Ключ шифрования psk: WPA и WPA2 PSK – что это такое, какой ключ шифрования лучше
WPA и WPA2 PSK – что это такое, какой ключ шифрования лучше
Сегодня распространение сетей беспроводного доступа стало таким обширным, особенно в мегаполисах, что мы уже не представляем себе погружение в интернет без них. WI-FI есть в каждой доме, офисе и местах общего посещения. Но для того, чтобы входить в сеть и хранить там свои данные безопасно, необходимо использовать защитные технологии. Их можно найти и применить в параметрах подключения. Давайте в данной статье разберемся – какие настройки и для чего нам нужны.
Варианты защиты
Смотрите также видео с инструкциями по настройке безопасности сети WI-FI:
Чтобы быть уверенным в безопасности нашего WI-FI, нужно придумать логин и пароль и определиться с технологией защиты. Из вариантов нам предлагаются WEP, WPA и WPA2.
Одной из первых безопасных технологий была WEP. Она проверяла ключ на целостность при каждом соединении по Wi-Fi и была стандартом IEEE802.11i. Сейчас эта технология считается устаревшей и недостаточно безопасной.
WPA
Защита WPA выполняет проверку ключа доступа при использовании протокола 802.1Х, таким образом, перебирая все варианты. Это более надежный и современный тип защиты. Полное название – Wi-Fi Protected Access – защищенный доступ Wi-Fi.
Делится на пару видов:
- WPA-Personal (Personal Key) или сокращенно WPA PSK.
- WPA-Enterprise.
И наконец, что такое WPA2 PSK? Спросите, какая разница, чем отличается этот вариант от WPA? Она поддерживает шифрование и считается лучшим способом для защиты сетей беспроводного доступа. Еще отличие в том, что это самая современная, свежая версия.
Давайте подробнее остановимся на видах WPA2:
- WPA2 PSK или персональный (Personal) ключ – это вариант аутентификации. Нам просто нужно придумать пароль, который будет ключом, и пользоваться им во время входа в сеть WI-Fi. Этот пароль будет одним для всех подключаемых девайсов и будет храниться в настройках роутера.
- WPA2 Enterprise – усложненный способ аутентификации, подойдет для использования на работе. Он имеет повышенный уровень защиты и использует сервер для выдачи паролей.
Часто по умолчанию в настройках роутера через компьютер можно увидеть общий режим WPA/WPA2. Он используется для избежания проблем с подключением устаревших моделей телефонов и планшетов пользователей.
Шифрование беспроводной сети
Коротко рассмотрим и алгоритмы шифрования. Их два вида – TKIP и AES. Первый алгоритм поддерживают только устаревшие устройства, поэтому при настройке доступа лучше установить режим «Авто». Если мы выбрали режим WPA2 Personal, то по умолчанию будет предложено только шифрование по AES.
WPA2 Enterprise
Пара слов о данном виде WPA Enterprise. Для использования необходимо иметь в нашей сети RADIUS-сервер. Для любого девайса выдается свой ключ шифрования, который уникален и создается прямо во время аутентификации на сервере.
Как же тогда подключается устройство к сети Wi-Fi? Сначала происходит обмен данными. Затем информация доходит до RADIUS-сервера, где выполняется аутентификация устройства: RADIUS-сервер смотрит, есть ли в его базе такое устройство, проверяет вводимые данные login и password, затем дает разрешение на подключение или запрещает соединение. После положительной проверки беспроводная точка открывает доступ в сеть нашему устройству.
Пароль для сети
После того, как мы выбрали режимы безопасности, нам необходимо задуматься о пароле. Каким он должен быть?
Определимся с величиной – 8-32 символа. Используется только латиница, цифры и специальные символы. Обязательным условием является недопустимость пробелов. Пароль реагирует на регистр. Лучше придумать надежный и легко запоминающийся пароль, чтобы его никто не мог взломать.
Теперь вы с уверенностью можете сказать, какой способ проверки подлинности Wi-Fi лучше. Чтобы к вам не мог подключиться любой нежелательный пользователь, нужно защитить свою сеть.
Если статья была полезной, ставьте звездочки! Задавайте вопросы и делитесь опытом по теме! Всем спасибо и до новых встреч на WiFi Гид!
🔐 4 способа генерации сильного предварительного общего ключа (PSK) на Linux — Information Security Squad
Pre-Shared Key (PSK) или также называемый общим секретом — это строка символов, которая используется в качестве ключа аутентификации в криптографических процессах.
PSK передается перед использованием и удерживается обеими сторонами для аутентификации друг друга, обычно до применения других методов аутентификации, таких как имена пользователей и пароли.
Они спользуется в различных типах VPN, в беспроводных сетях с типом шифрования, известным как WPA-PSK (предварительный общий ключ защищенного доступа Wi-Fi) и WPA2-PSK, а также в EAP ( Расширенный протокол аутентификации (Pre-Shared Key) и во многих других механизмах аутентификации.
В этой статье мы покажем вам различные способы создания сильного предварительного общего ключа в дистрибутивах Linux.
1. Используя команду OpenSSL
OpenSSL — это широко известный и широко используемый инструмент командной строки, используемый для вызова различных криптографических функций библиотеки OpenSSL из оболочки.
Чтобы сгенерировать сильный PSK, используйте его подкоманду rand, которая генерирует псевдослучайные байты и фильтрует ее по кодировкам base64, как показано далее:
$ openssl rand -base64 32 $ openssl rand -base64 64
2. Использование команды GPG
GPG — это инструмент командной строки для предоставления услуг цифрового шифрования и подписи с использованием стандарта OpenPGP.
Вы можете использовать опцию —gen-random, чтобы сгенерировать сильный PSK и отфильтровать его по кодировке base64, как показано в примере.
В следующих командах 1 или 2 — уровень качества, а 10, 20, 40 и 70 — количество символов.
$ gpg --gen-random 1 10 | base64 $ gpg --gen-random 2 20 | base64 $ gpg --gen-random 1 40 | base64 $ gpg --gen-random 2 70 | base64
3. Использование генераторов псевдослучайных чисел
Вы также можете использовать любой из генераторов псевдослучайных чисел Linux, например /dev/random или /dev/urandom.
Опция -c команды head помогает генерировать количество символов.
$ head -c 35 /dev/random | base64 $ head -c 60 /dev/random | base64
4. Использование команд date и sha245sum
Команды date и sha256sum можно объединить, чтобы создать сильный PSK следующим образом.
$ date | sha256sum | base64 | head -c 45; echo $ date | sha256sum | base64 | head -c 50; echo $ date | sha256sum | base64 | head -c 60; echo
Выше приведены некоторые из многих способов создания сильного PSK ключа в Linux.
Знаете ли вы какие-либо другие методы?
Если да, поделитесь им с нами через форму обратной связи ниже.
см. также:
Тип безопасности и шифрования беспроводной сети. Какой выбрать?
Чтобы защитить свою Wi-Fi сеть и установить пароль, необходимо обязательно выбрать тип безопасности беспроводной сети и метод шифрования. И на данном этапе у многих возникает вопрос: а какой выбрать? WEP, WPA, или WPA2? Personal или Enterprise? AES, или TKIP? Какие настройки безопасности лучше всего защитят Wi-Fi сеть? На все эти вопросы я постараюсь ответить в рамках этой статьи. Рассмотрим все возможные методы аутентификации и шифрования. Выясним, какие параметры безопасности Wi-Fi сети лучше установить в настройках маршрутизатора.
Обратите внимание, что тип безопасности, или аутентификации, сетевая аутентификация, защита, метод проверки подлинности – это все одно и то же.
Тип аутентификации и шифрование – это основные настройки защиты беспроводной Wi-Fi сети. Думаю, для начала нужно разобраться, какие они бывают, какие есть версии, их возможности и т. д. После чего уже выясним, какой тип защиты и шифрования выбрать. Покажу на примере нескольких популярных роутеров.
Я настоятельно рекомендую настраивать пароль и защищать свою беспроводную сеть. Устанавливать максимальный уровень защиты. Если вы оставите сеть открытой, без защиты, то к ней смогут подключится все кто угодно. Это в первую очередь небезопасно. А так же лишняя нагрузка на ваш маршрутизатор, падение скорости соединения и всевозможные проблемы с подключением разных устройств.
Защита Wi-Fi сети: WEP, WPA, WPA2
Есть три варианта защиты. Разумеется, не считая «Open» (Нет защиты).
- WEP (Wired Equivalent Privacy) – устаревший и небезопасный метод проверки подлинности. Это первый и не очень удачный метод защиты. Злоумышленники без проблем получают доступ к беспроводным сетям, которые защищены с помощью WEP. Не нужно устанавливать этот режим в настройках своего роутера, хоть он там и присутствует (не всегда).
- WPA (Wi-Fi Protected Access) – надежный и современный тип безопасности. Максимальная совместимость со всеми устройствами и операционными системами.
- WPA2 – новая, доработанная и более надежная версия WPA. Есть поддержка шифрования AES CCMP. На данный момент, это лучший способ защиты Wi-Fi сети. Именно его я рекомендую использовать.
WPA/WPA2 может быть двух видов:
- WPA/WPA2 — Personal (PSK) – это обычный способ аутентификации. Когда нужно задать только пароль (ключ) и потом использовать его для подключения к Wi-Fi сети. Используется один пароль для всех устройств. Сам пароль хранится на устройствах. Где его при необходимости можно посмотреть, или сменить. Рекомендуется использовать именно этот вариант.
- WPA/WPA2 — Enterprise – более сложный метод, который используется в основном для защиты беспроводных сетей в офисах и разных заведениях. Позволяет обеспечить более высокий уровень защиты. Используется только в том случае, когда для авторизации устройств установлен RADIUS-сервер (который выдает пароли).
Думаю, со способом аутентификации мы разобрались. Лучшие всего использовать WPA2 — Personal (PSK). Для лучшей совместимости, чтобы не было проблем с подключением старых устройств, можно установить смешанный режим WPA/WPA2. На многих маршрутизаторах этот способ установлен по умолчанию. Или помечен как «Рекомендуется».
Шифрование беспроводной сети
Есть два способа TKIP и AES.
Рекомендуется использовать AES. Если у вас в сети есть старые устройства, которые не поддерживают шифрование AES (а только TKIP) и будут проблемы с их подключением к беспроводной сети, то установите «Авто». Тип шифрования TKIP не поддерживается в режиме 802.11n.
В любом случае, если вы устанавливаете строго WPA2 — Personal (рекомендуется), то будет доступно только шифрование по AES.
Какую защиту ставить на Wi-Fi роутере?
Используйте WPA2 — Personal с шифрованием AES. На сегодняшний день, это лучший и самый безопасный способ. Вот так настройки защиты беспроводной сети выглядит на маршрутизаторах ASUS:
Подробнее в статье: как установить пароль на Wi-Fi роутере Asus.
А вот так эти настройки безопасности выглядят на роутерах от TP-Link (со старой прошивкой).
Более подробную инструкцию для TP-Link можете посмотреть здесь.
Инструкции для других маршрутизаторов:
Если вы не знаете где найти все эти настройки на своем маршрутизаторе, то напишите в комментариях, постараюсь подсказать. Только не забудьте указать модель.
Так как WPA2 — Personal (AES) старые устройства (Wi-Fi адаптеры, телефоны, планшеты и т. д.) могут не поддерживать, то в случае проблем с подключением устанавливайте смешанный режим (Авто).
Не редко замечаю, что после смены пароля, или других параметров защиты, устройства не хотят подключаться к сети. На компьютерах может быть ошибка «Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети». Попробуйте удалить (забыть) сеть на устройстве и подключится заново. Как это сделать на Windows 7, я писал здесь. А в Windows 10 нужно забыть сеть.
Пароль (ключ) WPA PSK
Какой бы тип безопасности и метод шифрования вы не выбрали, необходимо установить пароль. Он же ключ WPA, Wireless Password, ключ безопасности сети Wi-Fi и т. д.
Длина пароля от 8 до 32 символов. Можно использовать буквы латинского алфавита и цифры. Так же специальные знаки: — @ $ # ! и т. д. Без пробелов! Пароль чувствительный к регистру! Это значит, что «z» и «Z» это разные символы.
Не советую ставить простые пароли. Лучше создать надежный пароль, который точно никто не сможет подобрать, даже если хорошо постарается.
Вряд ли получится запомнить такой сложный пароль. Хорошо бы его где-то записать. Не редко пароль от Wi-Fi просто забывают. Что делать в таких ситуациях, я писал в статье: как узнать свой пароль от Wi-Fi.
Так же не забудьте установить хороший пароль, который будет защищать веб-интерфейс вашего маршрутизатора. Как это сделать, я писал здесь: как на роутере поменять пароль с admin на другой.
Если вам нужно еще больше защиты, то можно использовать привязку по MAC-адресу. Правда, не вижу в этом необходимости. WPA2 — Personal в паре с AES и сложным паролем – вполне достаточно.
А как вы защищаете свою Wi-Fi сеть? Напишите в комментариях. Ну и вопросы задавайте 🙂
что это, как узнать и где его взять на ноутбуке, компьютере, роутере, телефоне
На чтение 10 мин. Просмотров 12 Опубликовано
Юрий Санаев
Системный администратор. Менеджер по продажам компьютеров и wi-fi оборудования. Опыт работы – 10 лет. Знает о «железе» и софте все и даже больше.
Задать вопрос
При настройке беспроводной сети в доме или офисе пользователи часто интересуются, как обезопасить ее и маршрутизатор от доступа со стороны посторонних. Для этого нужно знать, какие способы защиты и виды шифрования существуют, что такое ключ безопасности сети, где его посмотреть, изменить или удалить, если это потребуется.
Определение
Ключ безопасности Wi-Fi сети – это набор символов, цифр и букв, защищающий доступ к роутеру. Он создается при первой настройке или после возврата устройства к заводским установкам.
Способы защиты и виды шифрования
Известны четыре типа защиты Wi-Fi: WEP, WPA, WPA2, WPA3.
WEP (Wired Equivalent Privacy) – начальный метод. Устарел и небезопасен. Не рекомендуется его выбирать для защиты своего устройства. WEP ключ Wi-Fi сети с легкостью взламывают злоумышленники, чтобы получить к ней доступ.
WPA – современная и качественная защита. Расшифровывается как Wi-Fi Protected Access. Отличается максимальной совместимостью с любой техникой и ОС.
WPA2 – обновленная, улучшенная версия ключа WPA. Поддерживает способ шифрования AES CCMP. Делится на два типа:
- WPA/WPA 2 – Personal (PSK) – стандартный тип аутентификации. Используется при выборе пароля для доступа к сети. Один и тот же ключ предназначается для каждого подсоединяемого устройства. Размещается на маршрутизаторе, доступен для просмотра или редактирования. Рекомендуемый тип.
- WPA/WPA2 – Enterprise – сложнейший вид защиты, применяемый в офисах или иных заведениях. Выделяется повышенной безопасностью. Используется лишь тогда, когда подключенная техника авторизуется через RADIUS-сервер, выдающий пароли.
WPA3 — из названия понятно, что это обновленный вид WPA2. Это последняя и лучшая версия защиты на настоящий день, выпущенная в 2018 году. Улучшенное подключение устройств к сети, защита от назойливых соседей, которые занимаются подбором паролей (брутфорс атаками), и безопасность при подключении к общественным сетям.
Рекомендуем использовать WPA3, если подключаемые устройства поддерживают данный тип шифрования.
Дома для маршрутизатора рекомендуется выбирать тип защиты WPA2 – Personal (PSK) или комбинированный ключ шифрования WPA/WPA2, чтобы не испытывать затруднений с подключением устаревшей техники. Именно он используется на роутерах по умолчанию или отмечен как «Рекомендуемый».
После установки типа защиты нужно выбрать способ шифрования. Доступны два варианта – устаревший TKIP или современный AES. Для использования рекомендован второй тип – его поддерживают все новые устройства, расшифровать его невозможно. Первый применяется при подключении старой техники. При выборе типа шифрования рекомендуется устанавливать AES или «Авто». TKIP недоступен в режиме 802.11n. При установке способа защиты WPA2 – Personal применяется только AES-шифрование.
Как узнать ключ безопасности
Если пароль от Wi-Fi утерян, его нужно где-то посмотреть. Узнать ключ безопасности от своей беспроводной сети можно на роутере, ноутбуке, смартфоне.
С помощью роутера
Увидеть сетевой ключ для роутера пользователь сможет в интерфейсе устройства.
Инструкция:
- На тыльной стороне корпуса маршрутизатора найти IP-адрес для входа (192.168.1.1 или 192.168.0.1).
- Параметры для авторизации – «admin/admin».
- Развернуть раздел «Беспроводная сеть» или «Wireless».
- Название подключения в поле «SSID». Пароль в строке «PSK Password» или «Предварительный ключ WPA».
На технике разных брендов и моделей язык интерфейса и названия вкладок различны, но общий принцип одинаков.
С помощью компьютера
Посмотреть ключ безопасности от своей беспроводной сети можно на компьютере, находящемся в Wi-Fi сети.
На Windows 10:
- Развернуть трей, навести курсор на иконку соединения с Сетью, нажать и выбрать «Открыть «Параметры сети и Интернет».
- Вызвать «Центр управления сетями и общим доступом».
- Кликнуть на активное соединение и выбрать «Свойства беспроводной сети».
- Во вкладке «Безопасность» включить отображение введенных знаков. В строке «Ключ безопасности» откроется скрытая комбинация.
На Виндовс 7 действия незначительно отличаются:
- Открыть «Центр управления сетями и общим доступом».
- В колонке слева нажать на «Управление беспроводными сетями».
- Навести курсор на Wi-Fi, ПКМ вызвать меню и нажать «Свойства».
- Перейти в «Безопасность».
- Активировать отображение вводимых знаков.
- Нужная комбинация появится в поле «Ключ безопасности».
Если устройство не использует Wi-Fi, это решение не подойдет.
На телефоне
Узнать утерянный код безопасности Wi-Fi сети можно на телефоне или планшете, но только под управлением ОС Android с разблокированными ROOT-правами.
Получить ROOT-права помогут приложения из Play Market, например, Root Explorer.
Инструкция:
- Скачать из Google Play и открыть приложение для получения Root-прав.
- Открыть внутреннюю память смартфона, последовательно открыть папки «Data» — «Misc» — «WiFi».
- Найти файл «wpa_supplicant.conf» и открыть через приложение для чтения текстовых файлов или в веб-обозревателе.
- Найти «SSID» и «PSK». Значение в первой строке – это название Wi-Fi, во второй – пароль.
Если ROOT-права не получены, воспользоваться способом не получится.
Инструкция или наклейка на устройстве
После покупки или сброса маршрутизатора до заводских параметров на нем будет действовать ключ безопасности вайфай сети, нанесенный на наклейку снизу роутера. Код будет подписан как «Ключ сети», «Wi-Fi пароль», «Wireless Key», «Wi-Fi Key», «PIN».
Способ актуален, если секретная комбинация не редактировалась в ходе настройки устройства.
Дополнительные способы
Если предыдущие способы, как узнать пароль от Wi-Fi, неэффективны, можно задействовать стороннее ПО для десктопных и мобильных платформ.
Чтобы найти ключ безопасности сети на ноутбуке, потребуется установить WirelessKeyView. Она подойдет для всех версий Windows, от 10 до XP. Способ подходит, если Интернет на компьютере ранее был настроен через интересующую беспроводную сеть, но теперь устройство отключено от Wi-Fi.
Инструкция по использованию утилиты:
- Перейти по ссылке http://www.nirsoft.net/utils/wireless_key.html.
- Прокрутить страницу вниз, скачать 32-битную или 64-битную версию программы.
- Открыть архив (пароль рядом с ссылками на скачивание).
- Кликнуть на WirelessKeyView.exe, чтобы запустить утилиту.
Откроется окно с информацией обо всех сетях, к которым подключалось устройство, включая нужную.
Руководство для смартфонов с ОС Андроид:
- Открыть Play Market.
- Скачать специальное приложение, для просмотра паролей к беспроводным сетям, например, Wi-Fi Password.
- Запустить приложение с открытыми ROOT-правами.
- Выбрать сеть.
- Посмотреть секретную комбинацию.
Определить пароль от Wi-Fi иногда предлагается с помощью хакерского ПО для взлома Wi-Fi. Это не самое лучшее решение. При скачивании таких программ на телефон или ПК существует риск заразить технику вирусами или установить вредоносное ПО, способное нанести ущерб технике и ее владельцу.
Меняем ключ безопасности
Менять ключ безопасности нужно сразу после покупки роутера, при первом подключении. Позднее эта процедура выполняется через веб-интерфейс. На технике разных брендов редактирование отличается.
Перед тем, как изменить ключ безопасности сети, потребуется открыть веб-интерфейс.
Нужно перевернуть устройство. Снизу располагается наклейка с IP-адресом, именем и паролем. Если она отсутствует, нужно ввести «cmd» в строке поиска и вызвать Командную строку. Ввести «ipconfig/all», затем «Enter». Информация в строках «DHCP-сервер» и «Основной шлюз».
IP-адрес (обычно 192.168.1.1 или 192.168.0.1) нужно внести в адресную строку интернет-обозревателя и нажать «Enter». Для входа задействовать логин и пароль, размещенные снизу прибора. Часто это «admin/admin» (если владелец не редактировал параметры).
Asus
Руководство:
- Авторизоваться на странице управления роутером.
- Открыть вкладку «Беспроводная сеть».
- В поле «Предварительный ключ WPA» добавить новое значение.
- Нажать «Применить».
Далее нужно перезагрузить маршрутизатор, чтобы изменения вступили в силу.
TP-Link
На разных моделях роутеров TP-Link действия отличаются.
Первый вариант (модели со старым, зеленым веб-интерфейсом):
- Кликнуть «Беспроводной режим».
- Перейти в «Защиту беспроводного режима».
- Из трех типов шифрования (WEP, WPA/WPA2 – Enterprise или Personal) выбрать последний, с меткой «Рекомендуется».
- В поле «Пароль PSK» ввести новый ключ.
- Нажать «Сохранить».
Второй вариант (модели с новым, синим веб-интерфейсом):
- Открыть раздел «Базовая настройка».
- Выбрать «Беспроводной режим».
- Изменить значения в строке «Пароль» (если роутер функционирует в двух диапазонах, поменять комбинации нужно в обеих строках).
- Сохранить обновленные значения.
После установки нового значения выполнить перезагрузку роутера.
D-Link
Инструкция для эмуляторов D-Link:
- Кликнуть «Wi-Fi».
- Перейти в «Настройки безопасности».
- В строчку «Ключ шифрования PSK» добавить новые данные.
- Нажать «Применить».
Далее нужно перезапустить устройство.
ZYXEL
Роутеры ZYXEL имеют разный интерфейс, в зависимости от года выпуска и серии модели, но общий принцип одинаков.
- Открыть раздел «Wi-Fi», выбрать «Безопасность».
- В поле «Проверка подлинности» указать «WPA-PSK/WPA2-PSK».
- В строке «Сетевой ключ» указать пароль.
- Нажать «Применить».
После сохранения изменений нужна перезагрузка маршрутизатора.
Сброс на заводские настройки
Если посмотреть ключ безопасности от Wi-Fi не удается, можно сбросить роутер до заводских установок через веб-интерфейс или кнопкой на самом приборе, а затем создать сеть заново.
Для возврата маршрутизатора к заводским настройкам нужно открыть раздел «Системные инструменты» (TP-Link), «Администрирование» — «Управление настройками» (ASUS), «Система» (D-Link), найти «Заводские настройки», нажать на них или кнопку «Восстановить» напротив и дождаться перезагрузки роутера.
На тыльной стороне маршрутизаторов, как правило, есть кнопка возврата к начальным параметрам. Чаще всего она погружена в корпус и, чтобы ей воспользоваться, нужна скрепка или иной тонкий предмет. Нужно нажать на нее и зафиксировать в таком положении от 10 до 15 секунд. Индикаторы на панели роутера моргнут или погаснут полностью. Нужно отпустить кнопку. Устройство перезагрузится.
После перезапуска маршрутизатор потребуется настроить заново. В ходе этой процедуры пользователь сможет самостоятельно создать беспроводную сеть и придумать для нее новый ключ безопасности.
Создаем сложный пароль
Чтобы создать сложный пароль, должны быть соблюдены условия:
- Длина: чем больше символов в комбинации, тем сложнее ее подобрать, даже программным способом.
- Сложность: сильный пароль включает буквы различного регистра и цифры. Пробелы, тире снизу и сложные символы не подходят, потому что их сложно вводить, особенно на мобильной технике или Smart TV телевизорах.
- Распространенные фразы, имена, даты использовать нельзя – такие пароли легко подбираются.
Соблюдая эти нехитрые правила, можно быть уверенным, что сеть не смогут взломать злоумышленники.
Ключ безопасности сети – это последовательность из цифр, букв и символов, защищающая доступ к Wi-Fi. Если он забыт, просмотреть его можно на ПК, ноутбуке, смартфоне или роутере. Пароль можно отредактировать или удалить, сбросив маршрутизатор к начальным установкам. При вводе нового кода нужно помнить: чем он сложнее, тем более защищенным будет беспроводное соединение, а значит, тем труднее его будет взломать злоумышленникам.
Мне нравитсяНе нравится
WPA и WPA2 PSK – что это такое, какой ключ шифрования лучше
Сегодня распространение сетей беспроводного доступа стало таким обширным, особенно в мегаполисах, что мы уже не представляем себе погружение в интернет без них. WI-FI есть в каждой доме, офисе и местах общего посещения. Но для того, чтобы входить в сеть и хранить там свои данные безопасно, необходимо использовать защитные технологии. Их можно найти и применить в параметрах подключения. Давайте в данной статье разберемся – какие настройки и для чего нам нужны.
Варианты защиты
Смотрите также видео с инструкциями по настройке безопасности сети WI-FI:
Чтобы быть уверенным в безопасности нашего WI-FI, нужно придумать логин и пароль и определиться с технологией защиты. Из вариантов нам предлагаются WEP, WPA и WPA2.
Одной из первых безопасных технологий была WEP. Она проверяла ключ на целостность при каждом соединении по Wi-Fi и была стандартом IEEE802.11i. Сейчас эта технология считается устаревшей и недостаточно безопасной.
WPA
Защита WPA выполняет проверку ключа доступа при использовании протокола 802.1Х, таким образом, перебирая все варианты. Это более надежный и современный тип защиты. Полное название Wi-Fi Protected Access защищенный доступ Wi-Fi.
Делится на пару видов:
- WPA-Personal (Personal Key) или сокращенно WPA PSK.
- WPA-Enterprise.
И наконец, что такое WPA2 PSK? Спросите, какая разница, чем отличается этот вариант от WPA? Она поддерживает шифрование и считается лучшим способом для защиты сетей беспроводного доступа. Еще отличие в том, что это самая современная, свежая версия.
Давайте подробнее остановимся на видах WPA2:
- WPA2 PSK или персональный (Personal) ключ – это вариант аутентификации. Нам просто нужно придумать пароль, который будет ключом, и пользоваться им во время входа в сеть WI-Fi. Этот пароль будет одним для всех подключаемых девайсов и будет храниться в настройках роутера.
- WPA2 Enterprise – усложненный способ аутентификации, подойдет для использования на работе. Он имеет повышенный уровень защиты и использует сервер для выдачи паролей.
Часто по умолчанию в настройках роутера через компьютер можно увидеть общий режим WPA/WPA2. Он используется для избежания проблем с подключением устаревших моделей телефонов и планшетов пользователей.
Шифрование беспроводной сети
Коротко рассмотрим и алгоритмы шифрования. Их два вида TKIP и AES. Первый алгоритм поддерживают только устаревшие устройства, поэтому при настройке доступа лучше установить режим «Авто». Если мы выбрали режим WPA2 Personal, то по умолчанию будет предложено только шифрование по AES.
WPA2 Enterprise
Пара слов о данном виде WPA Enterprise. Для использования необходимо иметь в нашей сети RADIUS-сервер. Для любого девайса выдается свой ключ шифрования, который уникален и создается прямо во время аутентификации на сервере.
Как же тогда подключается устройство к сети Wi-Fi? Сначала происходит обмен данными. Затем информация доходит до RADIUS-сервера, где выполняется аутентификация устройства: RADIUS-сервер смотрит, есть ли в его базе такое устройство, проверяет вводимые данные login и password, затем дает разрешение на подключение или запрещает соединение. После положительной проверки беспроводная точка открывает доступ в сеть нашему устройству.
Пароль для сети
После того, как мы выбрали режимы безопасности, нам необходимо задуматься о пароле. Каким он должен быть?
Определимся с величиной 8-32 символа. Используется только латиница, цифры и специальные символы. Обязательным условием является недопустимость пробелов. Пароль реагирует на регистр. Лучше придумать надежный и легко запоминающийся пароль, чтобы его никто не мог взломать.
Теперь вы с уверенностью можете сказать, какой способ проверки подлинности Wi-Fi лучше. Чтобы к вам не мог подключиться любой нежелательный пользователь, нужно защитить свою сеть.
Если статья была полезной, ставьте звездочки! Задавайте вопросы и делитесь опытом по теме! Всем спасибо и до новых встреч на WiFi Гид!
Загрузка…
Как обезопасить/защитить мою беспроводную сеть с помощью WPA-PSK/WPA2-PSK при использовании беспроводного маршрутизатора TP-Link 11N?
Эта статья подходит для:
TL-WR841N , TL-WDR3500 , TL-WR743ND
more
TL-WR841N , TL-WDR3500 , TL-WR743ND , Archer C50( V1 ) , TL-WDR4900 , TL-WR843N , TL-WR941ND , TL-WR710N , TL-WDR4300 , TL-WR702N , TL-WR700N , TL-WR841HP , TL-WR1043ND , TL-WR1042ND , TL-WDR3600 , TL-WR842N , TL-WR940N , Archer C7( V1 V2 ) , TL-WR741ND , TL-WR740N , TL-WR840N , TL-WR810N , TL-WR841ND , TL-WR720N , TL-WR843ND , TL-WR842ND , Archer C5( V1.20 )
Шаг 1 Откройте веб-браузер, наберите IP -адрес маршрутизатора (192.168.1.1 по умолчанию) в адресной строке и нажмите Enter .
Шаг 2 Введите имя пользователя и пароль на странице авторизации, по умолчанию имя пользователя и пароль: admin .
Шаг 3 В меню слева выберите Wireless (Беспроводная связь) -> Wireless Settings (Настройки беспроводных сетей), откроется окно настройки беспроводных сетей.
Идентификатор SSID (имя беспроводной сети): задайте новое имя для вашей беспроводной сети
Канал: 1, 6 или 11 подойдут лучше, чем Auto (Авто).
Поставьте галочку в полях «Enable Wireless Router Radio» (» Включить беспроводной маршрутизатор «) и «Enable SSID Broadcast» (» Включить вещание SSID»).
Шаг 4 Нажмите Save (Сохранить) для сохранения настроек.
Примечание: После нажатия кнопки Save (Сохранить), появляется сообщение “Изменения настроек беспроводной сети начнут работать только после перезагрузки компьютера, пожалуйста, нажмите здесь, чтобы перезагрузить компьютер сейчас”. Вам не нужно перезагружать маршрутизатор, пока вы не завершите все настройки беспроводной сети.
Шаг 5 В меню слева выберите Wireless (Беспроводная связь) -> Wireless Security (Безопасность беспроводной сети), с правой стороны включите опцию WPA — PSK / WPA 2- PSK .
Version (Версия): WPA — PSK или WPA 2- PSK
Encryption (Шифрование): TKIP или AES
PSK Password (Предварительно выданный ключ): укажите пароль (длина предварительно выданного ключа от 8 до 63 символов.)
Шаг 6 Нажмите Save (Сохранить) для сохранения настроек.
Шаг 7 В меню слева выберите Systems Tools (Служебные программы) -> Reboot (Перезагрузка). Перезагрузите маршрутизатор для того, чтобы настройки вступили в силу.
Примечание: Если вы настраивали безопасность, то настройки безопасности должны быть такими же у клиента (беспроводной адаптер) для подключения к беспроводной сети (маршрутизатору).
WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети / Хабр
В последнее время появилось много «разоблачающих» публикаций о взломе какого-либо очередного протокола или технологии, компрометирующего безопасность беспроводных сетей. Так ли это на самом деле, чего стоит бояться, и как сделать, чтобы доступ в вашу сеть был максимально защищен? Слова WEP, WPA, 802.1x, EAP, PKI для вас мало что значат? Этот небольшой обзор поможет свести воедино все применяющиеся технологии шифрования и авторизации радио-доступа. Я попробую показать, что правильно настроенная беспроводная сеть представляет собой непреодолимый барьер для злоумышленника (до известного предела, конечно).
Основы
Любое взаимодействие точки доступа (сети), и беспроводного клиента, построено на:
- Аутентификации — как клиент и точка доступа представляются друг другу и подтверждают, что у них есть право общаться между собой;
- Шифровании — какой алгоритм скремблирования передаваемых данных применяется, как генерируется ключ шифрования, и когда он меняется.
Параметры беспроводной сети, в первую очередь ее имя (SSID), регулярно анонсируются точкой доступа в широковещательных beacon пакетах. Помимо ожидаемых настроек безопасности, передаются пожелания по QoS, по параметрам 802.11n, поддерживаемых скорости, сведения о других соседях и прочее. Аутентификация определяет, как клиент представляется точке. Возможные варианты:
- Open — так называемая открытая сеть, в которой все подключаемые устройства авторизованы сразу
- Shared — подлинность подключаемого устройства должна быть проверена ключом/паролем
- EAP — подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером
Открытость сети не означает, что любой желающий сможет безнаказанно с ней работать. Чтобы передавать в такой сети данные, необходимо совпадение применяющегося алгоритма шифрования, и соответственно ему корректное установление шифрованного соединения. Алгоритмы шифрования таковы:
- None — отсутствие шифрования, данные передаются в открытом виде
- WEP — основанный на алгоритме RC4 шифр с разной длиной статического или динамического ключа (64 или 128 бит)
- CKIP — проприетарная замена WEP от Cisco, ранний вариант TKIP
- TKIP — улучшенная замена WEP с дополнительными проверками и защитой
- AES/CCMP — наиболее совершенный алгоритм, основанный на AES256 с дополнительными проверками и защитой
Комбинация Open Authentication, No Encryption широко используется в системах гостевого доступа вроде предоставления Интернета в кафе или гостинице. Для подключения нужно знать только имя беспроводной сети. Зачастую такое подключение комбинируется с дополнительной проверкой на Captive Portal путем редиректа пользовательского HTTP-запроса на дополнительную страницу, на которой можно запросить подтверждение (логин-пароль, согласие с правилами и т.п).
Шифрование WEP скомпрометировано, и использовать его нельзя (даже в случае динамических ключей).
Широко встречающиеся термины WPA и WPA2 определяют, фактически, алгоритм шифрования (TKIP либо AES). В силу того, что уже довольно давно клиентские адаптеры поддерживают WPA2 (AES), применять шифрование по алгоритму TKIP нет смысла.
Разница между WPA2 Personal и WPA2 Enterprise состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES. Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым. Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа. Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент — сервер авторизации, и почти всегда это RADIUS-сервер.
Все возможные параметры безопасности сведены в этой табличке:
Свойство | Статический WEP | Динамический WEP | WPA | WPA 2 (Enterprise) |
Идентификация | Пользователь, компьютер, карта WLAN | Пользователь, компьютер | Пользователь, компьютер | Пользователь, компьютер |
Авторизация | Общий ключ |
EAP |
EAP или общий ключ |
EAP или общий ключ |
Целостность |
32-bit Integrity Check Value (ICV) |
32-bit ICV |
64-bit Message Integrity Code (MIC) |
CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code — CCM) Part of AES |
Шифрование |
Статический ключ |
Сессионный ключ |
Попакетный ключ через TKIP |
CCMP (AES) |
РАспределение ключей |
Однократное, вручную |
Сегмент Pair-wise Master Key (PMK) |
Производное от PMK |
Производное от PMK |
Вектор инициализации |
Текст, 24 бита |
Текст, 24 бита |
Расширенный вектор, 65 бит |
48-бит номер пакета (PN) |
Алгоритм |
RC4 |
RC4 |
RC4 |
AES |
Длина ключа, бит |
64/128 |
64/128 |
128 |
до 256 |
Требуемая инфраструктура |
Нет |
RADIUS |
RADIUS |
RADIUS |
Если с WPA2 Personal (WPA2 PSK) всё ясно, корпоративное решение требует дополнительного рассмотрения.
WPA2 Enterprise
Здесь мы имеем дело с дополнительным набором различных протоколов. На стороне клиента специальный компонент программного обеспечения, supplicant (обычно часть ОС) взаимодействует с авторизующей частью, AAA сервером. В данном примере отображена работа унифицированной радиосети, построенной на легковесных точках доступа и контроллере. В случае использования точек доступа «с мозгами» всю роль посредника между клиентов и сервером может на себя взять сама точка. При этом данные клиентского суппликанта по радио передаются сформированными в протокол 802.1x (EAPOL), а на стороне контроллера они оборачиваются в RADIUS-пакеты.
Применение механизма авторизации EAP в вашей сети приводит к тому, что после успешной (почти наверняка открытой) аутентификации клиента точкой доступа (совместно с контроллером, если он есть) последняя просит клиента авторизоваться (подтвердить свои полномочия) у инфраструктурного RADIUS-сервера:
Использование WPA2 Enterprise требует наличия в вашей сети RADIUS-сервера. На сегодняшний момент наиболее работоспособными являются следующие продукты:
- Microsoft Network Policy Server (NPS), бывший IAS — конфигурируется через MMC, бесплатен, но надо купить винду
- Cisco Secure Access Control Server (ACS) 4.2, 5.3 — конфигурируется через веб-интерфейс, наворочен по функционалу, позволяет создавать распределенные и отказоустойчивые системы, стоит дорого
- FreeRADIUS — бесплатен, конфигурируется текстовыми конфигами, в управлении и мониторинге не удобен
При этом контроллер внимательно наблюдает за происходящим обменом информацией, и дожидается успешной авторизации, либо отказа в ней. При успехе RADIUS-сервер способен передать точке доступа дополнительные параметры (например, в какой VLAN поместить абонента, какой ему присвоить IP-адрес, QoS профиль и т.п.). В завершении обмена RADIUS-сервер дает возможность клиенту и точке доступа сгенерировать и обменяться ключами шифрования (индивидуальными, валидными только для данной сеcсии):
EAP
Сам протокол EAP является контейнерным, то есть фактический механизм авторизации дается на откуп внутренних протоколов. На настоящий момент сколько-нибудь значимое распространение получили следующие:
- EAP-FAST (Flexible Authentication via Secure Tunneling) — разработан фирмой Cisco; позволяет проводить авторизацию по логину-паролю, передаваемому внутри TLS туннеля между суппликантом и RADIUS-сервером
- EAP-TLS (Transport Layer Security). Использует инфраструктуру открытых ключей (PKI) для авторизации клиента и сервера (суппликанта и RADIUS-сервера) через сертификаты, выписанные доверенным удостоверяющим центром (CA). Требует выписывания и установки клиентских сертификатов на каждое беспроводное устройство, поэтому подходит только для управляемой корпоративной среды. Сервер сертификатов Windows имеет средства, позволяющие клиенту самостоятельно генерировать себе сертификат, если клиент — член домена. Блокирование клиента легко производится отзывом его сертификата (либо через учетные записи).
- EAP-TTLS (Tunneled Transport Layer Security) аналогичен EAP-TLS, но при создании туннеля не требуется клиентский сертификат. В таком туннеле, аналогичном SSL-соединению браузера, производится дополнительная авторизация (по паролю или как-то ещё).
- PEAP-MSCHAPv2 (Protected EAP) — схож с EAP-TTLS в плане изначального установления шифрованного TLS туннеля между клиентом и сервером, требующего серверного сертификата. В дальнейшем в таком туннеле происходит авторизация по известному протоколу MSCHAPv2
- PEAP-GTC (Generic Token Card) — аналогично предыдущему, но требует карт одноразовых паролей (и соответствующей инфраструктуры)
Все эти методы (кроме EAP-FAST) требуют наличия сертификата сервера (на RADIUS-сервере), выписанного удостоверяющим центром (CA). При этом сам сертификат CA должен присутствовать на устройстве клиента в группе доверенных (что нетрудно реализовать средствами групповой политики в Windows). Дополнительно, EAP-TLS требует индивидуального клиентского сертификата. Проверка подлинности клиента осуществляется как по цифровой подписи, так (опционально) по сравнению предоставленного клиентом RADIUS-серверу сертификата с тем, что сервер извлек из PKI-инфраструктуры (Active Directory).
Поддержка любого из EAP методов должна обеспечиваться суппликантом на стороне клиента. Стандартный, встроенный в Windows XP/Vista/7, iOS, Android обеспечивает как минимум EAP-TLS, и EAP-MSCHAPv2, что обуславливает популярность этих методов. С клиентскими адаптерами Intel под Windows поставляется утилита ProSet, расширяющая доступный список. Это же делает Cisco AnyConnect Client.
Насколько это надежно
В конце концов, что нужно злоумышленнику, чтобы взломать вашу сеть?
Для Open Authentication, No Encryption — ничего. Подключился к сети, и всё. Поскольку радиосреда открыта, сигнал распространяется в разные стороны, заблокировать его непросто. При наличии соответствующих клиентских адаптеров, позволяющих прослушивать эфир, сетевой трафик виден так же, будто атакующий подключился в провод, в хаб, в SPAN-порт коммутатора.
Для шифрования, основанного на WEP, требуется только время на перебор IV, и одна из многих свободно доступных утилит сканирования.
Для шифрования, основанного на TKIP либо AES прямое дешифрование возможно в теории, но на практике случаи взлома не встречались.
Конечно, можно попробовать подобрать ключ PSK, либо пароль к одному из EAP-методов. Распространенные атаки на данные методы не известны. Можно пробовать применить методы социальной инженерии, либо терморектальный криптоанализ.
Получить доступ к сети, защищенной EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 можно, только зная логин-пароль пользователя (взлом как таковой невозможен). Атаки типа перебора пароля, или направленные на уязвимости в MSCHAP также не возможны либо затруднены из-за того, что EAP-канал «клиент-сервер» защищен шифрованным туннелем.
Доступ к сети, закрытой PEAP-GTC возможен либо при взломе сервера токенов, либо при краже токена вместе с его паролем.
Доступ к сети, закрытой EAP-TLS возможен при краже пользовательского сертификата (вместе с его приватным ключом, конечно), либо при выписывании валидного, но подставного сертификата. Такое возможно только при компрометации удостоверяющего центра, который в нормальных компаниях берегут как самый ценный IT-ресурс.
Поскольку все вышеозначенные методы (кроме PEAP-GTC) допускают сохранение (кэширование) паролей/сертификатов, то при краже мобильного устройства атакующий получает полный доступ без лишних вопросов со стороны сети. В качестве меры предотвращения может служить полное шифрование жесткого диска с запросом пароля при включении устройства.
Запомните: при грамотном проектировании беспроводную сеть можно очень хорошо защитить; средств взлома такой сети не существует (до известного предела)
Настройка Mosquitto Bridge с шифрованием SSL — Примеры
Очень вероятно, что мостовое соединение между двумя брокерами будет зашифровано.
Брокер (сервер) Mosquitto предоставляет два метода использования шифрования SSL в мостовом соединении
- Сертификат шифрования
- Шифрование PSK
В этом руководстве мы будем настраивать безопасное мостовое соединение, используя оба метода.
Если вы плохо знакомы с сертификатами, вам следует прочитать это руководство по SSL-шифрованию и сертификатам, прежде чем продолжить.
Обзор установки брокера
в этом руководстве мы соединим темы о брокере 1 с брокером 2.
Брокер 1 будет настроен как мост и фактически является клиентом SSL.
broker 2 будет работать как обычный брокер и не будет требовать какой-либо настройки для моста. Он будет действовать как сервер SSL.
Обычно локально подключенные клиенты будут использовать стандартный порт 1883 и не использовать шифрование, как показано на схеме ниже:
SSL-шифрование с использованием сертификатов
Broker 2 должен быть настроен как сервер SSL и требовать шифрования.Я выбрал порт 8883.
Обратите внимание, что конфигурация предназначена для дополнительного слушателя , а не для моста.
Вот соответствующая часть файла конфигурации брокера 2, показывающая настройки SSL.
Теперь broker1 нужно настроить как мост.
Настройка почти идентична обычному мостовому соединению, за исключением того, что нам нужно добавить строку для файла CA , а также отказаться от использования IP-адреса (192.168.1.184) к имени ( ws4 ).
Это связано с тем, что мой ключ сервера на брокере 2 был сгенерирован с именем ws4 . См. Подробности в руководстве по SSL для Mosquitto.
Вот мостовая часть файла конфигурации:
Примечание: Для брокера 1 не требуется ключ сервера , так как он функционирует как клиент SSL.
Тестирование
Самый простой способ тестирования — создать ошибку, которую можно легко исправить, закомментировав настройку шифрования на брокере 1
Вы должны получить ошибку SSL на брокере 1
Обзор шифрования PSK
Брокер mosquitto поддерживает шифрование PSK, которое можно использовать вместо шифрования на основе сертификатов.
В криптографии предварительный общий ключ (PSK) — это общий секрет, который ранее был разделен между двумя сторонами с использованием некоторого безопасного канала, прежде чем его нужно будет использовать. –Wiki
Это тот же тип шифрования, который используется в сетях Wi-Fi.
Ключ, используемый в Mosquitto, ограничен шестнадцатеричными десятичными числами, например 0-9, A, B, C, D, E, F
Вы можете сгенерировать ключ с помощью онлайн-генераторов ключей , генераторов случайных чисел или просто придумать один.
Для тестирования проще составить .
Для реальных развертываний необходимо создать и использовать политику безопасности.
Примечание: Шифрование PSK использует SSL точно так же, как шифрование на основе сертификатов.
P SK encryption не поддерживается на клиенте Paho Python, поэтому не может использоваться для шифрования соединения клиентского брокера.
Настройка PSK для подключения Mosquitto Bridge
Используя ту же настройку, что и раньше. Broker1 настроен как мост, а broker2 — обычный брокер.
Есть две настройки, которые нужно добавить в broker2
Параметр psk_hint очень важен, поскольку именно он указывает брокеру использовать PSK.
Фактическое значение , которое вы вводите, не кажется важным для mosquitto, но может быть в других реализациях PSK.
Может быть только одна запись psk_file .
Ниже приведен пример файла конфигурации:
Содержимое файла PSK показано ниже:
Обратите внимание, что приведенный выше файл предназначен для двух соединений PSK, наше текущее соединение будет использовать bridge1 .
Broker1 — это мост, а вот его конфигурация:
Важными записями являются идентификатор моста bridge1 , который соответствует идентификатору моста в файле PSK на broker2.
Значение bridge_psk соответствует значению в файле PSK на broker2.
Примеры подключения нескольких мостов
Теперь мы рассмотрим два сценария конфигурации. Мы будем использовать PSK для SSL, но то же самое применимо и при использовании сертификатов.
На схеме ниже показаны два мостовых соединения.Это будет типичный центральный брокер с конфигурацией филиалов
.
Broker2 не требует изменений конфигурации для поддержки нескольких мостовых соединений как для сертификатов, так и для PSK.
Однако могут потребоваться дополнительные записи в файле PSK. Показанный ранее файл psk уже настроен для двух подключений.
Конфигурация брокера 1 (мост 1) показана ранее и не требует изменений
Файл конфигурации для B3 (мост2) показан ниже:
Множественное мостовое соединение — Пример 2
На этот раз мы настроим мост на несколько мостовых подключений.Это будет филиал центрального брокера с резервированием, как показано на схеме ниже:
Конфигурация брокера 1
Обычно мы используем один и тот же порт для каждого моста, поэтому нам нужен только один слушатель.
Каждое мостовое соединение начинается с имени соединения.
Ниже мы видим два соединения, которые называются мост-01, и мост-02.
Вот файл конфигурации
Файлы конфигурации для брокеров 2 и 3 будут выглядеть примерно так, как показано ниже.
Тестирование соединений
Когда вы подключаете мост, фактически нет никаких указаний на то, что используется безопасное соединение, при условии, что конфигурация в порядке.
Однако вы получите сообщение, если у вас есть проблема с конфигурацией.
На снимке экрана ниже показана проблема подключения, которую я вызвал из-за использования несоответствующего ключа для подключения bridge-02 .
Видео
— Как создать безопасное мостовое соединение на Mosquitto
Вопросы и ответы
Q- Что такое подсказка PSK?
A — См. Этот ответ о переполнении стека
Q- Является ли PSK менее безопасным, чем использование сертификата?
A- Наверное, да, но мнения разные — см. Здесь.Однако PSK реализовать намного проще, чем сертификаты.
Каталожные номера:
Связанные руководства
Оцените? И используйте Комментарии, чтобы сообщить мне больше
[Всего: 3 Среднее: 4,7 / 5].
Конфигурация WPA / WPA2 с предварительным общим ключом: IOS 15.2JB и более поздние версии
Введение
В этом документе описывается образец конфигурации для защищенного беспроводного доступа (WPA) и WPA2 с предварительным общим ключом (PSK).
Предварительные требования
Требования
Cisco рекомендует знать следующие темы:
- Знакомство с графическим пользовательским интерфейсом или интерфейсом командной строки (CLI) для программного обеспечения Cisco IOS ®
- Знакомство с концепциями PSK, WPA и WPA2
Используемые компоненты
Информация в этом документе основана на точке доступа (AP) Cisco Aironet 1260, на которой работает программное обеспечение Cisco IOS версии 15.2JB.
Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.
Настроить
Конфигурация с графическим интерфейсом
Эта процедура описывает, как настроить WPA и WPA2 с помощью PSK в графическом интерфейсе программного обеспечения Cisco IOS:
- Настройте диспетчер шифрования для VLAN, определенной для идентификатора набора служб (SSID).Перейдите к Security > Encryption Manager , убедитесь, что шифр включен, и выберите AES CCMP + TKIP в качестве шифра, который будет использоваться для обоих SSID.
- Включите правильную VLAN с параметрами шифрования, определенными на шаге 1. Перейдите к Security > SSID Manager и выберите SSID из текущего списка SSID. Этот шаг является общим для конфигурации как WPA, так и WPA2.
- На странице SSID установите для параметра «Управление ключами» значение Обязательно и установите флажок « Включить WPA ».Выберите WPA из раскрывающегося списка, чтобы включить WPA. Введите общий ключ WPA.
- Выберите WPA2 из раскрывающегося списка, чтобы включить WPA2.
Конфигурация с CLI
Примечания :
Используйте средство поиска команд (только для зарегистрированных клиентов), чтобы получить дополнительную информацию о командах, используемых в этом разделе.
Средство интерпретации выходных данных (только для зарегистрированных клиентов) поддерживает определенные команды show .Используйте Средство интерпретации выходных данных для просмотра анализа выходных данных команды show .
Это та же конфигурация, что и в CLI:
sh run
Конфигурация здания ... Текущая конфигурация: 5284 байта
!
! Последнее изменение конфигурации в 04:40:45 UTC, 11 марта 1993 г.
версия 15.2
нет панели обслуживания
метки времени службы отладки дата и время мсек
метки времени службы журнал дата и время мсек
шифрование пароля службы
!
имя хоста ish_1262_1_st
!
!
консоль ограничения скорости ведения журнала 9
включить секрет 5 $ 1 $ Iykv $ 1tUkNYeB6omK41S18lTbQ1
!
no aaa новая модель
ip cef
ip доменное имя cisco.com
!
!
!
dot11 syslog
!
dot11 ssid wpa
vlan 6
authentication open
authentication key-management wpa
mbssid guest-mode
wpa-psk ascii 7 060506324F41584B56
!
dot11 ssid wpa2
vlan 7
аутентификация открыта
аутентификация управление ключами wpa версия 2
wpa-psk ascii 7 110A1016141D5A5E57
!
мост irb
!
!
!
интерфейс Dot11Radio0
нет ip-адреса
нет ip route-cache
!
шифрование vlan 6 режим шифрования aes-ccm tkip
!
шифрование vlan 7 mode ciphers aes-ccm tkip
!
ssid wpa
!
ssid wpa2
!
усиление антенны 0
mbssid
роль станции корень
группа моста 1
группа моста 1 управление абонентом-шлейфом
группа моста 1 перекрытие отключено
группа моста 1 блок-неизвестный источник
нет группы моста 1 исходное обучение
no bridge-group 1 unicast-flooding
!
интерфейс Dot11Radio0.6
инкапсуляция dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 subscriber-loop-control
bridge-group 6 spanning-disabled
bridge-group 6 block-unknown-source
no bridge-group 6 исходное обучение
нет группы мостов 6 одноадресного флуда
!
interface Dot11Radio0.7
инкапсуляция dot1Q 7
no ip route-cache
bridge-group 7
bridge-group 7 subscriber-loop-control
bridge-group 7 spanning-disabled
bridge-group 7 block-unknown-source
нет группа мостов 7 с изучением источников
без группы мостов 7 одноадресная рассылка
!
интерфейс Dot11Radio1
нет ip-адреса
нет ip route-cache
!
шифрование vlan 6 режим шифрования aes-ccm tkip
!
шифрование vlan 7 mode ciphers aes-ccm tkip
!
ssid wpa
!
ssid wpa2
!
усиление антенны 0
без блока диапазонов dfs
mbssid
dfs канала
роль станции корень
группа мостов 1
группа моста 1 абонент-управление петлей
группа мостов 1 перекрытие отключено
группа мостов 1 блок неизвестен -source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
интерфейс Dot11Radio1.6
инкапсуляция dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 subscriber-loop-control
bridge-group 6 spanning-disabled
bridge-group 6 block-unknown-source
no bridge-group 6 исходное обучение
нет группы мостов 6 одноадресного флуда
!
interface Dot11Radio1.7
инкапсуляция dot1Q 7
no ip route-cache
bridge-group 7
bridge-group 7 subscriber-loop-control
bridge-group 7 spanning-disabled
bridge-group 7 block-unknown-source
нет группа мостов 7 с изучением источников
без группы мостов 7 одноадресная рассылка
!
interface GigabitEthernet0
нет IP-адреса
нет IP route-cache
duplex auto
speed auto
no keepalive
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
интерфейс GigabitEthernet0.6
инкапсуляция dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 spanning-disabled
no bridge-group 6 source-learning
!
interface GigabitEthernet0.7
инкапсуляция dot1Q 7
no ip route-cache
bridge-group 7
bridge-group 7 spanning-disabled
no bridge-group 7 source-learning
!
interface BVI1
ip-адрес 10.105.132.172 255.255.255.128
no ip route-cache
!
ip-протокол прямого доступа nd
ip http-сервер
ip http безопасный-сервер
Проверить
Чтобы убедиться, что конфигурация работает правильно, перейдите к Association и убедитесь, что клиент подключен:
Вы также можете проверить ассоциацию клиента в интерфейсе командной строки с помощью этого сообщения системного журнала:
* 11 марта, 05:39:11.962:% DOT11-6-ASSOC: Интерфейс Dot11Radio0, Станция
ish_1262_1_st 2477.0334.0c40 Связанный KEY_MGMT [WPAv2 PSK]
Устранение неполадок
Примечание : См. Раздел «Важная информация о командах отладки», прежде чем использовать команды отладки .
Используйте эти команды отладки для устранения проблем с подключением:
- debug dot11 aaa manager keys — Эта отладка показывает рукопожатие, которое происходит между AP и клиентом при согласовании парного переходного ключа (PTK) и группового временного ключа (GTK).
- debug dot11 aaa конечный автомат аутентификатора — Эта отладка показывает различные состояния согласования, через которые проходит клиент, когда он связывается и аутентифицируется. Названия состояний указывают на эти состояния.
- debug dot11 aaa authentication process — Эта отладка помогает диагностировать проблемы с согласованной связью. Подробная информация показывает, что отправляет каждый участник переговоров, и показывает ответ другого участника.Вы также можете использовать эту отладку вместе с командой debug radius authentication .
- debug dot11 station connection failure — Эта отладка помогает определить, не удается ли подключение клиентов, и определить причину сбоев.
.
WPA2-PSK и открытая аутентификация с Cisco 5760 Пример конфигурации WLC
Введение
В этом документе объясняются преимущества использования Wi-Fi Protected Access 2 (WPA2) в беспроводной локальной сети (WLAN). В документе представлены два примера конфигурации для реализации WPA2 в WLAN:
- Конфигурация общего ключа WPA2 (PSK)
- Конфигурация открытой аутентификации
Предварительные требования
Требования
Cisco рекомендует знать следующие темы:
- Защищенный беспроводной доступ (WPA)
- Решения безопасности WLAN
Используемые компоненты
Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:
- Контроллер беспроводной локальной сети (WLC) Cisco серии 5700 с программным обеспечением Cisco IOS ® XE, выпуск 3.3
- Облегченная точка доступа Cisco Aironet серии 3600
- Запрашивающее устройство беспроводной связи для Microsoft Windows 7
Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.
Настроить
Примечание : Используйте средство поиска команд (только для зарегистрированных клиентов), чтобы получить дополнительную информацию о командах, используемых в этом разделе.
Схема сети
На этом рисунке показана схема сети:
Рисунок 1. Схема сети
Конфигурация WPA2-PSK с CLI
В этом примере описывается процедура использования интерфейса командной строки (CLI) для настройки отслеживания DHCP для сетей VLAN, которые используются для клиентов.
VLAN20 используется для клиентов, и пул настроен на том же WLC. TenGigabitEthernet1 / 0/1 от Cisco 5700 WLC подключен к коммутатору восходящего канала.Если DHCP-сервер настроен на сервере за пределами WLC или на внешнем DHCP-сервере, вы должны доверять отслеживанию DHCP и ретрансляции информации.
ip отслеживание устройств
ip dhcp snooping vlan 12,20,30,40
ip dhcp snooping
!
ip dhcp pool vlan20
сеть 20.20.20.0 255.255.255.0
default-router 20.20.20.1interface Vlan20
ip-адрес 20.20.20.1 255.255.255.0интерфейс TenGigabitEthernet1 / 0/1
магистраль коммутатора собственный vlan 12
магистраль режима коммутатора
ip dhcp relay информация доверена
ip dhcp snooping trustwlan wpa2psk 1 wpa2psk
client vlan 20
no security wpa akm dot1x
security wpa akm psk set-key ascii 0 Cisco123
no shutdown
Примечание : Если ваша конфигурация содержит пробел в пароле PSK, используйте формат «пароль PSK».Тот же формат следует использовать, если вы также настраиваете с помощью графического интерфейса.
Пример
безопасность wpa akm psk set-key ascii 0 "Cisco 123"
Конфигурация WPA2-PSK с графическим интерфейсом пользователя
Выполните эти шаги, чтобы настроить WPA2 PSK в графическом интерфейсе WLC:
- Перейдите к Configuration > Wireless > WLAN > WLANs и создайте новую WLAN:
- Включите WPA2 и сопоставьте его с желаемым интерфейсом:
- Щелкните вкладку Security , установите флажок WPA2 Policy и выберите AES как WPA2 Encryption .В раскрывающемся списке Auth Key Mgmt выберите PSK . Введите PSK, который клиент будет использовать для подключения:
Открытая конфигурация аутентификации с помощью CLI
Это пример того, как использовать CLI для настройки отслеживания DHCP для сетей VLAN, которые используются для клиентов; в этом примере для клиентов используется VLAN20. Пул настроен на том же WLC.
TenGigabitEthernet1 / 0/1 от 5760 WLC подключен к коммутатору восходящего канала.Если у вас есть DHCP-сервер, настроенный на сервере за WLC или на внешнем DHCP-сервере, вы должны доверять отслеживанию DHCP и ретрансляции информации.
ip отслеживание устройств
ip dhcp snooping vlan 12,20,30,40
ip dhcp snooping
!
ip dhcp pool vlan20
сеть 20.20.20.0 255.255.255.0
default-router 20.20.20.1interface Vlan20
ip-адрес 20.20.20.1 255.255.255.0интерфейс TenGigabitEthernet1 / 0/1
магистраль коммутатора собственный vlan 12
магистраль режима коммутатора
ip dhcp relay информация доверенная
ip dhcp snooping trustwlan open 5 open
client vlan VLAN0020
без защиты wpa
без защиты wpa akm dot1x
без защиты wpa wpa2
без защиты wpa wpa2 ciphers aes
session-timeout 1800
no отключение
Конфигурация открытой аутентификации с графическим интерфейсом
Эта процедура описывает, как настроить открытую аутентификацию в графическом интерфейсе WLC:
- Перейдите к Configuration > Wireless > WLAN > WLANs и создайте новую WLAN:
- Щелкните вкладку Безопасность .На вкладке Layer2 и Layer 3 установите для всех значение none. Это пример результатов конфигурации:
Проверить
Используйте этот раздел, чтобы убедиться, что ваша конфигурация работает правильно.
Подтвердите, что клиент WPA2-PSK подключен:
Подтвердите, что клиент подключен к открытой аутентификации:
Устранение неполадок
В этом разделе представлена информация, которую можно использовать для устранения неполадок в конфигурации.
Примечания :
Средство интерпретации выходных данных (только для зарегистрированных клиентов) поддерживает определенные команды show . Используйте Средство интерпретации выходных данных для просмотра анализа выходных данных команды show .
См. Раздел «Важная информация о командах отладки», прежде чем использовать команды отладки .
Это пример вывода полезных команд debug и trace :
клиент отладки mac XXXX.XXXX.XXXXController # sh отладка
Nova Platform:
dot11 / state debugging is on
pem / events debugging is on
client / mac-addr debugging is on
dot11 / detail debugging is on
mac / filters [string 0021.5c8c .c761] отладка находится на
dot11 / error отладка находится на
dot11 / mobile debugging is on
pem / state debugging is onset trace group-wireless-client filter mac XXXX.XXXX.XXXX
set trace wcm-dot1x event фильтр mac XXXX.K
* 1 сентября 05: 55: 01.321: 0021.5 C8C.C761 Применение политики WLAN к MSCB. 1 wcm:
ipAddr 20.20.20.3, apf RadiusOverride 0x0, numIPv6Addr = 0
* 1 сентября 05: 55: 01.321: 0021.5C8C.C761 Планирование удаления мобильной станции: 1
wcm: (callerId: 50) через 1 секунду
* 1 сен 05: 55: 01.321: 0021.5C8C.C761 Отключение клиента из-за переключения
WLAN с 6 (wep) на 5 (открыто) 1 wcm:
* 1 сентября 05: 55: 02.193: 0021.5C8C.C761 apfMsExpireCallback (apf_ms .c: 1 wcm: 664)
Мобильный с истекающим сроком действия!
* 1 сентября, 05:55:02.193: 0021.5C8C.C761 apfMsExpireMobileStation (apf_ms.c: 1 wcm:
6953) Изменение состояния мобильного 0021.5C8C.C761 на AP C8F9.F983.4260 с
Associated to Disassociated
* 1 сентября 05: 55: 02.193C: 0021.5C8 .C761 Отправлено Деаутентификация на мобильный телефон на BSSID
C8F9.F983.4260 слот 1 (вызывающий apf_ms.c: 1 wcm: 7036)
* 1 сентября 05: 55: 02.193: 0021.5C8C.C761 apfMsExpireMobileStation (apf_ms.c: 1 wcm:
7092) Изменение состояния мобильного 0021.5C8C.C761 на AP C8F9.F983.4260 с
Disassociated на Idle
* 1 сентября 05:55:02.193: 0021.5C8C.C761 20.20.20.3 RUN (20) Удалено правило мобильного LWAPP
на AP [C8F9.F983.4260] 1 wcm: 5C8C.C761 на AP C8F9.F983.4260 из
Disassociated to Idle
* сен 1 05 : 55: 02.193: 0021.5C8C.C761 20.20.20.3 RUN (20) FastSSID для клиента
[C8F9.F983.4260] НЕ ВКЛЮЧЕНО 1 wcm: C.C761 на AP C8F9.F983.4260
из Disassociated to Idle
* сен 1 05: 55: 02.193: 0021.5C8C.C761 Увеличение счетчика повторной ассоциации 1 для клиента
(интерфейса VLAN0020) 1 wcm: D
* 1 сентября 05:55:02.193: 0021.5C8C.C761 Очистительный адрес 20.20.20.3 на мобильном телефоне 1
wcm: для клиента (интерфейса VLAN0020)
* 1 сентября 05: 55: 02.193: Сообщение обработки recv PEM Del SCB (4) 1 wcm: 0.20.3 on
мобильный
* 1 сентября 05: 55: 02.193: 0021.5C8C.C761 20.20.20.3 RUN (20) Пропуск правила TMP
добавить 1 wcm: lient (интерфейса VLAN0020)
* 1 сентября 05: 55: 02.193: 0021.5C8C. C761 20.20.20.3 RUN (20) Изменить состояние на
DHCP_REQD (7) последнее состояние RUN (20) 1 wcm:
* 1 сентября 05: 55: 02.193: 0021.5 C8C.C761 WCDB_CHANGE: 1 wcm: клиент 1 m_vlan 20
Radio iif id 0xbfcdc00000003a bssid iif id 0x8959800000004a, bssid
C8F9.F983.4260
* 1 сентября 05: 55: 02.193: 0021.5C8C.C761 WCDB: 1 wCDB opt: wCDB opt_c_A761
* 1 сентября 05: 55: 02.193: 0021.5C8C.C761 WCDB_CHANGE: 1 wcm: Подавление SPI
(ожидающего удаления клиента) состояние pemstate 7 LEARN_IP (2) vlan 20 client_id
0xac70800000004b mob = Local (1) ackflag 2 dropd 0, удалить 1
* 1 сентября 05: 55: 02.193: 0021.5C8C.C761 Отправка SPI spi_epm_epm_terminate_session
успешно 1 wcm: состояние pemstate 7 LEARN_IP (2) vlan 20 client_id
0xac70800000004b mob = Local (1) ackflag 1 dropd * 1 сентября, 05:55:02.194: 0021.5C8C.C761 Отправка SPI spi_epm_epm_terminate_session
успешно 1 wcm: pemstate 7 состояние LEARN_IP (2) vlan 20 client_id
0xac70800000004b mob = Local (1) ackflag 2 dropd 0, delete 1
* 1 сентября 05: 55 C8C.C761 Удаление беспроводного клиента; Код причины 0,
Предустановка 1, причина AAA 1 1 wcm: 7 state LEARN_IP (2) vlan 20 client_id
0xac70800000004b mob = Local (1) ackflag 2 dropd 0, удалить 1
* 1 сентября 05: 55: 02.194: 0021.5C8C .C761 WCDB_DEL: 1 wcm: успешно отправлено
* 1 сентября 05:55:02.194: 0021.5C8C.C761 Истекающее мобильное состояние удалить 1 wcm: на
код 0, предустановка 1, причина AAA 1
* 1 сентября 05: 55: 02.194: 0021.5C8C.C761 0.0.0.0 DHCP_REQD (7) Обработка pemDelScb
Пропуск события удалить 1 wcm: состояние LEARN_IP (2) vlan 20 client_id
0xac70800000004b mob = Local (1) ackflag 2 dropd 0, удалить 1
* 1 сентября 05: 55: 02.197: 0021.5C8C.C761 WCDB SPI ответ код клиента обработчика сообщений
1 состояние моба 1 1 wcm: g delete
* 1 сентября 05: 55: 02.197: 0021.5C8C.C761 apfProcessWcdbClientDelete: 1 wcm: Удалить
ACK из WCDB.
* 1 сентября 05: 55: 02.197: 0021.5C8C.C761 WCDB_DELACK: 1 wcm: wcdbAckRecvdFlag
обновлен
* 1 сен 05: 55: 02.197: 0021.5C8C.C761 WCDB_DELACK: 1 wcm: Client IIFac0000 ID dealloc 9004bCC .
* 1 сентября 05: 55: 02.197: 0021.5C8C.C761 Вызванный дескриптор удаления и очистки платформы
1 wcm: w / 0xac70800000004b.
* 1 сен 05: 55: 02.197: 0021.5C8C.C761 Удаление мобильного на AP C8F9.F983.4260 (1)
1 wcm: w / 0xac70800000004b.
* 1 сентября 05: 55: 02.197: 0021.5C8C.C761 Несвязанный и освобожденный mscb 1 wcm:
8F9.K
* 1 сентября 05: 55: 02.379: 0021.5 C8C.C761 Применение политики WLAN к MSCB. 1 wcm:
ipAddr 0.0.0.0, apf RadiusOverride 0x0, numIPv6Addr = 0
* 1 сентября 05: 55: 02.379: 0021.5C8C.C761 Применение политик ACL WLAN к клиенту 1
wcm: 0.0.0.0, apf RadiusOverride 0x0, numIPv6Addr = 0
* 1 сентября 05: 55: 02.379: 0021.5C8C.C761 Для беспроводного клиента
в WCM (NGWC) не используется интерфейсный ACL 1 wcm: usOverride 0x0, numIPv6Addr = 0
* 1 сентября 05: 55: 02.379: 0021.5C8C. C761 Применение переопределения IPv6 для конкретного сайта для станции
0021.5C8C.C761 - vapId 5, site 'default-group', interface
'VLAN0020' 1 wcm:
* Sep 1 05: 55: 02.379: 0021.5C8C.C761 Применение политики интерфейса локального моста
для станции 0021.5C8C.C761 - vlan 20, интерфейс 'VLAN0020' 1 wcm: erface
'VLAN0020'
* 1 сентября 05: 55: 02.379: 0021.5C8C.C761 STA - ставки (8): 1 wcm:
140 18 152 36 176 72 96108 0 0 0 0 0 0 0 0
* 1 сентября 05: 55: 02.379: 0021.5C8C.C761 новый capwap_wtp_iif_id b6818000000038,
sm capwap_wtp_iif_id 0 1 wcm: 8C.C761 - vlan 20, интерфейс 'VLAN0020'
* 1 сентября 05: 55: 02.379: 0021.5C8C.C761 WCDB_ADD: 1 wcm: Radio IIFID
0xbfcdc00000003a, BSSID IIF Id 0xbb30c000000046, COS 4
.3 сентября 1 05: 55: 02 Балансировщик нагрузки: 1 wcm: Успех, выделенные ресурсы:
Номер активного коммутатора: 1, номер активного основного коммутатора: 0, номер резервного коммутатора 0
Резервный номер основного коммутатора 0. Номер исходного кода AP 0
* 1 сентября 05: 55: 02.379: 0021.5 C8C.C761 WCDB_ADD: 1 wcm: Anchor Sw 1, Doppler 0
* 1 сентября 05: 55: 02.380: 0021.5C8C.C761 WCDB_ALLOCATE: 1 wcm: выделение идентификатора IIF клиента
УСПЕХ с клиентом 8e7bc00000004d (состояние 0).
* 1 сентября 05: 55: 02.380: 0021.5C8C.C761 iifid Очистка флага подтверждения 1 wcm: F Id alloc
SUCCESS с клиентом 8e7bc00000004d (состояние 0).
* 1 сентября 05: 55: 02.380: 0021.5C8C.C761 WCDB_ADD: 1 wcm: Добавление opt82 len 0
* 1 сентября 05: 55: 02.380: 0021.5C8C.C761 WCDB_ADD: 1 wcm: флаг подтверждения удаления
* 1 сентября 05 : 55: 02.380: 0021.5C8C.C761 WCDB_ADD: 1 wcm: ssid open bssid
C8F9.F983.4260 vlan 20 auth = ASSOCIATION (0) wlan (ap-group / global) 5/5
client 0 assoc 1 mob = Unassoc (0) радио 1 m_vlan 20 ip 0.0.0.0 src
0xb6818000000038 dst 0x0 cid 0x8e7bc00000004d glob rsc id 14dhcpsrv
0.0.0.0 ty
* сентябрь 1 05: 55: 02.380: 0021.5C8C.C761 WCDB_ADD: 1 wcm: mscb iifid761c00000 iifid
f0x8000 0x8000 : 55: 02.380: 0021.5C8C.C761 0.0.0.0 START (0) Политика инициализации 1
wcm: info iifid 0x0
* 1 сентября 05: 55: 02.380: 0021.5C8C.C761 0.0.0.0 START (0) Изменить состояние на
AUTHCHECK (2) последнее состояние AUTHCHECK (2) 1 wcm: -group / global) 5/5 client 0
assoc 1 mob = Unassoc (0) radio 1 m_vlan 20 ip 0.0.0.0 src 0xb6818000000038
dst 0x0 cid 0x8e7bc00000004d glob rsc id 14dhcpsrv 0.0.0.0 ty
* 1 сентября 05: 55: 02.380: 0021.5C8C.C761 0.0.0.0 AUTHCHECK (2) Изменить состояние на
L2AUTHCOMPLET состояние L2AUTHCOMPLET (4) 1 wcm: 5/5 client 0 assoc
1 mob = Unassoc (0) radio 1 m_vlan 20 ip 0.0.0.0 src 0xb6818000000038 dst 0x0
cid 0x8e7bc00000004d glob rsc id 14dhcpsrv 0.0.0.0 ty
* 1 сентября 05:55 : 02.380: 0021.5C8C.C761 WCDB_CHANGE: 1 wcm: Клиент 1 m_vlan 20
Radio iif id 0xbfcdc00000003a bssid iif id 0xbb30c000000046, bssid
C8F9.F983.4260
* 1 сен 05: 55: 02.380: 0021.5C8C.C761 WCDB_AUTH: 1 wcm: Добавление opt82 len 0
* 1 сен 05: 55: 02.380: 0021.5C8C.C761 WCDB_LLM: 1 wcm: NoRun Prev Mob 0, Curr
Mob 0 llmReq 1, return False
* 1 сентября 05: 55: 02.380: 0021.5C8C.C761 состояние аутентификации 1 состояние моба 0 setWme 0 wme 1
roam_sent 0 1 wcm: rn False
* 1 сентября 05: 55: 02.380 : 0021.5C8C.C761 WCDB_CHANGE: 1 wcm: auth = L2_AUTH (1) vlan
20 радио 1 идентификатор_клиента 0x8e7bc00000004d мобильность = Unassoc (0) src_int
0xb6818000000038 dst_int 0x0 ackflag 0 llmoc_client 0 reassoc_client 0r
* 1 сентября 05: 55: 02.380: WCDB_IIF: 1 wcm: Ack ID сообщения: 0x8e7bc00000004d код
1001
* 1 сентября 05: 55: 02.380: 0021.5C8C.C761 Не используется код соответствия WMM qosCap 00 1
wcm: quired на AP C8F9.F983.4260 vapId 5 apVapId 5 для этого клиента
* 1 сентября 05: 55: 02.380: 0021.5C8C.C761 0.0.0.0 L2AUTHCOMPLETE (4) Подключено правило
Mobile LWAPP на AP C8F9.F983.4260 vapId 5 apVapId 5 1 wcm: client
* 1 сентября 05: 55: 02.380: 0021.5C8C.C761 0.0.0.0 L2AUTHCOMPLETE (4) Изменить состояние
на DHCP_REQD (7) последнее состояние DHCP_REQD (7) 1 wcm: apVapId 5
* 1 сентября 05: 55:02.380: 0021.5C8C.C761 WCDB_CHANGE: 1 wcm: Клиент 1 m_vlan 20
Radio iif id 0xbfcdc00000003a bssid iif id 0xbb30c000000046, bssid
C8F9.F983.4260
* 1 сентября 05: 55: 02.380: 0021.5C8C : Добавление opt82 len 0
* 1 сентября 05: 55: 02.380: 0021.5C8C.C761 WCDB_CHANGE: 1 wcm: Подавление SPI
(состояние мобильности неизвестно) состояние pemstate 7 LEARN_IP (2) vlan 20 client_id
0x8e7bc00000004d mob = Unassoc (0 ) ackflag 1 dropd 0
* 1 сентября 05: 55: 02.380: 0021.5C8C.C761 Увеличение счетчика повторной ассоциации 1 для клиента
(интерфейса VLAN0020) 1 wcm: EARN_IP (2) vlan 20 client_id
0x8e7bc00000004d mob = Unassoc (0) ackflag 1 dropd 0
* 1 сен 05:55:02.380: 0021.5C8C.C761 apfPemAddUser2 (apf_policy.c: 1 wcm: 161)
Изменение состояния мобильного 0021.5C8C.C761 на AP C8F9.F983.4260 с простоя
на связанный
* 1 сентября 05: 55: 02.380: 0021.5C8C .C761 Планирование удаления мобильной станции: 1
wcm: (callerId: 49) через 1800 секунд
* 1 сентября 05: 55: 02.380: 0021.5C8C.C761 Ms Timeout = 1800, Session Timeout = 1800
1 wcm: llerId: 49 ) за 1800 секунд
* 1 сентября 05: 55: 02.381: 0021.5C8C.C761 Отправка ответа Assoc на станцию на BSSID
C8F9.F983.4260 (статус 0) ApVapId 5 Слот 1 1 wcm: .F983.4260 из режима ожидания в
Связанный
* 1 сентября 05: 55: 02.381: 0021.5C8C.C761 apfProcessAssocReq (apf_80211.c: 1 wcm:
5260) Изменение состояние для мобильного 0021.5C8C.C761 на AP C8F9.F983.4260
от Associated to Associated
* 1 сентября 05: 55: 02.381: 0021.5C8C.C761 0.0.0.0 DHCP_REQD (7) pemAdvanceState2:
1 wcm: MOBILITY-INCOMPLETE с состояние 7.
* 1 сентября 05: 55: 02.381: 0021.5C8C.C761 0.0.0.0 DHCP_REQD (7) pemAdvanceState2:
1 wcm: НЕПОЛНАЯ МОБИЛЬНОСТЬ с состоянием 7.
* 1 сен 05: 55: 02.381: 0021.5C8C.C761 0.0.0.0 DHCP_REQD (7) pemAdvanceState2:
1 wcm: MOBILITY-COMPLETE с состоянием 7.
* 1 сен 05: 55: 02.381: 0021.5C8C.C761 0.0. 0.0 DHCP_REQD (7) Обновление состояния с
Mobility-Incomplete до Mobility-Complete, роль мобильности = Local, состояние клиента
= APF_MS_STATE_ASSOCIATED 1 wcm: 1 dropd 0
* 1 сентября 05: 55: 02.381: 0021.5C8C.C761 0.0.0.0 DHCP_REQD (7) pemAdvanceState2
3611, добавление правила 1 TMP wcm: o Полная мобильность, роль мобильности = локальная, состояние клиента
= APF_MS_STATE_ASSOCIATED
* 1 сентября 05:55:02.M
* 1 сентября 05: 55: 02.381: 0021.5C8C.C761 WCDB_CHANGE: 1 wcm: Client 1 m_vlan 20
Radio iif id 0xbfcdc00000003a bssid iif id 0xbb30c000000046, bssid
C8F9.F983.4260
* 01 сентября : 0021.5C8C.C761 WCDB_AUTH: 1 wcm: Добавление opt82 len 0
* 1 сентября 05: 55: 02.381: 0021.5C8C.C761 WCDB_LLM: 1 wcm: NoRun Prev Mob 0, Curr
Mob 1 llmReq 1, возврат False
* Sep 1 05: 55: 02.381: 0021.5C8C.C761 WCDB_CHANGE: 1 wcm: Подавление SPI (сообщение ACK
не получено) состояние pemstate 7 LEARN_IP (2) vlan 20 client_id
0x8e7bc00000004d mob = Local (1) ackflag 1 dropd 1
dropd 1
1 05:55:02.381: 0021.5C8C.C761 Ошибка обновления wcdb при завершении мобильности
1 wcm: not recvd) состояние pemstate 7 LEARN_IP (2) vlan 20 client_id
0x8e7bc00000004d mob = Local (1) ackflag 1 dropd 1
* 1 сентября 05: 55: 02.381 : PEM recv processing msg Epm spi response (12) 1 wcm:
complete
* 1 сентября 05: 55: 02.381: 0021.5C8C.C761 Длина списка атрибутов aaa составляет 79 1 wcm:
завершено
* 1 сентября 05: 55: 02.381 : 0021.5C8C.C761 Отправка SPI spi_epm_epm_session_create
успешно 1 wcm:) состояние pemstate 7 LEARN_IP (2) vlan 20 client_id
0x8e7bc00000004d mob = Local (1) ackflag 1 dropd 1
* 1 сентября 05:55:02.381: сообщение обработки recv PEM Добавить SCB (3) 1 wcm:
pm_session_create successl
* 1 сентября 05: 55: 02.381: 0021.5C8C.C761 0.0.0.0, auth_state 7 mmRole Local !!! 1
wcm: успешный
* 1 сентября 05: 55: 02.381: 0021.5C8C.C761 0.0.0.0, auth_state 7 mmRole Local,
обновление wcdb не требуется 1 wcm: 7 состояние LEARN_IP (2) vlan 20 client_id
0x8e7bc00000004d mob = Local (1) ackflag 1 dropd 1
* 1 сентября 05: 55: 02.381: 0021.5C8C.C761 Tclas Требуется отвес: 1 wcm: 0
* 1 сентября 05:55:02.384: EPM: 1 wcm: создание сеанса, соответственно - дескриптор клиента
8e7bc00000004d session b8000020
* 1 сентября 05: 55: 02.384: EPM: 1 wcm: создание сеанса Netflow, соответственно - дескриптор клиента
8e7bc00000004d sessions b8000020
* 1 сентября 05:55 : 02.384: PEM recv processing msg Epm spi response (12) 1 wcm:
le 8e7bc00000004d sessions b8000020
* 1 сентября 05: 55: 02.384: 0021.5C8C.C761 Получено session_create_response для дескриптора клиента
40105511256850509 1 wIPCM: LEARN_lan 20 client_id
0x8e7bc00000004d mob = Local (1) ackflag 1 dropd 1
* 1 сентября 05:55:02.384: 0021.5C8C.C761 Получено session_create_response с дескриптором сеанса EPM
3087007776 1 wcm:
* 1 сентября 05: 55: 02.384: 0021.5C8C.C761 Отправить запрос в EPM 1 wcm: ate_response
с дескриптором сеанса EPM 3087007776
* 1 сентября 05 : 55: 02.384: 0021.5C8C.C761 Длина списка атрибутов aaa составляет 5 1 wcm: e
с дескриптором сеанса EPM 3087007776
* 1 сентября 05: 55: 02.384: 0021.5C8C.C761 Отправка запроса активации для сеанса
дескриптор 3087007776 успешно 1 wcm : 6
* 1 сентября 05: 55: 02.384: 0021.5C8C.C761 Запрос политики пост-авторизации отправлен! Теперь дождитесь
ACK политики после авторизации от EPM 1 wcm: N_IP (2) vlan 20 client_id
0x8e7bc00000004d mob = Local (1) ackflag 1 dropd 1
* 1 сентября 05: 55: 02.384: 0021.5C8C.C761 Ответ SPI WCDB код клиента обработчика сообщений
0 состояние моб 0 1 wcm: licy ACK от EPM
* 1 сентября 05: 55: 02.384: 0021.5C8C.C761 WcdbClientUpdate: 1 wcm: L2 Auth ACK от
WCDB
* 1 сентября 05: 55: 02.384 : 0021.5C8C.C761 WCDB_L2ACK: 1 wcm: wcdbAckRecvdFlag
обновлено
* 1 сентября 05:55:02.384: 0021.5C8C.C761 WCDB_CHANGE: 1 wcm: Клиент 1 m_vlan 20
Radio iif id 0xbfcdc00000003a bssid iif id 0xbb30c000000046, bssid
C8F9.F983.4260
* 1 сентября 05: 55: 02.384: 007.5CM : Добавление opt82 len 0
* 1 сентября 05: 55: 02.384: 0021.5C8C.C761 WCDB_LLM: 1 wcm: NoRun Prev Mob 0, Curr
Mob 1 llmReq 1, возврат False
* 1 сентября 05: 55: 02.385: 0021.5C8C .C761 состояние аутентификации 2 состояние моба 1 setWme 0 wme 1
roam_sent 0 1 wcm: rn False
* 1 сентября 05: 55: 02.385: 0021.5C8C.C761 WCDB_CHANGE: 1 wcm: auth = LEARN_IP (2) vlan
20 radio 1 client_id 0x8e7bc00000004d Mobility = Local (1) src_int
0xb6818000000038 dst_int 0x0 ackflag 2 reassoc_client 0 * iplenno_client 0 * 9001.0 : 55: 02.385: EPM: 1 wcm: функция инициализации, дескриптор клиента 8e7bc00000004d
сеанс b8000020 authz ec00000e
* 1 сентября 05: 55: 02.385: EPM: 1 wcm: активировать дескриптор клиента функции
8e7bc00000004d sessions b8000020 authz ec00000e
* 1 сентября 05:55:02.r
* 1 сентября 05: 55: 02.385: 0021.5C8C.C761 Получено activate_features_resp для дескриптора сеанса EPM
3087007776 1 wcm: 9
* 1 сентября 05: 55: 02.385: EPM: 1 wcm: Применение политики - дескриптор клиента
8e7bc00000004d сеанс 2800000e authz ec00000e
* 1 сентября 05: 55: 02.385: EPM: 1 wcm: Применение политики Netflow - дескриптор клиента
8e7bc00000004d sessions 2800000e authz ec00000e msg_type 0 policy_status 0 attr
len 0
* 1 сентября 05: 55: 02.385: PEM recv обработка сообщения Epm spi response (12) 1 wcm: e
8e7bc00000004d sessions 2800000e authz ec00000e msg_type 0 policy_status 0 attr
len 0
* 1 сентября 05:55:02.385. 09
* 1 сентября 05: 55: 02.385: 0021.5C8C.C761 Получен ответ на запрос
_EPM_SPI_ACTIVATE_FEATURES, отправленный для клиента 1 wcm: 00e msg_type 0
policy_status 0 attr len 0
* 1 сентября 05: 55: 02.385: 0021.5C8C.C761 Получено _EPM_SPI_STATUS_SUCCESS для запроса
, отправленного для клиента 1 wcm: для клиента
* 1 сентября 05: 55: 02.385: 0021.5C8C.C761 Получено ACK политики пост-аутентификации от EPM, сброс флага
на MSCB 1 wcm: ient
* 1 сентября 05: 55: 02.400: 0021.5C8C.C761 WCDB_IP_BIND: 1 wcm: w / IPv4 20.20.20.3
ip_learn_type DHCP add_delete 1, options_length 0
* 1 сентября 05: 55: 02.400: 0021.5C8C.C761 WcdbClientUpdate: 1 wcdbClientUpdate: 1 из
WCDB ip_learn_type 1, add_or_delete 1
* 1 сен 05:55:02.400: 0021.5C8C.C761 Адрес IPv4: 1 wcm: 20: 20: 20: 3
* 1 сентября 05: 55: 02.400: 0021.5C8C.C761 MS получила IP-адрес, сбросив счетчик повторной ассоциации
0 для клиента 1 wcm: _delete 1
* 1 сентября 05: 55: 02.400: 0021.5C8C.C761 20.20.20.3 DHCP_REQD (7) Изменить состояние на
RUN (20) последнее состояние RUN (20) 1 wcm: длина 0
* 1 сентября 05: 55: 02.400 : 0021.5C8C.C761 WCDB_CHANGE: 1 wcm: Client 1 m_vlan 20
Radio iif id 0xbfcdc00000003a bssid iif id 0xbb30c000000046, bssid
C8F9.F983.4260
* 1 сентября 05:55:02.400: 0021.5C8C.C761 WCDB_AUTH: 1 wcm: Добавление opt82 len 0
* 1 сентября 05: 55: 02.401: 0021.5C8C.C761 WCDB_LLM: 1 wcm: prev Состояние моба 1 curr
Состояние моба 1 Флаг llReq 0
* 1 сентября 05: 55: 02.401: 0021.5C8C.C761 состояние аутентификации 4 состояние моба 1 setWme 0 wme 1
roam_sent 0 1 wcm: g 0
* 1 сентября 05: 55: 02.401: 0021.5C8C.C761 WCDB_CHANGE: 1 wcm: auth = RUN (4) vlan 20
radio 1 client_id 0x8e7bc00000004d мобильность = Local (1) src_int
0xb6818000000038 dst_int 0x0 ackflag 2 reassoc_client 0 llm_notif 0 ip
20.M
* 1 сентября 05: 55: 02.401: 0021.5C8C.C761
Отправка обновления IPv4 на контроллер 10.105.135.176 1 wcm: e
* 1 сен 05: 55: 02.401: 0021.5C8C.C761 Назначение адреса 20.20.20.3 мобильному 1
wcm: 05.135.176
* 1 сен 05: 55: 02.401: сообщение обработки recv PEM Добавить SCB (3) 1 wcm: 20.20.3 на мобильный
* 1 сен 05: 55: 02.401: 0021.5C8C.C761 20.20.20. 20.3, auth_state 20 мм Роль Локальная !!!
1 wcm: 135.176
* 1 сентября 05: 55: 02.401: 0021.5C8C.C761 20.20.20.3, auth_state 20 мм Role Local,
обновление wcdb не требуется 1 wcm: 3.M
* 1 сентября 05: 55: 02.401: 0021.5C8C.C761 Требуется отвес Tclas: 1 wcm: 0
* 1 сентября 05: 55: 20.083: 0021.5C8C.C761
Обновление статистики клиента: 1 wcm: время в секундах 1378014920 , Последнее сообщение отправлено по номеру
1378014902 сек
.Руководство по
2 Использование общих ключей
Обзор
Каждый предварительный общий ключ (PSK) в Zabbix на самом деле представляет собой пару:
Строка идентификатора PSK — это непустая строка UTF-8.
Например, «PSK ID 001 Zabbix agentd». Это уникальное имя, под которым компоненты Zabbix ссылаются на этот конкретный PSK. Не помещайте конфиденциальную информацию в строку идентификатора PSK — она передается по сети в незашифрованном виде.
Значение PSK представляет собой трудно угадываемую строку шестнадцатеричных цифр, например, «e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9».
Пределы размеров
В Zabbix есть ограничения на размер для идентификатора и значения PSK, в некоторых случаях крипто-библиотека может иметь более низкий предел:
Компонент | Максимальный размер идентификатора PSK | Минимальный размер значения PSK | Максимальный размер значения PSK |
---|---|---|---|
Zabbix | 128 символов UTF-8 | 128-бит (16-байтовый PSK, введенный как 32 шестнадцатеричные цифры) | 2048-бит (256-байтовый PSK, введенный как 512 шестнадцатеричных цифр) |
GnuTLS | 128 байт (могут включать символы UTF-8) | — | 2048-бит (256-байтный PSK, введенный как 512 шестнадцатеричных цифр) |
OpenSSL 1.0.x, 1.1.0 | 127 байт (может включать символы UTF-8) | — | 2048-бит (256-байтный PSK, введенный как 512 шестнадцатеричных цифр) |
OpenSSL 1.1.1 | 127 байт (могут включать символы UTF-8) | — | 512-бит (64-байтный PSK, введенный как 128 шестнадцатеричных цифр) |
OpenSSL 1.1.1a и более поздние версии | 127 байт (могут включать символы UTF-8) | — | 2048-бит (256-байтовый PSK, введенный как 512 шестнадцатеричных цифр) |
Веб-интерфейс Zabbix позволяет настроить строку идентификатора PSK длиной до 128 символов и PSK длиной до 2048 бит независимо от используемых криптографических библиотек.
Если некоторые компоненты Zabbix поддерживают более низкие пределы, пользователь несет ответственность за настройку идентификатора и значения PSK с допустимой длиной для этих компонентов.
Превышение предела длины приводит к сбоям связи между компонентами Zabbix.
Перед тем как Zabbix сервер соединится с агентом с помощью PSK, сервер ищет идентификатор PSK и значение PSK, настроенное для этого агента в базе данных (фактически в кеше конфигурации). При получении соединения агент использует идентификатор PSK и значение PSK из своего файла конфигурации. Если обе стороны имеют одинаковую строку идентификатора PSK и значение PSK, соединение может быть успешным.
Каждый идентификатор PSK должен быть связан только с одним значением.Ответственность за то, чтобы не было двух PSK с одинаковой строкой идентификатора, но разными значениями, лежит на пользователе. Невыполнение этого требования может привести к непредсказуемым сбоям связи между компонентами Zabbix, использующими PSK с этой строкой идентификатора PSK.
Генерация PSK
Например, 256-битный (32 байта) PSK можно сгенерировать с помощью следующих команд:
$ openssl rand -hex 32 af8ced32dfe8714e548694e2d29e1a14ba6fa13f216cb35c19d0feb1084b0429
$ psktool -u psk_identity -p база данных.пск-с 32 Генерация случайного ключа для пользователя psk_identity Ключ хранится в database.psk $ cat database.psk psk_identity: 9b8eafedfaae00cece62e85d5f4792c7d9c9bcc851b23216a1d300311cc4f7cb
Обратите внимание, что «psktool» выше создает файл базы данных с идентификатором PSK и связанным с ним PSK. Zabbix ожидает только PSK в файле PSK, поэтому строку идентификатора и двоеточие (‘:’) следует удалить из файла.
Настройка PSK для связи сервер-агент (пример)
На хосте агента запишите значение PSK в файл, например, / home / zabbix / zabbix_agentd.пск
.
Файл должен содержать PSK в первой текстовой строке, например:
1f87b595725ac58dd977beef14b97461a7c1045b9a1c963065002c5473194952
Установите права доступа к файлу PSK — он должен быть доступен для чтения только пользователю Zabbix.
Отредактируйте параметры TLS в файле конфигурации агента zabbix_agentd.conf
, например, установите:
TLSConnect = psk TLSAccept = psk TLSPSKFile = / home / zabbix / zabbix_agentd.psk TLSPSKIdentity = PSK 001
Агент подключится к серверу (активные проверки) и будет принимать от сервера и zabbix_get
только соединения с использованием PSK.Идентификатор PSK будет «PSK 001».
Перезапустите агент. Теперь вы можете протестировать соединение с помощью zabbix_get
, например:
$ zabbix_get -s 127.0.0.1 -k "system.cpu.load [all, avg1]" --tls-connect = psk \ --tls-psk-identity = "PSK 001" --tls-psk-file = / home / zabbix / zabbix_agentd.psk
(Чтобы свести к минимуму время простоя, см. Как изменить тип подключения в Управление шифрованием подключения).
Настройте шифрование PSK для этого агента в веб-интерфейсе Zabbix:
Пример:
Все обязательные поля ввода отмечены красной звездочкой.
Когда кеш конфигурации синхронизируется с базой данных, новые соединения будут использовать PSK.
Проверьте файлы журнала сервера и агента на наличие сообщений об ошибках.
Настройка PSK для сервера — активная связь через прокси (пример)
На прокси запишите значение PSK в файл, например, /home/zabbix/zabbix_proxy.psk
.
Файл должен содержать PSK в первой текстовой строке, например:
e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9
Установите права доступа к файлу PSK — он должен быть доступен для чтения только пользователю Zabbix.
Отредактируйте параметры TLS в файле конфигурации прокси zabbix_proxy.conf
, например, установите:
TLSConnect = psk TLSPSKFile = / home / zabbix / zabbix_proxy.psk TLSPSKIdentity = PSK 002
Прокси будет подключаться к серверу с помощью PSK. Идентификатор PSK будет «PSK 002».
(Чтобы свести к минимуму время простоя, см. Как изменить тип подключения в Управление шифрованием подключения).
Настройте PSK для этого прокси в веб-интерфейсе Zabbix. Перейдите в Администрирование → Прокси , выберите прокси, перейдите на вкладку «Шифрование».В «Подключениях через прокси» отметьте PSK
. Вставьте в поле «PSK identity» «PSK 002» и
«E560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9» в поле «PSK». Щелкните «Обновить».
Перезагрузите прокси. Он начнет использовать зашифрованные соединения с сервером на основе PSK.
Проверьте файлы журнала сервера и прокси на наличие сообщений об ошибках.
Для пассивного прокси процедура очень похожа. Единственное отличие — установите TLSAccept = psk
в файле конфигурации прокси и установите «Подключения к прокси» в веб-интерфейсе Zabbix на PSK
.
.