Nebezpečí používání cizích Wi-Fi sítí. Bezdrátové sítě: klasifikace, organizace, princip fungování Získání kompletních informací o wifi síti

Bezdrátová síť Wi-Fi Státní technické univerzity Tambov je organizována v režimu infrastruktury. To znamená, že počítače jsou připojeny k bezdrátovému přístupovému bodu, které jsou zase připojeny k univerzitní kabelové síti.

Název univerzitní bezdrátové sítě (SSID) je TSTU.

Pro zajištění bezpečnosti univerzitní bezdrátové sítě jsou přístupové body nakonfigurovány pro použití:

Standard ověřování 802.11i (WPA2 - Wi-Fi Protected Access 2) v podnikovém režimu; šifrovací algoritmus AES (Advanced Encryption Standard); protokol PEAP-MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol verze 2).

POZORNOST!

Pod jedním přihlášením mohou pracovat pouze dvě zařízení! Ostatní zařízení pracující pod stejným přihlašovacím jménem jsou BLOKOVÁNA!

Chcete-li zjistit, zda konkrétní model adaptéru podporuje WPA2, podívejte se na web výrobce. Toto doporučení je zvláště důležité pro zařízení vyrobená před rokem 2006.

Pokud váš počítač nemá nainstalovaný síťový adaptér nebo adaptér nepodporuje standard WPA2, nebudete se moci připojit k univerzitní bezdrátové síti.

Výrobce může poskytnout software pro ovládání adaptéru. Některé operační systémy však mají vestavěné rozhraní pro správu síťových adaptérů.

• Windows 7 Professional;
• Windows XP Professional Service Pack 3.

Windows 7 Professional

Kontrola, zda má váš počítač síťový adaptér

Chcete-li zkontrolovat, zda má váš počítač bezdrátový síťový adaptér, otevřete součást Síťová připojení v Ovládacích panelech:

Start -> Ovládací panely -> Síť a internet -> Zobrazit stav sítě a úlohy -> Změnit nastavení adaptéru

Bezdrátový síťový adaptér je označen jako „wlan“.

Otevření okna Síťová připojení na tomto počítači.

Chcete-li přidat bezdrátovou síť do seznamu dostupných sítí, otevřete součást ovládacího panelu „Správa bezdrátových sítí“:

Start -> Ovládací panely -> Síť a Internet -> Zobrazit stav sítě a úlohy -> Spravovat bezdrátové sítě

V okně, které se otevře, klikněte na tlačítko "Přidat":

Poté vyberte „Vytvořte síťový profil ručně“:

Vyplňte informace o své bezdrátové síti, jak je znázorněno na obrázku níže:

Otevře se okno oznamující, že bezdrátová síť byla úspěšně přidána.

Konfigurace nastavení připojení

Chcete-li nakonfigurovat nastavení připojení, klikněte na „Změnit nastavení připojení“ v okně zobrazeném výše při přidávání bezdrátové sítě nebo otevřete okno „Vlastnosti bezdrátové sítě“ výběrem linky "Vlastnosti" v kontextové nabídce bezdrátové sítě:

Na kartách „Připojení“ a „Zabezpečení“ v okně „Vlastnosti bezdrátové sítě“ nastavte nastavení připojení, jak je znázorněno na obrázcích níže:

Pokud počítač používá jeden uživatel, zaškrtněte políčko „Zapamatovat si moje přihlašovací údaje pro toto připojení při každém přihlášení“. Pokud počítač používá několik uživatelů, je lepší nastavení vypnout.

Nakonfigurujte vlastnosti chráněného EAP vyvoláním odpovídajícího okna kliknutím na tlačítko "Možnosti" na kartě „Zabezpečení“ v okně „Vlastnosti bezdrátové sítě“:

Výběr parametrů potvrďte tlačítkem „OK“.

Síť bude přidána do seznamu sítí a bude k dispozici pro připojení, když bude počítač v dosahu sítě.

Připojte se k bezdrátové síti

V okně se zobrazí seznam sítí, do kterých počítač spadá:

V seznamu dostupných bezdrátových sítí můžete vidět symbol, který zobrazuje sílu signálu pro každou síť. Čím více pruhů, tím silnější je signál. Silný signál (pět čárek) znamená, že je v blízkosti bezdrátová síť nebo že nedochází k rušení. Chcete-li zlepšit úroveň signálu, můžete přesunout počítač blíže k přístupovému bodu.

Chcete-li se připojit k bezdrátové síti, klikněte na tlačítko „Připojit“:

Během procesu připojení se zobrazí následující zprávy:

Pro vstup do univerzitní sítě je potřeba v zobrazeném okně vyplnit údaje o uživatelském účtu, tzn. zadejte své přihlašovací jméno a heslo.

Například níže je dokončené okno pro uživatele s účtem U0398:

Po úspěšném připojení se v seznamu bezdrátových sítí zobrazí „Připojeno“ a v oznamovací oblasti se zobrazí ikona.

Pokud se připojení nezdaří, znovu zkontrolujte nakonfigurovaná nastavení připojení. Chcete-li to provést, otevřete okno „Vlastnosti bezdrátové sítě“ výběrem řádku „Vlastnosti“ v místní nabídce bezdrátové sítě:

Chcete-li se odpojit od sítě, klikněte na tlačítko „Odpojit“:

Další informace naleznete v centru nápovědy a podpory systému Windows 7 Professional.

Windows XP Professional Service Pack 3

Chcete-li se připojit k univerzitní bezdrátové síti, musíte provést následující kroky:

1. Zkontrolujte, zda má váš počítač bezdrátový síťový adaptér.
2. Přidejte bezdrátovou síť do seznamu dostupných sítí.
3. Nakonfigurujte nastavení připojení.
4. Připojte se k bezdrátové síti.

Kontrola, zda má váš počítač bezdrátový síťový adaptér

Chcete-li připojit počítač k bezdrátové síti, musí být v počítači nainstalován adaptér bezdrátové sítě.

Chcete-li zkontrolovat, zda má váš počítač bezdrátový síťový adaptér, musíte otevřít „Síťová připojení“: klikněte na tlačítko Start, vyberte Nastavení, pak Kontrolní panel, najděte sekci "Síťová připojení":

Start -> Nastavení -> Ovládací panely -> Síťová připojení

Zde budou uvedeny adaptéry nainstalované v počítači. Adaptér bezdrátové sítě je označen jako „Wireless Network Connection“.

Pokud je zařízení vypnuté, musíte jej zapnout. Chcete-li to provést, klikněte pravým tlačítkem myši na kontextovou nabídku a vyberte „Povolit“ nebo klikněte na úlohu „Povolit síťové zařízení“.

Chcete-li toto zařízení zapnout, musíte být správce na tomto počítači.

Když je síťový adaptér zapnutý, ikona je viditelná v oznamovací oblasti.

Přidání bezdrátové sítě do seznamu dostupných sítí

Chcete-li přidat bezdrátovou síť do seznamu dostupných sítí, musíte otevřít „Síťová připojení“: klikněte na tlačítko Start, vyberte Nastavení, pak Kontrolní panel, najděte sekci "Síťová připojení":

Klepnutím pravým tlačítkem myši otevřete kontextovou nabídku pro připojení k bezdrátové síti a vyberte linku "Vlastnosti" nebo klikněte na úkol "Změna nastavení připojení".

Odhalení zranitelných zařízení a služeb v cílové síti bez zanechání jakékoli stopy může být obtížné, protože hackeři nejprve zaútočí na router, než budou dále zkoumat. Existuje však způsob, jak tajně dešifrovat a zobrazit něčí aktivitu Wi-Fi bez připojení k bezdrátové síti.

Pokud se nejprve podíváte na to, co hackeři dělají s routery, obvykle se jedná o různé útoky hrubou silou pro WPA handshake nebo phishing hesel Wi-Fi. Jakmile obdrží přihlašovací údaje, okamžitě začnou prozkoumávat napadenou síť pomocí různých nástrojů a technik.

Skenery portů vytvářejí v bezdrátových sítích velký šum. Útoky typu Man-in-the-Middle mohou být příliš agresivní a upozorňovat uživatele a správce na přítomnost hackera v síti. Směrovače uchovávají protokoly informací o každém zařízení, které se připojuje k síti. Každá akce, kterou provedete během připojení k síti, může nějakým způsobem vést k tomu, že vás na napadeném routeru odhalí.

Proto je nejlepší se k Wi-Fi routeru vůbec nepřipojovat. V tomto článku se blíže podíváme na to, jak hackeři zachycují pakety (jak jsou přenášeny do nebo z routeru) a dešifrují WPA2 provoz v reálném čase. Tyto informace jsou důležité pro ty z vás, kteří se chtějí stát profesionály v oblasti IT bezpečnosti.

Jak tento útok funguje?

Data jsou odesílána do a ze směrovače prostřednictvím notebooků a chytrých telefonů prostřednictvím šifrovaných rádiových vln. Tyto rádiové vlny přenášejí data vzduchem. Přenášená data nejsou viditelná pro lidské oko, ale lze je shromáždit pomocí nástrojů, jako je Airodump-ng. Shromážděná data lze následně analyzovat pomocí Wireshark.

Wireshark je nejpokročilejší a nejrozšířenější síťový analyzátor na světě. To dává uživatelům možnost vidět, co se děje v sítích, na mikroskopické úrovni. To je důvod, proč je Wireshark nástroj pro kontrolu sítě používaný komerčními a neziskovými organizacemi, vládními agenturami a vzdělávacími institucemi.

Jedna ze skvělých funkcí Wireshark umožňuje hackerům dešifrovat a zobrazit aktivitu routeru přenášenou vzduchem v prostém textu, a to je přesně to, čemu se budeme věnovat v tomto článku.

Krok 1: Najděte svou cílovou síť

Airodump-ng je k dispozici na všech populárních distribucích Linuxu a poběží na virtuálních počítačích a Raspberry Pi. Kali Linux využijeme ke sběru dat patřících k Wi-Fi routeru, který sami ovládáme. Pokud jste nikdy předtím Airdodump-ng nepoužili, můžete se naučit základy práce s ním z našich článků na webu.

Chcete-li povolit režim sledování na bezdrátovém adaptéru, použijte následující příkaz:

Airmon-ng start wlan0

Najděte svou cílovou síť. Chcete-li zobrazit všechny dostupné sítě Wi-Fi v okolí, použijte příkaz níže. Jako příklad se zaměříme na náš router "Null Byte".

Airodump-ng wlan0mon

Věnujte pozornost BSSID, CH a ESSID. Tyto informace jsou nezbytné pro sběr dat odeslaných do routeru.

Krok 2. Shromážděte data Wi-Fi

Chcete-li začít shromažďovat data patřící do cílové sítě, zadejte níže uvedený příkaz a nahraďte příslušné části těmi, se kterými pracujete:

Airodump-ng --bssid MacTarget Address --essid Název směrovače -c Číslo kanálu -w Kam uložit data wlan0mon

Shromážděná data uložíme do adresáře /tmp do souboru s názvem „null_byte“ pomocí argumentu -w. Airodump-ng automaticky připojí číslo na konec názvu souboru, takže bude ve skutečnosti uložen do adresáře /tmp jako "null_byte-01.cap".

Zde je to, co můžete očekávat od funkčního terminálu Airodump-ng:

Nejdůležitější věcí, na kterou se musíte pečlivě podívat, je potřesení rukou WPA v pravém horním rohu. Wireshark musí úspěšně dokončit handshake, aby mohl být provoz Wi-Fi později dešifrován. Chcete-li přinutit zařízení k odpojení od sítě, můžete použít Aireplay-ng. Dokončení tohoto úkolu bude vyžadovat opětovné připojení zařízení k síti a úspěšné dokončení WPA handshake, ale to může vyvolat podezření mezi uživateli již připojenými k síti.

Dokud je terminál Airodump-ng v provozu, data se budou nadále shromažďovat. Terminál Airodump-ng může fungovat hodiny nebo dokonce dny. V naší demo relaci Airodump-ng jsme povolili sběr paketů po dobu 15 minut. Čas, po který Airodump-ng běží, je vidět v levém horním rohu terminálu.

Všimněte si sloupce #Data na výše uvedeném snímku obrazovky. Toto číslo udává, kolik datových paketů bylo shromážděno. Čím vyšší číslo, tím je pravděpodobnější, že hackeři objeví citlivé informace, které lze použít k „otočení“ do sítě nebo k dalšímu kompromitování cíle.

Jakmile bude shromážděno dostatečné množství dat, lze relaci Airodump-ng zastavit stisknutím Ctrl + C. Nyní bude v souboru /tmp soubor "null_byte-01.cap" (nebo soubor s názvem, který jste pro něj vybrali). adresář. Tento soubor .cap bude nutné otevřít pomocí Wireshark.

Krok 3: Nainstalujte nejnovější verzi Wireshark

Ve výchozím nastavení je Wireshark součástí téměř všech verzí Kali. Existuje několik verzí, které neobsahují Wireshark, takže zde je rychlý přehled, jak jej nainstalovat do Kali.

Nejprve spusťte příkaz apt-get update, abyste zajistili, že je k dispozici ke stažení nejnovější verze Wireshark. Otevřete terminál a zadejte příkaz níže:

Aktualizace sudo apt-get

Poté pomocí následujícího příkazu nainstalujte Wireshark:

Sudo apt-get install wireshark

Mezi dvěma příkazy můžete použít znaky &&, jak je znázorněno na obrázku výše. To dá terminálu pokyn, aby nejprve synchronizoval index balíčku s repozitáři Kali. A poté, co bude aktualizace úspěšná, nainstaluje Wireshark.

Krok 4: Spusťte Wireshark

Jakmile to uděláte, Wireshark najdete v kategorii Sniffing & Spoofing v nabídce Aplikace. Chcete-li spustit Wireshark, jednoduše klikněte na ikonu.

Krok 5: Nakonfigurujte Wireshark pro dešifrování dat

Chcete-li nakonfigurovat Wireshark tak, aby dešifroval data nalezená v souboru .cap, klikněte na tlačítko Upravit na horní liště nabídek, poté přejděte na Předvolby a rozbalte rozevírací nabídku Protokoly.

Poté přejděte dolů a vyberte „IEEE 802.11“. Musí být zaškrtnuto políčko „Povolit dešifrování“. Poté klikněte na tlačítko „Upravit“ a přidejte dešifrovací klíče pro konkrétní síť Wi-Fi.

Objeví se nové okno. Zde budete muset zadat heslo a název routeru. Musíte zadat své přihlašovací údaje tak, že heslo a název routeru oddělíte dvojtečkou (například heslo: router_name).

Nejprve vyberte Typ klíče "wpa-pwd". Tento typ klíče je vyžadován pro nastavení hesla WPA ve formátu prostého textu. Heslo Wi-Fi sítě „Null Byte“ je dlouhý zakódovaný řetězec, proto jsme do sloupce Klíč zadali „bWN2a25yMmNuM2N6amszbS5vbmlvbg ==: Null Byte“. Dalším příkladem může být „Wonderfulboat555:NETGEAR72“, kde „Wonderfulboat555“ je heslo k routeru s názvem „NETGEAR72“.

Když to uděláte, klikněte na OK a uložte přihlašovací údaje. Wireshark nyní při importu souboru .cap automaticky začne dešifrovat data patřící do sítě Wi-Fi „Null Byte“.

Krok 6: Proveďte hloubkovou kontrolu paketů (DPI)

Chcete-li importovat soubor .cap do Wireshark, klikněte na nabídku Soubor a poté na Otevřít. Soubor .cap lze nalézt v adresáři /tmp. Vyberte jej a klikněte na „Otevřít“. V závislosti na tom, jak dlouho terminál Airodump-ng shromažďuje data, může Wireshark trvat několik minut, než importuje a dešifruje všechna data.

Jakmile je soubor .cap otevřen ve Wiresharku, můžete vidět tisíce řádků nezpracovaného webového provozu. Tento pohled může být poněkud děsivý. Naštěstí má Wireshark filtry zobrazení, které můžete použít k ovládání a filtrování paketů, které nechcete. Pro tyto filtry zobrazení je na internetu mnoho cheatů, které uživatelům Wiresharku pomáhají najít relevantní a citlivá data. Dnes se však podíváme na některé z nejužitečnějších filtrů zobrazení, které hackeři používají ke kontrole aktivity probíhající v síti.

1. Vyhledejte data požadavku POST

Požadavek HTTP POST se často používá při nahrávání souboru na server nebo přenosu přihlašovacích údajů a hesel na webové stránky. Když se někdo přihlásí na Facebook nebo zveřejní komentář v dolní části tohoto článku, provede se to pomocí požadavku POST.

Data POST v souboru .cap s největší pravděpodobností obsahují nejvíce kompromitující a odhalující data. Hackeři mohou najít uživatelská jména (login), hesla, skutečná jména, domácí adresy, e-mailové adresy, protokoly chatů a mnoho dalšího. Chcete-li filtrovat data požadavku POST, zadejte do panelu filtru zobrazení následující řetězec:

Http.request.method == "POST"

V našem příkladu jsme se zaregistrovali na náhodné webové stránce, kterou jsme našli na internetu. Bylo by naivní si myslet, že někdo bude vyžadovat e-mailová upozornění ze svých oblíbených zpravodajských webů.

Pokud byly v souboru .cap nalezeny požadavky POST, ve sloupci Informace se zobrazí, které řádky obsahují data požadavku POST. Poklepáním na jeden z řádků se zobrazí nové okno Wireshark obsahující další informace. Chcete-li analyzovat data, přejděte dolů a rozbalte rozevírací seznam „Formulář HTML“.

Po analýze shromážděných dat z tohoto jediného požadavku POST jsme našli mnoho informací patřících nějakému uživateli v síti.

Shromážděná data zahrnují jméno, příjmení a e-mailovou adresu, které lze později použít k phishingu a cíleným hackům.

Webová stránka navíc obsahuje povinné pole pro heslo, které lze přidat do seznamů hesel nebo pro útoky hrubou silou. Není neobvyklé, že lidé používají hesla pro více účtů. Samozřejmě je možné, že heslo poskytne útočníkovi přístup k účtu Gmail, který lze také nalézt v datech požadavku POST.

Také vidíme, že v těchto datech je název společnosti, kde Christopher Hadnagy pravděpodobně pracuje. Tyto informace může hacker použít pro následná opatření sociálního inženýrství.

Při procházení dat požadavku POST o něco dále se objeví ještě zajímavější informace. Úplná adresa bydliště, PSČ a telefonní číslo. To může hackerovi poskytnout informace o tom, kterému domu Wi-Fi router patří, a telefonní číslo, které lze později použít i pro sociální inženýrství, pokud se hacker rozhodne posílat například falešné SMS zprávy.

2. Vyhledejte data požadavku GET

Požadavek HTTP GET se používá k načtení nebo stažení dat z webových serverů. Pokud si například někdo prohlédne můj účet na Twitteru, jeho prohlížeč použije požadavek GET k načtení dat ze serverů twitter.com. Kontrola požadavků GET v souboru .cap nezíská uživatelská jména ani e-mailové adresy, ale umožní hackerovi vytvořit si komplexní profil zvyků při procházení webových stránek.

Chcete-li filtrovat data požadavku GET, zadejte do panelu filtru zobrazení následující řádek:

Http.request.method == "GET"

Mnoho webových stránek přidává na konec svých adres URL .html nebo .php. Může to být indikátor toho, že si web prohlíží někdo v síti Wi-Fi.

Může být užitečné odfiltrovat požadavky GET související s CSS a fonty, protože tyto typy požadavků probíhají na pozadí při procházení internetu. Chcete-li filtrovat obsah CSS, použijte tento filtr Wireshark:

Http.request.method == "GET" && !(http.request.line odpovídá "css")

Zde && doslova znamená „a“. Vykřičník (!) zde znamená „ne“, takže Wireshark má pokyn zobrazovat pouze požadavky GET a nezobrazovat ty řádky požadavků HTTP, které se jakýmkoli způsobem shodují s css. Tento řádek úspěšně odfiltruje veškeré zbytečné informace spojené s běžnými webovými zdroji.

Kliknutím na jeden z těchto řádků k prozkoumání dat HTTP získáte podrobnější informace.

Vidíme, že cíl používá počítač se systémem Windows, jehož uživatelským agentem je prohlížeč Chrome. Pokud jde o průzkum hardwaru, jsou takové informace velmi cenné. Hackeři nyní mohou s vysokou mírou jistoty generovat pro tohoto uživatele nejvhodnější užitečné zatížení, specifické pro použitý operační systém Windows.

Pole „Referer“ nám říká, jakou stránku si uživatel prohlížel bezprostředně před zobrazením stránky tomsitpro.com. To s největší pravděpodobností znamená, že našli článek „white hat hacker kariéra“ prostřednictvím vyhledávacího dotazu na duckduckgo.com.

Pole „Referrer“ obsahující místo obvyklého Google DuckDuckGo by mohlo znamenat, že tento uživatel je odpovědný za své soukromí, protože Google je známý svými agresivními zásadami, které poškozují jeho zákazníky. To jsou informace, které hackeři zohlední při vytváření cíleného užitečného zatížení.

3. Vyhledejte data DNS

Ve výchozím nastavení bude šifrovaný internetový provoz odesílán na port 443. Možná si myslíte, že pro lepší pochopení toho, jaké stránky jsou prohlíženy, by bylo dobré použít filtr zobrazení tcp.port == 443, ale obvykle se zobrazuje jako nezpracovaná IP adresy v cíli sloupce, což není příliš vhodné pro rychlou identifikaci domén. Ve skutečnosti je efektivnější způsob, jak identifikovat webové stránky, které odesílají a přijímají šifrovaná data, filtrovat dotazy DNS.

Systém DNS (Domain Name System) se používá k překladu běžných názvů webových stránek do strojově čitelných IP adres, jako je https://104.193.19.59. Když navštívíme doménu, jako je google.com, náš počítač převede lidsky čitelný název domény na IP adresu. K tomu dochází pokaždé, když používáme název domény při procházení webových stránek, odesílání e-mailů nebo online chatování.

Analýza souboru .cap pro dotazy DNS dále pomůže hackerům porozumět, které stránky jsou často navštěvovány lidmi připojenými k tomuto routeru. Hackeři mohou vidět názvy domén patřících webům, které odesílají a přijímají šifrovaná data na tyto weby nebo z nich, jako je Facebook, Twitter a Google.

Chcete-li filtrovat data DNS, zadejte do pole filtru zobrazení následující příkaz:

Pohled na dotazy DNS nám může poskytnout zajímavé informace. Jasně vidíme, že tento uživatel procházel cestovní weby, jako jsou expedia.com a kayak.com. To může znamenat, že brzy odjede na delší dobu na dovolenou.

Tato data jsou zašifrována, aby se hackeři nemohli dozvědět informace o letu nebo podrobnosti o odletu, ale použití těchto informací k odesílání phishingových zpráv může hackerovi pomoci se sociálním inženýrstvím uživatele k odhalení osobních nebo finančních informací.

Pokud jsou například detekovány dotazy DNS na web konkrétní banky, hackeři by mohli podvrhnout e-mail z této banky a přimět uživatele k provedení velké transakce kreditní kartou Expedia. Falešný e-mail může také obsahovat přesné informace o cíli, odkaz na falešnou bankovní stránku (kontrolovanou hackery) atd.

Jak chránit osobní údaje před hackery

Všechny osobní údaje nalezené v souboru .cap vypadají na první pohled docela nevinně. Ale po analýze několika balíčků jsme se dozvěděli skutečné jméno, přihlašovací jméno, heslo, e-mailovou adresu, domácí adresu, telefonní číslo, výrobce hardwaru, operační systém, prohlížeč, zvyklosti při procházení určitých webových stránek a mnoho dalšího.

Všechna tato data byla shromážděna i bez připojení k routeru. Uživatelé neměli možnost ani vědět, že se jim to stalo. Všechna tato data mohou útočníci využít ke spuštění komplexního a vysoce cíleného hacku proti společnostem nebo jednotlivcům.

Mějte prosím na paměti, že všechny osobní údaje uvedené v tomto článku jsou dostupné také poskytovatelům internetových služeb (ISP). Čtenáři by si měli uvědomit, že DPI provádějí ISP každý den. Abyste se před tím ochránili:

• Používejte silnější hesla. Provádění hrubé síly k prolomení lehkých hesel je hlavní metodou hackerů, jak získat přístup k Wi-Fi routerům.
• Použijte VPN. Při použití šifrovaného spojení mezi vámi a poskytovatelem VPN nebudou všechna data, která jsme našli v tomto článku, k dispozici hackerům. Pokud se však poskytovatel VPN přihlásí nebo provede DPI, pak by všechna data byla také snadno přístupná hackerům.
• Použijte Tor. Na rozdíl od VPN je síť Tor postavena na jiném modelu zabezpečení, který nepřenáší naše data do jediné sítě nebo ISP.
• Použijte SSL/TLS. Transport Layer Security – Transport Layer Security (HTTPS) zašifruje váš webový provoz mezi vaším prohlížečem a webem. Nástroje jako , mohou pomoci zašifrovat veškerý provoz vašeho webového prohlížeče.

Odmítnutí odpovědnosti: Tento článek je napsán pouze pro vzdělávací účely. Autor nebo vydavatel tento článek nepublikoval pro škodlivé účely. Pokud by čtenáři chtěli použít informace k osobnímu prospěchu, autor ani vydavatel nenesou odpovědnost za žádnou újmu nebo způsobenou škodu.

Nejsem moc dobrý v publikování na téma legislativy a „papírové“ bezpečnosti, tak se zkusím v jiném žánru – pojďme se bavit o praktické bezpečnosti. Tématem dnešního příspěvku bude nebezpečí používání cizích Wi-Fi sítí.
Myslím, že mnoho odborníků již toto téma zná, ale možná v tomto článku najdou i něco nového pro sebe.

Začněme konverzaci s otevřenými Wi-Fi sítěmi, které mnozí tolik milují pro absenci hesel, dostupnost na mnoha veřejných místech a obvykle dobrou rychlost internetu (ve srovnání s přístupem přes mobilní sítě). Otevřené sítě jsou však plné velkého nebezpečí - veškerý provoz doslova „pluje ve vzduchu“, neexistuje žádné šifrování ani ochrana před zachycením. Každý uživatel bez speciálních znalostí může pomocí hotových programů zachytit a analyzovat veškerý váš provoz.

Podívejme se, jak to funguje – pro demonstraci jsem nastavil svůj domácí přístupový bod do režimu otevřené sítě:

Poté jsem se k této síti připojil z notebooku a z tabletu Android jsem na tablet nainstaloval aplikaci Intercepter-NG, která je dostupná i pro Windows. Aplikace vyžaduje práva superuživatele, po spuštění vás úvodní okno vyzve ke kontrole počítačů dostupných v oblasti viditelnosti:

Po označení svého notebooku (IP 192.168.0.101) přejdu na další obrazovku a zahájím zachycování paketů. Poté na svém notebooku otevřu Yandex:

Čichač s jistotou zachytil otevírání stránek, a pokud přejdete na kartu s obrázkem cookie, můžete si prohlédnout seznam všech mých souborů cookie, které můj prohlížeč na notebooku odeslal a přijal při procházení stránek. Současně kliknutím na kterýkoli z řádků Intercepter-NG otevře prohlížeč a vloží zachycené soubory cookie, takže aniž byste zachytili okamžik autorizace oběti na stránce zájmu, můžete vstoupit do jeho otevřené relace. Tento typ útoku se nazývá „session hijacking“ – „kradení“ relace.

V praxi jsem tedy demonstroval, že v otevřené Wi-Fi síti v zásadě žádná ochrana neexistuje. Ale název tohoto příspěvku říká „cizí“ sítě Wi-Fi, nikoli „otevřené“. Přejděme k dalšímu aspektu bezdrátového zabezpečení – zachycování provozu uvnitř uzavřené sítě. Změnil jsem konfiguraci routeru povolením WPA2 pomocí předem sdíleného klíče (tento typ ochrany sítě Wi-Fi se používá u 80 % přístupových bodů):

Znovu se připojím k síti z notebooku a tabletu a znovu spustím Intercepter-NG - při skenování znovu vidí notebook - vyberu jej a spustím odposlech provozu, paralelně z notebooku jdu na několik stránek s HTTP-Basic autorizací, a na tabletu vidím toto:

Provoz byl úspěšně zachycen – „útočník“ nyní zná mé heslo do webového rozhraní routeru a na jiný web. Kromě toho stejně funguje únos relace – koneckonců veškerý provoz je zachycen.
Při použití WEP a WPA je vše velmi jednoduché, k šifrování různých zařízení ve stejné síti se používají stejné klíče. Protože „útočník“ také zná tento klíč a sedí ve stejné síti, stále zachycuje veškerý provoz a dešifruje jej pomocí známého klíče.
Použil jsem WPA2, ve kterém byl tento problém vyřešen a klienti používají různé šifrovací klíče, ale obsahuje vážnou zranitelnost a při znalosti autorizačního klíče a zachycení určité sady paketů můžete odhalit tzv. Pairwise Transient Key - klíč který šifruje provoz pro provoz, který nás zajímá klienta.

Jak ukázala praxe, problém lze částečně vyřešit povolením možnosti AP Isolation, kterou podporuje většina moderních Wi-Fi routerů:

Nejedná se však o všelék, možnost odposlechu pomocí Intercepter-NG pro Android zmizí, ale funkčnější nástroje, například Airodump-ng, nadále fungují. Rozdíl ve fungování těchto utilit a důvody, proč Intercepter-NG nefunguje, jsem podrobněji nestudoval s odložením tohoto tématu na později, navíc nelze zjistit, zda je povolena izolace na síti, do které připojujete (například v kavárně nebo na akci) bez praktické kontroly.

Přišli jsme na nebezpečí používání sítí Wi-Fi jiných lidí, ale otázka ochrany zůstává. Metod je poměrně dost, hlavní myšlenkou je dodatečné šifrování veškerého provozu a metod implementace je dost - striktní používání SSL všude, kde je to možné (HTTPS, SSH, SFTP, SSL-POP, IMAP4-SSL atd.), připojení přes VPN, použití distribuované šifrovací sítě, jako je TOR a tak dále. Toto téma je poměrně rozsáhlé a zaslouží si samostatný příspěvek.

Chcete-li chránit svou síť Wi-Fi a nastavit heslo, musíte vybrat typ zabezpečení bezdrátové sítě a metodu šifrování. A v této fázi má mnoho lidí otázku: který si vybrat? WEP, WPA nebo WPA2? Osobní nebo podnikový? AES nebo TKIP? Jaká nastavení zabezpečení nejlépe ochrání vaši síť Wi-Fi? Na všechny tyto otázky se pokusím odpovědět v rámci tohoto článku. Zvažme všechny možné metody ověřování a šifrování. Pojďme zjistit, které parametry zabezpečení sítě Wi-Fi jsou nejlépe nastaveny v nastavení routeru.

Vezměte prosím na vědomí, že typ zabezpečení nebo autentizace, síťová autentizace, zabezpečení, metoda ověřování jsou stejné.

Typ ověřování a šifrování jsou hlavními nastaveními zabezpečení bezdrátové sítě Wi-Fi. Myslím, že nejprve musíme zjistit, jaké to jsou, jaké existují verze, jejich schopnosti atd. Poté zjistíme, jaký typ ochrany a šifrování zvolit. Ukážu vám to na příkladu několika oblíbených routerů.

Vřele doporučuji nastavit heslo a chránit vaši bezdrátovou síť. Nastavte maximální úroveň ochrany. Pokud necháte síť otevřenou, bez ochrany, může se k ní připojit kdokoli. To je především nebezpečné. A také další zatížení vašeho routeru, pokles rychlosti připojení a nejrůznější problémy s připojením různých zařízení.

Ochrana Wi-Fi sítě: WEP, WPA, WPA2

Existují tři možnosti ochrany. Samozřejmě nepočítám "Otevřeno" (Bez ochrany).

• WEP(Wired Equivalent Privacy) je zastaralá a nezabezpečená metoda ověřování. Jde o první a nepříliš úspěšný způsob ochrany. Útočníci mohou snadno přistupovat k bezdrátovým sítím, které jsou chráněny pomocí WEP. Tento režim není potřeba nastavovat v nastavení vašeho routeru, i když tam je (ne vždy) přítomen.
• WPA(Wi-Fi Protected Access) je spolehlivý a moderní typ zabezpečení. Maximální kompatibilita se všemi zařízeními a operačními systémy.
• WPA2– nová, vylepšená a spolehlivější verze WPA. K dispozici je podpora pro šifrování AES CCMP. V tuto chvíli je to nejlepší způsob ochrany Wi-Fi sítě. To je to, co doporučuji používat.

WPA/WPA2 může být dvou typů:

• WPA/WPA2 – osobní (PSK)- Toto je obvyklá metoda ověřování. Když potřebujete pouze nastavit heslo (klíč) a poté jej použít pro připojení k síti Wi-Fi. Pro všechna zařízení se používá stejné heslo. Samotné heslo je uloženo v zařízeních. Kde si jej můžete prohlédnout nebo v případě potřeby změnit. Doporučuje se použít tuto možnost.
• WPA/WPA2 – Enterprise- složitější metoda, která se používá především k ochraně bezdrátových sítí v kancelářích a různých provozovnách. Umožňuje vyšší úroveň ochrany. Používá se pouze v případě, že je k autorizaci zařízení nainstalován server RADIUS (který rozdává hesla).

Myslím, že jsme přišli na způsob ověřování. Nejlepší je použít WPA2 – Personal (PSK). Pro lepší kompatibilitu, aby nebyly problémy s připojením starších zařízení, můžete nastavit smíšený režim WPA/WPA2. Toto je výchozí nastavení na mnoha směrovačích. Nebo označeno jako „Doporučeno“.

Šifrování bezdrátové sítě

Existují dva způsoby TKIP A AES.

Doporučuje se používat AES. Pokud máte v síti starší zařízení, která nepodporují šifrování AES (ale pouze TKIP) a budou problémy s jejich připojením k bezdrátové síti, nastavte ji na „Automaticky“. Typ šifrování TKIP není podporován v režimu 802.11n.

V každém případě, pokud nainstalujete striktně WPA2 - Personal (doporučeno), pak bude k dispozici pouze šifrování AES.

Jakou ochranu bych měl nainstalovat na router Wi-Fi?

Použití WPA2 – osobní se šifrováním AES. Dnes je to nejlepší a nejbezpečnější způsob. Takto vypadá nastavení zabezpečení bezdrátové sítě na routerech ASUS:

A takto vypadají tato nastavení zabezpečení na routerech od TP-Linku (se starým firmwarem).

Můžete vidět podrobnější pokyny pro TP-Link.

Pokyny pro ostatní routery:

Pokud nevíte, kde na vašem routeru najít všechna tato nastavení, napište do komentářů, pokusím se vám to říct. Jen nezapomeňte specifikovat model.

Vzhledem k tomu, že starší zařízení (Wi-Fi adaptéry, telefony, tablety atd.) nemusí podporovat WPA2 - Personal (AES), v případě problémů s připojením nastavte smíšený režim (Auto).

Často si všímám, že po změně hesla nebo jiného nastavení zabezpečení se zařízení nechtějí připojit k síti. Počítačům se může zobrazit chyba „Nastavení sítě uložená v tomto počítači nesplňují požadavky této sítě.“ Zkuste vymazat (zapomenout) síť na zařízení a znovu se připojit. Napsal jsem, jak to udělat ve Windows 7. Ale ve Windows 10 potřebujete .

Heslo (klíč) WPA PSK

Bez ohledu na to, jaký typ zabezpečení a metodu šifrování zvolíte, musíte nastavit heslo. Také známý jako klíč WPA, bezdrátové heslo, klíč zabezpečení sítě Wi-Fi atd.

Délka hesla je od 8 do 32 znaků. Můžete použít písmena latinské abecedy a čísla. Také speciální znaky: - @ $ # ! atd. Žádné mezery! V hesle se rozlišují velká a malá písmena! To znamená, že „z“ a „Z“ jsou různé znaky.

Nedoporučuji nastavovat jednoduchá hesla. Je lepší vytvořit si silné heslo, které nikdo neuhodne, i když se hodně snaží.

Je nepravděpodobné, že si tak složité heslo zapamatujete. Bylo by fajn si to někam zapsat. Není neobvyklé, že se hesla Wi-Fi jednoduše zapomenou. Co dělat v takových situacích jsem psal v článku: .

Pokud potřebujete ještě větší zabezpečení, můžete použít vazbu MAC adresy. Pravda, nevidím v tom potřebu. WPA2 - Personal spárovaný s AES a komplexní heslo je docela dost.

Jak chráníte svou Wi-Fi síť? Pište do komentářů. No, ptej se :)

Potřeba vytvořit virtuální hotspot na notebooku může vzniknout z různých důvodů. Pro některé je důležité sdílet přístup k internetu přes 3G nebo WiMax modem pro další bezdrátová zařízení. A někdo chce vytvořit falešný přístupový bod (Rogue AP) a nalákat klienty na jejich provoz. Málokdo však ví, že tato možnost je zabudována do samotného systému Windows!

S příchodem pokrytí 3G sítí od mobilních operátorů jsem začal stále častěji využívat mobilní internet. Pokud pracujete přes USB modem, lze často dosáhnout celkem snesitelného připojení. Navíc jsou taková zařízení velmi levná a prodávají se kompletní s velmi rozumnými tarify, které vás nezruinují hned první den používání. Jedním z problémů, ve kterých jsem byl zmatený po zakoupení 3G modemu, bylo uspořádání hotspotu z mého notebooku, abych mohl distribuovat mobilní internet do jiných bezdrátových zařízení přes Wi-Fi.

Mac OX X

V systému Mac OS X pravděpodobně nebude možné, aby standardní adaptér fungoval v režimu Infrastructure. Ale můžete sdílet internet pro jednoho jediného klienta, který se připojuje k MacBooku přes bezdrátovou síť, aniž by musel jít do konzole.

Jak si usnadnit život?

Abychom tedy získali plnohodnotný hotspot, potřebovali jsme jen pár příkazů v konzole a pár kliknutí myší. Ale musím vás zklamat: okamžitě po restartu nebo odhlášení ze systému (i do režimu spánku) bude nutné všechny operace provést znovu. Je to nepohodlné a únavné. Naštěstí se našlo mnoho vývojářů, kteří si přečetli článek MSDN o Wireless Hosted Network a implementovali nástroje, aby bylo nastavení softwarového hotspotu jednodušší a srozumitelnější.

Doporučuji dva: Virtual Router a Connectify. Oba jsou zdarma a umožňují vám vybrat připojení prostřednictvím pohodlného rozhraní GUI, které chcete sdílet pomocí softwarového přístupového bodu, a poté dvěma kliknutími zvednout hotspot. V tomto případě nemusíte pokaždé zadávat SSID a síťový klíč: vše bude fungovat i po restartu.

Virtual Router poskytuje minimum funkčnosti a nebyl dlouho vyvíjen, ale je distribuován jako open source (dobrý příklad použití odpovídajících API volání systému). Toto je v podstatě grafická verze příkazů netsh.

Utilita Connectify je mnohem propracovanější. Aby bylo možné implementovat další funkce, které nejsou poskytovány standardními možnostmi systému Windows, musí dokonce do systému nainstalovat virtuální zařízení a ovladače. A nese to ovoce. Například nemusíte vázat typ šifrování WPA2-PSK/AES na pevnou bezdrátovou hostovanou síť: chcete-li, vytvořte alespoň otevřený hotspot. To je důležité zejména pro klonování parametrů stávající bezdrátové sítě (například pro rozšíření jejího dosahu nebo vytvoření falešného přístupového bodu). Kromě toho má Connectify vestavěný server UPnP a umožňuje vám sdílet vaše připojení VPN (včetně OpenVPN). S takovými možnostmi váš virtuální hotspot určitě najde uplatnění.

Abychom ale snáze pochopili, v jakých situacích je potřeba, připravili jsme pro vás výběr těch nejoblíbenějších pouzder. Můžete si o nich přečíst v postranním panelu.