Что такое обработчик событий в делфи. Рождение, жизнь и гибель формы. Методы Show и Hide

Для Windows Phone 11.04.2019

Для Windows Phone

За последние несколько лет популярность беспроводных сетей значительно возросла. На рост популярности беспроводного доступа в значительной мере оказывают влияние такие факторы, как интеграция в современные ноутбуки карт беспроводного доступа, появления PDA устройств, радио IP телефонов и т.д. По оценке компании IDC, до конца 2004 года планируется, что продажи оборудования беспроводного доступа достигнут 64 млн. устройств (для сравнения в 2002 году было продано 24 млн. устройств). Сейчас беспроводный доступ можно встретить в ресторанах, гостиницах и аэропортах, многие компании используют беспроводные сети для подключения пользователей к своей ИТ инфраструктуре, пользователи домашних сетей используют беспроводный доступ, для подключения к сети Интернет. При этом лишь немногие ставят вопрос безопасности беспроводной сети на первое место.

Введение

Проблемы безопасности беспроводного доступа

1. Позиционирование SSID

Параметр SSID является идентификатором беспроводной сети. Он применяется для разделения пользователей беспроводной сети на логические группы. SSID позволяет пользователю подключиться к требуемой беспроводной сети, и при необходимости, может быть сопоставлен с идентификатором виртуальной локальной сети (VLAN). Такое сопоставление необходимо для организации разграничения уровней доступа беспроводных пользователей к ресурсам корпоративной инфраструктуры.

Некоторые сетевые инженеры, при проектировании беспроводной сети, считают, что SSID является одним из средств обеспечения безопасности и отключение широковещательной рассылки значения SSID позволит усилить безопасность сети. На самом деле, отключение широковещательной рассылки этого параметра не только не повысит безопасность беспроводной сети, но и сделает сеть менее гибкой по отношению к клиентам. Некоторые клиенты не смогут корректно работать с точкой радиодоступа, на которой отключено вещание значения SSID. Следует иметь ввиду, что даже при отключении вещания SSID, возможность определения этого идентификатора по-прежнему остается, так как его значение передается во фреймах probe response. Нужно так же понимать, что разделив пользователей на различные логические группы при помощи SSID, вероятность подслушивания трафика остается, даже у пользователей, которые не зарегистрированы на точке беспроводного доступа.

2. Аутентификация с использованием MAC адреса

Аутентификация - это процесс определения личности клиента по предоставленной им информации, например, имя и пароль. Многие производители беспроводного оборудования поддерживают аутентификацию пользовательских устройств по MAC-адресам, однако стандарт IEEE (Institut of Electrical and Electronic Engineers) 802.11 такой тип аутентификации не предусматривает.

Аутентификация по MAC адресу без использования дополнительных методов обеспечения безопасности малоэффективна. Злоумышленнику достаточно просто получить доступ к беспроводной сети в которой настроена только аутентификация по MAC адресу. Для этого необходимо проанализировать радиоканал, на котором точка радиодоступа работает с клиентами, и получить список MAC адресов устройств, которым открыт доступ к сети. Для получения доступа к сетевым ресурсам по беспроводной сети необходимо заменить MAC адрес своей беспроводной карты, на известный MAC адрес клиента.

3. Проблемы с шифрованием при помощи статических ключей WEP

WEP (Wired Equivalent Privacy) - ключ, который предназначен для шифрования трафика между точкой радиодоступа и ее пользователями. Шифрование WEP основано на недостаточно криптоустойчивом алгоритме шифрования RC4. Длина WEP ключа составляет 40 или 104 бита. К ключу добавляется нешифрованная последовательность символов для успешного декодирования сигнала на обратной стороне размером 24 бита. Таким образом, принято говорить о длинах ключей 64 и 128 бит, однако эффективная часть ключа составляет всего лишь 40 и 104 бита. Стоит отметить, что при такой длине статического ключа, говорить о повышенной криптоустойчивости беспроводной сети не приходиться. В сети Интернет можно без особого труда найти программы, которые позволяют получить WEP ключ на основе трафика собранного анализатором. К таким программам относятся, например, WEPCrack и AirSnort. Для повышения криптоустойчивости, статический ключ размером 64 бита необходимо менять ориентировочно раз в 20 минут, а ключ размером 128 бит раз в час. Представьте себе, что вам необходимо каждый час изменять статический WEP ключ на точке доступа и всех ее клиентах. А если количество пользователей 100 или 1000? Такое решение не будет востребовано, из-за неоправданной сложности в эксплуатации.

4. Сетевые атаки

Сетевые атаки можно разделить на активные и пассивные.

К пассивным атакам относятся атаки, во время проведения которых не оказывается активных воздействий на работу беспроводной сети. Например, злоумышленник, используя программы WEPCrack или AirSnort, на протяжении 3-4 часов пассивной слежки и анализа вычисляет секретный ключ шифрования WEP длиной 128 бит.

Суть активных атак заключается в воздействии на беспроводную сеть с целью получения данных, после обработки которых, будет получен доступ к ресурсам радиосети. К ним относятся такие атаки как, повторное использование вектора инициализации и атака с манипуляцией битов.

Повторное использование вектора инициализации.

Злоумышленник многократно посылает одну и ту же информацию (заранее известного содержания) пользователю, который работает в атакуемом беспроводном сегменте, через внешнюю сеть. Все время пока злоумышленник посылает информацию пользователю, он так же прослушивает радиоканал (канал между пользователем и атакуемой точкой радиодоступа) и собирает шифрованные данные, в которых содержится посланная им информация. Затем злоумышленник вычисляет ключевую последовательность, используя полученные шифрованные данные и известные нешифрованные.

Манипуляция битами.

Атака основана на уязвимости вектора контроля целостности. Например, злоумышленник манипулирует битами пользовательских данных внутри фрейма с целью искажения информации 3 го уровня. Фрейм не претерпел изменений на канальном уровне, проверка целостности на точке радиодоступа проходит успешно и фрейм передается дальше. Маршрутизатор, получив фрейм от точки радиодоступа, распаковывает его и проверяет контрольную сумму пакета сетевого уровня, контрольная сумма пакета оказывается неверной. Маршрутизатор генерирует сообщение об ошибке и отсылает фрейм обратно на точку радиодоступа. Точка радиодоступа шифрует пакет и отправляет клиенту. Злоумышленник захватывает зашифрованный пакет с заранее известным сообщением об ошибке, после чего вычисляет ключевую последовательность.

5. Атаки DoS

К DoS (Deny of Service) атакам относятся виды атак, результатом которых становиться отказ в обслуживании клиентов беспроводной сети. Суть данных атак заключается в том, чтобы парализовать работу беспроводной сети.

Специалистами Квинслендского технологического университета была опубликована информация об обнаруженной уязвимости, связанной с оценкой доступности радиоканала в технологии с прямой последовательностью распространения спектра (DSSS). На базе этой технологии реализован широко – распространенный стандарт 802.11b.

Злоумышленник, используя уязвимость, имитирует постоянную занятость беспроводной сети. В результате такой атаки, все пользователи, работающие с точкой радиодоступа, по отношению к которой произошла атака, будут отключены.

Так же необходимо заметить, что данная атака может быть применима не только к оборудованию, работающему в стандарте 802.11b, но и к оборудованию стандарта 802.11g, хотя он не использует технологию DSSS. Это возможно тогда, когда точка радиодоступа, работающая в стандарте 802.11g поддерживает обратную совместимость со стандартом 802.11b.

На сегодняшний день защиты от DoS атак для оборудования стандарта 802.11b не существует, но, для избежания такой атаки, целесообразно использовать оборудование стандарта 802.11g (без обратной совместимости с 802.11b).

Как лучше построить безопасную беспроводную сеть?

При проектировании и построении беспроводной сети необходимо уделить основное внимание безопасности, надежности, а так же максимально упростить эксплуатационный процесс.

В качестве примера возьмем следующую задачу, в которой необходимо обеспечить доступ пользователей Конференц зала к корпоративным ресурсам. В этом примере мы рассмотрим построение такой сети на базе оборудования, предлагаемого различными компаниями.

Перед построением сети беспроводного доступа, необходимо произвести изучение местности, т.е. вооружившись точкой радиодоступа и портативным компьютером выехать на объект предполагаемой инсталляции. Это позволит определить места наиболее удачного расположения точек радиодоступа, позволяя добиться максимальной зоны покрытия местности. При построении системы безопасности беспроводного доступа необходимо помнить о трех составляющих:

архитектура аутентификации,

механизм аутентификации,

механизм обеспечения конфиденциальности и целостности данных.

В качестве архитектуры аутентификации используется стандарт IEEE 802.1X. Он описывает единую архитектуру контроля доступа к портам устройств с использованием различных методов аутентификации абонентов.

В качестве механизма аутентификации мы будем использовать протокол EAP (Extensible Authentication Protocol). Протокол EAP позволяет осуществлять аутентификацию на основе имени пользователя и пароля, а так же поддерживает возможность динамической смены ключа шифрования. Имена пользователей и пароли необходимо хранить на сервере RADIUS.

В качестве механизма обеспечивающего конфиденциальность и целостность данных мы будет использоваться протоколы WEP и TKIP (Temporal Key Integrity Protocol). Протокол TKIP позволяет усилить защиту WEP шифрования, за счет таких механизмов как MIC и PPK. Рассмотрим более подробно их предназначение.

MIC (Message Integrity Check) повышает эффективность функции контроля целостности в стандарте IEEE 802.11, за счет добавления во фрейм следующих полей, SEC (sequence number) и MIC, что позволяет предотвращать атаки, связанные с повторным использованием вектора инициализации и манипуляции битами.

PPK (Per-Packet Keying) попакетная смена ключа шифрования. Она позволяет снизить вероятность успешных атак, целью которых является определение WEP ключа, но не гарантирует полную защиту.

Чтобы избежать атак типа “отказ в обслуживании”, основанных на уязвимости технологии DSSS, беспроводная сеть будет построена на базе оборудования нового стандарта 802.11g (при этом стандарт 802.11g не должен быть обратно совместимым со стандартом 802.11b). Стандарт 802.11g основан на использовании технологии OFDM (Orthogonal Frequency Division Multiplexing), данная технология позволяет добиться скорости до 54Mbps.

В целях повышения уровня безопасности беспроводной сети целесообразно рассмотреть вопрос об использовании сервера Cisco WLSE (Wireless LAN Solution Engine). Применение этого устройства позволит выявлять несанкционированно установленные точки радиодоступа, а также осуществлять централизованное управление радиосетью.

Для обеспечения отказоустойчивости работы точек беспроводного доступа целесообразно использовать режим standby. Таким образом, получается, что на одном радиоканале будут работать 2-е точки, одна в роли активной, другая в роли резервной.

Если требуется обеспечить отказоустойчивость в аутентифицированном доступе, то необходимо установить два сервера аутентификации ACS. При этом, один будет использоваться в качестве основного, а второй в качестве резервного.

Таким образом, при построении беспроводной сети с учетом требований к безопасности и отказоустойчивости мы задействовали широкий спектр компонентов, которые позволят защитить нас от посягательств злоумышленников и предотвратить возможные атаки.

Конечно, описанное решение, не является минимальным по ценовым характеристикам, однако, уделив первостепенное внимание вопросам безопасности в беспроводной сети риски минимизировали риски, связанные с возможной утечкой внутренней корпоративной информацией.

Поршаков Евгений, Системный инженер INLINE TECHNOLOGIES www.in-line.ru

Вы покупаете дорогой роутер, устанавливаете сложный пароль и никому его не сообщаете, но всё равно замечаете, что скорость порой как-то проседает… Хуже, только если вы обнаружите кражу личных данных, заблокированный компьютер и другие прелести. Несмотря на антивирус и другую защиту.

Оказывается, домашний Wi-Fi далеко не так защищен, как вы думаете. Разбираемся, почему.

Уязвимый WPA2

Современные точки доступа Wi-Fi защищены в основном протоколом WPA2. В нём реализовано CCMP и шифрование AES . CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) – это протокол блочного шифрования с кодом аутентичности сообщения (MAC) и режимом сцепления блоков и счётчика, который был создан для замены более слабого TKIP (использовался в предшественниках, WPA и WEP). Собственно, CCMP использует AES (Advanced Encryption Standard) – симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит).

Объективно говоря, WPA2 – довольно старый протокол

Соответственно, и уязвимостей в протоколе найдено немало. Например, ещё 23 июля 2010 года опубликовали данные о дыре под названием Hole196. Используя её, авторизовавшийся в сети пользователь может применять свой закрытый ключ для расшифровки данных других пользователей и подменять MAC-адреса, а значит, использовать ресурсы взломанной сети для атак на различные веб-ресурсы без риска быть обнаруженным. Без всякого брутфорса и взлома ключей!

Патчи, надо сказать, выпустили не все. А дальше пошло-поехало…

Взлом WPA2

Сегодня Wi-Fi c WPA2 в основном взламывают брутфорсом и атакой по словарю. Хакеры мониторят беспроводную карту, сканируют эфир, отслеживают и записывают нужные пакеты.

После этого выполняется деавторизация клиента. Это нужно для хэндшейка – захвата начального обмена пакетами. Можно, конечно, подождать, пока клиент подключится. Но этого может и не произойти, по крайней мере, в ближайшие несколько минут.

Взлом WPS

Многие современные роутеры поддерживают протокол Wi-Fi Protected Setup, который используется для полуавтоматического подключения к беспроводной сети Wi-Fi. Он был разработал для упрощения подключения к WPS. Упростил, конечно, процесс и для злоумышленников тоже.

В PIN-коде WPS, который позволяет подключиться к сети, восемь знаков. Причём восьмой символ является контрольной суммой.

Уязвимость в WPS-протоколе позволяет проверять PIN-коды блоками: первый блок включает четыре цифры, второй – три (восьмая цифра вычисляется). В итоге имеем 9999 + 999 = 10998 вариантов PIN-кода.

Для взлома WPS подходит утилита Reaver. Она есть, к примеру, в дистрибутиве Kali Linux .

Алгоритм действий прост:

-i mon0 – это интерфейс,
-b 64:XX:XX:XX:XX:F4 это BSSID атакуемой точки,
-vv необязательный ключ, который включает подробный вывод.

Процесс перебора может занять несколько часов. Его результат – подобранный PIN-код и ключ безопасности сети.

Альтернативы – приложения WPS Connect , WIFI WPS WPA TESTER для Android и др. С iPhone сложнее, потому что из официального App Store приложения быстро удаляют или отклоняют на старте, а из неофициальных магазинов вы устанавливаете программы на свой страх и риск.

Чтобы бороться с этой атакой, нужно отключить WPS на роутере или точке доступа. Тогда взламывать будет нечего.

Последствия атак

Самое простое – использовать вашу Wi-Fi-сеть для получения бесплатного интернет-доступа. «Симптомы»: падение скорости, превышение лимитов трафика, увеличение пинга.

Хакеры могут использовать ваш Wi-Fi для совершения противоправных действий. К примеру, взлома сетей и аккаунтов, рассылки спама и т.п. Если правоохранительные органы отследят преступников до вашего IP, придётся объясняться. Вероятность невелика, но неприятно.

Наконец, самое страшное – если хакеры решат перехватить и расшифровать ваш трафик. И получить данные, которые вы бы не хотели кому-то предоставлять: пароли от социальных сетей и банковских аккаунтов, интимные фото, личную переписку.

Наконец, есть возможность осуществления атак «человек посередине». Можно перехватывать сеансы TCP, выполнять вставку информации в сеансы HTTP, воспроизводить адресные или широковещательные пакеты.

Резюме

Пароль и фильтрация по MAC-адресу должны защитить вас от взлома. На самом деле безопасность в большей степени зависит от вашей осмотрительности. Неподходящие методы защиты, незамысловатый пароль и легкомысленное отношение к посторонним пользователям в домашней сети дают злоумышленникам дополнительные возможности для атаки. Из этой статьи вы узнаете, как можно взломать WEP-пароль, почему следует отказаться от фильтров и как со всех сторон обезопасить свою беспроводную сеть.

Защита от незваных гостей

Ваша сеть не защищена, следовательно, рано или поздно к вашей беспроводной сети подсоединится посторонний пользователь — возможно даже не специально, ведь смартфоны и планшеты способны автоматически подключаться к незащищенным сетям. Если он просто откроет несколько сайтов, то, скорее всего, не случиться ничего страшного кроме расхода трафика. Ситуация осложнится, если через ваше интернет-подключение гость начнет загружать нелегальный контент.

Если вы еще не предприняли никаких мер безопасности, то зайдите в интерфейс роутера через браузер и измените данные доступа к сети. Адрес маршрутизатора, как правило, имеет вид: http://192.168.1.1 . Если это не так, то вы сможете выяснить IP-адрес своего сетевого устройства через командную строку. В операционной системе Windows 7 щелкните по кнопке «Пуск» и задайте в строке поиска команду «cmd». Вызовите настройки сети командой «ipconfig» и найдите строку «Основной шлюз». Указанный IP - это адрес вашего роутера, который нужно ввести в адресной строке браузера. Расположение настроек безопасности маршрутизатора зависит от производителя. Как правило, они расположены в разделе с названием вида «WLAN | Безопасность».

Если в вашей беспроводной сети используется незащищенное соединение, следует быть особенно осторожным с контентом, который расположен в папках с общим доступом, так как в отсутствие защиты он находится в полном распоряжении остальных пользователей. При этом в операционной системе Windows XP Home ситуация с общим доступом просто катастрофическая: по умолчанию здесь вообще нельзя устанавливать пароли - данная функция присутствует только в профессиональной версии. Вместо этого все сетевые запросы выполняются через незащищенную гостевую учетную запись. Обезопасить сеть в Windows XP можно c помощью небольшой манипуляции: запустите командную строку, введите «net user guest ВашНовыйПароль» и подтвердите операцию нажатием клавиши «Enter». После перезагрузки Windows получить доступ к сетевым ресурсам можно будет только при наличии пароля, однако более тонкая настройка в этой версии ОС, к сожалению, не представляется возможной. Значительно более удобно управление настройками общего доступа реализовано в Windows 7. Здесь, чтобы ограничить круг пользователей, достаточно в Панели управления зайти в «Центр управления сетями и общим доступом» и создать домашнюю группу, защищенную паролем.

Отсутствие должной защиты в беспроводной сети является источником и других опасностей, так как хакеры могут с помощью специальных программ (снифферов) выявлять все незащищенные соединения. Таким образом, взломщикам будет несложно перехватить ваши идентификационные данные от различных сервисов.

Хакеры

Как и прежде, сегодня наибольшей популярностью пользуются два способа защиты: фильтрация по MAC-адресам и скрытие SSID (имени сети): эти меры защиты не обеспечат вам безопасности. Для того чтобы выявить имя сети, взломщику достаточно WLAN-адаптера, который с помощью модифицированного драйвера переключается в режим мониторинга, и сниффера - например, Kismet. Взломщик ведет наблюдение за сетью до тех пор, пока к ней не подключится пользователь (клиент). Затем он манипулирует пакетами данных и тем самым «выбрасывает» клиента из сети. При повторном подсоединении пользователя взломщик видит имя сети. Это кажется сложным, но на самом деле весь процесс занимает всего несколько минут. Обойти MAC-фильтр также не составляет труда: взломщик определяет MAC-адрес и назначает его своему устройству. Таким образом, подключение постороннего остается незамеченным для владельца сети.

Если ваше устройство поддерживает только WEP-шифрование, срочно примите меры - такой пароль за несколько минут могут взломать даже непрофессионалы.

Особой популярностью среди кибермошенников пользуется пакет программ Aircrack-ng, который помимо сниффера включает в себя приложение для загрузки и модификации драйверов WLAN-адаптеров, а также позволяет выполнять восстановление WEP-ключа. Известные методы взлома - это PTW- и FMS/KoreKатаки, при которых перехватывается трафик и на основе его анализа вычисляется WEP-ключ. В данной ситуации у вас есть только две возможности: сначала вам следует поискать для своего устройства актуальную прошивку, которая будет поддерживать новейшие методы шифрования. Если же производитель не предоставляет обновлений, лучше отказаться от использования такого устройства, ведь при этом вы ставите под угрозу безопасность вашей домашней сети.

Популярный совет сократить радиус действия Wi-Fi дает только видимость защиты. Соседи все равно смогут подключаться к вашей сети, а злоумышленники зачастую пользуются Wi-Fi-адаптерами с большим радиусом действия.

Публичные точки доступа

Места со свободным Wi-Fi привлекают кибермошенников, так как через них проходят огромные объемы информации, а воспользоваться инструментами взлома может каждый. В кафе, отелях и других общественных местах можно найти публичные точки доступа. Но другие пользователи этих же сетей могут перехватить ваши данные и, например, взять под свой контроль ваши учетные записи на различных веб-сервисах.

Защита Cookies. Некоторые методы атак действительно настолько просты, что ими может воспользоваться каждый. Расширение Firesheep для браузера Firefox автоматически считывает и отображает в виде списка аккаунты других пользователей, в том числе на Amazon, в Google, Facebook и Twitter. Если хакер щелкнет по одной из записей в списке, он сразу же получит полный доступ к аккаунту и сможет изменять данные пользователя по своему усмотрению. Firesheep не осуществляет взлом паролей, а только копирует активные незашифрованные cookies. Чтобы защититься от подобных перехватов, следует пользоваться специальным дополнением HTTPS Everywhere для Firefox. Это расширение вынуждает онлайн-сервисы постоянно использовать зашифрованное соединение через протокол HTTPS, если он поддерживается сервером поставщика услуг.

Защита Android. В недавнем прошлом всеобщее внимание привлекла недоработка в операционной системе Android, из-за которой мошенники могли получить доступ к вашим аккаунтам в таких сервисах, как Picasa и «Календарь Google», а также считывать контакты. Компания Google ликвидировала эту уязвимость в Android 2.3.4, но на большинстве устройств, ранее приобретенных пользователями, установлены более старые версии системы. Для их защиты можно использовать приложение SyncGuard.

WPA 2

Наилучшую защиту обеспечивает технология WPA2, которая применяется производителями компьютерной техники еще с 2004 года. Большинство устройств поддерживают этот тип шифрования. Но, как и другие технологии, WPA2 тоже имеет свое слабое место: с помощью атаки по словарю или метода bruteforce («грубая сила») хакеры могут взламывать пароли - правда, лишь в случае их ненадежности. Словари просто перебирают заложенные в их базах данных ключи - как правило, все возможные комбинации чисел и имен. Пароли наподобие «1234» или «Ivanov» угадываются настолько быстро, что компьютер взломщика даже не успевает нагреться.

Метод bruteforce предполагает не использование готовой базы данных, а, напротив, подбор пароля путем перечисления всех возможных комбинаций символов. Таким способом взломщик может вычислить любой ключ - вопрос только в том, сколько времени ему на это потребуется. NASA в своих инструкциях по безопасности рекомендует пароль минимум из восьми символов, а лучше - из шестнадцати. Прежде всего важно, чтобы он состоял из строчных и прописных букв, цифр и специальных символов. Чтобы взломать такой пароль, хакеру потребуются десятилетия.

Пока еще ваша сеть защищена не до конца, так как все пользователи внутри нее имеют доступ к вашему маршрутизатору и могут производить изменения в его настройках. Некоторые устройства предоставляют дополнительные функции защиты, которыми также следует воспользоваться.

Прежде всего отключите возможность манипулирования роутером через Wi-Fi. К сожалению, эта функция доступна лишь в некоторых устройствах - например, маршрутизаторах Linksys. Все современные модели роутеров также обладают возможностью установки пароля к интерфейсу управления, что позволяет ограничить доступ к настройкам.

Как и любая программа, прошивка роутера несовершенна - небольшие недоработки или критические дыры в системе безопасности не исключены. Обычно информация об этом мгновенно распространяется по Сети. Регулярно проверяйте наличие новых прошивок для вашего роутера (у некоторых моделей есть даже функция автоматического обновления). Еще один плюс перепрошивок в том, что они могут добавить в устройство новые функции.

Периодический анализ сетевого трафика помогает распознать присутствие незваных гостей. В интерфейсе управления роутером можно найти информацию о том, какие устройства и когда подключались к вашей сети. Сложнее выяснить, какой объем данных загрузил тот или иной пользователь.

Гостевой доступ — средство защиты домашней сети

Если вы защитите роутер надежным паролем при использовании шифрования WPA2, вам уже не будет угрожать никакая опасность. Но только до тех пор, пока вы не передадите свой пароль другим пользователям. Друзья и знакомые, которые со своими смартфонами, планшетами или ноутбуками захотят выйти в Интернет через ваше подключение, являются фактором риска. Например, нельзя исключать вероятность того, что их устройства заражены вредоносными программами. Однако из-за этого вам не придется отказывать друзьям, так как в топовых моделях маршрутизаторов, например Belkin N или Netgear WNDR3700, специально для таких случаев предусмотрен гостевой доступ. Преимущество данного режима в том, что роутер создает отдельную сеть с собственным паролем, а домашняя не используется.

Надежность ключей безопасности

WEP (WIRED EQUIVALENT PRIVACY). Использует генератор псевдослучайных чисел (алгоритм RC4) для получения ключа, а также векторы инициализации. Так как последний компонент не зашифрован, возможно вмешательство третьих лиц и воссоздание WEP-ключа.

WPA (WI-FI PROTECTED ACCESS) Основывается на механизме WEP, но для расширенной защиты предлагает динамический ключ. Ключи, сгенерированные с помощью алгоритма TKIP, могут быть взломаны посредством атаки Бека-Тевса или Охигаши-Мории. Для этого отдельные пакеты расшифровываются, подвергаются манипуляциям и снова отсылаются в сеть.

WPA2 (WI-FI PROTECTED ACCESS 2) Задействует для шифрования надежный алгоритм AES (Advanced Encryption Standard). Наряду с TKIP добавился протокол CCMP (Counter-Mode/CBC-MAC Protocol), который также базируется на алгоритме AES. Защищенную по этой технологии сеть до настоящего момента взломать не удавалось. Единственной возможностью для хакеров является атака по словарю или «метод грубой силы», когда ключ угадывается путем подбора, но при сложном пароле подобрать его невозможно.

Эта статья посвящена вопросу безопасности при использовании беспроводных сетей WiFi.

Введение - уязвимости WiFi

Главная причина уязвимости пользовательских данных, когда эти данные передаются через сети WiFi, заключается в том, что обмен происходит по радиоволне. А это дает возможность перехвата сообщений в любой точке, где физически доступен сигнал WiFi. Упрощенно говоря, если сигнал точки доступа можно уловить на дистанции 50 метров, то перехват всего сетевого трафика этой WiFi сети возможен в радиусе 50 метров от точки доступа. В соседнем помещении, на другом этаже здания, на улице.

Представьте такую картину. В офисе локальная сеть построена через WiFi. Сигнал точки доступа этого офиса ловится за пределами здания, например на автостоянке. Злоумышленник, за пределами здания, может получить доступ к офисной сети, то есть незаметно для владельцев этой сети. К сетям WiFi можно получить доступ легко и незаметно. Технически значительно легче, чем к проводным сетям.

Да. На сегодняшний день разработаны и внедрены средства защиты WiFi сетей. Такая защита основана на шифровании всего трафика между точкой доступа и конечным устройством, которое подключено к ней. То есть радиосигнал перехватить злоумышленник может, но для него это будет просто цифровой "мусор".

Как работает защита WiFi?

Точка доступа, включает в свою WiFi сеть только то устройство, которое пришлет правильный (указанный в настройках точки доступа) пароль. При этом пароль тоже пересылается зашифрованным, в виде хэша. Хэш это результат необратимого шифрования. То есть данные, которые переведены в хэш, расшифровать нельзя. Если злоумышленник перехватит хеш пароля он не сможет получить пароль.

Но каким образом точка доступа узнает правильный указан пароль или нет? Если она тоже получает хеш, а расшифровать его не может? Все просто - в настройках точки доступа пароль указан в чистом виде. Программа авторизации берет чистый пароль, создает из него хеш и затем сравнивает этот хеш с полученным от клиента. Если хеши совпадают значит у клиента пароль верный. Здесь используется вторая особенность хешей - они уникальны. Одинаковый хеш нельзя получить из двух разных наборов данных (паролей). Если два хеша совпадают, значит они оба созданы из одинакового набора данных.

Кстати. Благодаря этой особенности хеши используются для контроля целостности данных. Если два хеша (созданные с промежутком времени) совпадают, значит исходные данные (за этот промежуток времени) не были изменены.

Тем, не менее, не смотря на то, что наиболее современный метод защиты WiFi сети (WPA2) надежен, эта сеть может быть взломана. Каким образом?

Есть две методики доступа к сети под защитой WPA2:

Подбор пароля по базе паролей (так называемый перебор по словарю).
Использование уязвимости в функции WPS.

В первом случае злоумышленник перехватывает хеш пароля к точке доступа. Затем по базе данных, в которой записаны тысячи, или миллионы слов, выполняется сравнение хешей. Из словаря берется слово, генерируется хеш для этого слова и затем этот хеш сравнивается с тем хешем который был перехвачен. Если на точке доступа используется примитивный пароль, тогда взлом пароля, этой точки доступа, вопрос времени. Например пароль из 8 цифр (длина 8 символов это минимальная длина пароля для WPA2) это один миллион комбинаций. На современном компьютере сделать перебор одного миллиона значений можно за несколько дней или даже часов.

Во втором случае используется уязвимость в первых версиях функции WPS. Эта функция позволяет подключить к точке доступа устройство, на котором нельзя ввести пароль, например принтер. При использовании этой функции, устройство и точка доступа обмениваются цифровым кодом и если устройство пришлет правильный код, точка доступа авторизует клиента. В этой функции была уязвимость - код был из 8 цифр, но уникальность проверялась только четырьмя из них! То есть для взлома WPS нужно сделать перебор всех значений которые дают 4 цифры. В результате взлом точки доступа через WPS может быть выполнен буквально за несколько часов, на любом, самом слабом устройстве.

Настройка защиты сети WiFi

Безопасность сети WiFi определяется настройками точки доступа. Несколько этих настроек прямо влияют на безопасность сети.

Режим доступа к сети WiFi

Точка доступа может работать в одном из двух режимов - открытом или защищенном. В случае открытого доступа, подключиться к точке досутпа может любое устройство. В случае защищенного доступа подключается только то устройство, которое передаст правильный пароль доступа.

Существует три типа (стандарта) защиты WiFi сетей:

WEP (Wired Equivalent Privacy) . Самый первый стандарт защиты. Сегодня фактически не обеспечивает защиту, поскольку взламывается очень легко благодаря слабости механизмов защиты.
WPA (Wi-Fi Protected Access) . Хронологически второй стандарт защиты. На момент создания и ввода в эксплуатацию обеспечивал эффективную защиту WiFi сетей. Но в конце нулевых годов были найдены возможности для взлома защиты WPA через уязвимости в механизмах защиты.
WPA2 (Wi-Fi Protected Access) . Последний стандарт защиты. Обеспечивает надежную защиту при соблюдении определенных правил. На сегодняшний день известны только два способа взлома защиты WPA2. Перебор пароля по словарю и обходной путь, через службу WPS.

Таким образом, для обеспечения безопасности сети WiFi необходимо выбирать тип защиты WPA2. Однако не все клиентские устройства могут его поддерживать. Например Windows XP SP2 поддерживает только WPA.

Помимо выбора стандарта WPA2 необходимы дополнительные условия:

Использовать метод шифрования AES.

Пароль для доступа к сети WiFi необходимо составлять следующим образом:

Используйте буквы и цифры в пароле. Произвольный набор букв и цифр. Либо очень редкое, значимое только для вас, слово или фразу.
Не используйте простые пароли вроде имя + дата рождения, или какое-то слово + несколько цифр, например lena1991 или dom12345 .
Если необходимо использовать только цифровой пароль, тогда его длина должна быть не менее 10 символов. Потому что восьмисимвольный цифровой пароль подбирается методом перебора за реальное время (от нескольких часов до нескольких дней, в зависимости от мощности компьютера).

Если вы будете использовать сложные пароли, в соответствии с этими правилами, то вашу WiFi сеть нельзя будет взломать методом подбора пароля по словарю. Например, для пароля вида 5Fb9pE2a (произвольный буквенно-цифровой), максимально возможно 218340105584896 комбинаций. Сегодня это практически невозможно для подбора. Даже если компьютер будет сравнивать 1 000 000 (миллион) слов в секунду, ему потребуется почти 7 лет для перебора всех значений.

WPS (Wi-Fi Protected Setup)

Если точка доступа имеет функцию WPS (Wi-Fi Protected Setup), нужно отключить ее. Если эта функция необходима, нужно убедиться что ее версия обновлена до следующих возможностей:

Использование всех 8 символов пинкода вместо 4-х, как это было вначале.
Включение задержки после нескольких попыток передачи неправильного пинкода со стороны клиента.

Дополнительная возможность улучшить защиту WPS это использование цифробуквенного пинкода.

Безопасность общественных сетей WiFi

Сегодня модно пользоваться Интернет через WiFi сети в общественных местах - в кафе, ресторанах, торговых центрах и т.п. Важно понимать, что использование таких сетей может привести к краже ваших персональных данных. Если вы входите в Интернет через такую сеть и затем выполняете авторизацию на каком-либо сайта, то ваши данные (логин и пароль) могут быть перехвачены другим человеком, который подключен к этой же сети WiFi. Ведь на любом устройстве которое прошло авторизацию и подключено к точке доступа, можно перехватывать сетевой трафик со всех остальных устройств этой сети. А особенность общественных сетей WiFi в том, что к ней может подключиться любой желающий, в том числе злоумышленник, причем не только к открытой сети, но и к защищенной.

Что можно сделать для защиты своих данных, при подключении к Интерне через общественную WiFi сеть? Есть только одна возможность - использовать протокол HTTPS. В рамках этого протокола устанавливается зашифрованное соединение между клиентом (браузером) и сайтом. Но не все сайты поддерживают протокол HTTPS. Адреса на сайте, который поддерживает протокол HTTPS, начинаются с префикса https://. Если адреса на сайте имеют префикс http:// это означает что на сайте нет поддержки HTTPS или она не используется.

Некоторые сайты по умолчанию не используют HTTPS, но имеют этот протокол и его можно использовать если явным образом (вручную) указать префикс https://.

Что касается других случаев использования Интернет - чаты, скайп и т.д, то для защиты этих данных можно использовать бесплатные или платные серверы VPN. То есть сначала подключаться к серверу VPN, а уже затем использовать чат или открытый сайт.

Защита пароля WiFi

Во второй и третьей частях этой статьи я писал, о том, что в случае использования стандарта защиты WPA2, один из путей взлома WiFi сети заключается в подборе пароля по словарю. Но для злоумышленника есть еще одна возможность получить пароль к вашей WiFi сети. Если вы храните ваш пароль на стикере приклеенном к монитору, это дает возможность увидеть этот пароль постороннему человеку. А еще ваш пароль может быть украден с компьютера который подключен к вашей WiFi сети. Это может сделать посторонний человек, в том случае если ваши компьютеры не защищены от доступа посторонних. Это можно сделать при помощи вредоносной программы. Кроме того пароль можно украсть и с устройства которое выносится за пределы офиса (дома, квартиры) - со смартфона, планшета.

Таким образом, если вам нужна надежная защита вашей WiFi сети, необходимо принимать меры и для надежного хранения пароля. Защищать его от доступа посторонних лиц.

Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354 . Или на телефон +7 918-16-26-331 .

Даже небольшая сумма может помочь написанию новых статей:)