WEBVTT 00:00.540 --> 00:02.490 Instruktor: W tej lekcji porozmawiamy 00:02.490 --> 00:04.710 o tym, jak zabezpieczyć sieci bezprzewodowe 00:04.710 --> 00:06.900 przed niektórymi zagrożeniami. 00:06.900 --> 00:09.930 Sieci bezprzewodowe oferują nam wiele wygody, ale niosą ze 00:09.930 --> 00:13.050 sobą również mnóstwo zagrożeń bezpieczeństwa, ponieważ w 00:13.050 --> 00:15.720 przeciwieństwie do sieci przewodowych, o ile znajduję 00:15.720 --> 00:18.600 się w zasięgu sygnału bezprzewodowego, mogę połączyć 00:18.600 --> 00:21.780 się z nim za pomocą smartfona, tabletu lub laptopa. 00:21.780 --> 00:24.180 Aby chronić swoją sieć, naprawdę musisz upewnić 00:24.180 --> 00:26.250 się, że wiesz, z czym łączą się Twoje urządzenia, 00:26.250 --> 00:28.260 a po ich podłączeniu chcesz mieć pewność, 00:28.260 --> 00:31.470 że wysyłane dane będą szyfrowane. 00:31.470 --> 00:33.420 Teraz pierwszą rzeczą, którą chcemy zrobić, jest 00:33.420 --> 00:36.240 upewnienie się, że wszystko, co przesyłamy, odbywa się prywatnie, aby 00:36.240 --> 00:38.280 zwiększyć bezpieczeństwo naszych sieci. 00:38.280 --> 00:39.360 Jednym ze sposobów 00:39.360 --> 00:41.700 jest tak zwany klucz wstępny. 00:41.700 --> 00:44.040 Klucz współdzielony to taki, w którym oba punkty 00:44.040 --> 00:46.529 końcowe, zarówno punkt dostępowy, jak i klient na 00:46.529 --> 00:49.590 laptopie lub smartfonie, mają ten sam klucz szyfrowania. 00:49.590 --> 00:52.230 Jeśli używam hasła po jednej stronie i tego samego hasła 00:52.230 --> 00:55.080 po drugiej stronie, a one pasują, to jest to użycie tego samego 00:55.080 --> 00:58.200 klucza wstępnego do utworzenia tunelu szyfrowania. 00:58.200 --> 00:59.460 Korzystanie z klucza wstępnego 00:59.460 --> 01:01.350 wiąże się jednak z kilkoma problemami. 01:01.350 --> 01:04.710 Po pierwsze, skalowalność staje się dla nas dużym problemem. 01:04.710 --> 01:07.530 Załóżmy, że mam biuro, w którym mam 50 różnych użytkowników i 01:07.530 --> 01:09.690 wszyscy są podłączeni do sieci bezprzewodowej 01:09.690 --> 01:12.150 i wszyscy używają tego samego klucza wstępnego. 01:12.150 --> 01:14.160 Ale powiedzmy, że jutro idę do pracy i 01:14.160 --> 01:15.990 zwalniam jednego z pracowników. 01:15.990 --> 01:18.210 Teraz ten pracownik zna klucz wstępny, więc 01:18.210 --> 01:19.650 zgadnij, co musimy zrobić? 01:19.650 --> 01:21.480 Musimy zmienić klucz wstępnie współdzielony, 01:21.480 --> 01:23.850 a ponieważ muszę zmienić ten klucz wstępnie współdzielony, 01:23.850 --> 01:26.550 wszystkich 50 innych pracowników musi teraz zostać poinformowanych 01:26.550 --> 01:28.950 o nowym kluczu, abyśmy wszyscy mogli go zmienić. 01:28.950 --> 01:31.710 To jak wymiana klucza do drzwi wejściowych do domu. 01:31.710 --> 01:32.940 Jeśli masz 10 członków rodziny, 01:32.940 --> 01:35.400 musisz teraz wykonać 10 kopii tego klucza. 01:35.400 --> 01:37.410 Ponieważ wszyscy klienci używają tego samego 01:37.410 --> 01:39.630 hasła i tego samego klucza, bardzo utrudnia nam 01:39.630 --> 01:42.120 to zmianę i prawidłowe zarządzanie kluczami. 01:42.120 --> 01:43.470 To jeden z głównych powodów, dla 01:43.470 --> 01:46.590 których nie używamy kluczy współdzielonych w dużych środowiskach. 01:46.590 --> 01:49.350 Ale jeśli jesteś w małym biurze lub środowisku domowym, 01:49.350 --> 01:51.930 takim jak dom lub małe biuro z 10 pracownikami lub mniej, 01:51.930 --> 01:54.660 możesz śmiało użyć klucza wstępnego, ponieważ naprawdę 01:54.660 --> 01:57.030 łatwo jest skonfigurować sieci w ten sposób, ponieważ 01:57.030 --> 01:59.070 masz tylko kilka urządzeń. 01:59.070 --> 02:00.720 Jeśli chodzi o bezpieczeństwo sieci bezprzewodowych, 02:00.720 --> 02:04.110 istnieją trzy główne metody, których możemy użyć w tym celu. 02:04.110 --> 02:08.250 Pierwszym z nich jest WEP, a następnie mamy WPA i WPA2. 02:08.250 --> 02:09.570 Kiedy mamy do czynienia z 02:09.570 --> 02:11.850 WEP, mówimy o Wired Equivalent Privacy. 02:11.850 --> 02:13.680 Było to oryginalne zabezpieczenie bezprzewodowe, 02:13.680 --> 02:15.240 które zostało wynalezione wraz z pierwszą 02:15.240 --> 02:18.840 wersją Wi-Fi 802. 11. 02:18.840 --> 02:21.600 Teraz twierdził, że jest tak samo bezpieczny jak sieci przewodowe, 02:21.600 --> 02:24.240 stąd nazwa "przewodowy odpowiednik prywatności". Prawda jest jednak taka, że nie jest on bezpieczny 02:24.240 --> 02:26.580 i w dzisiejszych czasach nigdy nie 02:26.580 --> 02:29.550 powinno się używać WEP, ponieważ jest to bardzo 02:29.550 --> 02:32.070 niepewny protokół. 02:32.070 --> 02:35.250 Sposób działania WEP polega na tym, że wykorzystuje on wstępnie udostępniony klucz. 02:35.250 --> 02:38.880 Każdy ma ten sam klucz i jest to statyczny 40-bitowy klucz, który 02:38.880 --> 02:41.370 jest bardzo mały i łatwy do złamania lub odgadnięcia 02:41.370 --> 02:44.130 przy użyciu silnego komputera. 02:44.130 --> 02:46.410 Z czasem, aby uczynić WEP bardziej bezpiecznym, 02:46.410 --> 02:49.470 ulepszono klucz z 40 bitów do 64 bitów, a następnie ponownie 02:49.470 --> 02:52.560 do 128 bitów, co rozwiązało problem długości klucza, 02:52.560 --> 02:54.628 ale nie rozwiązało innego problemu 02:54.628 --> 02:58.440 znanego jako wektor inicjalizacji. 02:58.440 --> 02:59.850 Sposób działania WEP polega 02:59.850 --> 03:02.820 na wykorzystaniu 24-bitowego wektora inicjalizacyjnego, 03:02.820 --> 03:05.400 który jest serią 24 jedynek i zer i będzie nazywany 03:05.400 --> 03:08.040 wektorem inicjalizacyjnym. 03:08.040 --> 03:10.590 Jest to wysyłane w postaci czystego tekstu i jeśli 03:10.590 --> 03:12.540 przechwycisz wystarczającą liczbę tych 03:12.540 --> 03:15.750 wektorów inicjalizacji, możesz złamać klucz szyfrowania i odgadnąć 03:15.750 --> 03:18.960 klucz wstępny, który został użyty jako hasło WEP. 03:18.960 --> 03:21.642 W rzeczywistości, używając Aircrack NG, można to zrobić 03:21.642 --> 03:24.990 w około dwie do trzech minut na większości nowoczesnych laptopów. 03:24.990 --> 03:28.020 Następną rzeczą, o której chcemy porozmawiać, jest WPA. 03:28.020 --> 03:31.590 WPA lub Wifi Protected Access zastąpił WEP ze względu 03:31.590 --> 03:33.150 na słabość tego 24-bitowego 03:33.150 --> 03:35.850 wektora inicjalizacji. 03:35.850 --> 03:37.920 Aby temu zaradzić, wprowadzili coś znanego 03:37.920 --> 03:41.280 jako TKIP, protokół czasowej integralności klucza. 03:41.280 --> 03:44.790 Teraz TKIP zastępuje ten 24-bitowy wektor inicjalizacyjny 03:44.790 --> 03:47.610 nowym wektorem o długości 48 bitów. 03:47.610 --> 03:49.260 To podwoiło jego moc, ale nadal 03:49.260 --> 03:50.850 jest to uważane za dość słabe, 03:50.850 --> 03:53.280 jeśli chodzi o nowoczesne komputery. 03:53.280 --> 03:54.870 Inną rzeczą, którą zrobili, było 03:54.870 --> 03:57.420 dodanie nowego typu szyfrowania o nazwie RC4 lub 03:57.420 --> 04:00.870 Rivest Cipher 4 i jest on całkiem dobry, ale ponownie, według dzisiejszych 04:00.870 --> 04:03.630 standardów jest uważany za słaby. 04:03.630 --> 04:06.690 WPA chciało również dodać pewną integralność do urządzeń i zrobiło 04:06.690 --> 04:09.090 to, upewniając się, że nikt nie może przeprowadzić 04:09.090 --> 04:11.820 ataku typu man in the middle i zmienić informacji. 04:11.820 --> 04:14.760 Aby to zrobić, użyli czegoś zwanego MIC, sprawdzania integralności 04:14.760 --> 04:16.980 wiadomości, które jest formą haszowania danych 04:16.980 --> 04:19.050 przed ich wysłaniem i w ten sposób można było 04:19.050 --> 04:21.300 sprawdzić, czy nie zostały zmodyfikowane podczas 04:21.300 --> 04:24.090 przesyłania przez sieć. 04:24.090 --> 04:26.460 WPA zauważyło również, że istnieje wada tego wstępnie 04:26.460 --> 04:28.320 współdzielonego klucza i możliwość 04:28.320 --> 04:30.990 bardzo szybkiego wysyłania nowych kluczy, więc dodali 04:30.990 --> 04:34.290 coś znanego jako tryb korporacyjny wewnątrz WPA. 04:34.290 --> 04:36.270 W trybie korporacyjnym użytkownik mógł 04:36.270 --> 04:38.820 faktycznie uwierzytelnić się przed wymianą kluczy, 04:38.820 --> 04:40.500 a następnie mógł tymczasowo tworzyć 04:40.500 --> 04:43.680 nowe klucze między klientem a punktem dostępowym. 04:43.680 --> 04:46.740 Próbowało to rozwiązać problem skalowalności klucza wstępnego, 04:46.740 --> 04:49.650 ale ostatecznie WPA jest nadal uważany za słaby według 04:49.650 --> 04:51.450 dzisiejszych standardów i został 04:51.450 --> 04:54.300 zastąpiony bardziej nowoczesną wersją znaną jako WPA2 04:54.300 --> 04:56.850 lub Wifi Protected Access 2. 04:56.850 --> 04:59.160 Obecnie obowiązującym standardem jest WPA2, który 04:59.160 --> 05:02.460 został stworzony w ramach 802. 11i. 05:02.460 --> 05:04.770 Po raz pierwszy wdrożono Wireless 05:04.770 --> 05:07.620 G, a następnie Wireless N i Wireless AC. 05:07.620 --> 05:09.390 Wymaga to silniejszego uwierzytelniania 05:09.390 --> 05:11.970 oraz silniejszego szyfrowania i kontroli integralności. 05:11.970 --> 05:15.300 Sprawdzanie integralności odbywa się za pomocą CCMP. 05:15.300 --> 05:17.550 CCMP to skrót od Counter Mode with 05:17.550 --> 05:19.080 Cipher Blockchaining 05:19.080 --> 05:20.910 Message Authentication Code 05:20.910 --> 05:22.817 Protocol, którego nie trzeba 05:22.817 --> 05:25.560 zapamiętywać na egzaminie. 05:25.560 --> 05:28.890 Należy pamiętać, że za każdym razem, gdy widzisz CCMP, 05:28.890 --> 05:33.210 powinieneś myśleć o tym, że jest to część zabezpieczeń WPA2. 05:33.210 --> 05:34.890 Drugą rzeczą, którą zrobili, 05:34.890 --> 05:37.680 było zastąpienie starszego mechanizmu szyfrowania 05:37.680 --> 05:40.350 RC4 przez VES Cipher 4 nowym, znanym jako Advanced 05:40.350 --> 05:43.410 Encryption Standard lub AES. 05:43.410 --> 05:47.047 Obecnie AES używa klucza 128-bitowego, a niektóre nowsze 05:47.047 --> 05:50.700 modele mogą używać klucza 256-bitowego lub więcej. 05:50.700 --> 05:52.995 Zapewnia to dodatkowe bezpieczeństwo i poufność 05:52.995 --> 05:56.280 danych przesyłanych przez sieć bezprzewodową. 05:56.280 --> 05:58.410 W czasie tego konkretnego nagrania 05:58.410 --> 06:01.890 AES nadal nie został złamany, a sam algorytm WPA2 nie 06:01.890 --> 06:03.990 został złamany, więc dobrze jest 06:03.990 --> 06:05.400 go używać, jeśli masz 06:05.400 --> 06:07.950 długie, silne hasło. 06:07.950 --> 06:09.810 Jedynym sposobem, w jaki ludzie są obecnie 06:09.810 --> 06:12.720 w stanie złamać te sieci, jest użycie ataków hasłowych, 06:12.720 --> 06:14.640 co oznacza, że próbują odgadnąć hasła, 06:14.640 --> 06:16.500 odgadując każdą możliwą opcję za pomocą 06:16.500 --> 06:19.350 ataku siłowego lub słownikowego. 06:19.350 --> 06:20.700 Jeśli więc chcesz chronić swoje 06:20.700 --> 06:24.210 sieci, upewnij się, że używasz dobrego, długiego i silnego hasła. 06:24.210 --> 06:27.390 WPA2 obsługuje również dwa różne tryby w zależności od 06:27.390 --> 06:29.370 sieci, w której będzie używany. 06:29.370 --> 06:32.070 Jeśli korzystasz z niego w domu lub małym biurze, będziesz 06:32.070 --> 06:33.900 używać klucza wstępnego, w którym wszyscy 06:33.900 --> 06:35.520 mają to samo hasło. 06:35.520 --> 06:37.800 Jest to tak zwany tryb osobisty. 06:37.800 --> 06:40.260 Innym sposobem jest użycie go w dużym środowisku, w którym 06:40.260 --> 06:42.030 korzystasz z trybu korporacyjnego, w którym 06:42.030 --> 06:43.500 każdy użytkownik otrzymuje pojedynczą 06:43.500 --> 06:46.560 nazwę użytkownika i hasło, które są dla niego unikalne i będą korzystać 06:46.560 --> 06:48.990 z centralnego serwera uwierzytelniania przy użyciu 06:48.990 --> 06:55.320 natywnego WPA2 lub odciążając go do 801. 06:55.320 --> 06:55.320 1x. 06:55.320 --> 06:56.360 Na egzaminie chcę, abyś zapamiętał 06:56.360 --> 06:59.040 cztery rzeczy na temat bezpieczeństwa sieci bezprzewodowych, a jeśli 06:59.040 --> 07:00.120 zapamiętasz cztery rzeczy 07:00.120 --> 07:02.340 z tej tabeli, poradzisz sobie świetnie. 07:02.340 --> 07:04.590 Po pierwsze, za każdym razem, gdy widzisz słowo 07:04.590 --> 07:06.270 "otwarta" w odniesieniu do sieci 07:06.270 --> 07:10.440 bezprzewodowej, oznacza to brak zabezpieczeń, brak ochrony, brak hasła. 07:10.440 --> 07:11.820 Jeśli słyszysz WEP, chcę, 07:11.820 --> 07:14.580 abyś skojarzył to z wektorami inicjalizacji. 07:14.580 --> 07:15.990 To jest właśnie wada WEP 07:15.990 --> 07:17.880 i to o niej usłyszysz na teście. 07:17.880 --> 07:19.235 WEP jest słaby, WEP jest zły. 07:19.235 --> 07:22.140 WEP wykorzystuje wektory inicjalizacji. 07:22.140 --> 07:23.995 Jeśli widzisz WPA, chcę, abyś 07:23.995 --> 07:27.227 pomyślał o TKIP i RC4, ponieważ TKIP był używany do zastąpienia 07:27.227 --> 07:29.520 wektorów inicjalizacji, a RC4 był jego 07:29.520 --> 07:31.680 formą szyfrowania. 07:31.680 --> 07:35.070 Ponownie, WPA jest uważane za słabe, nie używaj go. 07:35.070 --> 07:37.920 Następnie, jeśli widzisz WPA2, powinieneś 07:37.920 --> 07:41.250 pomyśleć o akronimach CCMP i AES. 07:41.250 --> 07:43.470 CCMP jest protokołem integralności, a AES 07:43.470 --> 07:46.350 jest używanym przez nas mechanizmem szyfrowania. 07:46.350 --> 07:48.720 Jest to klucz do odpowiedzi na pytania bezprzewodowe 07:48.720 --> 07:50.760 dotyczące bezpieczeństwa w dniu egzaminu. 07:50.760 --> 07:53.760 Następnie porozmawiajmy trochę o filtrowaniu adresów MAC. 07:53.760 --> 07:56.457 Możemy skonfigurować nasze punkty dostępowe za pomocą 07:56.457 --> 07:58.470 ACL, które będą w stanie sprawdzać te adresy 07:58.470 --> 08:01.020 i zezwalać lub odmawiać określonym adresom MAC na 08:01.020 --> 08:02.700 łączenie się z siecią. 08:02.700 --> 08:05.340 Na przykład, jeśli mój iPhone próbuje połączyć się z siecią, a 08:05.340 --> 08:08.010 nie jest autoryzowany lub znajduje się na liście Odmów, nie będzie 08:08.010 --> 08:09.720 w stanie wykonać tego uścisku dłoni i nie 08:09.720 --> 08:11.460 będzie w stanie się komunikować. 08:11.460 --> 08:13.230 Problem z filtrowaniem komputerów 08:13.230 --> 08:15.150 Mac nadal polega na tym, że bardzo łatwo 08:15.150 --> 08:17.520 jest zmienić adres MAC i sfałszować go. 08:17.520 --> 08:19.500 Obeznani użytkownicy mogą naprawdę szybko 08:19.500 --> 08:21.960 zmienić swój adres Mac za pomocą ogólnodostępnych 08:21.960 --> 08:24.630 narzędzi i naprawdę zajmuje to około pięciu sekund. 08:24.630 --> 08:26.100 To powstrzyma niektórych ludzi, 08:26.100 --> 08:29.190 ale nie jest niezawodne i nie powstrzyma wszystkich. 08:29.190 --> 08:30.660 Jeśli chcesz zmienić swój adres 08:30.660 --> 08:33.420 Mac i korzystasz z narzędzi takich jak Mac Address Changer 08:33.420 --> 08:36.210 dla Windows, Mac Daddy X dla systemów OSX i MAC lub Mac changer 08:36.210 --> 08:37.890 dla Linuksa, wszystkie te narzędzia 08:37.890 --> 08:40.560 są naprawdę łatwe w użyciu. 08:40.560 --> 08:42.411 Adresy Mac nie będą dla ciebie źródłem 08:42.411 --> 08:46.500 doskonałej ochrony, ale zgodnie z egzaminem jest to ochrona, którą 08:46.500 --> 08:48.840 możesz wykorzystać jako część swojej strategii 08:48.840 --> 08:50.940 obrony i głębi. 08:50.940 --> 08:53.100 Tak więc w prawdziwym świecie nie przejmuj się zbytnio 08:53.100 --> 08:55.230 filtrowaniem komputerów Mac, ale na egzaminie uważają 08:55.230 --> 08:57.450 to za dobry środek bezpieczeństwa. 08:57.450 --> 09:00.300 Następnie mamy wyłączenie rozgłaszania SSID, co jest uważane 09:00.300 --> 09:02.550 za niewielką pomoc w zakresie bezpieczeństwa, 09:02.550 --> 09:04.410 a także w celu ochrony sieci. 09:04.410 --> 09:06.930 Teraz, zgodnie z egzaminem, podobnie jak filtrowanie MAC, twierdzą, 09:06.930 --> 09:08.730 że jest to dobra rzecz do zrobienia. 09:08.730 --> 09:10.260 Jednak w prawdziwym świecie znalezienie 09:10.260 --> 09:13.200 ukrytego identyfikatora SSID nie zajmuje dużo czasu. 09:13.200 --> 09:15.390 Czym dokładnie jest SSID? 09:15.390 --> 09:17.850 Cóż, jest to skrót od identyfikatora zestawu serwerów 09:17.850 --> 09:20.520 i tak właśnie nazywa się sieć bezprzewodowa. 09:20.520 --> 09:22.260 Na przykład, jeśli pójdziesz do Starbucks, 09:22.260 --> 09:24.390 mają jeden o nazwie "Starbucks Guest" lub jeśli pójdziesz 09:24.390 --> 09:27.360 do mojego domu, mam jeden o nazwie "Dion" i w ten sposób możesz zobaczyć, 09:27.360 --> 09:29.160 że zestaw serwerów wychodzi i mówi: "Hej, Dion 09:29.160 --> 09:31.920 jest tutaj, czy powinienem się z nim połączyć? A jeśli szukasz sieci, widzisz całą 09:31.920 --> 09:33.120 listę nazw, które 09:33.120 --> 09:35.700 są wokół ciebie, prawda? 09:35.700 --> 09:38.670 Cóż, jeśli wyłączysz rozgłaszanie identyfikatora zestawu 09:38.670 --> 09:40.230 serwera, nie będzie on rozgłaszany 09:40.230 --> 09:42.630 i nie pojawi się w dostępnych sieciach. 09:42.630 --> 09:44.670 W ten sposób użytkownik musi ręcznie wpisać nazwę, 09:44.670 --> 09:46.350 aby połączyć się z siecią, więc musi faktycznie 09:46.350 --> 09:48.210 wiedzieć, że tam jest. 09:48.210 --> 09:49.920 Problem polega na tym, że przy użyciu 09:49.920 --> 09:52.680 technik penetracji sieci bezprzewodowej, bardzo łatwo jest 09:52.680 --> 09:55.080 je znaleźć i nadal można się z nimi połączyć. 09:55.080 --> 09:57.240 Jeśli wszystko, co robisz, to wyłączanie transmisji, 09:57.240 --> 09:58.740 nie jest to zbyt bezpieczne. 09:58.740 --> 10:01.320 Ale jeśli zrobisz to w połączeniu z filtrowaniem MAC i posiadaniem 10:01.320 --> 10:03.240 dobrego, długiego i silnego hasła, zaczniesz 10:03.240 --> 10:04.830 nakładać warstwę zabezpieczeń i zapewnisz 10:04.830 --> 10:06.903 lepszą ochronę.