Wep wpa wpa2 что лучше: какой протокол безопасности WiFi вы должны использовать?

какой протокол безопасности WiFi вы должны использовать?

Беспроводные сети есть везде. Если вы находитесь в кафе, школе или дома, то, скорее всего, есть несколько беспроводных сетей, к которым вы можете получить доступ. Но как узнать, какие из них безопасны? Проверьте их параметры безопасности – они могут быть хорошим индикатором того, каким из этих сетей вы можете доверять. Чтобы помочь вам в этом вопросе, мы обсудим историю протоколов безопасности WPA и WPA2 и сравним их между собой.

Содержание

Параметры безопасности маршрутизатора (роутера)

Когда вы устанавливаете Wi-Fi, у вас есть несколько вариантов безопасности роутера. Если ваш роутер останется незащищенным, то посторонние лица смогут получить к нему доступ, использовать его для незаконной деятельности от вашего имени, отслеживать использование Интернета или даже устанавливать вредоносные программы.

Когда вы настраиваете безопасность беспроводной сети, вам будет доступно несколько вариантов: например, none, WEP, WPA, WPA2-Personal, WPA2-Enterprise и, возможно, WPA3. В зависимости от того, каким образом вы планируете пользоваться Интернетом, вам может потребоваться более или менее надежная защита.


Какой лучший метод обеспечения безопасности беспроводного Интернета?

Какой способ защиты вы выберете, будет зависеть от возможностей вашего роутера. Старые устройства не могут поддерживать новые протоколы безопасности, такие как WPA3.

Ниже мы приводим список протоколов безопасности, ранжированных по степени безопасности (вверху – наиболее безопасные):

1.       WPA3

2.       WPA2 Enterprise

3.       WPA2 Personal

4.       WPA + AES

5.       WPA + TKIP

6.       WEP

7.       Open Network (no security implemented)

История протоколов безопасности

Безопасность беспроводной сети менялась с течением времени, чтобы стать более надежной, но при этом и более простой с точки зрения ее настройки. С момента появления Wi-Fi мы прошли путь от протокола WEP к протоколу WPA3. Давайте вспомним историю развития этих протоколов безопасности.


Wired Equivalent Privacy (WEP)

Первый протокол безопасности был назван Wired Equivalent Privacy или WEP. Этот протокол оставался стандартом безопасности с 1999 по 2004 год. Хотя эта версия протокола была создана для защиты, тем не менее, она имела достаточно посредственный уровень безопасности и была сложна в настройке.

В то время импорт криптографических технологий был ограничен, а это означало, что многие производители могли использовать только 64-битное шифрование. Это очень низкое битовое шифрование по сравнению с 128-битными или 256-битными опциями, доступными сегодня. В конечном счете, протокол WEP не стали развивать дальше.

Системы, которые все еще используют WEP, не являются безопасными. Если у вас есть система с WEP, ее следует обновить или заменить. При подключении к Wi-Fi, если в заведении используется протокол WEP, то ваша Интернет-активность не будет безопасной.


WiFi Protected Access (WPA)

Для улучшения функций WEP в 2003 году был создан протокол Wi-Fi Protected Access или WPA. Этот улучшенный протокол по-прежнему имел относительно низкую безопасность, но его легче было настроить. WPA, в отличие от WEP, использует протокол Temporary Key Integrity Protocol (TKIP) для более безопасного шифрования.

Поскольку Wi-Fi Alliance сделал переход с WEP на более продвинутый протокол WPA, они должны были сохранить некоторые элементы WEP, чтобы старые устройства все еще были совместимы. К сожалению, это означает, что такие уязвимости как функция настройки WiFi Protected, которую можно взломать относительно легко, все еще присутствуют в обновленной версии WPA.


WiFi Protected Access 2 (WPA2)

Годом позже, в 2004 году, стала доступна новая версия протокола Wi-Fi Protected Access 2. WPA2 обладает более высоким уровнем безопасности, а также он проще настраивается по сравнению с предыдущими версиями. Основное отличие в WPA2 заключается в том, что он использует улучшенный стандарт шифрования Advanced Encryption Standard (AES) вместо TKIP. AES способен защищать сверхсекретную правительственную информацию, поэтому это хороший вариант для обеспечения безопасности WiFi дома или в компании.

Единственная заметная уязвимость WPA2 заключается в том, что как только кто-то получает доступ к сети, он может атаковать другие устройства, подключенные к этой сети. Это может стать проблемой в том случае, если у компании есть внутренняя угроза, например, несчастный сотрудник, который способен взломать другие устройства в сети компании (или предоставить для этих целей свое устройства хакерам-профессионалам). 


WiFi Protected Access 3 (WPA3)

По мере выявления уязвимостей вносятся соответствующие изменения и улучшения. В 2018 году Wi-Fi Alliance представил новый протокол WPA3. Как ожидается, эта новая версия будет иметь «новые функции для упрощения безопасности Wi-Fi, обеспечения более надежной аутентификации и повышения криптографической устойчивости для высокочувствительных данных». Новая версия WPA3 все еще внедряется, поэтому оборудование, сертифицированное для поддержки WPA3, пока не является доступным для большинства людей.

WPA против WPA2: чем они отличаются

Протоколы WPA и WPA2 являются наиболее распространенными мерами безопасности, которые используются для защиты беспроводного Интернета. Учитывая это, мы сравнили разницу между WPA и WPA2, чтобы вы могли подобрать правильный вариант для вашей ситуации.

WPA WPA2
Год выпуска 2003 2004
Метод шифрования Temporal Key Integrity Protocol (TKIP) Advanced Encryption Standard (AES)
Уровень безопасности Выше, чем в WEP, предлагает базовый уровень безопасности
Выше, чем в WPA, предлагает повышенный уровень безопасности
Поддержка устройств Может поддерживать более старое ПО Совместим только с более новым ПО
Длина пароля Допускается более короткий пароль Требуется более длинный пароль
Использование в компаниях Нет версии для компаний Есть версия для компаний
Требуемые вычислительные мощности Минимальные Требуется больше мощностей
При сравнении WPA и WPA2, протокол WPA2 будет лучшим вариантом, если ваше устройство может его поддерживать.

Почему кто-то выбирает WPA?

Протокол WPA имеет менее безопасный метод шифрования и требует более короткого пароля, что делает его более слабым вариантом с точки зрения безопасности. Для WPA не существует корпоративного решения, поскольку оно не является достаточно безопасным для поддержки использования в компаниях. Однако если у вас есть более старое программное обеспечение, WPA можно использовать с минимальной вычислительной мощностью и это протокол может стать более приемлемым для Вас вариантом, чем старый протокол WEP.

Почему лучше выбирать WPA2?

Протокол WPA2 — это обновленная версия WPA, которая использует шифрование AES и длинные пароли для создания защищенной сети. WPA2 имеет версии для личного и корпоративного использования, что делает его идеальным вариантом как для домашних пользователей, так и для предприятий. Однако для работы этого протокола требуется больше вычислительных мощностей, поэтому, если у вас старое устройство, тот этот протокол может работать на нем медленно или вообще не работать.

Независимо от того, какой вариант лучше всего подходит для вас, важно, чтобы вы обеспечивали безопасность своему устройству, правильно защищая свое Wi-Fi-соединение. Если ваш роутер не поддерживает самый безопасный метод шифрования, рассмотрите возможность использования VPN для шифрования вашего подключения. Бесплатный VPN от компании Panda Security может помочь вам безопасно и конфиденциально путешествовать по Интернету из любой точки мира.

Источники:

Lifewire | Help Desk Geek

WEP, WPA, WPA2. Что лучше?

Кратко объясним, что такое WEP, WPA и WPA2 и в чем разница между ними.

WEP

Расшифровка: Wired Equivalent Privacy. Переводится как Безопасность, эквивалентная проводному соединению. Видимо, изобретатели переоценили надежности этого типа защиты, когда давали название.

WEP-  это устаревший режим безопасности беспроводных сетей. Обеспечивает низкий уровень защиты. В Windows режиме безопасности WEP часто называется Open , т.е. открытым типом.

WPA

Расшифровка: Wi-Fi Protected Access (защищенный Wi-Fi доступ)

Подразделяется на 2 подвида:

  • WPA-Personal (-Personal Key или -PSK)
  • WPA-Enterprise.

WPA-PSK

Этот вариант подойдет для домашнего использования. Для авторизации в сети нужен только ключ безопасности.

WPA-Enterprise

Это более продвинутый и замороченный вариант для корпоративных сетей для обеспечения более высокого уровня безопасности. Для авторизации требуется сервер Radius.

WPA2

WPA2 — более современная и улучшенная версия защиты WPA. Точно так же может работать в обоих режимах: PSK и Enterprise. Отличается тем, что поддерживает тип шифрования AES CCMP.

Что лучше? WEP, WPA или WPA2?

На современном оборудовании в большинстве случаев оптимальным вариантом будет использование режима WPA2-PSK с типом шифрования AES:

wpa-wep-0091wpa-wep-0091

Что делать, если я не знаю, какой тип безопасности использует wifi-сеть?

Если вы не знаете, какое шифрование используется на точке доступа (роутере), отключитесь от сети и удалите её профиль. Затем подключитесь заново. Вам придется ввести лишь ключ безопасности. При этом режим безопасности будет выбран автоматически.


По теме:

О типах шифрования (Cipher Type, Encryption Type) читайте в статье:

WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети / Хабр В последнее время появилось много «разоблачающих» публикаций о взломе какого-либо очередного протокола или технологии, компрометирующего безопасность беспроводных сетей. Так ли это на самом деле, чего стоит бояться, и как сделать, чтобы доступ в вашу сеть был максимально защищен? Слова WEP, WPA, 802.1x, EAP, PKI для вас мало что значат? Этот небольшой обзор поможет свести воедино все применяющиеся технологии шифрования и авторизации радио-доступа. Я попробую показать, что правильно настроенная беспроводная сеть представляет собой непреодолимый барьер для злоумышленника (до известного предела, конечно).
Основы

Любое взаимодействие точки доступа (сети), и беспроводного клиента, построено на:
  • Аутентификации — как клиент и точка доступа представляются друг другу и подтверждают, что у них есть право общаться между собой;
  • Шифровании — какой алгоритм скремблирования передаваемых данных применяется, как генерируется ключ шифрования, и когда он меняется.

Параметры беспроводной сети, в первую очередь ее имя (SSID), регулярно анонсируются точкой доступа в широковещательных beacon пакетах. Помимо ожидаемых настроек безопасности, передаются пожелания по QoS, по параметрам 802.11n, поддерживаемых скорости, сведения о других соседях и прочее. Аутентификация определяет, как клиент представляется точке. Возможные варианты:

  • Open — так называемая открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared — подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP — подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Открытость сети не означает, что любой желающий сможет безнаказанно с ней работать. Чтобы передавать в такой сети данные, необходимо совпадение применяющегося алгоритма шифрования, и соответственно ему корректное установление шифрованного соединения. Алгоритмы шифрования таковы:
  • None — отсутствие шифрования, данные передаются в открытом виде
  • WEP — основанный на алгоритме RC4 шифр с разной длиной статического или динамического ключа (64 или 128 бит)
  • CKIP — проприетарная замена WEP от Cisco, ранний вариант TKIP
  • TKIP — улучшенная замена WEP с дополнительными проверками и защитой
  • AES/CCMP — наиболее совершенный алгоритм, основанный на AES256 с дополнительными проверками и защитой

Комбинация Open Authentication, No Encryption широко используется в системах гостевого доступа вроде предоставления Интернета в кафе или гостинице. Для подключения нужно знать только имя беспроводной сети. Зачастую такое подключение комбинируется с дополнительной проверкой на Captive Portal путем редиректа пользовательского HTTP-запроса на дополнительную страницу, на которой можно запросить подтверждение (логин-пароль, согласие с правилами и т.п).

Шифрование WEP скомпрометировано, и использовать его нельзя (даже в случае динамических ключей).

Широко встречающиеся термины WPA и WPA2 определяют, фактически, алгоритм шифрования (TKIP либо AES). В силу того, что уже довольно давно клиентские адаптеры поддерживают WPA2 (AES), применять шифрование по алгоритму TKIP нет смысла.

Разница между WPA2 Personal и WPA2 Enterprise состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES. Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым. Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа. Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент — сервер авторизации, и почти всегда это RADIUS-сервер.

Все возможные параметры безопасности сведены в этой табличке:

Свойство Статический WEP Динамический WEP WPA WPA 2 (Enterprise)
Идентификация Пользователь, компьютер, карта WLAN Пользователь, компьютер
Пользователь, компьютер
Пользователь, компьютер
Авторизация
Общий ключ

EAP

EAP или общий ключ

EAP или общий ключ

Целостность

32-bit Integrity Check Value (ICV)

32-bit ICV

64-bit Message Integrity Code (MIC)

CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code — CCM) Part of AES

Шифрование

Статический ключ

Сессионный ключ

Попакетный ключ через TKIP

CCMP (AES)

РАспределение ключей

Однократное, вручную

Сегмент Pair-wise Master Key (PMK)

Производное от PMK

Производное от PMK

Вектор инициализации

Текст, 24 бита

Текст, 24 бита

Расширенный вектор, 65 бит

48-бит номер пакета (PN)

Алгоритм

RC4

RC4

RC4

AES

Длина ключа, бит

64/128

64/128

128

до 256

Требуемая инфраструктура

Нет

RADIUS

RADIUS

RADIUS

Если с WPA2 Personal (WPA2 PSK) всё ясно, корпоративное решение требует дополнительного рассмотрения.

WPA2 Enterprise


Здесь мы имеем дело с дополнительным набором различных протоколов. На стороне клиента специальный компонент программного обеспечения, supplicant (обычно часть ОС) взаимодействует с авторизующей частью, AAA сервером. В данном примере отображена работа унифицированной радиосети, построенной на легковесных точках доступа и контроллере. В случае использования точек доступа «с мозгами» всю роль посредника между клиентов и сервером может на себя взять сама точка. При этом данные клиентского суппликанта по радио передаются сформированными в протокол 802.1x (EAPOL), а на стороне контроллера они оборачиваются в RADIUS-пакеты.

Применение механизма авторизации EAP в вашей сети приводит к тому, что после успешной (почти наверняка открытой) аутентификации клиента точкой доступа (совместно с контроллером, если он есть) последняя просит клиента авторизоваться (подтвердить свои полномочия) у инфраструктурного RADIUS-сервера:

Использование WPA2 Enterprise требует наличия в вашей сети RADIUS-сервера. На сегодняшний момент наиболее работоспособными являются следующие продукты:

  • Microsoft Network Policy Server (NPS), бывший IAS — конфигурируется через MMC, бесплатен, но надо купить винду
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3 — конфигурируется через веб-интерфейс, наворочен по функционалу, позволяет создавать распределенные и отказоустойчивые системы, стоит дорого
  • FreeRADIUS — бесплатен, конфигурируется текстовыми конфигами, в управлении и мониторинге не удобен

При этом контроллер внимательно наблюдает за происходящим обменом информацией, и дожидается успешной авторизации, либо отказа в ней. При успехе RADIUS-сервер способен передать точке доступа дополнительные параметры (например, в какой VLAN поместить абонента, какой ему присвоить IP-адрес, QoS профиль и т.п.). В завершении обмена RADIUS-сервер дает возможность клиенту и точке доступа сгенерировать и обменяться ключами шифрования (индивидуальными, валидными только для данной сеcсии):

EAP

Сам протокол EAP является контейнерным, то есть фактический механизм авторизации дается на откуп внутренних протоколов. На настоящий момент сколько-нибудь значимое распространение получили следующие:
  • EAP-FAST (Flexible Authentication via Secure Tunneling) — разработан фирмой Cisco; позволяет проводить авторизацию по логину-паролю, передаваемому внутри TLS туннеля между суппликантом и RADIUS-сервером
  • EAP-TLS (Transport Layer Security). Использует инфраструктуру открытых ключей (PKI) для авторизации клиента и сервера (суппликанта и RADIUS-сервера) через сертификаты, выписанные доверенным удостоверяющим центром (CA). Требует выписывания и установки клиентских сертификатов на каждое беспроводное устройство, поэтому подходит только для управляемой корпоративной среды. Сервер сертификатов Windows имеет средства, позволяющие клиенту самостоятельно генерировать себе сертификат, если клиент — член домена. Блокирование клиента легко производится отзывом его сертификата (либо через учетные записи).
  • EAP-TTLS (Tunneled Transport Layer Security) аналогичен EAP-TLS, но при создании туннеля не требуется клиентский сертификат. В таком туннеле, аналогичном SSL-соединению браузера, производится дополнительная авторизация (по паролю или как-то ещё).
  • PEAP-MSCHAPv2 (Protected EAP) — схож с EAP-TTLS в плане изначального установления шифрованного TLS туннеля между клиентом и сервером, требующего серверного сертификата. В дальнейшем в таком туннеле происходит авторизация по известному протоколу MSCHAPv2
  • PEAP-GTC (Generic Token Card) — аналогично предыдущему, но требует карт одноразовых паролей (и соответствующей инфраструктуры)

Все эти методы (кроме EAP-FAST) требуют наличия сертификата сервера (на RADIUS-сервере), выписанного удостоверяющим центром (CA). При этом сам сертификат CA должен присутствовать на устройстве клиента в группе доверенных (что нетрудно реализовать средствами групповой политики в Windows). Дополнительно, EAP-TLS требует индивидуального клиентского сертификата. Проверка подлинности клиента осуществляется как по цифровой подписи, так (опционально) по сравнению предоставленного клиентом RADIUS-серверу сертификата с тем, что сервер извлек из PKI-инфраструктуры (Active Directory).

Поддержка любого из EAP методов должна обеспечиваться суппликантом на стороне клиента. Стандартный, встроенный в Windows XP/Vista/7, iOS, Android обеспечивает как минимум EAP-TLS, и EAP-MSCHAPv2, что обуславливает популярность этих методов. С клиентскими адаптерами Intel под Windows поставляется утилита ProSet, расширяющая доступный список. Это же делает Cisco AnyConnect Client.

Насколько это надежно

В конце концов, что нужно злоумышленнику, чтобы взломать вашу сеть?

Для Open Authentication, No Encryption — ничего. Подключился к сети, и всё. Поскольку радиосреда открыта, сигнал распространяется в разные стороны, заблокировать его непросто. При наличии соответствующих клиентских адаптеров, позволяющих прослушивать эфир, сетевой трафик виден так же, будто атакующий подключился в провод, в хаб, в SPAN-порт коммутатора.
Для шифрования, основанного на WEP, требуется только время на перебор IV, и одна из многих свободно доступных утилит сканирования.
Для шифрования, основанного на TKIP либо AES прямое дешифрование возможно в теории, но на практике случаи взлома не встречались.

Конечно, можно попробовать подобрать ключ PSK, либо пароль к одному из EAP-методов. Распространенные атаки на данные методы не известны. Можно пробовать применить методы социальной инженерии, либо терморектальный криптоанализ.

Получить доступ к сети, защищенной EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 можно, только зная логин-пароль пользователя (взлом как таковой невозможен). Атаки типа перебора пароля, или направленные на уязвимости в MSCHAP также не возможны либо затруднены из-за того, что EAP-канал «клиент-сервер» защищен шифрованным туннелем.

Доступ к сети, закрытой PEAP-GTC возможен либо при взломе сервера токенов, либо при краже токена вместе с его паролем.

Доступ к сети, закрытой EAP-TLS возможен при краже пользовательского сертификата (вместе с его приватным ключом, конечно), либо при выписывании валидного, но подставного сертификата. Такое возможно только при компрометации удостоверяющего центра, который в нормальных компаниях берегут как самый ценный IT-ресурс.

Поскольку все вышеозначенные методы (кроме PEAP-GTC) допускают сохранение (кэширование) паролей/сертификатов, то при краже мобильного устройства атакующий получает полный доступ без лишних вопросов со стороны сети. В качестве меры предотвращения может служить полное шифрование жесткого диска с запросом пароля при включении устройства.

Запомните: при грамотном проектировании беспроводную сеть можно очень хорошо защитить; средств взлома такой сети не существует (до известного предела)

WPA2 и WPA — что лучше и чем отличаются

Как следует из названия, WPA2 считается лучшим протоколом безопасности и является обновленной версией технологии и контроля беспроводного защищенного доступа (WPA) для беспроводных сетей Wi-Fi. WPA2 был доступен на всех сертифицированных аппаратных средствах Wi-Fi с 2006 года и до этого являлся дополнительной функцией для некоторых продуктов.

WPA против WPA2 — что лучше

Когда WPA заменила старую технологию WEP, в которой использовались легко взломанные радиоволны, она повысила безопасность WEP за счет шифрования ключа шифрования и проверки того, что оно не изменилось во время передачи данных. WPA2 дополнительно повышает безопасность сети благодаря использованию более надежного шифрования, называемого AES. Хотя WPA более безопасен, чем WEP, WPA2 значительно более безопасен, чем WPA, и это очевидный выбор для владельцев маршрутизаторов.

WPA2 предназначен для повышения безопасности подключений Wi-Fi, требуя использования более надежного беспроводного шифрования, чем требует WPA. В частности, WPA2 не позволяет использовать алгоритм, называемый протокол целостности временного ключа (TKIP), который, как известно, имеет дыры в безопасности и ограничения.

Когда вы должны выбрать WPA

Многие старые беспроводные маршрутизаторы для домашних сетей поддерживают технологии WPA и WPA2, и администраторы должны выбрать, какой из них запустить. WPA2 — более простой и безопасный выбор.

Некоторые технические специалисты отмечают, что для использования WPA2 требуется, чтобы аппаратное обеспечение Wi-Fi работало быстрее при выполнении более совершенных алгоритмов шифрования, что теоретически может значительно снизить общую производительность сети по сравнению с использованием WPA. Однако с момента своего появления технология WPA2 доказала свою ценность и продолжает рекомендоваться для использования в беспроводных домашних сетях. Влияние производительности WPA2 незначительно.

Пароли WPA и WPA2

Еще одно различие между WPA и WPA2 заключается в длине их паролей. WPA2 требует от вас ввести более длинный пароль, чем требуется WPA. Общий пароль необходимо вводить только один раз на устройствах, которые обращаются к маршрутизатору, но он обеспечивает дополнительный уровень защиты от людей, которые взломают вашу сеть, если смогут.

WPA2 выпускается в двух версиях: WPA2-Personal и WPA2-Enterprise. Разница заключается в общем пароле, который используется в WPA2-Personal. Корпоративный Wi-Fi не должен использовать WPA или WPA2-Personal. Версия Enterprise устраняет общий пароль и назначает уникальные учетные данные каждому сотруднику и устройству. Это защищает компанию от ущерба, который может нанести уходящий сотрудник.

какой протокол безопасности WiFi вы должны использовать?

WPA против WPA2: какой протокол безопасности WiFi вы должны использовать?

Беспроводные сети есть везде. Если вы находитесь в кафе, школе или дома, то, скорее всего, есть несколько беспроводных сетей, к которым вы можете получить доступ. Но как узнать, какие из них безопасны? Проверьте их параметры безопасности – они могут быть хорошим индикатором того, каким из этих сетей вы можете доверять. Чтобы помочь вам в этом вопросе, мы обсудим историю протоколов безопасности WPA и WPA2 и сравним их между собой.

Параметры безопасности маршрутизатора (роутера)

Когда вы устанавливаете Wi-Fi, у вас есть несколько вариантов безопасности роутера. Если ваш роутер останется незащищенным, то посторонние лица смогут получить к нему доступ, использовать его для незаконной деятельности от вашего имени, отслеживать использование Интернета или даже устанавливать вредоносные программы.

Когда вы настраиваете безопасность беспроводной сети, вам будет доступно несколько вариантов: например, none, WEP, WPA, WPA2-Personal, WPA2-Enterprise и, возможно, WPA3. В зависимости от того, каким образом вы планируете пользоваться Интернетом, вам может потребоваться более или менее надежная защита.

Какой лучший метод обеспечения безопасности беспроводного Интернета?

Какой способ защиты вы выберете, будет зависеть от возможностей вашего роутера. Старые устройства не могут поддерживать новые протоколы безопасности, такие как WPA3.

Ниже мы приводим список протоколов безопасности, ранжированных по степени безопасности (вверху – наиболее безопасные):

1. WPA3

2. WPA2 Enterprise

3. WPA2 Personal

4. WPA + AES

5. WPA + TKIP

6. WEP

7. Open Network (no security implemented)

История протоколов безопасности

Безопасность беспроводной сети менялась с течением времени, чтобы стать более надежной, но при этом и более простой с точки зрения ее настройки. С момента появления Wi-Fi мы прошли путь от протокола WEP к протоколу WPA3. Давайте вспомним историю развития этих протоколов безопасности.

Wired Equivalent Privacy (WEP)

Первый протокол безопасности был назван Wired Equivalent Privacy или WEP. Этот протокол оставался стандартом безопасности с 1999 по 2004 год. Хотя эта версия протокола была создана для защиты, тем не менее, она имела достаточно посредственный уровень безопасности и была сложна в настройке.

В то время импорт криптографических технологий был ограничен, а это означало, что многие производители могли использовать только 64-битное шифрование. Это очень низкое битовое шифрование по сравнению с 128-битными или 256-битными опциями, доступными сегодня. В конечном счете, протокол WEP не стали развивать дальше.

Системы, которые все еще используют WEP, не являются безопасными. Если у вас есть система с WEP, ее следует обновить или заменить. При подключении к Wi-Fi, если в заведении используется протокол WEP, то ваша Интернет-активность не будет безопасной.

WiFi Protected Access (WPA)

Для улучшения функций WEP в 2003 году был создан протокол Wi-Fi Protected Access или WPA. Этот улучшенный протокол по-прежнему имел относительно низкую безопасность, но его легче было настроить. WPA, в отличие от WEP, использует протокол Temporary Key Integrity Protocol (TKIP) для более безопасного шифрования.

Поскольку Wi-Fi Alliance сделал переход с WEP на более продвинутый протокол WPA, они должны были сохранить некоторые элементы WEP, чтобы старые устройства все еще были совместимы. К сожалению, это означает, что такие уязвимости как функция настройки WiFi Protected, которую можно взломать относительно легко, все еще присутствуют в обновленной версии WPA.


WiFi Protected Access 2 (WPA2)

Годом позже, в 2004 году, стала доступна новая версия протокола Wi-Fi Protected Access 2. WPA2 обладает более высоким уровнем безопасности, а также он проще настраивается по сравнению с предыдущими версиями. Основное отличие в WPA2 заключается в том, что он использует улучшенный стандарт шифрования Advanced Encryption Standard (AES) вместо TKIP. AES способен защищать сверхсекретную правительственную информацию, поэтому это хороший вариант для обеспечения безопасности WiFi дома или в компании.

Единственная заметная уязвимость WPA2 заключается в том, что как только кто-то получает доступ к сети, он может атаковать другие устройства, подключенные к этой сети. Это может стать проблемой в том случае, если у компании есть внутренняя угроза, например, несчастный сотрудник, который способен взломать другие устройства в сети компании (или предоставить для этих целей свое устройства хакерам-профессионалам).

WiFi Protected Access 3 (WPA3)

По мере выявления уязвимостей вносятся соответствующие изменения и улучшения. В 2018 году Wi-Fi Alliance представил новый протокол WPA3 . Как ожидается, эта новая версия будет иметь «новые функции для упрощения безопасности Wi-Fi, обеспечения более надежной аутентификации и повышения криптографической устойчивости для высокочувствительных данных». Новая версия WPA3 все еще внедряется, поэтому оборудование, сертифицированное для поддержки WPA3, пока не является доступным для большинства людей.

WPA против WPA2: чем они отличаются

Протоколы WPA и WPA2 являются наиболее распространенными мерами безопасности, которые используются для защиты беспроводного Интернета. Учитывая это, мы сравнили разницу между WPA и WPA2, чтобы вы могли подобрать правильный вариант для вашей ситуации.

При сравнении WPA и WPA2, протокол WPA2 будет лучшим вариантом, если ваше устройство может его поддерживать.

Почему кто-то выбирает WPA?

Протокол WPA имеет менее безопасный метод шифрования и требует более короткого пароля, что делает его более слабым вариантом с точки зрения безопасности. Для WPA не существует корпоративного решения, поскольку оно не является достаточно безопасным для поддержки использования в компаниях. Однако если у вас есть более старое программное обеспечение, WPA можно использовать с минимальной вычислительной мощностью и это протокол может стать более приемлемым для Вас вариантом, чем старый протокол WEP.

Почему лучше выбирать WPA2?

Протокол WPA2 — это обновленная версия WPA, которая использует шифрование AES и длинные пароли для создания защищенной сети. WPA2 имеет версии для личного и корпоративного использования, что делает его идеальным вариантом как для домашних пользователей, так и для предприятий. Однако для работы этого протокола требуется больше вычислительных мощностей, поэтому, если у вас старое устройство, тот этот протокол может работать на нем медленно или вообще не работать.

Независимо от того, какой вариант лучше всего подходит для вас, важно, чтобы вы обеспечивали безопасность своему устройству, правильно защищая свое Wi-Fi-соединение. Если ваш роутер не поддерживает самый безопасный метод шифрования, рассмотрите возможность использования VPN для шифрования вашего подключения. Бесплатный VPN от компании Panda Security может помочь вам безопасно и конфиденциально путешествовать по Интернету из любой точки мира.

Источники:

проникновение и защита. 1) Матчасть / Хабр

Синоптики предсказывают, что к 2016 году наступит второй ледниковый период трафик в беспроводных сетях на 10% превзойдёт трафик в проводном Ethernet. При этом от года в год частных точек доступа становится примерно на 20% больше.

При таком тренде не может не радовать то, что 80% владельцев сетей не меняют пароли доступа по умолчанию. В их число входят и сети компаний.

Этим циклом статей я хочу собрать воедино описания существующих технологии защит, их проблемы и способы обхода, таким образом, что в конце читатель сам сможет сказать, как сделать свою сеть непробиваемой, и даже наглядно продемонстрировать проблемы на примере незадачливого соседа (do not try this at home, kids). Практическая сторона взлома будет освещена с помощью Kali Linux (бывший Backtrack 5) в следующих частях.

Статья по мере написания выросла с 5 страниц до 40, поэтому я решил разбить её на части. Этот цикл — не просто инструкция, как нужно и не нужно делать, а подробное объяснение причин для этого. Ну, а кто хочет инструкций — они такие:

Используйте WPA2-PSK-CCMP с паролем от 12 символов a-z (2000+ лет перебора на ATI-кластере). Измените имя сети по умолчанию на нечто уникальное (защита от rainbow-таблиц). Отключите WPS (достаточно перебрать 10000 комбинаций PIN). Не полагайтесь на MAC-фильтрацию и скрытие SSID.

Оглавление:
1) Матчасть
2) Kali. Скрытие SSID. MAC-фильтрация. WPS
3) WPA. OpenCL/CUDA. Статистика подбора

Но сначала — матчасть.
Передайте мне сахар

Представьте, что вы — устройство, которое принимает инструкции. К вам может подключиться каждый желающий и отдать любую команду. Всё хорошо, но на каком-то этапе потребовалось фильтровать личностей, которые могут вами управлять. Вот здесь и начинается самое интересное.

Как понять, кто может отдать команду, а кто нет? Первое, что приходит в голову — по паролю. Пусть каждый клиент перед тем, как передать новую команду, передаст некий пароль. Таким образом, вы будете выполнять только команды, которые сопровождались корректным паролем. Остальные — фтопку.


Именно так работает базовая авторизация HTTP (Auth Basic):
AuthType Basic
AuthName "My super secret zone!"
AuthUserFile /home/.htpasswd
Require valid-user 

После успешной авторизации браузер просто-напросто будет передавать определённый заголовок при каждом запросе в закрытую зону:

Authorization: Basic YWRtaW46cGFzcw==

То есть исходное:
echo -n 'admin:pass' | base64
# YWRtaW46cGFzcw==

У данного подхода есть один большой недостаток — так как пароль (или логин-пароль, что по сути просто две части того же пароля) передаётся по каналу «как есть» — кто угодно может встрять между вами и клиентом и получить ваш пароль на блюдечке. А затем использовать его и распоряжаться вами, как угодно!

Для предотвращения подобного безобразия можно прибегнуть к хитрости: использовать какой-либо двухсторонний алгоритм шифрования, где закрытым ключом будет как раз наш пароль, и явно его никогда не передавать. Однако проблемы это не решит — достаточно один раз узнать пароль и можно будет расшифровать любые данные, переданные в прошлом и будущем, плюс шифровать собственные и успешно маскироваться под клиента. А учитывая то, что пароль предназначен для человека, а люди склонны использовать далеко не весь набор из 256 байт в каждом символе, да и символов этих обычно около 6-8… в общем, комсомол не одобрит.

Что делать? А поступим так, как поступают настоящие конспираторы: при первом контакте придумаем длинную случайную строку (достаточно длинную, чтобы её нельзя было подобрать, пока светит это солнце), запомним её и все дальнейшие передаваемые данные будем шифровать с использованием этого «псевдонима» для настоящего пароля. А ещё периодически менять эту строку — тогда джедаи вообще не пройдут.


Первые две передачи (зелёные иконки на рисунке выше) — это фаза с «пожатием рук» (handshake), когда сначала мы говорим серверу о нашей легитимности, показывая правильный пароль, на что сервер нам отвечает случайной строкой, которую мы затем используем для шифрования и передачи любых данных.

Итак, для подбора ключа хакеру нужно будет либо найти уязвимость в алгоритме его генерации (как в случае с Dual_EC_DRBG), либо арендовать сотню-другую параллельных вселенных и несколько тысяч ATI-ферм для решения этой задачи при своей жизни. Всё это благодаря тому, что случайный ключ может быть любой длины и содержать любые коды из доступных 256, потому что пользователю-человеку никогда не придётся с ним работать.

Именно такая схема с временным ключом (сеансовый ключ, session key или ticket) в разных вариациях и используется сегодня во многих системах — в том числе SSL/TLS и стандартах защиты беспроводных сетей, о которых будет идти речь.

План атаки

Внимательные читатели, конечно, заметили, что как бы мы не хитрили — от передачи пароля и временного ключа в открытой или хэшированной форме нам никуда не деться. Как результат — достаточно хакеру перехватить передачу на этой фазе, и он сможет читать все последующие данные, а также участвовать в процессе, вставляя свои пять копеек. И отличить его невозможно, так как вся информация, которой бы мог руководствоваться сервер для выдачи временного ключа или проверки доступа базируется именно на том, что было в начале передачи — handshake. Поэтому хакер знает всё то же, что и сервер, и клиент, и может водить обоих за нос, пока не истечёт срок действия временного ключа.

Наша задача при взломе любой передачи так или иначе сводится к перехвату рукопожатия, из которого можно будет либо вытащить временный ключ, либо исходный пароль, либо и то, и другое. В целом, это довольно долгое занятие и требует определённой удачи.

Но это в идеальном мире…

Механизмы защиты Wi-Fi

Технологии создаются людьми и почти во всех из них есть ошибки, иногда достаточно критические, чтобы обойти любую самую хорошую в теории защиту. Ниже мы пробежимся по списку существующих механизмов защиты передачи данных по радиоканалу (то есть не затрагивая SSL, VPN и другие более высокоуровневые способы).
OPEN

OPEN — это отсутствие всякой защиты. Точка доступа и клиент никак не маскируют передачу данных. Почти любой беспроводной адаптер в любом ноутбуке с Linux может быть установлен в режим прослушки, когда вместо отбрасывания пакетов, предназначенных не ему, он будет их фиксировать и передавать в ОС, где их можно спокойно просматривать. Кто у нас там полез в Твиттер?

Именно по такому принципу работают проводные сети — в них нет встроенной защиты и «врезавшись» в неё или просто подключившись к хабу/свичу сетевой адаптер будет получать пакеты всех находящихся в этом сегменте сети устройств в открытом виде. Однако с беспроводной сетью «врезаться» можно из любого места — 10-20-50 метров и больше, причём расстояние зависит не только от мощности вашего передатчика, но и от длины антенны хакера. Поэтому открытая передача данных по беспроводной сети гораздо более опасна.

В этом цикле статей такой тип сети не рассматривается, так как взламывать тут нечего. Если вам нужно пользоваться открытой сетью в кафе или аэропорту — используйте VPN (избегая PPTP) и SSL (https://, но при этом поставьте HTTPS Everywhere, или параноидально следите, чтобы из адресной строки «внезапно» не исчез замок, если кто включит sslstrip — что, впрочем, переданных паролей уже не спасёт), и даже всё вместе. Тогда ваших котиков никто не увидит.

WEP

WEP — первый стандарт защиты Wi-Fi. Расшифровывается как Wired Equivalent Privacy («эквивалент защиты проводных сетей»), но на деле он даёт намного меньше защиты, чем эти самые проводные сети, так как имеет множество огрехов и взламывается множеством разных способов, что из-за расстояния, покрываемого передатчиком, делает данные более уязвимыми. Его нужно избегать почти так же, как и открытых сетей — безопасность он обеспечивает только на короткое время, спустя которое любую передачу можно полностью раскрыть вне зависимости от сложности пароля. Ситуация усугубляется тем, что пароли в WEP — это либо 40, либо 104 бита, что есть крайне короткая комбинация и подобрать её можно за секунды (это без учёта ошибок в самом шифровании).

WEP был придуман в конце 90-х, что его оправдывает, а вот тех, кто им до сих пор пользуется — нет. Я до сих пор на 10-20 WPA-сетей стабильно нахожу хотя бы одну WEP-сеть.

На практике существовало несколько алгоритмов шифровки передаваемых данных — Neesus, MD5, Apple — но все они так или иначе небезопасны. Особенно примечателен первый, эффективная длина которого — 21 бит (~5 символов).

Основная проблема WEP — в фундаментальной ошибке проектирования. Как было проиллюстрировано в начале — шифрование потока делается с помощью временного ключа. WEP фактически передаёт несколько байт этого самого ключа вместе с каждым пакетом данных. Таким образом, вне зависимости от сложности ключа раскрыть любую передачу можно просто имея достаточное число перехваченных пакетов (несколько десятков тысяч, что довольно мало для активно использующейся сети).

К слову, в 2004 IEEE объявили WEP устаревшим из-за того, что стандарт «не выполнил поставленные перед собой цели [обеспечения безопасности беспроводных сетей]».

Про атаки на WEP будет сказано в третьей части. Скорее всего в этом цикле про WEP не будет, так как статьи и так получились очень большие, а распространённость WEP стабильно снижается. Кому надо — легко может найти руководства на других ресурсах.

WPA и WPA2

WPA — второе поколение, пришедшее на смену WEP. Расшифровывается как Wi-Fi Protected Access. Качественно иной уровень защиты благодаря принятию во внимание ошибок WEP. Длина пароля — произвольная, от 8 до 63 байт, что сильно затрудняет его подбор (сравните с 3, 6 и 15 байтами в WEP).

Стандарт поддерживает различные алгоритмы шифрования передаваемых данных после рукопожатия: TKIP и CCMP. Первый — нечто вроде мостика между WEP и WPA, который был придуман на то время, пока IEEE были заняты созданием полноценного алгоритма CCMP. TKIP так же, как и WEP, страдает от некоторых типов атак, и в целом не безопасен. Сейчас используется редко (хотя почему вообще ещё применяется — мне не понятно) и в целом использование WPA с TKIP почти то же, что и использование простого WEP.

Одна из занятных особенностей TKIP — в возможности так называемой Michael-атаки. Для быстрого залатывания некоторых особо критичных дыр в WEP в TKIP было введено правило, что точка доступа обязана блокировать все коммуникации через себя (то есть «засыпать») на 60 секунд, если обнаруживается атака на подбор ключа (описана во второй части). Michael-атака — простая передача «испорченных» пакетов для полного отключения всей сети. Причём в отличии от обычного DDoS тут достаточно всего двух (двух) пакетов для гарантированного выведения сети из строя на одну минуту.


WPA отличается от WEP и тем, что шифрует данные каждого клиента по отдельности. После рукопожатия генерируется временный ключ — PTK — который используется для кодирования передачи этого клиента, но никакого другого. Поэтому даже если вы проникли в сеть, то прочитать пакеты других клиентов вы сможете только, когда перехватите их рукопожатия — каждого по отдельности. Демонстрация этого с помощью Wireshark будет в третьей части.

Кроме разных алгоритмов шифрования, WPA(2) поддерживают два разных режима начальной аутентификации (проверки пароля для доступа клиента к сети) — PSK и Enterprise. PSK (иногда его называют WPA Personal) — вход по единому паролю, который вводит клиент при подключении. Это просто и удобно, но в случае больших компаний может быть проблемой — допустим, у вас ушёл сотрудник и чтобы он не мог больше получить доступ к сети приходится применять способ из «Людей в чёрном» менять пароль для всей сети и уведомлять об этом других сотрудников. Enterprise снимает эту проблему благодаря наличию множества ключей, хранящихся на отдельном сервере — RADIUS. Кроме того, Enterprise стандартизирует сам процесс аутентификации в протоколе EAP (Extensible Authentication Protocol), что позволяет написать собственный велосипед алгоритм. Короче, одни плюшки для больших дядей.

В этом цикле будет подробно разобрана атака на WPA(2)-PSK, так как Enterprise — это совсем другая история, так как используется только в больших компаниях.

WPS/QSS

WPS, он же Qikk aSS QSS — интересная технология, которая позволяет нам вообще не думать о пароле, а просто добавить воды нажать на кнопку и тут же подключиться к сети. По сути это «легальный» метод обхода защиты по паролю вообще, но удивительно то, что он получил широкое распространение при очень серьёзном просчёте в самой системе допуска — это спустя годы после печального опыта с WEP.

WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр (PIN). Однако из-за ошибки в стандарте нужно угадать лишь 4 из них. Таким образом, достаточно всего-навсего 10000 попыток подбора и вне зависимости от сложности пароля для доступа к беспроводной сети вы автоматически получаете этот доступ, а с ним в придачу — и этот самый пароль как он есть.

Учитывая, что это взаимодействие происходит до любых проверок безопасности, в секунду можно отправлять по 10-50 запросов на вход через WPS, и через 3-15 часов (иногда больше, иногда меньше) вы получите ключи от рая.

Когда данная уязвимость была раскрыта производители стали внедрять ограничение на число попыток входа (rate limit), после превышения которого точка доступа автоматически на какое-то время отключает WPS — однако до сих пор таких устройств не больше половины от уже выпущенных без этой защиты. Даже больше — временное отключение кардинально ничего не меняет, так как при одной попытке входа в минуту нам понадобится всего 10000/60/24 = 6,94 дней. А PIN обычно отыскивается раньше, чем проходится весь цикл.

Хочу ещё раз обратить ваше внимание, что при включенном WPS ваш пароль будет неминуемо раскрыт вне зависимости от своей сложности. Поэтому если вам вообще нужен WPS — включайте его только когда производится подключение к сети, а в остальное время держите этот бекдор выключенным.

Атака на WPS будет рассмотрена во второй части.

p.s: так как тема очень обширная, в материал могли закрасться ошибки и неточности. Вместо криков «автор ничего не понимает» лучше использовать комментарии и ЛС. Это будет только приветствоваться.

Оглавление:
1) Матчасть
2) Kali. Скрытие SSID. MAC-фильтрация. WPS
3) WPA. OpenCL/CUDA. Статистика подбора

Сохранено крепится с помощью wpa2. Безопасность wi-fi. Правильная защита wi-fi

Сегодня не назовешь чем-то из ряда вон выходящим. Однако при этом многие юзеры (особенно владельцы мобильных устройств) сталкиваются с проблемой, какую систему защиты использовать: WEP, WPA или WPA2-PSK. Что это за технологии, мы сейчас и посмотрим. Однако наибольшее внимание будет уделено именно WPA2-PSK, поскольку именно эта протекция является сегодня наиболее востребованной.

WPA2-PSK: что это?

Скажем сразу: это система защиты любого локального подключения к беспроводной сети на основе WI-Fi. К проводным системам на основе сетевых карт, использующих непосредственное соединение при помощи Ethernet, это не имеет никакого отношения.

С применением технологии WPA2-PSK сегодня является наиболее «продвинутой». Даже несколько устаревающие методы, требующие запрос логина и пароля, а также предполагающие шифрование конфиденциальных данных при приеме-передаче, выглядят, мягко говоря, детским лепетом. И вот почему.

Разновидности зашиты

Итак, начнем с того, что еще недавно самой безопасной технологией защиты соединения считалась структура WEP. Она использовала проверку целостности ключа при беспроводном подключении любого девайса и являлась стандартом IEEE 802. 11i.


Защита WiFi-сети WPA2-PSK работает, в принципе, почти так же, однако проверку ключа доступа осуществляет на уровне 802. 1X. Иными словами, система проверяет все возможные варианты.

Однако есть и более нова технология, получившая название WPA2 Enterprise. В отличие от WPA, она предусматривает не только затребование персонального ключа доступа, но и наличие предоставляющего доступ сервера Radius. При этом такой алгоритм проверки подлинности может работать одновременно в нескольких режимах (например, Enterprise и PSK, задействовав при этом шифрование уровня AES CCMP).

Основные протоколы защиты и безопасности

Равно как и уходящие в прошлое, современные методы защиты используют один и тот же протокол. Это TKIP (система защиты WEP, основанная на обновлении программного обеспечения и алгоритме RC4). Все это предполагает ввод временного ключа для доступа к сети.

Как показало практическое использование, сам по себе такой алгоритм особой защищенности подключения в беспроводной сети не дал. Именно поэтому были разработаны новые технологии: сначала WPA, а затем WPA2, дополненные PSK (персональный ключ доступа) и TKIP (временный ключ). Кроме того, сюда же были включены данных при приеме-передаче, сегодня известные как стандарт AES.

Устаревшие технологии

Тип безопасности WPA2-PSK появился относительно недавно. До этого, как уже было сказано выше, использовалась система WEP в сочетании с TKIP. Защита TKIP есть не что иное, как средство увеличения разрядности ключа доступа. На данный момент считается, что базовый режим позволяет увеличить ключ с 40 до 128 бит. При всем этом можно также сменить один-единственный ключ WEP на несколько отличных, генерируемых и отсылаемых в автоматическом режиме самим сервером, производящим аутентификацию пользователя при входе.

Кроме того, сама система предусматривает использование строгой иерархии распределения ключей, а также методики, позволяющей избавиться от так называемой проблемы предсказуемости. Иными словами, когда, допустим, для беспроводной сети, использующей защиту WPA2-PSK, пароль задается в виде последовательности типа «123456789», нетрудно догадаться, что те же программы-генераторы ключей и паролей, обычно называемые KeyGen или чем-то вроде этого, при вводе первых четырех знаков могут автоматически сгенерировать четыре последующих. Тут, как говорится, не нужно быть уникумом, чтобы угадать тип используемой секвенции. Но это, как, наверное, уже понято, самый простой пример.

Что касается даты рождения пользователя в пароле, это вообще не обсуждается. Вас запросто можно вычислить по тем же регистрационным данным в социальных сетях. Сами же цифровые пароли такого типа являются абсолютно ненадежными. Уж лучше использовать совместно цифры, литеры, а также символы (можно даже непечатаемые при условии задания сочетания «горячих» клавиш) и пробел. Однако даже при таком подходе взлом WPA2-PSK осуществить можно. Тут нужно пояснить методику работы самой системы.

Типовой алгоритм доступа

Теперь еще несколько слов о системе WPA2-PSK. Что это такое в плане практического применения? Это совмещение нескольких алгоритмов, так сказать, в рабочем режиме. Поясним ситуацию на примере.

В идеале секвенция исполнения процедуры защиты подключения и шифрования передающейся или принимающейся информации сводится к следующему:

WPA2-PSK (WPA-PSK) + TKIP + AES.

При этом здесь главную роль играет общий ключ (PSK) длиной от 8 до 63 символов. В какой именно последовательности будут задействованы алгоритмы (то ли сначала произойдет шифрование, то ли после передачи, то ли в процессе с использованием случайных промежуточных ключей и т. д.), не суть важно.

Но даже при наличии защиты и системы шифрования на уровне AES 256 (имеется в виду разрядность ключа шифра) взлом WPA2-PSK для хакеров, сведущих в этом деле, будет задачей хоть и трудной, но возможной.

Уязвимость

Еще в 2008 году на состоявшейся конференции PacSec была представлена методика, позволяющая взломать беспроводное соединение и прочитать передающиеся данные с маршрутизатора на клиентский терминал. Все это заняло около 12-15 минут. Однако взломать обратную передачу (клиент-маршрутизатор) так и не удалось.

Дело в том, что при включенном режиме маршрутизатора QoS можно не только прочитать передаваемую информацию, но и заменить ее поддельной. В 2009 году японские специалисты представили технологию, позволяющую сократить время взлома до одной минуты. А в 2010 году в Сети появилась информация о том, что проще всего взламывать модуль Hole 196, присутствующий в WPA2, с использованием собственного закрытого ключа.


Ни о каком вмешательстве в генерируемые ключи речь не идет. Сначала используется так называемая атака по словарю в сочетании с «брут-форс», а затем сканируется пространство беспроводного подключения с целью перехвата передаваемых пакетов и их последующей записью. Достаточно пользователю произвести подключение, как тут же происходит его деавторизация, перехват передачи начальных пакетов (handshake). После этого даже нахождение поблизости от основной точки доступа не требуется. Можно преспокойно работать в режиме оффлайн. Правда, для совершения всех этих действий понадобится специальное ПО.

Как взломать WPA2-PSK?

По понятным причинам, здесь полный алгоритм взлома соединения приводиться не будет, поскольку это может быть использовано как некая инструкция к действию. Остановимся только на главных моментах, и то — только в общих чертах.


Как правило, при непосредственном доступе к роутеру его можно перевести в так называемый режим Airmon-NG для отслеживания трафика (airmon-ng start wlan0 — переименование беспроводного адаптера). После этого происходит захват и фиксация трафика при помощи команды airdump-ng mon0 (отслеживание данных канала, скорость маяка, скорость и метод шифрования, количество передаваемых данных и т. д.).


Далее задействуется команда фиксации выбранного канала, после чего вводится команда Aireplay-NG Deauth с сопутствующими значениями (они не приводятся по соображениям правомерности использования таких методов).

После этого (когда пол

Разница между WEP, WPA и WPA2 (которая является безопасной) Фото Сергея Королько через Shutterstock.

Первое правило сетей Wi-Fi — вы не должны оставлять сеть незащищенной. Второе правило сетей Wi-Fi — вы не подключаетесь к незащищенному Wi-Fi (по крайней мере, не без VPN). И да, не стесняйтесь говорить об этом.

WEP, WPA и WPA2 — это три разных типа протоколов безопасности. Когда вы настроили свой маршрутизатор и добавили пароль, был выбран один из этих форматов.Имеет ли значение, какой вы выберете? Если вы заботитесь о безопасности больше, чем средний Джо, то да.

Шифрование

для всех

WEP, WPA и WPA2

имеют разные уровни шифрования. По сути, формат, в котором вы выбираете сохранение пароля, определяет его надежность. Или как легко / трудно кому-то это взломать.

Wired Equivalent Privacy (WEP) является наиболее широко используемым протоколом. Это также значение по умолчанию для большинства маршрутизаторов.Одного этого должно быть достаточно, чтобы скептик в вас поднял бровь. Ничто по умолчанию никогда не бывает хорошим, верно?

WEP был официально объявлен стандартным в сентябре 1999 года. Он начинался с 64-битного шифрования, затем пошел до 128 и теперь также поддерживает 256-битный. Хотя многие устройства все еще застряли на 128 бит.

Скептик в вас был прав, кстати. WEP, как известно, легко взломать. Все, что вам нужно, это бесплатное программное обеспечение. Альянс Wi-Fi удалил WEP еще в 2004 году, но из-за обратно совместимых устройств и долгого срока службы корпоративной электроники он все еще поддерживается.

Вывод? Не используйте WEP.

Не на много лучше

Защищенный Wi-Fi доступ (WPA) — вот что заменило WEP. Это было обновление до WEP, разработанное как обновление прошивки для текущих устройств. Из-за этого это зависело от многих старых технологий.

В целом WPA лучше, чем WEP, но не намного.

Как я тебе нравлюсь сейчас?

Wi-Fi Protected Access II (WPA2) — это новейшая и самая лучшая система безопасности Wi-Fi.Я уверен, что вы уже почувствовали тенденцию. Каждое обновление лучше, чем предыдущее. WPA2 попал в официальный список в 2006 году и с тех пор активно развивается.

WPA2 использует 256-битные алгоритмы AES для шифрования (отраслевой стандарт), что делает его намного более безопасным, чем предыдущие.

Из-за способа работы WPA2, если кто-то хочет взломать сеть, ему необходим физический доступ к одному из устройств. И даже тогда это может занять часы.

К сожалению, поскольку WPA2 основан на WPA, который в свою очередь основан на WEP, он также страдает от некоторых уязвимостей наших друзей-пенсионеров.Но благодаря постоянным обновлениям, эти двери теперь затянуты немного плотнее.

Какой выбрать?

Теперь очевидно, что вы должны перейти на WPA2. Это меньшее из трех зол. Да, его можно взломать, но опять же, все может быть. Причина, по которой мы используем более надежные протоколы, состоит в том, чтобы людям было труднее взломать их. Вот почему WPA2 определенно подходит. Это увеличивает время взлома с пары минут с помощью свободного программного обеспечения до часов или дней или взлома на профессиональном уровне.По сути, это блокирует большинство хакеров.

И в любом случае, если человек посвящает достаточно времени, чтобы тратить часы или дни на взлом вашей системы (привет, АНБ, не видел вас там, продолжайте), он найдет способ.

Кроме того, хакер потратил на вас 12 часов? Мальчик, ты должен быть особенным.


Приведенная выше статья может содержать партнерские ссылки, которые помогают поддерживать Guiding Tech. Однако это не влияет на нашу редакционную целостность.Содержание остается непредвзятым и подлинным.

WEP, WPA, WPA2 и их различия

UPD: WPA3 — это новое поколение безопасности WiFi

Защита Wi-Fi от хакеров — одна из самых важных задач в кибербезопасности. Вот почему появление протокола беспроводной безопасности следующего поколения WPA3 заслуживает вашего внимания: он не только обеспечит безопасность Wi-Fi-соединений, но и поможет вам избавиться от собственных недостатков безопасности.
Вот что он предлагает:

Защита паролем

Начните с того, как WPA3 защитит вас дома.В частности, это уменьшит ущерб, который может быть вызван вашими ленивыми паролями.

Фундаментальный недостаток WPA2, действующего протокола беспроводной безопасности, существовавшего в 2004 году, заключается в том, что он позволяет хакерам развернуть так называемую автономную атаку по словарю, чтобы угадать ваш пароль. Злоумышленник может сделать столько снимков, сколько ему нужно, чтобы угадать ваши учетные данные, не находясь в той же сети, циклически просматривая весь словарь и далее за относительно короткий промежуток времени.

WPA3 защитит от словарных атак, внедрив новый протокол обмена ключами.WPA2 использовал несовершенное четырехстороннее рукопожатие между клиентами и точками доступа для включения зашифрованных соединений; это то, что стояло за пресловутой уязвимостью KRACK, которая затронула практически все подключенные устройства. WPA3 откажется от этого в пользу более безопасного — и широко проверенного — одновременного подтверждения подлинности рукопожатия.

Другое преимущество возникает в том случае, если ваш пароль все же будет взломан. С этим новым подтверждением связи WPA3 поддерживает прямую секретность, что означает, что любой трафик, который проходил через ваш транец до получения доступа посторонним, будет оставаться зашифрованным.С WPA2 они также могут расшифровать старый трафик.

Безопасные соединения

Когда в 2004 году появился WPA2, Интернет вещей еще не стал чем-то близким к всепоглощающему ужасу безопасности, который является его современной отличительной чертой. Поэтому неудивительно, что WPA2 не предлагал упрощенного способа безопасной установки этих устройств в существующей сети Wi-Fi. И на самом деле, основной метод, с помощью которого этот процесс происходит сегодня — Wi-Fi Protected Setup — с 2011 года имеет известные уязвимости.WPA3 предоставляет исправление.

Wi-Fi Easy Connect, как его называет Wi-Fi Alliance, упрощает подключение беспроводных устройств без (или ограниченного) экрана или механизма ввода в вашу сеть. Когда эта функция включена, вы просто используете свой смартфон для сканирования QR-кода на маршрутизаторе, а затем сканируете QR-код на своем принтере, динамике или другом устройстве IoT, и все готово — они надежно подключены. Используя метод QR-кода, вы используете шифрование на основе открытого ключа для встроенных устройств, которым в настоящее время в основном не хватает простого и безопасного метода для этого.

Эта тенденция прослеживается и с Wi-Fi Enhanced Open, который Wi-Fi Alliance подробно описал несколько недель назад. Вы, наверное, слышали, что вам следует избегать какого-либо конфиденциального просмотра или ввода данных в общественных сетях Wi-Fi. Это связано с тем, что с WPA2 любой, находящийся в той же общедоступной сети, что и вы, может наблюдать за вашей активностью и атаковать вас с помощью атак типа «человек посередине» или отслеживания трафика. На WPA3? Не так много.

Когда вы входите в WPA3 Wi-Fi кафе с устройством WPA3, ваше соединение будет автоматически зашифровано без необходимости дополнительных учетных данных.Это делается с использованием установленного стандарта, называемого Opportunistic Wireless Encryption.

Как и в случае защиты паролем, расширенное шифрование WPA3 для общедоступных сетей также защищает пользователей Wi-Fi от уязвимости, которую они, возможно, не осознают, существует в первую очередь. Фактически, если что-то может заставить пользователей Wi-Fi чувствовать себя слишком защищенным.

,

WEP против WPA против WPA2

Автор: Редакция | Обновлено: март 2, 2018 г.

Поскольку беспроводные сети или Wi-Fi становятся нормой в большинстве домов, они стали мишенью для многих хакеров и регистраторов ключей из-за плохой безопасности сети. Вот почему были созданы WEP, WPA и WPA2. Так что они делают и в чем их отличия?

Сводная таблица

WEP WPA WPA2
Использует RC4 (шифрование) Использует RC4 с TKIP Использует скорость AES и CCMP
Уменьшает скорость (30% +) Пониженная скорость передачи данных (30% +) Немного сниженная скорость передачи данных
Наименее защищенный Менее безопасный Более безопасный
Появился в 1997 году Появился в 2003 году Появился в 2004 году

Определения

basic WEP encryption Базовое шифрование WEP: шифрование с использованием ключевого потока RC4 обычным текстом

WEP

Также известное как Wired Equivalent Privacy, WEP было частью первоначального стандарта 802.11 (Стандарт беспроводной локальной сети) 1997 года. Это алгоритм безопасности, предназначенный для обеспечения конфиденциальности данных, аналогичной проводной локальной сети, отсюда и ее название. WEP использует RC4 (Rivest Cipher 4), алгоритм потокового шифра, предназначенный для шифрования данных. Это была наиболее часто используемая мера безопасности за один раз, и это выбор безопасности по умолчанию, представленный большинством маршрутизаторов в их конфигурациях. WEP даже был утвержден в качестве стандарта безопасности Wi-Fi в 1999 году. Однако в 2004 году WEP был окончательно устарел из-за многочисленных недостатков безопасности.Это включает ограничение только 64-битного шифрования (снятого) и легко взламываемых паролей.

WPA

Также известный как защищенный доступ Wi-Fi, WPA — это программа защиты протоколов и сертификации безопасности, которая должна ответить на основные недостатки WEP, обнаруженные исследователями. Он стал доступен в 2003 году, всего за год до того, как WEP был объявлен устаревшим.

Говорят, что это ответ на основные уязвимости стандарта WEP, WPA включает в себя протокол целостности временного ключа (TKIP) для повышения стойкости шифрования от RC4, а также включает проверки целостности сообщений, чтобы определить, были ли пропущены пакеты через сеть. изменено.Несмотря на все улучшения, публичные демонстрации по-прежнему показывают, что WPA уязвима для вторжения. В то время как говорят, что он лучше, чем предыдущий протокол безопасности (WEP), WPA была лишь промежуточной мерой в ожидании более безопасной и более сложной безопасности беспроводной сети, WPA2.

WPA2

Также известный как Wi-Fi Protected Access 2, WPA2 также является протоколом безопасности и был заменой WPA. Сертификация началась в сентябре 2004 года. В отличие от WEP и WPA, были реализованы алгоритмы AES (Advanced Encryption Standard).Помимо этого, в качестве замены TKIP был также введен CCMP (режим счетного шифра с протоколом кода аутентификации сообщений с цепочкой блоков) (все еще доступный в WPA2 в качестве запасного варианта).

Благодаря этим значительным изменениям кибератаки легче отразить, поскольку злоумышленникам необходимо находиться внутри сети Wi-Fi, чтобы получить доступ к другим устройствам в сети. Это означает, что это настолько безопасно, насколько это возможно, особенно для домашних сетей.

Как и в WPA, к сожалению, уязвимость WPA2 заключается в настройке Wi-Fi Protected Setup (WPS).Хотя злоумышленнику требуется как минимум 2–14 часов, чтобы проникнуть в вашу сетевую систему, не говоря уже о тяжелой работе, проделанной в ней, по-прежнему существует серьезная проблема безопасности. Одним из способов борьбы с этой уязвимостью будет отключение вашего WPS.

WEP против WPA против WPA2

Чтобы полностью понять различия между WEP, WPA и WPA2, необходимо знать, как работает сетевая безопасность. Он начинается, когда вы отправляете или получаете данные с одного конца на другой через Wi-Fi. Передаваемые данные будут преобразованы в радиосигнал.Вы должны понимать, что эти сигналы можно легко перехватить с помощью обычных гаджетов, и если данные не зашифрованы, их может прочитать любой, кто прослушивает вашу сеть. Здесь вступают WEP, WPA и WPA2. Они шифруют ваши данные, чтобы скрыть их или защитить от перехвата.

Теперь, начиная с уровня безопасности каждого, нет сомнений, что WPA2 является наиболее безопасным. Несмотря на способность WEP шифровать данные, первые символы его вывода не случайны. Это означает, что если вы получите достаточно пакетов от передачи, вы можете легко обнаружить ключ WEP.WPA кажется более безопасным, но поскольку это был лишь краткосрочный обходной путь, было выявлено больше недостатков, поэтому был разработан WPA2.

В зависимости от того, какие меры безопасности вы используете, вы можете не использовать весь потенциал скорости передачи данных в вашей локальной сети. В тесте производительности, проведенном Тони Фортунато , , старшим специалистом по производительности сети, максимальная скорость передачи WEP была в четыре раза ниже, чем у WPA2-AES. Как и в случае WEP, WPA снижает вычислительную мощность сетевого устройства.Кроме того, в зависимости от вашего маршрутизатора при включении WEP или WPA производительность может снизиться на 30 и более процентов. WPA2 более безопасен, чем два других, и гораздо более эффективен с точки зрения производительности.

Итак, WPA2 — это превосходный протокол безопасности для WPA, который, в свою очередь, является превосходной защитой для WEP — не только в защите ваших данных, но и в скорости передачи данных. Однако обратите внимание: в зависимости от вашего оборудования WPA2 может также снизить производительность, если устарела.

WPA против WPA2: какую защиту WiFi следует использовать?

Беспроводные сети есть везде. Находитесь ли вы в местной кофейне, школе или дома, скорее всего, есть несколько беспроводных сетей, к которым вы можете получить доступ. Но как узнать, какие из них безопасны? Просмотр настроек безопасности сети может быть хорошим индикатором того, кому вы можете доверять. Чтобы помочь вам понять ваши варианты, мы обсудим историю протоколов безопасности и сравним WPA и WPA2.

Опции безопасности маршрутизатора

При установке WiFi у вас есть несколько вариантов безопасности маршрутизатора.Если ваш маршрутизатор остается незащищенным, кто-то может получить к нему доступ, использовать его для незаконных действий от вашего имени, отслеживать использование Интернета или даже устанавливать вредоносные программы.

Когда вы посмотрите на безопасность беспроводной сети, будет доступно несколько вариантов. Эти варианты будут включать ни один, WEP, WPA, WPA2-Personal, WPA2-Enterprise и, возможно, WPA3. В зависимости от характера вашего использования в Интернете, вам может потребоваться более или менее безопасность.

graphic showing router security

Каков наилучший метод обеспечения безопасности беспроводного интернета?

Какой метод безопасности вы выберете, будет зависеть от возможностей вашего маршрутизатора.Старые устройства не могут поддерживать более новые протоколы безопасности, такие как WPA3.

Если у вас есть возможность, вот список лучших протоколов безопасности, упорядоченных от наиболее безопасных до наименее безопасных:

  1. WPA3
  2. WPA2 Enterprise
  3. WPA2 Personal
  4. WPA + AES
  5. WPA + TKIP
  6. WEP
  7. Открытая сеть (без обеспечения безопасности)

История протоколов безопасности

Безопасность беспроводной сети со временем развивалась, чтобы стать сильнее и проще в настройке.С момента появления WiFi мы перешли с протокола WEP на протокол WPA3. Прочитайте, чтобы узнать об истории развития этих протоколов безопасности.

graphic of wep

Wired Equivalent Privacy (WEP)

Первый протокол безопасности был назван Wired Equivalent Privacy или WEP. Это был стандартный протокол с 1999 по 2004 год. Хотя эта версия создавалась для защиты, она имела плохую безопасность и была сложна в настройке.

В то время импорт криптографической технологии

был ограничен, а это означает, что все больше производителей могут использовать только 64-битное шифрование.Это очень низкий бит шифрования по сравнению с 128-битными или 256-битными вариантами, доступными сегодня. В конечном счете, WEP был заброшен для более продвинутого решения.

Системы, которые все еще используют WEP, не защищены. Если у вас есть система с WEP, ее следует обновить или заменить. При подключении к WiFi, если в учреждении есть WEP, ваша интернет-активность не будет безопасной.

graphic showing wpa

WiFi защищенный доступ (WPA)

Для улучшения функций WEP в 2003 году был создан WiFi Protected Access или WPA.Это временное улучшение все еще имеет относительно низкую безопасность, но его легче настроить. WPA использует протокол целостности временного ключа (TKIP) для более безопасного шифрования, чем предлагаемый WEP.

Поскольку Альянс WiFi сделал этот переход к более продвинутому протоколу, им пришлось сохранить некоторые из тех же элементов WEP, чтобы старые устройства по-прежнему были совместимы. К сожалению, это означает, что в обновленной версии WPA все еще присутствуют такие уязвимости, как функция защищенной настройки WiFi, которую можно относительно легко взломать.

graphic showing wpa2

WiFi защищенный доступ 2 (WPA2)

Год спустя, в 2004 году, WiFi Protected Access 2 стал доступен. WPA2 обладает более высокой безопасностью и его легче настраивать, чем предыдущие варианты. Основное отличие WPA2 заключается в том, что он использует расширенный стандарт шифрования (AES) вместо TKIP. AES может защитить сверхсекретную правительственную информацию, поэтому это хороший вариант для обеспечения безопасности персонального устройства или корпоративного Wi-Fi.

Единственная заметная уязвимость WPA2 заключается в том, что, получив доступ к сети, он может атаковать другие устройства, подключенные к сети.Это проблема, если у компании есть внутренняя угроза, например, недовольный сотрудник, который взламывает другие устройства в сети компании.

graphic showing wpa2

WiFi защищенный доступ 3 (WPA3)

По мере обнаружения уязвимостей, улучшения сделаны. В 2018 году WiFi Alliance представил WPA3. Эта новая версия будет иметь «новые функции, упрощающие безопасность WiFi, более надежную аутентификацию и повышенную криптографическую стойкость для рынков высокочувствительных данных.«WPA3 все еще внедряется, поэтому сертифицированное WPA3 оборудование не доступно большинству людей.

WPA против WPA2: чем они отличаются

WPA и WPA2 являются наиболее распространенными мерами безопасности, которые используются для защиты беспроводного Интернета. Учитывая это, мы сравнили разницу между WPA и WPA2, чтобы вы могли найти правильный вариант для вашей ситуации.

WPA WPA2
год стал доступен 2003 2004
Метод шифрования Протокол целостности временного ключа (TKIP) Расширенный стандарт шифрования (AES)
Сила безопасности Сильнее, чем WEP, предлагает базовую безопасность Сильнее, чем WPA, предлагает повышенную безопасность
Поддержка устройства Может поддерживать старое программное обеспечение Совместимо только с новым программным обеспечением
Длина пароля Требуется более короткий пароль Требуется более длинный пароль
Использование бизнеса Нет корпоративных решений Имеет вариант предприятия
Требуемая вычислительная мощность Минимально необходимо Требуется значительное количество

При сравнении WPA иWPA2, WPA2 будет лучшим вариантом, если ваше устройство может его поддерживать.

Почему кто-то выбрал WPA?

WPA имеет менее безопасный метод шифрования и требует более короткий пароль, что делает его более слабым вариантом. Корпоративного решения для WPA не существует, поскольку оно недостаточно надежно для поддержки бизнес-процессов. Однако, если у вас более старое программное обеспечение, WPA может использоваться с минимальной вычислительной мощностью и может быть для вас лучшим вариантом, чем альтернатива WEP.

Почему кто-то выбрал WPA2?

WPA2 — это обновленная версия WPA, которая использует шифрование AES и длинные пароли для создания защищенной сети.WPA2 имеет индивидуальные и корпоративные возможности, что делает его идеальным для домашних пользователей и предприятий. Однако для этого требуется значительное количество вычислительной мощности, поэтому, если у вас старое устройство, оно может работать медленно или вообще не работать.

Независимо от того, какой вариант лучше для вас, важно, чтобы вы сохраняли свое устройство в безопасности, должным образом обеспечивая безопасное соединение WiFi. Если ваш маршрутизатор не поддерживает наиболее безопасный метод шифрования, рассмотрите возможность использования VPN для шифрования ваших поисков. Бесплатный VPN-сервис Panda Security поможет вам безопасно и конфиденциально путешествовать по сети из любой точки мира.

Источники:

Lifewire | Справочная служба Geek

,

Добавить комментарий

Ваш адрес email не будет опубликован.