Стандарты WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) и WPA2 (Wi-Fi Protected Access II), которые будут вам предложены на выбор при настройке параметров безопасности беспроводной сети, представляют собой основные алгоритмы защиты информации. WEP является старейшим из них и наиболее уязвимым, так как за время его использования в нем было обнаружено множество слабых мест. WPA дает более совершенную защиту, но по имеющимся данным он также подвержен взлому. WPA2 – в настоящее время развивающийся стандарт – на текущий момент является самым распространенным вариантом защиты. TKIP (Temporal Key Integrity Protocol) и AES (Advanced Encryption Standard) представляют собой два различных типа шифрования, которые могут применяться в стандарте WPA2. Давайте посмотрим, чем они отличаются и какой из них в наибольшей степени подходит вам.
TKIP и AES представляют собой два различных стандарта шифрования, которые могут использоваться в сетях Wi-Fi. TKIP – более старый протокол шифрования, введенный в свое время стандартом WPA взамен крайне ненадежного алгоритма WEP. На самом деле TKIP во многом подобен алгоритму шифрования WEP. TKIP уже не считается надежным методом защиты и в настоящее время не рекомендуется. Другими словами, вам не следует его использовать.
AES – более надежный протокол шифрования, введенный стандартом WPA2. AES – это не какой-нибудь унылый, тот или другой стандарт, разработанный специально для сетей Wi-Fi. Это серьезный мировой стандарт шифрования, взятый на вооружение даже правительством США. Например, когда вы зашифровываете жесткий диск с помощью программы TrueCrypt, она может использовать для этого алгоритм шифрования AES. AES является общепризнанным стандартом, обеспечивающим практически полную безопасность, а его возможные слабые места – потенциальная восприимчивость к атакам методом «грубой силы» (для противодействия которым применяются достаточно сложные кодовые фразы) и недостатки защиты, связанные с другими аспектами WPA2.
Усеченный вариант защиты – TKIP, более старый протокол шифрования, используемый стандартом WPA. AES для Wi-Fi – более новое решение в части шифрования, применяемое в новом и безопасном стандарте WPA2. В теории на этом можно было бы закончить. Но на практике, в зависимости от вашего роутера, простого выбора WPA2 может оказаться недостаточно.
Хотя стандарт WPA2 для оптимальной защиты предполагает использование AES, он может использовать и TKIP – там, где требуется обратная совместимость с устройствами предыдущих поколений. При таком раскладе устройства, поддерживающие WPA2, будут подключаться в соответствии с WPA2, а устройства, поддерживающие WPA, будут подключаться в соответствии с WPA. То есть «WPA2» не всегда означает WPA2-AES. Тем не менее, на устройствах без явного указания опций «TKIP» или «AES» WPA2 обычно является синонимом WPA2-AES.
Аббревиатура «PSK» в полном наименовании этих опций расшифровывается как «pre-shared key» – ваша кодовая фраза (ключ шифра). Это отличает персональные стандарты от WPA-Enterprise, в котором используется RADIUS-сервер для выдачи уникальных ключей в больших корпоративных или правительственных сетях Wi-Fi.
Еще более сложно? Ничего удивительного. Но всё, что вам на самом деле нужно сделать – это найти в рабочем списке вашего устройства одну, обеспечивающую наибольшую защиту опцию. Вот наиболее вероятный список опций вашего роутера:
Поскольку ваше устройство с возможностью подключения к сети Wi-Fi скорее всего моложе 11 лет, вы можете чувствовать себя спокойно, просто выбирая опцию WPA2-PSK (AES). Установив эту опцию, вы также сможете проверить работоспособность вашего устройства. Если устройство перестает работать, вы всегда сможете вернуть или обменять его. Хотя, если безопасность имеет для вас большое значение, вы можете просто купить новое устройство, произведенное не ранее 2006 г.
Выбираемые в целях совместимости опции WPA и TKIP могут еще и замедлить работу сети Wi-Fi. Многие современные роутеры Wi-Fi, поддерживающие 802.11n или более новые и быстрые стандарты, будут снижать скорость до 54 Мбит/с, если вы установите на них опцию WPA или TKIP, – для обеспечения гарантированной совместимости с гипотетическими старыми устройствами.
Для сравнения, при использовании WPA2 с AES даже стандарт 802.11n поддерживает скорость до 300 Мбит/с, а стандарт 802.11ac предлагает теоретическую максимальную скорость 3,46 Гбит/с при оптимальных (читай: идеальных) условиях.
В большинстве роутеров, как мы уже убедились, список опций обычно включает в себя WEP, WPA (TKIP) и WPA2 (AES) – и, возможно, смешанную опцию режима максимальной совместимости WPA (TKIP) + WPA2 (AES), добавленную с лучшими намерениями.
Если у вас роутер необычного типа, который предлагает WPA2 или вместе с TKIP, или вместе с AES, выбирайте AES. Почти все ваши устройства точно будут с ним работать, к тому же более быстро и более безопасно. AES – простой и рациональный выбор.
Несомненно, многие пользователи компьютеров, работающие с интернетом (и не только), слышали о таком термине, как AES. Что это за система, какие алгоритмы она использует и для чего применяется, имеет представление достаточно ограниченный круг людей. Обычному юзеру это по большому счету знать и не нужно. Тем не менее рассмотрим эту криптографическую систему, особо не вникая в сложные математические вычисления и формулы, чтобы это было понятно любому человеку.
Начнем с того, что сама по себе система представляет набор алгоритмов, позволяющих скрыть начальный вид каких-то передаваемых, получаемых пользователем или хранимых на компьютере данных. Чаще всего она применяется в интернет-технологиях, когда требуется обеспечить полную конфиденциальность информации, и относится к так называемым алгоритмам симметричного шифрования.
Тип шифрования AES предполагает использование для преобразования информации в защищенный вид и обратного декодирования одного и того же ключа, который известен и отправляющей, и принимающей стороне, в отличие от симметричного шифрования, в котором предусмотрено применение двух ключей - закрытого и открытого. Таким образом, нетрудно сделать вывод, что, если обе стороны знают правильный ключ, процесс шифрования и дешифровки производится достаточно просто.
Впервые AES-шифрование упоминается еще в 2000 году, когда на конкурсе выбора преемника системы DES, которая являлась стандартом в США с 1977 года, победителем стал алгоритм Rijndael.
В 2001 году AES-система была официально принята в качестве нового федерального стандарта шифрования данных и с тех пор используется повсеместно.
Включала в себя несколько промежуточных стадий, которые в основном были связаны с увеличением длины ключа. Сегодня различают три основных типа: AES-128-шифрование, AES-192 и AES-256.
Название говорит само за себя. Цифровое обозначение соответствует длине применяемого ключа, выраженной в битах. Кроме того, AES-шифрование относится к блочному типу, который работает непосредственно с блоками информации фиксированной длины, шифруя каждый из них, в отличие от поточных алгоритмов, оперирующих единичными символами открытого сообщения, переводя их в зашифрованный вид. В AES длина блока составляет 128 бит.
Если говорить научным языком, те же алгоритмы, которые использует AES-256-шифрование, подразумевают операции на основе полиноминального представления операций и кодов при обработке двумерных массивов (матриц).
Алгоритм работы достаточно сложен, однако включает в себя использование нескольких базовых элементов. Изначально применяется двумерная матрица, циклы преобразования (раунды), раундовый ключ и таблицы начальной и обратной подстановок.
Процесс шифрования данных состоит из нескольких этапов:
Дешифровка производится в обратном порядке, но вместо таблицы S-Box применяется таблица обратных постановок, которая была упомянута выше.
Если привести пример, при наличии ключа длиной 4 бита для перебора потребуется всего 16 стадий (раундов), то есть необходимо проверить все возможные комбинации, начиная с 0000 и заканчивая 1111. Естественно, такая защита взламывается достаточно быстро. Но если взять ключи побольше, для 16 бит потребуется 65 536 стадий, а для 256 бит - 1,1 х 10 77 . И как было заявлено американскими специалистами, на подбор правильной комбинации (ключа) уйдет порядка 149 триллионов лет.
Теперь перейдем к использованию AES-256 при шифровании передаваемых и принимаемых данных в беспроводных сетях.
Как правило, в любом имеется несколько параметров на выбор: только AES, только TKIP и AES+TKIP. Они применяются в зависимости от протокола (WEP или WEP2). Но! TKIP является устаревшей системой, поскольку обладает меньшей степенью защиты и не поддерживает подключения 802.11n со скоростью передачи данных, превышающей 54 Мбит/с. Таким образом, вывод о приоритетном использовании AES вместе с режимом безопасности WPA2-PSK напрашивается сам собой, хотя можно задействовать оба алгоритма в паре.
Несмотря на громкие заявления специалистов, алгоритмы AES теоретически все же уязвимы, поскольку сама природа шифрования имеет простое алгебраическое описание. Это отмечал еще Нильс Фергюссон. А в 2002 году Йозеф Пепшик и Николя Куртуа опубликовали статью, обосновывающую потенциально возможную атаку XSL. Правда, она в научном мире вызвала много споров, и некоторые посчитали их вычисления ошибочными.
В 2005 году было сделано предположение о том, что атака может использовать сторонние каналы, а не только математические вычисления. При этом одна из атак вычислила ключ после 800 операций, а другая получила его через 2 32 операций (на восьмом раунде).
Вне всяких сомнений, на сегодняшний день эта система и могла бы считаться одной из самых продвинутых, если бы не одно но. Несколько лет назад по интернету прокатилась волна вирусных атак, при которых вирус-шифровальщик (а по совместительству еще и вымогатель), проникая на компьютеры, полностью шифровал данные, требуя за дешифрацию кругленькую сумму денег. При этом в сообщении отмечалось, что шифрование производилось с использованием алгоритма AES1024, которого, как считалось до недавних пор, в природе не существует.
Так это или нет, но даже самые известные разработчики антивирусного ПО, включая и «Лабораторию Касперского», при попытке расшифровки данных оказались бессильны. Многие специалисты признали, что пресловутый в свое время поразивший миллионы компьютеров во всем мире и уничтоживший на них важную информацию, в сравнении с этой угрозой оказался детским лепетом. К тому же I Love You больше был нацелен на файлы мультимедиа, а новый вирус получал доступ исключительно к конфиденциальной информации крупных корпораций. Впрочем, утверждать со всей очевидностью, что здесь использовалось именно шифрование AES-1024, никто не берется.
Если подвести некий итог, в любом случае можно сказать, что AES-шифрование на сегодняшний день является самым продвинутым и защищенным, независимо от того, какая применяется длина ключа. Неудивительно, что именно этот стандарт используется в большинстве криптосистем и имеет достаточно широкие перспективы на развитие и усовершенствование в обозримом будущем, тем более что очень вероятным может оказаться и объединение нескольких типов шифрования в одно целое (например, параллельное использование симметричного и асимметричного или блочного и потокового шифрования).
WPA шифрование подразумевает использование защищенной сети Wi-Fi. Вообще, WPA расшифровывается как Wi-Fi Protected Access, то есть защищенный .
Большинство системных администраторов умеют настраивать этот протокол и знают о нем достаточно много.
Но и обычные люди могут узнать достаточно много о том, что же такое WPA, как его настроить и как использовать.
Правда, в интернете можно найти множество статей по этому поводу, из которых невозможно ничего понять. Поэтому сегодня мы будем говорить простым языком о сложных вещах.
Итак, WPA – это протокол, технология, программа, которая содержит в себе набор сертификатов, используемых при передаче .
Если проще, эта технология позволяет использовать различные методы для защиты Wi-Fi сети.
Это может быть электронный ключ, он же – специальное свидетельство о праве использования данной сети (дальше мы об этом поговорим).
В общем, при помощи этой программы использовать сеть смогут только те, кто имеет на это право и это все, что Вам нужно знать.
Для справки: Аутентификация – это средство защиты, которое позволяет установить подлинность лица и его право на доступ к сети, при помощи сопоставления сообщенных им и ожидаемых данных.
К примеру, человек может проходить аутентификацию, когда прикладывает свой . Если он просто вводит логин и пароль, это только авторизация.
Но отпечаток пальца позволяет проверить, действительно ли заходит этот человек, а не кто-то взял его данные и вошел с их помощью.
Рис. 1. Сканер отпечатка пальца на смартфоне
А также на схеме есть WLC – контроллер беспроводной локальной сети. Справа расположен сервер аутентификации.
Все это соединяет обычный Switch (устройство, которое просто соединяет различные сетевые устройства). С контроллера посылается ключ на сервер аутентификации, запоминается там.
Клиент при попытке подключиться к сети должен передать на LAP ключ, который он знает. Этот ключ попадает на сервер аутентификации и сравнивается с нужным ключом.
Если ключи совпадают, сигнал свободно распространяется к клиенту.
Рис. 2. Примерная схема WPA в Cisco Pocket Tracer
Как мы говорили выше, WPA использует специальные ключи, которые генерируются при каждой попытке начать передачу сигнала, то есть включить Wi-Fi, а также меняются раз в некоторое время.
В WPA входит сразу несколько технологий, которые и помогают генерировать и передавать эти самые ключи.
Ниже, на рисунке, показана общая формула, в которую входят все составляющие рассматриваемой технологии.
Рис. 3. Формула с составляющими WPA
А теперь рассмотрим каждую из этих составляющих по отдельности:
Стоит сказать, что сейчас уже есть WPA2, в котором, кроме всего вышесказанного, используются также CCMP и шифрование AES.
Мы не будем сейчас говорить о том, что это такое, но WPA2 надежнее, чем WPA. Это все, что Вам точно нужно знать.
Еще раз с самого начала
Итак, у Вас есть . В сети используется технология WPA.
Чтобы подключиться к Wi-Fi, каждое устройство должно предоставить сертификат пользователя, а если проще, то специальный ключ, выданный сервером аутентификации.
Только тогда он сможет использовать сеть. Вот и все!
Теперь Вы знаете, что же такое WPA. Теперь поговорим о том, чем хороша и чем плоха эта технология.
К преимуществам данной технологии стоило бы отнести следующее:
Конечно же, есть у данной технологии и недостатки, причем они зачастую оказываются весьма значительными. В частности, речь идет вот о чем:
Конечно, чтобы воспользоваться всеми этими уязвимостями и проблемами, необходимо иметь особенные знания в области построения компьютерных сетей.
Большинству рядовых пользователей все это недоступно. Поэтому Вы можете особо не переживать о том, что кто-то получит доступ к Вашему Wi-Fi.
Рис. 4. Взломщик и компьютер
Сегодня не назовешь чем-то из ряда вон выходящим. Однако при этом многие юзеры (особенно владельцы мобильных устройств) сталкиваются с проблемой, какую систему защиты использовать: WEP, WPA или WPA2-PSK. Что это за технологии, мы сейчас и посмотрим. Однако наибольшее внимание будет уделено именно WPA2-PSK, поскольку именно эта протекция является сегодня наиболее востребованной.
Скажем сразу: это система защиты любого локального подключения к беспроводной сети на основе WI-Fi. К проводным системам на основе сетевых карт, использующих непосредственное соединение при помощи Ethernet, это не имеет никакого отношения.
С применением технологии WPA2-PSK сегодня является наиболее «продвинутой». Даже несколько устаревающие методы, требующие запрос логина и пароля, а также предполагающие шифрование конфиденциальных данных при приеме-передаче, выглядят, мягко говоря, детским лепетом. И вот почему.
Итак, начнем с того, что еще недавно самой безопасной технологией защиты соединения считалась структура WEP. Она использовала проверку целостности ключа при беспроводном подключении любого девайса и являлась стандартом IEEE 802. 11i.
Защита WiFi-сети WPA2-PSK работает, в принципе, почти так же, однако проверку ключа доступа осуществляет на уровне 802. 1X. Иными словами, система проверяет все возможные варианты.
Однако есть и более нова технология, получившая название WPA2 Enterprise. В отличие от WPA, она предусматривает не только затребование персонального ключа доступа, но и наличие предоставляющего доступ сервера Radius. При этом такой алгоритм проверки подлинности может работать одновременно в нескольких режимах (например, Enterprise и PSK, задействовав при этом шифрование уровня AES CCMP).
Равно как и уходящие в прошлое, современные методы защиты используют один и тот же протокол. Это TKIP (система защиты WEP, основанная на обновлении программного обеспечения и алгоритме RC4). Все это предполагает ввод временного ключа для доступа к сети.
Как показало практическое использование, сам по себе такой алгоритм особой защищенности подключения в беспроводной сети не дал. Именно поэтому были разработаны новые технологии: сначала WPA, а затем WPA2, дополненные PSK (персональный ключ доступа) и TKIP (временный ключ). Кроме того, сюда же были включены данных при приеме-передаче, сегодня известные как стандарт AES.
Тип безопасности WPA2-PSK появился относительно недавно. До этого, как уже было сказано выше, использовалась система WEP в сочетании с TKIP. Защита TKIP есть не что иное, как средство увеличения разрядности ключа доступа. На данный момент считается, что базовый режим позволяет увеличить ключ с 40 до 128 бит. При всем этом можно также сменить один-единственный ключ WEP на несколько отличных, генерируемых и отсылаемых в автоматическом режиме самим сервером, производящим аутентификацию пользователя при входе.
Кроме того, сама система предусматривает использование строгой иерархии распределения ключей, а также методики, позволяющей избавиться от так называемой проблемы предсказуемости. Иными словами, когда, допустим, для беспроводной сети, использующей защиту WPA2-PSK, пароль задается в виде последовательности типа «123456789», нетрудно догадаться, что те же программы-генераторы ключей и паролей, обычно называемые KeyGen или чем-то вроде этого, при вводе первых четырех знаков могут автоматически сгенерировать четыре последующих. Тут, как говорится, не нужно быть уникумом, чтобы угадать тип используемой секвенции. Но это, как, наверное, уже понято, самый простой пример.
Что касается даты рождения пользователя в пароле, это вообще не обсуждается. Вас запросто можно вычислить по тем же регистрационным данным в социальных сетях. Сами же цифровые пароли такого типа являются абсолютно ненадежными. Уж лучше использовать совместно цифры, литеры, а также символы (можно даже непечатаемые при условии задания сочетания «горячих» клавиш) и пробел. Однако даже при таком подходе взлом WPA2-PSK осуществить можно. Тут нужно пояснить методику работы самой системы.
Теперь еще несколько слов о системе WPA2-PSK. Что это такое в плане практического применения? Это совмещение нескольких алгоритмов, так сказать, в рабочем режиме. Поясним ситуацию на примере.
В идеале секвенция исполнения процедуры защиты подключения и шифрования передающейся или принимающейся информации сводится к следующему:
WPA2-PSK (WPA-PSK) + TKIP + AES.
При этом здесь главную роль играет общий ключ (PSK) длиной от 8 до 63 символов. В какой именно последовательности будут задействованы алгоритмы (то ли сначала произойдет шифрование, то ли после передачи, то ли в процессе с использованием случайных промежуточных ключей и т. д.), не суть важно.
Но даже при наличии защиты и системы шифрования на уровне AES 256 (имеется в виду разрядность ключа шифра) взлом WPA2-PSK для хакеров, сведущих в этом деле, будет задачей хоть и трудной, но возможной.
Еще в 2008 году на состоявшейся конференции PacSec была представлена методика, позволяющая взломать беспроводное соединение и прочитать передающиеся данные с маршрутизатора на клиентский терминал. Все это заняло около 12-15 минут. Однако взломать обратную передачу (клиент-маршрутизатор) так и не удалось.
Дело в том, что при включенном режиме маршрутизатора QoS можно не только прочитать передаваемую информацию, но и заменить ее поддельной. В 2009 году японские специалисты представили технологию, позволяющую сократить время взлома до одной минуты. А в 2010 году в Сети появилась информация о том, что проще всего взламывать модуль Hole 196, присутствующий в WPA2, с использованием собственного закрытого ключа.
Ни о каком вмешательстве в генерируемые ключи речь не идет. Сначала используется так называемая атака по словарю в сочетании с «брут-форс», а затем сканируется пространство беспроводного подключения с целью перехвата передаваемых пакетов и их последующей записью. Достаточно пользователю произвести подключение, как тут же происходит его деавторизация, перехват передачи начальных пакетов (handshake). После этого даже нахождение поблизости от основной точки доступа не требуется. Можно преспокойно работать в режиме оффлайн. Правда, для совершения всех этих действий понадобится специальное ПО.
По понятным причинам, здесь полный алгоритм взлома соединения приводиться не будет, поскольку это может быть использовано как некая инструкция к действию. Остановимся только на главных моментах, и то - только в общих чертах.
Как правило, при непосредственном доступе к роутеру его можно перевести в так называемый режим Airmon-NG для отслеживания трафика (airmon-ng start wlan0 - переименование беспроводного адаптера). После этого происходит захват и фиксация трафика при помощи команды airdump-ng mon0 (отслеживание данных канала, скорость маяка, скорость и метод шифрования, количество передаваемых данных и т. д.).
Далее задействуется команда фиксации выбранного канала, после чего вводится команда Aireplay-NG Deauth с сопутствующими значениями (они не приводятся по соображениям правомерности использования таких методов).
После этого (когда пользователь уже прошел авторизацию при подключении) юзера можно просто отключить от сети. При этом при повторном входе со взламывающей стороны система повторит авторизацию входа, после чего можно будет перехватить все пароли доступа. Далее возникнет окно с «рукопожатием» (handshake). Затем можно применить запуск специального файла WPAcrack, который позволит взломать любой пароль. Естественно, как именно происходит его запуск, никто и никому рассказывать не будет. Заметим только, что при наличии определенных знаний весь процесс занимает от нескольких минут до нескольких дней. К примеру, процессор уровня Intel, работающий на штатной тактовой частоте 2,8 ГГц, способен обрабатывать не более 500 паролей за одну секунду, или 1,8 миллиона в час. В общем, как уже понятно, не стоит обольщаться.
Вот и все, что касается WPA2-PSK. Что это такое, быть может, с первого прочтения понятно и не будет. Тем не менее основы защиты данных и применяемых систем шифрования, думается, поймет любой пользователь. Более того, сегодня с этим сталкиваются практически все владельцы мобильных гаджетов. Никогда не замечали, что при создании нового подключения на том же смартфоне система предлагает использовать определенный тип защиты (WPA2-PSK)? Многие просто не обращают на это внимания, а зря. В расширенных настройках можно задействовать достаточно большое количество дополнительных параметров с целью улучшения системы безопасности.
WPA шифрование подразумевает использование защищенной сети Wi-Fi. Вообще, WPA расшифровывается как Wi-Fi Protected Access, то есть защищенный доступ к Wi-Fi.
Большинство системных администраторов умеют настраивать этот протокол и знают о нем достаточно много.
Но и обычные люди могут узнать достаточно много о том, что же такое WPA, как его настроить и как использовать.
Правда, в интернете можно найти множество статей по этому поводу, из которых невозможно ничего понять. Поэтому сегодня мы будем говорить простым языком о сложных вещах.
Итак, WPA – это протокол, технология, программа, которая содержит в себе набор сертификатов, используемых при передаче сигнала Wi-Fi.
Если проще, эта технология позволяет использовать различные методы аутентификации для защиты Wi-Fi сети.
Это может быть электронный ключ, он же – специальное свидетельство о праве использования данной сети (дальше мы об этом поговорим).
В общем, при помощи этой программы использовать сеть смогут только те, кто имеет на это право и это все, что Вам нужно знать.
Для справки: Аутентификация – это средство защиты, которое позволяет установить подлинность лица и его право на доступ к сети, при помощи сопоставления сообщенных им и ожидаемых данных.
К примеру, человек может проходить аутентификацию, когда прикладывает свой палец к сканнеру отпечатка пальца. Если он просто вводит логин и пароль, это только авторизация.
Но отпечаток пальца позволяет проверить, действительно ли заходит этот человек, а не кто-то взял его данные и вошел с их помощью.
Рис. 1. Сканер отпечатка пальца на смартфоне
Так вот, в компьютерных сетях также используются определенные способы подтверждения того, что доступ к сети получает именно то устройство, которое имеет на это право.
В WPA есть собственный набор таких способов. О них мы поговорим далее, а перед этим уточним несколько важных моментов.
Если Вы когда-то работали с Cisco Pocket Tracer (симулятор построения сетей от этой фирмы), то принцип работы данной технологии Вы сможете понять, если посмотрите на рисунок 2.
Предупреждение! В принципе, если Вы никогда не работали с Cisco Pocket Tracer, не заморачивайтесь. И без этой схемы Вам все будет понятно.
Там есть LAP – прибор, который осуществляет удаленное управление и передает сигнал клиенту, то есть компьютеру, который использует сигнал Wi-Fi.
А также на схеме есть WLC – контроллер беспроводной локальной сети. Справа расположен сервер аутентификации.
Все это соединяет обычный Switch (устройство, которое просто соединяет различные сетевые устройства). С контроллера посылается ключ на сервер аутентификации, запоминается там.
Клиент при попытке подключиться к сети должен передать на LAP ключ, который он знает. Этот ключ попадает на сервер аутентификации и сравнивается с нужным ключом.
Если ключи совпадают, сигнал свободно распространяется к клиенту.
Рис. 2. Примерная схема WPA в Cisco Pocket Tracer
Как мы говорили выше, WPA использует специальные ключи, которые генерируются при каждой попытке начать передачу сигнала, то есть включить Wi-Fi, а также меняются раз в некоторое время.
В WPA входит сразу несколько технологий, которые и помогают генерировать и передавать эти самые ключи.
Ниже, на рисунке, показана общая формула, в которую входят все составляющие рассматриваемой технологии.
Рис. 3. Формула с составляющими WPA
А теперь рассмотрим каждую из этих составляющих по отдельности:
Стоит сказать, что сейчас уже есть WPA2, в котором, кроме всего вышесказанного, используются также CCMP и шифрование AES.
Мы не будем сейчас говорить о том, что это такое, но WPA2 надежнее, чем WPA. Это все, что Вам точно нужно знать.
Еще раз с самого начала
Итак, у Вас есть Wi-Fi. В сети используется технология WPA.
Чтобы подключиться к Wi-Fi, каждое устройство должно предоставить сертификат пользователя, а если проще, то специальный ключ, выданный сервером аутентификации.
Только тогда он сможет использовать сеть. Вот и все!
Теперь Вы знаете, что же такое WPA. Теперь поговорим о том, чем хороша и чем плоха эта технология.
К преимуществам данной технологии стоило бы отнести следующее:
Конечно же, есть у данной технологии и недостатки, причем они зачастую оказываются весьма значительными. В частности, речь идет вот о чем:
Конечно, чтобы воспользоваться всеми этими уязвимостями и проблемами, необходимо иметь особенные знания в области построения компьютерных сетей.
Большинству рядовых пользователей все это недоступно. Поэтому Вы можете особо не переживать о том, что кто-то получит доступ к Вашему Wi-Fi.
Рис. 4. Взломщик и компьютер
Для пользователя настройка выглядит очень просто – он выбирает технологию WPA для шифрования пароля, с помощью которого он будет подключаться к сети.
Точнее, он использует WPA-PSK, то есть WPA не с ключом, а с паролем. Для этого он заходит в настройки роутера, находит там тип сетевой аутентификации и задает пароль.
Если более подробно, эта процедура выполняется следующим образом:
Рис. 5. Окно настройки роутера
Как можно заметить на рисунке 5, там есть также поле «WPA Encryption». Обычно эти два параметра (и «Authentication Method») указываются вместе.
Под параметром «Encryption» подразумевается тип шифрования. Существует всего два типа, которые используются вместе с WPA – TKIP и AES.
А также используются комбинации этих двух типов.
Что касается выбора типа шифрования, то вот Вам инструкции по этой теме:
Никаких других советов в этом случае быть не может. У TKIP безопасность слабее и этим все сказано.
Собственно, это все, что можно сказать о WPA шифровании.
Выше мы говорили о том, что у данной технологии есть достаточно много уязвимостей. Ниже Вы можете видеть, как они используются для взлома сети.
