Безопасность Wi-Fi

(adsbygoogle = window.adsbygoogle || []).push({});

WiFi — это технология для беспроводного обмена данными, относится к группе стандартов ШЕЕ 802.11. В настоящее время эта технология получила достаточно большое распространение по всему миру. Если включить ноутбук и посмотреть на количество Wi-Fi сетей в каком-нибудь городе, то их там будет даже не две и не три, а гораздо больше.

Посмотреть всю запись

Существуют два основных режима – Infrastructure и Ad-Hoc. В первом случае используется точка доступа, к которой подключаются клиенты, а во втором случае, все клиенты соединяются между собой. Помимо этих режимов есть ещё несколько дополнительных.

Ad-Hoc сеть – не требует наличия беспроводных точек доступа, организуется “собственными силами” беспроводных устройств.

Небольшая беспроводная сеть – используется одна точка доступа, к которой подключаются беспроводные устройства (Infrastructure Mode).

Беспроводной сетевой мост – используется для организации передачи информации между двумя или более сетями по радиоканалу.

Посмотреть всю запись

Режим точки доступа – обычный режим, в котором точка доступа работает как точка доступа.

Режим клиента – в этом случае точка доступа по сути выполняет функции беспроводного адаптера и подключается к указанной беспроводной сети.

Беспроводной мост точка-точка – между двумя точками доступа создаётся двухсторонний канал по обмену данными. Как правило используется для связи двух офисов в пределах видимости (несколько километров при использовании направленной антенны).

Беспроводной мост point-multi point – аналогично обычному беспроводному мосту, только каналов не один, а несколько.

Посмотреть всю запись

Беспроводной адаптер может функционировать как сетевая карта и, в некоторых случаях, как точка доступа. Хотя, вообще говоря, он будет работать так, как попросит его операционная система, но эти два режима являются основными штатными режимами для беспроводного адаптера. Второй режим (режим точки доступа) может не поддерживаться стандартными средствами адаптера.

Посмотреть всю запись

Методов ограничения доступа по сути всего два:

Отключение широковещательной рассылки ESSID.
Фильтрация MAC-адресов.

В первом случае точка доступа не передаёт в открытую свой ESSID. Для подключения к такой сети нужно знать её ESSID. Если не знаешь — то подключиться не можешь.

Во втором случае возможны три варианта конфигурации.

Точка доступа принимает соединения во всеми беспроводными устройствами, вне зависимости от их MAC-адреса.
Точка доступа НЕ принимает соединения с беспроводными устройствами, MAC-адреса которых заданы в списке на самом устройстве. Все остальные устройства МОГУТ подключаться.

Посмотреть всю запись

Open system authentication

В случае если используется аутентификация типа Open System, то клиент отсылает точке доступа запрос с её идентификатором (MAC-адресом). Точка доступа проверяет, проходит ли клиент по списку MAC-адресов (если он включен), затем соответствие WEP-ключей (если включено WEP-шифрование). Поддерживается роуминг между точками доступа.

Используемые шифры: без шифрования, статический WEP, CKIP.

Open system authentication with eap

Предыдущий вариант аутентификации может использоваться совместно с аутентификацией через протоколы EAP на RADIUS сервере.

Используемые шифры: без шифрования, динамический WEP, CKIP.

Посмотреть всю запись

WEP шифрование

Протокол WEP (Wired Equivalent Privacy) основан на потоковом шифре RC4. В настоящее время в шифре RC4 были найдены множественные уязвимости, поэтому использовать WEP не рекомендуется.

WEP шифрование может быть статическим или динамическим. При статическом WEP-шифровании ключ не меняется. При динамическом, после определенного периода происходит смена ключа шифрования.

Существует два стандартных варианта WEP:

WEP с длиной ключа 128 бит, при этом 104 бита являются ключевыми и 24 бита в инициализационном векторе (IV). Также этот вариант ещё иногда называют 104-битный WEP.

Посмотреть всю запись

Домашняя локальная сеть должна функционировать в режиме WPA2-PSK с шифрованием AES/CCMP и включенной фильтром MAC-адресов, в котором должны быть перечислены ВСЕ MAC-адреса беспроводных адаптеров компьютеров, которые будут подключаться к этой сети.
Ключ для доступа (PreSharedKey — PSK) НЕ должен быть словом или несколькими словами. Он должен быть просто последовательностью букв и цифр.
ESSID точки доступа может быть каким угодно, только не значением по умолчанию.

Посмотреть всю запись

Атаки на беспроводные сети можно разбить на 2 группы:

Атаки, направленные на получение доступа к беспроводной сети.
Атаки с целью помешать нормальному функционированию беспроводной сети.

В первом случае нашей целью может стать, как просто получение Интернет доступа, так и определенные информационные активы. Во втором случае, вполне вероятно, что нам эта беспроводная сеть просто «мешает жить».

Посмотреть всю запись

Разведка является подготовительным мероприятием перед дальнейшей атакой. В ходе этого мероприятия собираются данные по беспроводным сетям, доступным в данном районе.

После этого необходимо отсортировать по сложности полученный список беспроводных сетей. Уровни сложности от простого к сложному:

Без шифрования.
С WEP-шифрованием.

Посмотреть всю запись