Как защитить Wi-Fi соединение

Защита Wi-Fi сети от других пользователей

Как защитить Wi-Fi соединение
Кулешов Вячеслав

Защита частной WiFi сети – это важнейший момент при создании домашней группы. Дело в том, что точка доступа имеет достаточно большой радиус действия, чем могут воспользоваться злоумышленники. Что делать чтобы это предотвратить? Как защитить частную беспроводную сеть от посягательств недобросовестных людей? Именно об этом и пойдет речь в данной статье.

Как защитить домашние сети WiFi

Прежде чем переходить к вопросу, как защитить частную домашнюю WiFi сеть, следует понять, как она работает. Итак, для организации домашней беспроводной сети, как правило, используется роутер, который выполняет функции точки доступа. Для того чтобы стать участником группы необходимо подключиться к нему.

Это говорит о том, что для защиты конфиденциальной информации необходимо закрыть доступ к роутеру посторонним людям. Как это делается? Здесь есть несколько пунктов:

  • Длинный и сложный пароль для входа в меню настроек роутера.
  • Надежный пароль для подключения к вай-фай сети.
  • Выбор безопасного типа шифрования.
  • Использование MAC-фильтра.
  • Настройки доступа в операционной системе.

Как видим настроек безопасности достаточно много. Это необходимо, так как от этого зависит защита конфиденциальности вай-фай сети. При этом большинство из них находятся в параметрах роутера.

Итак, давайте разберем все эти пункты по порядку.

Ключ для входа в меню параметров роутера

Так как практически все настройки безопасности устанавливаются в маршрутизаторе нам необходимо придумать сложный пароль для входа в систему параметров. Кроме этого, здесь используется логин, который также должен быть оригинальным и сложным. Как это сделать?

В первую очередь стоит отметить, что каждый роутер имеет различный интерфейс, но принцип работы у всех практически одинаков. Мы разберем, как поменять пароль для входа в систему маршрутизатора на примере модели D-LinkDIR-615.

Для начала подключаемся к роутеру по беспроводной связи или через кабель. После этого открываете какой-нибудь браузер и в адресной строке прописываете адрес вашего маршрутизатора. Он указан на нижней крышке устройства, а также в инструкции.

Как легко узнать IP адрес WiFi роутера:

В подавляющем большинстве это следующий адрес – 192.168.0.1 (также могут использоваться такие адреса – 192.168.1.1 или 192.168.2.1).

После ввода адреса система предложит ввести логин и пароль. Изначально указано admin, admin соответственно. Именно эти значения сейчас и нужно будет поменять, так как производитель использует небезопасный логин и ключ, для того, чтобы пользователь без труда смог войти в настройки и сменить данные на свое усмотрение.

После ввода нажимаем «Enter». Вот мы и попали в меню настроек роутера. Внизу экрана нужно нажать «Расширенные настройки». Появится несколько дополнительных разделов, среди которых нужно найти «Система» и в нем выбрать «Пароль администратора». Это и есть тот самый ключ, который нам нужно изменить.

В появившемся окне необходимо просто ввести новый пароль и подтвердить его. Далее, просто нажимаем «Применить». На этом процесс смены ключа завершен, и теперь защита домашней беспроводной WiFi сети стала выше.

Как узнать пароль от своего WiFi подключения в параметрах роутера:

Обратите внимание, что данная модель роутера не позволяет изменить логин администратора. Однако устройства от других производителей или даже просто других моделей позволяют установить любой логин для входа в систему.

Ключ сети вай-фай

Очень важный параметр, от которого зависит защита информации в сетях вай-фай – это пароль сети. Он предотвращает несанкционированное подключение злоумышленников к роутеру при помощи беспроводной связи. Именно поэтому ключ сети обязательно должен быть длинным и сложным.

При этом стоит отметить, что изначально на роутере вообще нет защиты вай-фай подключения. Другими словами, к устройству может подключиться каждый желающий, находящийся в зоне действия без ввода паролей.

Чтобы это исправить, нам нужно вернуться в меню настроек роутера. Теперь нас интересует раздел «WiFi», в котором нужно найти и открыть настройки безопасности. В открывшемся окне нам нужно будет выбрать тип шифрования (вид аутентификации). Это также важный параметр, который влияет на безопасность сети.

Итак, выбираем тип шифрования WPA-PSKWPA2-PSKmixed. Это рекомендуемый безопасный вид аутентификации, который обеспечивает наиболее надежную защиту. Ниже появится строка, в которой необходимо ввести ключ сети. Вводим придуманные значения. Рекомендуется использовать смесь латинских букв и цифр. Причем количество символов должно быть не менее 8-12.

MAC фильтр роутера

Каждое устройство, оснащенное сетевым адаптеров, компьютер, ноутбук, смартфон, планшет и так далее, имеет уникальный MAC адрес. Для того чтобы повысить защиту сети рекомендуется устанавливать фильтр таких адресов. Другими словами, в настройках маршрутизатора вы можете разрешить подключение только доверенным устройствам, указав их адреса.

Для этого снова входим в меню настроек роутера. В разделе «WiFi» находим MAC-фильтр и открываем его. В появившемся окне есть две вкладки:

  • Режим фильтра.
  • МАК-адреса.

Первое – это режим. Здесь можно выбрать один из трех вариантов:

  • Разрешать – указанным МАК-адресам будет разрешен доступ к сети. Все остальные не смогут подключиться к группе.
  • Запрещать – запрещает доступ к сети указанным адресам.
  • Отключить – режим фильтр отключен.

В первой вкладке выбираем соответствующий режим. А во второй вводим нужные МАК-адреса. Если вы выбрали режим «Разрешать», то необходимо вводить адреса только доверенных компьютеров. Если установлен режим «Запрещать», то вводить необходимо только адреса посторонних ПК.

Настройка доступа в ОС

Операционная система также имеет встроенные средства защиты данных. Для того чтобы повысить защиту, нам необходимо войти в центр управления сетями и общим доступом. Делается это при помощи нажатия правой кнопкой мышки по значку подключения в трее.

В открывшемся окне нужно открыть пункт «Изменение параметров общего доступа». Нам откроется меню, в котором можно настраивать доступ, включать или выключать обнаружение ПК в сети и многое другое.

В первую очередь необходимо включить доступ с парольной защитой. При этом система самостоятельно сгенерирует сложный пароль.

Запишите его, так как если в дальнейшем вы захотите предоставить доступ к каким-либо файлам он вам потребуется.

Для того чтобы настроить максимальную защиту системы, то следует отключить доступ во всех пунктах. Здесь нет ничего сложного, внимательно читайте подсказки на экране.

Итак, теперь вы знаете, как защитить частную WiFi сеть от злоумышленников. Теперь никто посторонний не сможет подключиться к вашей группе и нанести вред информации либо украсть важные данные.

Как определить, кто подключен к сети

С настройками безопасности мы разобрались. Теперь можно перейти к вопросу, как определить, кто подключится к моей домашней WiFi сети. Все очень просто. Роутер регистрирует МАК-адрес каждого участника группы.

Поэтому нам остается просто войти в настройки маршрутизатора и посмотреть статистику. Нас снова интересует раздел «WiFi», только теперь выбираем пункт «Станционный список».

Если используется роутер TP-LINK, то нужен раздел «Статистика».

В станционном списке отображаются МАК-адреса всех, кто в данный момент подключен к сети. Здесь можно разъединить то или иное соединение. Как мы уже знаем, каждый компьютер имеет уникальный МАК-адрес. Теперь вы знаете, как проверить, кто подключен к моей частной WiFi сети.

Чтобы узнать значение, которое использует компьютер достаточно войти в центр управления сетями. В центре появившегося экрана вы увидите ваше подключение.

В правой половине увидите раздел «Подключение или отключение», а немного ниже – тип доступа и подключения. Нажимаете на тип подключения и в появившемся меню выбираете «Сведения».

Здесь вы найдете строку «Физический адрес». Это и есть МАК-адрес вашего сетевого адаптера.

Как узнать кто пользуется моим WiFi:

Как защитить свою Wi-Fi сеть

Защита своей Wi-Fi сети

Контроль сети Wi-Fi

Как отключить пользователя от Wi-Fi

Как защитить wi-fi сеть

Блог→ Как защитить wi-fi сеть

На сегодняшний день доступом в Интернет обеспечено почти 65% населения России, причем большая часть граждан использует для этого подключения домашнюю сеть с точкой доступа на основе Wi-Fi роутера.

К сожалению, лишь немногие задумываются о том, что нельзя просто включить роутер в сеть и забыть о нем на годы, а нужно постараться максимально обезопасить собственную сеть вай-фай.

Сделать это следует не только для того, чтобы закрыть возможность подключения к личному Интернету, но и для снижения риска получения несанкционированного доступа к персональным данным. Как это сделать? Давайте поговорим об этом.

Основные настройки Вай-Фай сети, обеспечивающие ее защиту, осуществляются через веб-интерфейс роутера пользователя. Для того чтобы попасть в меню «Параметры» роутера, требуется лишь несколько простых шагов:

• Посмотрите на устройстве стандартный IP-адрес страницы администрирования и данные администраторской учетной записи. Обычно эти параметры указываются на нижней крышке устройства рядом с логотипом производителя.

• Откройте браузер, которым Вы пользуетесь.

• Введите в адресную строку IP роутера. В общих случаях, таким адресом является либо 192.168.0.1, либо 192.168.1.

1 Если ни адрес, указанный на самом роутере, ни стандартные адреса не позволяют открыть меню «Параметры», то выяснить IP-адрес устройства можно с помощью компьютера. Для этого кликните по кнопке «Пуск», затем – по меню «Командная строка».

Введите в появившемся окне команду ipconfig и найдите строку «Основной шлюз». Этот IP-адрес и является адресом вашего роутера.

• Заполните поля «Имя пользователя» и «Пароль». В общих случаях используется имя admin и пароль admin.

Рассмотрим, какие действия нужно произвести далее.

Внимание! Вся ниже расположенная инструкция основана на примере модели роутера ZyXEL Keenetic

Защита вай фай паролем

Данное правило безопасности довольно очевидно, и мы ни раз на страницах нашего блога рассказывали о требованиях к надежным паролям. Напомним о них лишь вкратце: используйте минимум 7 случайных символов, включая большие буквы, цифры и спецсимволы.

Помимо использования сложного пароля рекомендуем в поле «Сетевая аутентификация» выставить наиболее надежный вариант защиты, а именно WPA2-PSK.

Как защитить пароль WiFi от его взлома

Для того, чтобы используемый пароль к вай-фай сети не смогли взломать, требуются дополнительные настройки в веб-интерфейсе роутера

• Включите фильтрацию по МАК-адресам.

Это необходимо, в первую очередь, для того, чтобы никто, кроме Вас, не смог зайти в раздел администрирования роутера, в котором пароль вай-фай указывается в открытом виде.

Для точной настройки данного меню Вам потребуется узнать МАК-адреса тех устройств, которым будет разрешено подключаться к Wi-Fi сети. О том, как посмотреть MAC-адрес компьютера читайте здесь, а о том, как его сменить – тут. МАК-адрес смартфона можно посмотреть в разделе «О телефоне».

Как защитить вай фай от других пользователей (например, от соседей)

• Скройте имя точки доступа

Это настройка сильно усложняет взлом вай-фая злоумышленниками, а также не даст вашим соседям воспользоваться чужим доступом в Интернет. Если никто не знает, как именно называется ваша сеть Wi-Fi, то подключиться к ней или взломать ее методом первичного подключения будет просто невозможно.

Как видно на самом первом скриншоте данной статьи, для выполнения данного пункта защиты требуется всего лишь поставить одну галочку. Называться она может по-разному, в нашем случае, это «Скрывать SSID».

Обеспечьте защиту wifi роутера

• Отключите WPS

Технология WPS позволяет любому устройству подключаться к сети вай-фай без ввода пароля – требуется лишь кратковременно нажать на роутере одноименную кнопку или активировать эту настройку в разделе «Администрирования». К сожалению, уже не раз такая, на первый взгляд удобная функция, скомпрометировала себя – именно через эту «дыру безопасности» наиболее легко получить доступ к главному меню роутера.

В нашей модели сетевого адаптера данная функция отключается простым снятием галочки на разделе «Включить точку доступа».

• Смените пароли на вход в раздел «Администрирования»

Можно полностью скрыть использование сети, можно задать на вай-фай самый сложный пароль в мире, но если Вы забудете сменить стандартную связку имени-пароля на вход в роутер, то все произведенные настройки безопасности станут бессмысленными. Не пренебрегайте этой рекомендацией, и после настройки беспроводного доступа в Интернет смените учетные данные администратора.

Что еще можно сделать для защиты ВайФая

• Настройте гостевую сеть

Если сетью вай-фай Вы пользуетесь не только для того, чтобы выйти со смартфона или ноутбука в сеть в Интернет, но и организовали домашнюю сеть с общими ресурсами мультимедии, то одной из рекомендаций безопасности для Вас является создание изолированного сегмента виртуальной сети.

Такая сеть разрешает любым устройствам подключаться к Wi-Fi по гостевому паролю, который, в отличие от основного пароля, можно делать простым и легко запоминающимся.

Гостевая сеть выдает возможность пользоваться только ограниченным соединением с Интернетом, а другие элементы домашней группы являются для гостевых участников недоступными.

Еще одним удобным свойством гостевой сети является возможность ее выключения без отключения главного доступа к Wi-Fi.

Выполнив все пункты, перечисленные выше, Вы максимально обезопасите собственную сеть вай-фай, и Вам для этого не понадобятся сторонние программы для защиты. Тем не менее отметим, что такие программы существуют.

В основном они проверяют уже используемую Вами вай-фай сеть на соответствие безопасности, при чем все пункты проверки совпадают с перечисленными нами выше. Исходя из этого, сделаем очевидный вывод, что программы защиты WiFi на самом деле не защищают вам, а в лучшем случае лишь предлагают использовать встроенный сервис VPN.

В связи с этим мы не рекомендуем использовать такое ПО без предварительного тщательного изучения возможностей.

На этом очередная статья в нашем блоге завершена. Благодаря ей Вы узнали, как защитить сеть WiFi, и мы верим, что эти знания вы примените на практике.

Как защитить сеть Wi-Fi паролем?

Что в наше время может быть важнее, чем защита своей домашней Wi-Fi сети

Wi-Fi сети: проникновение и защита. 1) Матчасть

Синоптики предсказывают, что к 2016 году наступит второй ледниковый период трафик в беспроводных сетях на 10% превзойдёт трафик в проводном Ethernet. При этом от года в год частных точек доступа становится примерно на 20% больше.

При таком тренде не может не радовать то, что 80% владельцев сетей не меняют пароли доступа по умолчанию. В их число входят и сети компаний.

Этим циклом статей я хочу собрать воедино описания существующих технологии защит, их проблемы и способы обхода, таким образом, что в конце читатель сам сможет сказать, как сделать свою сеть непробиваемой, и даже наглядно продемонстрировать проблемы на примере незадачливого соседа (do not try this at home, kids). Практическая сторона взлома будет освещена с помощью Kali Linux (бывший Backtrack 5) в следующих частях.

Статья по мере написания выросла с 5 страниц до 40, поэтому я решил разбить её на части. Этот цикл — не просто инструкция, как нужно и не нужно делать, а подробное объяснение причин для этого. Ну, а кто хочет инструкций — они такие:Используйте WPA2-PSK-CCMP с паролем от 12 символов a-z (2000+ лет перебора на ATI-кластере). Измените имя сети по умолчанию на нечто уникальное (защита от rainbow-таблиц). Отключите WPS (достаточно перебрать 10000 комбинаций PIN). Не полагайтесь на MAC-фильтрацию и скрытие SSID.

1) Матчасть
2) Kali. Скрытие SSID. MAC-фильтрация. WPS
3) WPA. OpenCL/CUDA. Статистика подбора
Но сначала — матчасть.

Передайте мне сахар

Представьте, что вы — устройство, которое принимает инструкции. К вам может подключиться каждый желающий и отдать любую команду. Всё хорошо, но на каком-то этапе потребовалось фильтровать личностей, которые могут вами управлять. Вот здесь и начинается самое интересное.

Как понять, кто может отдать команду, а кто нет? Первое, что приходит в голову — по паролю. Пусть каждый клиент перед тем, как передать новую команду, передаст некий пароль. Таким образом, вы будете выполнять только команды, которые сопровождались корректным паролем.

Остальные — фтопку.

Именно так работает базовая авторизация HTTP (Auth Basic): AuthType BasicAuthName «My super secret zone!»AuthUserFile /home/.htpasswdRequire valid-user
После успешной авторизации браузер просто-напросто будет передавать определённый заголовок при каждом запросе в закрытую зону:Authorization: Basic YWRtaW46cGFzcw== То есть исходное:echo -n 'admin:pass' | base64# YWRtaW46cGFzcw== У данного подхода есть один большой недостаток — так как пароль (или логин-пароль, что по сути просто две части того же пароля) передаётся по каналу «как есть» — кто угодно может встрять между вами и клиентом и получить ваш пароль на блюдечке. А затем использовать его и распоряжаться вами, как угодно! Для предотвращения подобного безобразия можно прибегнуть к хитрости: использовать какой-либо двухсторонний алгоритм шифрования, где закрытым ключом будет как раз наш пароль, и явно его никогда не передавать. Однако проблемы это не решит — достаточно один раз узнать пароль и можно будет расшифровать любые данные, переданные в прошлом и будущем, плюс шифровать собственные и успешно маскироваться под клиента. А учитывая то, что пароль предназначен для человека, а люди склонны использовать далеко не весь набор из 256 байт в каждом символе, да и символов этих обычно около 6-8… в общем, комсомол не одобрит.

Что делать? А поступим так, как поступают настоящие конспираторы: при первом контакте придумаем длинную случайную строку (достаточно длинную, чтобы её нельзя было подобрать, пока светит это солнце), запомним её и все дальнейшие передаваемые данные будем шифровать с использованием этого «псевдонима» для настоящего пароля. А ещё периодически менять эту строку — тогда джедаи вообще не пройдут.

Первые две передачи (зелёные иконки на рисунке выше) — это фаза с «пожатием рук» (handshake), когда сначала мы говорим серверу о нашей легитимности, показывая правильный пароль, на что сервер нам отвечает случайной строкой, которую мы затем используем для шифрования и передачи любых данных.

Итак, для подбора ключа хакеру нужно будет либо найти уязвимость в алгоритме его генерации (как в случае с Dual_EC_DRBG), либо арендовать сотню-другую параллельных вселенных и несколько тысяч ATI-ферм для решения этой задачи при своей жизни. Всё это благодаря тому, что случайный ключ может быть любой длины и содержать любые коды из доступных 256, потому что пользователю-человеку никогда не придётся с ним работать.

Именно такая схема с временным ключом (сеансовый ключ, session key или ticket) в разных вариациях и используется сегодня во многих системах — в том числе SSL/TLS и стандартах защиты беспроводных сетей, о которых будет идти речь.

План атаки

Внимательные читатели, конечно, заметили, что как бы мы не хитрили — от передачи пароля и временного ключа в открытой или хэшированной форме нам никуда не деться.

Как результат — достаточно хакеру перехватить передачу на этой фазе, и он сможет читать все последующие данные, а также участвовать в процессе, вставляя свои пять копеек.

И отличить его невозможно, так как вся информация, которой бы мог руководствоваться сервер для выдачи временного ключа или проверки доступа базируется именно на том, что было в начале передачи — handshake.

Поэтому хакер знает всё то же, что и сервер, и клиент, и может водить обоих за нос, пока не истечёт срок действия временного ключа. Наша задача при взломе любой передачи так или иначе сводится к перехвату рукопожатия, из которого можно будет либо вытащить временный ключ, либо исходный пароль, либо и то, и другое. В целом, это довольно долгое занятие и требует определённой удачи. Но это в идеальном мире…

Механизмы защиты Wi-Fi

Технологии создаются людьми и почти во всех из них есть ошибки, иногда достаточно критические, чтобы обойти любую самую хорошую в теории защиту. Ниже мы пробежимся по списку существующих механизмов защиты передачи данных по радиоканалу (то есть не затрагивая SSL, VPN и другие более высокоуровневые способы).

OPEN

OPEN — это отсутствие всякой защиты. Точка доступа и клиент никак не маскируют передачу данных. Почти любой беспроводной адаптер в любом ноутбуке с Linux может быть установлен в режим прослушки, когда вместо отбрасывания пакетов, предназначенных не ему, он будет их фиксировать и передавать в ОС, где их можно спокойно просматривать. Кто у нас там полез в Твиттер?

Именно по такому принципу работают проводные сети — в них нет встроенной защиты и «врезавшись» в неё или просто подключившись к хабу/свичу сетевой адаптер будет получать пакеты всех находящихся в этом сегменте сети устройств в открытом виде. Однако с беспроводной сетью «врезаться» можно из любого места — 10-20-50 метров и больше, причём расстояние зависит не только от мощности вашего передатчика, но и от длины антенны хакера. Поэтому открытая передача данных по беспроводной сети гораздо более опасна.

В этом цикле статей такой тип сети не рассматривается, так как взламывать тут нечего.

Если вам нужно пользоваться открытой сетью в кафе или аэропорту — используйте VPN (избегая PPTP) и SSL (https://, но при этом поставьте HTTPS Everywhere, или параноидально следите, чтобы из адресной строки «внезапно» не исчез замок, если кто включит sslstrip — что, впрочем, переданных паролей уже не спасёт), и даже всё вместе. Тогда ваших котиков никто не увидит.

WEP

WEP — первый стандарт защиты Wi-Fi. Расшифровывается как Wired Equivalent Privacy («эквивалент защиты проводных сетей»), но на деле он даёт намного меньше защиты, чем эти самые проводные сети, так как имеет множество огрехов и взламывается множеством разных способов, что из-за расстояния, покрываемого передатчиком, делает данные более уязвимыми.

Его нужно избегать почти так же, как и открытых сетей — безопасность он обеспечивает только на короткое время, спустя которое любую передачу можно полностью раскрыть вне зависимости от сложности пароля.

Ситуация усугубляется тем, что пароли в WEP — это либо 40, либо 104 бита, что есть крайне короткая комбинация и подобрать её можно за секунды (это без учёта ошибок в самом шифровании).

WEP был придуман в конце 90-х, что его оправдывает, а вот тех, кто им до сих пор пользуется — нет. Я до сих пор на 10-20 WPA-сетей стабильно нахожу хотя бы одну WEP-сеть. На практике существовало несколько алгоритмов шифровки передаваемых данных — Neesus, MD5, Apple — но все они так или иначе небезопасны. Особенно примечателен первый, эффективная длина которого — 21 бит (~5 символов). Основная проблема WEP — в фундаментальной ошибке проектирования. Как было проиллюстрировано в начале — шифрование потока делается с помощью временного ключа. WEP фактически передаёт несколько байт этого самого ключа вместе с каждым пакетом данных. Таким образом, вне зависимости от сложности ключа раскрыть любую передачу можно просто имея достаточное число перехваченных пакетов (несколько десятков тысяч, что довольно мало для активно использующейся сети). К слову, в 2004 IEEE объявили WEP устаревшим из-за того, что стандарт «не выполнил поставленные перед собой цели [обеспечения безопасности беспроводных сетей]».

Про атаки на WEP будет сказано в третьей части. Скорее всего в этом цикле про WEP не будет, так как статьи и так получились очень большие, а распространённость WEP стабильно снижается. Кому надо — легко может найти руководства на других ресурсах.

WPA и WPA2

WPA — второе поколение, пришедшее на смену WEP. Расшифровывается как Wi-Fi Protected Access. Качественно иной уровень защиты благодаря принятию во внимание ошибок WEP. Длина пароля — произвольная, от 8 до 63 байт, что сильно затрудняет его подбор (сравните с 3, 6 и 15 байтами в WEP).

Стандарт поддерживает различные алгоритмы шифрования передаваемых данных после рукопожатия: TKIP и CCMP. Первый — нечто вроде мостика между WEP и WPA, который был придуман на то время, пока IEEE были заняты созданием полноценного алгоритма CCMP.

TKIP так же, как и WEP, страдает от некоторых типов атак, и в целом не безопасен. Сейчас используется редко (хотя почему вообще ещё применяется — мне не понятно) и в целом использование WPA с TKIP почти то же, что и использование простого WEP.

Одна из занятных особенностей TKIP — в возможности так называемой Michael-атаки.

Для быстрого залатывания некоторых особо критичных дыр в WEP в TKIP было введено правило, что точка доступа обязана блокировать все коммуникации через себя (то есть «засыпать») на 60 секунд, если обнаруживается атака на подбор ключа (описана во второй части).

Michael-атака — простая передача «испорченных» пакетов для полного отключения всей сети. Причём в отличии от обычного DDoS тут достаточно всего двух (двух) пакетов для гарантированного выведения сети из строя на одну минуту.

WPA отличается от WEP и тем, что шифрует данные каждого клиента по отдельности. После рукопожатия генерируется временный ключ — PTK — который используется для кодирования передачи этого клиента, но никакого другого. Поэтому даже если вы проникли в сеть, то прочитать пакеты других клиентов вы сможете только, когда перехватите их рукопожатия — каждого по отдельности. Демонстрация этого с помощью Wireshark будет в третьей части.

Кроме разных алгоритмов шифрования, WPA(2) поддерживают два разных режима начальной аутентификации (проверки пароля для доступа клиента к сети) — PSK и Enterprise. PSK (иногда его называют WPA Personal) — вход по единому паролю, который вводит клиент при подключении.

Это просто и удобно, но в случае больших компаний может быть проблемой — допустим, у вас ушёл сотрудник и чтобы он не мог больше получить доступ к сети приходится применять способ из «Людей в чёрном» менять пароль для всей сети и уведомлять об этом других сотрудников.

Enterprise снимает эту проблему благодаря наличию множества ключей, хранящихся на отдельном сервере — RADIUS. Кроме того, Enterprise стандартизирует сам процесс аутентификации в протоколе EAP (Extensible Authentication Protocol), что позволяет написать собственный велосипед алгоритм.

Короче, одни плюшки для больших дядей.

В этом цикле будет подробно разобрана атака на WPA(2)-PSK, так как Enterprise — это совсем другая история, так как используется только в больших компаниях.

WPS/QSS

WPS, он же Qikk aSS QSS — интересная технология, которая позволяет нам вообще не думать о пароле, а просто добавить воды нажать на кнопку и тут же подключиться к сети.

По сути это «легальный» метод обхода защиты по паролю вообще, но удивительно то, что он получил широкое распространение при очень серьёзном просчёте в самой системе допуска — это спустя годы после печального опыта с WEP.

WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр (PIN). Однако из-за ошибки в стандарте нужно угадать лишь 4 из них. Таким образом, достаточно всего-навсего 10000 попыток подбора и вне зависимости от сложности пароля для доступа к беспроводной сети вы автоматически получаете этот доступ, а с ним в придачу — и этот самый пароль как он есть.

Учитывая, что это взаимодействие происходит до любых проверок безопасности, в секунду можно отправлять по 10-50 запросов на вход через WPS, и через 3-15 часов (иногда больше, иногда меньше) вы получите ключи от рая.

Когда данная уязвимость была раскрыта производители стали внедрять ограничение на число попыток входа (rate limit), после превышения которого точка доступа автоматически на какое-то время отключает WPS — однако до сих пор таких устройств не больше половины от уже выпущенных без этой защиты. Даже больше — временное отключение кардинально ничего не меняет, так как при одной попытке входа в минуту нам понадобится всего 10000/60/24 = 6,94 дней. А PIN обычно отыскивается раньше, чем проходится весь цикл.

Хочу ещё раз обратить ваше внимание, что при включенном WPS ваш пароль будет неминуемо раскрыт вне зависимости от своей сложности. Поэтому если вам вообще нужен WPS — включайте его только когда производится подключение к сети, а в остальное время держите этот бекдор выключенным. Атака на WPS будет рассмотрена во второй части.

p.s: так как тема очень обширная, в материал могли закрасться ошибки и неточности. Вместо криков «автор ничего не понимает» лучше использовать комментарии и ЛС. Это будет только приветствоваться.

1) Матчасть
2) Kali. Скрытие SSID. MAC-фильтрация. WPS
3) WPA. OpenCL/CUDA. Статистика подбора

  • Wi-Fi
  • WPS
  • QSS
  • WPA
  • WEP
  • PSK
  • TKIP
  • CCMP
  • дайте две

Как защитить Wi-Fi

≡  25 Май 2015   ·  Рубрика: Компьютерный ликбез      · 3 634 Просмотров

Защищенное и надежное подключение является условием сохранности ПК, ноутбука, иных девайсов. Поэтому важно, чтобы беспроводное соединение было качественное. Предлагаю ознакомиться с некоторыми советами, как защитить Wi-Fi. Удостовериться в надежности своего Wi-Fi нетрудно и абсолютно бесплатно.

Домашняя сеть: Часть пользователей, приобретающая данные роутеры не задумываются о том, что их сигнал открыт для окружающих.

Тот, кто находится в зоне функциональности вашей сети, без труда может проникнуть к сигналу со своего устройства. Поэтому стоит активировать опции безопасности. Еще предлагаю подумать об установке фаервола.

Если обратиться к настройкам маршрутизатора, есть возможность скрыть SSID, выбрать шифрование и варианты проверки на подлинность (советую WPA2).

Общественная точка: бесплатные публичные зоны Wi-Fi являются связью не зашифрованного типа.

Для понижения неоправданных рисков:

  • Желательно подключаться к запароленным точкам, — они более защищенные.
  • Применяйте виртуальные сети/VPN, — они прибегают к частной закрытой сети для коннекта. VPN иногда дается работодателем, либо юзер может подписаться на эту услугу (Comodo TrustConnect, CyberGhost VPN).
  • Крайне нежелательно в общественных зонах доступа прибегать к помощи интернет-банкинга, или производить оплату посредством карт.

Выставите формат подтверждения: часть устройств в автоматическом режиме сразу подключаются к доступному Вай-Фай. Рекомендую отказаться от этой привилегии, и произвести соответствующие настройки по отключению опции.

Выключите общий доступ: ваш девайс имеет возможность предоставлять доступ и соединение с иными устройствами. Таким образом принтеры и файлы, которые дома и на работе являются общедоступными, не должны быть таковыми в публичной зоне.

Пользуйтесь антивирусом: Если на своей территории вы уверены, что все компьютеры под охраной, то за ее пределами, — это очень опасно.

Прибегните к помощи персонального фаервола: в общественных местах вы коннектитесь с неизвестными вам гаджетами, увеличивающими риски. Целесообразно установить брандмауэр. Он несложно настраивается, зачастую предлагается бесплатно.
И конечно же, пользуйтесь только сертифицированными устройствами. Они качественнее.

Как защитить свой Wi-Fi в общественном месте

Подключаясь к интернету в общественных местах, к открытым сетям Wi-Fi, многие пользователи забывают или не знают о том, что они подвергаются опасности. Например потерять важные данные во время работы или подхватить какой-нибудь вирус.

Сегодня я хочу порекомендовать несколько способов, как защитить Wi-Fi, выходя в сеть в публичных местах.

Включить брандмауэр

Вообще-то в Windows он включен изначально. Но на всякий случай не мешает проверить. Для этого необходимо зайти в «Пуск» -> «Панель управления» -> «Брандмауэр Windows».

Обратите внимание, что при работе в Общественных сетях функция должна быть «Подключено» .

Но лучшим вариантом конечно же будет установленная на ноутбук хорошая антивирусная программа.

Плагины безопасности

В следующую очередь я советую установить на браузер специальные расширения, которые могут повысить безопасность выхода во всемирную паутину. Например HTTPS Everywhere. Что обеспечит защитное соединение во время посещения различных интернет ресурсов.

Отключить раздачу

Многие ноутбуки настроены на автоматический прием и раздачу файлов.

Идем в «Панель управления» -> «Центр управления сетями и общим доступом». Кликаем по пункту «Изменить личные дополнительные параметры общего доступа», он находится в левой части экрана.

Выставите значения, как показано на рисунке выше.

VPN подключение Windows

Досадно, но не каждый ресурс гарантирует защиту по протоколу Secure Socket Layer. В связи с этим те данные, которые доступны посредством публичного Wi-Fi, становятся открытыми для посторонних.

Поэтому есть повод для подключения к общественным точкам, прибегнув к VPN-серверу. Информация закрыта для мошенников, т.к. поступает в зашифрованном варианте.

Таким образом, виртуальные частные сети — это практичный атрибут.

Как пример, ProXPN — сервис с бесплатной базовой версией. Но есть одно «НО», — ограниченная пропускная способность. Тем не менее премиум-аккаунт (примерно 6,5 $/мес) предоставляет пользователю максимум скорости и перечень доп. функций. Функционирует на Windows и OS X. Имеет и версию для планшетников и смартфонов.

Установить: создаем учетную запись, поставить ProXPN, далее просто войти в аккаунт.Если хотите найти альтернативные варианты, можно посоветовать Your Freedom, Cyber Ghost или HotSpot Shield. Здесь также есть ограничения во времени, а стоимость премиум стартует с 1 $/мес.

Либо же юзеру будет достаточно 5 часов беспрерывного подключения с бесплатным аккаунтом Spot Flux.

На этом все! Защита Wi-Fi активирована ;)

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: