"...ความปลอดภัยของข้อมูลและเครือข่ายไร้สาย?
แต่แนวคิดเหล่านี้ไม่ใช่แนวคิดที่แยกจากกันใช่ไหม”
จากการสนทนาที่นิทรรศการ Svyazexpocom-2004"

อุปกรณ์สื่อสารไร้สายที่ใช้มาตรฐาน 802.11x กำลังเคลื่อนไหวอย่างรวดเร็วในตลาดอุปกรณ์เครือข่ายในปัจจุบัน ไม่น่าแปลกใจ: ความสะดวกในการใช้งานสำหรับผู้ใช้มือถือและกึ่งมือถือ, การจัดระเบียบฮอตสปอตเชิงพาณิชย์และองค์กร, "ไมล์สุดท้าย", การเชื่อมต่อเครือข่ายท้องถิ่น (LAN) ซึ่งกันและกัน - ทั้งหมดนี้ไม่ใช่รายการเหตุผลที่สมบูรณ์สำหรับการดำเนินการ โซลูชั่นดังกล่าว แท้จริงแล้ว จำนวนอุปกรณ์ 802.11x ที่ใช้งานทุกประเภทในโลกนั้นน่าประทับใจ: จากข้อมูลของ J"son & Partners จำนวนฮอตสปอตเพียงอย่างเดียว ณ สิ้นปี 2546 เกิน 43,000 และภายในสิ้นปี 2547 ก็ควรจะถึง 140,000 ส่วนแบ่งของรัสเซียในตัวชี้วัดเหล่านี้มีขนาดเล็ก แต่จำนวนเครือข่ายการสื่อสารไร้สาย (รวมถึงฮอตสปอต) กำลังเติบโตอย่างต่อเนื่องในประเทศของเราเรายังทราบด้วยว่าในประเทศของเรามากกว่า 80% ของเครือข่ายการสื่อสารไร้สายขององค์กรถูกสร้างขึ้นบน อุปกรณ์ “เก่าแก่ที่สุด” และใช้บ่อยที่สุด - Cisco Aironet

แต่ไม่ใช่แค่ตัวเลขเท่านั้นที่น่าประทับใจ สิ่งที่น่าประหลาดใจยิ่งกว่านั้นคือจำนวนความเข้าใจผิดที่เกี่ยวข้องกับการรับประกันการรับส่งข้อมูลที่ปลอดภัยในเครือข่ายดังกล่าว ความคิดเห็นที่หลากหลายที่สุดในที่นี้: ตั้งแต่ความไว้วางใจอย่างสมบูรณ์ในอุปกรณ์ใดๆ และการตั้งค่าใดๆ ไปจนถึงคุณลักษณะที่ไม่สวยงามอย่างที่เราอ้างถึงในบทความ

802.11x - ความไวต่อภัยคุกคามภายนอก

สาระสำคัญของการส่งข้อมูลแบบไร้สายนั้นเต็มไปด้วยความเป็นไปได้ของการเชื่อมต่อที่ไม่ได้รับอนุญาตไปยังจุดเข้าใช้งาน การสกัดกั้นข้อมูล และปัญหาอื่น ๆ การไม่มีสายเคเบิลซึ่งง่ายต่อการปกป้องในองค์กร ทำให้เกิดความรู้สึกเปิดกว้างและเข้าถึงได้ง่าย

เป็นเรื่องที่ควรค่าแก่การกล่าวถึงภัยคุกคามที่ "ไม่ใช่โปรโตคอล" ซึ่งเป็นพื้นฐานของปัญหา เมื่อพัฒนาเครือข่ายองค์กรไร้สาย ผู้ดูแลระบบจะให้ความสำคัญกับความครอบคลุมคุณภาพสูงของพื้นที่สำนักงานเป็นหลัก บ่อยครั้งที่ไม่มีใครคำนึงว่าแฮกเกอร์ที่ร้ายกาจสามารถเชื่อมต่อกับเครือข่ายได้โดยตรงจากรถที่จอดอยู่บนถนน นอกจากนี้ ยังมีสถานการณ์ที่โดยหลักการแล้ว ไม่สามารถขจัดความเป็นไปได้ที่จะ "ได้ยิน" การจราจรที่ส่งผ่านได้ ตัวอย่างคือเสาอากาศภายนอก อย่างไรก็ตาม ในประเทศ CIS การเชื่อมต่อสำนักงาน LAN เข้าด้วยกันโดยใช้ระบบไร้สายถือเป็นโซลูชันที่ได้รับความนิยมมาก

ภัยคุกคามที่อันตรายไม่แพ้กันคือความเป็นไปได้ที่จะถูกขโมยอุปกรณ์ หากนโยบายความปลอดภัยของเครือข่ายไร้สายขึ้นอยู่กับที่อยู่ MAC ส่วนประกอบใด ๆ (การ์ดเครือข่าย จุดเชื่อมต่อ) ที่ถูกขโมยโดยผู้โจมตีจะเปิดเครือข่ายนี้ทันที

และสุดท้ายคือปัญหาของผู้ใช้ที่ “ฉลาดเกินไป” บ่อยครั้งที่การเชื่อมต่อจุดเข้าใช้งานกับ LAN โดยไม่ได้รับอนุญาตเป็นงานของพนักงานขององค์กรเอง นอกจากนี้ การดำเนินการนี้ทำเพื่อความสะดวกในการทำงานเท่านั้น บางครั้งอาจมีเจตนาดีด้วยซ้ำ แน่นอนว่าพนักงานเหล่านี้ยังรับประกันการปกป้องข้อมูลเมื่อเชื่อมต่ออุปกรณ์ดังกล่าวเข้ากับเครือข่ายด้วยตนเองและไม่ได้จินตนาการถึงผลที่ตามมาของ "การป้องกันตัวเอง" ดังกล่าวเสมอไป

ปัญหาเหล่านี้และปัญหาที่คล้ายกันจำเป็นต้องได้รับการแก้ไขอย่างครอบคลุม โปรดทราบทันทีว่ามาตรการขององค์กรไม่ได้รับการพิจารณาภายในกรอบของบทความนี้ - มักถูกเลือกตามเงื่อนไขการทำงานของแต่ละเครือข่ายเฉพาะ สำหรับมาตรการทางเทคนิคนั้น การตรวจสอบความถูกต้องร่วมกันบังคับของอุปกรณ์และการแนะนำเครื่องมือควบคุมแบบแอคทีฟ (เช่น Observer 8.3, Airopeek NX 2.01, Wireless Sniffer 4.75) และแบบพาสซีฟ (เช่น APTools 0.1.0, xprobe 0.0.2) ให้ผลอย่างมาก ผลลัพธ์ที่ดี

ช่องโหว่ของวิธีการรักษาความปลอดภัย "เก่า"

คณะกรรมการ IEEE 802.11 มีส่วนร่วมในการปกป้องข้อมูลในเครือข่ายไร้สายมาโดยตลอด น่าเสียดายที่วิธีการที่ใช้ในการรับรองความปลอดภัยของเครือข่าย 802.11x ในขั้นตอนของการพัฒนาครั้งแรก (พ.ศ. 2540-2541) พูดง่ายๆ ก็คือไม่ประสบผลสำเร็จ รวมถึงการเข้ารหัสและการรับรองความถูกต้อง WEP (Wired Equivalent Privacy): ตามที่อยู่ MAC, Open และ PreShared Key

ลองพิจารณาวิธีการที่ระบุไว้ตามลำดับ โปรโตคอลการเข้ารหัส WEP แบบคลาสสิกซึ่งพัฒนาโดย RSA Data Security ใช้คีย์ 40 บิตที่เพิ่มลงในเวกเตอร์การเริ่มต้นที่สร้างขึ้น (IV ความยาวคือ 24 บิต) การใช้คีย์ผลลัพธ์ ข้อมูลผู้ใช้และเช็คซัมจะถูกเข้ารหัสโดยใช้อัลกอริธึม RC4 Vector IV ถูกส่งผ่านแบบชัดเจน

ข้อเสียประการแรกของวิธีนี้คือคีย์ 40 บิตไม่เพียงพอสำหรับความอุ่นใจ แม้แต่ DES ซึ่งมีคีย์ 56 บิตก็ยังได้รับการยอมรับมานานแล้วว่าไม่น่าเชื่อถือ ข้อเสียประการที่สองคือความไม่เปลี่ยนรูปของคีย์ การใช้สแตติกคีย์ช่วยลดปัญหาการแฮ็ก เนื่องจากคีย์ 40 บิตไม่น่าเชื่อถือ ฉันจึงอยากเปลี่ยนบ่อยกว่านี้ และสุดท้าย วิธีการเข้ารหัสเองก็เป็นเรื่องที่น่าสงสัยอย่างมาก ขนาดของ IV คือ 24 บิต ซึ่งหมายความว่าจะถูกทำซ้ำไม่เกิน 5 ชั่วโมง (ความยาวแพ็กเก็ต 1,500 ไบต์ ความเร็ว 11 Mbit/s)

Nikita Borisov, Ian Goldberg และ David Wagner เป็นคนแรกที่ศึกษาปัญหานี้และในปี 2544 การใช้งานไดรเวอร์และโปรแกรมครั้งแรกดูเหมือนจะรับมือกับการเข้ารหัส WEP เอกสารที่อธิบายช่องโหว่นี้เผยแพร่อยู่ที่: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.htm l

วิธีการรับรองความถูกต้องก็ไม่น่าเชื่อถือเช่นกัน ตัวอย่างเช่น ไม่มีค่าใช้จ่ายใด ๆ ที่จะ "ได้ยิน" ขั้นตอนการรับรองความถูกต้องทั้งหมดด้วยที่อยู่ MAC หลังจากนั้น ที่อยู่ MAC ในเฟรมจะถูกส่งโดยไม่มีการเข้ารหัส หากผู้โจมตีทราบเกี่ยวกับวิธีการรับรองความถูกต้องที่ยอมรับ เขาก็เกือบจะพร้อมที่จะเข้าสู่เครือข่ายแล้ว วิธีการที่ระบุไว้ที่เชื่อถือได้มากที่สุดคือ PreShared Key แต่จะดีก็ต่อเมื่อมีการเข้ารหัสอย่างปลอดภัยและแทนที่รหัสผ่านคุณภาพสูงเป็นประจำ

เป็นความเข้าใจผิดที่พบบ่อยว่าการใช้ Service Set ID (SSID) ที่ไม่ซ้ำกันจะป้องกันการเชื่อมต่อที่ไม่ได้รับอนุญาต อนิจจา SSID เหมาะสำหรับการแบ่งอุปกรณ์เครือข่ายออกเป็นกลุ่มทางลอจิคัลเท่านั้น - ไม่มีอะไรเพิ่มเติม สิ่งเดียวที่คุณทำได้กับ SSID คือทำให้แฮ็กเกอร์รุ่นเยาว์สับสนโดยใช้อักขระที่ "ไม่สามารถพิมพ์ได้" ตัวอย่างเช่น จุดเข้าใช้งาน (จุดเข้าใช้งาน, AP) จาก Cisco Systems ช่วยให้คุณสามารถทำเช่นนี้ได้ (คุณสามารถระบุอักขระที่รวมอยู่ใน SSID เป็นเลขฐานสิบหก - \xbd\xba)

ดังนั้นหากเราคำนึงถึงวัยรุ่นที่ "อยากรู้อยากเห็น" จำนวนมากที่มีแล็ปท็อปด้วย เครือข่ายการสื่อสารไร้สายก็จะเผชิญกับปัญหาในการป้องกันการโจมตี WEP ที่เกือบจะรับประกันได้อย่างหลีกเลี่ยงไม่ได้

การโจมตี WEP

ความยาวคีย์ไม่เพียงพอ การไม่มีการหมุนคีย์ และหลักการเข้ารหัส RC4 ดังที่อธิบายไว้ข้างต้น ทำให้สามารถจัดการการโจมตีแบบพาสซีฟที่มีประสิทธิภาพมากได้ นอกจากนี้ ผู้โจมตีไม่จำเป็นต้องดำเนินการใด ๆ ที่สามารถตรวจจับได้ เพียงแค่ฟังช่องสัญญาณก็เพียงพอแล้ว ในกรณีนี้ไม่จำเป็นต้องใช้อุปกรณ์พิเศษ - การ์ด WLAN ปกติที่ซื้อมาในราคา 20-25 ดอลลาร์ก็เพียงพอแล้วรวมถึงโปรแกรมที่จะสะสมแพ็กเก็ตบนฮาร์ดไดรฟ์จนกระทั่งค่าของเวกเตอร์ IV ตรงกัน เมื่อจำนวนแพ็กเก็ตเพียงพอ (โดยปกติคือตั้งแต่ 1 ล้านถึง 4 ล้าน) การคำนวณคีย์ WEP เป็นเรื่องง่าย หนึ่งในโปรแกรมยอดนิยมสำหรับ "การออกกำลังกาย" ดังกล่าวคือ AirSnort (http://airsnort.shmoo.com) ซอฟต์แวร์นี้ใช้งานได้กับการ์ดเครือข่ายจาก Cisco Systems การ์ดที่ใช้ NMC Prism-2 (มีไม่กี่การ์ด) รวมถึงการ์ด Orinoco หรือโคลน

แฮกเกอร์ที่ใช้วิธีการโจมตีแบบแอคทีฟสามารถบรรลุผลลัพธ์ที่ดีได้ ตัวอย่างเช่น คุณสามารถส่งข้อมูลที่รู้จักจากภายนอก LAN เช่น จากอินเทอร์เน็ต ขณะเดียวกันก็วิเคราะห์ว่าจุดเข้าใช้งานเข้ารหัสอย่างไร วิธีนี้ช่วยให้คุณสามารถคำนวณคีย์และจัดการข้อมูลได้

วิธีการโจมตีที่ใช้งานอยู่อีกวิธีหนึ่งคือการโจมตีแบบ Bit-Flip อัลกอริธึมของการกระทำที่นี่มีดังนี้ (รูปที่ 1):

1. เราสกัดกั้นเฟรมที่เข้ารหัส WEP
2. เราสุ่มเปลี่ยนหลายบิตในช่อง "ข้อมูล" และคำนวณผลรวมตรวจสอบ CRC-32 ใหม่
3. เราส่งเฟรมที่แก้ไขไปยังจุดเข้าใช้งาน
4. จุดเชื่อมต่อจะยอมรับเฟรมที่ชั้นลิงก์เนื่องจากการตรวจสอบความถูกต้อง
5. จุดเข้าใช้งานจะพยายามถอดรหัสข้อมูลและตอบกลับด้วยข้อความที่รู้จัก เช่น “คีย์เข้ารหัสของคุณไม่ถูกต้อง”
6. การเปรียบเทียบข้อความที่เข้ารหัสและที่ไม่ได้เข้ารหัสช่วยให้สามารถคำนวณคีย์ได้

ในบทความนี้ เราจะไม่พิจารณาการโจมตี DOS ที่อาจเกิดขึ้นกับอุปกรณ์โดยใช้วิธีการมอดูเลตแถบความถี่กว้าง DSSS อุปกรณ์ประเภทนี้ประกอบด้วยอุปกรณ์ 802.11b และ 802.11a ที่ทำงานที่ความเร็วต่ำ

ข้อสรุปชั่วคราว

จากทั้งหมดที่กล่าวมาข้างต้นแสดงให้เห็นว่าวิธีการเก่าๆ ในการรับรองความปลอดภัยในเครือข่ายไร้สายนั้นไม่น่าเชื่อถือ และหากอุปกรณ์ไม่อนุญาตให้ใช้โซลูชันที่ทันสมัยสำหรับการปกป้องข้อมูล ทางเลือกของกลยุทธ์ก็มีน้อย: ใช้นโยบายการดูแลระบบที่เข้มงวดที่สุด (ดูแถบด้านข้าง "มาตรการการดูแลระบบ") หรือใช้เทคโนโลยี IPSec - ESP

IPSec - เทคโนโลยี ESP จะปกป้องข้อมูลอย่างแน่นอน แต่จะลดประสิทธิภาพของ LAN ลงอย่างมาก อย่างไรก็ตาม เทคโนโลยีนี้ได้รับการพัฒนาสำหรับเครือข่ายทั่วโลก และการใช้ภายในเครือข่ายท้องถิ่นไร้สายนั้นสิ้นเปลือง การใช้งานผ่านช่องสัญญาณไร้สายนั้นมีความสมเหตุสมผลเฉพาะในกรณีของการเชื่อมต่อสาขาหรือโซลูชันอื่นที่คล้ายคลึงกัน

ข้อกำหนดด้านความปลอดภัยสมัยใหม่ หรือ "ชีวิตกับ Cisco"

เพื่อความอุ่นใจของผู้ใช้ มีเพียงสามประเด็นที่ต้องแก้ไขสำหรับการรับส่งข้อมูล: การรักษาความลับ (ข้อมูลต้องได้รับการเข้ารหัสอย่างปลอดภัย) ความสมบูรณ์ (ต้องรับประกันว่าข้อมูลจะไม่ถูกเปลี่ยนแปลงโดยบุคคลที่สาม) และความถูกต้อง ( มั่นใจว่าได้รับข้อมูลจากแหล่งที่ถูกต้อง)

การรับรองความถูกต้อง

มาตรฐาน 802.1x ได้รับการกำหนดให้ทันสมัยกว่ามาตรฐานปี 1997-1998 วิธีการตรวจสอบความถูกต้องที่ใช้กันอย่างแพร่หลายในอุปกรณ์เครือข่ายต่างๆ รวมถึงอุปกรณ์ไร้สาย ความแตกต่างพื้นฐานจากวิธีการรับรองความถูกต้องแบบเก่ามีดังนี้: จนกว่าจะมีการตรวจสอบร่วมกัน ผู้ใช้จะไม่สามารถรับหรือส่งข้อมูลใดๆ ได้ มาตรฐานนี้ยังจัดให้มีการจัดการคีย์เข้ารหัสแบบไดนามิก ซึ่งทำให้การโจมตีแบบพาสซีฟบน WEP ยากขึ้นโดยธรรมชาติ

ตัวอย่างเช่น นักพัฒนาจำนวนหนึ่งใช้โปรโตคอล EAP-TLS และ PEAP สำหรับการตรวจสอบสิทธิ์ในอุปกรณ์ของตน แต่ Cisco Systems (http://www.cisco.com) จัดการปัญหา "ในวงกว้าง" มากขึ้น โดยเสนอควบคู่ไปกับสิ่งเหล่านี้ ติดตามโปรโตคอลจำนวนหนึ่งสำหรับเครือข่ายไร้สาย

โปรโตคอลการตรวจสอบความถูกต้องแบบขยายได้ - Transport Layer Security(EAP-TLS) คือมาตรฐาน IETF ที่ให้การรับรองความถูกต้องผ่านการแลกเปลี่ยนใบรับรองดิจิทัลแบบสองทาง

EAP ที่ได้รับการคุ้มครอง(PEAP) ยังคงเป็นร่างมาตรฐานของ IETF ให้การแลกเปลี่ยนใบรับรองดิจิทัลและการตรวจสอบชื่อและรหัสผ่านเพิ่มเติมผ่านอุโมงค์เข้ารหัสที่สร้างขึ้นเป็นพิเศษ

EAP น้ำหนักเบา(LEAP) เป็นโปรโตคอลที่เป็นกรรมสิทธิ์ของ Cisco Systems โปรโตคอลการตรวจสอบความถูกต้องร่วมกัน "น้ำหนักเบา" คล้ายกับ Two-way Challenge Authentication Protocol (CHAP) ใช้รหัสที่ใช้ร่วมกัน ดังนั้นจึงต้องใช้สติปัญญาในการสร้างรหัสผ่าน มิฉะนั้น เช่นเดียวกับวิธีอื่นๆ PreShared Key อาจเสี่ยงต่อการถูกโจมตีจากพจนานุกรม

EAP - การรับรองความถูกต้องที่ยืดหยุ่นผ่าน Secure Tunneling(EAP-FAST) - พัฒนาโดย Cisco ตามมาตรฐานร่าง IETF เพื่อป้องกันการโจมตีจากพจนานุกรมและมีความน่าเชื่อถือสูง ต้องใช้ความพยายามเพียงเล็กน้อยจากผู้ดูแลระบบเพื่อขอรับการสนับสนุน หลักการทำงานคล้ายกับ LEAP แต่การรับรองความถูกต้องจะดำเนินการผ่านอุโมงค์ที่ปลอดภัย การใช้งานครั้งแรกปรากฏในเดือนเมษายน พ.ศ. 2547 รองรับโดยเริ่มจากซอฟต์แวร์เวอร์ชัน IOS 12.2(11)JA, VxWorks 12.01T, Cisco Secure ACS 3.2.3

วิธีการพิสูจน์ตัวตนสมัยใหม่ทั้งหมด (ดูตาราง) แสดงถึงการรองรับไดนามิกคีย์ ซึ่งเป็นข่าวดี อย่างไรก็ตาม หากเราเปรียบเทียบมาตรฐานเหล่านี้ในแง่อื่น วิธี EAP-TLS และ PEAP ก็ดูจะยุ่งยากกว่า และก็เป็นเช่นนั้นจริงๆ เหมาะสำหรับใช้ในเครือข่ายที่สร้างขึ้นจากอุปกรณ์จากผู้ผลิตหลายราย

คุณสมบัติของวิธีการรับรองความถูกต้อง

ดัชนี	ทาง
	เผ่น	EAP-FAST	พีพ	EAP-TLS
รองรับระบบปฏิบัติการที่ทันสมัย	ใช่	ใช่	ไม่ทั้งหมด	ไม่ทั้งหมด
ความซับซ้อนของซอฟต์แวร์และความเข้มข้นของทรัพยากรในการรับรองความถูกต้อง	ต่ำ	ต่ำ	เฉลี่ย	สูง
ความยากลำบากในการควบคุม	ต่ำ*	ต่ำ	เฉลี่ย	เฉลี่ย
การลงชื่อเข้าใช้ครั้งเดียว (การเข้าสู่ระบบครั้งเดียวบน Windows)	ใช่	ใช่	เลขที่	ใช่
ไดนามิกคีย์	ใช่	ใช่	ใช่	ใช่
รหัสผ่านแบบใช้ครั้งเดียว	เลขที่	ใช่	ใช่	เลขที่
รองรับฐานข้อมูลผู้ใช้ที่ไม่อยู่ในรูปแบบ Microsoft Windows	เลขที่	ใช่	ใช่	ใช่
การโรมมิ่งที่ปลอดภัยและรวดเร็ว	ใช่	ใช่	เลขที่	เลขที่
ความสามารถในการรับรองความถูกต้องในท้องถิ่น	ใช่	ใช่	เลขที่	เลขที่

วิธีการรับรองความถูกต้องที่พัฒนาโดย Cisco ดูดีกว่า สิ่งที่ทำให้พวกเขาน่าสนใจเป็นพิเศษคือการรองรับเทคโนโลยี Fast Secure Roaming ซึ่งช่วยให้คุณสลับระหว่างจุดเชื่อมต่อต่างๆ (เวลาในการเปลี่ยนคือประมาณ 100 มิลลิวินาที) ซึ่งมีความสำคัญอย่างยิ่งเมื่อส่งสัญญาณการรับส่งข้อมูลด้วยเสียง เมื่อใช้ EAP-TLS และ PEAP การตรวจสอบสิทธิ์อีกครั้งจะใช้เวลานานกว่ามากและจะส่งผลให้การสนทนาถูกยกเลิก ข้อเสียเปรียบหลักของ LEAP และ LEAP-FAST นั้นชัดเจน - โปรโตคอลเหล่านี้รองรับในอุปกรณ์ Cisco Systems เท่านั้น

การเข้ารหัสและความสมบูรณ์

ตามคำแนะนำ 802.11i Cisco Systems ได้ใช้โปรโตคอล TKIP (Temporal Key Integrity Protocol) ซึ่งช่วยให้มั่นใจได้ถึงการเปลี่ยนแปลงคีย์การเข้ารหัส PPK (Per Packet Keying) ในแต่ละแพ็กเก็ตและตรวจสอบความสมบูรณ์ของข้อความ MIC (Message Integrity Check)

ขั้นตอน PPK เกี่ยวข้องกับการเปลี่ยน IV ในแต่ละแพ็กเก็ต นอกจากนี้ การเข้ารหัสจะดำเนินการโดยใช้ค่าฟังก์ชันแฮชจากคีย์ IV และคีย์ WEP เอง หากเราคำนึงด้วยว่าคีย์ WEP เปลี่ยนแปลงแบบไดนามิก ความน่าเชื่อถือในการเข้ารหัสจะค่อนข้างสูง

การรับรองความถูกต้องเป็นความรับผิดชอบของขั้นตอน MIC ฟิลด์หมายเลข MIC และ SEQuence จะถูกเพิ่มลงในเฟรมที่สร้างขึ้น หมายเลขลำดับของแพ็กเก็ตจะถูกระบุในฟิลด์ SEQ ซึ่งช่วยให้คุณสามารถป้องกันการโจมตีตามการทำซ้ำและการละเมิดลำดับ แพ็กเก็ตที่มีหมายเลขลำดับไม่ถูกต้องจะถูกละเว้น ฟิลด์ MIC 32 บิตมีค่าฟังก์ชันแฮชที่คำนวณจากค่าของส่วนหัวแพ็กเก็ต 802.11 ฟิลด์ SEQ และข้อมูลผู้ใช้ (รูปที่ 2)

โปรโตคอลการเข้ารหัสและความสมบูรณ์ที่น่าหวังอีกประการหนึ่งที่ได้รับการพิสูจน์แล้วในโซลูชันแบบมีสายคือ AES (Advanced Encryption Standard) ได้รับการพัฒนาค่อนข้างเร็ว ๆ นี้ - ในเดือนตุลาคม 2544 และมีความแข็งแกร่งในการเข้ารหัสที่ดีกว่าเมื่อเปรียบเทียบกับ DES และ GOST 28147-89 ความยาวคีย์ AES คือ 128, 192 หรือ 256 บิต ตามที่ระบุไว้ มันให้ทั้งการเข้ารหัสและความสมบูรณ์

โปรดทราบว่าอัลกอริทึมที่ใช้ในนั้น (Rijndael) ไม่ต้องการทรัพยากรขนาดใหญ่ทั้งในระหว่างการนำไปใช้งานหรือการดำเนินการซึ่งเป็นสิ่งสำคัญมากในการลดเวลาแฝงของข้อมูลและโหลดตัวประมวลผล

AES ทำงานบน Cisco IOS (k9) แล้ว โดยเริ่มต้นด้วย 12.2(13)T ปัจจุบันอุปกรณ์ Cisco Systems 802.11g เกือบทั้งหมดพร้อมรองรับ AES ชุมชนออนไลน์กำลังรอการประกาศเปิดตัวซอฟต์แวร์นี้ แต่ไม่เป็นไปตามกำหนดเวลาที่ระบุไว้ซ้ำๆ อย่างไรก็ตาม ขณะนี้มีความชัดเจนบางอย่างเกิดขึ้นแล้ว บริษัท ประกาศว่าอุปกรณ์ทั้งหมดที่ทำงานตามมาตรฐาน 802.11g สามารถติดตั้งซอฟต์แวร์ใหม่ได้ฟรีซึ่งจะปรากฏในไม่ช้านี้... แต่หลังจากการให้สัตยาบันมาตรฐาน 802.11i เท่านั้น มาตรฐานนี้ได้รับการรับรองโดย IEEE เมื่อปลายเดือนมิถุนายน (ดูแถบด้านข้าง "802.11i Standard Ratified") งั้นเราก็รออยู่นะนาย

การเข้าถึงแบบป้องกัน Wi-Fi

มาตรฐาน Wi-Fi Protected Access (WPA) คือชุดกฎสำหรับการนำการปกป้องข้อมูลไปใช้ในเครือข่าย 802.11x ตั้งแต่เดือนสิงหาคม พ.ศ. 2546 การปฏิบัติตามข้อกำหนด WPA เป็นส่วนหนึ่งของข้อกำหนดสำหรับอุปกรณ์ที่ได้รับการรับรองว่าได้รับการรับรอง Wi-Fi (http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf)

โปรดทราบว่าข้อกำหนด WPA มีโปรโตคอล TKIP-PPK ที่ได้รับการแก้ไขเล็กน้อย การเข้ารหัสจะดำเนินการโดยใช้ "การผสม" ของหลายคีย์ - ปุ่มปัจจุบันและปุ่มถัดไป ในกรณีนี้ความยาวของ IV จะเพิ่มขึ้นเป็น 48 บิต

WPA ยังกำหนดการควบคุมความสมบูรณ์ของข้อความตามเวอร์ชันที่เรียบง่ายของ MIC (Michael MIC) ซึ่งแตกต่างจากที่อธิบายไว้ตรงที่ว่าฟังก์ชันแฮชจะคำนวณตามฟิลด์ที่น้อยกว่า แต่ฟิลด์ MIC นั้นยาวกว่า - 64 บิต ทำให้สามารถใช้มาตรการป้องกันข้อมูลเพิ่มเติมได้ เช่น กระชับข้อกำหนดสำหรับการเชื่อมโยงใหม่ การรับรองความถูกต้องอีกครั้ง เป็นต้น

ข้อมูลจำเพาะยังรวมถึงการรองรับ 802.1x/EAP และการตรวจสอบสิทธิ์คีย์ที่ใช้ร่วมกัน และแน่นอนว่าการจัดการคีย์

เป็นที่น่ายินดีอย่างยิ่งที่อุปกรณ์ WPA พร้อมที่จะทำงานกับทั้งไคลเอนต์ที่มีอุปกรณ์รองรับมาตรฐานสมัยใหม่ และกับลูกค้าที่ไม่กังวลเกี่ยวกับความปลอดภัยเลยและใช้อุปกรณ์หรือซอฟต์แวร์เก่า ผู้เขียนแนะนำอย่างเด็ดขาด: กระจายผู้ใช้ที่มีระดับความปลอดภัยต่างกันผ่าน LAN เสมือนที่แตกต่างกัน และใช้นโยบายความปลอดภัยของคุณตามนี้

ปัจจุบันนี้ หากมีการใช้อุปกรณ์และซอฟต์แวร์ที่ทันสมัย ​​การสร้างเครือข่ายไร้สายที่ปลอดภัยและต้านทานการโจมตีตามมาตรฐาน 802.11x ก็ค่อนข้างเป็นไปได้ ในการทำเช่นนี้ คุณเพียงแค่ต้องใช้สมมุติฐานที่สมเหตุสมผลหลายประการกับมัน

เราต้องจำไว้ว่าเครือข่ายไร้สายเชื่อมต่อกับเครือข่ายแบบมีสายเกือบตลอดเวลา นอกเหนือจากความจำเป็นในการปกป้องช่องสัญญาณไร้สายแล้ว ข้อเท็จจริงนี้ยังทำหน้าที่เป็นแรงจูงใจในการแนะนำวิธีการรักษาความปลอดภัยใหม่ในเครือข่ายแบบมีสาย มิฉะนั้น สถานการณ์อาจเกิดขึ้นเมื่อเครือข่ายมีการรักษาความปลอดภัยแบบกระจัดกระจาย ซึ่งสร้างภัยคุกคามด้านความปลอดภัยได้เป็นหลัก

ขอแนะนำให้ใช้อุปกรณ์ที่มีใบรับรอง Wi-Fi Certified ที่ออกหลังเดือนสิงหาคม 2546 เช่น ยืนยันการปฏิบัติตาม WPA

ผู้ดูแลระบบหลายคนเมื่อติดตั้งอุปกรณ์บน LAN ให้บันทึกการตั้งค่าเริ่มต้นของผู้ผลิต ในเครือข่ายไร้สายที่ร้ายแรงนี่เป็นสิ่งที่ยอมรับไม่ได้อย่างแน่นอน

แน่นอนว่า เราจำเป็นต้องใช้ 802.1x/EAP/TKIP/MIC และการจัดการคีย์แบบไดนามิก หากเครือข่ายเป็นแบบผสม ให้ใช้เครือข่ายท้องถิ่นเสมือน ขณะนี้ผู้ผลิตจุดเข้าใช้งานที่จริงจังเกือบทุกรายสนับสนุนเทคโนโลยีนี้ และถ้าเขาไม่สนับสนุน คุณก็ไม่ควรสนับสนุนผู้ผลิตรายนี้ด้วยการซื้ออุปกรณ์ของเขา หากใช้เสาอากาศภายนอก (เช่น เมื่อเชื่อมต่อ LAN ที่แตกต่างกัน) แนะนำให้ใช้เทคโนโลยีเครือข่ายส่วนตัวเสมือน VPN

มันคุ้มค่าที่จะรวมวิธีการป้องกันโปรโตคอลและซอฟต์แวร์เข้ากับวิธีการจัดการ นอกจากนี้ยังสมเหตุสมผลที่จะคิดถึงการนำเทคโนโลยี Intrusion Detection System (IDS) มาใช้เพื่อตรวจจับการบุกรุกที่อาจเกิดขึ้น คุณยังสามารถใช้ผลิตภัณฑ์ซอฟต์แวร์ที่อธิบายไว้ข้างต้นได้

สุดท้ายและที่สำคัญที่สุด ให้ใช้สามัญสำนึกในการวางแผนเครือข่ายไร้สายที่ปลอดภัย ข้อควรจำ: การเข้ารหัสหรือการจัดการข้อมูลอื่น ๆ ย่อมทำให้เกิดความล่าช้าเพิ่มเติม เพิ่มปริมาณการรับส่งข้อมูลบริการ และโหลดบนโปรเซสเซอร์ของอุปกรณ์เครือข่าย แน่นอนว่าความปลอดภัยเป็นปัจจัยสำคัญในเครือข่ายสมัยใหม่ แต่จะไม่มีความหมายหากการรับส่งข้อมูลของผู้ใช้ไม่ได้รับแบนด์วิธที่เหมาะสม ท้ายที่สุดแล้ว น่าเสียดายที่เครือข่ายใดๆ ถูกสร้างขึ้นสำหรับผู้ใช้ในท้ายที่สุด ไม่ใช่สำหรับผู้ดูแลระบบ อย่างไรก็ตาม หัวข้อของ QoS ในเครือข่ายไร้สาย 802.11x สมควรได้รับบทความแยกต่างหาก

มาตรฐาน 802.11i ได้รับการรับรอง เมื่อวันที่ 25 มิถุนายน พ.ศ. 2547 สถาบันวิศวกรไฟฟ้าและอิเล็กทรอนิกส์ (IEEE) ให้สัตยาบันมาตรฐานความปลอดภัย LAN ไร้สาย 802.11i ที่รอคอยกันมานาน ก่อนที่จะนำมาใช้ ย้อนกลับไปในปี 2545 กลุ่มอุตสาหกรรม Wi-Fi Alliance เสนอให้ใช้โปรโตคอล WPA เป็นตัวเลือกระดับกลาง ประกอบด้วยกลไก 802.11i บางอย่าง รวมถึงการเข้ารหัส TKIP และความสามารถในการใช้ระบบการตรวจสอบผู้ใช้ 802.1x ตามโปรโตคอล RADIUS โปรโตคอล WPA มีการปรับเปลี่ยนสองแบบ: แบบน้ำหนักเบา (สำหรับผู้ใช้ตามบ้าน) และรวมถึงมาตรฐานการรับรองความถูกต้อง 802.1x (สำหรับผู้ใช้ในองค์กร) มาตรฐาน 802.11i อย่างเป็นทางการได้เพิ่มข้อกำหนดในการใช้มาตรฐานการเข้ารหัส AES ให้กับโปรโตคอล WPA ซึ่งให้ระดับความปลอดภัยที่ตรงตามข้อกำหนดของ FIPS Class 140-2 (มาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง) ที่ใช้ในรัฐบาลสหรัฐอเมริกา อย่างไรก็ตาม ในเครือข่ายที่มีอยู่จำนวนมาก โปรโตคอล AES อาจต้องมีอุปกรณ์ทดแทน เว้นแต่จะมีความสามารถในการเข้ารหัสและถอดรหัสพิเศษ นอกจากนี้ มาตรฐานใหม่ยังได้รับคุณสมบัติหลายประการที่ไม่ค่อยมีใครรู้จักอีกด้วย หนึ่งในนั้นคือการแคชคีย์ - บันทึกข้อมูลเกี่ยวกับตัวเขาโดยที่ผู้ใช้ไม่มีใครสังเกตเห็น ทำให้เขาไม่สามารถป้อนข้อมูลทั้งหมดเกี่ยวกับตัวเขาเองอีกครั้งเมื่อออกจากพื้นที่ครอบคลุมของเครือข่ายไร้สายแล้วกลับมาที่เดิม นวัตกรรมที่สองคือการตรวจสอบสิทธิ์ล่วงหน้า สาระสำคัญมีดังนี้: จากจุดเชื่อมต่อที่ผู้ใช้เชื่อมต่ออยู่ แพ็กเก็ตการตรวจสอบสิทธิ์ล่วงหน้าจะถูกส่งไปยังจุดเชื่อมต่ออื่น โดยให้การตรวจสอบสิทธิ์ล่วงหน้าแก่ผู้ใช้รายนี้ก่อนที่จะลงทะเบียนที่จุดใหม่ และด้วยเหตุนี้จึงช่วยลดเวลาการอนุญาตเมื่อ การเคลื่อนย้ายระหว่างจุดเข้าใช้งาน Wi-Fi Alliance ตั้งใจที่จะเริ่มทดสอบอุปกรณ์เพื่อให้เป็นไปตามมาตรฐานใหม่ (หรือที่เรียกว่า WPA2) ก่อนเดือนกันยายนของปีนี้ ตามที่ตัวแทนระบุ ไม่จำเป็นต้องเปลี่ยนอุปกรณ์ในวงกว้าง และในขณะที่อุปกรณ์ที่ใช้ WPA1 สามารถทำงานในสภาพแวดล้อมที่ไม่จำเป็นต้องมีการเข้ารหัสขั้นสูงและการตรวจสอบสิทธิ์ RADIUS ผลิตภัณฑ์ 802.11i ก็ถือเป็นอุปกรณ์ WPA ที่รองรับ AES

เครือข่ายไร้สายไม่ปลอดภัย ฉันขอย้ำอีกครั้ง: เครือข่ายไร้สายไม่ปลอดภัย โดยส่วนใหญ่แล้วจะปลอดภัยเพียงพอสำหรับผู้ใช้ส่วนใหญ่ แต่เครือข่ายดังกล่าวไม่สามารถทำให้เป็นส่วนตัวได้อย่างสมบูรณ์

ความจริงง่ายๆ ก็คือเครือข่ายไร้สายใช้สัญญาณวิทยุที่มีชุดคุณลักษณะที่กำหนดไว้อย่างชัดเจน ดังนั้นใครก็ตามที่ยินดีสละเวลาและความพยายามเพียงพอในการตรวจสอบสัญญาณเหล่านี้สามารถหาวิธีดักจับและอ่านข้อมูลที่มีอยู่ภายในสัญญาณได้ หากคุณส่งข้อมูลที่ละเอียดอ่อนผ่านการเชื่อมต่อไร้สาย ผู้โจมตีสามารถคัดลอกข้อมูลดังกล่าวได้ หมายเลขบัตรเครดิต รหัสผ่านบัญชี และข้อมูลส่วนบุคคลอื่นๆ มีความเสี่ยง

การเข้ารหัสและวิธีการรักษาความปลอดภัยอื่นๆ อาจทำให้การสกัดกั้นข้อมูลยากขึ้นเล็กน้อย แต่ไม่ได้ให้การป้องกันที่สมบูรณ์ต่อสายลับที่มีความซับซ้อนอย่างแท้จริง อย่างที่เจ้าหน้าที่ตำรวจสามารถบอกคุณได้ กุญแจนั้นมาจากคนซื่อสัตย์ แต่หัวขโมยที่มีประสบการณ์จะรู้วิธีจัดการกับมัน การค้นหาแค็ตตาล็อกเครื่องมือทั้งหมดสำหรับการทำลายการเข้ารหัส WEP บนอินเทอร์เน็ตเป็นเรื่องง่าย

ทำให้สถานการณ์มีอันตรายมากยิ่งขึ้น ผู้ดูแลระบบเครือข่ายและผู้ใช้ไร้สายตามบ้านจำนวนมากเปิดประตูและหน้าต่างของเครือข่ายทิ้งไว้โดยไม่ใช้ประโยชน์จากการเข้ารหัสและคุณลักษณะด้านความปลอดภัยอื่นๆ ที่รวมอยู่ในจุดไร้สาย 802.11b และโหนดเครือข่ายทุกจุด การเข้าสู่ระบบเครือข่ายส่วนตัวที่ไม่ปลอดภัยสามารถทำได้ในหลายเขตเมืองและบนเครือข่ายท้องถิ่นจำนวนมาก ในฤดูใบไม้ผลิปี 2544 หนังสือพิมพ์ซานฟรานซิสโกโครนิเคิลรายงานว่าผู้เชี่ยวชาญด้านความปลอดภัยเครือข่ายที่มีเสาอากาศกำหนดทิศทางซึ่งติดตั้งอยู่บนหลังคารถตู้ในตัวเมืองซานฟรานซิสโกสามารถเข้าสู่ระบบเครือข่ายไร้สายได้โดยเฉลี่ยครึ่งโหลต่อบล็อก จำนวนเครือข่ายดังกล่าวมีการเติบโตอย่างต่อเนื่อง หนึ่งปีต่อมา พนักงาน Microsoft กลุ่มหนึ่งที่ดำเนินการ "ทดสอบอย่างไม่เป็นทางการ" ค้นพบจุดเข้าใช้งานแบบเปิดที่ไม่ปลอดภัยมากกว่า 200 จุดในเครือข่ายย่านชานเมืองในซีแอตเทิล และร้านกาแฟ Tully's รายงานว่าพวกเขาสังเกตเห็นลูกค้าของตนเข้าสู่ระบบเครือข่าย Wi-Fi ผ่านฮอตสปอตที่ร้าน Starbucks ฝั่งตรงข้ามถนน

เลขคณิตง่ายๆ ก็เพียงพอแล้ว: จุดเข้าใช้งานของคุณมีระยะ 100 ม. หรือมากกว่าในทุกทิศทาง ดังนั้นสัญญาณจึงมีแนวโน้มที่จะขยายออกไปเลยทรัพย์สินของคุณ (หรือผนังอพาร์ทเมนต์ของคุณ) อุปกรณ์เครือข่ายในห้องถัดไปของอาคารหรือฝั่งตรงข้ามถนนมักจะตรวจพบเครือข่ายได้ แล็ปท็อปหรือ PDA ที่วางไว้ในรถที่จอดอยู่บนถนนก็สามารถดำเนินการในลักษณะเดียวกันได้เช่นกัน หากไม่ปฏิบัติตามข้อควรระวังบางประการ ผู้ควบคุมอุปกรณ์นี้สามารถลงทะเบียนบนเครือข่ายของคุณ ขโมยไฟล์จากเซิร์ฟเวอร์ และแทรกซึมการเชื่อมต่ออินเทอร์เน็ตของคุณเพื่อสตรีมวิดีโอหรือเกมออนไลน์

สิ่งสำคัญคือต้องเข้าใจว่าเรากำลังพูดถึงภัยคุกคามความปลอดภัยแบบไร้สายสองประเภทที่แตกต่างกัน ประการแรกคืออันตรายจากบุคคลอื่นที่เชื่อมต่อกับเครือข่ายของคุณโดยที่คุณไม่รู้หรือไม่ได้รับอนุญาต ประการที่สองคือความเป็นไปได้ที่ผู้โจมตีที่เชี่ยวชาญสามารถขโมยข้อมูลในขณะที่คุณส่งและรับข้อมูลได้ แต่ละรายการเป็นปัญหาที่อาจเกิดขึ้นแยกจากกันและแต่ละปัญหาต้องใช้วิธีการป้องกันและป้องกันพิเศษ แม้ว่าอาจเป็นเรื่องจริงที่ไม่มีเครื่องมือใดที่มีอยู่ในปัจจุบันที่สามารถให้การป้องกันได้อย่างสมบูรณ์ แต่ก็สามารถทำให้ชีวิตยากขึ้นสำหรับผู้โจมตีทั่วไปส่วนใหญ่

เครือข่ายไร้สายแสดงถึงการแลกเปลี่ยนระหว่างความปลอดภัยและการใช้งาน ประโยชน์ที่ชัดเจนของการเชื่อมต่อเครือข่ายไร้สาย - การเข้าถึงเครือข่ายที่รวดเร็วและง่ายดายจากแล็ปท็อปหรือสถานที่ที่แยกออกไป - มีค่าใช้จ่าย สำหรับผู้ใช้ส่วนใหญ่ ค่าใช้จ่ายเหล่านี้ไม่ได้เกินดุลความสะดวกของเครือข่ายไร้สาย แต่เช่นเดียวกับที่คุณล็อครถเมื่อจอดรถ คุณควรทำตามขั้นตอนที่คล้ายกันเพื่อปกป้องเครือข่ายและข้อมูลของคุณ

ปกป้องเครือข่ายและข้อมูลของคุณ

คุณสามารถทำอะไรได้บ้างเพื่อป้องกันตัวเองจากบุคคลภายนอกในฐานะผู้ให้บริการเครือข่ายไร้สาย? คุณมีสองทางเลือก: คุณสามารถยอมรับความจริงที่ว่าเครือข่าย 802.11b ไม่ได้ปลอดภัยอย่างสมบูรณ์ แต่ใช้คุณสมบัติความปลอดภัยเครือข่ายในตัวเพื่อทำให้ผู้ไม่ประสงค์ดีช้าลง คุณสามารถละทิ้งเครื่องมือในตัวและใช้ไฟร์วอลล์เพื่อแยกแทนได้

เป็นที่ชัดเจนว่าคุณลักษณะด้านความปลอดภัยรวมอยู่ในโปรโตคอล 802.11b

ไม่สามารถยอมรับได้สำหรับการปกป้องข้อมูลที่ส่งโดยสมบูรณ์ หากคุณเคยอ่านบทความเกี่ยวกับความปลอดภัยของเครือข่ายไร้สายในนิตยสารการค้าและอ่านการอภิปรายในฟอรัมออนไลน์ เป็นเรื่องง่ายที่จะเชื่อได้ว่าเครือข่าย Wi-Fi นั้นรั่วพอๆ กับตะแกรงสุภาษิต แต่นี่อาจทำให้เกินจริงถึงภัยคุกคามที่แท้จริงต่อเครือข่ายของคุณเอง โปรดจำไว้ว่าคนส่วนใหญ่ที่ใกล้จะขโมยข้อความของคุณหรือแทรกซึมเครือข่ายของคุณจะไม่เพียงแค่นั่งรอให้คุณเริ่มส่งข้อมูลเท่านั้น และพูดตามตรงว่าข้อมูลส่วนใหญ่ที่ส่งผ่านเครือข่ายของคุณนั้นไม่น่าสนใจเลย แต่เครื่องมือเข้ารหัสนั้นมีอยู่ในทุกเครือข่าย Wi-Fi ดังนั้นคุณควรใช้งานมันจริงๆ

ภัยคุกคามที่ร้ายแรงกว่านั้นไม่ใช่ว่าการสื่อสารของคุณจะถูกดักจับ แต่การเชื่อมต่อที่ผิดกฎหมายจะถูกสร้างขึ้น วิธีนี้จะอนุญาตให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถอ่านไฟล์ที่จัดเก็บไว้ในคอมพิวเตอร์ในเครือข่ายอื่น หรือใช้การเชื่อมต่ออินเทอร์เน็ตบรอดแบนด์ของคุณโดยที่คุณไม่รู้หรืออนุญาต

การดูแลจัดการเครือข่ายของคุณเป็นเรื่องสมเหตุสมผล หากคุณเลือกที่จะใช้การรักษาความปลอดภัย 802.11b มีขั้นตอนพิเศษที่คุณต้องปฏิบัติตาม:

วางจุดเข้าใช้งานไว้ตรงกลางอาคาร ไม่ใช่ข้างหน้าต่าง วิธีนี้จะช่วยลดระยะทางที่สัญญาณของคุณต้องเดินทางผ่านกำแพง

ใช้การเข้ารหัส WEP (Wired Equivalent Privacy) บนโหนดเครือข่าย 802.11b ทั้งหมด ด้วยเวลาและอุปกรณ์ที่เหมาะสมเพียงพอ การถอดรหัส WEP ไม่ใช่เรื่องยาก แต่แพ็กเก็ตที่เข้ารหัสยังคงอ่านได้ยากกว่าข้อมูลที่ส่งโดยไม่มีการเข้ารหัส บทนี้ให้ข้อมูลเพิ่มเติมเกี่ยวกับการเข้ารหัส WEP

เปลี่ยนคีย์ WEP บ่อยครั้ง การแยกคีย์การเข้ารหัส WEP ออกจากสตรีมข้อมูลต้องใช้เวลา และทุกครั้งที่คุณเปลี่ยนคีย์ ผู้ไม่ประสงค์ดีที่พยายามขโมยข้อมูลของคุณจะต้องเริ่มต้นใหม่ทั้งหมดอีกครั้ง การเปลี่ยนกุญแจเดือนละครั้งหรือสองครั้งนั้นไม่ได้บ่อยเกินไป

อย่าเก็บคีย์ WEP ไว้ในที่ที่เข้าถึงได้ง่าย บนเครือข่ายขนาดใหญ่ อาจมีความพยายามที่จะจัดเก็บไว้บนเว็บเพจท้องถิ่นหรือในไฟล์ข้อความ อย่าทำอย่างนั้น;

อย่าใช้อีเมลเพื่อส่งคีย์ WEP หากบุคคลภายนอกขโมยชื่อบัญชีและรหัสผ่าน ขโมยจะได้รับข้อความพร้อมรหัสใหม่ของคุณก่อนที่ผู้ใช้ที่ถูกต้องตามกฎหมายของคุณจะได้รับ

เพิ่มการเข้ารหัสอีกชั้นหนึ่ง เช่น Kerberos, SSH หรือ VPN ที่ด้านบนของการเข้ารหัส WEP ที่รวมอยู่ในเครือข่ายไร้สาย

อย่าใช้ SSID เริ่มต้นของจุดเข้าใช้งานของคุณ การตั้งค่าเหล่านี้เป็นที่รู้จักกันดีในหมู่แฮกเกอร์เครือข่าย

เปลี่ยน SSID เป็นสิ่งที่ไม่ระบุงานหรือที่ตั้งของคุณ หากผู้โจมตีค้นพบชื่อ BigCorpNet และมองไปรอบๆ และเห็นสำนักงานใหญ่ BigCorp ฝั่งตรงข้าม มีแนวโน้มว่าพวกเขาจะกำหนดเป้าหมายไปที่เครือข่ายของคุณ เช่นเดียวกับเครือข่ายในบ้านของคุณ อย่าเรียกว่าเพอร์กินส์ถ้าเป็นชื่อที่อยู่ด้านนอกกล่องจดหมายของคุณ อย่าใช้ SSID ที่ดูเหมือนเครือข่ายของคุณมีข้อมูลบางอย่างที่น่าดึงดูด - ใช้ชื่อที่ไม่ธรรมดา เช่น ช่องว่าง "เครือข่าย-" หรือแม้แต่สตริงอักขระแบบสุ่ม (W24rnQ)

เปลี่ยนที่อยู่ IP และรหัสผ่านของจุดเข้าใช้งานของคุณ รหัสผ่านเริ่มต้นสำหรับเครื่องมือกำหนดค่าจุดเข้าใช้งานส่วนใหญ่หาได้ง่าย (และมักพบรหัสผ่านซ้ำจากผู้ขายรายหนึ่งไปยังอีกรายหนึ่ง เคล็ดลับ: อย่าใช้ "ผู้ดูแลระบบ") รหัสผ่านดังกล่าวจึงไม่ดีพอที่จะป้องกันผู้ใช้ของคุณเองได้ บุคคลภายนอกโดยลำพัง ตั้งใจจะใช้เครือข่ายของคุณเพื่อวัตถุประสงค์ของตนเอง

ปิดใช้งานคุณสมบัติการออกอากาศ SSID สำหรับจุดเชื่อมต่อที่อนุญาตการเชื่อมต่อจากไคลเอนต์โดยไม่มี SSID ที่ถูกต้อง นี่ไม่ได้รับประกันว่าเครือข่ายของคุณจะมองไม่เห็น แต่อาจช่วยได้

เปิดใช้งานคุณสมบัติการควบคุมการเข้าถึงสำหรับจุดเข้าใช้งานของคุณ การควบคุมการเข้าถึงจะจำกัดการเชื่อมต่อไปยังไคลเอนต์เครือข่ายด้วยที่อยู่ MAC ที่ระบุ จุดเชื่อมต่อจะปฏิเสธการเชื่อมต่อกับอแด็ปเตอร์ที่ไม่มีที่อยู่อยู่ในรายการ สิ่งนี้อาจไม่เป็นประโยชน์หากคุณต้องการอนุญาตให้ผู้เยี่ยมชมรายอื่นใช้เครือข่ายของคุณ แต่เป็นเครื่องมือที่มีประโยชน์สำหรับเครือข่ายในบ้านและสำนักงานขนาดเล็กที่คุณรู้จักผู้ใช้ที่มีศักยภาพทั้งหมดของคุณ เช่นเดียวกับฟีเจอร์ "broadcast SSID" นี่ไม่ใช่การรับประกัน แต่ก็ไม่ได้ทำให้เสียหายเช่นกัน

ทดสอบความปลอดภัยของเครือข่ายของคุณโดยพยายามค้นหาจากถนน หยิบแล็ปท็อปที่มีโปรแกรมสแกนทำงานอยู่ เช่น Network Stumbler หรือยูทิลิตี้ที่แสดงสถานะของอะแดปเตอร์เครือข่ายของคุณ แล้วเริ่มเดินออกจากอาคาร หากคุณสามารถตรวจจับเครือข่ายของคุณจากระยะไกลได้ คนนอกก็สามารถตรวจจับได้เช่นกัน โปรดจำไว้ว่าผู้ประสงค์ร้ายสามารถใช้เสาอากาศแบบมีทิศทางที่มีอัตราขยายสูงซึ่งจะเพิ่มระยะห่างนี้

คิดว่าเครือข่ายเปิดกว้างสำหรับการแบ่งปัน ตรวจสอบให้แน่ใจว่าทุกคนที่ใช้เครือข่ายทราบว่าพวกเขากำลังใช้ระบบที่ไม่ปลอดภัย

ขยายการเข้าถึงไฟล์เฉพาะไฟล์ที่คุณต้องการแชร์จริงๆ อย่าเปิดแผ่นดิสก์ทั้งหมด ใช้การป้องกันด้วยรหัสผ่านสำหรับทุกๆ รายการที่สามารถเข้าถึงได้

ใช้เครื่องมือรักษาความปลอดภัยแบบเดียวกับที่คุณใช้บนเครือข่ายแบบมีสาย อย่างดีที่สุด ส่วนไร้สายของ LAN ของคุณไม่ปลอดภัยไปกว่าส่วนแบบมีสาย ดังนั้นคุณต้องใช้ความระมัดระวังเช่นเดียวกัน ในกรณีส่วนใหญ่ ส่วนไร้สายของเครือข่ายจะมีความปลอดภัยน้อยกว่าส่วนแบบมีสายมาก

พิจารณาใช้เครือข่ายส่วนตัวเสมือน (VPN) เพื่อเพิ่มความปลอดภัย

ผู้เชี่ยวชาญบางคนใช้วิธีการอื่นเพื่อรักษาความปลอดภัยเครือข่ายไร้สาย พวกเขายอมรับแนวคิดที่ว่าเครือข่าย 802.11b นั้นไม่ปลอดภัย ดังนั้นพวกเขาจึงไม่ลองใช้คุณสมบัติความปลอดภัยในตัวด้วยซ้ำ ตัวอย่างเช่น ทีมรักษาความปลอดภัยเครือข่ายแผนกซูเปอร์คอมพิวเตอร์ขั้นสูงของ NASA ในแคลิฟอร์เนียพบว่า "ตัวเครือข่ายเองไม่มีการรับรองความถูกต้องที่เข้มงวดและการป้องกันการงัดแงะ" และ "คุณลักษณะด้านความปลอดภัย 802.11b ใช้ทรัพยากรเพียงอย่างเดียวโดยไม่ได้ให้ความปลอดภัยที่แท้จริงใดๆ เป็นการตอบแทน" ดังนั้นจึงปิดการใช้งานคุณสมบัติความปลอดภัย 802.11b ทั้งหมด และใช้ไฟร์วอลล์ไร้สายของตัวเอง นั่นคือ Wireless Firewall Gateway (WFG) แทน WFG เป็นเราเตอร์ที่อยู่ระหว่างระบบไร้สายและส่วนที่เหลือของเครือข่าย ดังนั้นการรับส่งข้อมูลเครือข่ายทั้งหมดเข้าและออกจากอุปกรณ์ไร้สาย (รวมถึงการเข้าถึงอินเทอร์เน็ต) จะต้องผ่านเกตเวย์

เพื่อประโยชน์เพิ่มเติม วิธีการรักษาความปลอดภัยนี้จะรักษารอยเท้าผู้ดูแลระบบของแต่ละแพ็คเกจให้เหลือน้อยที่สุด เนื่องจากไม่มีการรับรองความถูกต้องหรือการเข้ารหัส ซึ่งจะช่วยลดจำนวนบิตในแต่ละแพ็กเก็ต ซึ่งจะเพิ่มอัตราการถ่ายโอนข้อมูลที่มีประสิทธิภาพของเครือข่าย

ผู้ให้บริการเครือข่ายไร้สายรายอื่นใช้ VPN เพื่อควบคุมการเข้าถึงผ่านเกตเวย์ไร้สายของตน VPN เพิ่มการรักษาความปลอดภัยแบบจุดต่อจุดอีกชั้นหนึ่งให้กับเลเยอร์ IP (แทนที่จะเป็นเลเยอร์ทางกายภาพที่มีการเข้ารหัสเกิดขึ้นใน 802.11b) ก่อนที่ผู้ใช้สามารถท่องเครือข่ายได้

การรักษาความปลอดภัยเครือข่ายเป็นสิ่งจำเป็นในสองกรณี - ผู้ดูแลระบบเครือข่ายไม่ต้องการอนุญาตให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าสู่เครือข่ายของตน และผู้ใช้แต่ละรายไม่ต้องการให้ใครก็ตามเข้าถึงไฟล์ส่วนตัวของตน เมื่อคุณเข้าสู่ระบบเครือข่ายที่ใช้ร่วมกัน คุณจะต้องใช้ความระมัดระวังบางประการในการไม่ให้ไฟล์ของคุณอ่านผ่านเครือข่าย

หากต้องการปิดการใช้งาน การแชร์ไฟล์(การเข้าถึงไฟล์) ก่อนที่จะเชื่อมต่อกับเครือข่ายที่ใช้ร่วมกัน ให้ใช้ขั้นตอนต่อไปนี้ใน Windows 95, Windows 98 และ Windows ME:

1. บี แผงควบคุม(แผงควบคุม) เปิดกล่องโต้ตอบ เครือข่าย(สุทธิ).

2. เลือก การแชร์ไฟล์และเครื่องพิมพ์(การเข้าถึงไฟล์และเครื่องพิมพ์)

3. ในกล่องโต้ตอบ Fi การแชร์ไฟล์และเครื่องพิมพ์ปิดการใช้งานฟังก์ชั่น ฉันต้องการให้ผู้อื่นเข้าถึงไฟล์ของฉัน(ให้สิทธิ์ผู้อื่นเข้าถึงไฟล์ของฉัน)

Windows 2000 และ Windows XP ไม่มีศูนย์กลางในการปิดการเข้าถึงไฟล์ ดังนั้นคุณต้องปิดการเข้าถึงแต่ละไฟล์ทีละรายการ

1. เปิดหน้าต่าง คอมพิวเตอร์ของฉัน(คอมพิวเตอร์ของฉัน).

2. ไอคอนสำหรับไดรฟ์และโฟลเดอร์ที่มีอยู่ทั้งหมดของคุณจะมีไอคอนรูปมือ หากต้องการปิดการเข้าถึง ให้คลิกขวาที่ไอคอนแล้วเลือก การแบ่งปันและความปลอดภัย(การเข้าถึงและความปลอดภัย) ในเมนู

3. ปิดการใช้งานคุณสมบัติ แบ่งปันโฟลเดอร์นี้บนเครือข่าย(เปิดการเข้าถึงโฟลเดอร์นี้ผ่านเครือข่าย)

4. คลิกปุ่ม ตกลง(ใช่) เพื่อปิดกล่องโต้ตอบ

5. ทำซ้ำขั้นตอนนี้สำหรับแต่ละโฟลเดอร์หรือไฟล์ที่มีอยู่ อย่าลืมโฟลเดอร์ เอกสารที่ใช้ร่วมกัน(เอกสารทั่วไป)

เมื่อกลับมาที่สำนักงานหรือเครือข่ายในบ้าน คุณต้องย้อนกลับขั้นตอนเพื่อเข้าถึงไฟล์ของคุณอีกครั้ง

ปัญหาอีกประการหนึ่งคืออันตรายจากข้อมูลการติดตามสายลับที่ส่งผ่านการสื่อสารทางวิทยุและการขโมยข้อมูลที่เป็นความลับได้ทันที นี่ไม่ใช่เรื่องธรรมดาเหมือนกับการมีสายลับเข้าถึงเครือข่ายและอ่านไฟล์ แต่ก็เป็นไปได้ การเข้ารหัสและเครื่องมือรักษาความปลอดภัยอื่นๆ อาจทำให้การถอดรหัสข้อมูลทำได้ยาก แต่วิธีที่ดีที่สุดคือปฏิบัติต่อเครือข่าย Wi-Fi เช่นเดียวกับที่คุณทำกับโทรศัพท์มือถือ นั่นคืออย่าส่งข้อความหรือไฟล์ที่มีข้อมูลที่ละเอียดอ่อน

เครื่องมือรักษาความปลอดภัย 802.11b

เครื่องมือรักษาความปลอดภัยในข้อกำหนด 802.11b นั้นไม่ได้สมบูรณ์แบบ แต่ก็ดีกว่าไม่มีเลย แม้ว่าคุณจะตัดสินใจที่จะไม่ใช้มันก็ตาม สิ่งสำคัญคือต้องเข้าใจว่ามันคืออะไรและทำงานอย่างไรก่อนที่จะปิดมัน

ชื่อเครือข่าย (SSID)

ตามที่กล่าวไว้ในบทที่ 1 ทุกเครือข่ายไร้สายจะมีชื่อ บนเครือข่ายที่มีจุดเข้าใช้งานเพียงจุดเดียว ชื่อคือ Basic Service Set ID (BSSID) เมื่อเครือข่ายมีจุดเชื่อมต่อมากกว่าหนึ่งจุด ชื่อจะกลายเป็น Extended Service Set ID (ESSID) การกำหนดมาตรฐานสำหรับชื่อเครือข่ายทั้งหมดคือ SSID ซึ่งเป็นคำที่คุณมักจะเห็นในยูทิลิตี้การกำหนดค่าสำหรับจุดเชื่อมต่อไร้สายและไคลเอนต์

เมื่อกำหนดค่าจุดเข้าใช้งานสำหรับเครือข่าย คุณต้องกำหนด SSID ให้กับเครือข่ายนั้น จุดเชื่อมต่อและไคลเอ็นต์เครือข่ายทุกจุดบนเครือข่ายต้องใช้ SSID เดียวกัน บนคอมพิวเตอร์ Windows SSID ของอแด็ปเตอร์ไร้สายจะต้องเป็นชื่อเวิร์กกรุ๊ปด้วย

เมื่อตรวจพบจุดเข้าใช้งานตั้งแต่สองจุดขึ้นไปที่มี SSID เดียวกัน ผู้ใช้จะถือว่าจุดเชื่อมต่อทั้งหมดเป็นส่วนหนึ่งของเครือข่ายเดียวกัน (แม้ว่าจุดเข้าใช้งานจะทำงานบนช่องสัญญาณวิทยุที่แตกต่างกัน) และติดต่อกับจุดเข้าใช้งานที่ให้สัญญาณที่แรงที่สุดหรือชัดเจนที่สุด หากสัญญาณนี้ลดลงเนื่องจากการรบกวนหรือการลดทอน ไคลเอนต์จะพยายามย้ายไปยังจุดเชื่อมต่ออื่นซึ่งเชื่อว่าเป็นของเครือข่ายเดียวกัน

หากเครือข่ายสองเครือข่ายที่มีสัญญาณทับซ้อนกันมีชื่อเดียวกัน ไคลเอนต์จะถือว่าทั้งสองเครือข่ายเป็นส่วนหนึ่งของเครือข่ายเดียวกันและอาจพยายามเปลี่ยน จากมุมมองของผู้ใช้ การเปลี่ยนแปลงที่ผิดพลาดดังกล่าวดูเหมือนว่าการเชื่อมต่อเครือข่ายหยุดชะงักโดยสิ้นเชิง ดังนั้นแต่ละเครือข่ายไร้สายที่อาจทับซ้อนกันจะต้องมี SSID ที่ไม่ซ้ำกัน

ข้อยกเว้นสำหรับกฎ SSID เฉพาะคือเครือข่ายสาธารณะและเครือข่ายกลุ่ม ซึ่งให้การเข้าถึงอินเทอร์เน็ตเท่านั้น และไม่ให้เข้าถึงคอมพิวเตอร์หรืออุปกรณ์อื่น ๆ บนเครือข่ายท้องถิ่น เครือข่ายดังกล่าวมักจะแชร์ SSID ร่วมกันเพื่อให้สมาชิกสามารถค้นพบและเชื่อมต่อได้จากหลาย ๆ ที่

จุดเข้าใช้งานบางแห่ง รวมถึงสถานีฐาน AirPort ของ Apple และระบบ Orinoco ที่คล้ายกัน มีคุณลักษณะที่ให้คุณเลือกระหว่างการเข้าถึงแบบ "เปิด" และ "ปิด" เมื่อมีการกำหนดค่าจุดเข้าใช้งานสำหรับการเข้าถึงสาธารณะ จุดนั้นจะยอมรับการเชื่อมต่อจากไคลเอนต์ที่ตั้งค่า SSID ไว้ ใดๆ(ใดๆ) เช่นเดียวกับจากอุปกรณ์ที่กำหนดค่าให้สื่อสารโดยใช้ SSID ของจุดเข้าใช้งาน เมื่อจุดเข้าใช้งานถูกตั้งค่าเป็นแบบส่วนตัว (Apple เรียกว่า "เครือข่ายที่ซ่อนอยู่") จุดเชื่อมต่อจะยอมรับเฉพาะการเชื่อมต่อที่มี SSID ตรงกับ SSID เท่านั้น นี่เป็นวิธีที่ดีในการปกป้องเครือข่ายของคุณจากบุคคลภายนอก แต่จะใช้งานได้ก็ต่อเมื่อทุกโหนดบนเครือข่ายใช้อะแดปเตอร์จาก Orinoco (การ์ด Apple AirPort เป็นเวอร์ชันที่เป็นกรรมสิทธิ์ของอะแดปเตอร์ Orinoco) หากอะแดปเตอร์ที่ผลิตโดยผู้ผลิตรายอื่นพยายามเชื่อมต่อกับจุดเข้าใช้งานแบบปิด อะแดปเตอร์จะเพิกเฉยต่อแม้ว่า SSID จะตรงกันก็ตาม

SSID เครือข่ายมีรูปแบบการควบคุมการเข้าถึงที่จำกัดมาก เนื่องจากคุณต้องระบุ SSID เมื่อตั้งค่าการเชื่อมต่อไร้สาย คุณลักษณะ SSID ของจุดเข้าใช้งานจะเป็นช่องข้อความที่ยอมรับชื่อใดๆ ก็ตามที่คุณต้องการตั้งชื่อเสมอ อย่างไรก็ตาม โปรแกรมกำหนดค่าเครือข่ายจำนวนมาก (รวมถึงเครื่องมือเครือข่ายไร้สายใน Windows XP และโปรแกรมที่มาพร้อมกับอะแดปเตอร์เครือข่ายบางยี่ห้อ) จะตรวจจับและแสดง SSID ของแต่ละเครือข่ายที่ใช้งานอยู่ภายในช่วงสัญญาณโดยอัตโนมัติ ดังนั้นจึงไม่จำเป็นต้องทราบ SSID ของเครือข่ายก่อนทำการเชื่อมต่อเสมอไป บางครั้งยูทิลิตี้การกำหนดค่า (ตัวตรวจสอบเครือข่ายหรือโปรแกรมสแกนที่คล้ายกับ Network Stumbler) จะแสดงชื่อของแต่ละเครือข่ายใกล้เคียงในรายการหรือเมนู

ดังตัวอย่างในรูป รูปที่ 14.1 แสดงผลของเครื่องสแกน Network Stumbler ที่สนามบินซีแอตเทิล-ทาโคมา โดยที่ WayPort ให้บริการในอาคารผู้โดยสาร และ MobileStar ให้ความคุ้มครองที่ American Airlines VIP Club (MobileStar กลายเป็นส่วนหนึ่งของบริการอื่นหลังจากที่ฉันวางแผนได้ไม่นาน ดังนั้นชื่อเครือข่ายจึงมีการเปลี่ยนแปลง แต่บริการยังคงเหมือนเดิม)

จุดเข้าใช้งานแต่ละจุดมาพร้อมกับการตั้งค่า SSID เริ่มต้น การตั้งค่าเริ่มต้นเหล่านี้เป็นที่รู้จักและเผยแพร่ในชุมชนการสอดแนม (ดูตัวอย่าง http://www.wi2600.org/mediawhore/nf0/wireless/ssid_defaults) แน่นอนว่าการตั้งค่าเริ่มต้นไม่ควรใช้กับเครือข่ายใดๆ

ข้าว. 14.1

จุดเข้าใช้งานหลายแห่งมาพร้อมกับคุณสมบัติการซ่อน SSID ซึ่งมักเรียกว่า เครือข่ายที่ซ่อนอยู่หรือ เครือข่ายที่ซ่อนอยู่. คุณสมบัตินี้ช่วยป้องกันไม่ให้สายลับบางคนค้นพบชื่อเครือข่ายของคุณ แต่เมื่อใดก็ตามที่ไคลเอนต์ใหม่เชื่อมต่อกับเครือข่ายหรือไคลเอนต์ที่มีอยู่ได้รับสัญญาณที่อ่อน SSID จะถูกออกอากาศและโปรแกรมเช่น Kismet จะตรวจจับได้ การซ่อน SSID อาจทำให้แขกที่มาเยี่ยมชมช้าลง แต่ไม่ได้ให้ความปลอดภัยที่แท้จริงใดๆ

การเข้ารหัส WEP

การเข้ารหัส WEP เป็นคุณลักษณะของระบบ 802.11b ทุกระบบ ดังนั้นการทราบวิธีการทำงานจึงเป็นสิ่งสำคัญ แม้ว่าคุณจะเลือกที่จะไม่ใช้ก็ตาม ตามชื่อที่แสดง วัตถุประสงค์เดิมของ Wired Equivalent Privacy (WEP) คือเพื่อให้ระดับการรักษาความปลอดภัยสำหรับเครือข่ายไร้สายเทียบได้กับเครือข่ายแบบมีสาย แต่มีข้อกล่าวอ้างทั่วไปว่าเครือข่ายที่ใช้การเข้ารหัส WEP เกือบจะเสี่ยงต่อการถูกบุกรุกเหมือนกับเครือข่ายที่ไม่มีการรักษาความปลอดภัยเลย มันจะป้องกันการสอดแนมเป็นครั้งคราว แต่จะไม่ได้ผลเป็นพิเศษกับหัวขโมยที่อยู่ประจำ

WEP ทำหน้าที่สามประการ: ป้องกันการเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาต ตรวจสอบความสมบูรณ์ของแต่ละแพ็กเก็ต และปกป้องข้อมูลจากผู้ประสงค์ร้าย ในการเข้ารหัสแพ็กเก็ตข้อมูล WEP จะใช้คีย์การเข้ารหัสลับก่อนที่ไคลเอ็นต์เครือข่ายหรือจุดเข้าใช้งานจะส่งข้อมูล และใช้คีย์เดียวกันเพื่อถอดรหัสข้อมูลหลังจากได้รับแล้ว

เมื่อไคลเอนต์พยายามสื่อสารกับเครือข่ายโดยใช้คีย์อื่น ผลลัพธ์จะถูกอ่านไม่ออกและถูกละเว้น ดังนั้นการตั้งค่า WEP จะต้องเหมือนกันทุกประการในทุกจุดเข้าใช้งานและอะแดปเตอร์ไคลเอนต์บนเครือข่าย ฟังดูง่ายพอ แต่ก็ทำให้เกิดความสับสนเนื่องจากผู้จำหน่ายใช้วิธีการที่แตกต่างกันในการกำหนดขนาดและรูปแบบของคีย์ WEP ฟังก์ชั่นมีความสอดคล้องกันในแต่ละยี่ห้อ แต่การตั้งค่าเดียวกันนั้นไม่ได้มีการกำหนดเหมือนกันเสมอไป

คีย์ WEP ของคุณมีบิตจำนวนเท่าใด

ขั้นแรก คีย์ WEP อาจเป็น 64 หรือ 128 บิตก็ได้ คีย์ 128 บิตนั้นถอดรหัสได้ยากกว่า แต่ยังเพิ่มระยะเวลาในการส่งแต่ละแพ็กเก็ตด้วย

ความสับสนระหว่างการใช้งานของผู้จำหน่ายแต่ละรายเกิดขึ้นเนื่องจาก WEP 40 บิตเหมือนกับคีย์ WEP 64 บิต และคีย์ 104 บิตก็เหมือนกับคีย์ 128 บิต คีย์ WEP มาตรฐาน 64 บิตคือสตริงที่มีเวกเตอร์การเริ่มต้น 24 บิตที่สร้างขึ้นภายใน และคีย์ลับ 40 บิตที่กำหนดโดยผู้ดูแลระบบเครือข่าย โปรแกรมข้อมูลจำเพาะและการกำหนดค่าของผู้ผลิตบางรายเรียกสิ่งนี้ว่า "การเข้ารหัสแบบ 64 บิต" และบางโปรแกรมเรียกว่า "การเข้ารหัสแบบ 40 บิต" ไม่ว่าในกรณีใด รูปแบบการเข้ารหัสจะยังคงเหมือนเดิม ดังนั้นอะแดปเตอร์ที่ใช้การเข้ารหัส 40 บิตจึงเข้ากันได้อย่างสมบูรณ์กับจุดเข้าใช้งานหรืออะแดปเตอร์ที่ใช้การเข้ารหัส 64 บิต

อะแดปเตอร์เครือข่ายและจุดเชื่อมต่อจำนวนมากยังมีคุณลักษณะ "การเข้ารหัสที่รัดกุม" ที่ใช้คีย์ 128 บิต (ซึ่งจริงๆ แล้วเป็นคีย์ลับ 104 บิตที่มีเวกเตอร์การเริ่มต้น 24 บิต)

การเข้ารหัสที่รัดกุมสามารถใช้งานร่วมกับการเข้ารหัสแบบ 64 บิตได้ทางเดียว แต่ไม่ใช่โดยอัตโนมัติ ดังนั้นส่วนประกอบทั้งหมดของเครือข่ายอุปกรณ์แบบผสมที่มีคีย์ 128 บิตและ 64 บิตจะทำงานกับการเข้ารหัสแบบ 64 บิตได้ หากจุดเข้าใช้งานและอะแดปเตอร์ทั้งหมดรองรับการเข้ารหัส 128 บิต ให้ใช้คีย์ 128 บิต แต่ถ้าคุณต้องการให้เครือข่ายของคุณเข้ากันได้กับอะแดปเตอร์และจุดเข้าใช้งานที่รู้จักเฉพาะการเข้ารหัสแบบ 64 บิต ให้กำหนดค่าเครือข่ายทั้งหมดของคุณให้ใช้คีย์ 64 บิต

ASCII หรือคีย์เลขฐานสิบหก?

แต่ความยาวของคีย์เพียงอย่างเดียวทำให้เกิดความสับสนเมื่อตั้งค่าการเข้ารหัส WEP บางโปรแกรมต้องการคีย์เป็นสตริงอักขระข้อความ ในขณะที่บางโปรแกรมกำหนดให้เป็นเลขฐานสิบหก ผู้อื่นสามารถสร้างคีย์จากข้อความรหัสผ่านเพิ่มเติมได้

อักขระ ASCII แต่ละตัวประกอบด้วย 8 บิต ดังนั้นคีย์ WEP 40 บิต (หรือ 64 บิต) จึงประกอบด้วยอักขระ 5 ตัว และคีย์ 104 บิต (หรือ 128 บิต) ประกอบด้วยอักขระ 13 ตัว ในเลขฐานสิบหก แต่ละตัวเลขจะประกอบด้วย 4 บิต ดังนั้นคีย์ 40 บิตจึงมีอักขระเลขฐานสิบหก 10 ตัว และคีย์ 128 บิตจะมีอักขระ 26 ตัว

ในรูป ในรูปที่ 14.2 ซึ่งแสดงหน้าต่างการตั้งค่าไร้สายสำหรับจุดเข้าใช้งาน D-Link ฟิลด์ Shared Key Security 40 บิตใช้อักขระเลขฐานสิบหกและมีพื้นที่สำหรับอักขระสิบตัว โปรแกรม D-Link ประกอบด้วยอักขระทั้ง 10 ตัวในบรรทัดเดียว แต่บางตัวก็แบ่งออกเป็น 5 กลุ่ม กลุ่มละ 2 หลัก หรือแบ่งเป็น 2 กลุ่ม กลุ่มละ 5 หลัก

ข้าว. 14.2

สำหรับคอมพิวเตอร์ คีย์จะมีลักษณะเหมือนกันไม่ว่าจะด้วยวิธีใดก็ตาม แต่จะง่ายกว่าในการคัดลอกสตริงเมื่อแบ่งออกเป็นส่วนๆ

ยูทิลิตีไคลเอ็นต์จำนวนมาก เช่น กล่องโต้ตอบคุณสมบัติเครือข่ายไร้สายใน Windows XP (แสดงในรูปที่ 14.3) มีตัวเลือกรหัสฐานสิบหกหรือข้อความ เพื่อให้คุณสามารถใช้รูปแบบที่เหมาะสมสำหรับจุดเข้าใช้งานได้

ข้อความรหัสผ่านคือสตริงข้อความที่อะแดปเตอร์และจุดเชื่อมต่อจะแปลงเป็นสตริงอักขระเลขฐานสิบหกโดยอัตโนมัติ เนื่องจากโดยทั่วไปแล้วผู้คนจำคำหรือวลีที่มีความหมายได้ง่ายกว่า gobbledygook ที่เป็นเลขฐานสิบหก ข้อความรหัสผ่านจึงถ่ายทอดได้ง่ายกว่าสตริงที่เป็นเลขฐานสิบหก อย่างไรก็ตาม ข้อความรหัสผ่านจะมีประโยชน์ก็ต่อเมื่ออแด็ปเตอร์และจุดเชื่อมต่อทั้งหมดบนเครือข่ายสร้างโดยผู้ผลิตรายเดียวกันเท่านั้น

ข้าว. 14.3

มีคุณสมบัติอะไรบ้าง?

เช่นเดียวกับการตั้งค่าเกือบทั้งหมดในยูทิลิตีการกำหนดค่า 802.11b ชื่อของฟังก์ชัน WEP จะไม่คงที่จากโปรแกรมหนึ่งไปยังอีกโปรแกรมหนึ่ง

บางตัวใช้ชุดคุณสมบัติแบบเปิด เช่น “เปิดใช้งานการเข้ารหัส WEP” ในขณะที่บางตัวใช้คำศัพท์ทางเทคนิคที่นำมาจากข้อกำหนด 802.11 อย่างเป็นทางการ Open System Authentication เป็นรูปแบบที่สองของชื่อ "WEP Encryption Disabled"

จุดเชื่อมต่อบางแห่งยังมีคุณสมบัติการตรวจสอบสิทธิ์คีย์สาธารณะเสริมซึ่งใช้การเข้ารหัส WEP โดยที่ไคลเอ็นต์เครือข่ายมีคีย์ แต่ข้อมูลที่ไม่ได้เข้ารหัสจะได้รับการยอมรับจากโหนดเครือข่ายอื่น

การรวมคีย์เลขฐานสิบหกและข้อความ

การตั้งค่าเครือข่ายแบบผสมจะซับซ้อนมากขึ้นเมื่อโหนดเครือข่ายบางโหนดใช้คีย์เลขฐานสิบหกเท่านั้น ในขณะที่โหนดอื่นๆ ต้องใช้คีย์ข้อความ หากสถานการณ์นี้เกิดขึ้นบนเครือข่ายของคุณ คุณต้องปฏิบัติตามกฎด้านล่างเพื่อกำหนดค่าด้วย WEP:

แปลงคีย์ข้อความทั้งหมดเป็นเลขฐานสิบหก หากโปรแกรมกำหนดค่าต้องใช้คีย์ข้อความ ให้ป้อนอักขระ โอ้(ศูนย์ตามด้วยตัวพิมพ์เล็ก x) หน้าสตริงเลขฐานสิบหก หากคุณใช้ซอฟต์แวร์ AirPort ของ Apple แทน โอ้ที่จุดเริ่มต้นของคีย์เลขฐานสิบหก คุณต้องป้อนสัญลักษณ์ดอลลาร์ ( $ );

ตรวจสอบให้แน่ใจว่าคีย์เข้ารหัสทั้งหมดของคุณมีจำนวนอักขระที่ถูกต้อง

หากยังคงใช้งานไม่ได้ ให้อ่านส่วนความปลอดภัยในคู่มือสำหรับอะแดปเตอร์เครือข่ายและจุดเข้าใช้งานของคุณ อาจเป็นไปได้ว่าอุปกรณ์เหล่านี้อย่างน้อยหนึ่งเครื่องบนเครือข่ายมีลักษณะบุคลิกภาพที่ซ่อนอยู่ซึ่งคุณไม่ทราบ

การเปลี่ยนคีย์ WEP

จุดเข้าใช้งานและอะแดปเตอร์ไคลเอ็นต์เครือข่ายจำนวนมากสามารถรองรับคีย์ WEP 64 บิตที่แตกต่างกันได้ถึงสี่คีย์ แต่จะมีเพียงคีย์เดียวเท่านั้นที่แอ็คทีฟในแต่ละครั้ง ดังแสดงในรูปที่ 1 14.4. คีย์อื่นๆ คือคีย์สำรอง ซึ่งจะช่วยให้ผู้ดูแลระบบเครือข่ายสามารถปรับความปลอดภัยของเครือข่ายได้โดยแจ้งให้ทราบล่วงหน้าสั้นๆ อะแดปเตอร์และจุดเข้าใช้งานที่รองรับการเข้ารหัส 128 บิตจะใช้คีย์ WEP 128 บิตเพียงคีย์เดียวในแต่ละครั้ง

ข้าว. 14.4

บนเครือข่ายที่มีการจัดการการเข้ารหัส WEP อย่างจริงจัง ต้องเปลี่ยนคีย์ WEP เป็นประจำตามกำหนดเวลา เดือนก็เพียงพอแล้วสำหรับเครือข่ายที่ไม่ส่งข้อมูลสำคัญ แต่สำหรับเครือข่ายที่มีความรุนแรงมากขึ้น จะต้องติดตั้งคีย์ใหม่สัปดาห์ละครั้งหรือสองครั้ง อย่าลืมจดคีย์ WEP ปัจจุบันของคุณไว้ในที่ปลอดภัย

บนเครือข่ายภายในบ้านหรือสำนักงานขนาดเล็ก คุณมักจะเปลี่ยนคีย์ WEP ทั้งหมดด้วยตัวเอง มิฉะนั้น ผู้ดูแลระบบเครือข่ายหรือผู้เชี่ยวชาญด้านความปลอดภัยควรแจกจ่ายคีย์ WEP ใหม่บนกระดาษในบันทึกช่วยจำ แทนที่จะแจกจ่ายทางอีเมล เพื่อเพิ่มระดับความปลอดภัยบนเครือข่ายที่ใช้การเข้ารหัส 64 บิต โปรดแนะนำให้ผู้ใช้เปลี่ยนคีย์ครั้งละ 2 ปุ่ม (ไม่ใช่ค่าเริ่มต้นปัจจุบัน) ส่งบันทึกแยกต่างหากเพื่อแจ้งให้ผู้ใช้ทราบว่าคีย์ใดกลายเป็นค่าเริ่มต้นใหม่และเมื่อใดที่ควรเปลี่ยนแปลง

คำแนะนำรายสัปดาห์โดยทั่วไปอาจมีลักษณะดังนี้:

โปรดป้อนคีย์ WEP 64 บิตใหม่ต่อไปนี้:

รหัส 1: XX XX XX XX XX

คีย์ 4: ปปปปปปปปปปป

หมายเหตุอีกฉบับหนึ่งสัปดาห์ต่อมาจะให้รหัสสำหรับคีย์ 2 และคีย์ 3

หมายเหตุแยกต่างหากอาจพูดว่า: “เครือข่ายของเราจะเปลี่ยนเป็นคีย์ 3 เวลาเที่ยงคืนของวันอังคาร โปรดเปลี่ยนคีย์เริ่มต้นของอะแดปเตอร์เครือข่ายของคุณ" หากต้องการเปลี่ยนแปลง ให้เลือกเวลาที่ผู้ใช้จำนวนน้อยที่สุดกำลังใช้เครือข่ายไร้สาย เนื่องจากการเชื่อมต่อที่ใช้งานบนจุดเข้าใช้งานในขณะที่มีการเปลี่ยนแปลงคีย์จะใช้งานไม่ได้และไม่สามารถกู้คืนได้จนกว่าคีย์บนอะแดปเตอร์ไคลเอ็นต์จะมีการเปลี่ยนแปลง ผู้ใช้สามารถป้อนคีย์ใหม่ล่วงหน้าเป็นทางเลือกแทนคีย์ที่ใช้งานอยู่ในปัจจุบัน และเปลี่ยนคีย์ได้ด้วยการคลิกเพียงไม่กี่ครั้งเมื่อคีย์ใหม่มีผล

การป้องกัน WEP เพียงพอหรือไม่

นักวิทยาศาสตร์คอมพิวเตอร์หลายคนได้เผยแพร่รายงานเกี่ยวกับการเข้ารหัส WEP โดยโต้แย้งว่ามีการใช้เพื่อปกป้องข้อมูลที่ละเอียดอ่อน ทั้งหมดนี้ชี้ไปที่ข้อบกพร่องร้ายแรงในทางทฤษฎีและการปฏิบัติของการเข้ารหัสที่ใช้ในองค์ประกอบของอัลกอริธึมการเข้ารหัส WEP ผู้เชี่ยวชาญเหล่านี้มีความเห็นเป็นเอกฉันท์ในคำแนะนำ: ใครก็ตามที่ใช้เครือข่ายไร้สาย 802.11 ไม่ควรพึ่งพา WEP เพื่อความปลอดภัย คุณต้องใช้วิธีการอื่นเพื่อปกป้องเครือข่ายของคุณ

ทีมงานจากมหาวิทยาลัยแคลิฟอร์เนีย เบิร์กลีย์ ได้พบข้อบกพร่องมากมายในอัลกอริธึม WEP ที่ทำให้เสี่ยงต่อการโจมตีประเภทต่างๆ อย่างน้อยสี่ประเภท:

การโจมตีแบบพาสซีฟโดยใช้การวิเคราะห์ทางสถิติเพื่อถอดรหัสข้อมูล

การโจมตีแบบแอคทีฟด้วยการสร้างแพ็กเก็ตที่เข้ารหัสซึ่งบังคับให้จุดเข้าใช้งานยอมรับคำสั่งเท็จ

การโจมตีโดยการวิเคราะห์แพ็กเก็ตที่เข้ารหัสเพื่อสร้างพจนานุกรม ซึ่งสามารถใช้เพื่อถอดรหัสข้อมูลแบบเรียลไทม์โดยอัตโนมัติ

การโจมตีที่แก้ไขส่วนหัวของแพ็กเก็ตเพื่อเปลี่ยนเส้นทางข้อมูลไปยังปลายทางที่ควบคุมโดยผู้โจมตี

รายงานของ Berkeley ปิดท้ายด้วยข้อความที่ชัดเจน: “การรักษาความปลอดภัย WEP ไม่เทียบเท่ากับการรักษาความปลอดภัยแบบมีสาย ปัญหาเกี่ยวกับโปรโตคอลเป็นผลมาจากความเข้าใจผิดในพื้นฐานการเข้ารหัสบางประการ ดังนั้นจึงใช้วิธีการเข้ารหัสที่ไม่ปลอดภัย"

นักวิจัยจาก Rice University และ AT&T Labs เผยแพร่คำอธิบายของตนเองเกี่ยวกับการโจมตีเครือข่ายที่เข้ารหัส WEP (http://www.cs.rice.edu/~astubble/wep) ซึ่งนำไปสู่ข้อสรุปที่คล้ายกัน: “WEP ใน 802.11 ไม่ปลอดภัยเลย” พวกเขาสามารถสั่งซื้อและรับอุปกรณ์ที่จำเป็น ตั้งค่าม้านั่งทดสอบ พัฒนาเครื่องมือโจมตี และรับคีย์ WEP 128 บิตได้สำเร็จภายในเวลาไม่ถึงหนึ่งสัปดาห์

ทั้งรายงานของ Berkeley และ AT&T Labs เขียนโดยผู้เชี่ยวชาญด้านเทคนิค สำหรับผู้เชี่ยวชาญด้านเทคนิค และวิเคราะห์การเข้ารหัส ข้อโต้แย้งของพวกเขาสามารถเข้าใจได้ แต่วิธีการของพวกเขาสันนิษฐานว่าผู้ประสงค์ร้ายมีความรู้ด้านเทคนิคที่จริงจัง อย่างไรก็ตาม เครื่องมือสำหรับโปรแกรมถอดรหัสโค้ดที่มีความซับซ้อนน้อยกว่าก็สามารถค้นหาได้อย่างง่ายดายเช่นกัน ทั้ง AirSnort (http://airsnort.shmoo.com) และ WEPCrack() เป็นโปรแกรม Linux ที่ตรวจสอบสัญญาณเครือข่ายไร้สายและใช้ประโยชน์จากจุดอ่อนในอัลกอริทึม WEP เพื่อรับคีย์การเข้ารหัส

นักพัฒนา AirSnort อ้างว่าโปรแกรมของพวกเขาสามารถแฮ็กเครือข่ายส่วนใหญ่ได้สำเร็จภายในสองสัปดาห์ เทคโนโลยีนี้จะตรวจสอบสัญญาณเครือข่ายโดยไม่ส่งผลต่อสัญญาณ ดังนั้นผู้ดูแลระบบเครือข่ายจึงไม่สามารถตรวจพบว่ามีการโจมตีเกิดขึ้น โปรแกรมกำลังออกเพื่อทำให้ปัญหาแย่ลง หากการเข้ารหัส WEP ละเมิดได้ง่าย กลุ่มมาตรฐานจะถูกบังคับให้หาวิธีทำให้มีความปลอดภัยมากขึ้นหรือแทนที่ด้วยตัวเลือกที่ยากต่อการถอดรหัส

โดยสรุป: รักษาความเรียบง่ายและเข้ารหัสข้อมูลเครือข่ายของคุณ

ข้อมูลที่เข้ารหัสมีความปลอดภัยมากกว่าการส่งผ่านข้อความธรรมดา และการแคร็กคีย์ WEP ต้องใช้เวลา ดังนั้น WEP จึงเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่ง (สันนิษฐานว่าอ่อนแอ) โดยเฉพาะอย่างยิ่งหากคุณเปลี่ยนคีย์บ่อยครั้ง การเข้ารหัส WEP ไม่สามารถปกป้องคุณจากศัตรูร้ายแรงได้มากนัก แต่จะปกป้องคุณจากผู้ประสงค์ร้ายแบบสุ่ม การเจาะเข้าไปในเครือข่ายที่ไม่ใช้การเข้ารหัสทำได้ง่ายกว่ามาก (ซึ่งเป็นสิ่งที่คนส่วนใหญ่ทำ) ดังนั้นแฮกเกอร์ที่ค้นพบสัญญาณที่เข้ารหัสมีแนวโน้มที่จะย้ายไปยังเป้าหมายที่มีความปลอดภัยน้อยกว่า

ความช่วยเหลือกำลังมา

แน่นอนว่าการออกแบบระบบรักษาความปลอดภัยที่มีรูขนาดใหญ่พอที่จะบรรทุกรถบรรทุกดิจิทัลขนาดยักษ์เข้าไปได้นั้นแทบจะแย่พอๆ กับการไม่มีการรักษาความปลอดภัยเลย การโจมตีการเข้ารหัส WEP ที่ประสบความสำเร็จและเครื่องมือที่พร้อมใช้งานเพื่อใช้ประโยชน์จากข้อบกพร่องของโปรโตคอลความปลอดภัย ทำให้สมาชิก Wi-Fi Alliance พิจารณาสนับสนุนใบอนุญาตของตนอย่างจริงจังในฐานะมาตรฐานโดยพฤตินัยสำหรับเครือข่ายไร้สาย พวกเขาใช้คำว่า “วิกฤต” เพื่ออธิบายความสนใจที่มอบให้กับปัญหาเหล่านี้

พวกเขาต้องการค้นหาวิธีแก้ปัญหาก่อนที่ชื่อเสียงฉาวโฉ่ของการละเมิดความปลอดภัยจะมีมากกว่าความต้องการอุปกรณ์อีเธอร์เน็ตไร้สายที่พวกเขาสร้างและโฆษณาอย่างระมัดระวัง

มาตรฐานใหม่ที่จะแก้ปัญหานี้จะเรียกว่า 802.11i.IEEE คณะกรรมการมาตรฐาน 802.11 เริ่มหารือเกี่ยวกับปัญหาดังกล่าวหลายเดือนก่อนที่จะเผยแพร่สู่สาธารณะ คณะกรรมการที่เรียกว่า Task Group i (TGi) กำลังทำงานเกี่ยวกับข้อกำหนดด้านความปลอดภัยใหม่ที่ได้รับการปรับปรุง ซึ่ง (หวังว่า) จะแก้ไขจุดอ่อนที่ทราบทั้งหมดของมาตรฐานการเข้ารหัส WEP กลุ่มสัญญาว่าเครื่องมือรักษาความปลอดภัยใหม่จะทำงานโดยอัตโนมัติและจะเข้ากันได้กับอุปกรณ์รุ่นเก่าที่ไม่ได้ใช้เครื่องมือใหม่ กลุ่มวิจัยมีเว็บไซต์ที่ http://grouper.ieee.Org/groups/802/11/Reports ซึ่งคุณสามารถค้นหาข้อมูลการประชุมและอ่านเอกสารทางเทคนิคบางส่วนได้

Wi-Fi Alliance ต้องการให้สมาชิกเริ่มใช้ผลิตภัณฑ์ TGi โดยเร็วที่สุด สิ่งนี้สามารถคลี่คลายสถานการณ์ก่อนที่จะกลายเป็นหายนะเชิงพาณิชย์ เมื่อวิศวกรรายงานโซลูชัน ผู้ผลิตจุดเข้าใช้งานและอะแดปเตอร์เครือข่ายทั้งหมดจะรวมวิธีการรักษาความปลอดภัยใหม่เข้ากับผลิตภัณฑ์ของตน และ Alliance จะเพิ่มวิธีการเหล่านี้ลงในชุดทดสอบการรับรอง Wi-Fi ซอฟต์แวร์และเฟิร์มแวร์ที่อัปเดตจะรับประกันความเข้ากันได้ของผลิตภัณฑ์ 802.11b ที่มีอยู่กับโปรโตคอล 802.11i ใหม่

การควบคุมการเข้าถึง

จุดเชื่อมต่อส่วนใหญ่มีคุณสมบัติที่ช่วยให้ผู้ดูแลระบบเครือข่ายจำกัดการเข้าถึงอะแดปเตอร์ไคลเอนต์จากรายการที่ระบุ หากอุปกรณ์เครือข่ายที่มีที่อยู่ MAC ไม่อยู่ในรายชื่อผู้ใช้ที่ได้รับอนุญาตพยายามเชื่อมต่อ จุดเชื่อมต่อจะเพิกเฉยต่อคำขอเชื่อมโยงกับเครือข่าย วิธีนี้อาจมีประสิทธิภาพในการป้องกันไม่ให้คนแปลกหน้าเชื่อมต่อกับเครือข่ายไร้สาย แต่จะบังคับให้ผู้ดูแลระบบเครือข่ายเก็บรายชื่ออะแดปเตอร์ของผู้ใช้และที่อยู่ MAC ไว้ทั้งหมด ทุกครั้งที่ผู้ใช้ใหม่ต้องการเชื่อมต่อกับเครือข่าย และทุกครั้งที่ผู้ใช้ที่ถูกต้องเปลี่ยนอะแดปเตอร์ จะต้องมีคนเพิ่มที่อยู่ MAC อื่นลงในรายการ สิ่งนี้เป็นไปได้ในเครือข่ายภายในบ้านหรือสำนักงานขนาดเล็ก แต่อาจเป็นปัญหาใหญ่สำหรับระบบขององค์กรหรือวิทยาเขตขนาดใหญ่

ยูทิลิตีการกำหนดค่าจุดเชื่อมต่อแต่ละรายการใช้รูปแบบที่แตกต่างกันสำหรับรายการเข้าถึง เอกสารคู่มือและออนไลน์ที่มาพร้อมกับจุดเข้าใช้งานของคุณควรให้คำแนะนำโดยละเอียดเกี่ยวกับวิธีการสร้างและใช้รายการควบคุมการเข้าใช้งาน มาตรฐาน 802.11b ไม่ได้กำหนดขนาด ACL สูงสุดสำหรับจุดเข้าใช้งาน ดังนั้นตัวเลขจึงกระจายไปทั่วการ์ด จุดเข้าใช้งานบางแห่งจำกัดรายการไว้ที่พารามิเตอร์หลายสิบรายการ ส่วนอื่นๆ เช่น Proxim Harmony AP Controller จะรองรับที่อยู่ได้สูงสุด 10,000 ที่อยู่ ที่เหลือให้ไม่จำกัดจำนวน หากคุณวางแผนที่จะใช้รายการที่อยู่เพื่อควบคุมการเข้าถึงเครือข่ายของคุณ ตรวจสอบให้แน่ใจว่าจุดเข้าใช้งานจะจัดการกับรายการที่มีขนาดใหญ่พอที่จะรองรับผู้ใช้ทุกคนที่มีพื้นที่ว่างเพียงพอสำหรับอนาคต กฎทั่วไปคือจุดเข้าใช้งานจะต้องอนุญาตจำนวนที่อยู่ MAC อย่างน้อยสองเท่าเมื่อเทียบกับจำนวนผู้ใช้ปัจจุบันบนเครือข่ายของคุณ

การรับรองความถูกต้องของ MAC ไม่สามารถป้องกันการบุกรุกได้ทั้งหมด เนื่องจากการเปลี่ยนที่อยู่ MAC นั้นเป็นเรื่องเล็กน้อยสำหรับการ์ดเครือข่ายส่วนใหญ่ ผู้โจมตีต้องทำคือตรวจสอบการรับส่งข้อมูลเครือข่ายของคุณนานพอที่จะค้นหาผู้ใช้ที่ถูกต้องและคัดลอกที่อยู่ MAC ของเขา

อย่างไรก็ตาม นี่อาจเป็นวิธีที่มีประสิทธิภาพมากในการชะลอความเร็วของสายลับเป็นครั้งคราว

การรับรองความถูกต้อง: มาตรฐาน 802.1x

เนื่องจากช่องโหว่ด้านความปลอดภัยในข้อกำหนดการเข้ารหัส WEP ผู้ผลิตอุปกรณ์เครือข่ายไร้สายและนักพัฒนาซอฟต์แวร์หลายรายจึงได้ปรับใช้มาตรฐาน IEEE ใหม่ - 802.1x - เพื่อเพิ่มความปลอดภัยอีกชั้นหนึ่งให้กับเครือข่ายของตน มาตรฐาน 802.1x กำหนดเฟรมเวิร์กที่สามารถรองรับการรับรองความถูกต้องได้หลายรูปแบบ รวมถึงใบรับรอง สมาร์ทการ์ด และรหัสผ่านแบบใช้ครั้งเดียว ซึ่งทั้งหมดนี้ให้ความปลอดภัยมากกว่าการควบคุมการเข้าถึงที่รวมอยู่ใน 802.11

ในเครือข่ายไร้สาย 802.11 เทคโนโลยีที่เรียกว่า Robust Security Network ถูกสร้างขึ้นบนเฟรมเวิร์ก 802.1x เพื่อจำกัดการเข้าถึงเครือข่ายไปยังอุปกรณ์ที่ได้รับอนุญาต

ผู้ใช้ส่วนใหญ่ควรรู้สองสิ่งเกี่ยวกับ 802.1x: ประการแรก 802.1x ถูกรวมเข้ากับฮาร์ดแวร์และซอฟต์แวร์ 802.11b บางตัว (แต่ไม่ใช่ทั้งหมด) รวมถึงยูทิลิตี้การกำหนดค่าไร้สายที่มาพร้อมกับ Windows XP และจุดเข้าใช้งานสมัยใหม่หลายจุด ดังนั้นจึงสามารถให้บริการอื่นได้ ชั้นการป้องกันที่เป็นไปได้ และประการที่สอง มันยังคงมีข้อบกพร่องร้ายแรงที่แฮ็กเกอร์เครือข่ายที่เชี่ยวชาญสามารถโจมตีเพื่อแทรกซึมเครือข่ายไร้สายได้ รายละเอียดทางเทคนิคที่น่ารังเกียจ ซึ่งวิเคราะห์โดยนักวิจัยจากมหาวิทยาลัยแมริแลนด์สองคน มีให้ทางออนไลน์ที่ http://www.cs.umd.edu/~waa/1x.pdf

ดูเหมือนว่าจุดสังเกตจะปรากฏขึ้นแล้วใช่ไหม? วิศวกรจากบริษัทฮาร์ดแวร์และซอฟต์แวร์ที่สนใจรวมตัวกันภายใต้ร่มธงของกลุ่มวิจัย

จะทำอย่างไร? เครือข่ายไร้สายที่ปลอดภัยถือเป็นอุดมคติที่ไม่สามารถบรรลุได้ใช่หรือไม่? หากคุณมองการรักษาความปลอดภัยแบบไร้สายเป็นเหมือนเกมแมวกับเมาส์ ก็ค่อนข้างชัดเจนว่าหนู (สายลับและแครกเกอร์เครือข่าย) เป็นผู้ชนะ แต่เมาส์เหล่านี้ต้องการความรู้และฮาร์ดแวร์ขั้นสูงเพื่อเอาชนะเครื่องมือการเข้ารหัสและการรับรองความถูกต้องที่มีอยู่

ลองคิดดูว่ามันเหมือนกับประตูหน้าบ้านของคุณ ถ้าคุณเปิดทิ้งไว้ ใครๆ ก็สามารถเข้ามาขโมยสิ่งของของคุณได้ แต่ถ้าคุณล็อคประตูและล็อคหน้าต่าง มันจะยากกว่ามากสำหรับหัวขโมยที่จะเข้าไปข้างใน . ผู้เชี่ยวชาญสามารถเปิดล็อคได้ แต่จะต้องใช้เวลาและความพยายามมาก

ไฟร์วอลล์

หากคุณยอมรับว่าการเข้ารหัส WEP และ 802.1x ไม่มีความปลอดภัยไร้สายที่เพียงพอ ขั้นตอนต่อไปคือการหาวิธีอื่นเพื่อป้องกันไม่ให้บุคคลภายนอกเข้าถึงเครือข่ายของคุณ คุณต้องมีไฟร์วอลล์

ไฟร์วอลล์คือพร็อกซีเซิร์ฟเวอร์ที่กรองข้อมูลทั้งหมดที่ส่งผ่านไปยังหรือจากเครือข่าย ขึ้นอยู่กับชุดกฎที่ผู้ดูแลระบบเครือข่ายกำหนด ตัวอย่างเช่น ไฟร์วอลล์อาจกรองข้อมูลจากแหล่งที่ไม่รู้จักหรือไฟล์ที่เกี่ยวข้องกับแหล่งเฉพาะ (ไวรัส) หรืออาจอนุญาตให้ส่งข้อมูลทั้งหมดจากเครือข่ายท้องถิ่นไปยังอินเทอร์เน็ต แต่อนุญาตเฉพาะข้อมูลบางประเภทจากอินเทอร์เน็ตเท่านั้น การใช้ไฟร์วอลล์เครือข่ายที่พบบ่อยที่สุดคือเป็นประตูสู่อินเทอร์เน็ต ดังแสดงในรูป 14.5. ไฟร์วอลล์จะตรวจสอบข้อมูลทั้งหมดที่เข้ามาและไประหว่างเครือข่ายท้องถิ่นด้านหนึ่งและอินเทอร์เน็ตอีกด้านหนึ่ง ไฟร์วอลล์ประเภทนี้ได้รับการออกแบบมาเพื่อปกป้องคอมพิวเตอร์บนเครือข่ายจากการเข้าถึงอินเทอร์เน็ตโดยไม่ได้รับอนุญาต

ข้าว. 14.5

ในเครือข่ายไร้สาย ไฟร์วอลล์อาจอยู่ที่เกตเวย์ระหว่างจุดเชื่อมต่อไร้สายและเครือข่ายแบบใช้สาย ไฟร์วอลล์ดังกล่าวจะแยกส่วนไร้สายของเครือข่ายออกจากเครือข่ายแบบใช้สาย ดังนั้นผู้ประสงค์ร้ายที่เชื่อมต่อคอมพิวเตอร์ของตนเข้ากับเครือข่ายโดยไม่ได้รับอนุญาตจะไม่สามารถใช้การเชื่อมต่อไร้สายเพื่อเข้าถึงอินเทอร์เน็ตหรือส่วนแบบใช้สายของเครือข่ายได้ ในรูป รูปที่ 14.6 แสดงตำแหน่งของไฟร์วอลล์บนเครือข่ายไร้สาย

ข้าว. 14.6

อย่าให้โอกาสแก่ผู้บุกรุกเครือข่ายไร้สาย

คนส่วนใหญ่ที่พยายามเข้าร่วมเครือข่ายไร้สายไม่ต้องกังวลกับคอมพิวเตอร์เครื่องอื่น พวกเขาสนใจอินเทอร์เน็ตความเร็วสูงฟรี หากพวกเขาไม่สามารถใช้เครือข่ายของคุณเพื่อดาวน์โหลดไฟล์หรือเชื่อมต่อกับเว็บเพจโปรดได้ พวกเขาอาจจะพยายามค้นหาจุดไร้สายอื่นที่ไม่ปลอดภัย นี่ไม่ได้หมายความว่าคุณควรจัดเก็บข้อมูลที่ละเอียดอ่อนไว้ในไฟล์ที่สามารถเข้าถึงได้บนคอมพิวเตอร์ที่ไม่ปลอดภัย แต่หากคุณสามารถจำกัดหรือปฏิเสธการเข้าถึงอินเทอร์เน็ตได้ คุณจะทำให้เครือข่ายของคุณน่าสนใจน้อยลงสำหรับผู้ว่าร้าย ไฟร์วอลล์บนเครือข่ายไร้สายสามารถทำงานได้หลายอย่าง: ทำหน้าที่เป็นเราเตอร์ระหว่างเครือข่ายไร้สายและแบบใช้สาย หรือเป็นสะพานเชื่อมระหว่างเครือข่ายและอินเทอร์เน็ต ปิดกั้นการรับส่งข้อมูลทั้งหมดจากระบบไร้สายไปยังด้านแบบใช้สายที่ไม่ได้มาจากการรับรองความถูกต้อง ผู้ใช้ แต่จะไม่รบกวนคำสั่ง ข้อความ หรือการถ่ายโอนไฟล์ที่ทำโดยผู้ใช้ที่เชื่อถือได้

เนื่องจากทั้งผู้ใช้ที่ได้รับอนุญาตและบุคคลภายนอกอยู่ในไฟร์วอลล์ที่ไม่ปลอดภัย จึงไม่ได้แยกโหนดไร้สายออกจากกัน ผู้โจมตียังคงสามารถเข้าถึงคอมพิวเตอร์เครื่องอื่นบนเครือข่ายไร้สายเดียวกันและอ่านไฟล์ที่มีอยู่ได้ ดังนั้นจึงควรปิดใช้งานจะดีกว่า การแชร์ไฟล์(เข้าถึงไฟล์) บนคอมพิวเตอร์เครื่องใดก็ได้ที่เชื่อมต่อกับเครือข่ายไร้สาย

ไฟร์วอลล์ไร้สายต้องใช้การรับรองความถูกต้องบางประเภทเพื่ออนุญาตให้ผู้ใช้ที่ได้รับอนุญาตผ่านเกตเวย์และกรองผู้อื่นทั้งหมดออก หากการควบคุมการเข้าถึงตามที่อยู่ MAC ถูกสร้างขึ้นในระบบ 802.11b และไม่ยอมรับการรับรองความถูกต้องเพิ่มเติมใน 802.1x ไฟร์วอลล์ภายนอกควรกำหนดให้ผู้ใช้แต่ละรายป้อนข้อมูลเข้าสู่ระบบและรหัสผ่านก่อนเชื่อมต่ออินเทอร์เน็ต

หากเครือข่ายไร้สายของคุณมีคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการหลายระบบ ไฟร์วอลล์ต้องใช้การเข้าสู่ระบบที่ทำงานบนแพลตฟอร์มใดก็ได้ วิธีที่ง่ายที่สุดในการบรรลุเป้าหมายนี้คือการใช้เซิร์ฟเวอร์การตรวจสอบความถูกต้องบนเว็บ เช่นเซิร์ฟเวอร์ที่มาพร้อมกับ Apache Web Server (http://httpd.apache.org)

NASA ใช้ Apache บนเซิร์ฟเวอร์เฉพาะเพื่อสร้างเว็บไซต์ที่แจ้งเตือนผู้ใช้เมื่อพวกเขาป้อนชื่อบัญชีและรหัสผ่าน

เซิร์ฟเวอร์ใช้สคริปต์ Perl/CGI เพื่อเปรียบเทียบการเข้าสู่ระบบและรหัสผ่านกับฐานข้อมูล หากถูกต้อง ระบบจะสั่งให้เซิร์ฟเวอร์ยอมรับคำสั่งและข้อมูลจากที่อยู่ IP ของผู้ใช้ หากไม่มีการเข้าสู่ระบบในฐานข้อมูลหรือรหัสผ่านไม่ถูกต้อง เซิร์ฟเวอร์ Apache จะแสดงเว็บเพจ “ชื่อผู้ใช้และรหัสผ่านไม่ถูกต้อง”

เว็บเซิร์ฟเวอร์ Apache มีให้บริการในรูปแบบแอปพลิเคชัน Unix ที่ทำงานบนคอมพิวเตอร์เก่าที่ช้าซึ่งมี Pentium รุ่นแรกๆ หรือแม้แต่ CPU 486 ดังนั้นจึงมักจะสามารถนำคอมพิวเตอร์เก่าที่ไม่ได้ใช้เป็นไฟร์วอลล์ในแต่ละวันกลับมาใช้ซ้ำได้ ทั้งแอปพลิเคชัน Apache และระบบปฏิบัติการ Unix มีให้บริการในรูปแบบซอฟต์แวร์โอเพ่นซอร์ส ดังนั้นจึงควรสามารถสร้างไฟร์วอลล์ที่ใช้ Apache ได้ด้วยต้นทุนที่ต่ำมาก

หากคุณต้องการใช้ Windows แทน Unix คุณมีหลายทางเลือก คุณสามารถใช้ Apache เวอร์ชัน Windows NT/2000 หรือยูทิลิตี้เชิงพาณิชย์ เช่น Wireless Enforcer จาก Sygate (http://www.sygate.com/prodacls/sse/sse_swe_securjty.htm) - Wireless Enforcer ทำงานร่วมกับองค์ประกอบอื่นๆ ของ Sygate Secure Enterprise Suite Sygate Security) เพื่อกำหนดและตรวจสอบลายนิ้วมือเฉพาะให้กับผู้ใช้ที่ได้รับอนุญาตแต่ละราย หากบุคคลภายนอกพยายามเชื่อมต่อกับจุดเข้าใช้งานโดยไม่ต้องใช้ลายนิ้วมือ เครือข่ายจะบล็อกบุคคลเหล่านั้น

แยกเครือข่ายของคุณออกจากอินเทอร์เน็ต

การโจมตีเครือข่ายไร้สายไม่ได้เกิดขึ้นทางอากาศทั้งหมด เครือข่ายไร้สายต้องการการสนับสนุนไฟร์วอลล์ชนิดเดียวกันกับการโจมตีทางอินเทอร์เน็ตเช่นเดียวกับเครือข่ายอื่นๆ จุดเชื่อมต่อจำนวนมากมีฟังก์ชันไฟร์วอลล์ที่กำหนดค่าได้ แต่หากคุณไม่มี เครือข่ายของคุณต้องมีไฟร์วอลล์ต่อไปนี้อย่างน้อยหนึ่งรายการ:

โปรแกรมไฟร์วอลล์ในคอมพิวเตอร์แต่ละเครื่อง

เราเตอร์แยกต่างหากหรือคอมพิวเตอร์เฉพาะเพื่อทำหน้าที่เป็นไฟร์วอลล์เครือข่าย

แพ็คเกจการรักษาความปลอดภัยแบบรวม เช่น แพ็คเกจ Sygate ที่อธิบายไว้ในส่วนก่อนหน้า

โปรแกรมไคลเอนต์ไฟร์วอลล์มอบการป้องกันการโจมตีเครือข่ายของคุณทางอินเทอร์เน็ตอีกชั้นหนึ่ง บางส่วนมาจากผู้ประสงค์ร้ายที่กำลังมองหาวิธีอ่านไฟล์ของคุณและทรัพยากรอื่น ๆ ที่คุณต้องการซ่อนจากโลกภายนอก ผู้อื่นอาจต้องการใช้คอมพิวเตอร์ของคุณเป็นจุดแจกจ่ายสแปมหรือการแทรกซึมบนคอมพิวเตอร์เครื่องอื่นในโลก เพื่อทำให้ติดตามทรัพยากรจริงได้ยากขึ้น ผู้อื่นเผยแพร่ไวรัสหรือใช้โปรแกรมไม่พึงประสงค์ที่เข้าควบคุมคอมพิวเตอร์และแสดงข้อความข่มขู่หรือโฆษณา นอกจากนี้ เครื่องที่ไม่ปลอดภัยพร้อมพื้นที่เก็บข้อมูลที่ไม่ได้ใช้จำนวนมากอาจเป็นเป้าหมายที่น่าสนใจสำหรับแฮกเกอร์ที่ต้องการแจกจ่ายซอฟต์แวร์ เพลง หรือไฟล์วิดีโอละเมิดลิขสิทธิ์ (คุณไม่คิดว่าพวกเขาอาจจะเก็บเรื่องไร้สาระนั้นไว้ในคอมพิวเตอร์ของพวกเขาเองเหรอ?)

หากคุณตั้งค่าไฟร์วอลล์ที่แจ้งให้คุณทราบเมื่อคอมพิวเตอร์ภายนอกพยายามเชื่อมต่อกับเครือข่ายของคุณ คุณอาจเห็นความพยายามในการบุกรุกหลายครั้งทุกวัน

จุดเข้าใช้งานพร้อมไฟร์วอลล์

ตัวเลือกที่ง่ายที่สุดสำหรับการใช้ไฟร์วอลล์ไร้สายคือการใช้ไฟร์วอลล์ที่ติดตั้งอยู่ในจุดเข้าใช้งาน บางตัวรวมฟังก์ชันของจุดเข้าใช้งานแบบไร้สายเข้ากับเราเตอร์บรอดแบนด์และสวิตช์อีเทอร์เน็ต ดังนั้นจึงรองรับไคลเอ็นต์เครือข่ายทั้งแบบมีสายและไร้สาย

ดังที่คุณทราบ เราเตอร์เครือข่ายให้การแปลระหว่างที่อยู่ IP ตัวเลขที่กำหนดเกตเวย์ของเครือข่ายท้องถิ่น และที่อยู่ IP ภายในที่กำหนดคอมพิวเตอร์แต่ละเครื่องภายในนั้น โดยทั่วไปไฟร์วอลล์จะบล็อกการร้องขอข้อมูลขาเข้าทั้งหมดไปยังโฮสต์เครือข่ายท้องถิ่น แต่สิ่งนี้จะสร้างปัญหาเมื่อคุณต้องการใช้คอมพิวเตอร์ในเครือข่ายท้องถิ่นอย่างน้อยหนึ่งเครื่องเป็นเซิร์ฟเวอร์ไฟล์ เพื่อแก้ไขปัญหานี้ ไฟร์วอลล์จะมีเซิร์ฟเวอร์เสมือนที่เปลี่ยนเส้นทางคำขอบางประเภทไปยังคอมพิวเตอร์ที่เหมาะสมภายในเครือข่าย

คำขอแต่ละรายการเพื่อเชื่อมต่อกับเซิร์ฟเวอร์จะมีหมายเลขพอร์ตเฉพาะที่กำหนดประเภทของเซิร์ฟเวอร์ ตัวอย่างเช่น เว็บเซิร์ฟเวอร์ใช้พอร์ต 80 และ FTP ใช้พอร์ต 21 ดังนั้นหมายเลขพอร์ตเหล่านี้จึงเป็นส่วนหนึ่งของคำขอเข้าถึง เมื่อยอมรับคำขอเข้าถึงเซิร์ฟเวอร์ คุณต้องเปิดใช้งานฟังก์ชันการแปลที่อยู่เครือข่าย (NAT) ในไฟร์วอลล์เพื่อกำหนดเส้นทางคำขอเหล่านี้ไปยังคอมพิวเตอร์ที่ระบุภายในเครือข่ายท้องถิ่น ในรูป 14.7 เซิร์ฟเวอร์เสมือนได้รับการกำหนดค่าให้ใช้คอมพิวเตอร์ที่มีที่อยู่ IP ในเครื่อง 192.168.0.177 เป็นเว็บเซิร์ฟเวอร์และ 192.168.0.164 เป็นเซิร์ฟเวอร์ไฟล์ FTP ในตาราง ตาราง 14.1 แสดงหมายเลขพอร์ตบริการที่พบบ่อยที่สุด

โต๊ะ 14.1 หมายเลขพอร์ตบริการ TCP/IP ทั่วไป

มีหมายเลขพอร์ตอื่นๆ หลายร้อยหมายเลขที่ใช้ในเครือข่ายที่แตกต่างกัน แต่ส่วนใหญ่คุณจะไม่เคยเห็นหมายเลขพอร์ตนี้ในการใช้งานจริงเลย รายชื่อพอร์ตที่ได้รับมอบหมายอย่างเป็นทางการอยู่ที่http://www.iana.org/assignments/port-numbers

ข้าว. 14.7

การแปล NAT ถือว่าที่อยู่ IP ของแต่ละเซิร์ฟเวอร์เสมือนไม่ควรเปลี่ยนจากคำขอหนึ่งไปยังอีกคำขอหนึ่ง เว็บเซิร์ฟเวอร์ที่มีหมายเลขปัจจุบัน 192.168.0.23 ไม่ควรเปลี่ยนเป็น 192.168.0.47 ในหนึ่งสัปดาห์ โดยปกติจะไม่เกิดปัญหากับเครือข่ายแบบมีสาย แต่เป็นปัญหาแบบไร้สายที่ไคลเอ็นต์เครือข่ายเชื่อมต่อและออกอย่างต่อเนื่อง เซิร์ฟเวอร์ DHCP จะกำหนดหมายเลขถัดไปที่มีอยู่ให้กับไคลเอนต์ใหม่แต่ละรายโดยอัตโนมัติ หากผู้ใช้รายใดรายหนึ่งคือตำแหน่งของพอร์ตบริการเครือข่าย NAT อาจตรวจไม่พบ ปัญหานี้ไม่ได้เกิดขึ้นบ่อยนัก เนื่องจากเครือข่ายส่วนใหญ่ไม่ได้ใช้แล็ปท็อปเป็นเซิร์ฟเวอร์ แต่บางครั้งก็อาจเกิดขึ้นได้ วิธีแก้ไขคือปิดการใช้งานเซิร์ฟเวอร์ DHCP และกำหนดที่อยู่ IP ถาวรให้กับไคลเอนต์แต่ละเครื่อง หรือย้ายพอร์ตบริการไปยังคอมพิวเตอร์ที่มีการเชื่อมต่อแบบใช้สายไปยังเครือข่าย

ซอฟต์แวร์ไฟร์วอลล์

ไฟร์วอลล์เกตเวย์ไร้สายบนอินเทอร์เฟซระหว่างจุดเข้าใช้งานและส่วนแบบมีสายของ LAN ของคุณจะป้องกันไม่ให้บุคคลภายนอกใช้เครือข่ายเพื่อเข้าถึงอินเทอร์เน็ต และไฟร์วอลล์การเชื่อมต่ออินเทอร์เน็ตจะปฏิเสธความพยายามในการเชื่อมต่อเครือข่ายจากอินเทอร์เน็ต แต่เป็นอีกรูปแบบหนึ่ง ความปลอดภัยเป็นสิ่งจำเป็นสำหรับเครือข่ายไร้สาย หากมีใครเข้าถึงเครือข่ายไร้สายของคุณโดยไม่ได้รับอนุญาต คุณจะต้องกำจัดคอมพิวเตอร์เครื่องอื่นที่ถูกกฎหมายในเครือข่ายเดียวกัน ซึ่งหมายความว่าคุณต้องมีโปรแกรมไฟร์วอลล์ไคลเอนต์สำหรับแต่ละโหนดเครือข่าย

ไฟร์วอลล์ไคลเอนต์ทำหน้าที่เดียวกันกับอินเทอร์เฟซเครือข่ายของคอมพิวเตอร์ที่ไฟร์วอลล์เครือข่ายหรือองค์กรดำเนินการสำหรับเครือข่ายทั้งหมด จะตรวจจับความพยายามในการเชื่อมต่อบนพอร์ต TCP และละเว้นหากไม่ตรงกับการตั้งค่าการกำหนดค่าโปรแกรมไฟร์วอลล์ตั้งแต่หนึ่งรายการขึ้นไป

ไฟร์วอลล์บางตัวมีให้บริการเป็นเวอร์ชันทดลองใช้งาน ในขณะที่บางไฟร์วอลล์นั้นฟรีสำหรับผู้ใช้ที่ไม่ใช่เชิงพาณิชย์ ดังนั้นคุณจึงสามารถทดลองใช้บนระบบของคุณเองได้อย่างง่ายดายและดูว่าไฟร์วอลล์ตัวไหนที่คุณชอบที่สุด

ด้านล่างนี้คือบางโปรแกรมสำหรับ Windows:

ผู้ใช้ Unix และ Linux ยังมีคุณสมบัติไฟร์วอลล์มากมาย ส่วนใหญ่เขียนขึ้นเพื่อใช้บนคอมพิวเตอร์ไฟร์วอลล์แบบสแตนด์อโลน ซึ่งใช้กันอย่างแพร่หลายเป็นเกตเวย์เครือข่าย แต่สามารถทำหน้าที่เป็นการป้องกันไคลเอ็นต์เครือข่ายแต่ละเครื่องได้เท่าเทียมกัน

ใน Linux ไฟร์วอลล์เป็นส่วนหนึ่งของเคอร์เนล ผู้ใช้ทำงานกับเคอร์เนลผ่านยูทิลิตี้คอนโซล - ไม่ว่าจะเป็น ipchains หรือ iptables ทั้งสองเอกสารได้รับการบันทึกไว้ที่ http://linuxdoc.org/HOWTO/IPCHAINS-HOWVTO.html และ http:// www.netfilter.org/unreliable-guides/packet-filtering-HOWTO ตามลำดับ IP Filter เป็นแพ็คเกจซอฟต์แวร์ที่ให้บริการไฟร์วอลล์สำหรับระบบ FreeBSD และ NetBSD เว็บไซต์ตัวกรอง IP อย่างเป็นทางการอยู่ที่ http://coombs.anu.edu.au/-avalon และ http://www.obfuscation.org/ipf/ipf-howto.txt มีเอกสารที่ดีเยี่ยมเกี่ยวกับการใช้งาน โปรแกรมสามารถปฏิเสธหรืออนุญาตแพ็กเก็ตใดๆ ที่ส่งผ่านไฟร์วอลล์ รวมทั้งกรองตามเน็ตมาสก์หรือที่อยู่โฮสต์ ใช้ข้อจำกัดพอร์ตบริการ และให้บริการแปล NAT

NetBSD/i386 Firewall เป็นอีกหนึ่งไฟร์วอลล์ Unix ฟรี

มันทำงานบนพีซีทุกเครื่องที่มี CPU 486 หรือสูงกว่าและมีหน่วยความจำขั้นต่ำ 8 MB หน้าแรกของ NetBSD/i386 Firewall Project อยู่ที่ http://www.dubbele.com

PortSentry เป็นเครื่องมือสแกนพอร์ตที่รวมเข้ากับ Linux เวอร์ชันที่ใช้กันอย่างแพร่หลายหลายเวอร์ชัน รวมถึง Red Hat, Caldera, Debian และ Turbo Linux พร้อมให้ดาวน์โหลดที่ http://www.psionic.com/products/portsentry.html

เครือข่ายส่วนตัวเสมือน

ด้วยการแยกการเชื่อมต่อระหว่างโหนดเครือข่ายออกจากการรับส่งข้อมูลเครือข่ายอื่น VPN สามารถเพิ่มการป้องกันอีกชั้นหนึ่งได้ VPN เป็นช่องทางการรับส่งข้อมูลที่เข้ารหัสซึ่งเชื่อมต่อจุดสิ้นสุดเครือข่ายสองจุดผ่าน "อุโมงค์ข้อมูล" ผู้เชี่ยวชาญด้านความปลอดภัยเครือข่ายหลายคนแนะนำ VPN ว่าเป็นวิธีที่มีประสิทธิภาพในการปกป้องเครือข่ายไร้สายจากผู้ไม่ประสงค์ดีและผู้ใช้ที่ไม่ได้รับอนุญาต คุณสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่าและการใช้ VPN ได้ในบทถัดไป

การป้องกันทางกายภาพ

จนถึงตอนนี้เราได้พูดถึงการป้องกันขโมยทางอิเล็กทรอนิกส์ไม่ให้เข้าถึงเครือข่ายของคุณแล้ว ง่ายพอที่จะเข้าถึงเครือข่ายโดยใช้ฮาร์ดแวร์ที่มีอยู่ซึ่งยังไม่ได้กำหนดค่าไว้ วิธีนี้จะง่ายยิ่งขึ้นหากผู้โจมตีมีคอมพิวเตอร์ที่ถูกขโมยจากผู้ใช้ที่ได้รับอนุญาต

การสูญเสียคอมพิวเตอร์แล็ปท็อปไม่ใช่เรื่องน่ายินดี จะแย่ไปกว่านั้นคือปล่อยให้โจรใช้คอมพิวเตอร์ที่ถูกขโมยมาเพื่อย้อนรอยเครือข่าย ในฐานะผู้ให้บริการเครือข่าย คุณควรเตือนผู้ใช้ของคุณว่าอุปกรณ์พกพาของพวกเขาเป็นเป้าหมายที่ดึงดูดใจสำหรับโจร และเสนอเคล็ดลับในการปกป้องพวกเขา ในฐานะผู้ใช้ คุณเองจะต้องปฏิบัติตามกฎเดียวกัน

กฎข้อแรกนั้นง่าย - อย่าลืมว่าคุณกำลังสวมคอมพิวเตอร์ ดูเหมือนจะชัดเจน แต่คนขับแท็กซี่ในลอนดอนพบแล็ปท็อปประมาณ 2,900 เครื่อง (และโทรศัพท์มือถือ 62,000 เครื่อง!) ทิ้งไว้ในรถยนต์ในช่วงหกเดือน คนอื่นๆ อีกจำนวนนับไม่ถ้วนถูกทิ้งร้างบนเครื่องบิน ห้องพักในโรงแรม รถไฟโดยสาร และห้องประชุม อย่าโฆษณาว่าคุณกำลังพกพาคอมพิวเตอร์ กระเป๋าไนลอนที่มีโลโก้ "IBM" หรือ "COMPAQ" ขนาดใหญ่ด้านข้างอาจดูทันสมัย ​​แต่ไม่ปลอดภัยเท่ากับกระเป๋าเอกสารหรือกระเป๋าช้อปปิ้งทั่วไป

ถือคอมพิวเตอร์ไว้ในมือหรือบนไหล่เสมอเมื่อไม่ได้ล็อคไว้ในตู้เสื้อผ้าหรือห้องเก็บของ เสียสมาธิไปสักนาทีแล้วขโมยที่มีประสบการณ์ก็สามารถขโมยมันไปได้ อาคารผู้โดยสารในสนามบิน สถานีรถไฟ และล็อบบี้ของโรงแรมเป็นสถานที่ที่มักถูกขโมย อย่าทิ้งคอมพิวเตอร์ส่วนบุคคลที่ไม่ปลอดภัยไว้ในสำนักงานข้ามคืน อย่าปล่อยให้มันผ่านเครื่องสแกนสนามบิน ขอให้ผู้ตรวจสอบตรวจสอบด้วยตนเองหรือตรวจสอบให้แน่ใจว่าคุณสามารถคืนคอมพิวเตอร์ได้ทันทีหลังจากที่เคลื่อนไปตามสายพานลำเลียงเสร็จแล้ว คนสองคนที่ทำงานร่วมกันสามารถจับกุมคุณและขโมยคอมพิวเตอร์ของคุณก่อนที่คุณจะได้รับได้อย่างง่ายดาย หากมีคนพยายามขโมยคอมพิวเตอร์ของคุณในระหว่างการเช็คอินสัมภาระ ให้ทำความยุ่งยากและโทรเรียกเจ้าหน้าที่รักษาความปลอดภัยเพื่อขอความช่วยเหลือ ตรวจสอบให้แน่ใจว่าคอมพิวเตอร์และส่วนประกอบแต่ละชิ้น เช่น การ์ดพีซี มีป้ายกำกับการเป็นเจ้าของทั้งภายในและภายนอก

การติดตามความปลอดภัยของทรัพย์สินในสำนักงาน (http://www.stoptheft.com) นำเสนอแท็กรักษาความปลอดภัยแบบกาวไซยาโนอะคริเลตที่พิมพ์และบันทึกได้ ซึ่งต้องใช้แรง 360 กิโลกรัมในการดึงออก โดยมีเครื่องหมายทางเคมี "ทรัพย์สินที่ถูกขโมย" ถาวร ซึ่งจะปรากฏขึ้นหากมีคน... หรือลบออก ทางลัด

หากคุณสามารถโน้มน้าวให้ลูกค้าใช้อุปกรณ์แจ้งเตือนบนคอมพิวเตอร์ของพวกเขาได้ ก็จะสามารถเพิ่มโอกาสที่ลูกค้าจะกลับมาได้ Trackit (http://www.trackit-corp.co m) เป็นอุปกรณ์แจ้งเตือนสองส่วนที่ใช้ตัวส่งสัญญาณแบบคลิปออนและตัวรับขนาดเล็กที่อยู่ในกระเป๋าคอมพิวเตอร์ เมื่อเครื่องส่งสัญญาณอยู่ห่างจากเครื่องรับมากกว่า 12 เมตร เครื่องรับจะส่งเสียงไซเรน 110 dB ซึ่งโดยปกติแล้วจะทำให้โจรทำกระเป๋าที่ถูกขโมยหล่น

สุดท้าย ให้แยกรายการรุ่นและหมายเลขซีเรียลออกจากอุปกรณ์ คุณต้องมีข้อมูลนี้สำหรับการเคลมประกันของคุณ

เมื่อคุณพบว่าคอมพิวเตอร์เครื่องหนึ่งที่เชื่อมต่อกับเครือข่ายของคุณสูญหายหรือถูกขโมย สิ่งสำคัญคือต้องปกป้องส่วนที่เหลือของเครือข่าย หากเป็นไปได้ ให้เปลี่ยน SSID เครือข่าย รหัสผ่าน และคีย์ WEP โดยเร็วที่สุด หากเครือข่ายของคุณใช้รายการที่อยู่ MAC เพื่อควบคุมการเข้าถึง ให้ลบที่อยู่ MAC ของอุปกรณ์ที่ถูกขโมยออกจากรายการการเชื่อมต่อที่ได้รับอนุญาต

เชื่อมต่อเครือข่ายของคุณกับโลก

หากคุณใช้เครือข่ายไร้สายเพื่อแบ่งปันการเข้าถึงอินเทอร์เน็ตของเครือข่ายใกล้เคียงหรือวิทยาเขต หรือต้องการให้ลูกค้าและผู้เยี่ยมชมรายอื่นเชื่อมต่อกับเครือข่ายไร้สายของคุณ คุณไม่ควรใช้ WEP หรือเครื่องมือรักษาความปลอดภัยอื่น ๆ เพื่อจำกัดการเข้าถึงผู้ใช้ที่รู้จัก แต่คุณควรจัดให้มีมาตรการรักษาความปลอดภัยบางอย่าง

ความปรารถนาของคุณที่จะให้ผู้อื่นเชื่อมต่อกับอินเทอร์เน็ตโดยตรงไม่ได้หมายความว่าคุณต้องการให้พวกเขาโรมมิ่งคอมพิวเตอร์เครื่องอื่นในเครือข่ายของคุณ แต่คุณต้องการแยกจุดเชื่อมต่อไร้สายออกจากส่วนที่เหลือในเครือข่ายของคุณ

หากโฮสต์ท้องถิ่นทั้งหมดบนเครือข่ายของคุณเป็นแบบใช้สาย แนวทางปฏิบัติที่ดีที่สุดคือการวางไฟร์วอลล์ระหว่างจุดเชื่อมต่อไร้สายและ LAN แบบมีสาย เพื่อให้จุดเชื่อมต่อ (และคอมพิวเตอร์ที่เชื่อมต่อผ่านการเชื่อมต่อไร้สาย) สามารถเชื่อมต่อกับอินเทอร์เน็ตเท่านั้นและ ไม่ใช่เครือข่ายแบบมีสายของโฮสต์ในพื้นที่ ดังแสดงในรูป 14.8.

อย่างไรก็ตาม หากคอมพิวเตอร์ที่บ้านบางเครื่องของคุณใช้การเชื่อมต่อไร้สาย คุณจะต้องปกป้องคอมพิวเตอร์เหล่านั้นจากการเข้าถึงของผู้อื่นโดยใช้ส่วนที่แชร์ของเครือข่ายของคุณ มีสองวิธีในการนำแผนนี้ไปใช้: ในรูป. รูปที่ 14.9 แสดงเครือข่ายไร้สายที่มีซอฟต์แวร์ไฟร์วอลล์บนคอมพิวเตอร์ที่บ้านแต่ละเครื่อง และรูปที่ 1 14.10 - ระบบที่ใช้เครือข่ายไร้สายสองเครือข่ายแยกกันโดยมี SSID ต่างกันเชื่อมต่อกับโหนดอินเทอร์เน็ตเดียวกัน กฎทั่วไปคือการใช้ไฟร์วอลล์ตั้งแต่หนึ่งตัวขึ้นไปเพื่อแยกส่วนสาธารณะของเครือข่ายของคุณออกจากคอมพิวเตอร์ที่คุณไม่ต้องการให้เปิดเผยต่อส่วนอื่นๆ ของโลก

ข้าว. 14.8

ข้าว. 14.9

ข้าว. 14.10

หมายเหตุ:

หากต้องการควบคุมการเข้าถึงไฟล์จากส่วนกลางใน Windows XP และ Windows 2000 ให้คลิกขวาที่เมนูบริบท คอมพิวเตอร์ของฉันและเลือก จัดการ. ในบานหน้าต่างด้านขวา ให้เลือกบุ๊กมาร์ก โฟลเดอร์ที่ใช้ร่วมกัน, แล้ว หุ้น. - บันทึก ทางวิทยาศาสตร์ เอ็ด

ไม่กี่ปีที่ผ่านมาได้เห็นการเพิ่มขึ้นของเทคโนโลยีไร้สาย เครือข่าย Wi-Fi (เครือข่ายมาตรฐาน 802.11a/b/g) กำลังได้รับความนิยมเพิ่มมากขึ้น และหากก่อนหน้านี้ส่วนใหญ่จะเกี่ยวกับการใช้เครือข่ายไร้สายในสำนักงานและฮอตสปอต ตอนนี้ก็มีการใช้กันอย่างแพร่หลายทั้งที่บ้านและสำหรับการใช้งานโทรศัพท์มือถือ . สำนักงาน (สำนักงานระหว่างการเดินทางเพื่อธุรกิจ) จุดเชื่อมต่อไร้สายและเราเตอร์ไร้สายระดับ SOHO จำหน่ายสำหรับผู้ใช้ตามบ้านและสำนักงานขนาดเล็กโดยเฉพาะ และเราเตอร์ไร้สายแบบพกพาจำหน่ายสำหรับผู้ใช้มือถือ อย่างไรก็ตามเมื่อตัดสินใจเปลี่ยนไปใช้เครือข่ายไร้สายควรจำไว้ว่าในขั้นตอนการพัฒนาปัจจุบันนั้นมีข้อเสียเปรียบที่สำคัญประการหนึ่งนั่นคือความไม่สมบูรณ์ในแง่ของความปลอดภัย ในบทความนี้เราจะพูดถึงพื้นที่ที่มีช่องโหว่ที่สุดของเครือข่ายไร้สายและแสดงพร้อมตัวอย่างการใช้งานจริงว่าพวกเขาถูกแฮ็กอย่างไร ความรู้ที่ได้รับสามารถนำไปใช้ในการตรวจสอบความปลอดภัยของเครือข่ายไร้สายได้สำเร็จ ซึ่งจะช่วยให้คุณหลีกเลี่ยงข้อผิดพลาดแบบดั้งเดิมที่เกิดขึ้นเมื่อปรับใช้เครือข่ายไร้สาย ก่อนอื่นเราจะดูที่มาตรการรักษาความปลอดภัยพื้นฐานที่ใช้เพื่อปกป้องเครือข่ายไร้สายในปัจจุบัน จากนั้นจะพูดถึงวิธีที่ผู้โจมตีสามารถเอาชนะมาตรการเหล่านี้ได้

วิธีการรักษาความปลอดภัยแบบไร้สาย

มาตรฐานเครือข่ายไร้สาย 802.11a/b/g มีกลไกการรักษาความปลอดภัยหลายประการ:

• โหมดการรับรองความถูกต้องและการเข้ารหัสข้อมูลโดยใช้โปรโตคอล WEP (Wired Equivalent Privacy)
• โหมดการรับรองความถูกต้องและการเข้ารหัสข้อมูลโดยใช้โปรโตคอล WPA (Wi-Fi Protected Access)
• กรองตามที่อยู่ MAC;
• ใช้โหมดตัวระบุเครือข่ายที่ซ่อนอยู่

โปรโตคอล WEP

อุปกรณ์ไร้สายสมัยใหม่ทั้งหมด (จุดเข้าใช้งาน อแด็ปเตอร์ไร้สาย และเราเตอร์) รองรับโปรโตคอลความปลอดภัย WEP ซึ่งแต่เดิมรวมอยู่ในข้อกำหนดเครือข่ายไร้สาย IEEE 802.11

โปรโตคอล WEP ช่วยให้คุณสามารถเข้ารหัสสตรีมข้อมูลที่ส่งตามอัลกอริทึม RC4 ด้วยขนาดคีย์ 64 หรือ 128 บิต อุปกรณ์บางตัวยังรองรับคีย์ขนาด 152, 256 และ 512 บิตด้วย แต่นี่เป็นข้อยกเว้นสำหรับกฎนี้ คีย์มีสิ่งที่เรียกว่าองค์ประกอบคงที่ซึ่งมีความยาว 40 และ 104 บิต ตามลำดับ สำหรับคีย์ 64- และ 128- บิต รวมถึงส่วนประกอบไดนามิกเพิ่มเติมขนาด 24 บิต ที่เรียกว่า Initialization Vector (IV)

ในระดับที่ง่ายที่สุด ขั้นตอนการเข้ารหัส WEP จะเป็นดังนี้ ในขั้นต้น ข้อมูลที่ส่งในแพ็กเก็ตจะถูกตรวจสอบความสมบูรณ์ (อัลกอริธึม CRC-32) หลังจากนั้นตรวจสอบผลรวม (Integrity Check Value, ICV) จะถูกเพิ่มลงในช่องบริการของส่วนหัวของแพ็กเก็ต ถัดไป จะมีการสร้างเวกเตอร์การเริ่มต้น 24 บิต (IV) โดยมีการเพิ่มคีย์ลับแบบคงที่ (40- หรือ 104- บิต) คีย์ 64 หรือ 128 บิตที่ได้รับจึงเป็นคีย์เริ่มต้นสำหรับการสร้างตัวเลขสุ่มเทียมที่ใช้ในการเข้ารหัสข้อมูล ถัดไป ข้อมูลจะถูกผสม (เข้ารหัส) โดยใช้การดำเนินการ XOR แบบลอจิคัลพร้อมลำดับคีย์สุ่มเทียม และเวกเตอร์การเริ่มต้นจะถูกเพิ่มลงในฟิลด์บริการเฟรม

ในด้านการรับ ข้อมูลสามารถถอดรหัสได้ เนื่องจากข้อมูลเกี่ยวกับเวกเตอร์การเริ่มต้นจะถูกส่งไปพร้อมกับมัน และองค์ประกอบคงที่ของคีย์จะถูกจัดเก็บโดยผู้ใช้ที่ข้อมูลถูกถ่ายโอนไป

โปรโตคอล WEP มีวิธีการตรวจสอบสิทธิ์ผู้ใช้สองวิธี: ระบบเปิด (เปิด) และคีย์ที่ใช้ร่วมกัน (แชร์) ด้วยการรับรองความถูกต้องแบบเปิด จะไม่มีการรับรองความถูกต้องเกิดขึ้นจริง หมายความว่าผู้ใช้ทุกคนสามารถเข้าถึงเครือข่ายไร้สายได้ อย่างไรก็ตาม แม้ในกรณีของระบบเปิด การเข้ารหัสข้อมูล WEP ก็ได้รับอนุญาต

โปรโตคอล WAP

ในปี 2546 มีการแนะนำมาตรฐานความปลอดภัยอื่น - WPA ซึ่งเป็นคุณสมบัติหลักซึ่งเป็นเทคโนโลยีการสร้างคีย์การเข้ารหัสข้อมูลแบบไดนามิกซึ่งสร้างขึ้นบนพื้นฐานของ TKIP (Temporal Key Integrity Protocol) ซึ่งเป็นการพัฒนาเพิ่มเติมของการเข้ารหัส RC4 อัลกอริทึม ภายใต้โปรโตคอล TKIP อุปกรณ์เครือข่ายจะทำงานร่วมกับเวกเตอร์การเริ่มต้น 48 บิต (ตรงข้ามกับเวกเตอร์ WEP 24 บิต) และใช้กฎสำหรับการเปลี่ยนลำดับของบิต ซึ่งช่วยลดการใช้คีย์ซ้ำ โปรโตคอล TKIP จัดเตรียมการสร้างคีย์ 128 บิตใหม่สำหรับแต่ละแพ็กเก็ตที่ส่ง นอกจากนี้ การตรวจสอบผลรวมการเข้ารหัสใน WPA ยังได้รับการคำนวณโดยใช้วิธีการใหม่ - MIC (รหัสความสมบูรณ์ของข้อความ) แต่ละเฟรมประกอบด้วยรหัสความสมบูรณ์ของข้อความพิเศษแปดไบต์ ซึ่งการตรวจสอบจะช่วยให้คุณสามารถขับไล่การโจมตีโดยใช้แพ็กเก็ตปลอมแปลงได้ เป็นผลให้ปรากฎว่าแต่ละแพ็กเก็ตข้อมูลที่ส่งผ่านเครือข่ายมีคีย์เฉพาะของตัวเอง และอุปกรณ์เครือข่ายไร้สายแต่ละเครื่องจะมีคีย์ที่เปลี่ยนแปลงแบบไดนามิก

นอกจากนี้ โปรโตคอล WPA รองรับการเข้ารหัสโดยใช้มาตรฐาน AES (Advanced Encryption Standard) ขั้นสูง ซึ่งมีอัลกอริธึมการเข้ารหัสที่ปลอดภัยกว่าเมื่อเปรียบเทียบกับโปรโตคอล WEP และ TKIP

เมื่อปรับใช้เครือข่ายไร้สายที่บ้านหรือในสำนักงานขนาดเล็ก โดยปกติจะใช้โปรโตคอลความปลอดภัย WPA ที่แตกต่างกันซึ่งใช้คีย์ที่ใช้ร่วมกัน - WPA-PSK (คีย์ที่ใช้ร่วมกันล่วงหน้า) - ในอนาคต เราจะพิจารณาเฉพาะตัวเลือก WPA-PSK โดยไม่ต้องแตะตัวเลือกโปรโตคอล WPA ที่มุ่งเป้าไปที่เครือข่ายองค์กร ซึ่งดำเนินการให้สิทธิ์ผู้ใช้บนเซิร์ฟเวอร์ RADIUS ที่แยกต่างหาก

เมื่อใช้ WPA-PSK จะมีการระบุรหัสผ่านที่มีความยาว 8 ถึง 63 ตัวอักษรในการตั้งค่าจุดเข้าใช้งานและโปรไฟล์การเชื่อมต่อไร้สายของไคลเอ็นต์

การกรองที่อยู่ MAC

การกรองที่อยู่ MAC ซึ่งได้รับการสนับสนุนโดยจุดเข้าใช้งานและเราเตอร์ไร้สายที่ทันสมัยทั้งหมด แม้ว่าจะไม่ได้เป็นส่วนหนึ่งของมาตรฐาน 802.11 แต่ก็ถือเป็นการปรับปรุงความปลอดภัยของเครือข่ายไร้สาย ในการใช้ฟังก์ชันนี้ ตารางที่อยู่ MAC ของอแด็ปเตอร์ไร้สายของลูกค้าที่ได้รับอนุญาตให้ทำงานในเครือข่ายนี้จะถูกสร้างขึ้นในการตั้งค่าจุดเข้าใช้งาน

โหมด SSID ที่ซ่อนอยู่

ข้อควรระวังอีกประการหนึ่งที่มักใช้ในเครือข่ายไร้สายคือโหมดตัวระบุเครือข่ายที่ซ่อนอยู่ เครือข่ายไร้สายแต่ละเครือข่ายได้รับการกำหนดตัวระบุเฉพาะ (SSID) ซึ่งเป็นชื่อของเครือข่าย เมื่อผู้ใช้พยายามเข้าสู่ระบบเครือข่าย ไดรเวอร์อแด็ปเตอร์ไร้สายจะสแกนคลื่นวิทยุเพื่อดูว่ามีเครือข่ายไร้สายหรือไม่ เมื่อใช้โหมดตัวระบุที่ซ่อนอยู่ (ตามกฎแล้วโหมดนี้เรียกว่าซ่อน SSID) เครือข่ายจะไม่แสดงในรายการที่มีอยู่และคุณสามารถเชื่อมต่อกับเครือข่ายได้ก็ต่อเมื่อประการแรกทราบ SSID ของมันอย่างแม่นยำและประการที่สอง มีการสร้างโปรไฟล์ไว้ล่วงหน้าในการเชื่อมต่อกับเครือข่ายนี้

แฮ็กเครือข่ายไร้สาย

หลังจากทำความคุ้นเคยกับวิธีการหลักในการปกป้องเครือข่าย 802.11a/b/g แล้ว เราจะพิจารณาวิธีที่จะเอาชนะเครือข่ายเหล่านั้น โปรดทราบว่าเครื่องมือเดียวกันนี้ใช้ในการแฮ็กเครือข่าย WEP และ WPA ดังนั้นก่อนอื่นเราจะบอกคุณว่ามีอะไรรวมอยู่ในคลังแสงของผู้โจมตี

ก่อนอื่น เราต้องการแล็ปท็อปที่มีอแด็ปเตอร์ไร้สาย ปัญหาหลักที่เกิดขึ้นในกระบวนการเลือกเครื่องมือแฮ็กไร้สายคือการรับรองความเข้ากันได้ระหว่างชิปอะแดปเตอร์ไร้สายที่ซอฟต์แวร์ใช้และระบบปฏิบัติการ

การเลือกอแด็ปเตอร์ไร้สาย

ความจริงก็คือยูทิลิตี้ส่วนใหญ่ที่อนุญาตให้คุณแฮ็กเครือข่ายไร้สายนั้นได้รับการ "ปรับแต่ง" สำหรับระบบ Linux มียูทิลิตี้บางเวอร์ชันสำหรับ Windows XP อย่างไรก็ตาม ขึ้นอยู่กับชิปอแด็ปเตอร์ไร้สาย การ์ดไร้สายบางตัวสามารถใช้กับยูทิลิตี้สำหรับทั้งระบบ Linux และ Windows XP และอแด็ปเตอร์ไร้สายบางตัวสามารถใช้กับยูทิลิตี้สำหรับ Linux เท่านั้นหรือสำหรับระบบ Windows XP เท่านั้น มีอแด็ปเตอร์ไร้สายที่ไม่รองรับโดยยูทิลิตี้ Linux หรือ Windows XP นอกจากนี้ยังมีชิปที่แม้จะรองรับโดยยูทิลิตี้ แต่ก็ทำงานช้ามาก (ในแง่ของการจับและวิเคราะห์แพ็กเก็ต)

ความจริงก็คือในการดำเนินการแฮ็กเครือข่ายไร้สายจำเป็นต้องใช้ไดรเวอร์พิเศษ (ไม่ได้มาตรฐาน) สำหรับอะแดปเตอร์เครือข่ายไร้สาย โหมดมาตรฐานของอแด็ปเตอร์ไร้สายคือโครงสร้างพื้นฐาน (ชุดบริการพื้นฐาน, BSS) และเฉพาะกิจ (ชุดบริการพื้นฐานอิสระ, IBSS) ในโหมดโครงสร้างพื้นฐาน ไคลเอนต์แต่ละเครื่องจะเชื่อมต่อกับเครือข่ายผ่านจุดเข้าใช้งาน และในโหมดเฉพาะกิจ อแด็ปเตอร์ไร้สายสามารถสื่อสารระหว่างกันโดยตรงโดยไม่ต้องใช้จุดเข้าใช้งาน อย่างไรก็ตาม ทั้งสองโหมดนี้ไม่อนุญาตให้อแด็ปเตอร์ไร้สายฟังทางอากาศและสกัดกั้นแพ็กเก็ต ในทั้งสองกรณี อะแดปเตอร์เครือข่ายจะจับแพ็กเก็ตที่มีไว้สำหรับเครือข่ายที่มีการกำหนดค่าไว้เท่านั้น เพื่อให้สามารถมองเห็นเครือข่ายอื่น ๆ (มี ESSID ที่ซ่อนอยู่) และจับแพ็กเก็ตได้ มีโหมดการตรวจสอบพิเศษ (โหมดจอภาพ) เมื่อเปลี่ยนไปใช้อะแดปเตอร์ที่ไม่เชื่อมโยงกับเครือข่ายเฉพาะใด ๆ และจับแพ็กเก็ตที่มีอยู่ทั้งหมด โดยทั่วไป ไดรเวอร์ที่ผู้ผลิตอแด็ปเตอร์ไร้สายจัดหามาไม่รองรับโหมดการตรวจสอบ และเพื่อที่จะเปิดใช้งาน คุณต้องติดตั้งไดรเวอร์พิเศษ ซึ่งมักเขียนโดยกลุ่มนักพัฒนาบุคคลที่สาม ควรสังเกตทันทีว่าสำหรับระบบปฏิบัติการ Windows ไดรเวอร์พิเศษดังกล่าวมีเฉพาะสำหรับอแด็ปเตอร์ไร้สายที่ใช้ชิป Hermes, Realtek, Aironet และ Atheros เท่านั้น การสนับสนุนไดรเวอร์สำหรับโหมดนี้สำหรับระบบปฏิบัติการของตระกูล Linux/BSD นั้นส่วนใหญ่จะถูกกำหนดโดยการเปิดกว้างของข้อมูลจำเพาะของการ์ด อย่างไรก็ตาม รายการอุปกรณ์ที่รองรับนั้นกว้างกว่าตระกูล Windows มาก ไดรเวอร์สำหรับระบบ Linux/BSD ที่รองรับโหมดการตรวจสอบสามารถพบได้สำหรับอแด็ปเตอร์ไร้สายที่ใช้ชิปเซ็ตต่อไปนี้: Prism, Orinoco, Atheros, Ralink, Aironet, Realtek, Hermes และ Intel แม้ว่าไดรเวอร์ที่ใช้ชิป Intel จะไม่เหมาะสำหรับทุกคน อุปกรณ์

ปัจจุบันแล็ปท็อปทั้งหมดที่ใช้เทคโนโลยีมือถือ Intel Centrino มีอแด็ปเตอร์ไร้สายในตัวที่ใช้ชิป Intel (ชิป IPW2100, IPW2200, IPW2915, IPW3945) แต่สำหรับวัตถุประสงค์ของเราอะแดปเตอร์เหล่านี้ไม่เหมาะ - แม้ว่าจะเข้ากันได้กับยูทิลิตี้ Linux ก็ตาม ใช้ สำหรับการแฮ็ก ชิปเหล่านี้ทำงานช้ามาก และโดยทั่วไปเข้ากันไม่ได้กับยูทิลิตี้ Windows

การเลือกระบบปฏิบัติการ

การเลือกระบบปฏิบัติการมีคำแนะนำดังนี้ ระบบ Linux เป็นที่นิยมมากกว่าสำหรับวัตถุประสงค์เหล่านี้ เนื่องจากเมื่อใช้ Linux เครื่องมือที่เป็นไปได้จะกว้างกว่ามาก และยูทิลิตี้ Linux จะทำงานเร็วกว่ามาก แต่ไม่ได้หมายความว่าคุณไม่สามารถใช้ Windows XP ร่วมกับยูทิลิตี้ Windows ได้ ในอนาคตเราจะพิจารณาทั้งสองตัวเลือกสำหรับการแฮ็กเครือข่ายไร้สายนั่นคือการใช้ทั้งยูทิลิตี้ Linux และ Windows ในขณะเดียวกัน เราก็เข้าใจดีว่าไม่ใช่ผู้ใช้ทุกคนที่จะรีบเปลี่ยนจาก Windows เป็น Linux แม้จะมีข้อบกพร่องทั้งหมด แต่ Windows OS ก็แพร่หลายมากกว่ามากและผู้ใช้มือใหม่ก็เรียนรู้ได้ง่ายกว่ามาก ดังนั้นตามความเห็นของเรา ตัวเลือกที่ดีที่สุดคือการใช้ Windows XP เป็นระบบปฏิบัติการหลักบนแล็ปท็อป และสำหรับงานแฮ็กเครือข่ายไร้สาย - Linux Live CD ซึ่งทำงานจากซีดีและไม่จำเป็นต้องติดตั้งบนฮาร์ดของคอมพิวเตอร์ ขับ. ทางออกที่ดีที่สุดในกรณีของเราคือดิสก์ BackTrack ซึ่งสร้างขึ้นบน Linux OS (เคอร์เนลเวอร์ชัน 2.6.18.3) และมีชุดเครื่องมือที่จำเป็นทั้งหมดสำหรับการแฮ็กเครือข่าย สามารถดาวน์โหลดรูปภาพของดิสก์นี้ได้จากเว็บไซต์โดยใช้ลิงก์: http://www.remote-exploit.org/backtrack.html

ชุดซอฟต์แวร์

ตามเนื้อผ้า ในการแฮ็กเครือข่ายไร้สาย จะใช้แพ็คเกจซอฟต์แวร์ aircrack ซึ่งมีอยู่ในเวอร์ชันสำหรับทั้ง Windows XP (aircrack-ng 0.6.2-win) และ Linux (aircrack-ng 0.7) แพ็คเกจนี้แจกจ่ายฟรีและสามารถดาวน์โหลดได้จากเว็บไซต์อย่างเป็นทางการ www.aircrack-ng.org ไม่มีประโยชน์ที่จะมองหายูทิลิตี้อื่น ๆ เนื่องจากแพ็คเกจนี้เป็นโซลูชั่นที่ดีที่สุดในระดับเดียวกัน นอกจากนี้ (แน่นอนว่าเวอร์ชัน Linux) จะรวมอยู่ในดิสก์ BackTrack

การแฮ็กเครือข่ายไร้สายโดยใช้ BackTrack Live CD

ดังนั้นไม่ว่าคุณจะติดตั้งระบบปฏิบัติการใดบนแล็ปท็อปของคุณ เราจะใช้ดิสก์สำหรับบูต BackTrack เพื่อแฮ็กเครือข่ายไร้สาย โปรดทราบว่านอกเหนือจากเครื่องมือที่เราต้องใช้ในการแฮ็กเครือข่ายไร้สายแล้ว ดิสก์นี้ยังมียูทิลิตี้อื่นๆ อีกมากมายที่ช่วยให้เราสามารถตรวจสอบเครือข่ายได้ (เครื่องสแกนพอร์ต เครื่องดมกลิ่น ฯลฯ) อย่างไรก็ตามดิสก์ดังกล่าวมีประโยชน์สำหรับผู้ดูแลระบบที่เกี่ยวข้องกับการตรวจสอบเครือข่าย

การแฮ็กเครือข่ายไร้สายโดยใช้ดิสก์ BackTrack ดำเนินการในสามขั้นตอน (ตารางที่ 1):

• การรวบรวมข้อมูลเกี่ยวกับเครือข่ายไร้สาย
• การจับแพ็คเก็ต;
• การวิเคราะห์แพ็คเก็ต

ขั้นตอนแรกคือการรวบรวมข้อมูลโดยละเอียดเกี่ยวกับเครือข่ายไร้สายที่ถูกแฮ็ก: ที่อยู่ MAC ของจุดเข้าใช้งานและไคลเอนต์ที่ใช้งานของเครือข่ายไร้สาย ชื่อของเครือข่าย (ID เครือข่าย) และประเภทของการเข้ารหัสที่ใช้ ในการดำเนินการนี้ให้ใช้ยูทิลิตี้ airmon-ng, airodump-ng และ Kismet - สิ่งแรกจำเป็นต้องกำหนดค่าไดรเวอร์อะแดปเตอร์เครือข่ายไร้สายเพื่อตรวจสอบเครือข่ายไร้สายและอีกสองรายการช่วยให้คุณได้รับข้อมูลที่จำเป็นเกี่ยวกับระบบไร้สาย เครือข่าย ยูทิลิตี้ทั้งหมดนี้รวมอยู่ในดิสก์ BackTrack แล้ว

ตารางที่ 1. ขั้นตอนในการแฮ็กเครือข่ายไร้สายโดยใช้ BackTrack Live CD

หมายเลขเวที	คำอธิบาย	สาธารณูปโภคที่ใช้	ผลลัพธ์
	การรวบรวมข้อมูลเครือข่ายไร้สาย	แอร์มอน-ng airodump-ng Kismet	ที่อยู่ MAC ของจุดเข้าใช้งาน, ที่อยู่ MAC ไคลเอ็นต์ที่ใช้งานอยู่, ประเภทเครือข่าย, ID เครือข่าย, ประเภทการเข้ารหัส (WEP, WPA-PSK), หมายเลขช่องสัญญาณการสื่อสาร
	การสกัดกั้นแพ็คเก็ต	airodump-ng Kismet airoplay-ng
	การวิเคราะห์แพ็คเก็ต		การเลือกคีย์	การเลือกรหัสผ่าน

ขั้นตอนต่อไปคือการจับแพ็กเก็ตโดยใช้ยูทิลิตี้ airodump-ng ในกรณีที่ใช้การเข้ารหัส WEP บนเครือข่าย จำเป็นต้องรวบรวมแพ็กเก็ต IV ที่มีเวกเตอร์การเริ่มต้น หากการรับส่งข้อมูลบนเครือข่ายต่ำ (เช่น ไคลเอนต์ไม่ได้ใช้งาน) คุณสามารถใช้ยูทิลิตี้ airoplay-ng เพิ่มเติมเพื่อเพิ่มการรับส่งข้อมูลระหว่างไคลเอนต์และจุดเข้าใช้งาน

หากเครือข่ายใช้การเข้ารหัส WPA-PSK จำเป็นต้องรวบรวมแพ็กเก็ตที่มีข้อมูลเกี่ยวกับขั้นตอนการตรวจสอบสิทธิ์ไคลเอนต์บนเครือข่าย (ขั้นตอนการจับมือ) เพื่อบังคับให้ไคลเอนต์เข้าสู่ขั้นตอนการรับรองความถูกต้องบนเครือข่าย คุณสามารถใช้ยูทิลิตี้ airoplay-ng เพื่อเริ่มกระบวนการบังคับให้ยกเลิกการเชื่อมต่อจากเครือข่าย จากนั้นจึงกู้คืนการเชื่อมต่อ

ในขั้นตอนสุดท้าย ข้อมูลที่ดักจับจะถูกวิเคราะห์โดยใช้ยูทิลิตี้ aircrack-ng ในกรณีของการเข้ารหัส WEP ความน่าจะเป็นในการเดาคีย์จะขึ้นอยู่กับจำนวนแพ็กเก็ต IV ที่รวบรวมไว้ และการเข้ารหัส WPA-PSK ขึ้นอยู่กับพจนานุกรมที่ใช้ในการเดารหัสผ่าน

ตัวอย่างการปฏิบัติ

หลังจากคำอธิบายสั้น ๆ เกี่ยวกับขั้นตอนการแฮ็กเครือข่ายไร้สาย เราจะพิจารณาตัวอย่างที่เป็นประโยชน์พร้อมคำอธิบายโดยละเอียดของแต่ละขั้นตอนและยูทิลิตี้ที่ใช้

ในกรณีของเรา เรากำลังติดต่อกับเครือข่ายทดลองซึ่งประกอบด้วยจุดเข้าใช้งาน D-Link DWL-7000AP และไคลเอนต์เครือข่ายที่มีอะแดปเตอร์ PCI ไร้สาย Gigabyte GN-WPEAG

ในการแฮ็กเครือข่าย เราใช้แล็ปท็อปที่มีอะแดปเตอร์ PCMCIA ไร้สาย Gigabyte GN-WMAG ที่ใช้ชิป Atheros โปรดทราบว่าเมื่อใช้ดิสก์ BackTrack ไม่จำเป็นต้องมีไดรเวอร์เพิ่มเติมสำหรับอะแดปเตอร์ Gigabyte GN-WPEAG - ทุกอย่างมีอยู่ในดิสก์แล้ว

ขั้นตอนที่ 1 การรวบรวมข้อมูลเกี่ยวกับเครือข่ายไร้สาย

ดังนั้นในขั้นแรกเราจำเป็นต้องรวบรวมข้อมูลเกี่ยวกับเครือข่ายไร้สาย เราใส่อแด็ปเตอร์ไร้สายลงในแล็ปท็อปและโหลดระบบปฏิบัติการจากซีดี จากนั้นเรียกคอนโซลและเปิดยูทิลิตี้ airmon-ng ซึ่งรวมอยู่ในแพ็คเกจ aircrack-ng

ยูทิลิตี้นี้ช่วยให้คุณสามารถกำหนดอินเทอร์เฟซไร้สายที่มีอยู่และกำหนดโหมดการตรวจสอบเครือข่ายให้กับอินเทอร์เฟซใดอินเทอร์เฟซหนึ่งที่มีอยู่

ไวยากรณ์สำหรับการใช้คำสั่ง airmon-ng เป็นดังนี้:

แอร์มอน-ng ,

ตัวเลือกอยู่ที่ไหน กำหนดการเริ่มต้นหรือหยุดของโหมดการตรวจสอบ - อินเทอร์เฟซไร้สายที่กำลังตรวจสอบ และพารามิเตอร์เสริมระบุจำนวนช่องสัญญาณในเครือข่ายไร้สายที่กำลังตรวจสอบ

เริ่มแรกคำสั่ง airmon-ng จะถูกระบุโดยไม่มีพารามิเตอร์ซึ่งช่วยให้คุณได้รับรายการอินเทอร์เฟซไร้สายที่พร้อมใช้งาน ตัวอย่างเช่น ในกรณีของเรา การตอบสนองต่อคำสั่ง airmon-ng เป็นดังนี้:

การใช้งาน:airmon-ng

ไดรเวอร์ชิปเซ็ตอินเทอร์เฟซ

wifi0 Atheros madwifi-ng

ath0 Atheros madwifi-ng VAP (พาเรนต์: wifi0)

เลือก wifi0 เป็นอินเทอร์เฟซไร้สาย ป้อนคำสั่ง airmon-ng start wifi0 เป็นผลให้เราได้รับอินเทอร์เฟซอื่น ath1 ซึ่งอยู่ในโหมดการตรวจสอบ (รูปที่ 1)

ข้าว. 1. การตั้งค่าโหมดการตรวจสอบเครือข่ายไร้สาย

ถัดไปคุณต้องเรียกใช้ยูทิลิตี้ airodump-ng ซึ่งใช้ทั้งเพื่อจับแพ็กเก็ตในเครือข่ายไร้สาย 802.11 และรวบรวมข้อมูลเกี่ยวกับเครือข่ายไร้สาย ไวยากรณ์สำหรับการใช้คำสั่งมีดังนี้:

airodump-ng .

ตัวเลือกคำสั่งที่เป็นไปได้จะแสดงอยู่ในตาราง 2.

ตารางที่ 2. อ็อพชันที่เป็นไปได้สำหรับคำสั่ง airodump-ng

	ความหมายที่เป็นไปได้	คำอธิบาย
		บันทึกเฉพาะแพ็กเก็ต IV
		ใช้ภูต GPS ในกรณีนี้พิกัดของจุดรับจะถูกบันทึกด้วย
เขียน (หรือ -w)	ชื่อไฟล์	การระบุชื่อไฟล์ที่จะบันทึก หากคุณระบุเพียงชื่อไฟล์มันจะถูกบันทึกไว้ในไดเร็กทอรีการทำงานของโปรแกรม
		บันทึกแพ็กเก็ตทั้งหมดโดยไม่มีการกรอง
	หมายเลขช่อง (1 ถึง 11)	การระบุหมายเลขช่อง ตามค่าเริ่มต้น ทุกช่องจะถูกฟัง
		การระบุโปรโตคอล 802.11a/b/g

ในกรณีของเรา อินเทอร์เฟซ ath1 ถูกตั้งค่าเป็นโหมดการตรวจสอบ

อย่างไรก็ตาม จนถึงขณะนี้ เรายังไม่มีข้อมูลเกี่ยวกับประเภทของเครือข่าย (802.11a/b/g) ประเภทของการเข้ารหัสบนเครือข่าย ดังนั้นเราจึงไม่ทราบว่าต้องดักจับแพ็กเก็ตใด (แพ็กเก็ต IV ทั้งหมดหรือเท่านั้น) . ดังนั้นในตอนแรกคุณไม่ควรใช้ตัวเลือกในคำสั่ง airodump-ng แต่จำเป็นต้องระบุอินเทอร์เฟซเท่านั้นซึ่งจะทำให้เราสามารถรวบรวมข้อมูลที่จำเป็นเกี่ยวกับเครือข่ายได้

ดังนั้นในขั้นแรกเราจึงเรียกใช้คำสั่ง airodump-ng โดยใช้ไวยากรณ์ต่อไปนี้:

airodump-ng-ath1

สิ่งนี้จะทำให้เราได้รับข้อมูลที่จำเป็นเกี่ยวกับเครือข่าย ได้แก่ :

• ที่อยู่ MAC ของจุดเข้าใช้งาน
• ที่อยู่ MAC ของลูกค้า
• ประเภทเครือข่าย
• เครือข่าย ESSID;
• ประเภทการเข้ารหัส
• หมายเลขช่องทางการสื่อสาร

ในตัวอย่างของเรา ด้วยการป้อนคำสั่ง airodump-ng ath1 เราสามารถกำหนดพารามิเตอร์เครือข่ายที่จำเป็นทั้งหมดได้ (รูปที่ 2):

ข้าว. 2. รวบรวมข้อมูลเกี่ยวกับเครือข่าย
โดยใช้ยูทิลิตี้ airodump-ng

• ที่อยู่ MAC ของจุดเข้าใช้งานคือ 00:0D:88:56:33:B5;
• ที่อยู่ MAC ของไคลเอ็นต์ - 00:0E:35:48:C4:76
• ประเภทเครือข่าย - 802.11g;
• เครือข่าย ESSID - dlinkG;
• ประเภทการเข้ารหัส - WEP;
• หมายเลขช่องทางการสื่อสาร - 11

โปรดทราบว่ายูทิลิตี้ airodump-ng ช่วยให้คุณสามารถกำหนดตัวระบุเครือข่าย (ESSID) ได้ ไม่ว่าจุดเข้าใช้งานจะถูกตั้งค่าเป็นโหมด Hidden SSID หรือไม่ก็ตาม

ในการรวบรวมข้อมูลเกี่ยวกับเครือข่ายคุณสามารถใช้ยูทิลิตี้ Kismet ที่รวมอยู่ในดิสก์ BackTrack ซึ่งต่างจาก airodump-ng ตรงที่ช่วยให้คุณสามารถรวบรวมข้อมูลเพิ่มเติมเกี่ยวกับเครือข่ายไร้สายได้และในแง่นี้จึงเป็นข้อมูลที่สมบูรณ์และดีที่สุดในระดับเดียวกัน เครื่องวิเคราะห์เครือข่ายไร้สาย ยูทิลิตี้นี้มีอินเทอร์เฟซแบบกราฟิก (รูปที่ 3) ซึ่งอำนวยความสะดวกในการทำงานอย่างมาก

ข้าว. 3. รวบรวมข้อมูลเกี่ยวกับเครือข่าย
โดยใช้ยูทิลิตี้ Kismet

ขั้นที่ 2: การสกัดกั้นแพ็คเก็ต

เมื่อรวบรวมข้อมูลโดยละเอียดเกี่ยวกับเครือข่ายไร้สายแล้ว คุณสามารถเริ่มดักจับแพ็คเก็ตโดยใช้ยูทิลิตี้เดียวกับที่ใช้ในการรวบรวมข้อมูลเกี่ยวกับเครือข่าย - airodump-ng หรือ Kismet อย่างไรก็ตาม ในกรณีนี้ เราจำเป็นต้องมีไวยากรณ์คำสั่งที่แตกต่างออกไปเล็กน้อย

การเข้ารหัส WEP

ขั้นแรก พิจารณาตัวเลือกเมื่อเครือข่ายใช้การเข้ารหัส WEP ในกรณีนี้ เราจำเป็นต้องกรองเฉพาะแพ็กเก็ตที่มีเวกเตอร์การเริ่มต้น (แพ็กเก็ต IV) และเขียนลงในไฟล์ ซึ่งจะใช้เพื่อเลือกคีย์ในภายหลัง

ตัวอย่างเช่น หากทราบว่าเครือข่ายที่ถูกโจมตีเป็นเครือข่าย 802.11g จะใช้การเข้ารหัส WEP และการส่งผ่านจะดำเนินการบนช่องสัญญาณ 11 ดังนั้นไวยากรณ์คำสั่งสำหรับการสกัดกั้นแพ็กเก็ตอาจเป็นดังนี้:

airodump-ng --ivs –w dump --band g --ช่อง 11 ath1

ในตัวอย่างนี้ เราเขียนเฉพาะแพ็กเก็ต IV ลงในไฟล์ที่เรียกว่า dump ความน่าจะเป็นในการเลือกคีย์สำเร็จขึ้นอยู่กับจำนวนแพ็คเก็ต IV ที่สะสมและความยาวของคีย์ ตามกฎแล้วด้วยความยาวคีย์ 128 บิต ก็เพียงพอที่จะสะสมแพ็กเก็ต IV ได้ประมาณ 1-2 ล้านแพ็กเก็ต และด้วยความยาวคีย์ 64 บิต ตามลำดับของแพ็กเก็ตหลายแสนแพ็กเก็ต อย่างไรก็ตาม ไม่ทราบความยาวของคีย์ล่วงหน้า และไม่มียูทิลิตี้ใดสามารถระบุได้ ดังนั้นเพื่อการวิเคราะห์ แนะนำให้ดักจับอย่างน้อย 1.5 ล้านแพ็กเก็ต ในรูป รูปที่ 4 แสดงตัวอย่างการจับแพ็กเก็ต 1,137,637 IV ในยูทิลิตี้ airodump-ng

ข้าว. 4. จับแพ็กเก็ตโดยใช้ยูทิลิตี้ airodump-ng

จำนวนแพ็กเก็ตที่จับได้จะแสดงแบบโต้ตอบในยูทิลิตี้ airodump-ng และหากต้องการหยุดกระบวนการจับแพ็กเก็ต คุณเพียงแค่กดคีย์ผสม Ctrl+C

ยูทิลิตี้ Kismet ยังสามารถใช้เพื่อจับแพ็คเก็ตอีกด้วย จริงๆ แล้ว กระบวนการสกัดกั้นจะเริ่มทันทีหลังจากเปิดตัวยูทิลิตี้ และทำการบันทึกเป็นไฟล์ที่มีนามสกุลดัมพ์ ซึ่งจะถูกบันทึกไว้ในไดเร็กทอรีการทำงานของโปรแกรม อย่างไรก็ตาม ไม่เหมือนกับยูทิลิตี้ airodump-ng ในกรณีนี้ เป็นไปไม่ได้ที่จะกรองเฉพาะแพ็กเก็ต IV และตั้งค่าหมายเลขช่องสัญญาณการสื่อสาร ดังนั้นเมื่อใช้ยูทิลิตี้ Kismet ประสิทธิภาพ (อัตราการสะสม) ของแพ็กเก็ตจะลดลง และจำนวนแพ็กเก็ตที่ต้องดักจับควรมากกว่าเมื่อใช้ยูทิลิตี้ airodump-ng

บ่อยครั้ง เมื่อดักจับแพ็กเก็ต สถานการณ์เกิดขึ้นเมื่อไม่มีการแลกเปลี่ยนการรับส่งข้อมูลอย่างเข้มข้นระหว่างจุดเข้าใช้งานและไคลเอนต์ ดังนั้นเพื่อที่จะสะสมจำนวนแพ็กเก็ตที่จำเป็นสำหรับการแฮ็กเครือข่ายที่ประสบความสำเร็จ คุณต้องรอเป็นเวลานานมาก อย่างไรก็ตาม กระบวนการนี้สามารถเร่งให้เร็วขึ้นได้โดยการบังคับให้ไคลเอ็นต์สื่อสารกับจุดเชื่อมต่อโดยใช้ยูทิลิตี้ aireplay-ng (รูปที่ 5) ยูทิลิตี้นี้เปิดตัวพร้อมกับยูทิลิตี้ airodump-ng ซึ่งคุณต้องเปิดเซสชันคอนโซลอื่น

ข้าว. 5. การใช้ยูทิลิตี้ aireplay-ng เพื่อเริ่มต้นการรับส่งข้อมูล
ระหว่างจุดเข้าใช้งานและไคลเอ็นต์

ไวยากรณ์คำสั่งมีดังนี้:

ออกอากาศ-ng

คำสั่งนี้มีตัวเลือกต่างๆ มากมาย ซึ่งสามารถพบได้โดยการรันคำสั่งโดยไม่มีพารามิเตอร์

สำหรับจุดประสงค์ของเรา ไวยากรณ์คำสั่งจะมีลักษณะดังนี้:

ออกอากาศ –ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1

ในกรณีนี้ พารามิเตอร์ -e dlinkG ระบุ ID เครือข่ายไร้สาย พารามิเตอร์ -a 00:0d:88:56:33:b5 - ที่อยู่ MAC ของจุดเข้าใช้งาน พารามิเตอร์ -c 00:0f:ea:91:7d:95 - ที่อยู่ MAC ของไคลเอ็นต์ ตัวเลือก --deauth 20 - โจมตีเพื่อตัดการเชื่อมต่อ (20 ครั้ง) ตามด้วยการรับรองความถูกต้องของไคลเอ็นต์ เมื่อไคลเอ็นต์ได้รับการรับรองความถูกต้อง การรับส่งข้อมูลระหว่างไคลเอ็นต์กับจุดเข้าใช้งานจะเพิ่มขึ้นอย่างรวดเร็ว และจำนวนแพ็กเก็ตที่สามารถดักจับจะเพิ่มขึ้น หากจำเป็น คุณสามารถเพิ่มจำนวนการเชื่อมต่อขาดหรือทำซ้ำคำสั่งนี้จนกว่าจะสะสมจำนวนแพ็กเก็ตที่ต้องการ

การเข้ารหัส WPA-PSK

ด้วยการเข้ารหัส WPA-PSK บนเครือข่ายไร้สาย อัลกอริธึมการสกัดกั้นแพ็คเก็ตจะแตกต่างออกไปเล็กน้อย ในกรณีนี้เราไม่จำเป็นต้องกรองแพ็กเก็ต IV ออกเนื่องจากไม่มีการเข้ารหัส WPA-PSK แต่ก็ไม่สมเหตุสมผลที่จะจับแพ็กเก็ตทั้งหมดติดต่อกัน จริงๆ แล้ว สิ่งที่เราต้องการคือส่วนเล็กๆ ของการรับส่งข้อมูลระหว่างจุดเข้าใช้งานและไคลเอนต์เครือข่ายไร้สาย ซึ่งจะมีข้อมูลเกี่ยวกับขั้นตอนการตรวจสอบสิทธิ์ไคลเอนต์บนเครือข่าย (ขั้นตอนการจับมือ) แต่เพื่อที่จะสกัดกั้นขั้นตอนการรับรองความถูกต้องของไคลเอนต์บนเครือข่าย จะต้องเริ่มโดยบังคับโดยใช้ยูทิลิตี้ aireplay-ng ก่อน

ดังนั้น ด้วยการเข้ารหัส WPA-PSK อัลกอริธึมการสกัดกั้นแพ็คเก็ตจะเป็นดังนี้ เราเปิดเซสชันคอนโซลสองเซสชัน และในเซสชันแรกเรารันคำสั่งเพื่อบังคับให้เครือข่ายตัดการเชื่อมต่อตามด้วยการระบุตัวตนไคลเอ็นต์อีกครั้ง (ยูทิลิตี้ aireplay-ng, การโจมตีแบบ deauthentication) และในเซสชันที่สองโดยหยุดชั่วคราวหนึ่งหรือสองครั้ง วินาทีที่เรารันคำสั่งเพื่อสกัดกั้นแพ็กเก็ต (ยูทิลิตี้ airodump-ng) ไวยากรณ์คำสั่งมีดังนี้:

aireplay–ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -deauth 10 ath1

airodump-ng –w dump -band g -ช่อง 11 ath1

อย่างที่คุณเห็น ไวยากรณ์ของคำสั่ง aireplay-ng นั้นเหมือนกับการเข้ารหัส WEP ทุกประการ เมื่อคำสั่งนี้ถูกใช้เพื่อเริ่มต้นการรับส่งข้อมูลระหว่างจุดเข้าใช้งานและไคลเอนต์เครือข่าย (ข้อแตกต่างเพียงอย่างเดียวคือมีแพ็กเก็ต deauthentication น้อยกว่า) . ไวยากรณ์คำสั่ง airodump-ng ขาดตัวกรองแพ็กเก็ต IV

กระบวนการจับแพ็กเก็ตต้องดำเนินต่อไปเพียงไม่กี่วินาที เนื่องจากเมื่อเปิดใช้งานการโจมตีแบบ deauthentication ความน่าจะเป็นที่จะจับแพ็กเก็ตการจับมือจึงเกือบหนึ่งร้อยเปอร์เซ็นต์

ขั้นตอนที่ 3: การวิเคราะห์แพ็คเก็ต

ในขั้นตอนสุดท้าย แพ็กเก็ตที่ถูกสกัดกั้นจะถูกวิเคราะห์โดยใช้ยูทิลิตี้ aircrack-ng ซึ่งเปิดตัวในเซสชันคอนโซล โดยปกติแล้ว ไวยากรณ์ของคำสั่ง aircrack-ng จะแตกต่างกันสำหรับการเข้ารหัส WEP และ WPA-PSK ไวยากรณ์คำสั่งทั่วไปมีดังนี้:

แอร์แคร็ก-ng

ตัวเลือกคำสั่งที่เป็นไปได้จะแสดงอยู่ในตาราง 3. โปรดทราบว่าสามารถระบุไฟล์หลายไฟล์ที่มีนามสกุล *.cap หรือ *.ivs เป็นไฟล์ที่มีแพ็กเก็ตที่บันทึกไว้ (ไฟล์จับภาพ) นอกจากนี้ เมื่อแฮ็กเครือข่ายด้วยการเข้ารหัส WEP ยูทิลิตี้ airodump-ng และ aircrack-ng ก็สามารถเปิดใช้งานพร้อมกันได้ (ใช้เซสชันคอนโซลสองเซสชัน) ในกรณีนี้ aircrack-ng จะอัพเดตฐานข้อมูลของแพ็คเกจ IV โดยอัตโนมัติ

ตารางที่ 3. อ็อพชันที่เป็นไปได้สำหรับคำสั่ง aircrack-ng

	ความหมายที่เป็นไปได้	คำอธิบาย
	1 = WEP แบบคงที่ 2 = WPA-PSK	ระบุประเภทของการโจมตี (WEP หรือ WPA-PSK)
		หากเลือกตัวเลือกนี้ ระบบจะใช้แพ็กเก็ต IV ทั้งหมดที่มีค่า ESSID เดียวกัน ตัวเลือกนี้ยังใช้เพื่อแฮ็กเครือข่าย WPA-PSK หาก ESSID ไม่ได้ออกอากาศ (โหมดตัวระบุเครือข่ายที่ซ่อนอยู่)
	ที่อยู่ MAC ของจุดเข้าใช้งาน	การเลือกเครือข่ายตามที่อยู่ MAC ของจุดเข้าใช้งาน
		โหมดการทำงานที่ซ่อนอยู่ ข้อมูลจะไม่แสดงจนกว่าจะพบรหัสหรือไม่พบรหัส
		สำหรับเครือข่าย WEP จะจำกัดการเลือกคีย์ให้เหลือเพียงชุดตัวเลขและตัวอักษรเท่านั้น
		สำหรับเครือข่าย WEP จำกัดการคาดเดาคีย์ให้เหลือเพียงชุดอักขระเลขฐานสิบหกเท่านั้น
		สำหรับเครือข่าย WEP จะจำกัดการเลือกคีย์ให้เหลือเพียงชุดตัวเลขเท่านั้น
		สำหรับเครือข่าย WEP ระบุจุดเริ่มต้นของคีย์ในรูปแบบเลขฐานสิบหก ใช้ในการดีบักโปรแกรม
	ที่อยู่ MAC ของไคลเอ็นต์	สำหรับเครือข่าย WEP ให้ตั้งค่าตัวกรองแพ็คเก็ตตามที่อยู่ MAC ของไคลเอ็นต์ -m ff:ff:ff:ff:ff:ff ใช้เพื่อรวบรวมแพ็กเก็ต IV ทั้งหมด
	64 (สำหรับคีย์ 40 บิต) 128 (สำหรับคีย์ 104 บิต) 152 (สำหรับคีย์ 128 บิต) 256 (สำหรับคีย์ 232 บิต) 512 (สำหรับคีย์ 488 บิต)	สำหรับเครือข่าย WEP ให้ระบุความยาวของคีย์ ความยาวคีย์เริ่มต้นคือ 104 บิต
		สำหรับเครือข่าย WEP ระบุการรวบรวมแพ็กเก็ต IV ที่มีดัชนีคีย์ที่กำหนด (ตั้งแต่ 1 ถึง 4) ตามค่าเริ่มต้น ตัวเลือกนี้จะถูกละเว้น
		พารามิเตอร์นี้ใช้เมื่อถอดรหัสเครือข่าย WEP - สำหรับคีย์ 104 บิตค่าเริ่มต้นคือ 2 สำหรับคีย์ 40 บิต - 5 ค่าที่สูงกว่าของพารามิเตอร์นี้ช่วยให้คุณสามารถคำนวณคีย์ด้วยแพ็กเก็ตน้อยลง แต่ใช้เวลานานกว่า
		ใช้เมื่อแฮ็คเครือข่าย WEP พารามิเตอร์นี้ช่วยให้คุณสามารถยกเว้นการโจมตี korek บางประเภทได้ (มีการโจมตี korek ทั้งหมด 17 ประเภท)
		ใช้เมื่อแฮ็กเครือข่าย WEP ปิดใช้งานการค้นหาอักขระตัวสุดท้ายในคีย์
		ใช้เมื่อแฮ็กเครือข่าย WEP ช่วยให้สามารถค้นหาอักขระตัวสุดท้ายในคีย์ (ค่าเริ่มต้น)
		ใช้เมื่อแฮ็กเครือข่าย WEP อนุญาตให้ค้นหาอักขระสองตัวสุดท้ายในคีย์
		ใช้เมื่อแฮ็กเครือข่าย WEP ห้ามการใช้ตัวประมวลผลหลายตัวในระบบ SMP
		ใช้เมื่อแฮ็คเครือข่าย WEP ช่วยให้คุณใช้การโจมตีประเภทพิเศษ (ทดลอง) เพื่อเลือกคีย์ ใช้เมื่อการโจมตีมาตรฐานไม่อนุญาตให้ค้นหาคีย์เมื่อใช้แพ็กเก็ต IV มากกว่า 1 ล้าน
	เส้นทางสู่พจนานุกรม	ในระหว่างการโจมตี WPA-PSK ให้ระบุเส้นทางไปยังพจนานุกรมที่ใช้

เมื่อใช้การเข้ารหัส WEP ปัญหาหลักคือเราไม่ทราบล่วงหน้าถึงความยาวของคีย์ที่ใช้ในการเข้ารหัส ดังนั้น คุณสามารถลองลองใช้หลายตัวเลือกสำหรับความยาวคีย์ ซึ่งระบุโดยพารามิเตอร์ -n หากไม่ได้ระบุพารามิเตอร์นี้ ตามค่าเริ่มต้น ความยาวคีย์จะถูกตั้งค่าเป็น 104 บิต (-n 128)

หากคุณทราบข้อมูลบางอย่างเกี่ยวกับคีย์ (เช่น ประกอบด้วยตัวเลขหรือตัวอักษรเท่านั้น หรือเฉพาะชุดตัวอักษรและตัวเลข แต่ไม่มีอักขระพิเศษ) คุณสามารถใช้ -c ได้ ตัวเลือก -t และ -h

ในกรณีของเรา เราใช้คำสั่ง aircrack-ng โดยมีรูปแบบดังนี้:

aircrack-ng –a 1 –e dlinkG –b 00:0d:88:56:33:b5 –c 00:0f:ea:91:7d:95 –n 128 dump.ivs

ในที่นี้ การระบุที่อยู่ MAC ของจุดเข้าใช้งานและไคลเอนต์ รวมถึงเครือข่าย ESSID นั้นซ้ำซ้อน เนื่องจากมีการใช้จุดเข้าใช้งานเพียงจุดเดียวและไคลเอนต์ไร้สายหนึ่งตัวเท่านั้น อย่างไรก็ตาม หากมีไคลเอ็นต์หลายเครื่องและมีจุดเชื่อมต่อหลายจุด จะต้องระบุพารามิเตอร์เหล่านี้ด้วย

เป็นผลให้เราสามารถค้นหาคีย์ 128 บิตได้ในเวลาเพียง 25 วินาที (รูปที่ 6) อย่างที่คุณเห็น การแฮ็กเครือข่ายโดยใช้การเข้ารหัส WEP ไม่ใช่ปัญหาร้ายแรง แต่ก็ไม่ได้จบลงด้วยความสำเร็จเสมอไป อาจกลายเป็นว่ามีการสะสมแพ็กเก็ต IV ไม่เพียงพอที่จะเลือกคีย์

ข้าว. 6. การเลือกคีย์ 128 บิต
โดยใช้ยูทิลิตี้ aircrack-ng

การเข้ารหัส WPA-PSK ใช้ไวยากรณ์คำสั่งต่อไปนี้:

aircrack-ng –a 2 –e dlinkG–b 00:0d:88:56:33:b5 –w dict dump.cap

ในกรณีนี้ ความน่าจะเป็นของผลลัพธ์ที่เป็นบวก ซึ่งก็คือ ความน่าจะเป็นในการเดารหัสผ่านทั้งหมด ขึ้นอยู่กับพจนานุกรมที่ใช้ หากรหัสผ่านอยู่ในพจนานุกรมก็จะพบรหัสผ่าน พจนานุกรมที่ใช้โดยโปรแกรม aircrack-ng จะต้องติดตั้งในโฟลเดอร์การทำงานของโปรแกรมก่อนหรือต้องระบุเส้นทางแบบเต็มไปยังพจนานุกรม พจนานุกรมดีๆ ที่ได้รับการคัดสรรมีอยู่บนเว็บไซต์ www.insidepro.com หากไม่ช่วย เป็นไปได้มากว่ารหัสผ่านจะเป็นชุดอักขระที่ไม่มีความหมาย ท้ายที่สุดแล้ว พจนานุกรมประกอบด้วยคำหรือวลี รวมถึงแป้นพิมพ์ลัดที่สะดวกและจดจำง่าย เป็นที่ชัดเจนว่าไม่มีชุดอักขระตามอำเภอใจในพจนานุกรม แต่ในกรณีนี้ก็ยังมีทางออก ยูทิลิตี้บางตัวที่ออกแบบมาสำหรับการเดารหัสผ่านสามารถสร้างพจนานุกรมจากชุดอักขระที่กำหนดและความยาวคำสูงสุดได้ ตัวอย่างของโปรแกรมดังกล่าวคือ PasswordPro v.2.2.5.0

อย่างไรก็ตาม เราทราบอีกครั้งว่าความน่าจะเป็นในการแฮ็กรหัสผ่าน WPA-PSK นั้นต่ำมาก หากไม่ได้ระบุรหัสผ่านในรูปแบบของคำใด ๆ แต่เป็นการผสมตัวอักษรและตัวเลขแบบสุ่มก็แทบจะเป็นไปไม่ได้เลยที่จะเดาได้

ลักษณะทั่วไป

เพื่อสรุปทุกสิ่งที่กล่าวไว้ข้างต้นเกี่ยวกับการแฮ็กเครือข่ายไร้สาย เราจะแสดงรายการขั้นตอนหลักของกระบวนการนี้และคำสั่งที่ใช้ในแต่ละขั้นตอนอีกครั้ง

ขั้นตอนที่ 1 การรวบรวมข้อมูลเกี่ยวกับเครือข่าย:

Airmon-ng เริ่ม wifi0;

แอร์โรดัมพ์-ng ath1.

ขั้นตอนที่ 2 การรวบรวมแพ็คเกจ:

• กรณี WEP:

Airodump-ng --ivs -w dump --band g --channel 11 ath1,

ออกอากาศ -ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1

(หากมีการรับส่งข้อมูลไม่เพียงพอ คำสั่งจะถูกเรียกใช้ในเซสชันคอนโซลแยกต่างหาก)

• กรณี WPA-PSC:

-aireplay-ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 10 ath1,

Airodump-ng -w ดัมพ์ --band g --ช่อง 11 ath1

(คำสั่งถูกรันในเซสชันคอนโซลแยกต่างหาก)

ขั้นตอนที่ 3 การวิเคราะห์แพ็คเก็ต:

• กรณี WEP:

Aircrack-ng -a 1 -e dlinkG -b 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -n 128 dump.ivs;

• กรณี WPA-PSK:

Aircrack-ng -a 2 -e dlinkG-b 00:0d:88:56:33:b5 -w dict dump.cap

แฮ็กเครือข่ายไร้สายโดยใช้แพ็คเกจ aircrack-ng 0.6.2-win และ Windows XP

ดังที่เราได้กล่าวไว้แล้วในตอนต้นของบทความ มีเวอร์ชันของแพ็คเกจ aircrack-ng 0.6.2-win ที่รองรับโดยระบบปฏิบัติการ Windows XP ให้เราทราบทันทีว่าความสามารถของแพ็คเกจนั้นไม่กว้างขวางเมื่อเทียบกับ Linux ดังนั้นหากไม่มีอคติอย่างรุนแรงต่อ Linux ก็ควรใช้ตัวเลือกกับดิสก์ BackTrack

สิ่งแรกที่คุณจะต้องเผชิญเมื่อใช้โปรแกรม aircrack-ng เวอร์ชัน Windows คือความจำเป็นในการเปลี่ยนไดรเวอร์มาตรฐานจากผู้ผลิตอะแดปเตอร์เครือข่ายไร้สายด้วยไดรเวอร์พิเศษที่รองรับการตรวจสอบและโหมดสกัดกั้นแพ็กเก็ต ยิ่งไปกว่านั้น เช่นเดียวกับในกรณีของโปรแกรมเวอร์ชัน Linux เวอร์ชันเฉพาะของไดรเวอร์จะขึ้นอยู่กับชิปที่สร้างอะแดปเตอร์เครือข่าย ตัวอย่างเช่น เมื่อใช้อะแดปเตอร์ PCMCIA ไร้สาย Gigabyte GN-WMAG ที่ใช้ชิป Atheros AR5004 เราใช้ไดรเวอร์เวอร์ชัน 5.2.1.1 จาก WildPackets

ขั้นตอนในการแฮ็กเครือข่ายไร้สายโดยใช้แพ็คเกจ aircrack-ng เวอร์ชัน Windows นั้นค่อนข้างง่ายและเป็นการทำซ้ำขั้นตอนการแฮ็กเครือข่ายไร้สายโดยใช้แพ็คเกจเวอร์ชัน Linux โดยทั่วไปแล้วจะดำเนินการในสามขั้นตอน: การรวบรวมข้อมูลเกี่ยวกับเครือข่าย การสกัดกั้นแพ็กเก็ต และการวิเคราะห์

ในการเริ่มทำงานกับยูทิลิตี้นี้คุณจะต้องเรียกใช้ไฟล์ Aircrack-ng GUI.exe ซึ่งมีอินเทอร์เฟซแบบกราฟิกที่สะดวกและอันที่จริงแล้วเป็นเชลล์กราฟิกสำหรับยูทิลิตี้ทั้งหมดที่รวมอยู่ใน aircrack-ng 0.6.2-win บรรจุุภัณฑ์. หน้าต่างโปรแกรมหลัก (รูปที่ 7) มีหลายแท็บโดยสลับไปมาระหว่างซึ่งคุณสามารถเปิดใช้งานยูทิลิตี้ที่จำเป็นได้

ข้าว. 7. หน้าต่างหลักของยูทิลิตี้ Aircrack-ng GUI

ในการรวบรวมข้อมูลที่จำเป็นเกี่ยวกับเครือข่ายคุณต้องไปที่แท็บ airdump-ng หลังจากนั้นยูทิลิตี้ airdump-ng 0.6.2 จะเปิดขึ้นในหน้าต่างแยกต่างหาก

เมื่อคุณรันโปรแกรม airdump-ng 0.6.2 (รูปที่ 8) กล่องโต้ตอบจะเปิดขึ้นซึ่งคุณจะต้องระบุอะแดปเตอร์เครือข่ายไร้สาย (หมายเลขดัชนีอินเทอร์เฟซเครือข่าย) ชิปประเภทอินเทอร์เฟซเครือข่าย (o/a) การสื่อสารหมายเลขช่องสัญญาณไร้สาย (ช่อง): 1 ถึง 14, 0=ทั้งหมด) (หากไม่ทราบหมายเลขช่อง คุณสามารถสแกนทุกช่องได้) นอกจากนี้ ชื่อของไฟล์เอาต์พุตซึ่งจัดเก็บแพ็กเก็ตที่บันทึกไว้ (คำนำหน้าชื่อไฟล์เอาต์พุต) และระบุว่าจำเป็นต้องจับแพ็กเก็ตทั้งหมดทั้งหมด (ไฟล์ CAP) หรือเพียงบางส่วนของแพ็กเก็ตที่มีเวกเตอร์การเริ่มต้น (ไฟล์ IVS) (เขียนเฉพาะ WEP IV (y/n)) ด้วยการเข้ารหัส WEP การเลือกคีย์ลับ การสร้างเฉพาะไฟล์ IVS ก็เพียงพอแล้ว แต่เมื่อใช้การเข้ารหัส WPA-PSK คุณจะต้องมีไฟล์ cap ตามค่าเริ่มต้น ไฟล์ IVS หรือ CAP จะถูกสร้างขึ้นในไดเร็กทอรีเดียวกันกับโปรแกรม airdump-ng 0.6.2

ข้าว. 8. การตั้งค่ายูทิลิตี้ airdump-ng 0.6.2

หลังจากกำหนดค่าตัวเลือกทั้งหมดของยูทิลิตี้ airodump-ng 0.6.2 หน้าต่างข้อมูลจะเปิดขึ้นซึ่งจะแสดงข้อมูลเกี่ยวกับจุดเชื่อมต่อไร้สายที่ตรวจพบข้อมูลเกี่ยวกับไคลเอนต์เครือข่ายและสถิติของแพ็กเก็ตที่ถูกดัก (รูปที่ 9)

ข้าว. 9. หน้าต่างข้อมูลของยูทิลิตี้ airodump-ng 0.6.2

หากมีจุดเข้าใช้งานหลายจุด สถิติจะแสดงสำหรับแต่ละจุดเข้าใช้งาน

ขั้นตอนแรกคือจดที่อยู่ MAC ของจุดเข้าใช้งาน, SSID ของเครือข่ายไร้สายและที่อยู่ MAC ของหนึ่งในไคลเอนต์ที่เชื่อมต่ออยู่ (หากมีหลายรายการ) จากนั้นคุณจะต้องรอจนกว่าจะมีการดักจับแพ็กเก็ตในจำนวนที่เพียงพอ หากต้องการหยุดกระบวนการดักจับแพ็กเก็ต (การดำเนินการยูทิลิตี้) ให้ใช้คีย์ผสม Ctrl+C โปรดทราบว่าแพ็คเกจเวอร์ชัน Windows ไม่มีวิธีการเพิ่มการรับส่งข้อมูลระหว่างจุดเข้าใช้งานและไคลเอนต์เครือข่าย (โปรดจำไว้ว่าแพ็คเกจเวอร์ชัน Linux มียูทิลิตี้ aireplay-ng สำหรับสิ่งนี้)

ปัญหาหลักเมื่อแฮ็คเครือข่าย WPA-PSK โดยใช้โปรแกรม Aircrack-ng GNU 0.6.2 เวอร์ชัน Windows คือขั้นตอนการเริ่มต้นไคลเอนต์บนเครือข่ายจะต้องถูกจับในไฟล์ CAP นั่นคือคุณจะต้องนั่งซุ่มโจมตี ด้วยการรันโปรแกรม airodump-ng เมื่อขั้นตอนการเริ่มต้นไคลเอนต์เครือข่ายถูกจับในไฟล์ CAP คุณสามารถหยุดโปรแกรม airodump และเริ่มกระบวนการถอดรหัสได้ ที่จริงแล้ว ในกรณีนี้ ไม่จำเป็นต้องสะสมแพ็กเก็ตที่ถูกดักจับ เนื่องจากมีเพียงแพ็กเก็ตที่ส่งระหว่างจุดเข้าใช้งานและไคลเอนต์ระหว่างการเริ่มต้นเท่านั้นที่จะถูกนำมาใช้ในการคำนวณคีย์ลับ

ในกรณีของการเข้ารหัส WEP หลังจากสร้างไฟล์ IVS เอาต์พุตแล้ว คุณสามารถเริ่มวิเคราะห์ได้โดยใช้ยูทิลิตี้ aircrack-ng 0.6.2 เพื่อเปิดใช้งานซึ่งคุณต้องเปิดหน้าต่างหลักของโปรแกรม Aircrack-ng GUI บนอีกครั้ง แท็บที่เหมาะสมและกำหนดค่ายูทิลิตี้ aircrack-ng ด้วยการเข้ารหัส WEP การตั้งค่ายูทิลิตี้ประกอบด้วยการตั้งค่าความยาวของคีย์ WEP การระบุ ESSID ของเครือข่ายไร้สาย การตั้งค่าที่อยู่ MAC ของจุดเข้าใช้งาน ยกเว้นการโจมตีบางประเภท (การโจมตี RoreK) การตั้งค่าหากจำเป็น ชุดอักขระที่ใช้สำหรับกุญแจ ฯลฯ การตั้งค่าเดียวกันทั้งหมดมีให้ที่นี่ เช่นเดียวกับในกรณีของยูทิลิตี้เวอร์ชัน Linux ข้อแตกต่างเพียงอย่างเดียวคือในเวอร์ชัน Linux การตั้งค่าทั้งหมดจะถูกระบุเป็นตัวเลือกบนบรรทัดคำสั่งในขณะที่ในเวอร์ชัน Windows จะใช้อินเทอร์เฟซแบบกราฟิกที่สะดวกเพื่อกำหนดค่ายูทิลิตี้ (รูปที่ 10)

ข้าว. 11. ผลการวิเคราะห์ไฟล์ IVS
ยูทิลิตี้ aircrack-ng 0.6.2

ผลลัพธ์ของการวิเคราะห์ไฟล์ IVS จะแสดงในรูป 11. ไม่น่าเป็นไปได้ที่บรรทัด KEY FOUND! ต้องการความคิดเห็น โปรดทราบ: รหัสลับถูกคำนวณในเวลาเพียง 1 วินาที!

เมื่อใช้การเข้ารหัส WPA-PSK ในการตั้งค่ายูทิลิตี้ aircrack-ng 0.6.2 จำเป็นต้องใช้ไฟล์ CAP เป็นไฟล์เอาต์พุต ไม่ใช่ไฟล์ IVS นอกจากนี้คุณต้องระบุเส้นทางไปยังพจนานุกรมที่ใช้สำหรับการแฮ็กซึ่งติดตั้งไว้ล่วงหน้าในไดเร็กทอรีด้วยโปรแกรม aircrack-ng 0.6.2 (รูปที่ 12)

ข้าว. 12. ผลการวิเคราะห์ไฟล์ ivs
ยูทิลิตี้ aircrack-ng 0.6.2

ผลลัพธ์ของการวิเคราะห์ไฟล์ CAP จะแสดงในรูป 13. อย่างไรก็ตาม โปรดทราบว่าผลลัพธ์ที่เป็นบวกของการค้นหาคีย์นั้นเป็นไปได้ก็ต่อเมื่อมีรหัสผ่านอยู่ในพจนานุกรมที่วิเคราะห์เท่านั้น

ข้าว. 13. ผลการวิเคราะห์ไฟล์ CAP

ข้ามการป้องกันตัวกรองที่อยู่ MAC

ในตอนต้นของบทความ เราตั้งข้อสังเกตว่านอกเหนือจากการเข้ารหัส WEP และ WPA-PSK แล้ว มักใช้ฟังก์ชันต่างๆ เช่น โหมดตัวระบุเครือข่ายที่ซ่อนอยู่ และการกรองที่อยู่ MAC อีกด้วย สิ่งเหล่านี้มักถูกจัดประเภทเป็นคุณสมบัติความปลอดภัยไร้สาย

ตามที่เราได้สาธิตไปแล้วด้วยแพ็คเกจ aircrack-ng คุณจะไม่สามารถพึ่งพาโหมดตัวระบุเครือข่ายที่ซ่อนอยู่ได้เลย ยูทิลิตี้ airodump-ng ที่เรากล่าวถึงจะยังคงแสดง SSID เครือข่ายให้คุณ ซึ่งสามารถใช้สร้างโปรไฟล์การเชื่อมต่อ (ไม่ได้รับอนุญาต!) ไปยังเครือข่ายในภายหลังได้

ถ้าเราพูดถึงมาตรการรักษาความปลอดภัยเช่นการกรองตามที่อยู่ MAC ทุกอย่างก็ง่ายมาก บนอินเทอร์เน็ตคุณจะพบยูทิลิตี้ต่าง ๆ มากมายสำหรับทั้ง Linux และ Windows ที่ให้คุณแทนที่ที่อยู่ MAC ของอินเทอร์เฟซเครือข่าย ตามตัวอย่าง เราสามารถอ้างอิงยูทิลิตี้ Windows ต่อไปนี้: SMAC 2.0 (ยูทิลิตี้แบบชำระเงิน, http://www.klcconsulting.net/smac), MAC MakeUP (ยูทิลิตี้ฟรี, www.gorlani.com/publicprj/macmakeup/macmakeup.asp - รูปที่ 14) หรือ MAC Spoofer 2006 (ยูทิลิตี้ฟรี)

ข้าว. 14. การปลอมแปลงที่อยู่ MAC โดยใช้ยูทิลิตี้ MAC MakeUP

เมื่อดำเนินการทดแทนดังกล่าวแล้ว คุณสามารถแกล้งทำเป็นเป็นของคุณเองและใช้การเข้าถึงเครือข่ายไร้สายโดยไม่ได้รับอนุญาตได้ ยิ่งไปกว่านั้น ไคลเอนต์ทั้งสอง (จริงและไม่ได้รับเชิญ) จะอยู่บนเครือข่ายเดียวกันโดยมีที่อยู่ MAC เดียวกันอย่างสงบ นอกจากนี้ ในกรณีนี้ แขกที่ไม่ได้รับเชิญจะได้รับการกำหนดที่อยู่ IP เดียวกันกับไคลเอนต์เครือข่ายจริงทุกประการ

ข้อสรุป

ดังนั้นจึงไม่ใช่เรื่องยากที่จะเอาชนะระบบความปลอดภัยทั้งหมดของเครือข่ายไร้สายที่ใช้การเข้ารหัส WEP บางทีหลายคนอาจบอกว่าสิ่งนี้ไม่เกี่ยวข้องเนื่องจากโปรโตคอล WEP เสียชีวิตไปนานแล้ว - ไม่ได้ใช้ ถูกแทนที่ด้วยโปรโตคอล WPA ที่แข็งแกร่งยิ่งขึ้น อย่างไรก็ตามอย่ารีบด่วนสรุป นี่เป็นเรื่องจริง แต่เพียงบางส่วนเท่านั้น ความจริงก็คือในบางกรณีเพื่อเพิ่มช่วงของเครือข่ายไร้สายที่เรียกว่าเครือข่ายไร้สายแบบกระจาย (WDS) จะถูกปรับใช้ตามจุดเชื่อมต่อหลายจุด สิ่งที่น่าสนใจที่สุดคือเครือข่ายดังกล่าวไม่รองรับโปรโตคอล WPA และมาตรการรักษาความปลอดภัยที่ยอมรับได้ในกรณีนี้คือการใช้การเข้ารหัส WEP ในกรณีนี้ เครือข่าย WDS จะถูกแฮ็กในลักษณะเดียวกับเครือข่ายที่ใช้จุดเชื่อมต่อจุดเดียว นอกจากนี้ PDA ที่ติดตั้งโมดูลไร้สายยังไม่รองรับโปรโตคอล WPA ดังนั้นหากต้องการรวมไคลเอนต์ที่ใช้ PDA ไว้ในเครือข่ายไร้สาย คุณต้องใช้โปรโตคอล WEP ในนั้น ดังนั้นโปรโตคอล WEP จะเป็นที่ต้องการในเครือข่ายไร้สายเป็นเวลานาน

ตัวอย่างของการแฮ็กเครือข่ายไร้สายที่เราพิจารณาอย่างชัดเจนแสดงให้เห็นถึงช่องโหว่ของมัน หากเราพูดถึงโปรโตคอล WEP ก็เปรียบได้กับการป้องกันที่เข้าใจผิดได้ สิ่งนี้เหมือนกับสัญญาณเตือนรถ - เพียงแต่ช่วยคุณจากอันธพาลเท่านั้น สำหรับข้อควรระวังเช่นการกรองที่อยู่ MAC และโหมดตัวระบุเครือข่ายที่ซ่อนอยู่ จะไม่ถือเป็นการป้องกันเลย อย่างไรก็ตามก็ไม่ควรละเลยวิธีการดังกล่าวแม้ว่าจะใช้ร่วมกับมาตรการอื่นเท่านั้นก็ตาม

โปรโตคอล WPA แม้จะถอดรหัสได้ยากกว่ามาก แต่ก็มีความเสี่ยงเช่นกัน อย่างไรก็ตามอย่าเสียหัวใจ - ไม่ใช่ทุกสิ่งที่สิ้นหวัง ความจริงก็คือความสำเร็จของการแฮ็กรหัสลับ WPA ขึ้นอยู่กับว่ามีอยู่ในพจนานุกรมหรือไม่ พจนานุกรมมาตรฐานที่เราใช้มีขนาดเพียง 40 MB ซึ่งโดยทั่วไปมีขนาดไม่มากนัก หลังจากพยายามสามครั้ง เราก็สามารถค้นหาคีย์ที่ไม่ได้อยู่ในพจนานุกรมได้ และการแฮ็กเครือข่ายกลับกลายเป็นว่าเป็นไปไม่ได้ จำนวนคำในพจนานุกรมนี้มีเพียง 6,475,760 คำ ซึ่งแน่นอนว่าน้อยมาก คุณสามารถใช้พจนานุกรมที่มีความจุมากขึ้นได้ ตัวอย่างเช่น บนอินเทอร์เน็ต คุณสามารถสั่งซื้อพจนานุกรมด้วยซีดีสามแผ่น ซึ่งมีขนาดเกือบ 2 GB แต่ถึงแม้จะไม่มีรหัสผ่านที่เป็นไปได้ทั้งหมดก็ตาม อันที่จริง ลองคำนวณจำนวนรหัสผ่านโดยประมาณตั้งแต่ 8 ถึง 63 อักขระที่สามารถสร้างได้โดยใช้ตัวอักษรภาษาอังกฤษ 26 ตัว (คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่) ตัวเลข 10 ตัว และตัวอักษรรัสเซีย 32 ตัว ปรากฎว่าแต่ละสัญลักษณ์สามารถเลือกได้ 126 วิธี ดังนั้น หากเราพิจารณาเฉพาะรหัสผ่านที่มีความยาว 8 ตัวอักษร จำนวนชุดค่าผสมที่เป็นไปได้จะเป็น 1268=6.3·1016 หากขนาดของแต่ละคำ 8 ตัวอักษรคือ 8 ไบต์ ขนาดของพจนานุกรมดังกล่าวจะเท่ากับ 4.5 ล้านเทราไบต์ แต่นี่เป็นเพียงการรวมกันของแปดสัญลักษณ์เท่านั้น! คุณจะได้พจนานุกรมแบบไหนถ้าคุณใช้ชุดค่าผสมที่เป็นไปได้ทั้งหมดตั้งแต่ 8 ถึง 63 ตัวอักษร! คุณไม่จำเป็นต้องเป็นนักคณิตศาสตร์เพื่อคำนวณว่าพจนานุกรมดังกล่าวจะมีขนาดประมาณ 1.2·10119 TB

ดังนั้นอย่าสิ้นหวัง มีโอกาสที่ดีที่รหัสผ่านที่คุณใช้ไม่อยู่ในพจนานุกรม พูดง่ายๆ ในการเลือกรหัสผ่าน คุณไม่ควรใช้คำที่สมเหตุสมผล จะเป็นการดีที่สุดหากเป็นชุดอักขระแบบสุ่ม - เช่น "FGproukqweRT4j563app"

การเข้าถึงโดยไม่ได้รับอนุญาต - การอ่าน อัปเดต หรือทำลายข้อมูลโดยไม่มีอำนาจที่เหมาะสมในการดำเนินการดังกล่าว

ตามกฎแล้ว การเข้าถึงโดยไม่ได้รับอนุญาตทำได้โดยใช้ชื่อของบุคคลอื่น การเปลี่ยนที่อยู่ทางกายภาพของอุปกรณ์ การใช้ข้อมูลที่เหลืออยู่หลังจากแก้ไขปัญหา การแก้ไขซอฟต์แวร์และข้อมูล การขโมยสื่อบันทึกข้อมูล การติดตั้งอุปกรณ์บันทึก

เพื่อปกป้องข้อมูลของคุณให้ประสบความสำเร็จ ผู้ใช้ต้องมีความเข้าใจที่ชัดเจนเกี่ยวกับวิธีการเข้าถึงที่ไม่ได้รับอนุญาตที่เป็นไปได้ วิธีทั่วไปหลักในการรับข้อมูลที่ไม่ได้รับอนุญาต:

· การโจรกรรมสื่อจัดเก็บข้อมูลและของเสียจากการผลิต

· คัดลอกสื่อบันทึกข้อมูลโดยการเอาชนะมาตรการรักษาความปลอดภัย

· ปลอมตัวเป็นผู้ใช้ที่ลงทะเบียน;

· การหลอกลวง (ปลอมตัวตามคำขอของระบบ);

· การใช้ประโยชน์จากข้อบกพร่องของระบบปฏิบัติการและภาษาการเขียนโปรแกรม

· การใช้บุ๊กมาร์กซอฟต์แวร์และบล็อกซอฟต์แวร์ประเภท "ม้าโทรจัน"

· การสกัดกั้นรังสีอิเล็กทรอนิกส์

· การสกัดกั้นการแผ่รังสีทางเสียง

· การถ่ายภาพระยะไกล

· การใช้อุปกรณ์การฟัง

· การปิดใช้งานกลไกการป้องกันที่เป็นอันตราย ฯลฯ

เพื่อปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต มีการใช้สิ่งต่อไปนี้:

1) กิจกรรมองค์กร

2) วิธีการทางเทคนิค

3) ซอฟต์แวร์;

4) การเข้ารหัส

กิจกรรมขององค์กร ได้แก่ :

·โหมดการเข้าถึง;

· การจัดเก็บสื่อและอุปกรณ์ในตู้นิรภัย (ฟล็อปปี้ดิสก์ จอภาพ คีย์บอร์ด ฯลฯ)

· การจำกัดการเข้าใช้ห้องคอมพิวเตอร์ของบุคคล ฯลฯ

วิธีการทางเทคนิค ได้แก่ :

· ตัวกรอง หน้าจอสำหรับอุปกรณ์

· ปุ่มเพื่อล็อคคีย์บอร์ด

· อุปกรณ์ตรวจสอบความถูกต้อง – สำหรับการอ่านลายนิ้วมือ รูปร่างมือ ม่านตา ความเร็วในการพิมพ์และเทคนิค ฯลฯ

· กุญแจอิเล็กทรอนิกส์บนไมโครวงจร ฯลฯ

เครื่องมือซอฟต์แวร์ประกอบด้วย:

· การเข้าถึงรหัสผ่าน – การตั้งค่าการอนุญาตของผู้ใช้

·ล็อคหน้าจอและคีย์บอร์ดโดยใช้คีย์ผสมในยูทิลิตี้ Diskreet จากแพ็คเกจ Norton Utilites

· การใช้เครื่องมือป้องกันรหัสผ่าน BIOS - บน BIOS เองและบนพีซีโดยรวม ฯลฯ

การเข้ารหัสคือการเปลี่ยนแปลง (การเข้ารหัส) ของข้อมูลเปิดเป็นข้อมูลที่เข้ารหัสซึ่งบุคคลภายนอกไม่สามารถเข้าถึงได้ วิธีการเข้ารหัสและถอดรหัสข้อความได้รับการศึกษาโดยศาสตร์แห่งการเข้ารหัสซึ่งมีประวัติย้อนกลับไปประมาณสี่พันปี

2.5. การปกป้องข้อมูลในเครือข่ายไร้สาย

การใช้งานโซลูชันไร้สายที่รวดเร็วอย่างเหลือเชื่อในเครือข่ายสมัยใหม่ทำให้เราคิดถึงความน่าเชื่อถือของการปกป้องข้อมูล

หลักการสำคัญของการส่งข้อมูลแบบไร้สายนั้นรวมถึงความเป็นไปได้ของการเชื่อมต่อไปยังจุดเข้าใช้งานโดยไม่ได้รับอนุญาต

ภัยคุกคามที่อันตรายไม่แพ้กันคือความเป็นไปได้ที่จะถูกขโมยอุปกรณ์ หากนโยบายความปลอดภัยเครือข่ายไร้สายขึ้นอยู่กับที่อยู่ MAC การ์ดเครือข่ายหรือจุดเชื่อมต่อที่ถูกขโมยโดยผู้โจมตีก็สามารถเปิดการเข้าถึงเครือข่ายได้

บ่อยครั้งที่การเชื่อมต่อจุดเข้าใช้งานกับ LAN โดยไม่ได้รับอนุญาตนั้นดำเนินการโดยพนักงานระดับองค์กรเองซึ่งไม่ได้คำนึงถึงการป้องกัน

ปัญหาดังกล่าวจำเป็นต้องได้รับการแก้ไขอย่างครอบคลุม มาตรการขององค์กรจะถูกเลือกตามเงื่อนไขการทำงานของแต่ละเครือข่ายเฉพาะ สำหรับมาตรการทางเทคนิคนั้น จะได้ผลลัพธ์ที่ดีมากโดยการใช้การรับรองความถูกต้องร่วมกันแบบบังคับของอุปกรณ์และการแนะนำการควบคุมที่ใช้งานอยู่

ในปี 2544 การใช้งานไดรเวอร์และโปรแกรมครั้งแรกปรากฏขึ้นซึ่งสามารถรับมือกับการเข้ารหัส WEP สิ่งที่ประสบความสำเร็จมากที่สุดคือ PreShared Key แต่จะดีก็ต่อเมื่อมีการเข้ารหัสที่เชื่อถือได้และการเปลี่ยนรหัสผ่านคุณภาพสูงเป็นประจำ (รูปที่ 1)

รูปที่ 1 - อัลกอริทึมสำหรับการวิเคราะห์ข้อมูลที่เข้ารหัส

ข้อกำหนดการป้องกันที่ทันสมัย

การรับรองความถูกต้อง

ปัจจุบันในอุปกรณ์เครือข่ายต่างๆ รวมถึงอุปกรณ์ไร้สาย มีการใช้วิธีการรับรองความถูกต้องที่ทันสมัยกว่าซึ่งกำหนดไว้ในมาตรฐาน 802.1x อย่างกว้างขวาง - จนกว่าจะมีการตรวจสอบร่วมกัน ผู้ใช้จะไม่สามารถรับหรือส่งข้อมูลใด ๆ ได้

นักพัฒนาจำนวนหนึ่งใช้โปรโตคอล EAP-TLS และ PEAP สำหรับการตรวจสอบสิทธิ์ในอุปกรณ์ของตน Cisco Systems นำเสนอโปรโตคอลต่อไปนี้สำหรับเครือข่ายไร้สายของตน นอกเหนือจากที่กล่าวถึง: EAP-TLS, PEAR, LEAP, EAP-FAST

วิธีการรับรองความถูกต้องสมัยใหม่ทั้งหมดจำเป็นต้องรองรับคีย์ไดนามิก

ข้อเสียเปรียบหลักของ LEAP และ EAP-FAST คือโปรโตคอลเหล่านี้รองรับในอุปกรณ์ Cisco Systems เป็นหลัก (รูปที่ 2)

รูปที่ 2 - โครงสร้างแพ็กเก็ต 802.11x โดยใช้การเข้ารหัส TKIP-PPK, MIC และ WEP

การเข้ารหัสและความสมบูรณ์

ตามคำแนะนำของ Cisco Systems 802.11i มีการใช้โปรโตคอล TCIP (Temporal Integrity Protocol) ซึ่งช่วยให้มั่นใจได้ถึงการเปลี่ยนแปลงคีย์การเข้ารหัส PPK (Per Packet Keying) ในแต่ละแพ็กเก็ตและตรวจสอบความสมบูรณ์ของข้อความ MIC (การตรวจสอบความสมบูรณ์ของข้อความ)

โปรโตคอลการเข้ารหัสและความสมบูรณ์ที่น่าหวังอีกประการหนึ่งคือ AES (มาตรฐานการเข้ารหัสขั้นสูง) มีความแข็งแกร่งในการเข้ารหัสที่ดีกว่าเมื่อเปรียบเทียบกับ DES และ GOST 28147-89 มันมีทั้งการเข้ารหัสและความสมบูรณ์

โปรดทราบว่าอัลกอริทึมที่ใช้ในนั้น (Rijndael) ไม่ต้องการทรัพยากรขนาดใหญ่ทั้งในระหว่างการนำไปใช้งานหรือการดำเนินการซึ่งเป็นสิ่งสำคัญมากในการลดเวลาแฝงของข้อมูลและโหลดตัวประมวลผล

มาตรฐานความปลอดภัยสำหรับเครือข่ายท้องถิ่นไร้สายคือ 802.11i

มาตรฐาน Wi-Fi Protected Access (WPA) คือชุดกฎที่รับรองการใช้งานการปกป้องข้อมูลในเครือข่าย 802.11x ตั้งแต่เดือนสิงหาคม พ.ศ. 2546 การปฏิบัติตามมาตรฐาน WPA ถือเป็นข้อกำหนดบังคับสำหรับอุปกรณ์ที่ได้รับการรับรอง Wi-Fi Certified

ข้อกำหนด WPA ประกอบด้วยโปรโตคอล TKOP-PPK ที่ได้รับการแก้ไข การเข้ารหัสจะดำเนินการโดยใช้คีย์หลายตัวรวมกัน - ปุ่มปัจจุบันและปุ่มถัดไป ในกรณีนี้ความยาวของ IV จะเพิ่มขึ้นเป็น 48 บิต ซึ่งทำให้สามารถใช้มาตรการเพิ่มเติมเพื่อปกป้องข้อมูลได้ เช่น เพื่อกระชับข้อกำหนดสำหรับการเชื่อมโยงใหม่และการรับรองความถูกต้องอีกครั้ง

ข้อมูลจำเพาะประกอบด้วยการรองรับ 802.1x/EAP, การรับรองความถูกต้องของคีย์ที่ใช้ร่วมกัน และแน่นอนว่ารวมถึงการจัดการคีย์

ตารางที่ 3 - วิธีการนำนโยบายความปลอดภัยไปใช้

ดัชนี
รองรับระบบปฏิบัติการที่ทันสมัย
ความซับซ้อนของซอฟต์แวร์และความเข้มข้นของทรัพยากรในการรับรองความถูกต้อง
ความยากลำบากในการควบคุม
การลงชื่อเข้าใช้ครั้งเดียว (การเข้าสู่ระบบครั้งเดียวบน Windows)
ไดนามิกคีย์
รหัสผ่านแบบใช้ครั้งเดียว

ความต่อเนื่องของตารางที่ 3

หากมีการใช้อุปกรณ์และซอฟต์แวร์ที่ทันสมัย ​​ขณะนี้ค่อนข้างเป็นไปได้ที่จะสร้างเครือข่ายไร้สายที่ปลอดภัยและต้านทานการโจมตีตามมาตรฐานซีรีส์ 802.11x

เกือบทุกครั้งเครือข่ายไร้สายเชื่อมต่อกับเครือข่ายแบบใช้สายและนอกเหนือจากความจำเป็นในการปกป้องช่องสัญญาณไร้สายแล้วยังจำเป็นต้องให้การป้องกันในเครือข่ายแบบมีสายอีกด้วย มิฉะนั้น เครือข่ายจะมีการรักษาความปลอดภัยแบบกระจัดกระจาย ซึ่งโดยพื้นฐานแล้วถือเป็นความเสี่ยงด้านความปลอดภัย ขอแนะนำให้ใช้อุปกรณ์ที่มีใบรับรอง Wi-Fi Certified นั่นคือยืนยันการปฏิบัติตาม WPA

เราจำเป็นต้องใช้ 802.11x/EAP/TKIP/MIC และการจัดการคีย์แบบไดนามิก ในกรณีของเครือข่ายแบบผสม ควรใช้ VLAN หากมีเสาอากาศภายนอก ระบบจะใช้เทคโนโลยีเครือข่ายส่วนตัวเสมือน VPN

มีความจำเป็นต้องรวมทั้งวิธีป้องกันโปรโตคอลและซอฟต์แวร์รวมถึงวิธีการจัดการด้วย

ในยุคของเราอะไรจะสำคัญไปกว่าการปกป้องเครือข่าย Wi-Fi ในบ้านของคุณ :) นี่เป็นหัวข้อยอดนิยมซึ่งมีการเขียนบทความมากกว่าหนึ่งบทความบนเว็บไซต์นี้เพียงอย่างเดียว ฉันตัดสินใจรวบรวมข้อมูลที่จำเป็นทั้งหมดในหัวข้อนี้ในหน้าเดียว ตอนนี้เราจะดูรายละเอียดเกี่ยวกับปัญหาการปกป้องเครือข่าย Wi-Fi ฉันจะบอกคุณและแสดงวิธีป้องกัน Wi-Fi ด้วยรหัสผ่าน วิธีทำอย่างถูกต้องบนเราเตอร์จากผู้ผลิตหลายราย วิธีการเข้ารหัสที่เลือก วิธีเลือกรหัสผ่าน และสิ่งที่คุณต้องรู้หากคุณเป็น วางแผนที่จะเปลี่ยนรหัสผ่านเครือข่ายไร้สายของคุณ

ในบทความนี้เราจะพูดถึงอย่างแน่นอน เกี่ยวกับการปกป้องเครือข่ายไร้สายในบ้านของคุณ. และเกี่ยวกับการป้องกันด้วยรหัสผ่านเท่านั้น หากเราพิจารณาถึงความปลอดภัยของเครือข่ายขนาดใหญ่บางแห่งในสำนักงาน ก็ควรพิจารณาการรักษาความปลอดภัยให้แตกต่างออกไปเล็กน้อยจะดีกว่า (อย่างน้อยก็มีโหมดการตรวจสอบสิทธิ์ที่แตกต่างกัน). หากคุณคิดว่ารหัสผ่านเดียวไม่เพียงพอที่จะปกป้องเครือข่าย Wi-Fi ของคุณ ฉันขอแนะนำให้คุณอย่ากังวล ตั้งรหัสผ่านที่ดีและซับซ้อนโดยใช้คำแนะนำเหล่านี้ และไม่ต้องกังวล ไม่น่าเป็นไปได้ที่ใครก็ตามจะใช้เวลาและความพยายามในการแฮ็กเครือข่ายของคุณ ได้ คุณสามารถซ่อนชื่อเครือข่าย (SSID) และตั้งค่าการกรองตามที่อยู่ MAC ได้ แต่สิ่งเหล่านี้เป็นความยุ่งยากที่ไม่จำเป็นซึ่งในความเป็นจริงแล้วจะทำให้เกิดความไม่สะดวกเมื่อเชื่อมต่อและใช้เครือข่ายไร้สายเท่านั้น

หากคุณกำลังคิดที่จะปกป้อง Wi-Fi ของคุณหรือเปิดเครือข่ายทิ้งไว้ มีเพียงวิธีแก้ปัญหาเดียวเท่านั้น - ปกป้องมัน ใช่ อินเทอร์เน็ตไม่จำกัด และเกือบทุกคนที่บ้านมีเราเตอร์เป็นของตัวเอง แต่ในที่สุดก็จะมีคนเชื่อมต่อกับเครือข่ายของคุณ เหตุใดเราจึงต้องการสิ่งนี้ เนื่องจากไคลเอนต์เพิ่มเติมเป็นภาระเพิ่มเติมบนเราเตอร์ และถ้ามันไม่แพง มันก็จะไม่ทนต่อภาระนี้ นอกจากนี้ หากมีใครเชื่อมต่อกับเครือข่ายของคุณ พวกเขาจะสามารถเข้าถึงไฟล์ของคุณได้ (หากกำหนดค่าเครือข่ายท้องถิ่น)และเข้าถึงการตั้งค่าเราเตอร์ของคุณ (ท้ายที่สุดแล้ว คุณมักจะไม่ได้เปลี่ยนรหัสผ่านผู้ดูแลระบบมาตรฐานที่ปกป้องแผงควบคุม).

อย่าลืมปกป้องเครือข่าย Wi-Fi ของคุณด้วยรหัสผ่านที่ดีด้วยวิธีการเข้ารหัสที่ถูกต้อง (ทันสมัย) ฉันแนะนำให้ติดตั้งการป้องกันทันทีเมื่อตั้งค่าเราเตอร์ นอกจากนี้ จะเป็นความคิดที่ดีที่จะเปลี่ยนรหัสผ่านของคุณเป็นครั้งคราว

หากคุณกังวลว่าจะมีคนแฮ็กเครือข่ายของคุณหรือแฮ็กไปแล้ว เพียงแค่เปลี่ยนรหัสผ่านและใช้ชีวิตอย่างสงบสุข อย่างไรก็ตาม เนื่องจากคุณยังคงลงชื่อเข้าใช้แผงควบคุมของเราเตอร์อยู่ ฉันจึงขอแนะนำ ซึ่งใช้ในการเข้าสู่การตั้งค่าเราเตอร์

การป้องกันเครือข่าย Wi-Fi ในบ้านของคุณอย่างเหมาะสม: ควรเลือกวิธีการเข้ารหัสแบบใด

ในระหว่างขั้นตอนการตั้งค่ารหัสผ่าน คุณจะต้องเลือกวิธีการเข้ารหัสเครือข่าย Wi-Fi (วิธีการรับรองความถูกต้อง). ฉันแนะนำให้ติดตั้งเท่านั้น WPA2 - ส่วนบุคคลด้วยอัลกอริธึมการเข้ารหัส เออีเอส. สำหรับเครือข่ายในบ้าน นี่เป็นทางออกที่ดีที่สุด ใหม่ล่าสุดและน่าเชื่อถือที่สุดในปัจจุบัน นี่คือการป้องกันที่ผู้ผลิตเราเตอร์แนะนำให้ติดตั้ง

ภายใต้เงื่อนไขเดียวเท่านั้นที่คุณไม่มีอุปกรณ์เก่าที่คุณต้องการเชื่อมต่อกับ Wi-Fi หลังจากตั้งค่าแล้ว หากอุปกรณ์เก่าบางเครื่องของคุณปฏิเสธที่จะเชื่อมต่อกับเครือข่ายไร้สาย คุณสามารถติดตั้งโปรโตคอลได้ WPA (พร้อมอัลกอริธึมการเข้ารหัส TKIP). ฉันไม่แนะนำให้ติดตั้งโปรโตคอล WEP เนื่องจากมันล้าสมัยแล้ว ไม่ปลอดภัย และสามารถถูกแฮ็กได้ง่าย ใช่และอาจมีปัญหาในการเชื่อมต่ออุปกรณ์ใหม่

การรวมโปรโตคอล WPA2 - ส่วนตัวพร้อมการเข้ารหัส AESนี่คือตัวเลือกที่ดีที่สุดสำหรับเครือข่ายในบ้าน ตัวรหัส (รหัสผ่าน) ต้องมีอักขระอย่างน้อย 8 ตัว รหัสผ่านจะต้องประกอบด้วยตัวอักษรภาษาอังกฤษ ตัวเลข และสัญลักษณ์ รหัสผ่านต้องตรงตามตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ นั่นคือ "111AA111" และ "111aa111" เป็นรหัสผ่านที่แตกต่างกัน

ฉันไม่รู้ว่าคุณมีเราเตอร์ตัวไหน ดังนั้นฉันจะเตรียมคำแนะนำสั้นๆ สำหรับผู้ผลิตที่ได้รับความนิยมมากที่สุด

หากหลังจากเปลี่ยนหรือตั้งรหัสผ่านแล้วคุณประสบปัญหาในการเชื่อมต่ออุปกรณ์กับเครือข่ายไร้สาย โปรดดูคำแนะนำในตอนท้ายของบทความนี้

ฉันแนะนำให้คุณจดรหัสผ่านที่คุณจะตั้งไว้ทันที หากคุณลืมคุณจะต้องติดตั้งใหม่หรือ.

ปกป้อง Wi-Fi ด้วยรหัสผ่านบนเราเตอร์ Tp-Link

กำลังเชื่อมต่อกับเราเตอร์ (ผ่านสายเคเบิลหรือ Wi-Fi)เปิดเบราว์เซอร์ใดก็ได้แล้วเปิดที่อยู่ 192.168.1.1 หรือ 192.168.0.1 (ที่อยู่ของเราเตอร์ของคุณตลอดจนชื่อผู้ใช้และรหัสผ่านมาตรฐานจะระบุไว้บนสติกเกอร์ที่ด้านล่างของอุปกรณ์). ระบุชื่อผู้ใช้และรหัสผ่านของคุณ ตามค่าเริ่มต้น สิ่งเหล่านี้คือผู้ดูแลระบบและผู้ดูแลระบบ ใน ฉันได้อธิบายการป้อนการตั้งค่าโดยละเอียดมากขึ้น

ในการตั้งค่าไปที่แท็บ ไร้สาย(โหมดไร้สาย) - การรักษาความปลอดภัยแบบไร้สาย(การรักษาความปลอดภัยแบบไร้สาย). ทำเครื่องหมายที่ช่องถัดจากวิธีการป้องกัน WPA/WPA2 - ส่วนบุคคล(แนะนำ). ในเมนูแบบเลื่อนลง เวอร์ชัน(เวอร์ชั่น) เลือก WPA2-PSK. ในเมนู การเข้ารหัส(การเข้ารหัส) ติดตั้ง เออีเอส. ในสนาม รหัสผ่านไร้สาย(รหัสผ่าน PSK) ป้อนรหัสผ่านเพื่อปกป้องเครือข่ายของคุณ

การตั้งรหัสผ่านบนเราเตอร์ Asus

ในการตั้งค่าเราต้องเปิดแท็บ เครือข่ายไร้สายและทำการตั้งค่าต่อไปนี้:

• ในเมนูแบบเลื่อนลง "วิธีการรับรองความถูกต้อง" ให้เลือก WPA2 - ส่วนบุคคล
• "การเข้ารหัส WPA" - ติดตั้ง AES
• ในช่อง "คีย์ที่แชร์ล่วงหน้า WPA" ให้จดรหัสผ่านสำหรับเครือข่ายของเรา

หากต้องการบันทึกการตั้งค่า ให้คลิกปุ่ม นำมาใช้.

เชื่อมต่ออุปกรณ์ของคุณกับเครือข่ายด้วยรหัสผ่านใหม่

ปกป้องเครือข่ายไร้สายของเราเตอร์ D-Link ของคุณ

ไปที่การตั้งค่าของเราเตอร์ D-Link ของคุณที่ 192.168.0.1 คุณสามารถดูคำแนะนำโดยละเอียดได้ ในการตั้งค่า ให้เปิดแท็บ อินเตอร์เน็ตไร้สาย - ตั้งค่าความปลอดภัย. ตั้งค่าประเภทความปลอดภัยและรหัสผ่านตามภาพหน้าจอด้านล่าง

การตั้งรหัสผ่านบนเราเตอร์อื่น

นอกจากนี้เรายังมีคำแนะนำโดยละเอียดสำหรับเราเตอร์ ZyXEL และ Tenda ดูลิงค์:

หากคุณไม่พบคำแนะนำสำหรับเราเตอร์ของคุณ คุณสามารถตั้งค่าการป้องกันเครือข่าย Wi-Fi ได้ในแผงควบคุมของเราเตอร์ของคุณ ในส่วนการตั้งค่าที่เรียกว่า: การตั้งค่าความปลอดภัย เครือข่ายไร้สาย Wi-Fi ไร้สาย ฯลฯ คิดว่าจะหาได้ไม่ยาก และฉันคิดว่าคุณรู้อยู่แล้วว่าควรตั้งค่าอะไร: WPA2 - การเข้ารหัสส่วนบุคคลและ AES นั่นคือกุญแจสำคัญ

หากคุณไม่เข้าใจให้ถามในความคิดเห็น

จะทำอย่างไรถ้าอุปกรณ์ไม่เชื่อมต่อหลังจากการติดตั้งหรือเปลี่ยนรหัสผ่าน?

บ่อยครั้งมากหลังการติดตั้ง และโดยเฉพาะอย่างยิ่งหลังจากเปลี่ยนรหัสผ่าน อุปกรณ์ที่ก่อนหน้านี้เชื่อมต่อกับเครือข่ายของคุณไม่ต้องการเชื่อมต่อ ในคอมพิวเตอร์ สิ่งเหล่านี้มักเป็นข้อผิดพลาด “การตั้งค่าเครือข่ายที่บันทึกไว้ในคอมพิวเตอร์เครื่องนี้ไม่ตรงตามข้อกำหนดของเครือข่ายนี้” และ “Windows ไม่สามารถเชื่อมต่อกับ...” บนแท็บเล็ตและสมาร์ทโฟน (Android, iOS) ข้อผิดพลาดเช่น “ไม่สามารถเชื่อมต่อกับเครือข่าย”, “เชื่อมต่อแล้ว, ได้รับการป้องกัน” ฯลฯ อาจปรากฏขึ้นเช่นกัน

ปัญหาเหล่านี้สามารถแก้ไขได้โดยเพียงแค่ลบเครือข่ายไร้สายและเชื่อมต่อใหม่ด้วยรหัสผ่านใหม่ ฉันเขียนวิธีลบเครือข่ายใน Windows 7 หากคุณมี Windows 10 คุณจะต้อง "ลืมเครือข่าย" โดยใช้ไฟล์. บนอุปกรณ์เคลื่อนที่ กดเครือข่ายของคุณค้างไว้แล้วเลือก "ลบ".

หากเกิดปัญหาการเชื่อมต่อบนอุปกรณ์รุ่นเก่า ให้ตั้งค่าโปรโตคอลความปลอดภัย WPA และการเข้ารหัส TKIP ในการตั้งค่าเราเตอร์