metódy autentifikácie:

Message Digest 5 (MD5) je jednosmerná procedúra autentifikácie žiadateľa autentifikačným serverom založená na hashe MD5 používateľského mena a hesla ako potvrdenia pre server RADIUS. Táto metóda nepodporuje správu kľúčov ani dynamické generovanie kľúčov. To eliminuje jeho použitie v štandardoch 802.11i a WPA.

Transport Layer Security (TLS) je autentifikačný postup, ktorý zahŕňa použitie digitálnych certifikátov X.509 v rámci infraštruktúry verejných kľúčov (PKI). EAP-TLS podporuje dynamické generovanie kľúčov a vzájomné overovanie medzi žiadateľom a autentifikačným serverom. Nevýhoda táto metóda je potreba udržiavať infraštruktúru verejného kľúča.

Tunneled TLS (TTLS) - EAP rozširuje možnosti EAP -TLS. EAP-TTLS používa na výmenu zabezpečené pripojenie nadviazané podaním ruky TLS Ďalšie informácie medzi žiadateľom a autentifikačným serverom.

Existujú aj ďalšie metódy:

EAP-SIM, EAP-AKA-používa sa v mobilných sieťach GSM

LEAP - pro -preoreoretická metóda zo systémov Cisco

EAP -MD5 - najjednoduchšia metóda podobné CHAP (nie trvalé)

EAP -MSCHAP V2 - metóda autentifikácie na základe používateľského mena / hesla v sieťach MS

EAP -TLS - autentifikácia digitálneho certifikátu

EAP-SecureID je metóda jednorazového hesla

Okrem vyššie uvedených je potrebné poznamenať aj nasledujúce dve metódy, EAP-TTLS a EAP-PEAP. Na rozdiel od predchádzajúcich, tieto dve metódy najskôr vytvoria tunel TLS medzi klientom a autentifikačným serverom a potom priamo autentifikujú používateľa. A už v tomto tuneli prebieha samotná autentifikácia buď pomocou štandardných EAP (MD5, TLS), alebo starých metód bez EAP (PAP, CHAP, MS-CHAP, MS-CHAP v2), pričom tieto druhé fungujú iba s EAP -TTLS (PEAP sa používa iba v spojení s metódami EAP). Predbežné tunelovanie zvyšuje bezpečnosť autentifikácie tým, že chráni pred útokmi typu „in-up“, hihacking relácie alebo pred slovníkom.

Protokol PPP sa tam objavil, pretože EAP bolo pôvodne plánované používať v tuneloch PPP. Ale pretože používanie tohto protokolu iba na autentifikáciu v lokálnej sieti je zbytočná redundancia, správy EAP sú balené do paketov „EAP over LAN“ (EAPOL), ktoré slúžia na výmenu informácií medzi klientom a autentifikátorom (prístupovým bodom).

Schéma autentifikácie

Má tri zložky:

Supplicant - softvér bežiaci na klientskom počítači pokúšajúci sa pripojiť k sieti

Authenticator - prístupový bod, autentifikátor (bezdrôtový prístupový bod alebo káblový prepínač podporujúci 802.1x)

Authentication Server - autentifikačný server (zvyčajne server RADIUS)

Teraz sa pozrime na samotný proces autentifikácie. Pozostáva z nasledujúcich fáz:

Klient môže odoslať požiadavku na autentifikáciu (správa o spustení EAP) smerom k prístupovému bodu.

Prístupový bod (Authenticator) odpovie odoslaním klientovi správy so žiadosťou EAP / identifikačnej správy. Autentifikátor môže odoslať žiadosť EAP sám, ak zistí, že sa niektorý z jeho portov stal aktívnym.

Na odpoveď klient pošle paket odpovede EAP s potrebnými údajmi, ktoré prístupový bod (autentifikátor) presmeruje na server Radius (autentifikačný server).

Overovací server odosiela paket s výzvou (požiadavka na informácie o pravosti klienta) autentifikátorovi (prístupový bod). Autentifikátor ho prepošle klientovi.

Ďalej prebieha proces vzájomnej identifikácie servera a klienta. Počet spiatočných fáz sa líši v závislosti od metódy EAP, ale v prípade bezdrôtových sietí iba „silná“ autentifikácia so vzájomnou autentifikáciou klient-server (EAP-TLS, EAP-TTLS, EAP-PEAP) a predšifrovanie komunikácie kanál je prijateľný.

V ďalšej fáze autentifikačný server po prijatí potrebných informácií od klienta povolí (prijme) alebo odmietne (odmietne) prístup a odošle túto správu autentifikátorovi. Ak server RADIUS prijme pozitívnu odpoveď (Accept), autentifikátor (prístupový bod) otvorí port pre dodávateľa.

Port sa otvorí, autentifikátor odošle klientovi správu o úspešnom dokončení a klient získa prístup k sieti.

Po odpojení klienta port na prístupovom bode opäť prejde do stavu „zatvorené“.

Pakety EAPOL sa používajú na komunikáciu medzi klientom (žiadateľ) a prístupovým bodom (autentifikátor). Protokol RADIUS sa používa na výmenu informácií medzi autentifikátorom (prístupový bod) a serverom RADIUS (autentifikačný server). Keď sa informácie prenášajú medzi klientom a autentifikačným serverom, pakety EAP sa v autentifikátore prebalia z jedného formátu do druhého.

EAP (Extensible Authentication Protocol)

EAP (Extensible Authentication Protocol) je rozšírením protokolu Point-to-Point Protocol (PPP); je na ňom založených niekoľko spôsobov autentifikácie, ktoré zaisťujú výmenu poverení a ďalších informácií ľubovoľnej veľkosti. EAP bol navrhnutý s rastúcou potrebou autentifikačných nástrojov využívajúcich širšiu škálu bezpečnostných zariadení; ponúka štandardnú architektúru na podporu ďalších metód autentifikácie PPP.

EAP môže podporovať viacero autentifikačných algoritmov-takzvané typy EAP, ktoré zahŕňajú generátory prístupových kódov, jednorazové heslá, autentifikátory verejných kľúčov pomocou čipových kariet, certifikáty a ďalšie. EAP v spojení so silnými typmi EAP je kľúčovou súčasťou technológia pripojenia zabezpečenej virtuálnej súkromnej siete (VPN). Silné typy EAP, ako sú napríklad certifikáty, poskytujú lepšiu ochranu pred útokmi hrubou silou alebo útokmi hrubou silou ako iné autentifikačné protokoly založené na heslách, ako sú CHAP a MS-CHAP.

Ak chcete zistiť, či vaša organizácia používa akýkoľvek typ EAP, kontaktujte správcu siete.

V systéme Windows XP existuje podpora pre dva typy EAP:

• EAP-MD5 CHAP (analogický k autentifikačnému protokolu CHAP);
• EAP-TLS (používa sa na autentifikáciu pomocou certifikátu používateľa).

EAP-TLS je metóda vzájomnej autentifikácie, pri ktorej musí klient aj server poskytnúť dôkaz o svojej identite. Počas relácie EAP-TLS klient vzdialený prístup odošle svoj užívateľský certifikát a server vzdialeného prístupu odošle svoj počítačový certifikát. Ak nie je aspoň jeden z týchto certifikátov prenesený alebo je neplatný, pripojenie sa ukončí.

Poznámky

• Autentifikácia EAP-TLS generuje zdieľané tajné šifrovacie kľúče pre algoritmus Microsoft Point-to-Point Encryption (MPPE).

Ak nájdete v texte chybu, vyberte ju myšou a stlačte kombináciu klávesov Ctrl + ENTER, zadajte správny text bez chyby.

Pri nasadzovaní bezdrôtových sietí v domácnosti alebo malej kancelárii sa zvyčajne používa možnosť bezpečnostného protokolu WPA na základe zdieľaných kľúčov-WPA-PSK (Pre Shared Key), nazývaný tiež WPA-osobný režim. Používa statický kľúč podobný WEP. Pri použití WPA-PSK je v nastaveniach prístupového bodu a bezdrôtových profiloch klientov zadané heslo 8 až 63 vytlačiteľných znakov ASCII. Pri pripájaní bude musieť používateľ zadať toto heslo a ak sa heslá zhodujú s údajmi v databáze, dostane povolenie na prístup do siete.

V režime WPA-EAP (Extensible Authentication Protocol), nazývanom tiež WPA-Enterprise režim, sa žiadosti o autentifikáciu preposielajú na interný server RADIUS. Služba Network Policy Server (NPS) poskytuje serverom autentifikáciu RADUIS. Server NPS môže odosielať požiadavky na overenie na radič domény, čo umožňuje zabezpečeným bezdrôtovým sieťam WPA-EAP autentifikovať radiče domény bez toho, aby používatelia museli zadávať kľúč.

WPA-EAP poskytuje veľmi flexibilnú autentifikáciu. Môžete napríklad nakonfigurovať používateľa tak, aby sa pripojil k zabezpečenej produkčnej sieti WPA-Enterprise pomocou čipovej karty. Pretože WPA-EAP nepoužíva statický kľúč, tento režim zabezpečenia je jednoduchšie spravovať, pretože ak ho určí hacker, nie je potrebné kľúč meniť. Jeden centrálny server môže na autentifikáciu používať viacero bezdrôtových prístupových bodov. Navyše, tento režim zabezpečenia je oveľa ťažšie prelomiť ako WEP alebo WPA-PSK. kryptografické šifrovanie bezdrôtovej siete

Šifrovacie mechanizmy používané pre WPA-EAP a WPA-PSK sú identické. Jediným rozdielom oproti WPA-PSK je, že autentifikácia sa vykonáva pomocou hesla, nie pomocou používateľského certifikátu.

Výhody a nevýhody

Výhody WPA oproti WEP sú:

• 1. Pokročilá schéma šifrovania údajov RC4 založená na protokole TKIP (Temporal Key Integrity Protocol).
• 2. Vylepšené mechanizmy riadenia prístupu - povinná autentifikácia 802.1x prostredníctvom EAP.
• 3. Model centralizované riadenie bezpečnosť a schopnosť integrovať sa s existujúcimi schémami overovania spoločnosti.
• 4. Možnosť uľahčiť inštaláciu domácim používateľom, ktorí môžu používať špeciálny režim, ktorý automatizuje funkcie konfigurácie zabezpečenia WPA.

Medzi nevýhody patrí:

• 1. WPA je menej bezpečný ako WPA2.
• 2. existencia zraniteľností (popísané nižšie),
• 3. To môže zahŕňať aj skutočnosť, že na prácu s bezpečnostným protokolom WPA je potrebné, aby všetky zariadenia pripojené k sieti mali jeho podporu.

Nevýhody WPA -PSK - statický kľúč je možné prelomiť pomocou techník hrubej sily. Statické kľúče je tiež veľmi ťažké spravovať v produkčnom prostredí. Ak je ohrozený individuálny počítač nakonfigurovaný pomocou takého kľúča, bude potrebné kľúč zmeniť na každom bezdrôtovom prístupovom bode.

Zdroj: Bashmakov A.V., Poznámky k prednáške „Zabezpečenie bezdrôtových sietí“

Známe zraniteľnosti

Beck-Tevsova metóda

6. novembra 2008 na konferencii PacSec dvaja nemeckí študenti Martin Beck z Drážďan a Erik Tevs z Darmstadtu predstavili metódu na prelomenie kľúča WPA TKIP za 12-15 minút.

TKIP mal niekoľko funkcií, ktoré z neho v tom čase robili najspoľahlivejšiu ochranu. Konkrétne išlo o sekvenčné riadenie, v ktorom prístupový bod odmietal všetky pakety mimo poradia. To chránilo pred takzvaným „replay útokom“, pri ktorom sa prenos rovnakých údajov opakuje so zlomyseľným úmyslom a už vôbec nie užitočnou „prílohou“. TKIP tiež predstavoval 64-bitovú kontrolu integrity paketov MIC s kódovým označením MICHAEL. TKIP, okrem iného, ​​znamenal prenos každého paketu s unikátnym šifrovacím kľúčom.

Pretože TKIP bol vytvorený s prihliadnutím na možnosť softvérovej aktualizácie zariadení, ktoré predtým podporovali iba WEP, bola v ňom použitá šifra RC4 a 4 bajty na kontrolu integrity (ICV). Metóda útoku navrhnutá Beckom a Tevsom v správe funguje s prihliadnutím na niektoré predpoklady uvedené autormi: napadnutá sieť používa šifrovanie TKIP na šifrovanie prenosu medzi prístupovým bodom a klientmi; sieť používa IPv4 na adresovanie s vopred známym rozsahom adries ako 192.168.0.X; dlhý interval medzi kľúčovými zmenami (3600 sekúnd v príklade autorov metódy); QoS (kvalita služby) je aktivovaná.

Útočník „počúva“ prenos, kým nenájde požiadavku alebo odpoveď ARP (protokol ARP sa používa na priradenie adries IP a MAC v sieti), takéto pakety sa dajú ľahko vypočítať podľa ich charakteristickej dĺžky. Hacker pozná väčšinu obsahu takéhoto paketu, okrem posledného bajtu adresy, 8 bajtov MICHAEL a 4 bajty kontrolného súčtu ICV. MICHAEL a ICV spolu tvoria posledných 12 bytov. Hacker potom použije (chopchop) metódy na dešifrovanie zostávajúcich bytov. TKIP má dva spôsoby boja proti týmto útokom:

• 1. Ak klient dostane paket s bitovým ICV, považuje sa to za chybu prenosu dát a paket je ticho „zahodený“. Ak je ICV v poriadku, ale overenie MIC zlyhá, prístupový bod dostane zodpovedajúce upozornenie, takzvaný rámec správy o zlyhaní MIC. Ak sú do minúty k dispozícii viac ako dve takéto oznámenia, pripojenie sa preruší a všetky kľúče sa aktualizujú po 60-sekundovej prestávke.
• 2. Ak je paket prijatý správne, počítadlo sa aktualizuje na kanáli, cez ktorý bol prijatý. Ak je prichádzajúci paket prijatý s nesprávnym poradovým číslom, to znamená mimo poradia, takýto paket jednoducho nie je prijatý.

Našlo sa však riešenie: hacker jednoducho potreboval začať útok na inom kanáli QoS, než cez ktorý prešiel paket. Ak bol posledný bajt adresy pri útoku uhádnutý nesprávne, paket bude jednoducho „zahodený“; ak bol uhádnutý správne, klient pošle upozornenie na zlyhanie MIC, ale počítadlo nebude fungovať. Hacker musí medzi odoslaním paketov počkať najmenej 60 sekúnd, aby nevyvolal možnosť 1 ochrany. Niečo málo cez 12 minút - a útočné hodnoty MIC a ICV sú nám k dispozícii. Zostáva uhádnuť iba IP adresy bodu a klienta.

Ďalej sa otvára široké pole pre experimenty. Presmerovanie premávky je možné pomocou falošných odpovedí ARP. Ak brána firewall klienta nekontroluje odchádzajúcu komunikáciu, môžete sa pokúsiť vytvoriť obojsmerné spojenie s klientom, pričom nebudete dostávať „odpovede“ priamo, ale ich presmerujete cez internet.

Ako protiopatrenia navrhli Beck a Thevs tri možnosti:

• 1. Nastavte interval zmeny kľúča na 120 sekúnd alebo menej. Počas tohto obdobia bude mať hacker čas na dešifrovanie iba časti ICV;
• 2. Zakážte odosielanie upozornení na zlyhanie MIC;
• 3. Zahoďte TKIP a prejdite na AES-CCMP.

Metóda Ohigashi-Moriya

Metóda, ktorú vyvinuli zamestnanec Hirošimskej univerzity Toshihiro Ohigashi a profesor univerzity v Kobe Masakatu Morii, je založená na technológii Beck-Tews. Táto technológia zahŕňa miernu úpravu paketov šifrovaných pomocou protokolu Temporal Key Integrity Protocol (TKIP) ako súčasti bezpečnostného mechanizmu WPA a odosielanie upravených paketov späť do prístupového bodu. Nevýhodou metódy Beck-Tewes je, že jej dokončenie trvá 10 až 15 minút.

Metóda navrhnutá Ohigashim a Morijou, podobne ako technológia Beck-Tewes, využíva princíp útoku typu muž-up-stred, ktorý zahŕňa zasahovanie do komunikácie medzi používateľmi. Riziko odhalenia útoku týmto prístupom je veľmi vysoké, takže možnosť skrátiť trvanie útoku na 60 sekúnd je obrovskou výhodou - aspoň pre hackerov.

Je potrebné poznamenať, že pripojenia WPA využívajúce bezpečnejší štandard šifrovania kľúčov AES, ako aj pripojenia WPA2, nie sú na tieto útoky citlivé.

Niečo o WPA 2

23. júla 2010 boli zverejnené informácie o zraniteľnosti Hole196 v protokole WPA2. Využitím tejto zraniteľnosti môže škodlivý používateľ prihlásený do siete dešifrovať údaje ostatných používateľov pomocou svojho súkromného kľúča. Nie je potrebné žiadne praskanie kľúča ani hrubá sila (hrubá sila).

Správnejšie by bolo tvrdiť, že bezpečnostný protokol WPA2 bol napadnutý, takú rozsiahlu zraniteľnosť zistili špecialisti na bezpečnosť siete z AirTight Networks. Dokázali, že protokol na ochranu údajov WPA2, ktorý je dnes v sieťach WiFi najrozšírenejší, je možné hacknúť, aby sa z takejto siete získali akékoľvek informácie. Experti navyše tvrdia, že zraniteľnosť môže hackerom pomôcť pri útoku na rôzne zdroje pomocou schopností ohrozenej siete.

Zistená zraniteľnosť bola zistená ako použiteľná pre všetky bezdrôtové siete, ktoré sú v súlade so štandardom IEEE802.11 (Revízia, 2007). Zraniteľnosť dostala aj svoje vlastné meno - Diera 196.

Zraniteľnosť bola zistená pomocou útoku Man-in-the-middle. Osoba prihlásená do takejto siete a využívajúca exploit bude schopná zachytávať a dešifrovať údaje prenášané v rámci siete. Navyše, keď je použitá táto „diera“, je možné falšovať MAC adresy. Informácie je teda možné prenášať do falošných klientskych systémov a to tiež umožňuje použiť zdroje napadnutej siete na útoky na rôzne webové zdroje bez veľkého strachu z ich odhalenia.

Spôsoby hackovania bezdrôtových sietí chránených WPA

WPA-TKIP

Zraniteľnosť v protokole WPA-TKIP zistili vedci a členovia tímu Aircrack-ng Martin Back a Eric Tuze.

V dôsledku zneužívania zraniteľnosti nemožno hlavný kľúč obnoviť; môžete zistiť iba kľúč použitý na overenie integrity a tok kľúčov. Na základe toho je možné bez znalosti hlavného kľúča prenášať pakety do siete. Pakety sú prijímané späť podobným spôsobom ako easside-ng.

Túto zraniteľnosť je možné otestovať pomocou testovacieho nástroja tkiptun-ng pridaného do aircrack-ng. Je známe, že na vykonanie útoku musíte zmeniť MAC svojho adaptéra na Klient MAC na ktoré sa útočí. Napadnutý prístupový bod musí tiež podporovať QoS alebo WMM, používať WPA + TKIP (nie AES) a čas na zmenu dočasného kľúča musí byť viac ako 3600 sekúnd. Ak je to všetko k dispozícii, môžete spustiť: # tkiptun -ng -h -a -m 80 -n 100<интерфейс>.

Po úspešnom spustení môžete získať tok kľúčov, pomocou ktorého môžete vytvárať balíky a spúšťať ich v sieti.

WPA2 nie je touto chybou zabezpečenia dotknutý.

Klasický hack WPA. Zachytenie podania ruky.

Podstatou útoku je vymenovanie všetkých možných kombinácií kľúča pred jeho definovaním. Metóda zaručuje úspech, ale ak je kľúč dostatočne dlhý a nie v slovníkoch, môžete sa považovať za chráneného pred týmto útokom. Sieť WPA aj WPA2 sú teda prelomené, ale iba v režime PSK.

Šifrovania WPA / WPA2 PSK sú citlivé na slovníkové útoky. Na uskutočnenie tohto útoku potrebujete 4-cestné podanie ruky WPA medzi klientom wifi a prístupovým bodom (AP), ako aj slovník obsahujúci prístupovú frázu.

WPA / WPA2 PSK funguje nasledovne: pochádza z kľúča pred reláciou, ktorý sa nazýva párový prechodový kľúč (PTK). PTK zase používa predzdieľaný kľúč a päť ďalších parametrov-SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), Authenticator MAC-adresa a Suppliant MAC-adresa. -Klient). Tento kľúč ďalej používa šifrovanie medzi prístupovým bodom (AP) a klientom wifi. Útočník, ktorý v tejto chvíli počúva vysielanie, môže zachytiť všetkých päť parametrov. Jediná vec, ktorú darebák nevlastní, je vopred zdieľaný kľúč. Vopred zdieľaný kľúč sa získava (vytvára) pomocou prístupovej frázy WPA-PSK, ktorú používateľ odošle spolu s identifikátorom SSID. Kombinácia týchto dvoch parametrov sa odosiela prostredníctvom funkcie derivácie kľúča založeného na hesle (PBKDF2), ktorá vydáva 256-bitový nový zdieľaný kľúč.

Pri typickom / typickom útoku na slovník WPA / WPA2 PSK útočník použije slovník s programom (nástrojom). Program vygeneruje 256-bitový „nový vopred zdieľaný kľúč pre každú prístupovú frázu a použije ho s ostatnými parametrami, ktoré boli popísané pri vytváraní PTK. PTK sa použije na kontrolu kontroly integrity správ (MIC) v jeden z balíkov podania ruky. zhoda, potom bude prístupová fráza v slovníku správna, v opačnom prípade naopak (nesprávna).

Tento útok je zabudovaný do balíka aircrack-ng. Najprv musíte zachytiť autentifikáciu klienta, aby ste na základe neho mohli obnoviť primárny kľúč. To je najľahšie vykonať spustením # airodump-n g a čakanie na autentifikáciu alebo spustením útoku na zrušenie autorizácie # aireplay -ng -0<количество деаутентификаций> ... Po chvíli airodump-ng ukáže, že autentifikácia bola zachytená a zapísaná do súboru. Potom už len musíte bežať aircrack-ng<файл аутентификации> a počkaj.

Tento proces môžete urýchliť pomocou veľkej slovnej zásoby s často používanými slovami. Pomôže tiež použitie špecializovaných mikrokontrolérov alebo grafických kariet. Bez toho bude opakovanie všetkých možných kľúčov trvať príliš dlho.

Na zabránenie takémuto útoku je možné použiť dosť dlhé a neobvyklé kľúče.

Chránené nastavenie Wi-Fi

Wi-Fi Protected Setup (WPS) je štandard, ktorý je navrhnutý tak, aby poloautomaticky vytvoril bezdrôtové pripojenie domáca sieť vytvorený Alianciou Wi-Fi. Oficiálne spustené 8. januára 2007.

Väčšina moderných smerovačov podporuje mechanizmus WPS. Účelom protokolu WPS je zjednodušiť proces nastavenia bezdrôtovej siete, a preto sa pôvodne volal Wi-Fi Simple Config. Protokol je určený na pomoc používateľom, ktorí nemajú rozsiahle znalosti o zabezpečení v bezdrôtových sieťach, a v dôsledku toho majú problémy s nastavením. WPS automaticky identifikuje názov siete a nastaví šifrovanie na ochranu pred neoprávneným prístupom k sieti bez toho, aby ste museli ručne nastavovať všetky parametre.

Existujú tri možnosti použitia WPS:

• 1. Pripojenie pomocou tlačidla (PBC). Užívateľ stlačí špeciálne tlačidlo na smerovači a na počítači (softvér), čím aktivuje proces nastavenia.
• 2. Zadanie PINu do webového rozhrania. Užívateľ vstúpi do administračného rozhrania routera prostredníctvom prehliadača a zadá osemmiestny PIN kód napísaný na puzdre zariadenia, po ktorom nasleduje proces konfigurácie.
• 3. Pri pripájaní k smerovaču môžete otvoriť špeciálnu reláciu WPS, v rámci ktorej môžete router nakonfigurovať alebo získať existujúce nastavenia, ak zadáte PIN kód správne. Na otvorenie takejto relácie nie je potrebné žiadne overenie. Ukazuje sa, že PIN je už potenciálne náchylný na útok hrubou silou.

Tu má PIN osem číslic - preto je na výber 10 ^ 8 (100 000 000) možností. Faktom však je, že posledná číslica kódu PIN je kontrolný súčet, ktorý sa vypočítava na základe prvých siedmich číslic. Výsledkom je, že už máme 10 ^ 7 (10 000 000) možností. Kontrola PIN kódu sa navyše vykonáva v dvoch fázach - každá časť sa kontroluje samostatne. Získame 10 ^ 4 (10 000) možností pre prvý polčas a 10 ^ 3 (1 000) pre druhý polčas. Celkovo existuje iba 11 000 možností úplného vyhľadávania. Tu však stojí za zmienku jeden dôležitý bod - možná rýchlosť vyhľadávania. Je obmedzená rýchlosťou spracovania požiadaviek WPS routerom: niektoré prístupové body vrátia výsledok každú sekundu, iné - každých desať sekúnd.

Implementáciu hrubej sily je možné vykonať pomocou obslužného programu wpscrack, ako aj pomocou obslužného programu Reaver... Reaver bude uprednostňovaný kvôli jeho väčšej funkčnosti a podpore mnohých ďalších bezdrôtových adaptérov.

Ako pri každom inom útoku na bezdrôtová sieť, potrebujete Linux. Ak chcete používať Reaver, musíte urobiť nasledovné:

• § zistite názov bezdrôtového rozhrania - $ iwconfig;
• § prepnite bezdrôtový adaptér do režimu monitorovania - $ airmon-ng start ***(zvyčajne wlan0);
• § zistiť MAC adresu prístupového bodu (BSSID) so šifrovaním WPA / WPA2 a autentifikáciou PSK kľúčom - $ airodump-ng ***(zvyčajne mon0);
• § uistite sa, že je na výstupe aktivovaný WPS - $ ./wash -i mon0.

Potom môžete prejsť priamo na PIN s hrubou silou "a. Musíte zadať názov rozhrania (predtým preneseného do monitorovacieho režimu) a BSSID prístupového bodu:

$ reaver -i mon0 -b 00: 21: 29: 74: 67: 50 -vv

Prepínač "-vv" umožňuje rozšírený výstup programu, aby ste sa mohli uistiť, že všetko funguje podľa očakávania. Ak program dôsledne odosiela PINy do prístupového bodu, potom všetko funguje dobre a stačí čakať. Proces sa môže oneskoriť - približne čas sa môže líšiť od štyroch do desiatich hodín. Hneď ako ho program nájde, vás o tom bude informovať a vydá.WPA-PSK, je možné ihneď použiť na pripojenie.

Je tiež potrebné poznamenať, že existuje rýchlejšia možnosť. Faktom je, že niektoré rovnaké modely smerovačov majú spravidla rovnaký kód PIN. A ak je PIN modelu zvoleného smerovača už známy, doba hackovania je doslova niekoľko sekúnd.

Proti útoku sa dá brániť iba jedným spôsobom - zakázať WPS v nastaveniach smerovača. Je pravda, že to nie je vždy možné. Alebo ak chcete čo najviac pôsobiť proti hrubej sile, môžete po niekoľkých neúspešných pokusoch o zadanie kódu PIN zablokovať WPS na neurčito. Potom sa vyhľadávanie môže ťahať veľmi, veľmi dlho, v závislosti od nastavenej hodnoty doby blokovania.

Niečo o WPA / WPA2-Enterprise. Hackovanie MS-CHAPv2.

V Enterprise je MS-CHAPv2 iba jednou z možných metód EAP. Popularita MS-CHAPv2 je daná skutočnosťou, že je to najľahšia metóda integrácie s produktmi spoločnosti Microsoft (IAS, AD atď.).

O MS-CHAPv2 sa tvrdí, že je prelomený so 100% úspešnosťou. Na to musíte zachytiť výmenu pomocou protokolu MS-CHAPv2, potom pomocou zraniteľností šifrovania môžete vypočítať poverenia používateľa. MS-CHAPv2 je údajne používaný v systémoch VPN a WPA2-Enterprise. VPN a WPA2 sa zároveň spomínajú v kontexte serverov AAA (autentifikácia, autorizácia, účtovníctvo), čo je celkom logické, pretože práve tam sa zachytáva nešifrovaný MS-CHAP. To znamená, že ak zachytíte výmenu MS-CHAPv2 medzi klientom a serverom AAA, môžete vypočítať poverenia používateľa.

Pretože však zachytenie relácie MS-CHAPv2 už nie je možné za prítomnosti tunela (po prvé, musíte prelomiť šifrovanie tunela), tento spôsob prelomenia je platný iba vtedy, ak simulujete prístupový bod. Potom môžete bezpečne získať klienta aj jeho reláciu MS-CHAPv2 za predpokladu, že v prístupovom bode nie sú žiadne certifikáty a verifikácia certifikátov na klientoch je zakázaná.

Pre dobre vybudovanú bezdrôtovú sieť s WPA2-Enterprise na báze PEAP / MS-CHAPv2 teda takýto útok nie je nič strašné. Pokiaľ nie, vkliniť sa do kanála medzi autentifikátorom (prístupový bod, ovládač) a serverom AAA, ale to už neplatí pre WPA.

Dnes sa trochu hlbšie ponoríme do témy bezdrôtového zabezpečenia. Poďme zistiť, aký typ šifrovania WiFi je - nazýva sa tiež „autentifikácia“ - a ktorý z nich je lepšie zvoliť. Iste, keď ste narazili na také skratky ako WEP, WPA, WPA2, WPA2 / PSK. A tiež niektoré z ich odrôd - Personal alebo Enterprice a TKIP alebo AES. Pozrime sa bližšie na všetky z nich a zistíme, ktorý typ šifrovania zvoliť, aby bola zaistená maximálna rýchlosť bez straty rýchlosti.

Na čo slúži šifrovanie WiFi?

Všimnite si toho, že ochrana vášho Heslo WiFi je nevyhnutné, bez ohľadu na to, aký typ šifrovania si vyberiete. Aj najjednoduchšia autentifikácia zabráni v budúcnosti vážnym problémom.

Prečo to hovorím? Nie je to ani tak, že by pripojenie mnohých klientov s ľavou rukou spomalilo vašu sieť - sú to len kvety. hlavný dôvod je, že ak vaša sieť nie je chránená heslom, môže sa na ňu držať votrelec, ktorý bude z vášho smerovača vykonávať nezákonné akcie, a potom sa budete musieť zodpovedať za jeho činy, takže ochranu wifi berte so všetkou vážnosťou.

Typy šifrovania a autentifikácie dát WiFi

Boli sme teda presvedčení o potrebe šifrovania siete Wi -Fi, teraz sa pozrime, aké typy existujú:

Čo je to WEP wifi ochrana?

WEP (Wired Equivalent Privacy) je úplne prvý štandard, ktorý sa objavil, ktorý už nespĺňa moderné požiadavky na spoľahlivosť. Všetky programy nakonfigurované na hackovanie siete Wi-Fi pomocou znakov hrubého vynútenia sú zamerané predovšetkým na výber šifrovacieho kľúča WEP.

Čo je kľúč alebo heslo WPA?

WPA (Wi-Fi Protected Access) je modernejší štandard autentifikácie, ktorý vám umožňuje bezpečnú ochranu miestna sieť a internet z nezákonného prieniku.

Čo je WPA2 -PSK - osobný alebo podnikový?

WPA2 je vylepšená verzia predchádzajúceho typu. Hackovanie WPA2 je takmer nemožné, poskytuje maximálnu mieru zabezpečenia, preto vo svojich článkoch vždy bez vysvetlenia tvrdím, že je potrebné ho nainštalovať - ​​teraz už viete prečo.

Robiť štandardy WiFi ochrana WPA2 a WPA majú ďalšie dve príchute:

• Osobné, označované ako WPA / PSK alebo WPA2 / PSK. Tento typ je najpoužívanejší a optimálny na použitie vo väčšine prípadov - doma aj v kancelárii. Vo WPA2 / PSK nastavíme heslo najmenej na 8 znakov, ktoré je uložené v pamäti zariadenia, ktoré pripájame k routeru.
• Enterprise je komplexnejšia konfigurácia, ktorá vyžaduje povolenie funkcie RADIUS na smerovači. Funguje to podľa princípu, to znamená, že každému samostatnému pripojenému modulu gadget je priradené samostatné heslo.

Typy šifrovania WPA - TKIP alebo AES?

Rozhodli sme sa teda, že WPA2 / PSK (Personal) bude najlepšou voľbou pre zabezpečenie siete, ale má ďalšie dva typy šifrovania údajov na autentifikáciu.

• TKIP - dnes je to už zastaraný typ, ale stále sa široko používa, pretože mnohé zariadenia ho podporujú iba určitý počet rokov. Nepracuje s technológiou WPA2 / PSK a nepodporuje Wi -Fi 802.11n.
• AES - najnovšie dňa tento moment a najbezpečnejší typ šifrovania WiFi.

Ako si vybrať typ šifrovania a vložiť kľúč WPA na router WiFi?

Keď je teória vyriešená - prejdeme k praxi. Pretože štandardy WiFi 802.11 „B“ a „G“, ktoré majú maximálnu rýchlosť až 54 Mbit / s, sa už dlho nepoužívajú - dnes je normou 802.11 „N“ alebo „AC“, ktoré podporujú rýchlosti až 300 Mbit / s a ​​vyššie, potom nemá zmysel zvažovať možnosť použitia zabezpečenia WPA / PSK s typom šifrovania TKIP. Preto pri konfigurácii bezdrôtovej siete nastavte predvolené

Alebo v krajnom prípade zadajte ako typ šifrovania „Auto“, aby sa zabezpečilo pripojenie zariadení so zastaraným modulom WiFi.

V takom prípade musí mať kľúč WPA, alebo zjednodušene povedané, heslo na pripojenie k sieti, 8 až 32 znakov vrátane malých písmen v angličtine a veľké písmená, ako aj rôzne špeciálne postavy.

Bezdrôtové zabezpečenie na smerovači TP-Link

Snímky obrazovky vyššie zobrazujú moderný ovládací panel. Smerovač TP-Link v Nová verzia firmvér. Nastavenie šifrovania siete sa nachádza v časti „Rozšírené nastavenia - Bezdrôtové pripojenie“.

V starej „zelenej“ verzii sa konfigurácie WiFi siete, ktoré nás zaujímajú, nachádzajú v ponuke „Bezdrôtový režim - zabezpečenie“. Robte všetko ako na obrázku - bude to super!

Ak ste si všimli, stále existuje taká položka ako „Obdobie obnovenia kľúča skupiny WPA“. Ide o to, že skutočný digitálny kľúč WPA na šifrovanie pripojenia sa dynamicky mení, aby poskytoval väčšiu ochranu. Tu nastavíte hodnotu v sekundách, po ktorej dôjde k zmene. Odporúčam, aby ste sa ho nedotkli a ponechali ho v predvolenom nastavení - interval obnovenia sa líši model od modelu.

Metóda overovania smerovača ASUS

Na smerovačoch ASUS sú všetky parametre WiFi umiestnené na jednej stránke „Bezdrôtová sieť“

Ochrana siete prostredníctvom smerovača Zyxel Keenetic

Podobne pre Zyxel Keenetic- kapitola " WiFi sieť- Prístupový bod"

Dnes sme zistili typy šifrovania WiFi a termíny ako WEP, WPA, WPA2-PSK, TKIP a AES a zistili sme, ktorý je lepšie zvoliť. Prečítajte si o ďalších možnostiach zabezpečenia siete v jednom z predchádzajúcich článkov, v ktorých hovorím o MAC a IP adresách a ďalších spôsoboch ochrany.

Video o konfigurácii typu šifrovania na smerovači

ANDREY PLATONOV

Budovanie bezpečnej bezdrôtovej siete: WPA-Enterprise, 802.1x EAP-TLS

Existuje viac ako sto článkov o neistote bezdrôtových sietí. Navyše sú mnohé úplne identické a zbytočné: hovoria, že WEP je zlý, že MAC adresy je možné ľahko zmeniť, a na záver píšu: „Existuje iba jedno východisko a záchrana. Musíte používať WPA. “ A pointa. Tento materiál obsahuje presne to, čo ste chceli počuť po „bode“ - praktický sprievodca organizovať dobre zabezpečenú bezdrôtovú sieť.

Bezpečné nebezpečné Wi-Fi

Dnes je zrejmé, že napriek všetkým problémom spojeným s bezpečnosťou, spoľahlivosťou a zložitosťou prevádzky sa bezdrôtové riešenia rodiny 802.11a / b / g stali integrálnou súčasťou infraštruktúry mnohých podnikových, domácich a dokonca aj operátorských sietí. Je to čiastočne preto, že väčšina týchto problémov je dnes v dnešnom vývoji Wi-Fi minulosťou. Bezdrôtové siete vo všetkých ohľadoch sa stali oveľa múdrejšími a rýchlejšími: objavil sa QoS, inteligentné antény (technológia MIMO), skutočné rýchlosti dosiahli 40 Mbps (napríklad technológie SuperG, SuperAG od spoločnosti Atheros). Okrem toho došlo k veľkým zmenám v súbore technológií, ktoré zaisťujú bezpečnosť bezdrôtových sietí. Porozprávajme sa o tom podrobnejšie.

V časoch, keď bolo Wi-Fi iba pre elitu, sa na ochranu bezdrôtových sietí používalo šifrovanie WEP a filtre MAC. To všetko rýchlo chýbalo, WEP bol uznaný ako neistý kvôli statickej povahe šifrovacích kľúčov a nedostatku autentifikačných mechanizmov, ani MAC filtre neposkytovali špeciálne zabezpečenie. Začal sa vývoj nového štandardu IEEE 802.11i, ktorý bol navrhnutý tak, aby vyriešil všetky naliehavé bezpečnostné problémy. V polovici cesty k 802.11i sa súbor technológií objavil pod všeobecným názvom WPA (Wi -Fi Protected Access) - súčasť zatiaľ nepripraveného štandardu 802.11i. WPA obsahuje prostriedky na autentifikáciu používateľov, šifrovanie pomocou dynamických kľúčov WEP (TKIP / MIC). Potom bol 802.11i konečne dokončený a zrodil sa WPA2. K všetkým vyššie uvedeným bola pridaná podpora pre silnejšie šifrovanie AES (Advanced Encryption Standard), ktorá funguje v spojení s bezpečnostným protokolom CCMP (Counter with Cipher Block Chaining Message Authentication Code Protocol - toto je pokročilejší analóg TKIP vo WPA ). WPA2 sa postupne začal objavovať v nových modeloch prístupových bodov (napríklad D-Link DWL-3200AP), zatiaľ je však skôr exotický. Všetky produkty, ktoré podporujú WPA2, sú spätne kompatibilné so zariadeniami, ktoré podporujú WPA.

WPA aj WPA2 obsahujú pokročilé ovládanie bezdrôtového prístupu založené na štandarde IEEE 802.1x. Architektúra 802.1x používa niekoľko požadovaných brán:

• Zákazník. Klient je Supplicant - program na klientskom počítači, ktorý riadi proces autentifikácie.
• Autentifikátor. Je to prístupový bod, ktorý funguje ako prostredník medzi klientom a autentifikačným serverom. Autentifikátorom môže byť aj káblový prepínač, pretože 802.1x sa používa v rôznych sieťach.
• Authentication Server - server RADIUS.

IEEE 802.1x umožňuje množstvo autentifikačných metód a algoritmov. Je to možné vďaka protokolu EAP (Extensible Authentication Protocol), v ktorom sú „vnorené“ atribúty zodpovedajúce konkrétnej metóde autentifikácie. Preto existuje mnoho typov 802.1x EAP: EAP-MD5, EAP-PEAP, EAP-LEAP, EAP-SIM atď. Tento článok popíše implementáciu autentifikácie v bezdrôtovej sieti na základe digitálnych certifikátov-802.1x EAP- TLS. Táto metóda sa najčastejšie používa v podnikových bezdrôtových sieťach a má dosť vysoký stupeň zabezpečenia. EAP-TLS je navyše niekedy jednou z hlavných metód ochrany v sieťach poskytovateľov bezdrôtových služieb.

Autentifikácia 802.1x EAP-TLS

EAP-TLS je založený na protokole SSL v3.0, ale na rozdiel od tradičnej autentifikácie SSL (napríklad pri vytváraní zabezpečeného pripojenia http-HTTPS) je EAP-TLS navzájom autentifikovaný medzi klientom a serverom. Klient (žiadateľ) a server RADIUS musia podporovať metódu autentifikácie EAP-TLS; prístupový bod musí podporovať autentifikáciu 802.1x / EAP a nemusí vedieť, ktorá metóda autentifikácie sa v konkrétnom prípade používa. Nasledujúci obrázok zobrazuje proces autentifikácie v bezdrôtovej sieti pomocou protokolu EAP-TLS.

Tu je vhodné ukončiť malú lyrickú a teoretickú odbočku, ktorá je potrebná na získanie hrubej predstavy o tom, čo sa skrýva v hĺbkach bezpečnej bezdrôtovej siete. Ďalej bude navrhnutá praktická implementácia vyššie opísaných konceptov. Ako server RADIUS bude použitý počítač so systémom FreeBSD 5.3 s balíkom FreeRADIUS. Na organizáciu infraštruktúry PKI (Public Key Infrastructure) bude slúžiť balík OpenSSL. Celá bezdrôtová sieť bude založená na lacnom a spoľahlivom bezdrôtovom zariadení D-Link. Predpokladá sa, že Windows XP SP2 je nainštalovaný na klientskych počítačoch. v tomto operačný systém je vstavaný superlikvidátor a nedávna aktualizácia od spoločnosti Microsoft pridáva podporu pre WPA2.

Nainštalujte a nakonfigurujte OpenSSL a FreeRADIUS

Predpokladá, že FreeBSD 5.3 má nainštalovanú jednu NIC, bola aktualizovaná zbierka portov, je prítomný Midnight Commander a samotný počítač je pripojený k internetu. V nasledujúcom budeme predpokladať, že bezdrôtová sieť je nasadená v podnikovej sieti s maskou 192.168.0.0/24.

Na začiatok pár slov o konfigurácii bezdrôtovej siete a potom uvedieme príklad konfigurácie D-Link DWL-2100AP, aby bola zaistená interakcia so serverom RADIUS.

Vnútorná kancelárska bezdrôtová sieť sa zvyčajne skladá z niekoľkých prístupových bodov (všetko pokrytie je rozdelené na malé bunky), ktoré sú pripojené k káblovému prepínaču. Na vybudovanie siete WLAN sa často používajú prepínače so vstavanou podporou Power over Ethernet (802.3af) na portoch (napríklad D-Link DES-1316K). S ich pomocou je vhodné napájať prístupové body roztrúsené po kancelárii. Body v okolí sú naladené na neprekrývajúce sa kanály dosahu tak, aby sa navzájom nerušili. V pásme 2,4 GHz, v ktorom pracuje zariadenie 802.11b / g, existujú 3 neprekrývajúce sa kanály pre zariadenia s 11 kanálmi a 4 neprekrývajúce sa kanály pre zariadenia, v ktorých je možné vybrať 13 kanálov (širokopásmový signál prístupu bod zaberá 3 kanály rozsahu). Prístupové body D-Link DWL-2100AP a DWL-2700AP je možné konfigurovať na ktoromkoľvek z 13 kanálov, navyše môžete povoliť funkciu automatické ladenie na bezplatný kanál. Takže to urobíme.

Ak sieť má mobilných predplatiteľov ktoré sa pohybujú po celej oblasti pokrytia, môžete nastaviť všetky body s rovnakým názvom bezdrôtovej siete - SSID, potom sa predplatiteľ automaticky pripojí k novému bodu, ak sa stratí spojenie s predchádzajúcim. Súčasne bude znova autentifikovaný, čo v závislosti od žiadateľa bude trvať niekoľko sekúnd alebo viac. Takto sa realizuje najjednoduchší neinteligentný roaming v rámci siete. Ďalšia možnosť: ak má každý bod svoj vlastný SSID, môžete vo vlastnostiach bezdrôtového pripojenia nakonfigurovať niekoľko bezdrôtových profilov a tam zaškrtnúť možnosť „pripojiť sa k akejkoľvek dostupnej sieti“. Ak sa teda spojenie preruší, klient sa pripojí k novému bodu.

Konfigurujeme DWL-2100AP tak, aby komunikoval s RADIUS.

• Prejdeme na webové rozhranie prístupového bodu (ako to urobiť, je to napísané v pokynoch k bodu), okamžite zmeňte predvolené heslo na karte NÁSTROJE / SPRÁVCA /.
• Na karte DOMOV / LAN priraďte IP adresu prístupovému bodu, ktorý bol nastavený v klientoch.conf: 192.168.0.220.

• Na karte DOMOV / BEZDRÁTOVÝ SYSTÉM robíme všetko, ako je znázornené na obr. 3; do poľa „Radius Secret“ zadajte heslo, ktoré zodpovedá tomuto bodu v klientoch.conf (uviedli sme „12345“).

Ostatné prístupové body sú nakonfigurované rovnakým spôsobom, iba budú mať rôzne adresy IP, kanály (ak sú nastavené ručne), ako aj hodnotu poľa „Radius Secret“.

Vytvárame certifikáty

Najprv niekoľko všeobecných slov o tom, čo je PKI. Ide o druh infraštruktúry, z ktorých každý subjekt má jedinečný digitálny certifikát, ktorý dokazuje jeho identitu; digitálny certifikát okrem iného obsahuje súkromný kľúč. Správy s ním kódované je možné dešifrovať pomocou zodpovedajúceho verejného kľúča. Naopak, správy šifrované verejným kľúčom je možné dešifrovať iba pomocou súkromného kľúča. Každý subjekt PKI má verejný a súkromný kľúč.

Subjektom PKI môže byť buď užívateľský počítač alebo PDA, alebo akýkoľvek iný prvok sieťovej infraštruktúry - smerovač, webový server a dokonca aj server RADIUS, čo je náš prípad. Na čele celého tohto systému je hlavný orgán CA (Autorita certifikátu), predpokladá sa, že mu každý dôveruje a každý ho pozná - zaoberá sa podpisovaním certifikátov (osvedčovaním, že nositeľom certifikátu je skutočne ten, za koho sa vydáva) ). Pomáhajú mu špeciálne služby pri prijímaní žiadostí o certifikáty a ich vydávaní; čísla všetkých vydaných a zrušených certifikátov sú uložené v špeciálnom registri. V skutočnosti sa celá táto zdanlivo veľká farma zmestí na jeden počítač a jedna osoba to ľahko zvládne.

Na vytváranie certifikátov použijeme skripty, ktoré sú súčasťou FreeRADIUS.

• Najprv si vytvoríme vlastnú CA - na to budeme musieť vygenerovať digitálny podpis, ktorá podpíše všetky nimi vydané certifikáty, ako aj verejný kľúč.
• Potom vytvoríme certifikát servera a nainštalujeme ho na RADIUS.
• Nakoniec vygenerujeme certifikáty pre inštaláciu na klientskych počítačoch.

Vytvorte adresár/usr/local/etc/raddb/CA, skopírujte súbor CA.all a súbor xpextensions z priečinka /usr/ports/net/freeradius/work/freeradius-1.0.2/scripts/. CA.all je interaktívny skript, ktorý generuje certifikáty CA, klienta a servera. Xpextensions je súbor obsahujúci špeciálne kľúče Microsoft „Extended Key Usage“, ktoré sú potrebné na to, aby EAP-TLS fungoval so systémami Windows.

Otvorte súbor CA.all:

• v riadku 1 opravíme cestu - mala by vyzerať takto:

SSL = / usr / local / openssl

• na riadku 32 opravte cestu - malo by to vyzerať takto:

echo „newreq.pem“ | /usr/local/openssl/ssl/misc/CA.pl -newca

Skopírujte súbor CA.all do súboru CA_users.all. Potom otvoríme posledný a ponecháme text z riadkov 48 až 64, odstránime zostávajúce riadky - zvyšok je časť CA.all, v ktorej sa generujú klientske certifikáty. Bude použitý mnohokrát, takže je vhodné oddeliť ho do samostatného skriptu. Otvorte CA.all, odstráňte z neho riadky od 48 do 64 - všetko, čo bolo vybrané v samostatnom skripte, a uložte ho.

Poznámka: súbory CA.all a CA_users.all - obsahujú tajnú prístupovú frázu „čokoľvek“, ktorá sa používa ako dodatočné bezpečnostné opatrenie pri vydávaní certifikátov a ich zrušení. Osoba, ktorá nepozná túto frázu, nebude môcť certifikát podpísať alebo odvolať. V zásade to okrem operátora CA nebude potrebovať nikto iný. Na zvýšenie zabezpečenia je potrebné nahradiť všetky slová „čokoľvek“ v skriptoch CA.all a CA_users.all heslom. Bude tiež potrebné ho zadať do súboru eap.conf do riadka „private_key_password = čokoľvek“. V nasledujúcom budem predpokladať, že heslo „čokoľvek“ sme nechali všade nezmenené. Zavedieme ho vytvorením certifikátov klienta a servera a ich odvolaním.

Vytvorte certifikát CA a servera

Spustite CA.all. Prvá vec, ktorú interaktívne generuje, je koreňový certifikát CA (cacert.pem), pár verejných / súkromných kľúčov (cakey.pem), verejný kľúč koreňového certifikátu PKCS # 12 (root.der) a potom certifikát servera (cert_srv. pem), ktorý nainštalujeme na RADIUS. Všetky uvedené súbory (a dokonca aj niektoré neuvedené) sa zobrazia v priečinku CA.

Vytvorte CA (bude sa nazývať „správca“):

Názov organizačnej jednotky (napr. Sekcia): megacompany.central.office Bežný názov (napr. VAŠE meno): správca

Vytvorte certifikát pre RADIUS:

Názov organizácie (napr. Spoločnosť): MegaCompany Co. Ltd. Názov organizačnej jednotky (napr. Sekcia): RADIUS Bežný názov (napr. VAŠE meno): RADIUS Emailová adresa: [chránené e -mailom]

Skopírujte súbory /raddb/CA/cert_srv.pem a /raddb/CA/demoCA/cacert.pem do priečinka/raddb/certs - nainštalované certifikáty na serveri RADIUS.

Vytvárame klientske certifikáty

Na generovanie klientskych certifikátov používame náš skript CA_users.all. Vytvorme napríklad certifikát pre používateľa user1:

• Otvorte CA_users.all, nahraďte všetky slová cert-clt. * V ňom na user1. * (Je to nevyhnutné na to, aby ste podľa názvu súboru rozlíšili, ktorý certifikát je určený pre ktorého používateľa, inak bude vytvorený certifikát s rovnakým súborom meno (cert-clt. *). Vytvoríme niekoľko certifikátov naraz pre user1, user2,3,4,5). Prípadne môžete použiť popisné názvy súborov obsahujúcich certifikát, napríklad SergeyPetrov, IvanIvanov atď.
• Heslo - „čokoľvek“ v riadkoch 3, 4 sa nahradí skutočným heslom, ako je uvedené v zozname:

Súbor CA_users.all

1 | openssl req -new -keyout newreq.pem -out newreq.pem -days 730 -passin pass: whatever -passout pass: whatever

2 | openssl ca -policy policy_anything -out newcert.pem -passin pass: whatever -key whatever -extensions xpclient_ext \

Rozšírené súbory xpextensions -súbory newreq.pem

3 | openssl pkcs12 -export -v newcert.pem -key newreq.pem -out user1.p12 -clcerts -passin pass: whatever -passout pass: user1_password

4 | openssl pkcs12 -v user1.p12 -out user1.pem -passin prejsť: user1_password -passout prejsť: user1_password

5 | openssl x509 -inform PEM -formát DER -v user1.pem -out user1.der

Napríklad zadáme „user1_password“ - toto heslo sa zobrazí pri inštalácii certifikátu na počítač používateľa, musí sa zapamätať. Ako som už povedal, toto je ďalší spôsob autentifikácie pre akcie súvisiace s vydaním certifikátu.

• Skript uložíme a spustíme, získame tri súbory user1.der, user1.pem, user1.p12 - posledný z nich je certifikát vo formáte PKСS # 12 na inštaláciu na klienta Windows.

Spustite upravený súbor CA_users.all. Vytvorte certifikát pre user1:

Názov krajiny (dvojpísmenový kód): RU

Názov štátu alebo provincie (celé meno): Moskow Názov lokality (napr. Mesto): Moskow Názov organizácie (napr. Spoločnosť): MegaCompany Co. Ltd. Bežné meno (napr. VAŠE meno): Andrey Ivanov Emailová adresa: [chránené e -mailom] Zadajte nasledujúce atribúty „extra“ budú odoslané s vašou žiadosťou o certifikát Heslo výzvy: čokoľvek Voliteľný názov spoločnosti: (stlačte kláves Enter)

Teraz vygenerujeme heslo pre užívateľa user2:

• Otvorte CA_users.all, nahraďte user1. * V ňom user2. *
• Heslo „user1_password“ nahraďte heslom „user2_password“ (nezabudnite ho zapamätať, aby ste mohli neskôr nainštalovať certifikát).
• Skript uložíme a spustíme - dostaneme súbor user2.p12.

Vytvorte certifikát pre user2:

Názov krajiny (dvojpísmenový kód): RU Názov štátu alebo provincie (celé meno): Moskva Názov lokality (napr. Mesto): Moskva Názov organizácie (napr. Spoločnosť): MegaCompany Co. Ltd. Názov organizačnej jednotky (napr. Sekcia): oddelenie IT Bežné meno (napr. VAŠE meno): Michail Ivanov Emailová adresa: [chránené e -mailom] Zadajte nasledujúce atribúty „extra“ budú odoslané s vašou žiadosťou o certifikát Heslo výzvy: čokoľvek Voliteľný názov spoločnosti:

Každý certifikát uložíme na samostatnú disketu, napíšeme naň inštalačné heslo („userX_password“), na rovnakú disketu napíšeme verejný kľúč root.der (je rovnaký pre všetkých) a vydáme ho používateľovi. Užívateľ si nainštaluje certifikát na svoj počítač (o tom neskôr) a uloží disketu do trezoru.

Inštalácia certifikátov na klientsky počítač

Užívateľ (povedzme ten, ktorého sme pomenovali user1) teda dostal disketu, ktorej obsahom sú dva súbory root.der a user1.p12. Na diskete je zapísané aj heslo „user1_password“.

Začnime inštaláciou root.der

• dvakrát kliknite na súbor root.der;
• kliknite na „Inštalovať certifikát“;
• kliknite na „Ďalej“;
• vyberte možnosť „Umiestniť všetky certifikáty do nasledujúceho obchodu“, kliknite na „Prehľadávať“ (obr. 4);

• zvoľte „Dôveryhodné koreňové certifikačné autority“, kliknite na „OK“ (obr. 5);

• kliknite na „Ďalej“ a potom na „Dokončiť“;
• vydá sa bezpečnostné upozornenie: „Nie je možné overiť, či certifikát patrí„ Správcovi .... Chcete nainštalovať tento certifikát? " stlačíme „Áno“;
• zobrazí sa správa „Import úspešne dokončený.“, dvakrát kliknite na „OK“.

Nainštalujte používateľský certifikát user1.p12.

• Dvakrát kliknite na súbor user1.p12, dvakrát kliknite na „Ďalej“.

• Tu musíte zadať heslo, ktoré sme nastavili pre certifikát user1. V našom prípade ide o „user1_pass-word“ (alebo čokoľvek, čo vás napadne), je to bežne napísané na diskete s certifikátom. Zadajte ho a kliknite na „Ďalej“.
• Kliknite na „Ďalej“, potom na „Dokončiť“ - zobrazí sa správa „Import úspešne dokončený“, kliknite na „OK“.

Poznámka: všetky certifikáty, ktoré sme nainštalovali, je možné zobraziť prostredníctvom konzoly MMC pomocou modulu snap -in Certifikáty -> Aktuálny používateľ (osobný -> Certifikáty).

Konfigurácia bezdrôtové adaptéry D-Link DWL-G650 (DWL-G520 / DWL-G120) a žiadateľ

D-Link DWL-G650 je adaptér CardBus, DWL-G520 je adaptér PCI a DWL-G120 je adaptér USB. Sú nakonfigurované úplne identicky. Pozrime sa na postup pomocou príkladu DWL-G650.

• Vyberte adaptér z krabice a odložte ho; nainštalujte ovládače z priloženého disku. Po inštalácii ovládača odstránime zo spustenia natívny nástroj na konfiguráciu adaptéra, pretože na tieto účely použijeme službu konfigurácie bezdrôtového hardvéru zabudovanú do systému Windows XP. Adaptér vložíme do počítača.
• Kliknite raz ľavým tlačidlom myši na ikonu prečiarknutého bezdrôtového pripojenia (v systémovej lište) a potom zvoľte „Zmeniť Extra možnosti“(Obr. 7).

• Vyberte kartu „Bezdrôtové siete“, vyberte tam našu bezdrôtovú sieť (megacompany_DWL-2100AP), prejdite na „Vlastnosti“ (obr. 8).

• Na karte „Pripojenia“ v rozbaľovacej ponuke „Šifrovanie údajov“ vyberte protokol TKIP. Prejdeme na záložku „Autentifikácia“ (obr. 9).

• Tu necháme všetko nezmenené, prejdite na „Vlastnosti“ EAP (obr. 10).

• Prepínače sme umiestnili tak, ako je to znázornené na obr. 11, v okne „Dôveryhodné koreňové certifikačné autority“ vyberte našu CA - bude sa nazývať správca (ak je všetko vykonané presne tak, ako je popísané v časti „Vytváranie certifikátov“).

• V každom prípade kliknite na „Zobraziť certifikát“ a preštudujte si, kto je poskytovateľ certifikátu. Uisťujeme sa, že toto je náš firemný „správca“ CA, ktorého sme vytvorili (obr. 12).

• Kliknite na „OK“, tým sa konfigurácia sieťovej karty a superlikvidátora dokončí.

Kontrolujeme prácu WPA-Enterprise v našej sieti

Teraz prišiel dlho očakávaný čas na testovanie všetkých nastavení v prevádzke. Spustite FreeRADIUS v režime ladenia príkazom „radiusd -X“ a na obrazovke sa zobrazí:

polomer # radiusd –X

Spúšťa sa - čítanie konfiguračných súborov ... reread_config: čítanie radiusd.conf

Na konci sú riadky:

Počúvanie pri autentifikácii 192.168.0.222:1812 Počúvanie pri autentifikácii 192.168.0.222:1813 Počúvanie pri autentifikácii 192.168.0.222:1814 Pripravený spracovať žiadosti.

No alebo v najhoršom prípade je napísané, prečo FreeRADIUS nezačal - nezúfajte, ak sa to stane. Chybové hlásenie si musíte starostlivo preštudovať a skontrolovať všetky nastavenia.

Kliknite na bezdrôtové pripojenie sieťové pripojenie, potom bezdrôtovo pomenované „mega-company_DWL-2100AP“. Potom obrátime zrak k monitoru, na ktorom beží radiusd a zobrazuje sa proces úspešnej autentifikácie (neukážeme celý výstup servera, pretože je dosť veľký, uvedieme iba počiatočné a konečné riadky).

Začiatok výberu:

rad_recv: Paket s požiadavkou na prístup od hostiteľa 192.168.0.220:1044, id = 0, dĺžka = 224 Message-Authenticator = 0x Service-Type = Framed-User Používateľské meno = "Andrey Ivanov" Zarámovaná MTU = 1488 Called-Station-Id = "00-11-95-8E-BD-30: megacompany_DWL-2100AP" Calling-Station-Id = "00-0D-88-88-D5-46" NAS-Identifier = "Prístupový bod D-Link"

Koniec výberu:

Používateľské meno = "Andrey Ivanov" Hotová požiadavka 4 Prechod na ďalšiu požiadavku Prebudenie za 6 sekúnd ... Prehľad celého zoznamu požiadaviek --- Žiadosť o upratovanie 0 ID 0 s časovou pečiatkou 4294d303 Žiadosť o upratovanie 1 ID 1 s časovou pečiatkou 4294d303 Žiadosť o upratovanie 2 ID 2 s časovou pečiatkou 4294d303 Žiadosť o upratovanie 3 ID 3 s časovou pečiatkou 4294d303 Žiadosť o upratovanie 4 ID 4 s časovou pečiatkou 4294d303 Nič na práci. Spíme, kým neuvidíme žiadosť.

Autentifikácia bola úspešná, počítač získa IP adresu zo servera DHCP a teraz môže pracovať v bezdrôtovej sieti. Mimochodom, ak je v počítači nainštalovaných niekoľko klientskych certifikátov (to sa tiež stáva), potom superlanta ponúkne, ktorý z nich použije na konkrétne overenie.

Zrušenie certifikátov

Zdá sa, že už je všetko jasné - bezpečná bezdrôtová sieť už bola vybudovaná, ale v skutočnosti je tu ešte jeden dôležitý aspekt, ktorý teraz zvážime. Predpokladajme, že chcete odmietnuť prístup k bezdrôtovej sieti jednému z počítačov (napríklad osobnému prenosnému počítaču jedného zo zamestnancov), na ktorý sme predtým nainštalovali certifikát. Dôvody môžu byť najbežnejšie - prepustenie zamestnanca, zníženie atď. Na vyriešenie tohto problému musíte označiť v registri (/usr/local/etc/raddb/CA/demoCA/index.txt), v ktorom sú uložené zoznam všetkých podpísaných certifikátov, certifikát používateľa, ktorému chceme odmietnuť prístup do siete, ako odvolaný. Potom musíte vytvoriť (alebo aktualizovať, ak už existuje) zoznam odvolaných certifikátov (CRL - zoznam odvolaných certifikátov). A potom nakonfigurujte RADIUS tak, aby pri autentifikácii používateľov odkazoval na tento zoznam a skontroloval, či sa v ňom nachádza predložený klientsky certifikát.

V našich predchádzajúcich experimentoch sme vytvorili dva certifikáty pre používateľa1 (Andrey Ivanov) a používateľa2 (Michail Ivanov). Odmietnime napríklad prístup k bezdrôtovej sieti. Prejdeme si ďalšie tri kroky.

Krok 1

Certifikát user2 v registri označíme ako odvolaný: v adresári / usr / local / etc / raddb / CA zadáme príkaz:

radius # openssl ca -revoke user2.pem

943: chyba: 0E06D06C: Rutiny konfiguračného súboru: NCONF_get_string: žiadna hodnota: Odvolanie osvedčenia D734AD0E8047BD8F.

OpenSSL nadáva, ale robí to, čo chceme. Počas vykonávania príkazu musíte zadať tajnú prístupovú frázu („čokoľvek“). V takom prípade bude v /raddb/CA/demoCA/index.txt certifikát označený ako zrušený, čo môžeme overiť pohľadom na tento súbor. Vedľa záznamu zodpovedajúceho zrušenému certifikátu sa nachádza písmeno „R“.

Krok 2

Vytvorte zoznam odvolaných (CRL). Ak už existuje, bude aktualizovaný. Keďže sme v / usr / local / etc / raddb / CA, zadáme príkaz:

polomer # openssl ca -gencrl -out ca.crl

Použitie konfigurácie z /etc/ssl/openssl.cnf 963: chyba: 0E06D06C: Rutiny konfiguračného súboru: NCONF_get_string: žiadna hodnota: /usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/conf/conf_lib.c: 329: skupina = CA_predvolený názov = jedinečný_predmet Zadajte prístupovú frázu pre ./demoCA/private/cakey.pem: DEBUG: unique_subject = "yes"

Počas vykonávania príkazu musíte znova zadať tajné heslo „čokoľvek“. Výsledkom je, že súbor ca.crl sa objaví v adresári / raddb / CA / - toto je zoznam zrušených. Vo vnútri to vyzerá ako šifrovanie, môžete si to pozrieť takto:

polomer # openssl crl -in ca.crl -text –noout

Zoznam zrušených certifikátov (CRL): Verzia 1 (0x0) Emitent: / C = RU / ST = Moskow / L = Moskow / O = MegaCompany Co. Ltd./OU=megacompany.central.office/CN=Administrator/ [chránené e -mailom] Posledná aktualizácia: 27. mája 23:33:19 2005 GMT Ďalšia aktualizácia: 26. júna 23:33:19 2005 GMT Odvolané certifikáty: Sériové číslo: D734AD0E8047BD8D Dátum odvolania: 27. mája 23:13:16 2005 GMT Algoritmus podpisu: md5WithRSAEncryption D4: 22: d6: a3: b7: 70: 0e: 77: cd: d0: e3: 73: c6: 56: a7: 9d: b2: d5: 0a: e1: 23: ac: 29: 5f: 52: b0: 69: c8: 88: 2f: 98: 1c: d6: be: 23: b1: B9: ea: 5a: a7: 9b: fe: d3: f7: 2e: a9: a8: bc: 32: d5: e9: 64: 06: c4: 91: 53: 37: 97: fa: 32: 3e: df: 1a: 5b: e9: fd: 95: e0: 0d: 35: a7: ac: 11: c2: fe: 32: 4e: 1b: 29: c2: 1b: 21: f8: 99: cd: 4b: 9f: f5: 8a: 71: B8: c9: 02: df: 50: e6: c1: ef: 6b: e4: dc: f7: 68: da: ce: 8e: 1d: 60: 69: 48: reklama:

Vidíme v ňom jeden odvolaný certifikát s sériové číslo D734AD0E8047BD8D (aka user2, alias Michail Ivanov).

Upozorňujeme, že dôležitou vlastnosťou CRL je dátum vypršania platnosti. Aktualizáciu je potrebné vykonať najneskôr po dátume jej platnosti (Aktualizácia: 26. júna 23:33:19 2005 GMT). Dátum vypršania platnosti CRL je možné nastaviť v súbore openssl.cnf (mali sme default_crl_days = 30).

Krok 3

Zoznam recenzií spájame s FreeRADIUS:

• skopírujte súbor /raddb/CA/ca.crl do / raddb / certs / (cez starý ca.crl, ak tam je);
• prejdite na / raddb / certs / a prilepte ca.crl do súboru cacert.pem:

mačka cacert.pem ca.crl> ca.pem

• vykonajte malé zmeny v sekcii súboru TLS /raddb/eap.conf

# tu sme zmenili cacert.pem na ca.pem

CA_file = $ (raddbdir) /certs/ca.pem

CA_path = $ (raddbdir) / certs #pridajte tento riadok

check_crl = yes # a tento riadok

Skúsme počítač autentifikovať pomocou certifikátu user2 v sieti. Autentifikácia zlyhá a užívateľ1 voľne vstúpi do bezdrôtovej siete, ktorú bolo potrebné dokázať.

Teraz je možné bezpečnú bezdrôtovú sieť považovať za vybudovanú.