Sans aucun doute, de nombreux utilisateurs d'ordinateurs travaillant avec Internet (et pas seulement) ont entendu parler du terme AES. De quel type de système il s'agit, quels algorithmes il utilise et à quoi il sert, un cercle assez limité de personnes en a une idée. Dans l’ensemble, l’utilisateur moyen n’a pas besoin de le savoir. Néanmoins, considérons ce système cryptographique, sans trop entrer dans les calculs et formules mathématiques complexes, afin qu’il puisse être compris par tous.

Qu’est-ce que le cryptage AES ?

Commençons par le fait que le système lui-même est un ensemble d'algorithmes qui permettent de masquer l'apparence initiale de certaines données transmises, reçues par l'utilisateur ou stockées sur un ordinateur. Le plus souvent, il est utilisé dans les technologies Internet, lorsqu'il est nécessaire d'assurer une totale confidentialité des informations, et fait référence aux soi-disant algorithmes. cryptage symétrique.

Le type de cryptage AES implique l'utilisation de la même clé, connue à la fois de l'expéditeur et du destinataire, pour convertir les informations sous une forme sécurisée et décodage inverse, contrairement au cryptage symétrique, qui implique l'utilisation de deux clés - privées et publique. Ainsi, il est facile de conclure que si les deux parties connaissent la bonne clé, le processus de cryptage et de déchiffrement est assez simple.

Un peu d'histoire

Le cryptage AES a été mentionné pour la première fois en 2000, lorsque l'algorithme de Rijndael a remporté le concours pour sélectionner un successeur au système DES, qui est un standard aux États-Unis depuis 1977.

En 2001, le système AES a été officiellement adopté comme nouvelle norme fédérale de cryptage des données et est depuis utilisé partout.

Types de cryptage AES

Il comprenait plusieurs étapes intermédiaires, principalement associées à l'augmentation de la longueur de la clé. Il existe aujourd'hui trois types principaux : le cryptage AES-128, AES-192 et AES-256.

Le nom parle de lui-même. La désignation numérique correspond à la longueur de la clé utilisée, exprimée en bits. De plus, le cryptage AES est un type de bloc qui fonctionne directement avec des blocs d'informations d'une longueur fixe, en chiffrant chacun d'eux, contrairement aux algorithmes de flux qui fonctionnent sur des caractères uniques. message ouvert, en les convertissant sous forme cryptée. En AES, la longueur du bloc est de 128 bits.

En termes scientifiques, les mêmes algorithmes utilisés par le cryptage AES-256 impliquent des opérations basées sur une représentation polynomiale des opérations et des codes lors du traitement. tableaux bidimensionnels(matrices).

Comment ça fonctionne?

L'algorithme de fonctionnement est assez complexe, mais comprend l'utilisation de plusieurs éléments de base. Initialement, une matrice bidimensionnelle, des cycles de transformation (tours), une clé ronde et des tableaux de substitution initiale et inverse sont utilisés.

Le processus de cryptage des données comprend plusieurs étapes :

• calcul de toutes les clés rondes ;
• substitution d'octets à l'aide de la table principale S-Box ;
• changer de forme en utilisant différentes quantités (voir la figure ci-dessus) ;
• mélanger les données dans chaque colonne de la matrice (formulaire) ;
• ajout de la forme et de la clé ronde.

Le décryptage est effectué dans l'ordre inverse, mais à la place de la table S-Box, la table de configuration inversée, mentionnée ci-dessus, est utilisée.

A titre d'exemple, si vous disposez d'une clé de 4 bits, la recherche ne nécessitera que 16 étapes (tours), c'est-à-dire que vous devrez vérifier toutes les combinaisons possibles, commençant par 0000 et se terminant par 1111. Naturellement, une telle protection peut être s'est fissuré assez rapidement. Mais si nous prenons des clés plus grandes, 16 bits nécessiteront 65 536 étapes, et 256 bits nécessiteront 1,1 x 10 77. Et comme l'ont déclaré les experts américains, il faudra environ 149 000 milliards d'années pour sélectionner la bonne combinaison (clé).

Que faut-il utiliser en pratique lors de la mise en place d'un réseau : cryptage AES ou TKIP ?

Passons maintenant à l'utilisation d'AES-256 lors du cryptage des données transmises et reçues sur les réseaux sans fil.

En règle générale, vous avez le choix entre plusieurs paramètres : AES uniquement, TKIP uniquement et AES+TKIP. Ils sont appliqués en fonction du protocole (WEP ou WEP2). Mais! TKIP est un système existant car il est moins sécurisé et ne prend pas en charge les connexions 802.11n avec des débits de données supérieurs à 54 Mbps. Ainsi, la conclusion sur l'utilisation prioritaire d'AES avec le mode de sécurité WPA2-PSK s'impose, bien que les deux algorithmes puissent être utilisés par paires.

Enjeux de fiabilité et de sécurité des algorithmes AES

Malgré les déclarations bruyantes des experts, les algorithmes AES sont théoriquement encore vulnérables, car la nature même du cryptage a une simple description algébrique. C'est ce qu'a noté Nils Fergusson. Et en 2002, Josef Pieprzyk et Nicolas Courtois ont publié un article étayant une potentielle attaque XSL. Certes, cela a suscité de nombreuses controverses dans le monde scientifique, et certains ont considéré leurs calculs comme erronés.

En 2005, il a été suggéré que l'attaque pourrait utiliser des canaux tiers, et pas seulement des calculs mathématiques. De plus, l'une des attaques a calculé la clé après 800 opérations, et l'autre l'a obtenue après 2 32 opérations (au huitième round).

Sans aucun doute, ce système pourrait aujourd’hui être considéré comme l’un des plus avancés, ne serait-ce que pour une chose. Il y a quelques années, une vague déferlait sur Internet attaques de virus, dans lequel un virus de cryptage (et aussi un ransomware), pénétrant dans les ordinateurs, crypte complètement les données, exigeant une coquette somme d'argent pour le décryptage. Dans le même temps, le message indiquait que le cryptage était effectué à l'aide de l'algorithme AES1024, qui, jusqu'à récemment, était considéré comme inexistant dans la nature.

Que cela soit vrai ou non, même les développeurs de logiciels antivirus les plus célèbres, dont Kaspersky Lab, se sont montrés impuissants lorsqu'ils ont tenté de décrypter les données. De nombreux experts ont admis que le fameux virus, qui à un moment donné a frappé des millions d'ordinateurs dans le monde et les a détruits une information important, en comparaison avec cette menace, il s'est avéré être un langage de bébé. De plus, I Love You s'adressait davantage aux fichiers multimédias, et nouveau virus obtenu un accès exclusif aux informations confidentielles des grandes entreprises. Cependant, personne ne peut affirmer clairement que le cryptage AES-1024 a été utilisé ici.

Conclusion

Pour résumer, dans tous les cas, nous pouvons dire que le cryptage AES est de loin le plus avancé et le plus sécurisé, quelle que soit la longueur de clé utilisée. Il n'est pas surprenant que cette norme particulière soit utilisée dans la plupart des cryptosystèmes et ait des perspectives de développement et d'amélioration assez larges dans un avenir proche, d'autant plus qu'il est très probable qu'elle combine plusieurs types de cryptage en un seul (par exemple, l'utilisation parallèle de symétrique et asymétrique ou chiffrement par bloc et flux).

Le cryptage WPA implique l'utilisation d'un réseau Wi-Fi sécurisé. En général, WPA signifie Wi-Fi Protected Access, c'est-à-dire protégé.

Majorité administrateurs système ils savent configurer ce protocole et en savent beaucoup sur lui.

Mais aussi des gens ordinaires peut en apprendre beaucoup sur ce qu'est le WPA, comment le configurer et comment l'utiliser.

Certes, sur Internet, vous pouvez trouver de nombreux articles sur ce sujet, à partir desquels il est impossible de comprendre quoi que ce soit. Alors aujourd'hui, nous parlerons dans un langage simple sur des choses difficiles.

Un peu de théorie

Ainsi, WPA est un protocole, une technologie, un programme qui contient un ensemble de certificats utilisés lors de la transmission.

Pour faire simple, cette technologie permet d'utiliser diverses méthodes Pour Protection Wi-Fi réseaux.

Il pourrait être clé électronique, qui est aussi un certificat spécial du droit d'utiliser ce réseau (nous en reparlerons plus tard).

En général, avec l’aide de ce programme, seuls ceux qui en ont le droit pourront utiliser le réseau et c’est tout ce que vous devez savoir.

Pour référence : L'authentification est une mesure de sécurité qui permet d'établir l'identité d'une personne et son droit d'accéder au réseau en comparant ses données déclarées et attendues.

Par exemple, une personne peut être authentifiée lorsqu'elle attache son fichier . S'il saisit simplement son login et son mot de passe, il ne s'agit que d'une autorisation.

Mais une empreinte digitale permet de vérifier si cette personne se connecte réellement, et si quelqu'un n'a pas pris ses données et les a saisies avec son aide.

Riz. 1. Scanner d'empreintes digitales sur votre smartphone

Et également dans le diagramme, il y a un contrôleur de réseau local sans fil WLC. A droite se trouve le serveur d'authentification.

Connecter tout cela est un commutateur ordinaire (un appareil qui connecte simplement divers périphériques réseau). La clé est envoyée du contrôleur au serveur d'authentification et y est stockée.

Lorsqu'un client tente de se connecter à un réseau, il doit transmettre au LAP une clé qu'il connaît. Cette clé va au serveur d'authentification et est comparée à la clé souhaitée.

Si les clés correspondent, le signal se propage librement vers le client.

Riz. 2. Exemple de schéma WPA dans Cisco Pocket Tracer

Composants du WPA

Comme nous l'avons dit ci-dessus, WPA utilise des clés spéciales qui sont générées chaque fois que vous essayez de commencer à transmettre un signal, c'est-à-dire d'activer le Wi-Fi, et qui changent également à chaque fois.

WPA comprend plusieurs technologies qui permettent de générer et de transmettre ces mêmes clés.

La figure ci-dessous montre formule générale, qui comprend tous les composants de la technologie considérée.

Riz. 3. Formule avec des ingrédients WPA

Examinons maintenant chacun de ces composants séparément :

• 1X est une norme utilisée pour générer cette même clé unique, à l'aide de laquelle l'authentification aura lieu à l'avenir.
• EAP est ce qu'on appelle le protocole d'authentification extensible. Il est responsable du format des messages avec lesquels les clés sont transmises.
• TKIP est un protocole qui permettait d'étendre la taille de la clé à 128 octets (auparavant, en WEP, elle n'était que de 40 octets).
• MIC est un mécanisme de vérification des messages (en particulier, leur intégrité est vérifiée). Si les messages ne répondent pas aux critères, ils sont renvoyés.

Il convient de dire qu'il existe désormais déjà WPA2, qui, en plus de tout ce qui précède, utilise également le cryptage CCMP et AES.

Nous ne parlerons pas de ce que c'est maintenant, mais WPA2 est plus sécurisé que WPA. C'est tout ce que vous devez vraiment savoir.

Une fois de plus depuis le tout début

Donc, vous avez. Le réseau utilise la technologie WPA.

Pour se connecter au Wi-Fi, chaque appareil doit fournir un certificat d'utilisateur, ou, plus simplement, une clé spéciale délivrée par le serveur d'authentification.

Ce n'est qu'alors qu'il pourra utiliser le réseau. C'est tout!

Vous savez maintenant ce qu'est le WPA. Parlons maintenant de ce qui est bon et de ce qui est mauvais dans cette technologie.

Avantages et inconvénients du cryptage WPA

Les avantages de cette technologie seraient les suivants :

1. Sécurité améliorée de la transmission des données (par rapport au WEP, son prédécesseur, WPA).
2. Contrôle d'accès Wi-Fi plus strict.
3. Compatible avec gros montant appareils utilisés pour organiser réseau sans fil.
4. Gestion centralisée de la sécurité. Le centre dans ce cas est le serveur d'authentification. De ce fait, les attaquants ne peuvent pas accéder aux données cachées.
5. Les entreprises peuvent utiliser leurs propres politiques de sécurité.
6. Facile à installer et à continuer à utiliser.

Bien entendu, cette technologie présente également des inconvénients, et ils sont souvent assez importants. En particulier, voici de quoi nous parlons :

1. Une clé TKIP peut être crackée en 15 minutes maximum. C'est ce qu'a déclaré un groupe de spécialistes en 2008 lors de la conférence PacSec.
2. En 2009, des spécialistes de l'Université d'Hiroshima ont développé une méthode permettant de pirater tout réseau utilisant WPA en une minute.
3. Grâce à une vulnérabilité appelée Hole196 par les experts, vous pouvez utiliser WPA2 avec votre propre clé, et non avec celle requise par le serveur d'authentification.
4. Dans la plupart des cas, n'importe quel WPA peut être craqué en utilisant une simple recherche de tous options possibles(force brute), ainsi qu'en utilisant ce qu'on appelle l'attaque par dictionnaire. Dans le second cas, les options ne sont pas utilisées dans un ordre chaotique, mais selon le dictionnaire.

Bien entendu, pour profiter de toutes ces vulnérabilités et problèmes, vous devez avoir des connaissances particulières dans le domaine de la construction de réseaux informatiques.

Tout cela est inaccessible à la plupart des utilisateurs ordinaires. Par conséquent, vous n’avez pas trop à vous inquiéter si quelqu’un accède à votre Wi-Fi.

Riz. 4. Cambrioleur et ordinateur

Aujourd'hui, nous allons approfondir un peu le sujet de la protection. connexion sans fil. Voyons ce que c'est - on l'appelle aussi « authentification » - et laquelle est préférable de choisir. Vous avez probablement déjà rencontré des abréviations telles que WEP, WPA, WPA2, WPA2/PSK. Et aussi certaines de leurs variétés - Personal ou Enterprice et TKIP ou AES. Eh bien, examinons-les tous de plus près et déterminons quel type de cryptage choisir pour garantir une vitesse maximale sans sacrifier la vitesse.

Je note que pour protéger votre Mot de passe WiFi nécessaire, quel que soit le type de cryptage que vous choisissez. Même l'authentification la plus simple évitera des problèmes assez graves à l'avenir.

Pourquoi je dis ça ? Il ne s’agit même pas du fait que la connexion de nombreux mauvais clients ralentira votre réseau : ce n’est que le début. raison principale Le fait est que si votre réseau n'est pas protégé par mot de passe, un attaquant peut s'y impliquer et effectuer des actions illégales sous votre routeur, et vous devrez alors répondre de ses actions, alors prenez la protection wifi très au sérieux.

Types de cryptage et d'authentification des données WiFi

Nous sommes donc convaincus de la nécessité de chiffrer le réseau wifi, voyons maintenant quels types il en existe :

Qu'est-ce que la protection Wi-Fi WEP ?

WEP(Wired Equivalent Privacy) est la toute première norme à voir le jour, mais sa fiabilité ne répond plus aux exigences modernes. Tous les programmes configurés pour pirater un réseau wifi en utilisant des méthodes de force brute visent principalement à sélectionner une clé de cryptage WEP.

Qu'est-ce qu'une clé ou un mot de passe WPA ?

WPA(accès Wi-Fi protégé) - plus norme moderne l'authentification, qui vous permet de protéger de manière fiable le réseau local et Internet contre les pénétrations illégales.

Qu'est-ce que WPA2-PSK - Personnel ou Entreprise ?

WPA2- une version améliorée du type précédent. Pirater WPA2 est presque impossible, il offre le degré de sécurité maximum, donc dans mes articles je dis toujours sans explication que vous devez l'installer - vous savez maintenant pourquoi.

Normes Protection Wi-Fi WPA2 et WPA ont deux autres variétés :

• Personnel, noté WPA/PSK ou WPA2/PSK. Ce type est le plus largement utilisé et optimal pour une utilisation dans la plupart des cas, à la fois à la maison et au bureau. En WPA2/PSK, nous définissons un mot de passe d'au moins 8 caractères, qui est stocké dans la mémoire de l'appareil que nous connectons au routeur.
• Entreprise- une configuration plus complexe qui nécessite d'activer la fonction RADIUS sur le routeur. Cela fonctionne selon le principe, c'est-à-dire qu'un mot de passe distinct est attribué à chaque gadget connecté.

Types de cryptage WPA – TKIP ou AES ?

Nous avons donc décidé que choix optimal pour la sécurité du réseau, il y aura WPA2/PSK (Personnel), mais il dispose de deux autres types de cryptage des données pour l'authentification.

• TKIP- Il s'agit aujourd'hui d'un type obsolète, mais il est encore largement utilisé, car de nombreux appareils ne le supportent que depuis un certain nombre d'années. Ne fonctionne pas avec la technologie WPA2/PSK et ne prend pas en charge le WiFi 802.11n.
• AES- le dernier ce moment et le type de cryptage WiFi le plus puissant.

Quel type de cryptage dois-je choisir et installer la clé WPA sur mon routeur WiFi ?

Nous avons réglé la théorie - passons à la pratique. Puisque personne n'utilise les normes WiFi 802.11 « B » et « G », qui ont une vitesse maximale allant jusqu'à 54 Mbit/s, aujourd'hui la norme est 802.11 « N » ou « AC », qui prennent en charge des vitesses allant jusqu'à 300 Mbit/s. /s et supérieur, il ne sert à rien d'envisager la possibilité d'utiliser la protection WPA/PSK avec le type de cryptage TKIP. Par conséquent, lorsque vous configurez un réseau sans fil, définissez-le par défaut

WPA2/PSK-AES

Ou, en dernier recours, spécifiez « Auto » comme type de cryptage pour vous assurer que vous connectez toujours des appareils avec des identifiants obsolètes. Module Wi-Fi.

Où clé WPA, ou en termes simples, le mot de passe de connexion au réseau doit comporter de 8 à 32 caractères, dont les minuscules anglaises et lettres majuscules, ainsi que divers caractères spéciaux.

Sécurité sans fil sur votre routeur TP-Link

Les captures d'écran ci-dessus montrent le panneau de commande d'un Routeur TP-Link V nouvelle version micrologiciel. La configuration du cryptage réseau se trouve ici dans la section " Paramètres additionnels- Mode sans fil.

Dans l'ancienne version « verte », les configurations du réseau WiFi qui nous intéressent se situent dans la zone « Mode sans fil - Sécurité". Si vous faites tout comme sur l'image, ce sera génial !

Si vous l'avez remarqué, il existe également un élément tel que « Période de mise à jour des clés du groupe WPA ». Le fait est que pour assurer une meilleure protection, de véritables clé numérique WPA pour le cryptage des connexions change dynamiquement. Ici, vous définissez la valeur en secondes après laquelle le changement se produit. Je recommande de le laisser tranquille et de le laisser par défaut - l'intervalle de mise à jour varie d'un modèle à l'autre.

Méthode d'authentification sur le routeur ASUS

Sur Routeurs ASUS Tous Paramètres Wifi situé sur une page « Réseau sans fil »

Protection du réseau via le routeur Zyxel Keenetic

De même pour Zyxel Keenetic - section « Réseau WiFi - Point d'accès »

DANS Routeurs Keenetic Sans le préfixe « Zyxel », le type de cryptage est modifié dans la section « Réseau domestique ».

Configuration de la sécurité du routeur D-Link

Sur D-Link nous recherchons la section « Wi-Fi - Sécurité»

Eh bien, aujourd'hui, nous avons compris les types de cryptage WiFi et les termes tels que WEP, WPA, WPA2-PSK, TKIP et AES et avons appris lequel est préférable de choisir. Découvrez également d'autres options de sécurité réseau dans l'un de mes articles précédents, dans lequel je parle des adresses MAC et IP et d'autres méthodes de sécurité.

Vidéo sur la définition du type de cryptage sur le routeur

Quand j'ai installé pour la première fois Wi-Fi à la maison routeur, a commis une grave erreur : a choisi le mauvais protocole de cryptage. Résultat, mon point a été piraté le lendemain, même avec un mot de passe à 8 chiffres. Je m'en suis rendu compte seulement après quelques semaines, mais avant cela j'étais content chargement lent pages et interruption vidéo en streaming. Et ce n'est que la moitié de la question : si connexion non sécurisée transmettre information confidentielle et les documents de travail, ils risquent de « tomber » entre de mauvaises mains. Je veux éviter problèmes similaires? Il suffit de sélectionner le protocole de cryptage optimal.

WEP 64 et WEP 128

La pire chose que vous puissiez faire lors de la configuration d'un routeur est d'installer le cryptage WEP. Il ne peut garantir même un niveau minimum de sécurité : ils peuvent pirater votre point en quelques minutes. Et pas seulement pour profiter Internet gratuit, mais également obtenir des données personnelles.

WPA-PSK (TKIP) et

Autre protocole de cryptage que je déconseille de choisir : la sécurité, à vrai dire, n'est pas à 100 %. Surtout si vous avez choisi le type de cryptage TKIP.

WPA2-AES contre WPA2-TKIP

La version du protocole WPA2 est l'option la plus actuelle. Lorsque la question se pose sur le type de cryptage, choisissez WPA2-AES - il fournira protection maximale votre réseau Wi-Fi et la sécurité de vos données. En comparaison, le type de cryptage TKIP est considéré comme moins sécurisé. Mais si tu appareil obsolète Et

Avant la lecture de ce matériel, il est recommandé de lire les articles précédents de la série :
• Nous construisons un réseau de nos propres mains et le connectons à Internet, première partie - construction d'un réseau Ethernet filaire (sans commutateur, dans le cas de deux ordinateurs et avec un commutateur, ainsi qu'en présence de trois machines ou plus ) et organiser l'accès à Internet via l'un des ordinateurs du réseau, sur lequel dispose de deux cartes réseau et le système d'exploitation Windows XP Pro est installé.
• Deuxième partie : configuration d'un équipement sans fil dans un réseau peer-to-peer - les problèmes d'organisation d'un réseau sont abordés lors de l'utilisation uniquement d'adaptateurs sans fil.

Dans l'article précédent, seuls quelques mots étaient consacrés au cryptage dans les réseaux sans fil ; il était promis de traiter cette question dans un article séparé. Aujourd'hui, nous respectons notre engagement :)

Tout d’abord, un peu de théorie.

Le cryptage des données dans les réseaux sans fil fait l'objet d'une grande attention en raison de la nature même de ces réseaux. Les données sont transférées sans fil utilisant des ondes radio, généralement à l'aide d'antennes omnidirectionnelles. Ainsi, tout le monde entend les données - non seulement la personne à qui elles sont destinées, mais aussi le voisin vivant derrière le mur ou la « personne intéressée » séjournant avec un ordinateur portable sous la fenêtre. Bien entendu, les distances sur lesquelles fonctionnent les réseaux sans fil (sans amplificateurs ni antennes directives) sont faibles - environ 100 mètres dans des conditions idéales. Les murs, arbres et autres obstacles atténuent considérablement le signal, mais cela ne résout toujours pas le problème.

Initialement, seul le SSID (nom du réseau) était utilisé pour la protection. Mais, d'une manière générale, cette méthode peut être qualifiée de protection à grande échelle - le SSID est transmis en texte clair et personne n'empêche un attaquant de l'écouter puis de le remplacer par celui souhaité dans ses paramètres. Sans oublier que (cela s'applique aux points d'accès) le mode de diffusion du SSID peut être activé, c'est-à-dire il sera diffusé de force à tous ceux qui l'écoutent.

Il était donc nécessaire de chiffrer les données. La première norme de ce type était WEP - Wired Equivalent Privacy. Le chiffrement s'effectue à l'aide d'une clé de 40 ou 104 bits (cryptage de flux utilisant l'algorithme RC4 sur une clé statique). Et la clé elle-même est un ensemble de caractères ASCII d'une longueur de 5 (pour une clé de 40 bits) ou 13 (pour une clé de 104 bits). L'ensemble de ces caractères est traduit en une séquence de chiffres hexadécimaux, qui constituent la clé. Les pilotes de nombreux fabricants vous permettent de saisir directement au lieu d'un jeu de caractères ASCII valeurs hexadécimales(même longueur). Veuillez noter que les algorithmes de conversion des séquences de caractères ASCII en valeurs de clé hexadécimales peuvent varier d'un fabricant à l'autre. Par conséquent, si le réseau utilise des équipements sans fil hétérogènes et que la configuration échoue Encryption WEP en utilisant une phrase clé ASCII, essayez plutôt de saisir la clé en notation hexadécimale.

Mais qu’en est-il des déclarations des fabricants concernant la prise en charge du cryptage 64 et 128 bits, demandez-vous ? C'est vrai, le marketing joue ici un rôle - 64 est supérieur à 40 et 128 est 104. En réalité, le cryptage des données s'effectue à l'aide d'une longueur de clé de 40 ou 104. Mais en plus de la phrase ASCII (composant statique de la clé), il existe également un vecteur d'initialisation - IV - vecteur d'initialisation. Il sert à randomiser le reste de la clé. Le vecteur est sélectionné de manière aléatoire et change dynamiquement pendant le fonctionnement. En principe, c'est une solution raisonnable, puisqu'elle permet d'introduire un composant aléatoire dans la clé. La longueur du vecteur est de 24 bits, donc la longueur totale de la clé est de 64 (40+24) ou 128 (104+24) bits.

Tout irait bien, mais l'algorithme de cryptage utilisé (RC4) n'est actuellement pas particulièrement puissant - si vous le souhaitez vraiment, vous pouvez trouver une clé par force brute en un temps relativement court. Mais néanmoins, la principale vulnérabilité du WEP est précisément associée au vecteur d'initialisation. Le IV ne fait que 24 bits. Cela nous donne environ 16 millions de combinaisons, soit 16 millions de vecteurs différents. Même si le chiffre de « 16 millions » semble assez impressionnant, tout dans le monde est relatif. DANS vrai travail toutes les options de clé possibles seront utilisées dans un délai de dix minutes à plusieurs heures (pour une clé de 40 bits). Après cela, les vecteurs commenceront à se répéter. Il suffit à un attaquant de collecter un nombre suffisant de paquets en écoutant simplement le trafic du réseau sans fil et de trouver ces répétitions. Après cela, la sélection du composant statique de la clé (phrase ASCII) ne prend pas beaucoup de temps.

Mais ce n'est pas tout. Il existe des vecteurs d'initialisation dits « instables ». L'utilisation de tels vecteurs dans une clé permet à un attaquant de commencer presque immédiatement à sélectionner la partie statique de la clé, plutôt que d'attendre plusieurs heures, accumulant passivement le trafic réseau. De nombreux fabricants intègrent dans le logiciel (ou le matériel des appareils sans fil) une vérification de ces vecteurs, et si des vecteurs similaires sont trouvés, ils sont ignorés en silence, c'est-à-dire ne participez pas au processus de cryptage. Malheureusement, tous les appareils ne disposent pas de cette fonction.

Actuellement, certains fabricants équipement sans fil proposent des « versions étendues » de l'algorithme WEP - ils utilisent des clés plus longues que 128 (plus précisément 104) bits. Mais dans ces algorithmes, seule la composante statique de la clé est augmentée. La longueur du vecteur d'initialisation reste la même, avec toutes les conséquences qui en découlent (en d'autres termes, on ne fait qu'augmenter le temps de sélection d'une clé statique). Il va sans dire que les algorithmes WEP avec des longueurs de clé étendues peuvent ne pas être compatibles entre différents fabricants.

M'as-tu bien fait peur ? ;-)

Malheureusement, lorsque vous utilisez le protocole 802.11b, vous ne pouvez pas sélectionner autre chose que WEP. Plus précisément, certains fabricants (minoritaires) proposent diverses implémentations du cryptage WPA (en utilisant des méthodes logicielles), qui est beaucoup plus stable que le WEP. Mais ces « patchs » sont incompatibles même au sein des équipements d’un même constructeur. En général, lorsque vous utilisez un équipement 802.11b, il n'existe que trois façons de chiffrer votre trafic :

• 1. En utilisant WEP avec une longueur de clé maximale (128 bits ou plus), si l'équipement prend en charge le changement cyclique des clés de la liste (jusqu'à quatre clés dans la liste), il est conseillé d'activer ce changement.
• 2. Utilisation de la norme 802.1x
• 3. Utiliser un tiers logiciel pour organiser des tunnels VPN (flux de données cryptés) sur un réseau sans fil. Pour cela, installez sur l'une des machines serveur VPN(généralement avec support pptp), sur d'autres - les clients VPN sont configurés. Ce sujet nécessite un examen séparé et dépasse le cadre de cet article.

802.1x utilise plusieurs protocoles pour son travail :

• EAP (Extensible Authentication Protocol) - protocole d'authentification étendue des utilisateurs ou des appareils distants ;
• TLS (Transport Layer Security) est un protocole de sécurité de la couche transport, il assure l'intégrité de la transmission des données entre le serveur et le client, ainsi que leur authentification mutuelle ;
• RADIUS (Remote Authentication Dial-In User Server) - serveur d'authentification pour les clients distants. Il fournit l'authentification des utilisateurs.

Le protocole 802.1x assure l'authentification des clients distants et leur fournit des clés temporaires pour chiffrer les données. Les clés (sous forme cryptée) sont envoyées au client pendant une courte période, après quoi une nouvelle clé est générée et envoyée. L'algorithme de cryptage n'a pas changé - le même RC4, mais la rotation fréquente des clés le rend très difficile à déchiffrer. Ce protocole est pris en charge uniquement dans les systèmes d'exploitation (de Microsoft) Windows XP. Son gros inconvénient (pour utilisateur final), c'est que le protocole nécessite un serveur RADIUS, qui n'existera probablement pas sur votre réseau domestique.

Les appareils prenant en charge la norme 802.11g prennent en charge l'algorithme de cryptage amélioré WPA - Wi-Fi Protected Access. Dans l'ensemble, il s'agit d'une norme temporaire conçue pour remplir le créneau de la sécurité jusqu'à l'arrivée du protocole IEEE 802.11i (appelé WPA2). WPA inclut 802.1X, EAP, TKIP et MIC.

Parmi les protocoles non examinés, TKIP et MIC apparaissent ici :

• TKIP (Temporal Key Integrity Protocol) est la mise en œuvre de clés de cryptage dynamiques. De plus, chaque appareil du réseau reçoit également sa propre clé principale (qui change également de temps en temps). Les clés de cryptage ont une longueur de 128 bits et sont générées à l'aide d'un algorithme complexe, et le nombre total d'options de clé possibles atteint des centaines de milliards, et elles changent très souvent. Toutefois, l’algorithme de chiffrement utilisé est toujours RC4.
• MIC (Message Integrity Check) est un protocole de vérification de l'intégrité des paquets. Le protocole vous permet de supprimer les paquets qui ont été « insérés » dans le canal par un tiers, c'est-à-dire ne provient pas d'un expéditeur valide.

Le grand nombre d'avantages du protocole TKIP ne couvre pas son principal inconvénient : l'algorithme RC4 utilisé pour le cryptage. Bien qu’aucun cas de piratage WPA basé sur TKIP n’ait été signalé pour l’instant, qui sait ce que l’avenir nous réserve ? Par conséquent, l'utilisation de la norme AES (Advanced Encryption Standard), qui remplace TKIP, devient de plus en plus populaire. À propos, dans la future norme WPA2, il sera obligatoire d'utiliser AES pour le cryptage.

Quelles conclusions peut-on en tirer ?

• s'il n'y a que des appareils 802.11g sur le réseau, il est préférable d'utiliser le cryptage basé sur WPA ;
• si possible (si pris en charge par tous les appareils), activez le cryptage AES ;

Passons à la configuration directe du cryptage sur les appareils. J'utilise les mêmes adaptateurs sans fil que dans l'article précédent :

L'adaptateur Cardbus Asus WL-100g est installé sur l'ordinateur portable. Interface de gestion de carte - utilitaire d'ASUS (ASUS WLAN Centre de contrôle).

Adaptateur externe avec interface USB ASUS WL-140. L'adaptateur est contrôlé via l'interface intégrée à Windows XP (Zero Wireless Configuration). Cette carte est 802.11b, elle ne prend donc pas en charge WPA.

Carte d'interface PCI Asus WL-130g. L'interface de contrôle est implémentée par (le fabricant du chipset de cette carte PCI).

Centre de contrôle ASUS WLAN - ASUS WL-100g

Commençons par configurer le cryptage dans l'interface de gestion ASUS WLAN Control Center. Tous les paramètres sont concentrés dans la section Chiffrement. Tout d’abord, sélectionnez le type d’authentification ( Authentification réseau), nous disposons de trois types : système ouvert, clé partagée et WPA.

1. Cryptage WEP.

Les types de système ouvert/clé partagée sont des sous-ensembles de l'algorithme d'authentification intégré au WEP. Le mode Système ouvert n’est pas sécurisé et il est fortement déconseillé de l’activer lorsque la clé partagée peut être activée. Cela est dû au fait qu'en mode Système Ouvert, pour accéder à un réseau sans fil (association avec une autre station ou point d'accès), il suffit de connaître uniquement SSID du réseau, et en mode Clé partagée, vous devez également définir une clé de cryptage WEP commune à l'ensemble du réseau.

Ensuite, sélectionnez Chiffrement - WEP, taille de clé - 128 bits (il est préférable de ne pas utiliser du tout de clé de 64 bits). Nous sélectionnons le format de clé, HEX (saisie de la clé sous forme hexadécimale) ou générons une clé à partir d'une séquence ASCII (n'oubliez pas que les algorithmes de génération peuvent différer selon les fabricants). Nous tenons également compte du fait que la ou les clés WEP doivent être les mêmes sur tous les appareils du même réseau. Vous pouvez saisir jusqu'à quatre clés au total. Le dernier élément consiste à sélectionner quelle clé sera utilisée (clé par défaut). Dans ce cas, il existe un autre moyen : commencer à utiliser les quatre clés de manière séquentielle, ce qui augmente la sécurité. (compatibilité uniquement pour les appareils du même fabricant).

2. Cryptage WPA.

S'il est pris en charge sur tous les appareils (généralement les appareils 802.11g), il est fortement recommandé d'utiliser ce mode au lieu du WEP obsolète et vulnérable.

Généralement appareils sans fil prend en charge deux modes WPA :

• WPA standard. Il ne nous convient pas, car il nécessite un serveur RADIUS sur le réseau (et il ne fonctionne qu'en conjonction avec un point d'accès).
• WPA-PSK - WPA avec prise en charge des clés pré-partagées (clés prédéfinies). Et c'est ce dont nous avons besoin - la clé (la même pour tous les appareils) est définie manuellement sur tous les adaptateurs sans fil et l'authentification primaire des stations est effectuée via elle.

Vous pouvez sélectionner TKIP ou AES comme algorithmes de chiffrement. Ce dernier n'est pas implémenté sur tous les clients sans fil, mais s'il est pris en charge par toutes les stations, alors il vaut mieux s'y tenir. Réseau sans fil La clé est la même clé générale pré-partagée. Il est conseillé de l'allonger et de ne pas utiliser un mot du dictionnaire ou un ensemble de mots. Idéalement, cela devrait être une sorte de charabia.

Après avoir cliqué sur le bouton Appliquer (ou Ok), paramètres spécifiés sera appliqué à carte sans fil. À ce stade, la procédure de configuration du cryptage peut être considérée comme terminée.

Interface de contrôle implémentée par Ralink - Asus WL-130g

La configuration n'est pas très différente de l'interface déjà évoquée d'ASUS WLAN CC. Dans la fenêtre d'interface qui s'ouvre, allez dans l'onglet Profil, sélectionnez le profil souhaité et cliquez sur Modifier.

1. Cryptage WEP.

Le cryptage est configuré dans l'onglet Authentification et sécurité. Si le cryptage WEP est activé, sélectionnez Partagé dans Type d'identification(c'est-à-dire clé partagée).

Sélectionnez le type de cryptage - WEP et saisissez jusqu'à quatre clés ASCII ou hexadécimales. La longueur de la clé ne peut pas être définie dans l'interface, une clé de 128 bits est immédiatement utilisée.

2. Cryptage WPA.

Si dans Type d'identification sélectionnez WPA-Aucun, nous activerons ensuite le cryptage par clé partagée WPA. Sélectionnez le type de cryptage ( Chiffrement) TKIP ou AES et entrez la clé partagée ( Clé pré-partagée WPA).

Ceci termine la configuration du cryptage dans cette interface. Pour enregistrer les paramètres dans votre profil, cliquez simplement sur le bouton D'accord.

Configuration sans fil zéro (interface intégrée Windows) - ASUS WL-140

ASUS WL-140 est une carte 802.11b, elle ne prend donc en charge que le cryptage WEP.

1. Cryptage WEP.

Dans les paramètres adaptateur sans fil aller au favori Réseau sans fil. Ensuite, sélectionnez notre réseau sans fil et appuyez sur le bouton Régler.

Dans la fenêtre qui apparaît, activez Cryptage des données. Nous activons également Authentification réseau, la désactivation de cet élément activera l'authentification de type « Système ouvert », c'est-à-dire tout client pourra se connecter au réseau connaissant son SSID.

Saisissez la clé réseau (et répétez-la dans le champ suivant). On vérifie son index (numéro ordinal), généralement il est égal à un (c'est-à-dire la première clé). Le numéro de clé doit être le même sur tous les appareils.

Clé ( mot de passe réseau), comme nous l'indique le système d'exploitation, doit contenir 5 ou 13 caractères ou être saisi entièrement en hexadécimal. Encore une fois, veuillez noter que l'algorithme de conversion d'une clé symbolique en hexadécimal peut différer entre Microsoft et les fabricants de leurs propres interfaces de gestion des adaptateurs sans fil, il serait donc plus fiable de saisir la clé en hexadécimal (c'est-à-dire des nombres de 0 à 9 et lettres de A à F).

Il y a aussi un drapeau dans l'interface responsable de Fourniture automatique des clés, mais je ne sais pas exactement où cela fonctionnera. La section d'aide indique que la clé peut être câblée à l'adaptateur sans fil par son fabricant. En général, il vaut mieux ne pas activer cette fonctionnalité.

À ce stade, la configuration du chiffrement pour l’adaptateur 802.11b peut être considérée comme terminée.

À propos, à propos de l'aide intégrée au système d'exploitation. La plupart de ce qui est dit ici et bien d’autres peuvent être trouvés dans Centre d'aide et de support, qui dispose d'un bon système d'aide, il vous suffit de saisir mots clés et cliquez sur la flèche de recherche verte.

2. Cryptage WPA.

Après avoir examiné les paramètres de cryptage à l'aide de l'exemple de l'adaptateur 802.11b ASUS WL-140, nous n'avons pas abordé les paramètres WPA sous Windows, car la carte ne prend pas en charge ce mode. Considérons cet aspect en utilisant l'exemple d'un autre adaptateur - ASUS WL-100g. La possibilité de configurer WPA sous Windows XP apparaît avec l'installation du Service Pack version 2 (ou des mises à jour correspondantes situées sur le site de Microsoft).

Le Service Pack 2 étend considérablement les fonctionnalités et la commodité des paramètres de réseau sans fil. Bien que les éléments du menu principal n'aient pas changé, de nouveaux ont été ajoutés.

Le cryptage est configuré de manière standard : sélectionnez d'abord l'icône de l'adaptateur sans fil, puis appuyez sur le bouton Propriétés.

Aller au favori Réseau sans fil et choisissez quel réseau nous allons configurer (généralement il n'y en a qu'un seul). Cliquez sur Propriétés.

Dans la fenêtre qui apparaît, sélectionnez WPA-Aucun, c'est-à-dire WPA avec clés pré-partagées (si vous sélectionnez Compatible, nous activerons ensuite le mode de configuration du cryptage WEP, qui a déjà été décrit ci-dessus).

Sélectionnez AES ou TKIP (si tous les appareils du réseau prennent en charge AES, alors il est préférable de le sélectionner) et saisissez deux fois la clé WPA (la seconde dans le champ de confirmation). De préférence quelque chose de long et difficile à maîtriser.

Après avoir cliqué sur D'accord la configuration du cryptage WPA peut également être considérée comme terminée.

En conclusion, quelques mots sur l'assistant de configuration du réseau sans fil apparu avec le Service Pack 2.

Dans les propriétés Adaptateur de réseau sélectionner un bouton Réseau sans fil.

Dans la fenêtre qui apparaît, cliquez sur Configurer un réseau sans fil.

Ici, ils nous disent où nous sommes arrivés. Cliquez sur Plus loin.

Choisir Configurer un réseau sans fil. (Si vous sélectionnez Ajouter, vous pouvez alors créer des profils pour d'autres ordinateurs sur le même réseau sans fil).

Dans la fenêtre qui apparaît, définissez le SSID du réseau, activez si possible le cryptage WPA et sélectionnez la méthode de saisie de la clé. La génération peut être fournie système opérateur ou entrez les clés manuellement. Si le premier est sélectionné, une fenêtre apparaîtra vous demandant d'entrer la bonne clé(ou clés).

• Dans un fichier texte, pour une saisie manuelle ultérieure sur d'autres machines.
• Enregistrer un profil sur une clé USB pour saisie automatique sur d'autres machines avec Windows XP avec Service Pack version 2 intégré.

Si le mode d'économie Flash est sélectionné, dans la fenêtre suivante, vous serez invité à insérer un support Flash et à le sélectionner dans le menu.

Si la sauvegarde manuelle des paramètres a été sélectionnée, après avoir appuyé sur le bouton Taper…

... sera retiré fichier texte avec les paramètres réseau configurés. Veuillez noter que des clés aléatoires et longues (c'est-à-dire bonnes) sont générées, mais TKIP est utilisé comme algorithme de cryptage. L'algorithme AES peut ensuite être activé manuellement dans les paramètres, comme décrit ci-dessus.

Total

Nous avons terminé la configuration du cryptage sur tous les adaptateurs sans fil. Vous pouvez désormais vérifier si les ordinateurs peuvent se voir. Comment procéder a été décrit dans la deuxième partie de la série « Réseaux à faire soi-même » (nous procédons de la même manière que lorsque le cryptage n'était pas activé sur le réseau).

Si nous sommes en difficulté et que tous les ordinateurs ne se voient pas, alors nous vérifions les paramètres généraux des adaptateurs :

• L'algorithme d'authentification doit être le même pour tout le monde (Shared Keys ou WPA) ;
• L'algorithme de cryptage doit être le même pour tout le monde (WEP-128bit, WPA-TKIP ou WPA-AES) ;
• La longueur de la clé (dans le cas du cryptage WEP) doit être la même pour toutes les stations du réseau (la longueur habituelle est de 128 bits) ;
• La clé elle-même doit être la même dans toutes les stations du réseau. Si WEP est utilisé, une raison possible est l'utilisation d'une clé ASCII et le réseau utilise des équipements hétérogènes (de différents fabricants). Essayez de saisir la clé en notation hexadécimale.