Acest articol este dedicat problemei securității atunci când utilizați rețele WiFi wireless.
Introducere - Vulnerabilități WiFi
Principalul motiv pentru vulnerabilitatea datelor utilizatorului atunci când aceste date sunt transmise prin rețele WiFi este că schimbul are loc prin unde radio. Și acest lucru face posibilă interceptarea mesajelor în orice punct în care un semnal WiFi este disponibil fizic. Mai simplu spus, dacă semnalul unui punct de acces poate fi detectat la o distanță de 50 de metri, atunci interceptarea întregului trafic de rețea al acestei rețele WiFi este posibilă pe o rază de 50 de metri de punctul de acces. În camera alăturată, la un alt etaj al blocului, pe stradă.
Imaginează-ți această imagine. La birou, rețeaua locală este construită prin WiFi. Semnalul de la punctul de acces al acestui birou este preluat în afara clădirii, de exemplu într-o parcare. Un atacator din afara clădirii poate obține acces la rețeaua de birouri, adică neobservat de proprietarii acestei rețele. Rețelele WiFi pot fi accesate ușor și discret. Din punct de vedere tehnic, mult mai ușor decât rețelele cu fir.
Da. Până în prezent, au fost dezvoltate și implementate mijloace de protecție a rețelelor WiFi. Această protecție se bazează pe criptarea întregului trafic dintre punctul de acces și dispozitivul final care este conectat la acesta. Adică, un atacator poate intercepta un semnal radio, dar pentru el va fi doar „gunoi digital”.
Cum funcționează protecția WiFi?
Punctul de acces include în rețeaua sa WiFi doar dispozitivul care trimite parola corectă (specificată în setările punctului de acces).
Dar de unde știe punctul de acces dacă parola este corectă sau nu? Ce se întâmplă dacă ea primește și un hash, dar nu-l poate decripta? Este simplu - în setările punctului de acces parola este specificată în forma sa pură. Programul de autorizare ia o parolă goală, creează un hash din ea și apoi compară acest hash cu cel primit de la client. Dacă hashe-urile se potrivesc, atunci parola clientului este corectă. A doua caracteristică a hashurilor este folosită aici - sunt unice. Același hash nu poate fi obținut din două seturi diferite de date (parole). Dacă două hashuri se potrivesc, atunci ambele au fost create din același set de date.
Apropo. Datorită acestei caracteristici, hashurile sunt folosite pentru a controla integritatea datelor. Dacă două hashe-uri (create într-o perioadă de timp) se potrivesc, atunci datele originale (în acea perioadă de timp) nu au fost modificate.
Cu toate acestea, în ciuda faptului că cea mai modernă metodă de securizare a unei rețele WiFi (WPA2) este fiabilă, această rețea poate fi piratată. Cum?
Există două metode pentru a accesa o rețea protejată prin WPA2:
- Selectarea unei parole folosind o bază de date de parole (așa-numita căutare în dicționar).
- Exploatarea unei vulnerabilități în funcția WPS.
În primul caz, atacatorul interceptează hash-ul parolei pentru punctul de acces. Hashurile sunt apoi comparate cu o bază de date de mii sau milioane de cuvinte. Un cuvânt este luat din dicționar, un hash este generat pentru acest cuvânt și apoi acest hash este comparat cu hash-ul care a fost interceptat. Dacă o parolă primitivă este utilizată pe un punct de acces, atunci spargerea parolei acestui punct de acces este o chestiune de timp. De exemplu, o parolă de 8 cifre (8 caractere este lungimea minimă a parolei pentru WPA2) are un milion de combinații. Pe un computer modern, puteți sorta un milion de valori în câteva zile sau chiar ore.
În al doilea caz, este exploatată o vulnerabilitate din primele versiuni ale funcției WPS. Această caracteristică vă permite să conectați un dispozitiv care nu are o parolă, cum ar fi o imprimantă, la punctul de acces. Când utilizați această funcție, dispozitivul și punctul de acces schimbă un cod digital și dacă dispozitivul trimite codul corect, punctul de acces autorizează clientul. A existat o vulnerabilitate în această funcție - codul avea 8 cifre, dar doar patru dintre ele au fost verificate pentru unicitate! Adică, pentru a pirata WPS, trebuie să căutați prin toate valorile care dau 4 cifre. Drept urmare, piratarea unui punct de acces prin WPS se poate face în doar câteva ore, pe orice dispozitiv cel mai slab.
Configurarea securității rețelei WiFi
Securitatea rețelei WiFi este determinată de setările punctului de acces. Câteva dintre aceste setări afectează direct securitatea rețelei.
Mod de acces la rețeaua WiFi
Punctul de acces poate funcționa în unul dintre cele două moduri - deschis sau protejat. În cazul accesului deschis, orice dispozitiv se poate conecta la punctul de acces. În cazul accesului protejat, este conectat doar dispozitivul care transmite parola de acces corectă.
Există trei tipuri (standarde) de protecție a rețelei WiFi:
- WEP (Confidențialitate echivalentă prin cablu). Primul standard de protecție. Astăzi, de fapt, nu oferă protecție, deoarece este piratat foarte ușor din cauza slăbiciunii mecanismelor de protecție.
- WPA (Acces protejat Wi-Fi). Cronologic al doilea standard de protecție. La momentul creării și punerii în funcțiune, acesta a oferit o protecție eficientă pentru rețelele WiFi. Dar la sfârșitul anilor 2000, s-au găsit oportunități de a pirata protecția WPA prin vulnerabilități în mecanismele de securitate.
- WPA2 (Acces protejat prin Wi-Fi). Cel mai recent standard de protecție. Oferă protecție fiabilă atunci când sunt respectate anumite reguli. Până în prezent, există doar două moduri cunoscute de a rupe securitatea WPA2.
Forța brută a parolei de dicționar și o soluție care utilizează serviciul WPS.
Astfel, pentru a asigura securitatea rețelei tale WiFi, trebuie să selectezi tipul de securitate WPA2.
Cu toate acestea, nu toate dispozitivele client îl pot suporta. De exemplu, Windows XP SP2 acceptă numai WPA.
Pe lângă alegerea standardului WPA2, sunt necesare condiții suplimentare:
- Utilizați metoda de criptare AES. Parola pentru accesarea rețelei WiFi trebuie să fie compusă după cum urmează:
- Utilizare litere și cifre din parolă. Un set aleatoriu de litere și numere. Sau un cuvânt sau o expresie foarte rară care are sens numai pentru tine. Nu folosiți parole simple, cum ar fi numele + data nașterii sau un cuvânt + câteva numere, de exemplu lena1991.
- sau
dom12345 Dacă trebuie să utilizați doar o parolă digitală, atunci lungimea acesteia trebuie să fie de cel puțin 10 caractere. Pentru că o parolă digitală de opt caractere este selectată folosind o metodă de forță brută în timp real (de la câteva ore la câteva zile, în funcție de puterea computerului). Dacă utilizați parole complexe în conformitate cu aceste reguli, atunci rețeaua dvs. WiFi nu poate fi piratată prin ghicirea unei parole folosind un dicționar. De exemplu, pentru o parolă ca 218340105584896 combinatii.
Astăzi este aproape imposibil de selectat. Chiar dacă un computer ar compara 1.000.000 (milioane) de cuvinte pe secundă, ar dura aproape 7 ani pentru a repeta peste toate valorile.
WPS (Configurare protejată prin Wi-Fi)
- Dacă punctul de acces are funcția WPS (Wi-Fi Protected Setup), trebuie să o dezactivați. Dacă această caracteristică este necesară, trebuie să vă asigurați că versiunea sa este actualizată la următoarele capabilități:
- Folosind toate cele 8 caractere de cod PIN în loc de 4, așa cum a fost cazul la început.
Activați o întârziere după mai multe încercări de a trimite un cod PIN incorect de la client.
O opțiune suplimentară pentru a îmbunătăți securitatea WPS este utilizarea unui cod PIN alfanumeric.
Securitate WiFi publică
Astăzi este la modă utilizarea internetului prin rețele WiFi în locuri publice - în cafenele, restaurante, centre comerciale etc. Este important să înțelegeți că utilizarea unor astfel de rețele poate duce la furtul datelor dumneavoastră cu caracter personal. Dacă accesați Internetul printr-o astfel de rețea și apoi vă conectați la un site web, datele dumneavoastră (nume de utilizator și parolă) pot fi interceptate de o altă persoană care este conectată la aceeași rețea WiFi. La urma urmei, pe orice dispozitiv care a trecut autorizarea și este conectat la punctul de acces, puteți intercepta traficul de rețea de la toate celelalte dispozitive din această rețea. Și particularitatea rețelelor WiFi publice este că oricine se poate conecta la ea, inclusiv un atacator, și nu numai la o rețea deschisă, ci și la una protejată.
Ce puteți face pentru a vă proteja datele atunci când vă conectați la Internet printr-o rețea WiFi publică? Există o singură opțiune - să utilizați protocolul HTTPS. Acest protocol stabilește o conexiune criptată între client (browser) și site. Dar nu toate site-urile acceptă protocolul HTTPS. Adresele de pe un site care acceptă protocolul HTTPS încep cu prefixul https://. Dacă adresele de pe un site au prefixul http://, aceasta înseamnă că site-ul nu acceptă HTTPS sau nu îl folosește.
Unele site-uri nu folosesc HTTPS în mod implicit, dar au acest protocol și pot fi folosite dacă specificați explicit (manual) prefixul https://.
Ca și în alte cazuri de utilizare a Internetului - chat-uri, Skype etc., puteți folosi servere VPN gratuite sau plătite pentru a proteja aceste date. Adică, mai întâi conectați-vă la serverul VPN și abia apoi utilizați chat-ul sau deschideți site-ul web.
În partea a doua și a treia a acestui articol, am scris că atunci când utilizați standardul de securitate WPA2, una dintre modalitățile de a pirata o rețea WiFi este să ghiciți parola folosind un dicționar. Dar există o altă oportunitate pentru un atacator de a obține parola rețelei tale WiFi. Dacă vă stocați parola pe un bilețel lipit de monitor, acest lucru face posibil ca un străin să vadă această parolă.
Și parola îți poate fi furată de pe un computer conectat la rețeaua WiFi. Acest lucru poate fi făcut de un străin dacă computerele dumneavoastră nu sunt protejate de accesul străinilor. Acest lucru se poate face folosind programe malware. În plus, parola poate fi furată de pe un dispozitiv care este luat în afara biroului (casă, apartament) - de pe un smartphone, tabletă.
Astfel, dacă aveți nevoie de protecție fiabilă pentru rețeaua dvs. WiFi, trebuie să luați măsuri pentru a vă stoca în siguranță parola. Protejați-l de accesul persoanelor neautorizate. Dacă ați găsit acest articol util sau pur și simplu v-a plăcut, atunci nu ezitați să susțineți financiar autorul. Acest lucru este ușor de făcut aruncând cu bani Portofel Yandex nr. 410011416229354 +7 918-16-26-331 .
. Sau la telefon
Chiar și o sumă mică vă poate ajuta să scrieți articole noi :) prin canalul radio 802.11. Din punct de vedere topologic, astfel de rețele pot fi împărțite în două tipuri: cu punct de acces (prin un server cu un dispozitiv radio conectat simultan la rețeaua radio), ad-hoc(clienții comunică direct fără un punct de acces).
Luați în considerare o rețea fără fir cu un punct de acces implementat conform oricărui standard comercial 802.11 (a, b, g, i), cu excepția 802.1x. Indiferent de numărul de puncte de acces, un segment de rețea fără fir este identificat printr-un singur identificator (SSID). Există trei mecanisme de securitate încorporate pentru a proteja rețelele wireless: autentificare, criptare, WPA. Autenticitatea este verificată prin două mecanisme: cec deschis (restricțiile privind adresele MAC ale dispozitivelor de rețea fără fir sunt setate pe punctul de acces), cheie privată
(Utilizatorii de rețele fără fir primesc o parolă, pe care o introduc manual atunci când stabilesc o conexiune). Criptarea în rețelele fără fir se realizează folosind algoritmul RC4. Criptarea acceptă două tipuri de chei: globală Şi. Cheia globală este utilizată pentru a proteja traficul de ieșire multicast și difuzat pe punctul de acces, iar cheia de sesiune este utilizată pentru a proteja traficul de ieșire unicast pe punctul de acces, precum și traficul de intrare multicast și difuzat pe punctul de acces. Ambele tipuri de chei sunt distribuite între clienții de rețea și sunt introduse manual.
WPA oferă criptare îmbunătățită prin protocolul TKIP, care controlează și integritatea datelor. Autentificarea este verificată prin protocolul IAP.
Următoarele tipuri de atacuri pot fi efectuate prin intermediul rețelelor wireless:
- interceptarea traficului,
- piratarea adreselor protocolului ARP,
- atacuri de viruși care au intrat în rețea de pe computerul unui hacker,
- redirecționare (în acest caz, hacking-ul se efectuează la nivel SSL. Atacatorul falsifică adresa MAC a punctului de acces și trimite utilizatorului o cerere de acceptare a acreditărilor unui nou server controlat de el.),
- conexiuni neautorizate (vă puteți conecta la orice rețea fără fir apropiindu-vă de o distanță suficientă. Folosind un sistem de identificare deschis, oricine poate accesa rețeaua corporativă.),
- conectarea punctelor de acces neautorizate (utilizatorii pot instala ei înșiși echipamentul necesar fără a activa mecanisme de protecție pe acesta), supraîncărcare rețea (atac DoS),
- interferențe radio.
Pentru a spori securitatea rețelei dvs. fără fir:
- schimba SSID din fabrică,
- dezactivați difuzarea SSID,
- trebuie utilizată criptarea cu chei unice,
- protejați protocolul SSNP (schimbați comunitatea implicită pentru acest protocol, luați în considerare protecția față de PROTOS),
- utilizați filtrarea adreselor MAC setând-o în lista clienților wireless permisi,
- Împreună cu serviciul de securitate al întreprinderii, este necesară combaterea instalării punctelor de acces neautorizate (este necesar să se verifice ce echipament este adus în întreprindere și să se detecteze punctele de acces folosind agenți SSNP.
Desigur, este necesar să se acorde atenție selecției și instalării antenelor la punctele de acces. Dacă este posibil, ar trebui să utilizați antene direcționale sau transmițătoare cu rază scurtă de acțiune pentru a nu extinde granițele teritoriale ale rețelei wireless. Este înțelept să considerați punctul de acces ca fiind parte a unei zone demilitarizate sau a unei rețele de încredere. Prin urmare, se recomandă separarea punctelor de acces de rețelele cu fir cu un firewall.
Standardul 802.1x este un salt cuantic în securitatea rețelelor wireless. Permite cea mai sigură autentificare a clienților wireless și transferul securizat de date criptate. Acest standard folosește chei dinamice pentru criptare, care nu trebuie să fie setate manual. Cu toate acestea, pentru a implementa acest standard, sunt necesare trei lucruri:
- Pentru a autentifica clienții de rețea fără fir, trebuie să configurați un server RADIUS cu o politică specială de acces la distanță pentru rețelele fără fir;
- Organizația trebuie să implementeze un sistem de cheie publică, deoarece Standardul 802.1x utilizează protocolul EAP-TLS pentru autentificare;
- Punctul de acces poate fi organizat numai sub WS2003, iar clienții wireless trebuie gestionați de Windows XP SP1 sau o versiune ulterioară.
Astfel, implementarea unui server RADIUS poate necesita o schimbare fundamentală în topologia rețelei corporative. Implementarea unui sistem de chei publice va necesita fie implementarea propriei ierarhii a autorităților de certificare, fie achiziționarea de certificate de la companii terțe. Implementarea standardului 802.1x oferă nivelul maxim de securitate al rețelei wireless, dar necesită multă configurare administrativă și costuri financiare.
Criptarea datelor în rețelele fără fir primește atât de multă atenție datorită naturii unor astfel de rețele. Datele sunt transmise fără fir folosind unde radio, în general folosind antene omnidirecționale. Astfel, toată lumea aude datele, nu doar persoana căreia îi sunt destinate. Desigur, distanțele pe care funcționează rețelele wireless (fără amplificatoare sau antene direcționale) sunt mici – aproximativ 100 de metri în condiții ideale. Pereții, copacii și alte obstacole atenuează foarte mult semnalul, dar acest lucru încă nu rezolvă problema.
Inițial, numai SSID (numele rețelei). Dar SSID-ul este transmis în text clar și nimeni nu împiedică un atacator să-l asculte și apoi să îl înlocuiască pe cel corect în setările sale. Ca să nu mai vorbim că (acest lucru se aplică punctelor de acces) poate fi activat modul de difuzare pentru SSID, adică va fi difuzat forțat tuturor celor care ascultă.
Prin urmare, a fost nevoie de criptarea datelor. Primul astfel de standard a fost WEP – Confidențialitate echivalentă prin cablu. Criptarea se realizează folosind o cheie de 40 sau 104 de biți (criptarea fluxului folosind algoritmul RC4 pe o cheie statică). Cheia în sine este un set de caractere ASCII cu o lungime de 5 (pentru o cheie de 40 de biți) sau 13 (pentru o cheie de 104 de biți). Setul acestor caractere este tradus într-o succesiune de cifre hexazecimale, care sunt cheia. Driverele de la mulți producători vă permit să introduceți valori hexazecimale (de aceeași lungime) direct în loc de un set de caractere ASCII. Algoritmii pentru conversia dintr-o secvență de caractere ASCII în valori cheie hexazecimale pot diferi între producători, prin urmare, dacă rețeaua folosește echipamente wireless eterogene și configurarea criptării WEP folosind o frază cheie ASCII nu funcționează, trebuie să introduceți cheia în notație hexazecimală. în schimb.
În realitate, criptarea datelor are loc folosind o lungime a cheii de 40 sau 104. Dar, pe lângă fraza ASCII (componenta statică a cheii), există și așa ceva ca Inițializare Vector (IV) – vector de inițializare. Servește la randomizarea restului cheii. Vectorul este selectat aleatoriu și se modifică dinamic în timpul funcționării. În principiu, aceasta este o soluție rezonabilă, deoarece vă permite să introduceți o componentă aleatorie în cheie. Lungimea vectorului este de 24 de biți, astfel încât lungimea totală a cheii ajunge să fie de 64 (40+24) sau 128 (104+24) biți.
Algoritmul de criptare folosit (RC4) nu este în prezent deosebit de puternic - dacă doriți cu adevărat, puteți găsi o cheie prin forță brută într-un timp relativ scurt. Dar totuși, principala vulnerabilitate a WEP este asociată tocmai cu vectorul de inițializare. IV are doar 24 de biți lungime. Acest lucru oferă aproximativ 16 milioane de combinații - 16 milioane de vectori diferiți. În munca reală, toate opțiunile posibile ale cheii vor fi utilizate într-o perioadă de la zece minute la câteva ore (pentru o cheie de 40 de biți). După aceasta, vectorii vor începe să se repete. Un atacator trebuie doar să colecteze un număr suficient de pachete pur și simplu ascultând traficul rețelei wireless și să găsească aceste repetări. După aceasta, selectarea componentei statice a cheii (fraza ASCII) nu necesită mult timp.
Mulți producători integrează în software-ul (sau hardware-ul dispozitivelor fără fir) o verificare pentru astfel de vectori și, dacă se găsesc alții similari, aceștia sunt aruncați în tăcere, de exemplu. Nu sunt implicat în procesul de criptare.
Pentru a crește securitatea rețelelor wireless, a fost dezvoltat protocolul WPA (Wi-Fi Protected Access). Protocolul WPA a fost conceput pentru a închide punctele slabe ale rețelelor wireless care utilizează WEP. Specificația necesită ca elementele de rețea să fie echipate cu capabilități dinamice de generare a cheilor și să utilizeze o schemă avansată de criptare a datelor RC4 bazată pe TKIP (Temporal Cheie Integritate Protocol- protocolul de integritate a cheii pe termen scurt).În acest fel, a fost posibilă creșterea securității pachetelor și asigurarea compatibilității cu WEP, chiar și în detrimentul încărcării suplimentare pe canalele de rețea. În plus, sumele de control criptografice WPA sunt calculate folosind o nouă metodă numită Michael. Fiecare cadru 802.11 conține un cod special de integritate a mesajului de opt octeți, a cărui verificare vă permite să respingeți atacurile folosind pachete falsificate.
Toate dispozitivele compatibile WPA necesită autentificare 802.1x folosind EAP (Extensibil Autentificare Protocol - protocol de autentificare extins). În acest caz, serverul este utilizat RAZA (Telecomanda Autentificare Apelează- În Utilizator Serviciu - serviciu de autentificare de la distanță a utilizatorilor prin linii dial-up) sau o cheie pre-partajată.
Autentificarea 802.1x se bazează pe o arhitectură client-server și utilizează trei elemente: un client solicitant, un autentificator și un server de autentificare. Utilizarea pe scară largă a acestei tehnologii în rețelele LAN wireless corporative este facilitată de modelul său centralizat de gestionare a securității și de capacitatea de a se integra cu schemele de autentificare corporative existente.
Pentru majoritatea organizațiilor, utilizarea WPA va necesita instalarea de noi firmware și clienți și integrarea acestora cu sistemele lor de autentificare. Întreprinderile mici și mijlocii care nu au un server de autentificare vor trebui mai întâi să instaleze o cheie partajată pe fiecare client și punct de acces.
WPA este deja acceptat în sistemele de operare.
Nu cu mult timp în urmă, a fost lansat un nou standard 802.11i, care vizează creșterea securității rețelelor wireless: implică utilizarea criptării AES (Avansat Criptare standard) cu o lungime a cheii de 128, 192 sau 256 de biți și este utilizat cu dispozitive 802.11b și 802.11g.
Standardul 802.11i, conceput pentru a oferi securitatea informațiilor rețelelor WLAN ale întreprinderilor mari și birourilor mici, este conceput pentru a îmbunătăți funcțiile de securitate ale standardului 802.11. Cu toate acestea, acest standard, care prevede criptarea datelor și controlul integrității acestora, este caracterizat de o complexitate crescută a implementării și poate fi incompatibil cu echipamentele wireless existente.
Standardul de securitate 802.11i oferă o specificație intermediară pentru așa-numitul rețea securizată de tranziție -Tranzitorie Securitate Reţea (TSN), care permite utilizarea simultană a soluțiilor RSN și a sistemelor WEP vechi. Cu toate acestea, rețeaua wireless nu va fi la fel de bine protejată.
Mecanismul implicit de confidențialitate a datelor al standardului IEEE 802.11i se bazează pe cifrul bloc AES. Protocolul de securitate care îl folosește se numește Counter-Mode CBC MAC Protocol sau CCMP. La straturile inferioare ale modelului OSI, unde are loc criptarea și decriptarea datelor transmise, AES utilizează trei chei de criptare temporare. AES (Advanced Encryption Standard - un standard de criptare avansat) diferă de implementarea RC4 inclusă în WEP într-un algoritm criptografic mult mai robust, dar impune cerințe crescute asupra debitului canalelor de comunicație, astfel încât tranziția la un nou standard va necesita și o actualizare. echipamente de retea. În plus, AES nu este compatibil cu echipamentele WPA și WEP actuale.
Pentru ca punctele de acces pentru întreprinderi să funcționeze cu securitatea rețelei 802.11i, acestea trebuie să accepte autentificarea utilizatorilor RADIUS și să poată reautentifica rapid utilizatorii după pierderea conexiunii la rețea. Acest lucru este deosebit de important pentru funcționarea normală a aplicațiilor în timp real (de exemplu, voce prin WLAN).
Dacă serverul RADIUS utilizat pentru a controla accesul utilizatorilor rețelei cu fir acceptă metodele de autentificare EAP necesare, atunci poate fi utilizat pentru a autentifica utilizatorii rețelei fără fir. În caz contrar, merită să instalați un server WLAN RADIUS care va interacționa cu serverul RADIUS existent ca server proxy. Serverul WLAN RADIUS funcționează prin verificarea mai întâi a informațiilor de autentificare ale utilizatorului (față de conținutul bazei de date cu ID-urile și parolele acestora) sau certificatul digital al acestora, iar apoi determinând punctul de acces și sistemul client să genereze dinamic chei de criptare pentru fiecare sesiune de comunicare. Standardul IEEE 802.11i nu specifică metode specifice de autentificare EAP. Alegerea metodei de autentificare EAP este determinată de specificul aplicațiilor client și de arhitectura rețelei.
Noul standard a dobândit câteva proprietăți relativ puțin cunoscute. Unul dintre ele - key-caching - înregistrează informații despre el neobservate de utilizator, permițându-i acestuia să nu introducă din nou toate informațiile despre el atunci când părăsește zona de acoperire a rețelei wireless și apoi se întoarce la ea.
A doua inovație este pre-autentificarea. Esența acestuia este următoarea: de la punctul de acces la care utilizatorul este conectat în prezent, un pachet de pre-autentificare este trimis către un alt punct de acces, oferind acestui utilizator o pre-autentificare chiar înainte de a se înregistra la noul punct și reducând astfel timpul de autorizare atunci când deplasarea între punctele de acces.
Pentru ca laptopurile și PDA-urile să funcționeze cu securitatea rețelei 802.11i, acestea trebuie să fie echipate cu programe client care acceptă standardul 802.1x. Cisco l-a inclus în Aironet Client Utility. Microsoft a oferit suport pentru standardul 802.1x în Windows XP, Vista, Seven. Din păcate, aceste programe client, care sunt pre-incluse în sistemul de operare și în alte instrumente, de obicei nu acceptă toate metodele de autentificare EAP, Tabel 4.8
Tabelul 4.8 - Standarde de criptare a datelor.
| Standard | Caracteristici de securitate | Avantaje | Defecte |
| WEP | Criptare RC4, chei statice, autentificare 802.1x – personalizat | Măcar un fel de protecție; Suport WEP pe majoritatea dispozitivelor 802.11 | Prea multe lacune de exploatat într-un mediu corporativ; Instrumente suplimentare, cum ar fi rețelele private virtuale, sunt adesea folosite pentru a proteja rețelele LAN fără fir |
| WPA | TKIP, chei dinamice, Michael, autentificare obligatorie 802.1x (EAP și RADIUS sau cheie pre-partajată) | Compatibil invers cu WEP; Posibilitatea de integrare în rețelele wireless existente cu o simplă actualizare de firmware. | O soluție temporară pentru perioada de tranziție până la aprobarea standardului 802.11i mai fiabil. |
| 802.11i | Criptare AES, CCMP, WRAP, gestionarea cheilor 802.11i, autentificare 802.1x. | Mai puternic decât criptarea WEB; schema securizată de gestionare a cheilor | Nevoia de hardware și chipset-uri noi; incompatibilitate cu echipamente Wi-Fi mai vechi |
5 Sisteme de stocare a datelor tolerante la erori:
RAID - matrice
Problema creșterii fiabilității stocării informațiilor și creșterea simultană a performanței unui sistem de stocare a datelor a fost în mintea dezvoltatorilor de periferice pentru computere de mult timp. În ceea ce privește creșterea fiabilității stocării, totul este clar: informația este o marfă și adesea foarte valoroasă. Pentru a proteja împotriva pierderii datelor, au fost inventate multe metode, dintre care cea mai faimoasă și de încredere este backupul informațiilor.
RAID - este o matrice redundanta de discuri independente (Redundant Matrice de Independent Discuri) , care are sarcina de a asigura toleranța la erori și de a crește performanța. Toleranța la erori se realizează prin redundanță. Adică, o parte din capacitatea de spațiu pe disc este alocată în scopuri oficiale, devenind inaccesibilă utilizatorului.
Performanța crescută a subsistemului de discuri este asigurată de funcționarea simultană a mai multor discuri, iar în acest sens, cu cât mai multe discuri în matrice (până la o anumită limită), cu atât mai bine.
Operarea în comun a discurilor dintr-o matrice poate fi organizată folosind fie acces paralel, fie independent.
Cu acces paralel, spațiul pe disc este împărțit în blocuri (fâșii) pentru înregistrarea datelor. În mod similar, informațiile care trebuie scrise pe disc sunt împărțite în aceleași blocuri. La scriere, blocurile individuale sunt scrise pe discuri diferite (Figura 5.1), iar mai multe blocuri sunt scrise pe discuri diferite simultan, ceea ce duce la o performanță crescută în operațiunile de scriere. Informațiile necesare se citesc și în blocuri separate simultan de pe mai multe discuri (Figura 5.2).
 |
|
| Figura 5.1 - Structura înregistrării | Figura 5.2 - Structura citirii |
Acest lucru crește și performanța proporțional cu numărul de discuri din matrice.
Trebuie remarcat faptul că modelul de acces paralel este implementat numai dacă dimensiunea cererii de scriere a datelor este mai mare decât dimensiunea blocului în sine. În caz contrar, este pur și simplu imposibil să implementați înregistrarea paralelă a mai multor blocuri. Să ne imaginăm o situație în care dimensiunea unui bloc individual este de 8 KB, iar dimensiunea unei cereri de scriere a datelor este de 64 KB. În acest caz, informațiile originale sunt tăiate în opt blocuri a câte 8 KB fiecare. Dacă aveți o matrice de patru discuri, puteți scrie patru blocuri, sau 32 KB, la un moment dat. Evident, în exemplul luat în considerare, vitezele de scriere și citire vor fi de patru ori mai mari decât atunci când se folosește un singur disc. Totuși, această situație este ideală, deoarece dimensiunea cererii nu este întotdeauna un multiplu al mărimii blocului și al numărului de discuri din matrice.
Dacă dimensiunea datelor înregistrate este mai mică decât dimensiunea blocului, atunci este implementat un model de acces fundamental diferit - acces independent. Mai mult, acest model poate fi implementat și în cazul în care dimensiunea datelor scrise este mai mare decât dimensiunea unui bloc. Cu acces independent, toate datele dintr-o singură solicitare sunt scrise pe un disc separat, adică situația este identică cu lucrul cu un singur disc. Avantajul modelului de acces paralel este că dacă mai multe solicitări de scriere (citire) ajung simultan, toate vor fi executate independent, pe discuri separate (Figura 5.3). O situație similară este tipică, de exemplu, în servere.
În conformitate cu diferitele tipuri de acces, există diferite tipuri de matrice RAID, care sunt de obicei caracterizate prin niveluri RAID. Pe lângă tipul de acces, nivelurile RAID diferă prin modul în care găzduiesc și generează informații redundante. Informațiile redundante pot fi fie plasate pe un disc special alocat, fie amestecate între toate discurile. Există mai multe modalități de a genera aceste informații. Cea mai simplă dintre ele este duplicarea completă (redundanță de 100 la sută) sau oglindirea. În plus, sunt utilizate coduri de corectare a erorilor, precum și calcule de paritate.
În prezent, există mai multe niveluri RAID standardizate: de la RAID 0 la RAID 5. În plus, sunt utilizate combinații ale acestor niveluri, precum și niveluri proprietare (de exemplu, RAID 6, RAID 7). Cele mai comune niveluri sunt 0, 1, 3 și 5.
Nivelul RAID 0, strict vorbind, nu este o matrice redundantă și, în consecință, nu oferă stocare fiabilă a datelor. Cu toate acestea, acest nivel este utilizat pe scară largă în cazurile în care este necesar să se asigure o performanță ridicată a subsistemului de disc. Acest nivel este deosebit de popular în stațiile de lucru. Când se creează o matrice RAID de nivel 0, informațiile sunt împărțite în blocuri, care sunt scrise pe discuri separate, adică se creează un sistem cu acces paralel (dacă, desigur, dimensiunea blocului permite acest lucru). Permițând I/O simultană de pe mai multe discuri, RAID 0 oferă cele mai rapide viteze de transfer de date și eficiență maximă a spațiului pe disc, deoarece nu este necesar spațiu de stocare pentru sumele de verificare. Implementarea acestui nivel este foarte simplă. RAID 0 este utilizat în principal în zonele în care este necesar transferul rapid de cantități mari de date.
RAID 1 (disc în oglindă)
RAID Level 1 este o matrice de discuri cu redundanță de 100%. Adică, datele sunt pur și simplu duplicate complet (oglindite), datorită cărora se atinge un nivel foarte ridicat de fiabilitate (precum și cost). Rețineți că pentru a implementa nivelul 1, nu este necesar să partiționați mai întâi discurile și datele în blocuri. În cel mai simplu caz, două discuri conțin aceleași informații și sunt un singur disc logic. Dacă un disc eșuează, funcțiile sale sunt îndeplinite de altul (care este absolut transparent pentru utilizator). În plus, acest nivel dublează viteza de citire a informațiilor, deoarece această operație poate fi efectuată simultan de pe două discuri. Această schemă de stocare a informațiilor este utilizată în principal în cazurile în care costul securității datelor este mult mai mare decât costul implementării unui sistem de stocare.
RAID Level 2 este o schemă de redundanță a datelor care utilizează codul Hamming pentru corectarea erorilor. Datele scrise nu sunt formate pe baza unei structuri de bloc, ca în RAID 0, ci pe baza de cuvinte, iar dimensiunea cuvântului este egală cu numărul de discuri pentru înregistrarea datelor în matrice. Dacă, de exemplu, matricea are patru discuri pentru scrierea datelor, atunci dimensiunea cuvântului este egală cu patru discuri. Fiecare bit individual al unui cuvânt este scris pe un disc separat din matrice. De exemplu, dacă o matrice are patru discuri pentru înregistrarea datelor, atunci o secvență de patru biți, adică un cuvânt, va fi scrisă în matricea de discuri în așa fel încât primul bit să fie pe primul disc, al doilea pic pe al doilea etc.
În plus, un cod de corectare a erorilor (ECC) este calculat pentru fiecare cuvânt și scris pe discuri dedicate pentru a stoca informațiile de control. Numărul lor este egal cu numărul de biți din cuvântul de control și fiecare bit al cuvântului de control este scris pe un disc separat.
RAID 2 este unul dintre puținele niveluri care vă permite nu numai să corectați erorile individuale din mers, ci și să detectați erorile duble. Mai mult, este cel mai redundant dintre toate nivelurile cu coduri de corectare. Această schemă de stocare a datelor este rar utilizată deoarece nu gestionează bine un număr mare de solicitări, este complex de organizat și are puține avantaje față de RAID 3.
RAID Level 3 este o matrice tolerantă la erori cu I/O paralelă și un disc suplimentar pe care sunt scrise informații de control. La înregistrare, fluxul de date este împărțit în blocuri la nivel de octet (deși posibil la nivel de biți) și este scris simultan pe toate discurile matricei, cu excepția celui alocat pentru stocarea informațiilor de control. Pentru a calcula informațiile de control (numită și sumă de control), se aplică o operațiune exclusivă sau (XOR) blocurilor de date care sunt scrise. Dacă un disc nu reușește, datele de pe acesta pot fi restaurate folosind datele de control și datele rămase pe discuri sănătoase.
RAID Level 3 are o redundanță mult mai mică decât RAID 2. Prin împărțirea datelor în blocuri, RAID 3 are performanțe ridicate. La citirea informațiilor, discul nu este accesat cu sume de control (cu excepția cazului în care există o eroare), ceea ce se întâmplă de fiecare dată când are loc o operație de scriere. Deoarece fiecare operație I/O accesează practic toate discurile din matrice, procesarea mai multor cereri simultan nu este posibilă. Acest nivel este potrivit pentru aplicații cu fișiere mari și frecvență de acces redusă. În plus, avantajele RAID 3 includ o ușoară scădere a performanței în cazul unei defecțiuni și recuperarea rapidă a informațiilor.
RAID Level 4 este o matrice tolerantă la erori de discuri independente cu o singură unitate pentru stocarea sumelor de verificare. RAID 4 este în multe privințe similar cu RAID 3, dar diferă de acesta din urmă în primul rând prin dimensiunea blocului semnificativ mai mare a datelor scrise (mai mare decât dimensiunea datelor scrise). Aceasta este principala diferență dintre RAID 3 și RAID 4. După scrierea unui grup de blocuri, se calculează o sumă de control (în același mod ca și în cazul RAID 3), care este scrisă pe discul alocat în acest scop. Cu o dimensiune de bloc mai mare decât RAID 3, pot fi efectuate mai multe operații de citire simultan (design de acces independent).
RAID 4 îmbunătățește performanța transferurilor de fișiere mici (prin paralelizarea operației de citire). Dar, deoarece înregistrarea trebuie să calculeze suma de control pe discul alocat, operațiunile simultane sunt imposibile aici (există o asimetrie a operațiunilor de intrare și de ieșire). Nivelul luat în considerare nu oferă avantaje de viteză la transferul unor cantități mari de date. Această schemă de stocare a fost concepută pentru aplicații în care datele sunt inițial împărțite în blocuri mici, astfel încât nu este nevoie să le divizați în continuare. RAID 4 este o soluție bună pentru serverele de fișiere în care informațiile sunt în primul rând citite și rar scrise. Această schemă de stocare a datelor are un cost scăzut, dar implementarea ei este destul de complexă, la fel ca și recuperarea datelor în caz de eșec.
Nivelul RAID 5 este o matrice tolerantă la erori de discuri independente cu stocare distribuită a sumelor de control (Figura 5.4). Blocurile de date și sumele de control, care sunt calculate în același mod ca în RAID 3, sunt scrise ciclic pe toate discurile matricei, adică nu există un disc dedicat pentru stocarea informațiilor despre suma de control.
 |
| Figura 5.4 - Structura RAID 5 |
În cazul RAID 5, toate discurile din matrice au aceeași dimensiune, dar capacitatea totală a subsistemului de disc disponibil pentru scriere devine cu exact un disc mai mică. De exemplu, dacă cinci discuri au o dimensiune de 10 GB, atunci dimensiunea reală a matricei este de 40 GB, deoarece 10 GB sunt alocați pentru informațiile de control.
RAID 5, ca și RAID 4, are o arhitectură de acces independentă, adică, spre deosebire de RAID 3, oferă o dimensiune mare de blocuri logice pentru stocarea informațiilor. Prin urmare, ca și în cazul RAID 4, o astfel de matrice oferă principalul beneficiu atunci când procesează mai multe solicitări simultan.
Principala diferență dintre RAID 5 și RAID 4 este modul în care sunt plasate sumele de control.
Prezența unui disc (fizic) separat care stochează informații despre sumele de control, aici, ca și în cele trei niveluri anterioare, duce la faptul că operațiunile de citire care nu necesită acces la acest disc sunt efectuate cu viteză mare. Cu toate acestea, fiecare operație de scriere modifică informațiile de pe discul de control, astfel încât RAID 2, RAID 3 și RAID 4 nu permit scrieri paralele. RAID 5 nu are acest dezavantaj deoarece sumele de control sunt scrise pe toate discurile din matrice, permițând efectuarea simultană a mai multor citiri sau scrieri.
Implementare practică
Pentru implementarea practică a matricelor RAID, sunt necesare două componente: matricea de hard disk în sine și controlerul RAID. Controlerul îndeplinește funcțiile de comunicare cu serverul (stația de lucru), generarea de informații redundante la scriere și verificarea la citire, distribuirea informațiilor pe discuri în conformitate cu algoritmul
Funcția principală a unei matrice RAID nu este de a crește capacitatea subsistemului de disc (după cum se poate vedea din designul său, aceeași capacitate poate fi obținută pentru mai puțini bani), ci de a asigura o stocare fiabilă a datelor și de a crește performanța. Pentru servere, în plus, există o cerință pentru funcționarea neîntreruptă, chiar dacă una dintre unități eșuează. Funcționarea neîntreruptă este asigurată prin schimbarea la cald, adică eliminarea unui disc SCSI defect și instalarea unuia nou fără a opri alimentarea. Deoarece subsistemul de disc rămâne operațional (cu excepția nivelului 0) atunci când o unitate se defectează, schimbarea la cald asigură o recuperare transparentă pentru utilizatori. Cu toate acestea, viteza de transfer și viteza de acces cu un singur disc care nu funcționează sunt reduse considerabil datorită faptului că controlerul trebuie să recupereze datele din informații redundante. Adevărat, există o excepție de la această regulă - sistemele RAID de nivelurile 2, 3, 4, când o unitate cu informații redundante eșuează, încep să funcționeze mai repede! Acest lucru este natural, deoarece în acest caz nivelul „din zbor” se schimbă la zero, care are caracteristici excelente de viteză.
CONCLUZIE: Având în vedere specificul întreprinderii, cea mai bună opțiune pentru utilizarea matricei este o matrice RAID 5 deoarece are o viteză de citire-scriere destul de mare (viteza de citire este mai mică decât RAID 4) și redundanță scăzută, adică. este economic.
Filtrarea prin parole și adrese MAC ar trebui să vă protejeze de hacking. De fapt, siguranța depinde în mare măsură de precauția ta. Metodele de securitate neadecvate, parolele necomplicate și o atitudine neglijentă față de străinii din rețeaua dvs. de domiciliu oferă atacatorilor oportunități suplimentare de atac. În acest articol, veți afla cum să spargeți o parolă WEP, de ce ar trebui să abandonați filtrele și cum să vă securizați rețeaua wireless din toate părțile.
Protecție împotriva oaspeților neinvitați
Rețeaua dvs. nu este sigură, prin urmare, mai devreme sau mai târziu, un străin se va conecta la rețeaua dvs. wireless - poate nici măcar intenționat, deoarece smartphone-urile și tabletele se pot conecta automat la rețelele nesecurizate. Dacă doar deschide mai multe site-uri, atunci, cel mai probabil, nu se va întâmpla nimic rău în afară de consumul de trafic. Situația va deveni mai complicată dacă un oaspete începe să descarce conținut ilegal prin conexiunea ta la internet.
Dacă nu ați luat încă măsuri de securitate, atunci accesați interfața routerului printr-un browser și modificați datele de acces la rețea. Adresa routerului arată de obicei astfel: http://192.168.1.1. Dacă nu este cazul, atunci puteți afla adresa IP a dispozitivului dvs. de rețea prin linia de comandă. În sistemul de operare Windows 7, faceți clic pe butonul „Start” și introduceți comanda „cmd” în bara de căutare. Apelați setările de rețea cu comanda „ipconfig” și găsiți linia „gateway implicită”. IP-ul specificat este adresa routerului dvs., care trebuie introdusă în bara de adrese a browserului. Locația setărilor de securitate ale routerului diferă în funcție de producător. De regulă, acestea sunt situate într-o secțiune cu numele „WLAN | Siguranţă".
Dacă rețeaua dvs. fără fir folosește o conexiune nesecurizată, ar trebui să fiți deosebit de atenți la conținutul care se află în foldere partajate, deoarece dacă nu este protejat, acesta va fi disponibil pentru alți utilizatori. În același timp, în sistemul de operare Windows XP Home, situația cu acces partajat este pur și simplu catastrofală: implicit, parolele nu pot fi setate aici deloc - această funcție este prezentă doar în versiunea profesională. În schimb, toate solicitările de rețea sunt făcute printr-un cont de invitat nesecurizat. Vă puteți securiza rețeaua în Windows XP folosind o mică manipulare: lansați linia de comandă, introduceți „net user guest YourNewPassword” și confirmați operația apăsând tasta „Enter”. După repornirea Windows, veți putea accesa resursele de rețea numai dacă aveți o parolă, totuși, din păcate, nu este posibilă o reglare mai fină în această versiune a sistemului de operare. Gestionarea setărilor de partajare este mult mai convenabilă în Windows 7. Aici, pentru a limita numărul de utilizatori, trebuie doar să accesați „Centrul de rețea și partajare” din Panoul de control și să creați un grup de acasă protejat prin parolă.
Lipsa unei protecții adecvate într-o rețea fără fir este o sursă de alte pericole, deoarece hackerii pot folosi programe speciale (sniffer) pentru a identifica toate conexiunile neprotejate. În acest fel, hackerilor le va fi ușor să vă intercepteze datele de identificare de la diverse servicii.
Hackerii
Ca și înainte, cele mai populare două metode de securitate astăzi sunt filtrarea adresei MAC și ascunderea SSID-ului (numele rețelei): aceste măsuri de securitate nu vă vor menține în siguranță. Pentru a identifica numele rețelei, un atacator are nevoie doar de un adaptor WLAN, care trece în modul de monitorizare folosind un driver modificat și de un sniffer - de exemplu, Kismet. Atacatorul monitorizează rețeaua până când un utilizator (client) se conectează la ea. Apoi manipulează pachetele de date și, prin urmare, scoate clientul din rețea. Când utilizatorul se reconecta, atacatorul vede numele rețelei. Pare complicat, dar de fapt întregul proces durează doar câteva minute. Ocolirea filtrului MAC este, de asemenea, ușoară: atacatorul determină adresa MAC și o atribuie dispozitivului său. Astfel, conexiunea unui străin rămâne neobservată de proprietarul rețelei.
Dacă dispozitivul dvs. acceptă doar criptarea WEP, luați măsuri imediate - o astfel de parolă poate fi spartă chiar și de către persoane care nu sunt profesioniști în câteva minute.
Deosebit de popular printre fraudătorii cibernetici este pachetul software Aircrack-ng, care, pe lângă sniffer, include o aplicație pentru descărcarea și modificarea driverelor adaptoarelor WLAN și, de asemenea, vă permite să recuperați cheia WEP. Metodele de hacking binecunoscute sunt atacurile PTW și FMS/KoreK, în care traficul este interceptat și se calculează o cheie WEP pe baza analizei acesteia. În această situație, aveți doar două opțiuni: în primul rând, ar trebui să căutați cel mai recent firmware pentru dispozitivul dvs., care va accepta cele mai recente metode de criptare. Dacă producătorul nu furnizează actualizări, este mai bine să refuzați să utilizați un astfel de dispozitiv, deoarece, făcând acest lucru, puneți în pericol securitatea rețelei dvs. de acasă.
Sfatul popular de a reduce raza Wi-Fi oferă doar aspectul de protecție. Vecinii se vor putea conecta în continuare la rețeaua dvs., dar atacatorii folosesc adesea adaptoare Wi-Fi cu o rază mai lungă de acțiune.
Hotspot-uri publice
Locurile cu Wi-Fi gratuit atrag fraudatorii cibernetici, deoarece prin ele trec cantități uriașe de informații și oricine poate folosi instrumente de hacking. Hotspot-urile publice pot fi găsite în cafenele, hoteluri și alte locuri publice. Dar alți utilizatori ai acelorași rețele vă pot intercepta datele și, de exemplu, pot prelua controlul asupra conturilor dvs. pe diferite servicii web.
Protecție cookie. Unele metode de atac sunt cu adevărat atât de simple încât oricine le poate folosi. Extensia Firesheep pentru browserul Firefox citește și listează automat conturile altor utilizatori, inclusiv Amazon, Google, Facebook și Twitter. Dacă un hacker dă clic pe una dintre intrările din listă, va avea imediat acces complet la cont și poate modifica datele utilizatorului la discreția sa. Firesheep nu sparge parole, ci doar copiază module cookie active, necriptate. Pentru a vă proteja de astfel de interceptări, ar trebui să utilizați suplimentul special HTTPS Everywhere pentru Firefox. Această extensie obligă serviciile online să utilizeze întotdeauna o conexiune criptată prin HTTPS, dacă este acceptată de serverul furnizorului de servicii.
Protecție Android.În trecutul recent, a fost atrasă atenția pe scară largă asupra unui defect al sistemului de operare Android, care ar putea permite escrocilor să obțină acces la conturile dvs. în servicii precum Picasa și Google Calendar, precum și să vă citească contactele. Google a remediat această vulnerabilitate în Android 2.3.4, dar majoritatea dispozitivelor achiziționate anterior de utilizatori au versiuni mai vechi ale sistemului instalate. Pentru a le proteja, puteți utiliza aplicația SyncGuard.
WPA 2
Cea mai bună protecție este oferită de tehnologia WPA2, care este folosită de producătorii de echipamente informatice din 2004. Majoritatea dispozitivelor acceptă acest tip de criptare. Dar, ca și alte tehnologii, WPA2 are și punctul său slab: folosind un atac de dicționar sau metoda bruteforce, hackerii pot sparge parole - totuși, doar dacă acestea nu sunt de încredere. Dicționarele parcurg pur și simplu cheile stocate în bazele lor de date - de regulă, toate combinațiile posibile de numere și nume. Parole precum „1234” sau „Ivanov” sunt ghicite atât de repede încât computerul hackerului nici măcar nu are timp să se încălzească.
Metoda bruteforce nu presupune utilizarea unei baze de date gata făcute, ci, dimpotrivă, selectarea unei parole prin listarea tuturor combinațiilor posibile de caractere. În acest fel, un atacator poate calcula orice cheie - singura întrebare este cât timp îi va lua. NASA, în ghidurile sale de securitate, recomandă o parolă de cel puțin opt caractere și, de preferință, șaisprezece. În primul rând, este important ca acesta să fie format din litere mici și mari, cifre și caractere speciale. Un hacker i-ar lua zeci de ani pentru a sparge o astfel de parolă.
Rețeaua dvs. nu este încă complet protejată, deoarece toți utilizatorii din cadrul acesteia au acces la router și pot face modificări setărilor acestuia. Unele dispozitive oferă caracteristici de securitate suplimentare de care ar trebui să profitați.
În primul rând, dezactivați capacitatea de a manipula routerul prin Wi-Fi. Din păcate, această caracteristică este disponibilă numai pe anumite dispozitive, cum ar fi routerele Linksys. Toate modelele de routere moderne au, de asemenea, capacitatea de a seta o parolă pentru interfața de gestionare, care vă permite să restricționați accesul la setări.
Ca orice program, firmware-ul routerului este imperfect - nu sunt excluse mici defecte sau găuri critice în sistemul de securitate. De obicei, informațiile despre acest lucru se răspândesc instantaneu pe internet. Verificați în mod regulat dacă există firmware nou pentru routerul dvs. (unele modele au chiar și o funcție de actualizare automată). Un alt avantaj al flashării firmware-ului este că poate adăuga noi funcții dispozitivului.
Analiza periodică a traficului din rețea ajută la recunoașterea prezenței oaspeților neinvitați. În interfața de gestionare a routerului puteți găsi informații despre dispozitivele conectate la rețeaua dvs. și când. Este mai dificil să aflați câte date a descărcat un anumit utilizator.
Acces invitat - un mijloc de a vă proteja rețeaua de acasă
Dacă vă protejați routerul cu o parolă puternică folosind criptarea WPA2, nu veți mai fi în niciun pericol. Dar numai până când vă împărtășiți parola cu alți utilizatori. Prietenii și cunoștințele care, cu smartphone-urile, tabletele sau laptopurile lor, doresc să acceseze internetul prin conexiunea dumneavoastră sunt un factor de risc. De exemplu, nu poate fi exclusă posibilitatea ca dispozitivele lor să fie infectate cu malware. Cu toate acestea, nu va trebui să vă refuzați prietenii din acest motiv, deoarece modelele de routere de top, cum ar fi Belkin N sau Netgear WNDR3700, oferă acces oaspeților special pentru astfel de cazuri. Avantajul acestui mod este că routerul creează o rețea separată cu propria sa parolă, iar cea de acasă nu este utilizată.
Fiabilitatea cheii de securitate
WEP (WIRED ECHIVALENT PRIVACY). Utilizează un generator de numere pseudoaleatoare (algoritm RC4) pentru a obține cheia, precum și vectori de inițializare. Deoarece ultima componentă nu este criptată, este posibil ca terții să intervină și să recreeze cheia WEP.
WPA (ACCES PROTEJAT WI-FI) Bazat pe mecanismul WEP, dar oferă o cheie dinamică pentru securitate sporită. Cheile generate folosind algoritmul TKIP pot fi sparte folosind atacul Bek-Tevs sau Ohigashi-Moriya. Pentru a face acest lucru, pachetele individuale sunt decriptate, manipulate și trimise înapoi în rețea.
WPA2 (ACCES PROTEJAT WI-FI 2) Utilizează algoritmul de încredere AES (Advanced Encryption Standard) pentru criptare. Odată cu TKIP, a fost adăugat și protocolul CCMP (Counter-Mode/CBC-MAC Protocol), care se bazează tot pe algoritmul AES. Până acum, o rețea protejată de această tehnologie nu putea fi piratată. Singura opțiune pentru hackeri este un atac de dicționar sau „metoda de forță brută”, când cheia este ghicită prin ghicire, dar cu o parolă complexă este imposibil să o ghicim.
Rețelele fără fir sunt mai convenabile decât cele cu fir, dar pot fi și vulnerabili la hackeri și programe malware (cum ar fi viermii). Deoarece rețelele wireless folosesc unde radio care pot trece prin pereți, semnalul rețelei poate călători în afara casei.
Dacă nu încercați să vă securizați rețeaua, utilizatorii de computere din apropiere vor putea accesa datele stocate pe computerele din rețeaua dvs. și vor putea folosi conexiunea la internet. Setând o cheie de securitate în rețeaua dvs. fără fir, vă puteți proteja împotriva accesului neautorizat.
Modalități de a vă asigura rețeaua wireless
Rețeaua wireless trebuie configurată astfel încât numai utilizatorii selectați să aibă acces la ea.
Mai jos sunt descrise mai multe opțiuni de securitate wireless:
Tehnologie de acces protejat Wi-Fi (WPA și WPA2)
Tehnologie de acces protejat prin Wi-Fi criptează informațiile și verifică dacă cheia de securitate a rețelei nu a fost modificată. În plus, tehnologia Wi-Fi Protected Access autentifică utilizatorii pentru a se asigura că numai utilizatorii autorizați pot accesa rețeaua.
Există două tipuri de autentificare WPA: WPA și WPA2.
tip WPA este conceput pentru a funcționa cu toate adaptoarele de rețea fără fir, dar nu este compatibil cu routere sau puncte de acces mai vechi. Tip WPA2 este mai sigur decât WPA, dar nu este compatibil cu unele adaptoare de rețea mai vechi.
Tehnologia WPA este concepută pentru a fi utilizată cu un server de autentificare 802.1x, care creează o cheie diferită pentru fiecare utilizator. Apoi se numește WPA-Enterprise sau WPA2-Enterprise. Poate fi folosit și în modul Pre-Shared Key (PSK), în care fiecare utilizator primește aceeași expresie de acces. Apoi se numește WPA-Personal sau WPA2-Personal.
Protocolul de confidențialitate echivalent prin cablu (WEP).
WEP, ca metodă veche de securitate a rețelei, este încă disponibilă pentru a suporta dispozitive mai vechi, mai mult utilizarea nu este recomandată. Activarea WEP setează o cheie de securitate a rețelei. Această cheie de criptare este trimisă printr-o rețea de la un computer la altul. Cu toate acestea, securitatea WEP este relativ ușor de piratat.
Atenţie! Se recomandă utilizarea WPA2 ori de câte ori este posibil. WEP nu este recomandat. WPA sau WPA2 este mai sigur. Dacă încercați să rulați WPA sau WPA2 și nu funcționează, este recomandat să actualizați adaptorul de rețea pentru a funcționa cu una dintre tehnologiile WPA sau WPA2 funcționale.
Autentificare 802.1x
Autentificare 802.1x poate spori securitatea rețelelor wireless 802.11 și Ethernet. Autentificarea 802.1x folosește un server de autentificare pentru a verifica utilizatorii și pentru a acorda permisiunea de a accesa rețeaua. În rețelele fără fir, autentificarea 802.1x poate fi utilizată cu chei de protocol WPA, WPA2 sau WEP. Acest tip de autentificare este utilizat de obicei pentru a se conecta la o rețea la locul de muncă.
