- Основы
- Что такое центры сертификации (ca)?
- Что проверяется в таких случаях?
- Началась сертификация поддержки wi-fi 6
- Отключите FIPS для вашей сети
- 2,4 / 5 ггц wi-fi
- Проверьте отключенные службы запуска
- Вручную добавить беспроводную сеть
- Очистите DNS и перезагрузите каталог Winsock
- Восстановите Windows до более ранней точки
- Sgc сертификаты
- Wi-fi aware
- Wi-fi direct
- Wi-fi vantage
- Windows 10: изменение ключа безопасности wifi
- Wpa и wpa2
- Wpa2 enterprise
- Wps/qss
- Есть ли разница в каком центре сертификации заказывать сертификат?
- История
- Как защищаемся
- Как организовать подключение к wifi сети с помощью сертификата?
- Минкомсвязь предложила правила сертификации оборудования для wi-fi 6
- Мнение экспертов
- Насколько это надежно
- Обновление ключа безопасности для определенной сети wifi с помощью командной строки
- Обновление ключа безопасности для сети wifi вручную
- Пароль (ключ) wpa psk
- Передайте мне сахар
- План атаки
- По какому принципу работает ssl сертификат?
- Про wpa2-enterprise
- Расположение wi-fi
- Сертификаты с расширенной проверкой.
- Сертификация wi-fi
- Сертификация wi-fi сети
- Типы сертификации
- Трафик почувствует разницу
- Чем еще отличаются сертификаты между собой
Основы
Любое взаимодействие точки доступа (сети), и беспроводного клиента, построено на:
Параметры беспроводной сети, в первую очередь ее имя (SSID), регулярно анонсируются точкой доступа в широковещательных beacon пакетах. Помимо ожидаемых настроек безопасности, передаются пожелания по QoS, по параметрам 802.11n, поддерживаемых скорости, сведения о других соседях и прочее. Аутентификация определяет, как клиент представляется точке. Возможные варианты:
Открытость сети не означает, что любой желающий сможет безнаказанно с ней работать. Чтобы передавать в такой сети данные, необходимо совпадение применяющегося алгоритма шифрования, и соответственно ему корректное установление шифрованного соединения.
Что такое центры сертификации (ca)?
Это организация, которая обладает правом выдачи цифровых сертификатов. Она производит проверку данных, содержащихся в CSR, перед выдачей сертификата. В самых простых сертификатах проверяется только соотвествие доменного имени, в самых дорогих производится целый ряд проверок самой организации, которая запрашивает сертификат. Об этом мы поговорим ниже.
Так вот, разница между самоподписными бесплатным и платными сертификатами, выданными центром сертификации как раз и заключается в том, что данные в сертификате проверены центром сертификации и при использовании такого сертификата на сайте ваш посетитель никогда не увидит огромную ошибку на весь экран.
Говоря в общем, SSL сертификаты содержат и отображают (как минимум одно из) ваше доменное имя, ваше название организации, ваш адрес, город и страницу. Также сертификат всегда имеет дату окончания и данные о центре сертификации, ответственного за выпуск сертификата.
Браузер подключается к защищенному сайту, получает от него SSL сертификат и делает ряд проверок: он не просрочен ли сертификат, потом он проверяет, выпущен ли сертификат известным ему центром сертификации (CA) используется ли сертификат на сайте, для которого он был выпущен.
Если один из этих параметров не проходит проверку, браузер отображает предупреждение посетителю, чтобы уведомить, что этот сайт не использует безопастное соединение SSL. Он предлагает покинуть сайт или продолжить просмотр, но с большой осторожностью.
Центров сертификации существует достаточно много, вот перечень самых популярных:Comodo — работает с 1998 штабквартира в Jersey City, New Jersey, США.Geotrust — основан в 2001, в 2006 продан Verisign, штабквартира Mountain View, California, СШАSymantec — бывший Verisign в состав которого входит и Geotrust.
Как видим самый крупный игрок на рынке SSL сертификатов это Symantec, который владеет тремя крупнейшими центрами сертификации — Thawte, Verisgin и Geotrust.
Что проверяется в таких случаях?
У разных центров сертификации проверка несколько отличается, поэтому приведу общий список пунктов, которые могут быть проверены или запрошены:
- Наличие организации в международных желтых страницах — проверяется не всеми центрами сертифации
- Наличие в whois домена названия вашей организации — а вот это уже проверят обязательно, и если такое название там не указано от вас скорей всего затребуют гарантийное письмо, в котором нужно указать, что домен действительно принадлежит организации, иногда могут затребовать подтверждение от регистратора
- Свидетельство о государственной регистрации — требуют все реже, чаще сейчас производится проверка через специальные компании, которые производят проверку существования организации по своим каналам. Например для Украины вас могут проверить по базе ЕДРПОУ
- Счет от телефонной компании, в которой содержится название вашей организации и ваш номер телефона, указанный в заказе — таким образом проверяется валидность вашего телефона. Требуют все реже.
- Проверочный звонок — все чаще правильность телефона проверяют осуществляя звонок, на номер телефона, указанный вами в заказе. При звонке спросят сотрудника, указанного в административном контакте. Не у всех центров сертификации есть русскоговорящие сотрудники, поэтому предупредите человека, который отвечает на телефон, что возможен звонок от англоязычной компании.
Началась сертификация поддержки wi-fi 6
Организация Wi-Fi Alliance сообщила, что начала работу программа сертификации Wi-Fi CERTIFIED 6. Оборудование Wi-Fi CERTIFIED 6 соответствует спецификации IEEE 802.11ax, в которой закреплены новые возможности, позволяющие «существенно повысить общую производительность сети Wi-Fi в сложных условиях со многими подключенными устройствами, таких как стадионы, аэропорты и промышленные парки».
Как утверждается, устройства и сети нового поколения Wi-Fi «отвечают самым высоким стандартам безопасности и совместимости». В частности, речь идет о поддержке Wi-Fi CERTIFIED WPA3. Другие расширенные возможности Wi-Fi CERTIFIED 6 включают многостанционный доступ с ортогональным частотным разделением каналов (OFDMA), за счет чего повышается эффективность сети и снижаются задержки;
технологию MU-MIMO, которая позволяет одновременно передавать больше данных по нисходящей линии связи и позволяет точке доступа передавать данные на большее количество устройств одновременно; каналы шириной 160 МГц, обеспечивающие большую пропускную способность;
функцию Target wake time (TWT), которая значительно увеличивает время автономной работы устройств интернета вещей; квадратурную амплитудную модуляцию 1024 (1024-QAM), которая увеличивает пропускную способность за счет кодирования большего количества данных в том же объеме спектра.
Источник
Отключите FIPS для вашей сети
Если вы получаете сообщение Windows не удалось найти сертификат на вашем ПК, вы можете исправить это, отключив FIPS для вашей сети.
- Откройте Панель управления в строке поиска/Кортана.
- Откройте Сеть и Интернет >Просмотр состояния сети и задач.
- В разделе Активные сети нажмите на проблемную сеть WiFi.
- Нажмите кнопку Свойства беспроводной сети .

- Затем нажмите вкладку «Безопасность» и нажмите Дополнительные параметры.

- Снимите флажок Включить соответствие федеральным стандартам обработки информации (FIPS) для этой сети .

- Нажмите ОК во всех открытых окнах, чтобы сохранить изменения.
2,4 / 5 ггц wi-fi
Протоколы 802.11 являются стандартами IEEE. Wi-Fi Alliance создал ярлыки Wi-Fi 1-to-6, начиная с 2021 года, с Wi-Fi 5 и задним числом добавленные для Wi-Fi 1-to-4. Оба Wi-Fi 1 и 2 возникли в 1999 году. Wi-Fi 1 сначала получил более широкое распространение, а Wi-Fi 2 имел большую пропускную способность.
- 802.11b (Wi-Fi 1)
- 802.11a (Wi-Fi 2)
- 802.11g (Wi-Fi 3)
- 802.11n (Wi-Fi 4)
- 802.11ac (Wi-Fi 5)
- 802.11ax (Wi-Fi 6)
Проверьте отключенные службы запуска
Windows не удалось найти сертификат может иногда отображаться, если вы отключили важные службы запуска. Чтобы это исправить, выполните следующие действия:
- Нажмите Windows Key R .
- Введите msconfig a и нажмите Enter .
- В окне Конфигурация системы перейдите на вкладку “Службы”.

- Пройдите через все сервисы. Если вы видите какой-либо сервис, который отключен (не отмечен), просто установите флажок, чтобы включить его снова.
- Нажмите кнопку Применить> ОК , чтобы сохранить изменения.
- Перезагрузите компьютер и проверьте наличие улучшений.
Вручную добавить беспроводную сеть
Чтобы исправить эту ошибку, вы можете вручную создать или добавить профиль беспроводной сети на компьютер с Windows. Выполните следующие действия, чтобы создать беспроводную сеть вручную. Этапы работают для всех версий Windows начиная с Vista.
- Откройте Управление из Cortana/панель поиска.
- Нажмите Сеть и Интернет.
- Откройте Центр управления сетями и общим доступом.
- Нажмите Настроить новое подключение или сеть .

- Откроется новое диалоговое окно. Выберите Подключиться к беспроводной сети вручную и нажмите Далее.

- Здесь вам нужно ввести информацию о беспроводной сети, которую вы хотите добавить. Итак, введите «Имя сети», выберите тип безопасности в раскрывающемся меню и введите ключ безопасности (пароль для сети).

- Выберите Начать это подключение автоматически и Подключиться, даже если сеть не передает . Нажмите Далее и закройте окно.
- Перейдите в Центр управления сетями и общим доступом> Управление сетевымиподключениями. И попробуйте подключиться, используя только что созданную сеть.
Теперь попробуйте получить доступ к Интернету, чтобы увидеть, решена ли проблема.
Очистите DNS и перезагрузите каталог Winsock
В некоторых случаях Windows не удалось найти сертификат. может появляться ошибка из-за проблем с кешем DNS.Чтобы это исправить, сделайте следующее:
- Введите cmd в строке поиска/Кортана. Нажмите правой кнопкой мыши Командную строку в результатах и выберите Запуск от имени администратора.

- В командной строке введите следующую команду и нажмите ввод:
Далее вам нужно сбросить каталог Winsock. Вот как это сделать.
- Откройте командную строку от имени администратора.
- В окне Командная строка введите следующую команду и нажмите ввод:
- По завершении вы увидите сообщение Сброс Winsock успешно завершен .
- Перезагрузите компьютер и проверьте, разрешена ли сеть.
Восстановите Windows до более ранней точки
ОС Windows по умолчанию создает точку восстановления системы на локальном жестком диске. Если вы получаете сообщение Windows не удалось найти сертификат , вы можете исправить это, выполнив следующие действия:
- Введите Точку восстановления в строке поиска/Кортана и Создать точку восстановления .
- Нажмите Восстановление системы . Нажмите Далее , когда появится новое диалоговое окно.

- Установите флажок Показать больше точек восстановления .
- Пройдите через все точки восстановления системы и выберите недавно созданную точку восстановления.

- Нажмите Готово . Подождите, пока Windows восстановит ПК до более ранней точки.
- После перезагрузки проверьте наличие каких-либо улучшений.
Итак, вот несколько решений, которые могут исправить ошибку Windows не смогла найти ошибку сертификата на вашем ПК.
Sgc сертификаты
Сертификаты с поддержкой повышения уровня шифрования. Актуально для очень старых браузеров, которые поддерживали только 40 или 56 бит шифрование. При использовании этого сертификата уровень шифрования принудительно повышается до 128 бит.
За все время у нас не купили не одного такого сертификата. Мое мнение, что они уже не нужны, разве что для внутреннего использования в больших корпорациях, где сохранилось очень старое железо.
Цена: от 300 $ в год.
Wi-fi aware
Wi-Fi Aware — это программа сертификации совместимости, объявленная в январе 2021 года, которая позволяет пользователям устройств, когда они находятся в зоне действия конкретной точки доступа или другого совместимого устройства, получать уведомления о приложениях или службах, доступных в непосредственной близости.
В СМИ сразу же высказались опасения, что он будет использоваться преимущественно для бесконтактного маркетинга .
Wi-fi direct
В октябре 2021 года Альянс начал сертифицировать Wi-Fi Direct , который позволяет устройствам с поддержкой Wi-Fi напрямую связываться друг с другом, настраивая одноранговые сети без прохождения через точку беспроводного доступа или точку доступа. С 2009 года, когда он был впервые объявлен, некоторые предполагали, что Wi-Fi Direct может заменить необходимость в Bluetooth в приложениях, которые не полагаются на Bluetooth с низким энергопотреблением.
Wi-Fi Protected Access — это механизм безопасности, основанный на поправке IEEE 802.11i к стандарту, который Wi-Fi Alliance начал сертифицировать с 2003 года.
Wi-fi vantage
Ранее известная как Carrier Wi-Fi, Wi-Fi Vantage — это программа сертификации для операторов, позволяющая поддерживать и управлять качественными соединениями Wi-Fi в условиях интенсивного использования. Он включает в себя ряд сертификатов, таких как сертифицированный Wi-Fi ac (как в 802.11ac), Passpoint, Agile Multiband и Optimized Connectivity.
Wi-Fi Multimedia (WMM) или известный как Wireless Multimedia Extensions — это сертификат совместимости Wi-Fi Alliance, основанный на стандарте IEEE 802.11e . Он обеспечивает базовые функции качества обслуживания (QoS) для сетей IEEE 802.11 .
Windows 10: изменение ключа безопасности wifi
Беспроводная технология помогает нам подключать наши системы Windows к определенной сети Wi-Fi , чтобы мы могли легко получить доступ к Интернету без подключения кабеля к системе. В нашей повседневной жизни мы сталкивались со многими сетями WiFi . Всякий раз, когда вы попали в зону действия ранее подключенной сети Wi-Fi , независимо от того, защищена она или нет, вы автоматически подключаетесь. В некоторых случаях вам может потребоваться обновить код безопасности сети WiFi, чтобы вы могли подключиться к сети.
В этой статье я покажу вам, как обновить код доступа или ключ безопасности для определенной сети WiFi. Как правило, вы можете обновить ключ сети WiFi вручную или с помощью командной строки. Оба способа упомянуты здесь для вашего удобства.
Wpa и wpa2

WPA — второе поколение, пришедшее на смену WEP. Расшифровывается как Wi-Fi Protected Access. Качественно иной уровень защиты благодаря принятию во внимание ошибок WEP. Длина пароля — произвольная, от 8 до 63 байт, что сильно затрудняет его подбор (сравните с 3, 6 и 15 байтами в WEP).
Стандарт поддерживает различные алгоритмы шифрования передаваемых данных после рукопожатия: TKIP и CCMP. Первый — нечто вроде мостика между WEP и WPA, который был придуман на то время, пока IEEE были заняты созданием полноценного алгоритма CCMP. TKIP так же, как и WEP, страдает от некоторых типов атак, и в целом не безопасен.
Одна из занятных особенностей TKIP — в возможности так называемой Michael-атаки. Для быстрого залатывания некоторых особо критичных дыр в WEP в TKIP было введено правило, что точка доступа обязана блокировать все коммуникации через себя (то есть «засыпать»)
на 60 секунд, если обнаруживается атака на подбор ключа (описана во второй части). Michael-атака — простая передача «испорченных» пакетов для полного отключения всей сети. Причём в отличии от обычного DDoS тут достаточно всего двух (двух) пакетов для гарантированного выведения сети из строя на одну минуту.
WPA отличается от WEP и тем, что шифрует данные каждого клиента по отдельности. После рукопожатия генерируется временный ключ — PTK — который используется для кодирования передачи этого клиента, но никакого другого. Поэтому даже если вы проникли в сеть, то прочитать пакеты других клиентов вы сможете только, когда перехватите их рукопожатия — каждого по отдельности. Демонстрация этого с помощью Wireshark будет в третьей части.
Кроме разных алгоритмов шифрования, WPA(2) поддерживают два разных режима начальной аутентификации (проверки пароля для доступа клиента к сети) — PSK и Enterprise. PSK (иногда его называют WPA Personal) — вход по единому паролю, который вводит клиент при подключении.
Это просто и удобно, но в случае больших компаний может быть проблемой — допустим, у вас ушёл сотрудник и чтобы он не мог больше получить доступ к сети приходится применять способ из «Людей в чёрном» менять пароль для всей сети и уведомлять об этом других сотрудников.
Enterprise снимает эту проблему благодаря наличию множества ключей, хранящихся на отдельном сервере — RADIUS. Кроме того, Enterprise стандартизирует сам процесс аутентификации в протоколе EAP (Extensible Authentication Protocol), что позволяет написать собственный велосипед алгоритм. Короче, одни плюшки для больших дядей.
В этом цикле будет подробно разобрана атака на WPA(2)-PSK, так как Enterprise — это совсем другая история, так как используется только в больших компаниях.
Wpa2 enterprise

Здесь мы имеем дело с дополнительным набором различных протоколов. На стороне клиента специальный компонент программного обеспечения, supplicant (обычно часть ОС) взаимодействует с авторизующей частью, AAA сервером. В данном примере отображена работа унифицированной радиосети, построенной на легковесных точках доступа и контроллере.
В случае использования точек доступа «с мозгами» всю роль посредника между клиентов и сервером может на себя взять сама точка. При этом данные клиентского суппликанта по радио передаются сформированными в протокол 802.1x (EAPOL), а на стороне контроллера они оборачиваются в RADIUS-пакеты.
Применение механизма авторизации EAP в вашей сети приводит к тому, что после успешной (почти наверняка открытой) аутентификации клиента точкой доступа (совместно с контроллером, если он есть) последняя просит клиента авторизоваться (подтвердить свои полномочия) у инфраструктурного RADIUS-сервера:
Использование WPA2 Enterprise требует наличия в вашей сети RADIUS-сервера. На сегодняшний момент наиболее работоспособными являются следующие продукты:
- Microsoft Network Policy Server (NPS), бывший IAS — конфигурируется через MMC, бесплатен, но надо купить винду
- Cisco Secure Access Control Server (ACS) 4.2, 5.3 — конфигурируется через веб-интерфейс, наворочен по функционалу, позволяет создавать распределенные и отказоустойчивые системы, стоит дорого
- FreeRADIUS — бесплатен, конфигурируется текстовыми конфигами, в управлении и мониторинге не удобен
При этом контроллер внимательно наблюдает за происходящим обменом информацией, и дожидается успешной авторизации, либо отказа в ней. При успехе RADIUS-сервер способен передать точке доступа дополнительные параметры (например, в какой VLAN поместить абонента, какой ему присвоить IP-адрес, QoS профиль и т.п.).
Wps/qss

WPS, он же Qikk aSSQSS — интересная технология, которая позволяет нам вообще не думать о пароле, а просто добавить воды нажать на кнопку и тут же подключиться к сети. По сути это «легальный» метод обхода защиты по паролю вообще, но удивительно то, что он получил широкое распространение при очень серьёзном просчёте в самой системе допуска — это спустя годы после печального опыта с WEP.
WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр (PIN). Однако из-за ошибки в стандарте нужно угадать лишь 4 из них. Таким образом, достаточно всего-навсего 10000 попыток подбора и вне зависимости от сложности пароля для доступа к беспроводной сети вы автоматически получаете этот доступ, а с ним в придачу — и этот самый пароль как он есть.
Учитывая, что это взаимодействие происходит до любых проверок безопасности, в секунду можно отправлять по 10-50 запросов на вход через WPS, и через 3-15 часов (иногда больше, иногда меньше) вы получите ключи от рая.
Когда данная уязвимость была раскрыта производители стали внедрять ограничение на число попыток входа (rate limit), после превышения которого точка доступа автоматически на какое-то время отключает WPS — однако до сих пор таких устройств не больше половины от уже выпущенных без этой защиты.
Хочу ещё раз обратить ваше внимание, что при включенном WPS ваш пароль будет неминуемо раскрыт вне зависимости от своей сложности. Поэтому если вам вообще нужен WPS — включайте его только когда производится подключение к сети, а в остальное время держите этот бекдор выключенным.
Атака на WPS будет рассмотрена во второй части.
Есть ли разница в каком центре сертификации заказывать сертификат?
Основное отличие между разными центрами сертификации — в цене сертификатов и в том, в каком количестве браузеров установлен их корневой сертификат. Ведь если в браузере нет корневного сертификата этого центра сертификации, то посетитель с таким браузером все равно получит ошибку при входе на сайт с сертификатом от такого центра.
Что касается перечисленных выше центров сертификации, то их корневые сертификаты установлены в, пожалуй, 99,99% всех существующих браузеров.
Чтобы проверить, корневые сертификаты каких центров сертификации установлены в вашем браузере, достаточно в настройках вашего браузера найти такую опцию. (В Chrome Настройки -> показать дополнительные настройки -> управление сертификатами ->
Важный момент — частенько у клиентов возникала ситуация, когда SSL сертификат на серверe установлен, но при заходе на сайт браузер все равно выдает ошибку. Такая ситуация может возникнуть или из-за отсутствия в файле ca-bundle.crt корневого сертификата центра выдавшего сертификат или из-за того, что корневой сертификат устарел. Корневые сертификаты также имеют свой срок действия (в браузерах они обновляются при обновлении браузера).
История
Ранние продукты 802.11 страдали от проблем совместимости, потому что Институт инженеров по электротехнике и электронике (IEEE) не имел возможности тестировать оборудование на соответствие его стандартам. В 1999 году пионеры нового, более высокоскоростного варианта одобрили спецификацию IEEE 802.11b для создания Союза совместимости с беспроводным Ethernet (WECA) и представили новую технологию Wi-Fi.
В качестве ключевых спонсоров альянс перечисляет Apple , Comcast , Samsung , Sony , LG , Intel , Dell , Broadcom , Cisco , Qualcomm , Motorola , Microsoft , Texas Instruments и T-Mobile . Устав этой независимой организации заключался в проведении испытаний, сертификации совместимости продуктов и продвижении технологии.
В 2002 году WECA переименовала себя в Wi-Fi Alliance . Базируется в Остине, штат Техас .
Большинство производителей оборудования 802.11 стали членами, и по состоянию на 2021 год в Wi-Fi Alliance входило более 550 компаний-членов. Wi-Fi Alliance расширил Wi-Fi за пределы приложений беспроводной локальной сети в двухточечные и персональные сети и включил определенные приложения, такие как Miracast .
Как защищаемся
Рассмотренные атаки можно предотвратить, если использовать следующие меры защиты:
Далее расскажем, как реализован каждый из способов защиты в нашем случае.
Мониторинг эфира и выявление ложных точек доступа. Организовать мониторинг эфира можно с помощью штатных средств точек доступа и контроллера WLAN. Далее речь пойдет об устройствах Cisco.Для этого на точках доступа активируется механизм Off Channel Scanning, в котором он периодически сканирует эфир по всем каналам.
На самом контроллере настраивается правило классификации сторонних точек доступа, согласно которому все посторонние точки доступа с SSID, эквивалентным нашему, считаются нелегитимными (malicious в терминологии Cisco). Подробно о настройке контроллера Cisco можете почитать в этой серии статей.

Так выглядит сообщение о найденной нелегитимной точке доступа в веб-интерфейсе контроллера.
681 Mon Apr 10 12:10:55 2021 Rogue AP: 14:2d:27:ef:f8:2b with Contained mode added to the Classified AP List.682 Mon Apr 10 12:10:55 2021 Rogue AP 14:2d:27:ef:f8:2b is advertising our SSID. Auto containing as per WPS policyСообщения в логах контроллера при обнаружении нелегитимной точки доступа.
В системе мониторинга (в нашем случае это Nagios) настроен SNMP-опрос контроллера. При обнаружении нелегитимной точки доступа на экран мониторинга выводится сообщение, содержащее:
С помощью таблицы соответствия MAC-адреса точки доступа и ее месторасположения можно определить примерное расположение нелегитимной точки доступа.
Сообщение в системе мониторинга о том, что была зафиксирована нелегитимная точка доступа.
Мониторинг эфира на предмет попыток принудительной деаутентификации беспроводных клиентов. В рамках системы обнаружения вторжений (intrusion detection system, IDS) у контроллера Cisco есть штатный набор стандартных сигнатур, с помощью которых он может распознавать потенциально опасное поведение клиентов и соседских точек доступа. Сюда как раз относятся множественные попытки деаутентификации, аутентификации, ассоциации и пр.
Wed Apr 12 10:17:53 2021 IDS Signature attack detected. Signature Type: Standard, Name: Auth flood, Description: Authentication Request flood, Track: per-signature, Detecting AP Name: OST_Reception, Radio Type: 802.11b/g, Preced: 5, Hits: 500, Channel: 11, srcMac: 14:2d:27:ef:f8:2bСообщения о множественной аутентификации в логах контроллера Cisco
Рассматриваемый контроллер также имеет механизмы предотвращения вторжений (IPS). Например, при выявлении нелегитимной точки доступа можно противодействовать вторжению теми же средствами, которые используются и при атаках, – деаутентификацией и деассоциацией.
Контроллер можно настроить так, что при появлении точки доступа с SSID, совпадающим с анонсируемым контроллером, будет запускаться механизм auto contain: точки доступа, фиксирующие сигнал нелегитимной точки доступа, начинают отправлять клиентам кадры деаутентификации от имени этой точки доступа. В результате клиенту становится очень сложно работать и передавать данные нелегитимной точке доступа.
Настройка автоматической деаутентификации клиентов, подключившихся к нелегитимной точке доступа, на контроллере Cisco.
Получать информацию от контроллера о событиях IDS можно двумя способами: отправка SNMP-трапов в систему мониторинга или парсинг журнала контроллера.
В систему мониторинга также приходит сообщение с МАС-адресом нелегитимной точки доступа и МАС-адрес легитимной точки доступа, которая ее обнаружила.
Для защиты от принудительной деаутентификации на контроллере активируется 802.11w (Protected Management Frames, PMF). Этот режим предотвращает атаки, направленные на принудительное отключение клиента от легитимной точки доступа и переподключение к нелегитимной.
При использовании 802.11w фреймы Disassociation, Reassociation, Deauthentication подписываются ключом, известным только авторизованным клиентам и легитимным точкам доступа. В результате клиент может определить, получен данный фрейм от легитимной точки или нет.
Активация 802.11w PMF в веб-интерфейсе контроллера Cisco.
Аутентификация по пользовательским сертификатам. Суть метода заключается в том, что клиент аутентифицируется по пользовательскому сертификату, выписанному доверенным удостоверяющим центром. Этот сертификат помещается в пользовательского хранилище сертификатов каждого беспроводного устройства.
Как организовать подключение к wifi сети с помощью сертификата?
1. Поднимаете центр сертификации, через GPO выдаёте сертификаты на всех пользователей или ПК
2. Поднимаете роль NPS (это виндовый радиус), настраиваете на ней клиента (это будет микротик) и правила авторизации с использованием сертификата.
3. На микротике настраиваете связь с радиус сервером
4. На микротике в профиле вайфая указываете что используется WPA2 Enterprise и EAP
Дальше уже тонкости, но при желании всё гуглится. Если интересно и нужно – стучи в скайп.
Минкомсвязь предложила правила сертификации оборудования для wi-fi 6
МОСКВА, 10 февраля. /ТАСС/. Минкомсвязь разработала правила сертификации оборудования для нового стандарта беспроводной связи — Wi-Fi 6. Об этом говорится в проекте приказа министерства, размещенном на портале проектов нормативных правовых актов.
Согласно документу, Минкомсвязь планирует обновить правила применения оборудования радиодоступа пунктом про стандарт связи 802.11ax (или Wi-Fi 6, беспроводная связь высокой эффективности). Также министерство предложило ряд требований для оборудования, которое способно работать с Wi-Fi 6 в России.
Технология Wi-Fi 6 позволяет повысить скорость передачи данных и пропускную способность как новых, так и уже имеющихся сетей при работе с приложениями нового поколения за счет увеличения эффективности, гибкости и масштабируемости.
Мнение экспертов
По словам менеджера по развитию корпоративных решений Cisco Юлии Андриановой, Wi-Fi 6 в первую очередь будет полезен для корпоративных решений. «Неизбежно будут появляться бизнес-решения, которые выведут процессы предприятий на новый уровень развития.
Кроме того, отметила Андрианова, Wi-Fi 6 — это большая пропускная способность, низкая задержка и гарантированная производительность приложений. «Это то, что должно дать новый толчок использованию приложений виртуальной и дополненной реальности», — добавила она.
Вместе с тем, считает руководитель Content Review Сергей Половников, Wi-Fi 6 может оказаться не столь востребован у обычных пользователей, которые попросту смогут не заметить этих улучшений.
«Да, здесь речь идет об увеличении пиковых скоростей, но пользователи уже давно перестали жаловаться на скорость. В очень специфичных сценариях это дает серьезные преимущества, например, скорость перекачки копии видеофайла весом в пару сотен гигабайт с одного устройства на другое. Но много ли есть тех, кто оперирует файлами такого объема?» — задался вопросом эксперт.
Источник
Насколько это надежно
В конце концов, что нужно злоумышленнику, чтобы взломать вашу сеть?
Для Open Authentication, No Encryption — ничего. Подключился к сети, и всё. Поскольку радиосреда открыта, сигнал распространяется в разные стороны, заблокировать его непросто. При наличии соответствующих клиентских адаптеров, позволяющих прослушивать эфир, сетевой трафик виден так же, будто атакующий подключился в провод, в хаб, в SPAN-порт коммутатора.
Для шифрования, основанного на WEP, требуется только время на перебор IV, и одна из многих свободно доступных утилит сканирования.Для шифрования, основанного на TKIP либо AES прямое дешифрование возможно в теории, но на практике случаи взлома не встречались.
Конечно, можно попробовать подобрать ключ PSK, либо пароль к одному из EAP-методов. Распространенные атаки на данные методы не известны. Можно пробовать применить методы социальной инженерии, либо терморектальный криптоанализ.
Обновление ключа безопасности для определенной сети wifi с помощью командной строки
1. Откройте командную строку; нажав клавишу Windows R, введите cmd.exe и нажмите Enter. Выполните следующую команду:
2. При желании вы можете использовать следующую команду, чтобы показать свойства той конкретной беспроводной сети, для которой вы обновляете ключ безопасности:
Замените profilename на имя той сети, для которой меняете ключ безопасности.
3. Теперь выполните следующую команду, чтобы очистить существующий ключ безопасности для этой конкретной беспроводной сети:
Теперь, когда вы в следующий раз подключитесь к той же сети Wi-Fi, вам будет предложено указать новый ключ. Поэтому введите новый ключ безопасности и после проверки вы будете подключены.
Обновление ключа безопасности для сети wifi вручную
1. Нажмите клавиши Windows R, введите ncpa.cpl в диалоговом окне «Выполнить» и нажмите Enter, чтобы открыть «Сетевые подключения».
2. В окне «Сетевые подключения» щелкните правой кнопкой мыши по Wi-Fi и выберите «Состояние».
3. В разделе «Состояние WiFi», показанном ниже, нажмите «Свойства беспроводной сети».
4. В окне Свойства беспроводной сети в разделе Ключ безопасности сети измените пароль и введите новый пароль. Нажмите ОК. Теперь вы можете закрыть окно «Сетевые подключения».
Теперь вы можете попытаться повторно подключиться к той же сети Wi-Fi, и если ключ правильный, подключение будет успешным.
Пароль (ключ) wpa psk
Какой бы тип безопасности и метод шифрования вы не выбрали, необходимо установить пароль. Он же ключ WPA, Wireless Password, ключ безопасности сети Wi-Fi и т. д.
Длина пароля от 8 до 32 символов. Можно использовать буквы латинского алфавита и цифры. Так же специальные знаки: – @ $ # ! и т. д. Без пробелов! Пароль чувствительный к регистру! Это значит, что “z” и “Z” это разные символы.
Не советую ставить простые пароли. Лучше создать надежный пароль, который точно никто не сможет подобрать, даже если хорошо постарается.
Вряд ли получится запомнить такой сложный пароль. Хорошо бы его где-то записать. Не редко пароль от Wi-Fi просто забывают. Что делать в таких ситуациях, я писал в статье: как узнать свой пароль от Wi-Fi.
Передайте мне сахар
Представьте, что вы — устройство, которое принимает инструкции. К вам может подключиться каждый желающий и отдать любую команду. Всё хорошо, но на каком-то этапе потребовалось фильтровать личностей, которые могут вами управлять. Вот здесь и начинается самое интересное.
Как понять, кто может отдать команду, а кто нет? Первое, что приходит в голову — по паролю. Пусть каждый клиент перед тем, как передать новую команду, передаст некий пароль. Таким образом, вы будете выполнять только команды, которые сопровождались корректным паролем. Остальные — фтопку.
План атаки
Внимательные читатели, конечно, заметили, что как бы мы не хитрили — от передачи пароля и временного ключа в открытой или хэшированной форме нам никуда не деться. Как результат — достаточно хакеру перехватить передачу на этой фазе, и он сможет читать все последующие данные, а также участвовать в процессе, вставляя свои пять копеек.
И отличить его невозможно, так как вся информация, которой бы мог руководствоваться сервер для выдачи временного ключа или проверки доступа базируется именно на том, что было в начале передачи — handshake. Поэтому хакер знает всё то же, что и сервер, и клиент, и может водить обоих за нос, пока не истечёт срок действия временного ключа.
Наша задача при взломе любой передачи так или иначе сводится к перехвату рукопожатия, из которого можно будет либо вытащить временный ключ, либо исходный пароль, либо и то, и другое. В целом, это довольно долгое занятие и требует определённой удачи.
Но это в идеальном мире…
По какому принципу работает ssl сертификат?
Итак для того, чтобы получить SSL сертификат самое первое, что нужно сделать, это сформировать специальный запрос на выпуск сертификата, так называемый (Certificate Signing Request). При формировании этого запроса вам будет задан ряд вопросов, для уточнения деталей о вашем домене и вашей компании. После завершения ваш веб сервер создаст 2 типа криптографических ключей — приватный ключ и публичный ключ.
Публичный ключ не является секретным и он помещается в запрос CSR.Вот пример такого запроса:—–BEGIN CERTIFICATE REQUEST—–MIIC3zCCAccCAQAwgZkxCzAJBgNVBAYTAlVBMQ0wCwYDVQQIEwRLaWV2MQ0wCwYDVQQHEwRLaWV2MRQwEgYDVQQKEwtIb3N0QXV0b21hdDEQMA4GA1UECxMHaG9zdGluZzEmMCQGCSqGSIb3DQEJARYXc3VwcG9ydEBob3N0YXV0b21hdC5jb20xHDAaBgNVBAMTE3d3dy5ob3N0YXV0b21hdC5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDTg7iUv/iX SyZl74GcUVFHjFC5IqlTNEzWgLWrsSmxGxlGzXkUKidNyXWa0O3ayJHOiv1BSX1l672tTqeHxhGuM6F7l5FTRWUyFHUxSU2Kmci6vR6fw5ccgWOMMNdMg7V5bMOD8tfI74oBkVE7hV95Ds3c594u7kMLvHR xui2S3z2JJQEwChmflIojGnSCO/iv64RL9vjZ5B4jAWJwrruIXO5ILTdis41Z1nNIx3bBqkif0H/G4eO5WF6fFb7etm8M d8ebkqEztRAVdhXvTGBZ4Mt2DOV/bV4e/ffmQJxffTYEqWg8wb465GdAJcLhhiSaHgqRzrprKns7QSGjdAgMBAAGgADANBgkqhkiG9w0BAQUFAAOCAQEAuCfJKehyjt7N1IDv44dd V61MIqlDhna0LCXH1uT7R9H8mdlnuk8yevEcCRIkrnWAlA9GT3VkOY3Il4WTGg3wmtq6WAgLkVXQnhIpGDdYAflpAVeMKil8Z46BGIhKQGngL2PjWdhMVLlRTB/01nVSKSEk2jhO8 7yLOY1MoGIvwAEF4CL1lAjov8U4XGNfQldSWT1o8z9sDeGsGSf5DAXpcccx0gCyk90HFJxhbm/vTxjJgchUFro/0goVpBcredpKxtkwBMuCzeSyDnkQft0eLtZ9b9Q4 ZNDWsPPKxo/zWHm6Pa/4F4o2QKvPCPx9x4fm /xHqkhkR79LxJ EHzQ==—–END CERTIFICATE REQUEST—–
Данные которые содержатся в этом ключе можно легко проверить с помощью сервисов CSR Decoder. Как пример: CSR Decoder 1 или CSR Decoder 2. Второй сервис выдает больше информации о CSR и проверяет ее на валидность, поле Signature в результатах проверки.
Если мы вставим такой запрос в форму для его расшифровки, то увидим, какие данные содержатся в публичном ключе.
Про wpa2-enterprise
Прежде чем рассказывать про атаки и способы защиты от них, вспомним основные особенности стандарта WPA2-Enterprise.
Аутентификация. Для того чтобы подключиться к сети, клиент должен аутентифицироваться на ААА-сервере. Часто в качестве такового выступает RADIUS-сервер. Аутентификацию можно пройти с помощью доменного пароля, клиентского сертификата и пр. (EAP).
Шифрование. Организовано по алгоритму AES. Ключ шифрования динамический, индивидуальный для каждого клиента (802.1X), генерируется в момент аутентификации на RADIUS-сервере. Этот ключ может периодически обновляться по ходу работы без разрыва соединения.
Схема работы WPA2-Enterprise.
Расположение wi-fi
Wi-Fi Location — это тип системы определения местоположения Wi-Fi , и сертификация может помочь обеспечить точность внутреннего позиционирования.
TDLS или Tunneled Direct Link Setup — это «простой способ более быстрой потоковой передачи мультимедиа и других данных между устройствами, уже находящимися в одной сети Wi-Fi», основанный на IEEE 802.11z и добавленный в программу сертификации Wi-Fi Alliance в 2021 году. Устройства, использующие они взаимодействуют друг с другом напрямую, без участия маршрутизатора беспроводной сети.
Сертификаты с расширенной проверкой.
Это самые дорогие сертификаты и получить их сложнее всего. В таких сертификатах есть так называемый «green bar» — то есть при входе не сайт, где установлен такой сертификат в адресной строке браузера посетителя появится зеленая строка, в которой будет указано название организации, получившей сертификат.
Вот как это выглядит на сайте у Thawte.
Такие сертификаты обладают наибольшим уровнем доверия, среди продвинутых посетителей вашего сайта, поскольку сертификат указывает, что компания реально существует, прошла полную проверку и сайт действительно принадлежит ей.
SSL cертификаты с расширенной проверкой (EV) выпускаются только когда центр сертификации (CA) выполняет две проверки, чтобы убедиться, что организация имеет право использовать определенный домен плюс центр сертификации выполняет тщательную проверку самой организации.
Процесс выпуска сертификатов EV стандартизирован и должен строго соотвествовать правилам EV, которые были созданы на специализированном форуме CA/Browser Forum в 2007 году. Там указаны необходимые шаги, которые центр сертификации должен выполнить перед выпуском EV сертификата:
- Должен проверить правовую, физическую и операционную деятельности субъекта.
- Должен убедиться, что организация соответствует официальным документам.
- Необходимо убедиться, что организация имеет исключительное право на использование домена, указанного в сертификате EV.
- Необходимо убедиться, что организация полностью авторизована для выпуска EV сертификата.
Список того, что конкретно будут проверять такой же как и для сертификатов с проверкой организации.
EV сертификаты используются для всех типов бизнеса, в том числе для государственных и некоммерческих организаций. Для выпуска необходимо 10-14 дней.
Вторая часть правил актуальная для центра сертификации и описывает критерии, которым центр сертификации должен соответствовать перед тем, как получить разрешение на выпуск EV сертификата. Она называется, EV правила аудита, и каждый год происходит проверка на соответствие этим правилам.
Сертификация wi-fi
Wi-Fi Alliance владеет и контролирует логотип «Wi-Fi Certified» , зарегистрированный товарный знак , который разрешен только на оборудовании, прошедшем тестирование. Покупатели, полагающиеся на этот товарный знак, могут иметь больше шансов на взаимодействие, чем в противном случае.
Тестирование включает в себя не только совместимость радио и форматов данных, но и протоколы безопасности , а также дополнительное тестирование качества обслуживания и протоколов управления питанием. Сертифицированные продукты Wi-Fi должны продемонстрировать, что они могут хорошо работать в сетях с другими сертифицированными продуктами Wi-Fi, выполняя общие приложения, в ситуациях, аналогичных тем, которые встречаются при повседневном использовании. В сертификации используются 3 принципа:
- Совместимость — основная цель сертификации. Используются строгие тестовые сценарии, чтобы убедиться, что продукты от разных поставщиков оборудования могут взаимодействовать в самых разных конфигурациях.
- Необходимо сохранить обратную совместимость, чтобы новое оборудование могло работать с существующим оборудованием. Обратная совместимость защищает инвестиции в унаследованные продукты Wi-Fi и позволяет пользователям постепенно обновлять и расширять свои сети.
- Новые программы сертификации позволяют выходить на рынок более новым технологиям и спецификациям. Эти программы сертификации могут быть обязательными (например, WPA2 ) или дополнительными (например, WMM ).
Определение взаимодействия Wi-Fi Alliance требует, чтобы продукты демонстрировали удовлетворительный уровень производительности в типичных сетевых конфигурациях и поддерживали как существующие, так и новые приложения. Процесс сертификации Wi-Fi Alliance включает три типа тестов для проверки совместимости. Сертифицированные продукты Wi-Fi протестированы на:
- Совместимость: сертифицированное оборудование было протестировано на совместимость с другим сертифицированным оборудованием. Тестирование совместимости всегда было и остается преобладающим компонентом тестирования совместимости, и это элемент, который большинство людей ассоциирует с «совместимостью». Он включает в себя тесты с несколькими устройствами от разных поставщиков оборудования.
- Соответствие: оборудование соответствует определенным критическим элементам стандарта IEEE802.11 . Тестирование на соответствие обычно включает в себя автономный анализ отдельных продуктов и устанавливает, реагирует ли оборудование на входные данные, как ожидалось и задано. Например, тестирование на соответствие используется, чтобы убедиться, что оборудование Wi-Fi защищает себя и сеть, когда оборудование обнаруживает доказательства сетевых атак.
- Производительность: оборудование соответствует требуемому уровню производительности. Тесты производительности не предназначены для измерения и сравнения производительности продуктов, а просто для проверки того, что продукт соответствует минимальным требованиям к производительности. Конкретные результаты тестов производительности не публикуются Wi-Fi Alliance.
Сертификация wi-fi сети
Сертификация беспроводной Wi-Fi сети является завершающим этапом проекта пл внедрению Wi-Fi на объекте (после проектирования, радиопланирования, установки и конфигурации).
В ходе сертификации при помощи специалнього оборудования Fluke Air Magnet измеряется уровень сигнала на соответствие параметрам, полученных в процессе радиоплатнировании. Также анализируется производительность сети под нагрузкой и без на соответствие тех. заданию.
Результатом сертификации является:
подтверждение соответствию Wi-Fi сети заявленным требованиям (PASS) или
список параметров по которым сеть не соответсвует требованиям (FAIL) с рекомендациями по устроанению недостатков (изменение конфигурации оборудования, установка дополнительных точек доступа и антенн, и.т.д.)
После устранения недостатков проводится повторная сертификация сети. Все данные, полученные в процессе измерения заносятся в протокол и выдаются заказчику.
Мы проводим сертификацию Wi-Fi-сетей с использованием новейшего оборудования Fluke Air Magnet. Наши специалисты выезжают на объект, где выявят все необходитые недочёты и подготовят рекомендации по их исправлению. Обвчно сертификация занимает 1 рабочий день (зависит от размеров объекта и удалённости от центра). На комплексные проекты (проектирование установка сертификация) предоставляется скидка (до 30%).
Форма обратной связи — ЗАКАЗАТЬ СЕРТИФИКАЦИЮ
Источник
Типы сертификации
Wi-Fi Alliance проводит сертификационное тестирование на двух уровнях:
- Взаимодействие Core MAC / PHY через 802.11a , 802.11b , 802.11g и 802.11n . (хотя бы один)
- Безопасность Wi-Fi Protected Access 2 (WPA2), соответствующая стандарту IEEE 802.11i. WPA2 доступен в двух типах: WPA2-Personal для использования потребителями и WPA2 Enterprise, который добавляет аутентификацию EAP.
- Тесты соответствуют IEEE 802.11h и 802.11d.
- Качество обслуживания WMM , основанное на подмножестве IEEE 802.11e.
- WMM Power Save, на основе APSD в рамках IEEE 802.11e
- Wi-Fi Protected Setup — спецификация, разработанная Альянсом для упрощения процесса настройки и включения средств защиты в небольших офисных и потребительских сетях Wi-Fi.
- Специальное устройство для приложения (ASD) для беспроводных устройств, отличных от точки доступа и станции, для которых есть конкретное приложение, например DVD-плееры, проекторы, принтеры и т. Д.
- Конвергентная беспроводная группа — радиочастота (CWG-RF, предлагается вместе с CTIA), чтобы обеспечить отображение производительности Wi-Fi и сотовых радиостанций в конвергентных устройствах.
- Passpoint / Hotspot 2.0
Трафик почувствует разницу
Российские пользователи продвинутых гаджетов в ближайшее время получат доступ к самому современному стандарту Wi-Fi — Wi-Fi 6. Приказ минкомсвязи о сертификации этого стандарта зарегистрировал минюст.
Сертификация Wi-Fi 6 дает возможность использовать Wi-Fi сети 802.11ax. «C помощью нового стандарта возможно построение Mesh-сетей в домашних условиях: то есть люди смогут добиться лучшего покрытия, лучшего качества сигнала, — объясняет аналитик Mobile Research Group Эльдар Муртазин.
— На сегодняшний день Wi-Fi 6 есть во всех топовых смартфонах — это Samsung, iPhone, Huawei, но он был закрыт на уровне прошивки. С обновлением программного обеспечения Wi-Fi 6 появится в поддерживаемых смартфонах, роутерах, и технологией можно будет пользоваться».
Wi-Fi 6 повышает скорость передачи данных на 25-35% по сравнению с предыдущим поколением, говорит Антон Куканов, руководитель Центра цифровой экспертизы Роскачества. Повысится производительность ресурсоемких стриминговых приложений, программ для совместной работы, удаленного доступа и приложений устройств Интернета вещей (IoT) за счет более эффективного использования спектра.
Кроме того, по мере перехода на новый стандарт завершится обновление протокола безопасности Wi-Fi до версии WPA3. В нем устраняются некоторые уязвимости, к которым открыта текущая версия WPA2, заключает Куканов.
Представитель Ассоциации торговых компаний и товаропроизводителей электробытовой и компьютерной техники (РАТЭК) Антон Гуськов полагает, что с приходом стандарта Wi-Fi 6 соединение с интернетом станет более качественным и в первую очередь это затронет устройства, которые являются точками доступа, в частности роутеры.
Источник
Чем еще отличаются сертификаты между собой
- Скоростью выпуска. Быстрее всего выпускаются сертификаты с валидацией только домена, дольше всего с EV валидацией, от 7 рабочих дней.
- Количество перевыпусков сертификата — у большинства центров сертификации неограниченно. Требуется, если допустили ошибку в данных об организации.
- Гарантия — для некоторых сертификатов есть гарантия от 10.000 $. Это гарантия скорее не для покупателя сертификата, а для посетителя сайта, где установлен сертификат. В случае если посетитель сайта с таким сертификатом пострадает от фрауда и потеряет деньги, то центр сертификации обязуется их ему компенсировать до суммы указанной в гарантии. То есть центр сертификации как бы дает гарантию на свои сертификаты и что их невозможно установить на «левый» домен. На практике такие случае мне не известны поэтому на этот параметр можно не обращать внимание.
- Бесплатный тестовый период — из платных сертификатов есть у symantec secure site, geotrust rapidssl, comodo positive ssl, thawte ssl web server. Также можете для тестов использовать бесплатные сертификаты: StartSSL™ Free
- Возврат средств — есть почти у всех сертификатов в течении 30 дней, хотя бывают и сертификаты без периода moneyback
