Небезпека користування чужими Wi-Fi-мережами. Бездротові мережі: класифікація, організація, принцип роботи Отримання повної інформації про wifi мережі

епроводова Wi-Fi мережа Тамбовського державного технічного університету організована в інфраструктурному режимі. Це означає, що комп'ютери підключаються до бездротової точки доступу, які, у свою чергу, з'єднані з провідною мережею університету.

Мережеве ім'я бездротової мережі університету (SSID)-TSTU.

Для безпеки бездротової мережі університету точки доступу налаштовані на застосування:

стандарту аутентифікації 802.11i (WPA2 - Wi-Fi Protected Access 2) в корпоративному режимі Enterprise; алгоритму шифрування AES (Advanced Encryption Standard); протоколу PEAP-MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol версії 2).

УВАГА!

Допускається робота лише двох пристроїв під одним логіном! Інші пристрої, що працюють під одним логіном, БЛОКУЮТЬСЯ!

Щоб дізнатися, чи конкретна модель адаптера підтримує стандарт WPA2, зверніться на веб-сайт виробника. Ця рекомендація є особливо актуальною для пристроїв, випущених до 2006 року.

Якщо на комп'ютері не встановлено мережний адаптер або адаптер не підтримує стандарт WPA2, підключення до бездротової мережі університету буде неможливим.

Виробник може надати програмне забезпечення для керування адаптером. Однак деякі операційні системи мають вбудований інтерфейс керування мережними адаптерами.

• Windows 7 Професійна;
• Windows XP Professional Service Pack 3

Windows 7 Професійна

Перевірка наявності у комп'ютері мережного адаптера

Щоб перевірити наявність безпроводового мережного адаптера в комп'ютері, відкрийте компонент панелі керування «Мережні підключення»:

Пуск -> Панель управління -> Мережа та Інтернет -> Перегляд стану мережі та завдань -> Зміна параметрів адаптера

Бездротовий адаптер має напис «wlan».

Щоб відкрити вікно "Мережеві підключення", на цьому комп'ютері.

Щоб додати бездротову мережу до списку доступних мереж, відкрийте компонент панелі керування «Керування бездротовими мережами»:

Пуск -> Панель управління -> Мережа та Інтернет -> Перегляд стану мережі та завдань -> Управління бездротовими мережами

У вікні клацніть по кнопці «Додати»:

Потім виберіть «Створити профіль мережі вручну»:

Заповніть інформацію про бездротову мережу, як показано на малюнку нижче:

Відкриється вікно успішного додавання бездротової мережі.

Налаштування параметрів підключення

Щоб налаштувати параметри підключення, натисніть кнопку «Змінити параметри підключення» у наведеному вище вікні під час додавання бездротової мережі або відкрийте вікно «Властивості бездротової мережі», вибравши рядок «Властивості»у контекстному меню бездротової мережі:

На вкладках «Підключення» та «Безпека» вікна «Властивості бездротової мережі» встановіть параметри підключення, як показано нижче.

Поставте галочку «Запам'ятовувати мої облікові дані для цього підключення при кожному вході в систему», якщо комп'ютер використовується одним користувачем. У разі використання комп'ютера декількома користувачами налаштування краще вимкнути.

Налаштуйте властивості захищеного EAP, викликавши відповідне вікно натисканням кнопки «Параметри»на вкладці «Безпека» у вікні «Властивості бездротової мережі»:

Підтверджуйте вибір параметрів кнопкою OK.

Мережа буде додана до списку мереж і стане доступною для підключення, коли комп'ютер перебуватиме в зоні дії мережі.

Підключення до бездротової мережі

У вікні буде показано список мереж, у радіус дії яких потрапляє комп'ютер:

У списку доступних бездротових мереж можна побачити символ , який відображає рівень сигналу для кожної мережі. Чим більше смужок, тим сильніший сигнал. Сильний сигнал (п'ять смужок) означає, що бездротова мережа поруч чи перешкод немає. Для підвищення рівня сигналу можна перенести комп'ютер ближче до точки доступу.

Щоб підключитися до бездротової мережі, натисніть на кнопку «Підключення»:

Під час підключення будуть показані такі повідомлення:

Для входу до мережі університету необхідно у запропонованому вікні заповнити дані облікового запису користувача, тобто. ввести логін та пароль.

Наприклад, нижче показано заповнене вікно для користувача з обліковим записом U0398:

Після успішного підключення у списку бездротових мереж буде показано «Підключено», а в області сповіщень з'явиться піктограма .

Якщо підключення не вдалося, перевірте налаштування параметрів підключення ще раз. Для цього відкрийте вікно «Властивості бездротової мережі», вибравши рядок «Властивості» у контекстному меню бездротової мережі:

Для відключення від мережі клацніть по кнопці «Вимкнення»:

Додаткову інформацію можна отримати у центрі довідки та підтримки операційної системи Windows 7 Професійна.

Windows XP Professional Service Pack 3

Для підключення до бездротової мережі університету необхідно виконати такі дії:

1. Перевірити наявність безпроводового мережного адаптера на комп'ютері.
2. Додати бездротову мережу до списку доступних мереж.
3. Налаштувати параметри підключення.
4. Підключитись до бездротової мережі.

Перевірка наявності в комп'ютері бездротового мережного адаптера

Для підключення комп'ютера до бездротової мережі в комп'ютері необхідно встановити бездротовий мережний адаптер.

Для перевірки наявності в комп'ютері бездротового мережного адаптера необхідно відкрити «Мережеві підключення»: клацніть по кнопці Пуск, Виберіть Налаштування, потім Панель управління, знайдіть розділ "Мережеві підключення":

Пуск -> Налаштування -> Панель управління -> Мережеві підключення

Тут буде перераховано адаптери, встановлені в комп'ютері. Бездротовий мережний адаптер має напис «Бездротове з'єднання».

Якщо пристрій вимкнено, необхідно увімкнути його. Для цього правою кнопкою миші викличте контекстне меню та виберіть «Увімкнути», або клацніть мишею за завданням «Увімкнення мережного пристрою».

Щоб увімкнути цей пристрій, необхідно бути адміністраторомна цьому комп'ютері.

Коли мережний адаптер увімкнено, в області сповіщень відображається .

Додавання бездротової мережі до списку доступних мереж

Щоб додати бездротову мережу до списку доступних мереж, необхідно відкрити «Мережеві підключення»: клацніть по кнопці Пуск, Виберіть Налаштування, потім Панель управління, знайдіть розділ "Мережеві підключення":

Правою кнопкою миші викличте контекстне меню для бездротового з'єднання та виберіть рядок «Властивості», або клацніть мишею по задачі «Зміна налаштувань підключення».

Виявлення вразливих пристроїв та служб у цільовій мережі, при цьому не залишаючи за собою жодних слідів, може бути важким завданням, оскільки перш ніж проводити подальші дослідження хакери спочатку атакують маршрутизатор. Однак, є спосіб потай розшифрувати і переглянути чиюсь Wi-Fi-активність, не підключаючись при цьому до їх бездротової мережі.

Якщо подивитися спочатку на те, що хакери роблять з маршрутизаторами, то зазвичай це різні брутфорс-атаки для WPA-рукостискань або фішинг Wi-Fi паролів. Як тільки вони одержують облікові дані, вони відразу починають досліджувати скомпрометовану мережу за допомогою різних інструментів та методів.

Сканери портів створюють сильний шум у бездротових мережах. Атаки типу «Людина всередині» можуть бути занадто агресивними і попередять користувачів і адміністраторів про присутність в мережі хакера. Маршрутизатори зберігають інформацію про кожний пристрій, який підключається до мережі. Кожна дія, яку ви робите при підключенні до мережі, може якимось чином призвести до того, що на скомпрометованому маршрутизаторі вас виявлять.

Тому найкраще взагалі не підключатися до Wi-Fi-маршрутизатору. У цій статті ми докладно розглянемо, як хакери перехоплюють пакети (у міру їхньої передачі маршрутизатору або від нього) та розшифровують WPA2-трафік у режимі реального часу. Ця інформація важлива для тих, хто хоче стати професіоналом в галузі IT-безпеки.

Як працює така атака

Дані вирушають на маршрутизатор і з нього ноутбуками та смартфонами через зашифровані радіохвилі. Ці радіохвилі передають дані «по повітрю». Дані не видно людському оку, але можуть бути зібрані з використанням таких засобів, як Airodump-ng. Зібрані дані можуть бути проаналізовані з використанням Wireshark.

Wireshark є передовим і широко використовуваним мережевим аналізатором у світі. Це дозволяє користувачам бачити, що відбувається в мережах на мікроскопічному рівні. Тому Wireshark є засобом перевірки мереж, який використовують у комерційних та некомерційних організаціях, урядових установах та навчальних закладах.

Одна з чудових функцій Wireshark дозволяє хакерам розшифровувати та переглядати активність маршрутизаторів, що передається повітрям у вигляді простого тексту, і це саме те, що ми розглянемо в цій статті.

Крок 1. Знайдіть цільову мережу

Airodump-ng доступний у всіх популярних дистрибутивах Linux і працюватиме на віртуальних машинах та на Raspberry Pi. Ми будемо використовувати Kali Linux для збору даних, що належать тому Wi-Fi маршрутизатору, який ми контролюємо. Якщо ви ніколи раніше не використовували Airdodump-ng, ви можете дізнатися основи роботи з ним з наших статей на сайті.

Щоб увімкнути режим моніторингу на бездротовому адаптері, використовуйте таку команду:

Airmon-ng start wlan0

Знайдіть цільову мережу. Щоб переглянути всі доступні поблизу мережі Wi-Fi, скористайтеся командою нижче. Як приклад ми орієнтуватимемося на наш маршрутизатор «Null Byte».

Airodump-ng wlan0mon

Зверніть увагу на BSSID, CH та ESSID. Ця інформація потрібна для збору даних, що передаються на маршрутизатор.

Крок 2. Збір Wi-Fi даних

Щоб розпочати збір даних, що належать до цільової мережі, введіть команду нижче, замінивши відповідні частини на ті, з якими ви працюєте:

Airodump-ng --bssid MacАдресиЦілі --essid Ім'яРоутера -c НомерКаналу -w КудиЗберегтиДані wlan0mon

Ми збережемо зібрані дані до каталогу /tmp у файл з ім'ям "null_byte", використовуючи аргумент -w. Airodump-ng автоматично додасть номер у кінець імені файлу, тому він буде збережений у каталозі /tmp як «null_byte-01.cap».

Ось що очікувати від працюючого терміналу Airodump-ng:

Найголовніша річ, яку потрібно уважно розглянути – WPA-рукостискання у правому верхньому кутку. Wireshark має успішно завершити рукостискання, щоб пізніше можна було розшифрувати Wi-Fi-трафік. Для примусового вимкнення пристроїв від мережі можна використовувати Aireplay-ng. Виконання цього завдання потребує повторного підключення пристроїв до мережі та успішного завершення WPA-рукостискання, але це може викликати підозри у користувачів, вже підключених до мережі.

Весь той час, поки термінал Airodump-ng працює, дані продовжуватимуть накопичуватися. Термінал Airodump-ng може працювати протягом кількох годин чи навіть днів. У нашому демонстраційному сеансі Airodump-ng ми дозволили збирання пакетів протягом 15 хвилин. Час, протягом якого працював Airodump-ng, можна побачити у верхньому лівому куті терміналу.

Зверніть увагу на стовпець #Data у наведеному вище скріншоті. Це число показує, скільки пакетів даних було зібрано. Чим вище це число, тим більша ймовірність того, що хакери виявлять конфіденційну інформацію, яка може використовуватися для повороту в мережу або подальшої компрометації мети.

Коли буде зібрано достатню кількість даних, сеанс Airodump-ng можна буде зупинити, натиснувши Ctrl + C. Тепер у каталозі /tmp буде файл «null_byte-01.cap» (або файл з тим ім'ям, яке ви для нього вибрали). Цей файл.cap потрібно буде відкрити за допомогою Wireshark.

Крок 3. Встановлення останньої версії Wireshark

За замовчуванням Wireshark увімкнено майже у всі версії Kali. Є кілька версій, які не включають Wireshark, тому коротко розповімо, як встановити його у Kali.

Насамперед запустіть команду apt-get update для того, щоб переконатися, що остання версія Wireshark доступна для завантаження. Відкрийте термінал та введіть команду нижче:

Sudo apt-get update

Потім для встановлення Wireshark використовуйте таку команду:

Sudo apt-get install wireshark

Між двома командами можна використовувати символи &&, як показано на скріншоті вище. Це дасть вказівку терміналу спочатку синхронізувати індекс пакетів із репозиторіями Kali. А потім, після того, як оновлення пройде успішно, вона встановить Wireshark.

Крок 4. Запустіть Wireshark

Коли це буде зроблено, Wireshark можна буде знайти в категорії Sniffing & Spoofing в меню Програми. Щоб запустити Wireshark, просто натисніть на іконку.

Крок 5. Конфігурація Wireshark для розшифровування даних

Щоб налаштувати Wireshark на дешифрування даних, знайдених в.cap-файлі, клацніть кнопку «Edit» у верхньому рядку меню, потім перейдіть в «Preferences» і розгорніть меню «Protocols».

Потім прокрутіть вниз і виберіть "IEEE 802.11". Необхідно встановити прапорець Enable decryption. Потім натисніть кнопку «Edit», щоб додати ключі дешифрування для певної Wi-Fi-мережі.

З'явиться нове вікно. Тут потрібно буде вказати пароль та ім'я маршрутизатора. Облікові дані потрібно вводити, розділивши пароль та ім'я маршрутизатора двокрапкою (наприклад, password: router_name).

Спочатку оберіть Key type (тип ключа) "wpa-pwd". Цей тип ключа потрібний для встановлення пароля WPA у текстовому вигляді. Пароль від мережі "Null Byte" Wi-Fi - це довгий кодований рядок, тому ми ввели "bWN2a25yMmNuM2N6amszbS5vbmlvbg ==: Null Byte" у стовпці Key. Іншим прикладом може бути "Wonderfulboat555: NETGEAR72", де "Wonderfulboat555" є паролем до маршрутизатора з ім'ям "NETGEAR72".

Коли ви зробите це, натисніть «OK», щоб зберегти облікові дані. Тепер Wireshark автоматично почне розшифровувати дані, що належать Wi-Fi мережі Null Byte, коли імпортується файл.cap.

Крок 6. Виконання глибокого аналізу пакетів (DPI)

Щоб імпортувати файл .cap у Wireshark, клацніть у меню «Файл», а потім натисніть «Відкрити». Файл.cap можна знайти у директорії /tmp. Виберіть її, потім натисніть «Відкрити». Залежно від того, як довго термінал Airodump-ng збирав дані, для імпорту та дешифрування всіх даних Wireshark може знадобитися кілька хвилин.

Після того, як.cap-файл відкриється у Wireshark, ви можете побачити тисячі рядків необробленого веб-трафіку. Це видовище може бути трохи страшним. На щастя, Wireshark має фільтри відображення (Display Filters), які можна використовувати для керування та фільтрації пакетів, які вам не потрібні. В Інтернеті є багато шпаргалок за такими фільтрами, які допомагають користувачам Wireshark знаходити релевантні та конфіденційні дані. Але ми сьогодні розглянемо кілька найбільш корисних фільтрів відображення, які хакери використовують для перевірки активності мережі.

1. Пошук даних POST-запитів

HTTP-запит POST часто використовується при завантаженні файлу на сервер або передачі логінів та паролів на веб-сайтах. Коли хтось входить до Facebook або публікує коментар у нижній частині цієї статті, це робиться за допомогою запиту POST.

Дані POST в.cap-файлі, швидше за все, містять дані, що найбільш компрометують і розкривають. Хакери можуть знайти імена користувачів (логіни), паролі, імена, домашні адреси, адреси електронної пошти, логі чатів і багато іншого. Щоб фільтрувати дані запитів POST, введіть рядок, зазначений нижче в панель фільтрів відображення:

Http.request.method == "POST"

У нашому прикладі ми передплатили випадковий веб-сайт, який знайшли в Інтернеті. Наївно вважати, що хтось запитуватиме електронною поштою на своїх улюблених новинних сайтах.

Якщо запити POST були знайдені в.cap-файлі, то стовпець Info відобразить, які рядки містять дані запитів POST. Подвійний клік за одним із рядків призведе до появи нового вікна Wireshark, що містить додаткову інформацію. Прокрутіть вниз і розгорніть список «HTML Form» для аналізу даних.

Проаналізувавши зібрані дані з одного цього запиту POST, ми виявили багато інформації, що належить якомусь користувачеві в мережі.

Зібрані дані включають ім'я, прізвище та адресу електронної пошти, які згодом можуть використовуватись для фішингу та цільових хаків.

Крім того, на веб-сайті є обов'язкове для заповнення поле для введення пароля, яке може бути додано до списків паролів або брутфорс-атак. Люди часто використовують паролі для кількох облікових записів. Звичайно, можливо, що пароль надасть зловмиснику доступ до Gmail-акаунту, який також можна знайти в даних запитів POST.

Також ми бачимо, що в цих даних є назва компанії, де, ймовірно, працює Крістофер Хаднагі. Ця інформація може використовуватися хакером для подальших заходів соціальної інженерії.

Прокрутивши дані POST-запиту трохи далі, з'являється ще більше цікавої інформації. Повна домашня адреса, поштовий індекс та номер телефону. Це може дати хакеру інформацію про те, до якого будинку належить даний Wi-Fi маршрутизатор, і номер телефону, який також може бути надалі використаний для соціальної інженерії, якщо хакер вирішить, наприклад, відправити підроблені SMS-повідомлення.

2. Пошук даних GET-запитів

HTTP-запит GET використовується для отримання або завантаження даних із веб-серверів. Наприклад, якщо хтось переглядає мій обліковий запис у Twitter, його браузер буде використовувати GET-запит для отримання даних з серверів twitter.com. Перевірка.cap-файлу на наявність GET-запитів не призведе до отримання імен користувачів (логінів) або адреси електронної пошти, але це дозволить хакеру розробити повний профіль звичок перегляду веб-сайтів.

Щоб відфільтрувати дані GET-запитів, введіть наступний рядок у панель фільтра відображення:

Http.request.method == "GET"

Багато веб-сайтів додають.html або.php до кінця URL-адрес. Це може бути індикатором веб-сайту, який переглядається кимось у Wi-Fi-мережі.

Можливо, було б корисно відфільтрувати GET-запити, пов'язані з CSS та шрифтами, оскільки ці види запитів проходять у фоновому режимі під час перегляду веб-сторінок в Інтернеті. Щоб відфільтрувати вміст CSS, використовуйте такий фільтр Wireshark:

Http.request.method == "GET" && !(http.request.line matches "css")

Тут && буквально означає "і". Знак оклику (!) тут означає «ні», тому Wireshark отримує вказівку відображати лише GET-запити і не відображати ті рядки HTTP-запитів, які відповідають css будь-яким чином. Цей рядок успішно відфільтровує будь-яку марну інформацію, пов'язану із звичайними веб-ресурсами.

Клікнувши на один із таких рядків для того, щоб провести дослідження HTTP-даних, ви отримаєте більш детальну інформацію.

Ми бачимо, що ціль використовує комп'ютер під керуванням Windows, у якого User-Agent відноситься до браузера Chrome. Щодо розвідки апаратної частини, то така інформація дуже цінна. Хакери тепер можуть з великим ступенем визначеності згенерувати корисне навантаження (payload), специфічне для операційної системи Windows.

Поле Referer повідомляє нам, який сайт користувач переглядав безпосередньо перед переглядом tomsitpro.com. Це, швидше за все, означає, що вони знайшли статтю «кар'єра хакера білошляпного» (white hat hacker career) через пошуковий запит на duckduckgo.com.

Поле Referrer, що містить DuckDuckGo замість звичного Google, може говорити про те, що цей користувач відповідально ставиться до своєї конфіденційності, оскільки Google відомий тим, що має агресивну політику, шкідливу для своїх клієнтів. Це та інформація, яку хакери враховуватимуть під час створення таргетованого корисного навантаження.

3. Пошук даних DNS

За замовчуванням зашифрований інтернет-трафік буде передаватися портом 443. Можна подумати, що для кращого розуміння того, які сайти проглядаються, добре було б використовувати фільтр відображення tcp.port == 443, але зазвичай це відображається у вигляді необроблених IP-адрес у стовпці призначення (destination), що дуже зручно для швидкого визначення доменів. Фактично, більш ефективним способом ідентифікації веб-сайтів, що надсилають та отримують зашифровані дані, є фільтрація DNS-запитів.

Система доменних імен (DNS) використовується для приведення звичайних імен веб-сайтів у машиночитані IP-адреси, такі як https://104.193.19.59. Коли ми відвідуємо якийсь домен, на кшталт google.com, наш комп'ютер перетворить зручне для людини ім'я домену на IP-адресу. Це відбувається щоразу, коли ми використовуємо доменне ім'я під час перегляду веб-сайтів, надсилання електронної пошти або чату в Інтернеті.

Аналіз.cap-файлу на предмет DNS-запитів додатково допоможе хакерам зрозуміти, які сайти часто відвідують люди, які підключилися до цього маршрутизатора. Хакери можуть бачити доменні імена, що належать веб-сайтам, які надсилають і отримують зашифровані дані на або з цих сайтів, як, наприклад, Facebook, Twitter та Google.

Щоб фільтрувати DNS-дані, введіть команду нижче у полі фільтра відображення:

Перегляд DNS-запитів може надати нам цікаву інформацію. Ми можемо чітко бачити, що користувач переглядав веб-сайти про подорожі, такі як expedia.com і kayak.com. Це може означати, що він незабаром поїде у відпустку на тривалий термін.

Ці дані шифруються, так що хакери не зможуть дізнатися інформацію про рейс або деталі вильоту, але використання цієї інформації для надсилання фішингових повідомлень може допомогти хакеру обробити користувача за допомогою соціальної інженерії та змусити розкрити особисту чи фінансову інформацію.

Наприклад, якщо будуть виявлені DNS-запити сайту конкретного банку, хакери можуть підробити електронний лист від цього банку і вимагати від користувача здійснення великої транзакції по кредитній картці Expedia. Підроблений лист може також містити точну інформацію про мету, посилання на підроблений банківський сайт (контрольований хакерами) і т.п.

Як захистити особисті дані від хакерів

На перший погляд, всі персональні дані, виявлені у файлі.cap, виглядають цілком безневинно. Але, проаналізувавши лише кілька пакетів, ми дізналися реальне ім'я, логін, пароль, адресу електронної пошти, домашню адресу, номер телефону, виробника обладнання, операційну систему, браузер, звички переглядати певні веб-сторінки та багато іншого.

Всі ці дані було зібрано навіть без підключення до маршрутизатора. Користувачі навіть не мали можливості дізнатися, що з ними це сталося. Всі ці дані можуть використовуватися зловмисниками для запуску складного та дуже таргетованого хаку проти компаній чи приватних осіб.

Майте на увазі, що вся особиста інформація, що розкривається в цій статті, також доступна інтернет-провайдерам (ISP). Читачі повинні знати, що DPI виконується інтернет-провайдерами щодня. Щоб захистити себе від цього:

• Використовуйте сильніші паролі. Проведення брутфорсу для зламування легких паролів – це основний метод хакерів для отримання доступу до Wi-Fi маршрутизаторів.
• Використовуйте VPN. Завдяки тому, що між вами та VPN-провайдером використовується шифроване з'єднання, всі дані, які ми виявили в цій статті, не потрапили б до хакерів. Однак, якщо VPN-провайдер реєструє або виконує DPI, всі дані також легко стали б доступні хакерам.
• Використовуйте Tor. На відміну від VPN, мережа Tor побудована на іншій моделі безпеки, яка не передає наші дані одній єдиній мережі або інтернет-провайдеру.
• Використовуйте SSL/TLS. Transport Layer Security - Протокол захисту транспортного рівня (HTTPS) шифруватиме ваш веб-трафік між вашим браузером та веб-сайтом. Такі інструменти, як , можуть допомогти зашифрувати весь трафік вашого веб-браузера.

Відмова від відповідальності: Ця стаття написана тільки для освітніх цілей Автор чи видавець не публікували цю статтю для шкідливих цілей. Якщо читачі хотіли б скористатися інформацією для особистої вигоди, то автор та видавець не несуть відповідальності за будь-яку заподіяну шкоду чи шкоду.

Публікації на тему законодавства та "паперової" безпеки у мене виходять не дуже добре, тому спробую себе в іншому жанрі – поговоримо про безпеку практичну. Темою сьогоднішнього посту буде небезпека користування чужими Wi-Fi-мережами.
Я думаю, багато фахівців вже знайомі з цією темою, але й вони, можливо, знайдуть у цій статті щось нове для себе.

Почнемо розмову з відкритих Wi-Fi мереж, так улюблених багатьма через відсутність паролів, доступність у багатьох публічних місцях і, як правило, непогану швидкість інтернету (якщо порівнювати з доступом по мобільних мережах). Але відкриті мережі таять у собі дуже велику небезпеку - весь трафік буквально "витає у повітрі", ніякого шифрування та захисту від перехоплення. Будь-який користувач без спеціальних знань за допомогою готових програм може перехопити та проаналізувати весь ваш трафік.

Давайте подивимося, як це відбувається - для демонстрації я перевів свою домашню точку доступу до режиму відкритої мережі:

Потім, я підключився до цієї мережі з ноутбука і з Android-планшета, на планшет я встановив додаток Intercepter-NG, він також доступний під Windows. Програма вимагає права супер-користувача, після запуску стартове вікно запрошує провести сканування доступних у зоні видимості комп'ютерів:

Відзначивши свій ноутбук (IP 192.168.0.101) – переходжу на наступний екран та запускаю перехоплення пакетів. Після цього на ноутбуці відкриваю Яндекс:

Сніффер впевнено відловив відкриття сторінок, а якщо перейти на вкладку із зображенням печива, то можна переглянути список усіх моїх Cookie-файлів, які мій браузер на ноутбуці передавав і отримував під час перегляду сайтів. При цьому натиснувши на будь-який із рядків Intercepter-NG відкриває браузер і підставляє перехоплені Cookie, таким чином навіть не відловивши момент авторизації жертви на сайті, що цікавить, можна увійти в його відкриту сесію. Даний тип атаки носить назву "session hijacking" - "викрадення" сесії.

Отже, я продемонстрував практично, що захист у відкритій Wi-Fi мережі відсутня в принципі. Але в заголовку цієї посади написано "чужих" Wi-Fi мереж, а не "відкритих". Перейдемо до іншого аспекту бездротової безпеки – перехоплення трафіку всередині закритої мережі. Я перенастроїв роутер, увімкнувши WPA2 з pre-shared ключем (такий тип захисту Wi-Fi мереж використовується в 80% точок доступу):

Знову підключаюся до мережі з ноутбука та планшета і знову запускаю Intercepter-NG – при скануванні він знову бачить ноутбук – вибираю його та запускаю перехоплення трафіку, паралельно з ноутбука заходжу на кілька сайтів з HTTP-Basic авторизацією, і ось що бачу на планшеті:

Трафік успішно перехоплений - "зловмисник" тепер знає мій пароль до веб-інтерфейсу роутера та ще одного сайту. Крім того, session hijacking також працює - адже перехоплюється весь трафік.
У разі використання WEP та WPA все дуже просто, для шифрування різних пристроїв в одній мережі використовуються однакові ключі. Оскільки "зловмисник" теж знає цей ключ і сидить у цій мережі, він так само перехоплює весь трафік і розшифровує його знайомим ключем.
Я ж використовував WPA2, в якій ця проблема була вирішена і клієнти використовують різні ключі шифрування, проте в ньому є серйозна вразливість і, знаючи ключ авторизації і перехопивши певний набір пакетів можна розкрити так званий Pairwise Transient Key - ключ, яким шифрується трафік для нас. клієнта.

Як показала практика, частково вирішити проблему можна включенням опції AP Isolation, яку підтримують більшість сучасних Wi-Fi-роутерів:

Однак це не панацея, пропадає можливість перехоплення за допомогою Intercepter-NG під Android, але функціональніші утиліти, наприклад, Airodump-ng продовжують працювати. Більше відмінність у роботі цих утиліт і причини непрацездатності Intercepter-NG я не вивчав, відклавши цю тему на потом.

У небезпеці використання чужих Wi-Fi мереж ми розібралися, залишається питання захисту. Способів досить багато, основна ідея - додаткове шифрування всього трафіку, а методів реалізації достатньо - суворе використання SSL скрізь, де це можливо (HTTPS, SSH, SFTP, SSL-POP, IMAP4-SSL і т.д.), підключення через VPN використання розподіленої мережі шифрування типу TOR і так далі. Ця тема досить широка і їй варто присвятити окремий запис.

Щоб захистити свою Wi-Fi мережу та встановити пароль, необхідно обов'язково вибрати тип безпеки бездротової мережі та метод шифрування. І на цьому етапі у багатьох виникає питання: а який вибрати? WEP, WPA, чи WPA2? Personal чи Enterprise? AES, чи TKIP? Які налаштування безпеки найкраще захистять мережу Wi-Fi? На всі ці питання я намагатимусь відповісти в рамках цієї статті. Розглянемо всі можливі методи аутентифікації та шифрування. З'ясуємо, які параметри безпеки Wi-Fi мережі краще встановити у налаштуваннях маршрутизатора.

Зверніть увагу, що тип безпеки, або аутентифікації, мережна автентифікація, захист, метод автентифікації - це все одно і те ж.

Тип аутентифікації та шифрування – це основні налаштування захисту бездротової мережі Wi-Fi. Думаю, спочатку потрібно розібратися, які вони бувають, які є версії, їх можливості і т. д. Після чого вже з'ясуємо, який тип захисту та шифрування вибрати. Покажу на прикладі кількох популярних роутерів.

Я настійно рекомендую налаштовувати пароль та захищати свою бездротову мережу. Встановлювати максимальний рівень захисту. Якщо ви залишите мережу відкритою, без захисту, то до неї зможуть підключитися будь-хто. Це насамперед небезпечно. А також зайве навантаження на ваш маршрутизатор, падіння швидкості з'єднання та всілякі проблеми із підключенням різних пристроїв.

Захист Wi-Fi мережі: WEP, WPA, WPA2

Є три варіанти захисту. Зрозуміло, крім "Open" (Немає захисту).

• WEP(Wired Equivalent Privacy) – застарілий та небезпечний метод автентифікації. Це перший і не дуже зручний метод захисту. Зловмисники без проблем отримують доступ до бездротових мереж, захищених за допомогою WEP. Не потрібно встановлювати цей режим у налаштуваннях свого роутера, хоч він там і присутній (не завжди).
• WPA(Wi-Fi Protected Access) – надійний та сучасний тип безпеки. Максимальна сумісність з усіма пристроями та операційними системами.
• WPA2– нова, доопрацьована та більш надійна версія WPA. Існує підтримка шифрування AES CCMP. На даний момент, це найкращий спосіб захисту Wi-Fi мережі. Саме його я рекомендую використати.

WPA/WPA2 може бути двох видів:

• WPA/WPA2 - Personal (PSK)– це типовий метод аутентифікації. Коли потрібно встановити тільки пароль (ключ) і потім використовувати його для підключення до Wi-Fi мережі. Використовується один пароль для всіх пристроїв. Сам пароль зберігається на пристроях. Де його за потреби можна подивитися, або змінити. Рекомендується використовувати цей варіант.
• WPA/WPA2 - Enterprise– більш складний метод, який використовується переважно для захисту бездротових мереж в офісах та різних закладах. Дозволяє забезпечити вищий рівень захисту. Використовується лише в тому випадку, коли для авторизації пристроїв встановлений сервер RADIUS (який видає паролі).

Думаю, зі способом автентифікації ми розібралися. Найкраще використовувати WPA2 - Personal (PSK). Для кращої сумісності, щоб не було проблем зі з'єднанням старих пристроїв, можна встановити змішаний режим WPA/WPA2. На багатьох маршрутизаторах цей спосіб встановлено за умовчанням. Або позначений як "Рекомендується".

Шифрування бездротової мережі

Є два способи TKIPі AES.

Рекомендується використовувати AES. Якщо у мережі є старі пристрої, які не підтримують шифрування AES (а тільки TKIP) і будуть проблеми з їх підключенням до бездротової мережі, то встановіть "Авто". Тип шифрування TKIP не підтримується у режимі 802.11n.

У будь-якому випадку, якщо ви встановлюєте строго WPA2 - Personal (рекомендується), то буде доступне лише шифрування AES.

Який захист ставити на Wi-Fi роутері?

Використовуйте WPA2 - Personal із шифруванням AES. На сьогоднішній день, це найкращий і найбезпечніший спосіб. Ось так налаштування захисту бездротової мережі виглядає на маршрутизаторах ASUS:

А ось так ці налаштування безпеки виглядають на роутерах від TP-Link (Зі старою прошивкою).

Більш детальну інструкцію для TP-Link можете переглянути .

Інструкції для інших маршрутизаторів:

Якщо ви не знаєте, де знайти всі ці налаштування на своєму маршрутизаторі, то напишіть у коментарях, постараюся підказати. Тільки не забудьте вказати модель.

Так як WPA2 - Personal (AES) старі пристрої (Wi-Fi адаптери, телефони, планшети тощо) можуть не підтримувати, то у разі проблем із підключенням встановлюйте змішаний режим (Авто).

Не рідко помічаю, що після зміни пароля або інших параметрів захисту пристрої не хочуть підключатися до мережі. На комп'ютерах може бути помилка "Параметри мережі, збережені на цьому комп'ютері, не відповідають вимогам мережі". Спробуйте видалити (забути) мережу на пристрої та підключиться заново. Як це зробити на Windows 7, я писав. А в Windows 10 потрібно.

Пароль (ключ) WPA PSK

Який би тип безпеки та метод шифрування ви не вибрали, необхідно встановити пароль. Він також ключ WPA, Wireless Password, ключ безпеки мережі Wi-Fi і т.д.

Довжина пароля від 8 до 32 символів. Можна використовувати літери латинського алфавіту та цифри. Також спеціальні знаки: - @ $ # ! і т. д. Без прогалин! Пароль чутливий до регістру! Це означає, що "z" та "Z" це різні символи.

Не раджу ставити прості паролі. Краще створити надійний пароль, який точно ніхто не зможе підібрати, навіть якщо добре постарається.

Навряд чи вдасться запам'ятати такий складний пароль. Добре було б його десь записати. Не рідко пароль від Wi-Fi просто забувають. Що робити у таких ситуаціях, писав у статті: .

Якщо вам потрібно ще більше захисту, можна використовувати прив'язку за MAC-адресою. Щоправда, не бачу у цьому потреби. WPA2 - Personal у парі з AES та складним паролем – цілком достатньо.

А як ви захищаєте свою мережу Wi-Fi? Напишіть у коментарях. Ну і питання ставте 🙂

Необхідність створити віртуальний хотспот на ноутбуці може виникнути з різних причин. Комусь важливо розшарити доступ до Інтернету через 3G- або WiMax-модем для інших бездротових пристроїв. А хтось хоче зробити фейкову точку доступу (Rogue AP) і, залучаючи клієнтів, зняти їх трафік. Але мало хто знає, що можливість для цього вбудована у саму винду!

З появою у мобільних операторів покриття 3G-мережі я все частіше став використовувати мобільний інтернет. Якщо працювати через USB-модем, то часто вдається досягти досить непоганого коннекта. Тим більше, що такі девайси коштують дуже дешево і продаються в комплекті з досить осудними тарифами, які не розорять першого ж дня використання. Однією з проблем, на які я заморочився після покупки 3G-модему, стала організація з ноутбука хотспоту, щоб Wi-Fi можна було роздавати мобільний інтернет для інших бездротових пристроїв.

Mac OX X

У Mac OS X змусити працювати стандартний адаптер у режимі Infrastructure, мабуть, не вийде. Але розшарити інтернет для одного єдиного клієнта, який підключиться до MacBook через бездротову мережу можна, навіть не залазячи в консоль.

Як спростити життя?

Отже, щоб підняти повноцінний хотспот, нам знадобилося лише кілька команд у консолі та парі кліків миші. Але поспішаю засмутити: відразу після перезавантаження або виходу із системи (навіть у режим сну) усі операції доведеться робити заново. Це незручно та втомлює. На щастя, знайшлося чимало розробників, які прочитали в MSDN статтю про Wireless Hosted Network і реалізували утиліти для більш простого та зрозумілого налаштування програмного хотспоту.

Я рекомендую дві: Virtual Router та Connectify. Обидві безкоштовні і дозволяють через зручний GUI-інтерфейс вибрати підключення, яке потрібно розшарити за допомогою програмної точки доступу, а потім у два кліки підняти хотспот. При цьому не потрібно щоразу вводити SSID та ключ мережі: все працюватиме навіть після перезавантаження.

Virtual Router надає мінімум функціоналу і давно не розвивається, зате поширюється з відкритими вихідними джерелами (добрий приклад використання відповідних API-викликів системи). По суті це графічна версія команд netsh.

Утиліта Connectify - набагато навороченіша. Для реалізації додаткових фішок, які не передбачені стандартними можливостями вінди, їй навіть доводиться встановлювати в систему віртуальні пристрої та драйвера. І це дає плоди. Наприклад, можна не прив'язувати до жорстко зашитого Wireless Hosted Network типу шифрування WPA2-PSK/AES: якщо є бажання, створюй хоч відкритий хотспот. Це особливо важливо, щоб клонувати параметри вже наявної бездротової мережі (наприклад, щоб розширити її діапазон дії або підняти фейкову точку доступу). Крім цього, Connectify має вбудований UPnP-сервер та дозволяє розшарити VPN-з'єднання (у тому числі OpenVPN). З такими можливостями твій віртуальний хотспот точно знайде застосування.

Але щоб було простіше зрозуміти, в яких ситуаціях він необхідний, ми підготували тобі добірку найпопулярніших кейсів. Ти можеш прочитати про них у врізанні.