Шифрование tkip или aes: PT-P750W | Poccия | Brother Solutions Center

Содержание

TKIP или AES

от Sergey

Содержание

TKIP и AES — это два альтернативных типа шифрования, которые применяются в режимах безопасности WPA и WPA2. В настройках безопасности беспроводной сети в роутерах и точках доступа можно выбирать один из трёх вариантов шифрования:

  • TKIP;
  • AES;
  • TKIP+AES.

При выборе последнего (комбинированного) варианта клиенты смогут подключаться к точке доступа, используя любой из двух алгоритмов.

TKIP или AES? Что лучше?

Ответ: для современных устройств, однозначно больше подходит алгоритм AES.

Используйте TKIP только в том случае, если при выборе первого у вас возникают проблемы (такое иногда бывает, что при использовании шифрования AES связь с точкой доступа обрывается или не устанавливается вообще. Обычно, это называют несовместимостью оборудования).

В чём разница

AES — это современный и более безопасный алгоритм. Он совместим со стандартом 802.11n и обеспечивает высокую скорость передачи данных.

TKIP является устаревшим. Он обладает более низким уровнем безопасности и поддерживает скорость передачи данных вплоть до 54 МБит/сек.

Как перейти с TKIP на AES

Случай 1. Точка доступа работает в режиме TKIP+AES

В этом случае вам достаточно изменить тип шифрования на клиентских устройствах. Проще всего это сделать, удалив профиль сети и подключившись к ней заново.

Случай 2. Точка доступа использует только TKIP

В этом случае:

1. Сперва зайдите на веб-интерфейс точки доступа (или роутера соответственно). Смените шифрование на AES и сохраните настройки (подробнее читайте ниже).

2. Измените шифрование на клиентских устройствах (подробнее — в следующем параграфе). И опять же, проще забыть сеть и подключиться к ней заново, введя ключ безопасности.

Включение AES-шифрования на роутере

На примере D-Link

Зайдите в раздел Wireless Setup.

Нажмите кнопку Manual Wireless Connection Setup.

Установите режим безопасности WPA2-PSK.

Найдите пункт Cipher Type и установите значение AES.

Нажмите Save Settings.

На примере TP-Link

Откройте раздел Wireless.

Выберите пункт Wireless Security.

В поле Version выберите WPA2-PSK.

В поле Encryption выберите AES.

Нажмите кнопку Save:

Изменение типа шифрования беспроводной сети в Windows

Windows 10 и Windows 8.1

В этих версиях ОС отсутствует раздел Управление беспроводными сетями. Поэтому, здесь три варианта смены шифрования.

Вариант 1. Windows сама обнаружит несовпадение параметров сети и предложит заново ввести ключ безопасности. При этом правильный алгоритм шифрования будет установлен автоматически.

Вариант 2. Windows не сможет подключиться и предложит забыть сеть, отобразив соответствующую кнопку:

После этого вы сможете подключиться к своей сети без проблем, т.к. её профиль будет удалён.

Вариант 3. Вам придётся удалять профиль сети вручную через командную строку и лишь потом подключаться к сети заново.

Выполните следующие действия:

1 Запустите командную строку.

2 Введите команду:

netsh wlan show profiles

для вывода списка сохранённых профилей беспроводных сетей.

3 Теперь введите команду:

netsh wlan delete profile "имя вашей сети"

для удаления выбранного профиля.

Если имя сети содержит пробел (например «wifi 2»), возьмите его в кавычки.

На картинке показаны все описанные действия:

4 Теперь нажмите на иконку беспроводной сети в панели задач:

5 Выберите сеть.

6 Нажмите Подключиться:

7 Введите ключ безопасности.

8 Нажмите Далее:

 Windows 7

Здесь всё проще и нагляднее.

1 Нажмите по иконке беспроводной сети в панели задач.

2 Нажмите на ссылку Центр управления сетями и общим доступом:


3 Нажмите на ссылку Управление беспроводными сетями:

4 Нажмите правой кнопкой мыши по профилю нужной сети.

5 Выберите Свойства:

Внимание! На этом шаге можно также нажать Удалить сеть и просто подключиться к ней заново! Если вы решите сделать так, то далее читать не нужно.

6 Перейдите на вкладку Безопасность.

7 В поле Тип шифрования выберите AES.

8 Нажмите OK:


Результат:

 Windows XP

Сделайте двойной щелчок по значку беспроводной сети в панели задач:

В открывшемся окне нажмите кнопку Беспроводные сети:

Нажмите на ссылку Изменить порядок предпочтения сетей:

В следующем окне на вкладке Беспроводные сети выделите имя нужной беспроводной сети и нажмите кнопку Свойства:

На этом этапе, как и в Windows 7, можно просто удалить профиль и затем подключиться к wifi заново. При этом верные параметры шифрования установятся автоматически.

Если же вы просто решили отредактировать настройки, то на вкладке Связи измените тип шифрования и нажмите OK:

Статьи по теме:

  • Как забыть сеть в Windows 10 и Windows 8.1;
  • Параметры сети, сохранённые на этом компьютере, не соответствуют требованиям этой сети;

следует ли использовать WPA2-AES, WPA2-TKIP или оба? 】 — Greatech

Что в статье:

  • 1 Введение
  • 2 AES против TKIP
  • 3 Разработанные режимы безопасности Wi-Fi
    • 3.1 Немного из истории
  • 4 WPA и TKIP замедлят ваш Wi-Fi

Введение

Многие Wi-Fi роутеры предоставляют WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP / AES) в качестве параметров. Стоит выбрать не тот, и у вас будет более медленная и менее защищенная сеть.

Wired Equivalent Privacy (WEP), защищенный доступ Wi-Fi (WPA) и защищенный доступ Wi-Fi II (WPA2) – это основные алгоритмы безопасности, которые вы увидите при настройке беспроводной сети. WEP является самым старым и уязвимым, поскольку все больше и больше недостатков безопасности оказываются обнаруженными. WPA улучшила безопасность, но теперь также считается уязвимой для вторжения. WPA2, хоть и не идеальный, но в настоящее время самый надежный выбор. Протокол целостности временных ключей (TKIP) и Advanced Encryption Standard (AES) – это два разных типа шифрования, которые вы увидите в сетях, защищенных WPA2. Давайте посмотрим, как они отличаются и который из них лучше всего подходит для вас.

AES против TKIP

TKIP и AES – это два разных типа шифрования, которые могут использоваться сетью Wi-Fi. TKIP на самом деле является более старым протоколом шифрования, введенным с WPA, чтобы заменить незащищенное шифрование WEP в то время. TKIP на самом деле очень похож на WEP-шифрование. TKIP больше не считается безопасным и теперь устарел. Другими словами, вы не должны его использовать.

AES – это более безопасный протокол шифрования, введенный с WPA2. AES – это не какой-то скрипучий стандарт, разработанный специально для сетей Wi-Fi. Это серьезный мировой стандарт шифрования, который даже был принят правительством США. Например, когда вы шифруете жесткий диск с помощью TrueCrypt, для этого может использоваться шифрование AES. AES, как правило, считается достаточно безопасным, и основными недостатками могут быть атаки грубой силы (предотвращенные с использованием сильной кодовой фразы) и недостатки безопасности в других аспектах WPA2.

Коротко говоря TKIP является более старым стандартом шифрования, используемым WPA. AES – это новое решение для шифрования Wi-Fi, используемое новым и безопасным стандартом WPA2. Теоретически это конец. Но, в зависимости от вашего роутера, просто выбор WPA2 может быть недостаточно хорошим.

Хотя WPA2 должен использовать AES для обеспечения оптимальной безопасности, он также может использовать TKIP, где необходима обратная совместимость с устаревшими устройствами. В таком состоянии устройства, поддерживающие WPA2, будут подключаться к WPA2, а устройства, поддерживающие WPA, будут подключаться к WPA. Поэтому «WPA2» не всегда означает WPA2-AES. Однако на устройствах без видимой опции «TKIP» или «AES» WPA2 обычно является синонимом WPA2-AES.


  • Лучшие усилители Wi-Fi

И в случае, если вам интересно, «PSK» в этих именах означает «предварительный общий ключ». Предварительно общий ключ – это, как правило, ваша кодовая фраза шифрования. Это отличает его от WPA-Enterprise, который использует сервер RADIUS для раздачи уникальных ключей в крупных корпоративных или правительственных сетях Wi-Fi.

Разработанные режимы безопасности Wi-Fi

Не много запутались? Мы не удивлены. Но все, что вам действительно нужно сделать, это определить один, самый безопасный вариант в списке, который работает с вашими устройствами. Вот варианты, которые вы, вероятно, увидите на своем роутере:

  • Открыто (опасно): в открытых сетях Wi-Fi нет кодовой фразы. Вы не должны настраивать сеть Wi-Fi как открытую – серьезно, это как оставить дверь дома открытой.
  • WEP 64 (опасно): старый стандарт протокола WEP уязвим, и вы действительно не должны его использовать.
  • WEP 128 (опасно): это WEP, но с большим размером ключа шифрования. На самом деле он не менее уязвим, чем WEP 64.
  • WPA-PSK (TKIP): используется исходная версия протокола WPA (по существу WPA1). Он был заменен WPA2 и не является безопасным.
  • WPA-PSK (AES): используется оригинальный протокол WPA, но заменяет TKIP более современным AES-шифрованием. Он предлагается как временная мера, но устройства, поддерживающие AES, почти всегда поддерживают WPA2, а устройства, требующие WPA, почти никогда не будут поддерживать шифрование AES. Таким образом, этот вариант не имеет смысла.
  • WPA2-PSK (TKIP): используется современный стандарт WPA2 со старым шифрованием TKIP. Это небезопасно, и это хорошая идея, если у вас есть более старые устройства, которые не могут подключиться к сети WPA2-PSK (AES).
  • WPA2-PSK (AES): Это самый безопасный вариант. Он использует WPA2, новейший стандарт шифрования Wi-Fi и новейший протокол шифрования AES. Вы должны использовать этот параметр. На некоторых устройствах вы просто увидите опцию «WPA2» или «WPA2-PSK». Если вы это сделаете, вероятно, все будет отлично, так как это выбор здравого смысла.
  • WPAWPA2-PSK (TKIP / AES): Некоторые устройства предлагают и даже рекомендуют этот вариант смешанного режима. Эта опция позволяет использовать как WPA, так и WPA2, как с TKIP, так и с AES. Это обеспечивает максимальную совместимость с любыми древними устройствами, которые у вас могут быть, но также позволяет злоумышленнику нарушать вашу сеть, взламывая более уязвимые протоколы WPA и TKIP.

Немного из истории

Сертификация WPA2 стала доступной в 2004 году, десять лет назад. В 2006 году сертификация WPA2 стала обязательной. Любое устройство, изготовленное после 2006 года с логотипом «Wi-Fi», должно поддерживать шифрование WPA2.

Поскольку ваши устройства с поддержкой Wi-Fi, скорее всего, новее 8-10 лет, все должно быть в порядке, просто выбирайте WPA2-PSK (AES). Если устройство перестает работать, вы всегда можете его изменить. Хотя, если безопасность вызывает беспокойство, вы можете просто купить новое устройство, выпущенное после 2006 года.

WPA и TKIP замедлят ваш Wi-Fi

Параметры совместимости WPA и TKIP также могут замедлить работу вашей сети Wi-Fi. Многие современные Wi-Fi роутеры, поддерживающие 802.11n и более новые, более быстрые стандарты, будут замедляться до 54 Мбит / с, если вы включите WPA или TKIP. Они делают это для того, чтобы гарантировать совместимость с этими более старыми устройствами.

Для сравнения, даже 802.11n поддерживает до 300 Мбит / с, если вы используете WPA2 с AES. Теоретически 802.11ac предлагает максимальную скорость 3,46 Гбит / с при оптимальных условиях (считайте: идеальный).

На большинстве роутеров, которые мы видели, параметры, как правило, включают WEP, WPA (TKIP) и WPA2 (AES) – с возможностью совместимости с WPA (TKIP) + WPA2 (AES).

Если у вас есть нечетный тип роутера, который предлагает WPA2 в вариантах TKIP или AES, выберите AES. Почти все ваши устройства, безусловно, будут работать с ним, и это быстрее и безопаснее. Это простой выбор, если вы помните, что AES – хорош.

Перевод статьи: “Wi-Fi Security: Should You Use WPA2-AES, WPA2-TKIP, or Both?

Сохрани себе или поделись с другим

Какое шифрование выбрать tkip или aes. Насколько это надежно

Сегодня мы чуть глубже копнем тему защиты беспроводного соединения. Разберемся, что такое — его еще называют «аутентификацией» — и какой лучше выбрать. Наверняка при вам попадались на глаза такие аббревиатуры, как WEP, WPA, WPA2, WPA2/PSK. А также их некоторые разновидности — Personal или Enterprice и TKIP или AES. Что ж, давайте более подробно изучим их все и разберемся, какой тип шифрования выбрать для обеспечения максимальной без потери скорости.

Отмечу, что защищать свой WiFi паролем нужно обязательно, не важно, какой тип шифрования вы при этом выберете. Даже самая простая аутентификация позволит избежать в будущем довольно серьезных проблем.

Почему я так говорю? Тут даже дело не в том, что подключение множества левых клиентов будет тормозить вашу сеть — это только цветочки. Главная причина в том, что если ваша сеть незапаролена, то к ней может присосаться злоумышленник, который из-под вашего роутера будет производить противоправные действия, а потом за его действия придется отвечать вам, так что отнеситесь к защите wifi со всей серьезностью.

Шифрование WiFi данных и типы аутентификации

Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:

Что такое WEP защита wifi?

WEP (Wired Equivalent Privacy) — это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.

Что такое ключ WPA или пароль?

WPA (Wi-Fi Protected Access) — более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.

Что такое WPA2-PSK — Personal или Enterprise?

WPA2 — усовершенствованный вариант предыдущего типа. Взлом WPA2 практически невозможен, он обеспечивает максимальную степень безопасности, поэтому в своих статьях я всегда без объяснений говорю о том, что нужно устанавливать именно его — теперь вы знаете, почему.

У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:

  • Personal , обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев — и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
  • Enterprise — более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу , то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.

Типы шифрования WPA — TKIP или AES?

Итак, мы определились, что оптимальным выбором для обеспечения безопасности сети будет WPA2/PSK (Personal), однако у него есть еще два типа шифрования данных для аутентификации.

  • TKIP — сегодня это уже устаревший тип, однако он все еще широко употребляется, поскольку многие девайсы энное количество лет выпуска поддерживают только его. Не работает с технологией WPA2/PSK и не поддерживает WiFi стандарта 802.11n.
  • AES — последний на данный момент и самый надежный тип шифрования WiFi.

Какой выбрать тип шифрования и поставить ключ WPA на WiFi роутере?

С теорией разобрались — переходим к практике. Поскольку стандартами WiFi 802.11 «B» и «G», у которых максимальная скорость до 54 мбит/с, уже давно никто не пользуется — сегодня нормой является 802.11 «N» или «AC», которые поддерживают скорость до 300 мбит/с и выше, то рассматривать вариант использования защиты WPA/PSK с типом шифрования TKIP нет смысла. Поэтому когда вы настраиваете беспроводную сеть, то выставляйте по умолчанию

WPA2/PSK — AES

Либо, на крайний случай, в качестве типа шифрования указывайте «Авто», чтобы предусмотреть все-таки подключение устройств с устаревшим WiFi модулем.

При этом ключ WPA, или попросту говоря, пароль для подключения к сети, должен иметь от 8 до 32 символов, включая английские строчные и заглавные буквы, а также различные спецсимволы.

Защита беспроводного режима на маршрутизаторе TP-Link

На приведенных выше скринах показана панель управления современным роутером TP-Link в новой версии прошивки. Настройка шифрования сети здесь находится в разделе «Дополнительные настройки — Беспроводной режим».

В старой «зеленой» версии интересующие нас конфигурации WiFi сети расположены в меню «Беспроводной режим — Защита «. Сделаете все, как на изображении — будет супер!

Если заметили, здесь еще есть такой пункт, как «Период обновления группового ключа WPA». Дело в том, что для обеспечения большей защиты реальный цифровой ключ WPA для шифрования подключения динамически меняется. Здесь задается значение в секундах, после которого происходит смена. Я рекомендую не трогать его и оставлять по умолчанию — в разных моделях интервал обновления отличается.

Метод проверки подлинности на роутере ASUS

На маршрутизаторах ASUS все параметры WiFi расположены на одной странице «Беспроводная сеть»

Защита сети через руотер Zyxel Keenetic

Аналогично и у Zyxel Keenetic — раздел «Сеть WiFi — Точка доступа»

В роутерах Keenetic без приставки «Zyxel» смена типа шифрования производится в разделе «Домашняя сеть».

Настройка безопасности роутера D-Link

На D-Link ищем раздел «Wi-Fi — Безопасность »

Что ж, сегодня мы разобрались типами шифрования WiFi и с такими терминами, как WEP, WPA, WPA2-PSK, TKIP и AES и узнали, какой из них лучше выбрать. О других возможностях обеспечения безопасности сети читайте также в одной из прошлых статей, в которых я рассказываю о по MAC и IP адресам и других способах защиты.

Видео по настройке типа шифрования на маршрутизаторе

WPA шифрование подразумевает использование защищенной сети Wi-Fi. Вообще, WPA расшифровывается как Wi-Fi Protected Access, то есть защищенный доступ к Wi-Fi.

Большинство системных администраторов умеют настраивать этот протокол и знают о нем достаточно много.

Но и обычные люди могут узнать достаточно много о том, что же такое WPA, как его настроить и как использовать.

Правда, в интернете можно найти множество статей по этому поводу, из которых невозможно ничего понять. Поэтому сегодня мы будем говорить простым языком о сложных вещах.

Немного теории

Итак, WPA – это протокол, технология, программа, которая содержит в себе набор сертификатов, используемых при передаче сигнала Wi-Fi.

Если проще, эта технология позволяет использовать различные методы аутентификации для защиты Wi-Fi сети.

Это может быть электронный ключ, он же – специальное свидетельство о праве использования данной сети (дальше мы об этом поговорим).

В общем, при помощи этой программы использовать сеть смогут только те, кто имеет на это право и это все, что Вам нужно знать.

Для справки: Аутентификация – это средство защиты, которое позволяет установить подлинность лица и его право на доступ к сети, при помощи сопоставления сообщенных им и ожидаемых данных.

К примеру, человек может проходить аутентификацию, когда прикладывает свой палец к сканнеру отпечатка пальца. Если он просто вводит логин и пароль, это только авторизация.

Но отпечаток пальца позволяет проверить, действительно ли заходит этот человек, а не кто-то взял его данные и вошел с их помощью.

Рис. 1. Сканер отпечатка пальца на смартфоне

Так вот, в компьютерных сетях также используются определенные способы подтверждения того, что доступ к сети получает именно то устройство, которое имеет на это право.

В WPA есть собственный набор таких способов. О них мы поговорим далее, а перед этим уточним несколько важных моментов.

Что нужно знать о WPA?

  1. Данную технологию могут использовать не все устройства, а только те, которые поддерживают ее на программном уровне. То есть если производитель заложил в устройство функцию поддержки WPA, значит, его можно использовать.
  2. WPA является наследием WEP, другой технологии, в которой не было аутентификации как таковой.
  3. WPA использует специальные ключи, которые рассылаются всем устройствам, которые будут иметь право подключаться к сети. А дальше все просто:
  • сигнал попадает на новое устройство и запрашивает у него ключ;
  • если устройство дает ключ, то подключается к сети;
  • а если не дает, сигнал об этом отправляется на центральное устройство и подключение не происходит.

Если Вы когда-то работали с Cisco Pocket Tracer (симулятор построения сетей от этой фирмы), то принцип работы данной технологии Вы сможете понять, если посмотрите на рисунок 2.

Предупреждение! В принципе, если Вы никогда не работали с Cisco Pocket Tracer, не заморачивайтесь. И без этой схемы Вам все будет понятно.

Там есть LAP – прибор, который осуществляет удаленное управление и передает сигнал клиенту, то есть компьютеру, который использует сигнал Wi-Fi.

А также на схеме есть WLC – контроллер беспроводной локальной сети. Справа расположен сервер аутентификации.

Все это соединяет обычный Switch (устройство, которое просто соединяет различные сетевые устройства). С контроллера посылается ключ на сервер аутентификации, запоминается там.

Клиент при попытке подключиться к сети должен передать на LAP ключ, который он знает. Этот ключ попадает на сервер аутентификации и сравнивается с нужным ключом.

Если ключи совпадают, сигнал свободно распространяется к клиенту.

Рис. 2. Примерная схема WPA в Cisco Pocket Tracer

Составляющие WPA

Как мы говорили выше, WPA использует специальные ключи, которые генерируются при каждой попытке начать передачу сигнала, то есть включить Wi-Fi, а также меняются раз в некоторое время.

В WPA входит сразу несколько технологий, которые и помогают генерировать и передавать эти самые ключи.

Ниже, на рисунке, показана общая формула, в которую входят все составляющие рассматриваемой технологии.

Рис. 3. Формула с составляющими WPA

А теперь рассмотрим каждую из этих составляющих по отдельности:

  • 1X – это стандарт, который используется для генерирования того самого уникального ключа, с помощью которого в дальнейшем и происходит аутентификация.
  • EAP – это так называемый расширяемый протокол аутентификации. Он отвечает за формат сообщений, с помощью которых передаются ключи.
  • TKIP – протокол, который позволил расширить размер ключа до 128 байт (раньше, в WEP, он был лишь 40 байт).
  • MIC – механизм проверки сообщений (в частности, они проверяются на предмет целостности). Если сообщения не отвечают критериям, они отправляются обратно.

Стоит сказать, что сейчас уже есть WPA2, в котором, кроме всего вышесказанного, используются также CCMP и шифрование AES.

Мы не будем сейчас говорить о том, что это такое, но WPA2 надежнее, чем WPA. Это все, что Вам точно нужно знать.

Еще раз с самого начала

Итак, у Вас есть Wi-Fi. В сети используется технология WPA.

Чтобы подключиться к Wi-Fi, каждое устройство должно предоставить сертификат пользователя, а если проще, то специальный ключ, выданный сервером аутентификации.

Только тогда он сможет использовать сеть. Вот и все!

Теперь Вы знаете, что же такое WPA. Теперь поговорим о том, чем хороша и чем плоха эта технология.

Преимущества и недостатки WPA шифрования

К преимуществам данной технологии стоило бы отнести следующее:

  1. Усиленная безопасность передачи данных (в сравнении с WEP, предшественником, WPA).
  2. Более жесткий контроль доступа к Wi-Fi.
  3. Совместимость с большим количеством устройств, которые используются для организации беспроводной сети.
  4. Централизованное управление безопасностью. Центром в этом случае является сервер аутентификации. За счет этого злоумышленники не имеют возможности получить доступ к скрытым данным.
  5. Предприятия могут использовать собственные политики безопасности.
  6. Простота в настройке и дальнейшем использовании.

Конечно же, есть у данной технологии и недостатки, причем они зачастую оказываются весьма значительными. В частности, речь идет вот о чем:

  1. Ключ TKIP можно взломать максимум за 15 минут. Об этом заявила группа специалистов в 2008 году на конференции PacSec.
  2. В 2009 году специалистами из Университета Хиросимы был разработан метод взлома любой сети, где используется WPA, за одну минуту.
  3. С помощью уязвимости, названной специалистами Hole196, можно использовать WPA2 со своим ключом, а не с тем, который требуется сервером аутентификации.
  4. В большинстве случаев любое WPA можно взломать с помощью обычного перебора всех возможных вариантов (брут-форс), а также при помощи так называемой атаки по словарю. Во втором случае используются варианты не в хаотическом порядке, а по словарю.

Конечно, чтобы воспользоваться всеми этими уязвимостями и проблемами, необходимо иметь особенные знания в области построения компьютерных сетей.

Большинству рядовых пользователей все это недоступно. Поэтому Вы можете особо не переживать о том, что кто-то получит доступ к Вашему Wi-Fi.

Рис. 4. Взломщик и компьютер

О настройке WPA шифрования

Для пользователя настройка выглядит очень просто – он выбирает технологию WPA для шифрования пароля, с помощью которого он будет подключаться к сети.

Точнее, он использует WPA-PSK, то есть WPA не с ключом, а с паролем. Для этого он заходит в настройки роутера, находит там тип сетевой аутентификации и задает пароль.

Если более подробно, эта процедура выполняется следующим образом:

  1. Чтобы зайти в настройки роутера, в своем браузере, в адресную строку введите 192.168.0.1 или же 192.168.1.1. Если Вы ничего не меняли в этом окне, то логин и пароль будут одинаковыми – «admin» и «admin».
  2. Дальше найдите пункт, касающийся метода аутентификации. К примеру, если используется Asus RT-N12, этот пункт находится в разделе «Advanced Settings» и в подразделе «Wireless» (это в меню слева). WPA выбирается возле надписи «Authentication Method».
  3. А также важными параметрами указываются «WPA Pre-Shared Key», то есть пароль для подключения к сети и «SSID», то есть название сети.

Рис. 5. Окно настройки роутера

Как можно заметить на рисунке 5, там есть также поле «WPA Encryption». Обычно эти два параметра (и «Authentication Method») указываются вместе.

Под параметром «Encryption» подразумевается тип шифрования. Существует всего два типа, которые используются вместе с WPA – TKIP и AES.

А также используются комбинации этих двух типов.

Что касается выбора типа шифрования, то вот Вам инструкции по этой теме:

  1. Если Вам действительно важна защищенность Вашей сети, используйте AES. При этом не применяйте никакие комбинации с TKIP.
  2. Если Вы используете устаревшие устройства, которые не поддерживают WPA2, лучше использовать TKIP.
  3. Для домашней сети вполне подойдет и TKIP. Это создаст меньшую нагрузку на сеть, но и снизит ее защищенность.

Никаких других советов в этом случае быть не может. У TKIP безопасность слабее и этим все сказано.

Собственно, это все, что можно сказать о WPA шифровании.

Выше мы говорили о том, что у данной технологии есть достаточно много уязвимостей. Ниже Вы можете видеть, как они используются для взлома сети.

Здравствуйте дорогие читатели. Слабая система защиты маршрутизатора подвергает вашу сеть опасности. Все мы знаем, насколько важна безопасность маршрутизатора, но большинство людей не осознают, что некоторые настройки безопасности могут замедлить работы всей сети.

Основными вариантами шифрования данных, проходящих через маршрутизатор, являются протоколы WPA2-AES и WPA2-TKIP . Сегодня вы поговорим о каждом из них и объясним, почему стоит выбирать AES.

Знакомимся с WPA

WPA или защищённый доступ к Wi-Fi стал ответом Wi-Fi Альянса на уязвимости безопасности, которыми изобиловал протокол WEP. Важно отметить, что он не предназначался в качестве полноценного решения. Скорее, он должен был стать временным выбором, позволяющим людям использовать существующие маршрутизаторы, не прибегая к помощи протокола WEP, имеющего заметные изъяны в безопасности.

Хотя WPA и превосходил WEP, он тоже имел собственные проблемы с безопасностью. Несмотря на то, что атаки обычно не были способны пробиться через сам алгоритм TKIP (протокол целостности временного ключа), обладающий 256-битным шифрованием, они могли обойти дополнительную систему, встроенную в данный протокол и называющуюся WPS или Защищённая Установка Wi-Fi .

Защищённая Установка Wi-Fi была разработана для облегчения подключения устройств друг к другу. Однако из-за многочисленных брешей безопасности, с которыми она была выпущена, WPS начала исчезать в небытие, унося с собой WPA.

На данный момент как WPA, так и WEP уже не используются, поэтому мы станем вдаваться в подробности и, вместо этого, рассмотрим новую версию протокола — WPA2.

Почему WPA2 лучше

В 2006 году WPA стал устаревшим протоколом и на смену ему пришёл WPA2.

Замена шифрования TKIP на новый и безопасный алгоритм AES (стандарт продвинутого шифрования) привела к появлению более быстрых и защищённых Wi-Fi сетей. Причина в том, что TKIP был не полноценным алгоритмом, а скорее временной альтернативой. Проще говоря, протокол WPA-TKIP являлся промежуточным выбором, обеспечившим работоспособность сетей в течение трёх лет, прошедших между появлением WPA-TKIP и выпуском WPA2-AES.

Дело в том, что AES — реальный алгоритм шифрования, использующийся не только для защиты Wi-Fi сетей. Это серьёзный мировой стандарт, применявшийся правительством, когда-то популярной программой TrueCrypt и многими другими для защиты данных от любопытных глаз. Тот факт, что этот стандарт защищает вашу домашнюю сеть — приятный бонус, но для этого требуется приобрести новый маршрутизатор.

AES против TKIP в плане безопасности

TKIP — это, по сути, патч для WEP, решающий проблему из-за которой атакующий мог получить ваш ключ после исследования относительно небольшого объёма трафика, прошедшего через маршрутизатор. TKIP исправил эту уязвимость путём выпуска нового ключа каждые несколько минут, что в теории не позволило бы хакеру собрать достаточно данных для расшифровки ключа или потокового шифра RC4, на который полагается алгоритм.

Хотя TKIP в своё время стал значительным улучшением в плане безопасности, сегодня он превратится в устаревшую технологию, уже не считающуюся достаточно безопасной для защиты сетей от хакеров. К примеру, его крупнейшая, но не единственная уязвимость, известная как chop-chop атака стала достоянием общественности ещё до появления самого метода шифрования.

Chop-chop атака позволяет хакерам, знающим как перехватывать и анализировать потоковые данные, генерируемые сетью, использовать их для расшифровки ключа и отображения информации в виде обычного, а не закодированного текста.

AES — совершенно другой алгоритм шифрования, намного превосходящий возможности TKIP. Этот алгоритм представляет собой 128, 192 или 256-битный блоковый шифр, не страдающий уязвимостями, которые имел TKIP.

Если объяснять алгоритм простым языком, он берёт открытый текст и преобразует его в зашифрованный текст. Для стороннего наблюдателя, не имеющего ключа, такой текст выглядит как строка случайных символов. Устройство или человек на другой стороне передачи имеет ключ, который разблокирует или расшифровывает данные. В этом случае, маршрутизатор имеет первый ключ и шифрует данные до передачи, а у компьютера есть второй ключ, который расшифровывает информацию, позволяя вывести её на ваш экран.

Уровень шифрования (128, 192 или 256-бит) определяет количество перестановок применяемых к данным, а значит и потенциальное число возможных комбинаций, если вы заходите его взломать.

Даже самый слабый уровень AES шифрования (128-бит) теоретически невозможно взломать, поскольку компьютеру текущий вычислительной мощности потребовалось бы 100 миллиардов лет на поиск верного решения для данного алгоритма.

AES против TKIP в плане скорости

TKIP — устаревший метод шифрования и, кроме проблем с безопасностью, он также замедляет системы, которые до сих пор с ним работают.

Большинство новых маршрутизаторов (всё стандарта 802.11n или старше) по умолчанию используют шифрование WPA2-AES, но если вы работаете со старым маршрутизатором или по какой-то причине выбрали шифрование WPA-TKIP, высоки шансы, что вы теряете значительную часть скорости.

Любой маршрутизатор, поддерживающий стандарт 802.11n (хотя вам всё же стоит приобрести маршрутизатор AC), замедляется до 54 Мбит при включении WPA или TKIP в настройках безопасности. Это делается для того, чтобы протоколы безопасности корректно работали со старыми устройствами.

Стандарт 802.11ac с шифрованием WPA2-AES теоретически предлагает максимальную скорость 3,46 Гбит в оптимальных (читай: невозможных) условиях. Но даже если не принимать это во внимание, WPA2 и AES всё равно гораздо быстрее, чем TKIP.

Итоги

AES и TKIP вообще нельзя сравнивать между собой. AES — более продвинутая технология, во всех смыслах этого слова. Высокая скорость работы маршрутизаторов, безопасный браузинг и алгоритм, на который полагаются даже правительства крупнейших стран делают её единственно верным выбором для всех новых и уже существующих Wi-Fi сетей.

Учитывая всё, что предлагает AES, есть ли достойная причина отказаться от использования этого алгоритма в домашней сети? А почему вы применяете (или не применяете) его?

Я купил себе новый роутер и решил его настроить самостоятельно. Все настроил — интернет и беспроводная сеть работает. Возник вопрос, ведь радиоволны (Wi-Fi в моем случае) распространяются не только в рамках моей квартиры. Соответственно, их можно перехватывать. Теоретически. В роутере есть настройка шифрования беспроводной сети. Я предполагаю, что именно для исключения перехвата и «подслушивания». Вопрос, какой из протоколов шифрования, имеющихся в моем роутере, выбрать? Доступны: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Какое шифрование Wi-Fi следует использовать в моем случае?

norik | 16 февраля 2015, 10:14
Опущу описания всяких устаревших протоколов шифрования Wi-Fi. Потому буду описывать только те, которыми пользоваться имеет смысл. Если протокол здесь не описан, то либо это экзотика, либо он вам не нужен.

WPA и WPA2 (Wi-Fi Protected Access) — есть на всех роутерах. Самый ходовой и распространенный протокол. Он же один из самых современных. ИМХО — лучший выбор для дома и небольшого офиса. Впрочем, для крупных офисов тоже вполне подойдет, разве что имеет смысл авторизацию сделать посложнее. Длина пароля у него до 63 байт, поэтому подбором взламывать — можно поседеть раньше. Разумеется выбирать нужно WPA2, если он поддерживается всеми устройствами в сети (не понимают его только совсем уж старые гаджеты).

Что действительно ценно, так это то, что внутри данного сервиса можно использовать несколько алгоритмов шифрования. Среди них: 1. TKIP — не рекомендую, так как вполне можно найти дыру.
2. CCMP — намного лучше.
3. AES — мне он нравится больше всего, но поддерживается не всеми устройствами, хотя в спецификации WPA2 имеется.

WPA2 еще предусматривает два режима начальной аутентификации. Эти режимы — PSK и Enterprise. WPA Personal, он же WPA PSK подразумевает, что все пользователи будут входить в беспроводную сеть единому паролю, вводимому на стороне клиента в момент подключения к сетке. Для дома отлично, но для большого офиса — проблематично. Сложно будет менять каждый раз пароль для всех, когда уволится очередной сотрудник, знающий его.

WPA Enterprise предполагает наличие отдельного сервера с набором ключей. Для дома или офиса на 6 машин это громоздко, а вот если в офисе 3 десятка беспроводных устройств, то можно озаботиться.

Собственно этим и исчерпывается выбор шифрования Wi-Fi на данный момент. Остальные протоколы либо вообще не имеют шифрования или пароля, либо имеют дыры в алгоритмах, куда не залезет только совсем ленивый. Я рекомендую сочетание WPA2 Personal AES для дома. Для крупных офисов — WPA2 Enterprise AES. Если нет AES, то можно обойтись и TKIP, но тогда сохраняется вероятность чтения пакетов посторонним лицом. Есть мнение, что WPA2 TKIP так и не взломали, в отличие от WPA TKIP, но береженого…

), который позволяет защитить Вас от несанкционированного подключения, например, вредных соседей. Пароль паролем, но его ведь могут и взломать, если конечно, среди Ваших соседей нет «хакеров-взломщиков». Поэтому, Wi-Fi протокол еще имеет и различные типы шифрования, которые как раз и позволяют защитить Wi-Fi от взлома, хоть и не всегда.

На данный момент существуют такие типы шифрования, как OPEN , WEB , WPA , WPA2 , о которых мы сегодня и поговорим.

OPEN

Шифрование OPEN по сути никакого шифрования и не имеет, другими словами – нет защиты. Поэтому, любой человек, который обнаружит Вашу точку доступа, сможет легко к ней подключиться. Лучше всего будет поставить шифрования WPA 2 и придумать какой-нибудь сложный пароль.

WEB

Данный тип шифрования появился в конце 90-х и является самым первым. На данный момент WEB (Wired Equivalent Privacy ) – это самый слабый тип шифрования. Некоторые роутеры и другие устройства, поддерживающие Wi-Fi, исключают поддержку WEB.

Как я уже сказал, шифрование WEB очень ненадежно и его лучше избегать, как и OPEN, так как, он создает защиту на очень короткое время, по истечению которого можно с легкостью узнать пароль любой сложности. Обычно пароли WEB имеют 40 или 103 бита, что позволяет подобрать комбинацию за несколько секунд.

Дело в том, что WEB передает части этого самого пароля (ключа) вместе с пакетами данных, а эти пакеты можно с легкостью перехватить. На данный момент существуют несколько программ, занимающихся как раз перехватом этих самых пакетов, но говорить об этом в этой статье я не буду.

WPA/WPA2


Данный тип является самым современным и новых пока что еще нет. Можно задавать произвольную длину пароля от 8 до 64 байтов и это достаточно сильно затрудняет взлом.

А тем временем, стандарт WPA поддерживает множество алгоритмов шифрования, которые передаются после взаимодействия TKIP с CCMP . TKIP был что-то типа мостика между WEB и WPA , и существовал до тех пор, пока IEEE (Institute of Electrical and Electronics Engineers) создавали полноценный алгоритм CCMP . Между тем, TKIP тоже страдал от некоторых типов атак, поэтому его тоже считают не очень безопасным.

Также, шифрование WPA2 использует два режима начальной аутентификации, другими словами, проверки пароля для доступа пользователя (клиента) к сети. Называются они PSK и Enterprise . Первый режим – означает вход по одному паролю, который мы вводим при подключении. Для больших компаний это не очень удобно, так как, после ухода каких-то сотрудников, приходится каждый раз менять пароль, чтобы он не получил доступ к сети, и уведомлять об этом остальных сотрудников, подключенных к этой сети. Поэтому, чтобы все это было более удобно, придумали режим Enterprise , который позволяет использовать множество ключей, хранящихся на сервере RADIUS .

WPS

Технология WPS или по-другому QSS позволяет подключаться к сети посредством простого нажатия кнопки. В принципе о пароле можно даже и не думать. Но тут тоже есть свои недостатки, которые имеют серьезные просчеты в системе допуска.

С помощью WPS мы можем подключаться к сети по коду, состоящему из 8 символов, по-другому PIN . Но в данном стандарте существуют ошибка из-за которой узнав всего 4 цифры данного пин кода, можно узнать и весть ключ, для этого достаточно 10 тысяч попыток . Таким образом, можно получить и пароль, каким бы сложным он не был.

На вход через WPS, в секунду можно отправлять по 10-50 запросов, и через часов 4-16 Вы получите долгожданный ключик.

Конечно, всему приходит конец, данная уязвимость была раскрыта и уже в будущих технологиях стали внедрять ограничения на число попыток входа, после истечения этого периода, точка доступа временно отключает WPS. На сегодняшний момент более половины пользователей все еще имеют устройства без данной защиты.

Если Вы хотите защитить свой пароль, то рекомендуется отключить WPS, делается это обычно в админ-панели. Если Вы иногда пользуетесь WPS, то включайте его только тогда, когда подключаетесь к сети, в остальное время выключайте.

Вот таким образом мы с Вами узнали о различных типах шифрования Wi-Fi сети, какие из них лучше, а какие хуже. Лучше, конечно же, использовать шифрование начиная с WPA, но WPA2 намного лучше.

По каким-то вопросам или есть, что добавить, обязательно отпишитесь в комментариях.

А тем временем, Вы можете посмотреть видео о том, как усилить Wi-Fi соединение , а также усилить USB-модем .

В чем разница между WPA2, WPA, WEP, AES и TKIP?

Практически везде, куда вы идете сегодня, есть сеть WiFi, к которой вы можете подключиться. Будь то дома, в офисе или в местной кофейне, существует множество сетей WiFi. Каждая сеть Wi-Fi настроена на какую-то сетевую безопасность, либо открытую для всех, либо крайне ограниченную, где могут подключаться только определенные клиенты.

Когда дело доходит до безопасности WiFi, у вас есть только несколько вариантов, особенно если вы настраиваете домашнюю беспроводную сеть. На сегодняшний день тремя крупными протоколами безопасности являются WEP, WPA и WPA2. Два больших алгоритма, которые используются с этими протоколами, — это TKIP и AES с CCMP. Я объясню некоторые из этих понятий более подробно ниже.

Какой вариант безопасности выбрать?

Если вам не нужны все технические подробности каждого из этих протоколов и вы просто хотите узнать, какой из них выбрать для своего беспроводного маршрутизатора, ознакомьтесь со списком ниже. Он ранжируется от самых безопасных до наименее безопасных. Чем более безопасный вариант вы можете выбрать, тем лучше.

Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)

Если вы не уверены, что некоторые из ваших устройств смогут подключаться наиболее безопасным способом, я предлагаю вам включить его, а затем проверить, есть ли какие-либо проблемы. Я думал, что несколько устройств не будут поддерживать самое высокое шифрование, но был удивлен, обнаружив, что они подключены очень хорошо.

  1. WPA2 Enterprise (802.1x RADIUS)
  2. WPA2-PSK AES
  3. WPA-2-PSK AES + WPA-PSK TKIP
  4. WPA TKIP
  5. WEP
  6. Открыто (Нет безопасности)

Стоит отметить, что WPA2 Enterprise не использует предварительные общие ключи (PSK), но вместо этого использует протокол EAP и требует внутреннего сервера RADIUS для аутентификации с использованием имени пользователя и пароля. PSK, который вы видите с WPA2 и WPA, в основном является ключом беспроводной сети, который вы должны ввести при первом подключении к беспроводной сети.

WPA2 Enterprise гораздо сложнее в настройке и обычно выполняется только в корпоративных средах или в домах с технически подкованными владельцами. Практически вы сможете выбирать только варианты от 2 до 6, хотя большинство маршрутизаторов теперь даже не имеют опции для WEP или WPA TKIP, потому что они небезопасны.

Обзор WEP, WPA и WPA2

Я не буду вдаваться в технические подробности каждого из этих протоколов, потому что вы можете легко найти их в Google для получения дополнительной информации. По сути, протоколы беспроводной безопасности появились в конце 90-х годов и с тех пор развиваются. К счастью, только несколько протоколов были приняты, и поэтому это намного легче понять.

WEP

WEP или Wired Equivalent Privacy была выпущена еще в 1997 году вместе со стандартом 802.11 для беспроводных сетей. Он должен был обеспечить конфиденциальность, эквивалентную проводной сети (отсюда и название).

WEP начинался с 64-битного шифрования и в конечном итоге прошел до 256-битного шифрования, но наиболее популярной реализацией в маршрутизаторах было 128-битное шифрование. К сожалению, очень скоро после введения WEP исследователи безопасности обнаружили несколько уязвимостей, которые позволили им взломать ключ WEP в течение нескольких минут.

Даже с обновлениями и исправлениями протокол WEP оставался уязвимым и легким для проникновения. В ответ на эти проблемы WiFi Alliance представил WPA или WiFi Protected Access, который был принят в 2003 году.

WPA

На самом деле WPA предназначалось лишь как промежуточное средство правовой защиты до тех пор, пока они не смогут завершить WPA2, который был введен в 2004 году и в настоящее время является стандартом, используемым в настоящее время. WPA использовал TKIP или протокол целостности временного ключа в качестве способа обеспечения целостности сообщения. Это отличалось от WEP, в котором использовались CRC или циклическая проверка избыточности. TKIP был намного сильнее, чем CRC.

К сожалению, чтобы обеспечить совместимость, WiFi Alliance позаимствовал некоторые аспекты у WEP, что в итоге сделало WPA небезопасным и с TKIP. WPA включил новую функцию под названием WPS (WiFi Protected Setup), которая должна была упростить пользователям подключение устройств к беспроводному маршрутизатору. Однако в результате появились уязвимости, которые позволили исследователям безопасности взломать ключ WPA за короткий промежуток времени.

WPA2

WPA2 стал доступен еще в 2004 году и официально потребовался к 2006 году. Самым большим изменением между WPA и WPA2 стало использование алгоритма шифрования AES с CCMP вместо TKIP.

В WPA AES был необязательным, но в WPA2 AES является обязательным, а TKIP — необязательным. С точки зрения безопасности, AES намного безопаснее, чем TKIP. В WPA2 были обнаружены некоторые проблемы, но они относятся только к корпоративной среде и не относятся к домашним пользователям.

WPA использует 64-битный или 128-битный ключ, наиболее распространенным из которых является 64-битный для домашних маршрутизаторов. WPA2-PSK и WPA2-Personal являются взаимозаменяемыми терминами.

Так что если вам нужно что-то вспомнить из всего этого, то вот что: WPA2 — самый безопасный протокол, а AES с CCMP — самое безопасное шифрование. Кроме того, WPS должен быть отключен, поскольку очень легко взломать и перехватить PIN-код маршрутизатора, который затем можно использовать для подключения к маршрутизатору. Если у вас есть какие-либо вопросы, не стесняйтесь комментировать. Наслаждайтесь!

Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)

Tkip aes что это

Содержание

  • 1 Краткий ответ
  • 2 Про аутентификацию
  • 3 Про шифрование
  • 4 Выбор на разных роутерах
    • 4.1 TP-Link
    • 4.2 ZyXEL Keenetik
    • 4.3 D-Link
  • 5 AES vs. TKIP
  • 6 Опции безопасности для сети Wi-Fi
  • 7 WPA и TKIP замедляют сеть Wi-Fi
  • 8 TKIP или AES? Что лучше?
    • 8.1 В чём разница
  • 9 Как перейти с TKIP на AES
    • 9.1 Случай 1. Точка доступа работает в режиме TKIP+AES
    • 9.2 Случай 2. Точка доступа использует только TKIP
  • 10 Включение AES-шифрования на роутере
    • 10.1 На примере D-Link
    • 10.2 На примере TP-Link
  • 11 Изменение типа шифрования беспроводной сети в Windows
    • 11.1 Windows 10 и Windows 8. 1
    • 11.2 Windows 7
    • 11.3 Windows XP
    • 11.4 Статьи по теме:
    • 11.5 Возможно, будет интересно:

Привет! Заходишь ты такой в настройки своего роутера, а в разделе безопасности беспроводной сети сталкиваешься с первой серьезной и непонятно проблемой – TKIP или AES? Что выбрать пока не понятно, да и практических советов на эту тему нет, ибо все мануалы по настройкам шифрования написаны специалистами для специалистов. Что делать? WiFiGid и Ботан помогут разобраться!

Остались вопросы? Добро пожаловать в наши горячие комментарии с приятным сообществом!

Краткий ответ

Тем, кто не хочет терять своего времени, лучший вариант:

Для тех, кому важно узнать почему да как это все было определено, предлагаю ознакомиться со статьей.

Про аутентификацию

Wi-Fi без защиты в наше время похож на находки якутскими учеными мамонтов – зверь вымер, но раз в год находки всплывают. Это к тому, что любую домашнюю сеть в наше время принято защищать любым типом аутентификации. А какие они есть?

  • WEP (Wired Equivalent Privacy) – устаревший стандарт, современный брут паролей взламывает его легко.
  • WPA (Wi-Fi Protected Access) – надежная обновленная система защиты. Пароли от 8 символов сильно мешают бруту.
  • WPA2 – самый используемый тип, как правило сейчас у всех стоит именно он.
  • WPA3 – новинка, обязателен в новом Wi-Fi Идеально, но есть далеко не во всех моделях, поэтому мы обращаем внимание прежде всего на WPA2, даже сейчас его взлом практически невозможен при сильном пароле.

Ну» а здесь я покажу, какие настройки нужно активировать на разных моделях роутеров. Раздел создан с целью показать разницу в интерфейсах, но единую модель выбора.

Все модели перечислить невозможно. Пользуйтесь поиском на нашем сайте, найдите свою модель, ознакомьтесь с полной инструкцией по настройке.

TP-Link

Современные интерфейсы TP-Link тоже могут отличаться между собой. У меня до сих пор вот такой «зеленый». Но даже на самых новых идея сохраняется – заходите в пункт «Беспроводной режим», а в подпункте «Защита…» располагаются все нужные нам настройки.

Стандарты WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) и WPA2 (Wi-Fi Protected Access II), которые будут вам предложены на выбор при настройке параметров безопасности беспроводной сети, представляют собой основные алгоритмы защиты информации. WEP является старейшим из них и наиболее уязвимым, так как за время его использования в нем было обнаружено множество слабых мест. WPA дает более совершенную защиту, но по имеющимся данным он также подвержен взлому. WPA2 – в настоящее время развивающийся стандарт – на текущий момент является самым распространенным вариантом защиты. TKIP (Temporal Key Integrity Protocol) и AES (Advanced Encryption Standard) представляют собой два различных типа шифрования, которые могут применяться в стандарте WPA2. Давайте посмотрим, чем они отличаются и какой из них в наибольшей степени подходит вам.

AES vs. TKIP

TKIP и AES представляют собой два различных стандарта шифрования, которые могут использоваться в сетях Wi-Fi. TKIP – более старый протокол шифрования, введенный в свое время стандартом WPA взамен крайне ненадежного алгоритма WEP. На самом деле TKIP во многом подобен алгоритму шифрования WEP. TKIP уже не считается надежным методом защиты и в настоящее время не рекомендуется. Другими словами, вам не следует его использовать.

AES – более надежный протокол шифрования, введенный стандартом WPA2. AES – это не какой-нибудь унылый, тот или другой стандарт, разработанный специально для сетей Wi-Fi. Это серьезный мировой стандарт шифрования, взятый на вооружение даже правительством США. Например, когда вы зашифровываете жесткий диск с помощью программы TrueCrypt, она может использовать для этого алгоритм шифрования AES. AES является общепризнанным стандартом, обеспечивающим практически полную безопасность, а его возможные слабые места – потенциальная восприимчивость к атакам методом «грубой силы» (для противодействия которым применяются достаточно сложные кодовые фразы) и недостатки защиты, связанные с другими аспектами WPA2.

Усеченный вариант защиты – TKIP, более старый протокол шифрования, используемый стандартом WPA. AES для Wi-Fi – более новое решение в части шифрования, применяемое в новом и безопасном стандарте WPA2. В теории на этом можно было бы закончить. Но на практике, в зависимости от вашего роутера, простого выбора WPA2 может оказаться недостаточно.

Хотя стандарт WPA2 для оптимальной защиты предполагает использование AES, он может использовать и TKIP – там, где требуется обратная совместимость с устройствами предыдущих поколений. При таком раскладе устройства, поддерживающие WPA2, будут подключаться в соответствии с WPA2, а устройства, поддерживающие WPA, будут подключаться в соответствии с WPA. То есть «WPA2» не всегда означает WPA2-AES. Тем не менее, на устройствах без явного указания опций «TKIP» или «AES» WPA2 обычно является синонимом WPA2-AES.
Аббревиатура «PSK» в полном наименовании этих опций расшифровывается как «pre-shared key» – ваша кодовая фраза (ключ шифра). Это отличает персональные стандарты от WPA-Enterprise, в котором используется RADIUS-сервер для выдачи уникальных ключей в больших корпоративных или правительственных сетях Wi-Fi.

Опции безопасности для сети Wi-Fi

Еще более сложно? Ничего удивительного. Но всё, что вам на самом деле нужно сделать – это найти в рабочем списке вашего устройства одну, обеспечивающую наибольшую защиту опцию. Вот наиболее вероятный список опций вашего роутера:

  • Open (risky): в открытых сетях Wi-Fi нет кодовых фраз. Вам не следует устанавливать эту опцию – серьезно, вы можете дать повод полиции нагрянуть к вам в гости.
  • WEP 64 (risky): старый стандарт протокола WEP легко уязвим, и вам не следует его использовать.
  • WEP 128 (risky): это тот же WEP, но с увеличенной длиной шифровального ключа. По факту уязвим не менее, чем WEP 64.
  • WPA-PSK (TKIP): здесь используется оригинальная версия протокола WPA (по сути – WPA1). Он не вполне безопасен и был заменен на WPA2.
  • WPA-PSK (AES): здесь используется оригинальный протокол WPA, где TKIP заменен на более современный стандарт шифрования AES. Этот вариант предлагается как временная мера, но устройства, поддерживающие AES, почти всегда будут поддерживать WPA2, в то время как устройства, которым требуется WPA, почти никогда не будут поддерживать AES. Таким образом, эта опция не имеет большого смысла.
  • WPA2-PSK (TKIP): здесь используется современный стандарт WPA2 со старым алгоритмом шифрования TKIP. Этот вариант не безопасен, и его достоинство заключается только в том, что он подходит для старых устройств, которые не поддерживают опцию WPA2-PSK (AES).
  • WPA2-PSK (AES): это наиболее употребительная опция безопасности. Здесь используется WPA2, новейший стандарт шифрования для сетей Wi-Fi, и новейший протокол шифрования AES. Вам следует использовать эту опцию. На некоторых устройствах вы увидите опцию под названием просто «WPA2» или «WPA2-PSK», что в большинстве случаев подразумевает использование AES.
  • WPAWPA2-PSK (TKIP/AES): некоторые устройства предлагают – и даже рекомендуют – такую смешанную опцию. Данная опция позволяет использовать и WPA, и WPA2 – как с TKIP, так и с AES. Это обеспечивает максимальную совместимость с любыми древними устройствами, которые у вас могут быть, но также дает хакерам возможность проникнуть в вашу сеть путем взлома более уязвимых протоколов WPA и TKIP.
    Сертификация WPA2 действительна с 2004 г., в 2006 г. она стала обязательной. Любое устройство с логотипом «Wi-Fi», произведенное после 2006 г., должно поддерживать стандарт шифрования WPA2.

Поскольку ваше устройство с возможностью подключения к сети Wi-Fi скорее всего моложе 11 лет, вы можете чувствовать себя спокойно, просто выбирая опцию WPA2-PSK (AES). Установив эту опцию, вы также сможете проверить работоспособность вашего устройства. Если устройство перестает работать, вы всегда сможете вернуть или обменять его. Хотя, если безопасность имеет для вас большое значение, вы можете просто купить новое устройство, произведенное не ранее 2006 г.

WPA и TKIP замедляют сеть Wi-Fi

Выбираемые в целях совместимости опции WPA и TKIP могут еще и замедлить работу сети Wi-Fi. Многие современные роутеры Wi-Fi, поддерживающие 802.11n или более новые и быстрые стандарты, будут снижать скорость до 54 Мбит/с, если вы установите на них опцию WPA или TKIP, – для обеспечения гарантированной совместимости с гипотетическими старыми устройствами.

TKIP и AES — это два альтернативных типа шифрования, которые применяются в режимах безопасности WPA и WPA2. В настройках безопасности беспроводной сети в роутерах и точках доступа можно выбирать один из трёх вариантов шифрования:

При выборе последнего (комбинированного) варианта клиенты смогут подключаться к точке доступа, используя любой из двух алгоритмов.

TKIP или AES? Что лучше?

Ответ: для современных устройств, однозначно больше подходит алгоритм AES.

Используйте TKIP только в том случае, если при выборе первого у вас возникают проблемы (такое иногда бывает, что при использовании шифрования AES связь с точкой доступа обрывается или не устанавливается вообще. Обычно, это называют несовместимостью оборудования).

В чём разница

AES — это современный и более безопасный алгоритм. Он совместим со стандартом 802.11n и обеспечивает высокую скорость передачи данных.

TKIP является устаревшим. Он обладает более низким уровнем безопасности и поддерживает скорость передачи данных вплоть до 54 МБит/сек.

Как перейти с TKIP на AES

Случай 1. Точка доступа работает в режиме TKIP+AES

В этом случае вам достаточно изменить тип шифрования на клиентских устройствах. Проще всего это сделать, удалив профиль сети и подключившись к ней заново.

Случай 2. Точка доступа использует только TKIP

1. Сперва зайдите на веб-интерфейс точки доступа (или роутера соответственно). Смените шифрование на AES и сохраните настройки (подробнее читайте ниже).

2. Измените шифрование на клиентских устройствах (подробнее — в следующем параграфе). И опять же, проще забыть сеть и подключиться к ней заново, введя ключ безопасности.

Включение AES-шифрования на роутере

На примере D-Link

Зайдите в раздел Wireless Setup.

Нажмите кнопку Manual Wireless Connection Setup.

Установите режим безопасности WPA2-PSK.

Найдите пункт Cipher Type и установите значение AES.

Нажмите Save Settings.

На примере TP-Link

Откройте раздел Wireless.

Выберите пункт Wireless Security.

В поле Version выберите WPA2-PSK.

В поле Encryption выберите AES.

Нажмите кнопку Save:

Изменение типа шифрования беспроводной сети в Windows

Windows 10 и Windows 8.1

В этих версиях ОС отсутствует раздел Управление беспроводными сетями. Поэтому, здесь три варианта смены шифрования.

Вариант 1. Windows сама обнаружит несовпадение параметров сети и предложит заново ввести ключ безопасности. При этом правильный алгоритм шифрования будет установлен автоматически.

Вариант 2. Windows не сможет подключиться и предложит забыть сеть, отобразив соответствующую кнопку:

После этого вы сможете подключиться к своей сети без проблем, т.к. её профиль будет удалён.

Вариант 3. Вам придётся удалять профиль сети вручную через командную строку и лишь потом подключаться к сети заново.

Выполните следующие действия:

1 Запустите командную строку.

2 Введите команду:

для вывода списка сохранённых профилей беспроводных сетей.

3 Теперь введите команду:

для удаления выбранного профиля.

Если имя сети содержит пробел (например «wifi 2»), возьмите его в кавычки.

На картинке показаны все описанные действия:

4 Теперь нажмите на иконку беспроводной сети в панели задач:

5 Выберите сеть.

6 Нажмите Подключиться:

7 Введите ключ безопасности.

8 Нажмите Далее:

Windows 7

Здесь всё проще и нагляднее.

1 Нажмите по иконке беспроводной сети в панели задач.

2 Нажмите на ссылку Центр управления сетями и общим доступом:


3 Нажмите на ссылку Управление беспроводными сетями:

4 Нажмите правой кнопкой мыши по профилю нужной сети.

5 Выберите Свойства:

Внимание! На этом шаге можно также нажать Удалить сеть и просто подключиться к ней заново! Если вы решите сделать так, то далее читать не нужно.

6 Перейдите на вкладку Безопасность.

7 В поле Тип шифрования выберите AES.

8 Нажмите OK:


Результат:

Windows XP

Сделайте двойной щелчок по значку беспроводной сети в панели задач:

В открывшемся окне нажмите кнопку Беспроводные сети:

Нажмите на ссылку Изменить порядок предпочтения сетей:

В следующем окне на вкладке Беспроводные сети выделите имя нужной беспроводной сети и нажмите кнопку Свойства:

На этом этапе, как и в Windows 7, можно просто удалить профиль и затем подключиться к wifi заново. При этом верные параметры шифрования установятся автоматически.

Если же вы просто решили отредактировать настройки, то на вкладке Связи измените тип шифрования и нажмите OK:

Статьи по теме:

Возможно, будет интересно:

Пожалуйста, поделитесь статьей, если она вам понравилась:

«>

что использовать – WPA2-AES, WPA2-TKIP или и то и другое

Протокол WPA2 определяется стандартом IEEE 802.11i, созданным в 2004 году, с целью заменить . В нём реализовано CCMP и шифрование AES , за счет чего WPA2 стал более защищённым, чем свой предшественник. С 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных устройств.

Разница между WPA и WPA2

Поиск разницы между и WPA2 для большинства пользователей актуальности не имеет, так как вся защита беспроводной сети сводится к выбору более-менее сложного пароля на доступ. На сегодняшний день ситуация такова, что все устройства, работающие в сетях Wi-Fi, обязаны поддерживать WPA2, так что выбор WPA обусловлен может быть только нестандартными ситуациями. К примеру, операционные системы старше Windows XP SP3 не поддерживают работу с WPA2 без применения патчей, так что машины и устройства, управляемые такими системами, требуют внимания администратора сети. Даже некоторые современные смартфоны могут не поддерживать новый протокол шифрования, преимущественно это касается внебрендовых азиатских гаджетов. С другой стороны, некоторые версии Windows старше XP не поддерживают работу с WPA2 на уровне объектов групповой политики, поэтому требуют в этом случае более тонкой настройки сетевых подключений.

Техническое отличие WPA от WPA2 состоит в технологии шифрования, в частности, в используемых протоколах. В WPA используется протокол TKIP, в WPA2 — протокол AES. На практике это означает, что более современный WPA2 обеспечивает более высокую степень защиты сети. К примеру, протокол TKIP позволяет создавать ключ аутентификации размером до 128 бит, AES — до 256 бит.

Отличие WPA2 от WPA заключается в следующем:

  • WPA2 представляет собой улучшенный WPA.
  • WPA2 использует протокол AES, WPA — протокол TKIP.
  • WPA2 поддерживается всеми современными беспроводными устройствами.
  • WPA2 может не поддерживаться устаревшими операционными системами.
  • Степень защиты WPA2 выше, чем WPA.

Аутентификация в WPA2

Как WPA, так и WPA2 работают в двух режимах аутентификации: персональном (Personal) и корпоративном (Enterprise) . В режиме WPA2-Personal из введенной открытым текстом парольной фразы генерируется 256-разрядный ключ, иногда именуемый предварительно распределяемым ключом . Ключ PSK, а также идентификатор и длина последнего вместе образуют математический базис для формирования главного парного ключа PMK (Pairwise Master Key) , который используется для инициализации четырехстороннего квитирования связи и генерации временного парного или сеансового ключа PTK (Pairwise Transient Key) , для взаимодействия беспроводного пользовательского устройства с точкой доступа. Как и статическому , протоколу WPA2-Personal присуще наличие проблем распределения и поддержки ключей, что делает его более подходящим для применения в небольших офисах, нежели на предприятиях.

Однако в протоколе WPA2-Enterprise успешно решаемы проблемы, касающиеся распределения статических ключей и управления ими, а его интеграция с большинством корпоративных сервисов аутентификации обеспечивает контроль доступа на основе учетных записей. Для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль; аутентификация же осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг соединения и направляют аутентификационные пакеты на соответствующий сервер аутентификации, как правило, это . Базой для режима WPA2-Enterprise служит стандарт 802.1X, поддерживающий основанную на контроле портов аутентификацию пользователей и машин, пригодную как для проводных коммутаторов, так и для беспроводных точек доступа.

Шифрование WPA2

В основе стандарта WPA2 лежит метод шифрования AES, пришедший на смену стандартам DES и 3DES в качестве отраслевого стандарта де-факто. Требующий большого объема вычислений, стандарт AES нуждается в аппаратной поддержке, которая не всегда имеется в старом оборудовании БЛВС.

Для аутентификации и обеспечения целостности данных WPA2 использует протокол CBC-MAC (Cipher Block Chaining Message Authentication Code), а для шифрования данных и контрольной суммы MIC — режим счетчика (Counter Mode — CTR). Код целостности сообщения (MIC) протокола WPA2 представляет собой не что иное, как контрольную сумму и в отличие от и WPA обеспечивает целостность данных для неизменных полей заголовка 802.11. Это предотвращает атаки типа packet replay с целью расшифровки пакетов или компрометации криптографической информации.

Для расчета MIC используется 128-разрядный вектор инициализации (Initialization Vector — IV), для шифрования IV — метод AES и временный ключ, а в итоге получается 128-разрядный результат. Далее над этим результатом и следующими 128 бит данных выполняется операция “исключающее ИЛИ”. Результат ее шифруется посредством AES и TK, а затем над последним результатом и следующими 128 бит данных снова выполняется операция “исключающее ИЛИ”. Процедура повторяется до тех пор, пока не будет исчерпана вся полезная нагрузка. Первые 64 разряда полученного на самом последнем шаге результата используются для вычисления значения MIC.

Для шифрования данных и MIC используется основанный на режиме счетчика алгоритм. Как и при шифровании вектора инициализации MIC, выполнение этого алгоритма начинается с предварительной загрузки 128-разрядного счетчика, где в поле счетчика вместо значения, соответствующего длине данных, берется значение счетчика, установленное на единицу. Таким образом, для шифрования каждого пакета используется свой счетчик.

С применением AES и TK шифруются первые 128 бит данных, а затем над 128-бит результатом этого шифрования выполняется операция “исключающее ИЛИ”. Первые 128 бит данных дают первый 128-разрядный зашифрованный блок. Предварительно загруженное значение счетчика инкрементально увеличивается и шифруется посредством AES и ключа шифрования данных. Затем над результатом этого шифрования и следующими 128 бит данных, снова выполняется операция “исключающее ИЛИ”.

Процедура повторяется до тех пор, пока не зашифруются все 128-разрядные блоки данных. После этого окончательное значение в поле счетчика сбрасывается в ноль, счетчик шифруется с использованием алгоритма AES, а затем над результатом шифрования и MIC выполняется операция “исключающее ИЛИ”. Результат последней операции пристыковывается к зашифрованному кадру.

После подсчета MIC с использованием протокола CBC-MAC производится шифрование данных и MIC. Затем к этой информации спереди добавляется заголовок 802.11 и поле номера пакета CCMP, пристыковывается концевик 802.11 и все это вместе отправляется по адресу назначения.

Расшифровка данных выполняется в обратном шифрованию порядке. Для извлечения счетчика задействуется тот же алгоритм, что и при его шифровании. Для дешифрации счетчика и зашифрованной части полезной нагрузки применяются основанный на режиме счетчика алгоритм расшифровки и ключ TK. Результатом этого процесса являются расшифрованные данные и контрольная сумма MIC. После этого, посредством алгоритма CBC-MAC, осуществляется перерасчет MIC для расшифрованных данных. Если значения MIC не совпадают, то пакет сбрасывается. При совпадении указанных значений расшифрованные данные отправляются в сетевой стек, а затем клиенту.

Эта статья посвящена вопросу безопасности при использовании беспроводных сетей WiFi.

Введение — уязвимости WiFi

Главная причина уязвимости пользовательских данных, когда эти данные передаются через сети WiFi, заключается в том, что обмен происходит по радиоволне. А это дает возможность перехвата сообщений в любой точке, где физически доступен сигнал WiFi. Упрощенно говоря, если сигнал точки доступа можно уловить на дистанции 50 метров, то перехват всего сетевого трафика этой WiFi сети возможен в радиусе 50 метров от точки доступа. В соседнем помещении, на другом этаже здания, на улице.

Представьте такую картину. В офисе локальная сеть построена через WiFi. Сигнал точки доступа этого офиса ловится за пределами здания, например на автостоянке. Злоумышленник, за пределами здания, может получить доступ к офисной сети, то есть незаметно для владельцев этой сети. К сетям WiFi можно получить доступ легко и незаметно. Технически значительно легче, чем к проводным сетям.

Да. На сегодняшний день разработаны и внедрены средства защиты WiFi сетей. Такая защита основана на шифровании всего трафика между точкой доступа и конечным устройством, которое подключено к ней. То есть радиосигнал перехватить злоумышленник может, но для него это будет просто цифровой «мусор».

Как работает защита WiFi?

Точка доступа, включает в свою WiFi сеть только то устройство, которое пришлет правильный (указанный в настройках точки доступа) пароль. При этом пароль тоже пересылается зашифрованным, в виде хэша. Хэш это результат необратимого шифрования. То есть данные, которые переведены в хэш, расшифровать нельзя. Если злоумышленник перехватит хеш пароля он не сможет получить пароль.

Но каким образом точка доступа узнает правильный указан пароль или нет? Если она тоже получает хеш, а расшифровать его не может? Все просто — в настройках точки доступа пароль указан в чистом виде. Программа авторизации берет чистый пароль, создает из него хеш и затем сравнивает этот хеш с полученным от клиента. Если хеши совпадают значит у клиента пароль верный. Здесь используется вторая особенность хешей — они уникальны. Одинаковый хеш нельзя получить из двух разных наборов данных (паролей). Если два хеша совпадают, значит они оба созданы из одинакового набора данных.

Кстати. Благодаря этой особенности хеши используются для контроля целостности данных. Если два хеша (созданные с промежутком времени) совпадают, значит исходные данные (за этот промежуток времени) не были изменены.

Тем, не менее, не смотря на то, что наиболее современный метод защиты WiFi сети (WPA2) надежен, эта сеть может быть взломана. Каким образом?

Есть две методики доступа к сети под защитой WPA2:

  1. Подбор пароля по базе паролей (так называемый перебор по словарю).
  2. Использование уязвимости в функции WPS.

В первом случае злоумышленник перехватывает хеш пароля к точке доступа. Затем по базе данных, в которой записаны тысячи, или миллионы слов, выполняется сравнение хешей. Из словаря берется слово, генерируется хеш для этого слова и затем этот хеш сравнивается с тем хешем который был перехвачен. Если на точке доступа используется примитивный пароль, тогда взлом пароля, этой точки доступа, вопрос времени. Например пароль из 8 цифр (длина 8 символов это минимальная длина пароля для WPA2) это один миллион комбинаций. На современном компьютере сделать перебор одного миллиона значений можно за несколько дней или даже часов.

Во втором случае используется уязвимость в первых версиях функции WPS. Эта функция позволяет подключить к точке доступа устройство, на котором нельзя ввести пароль, например принтер. При использовании этой функции, устройство и точка доступа обмениваются цифровым кодом и если устройство пришлет правильный код, точка доступа авторизует клиента. В этой функции была уязвимость — код был из 8 цифр, но уникальность проверялась только четырьмя из них! То есть для взлома WPS нужно сделать перебор всех значений которые дают 4 цифры. В результате взлом точки доступа через WPS может быть выполнен буквально за несколько часов, на любом, самом слабом устройстве.

Настройка защиты сети WiFi

Безопасность сети WiFi определяется настройками точки доступа. Несколько этих настроек прямо влияют на безопасность сети.

Режим доступа к сети WiFi

Точка доступа может работать в одном из двух режимов — открытом или защищенном. В случае открытого доступа, подключиться к точке досутпа может любое устройство. В случае защищенного доступа подключается только то устройство, которое передаст правильный пароль доступа.

Существует три типа (стандарта) защиты WiFi сетей:

  • WEP (Wired Equivalent Privacy) . Самый первый стандарт защиты. Сегодня фактически не обеспечивает защиту, поскольку взламывается очень легко благодаря слабости механизмов защиты.
  • WPA (Wi-Fi Protected Access) . Хронологически второй стандарт защиты. На момент создания и ввода в эксплуатацию обеспечивал эффективную защиту WiFi сетей. Но в конце нулевых годов были найдены возможности для взлома защиты WPA через уязвимости в механизмах защиты.
  • WPA2 (Wi-Fi Protected Access) . Последний стандарт защиты. Обеспечивает надежную защиту при соблюдении определенных правил. На сегодняшний день известны только два способа взлома защиты WPA2. Перебор пароля по словарю и обходной путь, через службу WPS.

Таким образом, для обеспечения безопасности сети WiFi необходимо выбирать тип защиты WPA2. Однако не все клиентские устройства могут его поддерживать. Например Windows XP SP2 поддерживает только WPA.

Помимо выбора стандарта WPA2 необходимы дополнительные условия:

Использовать метод шифрования AES.
Пароль для доступа к сети WiFi необходимо составлять следующим образом:
  1. Используйте буквы и цифры в пароле. Произвольный набор букв и цифр. Либо очень редкое, значимое только для вас, слово или фразу.
  2. Не используйте простые пароли вроде имя + дата рождения, или какое-то слово + несколько цифр, например lena1991 или dom12345 .
  3. Если необходимо использовать только цифровой пароль, тогда его длина должна быть не менее 10 символов. Потому что восьмисимвольный цифровой пароль подбирается методом перебора за реальное время (от нескольких часов до нескольких дней, в зависимости от мощности компьютера).

Если вы будете использовать сложные пароли, в соответствии с этими правилами, то вашу WiFi сеть нельзя будет взломать методом подбора пароля по словарю. Например, для пароля вида 5Fb9pE2a (произвольный буквенно-цифровой), максимально возможно 218340105584896 комбинаций. Сегодня это практически невозможно для подбора. Даже если компьютер будет сравнивать 1 000 000 (миллион) слов в секунду, ему потребуется почти 7 лет для перебора всех значений.

WPS (Wi-Fi Protected Setup)

Если точка доступа имеет функцию WPS (Wi-Fi Protected Setup), нужно отключить ее. Если эта функция необходима, нужно убедиться что ее версия обновлена до следующих возможностей:

  1. Использование всех 8 символов пинкода вместо 4-х, как это было вначале.
  2. Включение задержки после нескольких попыток передачи неправильного пинкода со стороны клиента.

Дополнительная возможность улучшить защиту WPS это использование цифробуквенного пинкода.

Безопасность общественных сетей WiFi

Сегодня модно пользоваться Интернет через WiFi сети в общественных местах — в кафе, ресторанах, торговых центрах и т.п. Важно понимать, что использование таких сетей может привести к краже ваших персональных данных. Если вы входите в Интернет через такую сеть и затем выполняете авторизацию на каком-либо сайта, то ваши данные (логин и пароль) могут быть перехвачены другим человеком, который подключен к этой же сети WiFi. Ведь на любом устройстве которое прошло авторизацию и подключено к точке доступа, можно перехватывать сетевой трафик со всех остальных устройств этой сети. А особенность общественных сетей WiFi в том, что к ней может подключиться любой желающий, в том числе злоумышленник, причем не только к открытой сети, но и к защищенной.

Что можно сделать для защиты своих данных, при подключении к Интерне через общественную WiFi сеть? Есть только одна возможность — использовать протокол HTTPS. В рамках этого протокола устанавливается зашифрованное соединение между клиентом (браузером) и сайтом. Но не все сайты поддерживают протокол HTTPS. Адреса на сайте, который поддерживает протокол HTTPS, начинаются с префикса https://. Если адреса на сайте имеют префикс http:// это означает что на сайте нет поддержки HTTPS или она не используется.

Некоторые сайты по умолчанию не используют HTTPS, но имеют этот протокол и его можно использовать если явным образом (вручную) указать префикс https://.

Что касается других случаев использования Интернет — чаты, скайп и т.д, то для защиты этих данных можно использовать бесплатные или платные серверы VPN. То есть сначала подключаться к серверу VPN, а уже затем использовать чат или открытый сайт.

Защита пароля WiFi

Во второй и третьей частях этой статьи я писал, о том, что в случае использования стандарта защиты WPA2, один из путей взлома WiFi сети заключается в подборе пароля по словарю. Но для злоумышленника есть еще одна возможность получить пароль к вашей WiFi сети. Если вы храните ваш пароль на стикере приклеенном к монитору, это дает возможность увидеть этот пароль постороннему человеку. А еще ваш пароль может быть украден с компьютера который подключен к вашей WiFi сети. Это может сделать посторонний человек, в том случае если ваши компьютеры не защищены от доступа посторонних. Это можно сделать при помощи вредоносной программы. Кроме того пароль можно украсть и с устройства которое выносится за пределы офиса (дома, квартиры) — со смартфона, планшета.

Таким образом, если вам нужна надежная защита вашей WiFi сети, необходимо принимать меры и для надежного хранения пароля. Защищать его от доступа посторонних лиц.

Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь — поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354 . Или на телефон +7 918-16-26-331 .

Даже небольшая сумма может помочь написанию новых статей:)

Сегодня мы чуть глубже копнем тему защиты беспроводного соединения. Разберемся, что такое — его еще называют «аутентификацией» — и какой лучше выбрать. Наверняка при вам попадались на глаза такие аббревиатуры, как WEP, WPA, WPA2, WPA2/PSK. А также их некоторые разновидности — Personal или Enterprice и TKIP или AES. Что ж, давайте более подробно изучим их все и разберемся, какой тип шифрования выбрать для обеспечения максимальной без потери скорости.

Отмечу, что защищать свой WiFi паролем нужно обязательно, не важно, какой тип шифрования вы при этом выберете. Даже самая простая аутентификация позволит избежать в будущем довольно серьезных проблем.

Почему я так говорю? Тут даже дело не в том, что подключение множества левых клиентов будет тормозить вашу сеть — это только цветочки. Главная причина в том, что если ваша сеть незапаролена, то к ней может присосаться злоумышленник, который из-под вашего роутера будет производить противоправные действия, а потом за его действия придется отвечать вам, так что отнеситесь к защите wifi со всей серьезностью.

Шифрование WiFi данных и типы аутентификации

Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:

Что такое WEP защита wifi?

WEP (Wired Equivalent Privacy) — это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.

Что такое ключ WPA или пароль?

WPA (Wi-Fi Protected Access) — более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.

Что такое WPA2-PSK — Personal или Enterprise?

WPA2 — усовершенствованный вариант предыдущего типа. Взлом WPA2 практически невозможен, он обеспечивает максимальную степень безопасности, поэтому в своих статьях я всегда без объяснений говорю о том, что нужно устанавливать именно его — теперь вы знаете, почему.

У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:

  • Personal , обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев — и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
  • Enterprise — более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу , то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.

Типы шифрования WPA — TKIP или AES?

Итак, мы определились, что оптимальным выбором для обеспечения безопасности сети будет WPA2/PSK (Personal), однако у него есть еще два типа шифрования данных для аутентификации.

  • TKIP — сегодня это уже устаревший тип, однако он все еще широко употребляется, поскольку многие девайсы энное количество лет выпуска поддерживают только его. Не работает с технологией WPA2/PSK и не поддерживает WiFi стандарта 802.11n.
  • AES — последний на данный момент и самый надежный тип шифрования WiFi.

Какой выбрать тип шифрования и поставить ключ WPA на WiFi роутере?

С теорией разобрались — переходим к практике. Поскольку стандартами WiFi 802.11 «B» и «G», у которых максимальная скорость до 54 мбит/с, уже давно никто не пользуется — сегодня нормой является 802.11 «N» или «AC», которые поддерживают скорость до 300 мбит/с и выше, то рассматривать вариант использования защиты WPA/PSK с типом шифрования TKIP нет смысла. Поэтому когда вы настраиваете беспроводную сеть, то выставляйте по умолчанию

WPA2/PSK — AES

Либо, на крайний случай, в качестве типа шифрования указывайте «Авто», чтобы предусмотреть все-таки подключение устройств с устаревшим WiFi модулем.

При этом ключ WPA, или попросту говоря, пароль для подключения к сети, должен иметь от 8 до 32 символов, включая английские строчные и заглавные буквы, а также различные спецсимволы.

Защита беспроводного режима на маршрутизаторе TP-Link

На приведенных выше скринах показана панель управления современным роутером TP-Link в новой версии прошивки. Настройка шифрования сети здесь находится в разделе «Дополнительные настройки — Беспроводной режим».

В старой «зеленой» версии интересующие нас конфигурации WiFi сети расположены в меню «Беспроводной режим — Защита «. Сделаете все, как на изображении — будет супер!

Если заметили, здесь еще есть такой пункт, как «Период обновления группового ключа WPA». Дело в том, что для обеспечения большей защиты реальный цифровой ключ WPA для шифрования подключения динамически меняется. Здесь задается значение в секундах, после которого происходит смена. Я рекомендую не трогать его и оставлять по умолчанию — в разных моделях интервал обновления отличается.

Метод проверки подлинности на роутере ASUS

На маршрутизаторах ASUS все параметры WiFi расположены на одной странице «Беспроводная сеть»

Защита сети через руотер Zyxel Keenetic

Аналогично и у Zyxel Keenetic — раздел «Сеть WiFi — Точка доступа»

В роутерах Keenetic без приставки «Zyxel» смена типа шифрования производится в разделе «Домашняя сеть».

Настройка безопасности роутера D-Link

На D-Link ищем раздел «Wi-Fi — Безопасность »

Что ж, сегодня мы разобрались типами шифрования WiFi и с такими терминами, как WEP, WPA, WPA2-PSK, TKIP и AES и узнали, какой из них лучше выбрать. О других возможностях обеспечения безопасности сети читайте также в одной из прошлых статей, в которых я рассказываю о по MAC и IP адресам и других способах защиты.

Видео по настройке типа шифрования на маршрутизаторе

В последнее время появилось много «разоблачающих» публикаций о взломе какого-либо очередного протокола или технологии, компрометирующего безопасность беспроводных сетей. Так ли это на самом деле, чего стоит бояться, и как сделать, чтобы доступ в вашу сеть был максимально защищен? Слова WEP, WPA, 802.1x, EAP, PKI для вас мало что значат? Этот небольшой обзор поможет свести воедино все применяющиеся технологии шифрования и авторизации радио-доступа. Я попробую показать, что правильно настроенная беспроводная сеть представляет собой непреодолимый барьер для злоумышленника (до известного предела, конечно).

Основы

Любое взаимодействие точки доступа (сети), и беспроводного клиента, построено на:

  • Аутентификации — как клиент и точка доступа представляются друг другу и подтверждают, что у них есть право общаться между собой;
  • Шифровании — какой алгоритм скремблирования передаваемых данных применяется, как генерируется ключ шифрования, и когда он меняется.

Параметры беспроводной сети, в первую очередь ее имя (SSID), регулярно анонсируются точкой доступа в широковещательных beacon пакетах. Помимо ожидаемых настроек безопасности, передаются пожелания по QoS, по параметрам 802.11n, поддерживаемых скорости, сведения о других соседях и прочее. Аутентификация определяет, как клиент представляется точке. Возможные варианты:

  • Open — так называемая открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared — подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP — подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Открытость сети не означает, что любой желающий сможет безнаказанно с ней работать. Чтобы передавать в такой сети данные, необходимо совпадение применяющегося алгоритма шифрования, и соответственно ему корректное установление шифрованного соединения. Алгоритмы шифрования таковы:

  • None — отсутствие шифрования, данные передаются в открытом виде
  • WEP — основанный на алгоритме RC4 шифр с разной длиной статического или динамического ключа (64 или 128 бит)
  • CKIP — проприетарная замена WEP от Cisco, ранний вариант TKIP
  • TKIP — улучшенная замена WEP с дополнительными проверками и защитой
  • AES/CCMP — наиболее совершенный алгоритм, основанный на AES256 с дополнительными проверками и защитой

Комбинация Open Authentication, No Encryption широко используется в системах гостевого доступа вроде предоставления Интернета в кафе или гостинице. Для подключения нужно знать только имя беспроводной сети. Зачастую такое подключение комбинируется с дополнительной проверкой на Captive Portal путем редиректа пользовательского HTTP-запроса на дополнительную страницу, на которой можно запросить подтверждение (логин-пароль, согласие с правилами и т. п).

Шифрование WEP скомпрометировано, и использовать его нельзя (даже в случае динамических ключей).

Широко встречающиеся термины WPA и WPA2 определяют, фактически, алгоритм шифрования (TKIP либо AES). В силу того, что уже довольно давно клиентские адаптеры поддерживают WPA2 (AES), применять шифрование по алгоритму TKIP нет смысла.

Разница между WPA2 Personal и WPA2 Enterprise состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES. Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым. Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа. Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент — сервер авторизации, и почти всегда это RADIUS-сервер.

Все возможные параметры безопасности сведены в этой табличке:

СвойствоСтатический WEPДинамический WEPWPAWPA 2 (Enterprise)
ИдентификацияПользователь, компьютер, карта WLANПользователь, компьютер
Пользователь, компьютер
Пользователь, компьютер
Авторизация
Общий ключ

EAP

EAP или общий ключ

EAP или общий ключ

Целостность

32-bit Integrity Check Value (ICV)

32-bit ICV

64-bit Message Integrity Code (MIC)

CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code — CCM) Part of AES

Шифрование

Статический ключ

Сессионный ключ

Попакетный ключ через TKIP

CCMP (AES)

РАспределение ключей

Однократное, вручную

Сегмент Pair-wise Master Key (PMK)

Производное от PMK

Производное от PMK

Вектор инициализации

Текст, 24 бита

Текст, 24 бита

Расширенный вектор, 65 бит

48-бит номер пакета (PN)

Алгоритм

RC4

RC4

RC4

AES

Длина ключа, бит

64/128

64/128

128

до 256

Требуемая инфраструктура

Нет

RADIUS

RADIUS

RADIUS

Если с WPA2 Personal (WPA2 PSK) всё ясно, корпоративное решение требует дополнительного рассмотрения.

WPA2 Enterprise

Здесь мы имеем дело с дополнительным набором различных протоколов. На стороне клиента специальный компонент программного обеспечения, supplicant (обычно часть ОС) взаимодействует с авторизующей частью, AAA сервером. В данном примере отображена работа унифицированной радиосети, построенной на легковесных точках доступа и контроллере. В случае использования точек доступа «с мозгами» всю роль посредника между клиентов и сервером может на себя взять сама точка. При этом данные клиентского суппликанта по радио передаются сформированными в протокол 802.1x (EAPOL), а на стороне контроллера они оборачиваются в RADIUS-пакеты.

Применение механизма авторизации EAP в вашей сети приводит к тому, что после успешной (почти наверняка открытой) аутентификации клиента точкой доступа (совместно с контроллером, если он есть) последняя просит клиента авторизоваться (подтвердить свои полномочия) у инфраструктурного RADIUS-сервера:

Использование WPA2 Enterprise требует наличия в вашей сети RADIUS-сервера. На сегодняшний момент наиболее работоспособными являются следующие продукты:

  • Microsoft Network Policy Server (NPS), бывший IAS — конфигурируется через MMC, бесплатен, но надо купить винду
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3 — конфигурируется через веб-интерфейс, наворочен по функционалу, позволяет создавать распределенные и отказоустойчивые системы, стоит дорого
  • FreeRADIUS — бесплатен, конфигурируется текстовыми конфигами, в управлении и мониторинге не удобен

При этом контроллер внимательно наблюдает за происходящим обменом информацией, и дожидается успешной авторизации, либо отказа в ней. При успехе RADIUS-сервер способен передать точке доступа дополнительные параметры (например, в какой VLAN поместить абонента, какой ему присвоить IP-адрес, QoS профиль и т.п.). В завершении обмена RADIUS-сервер дает возможность клиенту и точке доступа сгенерировать и обменяться ключами шифрования (индивидуальными, валидными только для данной сеcсии):

EAP

Сам протокол EAP является контейнерным, то есть фактический механизм авторизации дается на откуп внутренних протоколов. На настоящий момент сколько-нибудь значимое распространение получили следующие:

  • EAP-FAST (Flexible Authentication via Secure Tunneling) — разработан фирмой Cisco; позволяет проводить авторизацию по логину-паролю, передаваемому внутри TLS туннеля между суппликантом и RADIUS-сервером
  • EAP-TLS (Transport Layer Security). Использует инфраструктуру открытых ключей (PKI) для авторизации клиента и сервера (суппликанта и RADIUS-сервера) через сертификаты, выписанные доверенным удостоверяющим центром (CA). Требует выписывания и установки клиентских сертификатов на каждое беспроводное устройство, поэтому подходит только для управляемой корпоративной среды. Сервер сертификатов Windows имеет средства, позволяющие клиенту самостоятельно генерировать себе сертификат, если клиент — член домена. Блокирование клиента легко производится отзывом его сертификата (либо через учетные записи).
  • EAP-TTLS (Tunneled Transport Layer Security) аналогичен EAP-TLS, но при создании туннеля не требуется клиентский сертификат. В таком туннеле, аналогичном SSL-соединению браузера, производится дополнительная авторизация (по паролю или как-то ещё).
  • PEAP-MSCHAPv2 (Protected EAP) — схож с EAP-TTLS в плане изначального установления шифрованного TLS туннеля между клиентом и сервером, требующего серверного сертификата. В дальнейшем в таком туннеле происходит авторизация по известному протоколу MSCHAPv2
  • PEAP-GTC (Generic Token Card) — аналогично предыдущему, но требует карт одноразовых паролей (и соответствующей инфраструктуры)

Все эти методы (кроме EAP-FAST) требуют наличия сертификата сервера (на RADIUS-сервере), выписанного удостоверяющим центром (CA). При этом сам сертификат CA должен присутствовать на устройстве клиента в группе доверенных (что нетрудно реализовать средствами групповой политики в Windows). Дополнительно, EAP-TLS требует индивидуального клиентского сертификата. Проверка подлинности клиента осуществляется как по цифровой подписи, так (опционально) по сравнению предоставленного клиентом RADIUS-серверу сертификата с тем, что сервер извлек из PKI-инфраструктуры (Active Directory).

Поддержка любого из EAP методов должна обеспечиваться суппликантом на стороне клиента. Стандартный, встроенный в Windows XP/Vista/7, iOS, Android обеспечивает как минимум EAP-TLS, и EAP-MSCHAPv2, что обуславливает популярность этих методов. С клиентскими адаптерами Intel под Windows поставляется утилита ProSet, расширяющая доступный список. Это же делает Cisco AnyConnect Client.

Насколько это надежно

В конце концов, что нужно злоумышленнику, чтобы взломать вашу сеть?

Для Open Authentication, No Encryption — ничего. Подключился к сети, и всё. Поскольку радиосреда открыта, сигнал распространяется в разные стороны, заблокировать его непросто. При наличии соответствующих клиентских адаптеров, позволяющих прослушивать эфир, сетевой трафик виден так же, будто атакующий подключился в провод, в хаб, в SPAN-порт коммутатора.
Для шифрования, основанного на WEP, требуется только время на перебор IV, и одна из многих свободно доступных утилит сканирования.
Для шифрования, основанного на TKIP либо AES прямое дешифрование возможно в теории, но на практике случаи взлома не встречались.

Конечно, можно попробовать подобрать ключ PSK, либо пароль к одному из EAP-методов. Распространенные атаки на данные методы не известны. Можно пробовать применить методы социальной инженерии, либо

Серьезной проблемой для всех беспроводных локальных сетей (и, если уж на то пошло, то и всех проводных локальных сетей) является безопасность. Безопасность здесь так же важна, как и для любого пользователя сети Интернет. Безопасность является сложным вопросом и требует постоянного внимания. Огромный вред может быть нанесен пользователю из-за того, что он использует случайные хот-споты (hot-spot) или открытые точки доступа WI-FI дома или в офисе и не использует шифрование или VPN (Virtual Private Network — виртуальная частная сеть). Опасно это тем, что пользователь вводит свои личные или профессиональные данные, а сеть при этом не защищена от постороннего вторжения.

WEP

Изначально было сложно обеспечить надлежащую безопасность для беспроводных локальных сетей.

Хакеры легко осуществляли подключение практически к любой WiFi сети взламывая такие первоначальные версии систем безопасности, как Wired Equivalent Privacy (WEP). Эти события оставили свой след, и долгое время некоторые компании неохотно внедряли или вовсе не внедряли у себя беспроводные сети, опасаясь, что данные, передаваемые между беспроводными WiFi устройствами и Wi-Fi точками доступа могут быть перехвачены и расшифрованы. Таким образом, эта модель безопасности замедляла процесс интеграции беспроводных сетей в бизнес и заставляла нервничать пользователей, использующих WiFi сети дома. Тогда институт IEEE, создал рабочую группу 802.11i , которая работала над созданием всеобъемлющей модели безопасности для обеспечения 128-битного AES шифрования и аутентификации для защиты данных. Wi-Fi Альянс представил свой собственный промежуточный вариант этого спецификации безопасности 802. 11i: Wi-Fi защищенный доступ (WPA – Wi-Fi Protected Access). Модуль WPA сочетает несколько технологий для решения проблем уязвимости 802.11 WEP системы. Таким образом, WPA обеспечивает надежную аутентификацию пользователей с использованием стандарта 802.1x (взаимная аутентификация и инкапсуляция данных передаваемых между беспроводными клиентскими устройствами, точками доступа и сервером) и расширяемый протокол аутентификации (EAP).

Принцип работы систем безопасности схематично представлен на рис.1

Также, WPA оснащен временным модулем для шифрования WEP-движка посредствам 128 – битного шифрования ключей и использует временной протокол целостности ключей (TKIP). А с помощью контрольной суммы сообщения (MIC) предотвращается изменение или форматирование пакетов данных. Такое сочетание технологий защищает конфиденциальность и целостность передачи данных и гарантирует обеспечение безопасности путем контроля доступа, так чтобы только авторизованные пользователи получили доступ к сети.

WPA

Дальнейшее повышение безопасности и контроля доступа WPA заключается в создании нового уникального мастера ключей для взаимодействия между каждым пользовательским беспроводным оборудованием и точками доступа и обеспечении сессии аутентификации. А также, в создании генератора случайных ключей и в процессе формирования ключа для каждого пакета.

В IEEE стандарт 802.11i, ратифицировали в июне 2004 года, значительно расширив многие возможности благодаря технологии WPA. Wi-Fi Альянс укрепил свой модуль безопасности в программе WPA2. Таким образом, уровень безопасности передачи данных WiFi стандарта 802.11 вышел на необходимый уровень для внедрения беспроводных решений и технологий на предприятиях. Одно из существенных изменений 802.11i (WPA2) относительно WPA это использования 128-битного расширенного стандарта шифрования (AES). WPA2 AES использует в борьбе с CBC-MAC режимом (режим работы для блока шифра, который позволяет один ключ использовать как для шифрования, так и для аутентификации) для обеспечения конфиденциальности данных, аутентификации, целостности и защиты воспроизведения. В стандарте 802.11i предлагается также кэширование ключей и предварительной аутентификации для упорядочивания пользователей по точкам доступа.

WPA2

Со стандартом 802.11i, вся цепочка модуля безопасности (вход в систему, обмен полномочиями, аутентификация и шифрование данных) становится более надежной и эффективной защитой от ненаправленных и целенаправленных атак. Система WPA2 позволяет администратору Wi-Fi сети переключиться с вопросов безопасности на управление операциями и устройствами.

Стандарт 802.11r является модификацией стандарта 802.11i. Данный стандарт был ратифицирован в июле 2008 года. Технология стандарта более быстро и надежно передает ключевые иерархии, основанные на технологии Handoff (передача управления) во время перемещения пользователя между точками доступа. Стандарт 802.11r является полностью совместимой с WiFi стандартами 802.11a/b/g/n.

Также существует стандарт 802.11w , предназначенный для усовершенствования механизма безопасности на основе стандарта 802. 11i. Этот стандарт разработан для защиты управляющих пакетов.

Стандарты 802.11i и 802.11w – механизмы защиты сетей WiFi стандарта 802.11n.

Шифрование файлов и папок в Windows 7

Функция шифрования позволяет вам зашифровать файлы и папки, которые будет в последствии невозможно прочитать на другом устройстве без специального ключа. Такая возможность присутствует в таких версиях пакетаWindows 7 как Professional, Enterprise или Ultimate. Далее будут освещены способы включения шифрования файлов и папок.

Включение шифрования файлов:

Пуск -> Компьютер(выберите файл для шифрования)-> правая кнопка мыши по файлу->Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты->Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->

Включение шифрования папок:

Пуск -> Компьютер(выберите папку для шифрования)-> правая кнопка мыши по папку-> Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты-> Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->Закрыть диалог Свойства(Нажать Ok или Закрыть).

Должны ли вы использовать AES или TKIP для более быстрой сети Wi-Fi?

Низкая безопасность маршрутизатора подвергает риску вашу сеть. Хотя мы знаем, что управление плотным кораблем начинается с безопасности маршрутизатора, вы можете не знать, что некоторые настройки безопасности могут замедлить работу всей вашей сети.

Основными вариантами шифрования на основе маршрутизатора являются WPA2-AES и WPA2-TKIP . Давайте посмотрим, какой протокол безопасности более надежен и какой вариант обеспечивает более быстрое соединение.

Что такое безопасность Wi-Fi WPA?

WPA — или Wi-Fi Protected Access — был ответом Wi-Fi Alliance на уязвимости в системе безопасности, пронизанные протоколом WEP (Wired Equivalent Privacy). Важно отметить, что это никогда не задумывалось как полноценное решение, а скорее промежуточный вариант, который позволял пользователям использовать свои существующие маршрутизаторы при обновлении с ужасного протокола WEP и его заметных недостатков безопасности.

Несмотря на то, что WPA лучше, чем WEP, у него есть некоторые проблемы с безопасностью. Как правило, атаки не были нарушением самого алгоритма TKIP (Temporal Key Integrity Protocol), который использует 256-битное шифрование. Вместо этого нарушения происходили через дополнительную систему, связанную с протоколом под названием WPS или Wi-Fi Protected Setup.

Wi-Fi Protected Setup был разработан для простого подключения устройств. Но он был выпущен с таким количеством недостатков безопасности, что потерял популярность и начал уходить в небытие, унеся с собой WPA.

В настоящее время и WPA, и WEP устарели. Итак, вместо этого мы поговорим о новой версии протокола, WPA2, и его преемнике, WPA3.

Почему WPA2 лучше, чем WPA?

В 2006 году WPA стал устаревшим протоколом, и WPA2 заменил его.

Заметный отказ от шифрования TKIP в пользу нового и более безопасного шифрования AES (Advanced Encryption Standard) привел к более быстрым и безопасным сетям Wi-Fi. Шифрование AES намного надежнее по сравнению с временной альтернативой, которой был TKIP.

Проще говоря, WPA-TKIP был просто промежуточным выбором, пока они вырабатывали лучшее решение за три года между выпуском WPA-TKIP и WPA2-AES.

Видите ли,

AES — это настоящий алгоритм шифрования, а не тот тип, который используется исключительно для сетей Wi-Fi. Это серьезный мировой стандарт, который используется правительством и многими другими для защиты данных от посторонних глаз. То, что тот же стандарт используется для защиты вашей домашней сети, является настоящим бонусом, но требует обновления аппаратного обеспечения маршрутизатора.

Является ли WPA3 лучше, чем WPA2?

WPA3 — долгожданное обновление протокола безопасности Wi-Fi WPA. Обновленный протокол безопасности включает важные функции для современного подключения к сети Wi-Fi, в том числе:

.
  • Защита от грубой силы. WPA3 защитит пользователей, даже с более слабыми паролями, от атак методом перебора по словарю (атак, которые пытаются угадывать пароли снова и снова).
  • Конфиденциальность общедоступной сети . WPA3 добавляет «индивидуальное шифрование данных», теоретически шифруя ваше соединение с беспроводной точкой доступа независимо от пароля.
  • Безопасность Интернета вещей. WPA3 появляется в то время, когда разработчики устройств Интернета вещей находятся под огромным давлением, чтобы улучшить базовую безопасность.
  • Сильнее шифрование . WPA3 добавляет к стандарту гораздо более сильное 192-битное шифрование, значительно повышая уровень безопасности.

Поддержка WPA3 все еще находится на очень ранней стадии. Широкого распространения WPA3 не будет в ближайшее время. Тем не менее, вы найдете маршрутизаторы на рынке, рекламирующие поддержку WPA3, когда протокол безопасности будет представлен потребителям должным образом.

AES против TKIP: какой режим безопасности Wi-Fi лучше?

Несмотря на то, что AES является более безопасным методом шифрования для безопасности Wi-Fi, многие люди по-прежнему выбирают TKIP. Это связано с тем, что считается, что соединение Wi-Fi быстрее, когда используется TKIP вместо AES, или что у AES есть другие проблемы с подключением.

Реальность такова, что WPA2-AES является более сильным и обычно более быстрым соединением Wi-Fi. Вот почему.

AES или TKIP более безопасны?

TKIP — это, по сути, исправление для WEP, которое решило проблему раскрытия злоумышленниками вашего ключа после наблюдения за относительно небольшим объемом трафика маршрутизатора. Чтобы решить эту проблему, TKIP устранил эту проблему, выдавая новый ключ каждые несколько минут, что теоретически не даст хакеру достаточно данных для взлома ключа или потокового шифра RC4, на котором основан алгоритм.

Хотя в то время TKIP предлагал значительное обновление безопасности, с тех пор он стал устаревшей технологией, которая больше не считается достаточно безопасной для защиты вашей сети от хакеров. Его самая большая (но не единственная) уязвимость известна как атака Chop-Chop, которая предшествует выпуску самого метода шифрования.

Атака Chop-Chop позволяет хакерам, знающим, как перехватывать и анализировать потоковые данные, генерируемые сетью, расшифровывать ключ и, таким образом, отображать данные в виде открытого текста, а не зашифрованного.

Если вы не уверены в разнице между открытым текстом и зашифрованным текстом, ознакомьтесь с этими основными терминами шифрования.

AES: улучшенный и отдельный

AES — это совершенно отдельный алгоритм шифрования. Это намного превосходит любую безопасность, предлагаемую TKIP. Алгоритм представляет собой 128-битный, 192-битный или 256-битный блочный шифр, в котором отсутствуют те же уязвимости, что и в TKIP.

Чтобы объяснить алгоритм простыми словами, он берет открытый текст и преобразует его в зашифрованный текст. Для наблюдателя, у которого нет ключа шифрования, зашифрованный текст выглядит как случайная строка символов.

Устройство или человек на другом конце линии передачи имеет ключ, который разблокирует (или расшифрует) данные для более удобного просмотра. В этом случае маршрутизатор имеет первый ключ и шифрует данные перед трансляцией. У компьютера есть второй ключ, который расшифровывает передачу для просмотра на вашем экране.

Уровень шифрования (128, 192 или 256 бит) определяет объем «шифруемых» данных и, следовательно, потенциальное количество возможных комбинаций, если вы попытаетесь их взломать.

Даже наименьший уровень шифрования AES, 128-битный, теоретически невозможно взломать, поскольку современным вычислительным мощностям потребуется более 100 миллиардов миллиардов лет, чтобы найти правильное решение для алгоритма шифрования.

AES или TKIP быстрее?

TKIP — это устаревший метод шифрования, и, помимо проблем с безопасностью, известно, что он замедляет работу систем, в которых он все еще работает.

Большинство новых маршрутизаторов (802.11n или новее) по умолчанию используют шифрование WPA2-AES, но если у вас более старое устройство или по какой-то причине выбрано шифрование WPA-TKIP, есть вероятность, что вы потеряете значительную часть скорости.

Любой маршрутизатор 802.11n или новее замедляется до 54 Мбит/с, если вы включаете WPA или TKIP в параметрах безопасности. Это необходимо для обеспечения правильной работы протокола безопасности на старых устройствах.

802.11ac с шифрованием WPA2-AES предлагает теоретическую максимальную скорость 3,46 Гбит/с при оптимальных (читай: никогда не случившихся) условиях. Помимо теоретических максимумов, WPA2 и AES являются гораздо более быстрыми альтернативами TKIP.

AES более безопасен и быстрее, чем TKIP

AES и TKIP даже не стоят сравнения — AES, безусловно, лучшая технология во всех смыслах этого слова. Более высокая скорость маршрутизатора, невероятно безопасный просмотр и алгоритм, на который полагаются даже крупные правительства мира, делают его обязательным для использования с точки зрения предлагаемых опций в новых или существующих сетях Wi-Fi.

Если вам нужно более быстрое подключение к Интернету, ознакомьтесь с основными советами по ускорению работы маршрутизатора.

Что такое WPA-PSK/WPA2-PSK, TKIP и AES?

Тип алгоритмов безопасности и характеристики шифрования вашей сети Wi-Fi во многом определяют ее скорость и безопасность.

Вот почему жизненно важно, чтобы вы знали, что они из себя представляют, что они обозначают и что именно они делают.

Терминология

В статьях о сетевой безопасности термины «протокол», «стандарт» и «сертификация» и «программа» часто используются взаимозаменяемо, когда речь идет о шифровании. Например, то, что один источник, веб-сайт или лицо называет «протоколом», в другом месте может называться «стандартом».

Сначала мы рассмотрим программы сертификации . WPA, WPA2 и WPA3 — это три программы сертификации беспроводных сетей, которые мы будем обсуждать в этой статье. Их иногда называют стандартами шифрования.

Программы сертификации — в данном случае для сетей Wi-Fi — используют протоколы шифрования для защиты данных, передаваемых по заданному соединению Wi-Fi. Примером может служить TKIP, протокол целостности временного ключа. То, как протоколы шифрования шифруют данные, определяется шифры , которые по сути являются просто алгоритмами, формирующими процесс. Примером этого является AES (который, как ни странно, означает Advanced Encryption Standard).

Методы или механизмы аутентификации используются для проверки беспроводных клиентов, например, предварительный общий ключ (PSK), который по сути представляет собой просто строку символов. В криптографии это называется «общим секретом» — это фрагмент данных, известный только объектам, участвующим в безопасной связи, для которой он используется. Примером PSK может быть пароль Wi-Fi, который может содержать до 63 символов и обычно инициирует процесс шифрования.

Программы сертификации безопасности

Все сети нуждаются в программах безопасности, сертификатах и ​​протоколах для обеспечения безопасности устройств и пользователей в сети. Для беспроводных сетей разработан ряд программ сертификации безопасности, включая WPA и WPA2.

Эквивалентная защита проводных сетей (WEP)

WEP был первоначальным алгоритмом безопасности беспроводной сети, и, как вы, вероятно, догадались по названию, он был разработан для обеспечения данной сети безопасностью проводной. WEP использует шифр RC4. Однако WEP совсем не безопасен, вот почему обычно не используется и полностью устарел по сравнению с более поздними протоколами. Все в сети используют один и тот же ключ — форма статического шифрования — что означает, что каждый подвергается опасности, если один клиент будет взломан.

Защищенный доступ Wi-Fi (WPA)

 

WPA — это более современный и безопасный сертификат безопасности для беспроводных сетей. Тем не менее, по-прежнему уязвим для вторжения , и доступны более безопасные протоколы. Беспроводные сети, защищенные WPA, имеют предварительный общий ключ (PSK) и используют протокол TKIP, который, в свою очередь, использует шифр RC4 для целей шифрования, создавая WPA-PSK. Это также не самая безопасная программа для использования, потому что использование PSK в качестве краеугольного камня процесса сертификации оставляет вас с такими же уязвимостями, как и WEP.

Wi-Fi-Protected Access 2 (WPA2)

WPA2 — это еще один шаг вперед с точки зрения безопасности, в котором для шифрования используется шифр Advanced Encryption Standard (AES), то есть — тот же шифр, который военные США используют для шифрования много его шифрования. TKIP заменен на CCMP, основанный на обработке AES, что обеспечивает лучший стандарт шифрования. Существует как персональная версия (которая поддерживает CCMP/AES и TKIP/RC4), так и корпоративная версия (которая поддерживает EAP — расширяемый протокол аутентификации, а также CCMP). См. наше руководство по WPA2 для получения дополнительной информации об этом.

Защищенный доступ Wi-Fi 3 (WPA3)

 

WPA3 был разработан совсем недавно, за последние три года, а еще не получил широкого распространения . WPA3 также имеет варианты Personal и Enterprise и описывается Wi-Fi Alliance как имеющая:

Новые функции, упрощающие безопасность Wi-Fi, обеспечивающие более надежную отказоустойчивость критически важных сетей.

Шифры и протоколы

Выше мы рассмотрели, какие именно программы сертификации являются самыми современными, а также какие протоколы шифрования и шифры они используют для защиты беспроводных сетей. Здесь мы кратко рассмотрим, как они работают.

Шифры

Шифры, которые, как мы упоминали ранее, определяют процесс шифрования данных, являются важной частью защиты беспроводной сети. RC4 — сокращение от Rivet Cipher 4 — поточный шифр. Потоковые шифры шифруют данные по одному биту за раз, используя генератор псевдослучайных битов для создания 8-битного числа. Создан еще в 1987, в течение многих лет его хвалили за скорость и простоту, но теперь признано, что он имеет несколько уязвимостей, которые делают его открытым для атак типа «человек посередине», среди прочего.

Значительное улучшение произошло в виде AES, , который является аббревиатурой от Advanced Encryption Standard. AES — это симметричный блочный шифр. Он симметричен в том смысле, что для расшифровки информации используется только один ключ, и он классифицируется как «блочный» шифр, потому что он шифрует блоками битов, а не побитно, как потоковый шифр. Он использует ключи длиной 256 бит, что делает его практически непроницаемым для атак грубой силы (при существующей вычислительной мощности). Шифрование AES является федеральным стандартом шифрования США и считается самой надежной широко используемой формой из когда-либо созданных.

Протоколы шифрования

Протокол Temporal Key Integrity Protocol был разработан с учетом уязвимостей WEP. WEP использовал 64-битный или 128-битный ключ шифрования, который нужно было вводить на беспроводных точках доступа и устройствах вручную, а сам ключ никогда не менялся. TKIP, с другой стороны, реализует ключ для каждого пакета, что означает, что он динамически создает новый 128-битный ключ для каждого пакета данных.

Протокол кодов аутентификации с цепочкой блоков шифрования в режиме счетчика  — это шаг вперед по сравнению с TKIP в основном потому, что он использует шифр AES, свойства которого, обеспечивающие максимальную безопасность, обсуждались выше.

Различные комбинации и какая из них самая безопасная?

Ниже приведено краткое описание некоторых различных комбинаций беспроводных сетей, к которым вы регулярно подключаетесь, которые могут использоваться для обеспечения их безопасности.

Опция Опция  Уровень безопасности
Открытая сеть Такую сеть можно найти в кафе или на улице в туристическом месте. Он не требует пароля, что означает, что любой может подключиться к сети. Очень рискованно 
WEP 64/128 Хотя WEP 128 более безопасен, чем WEP 64 (в нем используется ключ шифрования большего размера), они оба устарели, устарели и поэтому уязвимы. Очень рискованно
WPA-PSK (TKIP) Это комбинация старой программы сертификации безопасности с устаревшим протоколом шифрования, поэтому она также не очень безопасна. Рискованный
WPA2-PSK
(TKIP)
Использование устаревшего протокола шифрования, который не является безопасным, сводит на нет цель использования WPA2, которая является безопасной программой сертификации Wi-Fi. Рискованный
WPA2-PSK (AES) Это новейший шифровальный шифр в сочетании с самой современной и безопасной программой сертификации, которые обеспечивают наиболее безопасный вариант беспроводной сети. Безопасный

TKIP или AES: какой алгоритм лучше для вашей сети?

Стандарты шифрования WPA2-AES и WPA2-TKIP используются на всех современных маршрутизаторах, поэтому мы подготовили сравнение, чтобы увидеть, какой из них лучше защищает наши WiFi-сети и пароли.

  • Intel покупает Rivet Networks, создателей коммуникационных чипов Killer
  • Как найти сохраненный пароль Wi-Fi в Windows 10?
  • Zoom может привести к утечке данных для входа в сеть Windows 10

Зачем вам нужно использовать алгоритм шифрования с безопасностью WiFi?

Алгоритмы шифрования используются для обеспечения безопасности данных. Безопасность WiFi необходима для защиты вашей личной информации, такой как пароли или номера кредитных карт.

Что такое безопасность Wi-Fi WPA?

WPA означает Wi-Fi Protected Access, протокол безопасности, который используется в беспроводных сетях. Стандарт WPA позволяет пользователям подключаться к сети по беспроводной сети с помощью любого совместимого устройства и является одним из наиболее широко используемых методов обеспечения безопасности беспроводной сети.

WPA Wi-Fi Security был представлен в 2004 году и в настоящее время является самым популярным типом безопасности беспроводной сети. Он использует парольную фразу, которая используется для создания общего ключа между беспроводным маршрутизатором и вашим устройством.

WPA Wi-Fi Security также использует ключ шифрования для шифрования данных перед их передачей по сети.

Что такое WPA2?

Wi-Fi Alliance разработал Wi-Fi Protected Access 2 (WPA2) в качестве программы сертификации безопасности для защиты беспроводных сетей. В нем представлены различные варианты шифрования в зависимости от типа вашего WiFi-маршрутизатора. Но самым популярным среди них является WPA2-Personal, так как он используется миллионами устройств дома или на малых предприятиях. Он предлагает два режима шифрования, которые называются Advanced Encryption Standard (AES) и Temporal Key Integrity Protocol (TKIP), а также их комбинацию как AES + TKIP.

Безопасен ли WPA2?

До WPA2 и WPA беспроводные маршрутизаторы и точки доступа использовали стандарт WEP, который в основном взаимодействует с шифром RC4. С помощью этого метода все пользователи беспроводной сети используют один и тот же ключ и, таким образом, становятся уязвимыми для атак.

У следующего протокола WPA-PSK была аналогичная проблема, связь зашифрована, но с общим ключом. Для шифрования использовался секретный пароль, но после его взлома все данные и сетевые пакеты можно было отслеживать.

Следующим протоколом был WPA2-PSK, в котором использовался общий ключ, как и в WPA-PSK. Теперь это было более безопасно, но все еще уязвимо.

Теперь у нас есть WPA3, который в настоящее время считается наиболее безопасным вариантом. Поэтому, если возможно, обновите свои WiFi-маршрутизаторы и точки доступа до тех, которые поддерживают WPA3.

В чем разница между WPA, WEP и WPA2?

Основное различие между WPA и WEP заключается в том, что в первом используется четырехстороннее рукопожатие, а во втором — двустороннее рукопожатие. Это означает, что в WPA каждая сторона должна согласиться на ключ, прежде чем соединение может быть установлено, а в WPA2 каждая сторона должна быть аутентифицирована, прежде чем соединение может быть установлено.

WPA2 также использует шифрование AES вместо RC4.

Что такое ТКИП?

WPA-PSK (TKIP) — это более новая форма WEP, которая используется в беспроводных сетях 802.11 с марта 2003 г., с некоторыми улучшениями безопасности, добавленными к шифрованию. целостность сообщений и защита от повторного воспроизведения для беспроводных сетей WPA2. Он был разработан для обеспечения конфиденциальности трафика Wi-Fi и защиты от сетевых атак. TKIP или AES, какой режим безопасности WPA2 лучше?

В то время как TKIP должен был быть, по крайней мере, относительно более безопасным, чем WEP, стандарт был признан устаревшим в версии Wi-Fi 802.11 2012 года после того, как были обнаружены недостатки безопасности, которые могут быть использованы хакерами без особых проблем. Это связано с тем, что TKIP использует тот же базовый механизм, что и WEP, и поэтому одинаково уязвим для атак.

Однако некоторые из новых функций безопасности стандарта WPA-PSK (TKIP), такие как хеширование пакетов, широковещательные ключи и счетчики последовательности, означали, что некоторые недостатки WEP можно было устранить.

Что такое AES?

AES — это симметричный блочный шифр, выпущенный в 2001 году. Он был разработан Роном Ривестом, Ади Шамиром и Леонардом Мозенфельдом. Он был принят в качестве официального стандарта Национальным институтом стандартов и технологий (NIST).

AES (Advanced Encryption Standard) — это набор шифров, который доступен с размером блока 128 бит и длиной ключа 128, 192 или 256 бит, в зависимости от аппаратного обеспечения. Это гораздо более безопасный протокол, заменяющий старый протокол стандарта шифрования данных (DES), который был первоначально выпущен в 1970-е годы.

Шифрование AES

В отличие от своего предшественника, AES не использует сеть Fiestel, а вместо этого использует в качестве основы для алгоритма блочного шифра принцип разработки, называемый сетью перестановок замещения. Хотя некоторые криптографы время от времени предоставляли доказательства предполагаемых уязвимостей в AES, все они оказались непрактичными или неэффективными против полной реализации AES-128.

В чем разница между TKIP и AES?

Разница между TKIP и AES заключается в том, что алгоритм шифрования, используемый TKIP, требует 64-битного ключа, что означает, что он может поддерживать примерно 264 возможных ключа. Это делает невозможным перебор ключа. TKIP имеет размер блока 128 бит, а AES имеет размер блока 256 бит.

Уровень безопасности между этими двумя заключается в том, что алгоритм шифрования, используемый AES, может быть использован методом перебора, если размер ключа не равен 128 битам.

Каковы преимущества использования протокола TKIP или AES?

Основным преимуществом использования этих протоколов является то, что они более безопасны, чем WEP, и имеют больший радиус действия.

Использование протокола TKIP или AES для шифрования Wi-Fi дает множество преимуществ. Одним из самых больших преимуществ является то, что это упрощает реализацию безопасности в крупномасштабных условиях. Кроме того, он предлагает функции, облегчающие реализацию аутентификации и шифрования данных в сети WiFi.

TKIP или AES: что выбрать?

Современные маршрутизаторы и AES — это более безопасный алгоритм шифрования, но для шифрования и расшифровки файлов требуется больше времени. TKIP быстрее, чем AES, но было показано, что он имеет уязвимости, которые делают его менее безопасным.

Одним из преимуществ использования протокола TKIP является то, что он шифрует и расшифровывает файлы быстрее, чем протокол AES. Однако в протоколе TKIP есть уязвимости, которые делают его менее безопасным. Точки доступа позволяют вам выбирать между различными типами шифрования для защиты вашей сети Wi-Fi, но не все из них будут безопасными. Вот почему в этой статье мы сосредоточимся на паролях WPA2, использующих TKIP или AES.

Прежде всего, мы хотим помнить о важности правильной защиты наших беспроводных сетей. Существует множество типов атак, которые злоумышленники могут использовать для нарушения нашей безопасности. Вот почему мы должны использовать инструменты и методы, которые могут адекватно защитить нас.

Тот факт, что в наши сети проникли злоумышленники, может поставить под угрозу вашу конфиденциальность и безопасность. Нежелательные люди могут получить доступ к другому подключенному оборудованию, а также иметь возможность собирать личную информацию в зависимости от вашего типа шифрования, метода или протокола.

Но помимо этого, как мы можем себе представить, это также создаст проблему для производительности. Это факт, что чем больше компьютеров вы подключили и используете сеть, тем больше проблем со скоростью, качеством и стабильностью может быть. Если у нас есть злоумышленники в нашем Wi-Fi, это может означать, что скорость заметно падает.

TKIP или AES, какой режим безопасности WPA2 лучше?

Короче говоря, защита наших беспроводных сетей будет иметь основополагающее значение, и мы всегда должны помнить об этом. То да, необходимо правильно выбрать ключ, который мы собираемся использовать, а также тип шифрования в рамках тех возможностей, которые есть в нашем распоряжении.

Пароли TKIP и AES

Среди вариантов, которые мы можем видеть при использовании шифрования Wi-Fi, возможно, наиболее часто используемыми являются WPA2-AES и WPA2-TKIP. Надо сказать, что на сегодняшний день они самые безопасные, так как другие, такие как WEP и WPA (оба в разных своих вариантах) устарели и существуют разные инструменты, позволяющие их эксплуатировать. Это делает не рекомендуется использовать их в настоящее время.

Итак, внутри двух типов, которые мы можем считать безопасными, они неодинаковы. И можно сказать, что идеальным было бы использование WPA2-AES. Это самый надежный тип шифрования. Он использует новейший стандарт шифрования Wi-Fi и новейшее шифрование AES.

Шифрование TKIP отключено от WiFi Alliance. Это означает, что новые маршрутизаторы не должны использовать его, поскольку сегодня он не считается полностью безопасным. Поэтому по возможности мы должны избегать этого.

WPA2-TKIP использует современный стандарт WPA2, но использует старое шифрование TKIP. Следовательно, его использование сегодня не рекомендуется, если мы хотим максимизировать безопасность наших сетей.

Таким образом, мы можем сказать, что при выборе между режимами шифрования Wi-Fi TKIP или AES самым безопасным вариантом является использование первого варианта. Это тот, который даст нам большую гарантию и будет иметь меньше проблем с безопасностью, которые могут поставить под угрозу наши сети.

Имейте в виду, что существуют также различия в скорости. Если мы будем использовать WPA2-AES, мы получим лучшие результаты, в то время как WPA2-TKIP влияет на отправку пакетов и получение данных. Это еще один фактор, который мы должны учитывать помимо безопасности, которая логически является основной.

Почему TKIP уязвим?

Cisco сообщает, что шифрование TKIP уязвимо для расшифровки пакетов возможным злоумышленником. Но учтите, хакер может украсть только ключ аутентификации. Таким образом, они не смогут получить ключ шифрования и, следовательно, получить доступ к нашим личным данным. Но с ключом авторизации они могут войти в сеть, а затем получить доступ к устройствам, используя другие методы.

Есть ли проблемы с совместимостью?

Однако имейте в виду, что в некоторых случаях использование WPA2-AES невозможно. Причина в том, что некоторые старые устройства не смогут подключаться к сетям, использующим это более современное шифрование, и должны использовать WPA2-TKIP.

Это один из недостатков, который мы можем найти в определенных ситуациях. Некоторые пользователи вынуждены использовать старое шифрование, такое как WPA2-TKIP, для подключения других компьютеров.

Как выбрать алгоритм шифрования для своей сети?

Выбор алгоритма шифрования для вашей сети не является сложной задачей, но вы должны убедиться, что выбранный вами алгоритм соответствует вашим потребностям. При выборе алгоритма шифрования следует учитывать множество факторов, например тип данных, которые вы шифруете, и уровень необходимой защиты.

Теги: шифрованиемаршрутизаторбезопасностьбезопасностьwi-fi

В чем разница между WPA-PSK TKIP и WPA2-PSK AES?

В этой статье мы рассмотрим и сравним два криптографических алгоритма AES и TKIP. Когда вы используете небезопасную коммуникационную платформу, такую ​​как беспроводные сети, важно обсудить защиту информации, передаваемой по этой сети. В этой статье мы поговорим о двух протоколах AES и TKIP, которые гораздо больше используются в беспроводном оборудовании для обеспечения безопасности.

Шифрование является наиболее важным фактором обеспечения безопасности беспроводной связи или беспроводной связи. Сегодня большинство WiFi-устройств могут использовать для защиты связи такие протоколы, как WPA и WPA2. Предположим, вы открыли консоль управления одним из этих устройств. В этом случае вы, должно быть, видели, что существуют различные варианты работы с WPA и WPA2, включая AES или Advanced Encryption Standard или TKIP, что означает протокол целостности временного ключа.

Описание методов безопасности WiFi

— Открыто:

В открытых сетях WiFi нет паролей. Конечно, вы никогда не должны оставлять сеть Wi-Fi открытой.

— WEP 64:

Старый стандарт протокола WEP уязвим и не должен использоваться.

— WEP 128:

Такой же, как и предыдущий, за исключением того, что размер зашифрованного ключа больше. Однако он ничем не отличается с точки зрения безопасности, очень уязвим и не рекомендуется.

— WPA-PSK (ТКИП):

Этот метод использует исходную версию протокола WPA (известного как WPA1). Этот метод не был безопасным и был заменен WPA2.

— WPA-PSK (AES):

Этот метод также использует исходную версию протокола WPA, которая отличается от современного метода шифрования AES. В качестве временного метода это хороший вариант, но устройства, которые в настоящее время поддерживают AES, всегда поддерживают WPA2. Хотя устройства, поддерживающие WPA, никогда не поддерживают шифрование AES; поэтому использование этого метода не кажется разумным.

— WPA2-PSK :

Этот метод использует современный протокол WPA2 вместе со старым шифрованием TKIP. Этот метод не является безопасным и рекомендуется только в том случае, если у вас есть старое устройство, которое не может подключиться к сети WPA2-PSK (AES).

— WPA2-PSK (AES):

Это самый безопасный вариант. Этот метод использует WPA2, новейший стандарт шифрования WiFi и новейший протокол шифрования AES. Вы должны использовать эту опцию. Параметры WPA2 или WPA2-PSK появляются на некоторых устройствах. Если вы выберете вариант WPA2, метод AES будет использоваться автоматически, что определенно является более разумным методом.

— WPAWPA2-PSK (TKIP/AES):

Некоторые устройства предлагают этот метод и используют этот комбинированный метод по умолчанию. Этот параметр включает методы WPA и WPA2, а также методы шифрования TKIP и AES. Этот параметр позволяет самым старым устройствам получать доступ к вашему маршрутизатору, но в то же время позволяет хакерам использовать уязвимости WPA и TKIP для проникновения в вашу сеть.

Что такое AES или расширенный стандарт шифрования?

AES, что означает Advanced Encryption Standard, является частью алгоритмов симметричного шифрования. AES был впервые представлен в 2001 году Национальным институтом стандартов и технологий (NIST). Всего через год после того, как NIST представил AES, правительство США приняло этот стандарт в качестве государственного стандарта. Конечно, в начале внедрения этого алгоритма для него выбрали имя Rijndael, которое было взято из имен его немецких создателей, Джоан Деамен и Винсент Раймен. АНБ, Агентство национальной безопасности США, изначально называло AES сверхсекретным проектом. Позднее AES стал первым протоколом, рекомендованным Агентством национальной безопасности США для публичного использования. Стандарт, используемый в AES, использует три криптографических блока в виде AES-128, AES-19.2 и АЕС-256.

Этот стандарт является одним из наиболее широко используемых сегодня симметричных криптографических стандартов. AES был разработан и представлен для решения проблем и обновления другого протокола симметричного шифрования, который называется DES или Стандарт шифрования данных. AES как очень безопасный стандартный протокол шифрования теперь одобрен. Как обычно, было проведено множество атак по взлому ключей этого протокола, некоторые из которых были успешными, но атаки, которые могли бы угрожать алгоритму этого протокола, до сих пор не предотвращены, и большинство атак были успешными. Алгоритм был одним из типов побочных каналов, который не имел большого эффекта. Благодаря безопасности и надежности AES Агентство национальной безопасности США продолжает использовать этот протокол для засекречивания конфиденциальной и секретной информации. Однако об этой проблеме АНБ объявило в 2003 году, и с тех пор по ней не поступало ни одного обоснованного отчета.

Что такое протокол целостности временного ключа?

TKIP расшифровывается как Temporal Key Integrity Protocol и представляет собой протокол безопасности для беспроводной связи. Протокол TKIP разработан и реализован для замены протокола WEP в сетях, работающих со стандартом беспроводной связи IEEE 802.11, особенно со стандартом IEEE 802.11i. Сегодня вы можете использовать TKIP на большинстве устройств и использовать беспроводное оборудование, поддерживающее WEP. WEP был протоколом, который был очень слабым с точки зрения безопасности и до сих пор используется из-за использования старого оборудования, WEP из-за слабости алгоритма его разработки, его можно сломать и взломать менее чем за 5 минут. TKIP был разработан для использования в сочетании с другим стандартным протоколом, называемым WPA2, чтобы избежать дальнейшего использования протокола WEP.

Чтобы заменить WEP, TKIP использует в своем алгоритме механизм, называемый смешением ключей, в котором секретные корневые ключи и IV объединяются, а недостатки, обнаруженные в WEP и IV, были решены. Протокол TKIP также использует механизм счетчика последовательности для предотвращения повторных атак, которые отклоняют все запросы без приоритета. TKIP также использует 64-битные MIC для предотвращения принятия поддельных пакетов. MIC расшифровывается как проверка целостности сообщения. TKIP должен использовать алгоритм хеширования RC4, поскольку он должен работать со старыми устройствами, поддерживающими протокол WEP, а поскольку WEP работает на основе RC4, TKIP также следует этому правилу. С этими интерпретациями вы понимаете, что TKIP предотвращает многие атаки на протокол WEP и устойчив к таким атакам. Однако у протокола все еще есть слабые места и уязвимости, делающие его уязвимым для атак. Beck-Tews и Ohigashi-Morri входят в число атак на TKIP.

AES против TKIP

TKIP и AES — это два разных метода шифрования, которые могут использоваться в сети Wi-Fi. TKIP — это более старый протокол шифрования, представленный WPA для замены высоконадежного сетевого шифрования WEP. TKIP почти идентичен шифрованию WEP. TKIP больше не считается безопасным. Другими словами, вам больше не следует использовать этот метод шифрования. AES — гораздо более безопасный протокол шифрования, представленный в WPA2. AES больше не является слабым криптографическим стандартом, разработанным для сетей Wi-Fi. Этот криптографический протокол является очень серьезным криптографическим стандартом, который даже был одобрен и используется правительством Соединенных Штатов. Например, когда вы шифруете жесткий диск, ваше программное обеспечение для шифрования может использовать для этого протокол AES. AES полностью безопасен, и его главная слабость заключается в защите от атак грубой силы (которые можно предотвратить с помощью надежных паролей) и уязвимостей безопасности в других частях WPA2. Таким образом, TKIP — это более старый метод шифрования, используемый стандартом WPA. AES — это более новое решение для шифрования WiFi, используемое в более новом и безопасном стандарте WPA2. В зависимости от вашего маршрутизатора просто выбор WPA2 не означает лучший выбор. Хотя WPA2 использует AES в качестве метода безопасности по умолчанию, он также использует TKIP для использования старых устройств, которые не поддерживают AES. В таких случаях устройства, поддерживающие подключение WPA2 к WPA2, и устройства, поддерживающие подключение WPA к WPA; Так что WPA2 не всегда означает WPA2-AES. Однако на устройствах, у которых нет видимой опции TKIP или AES, это означает, что они используют WPA2-AES.

Интересно знать, что PSK означает предварительный общий ключ, который в основном относится к шифрованию пароля пользователя. Отличается от WPA-Enterprise тем, что использует радиус-сервер для получения уникальных ключей в корпоративной сети WiFi корпораций или государственных учреждений.

Замедление WiFi

WPA и TKIP — это совместимые опции, которые также снижают скорость вашего WiFi. Многие современные маршрутизаторы Wi-Fi, поддерживающие новый и более быстрый стандарт 802.11n, уменьшат скорость вашего Wi-Fi до 54 Мбит/с, если вы включите WPA или TKIP. Они делают это для обеспечения совместимости со старыми устройствами. Для сравнения, даже 802.11n поддерживает скорость до 300 Мбит/с при использовании WPA2 и AES. 802.11ac обеспечивает максимальную скорость 3,46 Гбит/с, что является наилучшим возможным условием.

Большинство маршрутизаторов имеют опции WEP, WPA (TKIP) и WPA2 (AES) и, возможно, комбинацию WPA (TKIP) + WPA2 (AES). Если вы собираетесь выбрать WPA2 с 2 протоколами AES и TKIP, AES определенно будет правильным выбором. Подавляющее большинство современных устройств способны работать с сетевым стандартом WPA2 (AES).

Последнее слово

AES — это стандарт шифрования, а TKIP — это протокол шифрования. TKIP — это протокол шифрования, используемый в WPA, тогда как WPA2, который заменяет WPA, использует шифрование AES. AES — это усовершенствованная версия DES, а TKIP был введен для замены протокола WEP. На TKIP можно реализовать несколько атак, но он покрывает многие недостатки WEP. Однако, если вы внимательно посмотрите на свою беспроводную точку доступа, вы увидите CCMP, который определенно обладает большей безопасностью, чем TKIP.

TKIP против AES: объяснение протоколов безопасности Wi-Fi

При настройке маршрутизатора дома или на работе вы, должно быть, столкнулись с несколькими вариантами выбора стандарта безопасности для вашего соединения Wi-Fi. WEP, WPA, WPA2, CCMP, EMP, TKIP, AES… список настолько длинный, насколько он сбивает с толку. Хотя варианты (почти) всегда хороши, обычному пользователю Интернета трудно выбрать один, особенно когда большинство из нас не знает, чем один стандарт отличается от другого. Что ж, тем, кто не знает, следует придерживаться протокола WPA2, так как это наиболее широко используемый стандартный протокол безопасности WiFi. Однако WPA2 использует два разных типа шифрования; АЕС и ТКИП. В этой статье мы узнаем немного больше о каждом из них, чтобы помочь вам решить, какой из них выбрать.

Что такое ТКИП?

TKIP, или Temporary Key Integrity Protocol, был введен в начале этого тысячелетия в качестве временной меры безопасности для замены старого и изначально небезопасного стандарта шифрования WEP (Wired Equivalent Privacy), который широко использовался в раннем оборудовании Wi-Fi, были запущены в конце 1990-х — начале 2000-х годов. Хотя предполагалось, что TKIP будет, по крайней мере, относительно более защищенным, чем WEP, стандарт с тех пор устарел в версии Wi-Fi 802.11 2012 года после того, как было обнаружено, что он имеет очевидные лазейки в системе безопасности , которыми хакеры могут воспользоваться без особых проблем. Это связано с тем, что TKIP использует тот же базовый механизм, что и WEP, и, следовательно, одинаково уязвим для атак. При этом некоторые из новых функций безопасности, реализованных в стандарте WPA-PSK (TKIP), такие как хеширование ключей для каждого пакета, ротация широковещательных ключей и счетчик последовательности, означали, что он смог устранить некоторые недостатки WEP, как и печально известные атаки восстановления ключа, которым был подвержен старый стандарт, хотя у протокола есть собственные значительные уязвимости.

Что такое AES?

Сокращение от Advanced Encryption Standard, AES — это набор шифров, который доступен с размером блока 128 бит и длиной ключа 128, 192 или 256 бит в зависимости от аппаратного обеспечения. Несмотря на то, что он поставляется со своим собственным багажом, это гораздо более безопасный протокол , который заменяет устаревший протокол DES (стандарт шифрования данных), который был первоначально опубликован еще в 1970-х годах. В отличие от своего предшественника, AES не использует сеть Fiestel, а вместо этого использует принцип проектирования, известный как сеть замещения-перестановки, в качестве основы для своего алгоритма блочного шифра. это 9Стандарт шифрования 0005, выбранный федеральным правительством США , и является единственным общедоступным шифром, одобренным Агентством национальной безопасности страны (АНБ). Хотя некоторые криптографы время от времени представляли доказательства предполагаемых уязвимостей в AES, все они оказались либо непрактичными, либо неэффективными против полной реализации AES-128. Изображение предоставлено: D-Link

WPA, WPA2, WEP: как насчет этих сокращений?

Вы можете использовать либо TKIP, либо AES с большинством маршрутизаторов, доступных сегодня на рынке, но как насчет всех этих надоедливых аббревиатур, таких как WPA, WPA2, WEP, PSK, Enterprise, Personal и т. д. и т. д.? Прежде всего, вы должны абсолютно помнить, что WEP, или Wired Equivalent Privacy, — это протокол с многолетней историей, который, как было доказано, является безопасным.0005 чрезвычайно уязвим , поэтому он должен быть отправлен в анналы истории, где ему и место. WPA (защищенный доступ к Wi-Fi), пришедший на смену WEP, является более новым протоколом, который является относительно более безопасным, хотя он также показал себя крайне неэффективным против компетентных хакеров.

Изображение предоставлено LinkSys. обязательно для всех новых устройств Wi-Fi . В то время как более старый WPA был разработан для обратной совместимости со старым оборудованием Wi-Fi, защищенным с помощью WEP, WPA2 не работает со старыми сетевыми картами и устаревшими устройствами.

Разница между Personal, Enterprise и WPS

Некоторых из вас могут заинтересовать еще несколько запутанных акронимов, с которыми вам придется иметь дело при настройке маршрутизатора. Таким образом, режимы Personal и Enterprise — это не столько разные протоколы шифрования, сколько механизмы распределения ключей аутентификации, позволяющие различать конечных пользователей. Персональный режим, также называемый PSK или предварительный общий ключ в первую очередь предназначен для домашних сетей и сетей малого офиса и не требует сервера аутентификации. По большей части все, что вам нужно, это пароль для входа в эти сети.

Режим предприятия, с другой стороны, разработан в первую очередь для корпоративных сетей , и хотя он обеспечивает дополнительную безопасность, он также требует гораздо более сложной настройки. Для проверки каждого входа в систему требуется сервер аутентификации RADIUS, а для аутентификации используется EAP (Extensible Authentication Protocol). Персональный и корпоративный режимы доступны как с WPA, так и с WPA2, как видно из приведенного выше изображения нашей страницы настройки LinkSys EA7300. Изображение предоставлено: D-Link

Существует также другой механизм распределения ключей аутентификации, называемый WPS (Wi-Fi Protected Setup), но было доказано, что он имеет несколько проблем с безопасностью, в том числе так называемую уязвимость Wi-Fi Pin Recovery, которая потенциально может позволить удаленным злоумышленникам восстановить PIN-код WPS, что позволяет им довольно легко расшифровать пароль Wi-Fi маршрутизатора.

TKIP против AES против TKIP/AES: как выбрать правильный вариант?

К настоящему моменту вы уже знаете, что между стандартами TKIP и AES нет реальных споров. Это связано с тем, что, в отличие от старого, устаревшего протокола, не существует задокументированного практического взлома, который позволил бы удаленному злоумышленнику читать данные, зашифрованные с помощью AES. Однако, учитывая, что некоторые маршрутизаторы на самом деле предлагают вам запутанный вариант «TKIP/AES», многие из вас могут задаться вопросом, есть ли смысл выбирать его вместо AES. Итак, вот в чем дело. Смешанный режим TKIP/AES предназначен только для обратной совместимости с устаревшим оборудованием Wi-Fi ушедшей эпохи, поэтому, если вы не используете такое устройство, эксперты по кибербезопасности рекомендуют вам использовать WPA2-PSK/Personal ( AES) каждый раз . Если у вас есть какое-то старое — я имею в виду действительно старое — оборудование Wi-Fi, которое было запущено без AES, конфигурация смешанного режима WPA/WPA2 (TKIP/AES) может быть необходимым злом, к которому вам нужно прибегнуть, но помните, что это также может сделать вас уязвимыми для нарушений безопасности благодаря всем дырам в безопасности, обнаруженным в протоколах WPA и TKIP.

Если повышенной безопасности недостаточно, чтобы убедить вас в преимуществах использования стандарта WPA2 (AES), возможно, следующая информация убедит вас в этом. Использование WPA/TKIP для совместимости также будет означать, что вы получите относительно более медленное подключение . Вы не заметите этого, если все еще застряли на более медленных соединениях, но многие современные сверхбыстрые маршрутизаторы, поддерживающие 802.11n/ac, будут поддерживать только скорость до 54 Мбит/с в смешанном режиме, так что Ваше дорогое гигабитное соединение все равно будет понижено до 54 Мбит/с, если вы используете шифрование в смешанном режиме. В то время как 802.11n поддерживает до 300 Мбит/с с WPA2 (AES), 802.11ac может поддерживать теоретическую максимальную скорость до 3,46 Гбит/с в диапазоне 5 ГГц, хотя практические скорости, вероятно, будут намного ниже.

СМОТРИТЕ ТАКЖЕ: Как настроить Linksys Smart WiFi Router

TKIP VS AES: лучшая защита для вашей сети Wi-Fi

Как конечный пользователь, вы должны помнить одну вещь: если на странице настройки маршрутизатора указано просто WPA2, это почти неизбежно означает WPA2-PSK ( АЭС). Точно так же WPA без каких-либо других сокращений означает WPA-PSK (TKIP). Некоторые маршрутизаторы предлагают WPA2 как с TKIP, так и с AES, и в этом случае, если вы действительно не собираетесь использовать в сети старое устройство, вам лучше не использовать TKIP. Почти все ваше Wi-Fi-оборудование прошлого десятилетия, безусловно, будет работать с WPA2 (AES), и вы получите для него более быструю и безопасную сеть. Как вам такая сделка? Поэтому, если у вас есть какие-либо дополнительные сомнения по этому поводу или у вас есть опция на странице настройки вашего маршрутизатора, которую мы здесь не рассмотрели, оставьте примечание в разделе комментариев ниже, и мы сделаем все возможное, чтобы ответить вам.

Безопасность данных — уязвимости WPA-2 PSK

Время считывания: 3,5 минуты

WPA2 означает защищенный доступ 2 беспроводной точности — предварительный общий ключ. Это позволяет домашним пользователям или небольшим офисам защищать свою сеть без использования корпоративного сервера аутентификации.

Как работает WPA2-PSK?

Для WPA2-PSK требуется маршрутизатор с парольной фразой длиной от 8 до 63 символов для шифрования данных в сети. Он использует технологию под названием TKIP, т. е. протокол целостности временного ключа, который требует сетевого SSID и парольной фразы для создания уникальных ключей шифрования для каждого беспроводного клиента.

WPA2-PSK (AES) более безопасен, чем WPA2-PSK (TKIP), но WPA2-PSK (TKIP) можно использовать со старыми устройствами, которые не поддерживают WPA2-PSK (AES).

Когда пользователь подключается к маршрутизатору, он вводит пароль для аутентификации своей личности, и, если пароль совпадает, пользователь подключается к WLAN.

С помощью WPA2-PSK пользователь может защитить свои данные, передаваемые по беспроводному каналу между маршрутизатором и другими сетевыми устройствами. Это последнее поколение безопасности Wi-Fi, при котором ключ распределяется между подключенными устройствами. WPA2-PSK также известен как WPA2 Personal.

Уязвим ли WPA2-PSK?

WPA2-PSK разработан для небольших офисов и домашних сетей, чтобы пользователи могли доверять сети, к которой они подключены. WPA2-PSK безопасен, но использует общий пароль для всех пользователей, подключенных к сети, что приводит к отслеживанию сети злоумышленником.

WPA2-PSK также используется в аэропортах, общественных точках доступа или университетах, поскольку его легко внедрить и требуется только один пароль. Но если ваш WPA2-PSK будет скомпрометирован, злоумышленник может легко получить доступ к вашей сети и совершить следующие вредоносные действия:

  • Подмена коммутатора
  • Атаки на протокол связующего дерева (STP)
  • Подмена динамической конфигурации хоста (DHCP)
  • Подмена управления доступом к среде (MAC)
  • Двойная маркировка
  • Подмена протокола разрешения адресов (ARP).

Использование единого пароля для доступа к сети требует добросовестного хранения пароля в секрете на каждом устройстве пользователя. Причина этого в том, что если один пользователь будет скомпрометирован, то все пользователи могут быть взломаны.

Могут выполняться атаки грубой силы, такие как атаки по словарю, и злоумышленник может расшифровать весь трафик устройства, если он получит предварительный общий ключ и перехватит рукопожатие ключа, когда пользователь подключается к сети.

Альтернативы WPA2-PSK

WPA2-PSK достаточно безопасен для домашней сети, поскольку пользователи могут менять пароли, если они сомневаются, что их использует кто-то посторонний.

Однако, если пользователи не могут пойти на компромисс с безопасностью, то можно использовать WPA2-Enterprise для предоставления разных паролей каждому участнику и запрета доступа к сети в целом. Он изолирует сеть для каждого пользователя. Требование RADIUS в реализации 802.1x делает его сложным, но для большей безопасности можно использовать 802.1x, который позволяет выполнять аутентификацию с помощью сертификатов вместо учетных данных.

Защитите свою сеть 802.1x с помощью аутентификации WPA2 EAP-TLS

Крупные организации могут использовать расширяемый протокол аутентификации WPA2 поверх безопасности транспортного уровня. Он использует шифрование AES, но добавляет аутентификацию по имени пользователя и паролю. Пользователь без зарегистрированной учетной записи или чья учетная запись отключена, не может получить доступ к беспроводной сети. Беспроводная сеть может быть неуязвима для беспроводных атак благодаря аутентификации на основе сертификатов, основанной на протоколе EAP-TLS с проверкой сертификата сервера. Неавторизованный пользователь не может получить доступ к информации, отправляемой для аутентификации через зашифрованный туннель EAP, а идентифицирующая информация отправляется только на правильный RADIUS в процессе проверки сертификата сервера.

Внедрение WPA2 EAP-TLS может быть проблемой из-за его сложности с его первоначальным дизайном и конфигурацией. Это также может быть ресурсоемким, поскольку требует настройки и управления инфраструктурой открытых ключей.

Защитите свою сеть с помощью WPA3

WPA3 устраняет проблему безопасности, используя индивидуальное шифрование данных. Если WPA3 включен и пользователь подключается к открытой сети Wi-Fi, то данные, передаваемые между устройством и точкой доступа Wi-Fi, будут зашифрованы. Даже в момент подключения пользователь не вводит никакого пароля.

Заключение

Безопасность необходима в этом связанном мире. Наши данные должны быть защищены и могут быть доступны только предполагаемому лицу. В современном мире беспроводных сетей мы должны настроить нашу сетевую безопасность по последнему слову техники, чтобы никто не мог проникнуть в нашу сеть.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *