Différence entre les protocoles Wi-Fi WPA, WPA2 et WEP. Sécurité dans les réseaux WiFi. Cryptage WEP, WPA, WPA2

Utilisateurs ordinateurs tablettes Et Téléphones Android rencontrez souvent ce problème : l'appareil ne se connecte pas au Wi-Fi, bien que vous ayez entré mot de passe correct. Le message apparaît : " ". Que faire dans de tels cas ?

Tout d'abord, assurez-vous que le point d'accès sur lequel vous vous trouvez ce moment vous vous connectez, il distribue réellement Internet. Pour ce faire, essayez de vous y connecter à l'aide d'autres appareils (ordinateur portable, tablette, etc.). S'il y a Internet sur ces appareils, cela signifie que le point d'accès fonctionne et la raison du manque d'Internet est différente.

Il peut y avoir plusieurs raisons (par exemple, un mot de passe mal saisi ou signal faible Internet), mais nous examinerons les plus courants d'entre eux.

Problème avec le Wi-Fi en raison des paramètres du routeur.

Changer le canal Wi-Fi du routeur :

  • allez dans les paramètres avancés du routeur,
  • changez de chaîne en confirmant votre action en appuyant sur le bouton « Appliquer » ou « OK »,
  • quittez les paramètres du routeur et essayez de connecter l'appareil à Internet.

Souvent, une opération aussi simple résout un problème de connexion Wi-Fi. Si la connexion ne se produit pas, essayez ce qui suit.

Modifiez le mode sans fil dans les paramètres du routeur.

Par défaut, la plupart des routeurs définissent les paramètres sur le mode mixte 802.11 b/g/n. Sélectionnez un autre mode : 802.11n, 802.11b, 802.11g. Après chaque changement de mode, cliquez sur le bouton « Appliquer » et vérifiez la connexion Wi-Fi.

Si cela ne résout pas le problème et que l'appareil Android ne capte toujours pas le Wi-Fi et qu'Internet ne fonctionne pas, vous devrez « travailler » avec les paramètres de votre smartphone (tablette).

Le problème vient des paramètres de connexion Wi-Fi de l'appareil (tablette, smartphone).

Algorithme de configuration des connexions Wi-Fi et Internet sur Android :

  1. allez dans « Paramètres » de votre smartphone (tablette),
  2. activez le Wi-Fi,
  3. sélectionnez le réseau auquel vous essayez de vous connecter sans succès,
  4. appuyez longuement sur l'icône de ce réseau avec votre doigt : un message apparaîtra à l'écran vous proposant de supprimer ou de modifier le réseau,
  5. sélectionnez l'option "Changer de réseau",
  6. après qu'une fenêtre apparaisse avec les mots « Afficher le mot de passe » ou « Afficher options additionelles» cochez la case demandant d'afficher les « options supplémentaires »,
  7. Vérifiez les indicateurs « Paramètres du serveur proxy » et « Paramètres IP » qui apparaissent. L’option « NON » doit être sélectionnée dans les paramètres du proxy. Parfois, pour diverses raisons, l'option « MANUEL » est définie dans ce champ, ce qui interfère avec votre connexion Internet réussie. Si vous modifiez les paramètres du proxy sur « NON », dans la plupart des cas, le Wi-Fi commence à fonctionner.

Date mal réglée sur l'appareil Android.

  1. aller à Réglages généraux et sélectionnez l'option « Date et heure » dans la rubrique « Système »,
  2. décochez la suggestion du système « Ajustement automatique de la date et de l'heure » ​​et « Ajustement automatique du fuseau horaire »,
  3. installer sur votre appareil date correcte, correspondant à l'heure actuelle.

Si ces méthodes ne fonctionnent pas, le manque de connexion peut être dû à des raisons techniques. Smartphone, tablette, faible ancienne version Système d'exploitation Android ou signal Internet très faible - tout cela peut affecter la stabilité Travail Wi-Fi et Internet.

Lors de la connexion aux réseaux Wi-Fi à certains endroits, un certain nombre de problèmes surviennent qui entravent ou empêchent considérablement l'établissement d'une connexion entre l'appareil et le réseau.

Le plus souvent, les utilisateurs d'appareils fonctionnant sur la plateforme Android sont confrontés à de telles difficultés.

Lorsque vous essayez de vous connecter au réseau, une notification d'erreur apparaît et le message suivant apparaît dans la section d'informations sur le réseau : « Enregistré, protégé par WPA/WPA2 ».

Afin d’étudier ce problème en détail, il est possible de le reproduire chez soi. Pour ce faire, vous devez modifier les paramètres routeur Wi-Fi et modifiez le type de réseau de Auto à n uniquement, ce qui, dans la plupart des cas, contribuera à ce problème.

La cause exacte de ce problème ne peut être déterminée. Dans la plupart des cas, cela est dû à des dysfonctionnements du routeur qui assure la connexion au réseau.

Des cas ont été observés plus d'une fois lorsque l'indicateur signal Wi-Fi le téléphone affiche la disponibilité connexion active, et il n'y a pas d'accès à Internet.

La façon de résoudre ce problème est redémarrage complet fonctionnement du routeur, ce qui permet dans la plupart des cas de résoudre ce problème.

Pourquoi une erreur de protection wpa et wpa2 se produit-elle via Wi-Fi sur Android.

Un autre raison possible La cause de ce problème est la modification du type de cryptage. Par exemple, si le réseau était auparavant ouvert, puis est devenu crypté et accessible uniquement à un certain nombre de personnes, l'apparition de l'erreur « Enregistré, protégé par WPA/WPA2 » sera également inévitable.

Pour éviter ce type de problème, il est fortement recommandé de vérifier soigneusement toutes les données du réseau.

Changer le mode de fonctionnement du routeur, assuré en changeant de mode, en modifiant les paramètres b/g/n disponibles dans les paramètres de l'appareil lui-même peut également avoir un effet positif sur l'apparition de ce problème.

Pour garantir une connexion normale et un fonctionnement sans conflit du routeur avec l'appareil recevant le signal, il est fortement recommandé de définir des paramètres et des valeurs standard.

Ces valeurs sont :

1) Type de réseau WPA/WPA2 Personnel (recommandé)

2) Version connexion WPA-PSK

3) Type de cryptage reconnu appareils mobiles, A.E.S.

4) Saisie d'un nouveau mot de passe clé composé de 8 caractères et chiffres ou plus.

Après avoir fait tout ce qui précède, fonctionnement normal le routeur sera restauré. Ensuite, il est recommandé de redémarrer le routeur et de supprimer la connexion existante sur l'appareil recevant le signal, puis de rechercher ce Wi-Fi réseau, sélectionnez-le dans la liste des réseaux disponibles et effectuez l'opération de connexion et de mémorisation de l'appareil. Une variante de ce problème, dont la probabilité est très faible, mais existe toujours, est une modification de la fréquence et de la largeur du canal de l'appareil générant le signal Wi-Fi.

La largeur du canal, automatiquement disponible dans les paramètres du routeur, est présentée en trois catégories : Auto, 20 MHz et 40 MHz. Il est recommandé de changer de fréquence, ce qui peut vous permettre de restaurer le signal perdu.

Pour effectuer le processus de modification de la largeur du canal, vous devez accéder aux paramètres du routeur, puis vous connecter en saisissant les données indiquées sur le panneau inférieur de l'appareil. Ensuite, vous devez enregistrer toutes les modifications apportées et redémarrer le routeur pour garantir un fonctionnement complet.

Le filtrage des mots de passe et des adresses MAC devrait vous protéger du piratage. En fait, la sécurité dépend en grande partie de votre prudence. Méthodes de sécurité inappropriées, mots de passe simples et attitude frivole envers les utilisateurs tiers dans réseau domestique donner aux attaquants caractéristiques supplémentaires pour l'attaque. Dans cet article, vous apprendrez comment déchiffrer un mot de passe WEP, pourquoi vous devriez abandonner les filtres et comment sécuriser votre réseau sans fil de tous les côtés.

Protection contre les invités indésirables

Votre réseau n'est pas sécurisé, donc tôt ou tard votre réseau sans fil connecter outsider— peut-être même pas exprès, car les smartphones et les tablettes sont capables de se connecter automatiquement à réseaux non protégés. S'il ouvre simplement plusieurs sites, il est fort probable que rien de grave ne se produira, à l'exception de la consommation de trafic. La situation deviendra plus compliquée si un invité commence à télécharger du contenu illégal via votre connexion Internet.

Si vous n'avez pas encore pris de mesures de sécurité, accédez à l'interface du routeur via un navigateur et modifiez vos données d'accès au réseau. L'adresse du routeur ressemble généralement à : http://192.168.1.1. Si ce n'est pas le cas, vous pouvez alors connaître l'adresse IP de votre Périphérique réseauà travers ligne de commande. En salle d'opération Système Windows 7 Cliquez sur le bouton « Démarrer » et entrez la commande « cmd » dans la barre de recherche. Appelez les paramètres réseau avec la commande « ipconfig » et recherchez la ligne « Passerelle par défaut ». L'IP spécifiée est l'adresse de votre routeur, qui doit être saisie dans la barre d'adresse du navigateur. L'emplacement des paramètres de sécurité de votre routeur varie selon le fabricant. En règle générale, ils se trouvent dans une section portant le nom « WLAN | Sécurité".

Si votre réseau sans fil utilise une connexion non sécurisée, vous devez être particulièrement prudent avec le contenu situé dans des dossiers avec accès partagé, puisqu'en l'absence de protection, il est à l'entière disposition des autres utilisateurs. En même temps, dans système opérateur Sous Windows XP Home, la situation de l'accès partagé est tout simplement catastrophique : par défaut, les mots de passe ne peuvent pas du tout être définis ici - cette fonction présent uniquement dans version professionnelle. Au lieu de cela, toutes les demandes réseau sont effectuées via un compte invité non sécurisé. Vous pouvez sécuriser votre réseau sous Windows XP à l'aide d'une petite manipulation : lancez la ligne de commande, saisissez « net user guest YourNewPassword » et confirmez l'opération en appuyant sur la touche « Entrée ». Après redémarrer Windows accéder ressources réseau Cela ne sera possible que si vous disposez d'un mot de passe, cependant, un réglage plus fin dans cette version du système d'exploitation n'est malheureusement pas possible. La gestion des paramètres de partage est bien plus pratique sous Windows 7. Ici, pour limiter le nombre d'utilisateurs, il suffit d'aller dans le « Centre Réseau et partage » dans le Panneau de configuration et de créer groupe résidentiel protégé par mot de passe.

Le manque de sécurité sur un réseau sans fil est une source d'autres dangers, car les pirates peuvent exploiter programmes spéciaux(renifleurs) détectent tout connexions non sécurisées. De cette façon, il sera facile pour les pirates d’intercepter vos données d’identification provenant de divers services.

Les pirates

Comme auparavant, les deux méthodes de sécurité les plus populaires aujourd'hui sont le filtrage des adresses MAC et le masquage du SSID (nom du réseau) : ces mesures de sécurité ne vous protégeront pas. Afin d'identifier le nom du réseau, un attaquant n'a besoin que d'un adaptateur WLAN, qui passe en mode surveillance à l'aide d'un pilote modifié, et d'un renifleur - par exemple Kismet. L'attaquant surveille le réseau jusqu'à ce qu'un utilisateur (client) s'y connecte. Il manipule ensuite les paquets de données et expulse ainsi le client du réseau. Lorsque l'utilisateur se reconnecte, l'attaquant voit le nom du réseau. Cela semble compliqué, mais en réalité, l’ensemble du processus ne prend que quelques minutes. Contourner le filtre MAC est également simple : l'attaquant détermine l'adresse MAC et l'attribue à son appareil. Ainsi, la connexion d'un tiers reste inaperçue pour le propriétaire du réseau.

Si votre appareil ne prend en charge que le cryptage WEP, agissez immédiatement : un tel mot de passe peut être déchiffré même par des non-professionnels en quelques minutes.

Le progiciel Aircrack-ng est particulièrement populaire parmi les cyber-escrocs, qui, en plus du sniffer, comprend une application pour télécharger et modifier les pilotes de l'adaptateur WLAN, et permet également de récupérer la clé WEP. Les méthodes de piratage les plus connues sont les attaques PTW et FMS/KoreK, dans lesquelles le trafic est intercepté et une clé WEP est calculée sur la base de son analyse. Dans cette situation, vous n'avez que deux options : vous devez d'abord rechercher le dernier firmware pour votre appareil qui prendra en charge dernières méthodes chiffrement. Si le fabricant ne fournit pas de mises à jour, il vaut mieux refuser d'utiliser un tel appareil, car vous compromettez ainsi la sécurité de votre réseau domestique.

Conseils populaires pour réduire le rayon Actions Wi-Fi ne donne qu’une apparence de protection. Les voisins pourront toujours se connecter à votre réseau, mais les attaquants utilisent souvent des adaptateurs Wi-Fi avec grand rayon Actions.

Points d'accès publics

Lieux de Wifi gratuit attirent les cyber-fraudeurs car d’énormes quantités d’informations transitent par eux et tout le monde peut utiliser des outils de piratage. Dans les cafés, hôtels et autres dans des lieux publics vous pouvez trouver des points d'accès publics. Mais d'autres utilisateurs des mêmes réseaux peuvent intercepter vos données et, par exemple, prendre le contrôle de vos données. Comptes sur divers services Web.

Protection des cookies. Certaines méthodes d’attaque sont si simples que n’importe qui peut les utiliser. Extension Firesheep pour Navigateur Firefox lit et affiche automatiquement dans une liste les comptes d'autres utilisateurs, notamment Amazon, Google, Facebook et Twitter. Si un hacker clique sur l'une des entrées de la liste, il recevra immédiatement accès totalà votre compte et pourra modifier les données utilisateur à votre discrétion. Firesheep ne déchiffre pas les mots de passe, mais copie uniquement les cookies actifs et non chiffrés. Pour vous protéger contre de telles interceptions, vous devez utiliser le module complémentaire spécial HTTPS Everywhere pour Firefox. Cette extension oblige les services en ligne à toujours utiliser une connexion cryptée via Protocole HTTPS, s'il est pris en charge par le serveur du fournisseur de services.

Protection Android. Dans un passé récent, une faille dans la salle d’opération a attiré l’attention de tous. Système Android, ce qui pourrait permettre aux fraudeurs d'accéder à vos comptes sur des services tels que Picasa et " Google Agenda", ainsi que lire les contacts. Google a corrigé cette vulnérabilité dans Android 2.3.4, mais la plupart des appareils précédemment achetés par les utilisateurs sont dotés d'anciennes versions du système. Pour les protéger, vous pouvez utiliser l'application SyncGuard.

WPA2

La meilleure protection est assurée par la technologie WPA2, utilisée par les fabricants équipement informatique depuis 2004. La plupart des appareils prennent en charge ce type de cryptage. Mais, comme d'autres technologies, WPA2 a aussi son point faible : utiliser une attaque par dictionnaire ou méthode bruteforce Les pirates informatiques (« force brute ») peuvent déchiffrer les mots de passe, mais seulement s'ils ne sont pas fiables. Les dictionnaires parcourent simplement les clés stockées dans leurs bases de données - en règle générale, toutes les combinaisons possibles de chiffres et de noms. Les mots de passe comme « 1234 » ou « Ivanov » sont devinés si rapidement que l’ordinateur du pirate n’a même pas le temps de se réchauffer.

La méthode bruteforce ne consiste pas à utiliser une base de données toute faite, mais au contraire à sélectionner un mot de passe en listant toutes les combinaisons possibles de caractères. De cette façon, un attaquant peut calculer n'importe quelle clé - la seule question est de savoir combien de temps cela lui prendra. La NASA, dans ses directives de sécurité, recommande un mot de passe d'au moins huit caractères, et de préférence seize. Tout d'abord, il est important qu'il soit composé de minuscules et lettres majuscules, les chiffres et caractères spéciaux. Il faudrait des décennies à un pirate informatique pour déchiffrer un tel mot de passe.

Votre réseau n'est pas encore entièrement protégé, puisque tous les utilisateurs qui s'y trouvent ont accès à votre routeur et peuvent modifier ses paramètres. Certains appareils fournissent fonctions supplémentaires des protections dont il faudrait également profiter.

Tout d'abord, désactivez la possibilité de manipuler le routeur via Wi-Fi. Malheureusement, cette fonctionnalité n'est disponible que sur certains appareils, tels que les routeurs Linksys. Tous modèles modernes Les routeurs ont également la possibilité de définir un mot de passe pour l'interface de gestion, ce qui vous permet de restreindre l'accès aux paramètres.

Comme tout programme, le micrologiciel du routeur est imparfait - de petites failles ou des failles critiques dans le système de sécurité ne sont pas exclues. Habituellement, les informations à ce sujet se propagent instantanément sur Internet. Vérifiez régulièrement le nouveau firmware de votre routeur (certains modèles ont même une fonction mise à jour automatique). Un autre avantage du firmware flash est qu’il peut ajouter de nouvelles fonctions à l’appareil.

L'analyse périodique du trafic réseau permet de reconnaître la présence d'invités non invités. Dans l'interface de gestion du routeur, vous pouvez trouver des informations sur les appareils connectés à votre réseau et à quel moment. Il est plus difficile de connaître la quantité de données téléchargées par un utilisateur particulier.

Accès invité - un moyen de protéger votre réseau domestique

Si vous protégez votre routeur avec un mot de passe fort lorsque vous utilisez Cryptage WPA 2, vous ne courrez plus aucun danger. Mais seulement jusqu'à ce que vous partagiez votre mot de passe avec d'autres utilisateurs. Les amis et connaissances qui, avec leur smartphone, tablette ou ordinateur portable, souhaitent accéder à Internet via votre connexion constituent un facteur de risque. Par exemple, la possibilité que leurs appareils soient infectés ne peut être exclue. malware. Cependant, vous n'aurez pas à refuser vos amis pour cette raison, puisque les modèles de routeurs haut de gamme, tels que le Belkin N ou le Netgear WNDR3700, offrent un accès invité spécifiquement pour de tels cas. Avantage ce mode dans ce que le routeur crée réseau séparé avec votre propre mot de passe et votre mot de passe personnel n'est pas utilisé.

Fiabilité des clés de sécurité

WEP (CONFIDENTIALITÉ ÉQUIVALENTE FILAIRE). Utilise un générateur de nombres pseudo-aléatoires (algorithme RC4) pour obtenir la clé, ainsi que des vecteurs d'initialisation. Ce dernier composant n'étant pas crypté, il est possible que des tiers interviennent et recréent la clé WEP.

WPA (ACCÈS PROTÉGÉ WI-FI) Basé sur le mécanisme WEP, mais offre une clé dynamique pour une sécurité étendue. Les clés générées à l'aide de l'algorithme TKIP peuvent être piratées à l'aide de l'attaque Bek-Tevs ou Ohigashi-Moriya. Pour ce faire, les paquets individuels sont déchiffrés, manipulés et renvoyés au réseau.

WPA2 (ACCÈS PROTÉGÉ WI-FI 2) Utilise l'algorithme fiable AES (Advanced Encryption Standard) pour le cryptage. Parallèlement à TKIP, le protocole CCMP (Counter-Mode/CBC-MAC Protocol) a été ajouté, qui est également basé sur l'algorithme AES. Jusqu’à présent, un réseau protégé par cette technologie ne pouvait être piraté. La seule option pour les pirates est une attaque par dictionnaire ou une « méthode par force brute », où la clé est devinée en devinant, mais mot de passe complexe il est impossible de le récupérer.

DANS Dernièrement De nombreuses publications « révélatrices » ont paru sur le piratage de certains nouveaux protocoles ou technologies compromettant la sécurité des réseaux sans fil. Est-ce vraiment le cas, de quoi devriez-vous avoir peur et comment pouvez-vous garantir que l'accès à votre réseau est aussi sécurisé que possible ? Les mots WEP, WPA, 802.1x, EAP, PKI ne vous disent rien ? Ce brève revue permettra de regrouper toutes les technologies applicables en matière de chiffrement et d’autorisation d’accès radio. Je vais essayer de montrer qu'un réseau sans fil correctement configuré représente une barrière infranchissable pour un attaquant (jusqu'à une certaine limite bien sûr).

Les bases

Toute interaction entre un point d'accès (réseau) et un client sans fil est basée sur :
  • Authentification- comment le client et le point d'accès se présentent et confirment qu'ils ont le droit de communiquer entre eux ;
  • Chiffrement- quel algorithme de brouillage des données transmises est utilisé, comment la clé de cryptage est générée et quand elle change.

Les paramètres d'un réseau sans fil, principalement son nom (SSID), sont régulièrement annoncés par le point d'accès dans des paquets de balises de diffusion. En plus des paramètres de sécurité attendus, des demandes de QoS, de paramètres 802.11n, de vitesses prises en charge, d'informations sur les autres voisins, etc. L'authentification détermine la manière dont le client se présente au point. Options possibles :

  • Ouvrir- soi-disant réseau ouvert, dans lequel tous les appareils connectés sont autorisés en même temps
  • partagé- l'authenticité de l'appareil connecté doit être vérifiée avec une clé/mot de passe
  • PAE- l'authenticité de l'appareil connecté doit être vérifiée grâce au protocole EAP par un serveur externe
L’ouverture du réseau ne signifie pas que quiconque puisse l’utiliser en toute impunité. Pour transmettre des données sur un tel réseau, l'algorithme de cryptage utilisé doit correspondre et, par conséquent, la connexion cryptée doit être correctement établie. Les algorithmes de cryptage sont :
  • Aucun- pas de cryptage, les données sont transmises en texte clair
  • WEP- chiffre basé sur l'algorithme RC4 avec différentes longueurs de clés statiques ou dynamiques (64 ou 128 bits)
  • CKIP- remplacement propriétaire du WEP de Cisco, première version de TKIP
  • TKIP- Remplacement WEP amélioré avec des contrôles et une protection supplémentaires
  • AES/CCMP- l'algorithme le plus avancé basé sur AES256 avec des contrôles et une protection supplémentaires

Combinaison Authentification ouverte, pas de cryptage largement utilisé dans les systèmes Accès invité comme fournir Internet dans un café ou un hôtel. Pour vous connecter, il vous suffit de connaître le nom du réseau sans fil. Souvent, une telle connexion est combinée à une vérification supplémentaire sur le portail captif en redirigeant la requête HTTP de l'utilisateur vers une page supplémentaire où vous pouvez demander une confirmation (login-mot de passe, accord avec les règles, etc.).

Chiffrement WEP est compromis et ne peut pas être utilisé (même dans le cas de clés dynamiques).

Termes courants WPA Et WPA2 déterminer, en effet, l'algorithme de cryptage (TKIP ou AES). Étant donné que les adaptateurs clients prennent en charge WPA2 (AES) depuis un certain temps, il ne sert à rien d'utiliser le cryptage TKIP.

Différence entre WPA2 Personnel Et WPA2 Entreprise C'est de là que proviennent les clés de cryptage utilisées dans la mécanique de l'algorithme AES. Pour les applications privées (domestiques, petites), une clé statique (mot de passe, mot de code, PSK (Pre-Shared Key)) d'une longueur minimale de 8 caractères est utilisée, qui est définie dans les paramètres du point d'accès et est la même pour tous les clients d’un réseau sans fil donné. La compromission d'une telle clé (ils ont vendu la mèche à un voisin, un employé a été licencié, un ordinateur portable a été volé) nécessite un changement immédiat du mot de passe pour tous les utilisateurs restants, ce qui n'est réaliste que s'ils sont un petit nombre. Pour les applications d'entreprise, comme son nom l'indique, une clé dynamique est utilisée, individuelle pour chaque client en cours d'exécution. Cette clé peut être périodiquement mise à jour pendant le fonctionnement sans rompre la connexion et est responsable de sa génération composant supplémentaire- un serveur d'autorisation, et il s'agit presque toujours d'un serveur RADIUS.

Tous les paramètres de sécurité possibles sont résumés dans cette plaque :

Propriété WEP statique WEP dynamique WPA WPA 2 (Entreprise)
Identification Utilisateur, ordinateur, carte WLAN Utilisateur, ordinateur
Utilisateur, ordinateur
Utilisateur, ordinateur
Autorisation
Clé partagée

PAE

EAP ou clé partagée

EAP ou clé partagée

Intégrité

Valeur de contrôle d'intégrité (ICV) 32 bits

ICV 32 bits

Code d'intégrité des messages (MIC) 64 bits

CRT/CBC-MAC (Code d'authentification de chaînage de blocs de chiffrement en mode compteur - CCM) Fait partie d'AES

Chiffrement

Clé statique

Clé de session

Clé par paquet via TKIP

CCMP (AES)

Distribution des clés

Unique, manuel

Segment de clé principale par paire (PMK)

Dérivé de PMK

Dérivé de PMK

Vecteur d'initialisation

Texte, 24 bits

Texte, 24 bits

Vecteur avancé, 65 bits

Numéro de paquet de 48 bits (PN)

Algorithme

RC4

RC4

RC4

AES

Longueur de clé, bits

64/128
64/128
128
jusqu'à 256

Infrastructure requise

Non

RAYON

RAYON

RAYON

Si tout est clair avec WPA2 Personal (WPA2 PSK), solution d'entreprise nécessite une réflexion supplémentaire.

WPA2 Entreprise



Nous avons ici affaire à ensemble supplémentaire divers protocoles. Du côté client, il y a un composant spécial logiciel Le demandeur (généralement une partie du système d'exploitation) interagit avec la partie autorisant, le serveur AAA. DANS dans cet exemple affiche le fonctionnement d'un réseau radio unifié construit sur des points d'accès légers et un contrôleur. Dans le cas de l'utilisation de points d'accès dotés de « cerveaux », tout le rôle d'intermédiaire entre clients et serveur peut être assumé par le point lui-même. Dans ce cas, les données du client demandeur sont transmises via la radio formée dans le protocole 802.1x (EAPOL) et du côté du contrôleur, elles sont enveloppées dans des paquets RADIUS.

L'utilisation du mécanisme d'autorisation EAP dans votre réseau conduit au fait qu'après une authentification réussie (presque certainement ouverte) du client par le point d'accès (avec le contrôleur, le cas échéant), ce dernier demande au client d'autoriser (confirmer son autorité) avec l'infrastructure serveur RADIUS :

Usage WPA2 Entreprise nécessite un serveur RADIUS sur votre réseau. À l’heure actuelle, les produits les plus efficaces sont les suivants :

  • Microsoft Network Policy Server (NPS), ancien IAS- configuré via MMC, gratuit, mais vous devez acheter Windows
  • Serveur de contrôle d'accès sécurisé Cisco (ACS) 4.2, 5.3- configuré via une interface Web, aux fonctionnalités sophistiquées, vous permet de créer des systèmes distribués et tolérants aux pannes, coûteux
  • GratuitRADIUS- gratuit, configuré à l'aide de configurations de texte, peu pratique à gérer et à surveiller

Dans ce cas, le responsable du traitement surveille attentivement l'échange d'informations en cours et attend l'autorisation ou le refus de celui-ci. En cas de succès, le serveur RADIUS est capable de transmettre au point d'accès Options supplémentaires(par exemple, dans quel VLAN placer l'abonné, quelle adresse IP attribuer, profil QoS, etc.). A la fin de l'échange, le serveur RADIUS permet au client et au point d'accès de générer et d'échanger des clés de chiffrement (individuelles, valables uniquement pour cette session) :

PAE

Le protocole EAP lui-même est basé sur des conteneurs, ce qui signifie que le mécanisme d'autorisation réel est laissé aux protocoles internes. Sur actuellement Les éléments suivants ont reçu une distribution significative :
  • PAE-RAPIDE(Authentification flexible via Secure Tunneling) - développé par Cisco ; permet l'autorisation à l'aide d'un login et d'un mot de passe transmis dans le tunnel TLS entre le demandeur et le serveur RADIUS
  • EAP-TLS(Sécurité de la couche de transport). Utilise les infrastructures clés publiques(PKI) pour autoriser le client et le serveur (candidat et serveur RADIUS) via des certificats émis par une autorité de certification (CA) de confiance. Nécessite l'émission et l'installation de certificats clients pour chacun appareil sans fil, ne convient donc qu'aux environnements d'entreprise gérés. Le serveur de certificats Windows dispose de fonctionnalités permettant au client de générer son propre certificat s'il est membre d'un domaine. Le blocage d'un client peut facilement se faire en révoquant son certificat (ou via des comptes).
  • EAP-TTLS(Tunneled Transport Layer Security) est similaire à EAP-TLS, mais ne nécessite pas de certificat client lors de la création d'un tunnel. Dans un tel tunnel, similaire à une connexion SSL de navigateur, une autorisation supplémentaire est effectuée (à l'aide d'un mot de passe ou autre).
  • PEAP-MSCHAPv2(EAP protégé) - similaire à EAP-TTLS en termes d'établissement initial d'un tunnel TLS crypté entre le client et le serveur, nécessitant un certificat de serveur. Par la suite, un tel tunnel est autorisé grâce au protocole bien connu MSCHAPv2.
  • PEAP-GTC(Generic Token Card) - similaire à la précédente, mais nécessite des cartes mots de passe à usage unique(et infrastructures associées)

Toutes ces méthodes (sauf EAP-FAST) nécessitent un certificat de serveur (sur le serveur RADIUS) délivré par une autorité de certification (CA). Dans ce cas, le certificat CA lui-même doit être présent sur l'appareil du client dans le groupe de confiance (ce qui est facile à mettre en œuvre à l'aide de la stratégie de groupe sous Windows). De plus, EAP-TLS nécessite un certificat client individuel. L'authentification du client s'effectue comme suit : signature numérique, donc (facultatif) en comparant le certificat fourni par le client au serveur RADIUS avec ce que le serveur a récupéré de l'infrastructure PKI (Active Directory).

La prise en charge de l’une des méthodes EAP doit être fournie par un demandeur côté client. La norme intégrée Windows XP/Vista/7, iOS et Android fournit au moins EAP-TLS et EAP-MSCHAPv2, ce qui rend ces méthodes populaires. Les adaptateurs client Intel pour Windows sont livrés avec un utilitaire ProSet qui étend liste disponible. Le client Cisco AnyConnect fait de même.

Quelle est sa fiabilité ?

Après tout, que faut-il pour qu’un attaquant pirate votre réseau ?

Pour l'authentification ouverte, pas de cryptage - rien. Connecté au réseau, et c'est tout. Le milieu radio étant ouvert, le signal circule dans différents côtés, le bloquer n’est pas facile. Si vous disposez d'adaptateurs clients appropriés qui vous permettent d'écouter la diffusion, trafic réseau visible comme si l'attaquant s'était connecté au fil, au hub, au port SPAN du switch.
Le cryptage basé sur WEP ne nécessite que du temps IV et l'un des nombreux utilitaires d'analyse disponibles gratuitement.
Pour le cryptage basé sur TKIP ou AES, un décryptage direct est théoriquement possible, mais en pratique il n'y a eu aucun cas de piratage.

Bien sûr, vous pouvez essayer de deviner la clé PSK ou le mot de passe pour l'une des méthodes EAP. Les attaques courantes contre ces méthodes ne sont pas connues. Vous pouvez essayer d'utiliser des méthodes d'ingénierie sociale, ou

La question se pose souvent : quel type Cryptage Wi-Fi choisissez votre routeur domestique. Cela peut sembler anodin, mais si les paramètres sont incorrects, des problèmes peuvent survenir avec le réseau, et même avec le transfert d'informations via un câble Ethernet.

Par conséquent, nous examinerons ici quels types de cryptage de données sont pris en charge par les systèmes modernes. Routeurs Wi-Fi, et en quoi le type de cryptage aes diffère des populaires wpa et wpa2.

Type de cryptage du réseau sans fil : comment choisir une méthode de sécurité ?

Il existe donc 3 types de cryptage au total :

  1. 1. Cryptage WEP

Taper Encryption WEP est apparu dans les années 90 et était la première option Protection Wi-Fi réseaux : il se positionnait comme un analogue du cryptage dans les réseaux filaires et utilisait le chiffre RC4. Il existait trois algorithmes de cryptage courants pour les données transmises – Neesus, Apple et MD5 – mais chacun d'eux n'offrait pas le niveau de sécurité requis. En 2004, l'IEEE a déclaré la norme obsolète car elle a finalement cessé de fournir des connexions réseau sécurisées. Pour le moment, il n'est pas recommandé d'utiliser ce type de cryptage pour le wifi, car... ce n'est pas à l'épreuve des crypto-monnaies.

  1. 2.WPS est une norme qui n'inclut pas l'utilisation de . Pour vous connecter au routeur, cliquez simplement sur le bouton approprié, que nous avons décrit en détail dans l'article.

Théoriquement, WPS permet de se connecter à un point d'accès à l'aide d'un code à huit chiffres, mais en pratique, seulement quatre suffisent souvent.

Ce fait est facilement exploité par de nombreux pirates informatiques qui piratent rapidement (en 3 à 15 heures) les réseaux wifi, alors utilisez cette connexionégalement déconseillé.

  1. 3.Type de cryptage WPA/WPA2

Les choses vont bien mieux avec le cryptage WPA. Au lieu du chiffrement vulnérable RC4, le cryptage AES est utilisé ici, où la longueur du mot de passe est arbitraire (8 à 63 bits). Ce type le cryptage offre un niveau de sécurité normal et convient tout à fait aux opérations simples. routeurs Wi-Fi. Il en existe deux types :

Tapez PSK (Pre-Shared Key) – la connexion au point d’accès s’effectue à l’aide d’un mot de passe prédéfini.
- Entreprise – le mot de passe de chaque nœud est généré automatiquement et vérifié sur les serveurs RADIUS.

Le type de cryptage WPA2 est une continuation du WPA avec des améliorations de sécurité. DANS ce protocole RSN est utilisé, basé sur le cryptage AES.

Comme le cryptage WPA, WPA2 dispose de deux modes de fonctionnement : PSK et Enterprise.

Depuis 2006, le type de cryptage WPA2 est pris en charge par tous les équipements Wi-Fi et la géolocalisation correspondante peut être sélectionnée pour n'importe quel routeur.

Avantages du cryptage WPA2 par rapport au WPA :

Les clés de cryptage sont générées lors de la connexion au routeur (au lieu de clés statiques) ;
- Utilisation de l'algorithme Michael pour contrôler l'intégrité des messages transmis
- Utiliser un vecteur d'initialisation de longueur nettement supérieure.
De plus, vous devez choisir le type de cryptage Wi-Fi en fonction de l'endroit où votre routeur est utilisé :

Les cryptages WEP, TKIP et CKIP ne doivent pas du tout être utilisés ;

Pour un point d'accès domestique, WPA/WPA2 PSK est tout à fait adapté ;

Pour cela, vous devez choisir WPA/WPA2 Enterprise.

ARTICLES LIÉS