###
  • インターネット
  • プログラム
  • ゲーム
  • 問題点
  • ウィンドウズ
  • ソーシャルメディア
  • アンドロイド
  • iOS

    • ワイヤレス Wi-Fi ネットワークのセキュリティ。 Wi-Fi を保護します。ワイヤレス ネットワークのセキュリティを向上させるにはどうすればよいですか? ゲストネットワークの組織化

    19.04.2019 問題点

    WiFiネットワーク保護- 作成後に直面するもう一つの質問 ホーム・ネットワーク。 Wi-Fi ネットワークのセキュリティは、望ましくない攻撃に対する保証だけではありません。 サードパーティ接続あなたのインターネットだけでなく、あなたのコンピュータやその他のネットワーク デバイスのセキュリティも保証します。結局のところ、他の人のコンピュータからのウイルスが穴を通って侵入し、多くの問題を引き起こす可能性があります。 セキュリティキー Wi-Fi は通常、ほとんどのユーザーに限定されていますが、この場合は十分ではありません。 しかし、まず最初に…

    まず第一に、Wi-Fi ネットワークの保護を整理するために、必須のものに注意します。これには、WPA2/PSK Wi-Fi セキュリティ キーを使用することをお勧めします。 かなり複雑な 7 桁のパスワードが必要ですが、推測するのは非常に困難です。 でも、おそらく! この問題について真剣に考えたのは、次にネットワークに含まれるデバイスを確認したときに、そのデバイスが 1 つや 2 つではなく、10 個もあることが判明したときです。 その後、Wi-Fi ネットワークの保護に真剣に興味を持ち、さらに信頼性の高い追加の方法を探し始めました。そして、もちろん、それを見つけました。 さらに、これには特定の保護プログラムは必要ありません。すべてはルーターとコンピューターの設定で行われます。 今、私はあなたと共有します! はい、メソッドのデモンストレーションはデバイス上で実行されます ASUS- 最新のものは同一のインターフェイスを備えています。特にビデオコースでは、WL-520GU モデルですべてを行いました。

    Wi-Fi ネットワークを保護する - 実践的な方法

    1. SSIDブロードキャストを無効にする

    私のビデオコースを見た人なら誰でも、私が何を言っているか知っています。 そうでない人のために、説明します。 SSID は、ロシア語で言うとネットワークの名前です。 つまり、設定で割り当てた名前で、接続可能なルーターをスキャンするときに表示されます。


    SSID が誰にでも公開されている場合は、誰でも接続を試みることができます。 あなたとあなたの友人だけがそれについて知るようにするには、それを非表示にする、つまりこのリストに載っていないようにする必要があります。 これを行うには、「SSID を非表示にする」チェックボックスをオンにします。 その後、検索結果から消えます。 そして、次の方法で参加できます。

    これで完了です。この後、表示されませんでしたが、安全な Wi-Fi にログインする必要があります。

    2. MAC アドレスによるデバイスのフィルタリング

    それはさらに 信頼できる方法招かれざる客からWi-Fiを守ります。 実際、各デバイスには MAC アドレスと呼ばれる独自の個人識別子があります。 設定にコンピュータの ID を入力することで、コンピュータへのアクセスのみを許可できます。 ホームルーター.


    ただし、最初にこれらの MAC を見つける必要があります。 Windows 7 でこれを行うには、「スタート > コントロール パネル > ネットワークとインターネット > コントロール センター > アダプター設定の変更」の順に進み、アダプターの設定をダブルクリックします。 Wi-Fi接続。 次に、「詳細」ボタンをクリックして、「物理アドレス」項目を確認します。これがそれです。

    ハイフンを使用せず、数字と文字のみで記述します。
    次に、ルーター管理パネルの「MAC アドレスフィルター」タブに移動します。 無線ネットワーク».
    ドロップダウンリストから「同意する」を選択し、追加します MACアドレスローカルエリアにあるコンピュータ - 繰り返しますが、ハイフンは付けません。

    その後、設定を保存すると、他の人のデバイスがログインしなくなります。

    3. IPアドレスによるデバイスのフィルタリング

    これはさらに高度な方法です。 ここでは、コンピュータは MAC だけでなく、各コンピュータに手動で割り当てられた IP によっても選別されます。 最新のテクノロジー MAC を置き換えることができます。つまり、ガジェットの番号を学習したら、それを模倣して、自分で接続したかのようにログインできます。 デフォルトでは、IP は特定の範囲内で接続されているすべてのデバイスに自動的に配布されます。これは、ルーターがいわゆる DCHP サーバー モードで動作しているために発生します。 ただし、これを無効にして、それぞれに手動で IP アドレスを設定できます。


    これが実際にどのように行われるかを見てみましょう。 まず、アドレスを自動的に配布する DCHP サーバーを無効にする必要があります。 「LAN」セクションに移動し、「DCHP サーバー」タブを開きます。 ここではそれを無効にします (最初の段落では「いいえ」)。

    この後、各コンピューターまたはその他のデバイスを構成する必要があります。 Windows 7 を使用している場合は、「コントロール パネル > ネットワークとインターネット > ネットワークと共有センター > アダプター設定の変更 >」に移動します。 ワイヤレス接続(またはあなたがそれを何と呼んでも構いません)。 それをダブルクリックし、「プロパティ > インターネット プロトコル バージョン 4 (TCP/IP)」に移動します。 ここではすべてのパラメータを自動的に取得しました。 「次の IP を使用する」チェックボックスをオンにして、次のように設定します。

    • IP はルーターのセットアップ時に割り当てたものです。つまり、私の場合は 192.168.1.3 です。
    • マスク - 255.255.255.0
    • ゲートウェイ - ルーター IP。つまり、ASUS のデフォルトでは 192.168.1.1 です。

    4.ルーター稼働時間

    この方法同時にコンピューターで作業する人に適しています 一定時間。 要するに、ルーターはインターネットを次の期間にのみ配信します。 特定の時間。 たとえば、午後 6 時に仕事から帰宅し、10 時までオンラインのままだとします。 次に、デバイスを 18:00 から 22:00 までのみ動作するように設定します。 特定の切り替え日を設定することも可能です。 たとえば、週末に田舎に行く場合、土曜日と日曜日は Wi-Fi をまったくブロードキャストできません。

    インストール済み このモード「ワイヤレスネットワーク」セクションの「プロフェッショナル」タブ。 勤務する曜日と時間を設定します。

    5. ネットワークへの自動接続を防止する

    この設定はコンピュータ自体で行われ、おそらく Wi-Fi 保護ではなく、コンピュータが他人のネットワークに接続してウイルスに感染するのを防ぐためのものです。 「」でワイヤレス接続をクリックします。 ネットワーク接続(ポイント 3 を参照) をクリックし、ここで「ワイヤレス ネットワークのプロパティ」を選択します。

    のために 最大限の保護 Wi-Fi ネットワークに接続する場合は、接続するたびにパスワードを入力するために、ここですべてのボックスをオフにすることをお勧めします。 怠け者の方は、最初の時点でそのままにしておいても構いません - 自動接続現在のネットワークただし、コンピューターが接続可能な他のコンピューターに独立して参加できるようにする他の 2 つはアクティブ化できません。

    ご覧のように、 WiFi保護 WPA2 暗号化は、単なる WPA2 暗号化以上のものを提供します。これらの簡単なヒントに従えば、ワイヤレス ネットワークのセキュリティが保証されます。 ローカル ネットワーク全体を一度に保護する方法も間もなく学習します。この記事を見逃さないように、ブログの更新情報を購読することをお勧めします。 ご質問がございましたら、コメントフォームをご利用ください 😉

    この記事がお役に立ちましたら、感謝の気持ちを込めて、次の 3 つの簡単な作業を行っていただきますようお願いいたします。
    1. 購読してください YouTubeチャンネル
    2. 出版物へのリンクをウォールに送信します。 ソーシャルネットワーク上のボタンをクリックしてください

    有線ネットワークと無線ネットワークの主な違い

    ネットワークエンドポイント間の完全に制御されていない領域に関連付けられています。 かなり広範囲のネットワーク領域では、ワイヤレス環境はまったく制御されません。 モダンな 無線技術オファー

    ネットワーク展開領域全体を管理するための限られたツール セット。 これにより、攻撃者が無線構造物に近接して攻撃を行うことが可能になります。 全行有線の世界では不可能な攻撃。 ワイヤレス環境に特有のセキュリティの脅威、攻撃に使用される機器、あるアクセス ポイントから別のアクセス ポイントにローミングするときに発生する問題、安全なシェルターについて説明します。 ワイヤレスチャンネルそして 暗号化保護オープンなコミュニケーション。

    盗聴

    ワイヤレス ネットワークなどのオープンで管理されていない環境で最も一般的な問題は、匿名攻撃の可能性です。 匿名の害虫は無線信号を傍受し、送信されたデータを解読する可能性があります。 ネットワーク上で盗聴するために使用される機器は、そのネットワークへの日常的なアクセスに使用されるものと同じくらい高度なものである可能性があります。 送信を傍受するには、攻撃者が送信機の近くにいる必要があります。 このタイプのインターセプトを記録することはほとんど不可能であり、防ぐのはさらに困難です。 アンテナと増幅器を使用すると、攻撃者は傍受プロセス中にターゲットからかなり離れた場所にいる機会が得られます。 盗聴は、その後の攻撃を目的としたネットワーク上の情報を収集するために実行されます。 攻撃者の主な目的は、誰がネットワークを使用しているか、ネットワーク上でどのような情報が利用可能であるか、ネットワーク機器の機能は何か、どの時点で最も集中的に悪用されているのか、最も集中的に悪用されていないのか、ネットワーク展開の領域は何かを理解することです。 。

    これらはすべて、ネットワークへの攻撃を計画するために役立ちます。

    多くの一般人 ネットワークプロトコルこれを送信します 重要な情報、ユーザー名とパスワードとしてクリアテキストで。 インターセプタは、抽出されたデータを使用してネットワーク リソースにアクセスできます。

    発信された情報暗号化されると、攻撃者は記憶して復号できるテキストを手に入れることになります。 盗聴するもう 1 つの方法は、ワイヤレス ネットワークに接続することです。 ローカル ワイヤレス ネットワーク上でのアクティブな盗聴は、通常、次のようなものに基づいています。 悪用アドレス解決プロトコル (ARP)。

    当初、このテクノロジーはネットワークを「リッスン」するために作成されました。 実際には、データ通信レベルでの MITM (中間者攻撃) に対処しています。 これらはさまざまな形式をとる可能性があり、通信セッションの機密性と完全性を破壊するために使用されます。

    MITM 攻撃は他のほとんどの攻撃よりも複雑です。 詳細な情報ネットワークについて。 攻撃者は通常、ネットワーク リソースの 1 つの ID を偽装します。

    攻撃の被害者が接続を開始すると、詐欺師はそれを傍受し、目的のリソースへの接続を終了し、そのリソースへのすべての接続を自分のステーション経由で渡します。 この場合、攻撃者は情報を送信したり、送信内容を変更したり、すべての会話を盗聴して復号したりする可能性があります。 攻撃者は、要求されていない ARP 応答をターゲット ステーションに送信します。 ローカルネットワーク、それを通過するすべてのトラフィックを送信します。 次に、攻撃者は指定された受信者にパケットを送信します。 このようにして、ワイヤレス ステーションは、別のワイヤレス クライアント (またはローカル ネットワーク上の有線クライアント) からのトラフィックを傍受できます。

    に対する脅威 無線LANネットワーク

    ワイヤレス ネットワークのセキュリティを確保することは、ネットワークを保護することよりもさらに困難です 有線ネットワーク。 ネットワークを使用または管理するすべての人にとって、セキュリティは最優先事項でなければなりません。

    アクセス ポイントの範囲内では、WLAN ネットワークは、アクセス ポイントとの関連付けを行うための適切な資格情報を持つすべての人に開かれています。 ワイヤレス機能を搭載 ネットワークアダプターハッキング技術の知識があれば、攻撃者は WLAN が設置されている場所に物理的に存在してアクセスできない可能性があります。

    セキュリティ問題は次のような場合にさらに重要になります。 私たちが話しているのは企業ネットワークについては、特に企業の存続はデータ セキュリティにかかっています。 セキュリティ侵害は、特に顧客の財務情報を扱う企業の場合、壊滅的な結果をもたらす可能性があります。 企業内でのワイヤレス ネットワークの導入はますます増えており、多くの場合、もはや単なるネットワークではありません。 便利なオプションだけでなく、ネットワークの重要な部分でもあります。 WLAN は常に攻撃の影響を受けやすいものでしたが、人気が高まるにつれ、最大の標的になりつつあります。

    攻撃は見知らぬ人や不満を抱いた従業員によって開始される可能性がありますが、そのような悪意のある人に加えて、どの従業員によっても意図せずに攻撃が引き起こされる可能性があります。 ワイヤレス ネットワークは、特に次の脅威の影響を受けやすくなります。

    · 無線侵入者。

    · 悪意のあるアプリケーション。

    · データ傍受

    · DoS攻撃

    図内の各脅威をクリックすると、詳細情報が表示されます。

    ノート。 アクセス ポイントやワイヤレス クライアントの MAC アドレス スプーフィング、ハッキング、インフラストラクチャ攻撃などの脅威については、この章では扱いません。

    サービス拒否攻撃

    無線ネットワークで DoS 攻撃が発生する理由は次のとおりです。

    · 不正なデバイス構成- 設定エラーにより、WLAN ネットワークがシャットダウンする可能性があります。 たとえば、管理者が誤って設定を変更してネットワークを無効にしたり、管理者権限を持つ攻撃者が意図的に WLAN を無効にしたりする可能性があります。



    · 攻撃者が意図的に無線通信を妨害する- このような攻撃者は、ワイヤレス ネットワークを完全に無効にするか、許可されたデバイスが環境にアクセスできない程度に無効にしようとします。

    · ランダムな干渉- WLAN はライセンスのない周波数帯域で動作するため、セキュリティ機能に関係なく、すべてのワイヤレス ネットワークは他のワイヤレス デバイスからの干渉の影響を受けやすくなります。 電子レンジ、コードレス電話、ベビーモニターなどのデバイスからランダムな干渉が発生する可能性があります。2.4 GHz 帯域は 5 GHz 帯域よりも干渉を受けやすくなります。

    DoS 攻撃のリスクを最小限に抑えるため 間違った設定デバイスと悪意のある攻撃に対処するには、すべてのデバイスを保護し、パスワードを安全な場所に保管し、パスワードを作成する必要があります。 バックアップまた、構成の変更は勤務時間外にのみ行ってください。

    ランダムな干渉は、他の無線デバイスが動作している場合にのみ発生します。 最善の解決策は、WLAN で干渉の問題が発生していないか監視し、問題が発生したときに解決することです。 2.4 GHz 帯域は干渉を受けやすいため、最も 弱い領域 5GHz帯が使用可能です。 一部の WLAN ソリューションでは、 自動調整アクセス ポイントによってチャネルを制御し、干渉を補償するために 5 GHz 帯域の使用を可能にします。 たとえば、一部の 802.11n/ac/ad ソリューションは、干渉に耐えるように自動的に調整されます。

    この図は、コードレス電話や電子レンジがどのように WLAN 通信に干渉するかを示しています。

    Cisco CleanAir テクノロジーにより、デバイスは 802.11 以外の干渉源を識別して特定できます。 この技術は、環境の変化に自動的に適応できるネットワークを構築します。

    制御フレームを使用した DoS 攻撃

    可能性は低いですが、攻撃者はランダムな干渉を引き起こす電子対策デバイスを使用して意図的に DoS 攻撃を開始する可能性があります。 攻撃者が制御フレームを操作しようとする可能性が高く、それによってアクセス ポイントのリソースが消費され、承認されたユーザー トラフィックを処理できなくなるほどチャネルに負荷がかかります。

    制御フレームは、さまざまな種類の DoS 攻撃を開始するために使用できます。 2 種類の制御フレーム攻撃が一般的です。

    · 誤ったシャットダウン攻撃- このような攻撃を実行するために、攻撃者は一連の「関連付け解除」コマンドをすべてのユーザーに送信します。 無線デバイス BSS内で。 これらのコマンドにより、すべてのクライアントが切断されます。 切断されると、すべてのワイヤレス クライアントはすぐに再接続を試行し、トラフィック量が急激に増加します。 攻撃者はアソシエーション解除フレームを送信し続け、このサイクルが繰り返されます。

    · CTS 送信権限フラッド攻撃- このタイプこの攻撃は、攻撃者が CSMA/CA 環境で競合解決技術を使用して帯域幅を独占し、他のすべてのワイヤレス クライアントへのアクセスを拒否したときに発生します。 これを達成するために、攻撃者は偽の STA に CTS を送信する許可を BSS に継続的にフラッディングします。 RF 媒体を共有している他のすべてのワイヤレス クライアントは CTS を受け入れ、攻撃者が CTS フレームの送信を停止するまでデータの送信を停止します。

    図では、 図 1 は、ワイヤレス クライアントとアクセス ポイントが CSMA/CA 方式を使用してメディアにアクセスする方法を示しています。

    図では、 図 2 は、攻撃者がおとりの無線クライアントに CTS フレームをフラッディングする方法を示しています。 これで、他のすべてのクライアントは、CTS フレームで指定された期間が完了するまで待機する必要があります。 ただし、攻撃者は CTS フレームを送信し続けます。 そのため、他のお客様は常に待たされることになります。 したがって、攻撃者は環境を制御します。

    注記。 これは、制御フレーム攻撃の一例にすぎません。 他にもたくさんあります。

    このような攻撃のリスクを軽減するために、シスコは、フレームやデバイスのスプーフィングに対する包括的なプロアクティブな保護を提供する Cisco Management Frame Protection(MFP)など、多数のソリューションを開発しました。 Cisco Adaptive Wireless Intrusion Prevention System は、侵入検知機能を備えたこのソリューションを補完します。 初期段階攻撃シグネチャを照合することによって。

    IEEE 802.11 標準委員会は、2 つのワイヤレス ネットワーク セキュリティ標準も開発しました。 802.11i 標準は Cisco MFP を使用してワイヤレス ネットワークのセキュリティ メカニズムを定義し、802.11w 管理フレーム セキュリティ標準は管理フレームの操作に関連する問題に対処します。

    悪意のあるアクセスポイント

    悪意のあるアクセスポイントとは、 無線ルーター、次のように特徴付けることができます。

    · このルータは、明示的な承認なしに企業ポリシーに違反して企業ネットワークに接続しています。 施設にアクセスできるユーザーは誰でも (悪意の有無にかかわらず) 低コストのワイヤレス ルーターをインストールでき、理論的には安全なネットワーク リソースへのアクセスが可能になります。

    · 攻撃者は、そのようなルータに接続するか有効にして、クライアント データ (無線および有線クライアントの MAC アドレスなど) をキャプチャしたり、データ パケットをキャプチャしてマスクしたりして、ネットワーク リソースにアクセスすることができます。 または傍受攻撃を開始する目的。

    また、個人用のメッセージを作成するのがいかに簡単であるかも考慮する必要があります。 ワイヤレスポイントアクセス。 たとえば、安全なネットワーク アクセスを持つユーザーは、承認された Windows ホストをアクセス ポイントとして構成します。 Wi-Fiネットワーク。 この場合、無許可のデバイスはセキュリティ対策を回避し、1 つの共通デバイスとしてネットワーク リソースにアクセスします。

    悪意のあるアクセス ポイントのインストールを防ぐには、組織は次の方法を使用する必要があります。 ソフトウェア無線スペクトルをアクティブに監視して、不正なアクセス ポイントの存在を確認します。 たとえば、図の Cisco Prime インフラストラクチャ ネットワーク管理ソフトウェアのスクリーンショットは、検出された偽の MAC アドレスによって攻撃者の位置を特定する RF マップを示しています。

    注記。 Cisco Prime は、他のネットワークと対話するネットワーク管理ソフトウェアです。 同様のプログラム、提供する 一般的なアイデアすべてのネットワーク データを一元的に配置します。 通常、このソフトウェアは非常に大規模な組織に導入されます。

    迎撃攻撃

    攻撃者が使用できるより複雑なタイプの攻撃の 1 つは傍受攻撃です。 傍受攻撃を作成するにはさまざまな方法があります。

    このような攻撃の最も一般的なタイプの 1 つは「イービル ツイン」と呼ばれるもので、攻撃者が悪意のあるアクセス ポイントを埋め込み、それを許可されたアクセス ポイントと同じ SSID で構成します。 提供される場所 出入り自由たとえば、空港、カフェ、レストランなどの施設はオープン認証を使用しているため、このタイプの攻撃の最も一般的なターゲットとなります。

    ワイヤレス クライアントが接続すると、2 つのアクセス ポイントが表示され、 無線アクセス。 悪意のあるアクセス ポイントに近い人は、より強力な信号を検出し、悪意のあるツイン アクセス ポイントとの関連付けを行う可能性が高くなります。 これで、ユーザー トラフィックが不正アクセス ポイントに送信され、不正アクセス ポイントがデータをキャプチャして信頼できるアクセス ポイントに転送します。 許可されたアクセス ポイントからの戻りトラフィックは、悪意のあるアクセス ポイントに送信され、キャプチャされて、疑われていないステーション (STA) に転送されます。 攻撃者はユーザーのパスワードや個人情報を盗み、ネットワークにアクセスしてユーザーのシステムを侵害する可能性があります。

    たとえば、図では 1 人の攻撃者が Bob's Latte で、無防備なワイヤレス クライアントからのトラフィックをハイジャックしようとしています。 攻撃者は、自分のラップトップを同じ機能を持つ「邪悪な双子」アクセス ポイントにするソフトウェアを実行します。 SSID名認可された無線ルーターと同じチャネル。

    図では、 2 ユーザーには利用可能な 2 つが表示されます ワイヤレス接続ですが、関連付けには「evil Twin」アクセス ポイントを選択します。 攻撃者はユーザー データをキャプチャして許可されたアクセス ポイントに転送し、許可されたアクセス ポイントは応答トラフィックを邪悪なツイン アクセス ポイントに送り返します。 邪悪なツイン アクセス ポイントは応答トラフィックをハイジャックし、何も知らないユーザーにデータを転送します。

    盗聴攻撃を防止できるかどうかは、WLAN ネットワーク インフラストラクチャの複雑さとネットワーク監視の徹底にかかっています。 このプロセスは、WLAN 上の許可されたデバイスを識別することから始まります。 これを行うには、ユーザーが認証される必要があります。 すべての許可されたデバイスが識別されると、ネットワークで不審なデバイスやトラフィックを監視できます。

    企業ネットワーク最も使用量が多い WLAN 最新のデバイス WLAN、連携して機能するツールを管理者に提供します。 ワイヤレスシステム侵入防御システム (IPS)。 これらのツールには、悪意のあるアクセス ポイントやピアツーピア ネットワークを識別するスキャナー、アクセス ポイントのアクティビティと負荷について無線周波数帯域を監視する無線リソース管理ツールが含まれます。 大きなプレッシャーアクセス ポイントに、管理者に通知します。 可能な可用性不正なトラフィック。

    ワイヤレスセキュリティの概要

    ネットワークの境界が拡大するにつれて、Wi-Fi ネットワークのセキュリティは常に特別な懸念事項となっています。 無線信号は、天井、床、壁、および家やオフィスの屋外などの固い障害物を介して送信される可能性があります。 厳格なセキュリティ対策がなければ、WLAN ネットワークを設置することは、路上であってもあらゆる場所にイーサネット ポートを設置することに似ています。

    ワイヤレス ネットワークに侵入しようとする侵入者による脅威を防ぎ、データを保護するために、2 つのセキュリティ機能が使用されました。

    · SSIDを隠す。 アクセス ポイントと一部のワイヤレス ルーターでは、SSID ビーコン フレームを無効にすることができます。 ワイヤレス クライアントは、ネットワークに接続するために SSID を手動で決定する必要があります。

    · MACアドレスフィルタリング。 管理者は、物理ハードウェアの MAC アドレスに基づいて、クライアントのワイヤレス アクセスを手動で許可または拒否できます。

    これら 2 つの機能によりほとんどのユーザーは排除されますが、実際には、SSID 隠蔽も MAC アドレス フィルタリングも熟練した攻撃者を阻止することはできません。 SSID は、アクセス ポイントがブロードキャストしない場合でも簡単に発見でき、MAC アドレスはスプーフィングされる可能性があります。 最良の方法でワイヤレス ネットワークの保護には、認証および暗号化システムが使用されます (図 1 を参照)。

    元の 802.11 標準では、次の 2 種類の認証が導入されました。

    · 認証 オープンシステム 。 すべてのワイヤレス クライアントは簡単に接続でき、そのようなシステムは、セキュリティが大きな懸念事項ではない状況 (たとえば、カフェ、ホテル、遠隔地など、無料のインターネット アクセスが提供されている場所) でのみ使用できます。

    · コンセンサスキー認証。 ワイヤレス クライアントとアクセス ポイント間で送信されるデータを認証および暗号化するための、WEP、WPA、または WPA2 などのメカニズムを提供します。 ただし、接続するには、事前に当事者間でパスワードを合意しておく必要があります。

    図の図では、 2件提示 簡単な情報さまざまな種類認証。

    コンセンサスキーの認証方法

    図に示すように。 1、合意された 3 つのキー認証オプションが利用可能です。

    · 無線暗号化プロトコル (WEP)。 オリジナルの 802.11 仕様。有線接続と同等のレベルでプライバシーを提供するように設計されています。 データ保護は、静的キーを使用した RC4 暗号化方式によって提供されます。 ただし、パケットの送信時にキーが変更されることはないため、解読するのは非常に簡単です。

    · Wi-Fi 保護されたアクセス (WPA)。 WEP を使用しますが、より強力な Temporal Key IP (TKIP) 暗号化アルゴリズムを通じてデータ セキュリティを提供する Wi-Fi Alliance 標準。 TKIP はパケットごとにキーを変更するため、解読がはるかに困難になります。

    · IEEE 802.11i/WPA2。 IEEE 802.11i は、ワイヤレス ネットワーク セキュリティの業界標準です。 Wi-Fi Alliance のバージョンは WPA2 と呼ばれます。 802.11i および WPA2 は、暗号化に Advanced Encryption Standard (AES) を使用します。 AES は現在、最も安全な暗号化プロトコルであると考えられています。

    WEP は推奨されなくなりました。 WEP 共有キーは効果がないことが証明されているため、使用しないでください。 補うために 弱い面 WEP 共有キーでは、企業は最初に SSID を隠し、MAC アドレスをフィルタリングしようとしました。 これらの方法は信頼性があまりにも低いことも判明しました。

    WEP ベースのセキュリティ システムの信頼性が低いため、しばらくの間、暫定的なセキュリティ対策が使用されてきました。 Cisco などのベンダーは、802.11i 標準の改善を試みながら、高まるセキュリティ要求に応える独自のシステムを開発しました。 802.11i 標準の開発中に、TKIP 暗号化アルゴリズムが作成されました。 Wi-Fiのセキュリティアライアンス WPA。

    最新のワイヤレス ネットワークでは、常に 802.11i/WPA2 標準を使用する必要があります。 WPA2のバージョンです Wi-Fi規格したがって、WPA2 と 802.11i という用語は同じ意味で使用されることがよくあります。

    2006 年以降、Wi-Fi Certified ロゴが付いたすべてのデバイスは WPA2 を使用することが認定されています。

    注記。 パフォーマンスを最適化するには、Wireless-N ネットワークで WPA2-Personal セキュリティ モードを使用する必要があります。

    図の表では、 2 件表示 一般情報合意された3種類の鍵認証方式について。

    暗号化方式

    暗号化はデータを保護するために使用されます。 攻撃者が暗号化されたデータをキャプチャした場合、短時間では復号化できなくなります。

    IEEE 802.11i、Wi-Fi Alliance WPA および WPA2 標準では、次の暗号化プロトコルが使用されます。

    · 一時キーを使用した暗号化 (TKIP)。 TKIP は、WPA 標準で使用される暗号化方式です。 802.11 WEP 暗号化方式に固有の脆弱性を排除することで、従来の WLAN ハードウェアのサポートを提供します。 WEP を使用しますが、TKIP を使用してレイヤー 2 ペイロード暗号化を実行し、暗号化されたパケットに対してメッセージ整合性チェックを実行して、メッセージが不正な方法で使用されていないことを確認します。

    · 高度暗号化標準 (AES)。 AES は、WPA2 標準で使用される暗号化方式です。 この方法は、IEEE 802.11i 業界標準に準拠しているため、推奨されます。 AES は TKIP と同じ機能を実行しますが、さらに多くの機能を提供します。 信頼できる方法暗号化。 CCMP プロトコルを使用します。これにより、宛先ノードは、不正な方法で使用される暗号化されたビットと暗号化されていないビットを認識できます。

    注記。 可能であれば、常に AES を備えた WPA2 を選択する必要があります。

    この記事では、ワイヤレス WiFi ネットワークを使用するときのセキュリティの問題について説明します。

    はじめに - WiFi の脆弱性

    主な理由ユーザーデータが送信される際の脆弱性 WiFiネットワーク、交換は電波を介して行われるということです。 これにより、WiFi 信号が物理的に利用可能な任意の場所でメッセージを傍受することが可能になります。 簡単に言うと、アクセス ポイントの信号を 50 メートルの距離で検出できれば、アクセス ポイントから半径 50 メートル以内で、この WiFi ネットワークのすべてのネットワーク トラフィックを傍受することが可能になります。 隣の部屋、建物の別の階、路上。

    この写真を想像してみてください。 オフィスでは、WiFi を介してローカル ネットワークが構築されます。 このオフィスのアクセス ポイントからの信号は、駐車場などの建物の外で受信されます。 建物の外にいる攻撃者がアクセスできる可能性があります。 オフィスネットワークつまり、このネットワークの所有者には気づかれません。 WiFi ネットワークには簡単かつ目立たずにアクセスできます。 技術的には有線ネットワークよりもはるかに簡単です。

    はい。 現在までに、WiFi ネットワークを保護する手段が開発され、実装されてきました。 この保護は、アクセス ポイントと間のすべてのトラフィックの暗号化に基づいています。 エンドデバイスそれはそれにつながっています。 つまり、攻撃者は無線信号を傍受できますが、攻撃者にとってはそれは単なるデジタルの「ゴミ」になります。

    WiFi 保護はどのように機能しますか?

    アクセス ポイントの WiFi ネットワークには、(アクセス ポイントの設定で指定された) 正しいパスワードを送信するデバイスのみが含まれます。 この場合、パスワードもハッシュの形式で暗号化されて送信されます。 ハッシュは不可逆暗号化の結果です。 つまり、ハッシュされたデータは復号化できません。 攻撃者がパスワード ハッシュを傍受した場合、パスワードを取得することはできません。

    しかし、アクセス ポイントはパスワードが正しいかどうかをどのようにして知るのでしょうか? 彼女もハッシュを受信したが、それを復号化できない場合はどうなるでしょうか? それは簡単です。アクセス ポイントの設定では、パスワードがそのままの形式で指定されます。 認可プログラムは空のパスワードを取得し、そのパスワードからハッシュを作成し、このハッシュをクライアントから受け取ったハッシュと比較します。 ハッシュが一致する場合、クライアントのパスワードは正しいことになります。 ここではハッシュの 2 番目の機能が使用されています。ハッシュは一意です。 2 つの異なるデータ (パスワード) セットから同じハッシュを取得することはできません。 2 つのハッシュが一致する場合、それらは両方とも同じデータ セットから作成されたことになります。

    ところで。 この機能のおかげで、ハッシュはデータの整合性を制御するために使用されます。 2 つのハッシュ (一定期間にわたって作成された) が一致する場合、元のデータ (その期間中に) は変更されていません。

    ただし、WiFi ネットワークを保護する最新の方法 (WPA2) は信頼できるものであるにもかかわらず、このネットワークはハッキングされる可能性があります。 どうやって?

    WPA2 で保護されたネットワークにアクセスするには、次の 2 つの方法があります。

    1. パスワードデータベースを使用したパスワードの選択(いわゆる辞書検索)。
    2. WPS機能の脆弱性を悪用。

    最初のケースでは、攻撃者はアクセス ポイントのパスワード ハッシュを傍受します。 次に、ハッシュが数千または数百万の単語のデータベースと比較されます。 辞書から単語が取得され、この単語に対してハッシュが生成され、このハッシュが傍受されたハッシュと比較されます。 アクセス ポイントで基本的なパスワードが使用されている場合、このアクセス ポイントのパスワードを解析するのは時間の問題です。 たとえば、8 桁のパスワード (8 文字が WPA2 の最小パスワード長です) は 100 万通りの組み合わせになります。 の上 現代のコンピューター数日、場合によっては数時間で 100 万件の値を並べ替えることができます。

    2 番目のケースでは、WPS 機能の最初のバージョンの脆弱性が悪用されます。 この機能を使用すると、プリンターなどのパスワードを持たないデバイスをアクセス ポイントに接続できます。 この機能を使用する場合、デバイスとアクセス ポイントはデジタル コードを交換し、デバイスが正しいコードを送信すると、アクセス ポイントはクライアントを認証します。 この関数には脆弱性がありました。コードには 8 桁がありましたが、一意性がチェックされたのはそのうちの 4 桁だけでした。 つまり、WPS をハッキングするには、4 桁の値をすべて検索する必要があります。 その結果、WPS を介したアクセス ポイントのハッキングは、最も弱いデバイスでもわずか数時間で実行できます。

    WiFiネットワークセキュリティの設定

    WiFi ネットワークのセキュリティは、アクセス ポイントの設定によって決まります。 これらの設定のいくつかは、ネットワーク セキュリティに直接影響します。

    WiFiネットワークアクセスモード

    アクセス ポイントは、オープンまたはプロテクトの 2 つのモードのいずれかで動作できます。 いつ オープンアクセス、どのデバイスでもアクセス ポイントに接続できます。 保護されたアクセスの場合、送信するデバイスのみ 正しいパスワードアクセス。

    WiFi ネットワーク保護には 3 つのタイプ (規格) があります。

    • WEP (有線同等プライバシー)。 まさに最初の保護基準。 保護メカニズムが弱いため、非常に簡単にハッキングされる可能性があるため、現在では実際には保護が提供されていません。
    • WPA (Wi-Fi 保護されたアクセス)。 歴史的には 2 番目の保護基準です。 作成時および試運転時に、以下が提供されました。 効果的な保護 WiFi ネットワーク。 しかし、2000 年代の終わりに、ハッキングの機会が発見されました。 WPAセキュリティ保護メカニズムの脆弱性によるものです。
    • WPA2 (Wi-Fi 保護されたアクセス)。 最新の保護基準。 特定のルールに従った場合に信頼性の高い保護を提供します。 現在までに、WPA2 セキュリティを突破する既知の方法は 2 つだけです。 辞書パスワード総当たり攻撃と WPS サービスを使用した回避策。

    したがって、WiFi ネットワークのセキュリティを確保するには、WPA2 セキュリティ タイプを選択する必要があります。 ただし、すべてのクライアント デバイスがこれをサポートできるわけではありません。 たとえば、Windows XP SP2 は WPA のみをサポートします。

    WPA2 標準の選択に加えて、追加の条件が必要です。

    AES暗号化方式を使用します。

    WiFi ネットワークにアクセスするためのパスワードは次のように構成する必要があります。

    1. 使用パスワード内の文字と数字。 ランダムな文字と数字のセット。 または、あなただけに意味のある非常に珍しい単語やフレーズ。
    2. ない使用 単純なパスワードたとえば、名前 + 生年月日、または単語 + いくつかの数字など レナ1991または ドム12345.
    3. のみ使用する必要がある場合は、 デジタルパスワードの場合、その長さは少なくとも 10 文字である必要があります。 8 文字のデジタル パスワードがブルート フォース方式で選択されるためです。 リアルタイム(コンピューターの能力に応じて、数時間から数日かかります)。

    使用する場合 複雑なパスワード, これらのルールに従って、辞書を使用してパスワードを推測することによって WiFi ネットワークをハッキングすることはできません。 たとえば、次のようなパスワードの場合、 5Fb9pE2a(ランダムな英数字)、可能な最大値 218340105584896 組み合わせ。 現在では、選択することはほとんど不可能です。 たとえコンピューターが 1 秒あたり 1,000,000 (百万) ワードを比較したとしても、すべての値を反復するにはほぼ 7 年かかります。

    WPS (Wi-Fi 保護セットアップ)

    アクセスポイントにWPS(Wi-Fi Protected Setup)機能がある場合は、それを無効にする必要があります。 この機能が必要な場合は、そのバージョンが次の機能に更新されていることを確認する必要があります。

    1. 最初の場合のように、PIN コードの 4 文字ではなく、8 文字すべてを使用します。
    2. クライアントから間違った PIN コードの送信を数回試行した後の遅延を有効にします。

    WPS セキュリティを向上させるための追加オプションは、英数字の PIN コードを使用することです。

    公衆 WiFi のセキュリティ

    今日、カフェ、レストラン、ショッピングセンターなどの公共の場所で WiFi ネットワーク経由でインターネットを使用するのが流行しています。 このようなネットワークを使用すると、個人データの盗難につながる可能性があることを理解することが重要です。 このようなネットワークを介してインターネットにアクセスし、Web サイトにログインすると、同じ WiFi ネットワークに接続している別の人によってデータ (ユーザー名とパスワード) が傍受される可能性があります。 結局のところ、認証を通過し、アクセス ポイントに接続されているデバイスであれば、どのデバイスでも傍受できます。 ネットワークトラフィックこのネットワーク上の他のすべてのデバイスから。 そして、パブリック WiFi ネットワークの特徴は、攻撃者を含む誰でも接続できることです。 オープンネットワーク、しかし保護することもできます。

    公衆 WiFi ネットワーク経由でインターネットに接続するときにデータを保護するにはどうすればよいですか? オプションは 1 つだけあり、HTTPS プロトコルを使用することです。 このプロトコルは、クライアント (ブラウザ) とサイトの間に暗号化された接続を確立します。 ただし、すべてのサイトがサポートしているわけではありません HTTPSプロトコル。 HTTPS プロトコルをサポートするサイトのアドレスは、https:// プレフィックスで始まります。 サイトのアドレスに http:// プレフィックスが付いている場合、これは、そのサイトが HTTPS をサポートしていないか、HTTPS を使用していないことを意味します。

    一部のサイトはデフォルトでは HTTPS を使用しませんが、このプロトコルを備えており、https:// プレフィックスを明示的に (手動で) 指定すると使用できます。

    チャット、Skype など、インターネットを使用する他のケースに関しては、無料または有料の VPN サーバーを使用してこのデータを保護できます。 つまり、最初に接続します VPNサーバー、その場合にのみチャットまたはオープン サイトを使用します。

    WiFi パスワード保護

    この記事の第 2 回と第 3 回で、セキュリティ規格 WPA2 を使用する場合の方法の 1 つであると書きました。 WiFiハッキングネットワークでは辞書を使用してパスワードを選択します。 しかし、攻撃者が WiFi ネットワークのパスワードを取得する別の機会があります。 モニターに貼り付けられた付箋にパスワードを保存すると、見知らぬ人がこのパスワードを見ることができます。 また、WiFi ネットワークに接続されているコンピュータからパスワードが盗まれる可能性もあります。 それはできる 見知らぬ人、コンピュータが不正アクセスから保護されていない場合。 これはマルウェアを使用して実行できます。 さらに、オフィス(家、アパート)の外に持ち出されたデバイス、つまりスマートフォン、タブレットからパスワードが盗まれる可能性があります。

    したがって、WiFi ネットワークを確実に保護する必要がある場合は、パスワードを安全に保存するための措置を講じる必要があります。 権限のない者によるアクセスから保護してください。

    この記事が役立つと感じた場合、または単純に気に入った場合は、著者を経済的にサポートすることを躊躇しないでください。 これはお金を投げれば簡単にできます ヤンデックスウォレット No. 410011416229354。 または電話で +7 918-16-26-331 .

    たとえ少量であっても、新しい記事を書くのに役立ちます:)