Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

Стандарт Wi Fi розроблений на основі IEEE 802 11 З точки зору безпеки слід враховувати середовище передачі сигналу в без

Захист в Wi-Fi мережах

Захист в Wi-Fi мережах

Стандарт Wi-Fi розроблений на основі IEEE 802.11. З точки зору безпеки, слід враховувати середовище передачі сигналу, в бездротових мережах отримати доступ до переданої інформації набагато простіше, ніж у провідних мережах. Досить помістити антену в зоні дії.

Організація Wi-Fi мереж

Існує два основних варіанти устрою бездротової мережі:

  • Ad-hoc - передача безпосередньо між пристроями;
  • Hot-spot - передача здійснюється через точку доступу.

В Hot-spot мережах присутня точка доступу, за допомогою якої відбувається не тільки взаємодія всередині мережі, але й доступ до зовнішніх мереж. З погляду захисту інформації Hot-spot має більше значення, бо зламавши точку доступу, зловмисник може отримати інформацію не тільки зі станцій, розміщених у цій бездротовій мережі.

Методи обмеження доступу

Фільтрація MAC-адреси

Цей спосіб не входить до стандарту IEEE 802.11. Фільтрацію можна здійснювати такими трьома способами:

  • Точка доступу дозволяє отримати доступ станціям з будь-якою MAC-адресою;
  • Точка доступу дозволяє отримати доступ тільки станціям, чиї MAC-адреси є в довіреному списку;
  • Точка доступу забороняє доступ станціям, чиї MAC-адреси є в "чорному списку";

Найнадійнішим з погляду безпеки є другий спосіб, хоча він не розрахований на підміну MAC-адреси, що легко здійснити зловмисникові.

Режим прихованого ідентифікатора SSID (англ. Service Set IDentifier)

Для свого виявлення точка доступу розсилає кадри-маячки (англ. beacon frames). Кожен такий кадр містить службову інформацію для підключення і, зокрема, присутній SSID (ідентифікатор бездротової мережі). У разі прихованого SSID це поле порожнє, тобто виявлення бездротової мережі є неможливим і не можна до неї підключитися, не знаючи значення SSID. Але всі станції в мережі, які підключені до точки доступу, знають SSID і під час підключення, коли розсилають Probe Request запити, вказують ідентифікатори мереж, наявні в їх профілях підключень. Прослуховуючи робочий трафік, з легкістю можна отримати значення SSID, необхідне для підключення до бажаної точки доступу.

Методи автентифікації

Автентифікація - видача певних прав доступу абоненту на основі наявного в нього ідентифікатора.

IEEE 802.11 передбачає два методи автентифікації:

  • Відкрита автентифікація (англ. Open Authentication):

Робоча станція робить запит автентифікації, у якому присутня тільки MAC-адреса клієнта. Точка доступу відповідає або відмовою, або підтвердженням автентифікації. Рішення ухвалює на основі MAC-фільтрації, тобто це захист на основі обмеження доступу, що не є безпечним.

  • Автентифікація із загальним ключем (англ. Shared Key Authentication):

Необхідно налаштувати статичний ключ шифрування алгоритму WEP (англ. Wired Equivalent Privacy). Клієнт робить запит у точки доступу на автентифікацію, на що отримує підтвердження, яке містить 128 байт випадкової інформації. Станція шифрує отримані дані алгоритмом WEP (виконується побітове додавання з модулем 2 даних повідомлення з послідовністю ключа) і надсилає зашифрований текст разом із запитом на асоціацію. Точка доступу розшифровує текст і порівнює з початковими даними. У разі збігу надсилає підтвердження асоціації, і клієнт вважається підключеним до мережі. Схема автентифікації із загальним ключем вразлива до атак «Man in the middle». Алгоритм шифрування WEP — це проста XOR-послідовність з корисною інформацією, отже, прослухавши трафік між станцією і точкою доступу, можна відновити частину ключа. IEEE почав розробки нового стандарту IEEE 802.11i, але через труднощі затвердження, організація WECA (англ. Wi-Fi Alliance) спільно з IEEE анонсували стандарт WPA (англ. Wi-Fi Protected Access). У WPA використовується TKIP (англ. Temporal Key Integrity Protocol, протокол перевірки цілісності ключа), який використовує вдосконалений спосіб керування ключами та покадрову зміну ключа.

WPA також використовує два способи автентифікації:

  • Автентифікація за допомогою наданого ключа WPA-PSK (англ. Pre-Shared Key) (Enterprise Autentification);
  • Автентифікація за допомогою RADIUS-сервера (англ. Remote Access Dial-in User Service)

Методи шифрування

  • WEP-шифрування (англ. Wired Equivalent Privacy):

Аналог шифрування трафіку в провідних мережах. Використовується симетричний потоковий шифр RC4 (англ. Rivest Cipher 4), який досить швидко функціонує. На сьогоднішній день WEP і RC4 не вважаються криптостійкими.

Є два основних протоколи WEP:

40-бітний WEP (довжина ключа 64 біта, 24 з яких — це вектор ініціалізації, який передається відкритим текстом);
104-бітний WEP (довжина ключа 128 біт, 24 з яких — це теж вектор ініціалізації); Вектор ініціалізації використовується алгоритмом RC4. Збільшення довжини ключа не призводить до збільшення надійності алгоритму.

  • TKIP-шифрування (англ. Temporal Key Integrity Protocol):

Використовується той же симетричний потоковий шифр RC4, але є більш криптостійким. Вектор ініціалізації становить 48 біт. Враховані основні атаки на WEP. Використовується протокол Message Integrity Check для перевірки цілісності повідомлень, який блокує станцію на 60 секунд, якщо послані протягом 60 секунд два повідомлення не пройшли перевірку цілісності. З урахуванням всіх доопрацювань і удосконалень TKIP все одно не вважається криптостійким.

  • CKIP-шифрування (англ. Cisco Key Integrity Protocol):

Має подібності з протоколом TKIP. Створений компанією Cisco. Використовується протокол CMIC (англ. Cisco Message Integrity Check) для перевірки цілісності повідомлень.

  • WPA-шифрування:

Замість уразливого RC4, використовується криптостійкий алгоритм шифрування AES (англ. Advanced Encryption Standard). Можливе використання EAP (англ. Extensible Authentication Protocol, розширюваний протокол автентифікації).

Є два режими:

Pre-Shared Key (WPA-PSK) - кожен вузол вводить пароль для доступу до мережі;
Enterprise - перевірка здійснюється серверами RADIUS;

  • WPA2-шифрування (IEEE 802.11i):

Прийнятий у 2004 році, з 2006 року WPA2 повинна підтримувати все вироблене Wi-Fi обладнання. В даному протоколі застосовується RSN (англ. Robust Security Network, мережа з підвищеною безпекою). Спочатку в WPA2 використовувався протокол CCMP (англ. Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, протокол блочного шифрування з кодом автентичності повідомлення і режимом зчеплення блоків і лічильника). Основою є алгоритм AES. Для сумісності зі старим обладнанням є підтримка TKIP і EAP (англ. Extensible Authentication Protocol) з деякими його доповненнями. Як і в WPA є два режими роботи: Pre-Shared Key і Enterprise.

Див. також

Література

  • Stewart S. Miller, Wi-fi Security, 2003
  • Гордейчик С. В., Дубровин В. В., Безопасность беспроводных сетей. Горячая линия — Телеком, 2008
  • Вишневский В. М., Ляхов А. И., Портной С. Л., Шахнович И. Л., Широкополосные беспроводные сети передачи информации. М.: Техносфера, 2005
  • 802,11i-2004 — IEEE Standard for Local and Metropolitan Area Networks — Specific requirements — Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: Amendment 6: Medium Access Control (MAC) Security Enhancements, 2004

Посилання

  • Безопасный Wi-Fi в общественных местах [ 26 липня 2019 у Wayback Machine.]
  • Идентификация пользователей по Wi-Fi [ 14 лютого 2016 у Wayback Machine.]
  • Видео описывающее технологию работы Wi-Fi + пример взлома и защиты [ 18 травня 2019 у Wayback Machine.]


Цю статтю треба для відповідності Вікіпедії. Будь ласка, допоможіть додаванням доречних внутрішніх посилань або . (грудень 2013)
image Це незавершена стаття з інформаційної безпеки.
Ви можете проєкту, виправивши або дописавши її.

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

Standart Wi Fi rozroblenij na osnovi IEEE 802 11 Z tochki zoru bezpeki slid vrahovuvati seredovishe peredachi signalu v bezdrotovih merezhah otrimati dostup do peredanoyi informaciyi nabagato prostishe nizh u providnih merezhah Dosit pomistiti antenu v zoni diyi Organizaciya Wi Fi merezhIsnuye dva osnovnih varianti ustroyu bezdrotovoyi merezhi Ad hoc peredacha bezposeredno mizh pristroyami Hot spot peredacha zdijsnyuyetsya cherez tochku dostupu V Hot spot merezhah prisutnya tochka dostupu za dopomogoyu yakoyi vidbuvayetsya ne tilki vzayemodiya vseredini merezhi ale j dostup do zovnishnih merezh Z poglyadu zahistu informaciyi Hot spot maye bilshe znachennya bo zlamavshi tochku dostupu zlovmisnik mozhe otrimati informaciyu ne tilki zi stancij rozmishenih u cij bezdrotovij merezhi Metodi obmezhennya dostupuFiltraciya MAC adresiCej sposib ne vhodit do standartu IEEE 802 11 Filtraciyu mozhna zdijsnyuvati takimi troma sposobami Tochka dostupu dozvolyaye otrimati dostup stanciyam z bud yakoyu MAC adresoyu Tochka dostupu dozvolyaye otrimati dostup tilki stanciyam chiyi MAC adresi ye v dovirenomu spisku Tochka dostupu zaboronyaye dostup stanciyam chiyi MAC adresi ye v chornomu spisku Najnadijnishim z poglyadu bezpeki ye drugij sposib hocha vin ne rozrahovanij na pidminu MAC adresi sho legko zdijsniti zlovmisnikovi Rezhim prihovanogo identifikatora SSID angl Service Set IDentifier Dlya svogo viyavlennya tochka dostupu rozsilaye kadri mayachki angl beacon frames Kozhen takij kadr mistit sluzhbovu informaciyu dlya pidklyuchennya i zokrema prisutnij SSID identifikator bezdrotovoyi merezhi U razi prihovanogo SSID ce pole porozhnye tobto viyavlennya bezdrotovoyi merezhi ye nemozhlivim i ne mozhna do neyi pidklyuchitisya ne znayuchi znachennya SSID Ale vsi stanciyi v merezhi yaki pidklyucheni do tochki dostupu znayut SSID i pid chas pidklyuchennya koli rozsilayut Probe Request zapiti vkazuyut identifikatori merezh nayavni v yih profilyah pidklyuchen Prosluhovuyuchi robochij trafik z legkistyu mozhna otrimati znachennya SSID neobhidne dlya pidklyuchennya do bazhanoyi tochki dostupu Metodi avtentifikaciyiAvtentifikaciya vidacha pevnih prav dostupu abonentu na osnovi nayavnogo v nogo identifikatora IEEE 802 11 peredbachaye dva metodi avtentifikaciyi Vidkrita avtentifikaciya angl Open Authentication Robocha stanciya robit zapit avtentifikaciyi u yakomu prisutnya tilki MAC adresa kliyenta Tochka dostupu vidpovidaye abo vidmovoyu abo pidtverdzhennyam avtentifikaciyi Rishennya uhvalyuye na osnovi MAC filtraciyi tobto ce zahist na osnovi obmezhennya dostupu sho ne ye bezpechnim Avtentifikaciya iz zagalnim klyuchem angl Shared Key Authentication Neobhidno nalashtuvati statichnij klyuch shifruvannya algoritmu WEP angl Wired Equivalent Privacy Kliyent robit zapit u tochki dostupu na avtentifikaciyu na sho otrimuye pidtverdzhennya yake mistit 128 bajt vipadkovoyi informaciyi Stanciya shifruye otrimani dani algoritmom WEP vikonuyetsya pobitove dodavannya z modulem 2 danih povidomlennya z poslidovnistyu klyucha i nadsilaye zashifrovanij tekst razom iz zapitom na asociaciyu Tochka dostupu rozshifrovuye tekst i porivnyuye z pochatkovimi danimi U razi zbigu nadsilaye pidtverdzhennya asociaciyi i kliyent vvazhayetsya pidklyuchenim do merezhi Shema avtentifikaciyi iz zagalnim klyuchem vrazliva do atak Man in the middle Algoritm shifruvannya WEP ce prosta XOR poslidovnist z korisnoyu informaciyeyu otzhe prosluhavshi trafik mizh stanciyeyu i tochkoyu dostupu mozhna vidnoviti chastinu klyucha IEEE pochav rozrobki novogo standartu IEEE 802 11i ale cherez trudnoshi zatverdzhennya organizaciya WECA angl Wi Fi Alliance spilno z IEEE anonsuvali standart WPA angl Wi Fi Protected Access U WPA vikoristovuyetsya TKIP angl Temporal Key Integrity Protocol protokol perevirki cilisnosti klyucha yakij vikoristovuye vdoskonalenij sposib keruvannya klyuchami ta pokadrovu zminu klyucha WPA takozh vikoristovuye dva sposobi avtentifikaciyi Avtentifikaciya za dopomogoyu nadanogo klyucha WPA PSK angl Pre Shared Key Enterprise Autentification Avtentifikaciya za dopomogoyu RADIUS servera angl Remote Access Dial in User Service Metodi shifruvannyaWEP shifruvannya angl Wired Equivalent Privacy Analog shifruvannya trafiku v providnih merezhah Vikoristovuyetsya simetrichnij potokovij shifr RC4 angl Rivest Cipher 4 yakij dosit shvidko funkcionuye Na sogodnishnij den WEP i RC4 ne vvazhayutsya kriptostijkimi Ye dva osnovnih protokoli WEP 40 bitnij WEP dovzhina klyucha 64 bita 24 z yakih ce vektor inicializaciyi yakij peredayetsya vidkritim tekstom 104 bitnij WEP dovzhina klyucha 128 bit 24 z yakih ce tezh vektor inicializaciyi Vektor inicializaciyi vikoristovuyetsya algoritmom RC4 Zbilshennya dovzhini klyucha ne prizvodit do zbilshennya nadijnosti algoritmu TKIP shifruvannya angl Temporal Key Integrity Protocol Vikoristovuyetsya toj zhe simetrichnij potokovij shifr RC4 ale ye bilsh kriptostijkim Vektor inicializaciyi stanovit 48 bit Vrahovani osnovni ataki na WEP Vikoristovuyetsya protokol Message Integrity Check dlya perevirki cilisnosti povidomlen yakij blokuye stanciyu na 60 sekund yaksho poslani protyagom 60 sekund dva povidomlennya ne projshli perevirku cilisnosti Z urahuvannyam vsih doopracyuvan i udoskonalen TKIP vse odno ne vvazhayetsya kriptostijkim CKIP shifruvannya angl Cisco Key Integrity Protocol Maye podibnosti z protokolom TKIP Stvorenij kompaniyeyu Cisco Vikoristovuyetsya protokol CMIC angl Cisco Message Integrity Check dlya perevirki cilisnosti povidomlen WPA shifruvannya Zamist urazlivogo RC4 vikoristovuyetsya kriptostijkij algoritm shifruvannya AES angl Advanced Encryption Standard Mozhlive vikoristannya EAP angl Extensible Authentication Protocol rozshiryuvanij protokol avtentifikaciyi Ye dva rezhimi Pre Shared Key WPA PSK kozhen vuzol vvodit parol dlya dostupu do merezhi Enterprise perevirka zdijsnyuyetsya serverami RADIUS WPA2 shifruvannya IEEE 802 11i Prijnyatij u 2004 roci z 2006 roku WPA2 povinna pidtrimuvati vse viroblene Wi Fi obladnannya V danomu protokoli zastosovuyetsya RSN angl Robust Security Network merezha z pidvishenoyu bezpekoyu Spochatku v WPA2 vikoristovuvavsya protokol CCMP angl Counter Mode with Cipher Block Chaining Message Authentication Code Protocol protokol blochnogo shifruvannya z kodom avtentichnosti povidomlennya i rezhimom zcheplennya blokiv i lichilnika Osnovoyu ye algoritm AES Dlya sumisnosti zi starim obladnannyam ye pidtrimka TKIP i EAP angl Extensible Authentication Protocol z deyakimi jogo dopovnennyami Yak i v WPA ye dva rezhimi roboti Pre Shared Key i Enterprise Div takozhBezpeka merezhiLiteraturaStewart S Miller Wi fi Security 2003 Gordejchik S V Dubrovin V V Bezopasnost besprovodnyh setej Goryachaya liniya Telekom 2008 Vishnevskij V M Lyahov A I Portnoj S L Shahnovich I L Shirokopolosnye besprovodnye seti peredachi informacii M Tehnosfera 2005 802 11i 2004 IEEE Standard for Local and Metropolitan Area Networks Specific requirements Part 11 Wireless LAN Medium Access Control MAC and Physical Layer PHY specifications Amendment 6 Medium Access Control MAC Security Enhancements 2004PosilannyaBezopasnyj Wi Fi v obshestvennyh mestah 26 lipnya 2019 u Wayback Machine Identifikaciya polzovatelej po Wi Fi 14 lyutogo 2016 u Wayback Machine Video opisyvayushee tehnologiyu raboty Wi Fi primer vzloma i zashity 18 travnya 2019 u Wayback Machine Cyu stattyu treba vikifikuvati dlya vidpovidnosti standartam yakosti Vikipediyi Bud laska dopomozhit dodavannyam dorechnih vnutrishnih posilan abo vdoskonalennyam rozmitki statti gruden 2013 Ce nezavershena stattya z informacijnoyi bezpeki Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi

Дата публікації:
Топ