Reemplazo de contraseña de seguridad de IoT
Yang Jun, Instituto de Investigación 710, China Shipping Group Co., Ltd.
Resumen
Con Con la mejora del nivel de vida de las personas, cada vez más personas prestan atención a una vida saludable, incluida la dieta, el ejercicio, el sueño y otros aspectos de la vida. Como dispositivo de detección de parámetros del cuerpo humano, la báscula de grasa corporal se ha convertido en un producto indispensable en el hogar. Las básculas de grasa corporal pueden detectar múltiples indicadores corporales, incluido el peso, el índice de masa corporal, la grasa corporal, el agua corporal, etc., y proporcionar información completa sobre el estado de salud actual del cuerpo humano. Al mismo tiempo, se puede utilizar con la aplicación para registrar resultados de mediciones, mostrar cambios históricos en la grasa corporal y proporcionar análisis de múltiples parámetros corporales. Se ha convertido en parte de la vida de muchas familias.
Como dispositivo terminal del Internet de las cosas, muchas básculas de grasa corporal utilizan módulos Wi-Fi para transmitir datos relevantes, pero la cobertura de la red Wi-Fi es limitada y la red puede ser inestable. Este artículo analiza una falla atípica de conexión de red para aprender y comprender dos protocolos de cifrado de seguridad diferentes, TKIP y AES.
Palabras clave: TKIP AES inalámbrico
Cuando recientemente usé Huawei Smart Body Fat Scale 3Pro, descubrí que los datos de la báscula de grasa corporal no se podían sincronizar con el teléfono móvil Huawei " Sports Health APP" (modelo de teléfono móvil para Mate40Pro). Al principio pensé que el dispositivo tenía poca batería. Después de reemplazar la batería nueva, la falla aún persiste. Por lo tanto, eliminé el dispositivo "Huawei Smart Body Fat Scale 3Pro" en la aplicación de salud deportiva y encontré un problema cuando volví a agregar el dispositivo. Cada vez que la configuración de red del dispositivo alcanza el 99%, se bloquea, como se muestra en la Figura 1 y la Figura 2. Lo intenté más de una docena de veces pero no pude resolver el problema, incluido el reinicio de enrutadores, teléfonos móviles, básculas de grasa corporal y otros dispositivos.
Figura 1 Tarjeta de configuración de Wi-Fi
Figura 2 Aviso de falla de configuración de Wi-Fi
El juicio preliminar puede ser que haya un problema con la configuración del enrutador. El modelo del enrutador es "H3C_Magic_B1" y se ha mantenido relativamente estable antes de usar la báscula de grasa corporal inteligente de Huawei. Para conocer los fallos típicos que pueden ocurrir en Wi-Fi, compruébalos uno por uno:
1. Huawei Smart Body Fat Scale 3Pro actualmente no es compatible con la red Wi-Fi 5G. Si el dispositivo está conectado a una red 5G, debe estar conectado a una red 2.4G. No se recomienda utilizar el modo predeterminado de "integración de banda dual (2,4G/5G)", como se muestra en las Figuras 3 y 4.
2. El SSID (nombre de WLAN) del enrutador no puede tener caracteres chinos ni símbolos especiales, y el SSID y la contraseña no pueden ser demasiado complejos (no se recomiendan más de 16 caracteres). Si cambia el SSID y la contraseña, debe redistribuir la red. Se recomienda cambiarlos a letras + números.
3. La distancia afectará el rendimiento de Wi-Fi. La distancia es demasiado larga y la señal Wi-Fi insuficiente, lo que afecta la estabilidad de la conexión. Coloque la báscula de grasa corporal lo más cerca posible del enrutador sin que nada la bloquee. También verifique si hay demasiados dispositivos conectados en el enrutador.
4. La configuración WLAN del enrutador es correcta. Se recomienda no ocultar transmisiones, configurar filtrado de direcciones MAC, listas blancas y negras y habilitar redes anticolisión.
Figura 3 Configuración de red inalámbrica
Figura 4 La configuración de Wi-Fi permite la integración de doble banda.
Se ha estado solucionando el problema durante todo el día, pero al final el problema no se ha resuelto. ¿Es porque algunas configuraciones avanzadas del enrutador están configuradas incorrectamente que la mayoría de los dispositivos (como computadoras de escritorio y teléfonos móviles) ahora pueden acceder a Internet, pero algunos dispositivos IoT no pueden acceder a Internet normalmente? Con esta pregunta en mente, revisé cuidadosamente la configuración avanzada del enrutador y estaba un poco inseguro acerca de la configuración de "Cifrado" y "Protocolo de cifrado", como se muestra en las Figuras 5 y 6.
Cualquiera que haya utilizado un enrutador inalámbrico sabe que al configurar una red inalámbrica, debe establecer una contraseña de red inalámbrica para garantizar que personas no autorizadas no puedan acceder a la red ni conectarse a ella. Los enrutadores inalámbricos proporcionan principalmente tres tipos de seguridad inalámbrica: WEP, WPA/WPA2 y WPA-PSK/WPA2-PSK. Las configuraciones de seguridad de los diferentes tipos de seguridad son diferentes:
1. El acuerdo de confidencialidad equivalente es una forma de cifrar los datos transmitidos de forma inalámbrica entre dos dispositivos para evitar que usuarios ilegales escuchen o se entrometan en la red inalámbrica. Es un método de cifrado de la vieja escuela que quedó obsoleto por el cifrado WPA en 2003. Debido a sus muchas deficiencias en el rendimiento de la seguridad, los profesionales lo rompen fácilmente, pero sigue siendo relativamente seguro para los no profesionales.
En segundo lugar, WEP utiliza la tecnología IEEE 802.11 y los equipos de enrutamiento inalámbrico actuales utilizan básicamente la tecnología IEEE 802.11n. Por lo tanto, cuando se utiliza cifrado WEP, afectará la velocidad de transmisión del equipo de red inalámbrica. Si el dispositivo antiguo solo admite IEEE 802.11, será compatible sin importar qué cifrado se utilice y no tendrá ningún impacto en la velocidad de transmisión inalámbrica.
¿Está cifrada la Figura 5?
Figura 6 Protocolo de cifrado
2. WPA/WPA2 (acceso protegido Wi-Fi): El protocolo de acceso de seguridad a la red Wi-Fi, que tiene dos versiones: WPA y WPA2, es un Protección Los sistemas de seguridad de redes informáticas inalámbricas son causados por varias debilidades descubiertas por investigadores en WEP. Hereda los principios básicos de WEP y compensa sus deficiencias porque fortalece el algoritmo para generar claves de cifrado. Incluso si el atacante recopila y analiza la información del paquete de datos, no puede calcular la clave maestra al mismo tiempo. la capacidad de evitar que los datos sean manipulados y capacidades de autenticación. WPA2 es una versión mejorada de WPA que agrega soporte para el método de cifrado AES.
WPA/WPA2 es un algoritmo de cifrado más potente que WEP. Seleccione este tipo de seguridad y el enrutador elegirá el formulario de seguridad WPA o WPA2 del servidor Radius para autenticarse y obtener la clave. Por lo tanto, los usuarios domésticos comunes rara vez utilizan este método. Sólo los usuarios empresariales utilizarán este método de cifrado para hacer que el cifrado inalámbrico sea más seguro. Cuando el dispositivo está conectado a una red WI-FI inalámbrica, se requiere autenticación del servidor Radius y se debe ingresar una contraseña Radius.
3.WPA-PSK/WPA2-PSK (Acceso Wi-Fi Protegido-Clave Precompartida): En realidad es una versión simplificada de WPA/WPA2. El modo de clave PSK (Clave precompartida) Pre**, también conocido como modo Personal, está diseñado para redes domésticas y de pequeñas empresas que no pueden permitirse el costo y la complejidad de un servidor de autenticación 802.1X. Es el tipo de cifrado que suelen configurar los usuarios actuales de nuestra red doméstica, pero cabe destacar que cuenta con dos protocolos de cifrado: TKIP y AES.
(1) TKIP (Protocolo de integridad de clave temporal): Protocolo de integración de clave temporal, responsable de la parte de cifrado de los problemas de seguridad inalámbrica. TKIP es un "shell" que envuelve la contraseña WEP existente. Este método de cifrado elimina en la medida de lo posible las conocidas deficiencias del uso del algoritmo WEP. Por ejemplo, las contraseñas WEP tienen longitudes de clave de 40 y 128 bits. La clave de 40 dígitos es muy fácil de descifrar y todos los usuarios de la misma LAN comparten la misma clave. La pérdida de la clave de un usuario hará que toda la red sea insegura, y la longitud de la clave de la contraseña TKIP es de 128 bits, lo que resuelve el problema de una longitud de clave demasiado corta de la contraseña WEP.
Otra característica importante de TKIP es cambiar la clave utilizada por cada paquete, que es el origen de la "dinámica" de su nombre. La clave se genera mezclando una serie de factores, incluida la clave base (llamada clave transitoria por pares en TKIP), la dirección MAC de la estación emisora y el número de secuencia del paquete. La operación híbrida está diseñada para minimizar los requisitos de las estaciones inalámbricas y los puntos de acceso, pero aún tiene suficiente potencia de cifrado como para que no pueda descifrarse fácilmente. Otra desventaja de WEP es el "ataque de repetición". Cada paquete transmitido por TKIP tiene un número de secuencia único de 48 bits. Debido a que el número de secuencia de 48 bits tardará miles de años en repetirse, nadie podrá reproducir paquetes antiguos de la conexión inalámbrica: estos paquetes se detectarán como paquetes desordenados porque los números de secuencia son incorrectos.
(2)AES (Advanced Encryption Standard): Estándar de cifrado avanzado, utilizado por el Instituto Nacional de Estándares y Tecnología para cifrar datos electrónicos. El algoritmo combina las ventajas de un diseño simple, instalación rápida de claves, pequeño espacio de almacenamiento, funciona bien en todas las plataformas, admite procesamiento paralelo y es resistente a todos los ataques conocidos. Es un cifrado de bloque de claves simétrico iterativo que puede utilizar claves de 128, 192 y 256 bits, cifrando y descifrando datos con 128 bits (16 bytes). A diferencia del cifrado de clave pública, que utiliza un par de claves, el cifrado de clave simétrica utiliza la misma clave para cifrar y descifrar datos. El cifrado de bloque devuelve la misma cantidad de datos cifrados que los datos de entrada. El cifrado iterativo utiliza una estructura de bucle donde los datos de entrada se permutan y reemplazan repetidamente. AES es un verdadero algoritmo de cifrado que no sólo se utiliza en redes Wi-Fi sino que se ha convertido en un estándar de cifrado.
Muchas redes domésticas utilizan este estándar de cifrado, pero es necesario actualizar el hardware del enrutador correspondiente.
(3)3) Comparación de seguridad entre AES y TKIP: TKIP es esencialmente un parche WEP, que resuelve el problema de que los atacantes pueden analizar las claves del enrutador obteniendo una pequeña cantidad de tráfico del enrutador. Para resolver este problema, TKIP proporciona una nueva clave cada pocos minutos y no proporciona suficientes datos para que un atacante descifre la clave o el cifrado de flujo RC4 en el que se basa el algoritmo. Aunque TKIP proporcionó una mejora de seguridad perfecta en ese momento, todavía tenía algunas deficiencias a la hora de proteger la red de los piratas informáticos. La mayor vulnerabilidad, conocida como "ataque hack-and-hack", ocurrió antes de que se publicara el cifrado. Los atacantes pueden utilizar ataques chop-chop para interceptar y analizar los datos generados en la red, y eventualmente decodificar las claves y mostrar los datos en texto claro.
AES es un algoritmo de cifrado completamente independiente y muy superior al algoritmo proporcionado por TKIP. Este algoritmo está disponible en cifrados de bloques de 128, 192 o 256 bits. En pocas palabras, necesitamos convertir texto sin formato en texto cifrado. Sin la clave de cifrado, el texto cifrado recibido parece una cadena aleatoria de caracteres. Siempre que el dispositivo o la persona en el otro extremo de la transmisión tenga la clave, los datos descifrados se podrán ver fácilmente. El lado del enrutador contiene la primera clave y cifra los datos antes de enviarlos. Hay una segunda clave en el lado de la computadora que se utiliza para descifrar el contenido transmitido. El nivel de cifrado (128, 192 o 256 bits) determina la cantidad de "datos confusos". Esta situación produce una gran cantidad de combinaciones que el atacante no puede descifrar. Incluso el nivel más bajo de cifrado AES de 128 bits es teóricamente irrompible, porque con la potencia informática actual, se necesitarían más de 100 mil millones de años para descifrar este algoritmo de cifrado.
(4)4) Comparación de velocidad entre AES y TKIP: TKIP es un método de cifrado obsoleto Además de los problemas de seguridad, también ralentizará el sistema. Actualmente, la mayoría de los enrutadores más nuevos (cualquier versión 802.11n o más reciente) utilizan de forma predeterminada el cifrado WPA2-AES. Si tiene un enrutador antiguo o ha seleccionado el cifrado WPA-TKIP por algún motivo, su computadora se ralentizará significativamente.
Si habilita WPA TKIP en cualquier enrutador 802.11n o una opción de seguridad más nueva, las velocidades se reducirán a 54 Mbps porque este protocolo de seguridad está diseñado para funcionar correctamente en enrutadores más antiguos que admiten el cifrado WPA2-AES. de 802.11ac en condiciones ideales es de 3,46 Gbps, por lo que AES es teóricamente más rápido que TKIP.
AES proporciona una tecnología de cifrado más avanzada que TKIP. Ahora los enrutadores inalámbricos también proporcionan estos dos algoritmos, pero prefieren AES. TKIP no es tan seguro como AES Cuando se utiliza el algoritmo TKIP, el rendimiento del enrutador disminuirá entre un 30% y un 50%, lo que afecta en gran medida el rendimiento del enrutador. Recordando cuando usé WI-FI para navegar por Tik Tok recientemente, a menudo sentía que la velocidad de la red no era buena. Al principio pensé que era un problema de velocidad de Internet. En retrospectiva, tuvo algo que ver con la explotación de TKIP. El autor especula que debido a consideraciones de seguridad de la red, la báscula de grasa corporal inteligente de Huawei ya no admite el antiguo protocolo de seguridad TKIP. Cambió decisivamente el "protocolo de cifrado" del enrutador a "AES" y luego reinició el enrutador. ¡La falla de conexión de la red SARS de 3Pro está completamente resuelta!