ нэр нь үндсэн үйлчилгээний багц ID (BSSID) юм. Сүлжээ нь нэгээс олон хандалтын цэг агуулж байвал нэр нь Өргөтгөсөн үйлчилгээний багц ID (ESSID) болдог. Бүх сүлжээний нэрсийн стандарт тэмдэглэгээ нь SSID юм - утасгүй хандалтын цэгүүд болон үйлчлүүлэгчдэд зориулсан тохиргооны хэрэгслүүдээс та хамгийн их хардаг нэр томъёо юм.

Сүлжээнд нэвтрэх цэгүүдийг тохируулахдаа та түүнд SSID оноох ёстой. Сүлжээнд байгаа хандалтын цэг болон сүлжээний клиент бүр ижил SSID ашиглах ёстой. Windows үйлдлийн системтэй компьютер дээр утасгүй адаптерийн SSID нь мөн ажлын хэсгийн нэр байх ёстой.

Ижил SSID-тэй хоёр ба түүнээс дээш хандалтын цэгүүд илэрсэн үед хэрэглэгч тэдгээр нь бүгд нэг сүлжээний нэг хэсэг (хандалтын цэгүүд өөр өөр радио сувгууд дээр ажилладаг байсан ч) гэж үзэж, хамгийн хүчтэй эсвэл хамгийн тод дохио өгдөг хандалтын цэгтэй холбогддог. Хэрэв хөндлөнгийн оролцоо эсвэл сулралын улмаас энэ дохио муудвал үйлчлүүлэгч өөр хандалтын цэг рүү шилжихийг оролдох бөгөөд энэ нь ижил сүлжээнд харьяалагддаг.

Хэрэв дохионы давхцал бүхий хоёр өөр сүлжээ ижил нэртэй бол үйлчлүүлэгч хоёулаа нэг сүлжээний хэсэг гэж үзэж, шилжихийг оролдож болно. Хэрэглэгчийн үзэл бодлоос харахад ийм алдаатай шилжилт нь сүлжээний холболтыг бүрэн тасалдуулж байгаа мэт харагдаж байна. Тиймээс өөр хоорондоо давхцаж болох утасгүй сүлжээ бүр өвөрмөц SSID-тэй байх ёстой.

Өвөрмөц SSID дүрмийн үл хамаарах зүйл нь нийтийн болон бүлгийн сүлжээнүүд бөгөөд эдгээр нь дотоод сүлжээн дэх бусад компьютер эсвэл төхөөрөмжүүдэд биш зөвхөн интернетэд нэвтрэх боломжийг олгодог. Ийм сүлжээнүүд нь ихэвчлэн нийтлэг SSID-г хуваалцдаг тул захиалагчид олон байршлаас тэдгээрийг олж, холбогдох боломжтой.

Apple-ийн AirPort Base Station болон ижил төстэй Orinoco систем зэрэг зарим хандалтын цэгүүд нь "нээлттэй" болон "хаалттай" хандалтыг сонгох боломжийг олгодог онцлогтой. Хандалтын цэгийг нийтийн хандалтаар тохируулах үед энэ нь SSID-г нь тохируулсан үйлчлүүлэгчийн холболтыг хүлээн авдаг. Ямар ч(Аливаа), хандалтын цэгийн өөрийн SSID ашиглан харилцахаар тохируулсан төхөөрөмжүүдийнхтэй адил. Хандалтын цэгийг хувийн гэж тохируулсан үед (Apple үүнийг "далд сүлжээ" гэж нэрлэдэг) зөвхөн SSID нь SSID-тэй таарч байгаа холболтуудыг хүлээн авдаг. Энэ нь сүлжээгээ гадны хүмүүсээс хамгаалах сайн арга боловч сүлжээн дэх зангилаа бүр Orinoco-ийн адаптер ашигладаг тохиолдолд л ажиллана (Apple AirPort карт нь Orinoco адаптерийн хувийн хувилбар юм). Хэрэв өөр үйлдвэрлэгчийн хийсэн адаптер хаалттай хандалтын цэгт холбогдохыг оролдвол SSID таарч байсан ч үүнийг үл тоомсорлодог.

Сүлжээний SSID нь нэвтрэх хяналтын маш хязгаарлагдмал хэлбэрийг өгдөг, учир нь та утасгүй холболтоо тохируулахдаа SSID-г зааж өгөх ёстой. Хандалтын цэгийн SSID функц нь таны өгөхийг хүссэн ямар ч нэрийг хүлээн авах текст талбар юм. Гэсэн хэдий ч олон сүлжээний тохиргооны програмууд (үүнд Windows XP дээрх утасгүй сүлжээний хэрэгслүүд болон зарим томоохон брэндийн сүлжээний адаптеруудтай хамт ирдэг) идэвхтэй сүлжээ бүрийн SSID-г дохионы хүрээндээ автоматаар илрүүлж, харуулдаг. Тиймээс холбогдохын өмнө сүлжээний SSID-г мэдэх шаардлагатай байдаггүй. Заримдаа тохиргооны хэрэгсэл (сүлжээний дэлгэц эсвэл Network Stumbler-тэй төстэй сканнердах програм) нь жагсаалт эсвэл цэсэнд ойролцоох сүлжээ бүрийн нэрийг харуулах болно.

Жишээ болгон Зураг дээр. Зураг 14.1-д WayPort нь зорчигчийн терминалаар үйлчилдэг, MobileStar нь American Airlines VIP клубт үйлчилгээ үзүүлдэг Сиэтл-Такома нисэх онгоцны буудлын Network Stumbler сканнерын үр дүнг харуулж байна. (Намайг энэ төлөвлөгөөг гаргасны дараахан MobileStar өөр үйлчилгээний нэг хэсэг болсон тул сүлжээний нэр өөрчлөгдсөн ч үйлчилгээ хэвээрээ байна).

Хандалтын цэг бүр нь анхдагч SSID тохиргоотой ирдэг. Эдгээр өгөгдмөл тохиргоонууд нь сайн мэддэг бөгөөд тагнуулын нийгэмлэгүүдэд нийтлэгддэг (жишээлбэл, http://www.wi2600.org/mediawhore/nf0/wireless/ssid_defaults-ыг үзнэ үү). Анхдагч тохиргоог ямар ч сүлжээнд ашиглах ёсгүй нь ойлгомжтой.

Цагаан будаа. 14.1

Олон хандалтын цэгүүд нь ихэвчлэн нэрлэдэг SSID нуух функцтэй байдаг Далд сүлжэээсвэл Нуугдсан сүлжээ. Энэ функц нь зарим тагнуулчдыг таны сүлжээний нэрийг олохоос сэргийлэхэд тусалдаг боловч шинэ үйлчлүүлэгч холбогдох эсвэл одоо байгаа үйлчлүүлэгч сул дохио хүлээн авах бүрд SSID цацагдаж, Kismet шиг програм үүнийг илрүүлдэг. SSID-г нуух нь хааяа зочлохыг удаашруулж болох ч бодит аюулгүй байдлыг хангахгүй.

WEP шифрлэлт

WEP шифрлэлт нь 802.11b систем бүрийн онцлог шинж чанартай тул та үүнийг ашиглахгүй байсан ч хэрхэн ажилладагийг мэдэх нь чухал юм. Нэрнээс нь харахад Wired Equivalent Privacy (WEP)-ийн анхны зорилго нь утастай сүлжээнийхтэй харьцуулахад утасгүй сүлжээний аюулгүй байдлын түвшинг хангах явдал байв. Гэхдээ WEP шифрлэлт дээр суурилсан сүлжээ нь ямар ч хамгаалалтгүй сүлжээ шиг халдлагад өртөмтгий гэсэн маш түгээмэл мэдэгдэл байдаг. Энэ нь хааяа тагнуулчдаас хамгаалах боловч байнгын хулгайчийн эсрэг тийм ч үр дүнтэй биш.

WEP нь сүлжээнд зөвшөөрөлгүй нэвтрэхээс урьдчилан сэргийлэх, пакет бүрийн бүрэн бүтэн байдлыг шалгах, өгөгдлийг муу санаатнуудаас хамгаалах гэсэн гурван үүргийг гүйцэтгэдэг. Өгөгдлийн пакетуудыг шифрлэхийн тулд WEP нь сүлжээний клиент эсвэл хандалтын цэгийг дамжуулахаас өмнө нууц шифрлэлтийн түлхүүрийг ашигладаг бөгөөд өгөгдлийг хүлээн авсны дараа кодыг тайлахад ижил түлхүүрийг ашигладаг.

Үйлчлүүлэгч өөр түлхүүр ашиглан сүлжээтэй холбогдохыг оролдоход үр дүн нь эвдэрч, үл тоомсорлодог. Тиймээс WEP тохиргоо нь сүлжээн дэх хандалтын цэг болон клиент адаптер бүрт яг адилхан байх ёстой. Энэ нь хангалттай энгийн мэт санагдаж байгаа ч үйлдвэрлэгчид WEP түлхүүрийн хэмжээ, форматыг тодорхойлохын тулд янз бүрийн арга хэрэглэдэг тул ойлгомжгүй болно. Функцүүд нь брэндээс брэнд хүртэл нийцдэг боловч ижил тохиргоо нь үргэлж ижил тэмдэглэгээтэй байдаггүй.

Таны WEP түлхүүрт хэдэн бит байгаа вэ?

Нэгдүгээрт, WEP түлхүүр нь 64 эсвэл 128 бит байж болно. 128 битийн түлхүүрийг эвдэх нь илүү төвөгтэй боловч багц бүрийг дамжуулахад зарцуулагдах хугацааг нэмэгдүүлдэг.

40 битийн WEP нь 64 битийн WEP түлхүүртэй, 104 битийн түлхүүр нь 128 битийн түлхүүртэй ижил байдаг тул янз бүрийн үйлдвэрлэгчдийн хэрэгжүүлэлтийн хоорондын төөрөгдөл үүсдэг. Стандарт 64 бит WEP түлхүүр нь дотооддоо үүсгэсэн 24 бит эхлүүлэх вектор болон сүлжээний администратороос олгосон 40 бит нууц түлхүүр агуулсан мөр юм. Зарим үйлдвэрлэгчдийн техникийн үзүүлэлтүүд болон тохиргооны програмууд үүнийг "64 битийн шифрлэлт" гэж нэрлэдэг бол зарим нь "40 битийн шифрлэлт" гэж нэрлэдэг. Аль ч тохиолдолд шифрлэлтийн схем ижил хэвээр байгаа тул 40 битийн шифрлэлтийг ашигладаг адаптер нь 64 битийн шифрлэлтийг ашигладаг хандалтын цэг эсвэл адаптертай бүрэн нийцдэг.

Олон сүлжээний адаптерууд болон хандалтын цэгүүд нь 128 битийн түлхүүрийг ашигладаг "хүчтэй шифрлэлтийн" функцийг агуулдаг (энэ нь үнэндээ 24 бит эхлүүлэх вектор бүхий 104 бит нууц түлхүүр юм).

Хүчтэй шифрлэлт нь 64 битийн шифрлэлттэй нэг талын нийцтэй боловч автомат биш тул 128 ба 64 битийн түлхүүр бүхий төхөөрөмжүүдийн холимог сүлжээний бүх бүрэлдэхүүн хэсгүүд 64 битийн шифрлэлттэй ажиллах болно. Хэрэв хандалтын цэг болон бүх адаптерууд 128 битийн шифрлэлтийг дэмждэг бол 128 битийн түлхүүр ашиглана уу. Гэхдээ хэрэв та сүлжээгээ зөвхөн 64 битийн шифрлэлтийг хүлээн зөвшөөрдөг адаптер болон хандалтын цэгүүдтэй нийцүүлэхийг хүсвэл сүлжээгээ бүхэлд нь 64 битийн түлхүүр ашиглахаар тохируулаарай.

ASCII эсвэл арван зургаан тоот түлхүүр үү?

Гэхдээ WEP шифрлэлтийг тохируулахдаа зөвхөн түлхүүрийн урт нь төөрөлддөг. Зарим программууд нь түлхүүрийг текст тэмдэгтийн мөр болгон шаарддаг бол зарим нь арван зургаатын тоогоор шаарддаг. Бусад нь нэмэлт нэвтрэх хэллэгээс түлхүүр үүсгэж болно.

ASCII тэмдэгт бүр 8 битээс бүрддэг тул 40 бит (эсвэл 64 бит) WEP түлхүүр нь 5 тэмдэгт, 104 бит (эсвэл 128 бит) түлхүүр нь 13 тэмдэгтээс бүрдэнэ. Арван арван зургаан тоот системд тоо бүр 4 битээс бүрддэг тул 40 битийн түлхүүр нь 10 арван тэмдэгт, 128 битийн түлхүүр нь 26 тэмдэгтээс бүрдэнэ.

Зураг дээр. D-Link хандалтын цэгийн Wireless Setting цонхыг харуулсан Зураг 14.2-д 40 битийн Хуваалцсан Түлхүүр Хамгаалалтын талбар нь арван тэмдэгтийг ашигладаг бөгөөд арван тэмдэгтийн зайтай. D-Link програм нь нэг мөрөнд бүх арван тэмдэгтийг агуулдаг боловч зарим нь тэдгээрийг хоёр тооны таван бүлэгт эсвэл таван тооны хоёр бүлэгт хуваадаг.

Цагаан будаа. 14.2

Компьютерийн хувьд түлхүүр нь аль алинд нь адилхан харагддаг боловч хэсэг болгон хуваах үед мөрийг хуулах нь илүү хялбар байдаг.

Windows XP дээрх Утасгүй сүлжээний шинж чанаруудын харилцах цонх (Зураг 14.3-т үзүүлсэн) гэх мэт олон үйлчлүүлэгчийн хэрэгслүүд нь 16-тын код эсвэл текстийн сонголтыг санал болгодог тул хандалтын цэгт тохирох форматыг ашиглах боломжтой.

Нэвтрэх хэллэг нь адаптерууд болон хандалтын цэгүүдийг автоматаар арван арван тэмдэгтийн мөр болгон хувиргадаг текст мөр юм. Хүмүүс ерөнхийдөө утга учиртай үг, хэллэгийг арван зургаат тоот гобблдигокоос илүү амархан санаж байдаг тул нэвтрэх үг нь арван арван тоот мөртэй харьцуулахад дамжуулахад хялбар байдаг. Гэсэн хэдий ч, сүлжээн дэх бүх адаптер болон хандалтын цэгүүдийг нэг үйлдвэрлэгч хийсэн тохиолдолд л нэвтрэх үг ашигтай байдаг.

Цагаан будаа. 14.3

Ямар онцлог шинж чанарууд байдаг вэ?

802.11b тохиргооны хэрэгслийн бараг бүх тохиргоотой адил WEP функцүүдийн нэр нь нэг програмаас нөгөөд тогтмол байдаггүй.

Зарим нь "WEP шифрлэлтийг идэвхжүүлэх" зэрэг нээлттэй функцуудыг ашигладаг бол зарим нь албан ёсны 802.11 тодорхойлолтоос авсан техникийн нэр томъёог ашигладаг. Нээлттэй системийн баталгаажуулалт нь "WEP Encryption Disabled" гэсэн нэрний хоёр дахь хувилбар юм.

Зарим хандалтын цэгүүд нь WEP шифрлэлтийг ашигладаг нийтийн түлхүүрийн баталгаажуулалтын нэмэлт функцээр хангадаг бөгөөд энэ нь сүлжээний клиент нь түлхүүртэй боловч бусад сүлжээний зангилаануудаас шифрлэгдээгүй өгөгдлийг хүлээн авдаг.

Арван арван тоот болон текст товчлууруудыг хослуулах

Зарим сүлжээний зангилаа зөвхөн арван арван тоот товчлуурыг ашигладаг бол бусад нь текст товчлуур шаарддаг бол холимог сүлжээг тохируулах нь илүү төвөгтэй болдог. Хэрэв таны сүлжээнд ийм нөхцөл байдал үүссэн бол WEP-ээр тохируулахын тулд та дараах дүрмийг баримтлах хэрэгтэй.

Бүх текстийн товчлууруудыг арван арван тоот тоо руу хөрвүүлнэ. Хэрэв тохиргооны программ нь текст товчлуурыг шаарддаг бол тэмдэгтүүдийг оруулна уу Өө(тэг, дараа нь жижиг үсэг x) 16-тын тоон мөрийн өмнө. Хэрэв та Apple-ийн AirPort програм хангамжийг ашиглаж байгаа бол оронд нь ӨөАравтын тоот товчлуурын эхэнд та долларын тэмдэг оруулах ёстой ( $ );

Таны бүх шифрлэлтийн түлхүүрүүд зөв тооны тэмдэгттэй байгаа эсэхийг шалгаарай;

Хэрэв бүх зүйл ажиллахгүй байвал сүлжээний адаптер болон хандалтын цэгүүдийн гарын авлагаас аюулгүй байдлын хэсгүүдийг уншина уу. Сүлжээнд байгаа эдгээр төхөөрөмжүүдийн нэг буюу хэд хэдэн нь таны мэдэхгүй хувийн шинж чанартай байж магадгүй юм.

WEP түлхүүрүүдийг сольж байна

Олон хандалтын цэгүүд болон сүлжээний клиент адаптерууд нь 4 хүртэлх өөр 64 бит WEP түлхүүрийг дэмжих боломжтой боловч 1-р зурагт үзүүлсэнчлэн нэг удаад зөвхөн нэг нь идэвхтэй байдаг. 14.4. Бусад түлхүүрүүд нь нөөц түлхүүрүүд бөгөөд сүлжээний администраторт сүлжээний аюулгүй байдлыг богино хугацаанд тохируулах боломжийг олгодог. 128 битийн шифрлэлтийг дэмждэг адаптерууд болон хандалтын цэгүүд нь нэг удаад зөвхөн нэг 128 битийн WEP түлхүүрийг ашигладаг.

Цагаан будаа. 14.4

WEP шифрлэлтийг нухацтай зохион байгуулдаг сүлжээнд. WEP түлхүүрүүдийг хуваарийн дагуу тогтмол сольж байх ёстой. Чухал мэдээлэл дамжуулдаггүй сүлжээнд нэг сар хангалттай, гэхдээ илүү ноцтой сүлжээний хувьд шинэ түлхүүрийг долоо хоногт нэг эсвэл хоёр удаа суулгах шаардлагатай. Одоогийн WEP түлхүүрээ аюулгүй газар бичихээ мартуузай.

Гэрийн эсвэл жижиг оффисын сүлжээнд та бүх WEP түлхүүрүүдийг өөрөө солих магадлалтай. Үгүй бол сүлжээний администратор эсвэл аюулгүй байдлын мэргэжилтэн шинэ WEP түлхүүрүүдийг цахим шуудангаар бус цаасан дээр, санамж хэлбэрээр тараах ёстой. 64 битийн шифрлэлт ашигладаг сүлжээн дэх аюулгүй байдлын нэмэлт түвшнийг хангахын тулд хэрэглэгчдэдээ хоёр түлхүүрийг нэг дор өөрчлөхийг зааж өгнө үү (одоогийн өгөгдмөл биш). Хэрэглэгчдэд аль түлхүүр нь шинэ өгөгдмөл болсон, хэзээ өөрчлөгдөхийг мэдэгдэх тусад нь тэмдэглэл илгээнэ үү.

Ердийн долоо хоног тутмын заавар дараах байдалтай байж болно.

Дараах шинэ 64 бит WEP түлхүүрүүдийг оруулна уу:

Түлхүүр 1: XX XX XX XX XX

Түлхүүр 4: ӨӨ ӨӨ ӨӨ ӨӨ ӨӨ

Долоо хоногийн дараа өөр нэг тэмдэглэлд Түлхүүр 2 ба Түлхүүр 3-ын кодыг өгөх болно.

Тусдаа тэмдэглэлд: "Манай сүлжээ Мягмар гарагийн шөнө дунд Түлхүүр 3 руу шилжих болно. Сүлжээний адаптерынхаа үндсэн түлхүүрийг өөрчилнө үү." Түлхүүрийг солих үед хандалтын цэг дээрх идэвхтэй холболтууд тасарч, клиент адаптер дээрх товчлууруудыг солих хүртэл сэргээх боломжгүй тул өөрчлөхийн тулд утасгүй сүлжээг хамгийн цөөн тооны хэрэглэгчид ашиглах цагийг сонгоно уу. Хэрэглэгчид одоогийн идэвхтэй түлхүүрийн оронд шинэ түлхүүрүүдийг урьдчилан оруулж, шинэ түлхүүр хүчин төгөлдөр болоход хэдхэн товшилтоор өөрчлөх боломжтой.

WEP хамгаалалт хангалттай юу?

Хэд хэдэн компьютер судлаачид WEP шифрлэлтийн тухай тайлан нийтэлж, нууц мэдээллийг хамгаалахын тулд үүнийг ашиглахыг эсэргүүцэж байна. Эдгээр нь бүгд WEP шифрлэлтийн алгоритмын найрлагад хэрэглэгддэг криптографийн онол, практикт ноцтой дутагдал байгааг харуулж байна. Эдгээр мэргэжилтнүүд санал нэгтэй байна: 802.11 утасгүй сүлжээг ашигладаг хэн бүхэн аюулгүй байдлын үүднээс WEP-д найдах ёсгүй. Та сүлжээгээ хамгаалахын тулд өөр аргыг ашиглах хэрэгтэй.

Берклигийн Калифорнийн Их Сургуулийн баг WEP алгоритмаас дор хаяж дөрвөн төрлийн халдлагад өртөмтгий болгодог олон тооны алдааг олж илрүүлжээ.

Өгөгдлийг тайлахын тулд статистик шинжилгээг ашиглан идэвхгүй халдлага;

Хандалтын цэгийг хуурамч тушаалуудыг хүлээн авахад хүргэдэг шифрлэгдсэн пакетуудыг үүсгэх идэвхтэй халдлага;

Толь бичиг үүсгэхийн тулд шифрлэгдсэн пакетуудыг шинжлэх замаар халдлага хийх ба дараа нь бодит цаг хугацаанд өгөгдлийг автоматаар тайлахад ашиглах боломжтой;

Өгөгдлийг халдагчийн удирддаг очих газар руу шилжүүлэхийн тулд пакетийн толгой хэсгийг өөрчилдөг халдлага.

Берклигийн тайлан нь хоёрдмол утгагүй мэдэгдлээр төгсдөг: "WEP аюулгүй байдал нь утастай аюулгүй байдалтай дүйцэхүйц биш юм. Протоколтой холбоотой асуудал нь криптографийн зарим үндсийг буруу ойлгосноос үүдэн шифрлэлтийн аргуудыг аюулгүй ашигласны үр дүн юм."

Райсын их сургууль болон AT&T лабораторийн судлаачид WEP шифрлэгдсэн сүлжээнд хийсэн халдлагын талаар өөрсдийн тайлбарыг нийтэлсэн (http://www.cs.rice.edu/~astubble/wep) нь тэднийг ижил төстэй дүгнэлтэд хүргэсэн: “WEP 802.11. бүрэн аюулгүй." Тэд шаардлагатай тоног төхөөрөмжийг захиалж, хүлээн авч, туршилтын сандал байгуулж, довтолгооны хэрэгслээ хөгжүүлж, долоо хоног хүрэхгүй хугацаанд 128 битийн WEP түлхүүрийг амжилттай авч чадсан.

Berkeley болон AT&T Labs тайлангуудыг техникийн мэргэжилтнүүд, техникийн мэргэжилтнүүдэд зориулж бичиж, криптографид дүн шинжилгээ хийдэг. Тэдний аргументууд нь ойлгомжтой боловч тэдний арга барил нь муу санаатай хүн техникийн ноцтой мэдлэгтэй гэж таамаглаж байна. Гэсэн хэдий ч бага боловсронгуй код таслагчдын хэрэгслийг хялбархан олж болно. AirSnort (http://airsnort.shmoo.com) болон WEPCrack() хоёулаа утасгүй сүлжээний дохиог хянаж, шифрлэлтийн түлхүүрийг авахын тулд WEP алгоритмын сул талуудыг ашигладаг Линукс программ юм.

AirSnort-ийн хөгжүүлэгчид тэдний програм нь хоёр долоо хоногийн дотор ихэнх сүлжээг амжилттай хакердаж чадна гэж мэдэгджээ. Энэ технологи нь сүлжээний дохиог нөлөөлөхгүйгээр хянадаг тул сүлжээний админ халдлага байгааг илрүүлж чадахгүй. Асуудлыг улам хүндрүүлэхийн тулд уг программыг гаргаж байна. Хэрэв WEP шифрлэлтийг эвдэхэд хялбар бол стандартын бүлгүүд үүнийг илүү найдвартай болгох арга замыг хайж олох эсвэл эвдэхэд хэцүү хувилбараар солих шаардлагатай болдог.

Дүгнэж хэлэхэд: энгийн байлгаж, сүлжээний мэдээллээ шифрлээрэй.

Шифрлэгдсэн өгөгдөл нь энгийн текст дамжуулахаас илүү найдвартай бөгөөд WEP түлхүүрийг эвдэх нь цаг хугацаа шаарддаг тул WEP нь аюулгүй байдлын өөр (магадгүй сул) давхаргыг нэмдэг, ялангуяа та түлхүүрээ байнга сольдог бол. WEP шифрлэлт нь таныг ноцтой дайснуудаас хамгаалж чадахгүй ч санамсаргүй муу санаатнуудаас хамгаалах болно. Шифрлэлт ашигладаггүй сүлжээнд нэвтрэх нь илүү хялбар байдаг (ихэнх нь үүнийг хийдэг) тул шифрлэгдсэн дохиог олж мэдсэн хакер хамгаалалт багатай зорилтот бүлэг рүү шилжих болно.

Тусламж ирж байна

Аварга дижитал ачааны машиныг нэвтрүүлэхэд хангалттай том нүхтэй хамгаалалтын загвар нь ямар ч хамгаалалтгүйтэй адил муу гэдэг нь ойлгомжтой. WEP шифрлэлт болон аюулгүй байдлын протоколын алдааг ашиглах боломжтой хэрэгслүүдэд амжилттай халдлага хийснээр Wi-Fi Alliance-ын гишүүд өөрсдийн лицензийг утасгүй сүлжээний дефакто стандарт болгон дэмжих талаар нухацтай авч үзэхэд хүргэж байна. "Хямрал" гэх мэт үгсийг эдгээр асуудалд анхаарал хандуулж байгааг илэрхийлэхэд ашигладаг.

Тэд аюулгүй байдлын зөрчлийн алдар нэр нь тэдний болгоомжтой бүтээж, сурталчилсан утасгүй Ethernet төхөөрөмжийн эрэлтээс давахаас өмнө шийдлийг олохыг хүсч байна.

Энэ асуудлыг шийдэх шинэ стандартуудыг 802.11i.IEEE гэж нэрлэнэ. 802.11 Стандартын хороо уг асуудлыг олон нийтэд мэдэгдэхээс хэдэн сарын өмнө хэлэлцэж эхэлсэн. Task Group i (TGi) нэртэй хороо нь WEP шифрлэлтийн стандартуудын мэдэгдэж буй сул талуудыг арилгах шинэ, сайжруулсан аюулгүй байдлын тодорхойлолт дээр ажиллаж байна. Хамгаалалтын шинэ хэрэгслүүд автоматаар ажиллах бөгөөд шинэ хэрэгслийг ашигладаггүй хуучин тоног төхөөрөмжид нийцнэ гэж тус бүлэг амлаж байна. Судалгааны бүлэг нь http://grouper.ieee.Org/groups/802/11/Reports вэб сайттай бөгөөд эндээс уулзалтын мэдээллийг олж, зарим техникийн баримт бичгүүдийг унших боломжтой.

Wi-Fi Alliance нь гишүүдээ TGi бүтээгдэхүүнийг аль болох хурдан ашиглаж эхлэхийг хүсч байна. Энэ нь арилжааны гамшиг болохоос өмнө нөхцөл байдлыг намжааж чадна. Инженерүүд шийдлийн талаар мэдээлсний дараа бүх хандалтын цэг болон сүлжээний адаптер үйлдвэрлэгчид аюулгүй байдлын шинэ аргуудыг бүтээгдэхүүндээ нэгтгэх бөгөөд Холбоо нь тэдгээрийг Wi-Fi баталгаажуулалтын тестийн багцад нэмнэ. Шинэчлэгдсэн программ хангамж, програм хангамж нь одоо байгаа 802.11b бүтээгдэхүүнүүдийг шинэ 802.11i протоколуудтай нийцүүлэх болно.

Хандалтын хяналт

Ихэнх хандалтын цэгүүд нь сүлжээний администраторт заасан жагсаалтаас үйлчлүүлэгч адаптерт хандах хандалтыг хязгаарлах боломжийг олгодог онцлогтой. Хэрэв MAC хаяг нь эрх бүхий хэрэглэгчдийн жагсаалтад ороогүй сүлжээний төхөөрөмж холбогдохыг оролдвол хандалтын цэг нь сүлжээнд холбогдох хүсэлтийг үл тоомсорлодог. Энэ арга нь танихгүй хүмүүсийг утасгүй сүлжээнд холбогдохоос урьдчилан сэргийлэхэд үр дүнтэй байж болох ч сүлжээний администраторыг хэрэглэгчдийн адаптер болон MAC хаягуудын бүрэн жагсаалтыг хөтлөхийг албаддаг. Шинэ хэрэглэгч сүлжээнд холбогдохыг хүсэх, хууль ёсны хэрэглэгч адаптераа солих бүрт хэн нэгэн өөр MAC хаягийг жагсаалтад нэмэх шаардлагатай болдог. Энэ нь гэр эсвэл жижиг оффисын сүлжээнд хэрэгжих боломжтой боловч томоохон аж ахуйн нэгж эсвэл кампусын системийн хувьд том асуудал байж болно.

Хандалтын цэгийн тохиргооны хэрэгсэл бүр хандалтын жагсаалтад өөр формат ашигладаг. Таны хандалтын цэгтэй хавсаргасан гарын авлага болон онлайн баримт бичиг нь хандалтын хяналтын жагсаалтыг хэрхэн үүсгэх, ашиглах талаар дэлгэрэнгүй зааврыг агуулсан байх ёстой. 802.11b стандарт нь хандалтын цэгийн хамгийн их ACL хэмжээг тодорхойлдоггүй тул тоонууд нь картанд тархсан байдаг. Зарим хандалтын цэгүүд жагсаалтыг хэдэн арван параметрээр хязгаарладаг. Proxim Harmony AP Controller зэрэг бусад нь 10,000 хүртэлх хувийн хаягийг дэмжих болно. Үлдсэн хэсэг нь хязгааргүй тоог зөвшөөрдөг. Хэрэв та өөрийн сүлжээнд хандах хандалтыг хянахын тулд хаягийн жагсаалтыг ашиглахаар төлөвлөж байгаа бол хандалтын цэг нь ирээдүйд хангалттай ачаалалтай бүх хэрэглэгчдийг дэмжих хангалттай том жагсаалтыг зохицуулах эсэхийг шалгаарай. Гол дүрэм бол хандалтын цэг нь таны сүлжээнд байгаа хэрэглэгчдийн тоотой харьцуулахад дор хаяж хоёр дахин их MAC хаягийг зөвшөөрөх ёстой.

Ихэнх сүлжээний картуудад MAC хаягийг өөрчлөх нь энгийн зүйл тул MAC нэвтрэлт танилт нь бүх халдлагаас хамгаалж чадахгүй: халдагчид хүчинтэй хэрэглэгчийг олж, түүний MAC хаягийг хуулахын тулд таны сүлжээний траффикийг хангалттай удаан хянахад л хангалттай.

Гэсэн хэдий ч энэ нь хааяа тагнуулыг удаашруулах маш үр дүнтэй арга байж болох юм.

Баталгаажуулалт: 802.1x стандарт

WEP шифрлэлтийн тодорхойлолтод аюулгүй байдлын цоорхойнуудын улмаас олон утасгүй сүлжээний тоног төхөөрөмж үйлдвэрлэгчид болон програм хангамж хөгжүүлэгчид өөрсдийн сүлжээнд аюулгүй байдлын өөр давхарга нэмэхийн тулд IEEE шинэ стандарт - 802.1x-ийг аль хэдийн тохируулсан байна. 802.1x стандарт нь гэрчилгээ, ухаалаг карт, нэг удаагийн нууц үг зэрэг хэд хэдэн төрлийн баталгаажуулалтын хэлбэрийг дэмжих тогтолцоог тодорхойлдог бөгөөд эдгээр нь бүгд 802.11-д нэгдсэн хандалтын хяналтаас илүү аюулгүй байдлыг хангадаг.

802.11 утасгүй сүлжээнд зөвшөөрөгдсөн төхөөрөмжүүдэд сүлжээний хандалтыг хязгаарлах зорилгоор 802.1x фрэймворк дээр "Robus Security Network" хэмээх технологийг бүтээжээ.

Ихэнх эцсийн хэрэглэгчид 802.1x-ийн талаар хоёр зүйлийг мэддэг байх ёстой: нэгдүгээрт, энэ нь Windows XP болон орчин үеийн олон хандалтын цэгүүдтэй цуг ирдэг утасгүй тохиргооны хэрэгсэл зэрэг 802.11b-ийн зарим (гэхдээ бүгд биш) техник хангамж, програм хангамжид нэгтгэгдсэн байдаг. хамгаалалтын боломжит түвшин; хоёрдугаарт, чадварлаг сүлжээний хакер утасгүй сүлжээнд нэвтрэхийн тулд ашиглаж болох ноцтой дутагдалтай хэвээр байна. Мэрилэндийн их сургуулийн хоёр судлаачийн дүн шинжилгээ хийсэн техникийн таагүй мэдээллийг http://www.cs.umd.edu/~waa/1x.pdf цахим хуудаснаас үзэх боломжтой.

Гэгээн тэмдэг гараад байх шиг байна, тийм үү? Сонирхсон техник хангамж, програм хангамжийн компаниудын инженерүүд судалгааны бүлгийн тугийн дор нэгддэг

Юу хийх вэ? Аюулгүй утасгүй сүлжээ бол боломжгүй зүйл мөн үү? Хэрэв та утасгүй хамгаалалтыг муур хулгана тоглоом гэж үзвэл хулгана (тагнуулчид болон сүлжээний хагарлууд) ялагч болох нь тодорхой байна. Гэхдээ эдгээр хулгана нь одоо байгаа шифрлэлт, баталгаажуулалтын хэрэгслийг даван туулахын тулд дэвшилтэт мэдлэг, техник хангамж шаарддаг.

Үүнийг гэрийнхээ үүдний хаалга шиг бодоорой: хэрэв та үүнийг онгорхой орхивол хэн ч орж ирээд таны юмыг хулгайлж болно, гэхдээ та хаалгыг түгжиж, цонхоо түгжээд байвал хулгайч ороход илүү хэцүү болно. . Мэргэжилтэн түгжээг онгойлгож чадна, гэхдээ энэ нь маш их цаг хугацаа, хүчин чармайлт шаарддаг.

Галт хана

Хэрэв та WEP шифрлэлт болон 802.1x нь утасгүй сүлжээний аюулгүй байдлыг хангахгүй байгааг хүлээн зөвшөөрвөл дараагийн логик алхам бол гадны хүмүүс таны сүлжээнд нэвтрэхээс сэргийлэх өөр арга замыг хайх явдал юм. Танд галт хана хэрэгтэй.

Галт хана нь сүлжээний администраторын тогтоосон дүрмийн багцаас хамааран сүлжээгээр дамжиж буй бүх өгөгдлийг шүүдэг прокси сервер юм. Жишээлбэл, галт хана нь үл мэдэгдэх эх сурвалжаас авсан өгөгдөл эсвэл тодорхой эх сурвалжтай (вирус) холбоотой файлуудыг шүүж болно. Эсвэл энэ нь дотоод сүлжээнээс интернет рүү илгээсэн бүх өгөгдлийг зөвшөөрч болох ч зөвхөн интернетээс тодорхой төрлийн өгөгдлийг зөвшөөрдөг. Сүлжээний галт ханын хамгийн түгээмэл хэрэглээ бол Зураг дээр үзүүлсэн шиг интернетэд нэвтрэх гарц юм. 14.5. Галт хана нь нэг талдаа дотоод сүлжээ, нөгөө талаас интернет хооронд ирж буй бүх өгөгдлийг хянадаг. Энэ төрлийн галт хана нь сүлжээнд байгаа компьютеруудыг интернетээс зөвшөөрөлгүй нэвтрэхээс хамгаалах зорилготой юм.

Цагаан будаа. 14.5

Утасгүй сүлжээнд галт хана нь утасгүй хандалтын цэгүүд болон утастай сүлжээний хоорондох гарц дээр байрлаж болно. Ийм галт хана нь сүлжээний утасгүй хэсгийг утастай сүлжээнээс тусгаарладаг тул зөвшөөрөлгүйгээр компьютерээ сүлжээнд холбосон муу санаатай хүмүүс интернет эсвэл сүлжээний утастай хэсэгт нэвтрэхийн тулд утасгүй холболтыг ашиглаж чадахгүй. Зураг дээр. Зураг 14.6-д утасгүй сүлжээн дэх галт ханын байршлыг харуулав.

Цагаан будаа. 14.6

Утасгүй сүлжээнд халдагчдад боломж бүү өг

Утасгүй сүлжээнд нэгдэхийг оролдож буй ихэнх хүмүүс бусад компьютерийн талаар санаа зовохгүй байна; Тэд өндөр хурдны интернетэд үнэгүй нэвтрэх сонирхолтой байдаг. Хэрэв тэд таны сүлжээг ашиглан файл татаж авах эсвэл дуртай вэб хуудас руугаа холбогдох боломжгүй бол тэд өөр ямар нэг хамгаалалтгүй утасгүй цэгийг хайж олохыг оролдох болно. Энэ нь та нууц мэдээллийг хамгаалалтгүй компьютерт нэвтрэх боломжтой файлд хадгалах ёстой гэсэн үг биш, гэхдээ хэрэв та интернетэд нэвтрэх эрхийг хязгаарлаж эсвэл үгүйсгэж чадвал сүлжээгээ доромжлогчдын сонирхолыг татахгүй байх болно. Утасгүй сүлжээн дэх галт хана нь хэд хэдэн функцийг гүйцэтгэх боломжтой: энэ нь утасгүй болон утастай сүлжээний хооронд чиглүүлэгчийн үүрэг гүйцэтгэдэг эсвэл сүлжээ ба интернетийн хоорондох гүүр болж, утасгүй сүлжээнээс утастай тал руу чиглэсэн бүх урсгалыг блоклодог. хэрэглэгч. Гэхдээ энэ нь итгэмжлэгдсэн хэрэглэгчдийн хийсэн тушаал, мессеж, файл дамжуулахад саад болохгүй.

Эрх бүхий хэрэглэгчид болон гадны хүмүүс хоёулаа галт ханын хамгаалалтгүй талд байдаг тул энэ нь утасгүй зангилааг бие биенээсээ тусгаарлахгүй. Халдагчид ижил утасгүй сүлжээнд байгаа өөр компьютерт нэвтэрч, байгаа файлуудыг унших боломжтой хэвээр байгаа тул идэвхгүй болгосон нь дээр Файл хуваалцах(Файлд хандах) утасгүй сүлжээнд холбогдсон дурын компьютер дээр.

Утасгүй галт хана нь эрх бүхий хэрэглэгчдийг гарцаар дамжуулан баталгаажуулахын тулд зарим төрлийн баталгаажуулалтыг ашиглах ёстой бөгөөд бусад бүх зүйлийг шүүнэ. Хэрэв MAC хаяг дээр суурилсан хандалтын хяналт нь 802.11b системд суурилагдсан бөгөөд 802.1x дэх нэмэлт нэвтрэлт танилт нь хүлээн зөвшөөрөгдөхгүй бол гадаад галт хана нь хэрэглэгч бүрээс интернетэд холбогдохын өмнө нэвтрэх нэр, нууц үг оруулахыг шаардах ёстой.

Хэрэв таны утасгүй сүлжээнд олон үйлдлийн системтэй компьютерууд байгаа бол галт хана нь ямар ч платформ дээр ажилладаг нэвтрэх эрхийг ашиглах ёстой. Үүнийг хэрэгжүүлэх хамгийн хялбар арга бол Apache вэб серверт багтсан (http://httpd.apache.org) гэх мэт вэбд суурилсан баталгаажуулалтын серверийг ашиглах явдал юм.

НАСА нь тусгай сервер дээр Apache-г ашигладаг бөгөөд энэ нь хэрэглэгчдэд дансны нэр, нууц үг оруулах үед мэдэгдэх вэб сайт үүсгэдэг.

Сервер нь Perl/CGI скрипт ашиглан нэвтрэх болон нууц үгээ мэдээллийн сантай харьцуулдаг. Хэрэв тэдгээр нь зөв бол энэ нь серверт хэрэглэгчийн IP хаягаас тушаал, өгөгдлийг хүлээн авахыг зааварчилдаг. Хэрэв мэдээллийн санд нэвтрэх эрх байхгүй эсвэл нууц үг буруу байвал Apache сервер "Хүчингүй хэрэглэгчийн нэр ба нууц үг" вэб хуудсыг харуулдаг.

Apache вэб сервер нь хуучин Pentium эсвэл бүр 486 CPU-тэй хуучин, удаан компьютер дээр ажилладаг Unix програмын хэлбэрээр байдаг тул өдөр тутмын хэрэглээнд байхгүй хуучин компьютерийг галт хана болгон дахин ашиглах боломжтой байдаг. Apache програм болон Unix үйлдлийн систем хоёулаа нээлттэй эхийн программ хангамж хэлбэрээр байдаг тул маш бага зардлаар Apache-д суурилсан галт ханыг бүтээх боломжтой байх ёстой.

Хэрэв та Unix-ийн оронд Windows ашиглахыг илүүд үзэж байгаа бол танд хэд хэдэн сонголт байна. Та Apache-ийн Windows NT/2000 хувилбар эсвэл Sygate-ийн Wireless Enforcer гэх мэт арилжааны хэрэгслийг ашиглаж болно (http://www.sygate.com/prodacls/sse/sse_swe_securjty.htm) - Wireless Enforcer нь Sygate-ийн бусад элементүүдтэй ажилладаг. Secure Enterprise Suite Sygate Security) эрх бүхий хэрэглэгч бүрт өвөрмөц хурууны хээ оноож, баталгаажуулна. Хэрэв гадны хүмүүс шаардлагатай хурууны хээгүйгээр хандалтын цэг рүү холбогдохыг оролдвол сүлжээ нь тэднийг блоклодог.

Сүлжээгээ интернетээс тусгаарлах

Утасгүй сүлжээнд хийсэн бүх халдлагыг агаараар хийдэггүй. Утасгүй сүлжээ нь бусад сүлжээний нэгэн адил интернетийн халдлагын эсрэг галт ханын дэмжлэг шаарддаг. Олон хандалтын цэгүүд нь тохируулж болох галт ханын функцийг агуулдаг боловч хэрэв таных байхгүй бол таны сүлжээ дараах галт ханануудын нэг буюу түүнээс дээшийг агуулсан байх ёстой.

Компьютер бүр дээрх галт ханын програм;

Сүлжээний галт ханын үүрэг гүйцэтгэх тусдаа чиглүүлэгч эсвэл зориулалтын компьютер;

Өмнөх хэсэгт тайлбарласан Sygate багц зэрэг аюулгүй байдлын нэгдсэн багц.

Галт хананы үйлчлүүлэгчийн програмууд нь таны сүлжээнд интернэтээр халдахаас хамгаалах өөр шугамаар хангадаг. Тэдний зарим нь гадаад ертөнцөөс нуухыг хүссэн файлууд болон бусад эх сурвалжуудыг унших арга хайж буй муу санаатнуудаас ирдэг. Бусад хүмүүс таны компьютерийг спам эсвэл дэлхийн бусад улс орны компьютерт нэвтрэх оролдлогыг түгээх цэг болгон ашиглаж, бодит нөөцийг хянахад хэцүү болгож магадгүй юм. Бусад нь компьютерийн хяналтыг авч, айлган сүрдүүлэх, сурталчлах мессежийг харуулдаг вирус тараах эсвэл хүсээгүй программ ашигладаг. Нэмж дурдахад, ашиглагдаагүй хадгалах зай ихтэй хамгаалалтгүй машин нь хулгайн программ хангамж, хөгжим, видео файлуудыг түгээх гэж буй хакеруудын анхаарлыг татахуйц бай байж болох юм (тэд өөрсдийн компьютер дээрээ тэр новшийг хадгалж байгаа гэж та бодохгүй байна уу?).

Хэрэв та гадны компьютер таны сүлжээнд холбогдохыг оролдох үед танд мэдэгдэх галт ханыг суулгасан бол өдөр бүр хэд хэдэн халдлага хийх оролдлого гарах болно.

Галт хана бүхий хандалтын цэгүүд

Утасгүй галт ханыг ашиглах хамгийн энгийн сонголт бол хандалтын цэгт суулгасан галт ханыг ашиглах явдал юм. Зарим нь утасгүй хандалтын цэгийн функцийг өргөн зурвасын чиглүүлэгч болон Ethernet шилжүүлэгчтэй хослуулдаг тул утастай болон утасгүй сүлжээний үйлчлүүлэгчдийг дэмждэг.

Таны мэдэж байгаагаар сүлжээний чиглүүлэгч нь дотоод сүлжээний гарцыг тодорхойлсон тоон IP хаяг болон доторх компьютеруудыг тодорхойлдог дотоод IP хаягуудын хооронд орчуулгыг өгдөг. Галт хана нь ихэвчлэн дотоод сүлжээний хостуудад ирж буй бүх өгөгдлийн хүсэлтийг блоклодог боловч энэ нь таныг нэг буюу хэд хэдэн дотоод сүлжээний компьютерийг файлын сервер болгон ашиглахыг хүсэхэд асуудал үүсгэдэг. Энэ асуудлыг шийдэхийн тулд галт хана нь тодорхой төрлийн хүсэлтийг сүлжээн дэх тохирох компьютерт дахин чиглүүлдэг виртуал серверийг агуулдаг.

Сервертэй холбогдох хүсэлт бүр серверийн төрлийг тодорхойлдог тусгай портын дугаарыг агуулна. Жишээлбэл, вэб серверүүд 80 портыг, FTP нь 21 портыг ашигладаг тул эдгээр портын дугаарууд нь хандалтын хүсэлтийн нэг хэсэг юм. Серверт хандах хүсэлтийг хүлээн авахдаа эдгээр хүсэлтийг дотоод сүлжээн дэх тодорхой компьютер руу чиглүүлэхийн тулд галт хананд сүлжээний хаягийн орчуулга (NAT) функцийг идэвхжүүлэх ёстой. Зураг дээр. 14.7 Виртуал сервер нь 192.168.0.177 локал IP хаягтай компьютерийг вэб сервер, 192.168.0.164 FTP файлын сервер болгон ашиглахаар тохируулагдсан. Хүснэгтэнд 14.1-д хамгийн түгээмэл үйлчилгээний портын дугаарыг харуулав.

Хүснэгт 14.1 Нийтлэг TCP/IP үйлчилгээний портын дугаарууд

Өөр өөр сүлжээнд ашигладаг хэдэн зуун портын дугаарууд байдаг ч тэдгээрийн ихэнх нь бодит хэрэглээнд хэзээ ч харагдахгүй. Томилогдсон портуудын албан ёсны жагсаалтыг http://www.iana.org/assignments/port-numbers хаягаар авна уу.

Цагаан будаа. 14.7

NAT орчуулга нь виртуал сервер бүрийн IP хаягийг нэг хүсэлтээс нөгөө хүсэлт рүү өөрчлөх ёсгүй гэж үздэг. Одоогийн 192.168.0.23 дугаартай вэб сервер долоо хоногийн дотор 192.168.0.47 руу шилжих ёсгүй. Энэ нь ихэвчлэн утастай сүлжээнд асуудал биш, харин сүлжээний үйлчлүүлэгчид тасралтгүй холбогдож, гарч байгаа утасгүй сүлжээнд тохиолддог. DHCP сервер нь шинэ үйлчлүүлэгч бүрт дараагийн боломжтой дугаарыг автоматаар өгдөг. Хэрэв эдгээр хэрэглэгчдийн аль нэг нь сүлжээний үйлчилгээний портуудын байршил бол NAT үүнийг илрүүлэхгүй байж магадгүй. Ихэнх сүлжээнүүд зөөврийн компьютерийг сервер болгон ашигладаггүй тул энэ асуудал тийм ч түгээмэл биш боловч заримдаа тохиолддог. Үүний шийдэл нь DHCP серверийг идэвхгүй болгож, үйлчлүүлэгч бүрт байнгын IP хаяг өгөх эсвэл үйлчилгээний портыг сүлжээнд утсаар холбогдсон компьютер руу шилжүүлэх явдал юм.

Галт ханын програм хангамж

Хандалтын цэг болон таны LAN-ийн утастай хэсгийн хоорондох интерфейс дээрх утасгүй гарцын галт хана нь гадны хүмүүсийг интернетэд нэвтрэхийн тулд сүлжээг ашиглахаас сэргийлж, интернет холболтын галт хана нь интернетээс сүлжээнд холбогдох оролдлогыг үгүйсгэх боловч өөр хэлбэр утасгүй сүлжээнд аюулгүй байдлын хамгаалалт шаардлагатай. Хэрэв хэн нэгэн таны утасгүй сүлжээнд зөвшөөрөлгүйгээр нэвтэрч байгаа бол та ижил сүлжээн дэх бусад хууль ёсны компьютерийг устгахыг хүсэх болно. Энэ нь танд сүлжээний зангилаа бүрт үйлчлүүлэгчийн галт ханын програм хэрэгтэй гэсэн үг юм.

Үйлчлүүлэгчийн галт хана нь компьютерийн сүлжээний интерфэйс дээр сүлжээ эсвэл аж ахуйн нэгжийн галт хана нь бүхэл бүтэн сүлжээнд гүйцэтгэдэг ижил үүргийг гүйцэтгэдэг. Энэ нь TCP портууд дээрх холболтын оролдлогуудыг илрүүлж, хэрэв тэдгээр нь нэг буюу хэд хэдэн галт ханын программын тохиргоотой таарахгүй бол тэдгээрийг үл тоомсорлодог.

Зарим галт хана нь туршилтын хувилбар хэлбэрээр байдаг бол зарим нь арилжааны бус хэрэглэгчдэд үнэ төлбөргүй байдаг тул та үүнийг өөрийн систем дээрээ хялбархан туршиж үзээд аль нь илүү таалагдаж байгааг харах боломжтой.

Windows-д зориулсан зарим програмыг доор харуулав.

Unix болон Linux хэрэглэгчид галт ханын олон функцтэй байдаг. Тэдгээрийн ихэнх нь сүлжээний гарц болгон өргөн хэрэглэгддэг бие даасан галт ханын компьютерт ашиглахаар бичигдсэн боловч тэдгээр нь сүлжээний үйлчлүүлэгчдийг хамгаалах үүрэг гүйцэтгэдэг.

Линукс дээр галт хана нь цөмийн нэг хэсэг бөгөөд хэрэглэгч консолын хэрэгслүүд - ipchains эсвэл iptables-ээр дамжуулан түүнтэй ажилладаг. Хоёуланг нь http:// linuxdoc.org/HOWTO/IPCHAINS-HOWVTO.html болон http:// www.netfilter.org/unreliable-guides/packet-filtering-HOWTO хаягаар баримтжуулсан болно. IP Filter нь FreeBSD болон NetBSD системүүдэд зориулсан галт ханын үйлчилгээ үзүүлдэг програм хангамжийн багц юм. Албан ёсны IP шүүлтүүр вэб сайт нь http://coombs.anu.edu.au/-avalon бөгөөд http://www.obfuscation.org/ipf/ipf-howto.txt сайтад түүний хэрэглээний талаар маш сайн баримт бичиг бий. Програм нь галт ханаар дамжих аливаа пакетаас татгалзах, зөвшөөрөх, мөн сүлжээний маск эсвэл хост хаягаар шүүж, үйлчилгээний портын хязгаарлалтыг хэрэгжүүлэх, NAT орчуулгын үйлчилгээг үзүүлэх боломжтой.

NetBSD/i386 Firewall нь өөр нэг үнэгүй Unix галт хана юм.

Энэ нь хамгийн багадаа 8 MB санах ойтой, 486 ба түүнээс дээш CPU-тэй ямар ч компьютер дээр ажилладаг. NetBSD/i386 Firewall Төслийн нүүр хуудас нь http://www.dubbele.com дээр байна.

PortSentry нь Red Hat, Caldera, Debian, Turbo Linux зэрэг Linux-ийн өргөн хэрэглэгддэг хэд хэдэн хувилбарт нэгтгэсэн порт скан хийх хэрэгсэл юм. Үүнийг http://www.psionic.com/products/portsentry.html хаягаар татаж авах боломжтой.

Виртуал хувийн сүлжээ

Сүлжээний зангилаа хоорондын холболтыг сүлжээний бусад урсгалаас тусгаарласнаар VPN нь хамгаалалтын өөр давхаргыг нэмж болно. VPN нь сүлжээний хоёр төгсгөлийн цэгийг "өгөгдлийн хонгилоор" холбодог шифрлэгдсэн дамжуулах суваг юм. Сүлжээний аюулгүй байдлын олон мэргэжилтнүүд VPN-ийг муу санаатнууд болон зөвшөөрөлгүй хэрэглэгчдээс утасгүй сүлжээг хамгаалах үр дүнтэй арга гэж зөвлөж байна. Та дараагийн бүлгээс VPN тохируулах, ашиглах талаар дэлгэрэнгүй мэдээлэл авах боломжтой.

Бие махбодийн хамгаалалт

Одоогоор бид цахим хулгайчдыг таны сүлжээнд нэвтрэхээс урьдчилан сэргийлэх талаар ярилцсан. Одоогоор тохируулагдаагүй байгаа техник хангамжийг ашиглан сүлжээнд нэвтрэхэд хялбар байдаг. Хэрэв халдагч компьютерийг эрх бүхий хэрэглэгчээс хулгайлсан бол энэ нь бүр ч хялбар болно.

Зөөврийн компьютерээ алдах нь тийм ч таатай биш юм. Хулгайчдад хулгайлагдсан компьютер ашиглан сүлжээгээ эргүүлэн татахыг зөвшөөрөх нь бүр ч дор юм. Сүлжээний операторын хувьд та зөөврийн төхөөрөмж нь хулгайч нарын анхаарлыг татахуйц бай гэдгийг хэрэглэгчиддээ сануулж, тэдгээрийг хэрхэн хамгаалах талаар зөвлөгөө өгөх хэрэгтэй. Хэрэглэгчийн хувьд та өөрөө ижил дүрмийг дагаж мөрдөх ёстой.

Эхний дүрэм бол энгийн зүйл - та компьютер зүүж байгаагаа бүү мартаарай. Энэ нь ойлгомжтой мэт боловч Лондонгийн таксины жолооч нар зургаан сарын хугацаанд машинд орхисон 2900 орчим зөөврийн компьютер (мөн 62,000 гар утас!) олжээ. Тоо томшгүй олон хүн онгоц, зочид буудлын өрөө, зорчих галт тэрэг, хурлын танхимд хаягдсан. Компьютер авч явж байна гэж бүү сур. Хажуу талдаа "IBM" эсвэл "COMPAQ" гэсэн том лого бүхий Nylon уутнууд загварлаг харагдах боловч ердийн цүнх, дэлгүүрийн цүнх шиг найдвартай биш юм.

Компьютерийг шүүгээ эсвэл хадгалах өрөөнд түгжээгүй үед гартаа эсвэл мөрөндөө үргэлж авч яваарай. Нэг минутын турш сатаар, туршлагатай хулгайч үүнийг хулгайлж чадна. Нисэх буудлын терминал, галт тэрэгний буудал, зочид буудлын лобби зэрэг нь хулгайн гэмт хэрэг үйлдэгддэг газар юм. Хамгаалалтгүй хувийн компьютерээ оффист хонуулж болохгүй. Үүнийг нисэх онгоцны буудлын сканнераар дамжуулж болохгүй. Байцаагчаас үүнийг биечлэн шалгахыг хүс эсвэл туузан дамжуулагчийн дагуу хөдөлж дууссаны дараа компьютерийг шууд буцааж өгөх боломжтой эсэхийг шалгаарай. Хамт ажиллаж байгаа хоёр хүн таныг хялбархан саатуулж, компьютерийг чинь авахаас өмнө хулгайлж чадна. Ачаа тээш шалгах явцад хэн нэгэн таны компьютерийг хулгайлах гэж оролдвол шуугиан дэгдээж, аюулгүй байдлын тусламж дуудаарай. Таны компьютер болон PC карт гэх мэт бие даасан бүрэлдэхүүн хэсгүүдийн дотор болон гадна талд өмчлөлийн шошго байгаа эсэхийг шалгаарай.

Оффисын үл хөдлөх хөрөнгийн аюулгүй байдлын хяналт (http://www.stoptheft.com) нь арилгахад 360 кг хүч шаардагддаг цианакрилат наалдамхай цаасан дээр бичигдэх боломжтой, хэвлэсэн хамгаалалтын шошготой бөгөөд хэн нэгэн... эсвэл устгасан тохиолдолд байнгын "Хулгайлагдсан өмч" гэсэн химийн тэмдэглэгээг санал болгодог. товчлол.

Хэрэв та үйлчлүүлэгчдээ компьютер дээрээ дохиоллын төхөөрөмж ашиглахыг итгүүлж чадвал буцаж ирэх магадлалыг нэмэгдүүлэх болно. Trackit (http:// www.trackit-corp.co m) нь компьютерийн цүнхэнд байрлах хавчаартай дамжуулагч болон бяцхан хүлээн авагчийг ашигладаг хоёр хэсгээс бүрдсэн дохиоллын төхөөрөмж юм. Дамжуулагч нь хүлээн авагчаас 12 м-ээс хол зайд байх үед хүлээн авагч нь 110 дБ дуут дохио гаргадаг бөгөөд энэ нь ихэвчлэн хулгайч хулгайлсан уутыг унагахад хүргэдэг.

Эцэст нь загвар болон серийн дугааруудын жагсаалтыг төхөөрөмжүүдээс тусад нь байлга. Даатгалын нэхэмжлэлд энэ мэдээлэл хэрэгтэй.

Таны сүлжээнд холбогдсон компьютеруудын аль нэг нь алдагдсан эсвэл хулгайд алдагдсаныг олж мэдсэн тохиолдолд бусад сүлжээг хамгаалах нь чухал юм. Боломжтой бол сүлжээний SSID, нууц үг, WEP түлхүүрүүдийг аль болох хурдан солино уу. Хэрэв таны сүлжээ хандалтыг хянахын тулд MAC хаягуудын жагсаалтыг ашигладаг бол хулгайлагдсан төхөөрөмжийн MAC хаягийг зөвшөөрөгдсөн холболтын жагсаалтаас устгана уу.

Таны сүлжээг дэлхийтэй холбож байна

Хэрэв та хөршийн сүлжээ эсвэл оюутны хотхоны интернет хандалтыг хуваалцахын тулд утасгүй сүлжээ ашиглаж байгаа эсвэл үйлчлүүлэгчид болон бусад зочдод таны утасгүй сүлжээнд холбогдохыг зөвшөөрөхийг хүсч байгаа бол мэдэгдэж буй хэрэглэгчдийн хандалтыг хязгаарлахын тулд WEP эсвэл бусад хамгаалалтын хэрэгслийг ашиглах ёсгүй. Гэхдээ та аюулгүй байдлын зарим арга хэмжээг авах хэрэгтэй.

Хүмүүст интернетэд шууд холбогдохыг хүсч байгаа нь сүлжээн дэх бусад компьютеруудаар тэнүүчилж, утасгүй хандалтын цэгүүдийг сүлжээнийхээ бусад хэсгээс тусгаарлахыг хүсч байгаа гэсэн үг биш юм.

Хэрэв таны сүлжээнд байгаа бүх локал хостууд утастай бол утасгүй холболтын цэг болон утастай LAN хооронд галт хана байрлуулах нь хамгийн сайн арга бол хандалтын цэгийг (болон утасгүй холболтоор холбогдсон компьютерууд) зөвхөн интернетэд холбогдох боломжийг олгох явдал юм. Зурагт үзүүлсэн шиг ямар ч локал хост утастай сүлжээнд холбогдоогүй. 14.8.

Гэсэн хэдий ч, хэрэв таны гэрийн зарим компьютер утасгүй холболт ашигладаг бол та сүлжээнийхээ хуваалцсан хэсгийг ашиглан бусад хүмүүсийн хандалтаас хамгаалах хэрэгтэй. Энэ төлөвлөгөөг хэрэгжүүлэх хэд хэдэн арга бий: Зураг дээр. Зураг 14.9-д гэрийн компьютер бүр дээр програм хангамжийн галт хана бүхий утасгүй сүлжээг үзүүлэв. 14.10 - ижил интернетийн зангилаатай холбогдсон өөр өөр SSID бүхий хоёр тусдаа утасгүй сүлжээг ашигладаг систем. Ерөнхий дүрэм бол нэг буюу хэд хэдэн галт ханыг ашиглан сүлжээнийхээ нийтийн хэсгийг дэлхийн бусад оронд ашиглахыг хүсэхгүй байгаа компьютерээс тусгаарлах явдал юм.

Цагаан будаа. 14.8

Цагаан будаа. 14.9

Цагаан будаа. 14.10

Тэмдэглэл:

Windows XP болон Windows 2000 дээрх файлуудад хандах хандалтыг төвлөрсөн байдлаар удирдахын тулд контекст цэсэн дээр хулганы баруун товчийг дарна уу Миний компьютерболон сонгох Удирдах. Баруун талын самбараас хавчуурга сонгоно уу Хуваалцсан хавтаснууд, дараа нь Хувьцаа. - Анхаарна уу шинжлэх ухааны ed.

Сүүлийн хэдэн жил утасгүй технологи хөгжиж байгааг харж байна. Wi-Fi сүлжээ (802.11a/b/g стандарт сүлжээ) улам бүр түгээмэл болж байгаа бөгөөд хэрэв өмнө нь ихэвчлэн оффис, халуун цэгүүдэд утасгүй сүлжээг ашигладаг байсан бол одоо тэдгээрийг гэртээ болон гар утас ашиглахад өргөн ашигладаг. . Утасгүй хандалтын цэгүүд болон SOHO ангиллын утасгүй чиглүүлэгчийг ялангуяа гэрийн хэрэглэгчид болон жижиг оффисуудад, халаасны утасгүй чиглүүлэгчийг гар утасны хэрэглэгчдэд зардаг. Гэсэн хэдий ч утасгүй сүлжээнд шилжихээр шийдэхдээ хөгжлийн өнөөгийн шатанд энэ нь нэг чухал сул талтай гэдгийг санах нь зүйтэй - аюулгүй байдлын хувьд төгс бус байдал. Энэ нийтлэлд бид утасгүй сүлжээний хамгийн эмзэг хэсгүүдийн талаар ярилцаж, тэдгээрийг хэрхэн хакердаж байгааг практик жишээгээр харуулах болно. Олж авсан мэдлэгээ утасгүй сүлжээний аюулгүй байдлыг шалгахад амжилттай ашиглаж болох бөгөөд энэ нь утасгүй сүлжээг байрлуулахдаа гаргадаг уламжлалт алдаанаас зайлсхийх боломжийг танд олгоно. Бид эхлээд утасгүй сүлжээг хамгаалахад ашигладаг аюулгүй байдлын үндсэн арга хэмжээг авч үзээд дараа нь халдагчдыг хэрхэн даван туулах талаар ярилцах болно.

Утасгүй аюулгүй байдлын аргууд

802.11a/b/g утасгүй сүлжээний стандартууд нь хэд хэдэн хамгаалалтын механизмыг хангадаг:

• WEP (Wired Equivalent Privacy) протоколыг ашиглан нэвтрэлт танилт ба өгөгдлийг шифрлэх горим;
• WPA (Wi-Fi хамгаалагдсан хандалт) протоколыг ашиглан нэвтрэлт танилт ба өгөгдлийг шифрлэх горим;
• MAC хаягаар шүүх;
• далд сүлжээ танигч горимыг ашиглан.

WEP протокол

Орчин үеийн бүх утасгүй төхөөрөмжүүд (хандах цэгүүд, утасгүй адаптерууд болон чиглүүлэгчид) нь IEEE 802.11 утасгүй сүлжээний тодорхойлолтод анх орсон WEP аюулгүй байдлын протоколыг дэмждэг.

WEP протокол нь RC4 алгоритм дээр тулгуурлан дамжуулагдсан өгөгдлийн урсгалыг 64 эсвэл 128 битийн түлхүүрийн хэмжээтэй шифрлэх боломжийг олгодог. Зарим төхөөрөмжүүд нь 152, 256, 512 битийн товчлууруудыг дэмждэг боловч энэ нь дүрмийн үл хамаарах зүйл юм. Түлхүүрүүд нь 64 ба 128 битийн түлхүүрүүдийн хувьд 40 ба 104 битийн урттай статик гэж нэрлэгддэг бүрэлдэхүүн хэсэгтэй, мөн Initialization Vector (IV) гэж нэрлэгддэг 24 бит хэмжээтэй нэмэлт динамик бүрэлдэхүүн хэсэгтэй.

Хамгийн энгийн түвшинд WEP шифрлэлтийн процедур нь дараах байдалтай байна. Эхний ээлжинд пакет дотор дамжуулагдсан өгөгдлийн бүрэн бүтэн байдлыг шалгадаг (CRC-32 алгоритм), дараа нь хяналтын нийлбэрийг (Integrity Check Value, ICV) багцын толгойн үйлчилгээний талбарт нэмнэ. Дараа нь 24 битийн эхлүүлэх вектор (IV) үүсгэгдэж, үүнд статик (40 эсвэл 104 бит) нууц түлхүүр нэмэгдэнэ. Ийнхүү олж авсан 64 эсвэл 128 битийн түлхүүр нь өгөгдлийг шифрлэхэд ашигладаг псевдо санамсаргүй тоог үүсгэх анхны түлхүүр юм. Дараа нь псевдо санамсаргүй түлхүүрийн дараалал бүхий логик XOR үйлдлийг ашиглан өгөгдлийг хольж (шифрлэсэн) бөгөөд фрэймийн үйлчилгээний талбарт эхлүүлэх векторыг нэмнэ.

Хүлээн авагч тал дээр өгөгдлийн шифрийг тайлж болно, учир нь эхлүүлэх векторын тухай мэдээлэл түүнтэй хамт дамждаг бөгөөд түлхүүрийн статик бүрэлдэхүүн хэсэг нь өгөгдлийг дамжуулж буй хэрэглэгчдэд хадгалагддаг.

WEP протокол нь хэрэглэгчийн баталгаажуулалтын хоёр аргыг өгдөг: Нээлттэй систем (нээлттэй) ба Хуваалцсан түлхүүр (хуваалцсан). Нээлттэй нэвтрэлт танилттай бол ямар ч хэрэглэгч утасгүй сүлжээнд нэвтрэх боломжтой гэсэн үг. Гэсэн хэдий ч нээлттэй системтэй байсан ч гэсэн WEP өгөгдлийг шифрлэхийг зөвшөөрдөг.

WAP протокол

2003 онд аюулгүй байдлын өөр нэг стандартыг нэвтрүүлсэн - WPA, түүний гол онцлог нь RC4 шифрлэлтийн цаашдын хөгжил болох TKIP (Temporal Key Integrity Protocol) дээр суурилсан өгөгдөл шифрлэх түлхүүрүүдийг динамик үүсгэх технологи юм. алгоритм. TKIP протоколын дагуу сүлжээний төхөөрөмжүүд нь 48 битийн эхлүүлэх вектортой (24 битийн WEP вектороос ялгаатай) ажилладаг бөгөөд түүний битүүдийн дарааллыг өөрчлөх дүрмийг хэрэгжүүлдэг бөгөөд энэ нь түлхүүрийн дахин хэрэглээг арилгадаг. TKIP протокол нь дамжуулагдсан пакет бүрт 128 битийн шинэ түлхүүр үүсгэх боломжийг олгодог. Нэмж дурдахад WPA дахь криптографийн хяналтын нийлбэрийг MIC (Message Integrity Code) шинэ аргыг ашиглан тооцдог. Фрейм бүр нь найман байт мессежийн бүрэн бүтэн байдлын тусгай кодыг агуулдаг бөгөөд баталгаажуулалт нь хуурамч пакет ашиглан халдлагыг няцаах боломжийг олгодог. Үүний үр дүнд сүлжээгээр дамжуулж буй өгөгдлийн пакет бүр өөрийн гэсэн өвөрмөц түлхүүртэй бөгөөд утасгүй сүлжээний төхөөрөмж бүр динамикаар өөрчлөгддөг түлхүүрээр хангагдсан байдаг.

Нэмж дурдахад WPA протокол нь WEP болон TKIP протоколуудтай харьцуулахад илүү найдвартай криптограф алгоритмтай AES (Advanced Encryption Standard) стандартыг ашиглан шифрлэлтийг дэмждэг.

Гэртээ эсвэл жижиг оффисуудад утасгүй сүлжээг байрлуулахдаа хуваалцсан түлхүүрүүд дээр суурилсан WPA аюулгүй байдлын протоколын хувилбар болох WPA-PSK (Pre Shared Key) -ийг ихэвчлэн ашигладаг. Ирээдүйд бид хэрэглэгчийн зөвшөөрлийг тусдаа RADIUS сервер дээр гүйцэтгэдэг корпорацийн сүлжээнд чиглэсэн WPA протоколын сонголтуудыг хөндөхгүйгээр зөвхөн WPA-PSK сонголтыг авч үзэх болно.

WPA-PSK ашиглах үед хандалтын цэгийн тохиргоо болон үйлчлүүлэгчийн утасгүй холболтын профайлд 8-63 тэмдэгтээс бүрдэх нууц үгийг зааж өгсөн болно.

MAC хаягийн шүүлтүүр

MAC хаягийн шүүлтүүрийг орчин үеийн бүх хандалтын цэгүүд болон утасгүй чиглүүлэгчид дэмждэг боловч 802.11 стандартын нэг хэсэг биш ч утасгүй сүлжээний аюулгүй байдлыг сайжруулдаг гэж үздэг. Энэ функцийг хэрэгжүүлэхийн тулд хандалтын цэгийн тохиргоонд энэ сүлжээнд ажиллах эрх бүхий үйлчлүүлэгчдийн утасгүй адаптеруудын MAC хаягуудын хүснэгтийг үүсгэсэн болно.

SSID далд горим

Утасгүй сүлжээнд ихэвчлэн ашигладаг өөр нэг урьдчилан сэргийлэх арга хэмжээ бол далд сүлжээ танигч горим юм. Утасгүй сүлжээ бүрт өвөрмөц танигч (SSID) оноогдсон бөгөөд энэ нь сүлжээний нэр юм. Хэрэглэгч сүлжээнд нэвтрэх гэж оролдох үед утасгүй адаптер драйвер нь эхлээд агаарын долгионоос утасгүй сүлжээ байгаа эсэхийг шалгадаг. Далд танигчийн горимыг ашиглах үед (дүрмээр бол энэ горимыг SSID-ийг нуух гэж нэрлэдэг) сүлжээ нь боломжтой байгаа жагсаалтад харагдахгүй бөгөөд та нэгдүгээрт, түүний SSID-г нарийн мэддэг бол л холбогдох боломжтой, хоёрдугаарт, Энэ сүлжээнд урьдчилан холбогдох профайл үүсгэсэн.

Утасгүй сүлжээг хакердах

802.11a/b/g сүлжээг хамгаалах үндсэн аргуудтай танилцсаны дараа бид тэдгээрийг даван туулах арга замыг авч үзэх болно. Үүнтэй ижил хэрэгслийг WEP болон WPA сүлжээг хакердахад ашигладаг тул эхлээд бид халдагчийн зэвсэглэлд юу багтаж байгааг танд хэлэх болно.

Юуны өмнө бидэнд утасгүй адаптер бүхий зөөврийн компьютер хэрэгтэй. Утасгүй хакердах хэрэгслийг сонгох явцад гарч ирдэг гол асуудал бол програм хангамжид ашигладаг утасгүй адаптер чип болон үйлдлийн систем хоорондын нийцтэй байдлыг хангах явдал юм.

Утасгүй адаптер сонгох

Утасгүй сүлжээг хакердах боломжийг олгодог ихэнх хэрэгслүүд нь Линукс системд зориулагдсан байдаг. Windows XP-д зориулсан зарим хэрэгслүүдийн хувилбарууд байдаг. Гэсэн хэдий ч утасгүй адаптерийн чипээс хамааран тодорхой утасгүй картуудыг Линукс болон Windows XP системүүдийн аль алиных нь хэрэгслээр ашиглах боломжтой ба зарим утасгүй адаптеруудыг зөвхөн Линукс эсвэл зөвхөн Windows XP системд зориулсан хэрэгслүүдээр ашиглаж болно. Линукс эсвэл Windows XP хэрэгслүүдээр дэмжигддэггүй утасгүй адаптерууд байдаг. Нэмж дурдахад, хэрэглүүрүүдээр дэмжигдсэн ч маш удаан ажилладаг (пакетуудыг барьж, дүн шинжилгээ хийх тал дээр) чипүүд байдаг.

Утасгүй сүлжээг хакердах ажлыг гүйцэтгэхийн тулд утасгүй сүлжээний адаптеруудад зориулсан тусгай (стандарт бус) драйверууд шаардлагатай байдаг. Ямар ч утасгүй адаптерийн стандарт горимууд нь дэд бүтэц (Үндсэн үйлчилгээний багц, BSS) ба түр зуурын (бие даасан үндсэн үйлчилгээний багц, IBSS) юм. Дэд бүтцийн горимд үйлчлүүлэгч бүр нь хандалтын цэгээр дамжуулан сүлжээнд холбогддог бөгөөд тусгай горимд утасгүй адаптерууд нь хандалтын цэг ашиглахгүйгээр шууд холбогдох боломжтой. Гэсэн хэдий ч эдгээр хоёр горим нь утасгүй адаптерийг агаарт сонсож, пакетуудыг таслан зогсоохыг зөвшөөрдөггүй. Аль ч тохиолдолд сүлжээний адаптер нь зөвхөн өөрийн тохируулсан сүлжээнд зориулагдсан пакетуудыг барих болно. Бусад сүлжээг (далд ESSID-тэй) харж, пакетуудыг барьж авахын тулд тусгай хяналтын горим (Хяналтын горим) байдаг бөгөөд энэ горимд шилжих үед адаптер нь ямар ч тодорхой сүлжээнд холбогдоогүй бөгөөд боломжтой бүх пакетуудыг барьж авдаг. Ихэвчлэн утасгүй адаптер үйлдвэрлэгчээс нийлүүлсэн драйверууд хяналтын горимыг дэмждэггүй бөгөөд үүнийг идэвхжүүлэхийн тулд та гуравдагч талын хөгжүүлэгчдийн бичсэн тусгай драйверуудыг суулгах хэрэгтэй. Windows үйлдлийн системүүдийн хувьд ийм тусгай драйверууд нь зөвхөн Hermes, Realtek, Aironet, Atheros чип дээр суурилсан утасгүй адаптеруудад байдаг гэдгийг нэн даруй тэмдэглэх нь зүйтэй. Линукс/BSD гэр бүлийн үйлдлийн системүүдийн энэ горимын драйверын дэмжлэг нь картын техникийн үзүүлэлтүүдийн нээлттэй байдлаас ихээхэн хамаардаг боловч дэмжигдсэн төхөөрөмжүүдийн жагсаалт нь Windows-ийн гэр бүлийнхээс хамаагүй өргөн юм. Хяналтын горимыг дэмждэг Linux/BSD системийн драйверуудыг Prism, Orinoco, Atheros, Ralink, Aironet, Realtek, Hermes, Intel зэрэгт суурилсан утасгүй адаптеруудад ашиглах боломжтой боловч Intel чип дээр суурилсан драйверууд бүгдэд тохиромжгүй байдаг. төхөөрөмжүүд.

Одоогийн байдлаар Intel Centrino гар утасны технологид суурилсан бүх зөөврийн компьютерууд нь Intel чип дээр суурилсан утасгүй адаптеруудтай (IPW2100, IPW2200, IPW2915, IPW3945) боловч бидний хувьд эдгээр адаптерууд нь Линуксийн хэрэглүүртэй нийцдэггүй хакердахын тулд эдгээр чипүүд нь маш удаан ажилладаг бөгөөд ерөнхийдөө Windows хэрэгслүүдтэй нийцдэггүй.

Үйлдлийн системийг сонгох

Үйлдлийн системийг сонгохдоо дараахь зөвлөмжийг өгч болно. Линукс системүүдийг эдгээр зорилгоор ашиглах нь илүү тохиромжтой, учир нь Линуксыг ашиглах үед боломжит хэрэгслүүдийн хүрээ илүү өргөн, Линуксийн хэрэгслүүд илүү хурдан ажилладаг. Гэхдээ энэ нь та Windows XP-г Windows хэрэгслүүдтэй хамт ашиглах боломжгүй гэсэн үг биш юм. Ирээдүйд бид утасгүй сүлжээг хакердах хоёр сонголтыг авч үзэх болно, өөрөөр хэлбэл Linux болон Windows хэрэгслүүдийг хоёуланг нь ашиглах болно. Үүний зэрэгцээ, бүх хэрэглэгчид Windows-ээс Линукс руу шилжих гэж яардаггүй гэдгийг бид маш сайн ойлгож байна. Бүх дутагдалтай талуудыг үл харгалзан Windows үйлдлийн систем нь илүү өргөн тархсан бөгөөд шинэхэн хэрэглэгчдэд сурахад илүү хялбар байдаг. Тиймээс бидний бодлоор хамгийн оновчтой сонголт бол Windows XP-г зөөврийн компьютерын үндсэн үйлдлийн систем болгон ашиглах, утасгүй сүлжээг хакердах ажилд CD-ээс ажилладаг, компьютерийн хатуу диск дээр суулгах шаардлагагүй Linux Live CD-г ашиглах явдал юм. жолоодох. Манай тохиолдолд хамгийн сайн шийдэл бол Линукс үйлдлийн систем (цөмийн хувилбар 2.6.18.3) дээр бүтээгдсэн BackTrack диск байх бөгөөд сүлжээг хакердахад шаардлагатай бүх хэрэгслийн багцуудыг агуулсан болно. Энэ дискний зургийг http://www.remote-exploit.org/backtrack.html холбоосыг ашиглан вэбсайтаас татаж авах боломжтой.

Програм хангамжийн багц

Уламжлал ёсоор утасгүй сүлжээг хакердахын тулд Windows XP (aircrack-ng 0.6.2-win) болон Linux (aircrack-ng 0.7) хувилбаруудад байдаг aircrack програм хангамжийн багцыг ашигладаг. Энэхүү багцыг үнэ төлбөргүй тарааж, www.aircrack-ng.org албан ёсны вэбсайтаас татаж авах боломжтой. Энэ багц нь ангилалдаа хамгийн сайн шийдэл учраас өөр хэрэгслийг хайх нь утгагүй юм. Нэмж дурдахад, энэ нь (Мэдээжийн хэрэг Линукс хувилбар) BackTrack дискэнд багтсан болно.

BackTrack Live CD ашиглан утасгүй сүлжээг хакердах

Тиймээс та зөөврийн компьютер дээрээ ямар үйлдлийн систем суулгасан байсан хамаагүй бид BackTrack ачаалах дискийг ашиглан утасгүй сүлжээг хакердах болно. Энэхүү дискэнд утасгүй сүлжээг хакердах хэрэгслүүдээс гадна сүлжээг шалгах боломжийг олгодог бусад хэрэгслүүд (порт сканнер, үнэрлэгч гэх мэт) байгааг анхаарна уу. Дашрамд хэлэхэд ийм диск нь сүлжээний аудитад оролцдог аливаа системийн администраторуудад хэрэгтэй байдаг.

BackTrack диск ашиглан ямар ч утасгүй сүлжээг хакердах нь гурван үе шаттайгаар явагддаг (Хүснэгт 1):

• утасгүй сүлжээний талаархи мэдээлэл цуглуулах;
• пакет барих;
• пакетийн шинжилгээ.

Эхний алхам бол хакердаж байгаа утасгүй сүлжээний талаарх дэлгэрэнгүй мэдээллийг цуглуулах явдал юм: хандалтын цэгийн MAC хаягууд болон утасгүй сүлжээний идэвхтэй үйлчлүүлэгч, сүлжээний нэр (сүлжээний ID) болон ашигласан шифрлэлтийн төрөл. Үүнийг хийхийн тулд airmon-ng, airodump-ng болон Kismet хэрэгслийг ашиглана уу - тэдгээрийн эхнийх нь утасгүй сүлжээний адаптер драйверийг утасгүй сүлжээг хянахын тулд тохируулах шаардлагатай бөгөөд нөгөө хоёр нь утасгүй сүлжээний талаар шаардлагатай мэдээллийг авах боломжийг олгодог. сүлжээ. Эдгээр бүх хэрэгслүүд BackTrack дискэнд аль хэдийн орсон байна.

Хүснэгт 1. BackTrack Live CD ашиглан утасгүй сүлжээг хакердах алхамууд

Тайзны дугаар	Тодорхойлолт	Ашигласан хэрэгслүүд	Үр дүн
	Утасгүй сүлжээний мэдээлэл цуглуулж байна	airmon-ng airodump-ng Kismet	Хандалтын цэгийн MAC хаяг, идэвхтэй үйлчлүүлэгчийн MAC хаяг, сүлжээний төрөл, сүлжээний ID, шифрлэлтийн төрөл (WEP, WPA-PSK), холбооны сувгийн дугаар
	Пакет саатуулах	airodump-ng Kismet airoplay-ng
	Пакет шинжилгээ		Түлхүүр сонголт	Нууц үг сонгох

Дараагийн алхам бол airodump-ng хэрэгслийг ашиглан пакетуудыг авах явдал юм. Сүлжээнд WEP шифрлэлтийг ашиглаж байгаа тохиолдолд эхлүүлэх вектор агуулсан IV пакетуудыг цуглуулах шаардлагатай. Хэрэв сүлжээн дэх траффик бага бол (жишээлбэл, үйлчлүүлэгч идэвхгүй) бол үйлчлүүлэгч болон хандалтын цэгийн хоорондох урсгалыг нэмэгдүүлэхийн тулд airoplay-ng хэрэгслийг нэмж ашиглаж болно.

Хэрэв сүлжээ нь WPA-PSK шифрлэлтийг ашигладаг бол сүлжээн дэх үйлчлүүлэгчийн баталгаажуулалтын процедурын талаархи мэдээллийг агуулсан пакетуудыг цуглуулах шаардлагатай (гар барих журам). Үйлчлүүлэгчийг сүлжээн дэх баталгаажуулалтын процедурт оруулахын тулд та airoplay-ng хэрэгслийг ашиглан сүлжээнээс хүчээр салгаж, дараа нь холболтыг сэргээх үйл явцыг эхлүүлж болно.

Сүүлийн шатанд aircrack-ng хэрэгслийг ашиглан саатуулсан мэдээллийг шинжилдэг. WEP шифрлэлтийн хувьд түлхүүрийг таах магадлал нь цуглуулсан IV пакетуудын тооноос, WPA-PSK шифрлэлт нь нууц үгийг таахад ашигласан толь бичгээс хамаарна.

Практик жишээнүүд

Утасгүй сүлжээг хакердах процедурын талаар товч тайлбарласны дараа бид үе шат бүр болон ашигласан хэрэгслүүдийн нарийвчилсан тайлбар бүхий практик жишээг авч үзэх болно.

Манай тохиолдолд бид D-Link DWL-7000AP хандалтын цэг болон Gigabyte GN-WPEAG утасгүй PCI адаптер бүхий сүлжээний клиентээс бүрдсэн туршилтын сүлжээтэй ажиллаж байсан.

Сүлжээг хакердахын тулд бид Atheros чип дээр суурилсан Gigabyte GN-WMAG утасгүй PCMCIA адаптер бүхий зөөврийн компьютер ашигласан. BackTrack дискийг ашиглахдаа Gigabyte GN-WPEAG адаптерт нэмэлт драйвер шаардлагагүй гэдгийг анхаарна уу - бүх зүйл аль хэдийн дискэн дээр байгаа.

Үе шат 1. Утасгүй сүлжээний талаарх мэдээлэл цуглуулах

Тиймээс эхний шатанд бид утасгүй сүлжээний талаар мэдээлэл цуглуулах хэрэгтэй. Бид утасгүй адаптерийг зөөврийн компьютерт оруулаад үйлдлийн системийг CD-ээс ачаална. Дараа нь консол руу залгаад aircrack-ng багцад багтсан airmon-ng хэрэгслийг ажиллуул.

Энэхүү хэрэгсэл нь боломжтой утасгүй интерфэйсүүдийг тодорхойлж, сүлжээний хяналтын горимыг боломжтой интерфэйсүүдийн аль нэгэнд тохируулах боломжийг олгодог.

airmon-ng командыг ашиглах синтакс дараах байдалтай байна.

airmon-ng ,

сонголтууд хаана байна хяналтын горимын эхлэл эсвэл зогсолтыг тодорхойлох, - хянагдаж буй утасгүй интерфейс ба нэмэлт параметр нь хяналтанд байгаа утасгүй сүлжээн дэх сувгийн дугаарыг зааж өгдөг.

Эхлээд airmon-ng командыг параметргүйгээр зааж өгсөн бөгөөд энэ нь боломжтой утасгүй интерфейсүүдийн жагсаалтыг авах боломжийг танд олгоно. Жишээлбэл, манай тохиолдолд airmon-ng командын хариу дараах байдалтай байв.

Хэрэглээ: airmon-ng

Интерфейсийн чипсет драйвер

wifi0 Atheros madwifi-ng

ath0 Atheros madwifi-ng VAP (эцэг эх: wifi0)

Wifi0-г утасгүй интерфэйс болгон сонгоод airmon-ng start wifi0 командыг оруулна. Үүний үр дүнд бид хяналтын горимд байгаа өөр ath1 интерфэйсийг авдаг (Зураг 1).

Цагаан будаа. 1. Утасгүй сүлжээний хяналтын горимыг тохируулах

Дараа нь та 802.11 утасгүй сүлжээнд пакетуудыг барьж авах, утасгүй сүлжээний талаарх мэдээллийг цуглуулахад нэгэн зэрэг ашиглагддаг airodump-ng хэрэгслийг ажиллуулах хэрэгтэй. Командыг ашиглах синтакс нь дараах байдалтай байна.

airodump-ng .

Боломжит тушаалын сонголтуудыг хүснэгтэд үзүүлэв. 2.

Хүснэгт 2. airodump-ng командын боломжит хувилбарууд

	Боломжит утга	Тодорхойлолт
		Зөвхөн IV пакетуудыг хадгал
		GPS демон ашиглах. Энэ тохиолдолд хүлээн авах цэгийн координатыг мөн тэмдэглэнэ
Бичих (эсвэл -w)	Файлын нэр	Бичлэг хийх файлын нэрийг зааж өгнө. Хэрэв та зөвхөн файлын нэрийг зааж өгвөл энэ нь програмын ажлын директорт хадгалагдах болно
		Бүх пакетуудыг шүүлтүүргүйгээр тэмдэглэ
	Сувгийн дугаар (1-ээс 11 хүртэл)	Сувгийн дугаарыг зааж өгч байна. Анхдагч байдлаар, бүх сувгийг сонсдог.
		802.11a/b/g протоколыг зааж өгч байна

Манай тохиолдолд ath1 интерфейсийг хяналтын горимд тохируулсан.

Гэсэн хэдий ч одоогоор бидэнд сүлжээний төрөл (802.11a/b/g), сүлжээн дэх шифрлэлтийн төрлийн талаар мэдээлэл байхгүй байгаа тул ямар пакетуудыг саатуулах шаардлагатайг мэдэхгүй байна (бүх эсвэл зөвхөн IV пакетууд) . Тиймээс эхлээд та airodump-ng командын сонголтыг ашиглах ёсгүй, зөвхөн интерфэйсийг зааж өгөх хэрэгтэй - энэ нь бидэнд сүлжээний талаар шаардлагатай мэдээллийг цуглуулах боломжийг олгоно.

Тиймээс, эхний шатанд бид дараах синтаксийг ашиглан airodump-ng командыг ажиллуулна.

airodump-ng-ath1

Энэ нь бидэнд сүлжээний талаар шаардлагатай мэдээллийг авах боломжийг олгоно, тухайлбал:

• хандалтын цэгийн MAC хаяг;
• Үйлчлүүлэгчийн MAC хаяг;
• сүлжээний төрөл;
• Сүлжээний ESSID;
• шифрлэлтийн төрөл;
• холбооны сувгийн дугаар.

Бидний жишээн дээр airodump-ng ath1 командыг оруулснаар бид шаардлагатай бүх сүлжээний параметрүүдийг тодорхойлж чадсан (Зураг 2):

Цагаан будаа. 2. Сүлжээний талаарх мэдээлэл цуглуулах
airodump-ng хэрэгслийг ашиглан

• Хандалтын цэгийн MAC хаяг нь 00:0D:88:56:33:B5;
• Үйлчлүүлэгчийн MAC хаяг - 00:0E:35:48:C4:76
• сүлжээний төрөл - 802.11g;
• Сүлжээний ESSID - dlinkG;
• шифрлэлтийн төрөл - WEP;
• холбооны сувгийн дугаар - 11.

Airodump-ng хэрэгсэл нь хандалтын цэгийг Далд SSID горимд тохируулсан эсэхээс үл хамааран сүлжээний танигчийг (ESSID) тодорхойлох боломжийг танд олгоно гэдгийг анхаарна уу.

Сүлжээний талаарх мэдээллийг цуглуулахын тулд та BackTrack дискэнд багтсан Kismet хэрэгслийг ашиглаж болно - airodump-ng-ээс ялгаатай нь энэ нь утасгүй сүлжээний талаар илүү их мэдээлэл цуглуулах боломжийг олгодог бөгөөд энэ утгаараа бүрэн гүйцэд бөгөөд хамгийн шилдэг нь юм. утасгүй сүлжээний анализатор. Энэхүү хэрэгсэл нь график интерфэйстэй (Зураг 3) бөгөөд энэ нь түүнтэй ажиллахад ихээхэн хөнгөвчилдөг.

Цагаан будаа. 3. Сүлжээний талаарх мэдээлэл цуглуулах
Kismet хэрэгслийг ашиглан

2-р шат: Пакет саатуулах

Утасгүй сүлжээний талаарх дэлгэрэнгүй мэдээллийг цуглуулсны дараа та сүлжээний талаар мэдээлэл цуглуулахад ашигладаг байсан хэрэгслүүдийг ашиглан пакетуудыг саатуулж эхлэх боломжтой - airodump-ng эсвэл Kismet. Гэхдээ энэ тохиолдолд бидэнд арай өөр командын синтакс хэрэгтэй болно.

WEP шифрлэлт

Эхлээд сүлжээ нь WEP шифрлэлтийг ашиглах сонголтыг авч үзье. Энэ тохиолдолд бид зөвхөн эхлүүлэх вектор (IV пакет) бүхий пакетуудыг шүүж, дараа нь түлхүүр сонгоход хэрэглэгдэх файлд бичих хэрэгтэй.

Жишээлбэл, хэрэв халдлагад өртсөн сүлжээ нь 802.11g сүлжээ гэдгийг мэддэг бол энэ нь WEP шифрлэлт ашигладаг бөгөөд дамжуулалтыг 11-р суваг дээр гүйцэтгэдэг бол пакетуудыг таслан зогсоох тушаалын синтакс дараах байдалтай байж болно.

airodump-ng --ivs –w dump --band g --channel 11 ath1

Энэ жишээнд бид зөвхөн IV пакетуудыг dump гэж нэрлэдэг файлд бичдэг. Түлхүүрийг амжилттай сонгох магадлал нь хуримтлагдсан IV багцын тоо болон түлхүүрийн уртаас хамаарна. Дүрмээр бол 128 битийн түлхүүрийн урттай бол 1-2 сая орчим IV пакет, 64 битийн түлхүүрийн урттай бол хэдэн зуун мянган пакет цуглуулахад хангалттай. Гэсэн хэдий ч түлхүүрийн урт нь урьдчилан тодорхойгүй бөгөөд ямар ч хэрэгсэл үүнийг тодорхойлж чадахгүй. Тиймээс дор хаяж 1.5 сая пакетыг шинжилгээнд оруулахыг зөвлөж байна. Зураг дээр. Зураг 4-т airodump-ng хэрэгсэлд 1,137,637 IV пакет авах жишээг үзүүлэв.

Цагаан будаа. 4. airodump-ng хэрэглүүрийг ашиглан пакетуудыг авах

Баригдсан пакетуудын тоог airodump-ng хэрэгсэлд интерактив байдлаар харуулах бөгөөд пакет авах үйл явцыг зогсоохын тулд Ctrl+C товчлуурын хослолыг дарахад л хангалттай.

Kismet хэрэгслийг мөн пакетуудыг барихад ашиглаж болно. Үнэн хэрэгтээ, таслан зогсоох үйл явц нь хэрэгслийг ажиллуулсны дараа шууд эхэлдэг бөгөөд програмын ажлын лавлах хэсэгт хадгалагдсан dump өргөтгөлтэй файлд бичлэг хийдэг. Гэсэн хэдий ч, airodump-ng хэрэгсэлээс ялгаатай нь энэ тохиолдолд зөвхөн IV пакетуудыг шүүж, холбооны сувгийн дугаарыг тохируулах боломжгүй юм. Тиймээс, Kismet хэрэгслийг ашиглах үед пакетуудын үр ашиг (хуримтлуулах түвшин) бага байдаг бөгөөд таслан зогсоох шаардлагатай пакетуудын тоо нь airodump-ng хэрэгслийг ашиглахаас илүү байх ёстой.

Ихэнхдээ пакетуудыг саатуулах үед хандалтын цэг болон үйлчлүүлэгчийн хооронд эрчимтэй траффик солилцох нөхцөл байдал үүсдэг тул сүлжээг амжилттай хакерахад шаардагдах багцын тоог хуримтлуулахын тулд та маш удаан хүлээх хэрэгтэй болдог. Гэсэн хэдий ч, aireplay-ng хэрэгслийг ашиглан үйлчлүүлэгчийг хандалтын цэгтэй харилцахыг албадах замаар энэ процессыг хурдасгаж болно (Зураг 5). Энэ хэрэгслийг airodump-ng хэрэгсэлтэй зэрэгцүүлэн эхлүүлсэн бөгөөд үүний тулд та өөр консол сессийг эхлүүлэх хэрэгтэй.

Цагаан будаа. 5. Хөдөлгөөнийг эхлүүлэхийн тулд aireplay-ng хэрэгслийг ашиглах
хандалтын цэг болон үйлчлүүлэгчийн хооронд

Командын синтакс дараах байдалтай байна.

airplay-ng

Энэ команд нь маш олон тооны өөр өөр сонголтуудтай бөгөөд үүнийг командыг параметргүйгээр ажиллуулснаар олж болно.

Бидний зорилгын үүднээс тушаалын синтакс дараах байдлаар харагдах болно.

aireplay –ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --нас барсан 20 ath1

Энэ тохиолдолд -e dlinkG параметр нь утасгүй сүлжээний ID-г тодорхойлдог; параметр -a 00:0d:88:56:33:b5 - хандалтын цэгийн MAC хаяг; параметр -c 00:0f:ea:91:7d:95 - үйлчлүүлэгчийн MAC хаяг; сонголт --deauth 20 - холболтыг таслах халдлага (20 удаа), дараа нь үйлчлүүлэгчийн баталгаажуулалт. Үйлчлүүлэгчийг баталгаажуулах үед түүний болон хандалтын цэгийн хоорондох урсгал огцом нэмэгдэж, саатуулах боломжтой пакетуудын тоо нэмэгддэг. Шаардлагатай бол холболтын тасалдлын тоог нэмэгдүүлэх эсвэл шаардлагатай багц багц хуримтлагдах хүртэл энэ тушаалыг давтаж болно.

WPA-PSK шифрлэлт

Утасгүй сүлжээн дэх WPA-PSK шифрлэлттэй бол пакет саатуулах алгоритм нь арай өөр юм. Энэ тохиолдолд бид IV пакетуудыг шүүх шаардлагагүй, учир нь WPA-PSK шифрлэлтийн хувьд тэдгээр нь ердөө байхгүй, гэхдээ бүх пакетуудыг дараалан авах нь утгагүй юм. Үнэн хэрэгтээ бидэнд хэрэгтэй зүйл бол сүлжээн дэх үйлчлүүлэгчийн баталгаажуулалтын процедурын (гар барих журам) талаарх мэдээллийг агуулсан хандалтын цэг ба утасгүй сүлжээний үйлчлүүлэгчийн хоорондох хөдөлгөөний багахан хэсэг юм. Гэхдээ сүлжээнд байгаа үйлчлүүлэгчийн баталгаажуулалтын процедурыг таслан зогсоохын тулд эхлээд aireplay-ng хэрэгслийг ашиглан үүнийг хүчээр эхлүүлэх хэрэгтэй.

Тиймээс WPA-PSK шифрлэлтийн тусламжтайгаар пакет саатуулах алгоритм дараах байдалтай байна. Бид хоёр консол сессийг нээж, эхний сесс дээр сүлжээг хүчээр салгах тушаалыг ажиллуулж, дараа нь үйлчлүүлэгчийг дахин таних (aireplay-ng хэрэгсэл, нэвтрэлт танилтыг устгах халдлага), хоёр дахь сессэд нэг эсвэл хоёр удаа түр зогсооно. секундын дотор бид пакетуудыг таслах командыг ажиллуулдаг (airodump-ng utility). Командын синтакс нь дараах байдалтай байна.

aireplay–ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -нас барсан 10 нас1

airodump-ng –w dump -band g -channel 11 ath1

Таны харж байгаагаар aireplay-ng командын синтакс нь хандалтын цэг болон сүлжээний үйлчлүүлэгчийн хоорондох траффикийг эхлүүлэхэд энэ тушаалыг ашигласан үед WEP шифрлэлттэй яг ижил байна (цорын ганц ялгаа нь баталгаажуулалтын багц цөөн байдаг). . airodump-ng командын синтакс нь IV пакет шүүлтүүргүй байна.

Баталгаажуулалтын халдлага идэвхжсэнээр гар барих пакетуудыг барьж авах магадлал бараг зуун хувь байдаг тул пакетуудыг барьж авах үйл явц хэдхэн секунд үргэлжлэх шаардлагатай.

3-р шат: Пакет шинжилгээ

Сүүлийн шатанд консолын сессээр эхлүүлсэн aircrack-ng хэрэгслийг ашиглан саатуулсан пакетуудыг шинжилдэг. Мэдээжийн хэрэг, aircrack-ng командын синтакс нь WEP болон WPA-PSK шифрлэлтийн хувьд өөр байдаг. Ерөнхий командын синтакс дараах байдалтай байна.

aircrack-ng

Боломжит тушаалын сонголтуудыг хүснэгтэд үзүүлэв. 3. *.cap эсвэл *.ivs өргөтгөлтэй хэд хэдэн файлыг баригдсан пакетуудыг (барьж авах файл(ууд)) агуулсан файл гэж зааж өгч болохыг анхаарна уу. Нэмж дурдахад WEP шифрлэлт бүхий сүлжээг хакердахдаа airodump-ng болон aircrack-ng хэрэгслүүдийг нэгэн зэрэг ажиллуулж болно (хоёр консол сессийг ашигладаг). Энэ тохиолдолд aircrack-ng нь IV багцын мэдээллийн санг автоматаар шинэчлэх болно.

Хүснэгт 3. Aircrack-ng командын боломжит хувилбарууд

	Боломжит утга	Тодорхойлолт
	1 = статик WEP, 2 = WPA-PSK	Довтолгооны төрлийг заана (WEP эсвэл WPA-PSK)
		Хэрэв сонголт өгөгдсөн бол ижил ESSID утгатай бүх IV пакетуудыг ашиглана. Хэрэв ESSID цацагдаагүй бол энэ сонголтыг WPA-PSK сүлжээг хакердахад ашигладаг (далд сүлжээ танигч горим)
	Хандалтын цэгийн MAC хаяг	Хандалтын цэгийн MAC хаяг дээр үндэслэн сүлжээг сонгох
		Нууц үйлдлийн горим. Түлхүүрийг олох эсвэл түлхүүрийг олохгүй бол мэдээлэл харагдахгүй
		WEP сүлжээний хувьд энэ нь түлхүүрийн сонголтыг зөвхөн тоо, үсгээр хязгаарладаг
		WEP сүлжээнүүдийн хувьд түлхүүрийн таамаглалыг зөвхөн арван арван тэмдэгтээр хязгаарладаг
		WEP сүлжээний хувьд энэ нь түлхүүрийн сонголтыг зөвхөн тооны багцаар хязгаарладаг
		WEP сүлжээнүүдийн хувьд түлхүүрийн эхлэлийг арван зургаат тоот форматаар зааж өгдөг. Програмыг дибаг хийхэд ашигладаг
	Үйлчлүүлэгчийн MAC хаяг	WEP сүлжээний хувьд үйлчлүүлэгчийн MAC хаяг дээр үндэслэн пакет шүүлтүүрийг тохируулдаг. -m ff:ff:ff:ff:ff:ff нь бүх IV пакетуудыг цуглуулахад ашиглагддаг
	64 (40 битийн түлхүүрийн хувьд) 128 (104 битийн түлхүүрийн хувьд) 152 (128 битийн түлхүүрийн хувьд) 256 (232 битийн түлхүүрийн хувьд) 512 (488 битийн түлхүүрийн хувьд)	WEP сүлжээний хувьд түлхүүрийн уртыг зааж өгдөг. Үндсэн түлхүүрийн урт нь 104 бит юм
		WEP сүлжээний хувьд өгөгдсөн түлхүүр индекстэй (1-ээс 4 хүртэл) IV пакетуудын цуглуулгыг заана. Анхдагч байдлаар энэ сонголтыг үл тоомсорлодог
		Энэ параметрийг WEP сүлжээг эвдэх үед ашигладаг - 104 битийн түлхүүрийн хувьд өгөгдмөл утга нь 2, 40 битийн түлхүүрийн хувьд - 5. Энэ параметрийн өндөр утга нь цөөн пакет бүхий түлхүүрүүдийг тооцоолох боломжийг олгодог, гэхдээ илүү урт хугацаанд.
		WEP сүлжээг хакердах үед ашигладаг. Энэ параметр нь тодорхой төрлийн корекийн халдлагыг хасах боломжийг олгодог (нийт 17 төрлийн корек халдлага байдаг)
		WEP сүлжээг хакердах үед ашигладаг. Түлхүүр дэх сүүлчийн тэмдэгтийг хайхыг идэвхгүй болгоно
		WEP сүлжээг хакердах үед ашигладаг. Түлхүүр дэх сүүлчийн тэмдэгтийг хайхыг зөвшөөрдөг (өгөгдмөл)
		WEP сүлжээг хакердах үед ашигладаг. Түлхүүр доторх сүүлийн хоёр тэмдэгтийг хайхыг зөвшөөрдөг
		WEP сүлжээг хакердах үед ашигладаг. SMP системд олон процессор ашиглахыг хориглоно
		WEP сүлжээг хакердах үед ашигладаг. Түлхүүрийг сонгохын тулд тусгай (туршилтын) төрлийн халдлагыг ашиглах боломжийг танд олгоно. Стандарт халдлага нь 1 сая гаруй IV пакет ашиглах үед түлхүүрийг олохыг зөвшөөрдөггүй тохиолдолд ашиглагддаг
	Толь бичигт хүрэх зам	WPA-PSK халдлагын үед ашигласан толь бичигт хүрэх замыг зааж өгнө

WEP шифрлэлтийг ашиглах үед гол асуудал нь бид шифрлэхэд ашигладаг түлхүүрийн уртыг урьдчилан мэддэггүй явдал юм. Тиймээс та -n параметрээр тодорхойлогдсон түлхүүрийн уртын хэд хэдэн сонголтыг туршиж үзэхийг оролдож болно. Хэрэв энэ параметрийг заагаагүй бол анхдагчаар түлхүүрийн уртыг 104 бит (-n 128) болгон тохируулна.

Хэрэв та түлхүүрийн талаархи зарим мэдээллийг мэддэг бол (жишээлбэл, энэ нь зөвхөн тоо, эсвэл зөвхөн үсэг, эсвэл зөвхөн үсэг, тооноос бүрдэх боловч тусгай тэмдэгт агуулаагүй) -c, -t ба -h сонголтууд.

Манай тохиолдолд бид aircrack-ng командыг дараах синтаксаар ашигласан.

aircrack-ng –a 1 –e dlinkG –b 00:0d:88:56:33:b5 –c 00:0f:ea:91:7d:95 –n 128 dump.ivs.

Энд зөвхөн нэг хандалтын цэг, нэг утасгүй клиент ашигласан тул хандалтын цэг болон үйлчлүүлэгчийн MAC хаяг, түүнчлэн сүлжээний ESSID-ийг зааж өгөх нь илүүц юм. Гэсэн хэдий ч, хэрэв хэд хэдэн үйлчлүүлэгч байгаа бөгөөд хэд хэдэн хандалтын цэг байгаа бол эдгээр параметрүүдийг мөн зааж өгөх ёстой.

Үүний үр дүнд бид 128 битийн түлхүүрийг ердөө 25 секундын дотор олж чадсан (Зураг 6). Таны харж байгаагаар WEP шифрлэлт дээр суурилсан сүлжээг хакердах нь тийм ч ноцтой асуудал биш боловч үргэлж амжилтанд хүрч чаддаггүй. Түлхүүрийг сонгоход хангалттай хэмжээний IV пакет хуримтлагдаагүй байж магадгүй юм.

Цагаан будаа. 6. 128 битийн түлхүүрийг сонгох
aircrack-ng хэрэгслийг ашиглан

WPA-PSK шифрлэлт нь дараах тушаалын синтаксийг ашигладаг:

aircrack-ng –a 2 –e dlinkG–b 00:0d:88:56:33:b5 –w dict dump.cap.

Энэ тохиолдолд эерэг үр дүн гарах магадлал, өөрөөр хэлбэл нууц үгийг бүхэлд нь таах магадлал нь ашигласан толь бичгээс хамаарна. Хэрэв нууц үг нь толь бичигт байгаа бол түүнийг олох болно. Aircrack-ng программын ашигласан толь бичгийг эхлээд програмын ажлын хавтсанд суулгасан байх эсвэл толь бичгийн бүрэн замыг зааж өгөх ёстой. Сайхан толь бичгүүдийг www.insidepro.com вэб сайтаас олж болно. Хэрэв тэд тус болохгүй бол нууц үг нь утгагүй тэмдэгтүүдийн багц байх магадлалтай. Эцсийн эцэст, толь бичиг нь үг, хэллэгээс гадна хялбар, санахад хялбар гарын товчлолыг агуулдаг. Толь бичгүүдэд дурын тэмдэгт байдаггүй нь ойлгомжтой. Гэхдээ энэ тохиолдолд ч гэсэн гарах гарц бий. Нууц үгийг таахад зориулагдсан зарим хэрэгслүүд нь өгөгдсөн тэмдэгтүүд болон үгийн уртаас толь бичгүүдийг үүсгэж чаддаг. Ийм програмын жишээ бол PasswordPro v.2.2.5.0 юм.

Гэсэн хэдий ч WPA-PSK нууц үгийг хакердах магадлал маш бага байгааг бид дахин тэмдэглэж байна. Хэрэв нууц үг нь ямар ч үгийн хэлбэрээр тодорхойлогдоогүй боловч үсэг, тоонуудын санамсаргүй хослол юм бол үүнийг таахад бараг боломжгүй юм.

Ерөнхий ойлголт

Утасгүй сүлжээг хакердах талаар дээр дурдсан бүх зүйлийг нэгтгэн дүгнэхийн тулд бид энэ үйл явцын үндсэн үе шатууд болон тэдгээрт ашигласан командуудыг дахин жагсаах болно.

Үе шат 1. Сүлжээний талаарх мэдээлэл цуглуулах:

Airmon-ng эхлэх wifi0;

Airodump-ng ath1.

Үе шат 2. Багц цуглуулах:

• WEP тохиолдол:

Airodump-ng --ivs -w dump --band g --channel 11 ath1,

Aireplay -ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1

(хэрэв ачаалал хангалтгүй байвал командыг тусдаа консол сессээр эхлүүлнэ);

• WPA-PSC тохиолдол:

-aireplay-ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 10 ath1,

Airodump-ng -w dump --band g --channel 11 ath1

(тушаал нь тусдаа консол сесс дээр ажилладаг).

Үе шат 3. Пакет шинжилгээ:

• WEP тохиолдол:

Aircrack-ng -a 1 -e dlinkG -b 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -n 128 dump.ivs;

• WPA-PSK тохиолдол:

Aircrack-ng -a 2 -e dlinkG-b 00:0d:88:56:33:b5 -w dict dump.cap.

Aircrack-ng 0.6.2-win багц болон Windows XP ашиглан утасгүй сүлжээг хакердаж байна

Өгүүллийн эхэнд бид аль хэдийн дурдсанчлан, Windows XP үйлдлийн системээр дэмжигдсэн aircrack-ng багц 0.6.2-win хувилбар байдаг. Багцын боломжууд нь Линукстэй харьцуулахад тийм ч өргөн биш гэдгийг нэн даруй тэмдэглэе, тиймээс Linux-ийн эсрэг хүчтэй сөрөг үзэл бодол байхгүй бол BackTrack дисктэй сонголтыг ашиглах нь дээр.

Aircrack-ng програмын Windows хувилбарыг ашиглах үед танд тулгарч буй хамгийн эхний зүйл бол утасгүй сүлжээний адаптер үйлдвэрлэгчийн стандарт драйверуудыг хянах, пакет саатуулах горимыг дэмждэг тусгай драйверуудаар солих явдал юм. Түүнээс гадна, програмын Линукс хувилбарын нэгэн адил драйверын тодорхой хувилбар нь сүлжээний адаптер суурилуулсан чипээс хамаарна. Жишээлбэл, бид Atheros AR5004 чип дээр суурилсан Gigabyte GN-WMAG утасгүй PCMCIA адаптерийг ашиглахдаа WildPackets-ийн драйверийн 5.2.1.1 хувилбарыг ашигласан.

Aircrack-ng багцын Windows хувилбарыг ашиглан утасгүй сүлжээг хакердах журам нь маш энгийн бөгөөд уг багцын Линукс хувилбарыг ашиглан утасгүй сүлжээг хакердах процедурыг үзэл баримтлалын хувьд давтдаг. Уламжлал ёсоор үүнийг сүлжээний талаарх мэдээлэл цуглуулах, пакетуудыг саатуулах, дүн шинжилгээ хийх гэсэн гурван үе шаттайгаар гүйцэтгэдэг.

Энэ хэрэгсэлтэй ажиллаж эхлэхийн тулд та Aircrack-ng GUI.exe файлыг ажиллуулах хэрэгтэй бөгөөд энэ нь тохиромжтой график интерфэйстэй бөгөөд үнэндээ aircrack-ng 0.6.2-win-д багтсан бүх хэрэгслүүдийн график бүрхүүл юм. багц. Програмын үндсэн цонх (Зураг 7) хэд хэдэн табтай бөгөөд тэдгээрийн хооронд шилжих замаар шаардлагатай хэрэгслүүдийг идэвхжүүлж болно.

Цагаан будаа. 7. Aircrack-ng GUI хэрэгслийн үндсэн цонх

Сүлжээний талаар шаардлагатай мэдээллийг цуглуулахын тулд та airdump-ng таб руу очих хэрэгтэй бөгөөд үүний дараа airdump-ng 0.6.2 хэрэгсэл тусдаа цонхонд нээгдэнэ.

Та airdump-ng 0.6.2 програмыг ажиллуулахад (Зураг 8) харилцах цонх нээгдэх бөгөөд үүнд утасгүй сүлжээний адаптер (Сүлжээний интерфейсийн индексийн дугаар), сүлжээний интерфейсийн төрөл (o/a) чип, утасгүй сувгийн дугаарын холбоо (Сувгууд: 1-ээс 14 хүртэл, 0=бүгд) (хэрэв сувгийн дугаар тодорхойгүй бол та бүх сувгийг сканнердаж болно). Нэмж дурдахад, баригдсан пакетууд хадгалагдаж буй гаралтын файлын нэрийг (Гаралтын файлын нэрийн угтвар) зааж өгсөн бөгөөд бүх пакетуудыг (CAP файлууд) эсвэл эхлүүлэх вектор бүхий пакетуудын зөвхөн хэсгийг авах шаардлагатай эсэхийг зааж өгсөн болно. (IVS файлууд) (Зөвхөн WEP IV (y/n) бичнэ үү). WEP шифрлэлтийн тусламжтайгаар нууц түлхүүрийг сонгохын тулд зөвхөн IVS файл үүсгэхэд хангалттай, гэхдээ WPA-PSK шифрлэлтийг ашиглах үед танд дээд файл хэрэгтэй болно. Анхдагч байдлаар, IVS эсвэл CAP файлууд нь airdump-ng 0.6.2 програмтай ижил санд үүсгэгддэг.

Цагаан будаа. 8. airdump-ng 0.6.2 хэрэгслийг тохируулах

Airodump-ng 0.6.2 хэрэгслийн бүх сонголтуудыг тохируулсны дараа мэдээллийн цонх нээгдэх бөгөөд энэ нь илэрсэн утасгүй хандалтын цэгүүдийн мэдээлэл, сүлжээний үйлчлүүлэгчдийн мэдээлэл, саатуулсан пакетуудын статистик мэдээллийг харуулах болно (Зураг 9).

Цагаан будаа. 9. airodump-ng 0.6.2 хэрэгслийн мэдээллийн цонх

Хэрэв хэд хэдэн хандалтын цэг байгаа бол тэдгээрийн статистикийг харуулах болно.

Эхний алхам бол хандалтын цэгийн MAC хаяг, утасгүй сүлжээний SSID болон түүнд холбогдсон үйлчлүүлэгчдийн аль нэгний MAC хаягийг (хэрэв хэд хэдэн байгаа бол) бичих явдал юм. Дараа нь та хангалттай тооны пакетуудыг саатуулах хүртэл хүлээх хэрэгтэй. Пакет барих процессыг (хэрэгслийн ажиллагаа) зогсоохын тулд Ctrl+C товчлуурын хослолыг ашиглана уу. Багцын Windows хувилбар нь хандалтын цэг болон сүлжээний үйлчлүүлэгчийн хоорондох урсгалыг хүчээр нэмэгдүүлэх аргуудыг өгдөггүй гэдгийг анхаарна уу (багцын Линукс хувилбар нь aireplay-ng хэрэгслийг өгдөг гэдгийг санаарай).

Aircrack-ng GNU 0.6.2 програмын Windows хувилбарыг ашиглан WPA-PSK сүлжээг хакердах үед тулгардаг гол асуудал бол сүлжээн дэх үйлчлүүлэгчийг эхлүүлэх процедурыг CAP файлд оруулсан байх ёстой, өөрөөр хэлбэл та отолтонд суух хэрэгтэй болно. ажиллаж байгаа airodump-ng программтай. Сүлжээний үйлчлүүлэгчийг эхлүүлэх процедурыг CAP файлд авсны дараа та airodump програмыг зогсоож, шифрлэх процессыг эхлүүлж болно. Үнэн хэрэгтээ энэ тохиолдолд нууц түлхүүрийг тооцоолоход зөвхөн нэвтрэх цэг ба үйлчлүүлэгчийн хооронд дамжуулагдсан пакетуудыг ашигладаг тул саатуулсан пакетуудыг хуримтлуулах шаардлагагүй болно.

WEP шифрлэлтийн хувьд гаралтын IVS файлыг үүсгэсний дараа та aircrack-ng 0.6.2 хэрэгслийг ашиглан дүн шинжилгээ хийж эхлэх бөгөөд үүнийг эхлүүлэхийн тулд Aircrack-ng GUI програмын үндсэн цонхыг дахин нээх хэрэгтэй. тохирох таб болон aircrack-ng хэрэгслийг тохируулна уу. WEP шифрлэлтийн тусламжтайгаар хэрэгслийг тохируулах нь WEP түлхүүрийн уртыг тохируулах, утасгүй сүлжээний ESSID-ийг зааж өгөх, хандалтын цэгийн MAC хаягийг тохируулах, зарим төрлийн халдлагыг (RoreK халдлага) оруулахгүй байх, шаардлагатай бол тохируулах, түлхүүрт ашигласан тэмдэгтийн багц гэх мэт. Энэ хэрэгслийн Линукс хувилбартай адил бүх тохиргоог энд оруулсан болно. Цорын ганц ялгаа нь Линукс хувилбарт бүх тохиргоог командын мөрөнд сонголтоор зааж өгсөн байдаг бол Windows хувилбарт хэрэгслийг тохируулахад тохиромжтой график интерфэйсийг ашигладаг (Зураг 10).

Цагаан будаа. 11. IVS файлын шинжилгээний үр дүн
aircrack-ng 0.6.2 хэрэгсэл

IVS файлын шинжилгээний үр дүнг Зураг дээр үзүүлэв. 11. KEY FOUND гэсэн мөр нь юу л бол! сэтгэгдэл хэрэгтэй байна. Анхаарна уу: нууц түлхүүрийг ердөө 1 секундын дотор тооцоолсон!

Aircrack-ng 0.6.2 хэрэгслийн тохиргоонд WPA-PSK шифрлэлтийг ашиглахдаа IVS файл биш харин CAP файлыг гаралтын файл болгон ашиглах шаардлагатай. Нэмж дурдахад, та aircrack-ng 0.6.2 програмын санд урьдчилан суулгасан, хакердахад ашигладаг толь бичигт хүрэх замыг зааж өгөх хэрэгтэй (Зураг 12).

Цагаан будаа. 12. ivs файлын шинжилгээний үр дүн
aircrack-ng 0.6.2 хэрэгсэл

CAP файлын шинжилгээний үр дүнг Зураг дээр үзүүлэв. 13. Гэсэн хэдий ч нууц үг нь шинжлэгдсэн толь бичигт байгаа тохиолдолд л түлхүүр хайлтын эерэг үр дүн гарах боломжтой гэдгийг санах нь зүйтэй.

Цагаан будаа. 13. CAP файлын шинжилгээний үр дүн

MAC хаягийн шүүлтүүр хамгаалалтыг алгасах

Өгүүллийн эхэнд бид WEP болон WPA-PSK шифрлэлтээс гадна сүлжээний далд горим, MAC хаягийн шүүлтүүр гэх мэт функцуудыг ихэвчлэн ашигладаг болохыг тэмдэглэсэн. Эдгээрийг уламжлалт байдлаар утасгүй хамгаалалтын функц гэж ангилдаг.

Бид өмнө нь aircrack-ng багцын талаар харуулсан тул далд сүлжээ танигч горимд огт найдах боломжгүй. Бидний дурдсан airodump-ng хэрэгсэл нь танд сүлжээний SSID-г харуулсаар байх бөгөөд үүнийг дараа нь сүлжээнд холбогдох профайл (зөвшөөрөлгүй!) үүсгэхэд ашиглаж болно.

Хэрэв бид MAC хаягаар шүүх гэх мэт аюулгүй байдлын арга хэмжээний талаар ярих юм бол энд бүх зүйл маш энгийн. Интернет дээр та сүлжээний интерфэйсийн MAC хаягийг солих боломжийг олгодог Линукс болон Windows-ийн аль алинд нь маш олон янзын хэрэгслийг олох боломжтой. Жишээ болгон бид Windows-ийн дараах хэрэгслүүдийг дурдаж болно: SMAC 2.0 (төлбөртэй хэрэгсэл, http://www.klcconsulting.net/smac), MAC MakeUP (үнэгүй хэрэгсэл, www.gorlani.com/publicprj/macmakeup/macmakeup.asp). - зураг 14) эсвэл MAC Spoofer 2006 (үнэгүй хэрэгсэл).

Цагаан будаа. 14. MAC MakeUP хэрэглүүрийг ашиглан MAC хаягийг хууран мэхлэх

Ийм орлуулалтыг хийсний дараа та өөрийн гэсэн дүр эсгэж, утасгүй сүлжээнд зөвшөөрөлгүй нэвтрэх боломжтой болно. Түүгээр ч зогсохгүй үйлчлүүлэгчид (бодит ба урилгагүй) хоёулаа ижил MAC хаягтай нэг сүлжээнд тайван байх болно, үүнээс гадна энэ тохиолдолд урилгагүй зочин нь жинхэнэ сүлжээний үйлчлүүлэгчтэй яг ижил IP хаягийг өгөх болно.

дүгнэлт

Тиймээс WEP шифрлэлт дээр суурилсан утасгүй сүлжээний аюулгүй байдлын системийг бүхэлд нь даван туулах нь тийм ч хэцүү биш юм. WEP протокол аль хэдийн нас барсан тул үүнийг ашиглаагүй тул энэ нь хамааралгүй гэж олон хүн хэлэх байх. Үүнийг илүү бат бөх WPA протоколоор сольсон. Гэсэн хэдий ч дүгнэлт хийх гэж яарах хэрэггүй. Энэ үнэн, гэхдээ зөвхөн хэсэгчлэн. Баримт нь зарим тохиолдолд утасгүй сүлжээний хүрээг нэмэгдүүлэхийн тулд хэд хэдэн хандалтын цэг дээр үндэслэн тархсан утасгүй сүлжээг (WDS) ашигладаг. Хамгийн сонирхолтой зүйл бол ийм сүлжээнүүд нь WPA протоколыг дэмждэггүй бөгөөд энэ тохиолдолд цорын ганц зөвшөөрөгдөх аюулгүй байдлын арга хэмжээ бол WEP шифрлэлтийг ашиглах явдал юм. Энэ тохиолдолд WDS сүлжээнүүд нь нэг хандалтын цэг дээр суурилсан сүлжээнүүдтэй яг ижил аргаар хакерддаг. Нэмж дурдахад, утасгүй модулиар тоноглогдсон PDA нь WPA протоколыг дэмждэггүй тул PDA-д суурилсан үйлчлүүлэгчийг утасгүй сүлжээнд оруулахын тулд та WEP протоколыг ашиглах ёстой. Тиймээс WEP протокол нь утасгүй сүлжээнд удаан хугацаанд эрэлт хэрэгцээтэй байх болно.

Бидний авч үзсэн утасгүй сүлжээг хакердсан жишээнүүд нь тэдний эмзэг байдлыг маш тодорхой харуулж байна. Хэрэв бид WEP протоколын талаар ярих юм бол үүнийг "төөрөгдөлгүй" хамгаалалттай харьцуулж болно. Энэ нь машины дохиололтой адил зүйл бөгөөд зөвхөн энэ нь таныг хулигануудаас аварна. MAC хаягийг шүүх, далд сүлжээ танигч горим гэх мэт урьдчилан сэргийлэх арга хэмжээний хувьд тэдгээрийг огт хамгаалалт гэж үзэх боломжгүй юм. Гэсэн хэдий ч бусад арга хэмжээнүүдтэй хослуулсан ч гэсэн ийм хэрэгслийг үл тоомсорлож болохгүй.

WPA протокол нь хэдийгээр хагарах нь илүү хэцүү боловч эмзэг байдаг. Гэсэн хэдий ч сэтгэлээ бүү алдаарай - бүх зүйл тийм ч найдваргүй биш юм. WPA нууц түлхүүрийг хакердах амжилт нь толь бичигт байгаа эсэхээс хамаарна. Бидний ашигладаг стандарт толь бичиг нь ердөө 40 МБ хэмжээтэй бөгөөд энэ нь ерөнхийдөө тийм ч их биш юм. Гурван оролдлогын дараа бид толь бичигт байхгүй түлхүүрийг олж чадсан бөгөөд сүлжээг хакердах боломжгүй болсон. Энэ толь бичгийн үгийн тоо ердөө 6,475,760 байгаа нь мэдээжийн хэрэг маш бага. Та илүү том багтаамжтай толь бичгүүдийг ашиглаж болно, жишээлбэл, Интернет дээр та гурван CD дээр толь бичгийг захиалж болно, өөрөөр хэлбэл бараг 2 ГБ хэмжээтэй, гэхдээ бүх боломжит нууц үгийг агуулаагүй болно. Үнэн хэрэгтээ англи цагаан толгойн 26 үсэг (том үсгийн мэдрэмжтэй), арван тоо, орос цагаан толгойн 32 үсэг ашиглан үүсгэж болох 8-63 тэмдэгтийн урттай нууц үгийн тоог ойролцоогоор тооцоолъё. Эндээс харахад тэмдэг бүрийг 126 янзаар сонгох боломжтой. Үүний дагуу хэрэв бид зөвхөн 8 тэмдэгтийн урттай нууц үгийг харгалзан үзвэл боломжит хослолын тоо 1268=6.3·1016 болно. Хэрэв 8 тэмдэгтээс бүрдэх үг бүрийн хэмжээ 8 байт бол ийм толь бичгийн хэмжээ 4,5 сая терабайт болно. Гэхдээ эдгээр нь зөвхөн найман тэмдгийн хослол юм! Хэрэв та 8-аас 63 тэмдэгт хүртэлх бүх боломжит хослолуудыг уншвал ямар төрлийн толь бичиг авах вэ?! Ийм толь бичгийн хэмжээ ойролцоогоор 1.2·10119 TB болно гэдгийг тооцоолохын тулд та математикч байх албагүй.

Тиймээс цөхрөх хэрэггүй. Таны ашиглаж буй нууц үг толь бичигт байхгүй байх магадлал өндөр байна. Зөвхөн нууц үг сонгохдоо утга учиртай үгсийг ашиглах ёсгүй. "FGproukqweRT4j563app" гэх мэт санамсаргүй тэмдэгтүүд байвал илүү дээр юм.

Зөвшөөрөлгүй хандалт - зохих эрх мэдэлгүйгээр мэдээллийг унших, шинэчлэх, устгах.

Зөвшөөрөлгүй хандалт нь дүрмээр бол хэн нэгний нэрийг ашиглах, төхөөрөмжийн физик хаягийг өөрчлөх, асуудлыг шийдсэний дараа үлдсэн мэдээллийг ашиглах, програм хангамж, мэдээллийг өөрчлөх, хадгалах хэрэгслийг хулгайлах, бичлэг хийх төхөөрөмж суурилуулах зэргээр хийгддэг.

Таны мэдээллийг амжилттай хамгаалахын тулд хэрэглэгч зөвшөөрөлгүй нэвтрэх боломжит аргуудын талаар тодорхой ойлголттой байх ёстой. Зөвшөөрөлгүйгээр мэдээлэл олж авах үндсэн арга замууд:

· хадгалах хэрэгсэл, үйлдвэрлэлийн хог хаягдлыг хулгайлах;

· Хамгаалалтын арга хэмжээг даван туулах замаар хадгалах хэрэгслийг хуулбарлах;

· Бүртгэлтэй хэрэглэгчийн дүрд хувирах;

· хууран мэхлэлт (системийн хүсэлтээр далдлах);

· үйлдлийн систем болон програмчлалын хэлний дутагдлыг ашиглах;

· "Трояны морь" төрлийн програм хангамжийн хавчуурга, програм хангамжийн блок ашиглах;

· электрон цацрагийг саатуулах;

· акустик цацрагийг таслан зогсоох;

· алсаас гэрэл зураг авах;

· сонсох төхөөрөмж ашиглах;

· хамгаалах механизмыг хорлонтойгоор идэвхгүй болгох гэх мэт.

Мэдээллийг зөвшөөрөлгүй нэвтрэхээс хамгаалахын тулд дараахь зүйлийг ашигладаг.

1) зохион байгуулалтын арга хэмжээ;

2) техникийн хэрэгсэл;

3) програм хангамж;

4) шифрлэлт.

Зохион байгуулалтын арга хэмжээнд дараахь зүйлс орно.

· нэвтрэх горим;

· зөөвөрлөгч, төхөөрөмжийг сейфэнд (уян диск, дэлгэц, гар гэх мэт) хадгалах;

· компьютерийн өрөөнд хүмүүсийн нэвтрэх эрхийг хязгаарлах гэх мэт.

Техникийн хэрэгсэлд дараахь зүйлс орно.

· шүүлтүүр, тоног төхөөрөмжийн дэлгэц;

· гарыг түгжих товчлуур;

· баталгаажуулах төхөөрөмж – хурууны хээ, гарын хэлбэр, цахилдаг, шивэх хурд, техник гэх мэтийг унших;

· микро схем дээрх электрон түлхүүр гэх мэт.

Програм хангамжийн хэрэгслүүд нь:

· нууц үгээр нэвтрэх – хэрэглэгчийн зөвшөөрлийг тохируулах;

· Norton Utilites багцын Diskreet хэрэгслийн товчлуурын хослолыг ашиглан дэлгэц болон гарыг түгжих;

· BIOS-ийн нууц үг хамгаалах хэрэгслийг ашиглах - BIOS өөрөө болон бүхэлд нь компьютер дээр гэх мэт.

Шифрлэлт гэдэг нь нээлттэй мэдээллийг гадны хүмүүст нэвтрэх боломжгүй шифрлэгдсэн мэдээлэл болгон хувиргах (кодлох) юм. Мессежийг шифрлэх, тайлах аргыг криптологийн шинжлэх ухаан судалдаг бөгөөд түүний түүх нь дөрвөн мянга орчим жилийн түүхтэй.

2.5. Утасгүй сүлжээн дэх мэдээллийг хамгаалах

Орчин үеийн сүлжээнд утасгүй шийдлүүдийг хэрэгжүүлэх гайхалтай хурдац нь биднийг өгөгдөл хамгаалах найдвартай байдлын талаар бодоход хүргэдэг.

Утасгүй өгөгдөл дамжуулах зарчим нь хандалтын цэгүүдэд зөвшөөрөлгүй холбогдох боломжийг агуулдаг.

Үүнтэй адил аюултай аюул бол тоног төхөөрөмж хулгайлах магадлал юм. Хэрэв утасгүй сүлжээний аюулгүй байдлын бодлого нь MAC хаягууд дээр суурилдаг бол халдагчийн хулгайлсан сүлжээний карт эсвэл хандалтын цэг нь сүлжээнд нэвтрэх боломжийг нээж болно.

Ихэнхдээ нэвтрэх цэгүүдийг LAN-д зөвшөөрөлгүй холбох ажлыг хамгаалалтын талаар боддоггүй аж ахуйн нэгжийн ажилтнууд өөрсдөө хийдэг.

Ийм асуудлыг цогцоор нь шийдэх хэрэгтэй. Зохион байгуулалтын арга хэмжээг тодорхой сүлжээ бүрийн үйл ажиллагааны нөхцөл дээр үндэслэн сонгоно. Техникийн арга хэмжээний хувьд төхөөрөмжүүдийг заавал харилцан баталгаажуулах, идэвхтэй хяналтыг нэвтрүүлэх замаар маш сайн үр дүнд хүрдэг.

2001 онд WEP шифрлэлтийг даван туулах боломжтой драйверууд болон програмуудын анхны хэрэгжилт гарч ирэв. Хамгийн амжилттай нь PreShared Key юм. Гэхдээ найдвартай шифрлэлт, өндөр чанартай нууц үгийг тогтмол сольж байх тохиолдолд л сайн хэрэг болно (Зураг 1).

Зураг 1 - Шифрлэгдсэн өгөгдөлд дүн шинжилгээ хийх алгоритм

Орчин үеийн хамгаалалтын шаардлага

Баталгаажуулалт

Одоогийн байдлаар янз бүрийн сүлжээний тоног төхөөрөмж, түүний дотор утасгүй төхөөрөмжүүдэд 802.1x стандартад тодорхойлсон илүү орчин үеийн баталгаажуулалтын аргыг өргөн ашигладаг - харилцан баталгаажуулалт хийх хүртэл хэрэглэгч ямар ч мэдээлэл хүлээн авах, дамжуулах боломжгүй.

Хэд хэдэн хөгжүүлэгчид төхөөрөмждөө баталгаажуулахын тулд EAP-TLS болон PEAP протоколуудыг ашигладаг.

Орчин үеийн баталгаажуулалтын бүх аргууд нь динамик түлхүүрүүдийн дэмжлэгийг шаарддаг.

LEAP болон EAP-FAST-ийн гол сул тал нь эдгээр протоколуудыг ихэвчлэн Cisco Systems төхөөрөмжид дэмждэг (Зураг 2).

Зураг 2 - TKIP-PPK, MIC болон WEP шифрлэлт ашиглан 802.11x багцын бүтэц.

Шифрлэлт ба бүрэн бүтэн байдал

Cisco Systems 802.11i зөвлөмжид үндэслэн TCIP (Temporal Integrity Protocol) протоколыг хэрэгжүүлсэн бөгөөд энэ нь пакет бүр дэх PPK шифрлэлтийн түлхүүрийг (Per Packet Anahtaring) өөрчлөх, MIC мессежийн бүрэн бүтэн байдлыг хянах (Message Integrity Check) юм.

Өөр нэг ирээдүйтэй шифрлэлт ба бүрэн бүтэн байдлын протокол бол AES (Advanced Encryption Standard) юм. Энэ нь DES болон ГОСТ 28147-89-тай харьцуулахад илүү сайн криптографийн хүч чадалтай. Энэ нь шифрлэлт болон бүрэн бүтэн байдлыг хангадаг.

Үүнд ашигласан алгоритм (Rijndael) нь хэрэгжүүлэх эсвэл ажиллуулах явцад их хэмжээний нөөц шаарддаггүй бөгөөд энэ нь өгөгдлийн хоцрогдол, процессорын ачааллыг бууруулахад маш чухал юм.

Утасгүй дотоод сүлжээний аюулгүй байдлын стандарт нь 802.11i юм.

Wi-Fi Protected Access (WPA) стандарт нь 802.11x сүлжээнд мэдээллийн хамгаалалтыг хэрэгжүүлэхийг баталгаажуулдаг дүрмийн багц юм. 2003 оны 8-р сараас хойш WPA стандартыг дагаж мөрдөх нь Wi-Fi гэрчилгээжсэн гэж баталгаажуулсан тоног төхөөрөмжид заавал тавигдах шаардлага болсон.

WPA-ийн техникийн үзүүлэлт нь өөрчлөгдсөн TKOP-PPK протоколыг агуулдаг. Шифрлэлт нь хэд хэдэн түлхүүрүүдийн хослолыг ашиглан хийгддэг - одоогийн болон дараагийн түлхүүрүүд. Энэ тохиолдолд IV-ийн уртыг 48 бит хүртэл нэмэгдүүлнэ. Энэ нь мэдээллийг хамгаалах нэмэлт арга хэмжээг хэрэгжүүлэх, тухайлбал, дахин нэгдэх, дахин баталгаажуулах шаардлагыг чангатгах боломжийг олгодог.

Үзүүлэлтүүд нь 802.1x/EAP-ийн дэмжлэг, хуваалцсан түлхүүрийн баталгаажуулалт, мэдээжийн хэрэг, түлхүүрийн менежментийг багтаасан болно.

Хүснэгт 3 - Аюулгүй байдлын бодлогыг хэрэгжүүлэх арга

Индекс
Орчин үеийн үйлдлийн системийн дэмжлэг
Програм хангамжийн нарийн төвөгтэй байдал, баталгаажуулалтын нөөцийн эрчим
Хяналтын хүндрэл
Ганц нэвтрэх (Windows дээр нэг удаа нэвтрэх)
Динамик түлхүүрүүд
Нэг удаагийн нууц үг

3-р хүснэгтийн үргэлжлэл

Орчин үеийн тоног төхөөрөмж, программ хангамжийг ашигласан тохиолдолд 802.11x цувралын стандартад суурилсан аюулгүй, халдлагад тэсвэртэй утасгүй сүлжээг бий болгох бүрэн боломжтой болсон.

Бараг үргэлж утасгүй сүлжээ нь утастай холбогдсон байдаг бөгөөд энэ нь утасгүй сувгийг хамгаалах хэрэгцээ шаардлагаас гадна утастай сүлжээнд хамгаалалт хийх шаардлагатай байдаг. Үгүй бол сүлжээ нь хуваагдмал хамгаалалттай байх бөгөөд энэ нь үндсэндээ аюулгүй байдлын эрсдэл юм. Wi-Fi гэрчилгээтэй, өөрөөр хэлбэл WPA-тай нийцэж байгааг баталгаажуулсан тоног төхөөрөмжийг ашиглахыг зөвлөж байна.

Бид 802.11x/EAP/TKIP/MIC болон динамик түлхүүрийн менежментийг хэрэгжүүлэх хэрэгтэй. Холимог сүлжээний хувьд VLAN ашиглах ёстой; Хэрэв гадаад антен байгаа бол VPN виртуал хувийн сүлжээний технологийг ашигладаг.

Протокол, программ хангамжийг хамгаалах аргуудаас гадна захиргааны аргуудыг хослуулах шаардлагатай.

Бидний үед гэрийн Wi-Fi сүлжээг хамгаалахаас илүү чухал зүйл юу байж болох вэ :) Энэ бол маш алдартай сэдэв бөгөөд зөвхөн энэ сайт дээр нэгээс олон нийтлэл бичсэн байдаг. Би энэ сэдвээр шаардлагатай бүх мэдээллийг нэг хуудсанд цуглуулахаар шийдсэн. Одоо бид Wi-Fi сүлжээг хамгаалах асуудлыг нарийвчлан авч үзэх болно. Би танд Wi-Fi-г нууц үгээр хэрхэн хамгаалах, өөр өөр үйлдвэрлэгчийн чиглүүлэгчид үүнийг хэрхэн зөв хийх, шифрлэлтийн ямар аргыг сонгох, нууц үгээ хэрхэн сонгох, нууц үг байгаа бол юу мэдэх хэрэгтэйг зааж өгөх болно. утасгүй сүлжээний нууц үгээ солихоор төлөвлөж байна.

Энэ нийтлэлд бид яг таг ярих болно гэрийн утасгүй сүлжээгээ хамгаалах талаар. Зөвхөн нууц үгийн хамгаалалтын талаар. Хэрэв бид оффис дахь зарим томоохон сүлжээнүүдийн аюулгүй байдлыг авч үзвэл аюулгүй байдалд арай өөрөөр хандах нь дээр (наад зах нь өөр баталгаажуулалтын горим). Хэрэв та Wi-Fi сүлжээгээ хамгаалахад нэг нууц үг хангалтгүй гэж бодож байгаа бол би танд төвөг учруулахгүй байхыг зөвлөж байна. Эдгээр зааврыг ашиглан сайн, нарийн төвөгтэй нууц үг тохируулж, санаа зовох хэрэггүй. Хэн нэгэн таны сүлжээг хакердахын тулд цаг хугацаа, хүчин чармайлт гаргахгүй байх магадлал багатай. Тиймээ, та жишээ нь сүлжээний нэрийг (SSID) нууж, MAC хаягаар шүүлтийг тохируулж болно, гэхдээ эдгээр нь шаардлагагүй асуудал бөгөөд бодит байдал дээр утасгүй сүлжээнд холбогдох, ашиглахад таагүй байдал үүсгэдэг.

Хэрэв та Wi-Fi-аа хамгаалах эсвэл сүлжээгээ нээлттэй орхих талаар бодож байгаа бол үүнийг хамгаалах цорын ганц шийдэл байж болно. Тиймээ, интернет хязгааргүй бөгөөд гэртээ байгаа бараг бүх хүн өөрийн чиглүүлэгчтэй байдаг, гэхдээ эцэст нь хэн нэгэн таны сүлжээнд холбогдох болно. Нэмэлт үйлчлүүлэгчид нь чиглүүлэгчид нэмэлт ачаалал өгдөг учраас бидэнд яагаад хэрэгтэй байна вэ? Хэрэв энэ нь үнэтэй биш бол энэ ачааллыг тэсвэрлэх чадваргүй болно. Мөн хэн нэгэн таны сүлжээнд холбогдвол таны файлд хандах боломжтой болно (дотоод сүлжээг тохируулсан бол), мөн чиглүүлэгчийнхээ тохиргоонд хандах боломжтой (эцсийн эцэст та хяналтын самбарыг хамгаалдаг стандарт админ нууц үгийг өөрчлөөгүй байх магадлалтай).

Wi-Fi сүлжээгээ зөв (орчин үеийн) шифрлэлтийн аргаар сайн нууц үгээр хамгаалахаа мартуузай. Чиглүүлэгчийг тохируулахдаа хамгаалалтыг нэн даруй суулгахыг зөвлөж байна. Мөн нууц үгээ үе үе сольж байх нь зүйтэй.

Хэрэв та хэн нэгэн таны сүлжээг хакердах вий гэж санаа зовж байгаа эсвэл аль хэдийн үүнийг хийсэн бол нууц үгээ солиод тайван амьдар. Дашрамд хэлэхэд, та чиглүүлэгчийнхээ хяналтын самбарт нэвтэрсэн хэвээр байгаа тул чиглүүлэгчийн тохиргоог оруулахад ашигладаг .

Гэрийнхээ Wi-Fi сүлжээг зохих ёсоор хамгаалах: шифрлэлтийн аль аргыг сонгох вэ?

Нууц үг тохируулах явцад та Wi-Fi сүлжээний шифрлэлтийн аргыг сонгох шаардлагатай (баталгаажуулах арга). Би зөвхөн суулгахыг зөвлөж байна WPA2 - Хувийн, шифрлэлтийн алгоритмтай AES. Гэрийн сүлжээний хувьд энэ нь хамгийн сүүлийн үеийн, найдвартай шийдэл юм. Энэ нь чиглүүлэгч үйлдвэрлэгчдийн суулгахыг зөвлөдөг яг ийм төрлийн хамгаалалт юм.

Зөвхөн нэг нөхцөлд танд Wi-Fi-д холбогдохыг хүссэн хуучин төхөөрөмж байхгүй байна. Хэрэв тохируулсны дараа таны хуучин төхөөрөмжүүд утасгүй сүлжээнд холбогдохоос татгалзвал та протокол суулгаж болно WPA (TKIP шифрлэлтийн алгоритмтай). Би WEP протоколыг суулгахыг зөвлөдөггүй, учир нь энэ нь аль хэдийн хуучирсан, аюулгүй биш бөгөөд амархан хакердагдах боломжтой. Тиймээ, шинэ төхөөрөмжүүдийг холбоход асуудал гарч болзошгүй.

Протоколын хослол WPA2 - AES шифрлэлт бүхий хувийн, энэ нь гэрийн сүлжээнд хамгийн тохиромжтой сонголт юм. Түлхүүр өөрөө (нууц үг) дор хаяж 8 тэмдэгттэй байх ёстой. Нууц үг нь англи үсэг, тоо, тэмдэгтээс бүрдэх ёстой. Нууц үг нь том жижиг үсгийн мэдрэмжтэй. Өөрөөр хэлбэл, "111AA111" болон "111aa111" нь өөр нууц үг юм.

Би танд ямар чиглүүлэгч байгааг мэдэхгүй байгаа тул хамгийн алдартай үйлдвэрлэгчдэд зориулсан жижиг зааварчилгаа бэлтгэх болно.

Хэрэв нууц үгээ сольсон эсвэл тохируулсны дараа төхөөрөмжөө утасгүй сүлжээнд холбоход асуудал гарвал энэ нийтлэлийн төгсгөлд байгаа зөвлөмжийг үзнэ үү.

Би танд тохируулах нууц үгээ даруй бичихийг зөвлөж байна. Хэрэв та үүнийг мартсан бол шинээр суулгах хэрэгтэй болно, эсвэл .

Tp-Link чиглүүлэгчид Wi-Fi-г нууц үгээр хамгаалах

Чиглүүлэгчтэй холбогдож байна (кабель эсвэл Wi-Fi-аар), дурын хөтчийг ажиллуулаад 192.168.1.1 эсвэл 192.168.0.1 хаягийг нээнэ үү. (таны чиглүүлэгчийн хаяг, мөн стандарт хэрэглэгчийн нэр, нууц үгийг төхөөрөмжийн доод талд байгаа наалт дээр заасан болно). Хэрэглэгчийн нэр, нууц үгээ оруулна уу. Анхдагч байдлаар эдгээр нь админ ба админ юм. -д би тохиргоог оруулах талаар илүү дэлгэрэнгүй тайлбарласан.

Тохиргоо хэсэгт таб руу очно уу Утасгүй(Утасгүй горим) - Утасгүй аюулгүй байдал(Утасгүй аюулгүй байдал). Хамгаалалтын аргын хажууд байгаа нүдийг шалгана уу WPA/WPA2 - Хувийн (санал болгосон). Унждаг цэсэнд Хувилбар(хувилбар) сонгоно уу WPA2-PSK. Цэс дээр Шифрлэлт(шифрлэлт) суулгана AES. Талбайд Утасгүй нууц үг(PSK Нууц үг) Сүлжээгээ хамгаалах нууц үг оруулна уу.

Asus чиглүүлэгчид нууц үг тохируулах

Тохиргоонд бид табыг нээх хэрэгтэй Утасгүй сүлжээ, дараах тохиргоог хийнэ үү:

• "Баталгаажуулах арга" унадаг цэснээс WPA2 - Хувийн хэсгийг сонгоно уу.
• "WPA шифрлэлт" - AES суулгана уу.
• "WPA Pre-Shared Key" талбарт манай сүлжээний нууц үгийг бичнэ үү.

Тохиргоог хадгалахын тулд товчлуур дээр дарна уу Өргөдөл гаргах.

Төхөөрөмжөө шинэ нууц үгээр сүлжээнд холбоно уу.

Таны D-Link чиглүүлэгчийн утасгүй сүлжээг хамгаалах

192.168.0.1 дээр D-Link чиглүүлэгчийнхээ тохиргоо руу очно уу. Та нарийвчилсан зааврыг харж болно. Тохиргоо хэсэгт табыг нээнэ үү WiFi - Аюулгүй байдлын тохиргоо. Доорх дэлгэцийн зурган дээрх шиг хамгаалалтын төрөл, нууц үгээ тохируулна уу.

Бусад чиглүүлэгчид нууц үг тохируулах

Мөн бид ZyXEL болон Tenda чиглүүлэгчийн нарийвчилсан заавартай. Холбоосуудыг үзнэ үү:

Хэрэв та чиглүүлэгчийнхээ зааварчилгааг олоогүй бол чиглүүлэгчийнхээ хяналтын самбарын аюулгүй байдлын тохиргоо, утасгүй сүлжээ, Wi-Fi, утасгүй гэх мэт тохиргоо хэсэгт Wi-Fi сүлжээний хамгаалалтыг тохируулж болно. Би үүнийг олж чадна гэж бодож байна, энэ нь хэцүү биш байх болно. Та ямар тохиргоог хийхээ аль хэдийн мэдэж байгаа гэж бодож байна: WPA2 - Хувийн болон AES шифрлэлт. За, энэ бол түлхүүр юм.

Хэрэв та үүнийг олж чадахгүй бол сэтгэгдэл дээр асуугаарай.

Суулгасны дараа эсвэл нууц үгээ өөрчилсний дараа төхөөрөмжүүд холбогдоогүй бол яах вэ?

Ихэнхдээ суулгасны дараа, ялангуяа нууц үгээ өөрчилсний дараа таны сүлжээнд өмнө нь холбогдсон төхөөрөмжүүд холбогдохыг хүсдэггүй. Компьютер дээр эдгээр нь ихэвчлэн "Энэ компьютер дээр хадгалагдсан сүлжээний тохиргоо энэ сүлжээний шаардлагад нийцэхгүй байна" болон "Windows холбогдож чадсангүй..." гэсэн алдаанууд байдаг. Таблет болон ухаалаг утас (Android, iOS) дээр "Сүлжээнд холбогдож чадсангүй", "Холбогдсон, хамгаалагдсан" гэх мэт алдаа гарч болно.

Эдгээр асуудлыг зүгээр л утасгүй сүлжээг устгаад шинэ нууц үгээр дахин холбох замаар шийдэж болно. Би Windows 7 дээр сүлжээг хэрхэн устгах талаар бичсэн. Хэрэв танд Windows 10 байгаа бол "сүлжээг" ашиглан "сүлжээг мартах" хэрэгтэй. Мобайл төхөөрөмж дээр сүлжээгээ удаан дараад сонгоно уу "Устгах".

Хэрэв хуучин төхөөрөмжүүдэд холболтын асуудал гарвал чиглүүлэгчийн тохиргоонд WPA аюулгүй байдлын протокол болон TKIP шифрлэлтийг тохируулна уу.