Выбираем и настраиваем сетевую аутентификацию

Один из самых простых способов защитить свои данные — включить двухфакторную аутентификацию. Лайфхакер подскажет, как это сделать, чтобы обезопасить себя.

Что такое Wi-Fi шифрование

Прежде чем ознакомиться с основными разновидностями шифрования, необходимо разобраться с общими особенностями защиты сети Wi-Fi.

При использовании беспроводной сети пользователь должен придумать уникальный код. Он будет использоваться для блокировки или предоставления доступа к его личной сети. В данном случае главным будет не сам пользовательский пароль, а особенности шифрования придуманного кода и информации, которая будет передаваться между роутером и другими подколоченными устройствами.

Исходя из этого можно сделать вывод, что Wi-Fi шифрование — это технология, которая отвечает за защиту беспроводного подключения к интернету и сохранность пользовательских данных.

Дополнительная информация! Безопасность роутера Wi-Fi во многом зависит от того, какой вид шифра используется для защиты передаваемой информации. Именно поэтому к выбору используемого типа шифрования нужно отнестись очень серьезно.

Про WPA2-Enterprise

Прежде чем рассказывать про атаки и способы защиты от них, вспомним основные особенности стандарта WPA2-Enterprise.

Аутентификация. Для того чтобы подключиться к сети, клиент должен аутентифицироваться на ААА-сервере. Часто в качестве такового выступает RADIUS-сервер. Аутентификацию можно пройти с помощью доменного пароля, клиентского сертификата и пр. (EAP).

Шифрование. Организовано по алгоритму AES. Ключ шифрования динамический, индивидуальный для каждого клиента (), генерируется в момент аутентификации на RADIUS-сервере. Этот ключ может периодически обновляться по ходу работы без разрыва соединения.

Схема работы WPA2-Enterprise

Процесс подключения клиента к беспроводной сети кратко можно описать так. При подключении данные клиента передаются на точку доступа/контроллер при участии протокола Далее информация отправляется на RADIUS-сервер, где происходит аутентификация клиента: RADIUS-сервер проверяет, есть ли в его списках такой клиент с указанным логином и паролем и можно ли его подключать. После успешной аутентификации точка доступа подключает клиента в сеть.

Рассмотрим подробнее процесс аутентификации на RADIUS-сервере:

  1. Клиент, желающий пройти аутентификацию, дает запрос на начало сеанса связи.
  2. В ответ на это вызываемая сторона (RADIUS-сервер) посылает произвольную, но всякий раз разную информацию (challenge) клиенту.
  3. Клиент добавляет к полученному запросу пароль и от этой строки вычисляет хэш.
  4. RADIUS-cервер проделывает с отправленным значением аналогичные действия и сравнивает результат. Если значения хэшей совпадают, то аутентификация считается успешной. Периодически RADIUS-сервер отправляет клиенту новый challenge, и процедура аутентификации повторяется снова. Такой механизм аутентификации называется “challenge–response” и происходит по одному из протоколов EAP – PEAP-MSCHAPv2.

Как работает PAP?

Клиент хочет подключиться к серверу, он отправляет серверу пароль, сервер отвечает либо «Да», либо «Нет». Казалось бы, всё просто – зачем добавлять что-то ещё? Однако, всё становится сложнее, в случае если мы в силу каких-то обстоятельств обратились не к серверу, к, которому собирались, а к устройству злоумышленника. В этом случае получается, что спрашивая его, нравится ли ему наш пароль, мы по сути просто передаём ему пароль, с которым он в дальнейшем может делать всё что угодно. Чтобы избежать такой ситуации был придуман CHAP.

Способы аутентификации

Условно используемые методы аутентификации разделяются на два типа: одно и двустороннюю, где проверка осуществляется на одной стороне или проверку выполняют обе стороны. Ещё используются однофакторный способ – ввод пароля, криптографический – с использованием ключа. Причем используются два вида пароля – постоянный, одноразовый – каждый раз новый.

Ниже рассмотрим несколько популярных протоколов аутентификации.

Базовая

В основе данного метода используется известная комбинация — логина и пароля. Вы вводите данные, система сверяет информацию в базе, при совпадении, разрешает вход, например на страницу социальной сети, форума или сайта. При этом информация отправляется в незашифрованном виде, что позволяет злоумышленникам, легко перехватить данные.

Способы аутентификации

Дайджест

Аналогичный базовому способу вид аутентификации, с передачей логина и пароля. При этом к паролю добавляется хэш – строка, состоящая из произвольного набора символов. При каждом посещении сайта, генерируется уникальный код, что не позволяет злоумышленникам перехватить и расшифровать пароль. На основе такого метода работает большинство современных браузеров.

Читайте также:  Windows 10 — режим самолета не хочет отключать

HTTPS

При использовании данного метода, логин и пароль шифруется. Аналогичные действия выполняются и с другими данными – адреса, реквизиты кредитных и банковских карт. При этом такой способ существенно ухудшает скорость соединения.

Цифровой сертификат

Использование такого протокола, подразумевает отправку пользователю адреса, в виде набора символов. В качестве ответа используется запрос сервера, подписанный с использованием персонального ключа.

Использованием Cookies

Способы аутентификации

Посещая определенный ресурс, на стороне пользователя сохраняются данные, именуемые куки. При последующем подключении к сайту, браузер отправляет сохраненную часть данных, в виде одной из составных частей HTTPS запроса. Кроме того куки используются для сохранения настроек пользователем. Степень защищенности такого метода – низкая, поскольку похитить куки не составляет сложностей.

Многофакторная аутентификация

Данный вид аутентификации подразумевает использование двух или более способов доказательства подлинности. Например, первым используется классический вариант – логин-пароль, а вторым – уникальный цифровой код, отправленный на мобильный номер телефона, либо электронную почту.

Практическое применение [ править | править код ]

Проверка подлинности NTLM по-прежнему поддерживается и обязательна для использования на системах, работающих под управлением Windows NT Server 4.0 или более ранних версий, а также для компьютеров, настроенных как члены рабочих групп. Проверка подлинности NTLM также используется для проверки подлинности при аутентификации на изолированных системах. Начиная с Windows 2000, проверка подлинности Kerberos версии 5 является предпочтительным методом проверки подлинности для сред Active Directory.

Технический блог специалистов ООО"Интерфейс"

  • Главная
  • Аутентификация в системах Windows. Часть 1 — NTLM

Выбираем и настраиваем сетевую аутентификацию

Сетевая аутентификация — это то, с чем ежедневно сталкивается большое количество пользователей интернета.

Некоторые люди не знают о том, что означает данный термин, а многие даже не подозревают о его существовании.

Практически все юзеры всемирной паутины начинают рабочий день с того, что проходят процесс аутентификации. Она нужна при посещении почты, социальных сетей, форумов и прочего.

Пользователи сталкиваются с аутентификацией каждый день, сами того не подозревая.

Что означает слово аутентификация и принцип работы

Аутентификация — это процедура, с помощью которой происходит проверка пользовательских данных, например, при посещении того или иного ресурса глобальной сети. Она производит сверку данных, хранящихся на веб-портале, с теми, которые указывает юзер.

После того как аутентификация будет пройдена, вы получите доступ к той или иной информации (например, своему почтовому ящику). Это основа любой системы, которая реализована на программном уровне.

Зачастую указанный термин утилизирует более простые значения, такие как:

Чтобы пройти аутентификацию, необходимо ввести логин и пароль для вашей учётной записи. В зависимости от ресурса, они могут иметь существенные отличия друг от друга.

Если эксплуатировать идентичные данные на различных сайтах, то вы подвергнете себя опасности кражи вашей персональной информации злоумышленниками. В некоторых случаях указанные сведения могут выдаваться автоматически для каждого пользователя.

Чтобы ввести нужные данные, как правило, используется специальная форма на ресурсе глобальной сети или в определённом приложении. После введения нужной информации, они будут отправлены на сервер для сравнения с теми, которые имеются в базе.

Если они совпали, то вы получите доступ к закрытой части сайта. Введя неправильные данные, веб-ресурс сообщит об ошибке. Проверьте их правильность и введите ещё раз.

Какую сетевую идентификацию выбрать

Многие задумываются над тем, какую сетевую идентификацию выбрать, ведь их существует несколько типов. Для начала нужно определиться с любой из них. На основе полученных сведений каждый решает самостоятельно, на каком варианте остановиться. Одним из самых новых стандартов сетевой аутентификации является IEEE

Он получил широкую поддержку практически у всех девелоперов оборудования и разработчиков программного обеспечения. Этот стандарт поддерживает 2 метода аутентификации: открытую и с использованием пароля (ключа). В случае с открытым методом одна станция может подключиться к другой без необходимости авторизации.

Если вас не устраивает это, то необходимо утилизировать метод с использованием ключа. В случае с последним вариантом пароль шифруется одним из методов:

  • WEP;
  • WPA-персональная;
  • WPA2-персональная.
Читайте также:  Web Companion - Что это за программа? Как её удалить?

Наиболее подходящий вариант можно установить на любом роутере.

Переходим к настройкам маршрутизатора

Даже неподготовленный пользователь без проблем произведёт все необходимые конфигурации. Чтобы начать настройку прибора, необходимо подключить его к персональному компьютеру при помощи кабеля. Если это действие выполнено, то откройте любой веб-обозреватель и в адресной строке наберите , затем нажмите Enter.

Указанный адрес подходит практически для любого девайса, но более точную информацию можно прочитать в инструкции. Кстати, это действие как раз и является аутентификацией, после прохождения которой вы получаете доступ к закрытой информации вашего роутера.

Вы увидите запрос на вход в интерфейс, который поможет выполнить необходимые настройки. Если логин и пароль никто не менял, то по умолчанию практически во всех моделях от различных компоновщиков используется слово admin в обоих полях.

Купленный маршрутизатор имеет открытую беспроводную сеть, так что к ней могут подключиться все желающие. В том случае, если вас это не устраивает, её необходимо защитить.

Защищаем беспроводную сеть

В различных моделях названия меню и подменю могут отличаться. Для начала нужно зайти в меню роутера и выбрать настройку беспроводной сети Wi-Fi. Указываем имя сети. Его будут видеть все беспроводные устройства, которые необходимо подключить к прибору.

Далее нам необходимо выбрать один из методов шифрования, список которых приведён выше. Мы рекомендуем эксплуатировать WPA2-PSK. Указанный режим является одним из самых надёжных и универсальных. В соответствующем поле нужно вписать придуманный вами ключ.

Он будет использоваться для подключения к беспроводной сети девайса вашими устройствами (смартфонами, ноутбуками, планшетами и другими гаджетами). После того как все вышеперечисленные действия будут выполнены, беспроводная сеть будет полностью защищена от несанкционированного подключения к ней.

Никто не сможет пользоваться вашим трафиком, не зная пароля аутентификации.

Чтобы устанавливаемый пароль смог максимально защитить вашу сеть от несанкционированного подключения, он должен состоять из достаточно большого количества символов. Рекомендуется использовать не только цифры, но и буквы верхнего и нижнего регистров.

Facebook

Через меню в мобильном приложении или в браузерной версии войдите в настройки и выберите пункт «Безопасность и вход». В разделе «Использовать двухфакторную аутентификацию» вы сможете зарегистрировать телефонный номер, на который при каждой попытке входа в социальную сеть будет приходить код, или привязать приложение для аутентификации.

Facebook

Здесь же можно настроить ключ безопасности для входа с помощью USB-брелока или NFC-маячка. А для поездок за границу, где нет доступа к интернету, отлично подойдут коды восстановления. Их тоже можно сгенерировать в этом разделе.

Если вы предпочитаете не использовать дополнительные меры защиты при каждом входе с одного и того же устройства, то можете добавить его в список авторизованных входов.

Преимущества и недостатки двухэтапной верификации

Многие пользователи стараются не использовать двухфакторную аутентификацию для своих аккаунтов. Аргументируют тем, что это достаточно длительный процесс, который усложняет доступ.

Для того, чтобы вы хорошо понимали серьезность этого метода защиты, предлагаем изучить его достоинства:

  • повышенная безопасность учетной записи (как говорится один PIN-код хорошо, а два лучше);
  • если произойдет кража аккаунта, вы узнаете об этом сразу через PUSH-уведомление или СМС;
  • генерация уникальных кодов для каждого входа, при этом пароль остается одним и тем же, пока вы его самостоятельно не измените.

Что касается минусов двухфакторной защиты 2FA, то их три:

  • при настройке идентификации через СМС-код, порой его приходится долго — отсутствие сигнала сотовой связи или технические неполадки при отправке SMS;
  • высока вероятность клонирования номера SIM-карты, как следствие — перехват сообщений с кодом доступа;
  • низкий заряд батареи. При отправке СМС, телефон может разрядиться, поэтому получить код доступа будет невозможно, как собственно, и войти в учетную запись.

Обратите внимание, если вы используете SMS-код для дополнительной защиты, то его нужно ввести для авторизации в течение 1,5 минуты. Затем нужно будет выполнить повторный запрос кода.

Ассоциации безопасности в IPsec

Ассоциация безопасности (SA) является основой связи IPsec. Особенности SA —

  • Перед отправкой данных между отправляющим объектом и принимающим объектом устанавливается виртуальное соединение, называемое «Ассоциация безопасности (SA)».

  • IPsec предоставляет множество возможностей для выполнения сетевого шифрования и аутентификации. Каждое соединение IPsec может обеспечивать шифрование, целостность, аутентичность или все три службы. Когда служба безопасности определена, два равноправных объекта IPsec должны точно определить, какие алгоритмы использовать (например, DES или 3DES для шифрования; MD5 или SHA-1 для целостности). После выбора алгоритмов оба устройства должны совместно использовать сеансовые ключи.

  • SA — это набор вышеуказанных параметров связи, который обеспечивает взаимосвязь между двумя или более системами для построения сеанса IPsec.

  • SA имеет простую природу и, следовательно, для двунаправленной связи требуются два SA.

  • SA идентифицируются по номеру индекса параметра безопасности (SPI), который существует в заголовке протокола безопасности.

  • Как отправляющий, так и принимающий объекты поддерживают информацию о состоянии SA. Это похоже на конечные точки TCP, которые также поддерживают информацию о состоянии. IPsec ориентирован на соединение, как TCP.

Читайте также:  10 главных трендов Facebook, которые сохранятся в 2021 году

Параметры SA

Любой SA однозначно идентифицируется следующими тремя параметрами:

  • Индекс параметров безопасности (SPI).

    • Это 32-битное значение, присвоенное SA. Он используется для различения различных SA, заканчивающихся в одном и том же пункте назначения и использующих один и тот же протокол IPsec.

    • Каждый пакет IPsec содержит заголовок, содержащий поле SPI. SPI предоставляется для сопоставления входящего пакета с SA.

    • SPI — это случайное число, генерируемое отправителем для идентификации SA для получателя.

  • IP-адрес назначения — это может быть IP-адрес конечного маршрутизатора.

  • Идентификатор протокола безопасности — указывает, является ли ассоциация AH или ESP SA.

Пример SA между двумя маршрутизаторами, участвующими в обмене IPsec, показан на следующей диаграмме.

Безопасность административных баз данных

В IPsec есть две базы данных, которые контролируют обработку дейтаграммы IPsec. Одна — это база данных ассоциации безопасности (SAD), а другая — база данных политики безопасности (SPD). Каждая взаимодействующая конечная точка, использующая IPsec, должна иметь логически раздельные SAD и SPD.

База данных Ассоциации безопасности

В связи IPsec конечная точка содержит состояние SA в базе данных ассоциации безопасности (SAD). Каждая запись SA в базе данных SAD содержит девять параметров, как показано в следующей таблице:

Параметры и описание
1

Счетчик порядковых номеров

Для исходящих сообщений. Это 32-битный порядковый номер, указанный в заголовках AH или ESP.

2

Счетчик переполнения порядкового номера

Устанавливает флаг опции, чтобы предотвратить дальнейшую связь с использованием определенного SA

3

32-битное окно анти-воспроизведения

Используется для определения того, является ли входящий пакет AH или ESP воспроизведением

4

Время жизни СА

Время, пока SA остаются активными

5

Алгоритм — АХ

Используется в AH и связанном ключе

6

Алгоритм — ESP Auth

Используется в аутентифицирующей части заголовка ESP

7

Алгоритм — шифрование ESP

Используется при шифровании ESP и информации о соответствующем ключе

8

Режим работы IPsec

Транспортный или туннельный режим

9

Path MTU (PMTU)

Любая наблюдаемая траектория максимальной единицы передачи (чтобы избежать фрагментации)

Все записи SA в SAD индексируются тремя параметрами SA: IP-адрес назначения, идентификатор протокола безопасности и SPI.

База данных политики безопасности

SPD используется для обработки исходящих пакетов. Это помогает решить, какие записи SAD следует использовать. Если запись SAD не существует, SPD используется для создания новых.

Любая запись SPD будет содержать —

  • Указатель на активный SA проводится в SAD.

  • Поля селектора — поле во входящем пакете с верхнего уровня, используемое для принятия решения о применении IPsec. Селекторы могут включать адрес источника и получателя, номера портов, если это уместно, идентификаторы приложений, протоколы и т. Д.

Исходящие IP-дейтаграммы идут от записи SPD к конкретной SA, чтобы получить параметры кодирования. Входящая дейтаграмма IPsec попадает в правильный SA напрямую, используя тройку SPI / DEST IP / Protocol, и оттуда извлекает соответствующую запись SAD.

SPD также может указывать трафик, который должен обходить IPsec. SPD можно рассматривать как фильтр пакетов, в котором решаются действия, связанные с активацией процессов SA.

Биометрические системы

В этом случае сверяются отпечатки пальцев, сетчатка глаза, голос и т.п. Это самая надежная, но и самая дорогая система из всех.

Современное оборудование позволяет не только сравнивать различные точки или участки при каждом доступе, но и проверяет мимику и черты лица.

При подключении к WiFi сети возникает ошибка аутентификации – это весьма распространенная проблема. Именно поэтому так важно разобрать, почему она появляется и как ее устранить. Но прежде чем переходить к настройкам сети и устранению неполадок следует разобрать, что такое аутентификация. Это позволит понять, почему появляется данная ошибка и как быстро и надолго ее устранить.