WPA2-Enterprise vagy a megfelelő megközelítés a biztonsági wi-fi hálózat
Bármilyen kölcsönhatás a hozzáférési pont (hálózati), valamint a vezeték nélküli kliens épül:
- Azonosítás - az ügyfél és a hozzáférési pont be egymással, és megerősítik, hogy a jogot, hogy egymással kommunikálni;
- Titkosítás - amely algoritmus, hogy zavarják a továbbított adatok használunk titkosítási kulcs generálása, és ha megváltozik.
vezeték nélküli hálózati beállításokat az első helyen a nevét (SSID), rendszeresen hirdetett a hozzáférési pont által a szórt csomagokat. Amellett, hogy a várható biztonsági beállításokat keresztül továbbított QoS kívánja 802.11n paraméterek sebességeket más szomszédok és így tovább. Authentication határozza meg, hogy az ügyfél úgy tűnik, pont. A lehetőségek:
hálózati nyitottság nem jelenti azt, hogy bárki képes lesz dolgozni vele büntetlenül. Továbbítja a hálózati adatokat a kódolási algoritmus legyen véletlen, ezért helyes, hogy létrehoz egy titkosított kapcsolatot. Titkosítási algoritmusok a következők:
- Nincs - nincs titkosítás, az adatok a tiszta
- WEP - algoritmus alapján a RC4 titkosítás különböző hosszúságú statikus vagy dinamikus kulcsot (64 vagy 128 bit)
- CKIP - tulajdonosi WEP csere a Cisco, egy korai változatát TKIP
- TKIP - WEP fokozott csere további ellenőrzéseket és védelem
- AES / CCMP - a legfejlettebb algoritmus alapján AES256 további ellenőrzéseket és védelem
A kombináció a nyílt hitelesítés, titkosítás nincs széles körben használják a rendszereket, mint a vendég hozzáférés internet kávézókban vagy szállodában. Ha csatlakozni csak akkor kell tudni, hogy a vezeték nélküli hálózat nevét. Gyakran előfordul, hogy egy ilyen kapcsolat van kombinálva egy további ellenőrzést a Captive Portal átirányítja a felhasználót a HTTP-kérelem további oldal, ahol megerősítést kér (bejelentkezési név és jelszó, a szabályok betartását, stb.)
WEP titkosítás sérül, és nem lehet használni (még abban az esetben dinamikus kulcsokat).
Leggyakrabban előforduló WPA és WPA2 feltételek határozzák meg, sőt, a titkosító algoritmus (TKIP vagy AES). Tekintettel arra, hogy a hosszú ideig kiiensadapter támogatás WPA2 (AES), hogy használja TKIP titkosítási algoritmus nincs értelme.
Minden lehetséges biztonsági beállításokat -ról az alábbi táblázatban:
Ha WPA2 Personal (WPA2 PSK) Egyértelmű, cégmegoldás igényel további vizsgálatot.
WPA2 Enterprise
Használata WPA2 Enterprise megköveteli a RADIUS-szerver hálózat. A mai napig az a legjárhatóbb a következő termékek:
- Microsoft Network Policy Server (NPS), az egykori IAS - konfigurálható MMC, ingyenes, de meg kell vásárolni Windu
- Cisco Secure Access Control Server (ACS) 4.2, 5.3 - kinfiguriruetsya a webes felületen keresztül, navorochen a funkcionalitás, lehetővé teszi, hogy az elosztott és hibatűrő rendszerek drága
- FreeRADIUS - ingyen, konfigurálható szöveg config az irányítási és ellenőrzési nem kényelmes
Mindezek a módszerek (kivéve a EAP-FAST) szükséges egy szerver tanúsítványt (a RADIUS-kiszolgáló), ki kell írni a tanúsító hatóság (CA). Ugyanakkor CA tanúsítvány önmagában jelen kell lennie a kliens eszköz egy megbízható csoport (ami nem nehéz felismerni útján csoportházirend Windows). Továbbá, EAP-TLS egyéni ügyfél tanúsítványt. Ügyfél hitelesítése végezzük mind a digitális aláírás, így (nem kötelező) képest nyújtott RADIUS-kiszolgáló tanúsítványt az ügyfél, hogy a szerver kivonjuk a PKI-infrastruktúra (Active Directory).
Támogatás bármely EAP módszerek supplikantom kell biztosítani a kliens oldalon. Szabványos, beépített Windows XP / Vista / 7, iOS, Android egy minimális EAP-TLS, EAP-MSCHAPv2, ami a népszerűségét ezek a módszerek. A kliens Intel adapterek Windows alatt jön egy eszköz ProSet, bővíti a listából. Azt is teszi a Cisco AnyConnect Client.
Ez biztos
A végén, akkor kell egy támadó betörni a hálózat?
A Nyílt hitelesítés, Nincs titkosítás - semmi. Én csatlakozik a hálózathoz, és minden. Mivel a rádiós környezetben nyitva van, a jel terjed különböző irányokba, hogy nem könnyű blokkolni. A megfelelő kiiensadapter így hallgatni éter, a hálózati forgalom látható is, ha a támadó csatlakozik egy vezeték az agy, a SPAN-portos switch.
Titkosításhoz alapuló WEP, csak időre van szüksége, hogy lezárjuk IV, és az egyik a sok szabadon rendelkezésre álló szkennelő eszközök.
Titkosításra, annak alapján, TKIP vagy AES dekódolást elméletileg lehetséges, de a gyakorlatban az esetekben a hackelés nem teljesülnek.
Jut hálózathoz biztosított EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 csak tudja a felhasználó bejelentkezési jelszó (hacking önmagában nem lehetséges). Támadások, például a nyers erő, illetve amelyek a gyenge pontokat MSCHAP szintén nem lehetséges vagy nehéz annak a ténynek köszönhető, hogy a EAP-csatorna „kliens-szerver” védi titkosított alagutat.
A hálózati hozzáférés, zárt PEAP-GTC esetén lehetséges betörés vagy token szerver, vagy a lopást a token együtt a jelszavát.
A hálózati hozzáférés, zárt EAP-TLS lehetőség lopás felhasználói tanúsítvány (együttesen privát kulcs, természetesen), illetve írásban ki érvényes, de egy üres tanúsítványt. Ez csak akkor lehetséges, ha sérül a tanúsító központ, amely a normális cégek ápolják a legértékesebb IT-erőforrás.
Mivel a fent említett módszerek (kivéve a PEAP-GTC) mentésének engedélyezése (caching) jelszavakat / bizonyítványok, akkor a mobil eszköz ellopását támadó teljes hozzáférést, kérdés nélkül a hálózat. Mivel az intézkedés a megelőzés szolgálhat egy teljes merevlemez titkosítási jelszó kérése, ha a készülék be van kapcsolva.
Ne feledje, a megfelelő tervezés egy vezeték nélküli hálózaton is nagyon jól védett; azt jelenti, törés egy ilyen hálózat nem létezik (egy bizonyos határig)