Какой Выбрать Тип Шифрования WiFi Сети — WEP, WPA2, WPA3 PSK
Сегодня мы чуть глубже копнем тему защиты беспроводного соединения. Разберемся, что такое тип шифрования WiFi — его еще называют «аутентификацией» — и какой лучше выбрать. Наверняка при настройке роутера вам попадались на глаза такие аббревиатуры, как WEP, WPA, WPA2, WPA2/PSK, WPA3-PSK. А также их некоторые разновидности — Personal или Enterprice и TKIP или AES. Что ж, давайте более подробно изучим их все и разберемся, какой тип шифрования выбрать для обеспечения максимальной безопасности WiFi сети без потери скорости.
Для чего нужно шифровать WiFi?
Отмечу, что защищать свой WiFi паролем нужно обязательно, не важно, какой тип шифрования вы при этом выберете. Даже самая простая аутентификация позволит избежать в будущем довольно серьезных проблем.
Почему я так говорю? Тут даже дело не в том, что подключение множества левых клиентов будет тормозить вашу сеть — это только цветочки. Главная причина в том, что если ваша сеть незапаролена, то к ней может присосаться злоумышленник, который из-под вашего роутера будет производить противоправные действия, а потом за его действия придется отвечать вам, так что отнеситесь к защите wifi со всей серьезностью.
Шифрование WiFi данных и типы аутентификации
Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:
Что такое WEP защита wifi?
WEP (Wired Equivalent Privacy) — это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.
Что такое ключ WPA или пароль?
WPA (Wi-Fi Protected Access) — более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.
Что такое WPA2-PSK — Personal или Enterprise?
WPA2 — усовершенствованный вариант предыдущего типа. Взлом WPA2 практически невозможен, он обеспечивает максимальную степень безопасности, поэтому в своих статьях я всегда без объяснений говорю о том, что нужно устанавливать именно его — теперь вы знаете, почему.
У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:
- Personal, обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев — и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
- Enterprise — более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу DHCP сервера, то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.
Что такое WPA3-PSK?
Стандарт шифрования WPA3-PSK появился совсем недавно и пришел на смену WPA2. И хоть последний отличается очень высокой степенью надежности, WPA3 вообще не подвержен взлому. Все современные устройства уже имеют поддержку данного типа — роутеры, точки доступа, wifi адаптеры и другие.
Типы шифрования WPA — TKIP или AES?
Итак, мы определились, что оптимальным выбором для обеспечения безопасности сети будет WPA2/PSK (Personal), однако у него есть еще два типа шифрования данных для аутентификации.
- TKIP — сегодня это уже устаревший тип, однако он все еще широко употребляется, поскольку многие девайсы энное количество лет выпуска поддерживают только его. Не работает с технологией WPA2/PSK и не поддерживает WiFi стандарта 802.11n.
- AES — последний на данный момент и самый надежный тип шифрования WiFi.
Какой выбрать тип шифрования и поставить ключ WPA на WiFi роутере?
С теорией разобрались — переходим к практике. Поскольку стандартами WiFi 802.11 «B» и «G», у которых максимальная скорость до 54 мбит/с, уже давно никто не пользуется — сегодня нормой является 802.11 «N» или «AC», которые поддерживают скорость до 300 мбит/с и выше, то рассматривать вариант использования защиты WPA/PSK с типом шифрования TKIP нет смысла. Поэтому когда вы настраиваете беспроводную сеть, то выставляйте по умолчанию
WPA2/PSK — AES
Либо, на крайний случай, в качестве типа шифрования указывайте «Авто», чтобы предусмотреть все-таки подключение устройств с устаревшим WiFi модулем.
При этом ключ WPA, или попросту говоря, пароль для подключения к сети, должен иметь от 8 до 32 символов, включая английские строчные и заглавные буквы, а также различные спецсимволы.
Показать результатыПроголосовало: 18649
Защита беспроводного режима на маршрутизаторе TP-Link
На приведенных выше скринах показана панель управления современным роутером TP-Link в новой версии прошивки. Настройка шифрования сети здесь находится в разделе «Дополнительные настройки — Беспроводной режим».
В старой «зеленой» версии интересующие нас конфигурации WiFi сети расположены в меню «Беспроводной режим — Защита». Сделаете все, как на изображении — будет супер!
Если заметили, здесь еще есть такой пункт, как «Период обновления группового ключа WPA». Дело в том, что для обеспечения большей защиты реальный цифровой ключ WPA для шифрования подключения динамически меняется. Здесь задается значение в секундах, после которого происходит смена. Я рекомендую не трогать его и оставлять по умолчанию — в разных моделях интервал обновления отличается.
Метод проверки подлинности на роутере ASUS
На маршрутизаторах ASUS все параметры WiFi расположены на одной странице «Беспроводная сеть»
Защита сети через руотер Zyxel Keenetic
Аналогично и у Zyxel Keenetic — раздел «Сеть WiFi — Точка доступа»
В роутерах Keenetic без приставки «Zyxel» смена типа шифрования производится в разделе «Домашняя сеть».
Настройка безопасности роутера D-Link
На D-Link ищем раздел «Wi-Fi — Безопасность»
Что ж, сегодня мы разобрались типами шифрования WiFi и с такими терминами, как WEP, WPA, WPA2-PSK, TKIP и AES и узнали, какой из них лучше выбрать. О других возможностях обеспечения безопасности сети читайте также в одной из прошлых статей, в которых я рассказываю о фильтрации контента на роутере по MAC и IP адресам и других способах защиты.
Видео по настройке типа шифрования на маршрутизаторе
Спасибо!Не помоглоЦены в интернете
Александр
Выпускник образовательного центра при МГТУ им. Баумана по специальностям «Сетевые операционные системы Wi-Fi», «Техническое обслуживание компьютеров», «IP-видеонаблюдение». Автор видеокурса «Все секреты Wi-Fi»
Задать вопрос
Тип безопасности и шифрования беспроводной сети. Какой выбрать?
Чтобы защитить свою Wi-Fi сеть и установить пароль, необходимо обязательно выбрать тип безопасности беспроводной сети и метод шифрования. И на данном этапе у многих возникает вопрос: а какой выбрать? WEP, WPA, или WPA2? Personal или Enterprise? AES, или TKIP? Какие настройки безопасности лучше всего защитят Wi-Fi сеть? На все эти вопросы я постараюсь ответить в рамках этой статьи. Рассмотрим все возможные методы аутентификации и шифрования. Выясним, какие параметры безопасности Wi-Fi сети лучше установить в настройках маршрутизатора.
Обратите внимание, что тип безопасности, или аутентификации, сетевая аутентификация, защита, метод проверки подлинности – это все одно и то же.
Тип аутентификации и шифрование – это основные настройки защиты беспроводной Wi-Fi сети. Думаю, для начала нужно разобраться, какие они бывают, какие есть версии, их возможности и т. д. После чего уже выясним, какой тип защиты и шифрования выбрать. Покажу на примере нескольких популярных роутеров.
Я настоятельно рекомендую настраивать пароль и защищать свою беспроводную сеть. Устанавливать максимальный уровень защиты. Если вы оставите сеть открытой, без защиты, то к ней смогут подключится все кто угодно. Это в первую очередь небезопасно. А так же лишняя нагрузка на ваш маршрутизатор, падение скорости соединения и всевозможные проблемы с подключением разных устройств.
Защита Wi-Fi сети: WEP, WPA, WPA2
Есть три варианта защиты. Разумеется, не считая «Open» (Нет защиты).
- WEP (Wired Equivalent Privacy) – устаревший и небезопасный метод проверки подлинности. Это первый и не очень удачный метод защиты. Злоумышленники без проблем получают доступ к беспроводным сетям, которые защищены с помощью WEP. Не нужно устанавливать этот режим в настройках своего роутера, хоть он там и присутствует (не всегда).
- WPA (Wi-Fi Protected Access) – надежный и современный тип безопасности. Максимальная совместимость со всеми устройствами и операционными системами.
- WPA2 – новая, доработанная и более надежная версия WPA. Есть поддержка шифрования AES CCMP. На данный момент, это лучший способ защиты Wi-Fi сети. Именно его я рекомендую использовать.
WPA/WPA2 может быть двух видов:
- WPA/WPA2 — Personal (PSK) – это обычный способ аутентификации. Когда нужно задать только пароль (ключ) и потом использовать его для подключения к Wi-Fi сети. Используется один пароль для всех устройств. Сам пароль хранится на устройствах. Где его при необходимости можно посмотреть, или сменить. Рекомендуется использовать именно этот вариант.
- WPA/WPA2 — Enterprise – более сложный метод, который используется в основном для защиты беспроводных сетей в офисах и разных заведениях. Позволяет обеспечить более высокий уровень защиты. Используется только в том случае, когда для авторизации устройств установлен RADIUS-сервер (который выдает пароли).
Думаю, со способом аутентификации мы разобрались. Лучшие всего использовать WPA2 — Personal (PSK). Для лучшей совместимости, чтобы не было проблем с подключением старых устройств, можно установить смешанный режим WPA/WPA2. На многих маршрутизаторах этот способ установлен по умолчанию. Или помечен как «Рекомендуется».
Шифрование беспроводной сети
Есть два способа TKIP и AES.
Рекомендуется использовать AES. Если у вас в сети есть старые устройства, которые не поддерживают шифрование AES (а только TKIP) и будут проблемы с их подключением к беспроводной сети, то установите «Авто». Тип шифрования TKIP не поддерживается в режиме 802.11n.
В любом случае, если вы устанавливаете строго WPA2 — Personal (рекомендуется), то будет доступно только шифрование по AES.
Какую защиту ставить на Wi-Fi роутере?
Используйте WPA2 — Personal с шифрованием AES. На сегодняшний день, это лучший и самый безопасный способ. Вот так настройки защиты беспроводной сети выглядит на маршрутизаторах ASUS:
Подробнее в статье: как установить пароль на Wi-Fi роутере Asus.
А вот так эти настройки безопасности выглядят на роутерах от TP-Link (со старой прошивкой).
Более подробную инструкцию для TP-Link можете посмотреть здесь.
Инструкции для других маршрутизаторов:
Если вы не знаете где найти все эти настройки на своем маршрутизаторе, то напишите в комментариях, постараюсь подсказать. Только не забудьте указать модель.
Так как WPA2 — Personal (AES) старые устройства (Wi-Fi адаптеры, телефоны, планшеты и т. д.) могут не поддерживать, то в случае проблем с подключением устанавливайте смешанный режим (Авто).
Не редко замечаю, что после смены пароля, или других параметров защиты, устройства не хотят подключаться к сети. На компьютерах может быть ошибка «Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети». Попробуйте удалить (забыть) сеть на устройстве и подключится заново. Как это сделать на Windows 7, я писал здесь. А в Windows 10 нужно забыть сеть.
Пароль (ключ) WPA PSK
Какой бы тип безопасности и метод шифрования вы не выбрали, необходимо установить пароль. Он же ключ WPA, Wireless Password, ключ безопасности сети Wi-Fi и т. д.
Длина пароля от 8 до 32 символов. Можно использовать буквы латинского алфавита и цифры. Так же специальные знаки: — @ $ # ! и т. д. Без пробелов! Пароль чувствительный к регистру! Это значит, что «z» и «Z» это разные символы.
Не советую ставить простые пароли. Лучше создать надежный пароль, который точно никто не сможет подобрать, даже если хорошо постарается.
Вряд ли получится запомнить такой сложный пароль. Хорошо бы его где-то записать. Не редко пароль от Wi-Fi просто забывают. Что делать в таких ситуациях, я писал в статье: как узнать свой пароль от Wi-Fi.
Так же не забудьте установить хороший пароль, который будет защищать веб-интерфейс вашего маршрутизатора. Как это сделать, я писал здесь: как на роутере поменять пароль с admin на другой.
Если вам нужно еще больше защиты, то можно использовать привязку по MAC-адресу. Правда, не вижу в этом необходимости. WPA2 — Personal в паре с AES и сложным паролем – вполне достаточно.
А как вы защищаете свою Wi-Fi сеть? Напишите в комментариях. Ну и вопросы задавайте 🙂
WPA и WPA2 PSK – что это такое, какой ключ шифрования лучше
Сегодня распространение сетей беспроводного доступа стало таким обширным, особенно в мегаполисах, что мы уже не представляем себе погружение в интернет без них. WI-FI есть в каждой доме, офисе и местах общего посещения. Но для того, чтобы входить в сеть и хранить там свои данные безопасно, необходимо использовать защитные технологии. Их можно найти и применить в параметрах подключения. Давайте в данной статье разберемся – какие настройки и для чего нам нужны.
Варианты защиты
Смотрите также видео с инструкциями по настройке безопасности сети WI-FI:
Чтобы быть уверенным в безопасности нашего WI-FI, нужно придумать логин и пароль и определиться с технологией защиты. Из вариантов нам предлагаются WEP, WPA и WPA2.
Одной из первых безопасных технологий была WEP. Она проверяла ключ на целостность при каждом соединении по Wi-Fi и была стандартом IEEE802.11i. Сейчас эта технология считается устаревшей и недостаточно безопасной.
WPA
Защита WPA выполняет проверку ключа доступа при использовании протокола 802.1Х, таким образом, перебирая все варианты. Это более надежный и современный тип защиты. Полное название – Wi-Fi Protected Access – защищенный доступ Wi-Fi.
Делится на пару видов:
- WPA-Personal (Personal Key) или сокращенно WPA PSK.
- WPA-Enterprise.
И наконец, что такое WPA2 PSK? Спросите, какая разница, чем отличается этот вариант от WPA? Она поддерживает шифрование и считается лучшим способом для защиты сетей беспроводного доступа. Еще отличие в том, что это самая современная, свежая версия.
Давайте подробнее остановимся на видах WPA2:
- WPA2 PSK или персональный (Personal) ключ – это вариант аутентификации. Нам просто нужно придумать пароль, который будет ключом, и пользоваться им во время входа в сеть WI-Fi. Этот пароль будет одним для всех подключаемых девайсов и будет храниться в настройках роутера.
- WPA2 Enterprise – усложненный способ аутентификации, подойдет для использования на работе. Он имеет повышенный уровень защиты и использует сервер для выдачи паролей.
Часто по умолчанию в настройках роутера через компьютер можно увидеть общий режим WPA/WPA2. Он используется для избежания проблем с подключением устаревших моделей телефонов и планшетов пользователей.
Шифрование беспроводной сети
Коротко рассмотрим и алгоритмы шифрования. Их два вида – TKIP и AES. Первый алгоритм поддерживают только устаревшие устройства, поэтому при настройке доступа лучше установить режим «Авто». Если мы выбрали режим WPA2 Personal, то по умолчанию будет предложено только шифрование по AES.
WPA2 Enterprise
Пара слов о данном виде WPA Enterprise. Для использования необходимо иметь в нашей сети RADIUS-сервер. Для любого девайса выдается свой ключ шифрования, который уникален и создается прямо во время аутентификации на сервере.
Как же тогда подключается устройство к сети Wi-Fi? Сначала происходит обмен данными. Затем информация доходит до RADIUS-сервера, где выполняется аутентификация устройства: RADIUS-сервер смотрит, есть ли в его базе такое устройство, проверяет вводимые данные login и password, затем дает разрешение на подключение или запрещает соединение. После положительной проверки беспроводная точка открывает доступ в сеть нашему устройству.
Пароль для сети
После того, как мы выбрали режимы безопасности, нам необходимо задуматься о пароле. Каким он должен быть?
Определимся с величиной – 8-32 символа. Используется только латиница, цифры и специальные символы. Обязательным условием является недопустимость пробелов. Пароль реагирует на регистр. Лучше придумать надежный и легко запоминающийся пароль, чтобы его никто не мог взломать.
Теперь вы с уверенностью можете сказать, какой способ проверки подлинности Wi-Fi лучше. Чтобы к вам не мог подключиться любой нежелательный пользователь, нужно защитить свою сеть.
Если статья была полезной, ставьте звездочки! Задавайте вопросы и делитесь опытом по теме! Всем спасибо и до новых встреч на WiFi Гид!
Новые механизмы защиты беспроводной сети WPA3 и OWE – Keenetic
Начиная с версии операционной системы KeeneticOS 3.1 в интернет-центрах Keenetic была добавлена поддержка новых алгоритмов безопасности WPA3-PSK, OWE, WPA/WPA2/WPA3-Enterprise и WPA3-192 Enterprise для беспроводной сети Wi-Fi.
Данная возможность реализована для всех новых моделей Keenetic c индексом KN-xxxx и моделей предыдущего поколения ZyXEL Keenetic Air, Extra II, Giga III, Ultra II.
Настройка WPA3-192 Enterprise (Suite B) возможна только для Giga, Ultra, Viva. Также для этих моделей была добавлена возможность использования протоколов WPA3-PSK и OWE для подключений Wireless ISP.
WPA3-PSK (Wi-Fi Protected Access) — алгоритм безопасности, обеспечивающий защиту данных в беспроводных сетях Wi-Fi. Относится к режиму WPA3-Personal, который входит в состав третьей версии набора протоколов WPA3. Разработан WPA3 организацией Wi-Fi Alliance и объявлен о выпуске в 2018 году. Новый протокол пришел на смену WPA2, представленного ещё в 2004 году. Основная идея внедрения нового протокола WPA3 — устранение концептуальных недоработок протокола WPA2, и в частности, защита от атак с переустановкой ключа (Key Reinstallation Attacks, KRACK). Протокол WPA3 обладает более высоким уровнем безопасности, в сравнении с WPA2.
WPA3 предусматривает два режима работы WPA3-Personal и WPA3-Enterprise.
WPA3-Personal (WPA3-PSK) обеспечивает 128-битное шифрование данных, а WPA3-Enterprise (Suite B) 192-битное.
OWE (Opportunistic Wireless Encryption) — метод шифрования для усиления защиты и конфиденциальности пользователей при подключении к открытым (публичным) сетям Wi-Fi.
TIP: Дополнительную информацию о механизмах защиты WPA3 и OWE вы найдете в разделе «Примечание» в конце статьи.
Для удобства и совместимости с текущими мобильными устройствами также предусмотрен смешанный режим WPA2/WPA3. Новые протоколы защиты работают не только на отдельных интернет-центрах, но и в рамках Wi-Fi-системы с бесшовным роумингом.
TIP: Совет: В версиях KeeneticOS до 3.4.3 для лучшей совместимости при включенном роуминге рекомендуем использовать протокол защиты сети WPA2. В противном случае в режиме WPA2+WPA3 устройства могут предпочитать WPA3 и при этом лишаться бесшовных переходов. Поддержка FT (Fast Transition) в режиме WPA3 реализована начиная с версии 3.4.3.
Настройка WPA3-PSK и OWE доступна в веб-конфигураторе Кинетика на странице «Домашняя сеть» в настройках беспроводной сети Wi-Fi.
NOTE: Важно! Для использования новых механизмов защиты сети WPA3-PSK и OWE, подключаемое устройство должно иметь поддержку данных алгоритмов в драйвере своего радиомодуля.
При использовании смешанного типа шифрования «WPA2+WPA3» с некоторыми мобильными устройствами может наблюдаться снижение скорости. Дополнительную информацию вы найдете в статье «С чем может быть связано снижение скорости в режиме WPA2+WPA3?»
Смешанный режим WPA2+WPA3 включайте только в том случае, когда есть уверенность, что все устройства домашней сети нормально работают в этом режиме.
Ниже представлены примеры подключения на смартфоне Oneplus 6 с ОС Android 9.
Защита сети WPA3-PSK (SAE):
Защита сети OWE:
Для того чтобы воспользоваться протоколами WPA Enterprise нужно установить одноименный компонент системы «WPA Enterprise». Сделать это можно на странице «Общие настройки» в разделе «Обновления и компоненты», нажав на «Изменить набор компонентов».
После этого в параметрах беспроводной сети Wi-Fi появится возможность настройки протоколов WPA Enterprise.
TIP: Примечание
WPA3 предусматривает два режима работы WPA3-Personal и WPA3-Enterprise.
WPA3-Personal. Самое важное изменение в протоколе WPA3, это использование нового метода одновременной равноправной аутентификации SAE (Simultaneous Authentication of Equals), предоставляющего дополнительную защиту от брутфорс-атак. SAE должен заменить простой метод обмена общими ключами PSK (Pre-Shared Key), используемый в WPA2. Задача SAE максимально защитить процесс установки соединения от хакерских атак. SAE работает на основании предположения о равноправности устройств. Любая из сторон может отправить запрос на соединение, и потом они начинают независимо отправлять удостоверяющую их информацию, вместо простого обмена сообщениями по очереди, как в случае с методом обмена ключами PSK. В SAE применяется специальный вариант установления связи (dragonfly handshake), использующий криптографию для предотвращения угадывания пароля злоумышленником.
Подробно метод аутентификации SAE описан в стандарте IEEE 802.11-2016.
WPA3-Enterprise. Данный режим работы предназначен для использования в учреждениях, в которых предъявляются самые высокие требования к безопасности и конфиденциальности информации. WPA3-Enterprise (Suite B) обеспечивает 192-битное шифрование данных.
OWE (Opportunistic Wireless Encryption) является расширением стандарта IEEE 802.11, схожим с SAE. OWE обеспечивает безопасность данных, передаваемых по незащищенной сети, за счет их шифрования. При этом, от пользователей не требуется каких-то дополнительных действий и ввода паролей для подключения к сети.
Многие атаки, происходящие в открытой сети, относятся к пассивным. Когда к сети подключается много клиентов, злоумышленник может собрать очень много данных, просто фильтруя проходящую мимо информацию.
OWE использует оппортунистическое шифрование, определенное в стандарте RFC 8110, чтобы защищаться от пассивного подслушивания. Оно также предотвращает атаки с инъекцией пакетов, когда злоумышленник пытается нарушить работу сети, создавая и передавая особые пакеты данных, выглядящие, как часть нормальной работы сети.
Безопасность беспроводной сети: WPA/WPA2 (рекомендовано) | Answer
В этой статье описывается процесс настройки режима безопасности WPA/WPA2 на беспроводных маршрутизаторах NETGEAR. Подобным образом можно настроить точки доступа NETGEAR.
Настройка WPA/WPA2:
- Подключите компьютер к одному из четырех портов LAN маршрутизатора NETGEAR с помощью кабеля Ethernet.
- Log in to your NETGEAR router by browsing to
http://192.168.1.1 or http://192.168.0.1 or http://www.routerlogin.net or http://www.routerlogin.com.Note: The URL changes by the product model. You can sometimes find the login URL and default login information on a sticker on the bottom or back of the router.
Enter the username (admin) and password. By default, the password is password or 1234 (for older router models) unless it was previously changed.Шаги 3-7 см. на рис. A-1/A-2 ниже.
- Выберите Настройки беспроводного соединения из меню «Настройки» в панели навигации слева.
Примечание. На некоторых маршрутизаторах этот пункт может называться Беспроводные соединения. - В разделе Беспроводная сеть введите имя сети в поле Имя (SSID).
- В разделе Параметры безопасности выберите WPA-PSK [TKIP] + WPA2-PSK [AES].
- В разделе Параметры безопасности (WPA-PSK + WPA2-PSK) введите сетевой пароль в поле Фраза-пароль.
- ЗАПИШИТЕ или ЗАПОМНИТЕ сетевое имя, параметры безопасности и фразу-пароль — они понадобятся вам для беспроводного подключения компьютеров и устройств к вашей сети.
- Нажмите Применить для сохранения изменений.
Примечание.
- Для настройки двухполосных беспроводных маршрутизаторов может понадобиться отдельная настройка параметров диапазонов 2,4 ГГц (b/g/n) и 5 ГГц (a/n).
- После настройки параметров безопасности сети вы можете обеспечить дополнительную защиту доступа к набору устройств при помощи списка доступа адаптеров беспроводной связи (также известного как ). Если устройство не добавлено в список контроля доступа, оно не сможет подключиться к вашей сети.
Рис. A-1. Экран настроек беспроводного соединения на новых маршрутизаторах
Рис. A-2. Экран настроек беспроводного соединения на некоторых старых маршрутизаторах
Обновлено:11/28/2016 | Article ID: 22292
Расшифровка WPA2-PSK трафика с использованием wireshark.
В этой статье мы расмотрим расшифровка WPA2-PSK трафика с использованием wireshark. Это будет полезно при изучении различный протоколов шифрования которые используются в беспроводных сетях. Ниже представлена топология иследуемой сети.
До того как мы начнем захват пакетов мы должны знать канал на котором работает наша точка доступа. Так как моя точка доступа WLC 4400, я могу получить эту информацию из панели управления. В противном случае вы можете использовать приложение InSSIDer и увидеть какой канал использует ваша точка доступа и ее SSID. Я использую 5GHz & поэтому привожу 802.11a итоговую информацию ниже (Если вы хотите аналзировать 2.4GHz, тогда вы должны использовать команды для протокола 802.11b)
(4402-3) >show ap config 802.11a summary AP Name SubBand RadioMAC Status Channel PwLvl SlotId -------------------- ------- ------------------ -------- ------- ------ ------ LAP1 - 64:a0:e7:af:47:40 ENABLED 36 1 1
Дальше нам остается просто захватить пакеты в нашей беспроводной сети на канале CH 36 так как моя точка доступа работает именно на нем. Я использую BackTrack с USB адаптером чтобы произвести зхват пакетов, ниже на видео вы увидите подробности.
Это достаточно просто, Вам всего лишь нужно изменить несколько строчек кода в конфигурации USB адаптера и включить monitor interface для wireshark.
root@bt:~# ifconfig eth0 Link encap:Ethernet HWaddr 00:21:9b:62:d0:4a UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Interrupt:21 Memory:fe9e0000-fea00000 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:66 errors:0 dropped:0 overruns:0 frame:0 TX packets:66 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:4665 (4.6 KB) TX bytes:4665 (4.6 KB) root@bt:~# ifconfig wlan2 up root@bt:~# ifconfig eth0 Link encap:Ethernet HWaddr 00:21:9b:62:d0:4a UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Interrupt:21 Memory:fe9e0000-fea00000 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:66 errors:0 dropped:0 overruns:0 frame:0 TX packets:66 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:4665 (4.6 KB) TX bytes:4665 (4.6 KB) wlan2 Link encap:Ethernet HWaddr 00:20:a6:ca:6b:b4 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) root@bt:~# iwconfig wlan2 channel 36 root@bt:~# iwconfig wlan2 IEEE 802.11abgn ESSID:off/any Mode:Managed Frequency:5.18 GHz Access Point: Not-Associated Tx-Power=20 dBm Retry long limit:7 RTS thr:off Fragment thr:off Encryption key:off Power Management:off lo no wireless extensions. eth0 no wireless extensions. root@bt:~# airmon-ng start wlan2 Found 1 processes that could cause trouble. If airodump-ng, aireplay-ng or airtun-ng stops working after a short period of time, you may want to kill (some of) them! PID Name 1158 dhclient3 Interface Chipset Driver wlan2 Atheros AR9170 carl9170 - [phy2] (monitor mode enabled on mon0)
После того как вы проделали вышеописаные операции вы можете открыть wireshark приложение и выбрать интерфейс “mon0” для захвата пакетов.
[ad name=»Responbl»]
Здесь можете найти архив пакетов которые собрал мой адаптер (WPA2-PSK-Final) Вы можете открыть файл с помощью wireshark и проверить его сами. Если вы проанализируете этот файл вы можете увидеть “4-way handshake (EAPOL-Messages 1 to 4)” сообщения были отправлены после того как Open Authentication фаза была завершена (Auth Request, Auth Response, Association Request, Association Response). После того как 4 way handshake завершена, оба клиент и точка доступа начинают использовать зашифрованую передачу пакетов. С этого момента вся информация которая передается в вашей беспроводной сети зашифрована с использованием алгоритмов CCMP/AES.
Как вы можете видеть на рисунке ниже — все дата-фреймы зашифрованы и вы не можете видеть трафик открытом виде. Я взял для примера фрейм номер 103.
До того как мы перейдем к расшифровке этих фреймов, очень важно понять что вы имеете правильно захваченый “4-way handshake messages” в вашем снифере который мы будем расшифровывать используя wireshark. Если вы не смогли захватить M1-M4 сообщение успешно, wireshark не сможет получить все ключи для расшифровки наших данных. Ниже я привожу пример где фреймы не были захвачены корректно в процессе «4-way handshake» (Это произошло когда я использовал тот же USB adapter с Fluke WiFi Analyzer)
Далее идем в “Edit -> Preferences -> Protocol -> IEEE 802.11” сдесь необходимо выбрать “Enable Decryption”. Затем нажимаем на “Decryption Keys” раздел и добавляем ваш PSK кликом на “New“. Вы должны выбрать тип ключа “wpa-pwd” после чего добавляем ваш PSK в виде текста.
Если вы ввели 256bit encrypted key тогда вы должны выбрать Key-type — “wpa-psk“. Если вы хотите получить 256bit key (PSK) с вашей passphrase, вы можете использовать эту страницу. Сдесь используется следующая формула для выполнения преобразования:
PSK=PBKDF2(PassPhrase, SSID,SSIDLength,4096,256)
Это 256bit PSK который был введен выше:
Я использовал простой текстовый пароль который вы видите ниже. Вы можете также использовать простой пароль (без имени вашей SSID). В случае с wireshark всегда пытается использовать последний SSID, это всегда хорошая практика — использовать <password:SSID>.
В моей конфигурации я использовал PSK “Cisco123Cisco123” в моей спецификации SSID как “TEST1“. В этом документе вы найдете больше деталей относительно этих установок.
После этого нажимаем “Apply”
Как вы видите внизу, сейчас вы можете видеть трафик внутри дата-фреймов. Здесь изображен тот же фрейм (103) который вы видели раньше в зашифрованом формате, но сейчас wireshark способен его расшифровать.
Сейчас если мы посмотрим дальше мы можем видеть клиент который получает IP адерс по DHCP (DORA–Discover, Offer, Request, ACK) затем регистрируем CME (SKINNYprotocol) затем устанавливает голосовой вызов (RTP). Сейчас мы можем проанализировать эти пакеты детально
Этот трюк может быть полезным для вас, когда вы анализируете безопасность ваших PSK сетей.
[ad name=»Responbl»]
Click to rate this post!
[Total: 17 Average: 3]какой протокол безопасности WiFi вы должны использовать?
Беспроводные сети есть везде. Если вы находитесь в кафе, школе или дома, то, скорее всего, есть несколько беспроводных сетей, к которым вы можете получить доступ. Но как узнать, какие из них безопасны? Проверьте их параметры безопасности – они могут быть хорошим индикатором того, каким из этих сетей вы можете доверять. Чтобы помочь вам в этом вопросе, мы обсудим историю протоколов безопасности WPA и WPA2 и сравним их между собой.
Параметры безопасности маршрутизатора (роутера)Когда вы устанавливаете Wi-Fi, у вас есть несколько вариантов безопасности роутера. Если ваш роутер останется незащищенным, то посторонние лица смогут получить к нему доступ, использовать его для незаконной деятельности от вашего имени, отслеживать использование Интернета или даже устанавливать вредоносные программы.
Когда вы настраиваете безопасность беспроводной сети, вам будет доступно несколько вариантов: например, none, WEP, WPA, WPA2-Personal, WPA2-Enterprise и, возможно, WPA3. В зависимости от того, каким образом вы планируете пользоваться Интернетом, вам может потребоваться более или менее надежная защита.
Какой способ защиты вы выберете, будет зависеть от возможностей вашего роутера. Старые устройства не могут поддерживать новые протоколы безопасности, такие как WPA3.
Ниже мы приводим список протоколов безопасности, ранжированных по степени безопасности (вверху – наиболее безопасные):
1. WPA3
2. WPA2 Enterprise
3. WPA2 Personal
4. WPA + AES
5. WPA + TKIP
6. WEP
7. Open Network (no security implemented)
История протоколов безопасностиБезопасность беспроводной сети менялась с течением времени, чтобы стать более надежной, но при этом и более простой с точки зрения ее настройки. С момента появления Wi-Fi мы прошли путь от протокола WEP к протоколу WPA3. Давайте вспомним историю развития этих протоколов безопасности.
Wired Equivalent Privacy (WEP)
Первый протокол безопасности был назван Wired Equivalent Privacy или WEP. Этот протокол оставался стандартом безопасности с 1999 по 2004 год. Хотя эта версия протокола была создана для защиты, тем не менее, она имела достаточно посредственный уровень безопасности и была сложна в настройке.
В то время импорт криптографических технологий был ограничен, а это означало, что многие производители могли использовать только 64-битное шифрование. Это очень низкое битовое шифрование по сравнению с 128-битными или 256-битными опциями, доступными сегодня. В конечном счете, протокол WEP не стали развивать дальше.
Системы, которые все еще используют WEP, не являются безопасными. Если у вас есть система с WEP, ее следует обновить или заменить. При подключении к Wi-Fi, если в заведении используется протокол WEP, то ваша Интернет-активность не будет безопасной.
Для улучшения функций WEP в 2003 году был создан протокол Wi-Fi Protected Access или WPA. Этот улучшенный протокол по-прежнему имел относительно низкую безопасность, но его легче было настроить. WPA, в отличие от WEP, использует протокол Temporary Key Integrity Protocol (TKIP) для более безопасного шифрования.
Поскольку Wi-Fi Alliance сделал переход с WEP на более продвинутый протокол WPA, они должны были сохранить некоторые элементы WEP, чтобы старые устройства все еще были совместимы. К сожалению, это означает, что такие уязвимости как функция настройки WiFi Protected, которую можно взломать относительно легко, все еще присутствуют в обновленной версии WPA.
Годом позже, в 2004 году, стала доступна новая версия протокола Wi-Fi Protected Access 2. WPA2 обладает более высоким уровнем безопасности, а также он проще настраивается по сравнению с предыдущими версиями. Основное отличие в WPA2 заключается в том, что он использует улучшенный стандарт шифрования Advanced Encryption Standard (AES) вместо TKIP. AES способен защищать сверхсекретную правительственную информацию, поэтому это хороший вариант для обеспечения безопасности WiFi дома или в компании.
Единственная заметная уязвимость WPA2 заключается в том, что как только кто-то получает доступ к сети, он может атаковать другие устройства, подключенные к этой сети. Это может стать проблемой в том случае, если у компании есть внутренняя угроза, например, несчастный сотрудник, который способен взломать другие устройства в сети компании (или предоставить для этих целей свое устройства хакерам-профессионалам).
По мере выявления уязвимостей вносятся соответствующие изменения и улучшения. В 2018 году Wi-Fi Alliance представил новый протокол WPA3. Как ожидается, эта новая версия будет иметь «новые функции для упрощения безопасности Wi-Fi, обеспечения более надежной аутентификации и повышения криптографической устойчивости для высокочувствительных данных». Новая версия WPA3 все еще внедряется, поэтому оборудование, сертифицированное для поддержки WPA3, пока не является доступным для большинства людей.
WPA против WPA2: чем они отличаютсяПротоколы WPA и WPA2 являются наиболее распространенными мерами безопасности, которые используются для защиты беспроводного Интернета. Учитывая это, мы сравнили разницу между WPA и WPA2, чтобы вы могли подобрать правильный вариант для вашей ситуации.
WPA | WPA2 | |
Год выпуска | 2003 | 2004 |
Метод шифрования | Temporal Key Integrity Protocol (TKIP) | Advanced Encryption Standard (AES) |
Уровень безопасности | Выше, чем в WEP, предлагает базовый уровень безопасности | Выше, чем в WPA, предлагает повышенный уровень безопасности |
Поддержка устройств | Может поддерживать более старое ПО | Совместим только с более новым ПО |
Длина пароля | Допускается более короткий пароль | Требуется более длинный пароль |
Использование в компаниях | Нет версии для компаний | Есть версия для компаний |
Требуемые вычислительные мощности | Минимальные | Требуется больше мощностей |
Протокол WPA имеет менее безопасный метод шифрования и требует более короткого пароля, что делает его более слабым вариантом с точки зрения безопасности. Для WPA не существует корпоративного решения, поскольку оно не является достаточно безопасным для поддержки использования в компаниях. Однако если у вас есть более старое программное обеспечение, WPA можно использовать с минимальной вычислительной мощностью и это протокол может стать более приемлемым для Вас вариантом, чем старый протокол WEP.
Почему лучше выбирать WPA2?Протокол WPA2 — это обновленная версия WPA, которая использует шифрование AES и длинные пароли для создания защищенной сети. WPA2 имеет версии для личного и корпоративного использования, что делает его идеальным вариантом как для домашних пользователей, так и для предприятий. Однако для работы этого протокола требуется больше вычислительных мощностей, поэтому, если у вас старое устройство, тот этот протокол может работать на нем медленно или вообще не работать.
Независимо от того, какой вариант лучше всего подходит для вас, важно, чтобы вы обеспечивали безопасность своему устройству, правильно защищая свое Wi-Fi-соединение. Если ваш роутер не поддерживает самый безопасный метод шифрования, рассмотрите возможность использования VPN для шифрования вашего подключения. Бесплатный VPN от компании Panda Security может помочь вам безопасно и конфиденциально путешествовать по Интернету из любой точки мира.
Источники:
Lifewire | Help Desk Geek
Правильно ли вы используете систему безопасности WiFi? WPA, WPA2-AES, WPA2-TKIP, что все это значит? — Bellingham IT
При настройке нового беспроводного маршрутизатора у вас есть несколько различных вариантов, когда речь идет об уровне шифрования, который вы будете использовать для защиты своей сети Wi-Fi. Если вы не соблюдаете стандарты безопасности Wi-Fi, все может показаться немного другим языком. Мы быстро разберемся с этим для вас, чтобы вы были готовы сделать правильный выбор для своей сети. Wireless Encryption Когда вы говорите о защите беспроводной сети, вы на самом деле говорите о том, как беспроводная сеть шифруется.Это шифрование происходит, когда вы впервые устанавливаете соединение с беспроводной сетью, и ваше устройство и маршрутизатор выбирают тип шифрования, который они будут использовать на протяжении всего соединения. Для вас это выглядит так. Вы находитесь в новом месте и хотите узнать, есть ли у них Wi-Fi. Вы открываете опцию беспроводных сетей на своем ноутбуке, планшете или телефоне и видите несколько разных вариантов. Эти параметры представляют собой различные маршрутизаторы вокруг вас, которые транслируют, что у них есть готовая к использованию беспроводная сеть.Когда вы затем нажмете на один из этих параметров, он, скорее всего, попросит вас ввести пароль, прежде чем вы сможете присоединиться. Этот пароль является ключом к завершению процесса шифрования и обеспечению всей последующей связи между вашим устройством и маршрутизатором. Конечно, шифрование безопасности развивалось с годами, поэтому мы хотим убедиться, что уровень шифрования, который мы используем, максимально безопасен. Итак, теперь у нас есть разные режимы безопасности, которые нам нужно знать, чтобы мы могли выбрать лучший для нашей установки. TKIP против AES TKIP и AES — это две отдельные формы шифрования, которые могут использоваться в сети Wi-Fi. TKIP расшифровывается как «Протокол целостности переходного ключа». Он был введен вместе с WPA в качестве временной остановки для замены крайне небезопасного стандарта шифрования WEP. WEP был первым протоколом шифрования, который использовался для защиты беспроводных сетей, теперь его легко взломать, и его никогда не следует использовать. TKIP имеет много общего с шифрованием WEP и больше не считается безопасным. Так что это тоже больше не следует серьезно рассматривать при защите вашей сети.В настоящее время AES является золотым стандартом шифрования. Это расшифровывается как «Advanced Encryption Standard» и используется не только для беспроводных сетей. Это всемирный стандарт шифрования, используемый многими различными правительствами и организациями для защиты всех типов файлов и сообщений. Основным недостатком шифрования AES является атака методом перебора, которую обычно можно объяснить с помощью надежной парольной фразы. AES был введен в безопасность беспроводных сетей со стандартом WPA2. Другая часть уравнения, которую вы часто будете видеть, — это PSK.PSK просто означает «Pre Shared Key» и просто означает, что пароль используется в качестве «ключа» для активации защищенной сети. Теперь, когда мы вооружены типами безопасности, имеющимися в нашем распоряжении, давайте приступим к работе выбирая один. Взломать все Это типичные типы параметров безопасности, которые мы увидим при настройке новой беспроводной сети.
- Открытая (рискованная): Открытая беспроводная сеть — это сеть, в которой у вас нет пароля. Вам не следует настраивать открытую сеть Wi-Fi или присоединяться к ней.Никакой из вашего сетевого трафика не будет зашифрован, что означает, что он будет виден всем, кто захочет посмотреть.
- WEP 64 (рискованно) : Старый стандарт шифрования WEP объявлен устаревшим, чрезвычайно уязвим и никогда не должен использоваться.
- WEP 128 (опасно) : Это просто WEP с большим размером ключа шифрования. Тем не менее никогда не следует использовать.
- WPA-PSK (TKIP) : Это стандартное шифрование WPA или WPA1.Он был заменен и больше не является безопасным вариантом.
- WPA-PSK (AES) : Выбирает старый беспроводной протокол WPA с более современным шифрованием AES. Устройства, поддерживающие AES, почти всегда будут поддерживать WPA2, в то время как устройства, которым требуется WPA1, почти никогда не будут поддерживать шифрование AES. Так что у нас остается то, что редко используется.
- WPA2-PSK (TKIP) : Использует современный стандарт WPA2 со старым шифрованием TKIP. Этот вариант небезопасен, и его можно использовать только в том случае, если у вас есть старые устройства, которые не могут подключиться к сети WPA2-PSK (AES).
- WPA2-PSK (AES) (рекомендуется) : Вот тот, который нам нужен. На данный момент это самый безопасный из всех. Он использует WPA2, последний стандарт шифрования Wi-Fi и последний протокол шифрования AES. Вам следует использовать эту опцию.
- WPA / WPA2-PSK (TKIP / AES) : Это включает как WPA, так и WPA2 с TKIP и AES. Это обеспечивает максимальную совместимость с любыми древними устройствами, которые у вас могут быть, но также гарантирует, что злоумышленник может взломать вашу сеть, взломав схему шифрования с наименьшим общим знаменателем.Этот вариант TKIP + AES также может называться «смешанным» режимом WPA2-PSK. Не дайте себя обмануть, это не тот стандарт, который вы хотите использовать.
Использование более низких стандартов для совместимости обычно больше не имеет смысла. Сертификация WPA2 стала доступна десять лет назад! В 2006 году сертификация WPA2 стала обязательной, поэтому любое устройство, выпущенное после 2006 года с логотипом «Wi-Fi», должно поддерживать шифрование WPA2. Это было восемь лет назад! Возможно, ваши устройства с поддержкой Wi-Fi старше 8–10 лет, так что все будет в порядке, просто выбрав WPA2-PSK (AES).Выберите этот вариант, а затем посмотрите, не работает ли что-нибудь. Если устройство перестает работать, вы всегда можете вернуть его обратно — хотя, возможно, вы просто захотите купить новое устройство, произведенное в любое время за последние восемь лет, а не подвергать риску свою сеть ради совместимости с устаревшим устройством. и просто чтобы вы знали, использование WPA и TKIP обычно замедляет работу вашей сети Wi-Fi! Многие современные Wi-Fi-маршрутизаторы, поддерживающие новейшие и самые быстрые стандарты, будут снижать скорость до 54 Мбит / с, если вы включите WPA или TKIP в их опциях.Они делают это, чтобы гарантировать совместимость с этими старыми устройствами, которые затем влияют на всю вашу беспроводную сеть. Таким образом, выбор уровня шифрования — это не только вопрос безопасности. Надеюсь, теперь вы лучше понимаете принципы шифрования беспроводной сети и готовы обновить свою сеть, чтобы она была максимально безопасной! Если все это по-прежнему кажется непосильным, просто позвоните нам и попросите нашу услугу по оптимизации сети, и мы позаботимся обо всем за вас. Хотите, чтобы на вашу электронную почту приходили обновления блога Bellingham IT? Нажмите здесь, чтобы подписаться Фото: Midom
WEP против шифрования WPA | Ответ
WEP и WPA — это стандарты шифрования данных, передаваемых по беспроводным (WiFi) сетям, для предотвращения подслушивания.
Эта статья объясняет теорию WEP и WPA. Для получения ответов по конкретным продуктам см. Устранение неполадок в беспроводных сетях
.- Шифрование WEP
— WEP использует старый метод шифрования и может быть легко декодирован с помощью современных мощных компьютеров. Используйте этот режим только в том случае, если у вас очень старый устаревший беспроводной клиент, который не поддерживает WPA-PSK. Альянс Wi-Fi настоятельно не рекомендует использовать WEP и планирует сделать его устаревшим.
- Шифрование WPA
– Шифрование WPA встроено во все оборудование, имеющее печать сертификата Wi-Fi.Эта печать означает, что продукт авторизован Wi-Fi Alliance (http://www.wi-fi.org/), поскольку он соответствует единому мировому стандарту высокоскоростной беспроводной локальной сети.
WPA-PSK использует гораздо более надежный алгоритм шифрования, чем WEP, поэтому его труднее декодировать. Эта опция использует парольную фразу для выполнения аутентификации и генерации ключей шифрования исходных данных. Затем он динамически меняет ключ шифрования. WPA-PSK использует шифрование данных Temporal Key Integrity Protocol (TKIP), реализует большую часть IEEE 802.11i и предназначен для работы со всеми беспроводными сетевыми картами, но не со всеми точками беспроводного доступа. Его заменяет WPA2-PSK.
WPA2-PSK — самый сильный. Рекламируется, что он теоретически не поддается расшифровке из-за большей степени случайности генерируемых ключей шифрования. WPA2-PSK получает более высокую скорость, поскольку обычно реализуется аппаратно, тогда как WPA-PSK обычно реализуется программно. WPA2-PSK использует парольную фразу для аутентификации и генерации ключей шифрования исходных данных.Затем он динамически меняет ключ шифрования.
Смешанный режим WPS-PSK + WPA2-PSK — это предварительно настроенный режим безопасности на беспроводном модеме-маршрутизаторе. NETGEAR рекомендует смешанный режим, поскольку он обеспечивает более широкую поддержку всех беспроводных клиентов. Клиенты WPA2-PSK получают более высокую скорость и безопасность, а клиенты WPA-PSK получают приличную скорость и безопасность. В документации по вашему беспроводному адаптеру и клиентскому программному обеспечению
WPA должны быть инструкции по настройке их параметров WPA.WPA-802.1x — это безопасность корпоративного уровня, для которой требуется сервер аутентификации для распознавания и авторизации клиентского доступа. Сервер аутентификации называется службой удаленной аутентификации пользователей с подключением по телефону (RADIUS). Каждый беспроводной клиент имеет логин пользователя на сервере RADIUS, а маршрутизатор беспроводного модема имеет логин клиента на сервере RADIUS. Передача данных шифруется автоматически сгенерированным ключом.
Сокращения:
WEP Wired Equivalent Privacy
WPA Wi-Fi Защищенный доступ
Дополнительная информация:
Ссылка на WEP Wiki
Ссылка на WPA Wiki
Последнее обновление: 28.11.2016 | Идентификатор статьи: 20043
Защита беспроводной сети: WPA-PSK | Ответ
В этой статье объясняется, как настроить беспроводные маршрутизаторы WPA-PSKon NETGEAR.Его также можно применить к точкам доступа NETGEAR.
ВАЖНО: Хотя WPA-PSK обеспечивает лучшую безопасность сети, чем WEP, новые маршрутизаторы предлагают более надежные протоколы безопасности в дополнение к WEP и WPA-PSK. NETGEAR рекомендует использовать WPA / WPA2. Чтобы защитить вашу сеть с помощью WPA / WPA2, см. Следующую статью:
Как изменить пароль WiFi или уровень безопасности на моем маршрутизаторе NETGEAR?
Примечания: .
- Вы можете включить и настроить только один уровень шифрования (WEP, WPA и т. Д.).) вовремя.
- После того, как ваша сеть будет защищена с помощью шифрования WEP или WPA, вы можете повысить безопасность, ограничив доступ к вашей сети для набора устройств через список доступа к беспроводной карте.
Для получения дополнительной информации см. Как настроить контроль доступа или фильтрацию MAC-адресов (маршрутизаторы Smart Wizard). - После включения функций безопасности беспроводной сети на маршрутизаторе или точке доступа необходимо настроить клиентов беспроводной сети, например компьютеры беспроводной сети, с соответствующими параметрами. Ваши беспроводные клиенты не смогут подключиться, если вы не настроите соответствующие параметры.
Настройка шифрования WPA-PSK:
- С помощью кабеля Ethernet подключите компьютер к любому из четырех портов LAN маршрутизатора NETGEAR.
- В веб-браузере введите IP-адрес маршрутизатора — по умолчанию http://192.168.0.1 или http://192.168.1.1 .
- При запросе имени пользователя и пароля введите имя пользователя и пароль по умолчанию ( admin ; пароль ), если вы еще не изменили его.NETGEAR рекомендует изменить пароль по умолчанию, чтобы повысить безопасность вашей сети.
- Выберите Wireless Settings в меню настройки на левой панели навигации.
- В разделе Параметры безопасности выберите WPA-PSK (общий ключ защищенного доступа Wi-Fi) .
- В разделе Security Encryption (WPA-PSK)> Passphrase введите пароль.
- Парольная фраза может быть строкой из 64 шестнадцатеричных цифр или словом / фразой из 8-63 символов ASCII.
- СОХРАНИТЕ или СОХРАНИТЕ парольную фразу — она потребуется для беспроводного подключения к вашей сети.
- Нажмите Применить , чтобы сохранить настройки.
Последнее обновление: 05.08.2020 | Идентификатор статьи: 13111
Какую систему безопасности Wi-Fi следует использовать?
Беспроводные сети повсюду.Будь вы в местной кофейне, в школе или дома, вполне вероятно, что есть несколько беспроводных сетей, к которым вы можете получить доступ. Но как узнать, какие из них безопасны? Просмотр настроек сетевой безопасности может быть хорошим индикатором того, каким из них вы можете доверять. Чтобы помочь вам понять возможные варианты, мы обсудим историю протоколов безопасности и сравним WPA и WPA2.
Параметры безопасности маршрутизатора
При установке Wi-Fi у вас есть несколько вариантов безопасности маршрутизатора. Если ваш маршрутизатор не защищен, кто-то может получить к нему доступ, использовать его для незаконных действий от вашего имени, отслеживать использование вами Интернета или даже установить вредоносное ПО.
Если вы посмотрите на безопасность беспроводной сети, вам будет доступно несколько вариантов. Эти варианты будут включать «нет», WEP, WPA, WPA2-Personal, WPA2-Enterprise и, возможно, WPA3. В зависимости от характера вашего использования в Интернете вам может потребоваться более или менее безопасность.
Какой лучший метод обеспечения безопасности беспроводного Интернета?
Какой метод безопасности вы выберете, будет зависеть от возможностей вашего маршрутизатора. Старые устройства не могут поддерживать новые протоколы безопасности, такие как WPA3.
Если у вас есть возможность, вот список лучших протоколов безопасности, отсортированный от наиболее безопасного до наименее безопасного:
- WPA3
- WPA2 Предприятие
- WPA2 Personal
- WPA + AES
- WPA + TKIP
- WEP
- Открытая сеть (без обеспечения безопасности)
История протоколов безопасности
Беспроводная безопасность со временем совершенствовалась, становясь более надежной и простой в настройке. С момента появления Wi-Fi мы перешли с протокола WEP на протокол WPA3.Прочтите, чтобы узнать об истории развития этих протоколов безопасности.
Wired Equivalent Privacy (WEP)
Первый протокол безопасности получил название Wired Equivalent Privacy или WEP. Это был стандартный протокол с 1999 по 2004 год. Хотя эта версия была создана для защиты, она имела плохую защиту и ее было трудно настраивать.
В то время импорт криптографических технологий был ограничен, что означало, что все больше производителей могли использовать только 64-битное шифрование.Это очень низкоразрядное шифрование по сравнению с доступными сегодня 128-битными или 256-битными вариантами. В конечном итоге от WEP отказались в пользу более продвинутого решения.
Системы, которые все еще используют WEP, небезопасны. Если у вас есть система с WEP, ее следует обновить или заменить. При подключении к Wi-Fi, если в заведении есть WEP, ваша интернет-активность не будет защищена.
Защищенный доступ к Wi-Fi (WPA)
Для улучшения функций WEP, WiFi Protected Access или WPA был создан в 2003 году.Это временное усовершенствование по-прежнему имеет относительно низкую безопасность, но его легче настроить. WPA использует протокол целостности временного ключа (TKIP) для более безопасного шифрования, чем предлагает WEP.
Поскольку Wi-Fi Alliance перешла на более продвинутый протокол, им пришлось сохранить некоторые из тех же элементов WEP, чтобы старые устройства оставались совместимыми. К сожалению, это означает, что уязвимости, такие как функция защищенной настройки WiFi, которую можно относительно легко взломать, все еще присутствуют в обновленной версии WPA.
Защищенный доступ Wi-Fi 2 (WPA2)
Год спустя, в 2004 году, стал доступен WiFi Protected Access 2. WPA2 имеет более высокий уровень безопасности и его легче настраивать, чем предыдущие варианты. Основное отличие WPA2 заключается в том, что он использует расширенный стандарт шифрования (AES) вместо TKIP. AES может защитить сверхсекретную правительственную информацию, поэтому это хороший вариант для защиты личного устройства или корпоративного Wi-Fi.
Единственная заметная уязвимость WPA2 заключается в том, что, получив доступ к сети, кто-то может атаковать другие устройства, подключенные к сети.Это проблема, если у компании есть внутренняя угроза, например, недовольный сотрудник, который взламывает другие устройства в сети компании.
Защищенный доступ Wi-Fi 3 (WPA3)
По мере обнаружения уязвимостей делаются улучшения. В 2018 году WiFi Alliance представил WPA3. Эта новая версия будет иметь «новые функции для упрощения безопасности Wi-Fi, обеспечения более надежной аутентификации и повышения криптографической стойкости для рынков высокочувствительных данных.«WPA3 все еще внедряется, поэтому оборудование с сертификатом WPA3 недоступно для большинства людей.
WPA против WPA2: чем они отличаются
WPA и WPA2 — наиболее распространенные меры безопасности, которые используются для защиты беспроводного Интернета. Учитывая это, мы сравнили разницу между WPA и WPA2, чтобы вы могли найти правильный вариант для своей ситуации.
ВПА | WPA2 | |
Год выпуска | 2003 | 2004 |
Метод шифрования | Протокол целостности временного ключа (TKIP) | Расширенный стандарт шифрования (AES) |
Уровень безопасности | Сильнее, чем WEP, обеспечивает базовую безопасность | Сильнее, чем WPA, обеспечивает повышенную безопасность |
Поддержка устройств | Может поддерживать более старое программное обеспечение | Совместимость только с более новым программным обеспечением |
Длина пароля | Требуется более короткий пароль | Требуется более длинный пароль |
Использование в бизнесе | Нет корпоративных решений | Имеет опцию для предприятий |
Требуемая вычислительная мощность | Минимально необходимое | Требуется значительная сумма |
При сравнении WPA иWPA2, WPA2 будет лучшим вариантом, если ваше устройство может его поддерживать.
Почему кто-то выбирает WPA?
WPA имеет менее безопасный метод шифрования и требует более короткого пароля, что делает его более слабым вариантом. Для WPA не существует корпоративного решения, поскольку оно недостаточно защищено для поддержки использования в бизнесе. Однако, если у вас более старое программное обеспечение, WPA может использоваться с минимальной вычислительной мощностью и может быть для вас лучшим вариантом, чем альтернатива WEP.
Почему кто-то выбирает WPA2?
WPA2 — это обновленная версия WPA, которая использует шифрование AES и длинные пароли для создания защищенной сети.WPA2 имеет индивидуальные и корпоративные параметры, что делает его идеальным для домашних пользователей и предприятий. Однако для этого требуется значительная вычислительная мощность, поэтому, если у вас старое устройство, оно может работать медленно или вообще не работать.
Независимо от того, какой вариант подходит вам лучше всего, важно обеспечить безопасность вашего устройства, должным образом защищая подключение к Wi-Fi. Если ваш маршрутизатор не поддерживает самый безопасный метод шифрования, рассмотрите возможность использования VPN для шифрования ваших поисковых запросов. Бесплатная VPN от Panda Security поможет вам безопасно и конфиденциально просматривать веб-страницы из любого места.
Источники:
Lifewire | Компьютерщик службы поддержки
WPA PSK, WPA TKIP, WPA CCMP, безопасность Wi-Fi, информация о безопасности Wi-Fi, безопасность WPA
Сети Wi-Fiимеют множество различных параметров безопасности, которые можно настроить для повышения конфиденциальности вашего общения. Acrylic Wi-Fi отображает эти параметры безопасности в столбцах WEP , WPA и WPA2 . Узнайте, как интерпретировать информацию о безопасности сети Wi-Fi на Acrylic Wi-Fi:
Acrylic Wi-Fi отображает три столбца для информации о безопасности сети Wi-Fi.Первый столбец (WEP) указывает, является ли сеть открытой (незащищенной) или использует шифрование WEP (считается небезопасным). Столбцы WPA и WPA2 используются, когда ваша сеть Wi-Fi использует другие стандарты шифрования. WPA и WPA2 очень похожи и могут иметь некоторые из следующих значений:
- ПСК-ТКИП
- ПСК-CCMP
- ПСК- (ТКИП | CCMP)
Защищенные паролем сети Wi-Fi. Что такое WPA PSK?
Обычно домашняя сеть Wi-Fi с защитой WPA основана на аутентификации с предварительным общим ключом (PSK).Другими словами, безопасность сети Wi-Fi основана на общем секрете (пароль сети Wi-Fi), известном всем пользователям сети и точке доступа.
Проще говоря, сеть Wi-Fi WPA-PSK имеет пароль, общий для всех клиентов сети Wi-Fi. Эта сетевая конфигурация наиболее широко применяется к ADSL / кабельным / оптоволоконным маршрутизаторам Wi-Fi интернет-провайдеров.
Может ли сеть Wi-Fi быть WPA2 PSK?
Сеть Wi-Fi, безусловно, может быть WPA2-PSK .WPA2 — это новый стандарт безопасности Wi-Fi, улучшенный для защиты от некоторых известных угроз. В домашних сетях Wi-Fi WPA2 клиенты по-прежнему могут использовать аутентификацию с предварительным общим ключом (PSK).
Что такое сеть Wi-Fi с защитой TKIP?
С появлением WPA вместо WEP алгоритм шифрования Temporal Key Integrity Protocol (TKIP) стал новым механизмом шифрования для защиты беспроводной связи. В настоящее время он считается устаревшим после того, как в 2009 году был заменен CCMP.Однако TKIP по-прежнему остается одной из наиболее широко используемых конфигураций ( WPA-TKIP ).
Что такое сеть Wi-Fi с безопасностью WPA CCMP или WPA2 CCMP?
CCMP означает протокол CBC-MAC режима счетчика. CCMP , также известный как AES CCMP , — это механизм шифрования, который заменил TKIP , и это стандарт безопасности, используемый в беспроводных сетях WPA2. Согласно спецификациям, сети WPA2 должны использовать CCMP по умолчанию ( WPA2-CCMP ), хотя CCMP также может использоваться в сетях WPA для повышения безопасности ( WPA-CCMP ).
А что такое WPA MGT или WPA2 MGT?
Для сетей Wi-Fi WPA MGT или WPA2 MGT пароль не является предварительно заданным ключом. Вместо этого сеть Wi-Fi подключена к службе аутентификации, обычно к службе RADIUS, которая проверяет имя пользователя и пароль клиента сети Wi-Fi. Поскольку сети Wi-Fi MGT (Management) требуют более сложной инфраструктуры, они часто развертываются в корпоративных и профессиональных средах.
Какой вариант является наиболее защищенным: TKIP или CCMP?
Просматривая сети Wi-Fi на Acrylic Wi-Fi, вы обнаружите, что многие из них поддерживают безопасность как WPA, так и WPA2, и каждый из этих механизмов аутентификации может поддерживать либо TKIP , либо CCMP .
Хотя это не рекомендуется сетевым стандартом, TKIP используется с WPA2 PSK для совместимости со старыми устройствами. В этом случае вам следует отключить безопасность WPA в вашей сети Wi-Fi, оставив безопасность WPA2 включенной. Вы также должны отключить TKIP, оставив только параметры CCMP. Сети Wi-Fi, использующие только механизм WPA2-CCMP, являются наиболее защищенными.
Если вы хотите узнать больше о безопасности сети Wi-Fi, перейдите в раздел Защищена ли сеть Wi-Fi WPA?
Что такое общий ключ защищенного доступа Wi-Fi (WPA-PSK)?
Что означает общий ключ защищенного доступа Wi-Fi (WPA-PSK)?
Wi-Fi Protected Access Pre-Shared Key или WPA-PSK — это система шифрования, используемая для аутентификации пользователей в беспроводных локальных сетях.Обычно он используется телекоммуникационными компаниями для доступа конечных пользователей в домашних локальных сетях.
WPA-PSK также может называться WPA2-PSK или WPA Personal.
Techopedia объясняет общий ключ защищенного доступа к Wi-Fi (WPA-PSK)
При использовании протокола WPA-PSK передача данных шифруется и контролируется с помощью пароля, сгенерированного конечным пользователем. В протоколе TKIP WPA-PSK использует 128-битное шифрование. WPA-PSK можно использовать со стандартом AES, который является общепринятым стандартом анализа кибербезопасности.
В отличие от коммерческих систем WPA, метод WPA-PSK не требует центрального сервера или различных типов вводимых пользователем данных.
WEP и WPA
Важно отметить, что WPA-PSK — одна из множества альтернатив для этого типа аутентификации и проверки беспроводной локальной сети.
Другой называется Wired Equivalent Protection (WEP).
Интересно, что оба этих протокола используют предварительный общий ключ, но шифрование в WEP считается более слабым, чем шифрование в системах WPA.В результате некоторые телекоммуникационные службы перешли на использование WPA вместо протокола WEP для шифрования и аутентификации.
WPA и предварительный общий ключ
Одним из фундаментальных аспектов безопасности WPA-PSK является использование предварительного общего ключа.
Концепция предварительного общего ключа восходит к примитивной нецифровой криптографии предшествующих веков. Идея состоит в том, что пользователи использовали начальный безопасный канал для доставки ключа, а затем впоследствии в будущем отправляли вторичные передачи, где шифрование зависело от этого начального ключа.
Можно вспомнить некоторые простые книжные шифры начала и середины тысячелетия, когда получатели использовали предварительно общий ключ для декодирования сообщений, отправленных зашифрованными на печатных страницах книги. Ключом часто была книга, в которой и отправитель, и получатель могли измерять маркировку последовательностей букв на одинаковом расстоянии. Ключ может быть доставлен лично.
После этого отправитель мог отправить набор чисел, соответствующий эквидистантной последовательности, соответствующей буквам в книге. Без основной книги, предварительного общего ключа, набор чисел не поддается анализу или взлому кода.Значит, код был не шифром, а ссылкой на сам общий ключ.
В текущем контексте предварительный общий ключ — это цифровой актив, который разблокирует зашифрованный обмен сообщениями, отправляемый по сети. Таким образом, это может быть полезно для защиты от атак грубой силы, когда хакеры пытаются взломать шифрование после успешного перехвата передаваемых пакетов данных. Опять же, предварительный общий ключ делает зашифрованные данные менее зависимыми от взломанных шифров.
Хотя предварительный общий ключ и другие аспекты WPA-PSK могут быть полезны в системе аутентификации этого типа, стандарт аутентификации переходит от простой системы паролей к многофакторной аутентификации (MFA).
Один из наиболее распространенных методов — использование смартфона в качестве дополнительного фактора аутентификации устройства. Здесь, где может быть возможно взломать пароль с помощью атаки грубой силы, MFA затрудняет взлом учетной записи пользователя, потому что, если хакер каким-то образом не отправит ключ проверки на мобильное устройство, попытки несанкционированного доступа выиграют не работает.
Первый стандарт WPA стал доступен в 2003 году. Следующий стандарт, WPA2, был представлен в следующем году. Новый стандарт WPA3 стал доступен в 2018 году.
В чем разница между AES и TKIP?
Wi-Fi Protected Access 2 (WPA2) — это программа сертификации безопасности , разработанная Wi-Fi Alliance для защиты беспроводных компьютерных сетей. В зависимости от типа и возраста вашего беспроводного маршрутизатора вам будет доступно несколько вариантов шифрования. Двумя основными для WPA2-Personal (версия, используемая домашними пользователями или пользователями малого бизнеса) являются Advanced Encryption Standard (AES) и более старый Temporal Key Integrity Protocol (TKIP), или комбинация из .
В этой статье мы объясним , что такое AES и TKIP , и предложим, какой вариант следует выбрать для ваших устройств с поддержкой WPA2. Вам нужно выбрать лучший режим шифрования не только из соображений безопасности, но и потому, что неправильный режим может замедлить работу вашего устройства . Если вы выберете более старый режим шифрования, даже если ваш Wi-Fi-роутер поддерживает более быстрый тип шифрования, передача данных автоматически замедлится, чтобы быть совместимой со старыми устройствами, с которыми он подключается.
Мы также объясним некоторые термины безопасности Wi-Fi , относящиеся к WPA2 , например те, которые упомянуты на диаграмме ниже, ориентированы в первую очередь на WPA2-Personal. Например, термины «сертификаты», «стандарты», «протоколы» и «программы» иногда (ошибочно) используются взаимозаменяемо, а часто и неправильно. AES — это протокол или тип шифрования? WPA2 — это протокол или стандарт? (Предупреждение о спойлере: AES — это стандарт, а WPA2 — это сертификация.) Можно немного снисходительно относиться к терминологии Wi-Fi, если вы знаете, что на самом деле означают эти термины.Эта статья устанавливает все прямо. И да, мы очень свободно используем термин «режим» для описания настроек шифрования и аутентификации WPA2.
WPA2 101 — (очень) краткий обзорСуществует две версии WPA2: Personal (для домашнего и офисного использования) и Enterprise (для корпоративного использования). В этой статье мы сосредоточимся на первом, но сравним его с версией Enterprise, что поможет проиллюстрировать, чего не делает WPA2-Personal.
Насколько надежны распространенные сертификаты безопасности Wi-Fi?«Беспроводные сети изначально небезопасны.На заре создания беспроводных сетей производители старались максимально упростить их для конечных пользователей. Готовая конфигурация для большинства беспроводного сетевого оборудования обеспечивала легкий (но небезопасный) доступ к беспроводной сети ». (Источник: чайники)
Насколько безопасен WPA2 по сравнению с другими часто используемыми сертификатами Wi-Fi? До появления WPA3 самым безопасным вариантом считался WPA2, KRACK и все такое. Текущие уязвимости WPA2 могут быть эффективно исправлены, но вам все равно необходимо выбрать лучший тип шифрования для вашего устройства Wi-Fi и ваших требований к использованию.Например, если вы работаете в малом бизнесе со старыми устройствами, вам, возможно, придется пожертвовать скоростью ради безопасности или обновить свои устройства. Если вы большая организация, вы можете решить полностью отказаться от WPA2 и начать планировать развертывание WPA3 как можно скорее.
Стандарты шифрования подключения Wi-Fi, используемые в общедоступных точках доступа Wi-Fi во всем мире (Источник: Kaspersky Security Network (KSN))
Насколько безопасны основные сертификаты Wi-Fi, используемые сегодня?
- Открыть — Никакой безопасности
- Wired Equivalent Privacy (WEP) — Очень ненадежный и использует шифр RC4, который изначально использовался как очень быстрый и простой в реализации.Когда-то популярный — согласно WayBack Machine, Skype использовал модифицированную версию около 2010 года — с тех пор считается очень небезопасным. WEP использует метод аутентификации, при котором все пользователи используют один и тот же ключ, поэтому, если один клиент скомпрометирован, все в сети подвергаются риску. WPA-PSK (Pre-Shared Key) имеет ту же проблему. Согласно Webopedia, WEP небезопасен, поскольку, как и другие широковещательные передачи Wi-Fi, он отправляет сообщения с использованием радиоволн, которые подвержены подслушиванию, эффективно обеспечивая безопасность, равносильную проводному соединению.Шифрование не мешает хакерам перехватывать сообщения, и проблема с WEP заключается в том, что он использует статическое шифрование (один ключ для всех пакетов для всех устройств в сети), подвергая риску все устройства, что потенциально является большим уловом для хакеров. Затем воры могут попытаться расшифровать данные на досуге в автономном режиме. WPA создает уникальный ключ для каждого устройства, ограничивая риск для других клиентов при взломе одного устройства в сети.
- WPA — использует неэффективный протокол шифрования TKIP , который не является безопасным.Сам TKIP использует шифр RC4, а AES не является обязательным для WPA. Хорошая метафора того, как работает WPA, исходит из сообщения суперпользователя: «Если вы думаете об иностранном языке как о разновидности шифрования, WPA немного похож на ситуацию, когда все машины, подключенные к этой сети WPA, говорят на одном языке, но это язык, чуждый другим машинам. Итак, конечно, машины, подключенные к этой сети, могут атаковать друг друга и слышать / видеть все пакеты, отправленные / полученные всеми остальными. Защита действует только от хостов, которые не подключены к сети (например,грамм. потому что они не знают секретного пароля) «.
- WPA2 — Достаточно безопасный, но уязвимый для атак методом грубой силы и словаря. Использует шифрование AES и вводит режим счетчика с кодом проверки подлинности сообщения цепочки блоков шифров (CCMP) , надежное шифрование на основе AES. Он обратно совместим с TKIP. Поставщики выпустили исправления для многих уязвимостей, например КРЕК. Одним из основных недостатков безопасности версии WPA2-Personal является Wifi Protected Setup (WPS), , который позволяет пользователям быстро настроить безопасную беспроводную домашнюю сеть.Согласно US-Cert, «Бесплатные инструменты атаки могут восстановить PIN-код WPS за 4-10 часов». Он рекомендует пользователям проверять наличие обновленного микропрограммного обеспечения от их поставщика, чтобы устранить эту уязвимость. WPA2-Enterprise более безопасен, но имеет некоторые недостатки.
- WPA3 — Все еще слишком ново для получения значимых данных об использовании, но в настоящее время рекламируется как наиболее безопасный вариант
Согласно Википедии, TKIP был разработан для «замены» тогда уязвимого «стандарта» WEP без необходимости вносить изменения в оборудование, работающее под стандартом Wired Equivalent Privacy (WEP).Он использует шифр RC4.
Network World объясняет, что TKIP фактически не заменяет WEP; это «обертка». К сожалению, он основан на принципиально небезопасном WEP, потому что он был задуман как временная мера, потому что никто не хотел выбрасывать все сделанные вложения в оборудование, и его можно было быстро развернуть. Последней причины было достаточно, чтобы продавцы и бизнес-менеджеры с энтузиазмом восприняли ее. В свое время TKIP усилил безопасность WEP с помощью:
- Смешивая базовый ключ, MAC-адрес точки доступа (AP) и серийный номер пакета — «Операция смешивания предназначена для минимального требования к станции и точки доступа, но при этом обладают достаточной криптографической стойкостью, так что их нелегко взломать.
- Увеличение длины ключа до 128 бит — «Это решает первую проблему WEP: слишком короткая длина ключа».
- Создание уникального 48-битного серийного номера , который увеличивается для каждого отправленного пакета, поэтому нет двух одинаковых ключей — «Этот решает другую проблему WEP, называемую« атакой на коллизию », которая может возникать, когда один и тот же ключ используется для двух разных пакетов.
- Снижение риска повторных атак с помощью упомянутого выше расширенного вектора инициализации (IV) — «Поскольку 48-битный порядковый номер будет повторяться тысячи лет, никто не может воспроизвести старые пакеты из беспроводного соединения — они будут обнаружены как вышедшие из строя, потому что порядковые номера будут неправильными.”
Насколько действительно уязвим TKIP? Согласно Cisco, TKIP уязвим для расшифровки пакетов злоумышленником. Однако злоумышленник может украсть только ключ аутентификации, но не ключ шифрования.
«С восстановленным ключом только захваченные пакеты могут быть подделаны в ограниченном окне максимум 7 попыток. Злоумышленник может расшифровать только один пакет за раз, в настоящее время со скоростью один пакет за 12-15 минут. Кроме того, пакеты могут быть дешифрованы только при отправке из точки беспроводного доступа (AP) клиенту (однонаправленный).
Проблема в том, что если белые шляпы открывают большие векторы для вставки атак, то и черные шляпы тоже.
У есть обратная сторона, когда TKIP используется с PSK . «При аутентификации 802.1X секрет сеанса уникален и безопасно передается на станцию сервером аутентификации; при использовании TKIP с предварительно разделенными ключами секрет сеанса одинаков для всех и никогда не меняется — отсюда и уязвимость использования TKIP с предварительно разделенными ключами.”
AESAES (на основе алгоритма Риандаэля) — это блочный шифр (« S »на самом деле означает« стандарт »и является еще одним примером сбивающей с толку терминологии), используемый протоколом под названием CCMP. Он преобразует открытый текст в зашифрованный текст и имеет длину ключа 28, 192 или 256 бит. Чем больше длина ключа, тем труднее злоумышленники зашифрованные данные.
Эксперты по безопасности в целом согласны с тем, что AES не имеет серьезных недостатков. Исследователи успешно атаковали AES лишь несколько раз, и эти атаки были в основном побочными.
AES — предпочтительный вариант шифрования для федерального правительства США и НАСА. Для получения дополнительной уверенности посетите Crypto-форум Stack Exchange. Подробные технические подробности о том, как работает AES, выходящие за рамки данной статьи, можно найти на сайте eTutorials.
Термины и сокращения Wi-Fi, которые вы должны знать Сертификаты и стандартыХотя WPA2 является программой сертификации, ее часто называют стандартом, а иногда и протоколом.«Стандарт» и «протокол» — это описания, которые часто используются журналистами и даже разработчиками этих сертификатов (и рискуют проявить педантичность), но эти термины могут вводить в заблуждение, когда дело доходит до понимания того, как стандарты и протоколы относятся к Wi-Fi. сертификация, если не сказать прямо неверная.
Мы можем использовать аналогию с автомобилем, который сертифицирован как годный к эксплуатации. Производитель будет иметь инструкции, которые определяют стандарты безопасности . Когда вы покупаете автомобиль, он будет иметь сертификат , сертификат как безопасный для вождения организацией, определяющей стандарты безопасности транспортных средств.
Итак, хотя WPA2 следует называть сертификацией, его можно условно назвать стандартом. Но называть это протоколом сбивает с толку значение реальных протоколов — TKIP, CCMP и EAP — в безопасности Wi-Fi.
Протоколы и шифрыЕще одна путаница: AES — это аббревиатура от Advanced Encryption Standard . И, по словам пользователя Stack Exchange, TKIP на самом деле не является алгоритмом шифрования; он используется для обеспечения того, чтобы пакеты данных отправлялись с уникальными ключами шифрования.Пользователь, Лукас Кауфман, говорит: «TKIP реализует более сложную функцию смешивания ключей для смешивания сеансового ключа с вектором инициализации для каждого пакета». Между прочим, Кауфман определяет EAP как «структуру аутентификации». Он прав в том, что EAP определяет способ передачи сообщений; сам он их не шифрует. Мы коснемся этого еще раз в следующем разделе.
WPA2 и другие сертификаты Wi-Fi используют протоколы шифрования для защиты данных Wi-Fi. WPA2-Personal поддерживает несколько типов шифрования.WPA и WPA2 обратно совместимы с WEP, который поддерживает только TKIP.
Juniper называет такие протоколы шифрования, как AES и TKIP, шифровальными шифрами. Шифр — это просто алгоритм, который определяет, как выполняется процесс шифрования.
По данным сообщества AirHeads:
«Вы часто видите ссылки на TKIP и AES при защите клиента WiFi. На самом деле, на него следует ссылаться как на TKIP и CCMP, а не как на AES. TKIP и CCMP — это протоколы шифрования. AES и RC4 — это шифры, CCMP / AES и TKIP / RC4.Вы можете видеть, что поставщики смешивают шифр с протоколом шифрования. При сдаче экзамена самый простой способ запомнить разницу — помнить, что TKIP и CCMP оканчиваются на «P» для протокола шифрования. [sic] ”
Как и EAP, хотя это протокол аутентификации, а не шифрования.
Итог:
Шифрование и аутентификация WPA2 Аутентификация — PSK в сравнении с 802.1XКак и WPA, WPA2 поддерживает аутентификацию IEEE 802.1X / EAP и PSK.
WPA2-Personal — PSK — это механизм аутентификации, используемый для проверки пользователей WPA2-Personal, устанавливающих соединение Wi-Fi. Он был разработан в первую очередь для общего использования дома и в офисе. PSK не требует настройки сервера аутентификации. Пользователи входят в систему с предварительным общим ключом, а не с помощью имени пользователя и пароля, как в версии Enterprise.
WPA2-Enterprise — оригинальный стандарт IEEE 802.11 («пригодный для эксплуатации» стандарт для сертификации Wi-Fi) был выпущен в 1997 году.Более поздние версии часто разрабатывались для повышения скорости передачи данных и обеспечения соответствия новым технологиям безопасности. Последние версии WPA2-Enterprise соответствуют стандарту 802.11i. Его базовый протокол аутентификации — 802.1X, , который позволяет устройствам Wi-Fi аутентифицироваться по имени пользователя и паролю или с использованием сертификата безопасности. Аутентификация 802.1X развернута на сервере AAA (обычно RADIUS) , который обеспечивает централизованную аутентификацию и функции управления пользователями. EAP — это стандарт, используемый для передачи сообщений и аутентификации аутентификатора клиента и сервера перед доставкой. Эти сообщения защищены с помощью таких протоколов, как SSL, TLS и PEAP.
Шифрование — «начальные числа» и PMKWPA2-Personal — PSK объединяет парольную фразу (предварительный общий ключ) и SSID (который используется в качестве «начального числа» и виден всем в диапазоне ) для генерации ключей шифрования. Сгенерированный ключ — парный главный ключ (PMK) — используется для шифрования данных с использованием TKIP / CCMP.PMK основан на известном значении (кодовой фразе), поэтому любой, у кого есть это значение (включая сотрудника, покидающего компанию), может захватить ключ и потенциально использовать грубую силу для расшифровки трафика.
Несколько слов о семенах и SSID.
- SSID — Все имена сетей, которые отображаются в списке точек доступа Wi-Fi вашего устройства, являются SSID. Программное обеспечение для анализа сети может сканировать SSID, даже если он предположительно скрыт. По словам Стива Райли из Microsoft, «SSID — это имя сети, а не — я повторяю, не — пароль.У беспроводной сети есть SSID, чтобы отличать ее от других беспроводных сетей поблизости. SSID никогда не предназначался для скрытия, поэтому он не обеспечит никакой защиты вашей сети, если вы попытаетесь его скрыть. Скрытие SSID является нарушением спецификации 802.11; поправка к спецификации 802.11i (которая определяет WPA2, обсуждается ниже) даже гласит, что компьютер может отказаться от связи с точкой доступа, которая не передает свой SSID ».
- Seeds — SSID и длина SSID обрабатываются перед тем, как стать частью сгенерированного PMK.SSID и длина SSID используются в качестве начальных значений, которые инициализируют генератор псевдослучайных чисел, используемый для объединения парольной фразы, создавая хешированный ключ. Это означает, что пароли по-разному хешируются в сетях с разными SSID, даже если они используют один и тот же пароль.
Хорошая парольная фраза может снизить потенциальный риск, связанный с использованием SSID в качестве начального значения. Парольную фразу следует генерировать случайным образом и часто менять, особенно после использования точки доступа Wi-Fi и когда сотрудник увольняется из компании.
WPA2-Enterprise — после того, как сервер RADIUS аутентифицировал клиента, он возвращает случайный 256-битный PMK , который CCMP использует для шифрования данных только для текущего сеанса. «Семя» неизвестно, и каждая сессия требует нового PMK, поэтому атаки методом перебора — пустая трата времени. WPA2 Enterprise может, но обычно не использовать PSK.
Какой тип шифрования лучше всего подходит для вас, AES, TKIP или оба? (Решено)Первоначальный вопрос, заданный в этой статье, заключался в том, следует ли использовать AES, TKIP или оба варианта для WPA2?
Выбор типа шифрования на вашем маршрутизатореВаш выбор (в зависимости от вашего устройства) может включать:
- WPA2 с TKIP — вам следует выбирать этот вариант, только если ваши устройства слишком старые для подключения к более новым Тип шифрования AES
- WPA2 с AES — это лучший выбор (и по умолчанию) для новых маршрутизаторов, поддерживающих AES.Иногда вы видите только WPA2-PSK , что обычно означает, что ваше устройство поддерживает PSK по умолчанию.
- WPA2 с AES и TKIP — это альтернатива для устаревших клиентов, которые не поддерживают AES. Когда вы используете WPA2 с AES и TKIP (что может потребоваться при обмене данными с устаревшими устройствами), вы можете столкнуться с более медленными скоростями передачи. Сообщество AirHead объясняет это тем, что «групповые шифры всегда будут иметь самый низкий шифр». AES использует большую вычислительную мощность, поэтому, если у вас много устройств, вы можете увидеть снижение производительности в офисе.Максимальная скорость передачи для сетей, использующих пароли WEP или WPA (TKIP), составляет 54 Мбит / с (Источник: CNet).
- WPA / WPA2 — аналогично варианту, приведенному выше, вы можете выбрать его, если у вас есть старые устройства, но он не так безопасен, как вариант только для WPA2.
На вашем устройстве вместо WPA2 вы может отображаться опция «WPA2-PSK». Вы можете относиться к этому как к одному и тому же.
Советы по усилению безопасности PSKКомментарии Терренса Кумана о Stack Exchange помогают понять, почему WPA2-Enterprise более безопасен, чем WPA2-Personal.Он также дает следующие советы:
- Установите свой SSID («начальное число» PMK) на случайную строку из такого количества цифр, которое вам разрешено, что сделает PMK менее уязвимым для атак методом грубой силы.
- Создайте длинную случайную строку. PSK и регулярно меняйте его
- Уникальный SSID может сделать вас уязвимыми для воров, которым будет легче найти вас на Wigle. Если вы действительно параноик, вам следует подумать об использовании вместо этого VPN.
Согласно NetSpot, «Вероятно, единственный недостаток WPA2 — это то, сколько вычислительной мощности ему необходимо для защиты вашей сети.Это означает, что необходимо более мощное оборудование, чтобы избежать снижения производительности сети. Эта проблема касается старых точек доступа, которые были реализованы до WPA2 и поддерживают WPA2 только через обновление прошивки. Большинство нынешних точек доступа оснащены более мощным оборудованием ». И большинство поставщиков продолжают поставлять исправления WPA2.
WPA2 будет постепенно заменяться WPA3, выпущенным в июне 2018 года после выявления уязвимости безопасности под названием KRACK в WPA2 в прошлом году.Ожидается, что внедрение займет некоторое время (возможно, до 2019 года), пока поставщики сертифицируют и отправляют новые устройства. Хотя были выпущены исправления для уязвимости KRACK, WPA2 в целом не так безопасен, как WPA3. Для начала убедитесь, что вы выбрали наиболее безопасный метод шифрования. Скептик Дион Филлипс, пишущий для InfiniGate, считает: «… сомнительно, что текущие беспроводные устройства будут обновлены для поддержки WPA3, и гораздо более вероятно, что следующая волна устройств пройдет процесс сертификации.”
Вы поняли; в конце концов, скорее всего, вам придется покупать новый роутер. А пока, чтобы оставаться в безопасности, вы можете пропатчить и защитить WPA2.
Документированных отчетов об атаках KRACK пока не поступало, но сертификация WPA3 обеспечивает гораздо большую безопасность, чем просто устранение уязвимости KRACK. В настоящее время это необязательная программа сертификации, но со временем она станет обязательной по мере того, как все больше поставщиков примут ее. Узнайте больше о WPA2 и 3 из статьи Comparitech о том, что такое WPA3 и насколько он безопасен?
Безопасность WPA3
Хотя обновления безопасности WPA3 исправили многие дыры в WPA2, это было не идеально.В 2019 году исследователи опубликовали результаты, которые показали, как злоумышленник в пределах досягаемости своей жертвы может восстановить пароль жертвы. Атака сработала, несмотря на лежащее в основе WPA3 рукопожатие Dragonfly, цель которого — сделать непрактичным взлом пароля сети.
Атака вызывает беспокойство, потому что это означает, что злоумышленник может получить доступ к конфиденциальным данным, таким как данные для входа, если они вводятся без HTTPS-соединения (вы всегда должны убедиться, что у вас есть HTTPS-соединение, когда вы вводите свой пароль или другую конфиденциальную информацию. на веб-сайт, в противном случае данные будут уязвимы).
Подробности атаки объясняются исследователями в их статье Dragonblood: Analyzing the Dragonfly Handshake WPA3 и EaP-pwd. Вместе с Wi-Fi Alliance и CERT / CC они уведомили затронутых поставщиков и помогли им реализовать контрмеры.
Руководство по безопасности WPA3
В конце 2019 года Wi-Fi Alliance выпустил набор рекомендаций по безопасности для WPA3, чтобы минимизировать риски атак:
- Надежные пароли — Это довольно стандартный совет по безопасности, но пароли используются с WPA3-Personal должен быть сложным.Они также должны быть длинными и уникальными. Реализация также должна ограничить количество попыток аутентификации, чтобы хакеры не смогли подобрать пароль.
- Защита от отказа в обслуживании — Реализации точки доступа должны обрабатывать операции одновременной аутентификации равных (SAE) в непривилегированных очередях обработки. Если они перегружены, они не должны приводить к отказу всего базового набора служб из-за потребления ресурсов ЦП (дополнительные сведения см. В разделе «Отказ в обслуживании» указанной выше ссылки).
- Рекомендуемые группы Диффи-Хеллмана — В реализациях SAE следует использовать только группы Диффи-Хеллмана 15–21 (см. Раздел «Подходящие группы Диффи-Хеллмана» по ссылке выше). Группа 19 является обязательной, а остальные группы — необязательными. Сила выбранной группы Диффи-Хеллмана должна быть равна или превышать стойкость предлагаемого шифра шифрования. Параметр безопасности k реализации SAE должен иметь значение не менее 40.
- Атаки по побочным каналам — реализации SAE должен избегать различий в исполнении кода, которые высвобождают информацию побочного канала и могут быть собраны через кеш.
- WPA3-Personal Transition Mode — Если это не соответствует требованиям безопасности для развертывания, WPA3-Personal и WPA-2 Personal должны быть развернуты с их собственными индивидуальными SSID. Они должны использовать уникальные и логически разделенные пароли (дополнительные сведения см.