По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Wi-Fi это технология, которая использует радиоволны для отправки и получения сигналов от находящихся поблизости устройств, чтобы обеспечить им доступ в этот ваш Интернет.
Wi-Fi это сокращение от Wireless Fidelity, и переводится как... беспроводная точность? Эм.
На самом деле слово Wi-Fi - это бренд, который лепят на каждую железку, производители которой доказали, что она умеет конвертировать радиосигнал в цифровой и обратно, а потом отправлять его в сеть.
Техническое название этой технологи звучит так - IEEE 802.11, где цифры после букв обозначают разные поколения технологии.
Радиочастоты сигналов Wi-Fi значительно отличаются от тех, которые используются в автомобильных радиоприемниках, сотовых телефонах или рациях, поскольку частоты Wi-Fi лежат в диапазоне гигагерц, а такие волны далеко не распространяются. Именно поэтому, чем ближе ты находишься к своему Wi-Fi роутеру тем лучше он раздаёт сигнал.
В современных роутерах могут использоваться две частоты радиоволн: 2,4 и 5 гигагерц. Что это значит? Представь, что ты сидишь на пляже и наблюдаешь, как волны разбиваются о берег. Время между каждым ударом волны - частота волн. Один герц - это частота одной волны в секунду, а один гигагерц равен одному миллиарду волн в секунду. Расслабиться на таком пляже явно не получится
Короче, чем выше частота, тем больше объем данных, передаваемых в секунду, и тем выше скорость.
Зачем нам 2 частоты? Прикол в том, что на частоте 2,4 гигагерца работает ещё много всяких штук, например, некоторые микроволновки, Bluetooth устройства и беспроводные телефоны. Работая одновременно они начинают наводить друг на друга помехи, создавая интерференцию сигнала.
На частоте 5 гигагерц эфир посвободнее и данных за единицу времени можно передать больше, но есть другая проблемка. Чем выше частота, тем сложнее сигналу преодолеть препятствия типа стен и потолков в здании. Так что этот раунд за 2,4 ГГц.
Ещё важно, что частоты Wi-Fi разделены на несколько каналов, чтобы предотвратить интерференцию и помехи.
Помнишь мы сказали, что радиочастоты Wi-Fi это 2,4 гигагерц? Это не совсем так.
На самом деле это диапазон от 2,4 до примерно 2,5 Гигагерц разделенный на 13 частей, которые называются каналами.
Например, мы можем настроить роутер так, чтобы он занял 1 канал, в этом случае он будет вещать в диапазоне от 2401 до 2423 мегагерц. Но что если роутеры твоих соседей тоже займут первый канал? Придется стучать по батарее чтобы он перенастраивал роутер!
Как ты можешь догадаться, роутеры с диапазоном 5 Гигагерц лишены этого недостатка, так как там намного больше каналов. Так что, вот тебе хак: если мучаешься со скоростью своего соединения, когда сидишь на Wi-Fi - попробуй перелезть на другой канал.
Когда дело доходит до обмена данными по этим каналам, тут-то и происходит волшебство. Изначально точка доступа Wi-Fi вещает на всю округу сообщения о том что я вот такая точка, работаю на такой частоте, вот мое название, которое по умному называется SSID (Service Set Identifier), ко мне можно подключиться, а мы на своем устройстве принимаем его и делаем запрос в сторону этой точки, говоря что да, хочу к тебе подключиться, вот пароль.
Когда ты выходишь в Интернет на своем устройстве, оно преобразует всю информацию в двоичный код, язык компьютеров, нули и единицы. Эти 1 и 0 преобразуются в частоты волн микросхемой Wi-Fi, встроенной в твое устройство. Частоты проходят по радиоканалам, упомянутым ранее, и принимаются маршрутизатором Wi-Fi.
Затем маршрутизатор преобразует частоты обратно в двоичный код и переводит код в запрошенный тобой трафик, а маршрутизатор получает эти данные через проводной кабель от твоего провайдера.
Все это происходит невероятно быстро. Большинство роутеров работают со скоростью 54 Мбит/с, а это означает, что за одну секунду принимается или отправляется 54 миллиона единиц и нулей.
Окей, но если мои данные летают по радиоволнам, то любой сможет их перехватить и прочитать? Перехватить - да, прочитать - нет. Всё шифруется.
В самом начале в Wi-Fi были проблемы с безопасностью, из-за того что для защиты данных применялся очень слабый алгоритм шифрования RC4. Проблема, как и всегда в таких случаях, заключалась в длине ключа. Но с развитием технологии, безопасности уделили должное внимание и теперь во всех современных роутерах используется алгоритм шифрования AES с длиной ключа 256 бит.
Ну и самое волнующее - опасен ли Wi-Fi? Смогу ли я пускать паутину, если посижу на роутере? Ну, нет. Давайте разберемся: у вас дома множество излучающих устройств. Та же микроволновка выделяет в тысячи раз более мощное излучение. Если обратиться к исследованиям, то постоянное воздействие сильного СВЧ-излучения на человеческий организм не проходит для него бесследно и действительно чревато проблемами со здоровьем. Но добавим, что Wi-Fi-устройства работают в неионизирующем диапазоне излучения, не оказывающем такого вредного воздействия, как ионизирующее излучение, которое способно образовывать ионы в веществе, на которое воздействует. Но, надо признать, Wi-Fi излучение может влиять на живые организмы за счет тепловых и нетепловых воздействий.
Но спешим вас успокоить: специалисты утверждают, что из всех бытовых устройств, использующих радиочастоты, роутер - самое безопасное. Однако, лучше всего располагать его подальше от мест постоянного пребывания: повесьте его в коридор, или на чердак, например.
Мы уже рассказывали об опасности атак на системы IP-телефонии, о том, как можно использовать скомпрометированную систему и кому это может быть выгодно.
В данной статье, подробно разберём один из способов атак на системы, работающие по протоколу SIP, через генерацию вредоносного пакета и последующую компрометацию учётной записи.
Вы убедитесь, что провести подобную атаку - совсем не сложно. Инструменты для её осуществления не являются какой-то сверхсекретной разработкой и находятся в свободном доступе.
Цель данной статьи - показать, к чему может привести недостаточное внимание, уделённое вопросам безопасности при настройке систем IP-телефонии и как просто это могут использовать злоумышленники.
Внимание! Информация, представленная в данной статье, носит исключительно ознакомительный характер. Компания Мерион Нетворкс не несёт ответственности за последствия применения техник и способов, описанных в данном материале. Напоминаем, что неправомерный доступ к компьютерной информации преследуется по закону и влечет за собой уголовную ответственность.
Атака, о которой мы поговорим, связана с процессом аутентификации по протоколу SIP, а именно - с получением информации из заголовков SIP пакета и её последующая обработка для извлечения учётных данных. Чтобы понять её суть и определить, какие системы уязвимы к данной атаке, нужно вспомнить как происходит SIP аутентификация.
Как показано на рисунке:
Клиент отправляет запрос регистрации на сервер;
Сервер сообщает о необходимости зарегистрироваться и запрашивает данные для аутентификации;
Клиент повторно отправляет запрос регистрации, но на этот раз со строкой Authorization, в которой указаны учётные данные;
Сервер проверяет учётные данные в локальной базе и если есть совпадения – разрешает регистрацию.
В стандартном процессе SIP аутентификации все запросы клиентов и ответы от сервера идут в строгой последовательности. Пользователь просто вводит учётные данные и клиент сам формирует пакеты для отправки на сервер, которые он может обработать. Если учётные данные не верны, то сервер не разрешит регистрацию и дальнейшее взаимодействие для осуществления звонков.
Однако, злоумышленник, используя специальные инструменты, может сам решать какие отправлять пакеты и более того - осуществлять их формирование.
Наверное, Вы догадались, что ключевым моментом процесса SIP аутентификации является отправка клиентом повторного запроса REGISTER, который также содержит учётные данные для регистрации на сервере. Как раз в этот момент, наш потенциальный злоумышленник и нанесёт свой удар.
Давайте рассмотрим, что из себя представляет строка Authorization в повторном запросе REGISTER.
Как видно на рисунке, заголовок Authorization включает в себя следующие поля:
Authentication Scheme - метод аутентификации;
Поскольку SIP многое унаследовал от протокола HTTP, то и схема аутентификации в нём основана на HTTP аутентификации, которая также называется Дайджест (Digest) аутентификация. Эта схема применяется серверами для обработки учётных данных от клиентов. При этом, часть учётных данных передаётся в виде хэш-сумм, которые сервер комбинирует с открытыми данными и вычисляет пароль для данного клиента. Это значительно повышает уровень безопасности, но как мы убедимся в дальнейшем – не помогает при некорректной настройке учётной записи.
Username - имя пользователя, заданное на сервере. В нашем случае – это внутренний номер 3354;
Realm - параметр, определяющий подключение к серверу телефонии;
Как правило, администратор VoIP сервера сам настраивает realm и транслирует его пользователю, который хочет осуществить подключение. Например, у провайдеров облачных услуг это может быть строка вида domain.com, в сервере Asterisk, по-умолчанию значение этой строки - asterisk.
Nonce Value - рандомно сгенерированная сервером, уникальная строка, при формировании ответа 401 в сторону клиента. В дальнейшем используется сервером в вычислениях после получения учетных данных от клиента, должна совпадать с тем, что пришло от сервера;
Authentication URI - унифицированный идентификатор ресурса. В нашем случае, ресурсом является сервер, расположенный по адресу 123.45.67.89, обращение к нему происходит по протоколу SIP, по порту 5060.
Digest Authentication Response - ответ от клиента, посчитанный на основании данных, полученных от сервера. На основании этого значения сервер в том числе сверяет пароль, который задан клиенту.
Согласно RFC 2069, который описывает HTTP дайджест аутентификацию, response вычисляется следующим образом:
HA1 = MD5(username:realm:password)
HA2 = MD5(method:digestURI)
response = MD5(HA1:nonce:HA2)
Как видите, на основании MD5 хэш-сумм полей: username, realm, password (да, это пароль клиента), method, digestURI и nonce высчитывается тот самый заветный response, от которого зависит регистрация клиента на сервере, а следовательно, и возможность осуществлять им вызовы.
Algorithm - алгоритм, по которому высчитывался response
Догадываетесь о чём идёт речь? О том, что если злоумышленник заполучит полную строку Authorization, то он может вычислить пароль клиента, зарегистрироваться на сервере и спокойно звонить куда ему вздумается.
Пространство для данной атаки достаточно обширное. Дело в том, что клиент может передавать строку авторизации в нескольких запросах – в уже известном нам REGISTER, INVITE или BYE.
Атакующему не составит труда притвориться “сервером” и затребовать от клиента аутентификации. Для этого, атакующий направит в сторону клиента, созданный с помощью специальной программы вредоносный SIP пакет с ответом 401 Unauthorized, который будет содержать строку, заставляющую клиента отправить учётные данные. Данная строка должна содержать realm и nonce . Выглядит эта строка следующим образом:
Таким образом, атака может выглядеть следующим образом:
С точки зрения атакуемого, это будет выглядеть как простой звонок, на другой стороне трубки которого будет тишина. Он даже не будет подозревать о том, что его учётные данные вот-вот утекут к злоумышленнику. Атакующий в нужный момент разорвёт соединение, отправив BYE и затем сформированный вредоносный пакет.
Нагляднее всего приводить в пример прямое взаимодействие между клиентами. Такой сценарий становится, когда есть возможность отправлять SIP запросы напрямую до оконечного клиента. Например, когда телефон выставлен в открытую сеть по SIP порту. Помимо этого, уязвимости подвержены сервера, разрешающие прямое взаимодействия между оконечными клиентами. Лучше всего, пропускать все запросы через Proxy-сервер.
Итак, данной атаке могут быть подвержены:
IP-телефоны с открытыми в интернет SIP-портами;
IP-телефоны, отвечающие на запросы INVITE от неизвестных серверов;
IP-АТС, разрешающие запросы INVITE напрямую до клиентов.;
Заполучив полную строку Authorization атакующий может в оффлайн режиме подобрать пароль к учётной записи. Для этого ему нужно подать на вход специального скрипта, который перебирает хэш-суммы по словарям, перехваченные данные: username, realm, method, digestURI, nonce и наконец - response. На выходе он получит пароль от учётной записи. Если пароль слабый или, ещё хуже, совпадает с username, то время перебора не превысит 1 секунды.
Чтобы этого не случилось, даже если злоумышленник перехватит необходимую информацию, используйте стойкие пароли к учётным записям, да и вообще везде, где только можно. В этом Вам может помочь наш генератор паролей.
Привет, мир! Сегодня говорим про то, в чем разница между маршрутизатором, коммутатором и хабом.
Для сетевого специалиста это можно объяснить просто - хаб работает на первом уровне модели OSI, коммутатор на втором, а маршрутизатор на третьем. На этом все, спасибо, пока!
Ладно - ладно, шутка, сейчас попробуем перевести это на человеческий язык.
Видеопособие
Хаб
Хаб, или как его еще называют концентратор, самое простое устройство для соединения нескольких девайсов в одну сеть. В хабе есть несколько портов, в которые подключаются устройства и, хаб - это максимально примитивное устройство, без мозгов.
Его задача заключается в том, что когда на вход одного порта приходят данные, он их копирует и рассылает их по всем своим портам. Единственное, что он знает - к каким портам подключены устройства. В итоге все в сети получают эти данные и смотрят на адрес получателя, кому они предназначены. Если ему - то принимают, если не ему, то уничтожают данные.
Это как если бы почту вашего соседа получали все жильцы дома, открывали письмо, а если оно не для них, выкидывали бы. Не самый продуктивный и безопасный способ передачи информации. В современных сетях хабы уже не используются.
Коммутатор
Коммутатор, или как в профессиональной среде его называют свитч, это устройство уже поумнее. К нему также подключаются сетевые устройства в порты для того чтобы образовать сеть, однако, он отличается от хаба тем, что пришедший к нему траффик он высылает уже не на все порты, а непосредственно получателю. Исключения - бродкаст или мультикаст сообщения, которые рассылаются на все порты.
Если кратко, бродкаст - широковещательное сообщение. Его получают все устройства в текущей подсети. Пример из жизни - массовая почтовая рассылка всем клиентам компании или надпись баллончиком на входной двери квартиры "Верни долг". Во втором примере кажется, что, она предназначается только одному человеку, но мы то с вами понимаем.
Мультикаст - отправляется на специальный адрес, который получат те, кто его слушают. Это как настроить свой приемник на определенную радиоволну и слушать только ее.
Откуда он знает куда пересылать данные? У него есть специальная таблица, в которой есть соответствие физического адреса устройства или, как говорят MAC - адреса, (выглядит примерно вот так: 50-46-5D-6E-8C-20) и к какому порту оно подключено. Ориентируясь на эту информацию коммутатор принимает решения о том, куда направить данные.
Хабы и коммутаторы используются для построения своей локальной сети, например, дома или в офисе, а вот для того, чтобы соединять сети и передавать данные наружу из этой сети, как, например, в интернет, нам уже понадобятся маршрутизаторы.
Маршрутизаторы
Маршрутизаторы или роутеры, в отличии от коммутаторов и хабов умеют работать с IP - адресами.
Как понятно из названия, машрутизатор занимается тем, что машрутизирует данные из одной сети в другую, основываясь на IP - адресе приходящих к нему данных. Когда к нему приходит пакет с данными, он смотрит на адрес назначения и затем в свою таблицу маршрутизации и после этого принимает решение, что сделать с данными - перенаправить данные в свою сеть или отправить дальше в другую сеть.
Это самый умный девайс из нашего сегодняшнего списка, так сказать, сын маминой подруги среди активных сетевых устройств, и он знает топологию сети и куда нужно слать данные, чтобы они достигли цели.
Ну и помимо этих основных задач, маршрутизатор также может выступать в качестве DHCP и DNS сервера, иметь настройки безопасности и кучу разных дополнительных функций.