Несомненно, многие пользователи компьютеров, работающие с интернетом (и не только), слышали о таком термине, как AES. Что это за система, какие алгоритмы она использует и для чего применяется, имеет представление достаточно ограниченный круг людей. Обычному юзеру это по большому счету знать и не нужно. Тем не менее рассмотрим эту криптографическую систему, особо не вникая в сложные математические вычисления и формулы, чтобы это было понятно любому человеку.

Что такое AES-шифрование?

Начнем с того, что сама по себе система представляет набор алгоритмов, позволяющих скрыть начальный вид каких-то передаваемых, получаемых пользователем или хранимых на компьютере данных. Чаще всего она применяется в интернет-технологиях, когда требуется обеспечить полную конфиденциальность информации, и относится к так называемым алгоритмам симметричного шифрования.

Тип шифрования AES предполагает использование для преобразования информации в защищенный вид и обратного декодирования одного и того же ключа, который известен и отправляющей, и принимающей стороне, в отличие от симметричного шифрования, в котором предусмотрено применение двух ключей - закрытого и открытого. Таким образом, нетрудно сделать вывод, что, если обе стороны знают правильный ключ, процесс шифрования и дешифровки производится достаточно просто.

Немного истории

Впервые AES-шифрование упоминается еще в 2000 году, когда на конкурсе выбора преемника системы DES, которая являлась стандартом в США с 1977 года, победителем стал алгоритм Rijndael.

В 2001 году AES-система была официально принята в качестве нового федерального стандарта шифрования данных и с тех пор используется повсеместно.

Виды шифрования AES

Включала в себя несколько промежуточных стадий, которые в основном были связаны с увеличением длины ключа. Сегодня различают три основных типа: AES-128-шифрование, AES-192 и AES-256.

Название говорит само за себя. Цифровое обозначение соответствует длине применяемого ключа, выраженной в битах. Кроме того, AES-шифрование относится к блочному типу, который работает непосредственно с блоками информации фиксированной длины, шифруя каждый из них, в отличие от поточных алгоритмов, оперирующих единичными символами открытого сообщения, переводя их в зашифрованный вид. В AES длина блока составляет 128 бит.

Если говорить научным языком, те же алгоритмы, которые использует AES-256-шифрование, подразумевают операции на основе полиноминального представления операций и кодов при обработке двумерных массивов (матриц).

Как это работает?

Алгоритм работы достаточно сложен, однако включает в себя использование нескольких базовых элементов. Изначально применяется двумерная матрица, циклы преобразования (раунды), раундовый ключ и таблицы начальной и обратной подстановок.

Процесс шифрования данных состоит из нескольких этапов:

• вычисление всех раундовых ключей;
• подстановка байтов с помощью основной таблицы S-Box;
• сдвиг в форме с использованием различающихся величин (см. рисунок выше);
• смешивание данных внутри каждого столбца матрицы (формы);
• сложение формы и раундового ключа.

Дешифровка производится в обратном порядке, но вместо таблицы S-Box применяется таблица обратных постановок, которая была упомянута выше.

Если привести пример, при наличии ключа длиной 4 бита для перебора потребуется всего 16 стадий (раундов), то есть необходимо проверить все возможные комбинации, начиная с 0000 и заканчивая 1111. Естественно, такая защита взламывается достаточно быстро. Но если взять ключи побольше, для 16 бит потребуется 65 536 стадий, а для 256 бит - 1,1 х 10 77 . И как было заявлено американскими специалистами, на подбор правильной комбинации (ключа) уйдет порядка 149 триллионов лет.

Что применить при настройке сети на практике: шифрование AES или TKIP?

Теперь перейдем к использованию AES-256 при шифровании передаваемых и принимаемых данных в беспроводных сетях.

Как правило, в любом имеется несколько параметров на выбор: только AES, только TKIP и AES+TKIP. Они применяются в зависимости от протокола (WEP или WEP2). Но! TKIP является устаревшей системой, поскольку обладает меньшей степенью защиты и не поддерживает подключения 802.11n со скоростью передачи данных, превышающей 54 Мбит/с. Таким образом, вывод о приоритетном использовании AES вместе с режимом безопасности WPA2-PSK напрашивается сам собой, хотя можно задействовать оба алгоритма в паре.

Вопросы надежности и безопасности алгоритмов AES

Несмотря на громкие заявления специалистов, алгоритмы AES теоретически все же уязвимы, поскольку сама природа шифрования имеет простое алгебраическое описание. Это отмечал еще Нильс Фергюссон. А в 2002 году Йозеф Пепшик и Николя Куртуа опубликовали статью, обосновывающую потенциально возможную атаку XSL. Правда, она в научном мире вызвала много споров, и некоторые посчитали их вычисления ошибочными.

В 2005 году было сделано предположение о том, что атака может использовать сторонние каналы, а не только математические вычисления. При этом одна из атак вычислила ключ после 800 операций, а другая получила его через 2 32 операций (на восьмом раунде).

Вне всяких сомнений, на сегодняшний день эта система и могла бы считаться одной из самых продвинутых, если бы не одно но. Несколько лет назад по интернету прокатилась волна вирусных атак, при которых вирус-шифровальщик (а по совместительству еще и вымогатель), проникая на компьютеры, полностью шифровал данные, требуя за дешифрацию кругленькую сумму денег. При этом в сообщении отмечалось, что шифрование производилось с использованием алгоритма AES1024, которого, как считалось до недавних пор, в природе не существует.

Так это или нет, но даже самые известные разработчики антивирусного ПО, включая и «Лабораторию Касперского», при попытке расшифровки данных оказались бессильны. Многие специалисты признали, что пресловутый в свое время поразивший миллионы компьютеров во всем мире и уничтоживший на них важную информацию, в сравнении с этой угрозой оказался детским лепетом. К тому же I Love You больше был нацелен на файлы мультимедиа, а новый вирус получал доступ исключительно к конфиденциальной информации крупных корпораций. Впрочем, утверждать со всей очевидностью, что здесь использовалось именно шифрование AES-1024, никто не берется.

Заключение

Если подвести некий итог, в любом случае можно сказать, что AES-шифрование на сегодняшний день является самым продвинутым и защищенным, независимо от того, какая применяется длина ключа. Неудивительно, что именно этот стандарт используется в большинстве криптосистем и имеет достаточно широкие перспективы на развитие и усовершенствование в обозримом будущем, тем более что очень вероятным может оказаться и объединение нескольких типов шифрования в одно целое (например, параллельное использование симметричного и асимметричного или блочного и потокового шифрования).

WPA шифрование подразумевает использование защищенной сети Wi-Fi. Вообще, WPA расшифровывается как Wi-Fi Protected Access, то есть защищенный .

Большинство системных администраторов умеют настраивать этот протокол и знают о нем достаточно много.

Но и обычные люди могут узнать достаточно много о том, что же такое WPA, как его настроить и как использовать.

Правда, в интернете можно найти множество статей по этому поводу, из которых невозможно ничего понять. Поэтому сегодня мы будем говорить простым языком о сложных вещах.

Немного теории

Итак, WPA – это протокол, технология, программа, которая содержит в себе набор сертификатов, используемых при передаче .

Если проще, эта технология позволяет использовать различные методы для защиты Wi-Fi сети.

Это может быть электронный ключ, он же – специальное свидетельство о праве использования данной сети (дальше мы об этом поговорим).

В общем, при помощи этой программы использовать сеть смогут только те, кто имеет на это право и это все, что Вам нужно знать.

Для справки: Аутентификация – это средство защиты, которое позволяет установить подлинность лица и его право на доступ к сети, при помощи сопоставления сообщенных им и ожидаемых данных.

К примеру, человек может проходить аутентификацию, когда прикладывает свой . Если он просто вводит логин и пароль, это только авторизация.

Но отпечаток пальца позволяет проверить, действительно ли заходит этот человек, а не кто-то взял его данные и вошел с их помощью.

Рис. 1. Сканер отпечатка пальца на смартфоне

А также на схеме есть WLC – контроллер беспроводной локальной сети. Справа расположен сервер аутентификации.

Все это соединяет обычный Switch (устройство, которое просто соединяет различные сетевые устройства). С контроллера посылается ключ на сервер аутентификации, запоминается там.

Клиент при попытке подключиться к сети должен передать на LAP ключ, который он знает. Этот ключ попадает на сервер аутентификации и сравнивается с нужным ключом.

Если ключи совпадают, сигнал свободно распространяется к клиенту.

Рис. 2. Примерная схема WPA в Cisco Pocket Tracer

Составляющие WPA

Как мы говорили выше, WPA использует специальные ключи, которые генерируются при каждой попытке начать передачу сигнала, то есть включить Wi-Fi, а также меняются раз в некоторое время.

В WPA входит сразу несколько технологий, которые и помогают генерировать и передавать эти самые ключи.

Ниже, на рисунке, показана общая формула, в которую входят все составляющие рассматриваемой технологии.

Рис. 3. Формула с составляющими WPA

А теперь рассмотрим каждую из этих составляющих по отдельности:

• 1X – это стандарт, который используется для генерирования того самого уникального ключа, с помощью которого в дальнейшем и происходит аутентификация.
• EAP – это так называемый расширяемый протокол аутентификации. Он отвечает за формат сообщений, с помощью которых передаются ключи.
• TKIP – протокол, который позволил расширить размер ключа до 128 байт (раньше, в WEP, он был лишь 40 байт).
• MIC – механизм проверки сообщений (в частности, они проверяются на предмет целостности). Если сообщения не отвечают критериям, они отправляются обратно.

Стоит сказать, что сейчас уже есть WPA2, в котором, кроме всего вышесказанного, используются также CCMP и шифрование AES.

Мы не будем сейчас говорить о том, что это такое, но WPA2 надежнее, чем WPA. Это все, что Вам точно нужно знать.

Еще раз с самого начала

Итак, у Вас есть . В сети используется технология WPA.

Чтобы подключиться к Wi-Fi, каждое устройство должно предоставить сертификат пользователя, а если проще, то специальный ключ, выданный сервером аутентификации.

Только тогда он сможет использовать сеть. Вот и все!

Теперь Вы знаете, что же такое WPA. Теперь поговорим о том, чем хороша и чем плоха эта технология.

Преимущества и недостатки WPA шифрования

К преимуществам данной технологии стоило бы отнести следующее:

1. Усиленная безопасность передачи данных (в сравнении с WEP, предшественником, WPA).
2. Более жесткий контроль доступа к Wi-Fi.
3. Совместимость с большим количеством устройств, которые используются для организации беспроводной сети.
4. Централизованное управление безопасностью. Центром в этом случае является сервер аутентификации. За счет этого злоумышленники не имеют возможности получить доступ к скрытым данным.
5. Предприятия могут использовать собственные политики безопасности.
6. Простота в настройке и дальнейшем использовании.

Конечно же, есть у данной технологии и недостатки, причем они зачастую оказываются весьма значительными. В частности, речь идет вот о чем:

1. Ключ TKIP можно взломать максимум за 15 минут. Об этом заявила группа специалистов в 2008 году на конференции PacSec.
2. В 2009 году специалистами из Университета Хиросимы был разработан метод взлома любой сети, где используется WPA, за одну минуту.
3. С помощью уязвимости, названной специалистами Hole196, можно использовать WPA2 со своим ключом, а не с тем, который требуется сервером аутентификации.
4. В большинстве случаев любое WPA можно взломать с помощью обычного перебора всех возможных вариантов (брут-форс), а также при помощи так называемой атаки по словарю. Во втором случае используются варианты не в хаотическом порядке, а по словарю.

Конечно, чтобы воспользоваться всеми этими уязвимостями и проблемами, необходимо иметь особенные знания в области построения компьютерных сетей.

Большинству рядовых пользователей все это недоступно. Поэтому Вы можете особо не переживать о том, что кто-то получит доступ к Вашему Wi-Fi.

Рис. 4. Взломщик и компьютер

Сегодня мы чуть глубже копнем тему защиты беспроводного соединения. Разберемся, что такое — его еще называют «аутентификацией» — и какой лучше выбрать. Наверняка при вам попадались на глаза такие аббревиатуры, как WEP, WPA, WPA2, WPA2/PSK. А также их некоторые разновидности — Personal или Enterprice и TKIP или AES. Что ж, давайте более подробно изучим их все и разберемся, какой тип шифрования выбрать для обеспечения максимальной без потери скорости.

Отмечу, что защищать свой WiFi паролем нужно обязательно, не важно, какой тип шифрования вы при этом выберете. Даже самая простая аутентификация позволит избежать в будущем довольно серьезных проблем.

Почему я так говорю? Тут даже дело не в том, что подключение множества левых клиентов будет тормозить вашу сеть — это только цветочки. Главная причина в том, что если ваша сеть незапаролена, то к ней может присосаться злоумышленник, который из-под вашего роутера будет производить противоправные действия, а потом за его действия придется отвечать вам, так что отнеситесь к защите wifi со всей серьезностью.

Шифрование WiFi данных и типы аутентификации

Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:

Что такое WEP защита wifi?

WEP (Wired Equivalent Privacy) — это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.

Что такое ключ WPA или пароль?

WPA (Wi-Fi Protected Access) — более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.

Что такое WPA2-PSK — Personal или Enterprise?

WPA2 — усовершенствованный вариант предыдущего типа. Взлом WPA2 практически невозможен, он обеспечивает максимальную степень безопасности, поэтому в своих статьях я всегда без объяснений говорю о том, что нужно устанавливать именно его — теперь вы знаете, почему.

У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:

• Personal , обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев — и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
• Enterprise — более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу , то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.

Типы шифрования WPA — TKIP или AES?

Итак, мы определились, что оптимальным выбором для обеспечения безопасности сети будет WPA2/PSK (Personal), однако у него есть еще два типа шифрования данных для аутентификации.

• TKIP — сегодня это уже устаревший тип, однако он все еще широко употребляется, поскольку многие девайсы энное количество лет выпуска поддерживают только его. Не работает с технологией WPA2/PSK и не поддерживает WiFi стандарта 802.11n.
• AES — последний на данный момент и самый надежный тип шифрования WiFi.

Какой выбрать тип шифрования и поставить ключ WPA на WiFi роутере?

С теорией разобрались — переходим к практике. Поскольку стандартами WiFi 802.11 «B» и «G», у которых максимальная скорость до 54 мбит/с, уже давно никто не пользуется — сегодня нормой является 802.11 «N» или «AC», которые поддерживают скорость до 300 мбит/с и выше, то рассматривать вариант использования защиты WPA/PSK с типом шифрования TKIP нет смысла. Поэтому когда вы настраиваете беспроводную сеть, то выставляйте по умолчанию

WPA2/PSK — AES

Либо, на крайний случай, в качестве типа шифрования указывайте «Авто», чтобы предусмотреть все-таки подключение устройств с устаревшим WiFi модулем.

При этом ключ WPA, или попросту говоря, пароль для подключения к сети, должен иметь от 8 до 32 символов, включая английские строчные и заглавные буквы, а также различные спецсимволы.

Защита беспроводного режима на маршрутизаторе TP-Link

На приведенных выше скринах показана панель управления современным роутером TP-Link в новой версии прошивки. Настройка шифрования сети здесь находится в разделе «Дополнительные настройки — Беспроводной режим».

В старой «зеленой» версии интересующие нас конфигурации WiFi сети расположены в меню «Беспроводной режим — Защита «. Сделаете все, как на изображении — будет супер!

Если заметили, здесь еще есть такой пункт, как «Период обновления группового ключа WPA». Дело в том, что для обеспечения большей защиты реальный цифровой ключ WPA для шифрования подключения динамически меняется. Здесь задается значение в секундах, после которого происходит смена. Я рекомендую не трогать его и оставлять по умолчанию — в разных моделях интервал обновления отличается.

Метод проверки подлинности на роутере ASUS

На маршрутизаторах ASUS все параметры WiFi расположены на одной странице «Беспроводная сеть»

Защита сети через руотер Zyxel Keenetic

Аналогично и у Zyxel Keenetic — раздел «Сеть WiFi — Точка доступа»

В роутерах Keenetic без приставки «Zyxel» смена типа шифрования производится в разделе «Домашняя сеть».

Настройка безопасности роутера D-Link

На D-Link ищем раздел «Wi-Fi — Безопасность »

Что ж, сегодня мы разобрались типами шифрования WiFi и с такими терминами, как WEP, WPA, WPA2-PSK, TKIP и AES и узнали, какой из них лучше выбрать. О других возможностях обеспечения безопасности сети читайте также в одной из прошлых статей, в которых я рассказываю о по MAC и IP адресам и других способах защиты.

Видео по настройке типа шифрования на маршрутизаторе

Когда я впервые настраивала домашний Wi-Fi роутер, совершила серьезную ошибку: выбрала неправильный протокол шифрования. Как результат – мою точку взломали на следующий день даже с 8-значным паролем. Поняла я это только через несколько недель, а до этого довольствовалась медленной загрузкой страниц и прерыванием потокового видео. И это лишь половина вопроса: если через незащищенное соединение передавать конфиденциальную информацию и рабочие документы, они могут «уйти» не в те руки. Хотите избежать подобных проблем? Достаточно выбрать оптимальный протокол шифрования.

WEP 64 и WEP 128

Худшее, что можно сделать при настройке роутера – установить протокол шифрования WEP. Он не может гарантировать даже минимальный уровень безопасности: взломать вашу точку смогут за считанные минуты. И не только, чтобы воспользоваться бесплатным интернетом, но и получить личные данные.

WPA-PSK (TKIP) и

Еще один протокол шифрования, который я не советую выбирать: безопасность, прямо скажем, не 100%. Особенно, если вы выбрали тип шифрования TKIP.

WPA2-AES vs WPA2-TKIP

Версия протокола WPA2 – самый актуальный вариант. Когда возникает вопрос о типе шифрования, выбираем WPA2-AES – он обеспечит максимальную защиту вашей Wi-Fi сети и безопасность данных. В сравнении с ним тип шифрования TKIP считается менее надежным. Но если у вас устаревшее устройство и

Перед чтением данного материала, рекомендуется ознакомится с предыдущими статьями цикла:
• Строим сеть своими руками и подключаем ее к Интернет, часть первая - построение проводной Ethernet сети (без коммутатора, в случае двух компьютеров и с коммутатором, а также при наличии трех и более машин) и организация доступа в Интернет через один из компьютеров сети, на котором имеются две сетевые карты и установлена операционная система Windows XP Pro.
• Часть вторая: настройка беспроводного оборудования в одноранговой сети - рассматриваются вопросы организации сети, при использовании только беспроводных адаптеров.

В предыдущей статье шифрованию в беспроводных сетях было посвящено всего несколько слов - было обещано осветить этот вопрос в отдельной статье. Сегодня мы выполняем свое обязательство:)

Для начала - немного теории.

Шифрованию данных в беспроводных сетях уделяется так много внимания из-за самого характера подобных сетей. Данные передаются беспроводным способом, используя радиоволны, причем в общем случае используются всенаправленные антенны. Таким образом, данные слышат все - не только тот, кому они предназначены, но и сосед, живущий за стенкой или «интересующийся», остановившийся с ноутбуком под окном. Конечно, расстояния, на которых работают беспроводные сети (без усилителей или направленных антенн), невелики - около 100 метров в идеальных условиях. Стены, деревья и другие препятствия сильно гасят сигнал, но это все равно не решает проблему.

Изначально для защиты использовался лишь SSID (имя сети). Но, вообще говоря, именно защитой такой способ можно называть с большой натяжкой - SSID передается в открытом виде и никто не мешает злоумышленнику его подслушать, а потом подставить в своих настройках нужный. Не говоря о том, что (это касается точек доступа) может быть включен широковещательный режим для SSID, т.е. он будет принудительно рассылаться в эфир для всех слушающих.

Поэтому возникла потребность именно в шифровании данных. Первым таким стандартом стал WEP - Wired Equivalent Privacy. Шифрование осуществляется с помощью 40 или 104-битного ключа (поточное шифрование с использованием алгоритма RC4 на статическом ключе). А сам ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Драйвера многих производителей позволяют вводить вместо набора ASCII-символов напрямую шестнадцатеричные значения (той же длины). Обращаю внимание, что алгоритмы перевода из ASCII-последовательности символов в шестнадцатеричные значения ключа могут различаться у разных производителей. Поэтому, если в сети используется разнородное беспроводное оборудование и никак не удается настройка WEP шифрования с использованием ключа-ASCII-фразы, - попробуйте ввести вместо нее ключ в шестнадцатеричном представлении.

А как же заявления производителей о поддержке 64 и 128-битного шифрования, спросите вы? Все правильно, тут свою роль играет маркетинг - 64 больше 40, а 128 - 104. Реально шифрование данных происходит с использованием ключа длиной 40 или 104. Но кроме ASCII-фразы (статической составляющей ключа) есть еще такое понятие, как Initialization Vector - IV - вектор инициализации. Он служит для рандомизации оставшейся части ключа. Вектор выбирается случайным образом и динамически меняется во время работы. В принципе, это разумное решение, так как позволяет ввести случайную составляющую в ключ. Длина вектора равна 24 битам, поэтому общая длина ключа в результате получается равной 64 (40+24) или 128 (104+24) бит.

Все бы хорошо, но используемый алгоритм шифрования (RC4) в настоящее время не является особенно стойким - при большом желании, за относительно небольшое время можно подобрать ключ перебором. Но все же главная уязвимость WEP связана как раз с вектором инициализации. Длина IV составляет всего 24 бита. Это дает нам примерно 16 миллионов комбинаций - 16 миллионов различных векторов. Хотя цифра «16 миллионов» звучит довольно внушительно, но в мире все относительно. В реальной работе все возможные варианты ключей будут использованы за промежуток от десяти минут до нескольких часов (для 40-битного ключа). После этого вектора начнут повторяться. Злоумышленнику стоит лишь набрать достаточное количество пакетов, просто прослушав трафик беспроводной сети, и найти эти повторы. После этого подбор статической составляющей ключа (ASCII-фразы) не занимает много времени.

Но это еще не все. Существуют так называемые «нестойкие» вектора инициализации. Использование подобных векторов в ключе дает возможность злоумышленнику практически сразу приступить к подбору статической части ключа, а не ждать несколько часов, пассивно накапливая трафик сети. Многие производители встраивают в софт (или аппаратную часть беспроводных устройств) проверку на подобные вектора, и, если подобные попадаются, они молча отбрасываются, т.е. не участвуют в процессе шифрования. К сожалению, далеко не все устройства обладают подобной функцией.

В настоящее время некоторые производители беспроводного оборудования предлагают «расширенные варианты» алгоритма WEP - в них используются ключи длиной более 128 (точнее 104) бит. Но в этих алгоритмах увеличивается лишь статическая составляющая ключа. Длина инициализационного вектора остается той же самой, со всеми вытекающими отсюда последствиями (другими словами, мы лишь увеличиваем время на подбор статического ключа). Само собой разумеется, что алгоритмы WEP с увеличенной длиной ключа у разных производителей могут быть не совместимы.

Хорошо напугал? ;-)

К сожалению, при использовании протокола 802.11b ничего кроме WEP выбрать не удастся. Точнее, некоторые (меньшинство) производители поставляют различные реализации WPA шифрования (софтовыми методами), которое гораздо более устойчиво, чем WEP. Но эти «заплатки» бывают несовместимы даже в пределах оборудования одного производителя. В общем, при использовании оборудования стандарта 802.11b, есть всего три способа зашифровать свой трафик:

• 1. Использование WEP с максимальной длиной ключа (128 бит или выше), если оборудование поддерживает циклическую смену ключей из списка (в списке - до четырех ключей), желательно эту смену активировать.
• 2. Использование стандарта 802.1x
• 3. Использование стороннего программного обеспечения для организации VPN туннелей (шифрованных потоков данных) по беспроводной сети. Для этого на одной из машин ставится VPN сервер (обычно с поддержкой pptp), на других - настраиваются VPN клиенты. Эта тема требует отдельного рассмотрения и выходит за рамки этой статьи.

802.1x использует связку из некоторых протоколов для своей работы:

• EAP (Extensible Authentication Protocol) - протокол расширенной аутентификации пользователей или удаленных устройств;
• TLS (Transport Layer Security) - протокол защиты транспортного уровня, он обеспечивает целостность передачи данных между сервером и клиентом, а так же их взаимную аутентификацию;
• RADIUS (Remote Authentication Dial-In User Server) - сервер аутентификации (проверки подлинности) удаленных клиентов. Он и обеспечивает аутентификацию пользователей.

Протокол 802.1x обеспечивает аутентификацию удаленных клиентов и выдачу им временных ключей для шифрования данных. Ключи (в зашифрованном виде) высылаются клиенту на незначительный промежуток времени, после которого генерируется и высылается новый ключ. Алгоритм шифрования не изменился - тот же RC4, но частая ротация ключей очень сильно затрудняет вероятность взлома. Поддержка этого протокола есть только в операционных системах (от Microsoft) Windows XP. Его большой минус (для конечного пользователя) в том, что протокол требует наличие RADIUS-сервера, которого в домашней сети, скорее всего, не будет.

Устройства, поддерживающие стандарт 802.11g, поддерживают улучшенный алгоритм шифрования WPA - Wi-Fi Protected Access. По большому счету это временный стандарт, призванный заполнить нишу безопасности до прихода протокола IEEE 802.11i (так называемого WPA2). WPA включает в себя 802.1X, EAP, TKIP и MIC.

Из нерассмотренных протоколов тут фигурируют TKIP и MIC:

• TKIP (Temporal Key Integrity Protocol) - реализация динамических ключей шифрования, плюс к этому, каждое устройство в сети так же получает свой Master-ключ (который тоже время от времени меняется). Ключи шифрования имеют длину 128 бит и генерируются по сложному алгоритму, а общее кол-во возможных вариантов ключей достигает сотни миллиардов, а меняются они очень часто. Тем не менее, используемый алгоритм шифрования - по--прежнему RC4.
• MIC (Message Integrity Check) - протокол проверки целостности пакетов. Протокол позволяет отбрасывать пакеты, которые были «вставлены» в канал третьим лицом, т.е. ушли не от валидного отправителя.

Большое число достоинств протокола TKIP не покрывает его основной недостаток- используемый для шифрования алгоритм RC4. Хотя на данный момент случаев взлома WPA на основе TKIP зарегистрировано не было, но кто знает, что преподнесет нам будущее? Поэтому сейчас все популярнее становится использование стандарта AES (Advanced Encryption Standard), который приходит на замену TKIP. К слову, в будущем стандарте WPA2 есть обязательное требование к использованию AES для шифрования.

Какие выводы можно сделать?

• при наличии в сети только 802.11g устройств лучше пользоваться шифрованием на основе WPA;
• по возможности (при поддержке всеми устройствами) включать AES шифрование;

Переходим к непосредственной настройке шифрования на устройствах. Я использую те же беспроводные адаптеры, что и в предыдущей статье:

Cardbus адаптер Asus WL-100g установлен на ноутбуке. Интерфейс управления картой - утилита от ASUS (ASUS WLAN Control Center).

Внешний адаптер с USB-интерфейсом ASUS WL-140 . Управление адаптером - через встроенный в Windows XP интерфейс (Zero Wireless Configuration). Эта карта стандарта 802.11b, поэтому поддержки WPA не имеет.

Плата с PCI интерфейсом Asus WL-130g . Интерфейс управления в реализации от (производитель чипсета данной PCI карты).

ASUS WLAN Control Center - ASUS WL-100g

Начнем с настройки шифрования в интерфейсе управления ASUS WLAN Control Center. Все настройки сосредоточены в разделе Encryption . Сначала выберем тип аутентификации (Network Authentication ), нам доступны три типа: Open System, Shared Key и WPA.

1. WEP-шифрование.

Типы Open System/Shared Key (Открытая система/Общий ключ) являются подмножествами алгоритма аутентификации, встроенного в WEP. Режим Open System является небезопасным, и его категорически не рекомендуется включать при возможности активации Shared Key. Это связано с тем, что в режиме Open System для входа в беспроводную сеть (ассоциации с другой станцией или точкой доступа) достаточно знать лишь SSID сети, а в режиме Shared Key - нужно еще установить общий для всей сети WEP-ключ шифрования.

Далее выбираем шифрование (Encryption) - WEP, размер ключа - 128 бит (64-битный ключ лучше не использовать вовсе). Выбираем формат ключа, HEX (ввод ключа в шестнадцатеричном виде) или генерация ключа из ASCII последовательности (не забываем, что алгоритмы генерации могут различаться у производителей). Так же учитываем, что WEP-ключ (или ключи) должны быть одинаковы на всех устройствах в одной сети. Всего можно ввести до четырех ключей. Последним пунктом выбираем, какой из ключей будет использоваться (Default Key). В данном случае есть еще один способ - запустить использовать все четыре ключа последовательно, что повышает безопасность. (совместимость только у устройств одного и того же производителя).

2. WPA-шифрование.

При поддержке на всех устройствах (обычно это 802.11g устройства) настоятельно рекомендуется использовать этот режим, вместо устаревшего и уязвимого WEP.

Обычно беспроводные устройства поддерживают два режима WPA:

• Стандартный WPA. Нам он не подходит, так как требует наличие RADIUS сервера в сети (к тому же работает лишь в связке с точкой доступа).
• WPA-PSK - WPA с поддержкой Pre Shared Keys (заранее заданных ключей). А это то, что нужно - ключ (одинаковый для всех устройств) вручную задается на всех беспроводных адаптерах и первичная аутентификация станций осуществляется через него.

В качестве алгоритмов шифрования можно выбрать TKIP или AES. Последний реализован не на всех беспроводных клиентах, но если он поддерживается всеми станциями, то лучше остановиться именно на нем. Wireless Network Key - это тот самый общий Pre Shared Key. Желательно сделать его длиннее и не использовать слово из словаря или набор слов. В идеале это должна быть какая-нибудь абракадабра.

После нажатия на кнопку Apply (или Ok), заданные настройки будут применены к беспроводной карте. На этом процедуру настройки шифрования на ней можно считать законченной.

Интерфейс управления в реализации от Ralink - Asus WL-130g

Настройка не очень отличается от уже рассмотренного интерфейса от ASUS WLAN CC. В окне открывшегося интерфейса идем на закладку Profile , выбираем нужный профиль и жмем Edit .

1. WEP шифрование.

Настройка шифрования осуществляется в закладке Authentication and Security . В случае активации WEP шифрования, выбираем Shared в Authentication type (т.е. общий ключ).

Выбираем тип шифрования - WEP и вводим до четырех ASCII или шестнадцатеричных ключей. Длину ключа в интерфейсе задать нельзя, сразу используется 128-битный ключ.

2. WPA шифрование.

Если в Authentication type выбрать WPA-None, то мы активируем WPA-шифрование с общим ключом. Выбираем тип шифрования (Encryption ) TKIP или AES и вводим общий ключ (WPA Pre-Shared Key ).

На этом и заканчивается настройка шифрования в данном интерфейсе. Для сохранения настроек в профиле достаточно нажать кнопку Ok .

Zero Wireless Configuration (встроенный в Windows интерфейс) - ASUS WL-140

ASUS WL-140 является картой стандарта 802.11b, поэтому поддерживает только WEP шифрование.

1. WEP шифрование.

В настройках беспроводного адаптера переходим на закладку Беспроводные сети . Далее выбираем нашу беспроводную сеть и жмем кнопку Настроить .

В появившемся окне активируем Шифрование данных . Также активируем Проверку подлинности сети , отключение этого пункта приведет к включению аутентификации типа «Open System», т.е. любой клиент сможет подключиться к сети, зная ее SSID.

Вводим ключ сети (и повторно его же в следующем поле). Проверяем его индекс (порядковый номер), обычно он равен единице (т.е. первый ключ). Номер ключа должен быть одинаков на всех устройствах.

Ключ (сетевой пароль), как нам подсказывает операционная система, должен содержать 5 или 13 символов или быть полностью введен в шестнадцатеричном виде. Еще раз обращаю внимание, что алгоритм перевода ключа из символьного вида в шестнадцатеричной может отличаться у Microsoft и производителей собственных интерфейсов к управлению беспроводными адаптерами, поэтому надежнее будет ввести ключ в шестнадцатеричном виде (т.е. цифрами от 0 до 9 и буквами от A до F).

В интерфейсе есть еще флаг, отвечающий за Автоматическое предоставление ключа , но я точно не знаю, где это будет работать. В разделе помощи сказано, что ключ может быть зашит в беспроводной адаптер производителем оного. В общем, лучше не активировать эту функцию.

На этом настройку шифрования для 802.11b адаптера можно считать законченной.

Кстати, о встроенной в ОС помощи. Большинство из сказанного здесь и даже более того можно найти в Центре справки и поддержки , которая обладает хорошей системой помощи, достаточно лишь ввести ключевые слова и нажать на зеленую стрелку поиска.

2. WPA шифрование.

Рассмотрев настройку шифрования на примере 802.11b адаптера ASUS WL-140, мы не коснулись настройки WPA в Windows, так как карта не поддерживает этот режим. Рассмотрим этот аспект на примере другого адаптера - ASUS WL-100g. Возможность настройки WPA в Windows XP появляется с установкой Service Pack версии 2 (или же соответствующими обновлениями, лежащими на сайте Microsoft).

Service Pack 2 сильно расширяет функции и удобство настроек беспроводной сети. Хотя основные элементы меню не изменились, но к ним добавились новые.

Настройка шифрования производится стандартным образом: сначала выбираем значок беспроводного адаптера, далее жмем кнопку Свойства .

Переходим на закладку Беспроводные сети и выбираем, какую сеть будем настраивать (обычно она одна). Жмем Свойства .

В появившемся окне выбираем WPA-None, т.е. WPA с заранее заданными ключами (если выбрать Совместимая , то мы включим режим настройки WEP шифрования, который уже был описан выше).

Выбираем AES или TKIP (если все устройства в сети поддерживают AES, то лучше выбрать его) и вводим два раза (второй в поле подтверждения) WPA-ключ. Желательно какой-нибудь длинный и трудноподбираемый.

После нажатия на Ok настройку WPA шифрования также можно считать законченной.

В заключении пару слов о появившемся с Service Pack 2 мастере настройки беспроводной сети.

В свойствах сетевого адаптера выбираем кнопку Беспроводные сети .

В появившемся окне - жмем на Установить беспроводную сеть .

Тут нам рассказывают, куда мы попали. Жмем Далее .

Выбираем Установить беспроводную сеть . (Если выбрать Добавить , то можно создать профили для других компьютеров в той же беспроводной сети).

В появившемся окне устанавливаем SSID сети, активируем, если возможно, WPA шифрование и выбираем способ ввода ключа. Генерацию можно предоставить операционной системе или ввести ключи вручную. Если выбрано первое, то далее выскочит окошко с предложением ввести нужный ключ (или ключи).

• В текстовом файле, для последующего ручного ввода на остальных машинах.
• Сохранение профиля на USB-флешке, для автоматического ввода на других машинах с Windows XP с интегрированным Service Pack версии 2.

Если выбран режим сохранения на Flash, то в следующем окне предложат вставить Flash-носитель и выбрать его в меню.

Если было выбрано ручное сохранение параметров, то после нажатия кнопки Напечатать …

… будет выведен текстовый файл с параметрами настроенной сети. Обращаю внимание, что генерируется случайный и длинные (т.е. хороший) ключи, но в качестве алгоритма шифрования используется TKIP. Алгоритм AES можно позже включить вручную в настройках, как было описано выше.

Итого

Мы закончили настройку шифрования на всех адаптерах беспроводной сети. Теперь можно проверить видят ли компьютеры друг друга. Как это сделать, рассказывалось во второй части цикла «сети своими руками» (действуем аналогично способу, когда шифрование в сети не было включено).

Если нас постигла неприятность, и не все компьютеры видят друг друга, то проверяем общие настройки у адаптеров:

• Алгоритм аутентификации должен быть одинаков у всех (Shared Keys или WPA);
• Алгоритм шифрования должен быть одинаков у всех (WEP-128bit, WPA-TKIP или WPA-AES);
• Длина ключа (в случае WEP-шифрования) должна быть одинаковой у всех станций в сети (обычная длина - 128bit);
• Сам ключ должен быть одинаковым на всех станциях сети. Если используется WEP, то возможная причина - использование ASCII-ключа и в сети используется разнородное оборудование (от разных производителей). Попробуйте ввести ключ в шестнадцатеричном представлении.