Метод проверки подлинности both

Содержание
  1. Какой Выбрать Тип Шифрования WiFi Сети – 3 Способа – ВайФайка.РУ
  2. Для чего нужно шифровать WiFi?
  3. Шифрование WiFi данных и типы аутентификации
  4. Что такое WEP защита wifi?
  5. Что такое ключ WPA или пароль?
  6. Что такое WPA2-PSK — Personal или Enterprise?
  7. Типы шифрования WPA — TKIP или AES?
  8. Какой выбрать тип шифрования и поставить ключ WPA на WiFi роутере?
  9. Защита беспроводного режима на маршрутизаторе TP-Link
  10. Метод проверки подлинности на роутере ASUS
  11. Защита сети через руотер Zyxel Keenetic
  12. Настройка безопасности роутера D-Link
  13. по настройке типа шифрования на маршрутизаторе
  14. Настройка роутера ASUS RT-N66U и RT-AC66U на примере интернет-провайдера Билайн
  15. Настройка uTorrent
  16. Настройка DC++
  17. Настройка роутера
  18. Выбираем самый надёжный метод проверки подлинности Wi-Fi
  19. Методы проверки подлинности
  20. Отсутствие защиты
  21. WEP
  22. WPA/WPA2 – Enterprise и WPA/WPA2-Personal
  23. Как изменить метод проверки подлинности Wi-Fi
  24. Заключение
  25. Метод проверки подлинности Wifi: какой лучше выбрать для роутера Asus
  26. Какой выбрать метод проверки подлинности для Wi-Fi сети
  27. Метод проверки подлинности Wi-Fi какой лучше ASUS
  28. Какую защиту ставить на Wi-Fi роутере
  29. Методы аутентификации клиентов беспроводных сетей
  30. ОТКРЫТАЯ АУТЕНТИФИКАЦИЯ
  31. WEP
  32. 802.1X/EAP
  33. LEAP
  34. EAP-FAST
  35. PEAP
  36. EAP-TLS

Какой Выбрать Тип Шифрования WiFi Сети – 3 Способа – ВайФайка.РУ

Метод проверки подлинности both

Сегодня мы чуть глубже копнем тему защиты беспроводного соединения. Разберемся, что такое тип шифрования WiFi — его еще называют «аутентификацией» — и какой лучше выбрать.

Наверняка при настройке роутера вам попадались на глаза такие аббревиатуры, как WEP, WPA, WPA2, WPA2/PSK. А также их некоторые разновидности — Personal или Enterprice и TKIP или AES.

Что ж, давайте более подробно изучим их все и разберемся, какой тип шифрования выбрать для обеспечения максимальной безопасности WiFi сети без потери скорости.

Для чего нужно шифровать WiFi?

Отмечу, что защищать свой WiFi паролем нужно обязательно, не важно, какой тип шифрования вы при этом выберете. Даже самая простая аутентификация позволит избежать в будущем довольно серьезных проблем.

Почему я так говорю? Тут даже дело не в том, что подключение множества левых клиентов будет тормозить вашу сеть — это только цветочки.

причина в том, что если ваша сеть незапаролена, то к ней может присосаться злоумышленник, который из-под вашего роутера будет производить противоправные действия, а потом за его действия придется отвечать вам, так что отнеситесь к защите wifi со всей серьезностью.

Шифрование WiFi данных и типы аутентификации

Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:

Что такое WEP защита wifi?

WEP (Wired Equivalent Privacy) — это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.

Что такое ключ WPA или пароль?

WPA (Wi-Fi Protected Access) — более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.

Что такое WPA2-PSK — Personal или Enterprise?

WPA2 — усовершенствованный вариант предыдущего типа. Взлом WPA2 практически невозможен, он обеспечивает максимальную степень безопасности, поэтому в своих статьях я всегда без объяснений говорю о том, что нужно устанавливать именно его — теперь вы знаете, почему.

У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:

  • Personal, обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев — и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
  • Enterprise — более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу DHCP сервера, то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.

Типы шифрования WPA — TKIP или AES?

Итак, мы определились, что оптимальным выбором для обеспечения безопасности сети будет WPA2/PSK (Personal), однако у него есть еще два типа шифрования данных для аутентификации.

  • TKIP — сегодня это уже устаревший тип, однако он все еще широко употребляется, поскольку многие девайсы энное количество лет выпуска поддерживают только его. Не работает с технологией WPA2/PSK и не поддерживает WiFi стандарта 802.11n.
  • AES — последний на данный момент и самый надежный тип шифрования WiFi.

Какой выбрать тип шифрования и поставить ключ WPA на WiFi роутере?

С теорией разобрались — переходим к практике. Поскольку стандартами WiFi 802.11 «B» и «G», у которых максимальная скорость до 54 мбит/с, уже давно никто не пользуется — сегодня нормой является 802.

11 «N» или «AC», которые поддерживают скорость до 300 мбит/с и выше, то рассматривать вариант использования защиты WPA/PSK с типом шифрования TKIP нет смысла.

Поэтому когда вы настраиваете беспроводную сеть, то выставляйте по умолчанию

WPA2/PSK — AES

Либо, на крайний случай, в качестве типа шифрования указывайте «Авто», чтобы предусмотреть все-таки подключение устройств с устаревшим WiFi модулем.

При этом ключ WPA, или попросту говоря, пароль для подключения к сети, должен иметь от 8 до 32 символов, включая английские строчные и заглавные буквы, а также различные спецсимволы.

Защита беспроводного режима на маршрутизаторе TP-Link

На приведенных выше скринах показана панель управления современным роутером TP-Link в новой версии прошивки. Настройка шифрования сети здесь находится в разделе «Дополнительные настройки — Беспроводной режим».

В старой «зеленой» версии интересующие нас конфигурации WiFi сети расположены в меню «Беспроводной режим — Защита». Сделаете все, как на изображении — будет супер!

Если заметили, здесь еще есть такой пункт, как «Период обновления группового ключа WPA». Дело в том, что для обеспечения большей защиты реальный цифровой ключ WPA для шифрования подключения динамически меняется. Здесь задается значение в секундах, после которого происходит смена. Я рекомендую не трогать его и оставлять по умолчанию — в разных моделях интервал обновления отличается.

Метод проверки подлинности на роутере ASUS

На маршрутизаторах ASUS все параметры WiFi расположены на одной странице «Беспроводная сеть»

Защита сети через руотер Zyxel Keenetic

Аналогично и у Zyxel Keenetic — раздел «Сеть WiFi — Точка доступа»

В роутерах Keenetic без приставки «Zyxel» смена типа шифрования производится в разделе «Домашняя сеть».

На D-Link ищем раздел «Wi-Fi — Безопасность»

Что ж, сегодня мы разобрались типами шифрования WiFi и с такими терминами, как WEP, WPA, WPA2-PSK, TKIP и AES и узнали, какой из них лучше выбрать. О других возможностях обеспечения безопасности сети читайте также в одной из прошлых статей, в которых я рассказываю о фильтрации контента на роутере по MAC и IP адресам и других способах защиты.

по настройке типа шифрования на маршрутизаторе

Источник: https://wifika.ru/3-tipa-shifrovaniya-wifi-kakoy-vybrat-wep-ili-wpa2-psk-personal-enterprise-dlya-zaschity-bezopasnosti-seti.html

Настройка роутера ASUS RT-N66U и RT-AC66U на примере интернет-провайдера Билайн

Метод проверки подлинности both

Если у вас нет другого сетевого оборудования, подключите основной сетевой кабель (кабель интернет-соединения, входящий в квартиру из подъезда) в порт WAN (Internet) роутера и соедините дополнительным сетевым кабелем (патч-кордом) любой порт LAN роутера (желтого цвета) и компьютер.

Если в вашей домашней сети есть еще и коммутатор (свитч), который распределяет интернет на другие устройства напрямую, то основной сетевой кабель (идущий из подъезда) подключите в любой из портов свитча, соедините одним патч-кордом порт WAN (Internet) роутера и свитч, а другим — любой порт LAN роутера и компьютер, на котором будете в дальнейшем производить настройку.

Откройте любой браузер, установленный на вашем компьютере (например, Google Chrome, Internet Explorer, Mozilla Firefox, Opera, Safari) и введите в адресной строке адрес 192.168.1.1 и нажмите Enter.

Если у вас не открылась страничка авторизации, проверьте настройки локальной сети — рекомендую сбросить все настройки сетевого адаптера на «по-умолчанию» или посмотрите инструкцию для вашей операционной системы.

Если настройки верные, проверьте еще раз схему подключения, вытащите и плотно (до щелчка) вставьте все сетевые кабели, перезагрузите компьютер.

Когда роутер предложит ввести логин и пароль для доступа на web-интерфейс, введите в оба поля admin.

  • выберите слева папку Advanced Settings (Дополнительные настройки), затем пункт WAN (Интернет);
  • тип WAN-подключения (WAN Connection Type) — выберите L2TP.
  • включить WAN (Enable WAN) — выберите ДА (YES);
  • включить NAT (Enable NAT) — выберите ДА (YES);
  • включить UPnP (Enable UPnP) — выберите ДА (YES).
  • отметьте кружочком ДА (YES) пункт Получить IP-адрес WAN автоматически (Get the WAN IP automatically?).
  • отметьте кружком ДА (YES) пункт Подключится к DNS-серверу автоматически (Connect to DNS Server automatically?).
  • имя пользователя (User Name) — введите в данное поле ваш логин, а в поле Пароль (Password) — пароль.
  • Сервер Heart-Beat или PPTP/L2TP (VPN) (VPN Server) — введите tp.internet.beeline.ru.Enable VPN+DHCP Connection — укажите Yes
  • нажмите кнопку Применить (Apply).

Подождите пока роутер перезагрузится, после перезагрузки роутер автоматически подключится к сети (1-2 минуты).

  • щелкните по пункту Беспроводная Сеть (Wireless) и перейдите во вкладку Общее (General).
  • SSID — введите имя беспроводной сети.
  • в пункте Скрыть SSID (Hide SSID) — выберите «Нет» (No). После всех настроек можно выбрать «Да» для безопасности.
  • Канал (Control Channel) — Авто (Auto).
  • Режим работы беспроводной сети (Wireless Mode) — Авто (Auto).
  • Метод проверки подлинности (Authentication Method) — WPA2-Personal.
  • Шифрование WPA (WPA Encryption)— AES.
  • Предварительный ключ WPA (WPA Pre-Shared Key) — введите пароль для доступа к вашей беспроводной сети.
  • Нажмите кнопку Применить (Apply).

Подождите пока роутер сохранит настройки (пару минут), после чего вы можете начать пользоваться беспроводной сетью.

  • выберите слева папку Advanced Settings (Дополнительные настройки), затем пункт LAN (Локальная сеть) и перейдите на вкладку IPTV.
  • в пункте Выбор порта IPTV STB (Choose IPTV STB Port) — выберите из списка порт, к которому будет подключена ТВ-приставка. Если приставок несколько, то можете выбрать пару портов.
  • нажмите Применить (Apply) и дождитесь перезагрузки роутера.

Для примера возьмем пару популярных программ, для которых необходимы дополнительные настройки на роутере. Это программы uTorrent и DC++. Интерфейсы программ могут отличаться от тех, которые установлены у Вас. Для начала настроим сами программы, потом будем настраивать роутер.

Настройка uTorrent

Настройка торрент-клиента необходима лишь в случае проблем с закачкой торрентов. Проверьте работу программы uTorrent сразу после первоначальной настройки роутера, возможно вам не понадобится что-либо настраивать.

Откройте программу, в меню программы выберите Настройка (Options), затем пункт Конфигурация (Preferences).
В появившемся окне перейдите на вкладку Соединение (Connection).

Порт входящих соединений (Port used for incoming connections) выберите или по умолчанию или с помощью кнопки Генерировать.Устанавливать номер порта вручную нежелательно, так как может получиться так, что будет указан порт уже использующийся другой программой или другим процессом. В этом случае ничего работать не будет.

В данном примере будет рассматриваться порт 14800.

Случайный порт при запуске (Randomize port each start)снимите галку, так как все настройки будут бесполезны.

В исключения брандмауэра (Add Windows Firewall Exception)поставьте галку.

Переадресация UPnP (Enable UPnP port mapping)снимите галку.Остальные настройки оставьте по умолчанию.

Нажмите Применить и затем ОК.

Подробнее о настройке торрентов на роутере читатйте в этой статье.

Настройка DC++

Откройте программу, в меню программы выберите Файл, затем Настройка. В появившемся окне слева выберите вкладку Настройки соединения.

В пункте «Вкл. автоматическое обнаружение типа входящего соединения»снимите галку.
Поставьте точку напротив пункта «Фаервол с ручным перенаправлением порта».Напротив настроек TCP и UDP портов укажите любое значение. Желательно выбирать значение между 1025 и 65535, опять же учитывая, что некоторые из возможных портов уже используются.

В данном примере будут рассматриваться порты 15800.

Внешний / WAN IP — укажите тот IP-адрес, который присвоился роутеру. Посмотреть данный адрес можно на главной странице веб-интерфейса роутера. «Клиентские» адреса в нашей сети всегда начинаются на «10». Адрес на скриншоте ниже приведен для примера!

Нажмите ОК.

Остальные настройки DC-клиента можно найти здесь. На первую картинку внимания не обращать.

Настройка роутера

Вернитесь к настройкам роутера

Выберите слева папку Advanced Settings (Дополнительные настройки), затем пункт WAN (Интернет), справа в основной части выберите пункт Virtual Server (Переадресация портов)

Enable Virtual Server — поставьте точку напротив пункта Yes;Service Name — укажите для какой программы создается данное правило;

Port Range — укажите номер порта, который надо «пробросить». Желательно указать такой же, как и в поле Local Port. В нашем примере это порты 14800 и 15800;

Local IP — укажите IP-адрес компьютера, на котором установлен(ы) uTorrent и/или DC++. В нашем примере это адрес 192.168.1.10;

Local Port — укажите номер порта, который надо «пробросить». Желательно указать такой же, как и в поле Port Range. В нашем примере это порты 14800 и 15800;

Protocol — в списке выберите BOTH.

После указания всех данных нажмите кнопку Добавить (+). При необходимости добавьте дополнительные правила для других программ. После добавления всех необходимых правил нажмите внизу Применить (Apply) и дождитесь перезагрузки роутера.

На этом этапе настройку роутера можно считать завершенной.

  • ТЭГИ
  • Wi-Fi-роутер Asus
  • настройка wi fi
  • настройка wi-fi роутера

Источник: https://MediaPure.ru/setevye-ustrojstva/wi-fi-oborudovanie/nastrojka-routera-asus-rt-n66u-i-rt-ac66u-na-primere-internet-provajdera-bilajn/

Выбираем самый надёжный метод проверки подлинности Wi-Fi

Метод проверки подлинности both

Скоростной проводной интернет становится всё более доступным. И вместе с развитием мобильной техники становится актуальным вопрос использование домашнего интернета на каждом из устройств. Этой цели служит Wi-Fi-роутер, его цель — распределить при беспроводном подключении интернет между разными пользователями.

Отдельное внимание следует уделить вопросу безопасности своей сети

При покупке достаточно настроить его при первом включении. Вместе с роутером поставляется диск с утилитой настройки. С его помощью настроить домашнюю сеть проще простого. Но, тем не менее у неопытных пользователей часто возникают проблемы на этапе настроек безопасности сети.

Система предлагает выбрать метод проверки подлинности, и на выбор предоставляется как минимум четыре варианта. Каждый из них обладает определёнными преимуществами и недостатками, и, если вы хотите обезопасить себя от действий злоумышленников, следует выбрать самый надёжный вариант.

Об этом наша статья.

Методы проверки подлинности

Большинство домашних моделей роутеров имеют поддержку следующих методов проверки подлинности сети: без шифрования, WEP, WPA/WPA2-Enterprise, WPA/WPA2-Personal (WPA/WPA2-PSK). Последние три имеют также несколько алгоритмов шифрования. Разберёмся подробнее.

Отсутствие защиты

Этот метод говорит сам за себя. Соединение является полностью открытым, к нему может подключиться абсолютно любой желающий. Обычно такой метод используется в общественных местах, но дома его лучше не использовать.

Минимум, чем вам это грозит, это то, что соседи при подключении будут занимать ваш канал, и вы просто не сможете получить максимальную скорость согласно вашего тарифного плана.

В худшем случае злоумышленники могут использовать это в своих целях, воруя вашу конфиденциальную информацию или совершая иные противозаконные действия. Зато вам не нужно запоминать пароль, но согласитесь, это довольно сомнительное преимущество.

WEP

При использовании этого метода проверки подлинности сети передаваемая информация защищается с помощью секретного ключа. Тип защиты бывает «Открытая система» и «Общий ключ». В первом случае идентификация происходит за счёт фильтрации по MAC-адресу без использования дополнительного ключа.

Защита является, по сути, самой минимальной, поэтому небезопасной. Во втором вы должны придумать секретный код, который будет использоваться в качестве ключа безопасности. Он может быть 64, 128 из 152-битным. Система вам подскажет какой длины должен быть код, в зависимости от его кодировки — шестнадцатеричной либо ASCII. Можно задать несколько таких кодов.

Надёжность защиты — относительная и давно считается устаревшей.

WPA/WPA2 – Enterprise и WPA/WPA2-Personal

Очень надёжный метод проверки подлинности сети, в первом случае используется на предприятиях, во втором — дома и в небольших офисах. Разница между ними в том, что в домашнем варианте используется постоянный ключ, который настраивается в точке доступа.

Совместно с алгоритмом шифрования и SSID подключения образует безопасное соединение. Чтобы получить доступ к такой сети, необходимо знать пароль. Поэтому, если он надёжен, и вы никому его не разглашаете, для квартиры или дома — это идеальный вариант.

Кроме того, практически все производители отмечают его как рекомендуемый.

Во втором случае применяется динамический ключ и каждому пользователю присваивается индивидуальный. Дома с этим заморачиваться нет смысла, поэтому он используется только на крупных предприятиях, где очень важна безопасность корпоративных данных.

Дополнительная надёжность зависит и от алгоритма шифрования. Их бывает два: AES и TKIP. Лучше использовать первый из них, так как последний является производным от WEP и доказал свою несостоятельность.

Как изменить метод проверки подлинности Wi-Fi

Если вы уже ранее выполняли настройку проверки подлинности своего соединения, но не уверены в выборе правильного метода, обязательно проверьте его сейчас. Зайдите в настройки роутера, в браузере введя его IP-адрес, логин и пароль(подробнее можно прочесть в статье IP адрес роутера на нашем сайте).

Вам нужно пройти во вкладку настроек безопасности сети. В разных моделях роутера она может располагаться по-разному. После чего выберите метод проверки подлинности сети, придумайте надёжный пароль, нажмите «Сохранить» и перезагрузите маршрутизатор.

Не забудьте переподключиться к сети по новой со всех устройств.

Заключение

Надеемся, эта информация стала для вас полезной. Не стоит пренебрежительно относиться к установкам безопасности Wi-Fi. Не оставляйте его открытым, а выберите рекомендуемый метод проверки подлинности и правильный алгоритм шифрования.

Источник: https://nastroyvse.ru/net/vayfay/metody-proverki-podlinnosti-seti.html

Метод проверки подлинности Wifi: какой лучше выбрать для роутера Asus

Метод проверки подлинности both

В условиях современного развития науки и технических изобретений скоростной интернет перестает быть редкостью.

Развитие мобильной техники вызвало неподдельный интерес в вопросах использования домашнего интернета между отдельными пользователями.

С этой целью было создано устройство, называемое Wi-Fi роутером, целью которого является распределение интернета в условиях беспроводного соединения среди подключенных устройств.

Какой выбрать метод проверки подлинности для Wi-Fi сети

Чтобы выбирать наилучший способ проверки подлинности для вай-фай сети, необходимо учесть, что существуют способы, которые давно потерявшие актуальность. К таковым относятся:

  • Wi-Fi 802.11 «B»;
  • Wi-Fi 802.11 «G», которые характеризуются максимальной скоростью — 54 Мегабит/сек.

Обзор и настройка модема D-Link Dir-320

В настоящий период времени на смену вышеуказанным методам пришли следующие нормы протокола:

  • 802.11 «N»;
  • 802.11 «АС», способные к скоростям более 300 Мегабит/сек.

Обратите внимание! В связи с вышеуказанной информацией, использовать защиту WPA/PSK при типе шифрования TKIP не представляется разумным.

При настраивании беспроводной сети, следует оставлять по умолчанию следующее: WPA2/PSK — AES. Также допускается в разделе, предназначенном для указания типа шифрования, указывать «Автоматически», поскольку в таком случае появляется возможность подключения устаревших вай-фай модулей.

Относительно пароля следует предусмотреть тот факт, чтобы количество символов попадало в промежуток 8-32, а также состояло из букв английской клавиатуры с использованием клавиши CapsLock и различных символов за пределами алфавита.

Таким образом, максимальная длина пароля Wi-Fi составляет 32 знака.

Метод проверки подлинности Wi-Fi какой лучше ASUS

В чем отличия между сетями 3G и 4G: особенности, преимущества и недостатки

Как узнать о типе безопасности Wi-Fi? В случаях неоднократного выполнения настроек по организации проверки подлинности сети при возникновении сомнений в защите соединения стоит выполнить следующие последовательные действия:

  • зайти в раздел настроек маршрутизатора;
  • ввести в используемом web-браузере IP-адрес роутера;
  • ввести в используемом web-браузере логин и пароль;
  • перейти по вкладке, отражающей настройки сетевой безопасности.

В зависимости от модели роутера, сетевые настройки безопасности располагаются в различных местах:

  • выбрать метод, проверяющий подлинность сети;
  • придумать надежный код безопасности (пароль);
  • завершить изменения нажатием кнопки сохранения;
  • произвести перезагрузку маршрутизатора;
  • Произвести переподключение всех устройств.

Какую защиту ставить на Wi-Fi роутере

Важным вопросом считается защита сети Wi-Fi, в частности — какую выбрать.

Приложения для контроля вай фай сетей и мониторинга трафика на Андроди

На вай-фай роутер обязательно необходимо ставить защиту. Ввиду вышеуказанной информации, сделать правильное решение будет несложно.

Для настройки способа защиты, в частности, метода шифрования, необходимо обратиться в раздел дополнительных настроек на панели управления роутером (например, TP-Link с актуальной версией прошивки).

Во вкладке дополнительных настроек следует проверить беспроводной режим.

Обратите внимание! При использовании старой версии вай-фай роутера, необходимые для защиты конфигурации, находятся в разделе безопасной защиты.

В открывшейся вкладке можно увидеть пункт периода обновления группового ключа WPA. В условиях повышенной безопасности происходит динамическое изменение реального цифрового шифровального ключа WPA. Обычно промежуток изменения задается в секундах. Если таковой пункт в конкретной версии роутера имеется, то трогать указанное по умолчанию значение нежелательно.

На маршрутизаторах «Асус» все параметры Wi-Fi расположены на одной странице «Беспроводная сеть». Аналогично и у Zyxel Keenetic — раздел «Сеть Wi-Fi — Точка доступа — Wi-Fi шифрование»

В роутерах Keenetic без приставки «Zyxel» смена типа шифрования производится в разделе «Домашняя сеть».

Настройка безопасности роутера D-Link На D-Link надо найти раздел «Wi-Fi — Безопасность».

Таким образом, на основании представленной в статье информации можно узнать, какой метод проверки подлинности Wi-Fi лучше, каким образом осуществить надежную защиту домашней, а также корпоративной сетей.

Подгорнов Илья ВладимировичВсё статьи нашего сайта проходят аудит технического консультанта. Если у Вас остались вопросы, Вы всегда их можете задать на его странице.

Источник: https://vpautine.ru/wifi/metod-proverki-podlinnosti-wifi-kakoy-luchshe-asus

Методы аутентификации клиентов беспроводных сетей

Метод проверки подлинности both

Существует большое количество методов аутентификации клиентов беспроводных сетей при подключении. Эти методы появлялись по мере развития различных беспроводных технологий и беспроводного оборудования. Они развивались по мере выявления слабых мест в системе безопасности. В этой статье рассматриваются наиболее распространенные методы проверки подлинности.

ОТКРЫТАЯ АУТЕНТИФИКАЦИЯ

Стандарт 802.11 предлагал только два варианта аутентификации клиента: open authentication и WEP.

Open authentication-предполагает открытый доступ к WLAN. Единственное требование состоит в том, чтобы клиент, прежде чем использовать 802.11, должен отправить запрос аутентификации для дальнейшего подключения к AP (точке доступа). Более никаких других учетных данных не требуется.

В каких случаях используется open authentication? На первый взгляд это не безопасно, но это не так. Любой клиент поддерживающий стандарт 802.11 без проблем может аутентифицироваться для доступа к сети.

В этом, собственно, и заключается идея open authentication-проверить, что клиент является допустимым устройством стандарта 802.11, аутентифицируя беспроводное оборудование и протокол.

Аутентификация личности пользователя проводится другими средствами безопасности.

Вы, вероятно, встречали WLAN с open authentication, когда посещали общественные места. В таких сетях в основном аутентификация осуществляется через веб-интерфейс.

Клиент подключается к сети сразу же, но предварительно должен открыть веб-браузер, чтобы прочитать и принять условия использования и ввести основные учетные данные. С этого момента для клиента открывается доступ к сети.

Большинство клиентских операционных систем выдают предупреждение о том, что ваши данные, передаваемые по сети, не будут защищены.

WEP

Как вы понимаете, open authentication не шифрует передаваемые данные от клиента к точке доступа. В стандарте 802.11 определен Wired Equivalent Privacy (WEP). Это попытка приблизить беспроводную связь к проводному соединению.

Для кодирования данных WEP использует алгоритм шифрования RC4. Данный алгоритм шифрует данные у отправителя и расшифровывает их у получателя. Алгоритм использует строку битов в качестве ключа, обычно называемого WEP- ключом. Один кадр данных-один уникальный ключ шифрования. Расшифровка данных осуществляется только при наличии ключа и у отправителя, и у получателя.

WEP- это метод безопасности с общим ключом. Один и тот же ключ должен быть как у отправителя, так и получателя. Этот ключ размещается на устройствах заранее.

WEP-ключ также может использоваться в качестве дополнительного метода аутентификации, а также инструмента шифрования. Если клиент отправляет неправильный ключ WEP, он не подключится к точке доступа.

Точка доступа проверяет знание клиентом ключа WEP, посылая ему случайную фразу вызова. Клиент шифрует фразу вызова с помощью WEP и возвращает результат точке доступа (АР).

АР сравнивает шифрование клиента со своим собственным, чтобы убедиться в идентичности двух ключей WEP.

Длина WEP – ключей могут быть длиной 40 или 104 бита, представленные в шестнадцатеричной форме из 10 или 26 цифр. Как правило, более длинные ключи предлагают более уникальные биты для алгоритма, что приводит к более надежному шифрованию. Это утверждение не относится к WEP. Так как WEP был определен в стандарте 802.

11 в 1999 году, и соответственно сетевые беспроводные адаптеры производились с использованием шифрования, специфичного для WEP. В 2001 году были выявлены слабые места WEP, и началась работа по поиску более совершенных методов защиты беспроводной связи. К 2004 году поправка 802.11i была ратифицирована, и WEP официально устарел.

Шифрование WEP и аутентификация с общим ключом WEP являются слабыми методами защиты WLAN.

802.1X/EAP

При наличии только open authentication и WEP, доступных в стандарте 802.11, требовался более безопасный метод аутентификации. Аутентификация клиента обычно включает в себя отправку запроса, получение ответа, а затем решение о предоставлении доступа.

Помимо этого, возможен обмен ключами сессии или ключами шифрования в дополнение к другим параметрам, необходимым для клиентского доступа.

Каждый метод аутентификации может иметь уникальные требования как уникальный способ передачи информации между клиентом и точкой доступа.

Вместо того чтобы встроить дополнительные методы аутентификации в стандарт 802.11, была выбрана более гибкая и масштабируемая структура аутентификации-разработан расширяемый протокол аутентификации (EAP).

Как следует из его названия, EAP является расширяемым и не состоит из какого-либо одного метода аутентификации.

Вместо этого EAP определяет набор общих функций, которые применяют фактические методы аутентификации, используемые для аутентификации пользователей.

EAP имеет еще одно интересное качество: он интегрируется со стандартом управления доступом на основе портов стандарта IEEE 802.1X. Когда порт стандарта 802.

1X включен, он ограничивает доступ к сетевому носителю до тех пор, пока клиент не аутентифицируется.

Это означает, что беспроводной клиент способен связываться с точкой доступа, но не сможет передавать данные в другую часть сети, пока он успешно не аутентифицируется.

Open authentication и WEP аутентификация беспроводных клиентов выполняется локально на точке доступа. В стандарте 802.1 x принцип аутентификации меняется.

Клиент использует открытую аутентификацию для связи с точкой доступа, а затем фактический процесс аутентификации клиента происходит на выделенном сервере аутентификации.

На рисунке 1 показана трехсторонняя схема стандарта 802.1x, состоящая из следующих объектов:

  • Клиент: клиентское устройство, запрашивающее доступ
  • Аутентификатор: сетевое устройство, обеспечивающее доступ к сети (обычно это контроллер беспроводной локальной сети [WLC])
  • Сервер аутентификации (AS): устройство, принимающее учетные данные пользователя или клиента и разрешающее или запрещающее доступ к сети на основе пользовательской базы данных и политик (обычно сервер RADIUS)

Методы аутентификации клиентов беспроводных сетей

На рисунке клиент подключен к точке доступа через беспроводное соединение. AP представляет собой Аутентификатор. Первичное подключение происходит по стандарту open authentication 802.11. Точка доступа подключена к WLC, который, в свою очередь, подключен к серверу аутентификации (AS). Все в комплексе представляет собой аутентификацию на основе EAP.

Контроллер беспроводной локальной сети является посредником в процессе аутентификации клиента, контролируя доступ пользователей с помощью стандарта 802.1x, взаимодействуя с сервером аутентификации с помощью платформы EAP.

Далее рассмотрим некоторые вариации протокола защиты EAP

LEAP

Первые попытки устранить слабые места в протоколе WEP компания Cisco разработала собственный метод беспроводной аутентификации под названием Lightweight EAP (LEAP). Для проверки подлинности клиент должен предоставить учетные данные пользователя и пароля.

Сервер проверки подлинности и клиент обмениваются челендж сообщениями, которые затем шифруются и возвращаются. Это обеспечивает взаимную аутентификацию. Аутентификация между клиентом и AS осуществляется только при успешной расшифровке челендж сообщений.

На тот момент активно использовалось оборудование, работавшее с WEP- протоколом. Разработчики протокола LEAP пытались устранить слабые места WEP применением динамических, часто меняющихся ключей WEP.

Тем не менее, метод, используемый для шифрования челендж сообщений, оказался уязвимым. Это послужило поводом признать протокол LEAP устаревшим. Существуют организации, которые все еще используют данный протокол.

Не рекомендуется подключаться к таким сетям.

EAP-FAST

EAP-FAST (Flexible Authentication by Secure Tunneling) безопасный метод, разработанный компанией Cisco.

Учетные данные для проверки подлинности защищаются путем передачи зашифрованных учетных данных доступа (PAC) между AS и клиентом.

PAC- это форма общего секрета, который генерируется AS и используется для взаимной аутентификации. EAP-FAST- это метод состоящий из трех последовательных фаз:

  • Фаза 0: PAC создается или подготавливается и устанавливается на клиенте.
  • Фаза 1: после того, как клиент и AS аутентифицировали друг друга обсуждают туннель безопасности транспортного уровня (TLS).
  • Фаза 2: конечный пользователь может быть аутентифицирован через туннель TLS для дополнительной безопасности.

Обратите внимание, что в EAP-FAST происходят два отдельных процесса аутентификации-один между AS и клиентом, а другой с конечным пользователем. Они происходят вложенным образом, как внешняя аутентификация (вне туннеля TLS) и внутренняя аутентификация (внутри туннеля TLS).

Данный метод, основанный на EAP, требует наличие сервера RADIUS. Данный сервер RADIUS должен работать как сервер EAP-FAST, чтобы генерировать пакеты, по одному на пользователя.

PEAP

Аналогично EAP-FAST, защищенный метод EAP (PEAP) использует внутреннюю и внешнюю аутентификацию, однако AS предоставляет цифровой сертификат для аутентификации себя с клиентом во внешней аутентификации. Если претендент удовлетворен идентификацией AS, то они строят туннель TLS, который будет использоваться для внутренней аутентификации клиента и обмена ключами шифрования.

Цифровой сертификат AS состоит из данных в стандартном формате, идентифицирующих владельца и “подписанных” или подтвержденных третьей стороной. Третья сторона известна как центр сертификации (CA) и известна и доверяет как AS, так и заявителям.

Претендент также должен обладать сертификатом CA только для того, чтобы он мог проверить тот, который он получает от AS.

Сертификат также используется для передачи открытого ключа на видном месте, который может быть использован для расшифровки сообщений из AS.

Обратите внимание, что только AS имеет сертификат для PEAP. Это означает, что клиент может легко подтвердить подлинность AS. Клиент не имеет или не использует свой собственный сертификат, поэтому он должен быть аутентифицирован в туннеле TLS с помощью одного из следующих двух методов:

  • MSCHAPv2;
  • GTC (универсальная маркерная карта): аппаратное устройство, которое генерирует одноразовые пароли для пользователя или вручную сгенерированный пароль;

EAP-TLS

PEAP использует цифровой сертификат на AS в качестве надежного метода для аутентификации сервера RADIUS. Получить и установить сертификат на одном сервере несложно, но клиентам остается идентифицировать себя другими способами. Безопасность транспортного уровня EAP (EAP-TLS) усиливает защиту, требуя сертификаты на AS и на каждом клиентском устройстве.

С помощью EAP-TLS AS и клиент обмениваются сертификатами и могут аутентифицировать друг друга. После этого строится туннель TLS, чтобы можно было безопасно обмениваться материалами ключа шифрования.

EAP-TLS считается наиболее безопасным методом беспроводной аутентификации, однако при его реализации возникают сложности. Наряду с AS, каждый беспроводной клиент должен получить и установить сертификат. Установка сертификатов вручную на сотни или тысячи клиентов может оказаться непрактичной.

Вместо этого вам нужно будет внедрить инфраструктуру открытых ключей (PKI), которая могла бы безопасно и эффективно предоставлять сертификаты и отзывать их, когда клиент или пользователь больше не будет иметь доступа к сети.

Это обычно включает в себя создание собственного центра сертификации или построение доверительных отношений со сторонним центром сертификации, который может предоставлять сертификаты вашим клиентам.

Источник: https://zen.yandex.ru/media/merion_networks/metody-autentifikacii-klientov-besprovodnyh-setei-5e707ec9b97d5c119a516149

Лайфхаки
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: