≡× MENÚ

• Línea recta
• Preguntas
• Megáfono
• MTS
• Números útiles

Protocolo EAP. Esquema de autenticación psk eap que elegir

El propósito del procedimiento de Autenticación y Acuerdo de Clave (AKA) es realizar una autenticación mutua entre el terminal de usuario y la red, así como generar la clave de función de seguridad KSEAF (ver Figura 7). La clave KSEAF, una vez generada, se puede utilizar para formar varios contextos de seguridad, incl. para acceso 3GPP y no 3GPP.
La versión 15 3GPP define dos métodos obligatorios para la autenticación y el acuerdo de claves: EPS-AKA "y 5G-AKA, que se analizarán a continuación.
Dentro de ambos métodos, se llama a una función de derivación (KDF) que, basándose en la cadena de caracteres de control, convierte la clave criptográfica. La cadena de caracteres de control puede incluir el nombre del suscriptor de servicio de la red de invitados (Nombre de red de servicio - nombre SN). En particular, el nombre de SN se utiliza al calcular:
- tecla de función de seguridad KSEAF;
- Respuesta de autenticación (RES *, XRES *);
- teclas intermedias CK 'e IK'.
El nombre SN se construye combinando un código de servicio (código de servicio \u003d "5G") y un identificador de la red visitada que autentica al usuario (identificador de red o Id de SN). El ID de SN se calcula según el código de país móvil (MCC) y el código de red móvil (MNC); consulte la Fig. 3.

Figura: 3 (identificador de red o ID de SN)

El uso del nombre de la red de servicio (nombre SN) le permite vincular sin ambigüedades los resultados de los algoritmos criptográficos a una red de invitados específica.

Inicio y elección del método de autenticación

De acuerdo con la política de seguridad del operador, el módulo funcional SEAF puede iniciar la autenticación del terminal de usuario (UE) en cualquier procedimiento que implique el establecimiento de una conexión de señalización con el UE, por ejemplo, al registrarse en la red (adjuntar) o actualizar el área de seguimiento (actualización del área de seguimiento). Para "salir al aire", el UE debe usar el SUCI oculto (en el caso del registro inicial en la red) o 5G-GUTI (de lo contrario).
Para autenticar el terminal de usuario, SEAF utiliza un vector de autenticación creado previamente y aún no utilizado, o envía una Solicitud de inicio de autenticación (5G-AIR) a la AUSF, configurando SUCI como el identificador de usuario (en el caso del registro inicial en la red), o SUPI (al recibir desde el UE de un 5G-GUTI válido). La solicitud de autenticación (5G-AIR), además del ID de usuario, también debe incluir el tipo de acceso (3GPP o no 3GPP), así como el nombre de la red de servicio (nombre SN).
A continuación, la AUSF verifica la elegibilidad de usar el nombre de la red de servicio (SN-name) y, si tiene éxito, traduce la solicitud recibida al bloque de base de datos unificada (UDM), donde (si es necesario) el módulo funcional de recuperación de identificador de usuario (SIDF) descifra el identificador de usuario oculto (SUCI ), después de lo cual el repositorio de credenciales de autenticación (ARPF) selecciona el algoritmo de autenticación apropiado: 5G-AKA o EAP-AKA ".

Método de autenticación EAP-AKA "

El método de autenticación EAP-AKA "es un desarrollo posterior de EAP-AKA e introduce una nueva función de derivación que vincula las claves criptográficas al nombre de la red de acceso. El método EAP-AKA" descrito en RFC 5448 es activado por UDM / ARPF cuando recibe una solicitud de AUSF para la autenticación de usuarios (solicitud de información de autenticación de mensajes - Auth Info-Req). En la Fig. 4 es un diagrama que incluye los siguientes pasos.

Figura: 4 (Método de autenticación EPS-AKA)

1. El módulo de procesamiento y depósito de credenciales de usuario (UDM / ARPF) genera un vector de autenticación que incluye RAND, AUTN, XRES, CK, IK. Para calcular el vector de autenticación, se utilizan cinco funciones unidireccionales f1-f5, implementadas sobre la base del cifrado de bloque MILENAGE (de acuerdo con 3GPP TS 33.102 - ver Fig. 5) con el bit AMF puesto a "1". Al calcular f1-f5, se utiliza un campo de configuración de algoritmo de 128 bits - OP (campo de configuración de algoritmo de variante de operador). OP le permite realizar una implementación única (secreta) del algoritmo para cada operador. El valor de OP (u OPc calculado a partir de OP y KI mediante la función de cifrado de bloques) debe almacenarse en el ARPF y en el USIM del usuario.

Figura: 5 (vector de autenticación)

2. UDM / ARPF a través de la función de derivación y utilizando el nombre de la red de servicio (SN-name) calcula los "valores" asociados CK ", IK" y transmite el vector (RAND, AUTN, XRES, CK ", IK") al servidor de autenticación (AUSF) de donde se recibió la solicitud.
3. AUSF inicia la función criptográfica PRF del método EAP-AKA "descrito en RFC5448. Los parámetros de entrada de la función son las claves CK" e IK ", así como el nombre de la red de servicio (SN-name). Los siguientes campos se obtienen a la salida de la función:
- K_encr - clave (128 bits) utilizada para cifrar atributos individuales de mensajes EAP-AKA "(de acuerdo con la política de seguridad del operador);
- K_aut - clave (256 bits) utilizada para calcular los códigos de control de integridad del mensaje EAP-AKA "(MAC - Código de autenticación de mensaje);
- K_re - clave (256 bits) utilizada para la reautenticación;
- MSK (clave de sesión maestra) - clave maestra (512 bits);
- EMSK (clave de sesión maestra extendida) - clave maestra extendida (512 bits).
4. La AUSF envía una solicitud EAP / AKA "-Challenge" a la función de anclaje de seguridad (SEAF), que luego se transmite de forma transparente al terminal de usuario en el mensaje NAS. La solicitud EAP / AKA "-Challenge" contiene los siguientes atributos:
- AT_RAND (número aleatorio);
- AT_AUTN (token de autenticación);
- AT_KDF (identificador de la función de derivación utilizada, donde 1 - corresponde al uso de la función de derivación predeterminada);
- AT_KDF_INPUT (nombre de red de servicio - nombre SN);
- AT_MAC (código de autenticación de mensajes).

- calcula los valores de XMAC, RES, CK "e IK";
- lanza la función criptográfica PRF del algoritmo EAP-AKA "(similar a la función realizada por el servidor de autenticación);
- comprueba la exactitud del código de control de integridad del mensaje (atributo AT_MAC);
- verifica que el bit AMF del atributo AT_AUTN esté puesto a "1";

- envía una EAP-Response / AKA "-Challenge" a la función de anclaje de seguridad (SEAF) con los atributos AT_RES y AT_MAC, que luego se transmite de forma transparente al servidor de autenticación (AUSF).
6. El AUSF valida el código de verificación de integridad del mensaje (atributo AT_MAC) y autentica el terminal de usuario comparando los valores RES y XRES recibidos del UE y ARPF / UDM, respectivamente.
7. Si tiene éxito, la AUSF envía una respuesta EAP-Success al UE a través de la función de anclaje de seguridad (SEAF). Si la política de seguridad del operador implica la transmisión de EAP-Success en forma encriptada - "indicaciones de resultado exitosas protegidas", los mensajes de notificación se intercambian primero. Además (si es necesario), a través de la llamada a la función SIDF, se realiza el descifrado del identificador oculto (SUCI) y la extracción 5G SUPI.
8. En el paso final, ARPF / UDM genera una clave de función de autenticación KAUSF, que se utiliza como los primeros 256 bits de la clave maestra extendida (EMSK). Además, en base a KAUSF, las claves de control de integridad y cifrado se calculan de acuerdo con la jerarquía de claves criptográficas que se muestra en la Fig. 7.

El método de autenticación 5G-AKA es un desarrollo adicional del EPS-AKA descrito en 3GPP TS 33.401 y aplicado en redes 4G-LTE. El lanzamiento del método 5G-AKA lo realiza UDM / ARPF cuando recibe una solicitud de autenticación de usuario de la AUSF (mensajes de solicitud de información de autenticación - Auth Info-Req). En la Fig. 6 es un diagrama que incluye los siguientes pasos.

Figura: 6 (Método de autenticación 5G-AKA)

1. Por analogía con el algoritmo EAP-AKA, "el módulo de repositorio y procesamiento de credenciales de usuario (UDM / ARPF), basado en el cifrado de bloque MILENAGE, genera un vector de autenticación, que incluye RAND, AUTN, XRES, CK, IK (el bit AMF debe establecerse en unidad).
2. UDM / ARPF mediante la función de derivación y utilizando el nombre de la red de servicio (nombre SN) calcula:
- el valor asociado de la respuesta esperada XRES *,
- el valor clave de la función de autenticación KAUSF,
genera el vector "5G HE AV" (Vector de autenticación del entorno doméstico), que incluye RAND, AUTN, XRES *, KAUSF y lo envía al servidor de autenticación (AUSF).
3. AUSF calcula:
- el valor HXRES *, que es un hash truncado a 128 bits de la concatenación de la respuesta de autenticación XRES * esperada y un número aleatorio RAND: HXRES *  128 bits más bajos de SHA-256;
- el valor de la clave de la función de seguridad KSEAF.
A continuación, el AUSF genera un 5G AV (vector de autenticación 5G) que incluye RAND, AUTN, HXRES *, KSEAF y lo envía a la función de anclaje de seguridad (SEAF) a través de un mensaje 5G-AIA (respuesta de inicio de autenticación). En caso de que la solicitud de autenticación (5G-AIR) contenga un identificador de usuario oculto (SUCI), el AUSF recibe el 5G SUPI a través de la llamada a la función SIDF y lo agrega al 5G-AIA.
4. SEAF monitorea el temporizador de vida útil del vector recibido y envía un mensaje Auth-Req con RAND y AUTN habilitados al terminal de usuario NAS.
5. Terminal de usuario:
- calcula los valores RES, AUTN, CK, IK llamando a las funciones correspondientes del módulo USIM;
- realiza la autenticación de la red comparando los valores AUTN calculados y recibidos;
- calcula los valores de las claves KAUSF y KSEAF;
- calcula el valor de respuesta de autenticación RES * asociado;
- envía un mensaje Auth-Resp que contiene RES * a la función de anclaje de seguridad (SEAF).
6. SEAF calcula el hash HRES * (similar a AUSF) y autentica el terminal de usuario comparando HRES * y HXRES *.
7. Tras la autenticación exitosa, SEAF envía a AUSF un mensaje 5G-AC (Confirmación de autenticación) que contiene incl. valor de respuesta RES * recibido del UE. Este paso es opcional y no se puede utilizar al registrar un usuario en una red doméstica.
8. AUSF verifica el temporizador de vida útil del vector de autenticación, compara las respuestas calculadas (XRES *) y recibidas (RES *) y luego completa el procedimiento de autenticación.
3GPP recomienda que solo se genere y use un vector por procedimiento de autenticación. Esto permitirá que cada procedimiento de autenticación se complete con un mensaje de confirmación.

Veamos varios métodos de autenticación WLAN, a saber, autenticación abierta, PSK y EAP.

Autenticación abierta

De forma predeterminada, no se requiere autenticación de dispositivo inalámbrico. Todos los dispositivos pueden establecer conexiones independientemente de su tipo y afiliación. Se llama autenticación abierta... La autenticación abierta solo debe usarse en redes inalámbricas públicas como escuelas y cibercafés (restaurantes). Se puede utilizar en redes donde la autenticación se realizará por otros medios después de conectarse a la red.

Clave precompartida (PSK)

Al usar el modo PSK el punto de acceso y el cliente deben utilizar una clave compartida o un código de acceso. El punto de acceso envía una cadena aleatoria de bytes al cliente. El cliente toma esta cadena, la cifra (o la codifica) usando la clave y la envía de regreso al punto de acceso. El punto de acceso recibe la cadena cifrada y usa su clave para descifrarla. Si la cadena descifrada recibida del cliente coincide con la cadena original enviada al cliente, el cliente tiene permiso para establecer la conexión.

En este caso, se realiza la autenticación unidireccional, es decir el punto de acceso verifica los detalles del nodo conectado. PSK no implica la autenticación del punto de acceso por parte del host, ni autentica al usuario que se conecta al host.

Protocolo de autenticación extensible (EAP)

EAP proporciona autenticación mutua o bidireccional, así como autenticación de usuario. Si el software EAP está instalado en el cliente, el cliente se comunica con un servidor de autenticación interno, como el usuario de acceso telefónico de autenticación remota (RADIUS). Este servidor interno opera independientemente del punto de acceso y mantiene una base de datos de usuarios autorizados para acceder a la red. Con EAP, el usuario, no solo el host, debe proporcionar un nombre de usuario y una contraseña, que luego se verifican con la base de datos del servidor RADIUS. Si las credenciales proporcionadas son válidas, el usuario se considera autenticado.

ANDREY PLATONOV

Creación de una red inalámbrica segura: WPA-Enterprise, 802.1x EAP-TLS

Hay más de cien artículos sobre la inseguridad de las redes inalámbricas. Además, muchos son completamente idénticos e inútiles: dicen que WEP es malo, que las direcciones MAC se pueden cambiar fácilmente y al final escriben: “Solo hay una salida y la salvación. Necesita utilizar WPA ". Y el punto. Este material contiene exactamente lo que quería escuchar después del "punto": una guía práctica para organizar una red inalámbrica bien segura.

Wi-Fi seguro e inseguro

Hoy es obvio que, a pesar de todos los problemas asociados con la seguridad, confiabilidad y complejidad de operación, las soluciones inalámbricas de la familia 802.11a / b / g se han convertido, no obstante, en una parte integral de la infraestructura de muchas redes corporativas, domésticas e incluso de operadores. Esto se debe en parte a que la mayoría de estos problemas son ahora cosa del pasado en el desarrollo actual de Wi-Fi. Las redes inalámbricas en todos los aspectos se han vuelto mucho más inteligentes y rápidas: apareció QoS, antenas inteligentes (tecnología MIMO), velocidades reales alcanzaron los 40 Mbit / s (por ejemplo, tecnologías SuperG, SuperAG de Atheros). Además, se han producido grandes cambios en el conjunto de tecnologías que garantizan la seguridad de las redes inalámbricas. Hablemos de esto con más detalle.

En los días en que el Wi-Fi era solo para la élite, el cifrado WEP y los filtros MAC se usaban para proteger las redes inalámbricas. Todo esto rápidamente se volvió insuficiente, WEP fue reconocido como inseguro debido a la naturaleza estática de las claves de cifrado y la falta de mecanismos de autenticación, los filtros MAC tampoco brindaban seguridad especial. Comenzó el desarrollo de un nuevo estándar IEEE 802.11i, que fue diseñado para resolver todos los problemas urgentes de seguridad. A mitad de camino hacia 802.11i, surgió un conjunto de tecnologías bajo el nombre general WPA (acceso protegido a Wi-Fi), que forma parte del estándar 802.11i aún no listo. WPA incluye medios para la autenticación de usuarios, cifrado mediante claves WEP dinámicas (TKIP / MIC). Luego, 802.11i finalmente se terminó y nació WPA2. A todo lo anterior, se ha agregado soporte para un cifrado más fuerte AES (Advanced Encryption Standard), que funciona en conjunto con el protocolo de seguridad CCMP (Counter with Cipher Block Chaining Message Authentication Code Protocol es un análogo más avanzado de TKIP en WPA). WPA2 comenzó a aparecer gradualmente en nuevos modelos de puntos de acceso (por ejemplo, D-Link DWL-3200AP), pero hasta ahora es bastante exótico. Todos los productos que admiten WPA2 son retrocompatibles con equipos que admiten WPA.

Tanto WPA como WPA2 incluyen controles de acceso inalámbrico avanzados basados \u200b\u200ben el estándar IEEE 802.1x. La arquitectura 802.1x utiliza varias puertas necesarias:

• Cliente. El cliente es Suplicante: el programa en la computadora del cliente que controla el proceso de autenticación.
• Autenticador. Es un punto de acceso que actúa como intermediario entre el cliente y el servidor de autenticación. Un conmutador cableado también puede ser un autenticador. 802.1x se utiliza en una variedad de redes.
• Servidor de autenticación: servidor RADIUS.

IEEE 802.1x permite una variedad de métodos y algoritmos de autenticación. Esto es posible gracias al Protocolo de autenticación extensible (EAP), en el que los atributos están "anidados" que corresponden a un método de autenticación particular. Por lo tanto, existen muchas variantes de 802.1x EAP: EAP-MD5, EAP-PEAP, EAP-LEAP, EAP-SIM, etc. Este artículo describirá la implementación de la autenticación en una red inalámbrica basada en certificados digitales: 802.1x EAP-TLS. Este método se utiliza con mayor frecuencia en redes inalámbricas corporativas y tiene un grado de seguridad bastante alto. Además, EAP-TLS es a veces uno de los principales métodos de protección en las redes de proveedores inalámbricos.

Autenticación 802.1x EAP-TLS

EAP-TLS se basa en SSL v3.0, pero a diferencia de la autenticación SSL tradicional (por ejemplo, cuando se establece una conexión http segura, HTTPS), EAP-TLS autentica al cliente y al servidor mutuamente. El cliente (solicitante) y el servidor RADIUS deben admitir el método de autenticación EAP-TLS; el punto de acceso debe admitir la autenticación 802.1x / EAP y no necesita saber qué método de autenticación se utiliza en un caso particular. La siguiente figura muestra el proceso de autenticación en una red inalámbrica usando EAP-TLS.

Aquí conviene finalizar una pequeña digresión lírica y teórica, necesaria para tener una idea aproximada de lo que hay en las profundidades de una red inalámbrica segura. A continuación, se propondrá una implementación práctica de los conceptos descritos anteriormente. Se utilizará como servidor RADIUS una computadora que ejecute FreeBSD 5.3 con el paquete FreeRADIUS. Para organizar la infraestructura PKI (Public Key Infrastructure), se utilizará el paquete OpenSSL. Toda la red inalámbrica se construirá sobre equipos inalámbricos D-Link confiables y de bajo costo. Se asume que Windows XP SP2 está instalado en las máquinas cliente. este sistema operativo tiene un superlicante incorporado, y una actualización reciente de Microsoft agrega soporte para WPA2.

Instalar y configurar OpenSSL y FreeRADIUS

Se asume que FreeBSD 5.3 tiene una NIC instalada, la colección de puertos está actualizada, Midnight Commander está presente y la computadora en sí está conectada a Internet. En lo que sigue, asumiremos que la red inalámbrica se implementa en una red corporativa con una máscara 192.168.0.0/24.

Para empezar, unas palabras sobre la configuración de una red inalámbrica, y luego daremos un ejemplo de configuración del D-Link DWL-2100AP para asegurar la comunicación con un servidor RADIUS.

Una red inalámbrica dentro de la oficina generalmente consta de varios puntos de acceso (toda la cobertura se divide en celdas pequeñas) que están conectados a un conmutador cableado. A menudo, para construir una WLAN, se utilizan conmutadores con soporte integrado Power over Ethernet (802.3af) en los puertos (por ejemplo, D-Link DES-1316K). Con su ayuda, es conveniente suministrar energía a los puntos de acceso repartidos por la oficina. Los puntos cercanos se sintonizan en canales de rango no superpuestos para que no interfieran entre sí. En la banda de 2,4 GHz, en la que opera el equipo 802.11b / g, existen 3 canales no superpuestos para equipos con 11 canales, y 4 canales no superpuestos para equipos en los que se pueden seleccionar 13 canales (la señal de banda ancha del punto de acceso ocupa 3 canales del rango). Los puntos de acceso D-Link DWL-2100AP y DWL-2700AP se pueden configurar en cualquiera de los 13 canales, además, puede habilitar la función de sintonización automática a un canal vacío. Así que lo haremos.

Si hay suscriptores móviles en la red que se mueven por toda el área de cobertura, puede configurar todos los puntos con el mismo nombre de la red inalámbrica: SSID, luego el suscriptor se conectará automáticamente a un nuevo punto si se pierde la conexión con el anterior. En este caso, se volverá a autenticar, lo que, según el solicitante, tardará varios segundos o más. Así es como se realiza el roaming no inteligente más simple dentro de la red. Otra opción: si cada punto tiene su propio SSID, entonces puedes configurar varios perfiles de red inalámbrica en las propiedades de la conexión inalámbrica y marcar la opción "conectarse a cualquier red disponible" allí. Por lo tanto, si se pierde la conexión, el cliente se conectará a un nuevo punto.

Configuramos el DWL-2100AP para interactuar con RADIUS.

• Vamos a la interfaz web del punto de acceso (cómo hacerlo, está escrito en las instrucciones del punto), cambiamos inmediatamente la contraseña predeterminada en la pestaña HERRAMIENTAS / ADMINISTRADOR /.
• En la pestaña INICIO / LAN, asigne la dirección IP al punto de acceso, que se configuró en clients.conf: 192.168.0.220.

• En la pestaña INICIO / INALÁMBRICO, hacemos todo como se muestra en la fig. 3; en el campo "Radius Secret", especifique la contraseña que corresponde a este punto en clients.conf (especificamos "12345").

El resto de puntos de acceso se configuran de la misma manera, solo que tendrán diferentes direcciones IP, canales (si se configuran manualmente), así como el valor del campo "Radius Secret".

Creamos certificados

Primero, algunas palabras generales sobre qué es PKI. Se trata de una especie de infraestructura, cada sujeto tiene un certificado digital único que acredita su identidad; entre otras cosas, un certificado digital contiene una clave privada. Los mensajes codificados con él se pueden descifrar conociendo la clave pública correspondiente. Por el contrario, los mensajes cifrados con la clave pública solo se pueden descifrar utilizando la clave privada. Cada sujeto PKI tiene una clave pública y privada.

El sujeto de PKI puede ser la computadora de un usuario o una PDA, o cualquier otro elemento de la infraestructura de red: un enrutador, un servidor web e incluso un servidor RADIUS, que es el caso en nuestro caso. A la cabeza de todo este sistema se encuentra la autoridad principal CA (Certificate Autority), se supone que todos confían en él y todos lo conocen: se dedica a firmar certificados (certificando que el portador del certificado es realmente quien dice ser). Cuenta con la asistencia de servicios especiales para recibir solicitudes de certificados y expedirlos; los números de todos los certificados emitidos y revocados se mantienen en un registro especial. En realidad, toda esta economía aparentemente grande cabe en una computadora y una persona puede administrarla fácilmente.

Para crear certificados, usaremos los scripts que vienen con FreeRADIUS.

• Primero, creemos nuestra propia CA, para esto necesitaremos generar una firma digital, que firmará todos los certificados emitidos por ella, así como la clave pública.
• Luego crearemos un certificado de servidor, lo instalaremos en RADIUS.
• Finalmente, generaremos certificados para su instalación en equipos cliente.

Cree el directorio / usr / local / etc / raddb / CA, copie el archivo CA.all y el archivo xpextensions de la carpeta /usr/ports/net/freeradius/work/freeradius-1.0.2/scripts/ allí. CA.all es un script interactivo que crea certificados de CA, cliente y servidor. Xpextensions es un archivo que contiene claves especiales de "Uso extendido de claves" de Microsoft que se requieren para que EAP-TLS funcione con sistemas Windows.

Abra el archivo CA.all:

• en la línea 1 corregimos la ruta; debería verse así:

SSL \u003d / usr / local / openssl

• en la línea 32 corregimos la ruta, debería verse así:

echo "newreq.pem" | /usr/local/openssl/ssl/misc/CA.pl -newca

Copie CA.all al archivo CA_users.all. Luego abrimos el último y dejamos el texto de las líneas 48 a 64, borramos el resto de líneas - el resto es la sección CA.all, en la que se generan los certificados de cliente. Se usará muchas veces, por lo que es conveniente separarlo en un script separado. Abra CA.all, elimine las líneas de la 48 a la 64, todo lo que se seleccionó en un script separado y guárdelo.

Nota: los archivos CA.all y CA_users.all - contienen la contraseña secreta "cualquiera", que se utiliza como medida de seguridad adicional al emitir certificados y su revocación. Una persona que no conozca esta frase no podrá firmar ni revocar el certificado. En principio, a excepción del operador de CA, nadie más lo necesitará. Para mejorar la seguridad, debe reemplazar todas las palabras "lo que sea" en los scripts CA.all y CA_users.all por su contraseña. También deberá introducirse en eap.conf en la línea "contraseña_privada_clave \u003d lo que sea". En lo que sigue, asumiré que hemos dejado la contraseña “lo que sea” sin cambios en todas partes. Lo introduciremos creando certificados de cliente y servidor, así como revocándolos.

Crear certificado de CA y servidor

Inicie CA.all. Lo primero que genera de forma interactiva es un certificado raíz de CA (cacert.pem), un par de claves pública / privada (cakey.pem), una clave pública de certificado raíz PKCS # 12 (root.der), luego un certificado de servidor (cert_srv.pem ) que instalaremos en RADIUS. Todos los archivos enumerados (e incluso algunos que no figuran) aparecerán en la carpeta CA.

Cree una CA (se llamará "Administrador"):

Nombre de la unidad organizativa (p. Ej., Sección): megacompany.central.office Nombre común (por ejemplo, SU nombre): Administrador

Cree un certificado para RADIUS:

Nombre de la organización (p. Ej., Empresa): MegaCompany Co. Limitado. Nombre de la unidad organizativa (p. Ej., Sección): RADIUS Nombre común (por ejemplo, SU nombre): RADIUS Dirección de correo electrónico: [email protected]

Copie los archivos /raddb/CA/cert_srv.pem y /raddb/CA/demoCA/cacert.pem a la carpeta / raddb / certs; instaló los certificados en el servidor RADIUS.

Creamos certificados de clientes

Usamos nuestro script CA_users.all para generar certificados de cliente. Por ejemplo, creemos un certificado para el usuario1:

• Abra CA_users.all, reemplace todas las palabras cert-clt. * En él, con user1. * (Esto es necesario para distinguir por el nombre de archivo qué certificado está destinado a qué usuario, de lo contrario se creará un certificado con el mismo nombre de archivo ( cert-clt. *). Crearemos varios certificados a la vez para user1, user2,3,4,5). Alternativamente, puede usar los nombres descriptivos de los archivos que contienen el certificado, por ejemplo, SergeyPetrov, IvanIvanov, etc.
• La contraseña - "lo que sea" en las líneas 3, 4 se reemplaza por una real, como se muestra en la lista:

Archivo CA_users.all

1 | openssl req -new -keyout newreq.pem -out newreq.pem -days 730 -passin pass: lo que sea -passout pass: lo que sea

2 | openssl ca -policy policy_anything -out newcert.pem -passin pass: lo que sea -clave lo que sea -extensiones xpclient_ext \\

Extfile xpextensions -infiles newreq.pem

3 | openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -out user1.p12 -clcerts -passin pass: lo que sea -passout pass: user1_password

4 | openssl pkcs12 -in user1.p12 -out user1.pem -passin pass: user1_password -passout pass: user1_password

5 | openssl x509 -inform PEM -outform DER -in user1.pem -out user1.der

Por ejemplo, ingresamos "user1_password"; esta contraseña se le pedirá al instalar el certificado en la computadora del usuario, debe recordarla. Este, como ya he dicho, es un medio adicional de autenticación para acciones relacionadas con la emisión de un certificado.

• Guardamos y ejecutamos el script, obtenemos tres archivos user1.der, user1.pem, user1.p12 - este último es un certificado en formato PKСS # 12 para su instalación en un cliente Windows.

Ejecute CA_users.all modificado. Cree un certificado para el usuario1:

Nombre del país (código de 2 letras): RU

Nombre del estado o provincia (nombre completo): Moscú Nombre de la localidad (p. Ej., Ciudad): Moscú Nombre de la organización (p. Ej., Empresa): MegaCompany Co. Limitado. Nombre común (por ejemplo, SU nombre): Andrey Ivanov Dirección de correo electrónico: [email protected] Ingrese los siguientes atributos "adicionales" para ser enviado con su solicitud de certificado Una contraseña de desafío: lo que sea Un nombre de empresa opcional: (presione enter)

Ahora generamos una contraseña para user2:

• Abra CA_users.all, reemplace user1. * Con user2. *
• Reemplace la contraseña "user1_password" por "user2_password" (no olvide recordarla para que pueda instalar el certificado más tarde).
• Guardamos y ejecutamos el script; obtenemos el archivo user2.p12.

Cree un certificado para user2:

Nombre del país (código de 2 letras): RU Nombre del estado o provincia (nombre completo): Moscú Nombre de la localidad (p. Ej., Ciudad): Moscú Nombre de la organización (p. Ej., Empresa): MegaCompany Co. Limitado. Nombre de la unidad organizativa (p. Ej., Sección): Departamento de TI Nombre común (por ejemplo, SU nombre): Mikhail Ivanov Dirección de correo electrónico: [email protected] Ingrese los siguientes atributos "adicionales" para ser enviado con su solicitud de certificado Una contraseña de desafío: lo que sea Un nombre de empresa opcional:

Guardamos cada certificado en un disquete separado, escribimos la contraseña de instalación ("userX_password"), escribimos la clave pública root.der en el mismo disquete (es la misma para todos) y se la damos al usuario. El usuario instala el certificado en su computadora (más sobre esto más adelante) y guarda el disquete en la caja fuerte.

Instalación de certificados en la computadora cliente

Entonces, el usuario (digamos el que llamamos usuario1) recibió un disquete, cuyo contenido son dos archivos root.der y user1.p12. También está escrita en el disquete la contraseña "user1_password".

Comencemos por instalar root.der

• haga doble clic en el archivo root.der;
• haga clic en "Instalar certificado";
• haga clic en Siguiente";
• seleccione la opción "Colocar todos los certificados en la siguiente tienda", haga clic en "Examinar" (Fig. 4);

• seleccione "Trusted Root Certification Authorities", haga clic en "Aceptar" (Fig. 5);

• haga clic en "Siguiente", luego en "Finalizar";
• se muestra una advertencia de seguridad: “Es imposible verificar que el certificado pertenece a“ Administrador…. ¿Instalar este certificado? " presionamos "Sí";
• aparece el mensaje "Importación completada correctamente", haga clic en "Aceptar" dos veces.

Instale el certificado de usuario user1.p12.

• Haga doble clic en el archivo user1.p12, haga clic en "Siguiente" dos veces.

• Aquí debe ingresar la contraseña que configuramos para el certificado de usuario1. En nuestro ejemplo, esto es "user1_pass-word" (bueno, o lo que se te ocurra), está escrito convencionalmente en un disquete con un certificado. Lo ingresamos y hacemos clic en "Siguiente".
• Haga clic en "Siguiente", luego en "Finalizar"; aparecerá el mensaje "Importación completada correctamente", haga clic en "Aceptar".

Nota: todos los certificados que tenemos instalados se pueden ver a través de MMC usando el complemento Certificados -\u003e Usuario actual (Personal -\u003e Certificados).

Configuración de adaptadores inalámbricos D-Link DWL-G650 (DWL-G520 / DWL-G120) y un solicitante

D-Link DWL-G650 es un adaptador CardBus, DWL-G520 es un adaptador PCI y DWL-G120 es un adaptador USB. Están configurados completamente idénticos. Veamos el procedimiento usando el DWL-G650 como ejemplo.

• Sacamos el adaptador de la caja, lo dejamos a un lado; instale los controladores desde el disco incluido. Después de instalar el controlador, eliminamos la utilidad nativa para configurar el adaptador desde el inicio, porque usaremos el servicio de configuración inalámbrica integrado en Windows XP para este propósito. Insertamos el adaptador en la computadora.
• Haga clic una vez con el botón izquierdo del mouse en el icono de conexión inalámbrica tachado (en la bandeja del sistema), luego seleccione el elemento "Cambiar parámetros adicionales" (Fig. 7).

• Seleccione la pestaña "Redes inalámbricas", seleccione nuestra red inalámbrica allí (megacompany_DWL-2100AP), vaya a "Propiedades" (Fig. 8).

• En la pestaña "Conexiones" del menú desplegable "Cifrado de datos", seleccione el protocolo TKIP. Pasamos a la pestaña "Autenticación" (Fig. 9).

• Aquí dejamos todo sin cambios, vamos a las "Propiedades" del EAP (Fig. 10).

• Colocamos los interruptores como se muestra en la fig. 11, en la ventana "Entidades de certificación raíz de confianza", seleccione nuestra CA; se llamará Administrador (si todo se hace exactamente como se describe en la sección "Creación de certificados").

• Por si acaso, haga clic en "Ver certificado" y estudie quién es el proveedor del certificado. Nos aseguramos de que este sea nuestro "Administrador" de CA corporativa que creamos (Fig. 12).

• Haga clic en "Aceptar", esto completa la configuración de la tarjeta de red y el superlicante.

Comprobando WPA-Enterprise en nuestra red

Ahora ha llegado el momento tan esperado de probar todos los ajustes en funcionamiento. Inicie FreeRADIUS en modo de depuración con el comando "radiusd -X" y vea en la pantalla:

radio # radiusd –X

Comenzando - leyendo archivos de configuración ... reread_config: leyendo radiusd.conf

Al final hay líneas:

Escuchando en autenticación 192.168.0.222:1812 Escuchando en autenticación 192.168.0.222:1813 Escucha en autenticación 192.168.0.222:1814 Listo para procesar solicitudes.

Bueno, o en el peor de los casos, está escrito por qué FreeRADIUS no se inició, no se desespere si esto sucede. Debe estudiar detenidamente el mensaje de error y verificar todas las configuraciones.

Haga clic en el icono de conexión de red inalámbrica y luego en la red inalámbrica llamada "mega-company_DWL-2100AP". Luego miramos el monitor, en el que se está ejecutando radiusd y se muestra el proceso de autenticación exitosa (no mostraremos la salida completa del servidor, porque es bastante grande, solo daremos las líneas inicial y final).

Inicio de la baja:

rad_recv: paquete de solicitud de acceso desde el host 192.168.0.220:1044, id \u003d 0, longitud \u003d 224 Autenticador de mensajes \u003d 0x Tipo de servicio \u003d Usuario enmarcado Nombre de usuario \u003d "Andrey Ivanov" MTU enmarcado \u003d 1488 Id. De estación llamada \u003d "00-11-95-8E-BD-30: megacompany_DWL-2100AP" ID de la estación de llamada \u003d "00-0D-88-88-D5-46" NAS-Identifier \u003d "Punto de acceso D-Link"

Fin del retiro:

Nombre de usuario \u003d "Andrey Ivanov" Solicitud finalizada 4 Pasando a la siguiente solicitud Despertar en 6 segundos ... Recorriendo toda la lista de solicitudes --- Solicitud de limpieza 0 ID 0 con marca de tiempo 4294d303 Solicitud de limpieza 1 ID 1 con marca de tiempo 4294d303 Solicitud de limpieza 2 ID 2 con marca de tiempo 4294d303 Solicitud de limpieza 3 ID 3 con marca de tiempo 4294d303 Solicitud de limpieza 4 ID 4 con marca de tiempo 4294d303 Nada que hacer. Dormir hasta que veamos una solicitud.

La autenticación se realizó correctamente, el equipo obtiene una dirección IP del servidor DHCP y ahora puede trabajar en la red inalámbrica. Por cierto, si varios certificados de cliente están instalados en la computadora (esto también sucede), el superlicante ofrecerá elegir cuál usar para una autenticación específica.

Revocación de certificados

Parece que todo ya está claro: ya se ha construido una red inalámbrica segura, pero de hecho hay un aspecto más importante que ahora consideraremos. Supongamos que queremos denegar el acceso a la red inalámbrica para una de las computadoras (por ejemplo, la computadora portátil personal de uno de los empleados), en la que previamente instalamos el certificado. Las razones pueden ser las más comunes: despido de un empleado, reducción, etc. Para resolver este problema, debe marcar en el registro (/usr/local/etc/raddb/CA/demoCA/index.txt), que contiene una lista de todos los certificados firmados, el certificado del usuario al que queremos denegar el acceso a la red, como revocado. Después de eso, debe crear (o actualizar, si ya existe) una Lista de revocación de certificados (CRL). Y luego configure RADIUS para que al autenticar usuarios, se refiera a esta lista y verifique si el certificado de cliente presentado está en ella.

En nuestros experimentos anteriores, creamos dos certificados para usuario1 (Andrey Ivanov) y usuario2 (Mikhail Ivanov). Por ejemplo, neguemos el acceso a la red inalámbrica para este último. Demos los siguientes tres pasos.

Paso 1

Marcamos el certificado user2 en el registro como revocado: estando en / usr / local / etc / raddb / CA damos el comando:

radio # openssl ca -revocar usuario2.pem

943: error: 0E06D06C: rutinas del archivo de configuración: NCONF_get_string: sin valor: Revocación del certificado D734AD0E8047BD8F.

OpenSSL jura, pero hace lo que queremos. Durante la ejecución del comando, debe ingresar una contraseña secreta ("lo que sea"). En este caso, en /raddb/CA/demoCA/index.txt, el certificado se marcará como revocado, lo que podemos verificar mirando este archivo. La letra "R" aparece junto a la entrada del certificado revocado.

Paso 2

Cree una lista de revocación (CRL). Si ya existe, se actualizará. Estando en / usr / local / etc / raddb / CA, emitimos el comando:

radius # openssl ca -gencrl -out ca.crl

Usando la configuración de /etc/ssl/openssl.cnf 963: error: 0E06D06C: rutinas del archivo de configuración: NCONF_get_string: sin valor: /usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/conf/conf_lib.c: 329: grupo \u003d CA_nombre predeterminado \u003d sujeto_único Ingrese la contraseña para ./demoCA/private/cakey.pem: DEBUG: unique_subject \u003d "yes"

Nuevamente, durante la ejecución del comando, debe ingresar la contraseña secreta "lo que sea". Como resultado, el archivo ca.crl aparece en el directorio / raddb / CA / - esta es la lista de revocación. En el interior, parece un cifrado, puede verlo así:

radio # openssl crl -in ca.crl -text –noout

Lista de revocación de certificados (CRL): Versión 1 (0x0) Emisor: / C \u003d RU / ST \u003d Moscú / L \u003d Moscú / O \u003d MegaCompany Co. Ltd./OU\u003dmegacompany.central.office/CN\u003dAdministrator/emailAddress\[email protected] Última actualización: 27 de mayo a las 23:33:19 2005 GMT Próxima actualización: 26 de junio 23:33:19 2005 GMT Certificados revocados: Número de serie: D734AD0E8047BD8D Fecha de revocación: 27 de mayo a las 23:13:16 2005 GMT Algoritmo de firma: md5WithRSAEncryption D4: 22: d6: a3: b7: 70: 0e: 77: cd: d0: e3: 73: c6: 56: a7: 9d: b2: d5: 0a: e1: 23: ac: 29: 5f: 52: b0: 69: c8: 88: 2f: 98: 1c: d6: be: 23: b1: B9: ea: 5a: a7: 9b: fe: d3: f7: 2e: a9: a8: bc: 32: d5: e9: 64: 06: c4: 91: 53: 37: 97: fa: 32: 3e: df: 1a: 5b: e9: fd: 95: e0: 0d: 35: a7: ac: 11: c2: fe: 32: 4e: 1b: 29: c2: 1b: 21: f8: 99: cd: 4b: 9f: f5: 8a: 71: B8: c9: 02: df: 50: e6: c1: ef: 6b: e4: dc: f7: 68: da: ce: 8e: 1d: 60: 69: 48: anuncio:

Vemos en él un certificado revocado con el número de serie D734AD0E8047BD8D (también conocido como usuario2, también conocido como Mikhail Ivanov).

Tenga en cuenta que una propiedad importante de la CRL es su fecha de vencimiento. Debe actualizarse a más tardar (Actualización: 26 de junio a las 23:33:19 2005 GMT). La fecha de vencimiento de la CRL se puede establecer en el archivo openssl.cnf (teníamos default_crl_days \u003d 30).

Paso 3

Conectamos la lista de revisión a FreeRADIUS:

• copie el archivo /raddb/CA/ca.crl a / raddb / certs / (sobre el antiguo ca.crl, si está allí);
• vaya a / raddb / certs / y pegue ca.crl al archivo cacert.pem:

cat cacert.pem ca.crl\u003e ca.pem

• realice pequeños cambios en la sección del archivo TLS /raddb/eap.conf

# aquí cambiamos cacert.pem a ca.pem

CA_file \u003d $ (raddbdir) /certs/ca.pem

CA_path \u003d $ (raddbdir) / certs #agrega esta línea

check_crl \u003d yes # y esta línea

Intentemos autenticar la computadora con el certificado de usuario2 en la red. La autenticación falla, y el usuario1 ingresa libremente a la red inalámbrica, lo cual debía ser probado.

Ahora se puede considerar construida la red inalámbrica segura.

métodos de autenticación:

Message Digest 5 (MD5) es un procedimiento de autenticación de suplicante unidireccional por un servidor de autenticación, basado en el hash MD5 del nombre de usuario y contraseña como confirmación para el servidor RADIUS. Este método no admite la gestión de claves ni la generación de claves dinámicas. Esto excluye su uso en los estándares 802.11i y WPA.

Transport Layer Security (TLS) es un procedimiento de autenticación que implica el uso de certificados digitales X.509 como parte de una infraestructura de clave pública (PKI). EAP-TLS admite la generación de claves dinámicas y la autenticación mutua entre el solicitante y el servidor de autenticación. La desventaja de este método es la necesidad de mantener una infraestructura de clave pública.

TLS tunelizado (TTLS): EAP amplía las capacidades de EAP-TLS. EAP-TTLS utiliza la conexión segura establecida como resultado del protocolo de enlace TLS para intercambiar información adicional entre el solicitante y el servidor de autenticación.

También existen otros métodos:

EAP-SIM, EAP-AKA: utilizado en redes móviles GSM

LEAP: un método pro-preorético de los sistemas Cisco

EAP-MD5 es el método más simple similar a CHAP (no persistente)

EAP-MSCHAP V2: método de autenticación basado en nombre de usuario / contraseña en redes MS

EAP-TLS: autenticación de certificado digital

EAP-SecureID es un método de contraseña de un solo uso

Además de lo anterior, deben tenerse en cuenta los dos métodos siguientes, EAP-TTLS y EAP-PEAP. A diferencia de los anteriores, estos dos métodos primero forman un túnel TLS entre el cliente y el servidor de autenticación antes de autenticar directamente al usuario. Y ya dentro de este túnel, la autenticación en sí se lleva a cabo, utilizando ya sea EAP estándar (MD5, TLS), o métodos antiguos no EAP (PAP, CHAP, MS-CHAP, MS-CHAP v2), estos últimos solo funcionan con EAP-TTLS (PEAP utilizado solo junto con los métodos EAP). El túnel previo mejora la seguridad de la autenticación al proteger contra el intermediario, el secuestro de sesiones o los ataques de diccionario.

El protocolo PPP apareció allí porque EAP se planeó originalmente para usarse en túneles PPP. Pero dado que el uso de este protocolo solo para la autenticación en la red local es una redundancia innecesaria, los mensajes EAP se empaquetan en paquetes "EAP over LAN" (EAPOL), que se utilizan para intercambiar información entre el cliente y el autenticador (punto de acceso).

Esquema de autenticación

Tiene tres componentes:

Solicitante: software que se ejecuta en una máquina cliente que intenta conectarse a la red

Autenticador: punto de acceso, autenticador (punto de acceso inalámbrico o conmutador cableado compatible con 802.1x)

Servidor de autenticación: servidor de autenticación (generalmente un servidor RADIUS)

Ahora veamos el proceso de autenticación en sí. Consta de las siguientes etapas:

El cliente puede enviar una solicitud de autenticación (mensaje de inicio EAP) hacia el punto de acceso.

El punto de acceso (autenticador) responde enviando al cliente un mensaje de solicitud / identidad EAP. Un autenticador puede enviar una solicitud EAP por sí solo si ve que alguno de sus puertos se ha activado.

En respuesta, el cliente envía un paquete de respuesta EAP con los datos requeridos, que el punto de acceso (autenticador) redirige hacia el servidor Radius (servidor de autenticación).

El servidor de autenticación envía un paquete de desafío al autenticador (punto de acceso) (solicitud de información sobre la autenticidad del cliente). El autenticador lo reenvía al cliente.

A continuación, tiene lugar el proceso de identificación mutua del servidor y el cliente. El número de etapas de ida y vuelta para el reenvío de paquetes varía según el método EAP, pero para las redes inalámbricas solo se acepta la autenticación "fuerte" con autenticación mutua cliente-servidor (EAP-TLS, EAP-TTLS, EAP-PEAP) y el cifrado previo del canal de comunicación.

En la siguiente etapa, el servidor de autenticación, habiendo recibido la información necesaria del cliente, permite (acepta) o niega (rechaza) ese acceso, enviando este mensaje al autenticador. El autenticador (punto de acceso) abre el puerto para el Suplicante si se recibe una respuesta positiva (Aceptar) del servidor RADIUS.

El puerto se abre, el autenticador envía un mensaje de finalización exitosa al cliente y el cliente obtiene acceso a la red.

Después de desconectar al cliente, el puerto en el punto de acceso vuelve al estado "cerrado".

Los paquetes EAPOL se utilizan para la comunicación entre el cliente (solicitante) y el punto de acceso (autenticador). El protocolo RADIUS se utiliza para intercambiar información entre un autenticador (punto de acceso) y un servidor RADIUS (servidor de autenticación). Cuando la información está en tránsito entre el cliente y el servidor de autenticación, los paquetes EAP se vuelven a empaquetar de un formato a otro en el autenticador.

Hoy profundizaremos un poco más en el tema de la seguridad inalámbrica. Averigüemos qué tipo de encriptación WiFi es (también se llama "autenticación") y cuál es mejor elegir. Seguramente cuando se encontró con abreviaturas como WEP, WPA, WPA2, WPA2 / PSK. Y también algunas de sus variedades: Personal o Enterprice y TKIP o AES. Bueno, echemos un vistazo más de cerca a todos ellos y descubramos qué tipo de cifrado elegir para proporcionar la máxima velocidad sin pérdida de velocidad.

¿Para qué sirve el cifrado WiFi?

Tenga en cuenta que debe proteger su WiFi con una contraseña, independientemente del tipo de cifrado que elija. Incluso la autenticación más simple evitará algunos problemas bastante serios en el futuro.

¿Por qué digo eso? Ni siquiera es que la conexión de muchos clientes zurdos ralentizará su red, son solo flores. La razón principal es que si su red no está protegida con contraseña, entonces un atacante puede apegarse a ella, quien realizará acciones ilegales desde debajo de su enrutador, y luego tendrá que responder por sus acciones, así que tome la protección de wifi con toda seriedad.

Tipos de autenticación y cifrado de datos WiFi

Entonces, estábamos convencidos de la necesidad de encriptar la red wifi, ahora veamos qué tipos hay:

¿Qué es la protección wifi WEP?

WEP (Wired Equivalent Privacy) es el primer estándar que apareció, que ya no cumple con los requisitos modernos en términos de confiabilidad. Todos los programas configurados para piratear una red wifi mediante la enumeración de caracteres están destinados en mayor medida precisamente a seleccionar una clave de cifrado WEP.

¿Qué es la clave o contraseña WPA?

WPA (acceso protegido a Wi-Fi) es un estándar de autenticación más moderno que le permite proteger de manera confiable la red local e Internet contra la penetración ilegal.

¿Qué es WPA2-PSK - Personal o Enterprise?

WPA2 es una versión mejorada del tipo anterior. Hackear WPA2 es casi imposible, proporciona el máximo grado de seguridad, así que en mis artículos siempre digo sin explicación que necesitas instalarlo, ahora sabes por qué.

Los estándares de seguridad WiFi WPA2 y WPA tienen dos variantes más:

• Personal, denominado WPA / PSK o WPA2 / PSK. Este tipo es el más utilizado y el más óptimo para su uso en la mayoría de los casos, tanto en el hogar como en la oficina. En WPA2 / PSK, establecemos una contraseña de al menos 8 caracteres, que se almacena en la memoria del dispositivo que conectamos al enrutador.
• Enterprise es una configuración más compleja que requiere que la función RADIUS en el enrutador esté habilitada. Funciona de acuerdo con el principio, es decir, se asigna una contraseña separada para cada dispositivo conectado por separado.

Tipos de cifrado WPA: ¿TKIP o AES?

Por lo tanto, decidimos que WPA2 / PSK (Personal) sería la mejor opción para la seguridad de la red, pero tiene dos tipos más de cifrado de datos para la autenticación.

• TKIP es ahora un tipo desactualizado, pero todavía se usa ampliamente, ya que muchos dispositivos solo lo admiten durante un cierto número de años. No funciona con tecnología WPA2 / PSK y no es compatible con WiFi 802.11n.
• AES es el tipo de cifrado WiFi más reciente y seguro.

¿Cómo elegir el tipo de cifrado y poner la clave WPA en el router WiFi?

Con la teoría resuelta, pasemos a la práctica. Dado que los estándares WiFi 802.11 "B" y "G", que tienen una velocidad máxima de hasta 54 Mbps, no se han utilizado durante mucho tiempo, hoy la norma es 802.11 "N" o "AC", que admite velocidades de hasta 300 Mbps y superiores. , entonces no tiene sentido considerar la opción de usar protección WPA / PSK con el tipo de encriptación TKIP. Por lo tanto, cuando configure una red inalámbrica, establezca la

O, como último recurso, especifique "Auto" como el tipo de encriptación para permitir la conexión de dispositivos con un módulo WiFi desactualizado.

En este caso, la clave WPA, o, simplemente, la contraseña para conectarse a la red, debe tener de 8 a 32 caracteres, incluidas letras mayúsculas y minúsculas en inglés, así como varios caracteres especiales.

Seguridad inalámbrica en el enrutador TP-Link

Las capturas de pantalla anteriores muestran el panel de control de un enrutador TP-Link moderno en la nueva versión de firmware. La configuración de cifrado de red se encuentra aquí en "Configuración avanzada - Inalámbrico".

En la antigua versión "verde", las configuraciones de red WiFi que nos interesan se encuentran en el menú "Modo inalámbrico - Seguridad". Haz todo como en la imagen, ¡será genial!

Si se dio cuenta, todavía existe un elemento como "Período de renovación de clave de grupo WPA". El punto es que la clave digital WPA real para cifrar la conexión se cambia dinámicamente para proporcionar más protección. Aquí establece el valor en segundos después del cual ocurre el cambio. Recomiendo no tocarlo y dejarlo en su estado predeterminado: el intervalo de actualización difiere de un modelo a otro.

Método de autenticación para el enrutador ASUS

En los enrutadores ASUS, todos los parámetros WiFi se encuentran en una página "Red inalámbrica"

Protección de red a través del enrutador Zyxel Keenetic

Del mismo modo, para Zyxel Keenetic - sección "Red WiFi - Punto de acceso"

Bueno, hoy descubrimos los tipos de encriptación WiFi y términos como WEP, WPA, WPA2-PSK, TKIP y AES y descubrimos cuál es mejor elegir. Lea sobre otras opciones de seguridad de red también en uno de los artículos anteriores, en el que hablo de direcciones MAC e IP y otros métodos de protección.

Video sobre la configuración del tipo de cifrado en el enrutador