Разное

Tkip или aes что лучше: Вы должны использовать AES или TKIP для более быстрой сети Wi-Fi?

Содержание

Вы должны использовать AES или TKIP для более быстрой сети Wi-Fi?

Плохая безопасность маршрутизатора подвергает вашу сеть риску. Хотя мы знаем, что управление узким судном начинается с безопасности маршрутизатора, но вы можете не знать, что некоторые настройки безопасности могут замедлить работу всей сети.

Основным выбором для шифрования на основе маршрутизатора являются WPA2-AES а также WPA2-TKIP. Сегодня мы немного поговорим о каждом из них и покажем, почему AES — явный победитель.

Представляем WPA

WPA — или защищенный доступ Wi-Fi — был ответом Wi-Fi Alliance на уязвимости безопасности, которые пронизывали протокол WEP (Wired Equivalent Privacy). Важно отметить, что это никогда не предполагалось как полноценное решение, а скорее как временный выбор, который позволял пользователям использовать свои существующие маршрутизаторы при обновлении с относительно ужасного протокола WEP, и это заметные недостатки безопасности.

Хотя WPA лучше, чем WEP, у него были некоторые проблемы с безопасностью

сам по себе, и хотя атаки, как правило, не были нарушением самого алгоритма TKIP (Temporal Key Integrity Protocol), который включал 256-битное шифрование, но через дополнительную систему, которая шла с протоколом, называемым WPS или Wi-Fi. Защищенная настройка.

Wi-Fi Protected Setup был разработан для легкого подключения устройства, но выпущен с достаточным количеством недостатков безопасности, что он потерял свою популярность и начал исчезать, забирая WPA с собой.

В настоящее время и WPA, и WEP вышли на пенсию, поэтому мы собираемся замаскировать их и поговорим о более новой версии протокола.

WPA2.

Почему WPA2 лучше

В 2006 году WPA стал устаревшим протоколом, а WPA2 заменил его.

Заметное снижение шифрования TKIP в пользу более нового и более безопасного шифрования AES (Advanced Encryption Standard) привело к более быстрой и более защищенной сети Wi-Fi за счет перехода к реальному алгоритму шифрования, а не к альтернативе с временным интервалом, которой был TKIP. Проще говоря, WPA-TKIP был просто временным выбором, в то время как они разработали лучшее решение за три года между выпуском WPA-TKIP и WPA2-AES.

Видите ли, AES — это настоящий алгоритм шифрования, а не тот тип, который используется исключительно для сетей Wi-Fi. Это серьезный мировой стандарт, который использовался правительством, когда-то популярный TrueCrypt

и многие другие для защиты данных от посторонних глаз. Тот же стандарт, который используется для защиты домашней сети, является настоящим бонусом, но требует обновления оборудования маршрутизатора.

AES против TKIP для безопасности

TKIP — это, по сути, патч для WEP, который решает проблему раскрытия вашего ключа злоумышленниками после наблюдения за относительно небольшим объемом трафика маршрутизатора. Чтобы решить эту проблему, TKIP устранил эту проблему, выпуская новый ключ каждые несколько минут, который — теоретически — не дал бы хакеру данных, достаточных для взлома ключа или потокового шифра RC4, на котором основан алгоритм.

Хотя TKIP в то время предлагал существенное обновление безопасности, с тех пор он стал устаревшей технологией, которая больше не считается достаточно безопасной для защиты вашей сети.

от хакеров. Самая большая — но не единственная — уязвимость известна как атака chop-chop, которая на самом деле предшествует выпуску самого метода шифрования.

Атака chop-chop позволяет хакерам, которые знают, как перехватывать и анализировать потоковые данные, которые генерирует сеть, расшифровывать ключ и, таким образом, отображать данные в виде открытого текста, а не зашифрованного текста. Если ваша голова немного кружится, проверьте мой учебник по энциклопедии

для лучшего понимания.

AES — это совершенно отдельный алгоритм шифрования, который намного превосходит все, что предлагает TKIP. Алгоритм представляет собой 128-битный, 192-битный или 256-битный блочный шифр, который не имеет ни одной из тех уязвимостей, которые были у TKIP.

Чтобы объяснить алгоритм простыми словами, он принимает открытый текст и преобразует его в зашифрованный текст. Зашифрованный текст выглядит как случайная строка символов для наблюдателя, у которого нет ключа шифрования. Устройство или человек на другом конце передачи имеет ключ, который разблокирует или расшифровывает данные для более удобного просмотра. В этом случае маршрутизатор имеет первый ключ и шифрует данные перед трансляцией. На компьютере есть второй ключ, который расшифровывает передачу для просмотра на экране.

Уровень шифрования (128, 192 или 256-битный) определяет объем «скремблирования» данных и, следовательно, возможное количество возможных комбинаций, если вы попытаетесь его сломать.

Даже самый маленький уровень шифрования AES, 128-битный, теоретически нерушим, поскольку текущая вычислительная мощность может занять более 100 миллиардов миллиардов лет, чтобы найти правильное решение для алгоритма шифрования.

AES против TKIP для скорости

TKIP является устаревшим методом шифрования, и кроме проблем безопасности известно, что он замедляет работу систем, которые все еще его используют.

Большинство новых маршрутизаторов (что-либо 802.11n или более новое) по умолчанию используют шифрование WPA2-AES, но если у вас более старое устройство или по какой-то причине выбрано шифрование WPA-TKIP, скорее всего, вы теряете значительную скорость.

Любой маршрутизатор 802.11n или новее (хотя вы действительно должны купить маршрутизатор переменного тока

) замедляется до 54 Мбит / с, если вы включите WPA или TKIP в настройках безопасности. Это необходимо для обеспечения правильной работы протокола безопасности со старыми устройствами.

802.11ac с шифрованием WPA2-AES предлагает теоретические максимальные скорости 3,46 Гбит / с при оптимальных (читай: никогда не случится) условиях. Помимо теоретических максимумов, WPA2 и AES являются гораздо более быстрой альтернативой TKIP.

Суть

AES и TKIP даже не стоят сравнения. AES, фактически, лучшая технология во всех смыслах этого слова. Более высокие скорости маршрутизатора

Безумно безопасный просмотр и алгоритм, на который полагаются даже правительства крупнейших стран мира, делают его обязательным для использования с точки зрения предлагаемых опций в новых или существующих сетях Wi-Fi.

Имея все, что предлагает AES, есть ли веская причина не использовать его в домашней сети? Почему вы не используете его?

Изображение предоставлено: значок беспроводной сети Vector Router через Shutterstock

Сравнение: WPA2-AES или WPA2-TKIP, что лучше?

Стандарты шифрования WPA2-AES и WPA2-TKIP используются на всех современных маршрутизаторах, поэтому мы подготовили сравнение, чтобы увидеть, какие из них лучше защищают наши сети WiFi и пароли.

Очень важно иметь правильный пароль Wi-Fi, который является надежным и сложным. Таким образом мы можем не допустить возможных злоумышленников, которые ищут способ войти в наши учетные записи. Но не имеет значения только ключ, который мы собираемся выбрать, это то, что существует под названием шифрование. В нашем распоряжении есть несколько вариантов.

Современные маршрутизаторы позволяют выбирать между различными типами, и не все из них будут безопасными. В этой статье мы сосредоточимся на паролях, использующих WPA2-AES и WPA2-TKIP.

Защита сети – это фундаментально

Прежде всего, мы хотим помнить о важности правильной защиты наших беспроводных сетей. Есть много типов атак, которые злоумышленники могут использовать для взлома нашей безопасности. Вот почему мы должны использовать инструменты и методы, которые могут адекватно защитить нас.

Тот факт, что в наших сетях есть злоумышленники, может поставить под угрозу вашу конфиденциальность и безопасность. У вас может быть доступ к другому подключенному оборудованию, а также возможность собирать личную информацию.

Но помимо этого, как мы можем себе представить, это также создает проблемы для производительности. Это факт, что чем больше компьютеров вы подключили и используете сеть, тем больше может возникнуть проблем со скоростью, качеством и стабильностью. Если у нас есть злоумышленники в нашем Wi-Fi, можно предположить, что скорость заметно упадет.

Короче говоря, защита наших беспроводных сетей будет иметь фундаментальное значение, и мы всегда должны помнить об этом. Что да, необходимо правильно выбрать ключ, который мы собираемся использовать, а также тип шифрования в рамках имеющихся в нашем распоряжении возможностей.

WPA2-AES против паролей WPA2-TKIP

Среди вариантов, которые мы видим при использовании шифрования Wi-Fi, возможно, наиболее часто используются WPA2-AES и WPA2-TKIP. Надо сказать, что на сегодняшний день они являются самыми безопасными, поскольку другие, такие как WEP и WPA (оба в их различных вариантах), устарели, и существуют различные инструменты, позволяющие использовать их. Поэтому использовать их в настоящее время не рекомендуется.

Итак, в пределах двух типов, которые мы можем считать безопасными, они не равны. И мы можем сказать, что идеальным было бы использование WPA2-AES. Это самый надежный вид шифрования. Он использует новейший стандарт шифрования Wi-Fi и новейшее шифрование AES.

Шифрование TKIP снимается с WiFi Alliance. Это означает, что новые маршрутизаторы не должны использовать его, поскольку сегодня он не считается полностью безопасным. Поэтому по возможности нам следует избегать этого.

WPA2-TKIP использует современный стандарт WPA2, но использует старое шифрование TKIP. Следовательно, его использование не рекомендуется сегодня, если мы хотим максимизировать безопасность наших сетей.

Тогда мы можем сказать, что если мы сравним пароли Wi-Fi WPA2-AES и WPA2-TKIP, то самым безопасным вариантом будет использование первого варианта. Это тот, который предложит нам большую гарантию и будет иметь меньше проблем безопасности, которые могут поставить под угрозу наши сети.

Имейте в виду, что есть разница в скорости. Если мы будем использовать WPA2-AES, мы получим лучшие результаты, в то время как WPA2-TKIP влияет на отправку пакетов и получение данных. Это еще один фактор, который мы должны учитывать, помимо безопасности, которая логически является основным фактором.

Есть ли проблемы с совместимостью?

Однако имейте в виду, что в некоторых случаях использование WPA2-AES будет невозможно. Причина в том, что некоторые старые устройства не смогут подключаться к сетям, которые используют это более современное шифрование, и должны использовать WPA2-TKIP.

Это один из недостатков, который мы можем найти в определенных ситуациях. Некоторые пользователи вынуждены использовать более старое шифрование, такое как WPA2-TKIP, для подключения других компьютеров.

Что лучше aes или tkip. WPA2-PSK

Нередко возникает вопрос: какой тип шифрования Wi-Fi выбрать для домашнего маршрутизатора. Казалось бы мелочь, но при некорректных параметрах, к сети , да и c передачей информации по Ethernet-кабелю могут возникнуть проблемы.

Поэтому здесь мы рассмотрим, какие типы шифрования данных поддерживают современные WiFi роутеры, и чем тип шифрования aes отличается от популярного wpa и wpa2.

Тип шифрования беспроводной сети: как выбрать способ защиты?

Итак, всего существует 3 типа шифрования:

  1. 1. WEP шифрование

Тип шифрования WEP появился ещё в далеких 90-х и был первым вариантом защиты Wi-Fi сетей: позиционировался он как аналог шифрования в проводных сетях и применял шифр RC4. Существовало три распространенных алгоритма шифровки передаваемых данных — Neesus, Apple и MD5 — но каждый из них не обеспечивал должного уровня безопасности. В 2004 году IEEE объявили стандарт устаревшим ввиду того, что он окончательно перестал обеспечивать безопасность подключения к сети. В данный момент такой тип шифрования для wifi использовать не рекомендуется, т.к. он не является криптостойким.

  1. 2. WPS
    — это стандарт, не предусматривающий использование . Для подключения к роутеру достаточно просто нажать на соответствующую кнопку, о которой мы подробно рассказывали в статье .

Теоретически WPS позволяет подключиться к точке доступа по восьмизначному коду, однако на практике зачастую достаточно лишь четырех.

Этим фактом преспокойно пользуются многочисленные хакеры, которые достаточно быстро (за 3 — 15 часов) взламывают сети wifi, поэтому использовать данное соединение также не рекомендуется.

  1. 3. Тип шифрования WPA/WPA2

Куда лучше обстоят дела с шифрованием WPA. Вместо уязвимого шифра RC4 здесь используется шифрование AES, где длина пароля – величина произвольная (8 – 63 бита). Данный тип шифрования обеспечивает нормальный уровень безопасности безопасность, и вполне подходит для простых wifi маршрутизаторов. При этом существует две его разновидности:

Тип PSK (Pre-Shared Key) – подключение к точке доступа осуществляется с помощью заранее заданного пароля.
— Enterprise – пароль для каждого узла генерируется автоматически с проверкой на серверах RADIUS.

Тип шифрования WPA2 является продолжением WPA с улучшениями безопасности. В данном протоколе применяется RSN, в основе которого лежит шифрование AES.

Как и у шифрования WPA, тип WPA2 имеет два режима работы: PSK и Enterprise.

С 2006 года тип шифрования WPA2 поддерживается всем Wi-Fi оборудованием, соответственное гео можно выбрать для любого маршрутизатора.

Широкополосный доступ в интернет уже давно перестал быть роскошью не только в крупных городах, но и в отдалённых регионах. При этом многие сразу же обзаводятся беспроводными роутерами, чтобы сэкономить на мобильном интернете и подключить к скоростной линии смартфоны, планшеты и прочую портативную технику. Более того, провайдеры всё чаще сразу устанавливают своим клиентам маршрутизаторы со встроенной беспроводной точкой доступа.

Между тем, потребители далеко не всегда понимают, как на самом деле работает сетевое оборудование и какую опасность оно может нести. Главное заблуждение состоит в том, что частный клиент просто не представляет, что беспроводная связь может нанести ему какой-то ущерб – ведь он не банк, не секретная служба и не владелец порнохранилищ. Но стоит только начать разбираться, как вам сразу захочется вернуться к старому доброму кабелю.

1. Никто не станет взламывать мою домашнюю сеть

Вот главное заблуждение домашних пользователей, ведущее к пренебрежению элементарными нормами сетевой безопасности. Принято считать, есто если вы не знаменитость, не банк и не интернет-магазин, то никто не будет тратить на вас время, ведь результаты будут неадекватны приложенным усилиям.

Более того, почему-то упорно циркулирует мнение, что якобы небольшие беспроводные сети взломать сложнее, чем крупные, в чём есть крупица правды, но в целом это тоже миф. Очевидно, это утверждение основано на том, что у мелких локальных сетей ограниченная дальность распространения сигнала, поэтому достаточно понизить его уровень, и хакер просто не сможет обнаружить такую сеть из припаркованного рядом автомобиля или кафе по-соседству.

Возможно, когда-то это было так, но сегодняшние взломщики оснащены высокочувствительными антеннами, способными принять даже самый слабый сигнал. И тот факт, что у вас на кухне планшет постоянно теряет связь, вовсе не означает, что хакеру, сидящему в машине за два дома от вас, не удастся покопаться в вашей беспроводной сети.

Что же касается мнения, что взлом вашей сети не стоит потраченных усилий, то это совсем не так: в ваших гаджетах хранится море всевозможной персональной информации, которая, как минимум, позволит злоумышленнику от вашего имени заказать покупки, получить кредит, или, воспользовавшись методами социальной инженерии, добиться ещё более неочевидных целей вроде проникновения в сеть вашего работодателя или даже его партнёров. При этом отношение к сетевой безопасности у простых пользователей сегодня настолько пренебрежительное, что взломать домашнюю сеть не составит особого труда даже для новичков.

2. Дома не нужен двух- или трёхдиапазонный роутер

Считается, что многодиапазонные роутеры нужны только особо требовательным владельцам огромного количества гаджетов, которые хотят выжать из беспроводной связи максимально доступную скорость. Между тем, любому из нас не помешает хотя бы двухдиапазонный маршрутизатор.

Главное преимущество многодиапазонного роутера заключается в том, что разные устройства можно «раскидать» по разным диапазонам, и тем самым повысить потенциально возможную скорость передачи данных и, конечно же, надёжность связи. Например, вполне целесообразно было бы подключать ноутбуки к одному диапазону, телевизионные приставки – ко второму, а мобильные гаджеты – к третьему.

3. Диапазон 5 ГГц лучше диапазона 2,4 ГГц

Оценившие преимущества частотного диапазона 5 ГГц обычно рекомендуют всем переходить на него и вообще отказаться от использования частоты 2,4 ГГц. Но, как обычно, не всё так просто.

Да, 5 ГГц физически менее «заселён», чем более массовый 2,4 ГГц – в том числе и потому, что на 2,4 ГГц работает больше всего устройств на базе старых стандартов. Однако 5 ГГц уступает в дальности связи, в особенности в том, что касается проникновения через бетонные стены и другие преграды.

В целом, здесь нет однозначного ответа, можно посоветовать лишь использовать тот диапазон, в котором конкретно у вас приём лучше. Ведь вполне может оказаться, что в каком-то конкретном месте и полоса 5 ГГц перегружена устройствами – хотя это и очень маловероятно.

4. Не нужно трогать настройки роутера

Предполагается, что настройку оборудования лучше оставить профессионалам и ваше вмешательство способно только навредить работоспособности сети. Обычный способ представителей провайдера (и сисадминов) запугать пользователя, чтобы снизить вероятность неправильных настроек и последующих вызовов на дом.

Понятно, что если вы вообще не представляете, о чём там речь, лучше ничего не трогать, но даже непрофессионал вполне способен изменить некоторые настройки, повысив защищённость, надёжность и производительность сети. Хотя бы зайдите в веб-интерфейс и ознакомьтесь с тем, что там можно изменить – но если вы не знаете, что это даст, лучше оставьте всё как есть.

В любом случае есть смысл внести четыре поправки, если они уже не сделаны в настройках вашего роутера:

1) По возможности переключайтесь на новый стандарт
– если его поддерживает как роутер, так и ваши устройства. Переход с 802.11n на 802.11ac даст существенный прирост скорости, как и переключение с более старых 802.11b/g на 802.11n.

2) Поменяйте тип шифрования
. Некоторые установщики до сих пор оставляют домашние беспроводные сети либо полностью открытыми, либо с устаревшим стандартом шифрования WEP. Обязательно нужно поменять тип на WPA2 c шифрованием AES и сложным длинным паролем.

3) Измените логин и пароль по умолчанию
. Практически все провайдеры при установке нового оборудования оставляют эти данные по умолчанию – если только их специально не попросить о смене. Это общеизвестная «дыра» домашних сетей, и любой хакер для начала обязательно попробует воспользоваться именно ею.

4) Отключите WPS (Wi-Fi Protected Setup)
. Технология WPS обычно включена в роутерах по умолчанию – она предназначена для быстрого подключения совместимых мобильных устройств к сети без ввода длинных паролей. Вместе с тем WPS делает вашу локальную сеть очень уязвимой для взлома путём метода «грубой силы» – простого подбора пин-кода WPS, состоящего из 8 цифр, после чего злоумышленник без проблем получит доступ к ключу WPA/WPA2 PSK. При этом из-за ошибки в стандарте достаточно определить всего 4 цифры, а это уже всего 11 000 сочетаний, и для взлома понадобится перебрать далеко не все из них.

5. Сокрытие SSID спрячет сеть от хакеров

SSID – это сервисный идентификатор сети или попросту название вашей сети, которое используют для установки соединения различные устройства, когда-либо подключавшиеся к ней. Отключив трансляцию SSID, вы не будете появляться в соседском списке доступных сетей, но это не значит, что хакеры не смогут её найти: демаскировка скрытого SSID – задача для новичка.

Вместе с тем, спрятав SSID, вы даже упростите жизнь хакерам: все устройства, пытающиеся подключиться к вашей сети, станут перебирать ближайшие точки доступа, и могут подключиться к сетям-«ловушкам», специально созданным злоумышленниками. Можно развернуть такую подменную открытую сеть под вашим же раскрытым SSID, к которому ваши девайсы будут просто подключаться автоматически.

Поэтому общая рекомендация такова: дайте вашей сети такое название, в котором никак бы не упоминался ни провайдер, ни производитель роутера, ни какая-то личная информация, позволяющая идентифицировать вас и нанести точечные атаки по слабым местам.

6. Шифрование не нужно, если есть антивирус и брандмауэр

Типичный пример того, когда путают тёплое с мягким. Программы защищают от программных же угроз онлайн или уже находящихся в вашей сети, они не защищают вас от перехвата самих данных, передаваемых между роутером и вашим компьютером.

Для обеспечения сетевой безопасности нужен комплекс средств, куда входят и протоколы шифрования, и аппаратные или программные брандмауэры, и антивирусные пакеты.

7. Шифрования WEP достаточно для домашней сети

WEP небезопасен в любом случае, и он поддаётся взлому за считанные минуты с помощью смартфона. По уровню безопасности он мало отличается от полностью открытой сети, и это его главная проблема. Если вы интересуетесь историей вопроса, то можете найти в интернете массу материалов о том, что WEP запросто ломали ещё в начале «нулевых». Нужна ли вам такая «безопасность»?

8. Роутер с шифрованием WPA2-AES невозможно взломать

Если брать «сферический роутер с шифрованием WPA2-AES в вакууме», то это правда: по последним оценкам, при существующих вычислительных мощностей на взлом AES методами «грубой силы» уйдут миллиарды лет. Да, миллиарды.

Но это вовсе не означает, что AES не позволит хакеру добраться до ваших данных. Как и всегда, главная проблема – человеческий фактор. В данном случае, многое зависит от того, насколько сложным и грамотно составленным будет ваш пароль. При «бытовом» подходе к придумыванию паролей, методов социальной инженерии будет достаточно для взлома WPA2-AES за достаточно короткий срок.

О правилах составления хороших паролей мы подробно не так давно, так что всех интересующихся отсылаем к этой статье.

9. Шифрование WPA2-AES снижает скорость передачи данных

Технически, это действительно так, но в современных роутерах есть аппаратные средства, позволяющие свести это снижение к минимуму. Если вы наблюдаете существенное замедление соединения, это означает, что вы используете устаревший роутер, в которых были реализованы немного иные стандарты и протоколы. Например, WPA2-TKIP. Сам по себе TKIP был более безопасным, чем его предшественник WEP, но представлял из себя компромиссное решение, позволяющее использовать старое «железо» с более современными и защищёнными протоколами. Чтобы «подружить» TKIP c новым типом шифрования AES, использовались различные программные ухищрения, что и приводило к замедлению скорости передачи данных.

Ещё в 2012 году в стандарте 802.11 TKIP был признан недостаточно безопасным, но он всё ещё часто встречается в роутерах старых выпусков. Решение проблемы одно – купить современную модель.

10. Работающий роутер менять не нужно

Принцип для тех, кого сегодня вполне устраивает механическая пишущая машинка и телефон с наборным диском. Новые стандарты беспроводной связи появляются регулярно, и с каждым разом не только повышается скорость передачи данных, но и безопасность сети.

Сегодня, когда стандарт 802.11ac предусматривает передачу данных со скоростью выше 50 Мбит/с, старый роутер с поддержкой 802.11n и всех предыдущих стандартов может ограничивать потенциальную пропускную способность сети. В случае с тарифными планами, предусматривающими скорости выше 100 Мбит/с, вы просто будете платить лишние деньги, не получая полноценной услуги.

Конечно, срочно менять работающий роутер вовсе не обязательно, но в один прекрасный день настанет момент, когда к нему не сможет подключиться ни одно современное устройство.

Количество людей, которые активно пользуются интернетом растет, как на дрожжах: на работе для решения корпоративных целей и администрирования, дома, в общественных местах. Распространение получают Wi-Fi сети и оборудование, позволяющее беспрепятственно получать доступ к интернету.

Вай фай сеть обладает зашитой в виде пароля, не зная который, подключиться к конкретной сети будет практически невозможно, кроме общественных сетей (кафе, рестораны, торговые центры, точки доступа на улицах) . «Практически» не стоит понимать в буквальном смысле: умельцев, способных «вскрыть» сеть и получить доступ не только к ресурсу роутера, но и к передаваемым внутри конкретной сети данным, достаточно.

Но в этом вступительном слове мы поговорили о подключении к wi-fi — аутентификации
пользователя (клиента), когда клиентское устройство и точка доступа обнаруживают друг друга и подтверждают, что могут общаться между собой.

Варианты аутентификации
:

  • Open
    — открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared
    — подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP
    — подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Шифрование
— это алгоритм скремблирования (scramble
— шифровать, перемешивать) передаваемых данных, изменение и генерация ключа шифрования

Для оборудования wifi были разработаны различные типы шифрования, дающие возможность защищать сеть от взлома, а данные от общего доступа.

На сегодняшний день выделяются несколько вариантов шифрования. Рассмотрим каждый из них подробнее.

Выделяются и являются самыми распространенными следующие типы:

Первый тип, именуемый не иначе, как OPEN, все требуемую для познания информацию содержит в названии. Зашифровать данные или защитить сетевое оборудование такой режим не позволит, потому как точка доступа будет являться при условии выбора такого типа постоянно открытой и доступной для всех устройств, которыми она будет обнаружена. Минусы и уязвимости такого типа «шифрования» очевидны.

Если сеть открыта, это не значит, что любой может с ней работать. Чтобы пользоваться такой сетью и передавать в ней данные, нужно совпадение используемого метода шифрования. И еще одно условие пользования такой сетью отсутствие MAC-фильтра, который определяет MAC-адреса пользователей, для того, что бы распознать каким устройствам запрещено или разрешено пользоваться данной сетью

WEP

Второй тип, он же WEP, уходит корнями в 90-е годы прошлого века, являясь родоначальником всех последующих типов шифрования. Wep шифрование сегодня – слабейший из всех существующих вариантов организации защиты. Большинство современных роутеров, создаваемых специалистами и учитывающих интересы конфиденциальности пользователей, не поддерживают шифрование wep.

Среди минусов, вопреки факту наличия хоть какой-то защиты (в сравнении с OPEN), выделяется ненадежность: она обусловлена кратковременной защитой, которая активируется на определенные интервалы времени. По истечении этого промежутка, пароль к вашей сети можно будет легко подобрать, а ключ wep будет взломан за время до 1 минуты. Это обусловлено битностью wep ключа, которая составляет в зависимости от характеристик сетевого оборудования от 40 до 100 бит.

Уязвимость wep ключа заключается в факте передачи частей пароля в совокупности с пакетами данных. Перехват пакетов для специалиста – хакера или взломщика – задача, легкая для осуществления. Важно понимать и тот факт, что современные программные средства способны перехватывать пакеты данных и созданы специально для этого.

Таким образом, шифрование wep – самый ненадежный способ защиты вашей сети и сетевого оборудования.

WPA, WPA2

Такие разновидности – самые современные и совершенными с точки зрения организации зашиты на данный момент. Аналогов им не существует. Возможность задать любую удобную пользователю длину и цифробуквенную комбинацию wpa ключа довольно затрудняет жизнь желающим несанкционированно воспользоваться конкретной сетью или перехватить данные этой сети.

Данные стандарты поддерживают различные алгоритмы шифрования, которые могут передаваться после взаимодействия протоколов TKIP и AES. Тип шифрования aes является более совершенным протоколом, чем tkip, и большинством современных роутеров поддерживается и активно используется.

Шифрование wpa или wpa2 – предпочтительный тип как для домашнего использования, так и для корпоративного. Последний дает возможность применения двух режимов аутентификации: проверка паролей для доступа определенных пользователей к общей сети осуществляется, в зависимости от заданных настроек, по режиму PSK или Enterprise.

PSK предполагает доступ к сетевому оборудованию и ресурсам интернета при использовании единого пароля, который требуется ввести при подключении к роутеру. Это предпочтительный вариант для домашней сети, подключение которой осуществляется в рамках небольших площадей определенными устройствами, например: мобильным, персональным компьютером и ноутбуком.

Для компаний, имеющих солидные штаты сотрудников, PSK является недостаточно удобным режимом аутентификации, потому был разработан второй режим – Enterprise. Его использование дает возможность применения множества ключей, который будут храниться на особом выделенном сервере.

WPS

По-настоящему современная и , делает возможным подключение к беспроводной сети при помощи одного нажатия на кнопку. Задумываться о паролях или ключах бессмысленно, но стоит выделить и учитывать ряд серьезных недостатков, касающихся допуска к сетям с WPS.

Подключение посредством такой технологии осуществляется при использовании ключа, включающего в себя 8 символов. Уязвимость типа шифрования заключается в следующем: он обладает серьезной ошибкой, которая взломщикам или хакерам позволяет получить доступ к сети, если им доступны хотя бы 4 цифры из восьмизначной комбинации. Количество попыток подбора пароля при этом составляет порядка нескольких тысяч, однако для современных программных средств это число – смешное. Если измерять процесс форсирования WPS во времени, то процесс займет не более суток.

Стоит отметить и тот факт, что данная уязвимость находиться на стадии совершенствования и поддается исправлению, потому в последующих моделях оборудования с режимом WPS стали внедряться ограничения на количество попыток входа, что существенно затруднило задачу несанкционированного доступа для заинтересованных в этом лиц.

И тем не менее, чтобы повысить общий уровень безопасности, опытные пользователи рекомендуют принципиально отказываться от рассмотренной технологии.

Подводя итоги

Самой современной и по-настоящему надежной методикой организации защиты сети и данных, передаваемых внутри нее, является WPA или ее аналог WPA2.

Первый вариант предпочтителен для домашнего использования определенным числом устройств и пользователей.

Второй, обладающий функцией аутентификации по двум режимам, больше подходит для крупных компаний. Применение его оправдано тем, что при увольнении сотрудников нет необходимости в смене паролей и ключей, потому как определенное количество динамических паролей хранятся на специально выделенном сервере, доступ к которому имеют лишь текущие сотрудники компании.

Следует отметить, что большинство продвинутых пользователей отдают предпочтение WPA2 даже для домашнего использования. С точки зрения организации защиты оборудования и данных, такой метод шифрования является самым совершенным из существующих на сегодняшний день.

Что касается набирающего популярность WPS, то отказаться от него – значит в определенной мере обезопасить сетевое оборудование и информационные данные, передаваемые с его помощью. Пока технология не развита достаточно и не обладает всеми преимуществами, например, WPA2, от ее применения рекомендуется воздержаться вопреки кажущейся простоте применения и удобству. Ведь безопасность сети и передаваемых внутри нее информационных массивов – приоритет для большинства пользователей.

), который позволяет защитить Вас от несанкционированного подключения, например, вредных соседей. Пароль паролем, но его ведь могут и взломать, если конечно, среди Ваших соседей нет «хакеров-взломщиков». Поэтому, Wi-Fi протокол еще имеет и различные типы шифрования, которые как раз и позволяют защитить Wi-Fi от взлома, хоть и не всегда.

На данный момент существуют такие типы шифрования, как OPEN
, WEB
, WPA
, WPA2
, о которых мы сегодня и поговорим.

OPEN

Шифрование OPEN по сути никакого шифрования и не имеет, другими словами – нет защиты. Поэтому, любой человек, который обнаружит Вашу точку доступа, сможет легко к ней подключиться. Лучше всего будет поставить шифрования WPA2 и придумать какой-нибудь сложный пароль.

WEB

Данный тип шифрования появился в конце 90-х и является самым первым. На данный момент WEB (Wired Equivalent Privacy
) – это самый слабый тип шифрования. Некоторые роутеры и другие устройства, поддерживающие Wi-Fi, исключают поддержку WEB.

Как я уже сказал, шифрование WEB очень ненадежно и его лучше избегать, как и OPEN, так как, он создает защиту на очень короткое время, по истечению которого можно с легкостью узнать пароль любой сложности. Обычно пароли WEB имеют 40 или 103 бита, что позволяет подобрать комбинацию за несколько секунд.

Дело в том, что WEB передает части этого самого пароля (ключа) вместе с пакетами данных, а эти пакеты можно с легкостью перехватить. На данный момент существуют несколько программ, занимающихся как раз перехватом этих самых пакетов, но говорить об этом в этой статье я не буду.

WPA/WPA2

Данный тип является самым современным и новых пока что еще нет. Можно задавать произвольную длину пароля от 8 до 64 байтов и это достаточно сильно затрудняет взлом.

А тем временем, стандарт WPA поддерживает множество алгоритмов шифрования, которые передаются после взаимодействия TKIP
с CCMP
. TKIP был что-то типа мостика между WEB
и WPA
, и существовал до тех пор, пока IEEE (Institute of Electrical and Electronics Engineers)

создавали полноценный алгоритм CCMP
. Между тем, TKIP тоже страдал от некоторых типов атак, поэтому его тоже считают не очень безопасным.

Также, шифрование WPA2 использует два режима начальной аутентификации, другими словами, проверки пароля для доступа пользователя (клиента) к сети. Называются они PSK
и Enterprise
. Первый режим – означает вход по одному паролю, который мы вводим при подключении. Для больших компаний это не очень удобно, так как, после ухода каких-то сотрудников, приходится каждый раз менять пароль, чтобы он не получил доступ к сети, и уведомлять об этом остальных сотрудников, подключенных к этой сети. Поэтому, чтобы все это было более удобно, придумали режим Enterprise
, который позволяет использовать множество ключей, хранящихся на сервере RADIUS
.

WPS

Технология WPS
или по-другому QSS
позволяет подключаться к сети посредством простого нажатия кнопки. В принципе о пароле можно даже и не думать. Но тут тоже есть свои недостатки, которые имеют серьезные просчеты в системе допуска.

С помощью WPS мы можем подключаться к сети по коду, состоящему из 8 символов, по-другому PIN
. Но в данном стандарте существуют ошибка из-за которой узнав всего 4 цифры данного пин кода, можно узнать и весть ключ, для этого достаточно 10 тысяч попыток
. Таким образом, можно получить и пароль, каким бы сложным он не был.

На вход через WPS, в секунду можно отправлять по 10-50 запросов, и через часов 4-16 Вы получите долгожданный ключик.

Конечно, всему приходит конец, данная уязвимость была раскрыта и уже в будущих технологиях стали внедрять ограничения на число попыток входа, после истечения этого периода, точка доступа временно отключает WPS. На сегодняшний момент более половины пользователей все еще имеют устройства без данной защиты.

Если Вы хотите защитить свой пароль, то рекомендуется отключить WPS, делается это обычно в админ-панели. Если Вы иногда пользуетесь WPS, то включайте его только тогда, когда подключаетесь к сети, в остальное время выключайте.

Вот таким образом мы с Вами узнали о различных типах шифрования Wi-Fi сети, какие из них лучше, а какие хуже. Лучше, конечно же, использовать шифрование начиная с WPA, но WPA2 намного лучше.

По каким-то вопросам или есть, что добавить, обязательно отпишитесь в комментариях.

А тем временем, Вы можете посмотреть видео о том, как усилить Wi-Fi соединение
, а также усилить USB-модем
.

В последнее время появилось много «разоблачающих» публикаций о взломе какого-либо очередного протокола или технологии, компрометирующего безопасность беспроводных сетей. Так ли это на самом деле, чего стоит бояться, и как сделать, чтобы доступ в вашу сеть был максимально защищен? Слова WEP, WPA, 802.1x, EAP, PKI для вас мало что значат? Этот небольшой обзор поможет свести воедино все применяющиеся технологии шифрования и авторизации радио-доступа. Я попробую показать, что правильно настроенная беспроводная сеть представляет собой непреодолимый барьер для злоумышленника (до известного предела, конечно).

Основы

Любое взаимодействие точки доступа (сети), и беспроводного клиента, построено на:

  • Аутентификации
    — как клиент и точка доступа представляются друг другу и подтверждают, что у них есть право общаться между собой;
  • Шифровании
    — какой алгоритм скремблирования передаваемых данных применяется, как генерируется ключ шифрования, и когда он меняется.

Параметры беспроводной сети, в первую очередь ее имя (SSID), регулярно анонсируются точкой доступа в широковещательных beacon пакетах. Помимо ожидаемых настроек безопасности, передаются пожелания по QoS, по параметрам 802.11n, поддерживаемых скорости, сведения о других соседях и прочее. Аутентификация определяет, как клиент представляется точке. Возможные варианты:

  • Open
    — так называемая открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared
    — подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP
    — подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Открытость сети не означает, что любой желающий сможет безнаказанно с ней работать. Чтобы передавать в такой сети данные, необходимо совпадение применяющегося алгоритма шифрования, и соответственно ему корректное установление шифрованного соединения. Алгоритмы шифрования таковы:

  • None
    — отсутствие шифрования, данные передаются в открытом виде
  • WEP
    — основанный на алгоритме RC4 шифр с разной длиной статического или динамического ключа (64 или 128 бит)
  • CKIP
    — проприетарная замена WEP от Cisco, ранний вариант TKIP
  • TKIP
    — улучшенная замена WEP с дополнительными проверками и защитой
  • AES/CCMP
    — наиболее совершенный алгоритм, основанный на AES256 с дополнительными проверками и защитой

Комбинация Open Authentication, No Encryption
широко используется в системах гостевого доступа вроде предоставления Интернета в кафе или гостинице. Для подключения нужно знать только имя беспроводной сети. Зачастую такое подключение комбинируется с дополнительной проверкой на Captive Portal путем редиректа пользовательского HTTP-запроса на дополнительную страницу, на которой можно запросить подтверждение (логин-пароль, согласие с правилами и т. п).

Шифрование WEP
скомпрометировано, и использовать его нельзя (даже в случае динамических ключей).

Широко встречающиеся термины WPA
и WPA2
определяют, фактически, алгоритм шифрования (TKIP либо AES). В силу того, что уже довольно давно клиентские адаптеры поддерживают WPA2 (AES), применять шифрование по алгоритму TKIP нет смысла.

Разница между WPA2 Personal
и WPA2 Enterprise
состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES. Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым. Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа. Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент — сервер авторизации, и почти всегда это RADIUS-сервер.

Все возможные параметры безопасности сведены в этой табличке:

Свойство Статический WEP Динамический WEP WPA WPA 2 (Enterprise)
Идентификация Пользователь, компьютер, карта WLAN Пользователь, компьютер Пользователь, компьютер Пользователь, компьютер
Авторизация Общий ключ EAP EAP или общий ключ EAP или общий ключ
Целостность 32-bit Integrity Check Value (ICV) 32-bit ICV 64-bit Message Integrity Code (MIC) CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code — CCM) Part of AES
Шифрование Статический ключ Сессионный ключ Попакетный ключ через TKIP CCMP (AES)
РАспределение ключей Однократное, вручную Сегмент Pair-wise Master Key (PMK) Производное от PMK Производное от PMK
Вектор инициализации Текст, 24 бита Текст, 24 бита Расширенный вектор, 65 бит 48-бит номер пакета (PN)
Алгоритм RC4 RC4 RC4 AES
Длина ключа, бит 64/128 64/128 128 до 256
Требуемая инфраструктура Нет RADIUS RADIUS RADIUS

Если с WPA2 Personal (WPA2 PSK) всё ясно, корпоративное решение требует дополнительного рассмотрения.

WPA2 Enterprise

Здесь мы имеем дело с дополнительным набором различных протоколов. На стороне клиента специальный компонент программного обеспечения, supplicant (обычно часть ОС) взаимодействует с авторизующей частью, AAA сервером. В данном примере отображена работа унифицированной радиосети, построенной на легковесных точках доступа и контроллере. В случае использования точек доступа «с мозгами» всю роль посредника между клиентов и сервером может на себя взять сама точка. При этом данные клиентского суппликанта по радио передаются сформированными в протокол 802.1x (EAPOL), а на стороне контроллера они оборачиваются в RADIUS-пакеты.

Применение механизма авторизации EAP в вашей сети приводит к тому, что после успешной (почти наверняка открытой) аутентификации клиента точкой доступа (совместно с контроллером, если он есть) последняя просит клиента авторизоваться (подтвердить свои полномочия) у инфраструктурного RADIUS-сервера:

Использование WPA2 Enterprise
требует наличия в вашей сети RADIUS-сервера. На сегодняшний момент наиболее работоспособными являются следующие продукты:

  • Microsoft Network Policy Server (NPS), бывший IAS
    — конфигурируется через MMC, бесплатен, но надо купить винду
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3
    — конфигурируется через веб-интерфейс, наворочен по функционалу, позволяет создавать распределенные и отказоустойчивые системы, стоит дорого
  • FreeRADIUS
    — бесплатен, конфигурируется текстовыми конфигами, в управлении и мониторинге не удобен

При этом контроллер внимательно наблюдает за происходящим обменом информацией, и дожидается успешной авторизации, либо отказа в ней. При успехе RADIUS-сервер способен передать точке доступа дополнительные параметры (например, в какой VLAN поместить абонента, какой ему присвоить IP-адрес, QoS профиль и т.п.). В завершении обмена RADIUS-сервер дает возможность клиенту и точке доступа сгенерировать и обменяться ключами шифрования (индивидуальными, валидными только для данной сеcсии):

EAP

Сам протокол EAP является контейнерным, то есть фактический механизм авторизации дается на откуп внутренних протоколов. На настоящий момент сколько-нибудь значимое распространение получили следующие:

  • EAP-FAST
    (Flexible Authentication via Secure Tunneling) — разработан фирмой Cisco; позволяет проводить авторизацию по логину-паролю, передаваемому внутри TLS туннеля между суппликантом и RADIUS-сервером
  • EAP-TLS
    (Transport Layer Security). Использует инфраструктуру открытых ключей (PKI) для авторизации клиента и сервера (суппликанта и RADIUS-сервера) через сертификаты, выписанные доверенным удостоверяющим центром (CA). Требует выписывания и установки клиентских сертификатов на каждое беспроводное устройство, поэтому подходит только для управляемой корпоративной среды. Сервер сертификатов Windows имеет средства, позволяющие клиенту самостоятельно генерировать себе сертификат, если клиент — член домена. Блокирование клиента легко производится отзывом его сертификата (либо через учетные записи).
  • EAP-TTLS
    (Tunneled Transport Layer Security) аналогичен EAP-TLS, но при создании туннеля не требуется клиентский сертификат. В таком туннеле, аналогичном SSL-соединению браузера, производится дополнительная авторизация (по паролю или как-то ещё).
  • PEAP-MSCHAPv2
    (Protected EAP) — схож с EAP-TTLS в плане изначального установления шифрованного TLS туннеля между клиентом и сервером, требующего серверного сертификата. В дальнейшем в таком туннеле происходит авторизация по известному протоколу MSCHAPv2
  • PEAP-GTC
    (Generic Token Card) — аналогично предыдущему, но требует карт одноразовых паролей (и соответствующей инфраструктуры)

Все эти методы (кроме EAP-FAST) требуют наличия сертификата сервера (на RADIUS-сервере), выписанного удостоверяющим центром (CA). При этом сам сертификат CA должен присутствовать на устройстве клиента в группе доверенных (что нетрудно реализовать средствами групповой политики в Windows). Дополнительно, EAP-TLS требует индивидуального клиентского сертификата. Проверка подлинности клиента осуществляется как по цифровой подписи, так (опционально) по сравнению предоставленного клиентом RADIUS-серверу сертификата с тем, что сервер извлек из PKI-инфраструктуры (Active Directory).

Поддержка любого из EAP методов должна обеспечиваться суппликантом на стороне клиента. Стандартный, встроенный в Windows XP/Vista/7, iOS, Android обеспечивает как минимум EAP-TLS, и EAP-MSCHAPv2, что обуславливает популярность этих методов. С клиентскими адаптерами Intel под Windows поставляется утилита ProSet, расширяющая доступный список. Это же делает Cisco AnyConnect Client.

Насколько это надежно

В конце концов, что нужно злоумышленнику, чтобы взломать вашу сеть?

Для Open Authentication, No Encryption — ничего. Подключился к сети, и всё. Поскольку радиосреда открыта, сигнал распространяется в разные стороны, заблокировать его непросто. При наличии соответствующих клиентских адаптеров, позволяющих прослушивать эфир, сетевой трафик виден так же, будто атакующий подключился в провод, в хаб, в SPAN-порт коммутатора.
Для шифрования, основанного на WEP, требуется только время на перебор IV, и одна из многих свободно доступных утилит сканирования.
Для шифрования, основанного на TKIP либо AES прямое дешифрование возможно в теории, но на практике случаи взлома не встречались.

Конечно, можно попробовать подобрать ключ PSK, либо пароль к одному из EAP-методов. Распространенные атаки на данные методы не известны. Можно пробовать применить методы социальной инженерии, либо

Как изменить тип шифрования на роутере. Что нужно использовать для более быстрой работы Wi-Fi сети: AES или TKIP

TKIP и AES — это два альтернативных типа шифрования, которые применяются в режимах безопасности WPA и WPA2. В настройках безопасности беспроводной сети в роутерах и точках доступа можно выбирать один из трёх вариантов шифрования:

При выборе последнего (комбинированного) варианта клиенты смогут подключаться к точке доступа, используя любой
из двух алгоритмов.

TKIP или AES? Что лучше?

Ответ: для современных устройств, однозначно больше подходит алгоритм AES.

Используйте TKIP только в том случае, если при выборе первого у вас возникают проблемы (такое иногда бывает, что при использовании шифрования AES связь с точкой доступа обрывается или не устанавливается вообще. Обычно, это называют несовместимостью оборудования).

В чём разница

AES — это современный и более безопасный алгоритм. Он совместим со стандартом 802.11n и обеспечивает высокую скорость передачи данных.

TKIP является устаревшим. Он обладает более низким уровнем безопасности и поддерживает скорость передачи данных вплоть до 54 МБит/сек.

Как перейти с TKIP на AES

Случай 1. Точка доступа работает в режиме TKIP+AES

В этом случае вам достаточно изменить тип шифрования на клиентских устройствах. Проще всего это сделать, удалив профиль сети и подключившись к ней заново.

Случай 2. Точка доступа использует только TKIP

В этом случае:

1. Сперва зайдите на веб-интерфейс точки доступа (или роутера соответственно). Смените шифрование на AES и сохраните настройки (подробнее читайте ниже).

2. Измените шифрование на клиентских устройствах (подробнее — в следующем параграфе). И опять же, проще забыть сеть и подключиться к ней заново, введя ключ безопасности.

Включение AES-шифрования на роутере

На примере D-Link

Зайдите в раздел Wireless Setup
.

Нажмите кнопку Manual Wireless Connection Setup
.

Установите режим безопасности WPA2-PSK
.

Найдите пункт Cipher Type
и установите значение AES
.

Нажмите Save Settings
.

На примере TP-Link

Откройте раздел Wireless
.

Выберите пункт Wireless Security
.

В поле Version
выберите WPA2-PSK
.

В поле Encryption
выберите AES
.

Нажмите кнопку Save
:

Изменение типа шифрования беспроводной сети в Windows

Windows 10 и Windows 8.1

В этих версиях ОС отсутствует раздел . Поэтому, здесь три варианта смены шифрования.

Вариант 1.

Windows сама обнаружит несовпадение параметров сети и предложит заново ввести ключ безопасности. При этом правильный алгоритм шифрования будет установлен автоматически.

Вариант 2.

Windows не сможет подключиться и предложит забыть сеть, отобразив соответствующую кнопку:

После этого вы сможете подключиться к своей сети без проблем, т.к. её профиль будет удалён.

Вариант 3.

Вам придётся удалять профиль сети вручную через командную строку и лишь потом подключаться к сети заново.

Выполните следующие действия:

1
Запустите командную строку.

2
Введите команду:

Netsh wlan show profiles

для вывода списка сохранённых профилей беспроводных сетей.

3
Теперь введите команду:

Netsh wlan delete profile «имя вашей сети»

для удаления выбранного профиля.

Если имя сети содержит пробел (например «wifi 2»)
, возьмите его в кавычки.

На картинке показаны все описанные действия:

4
Теперь нажмите на иконку беспроводной сети в панели задач:

5
Выберите сеть.

6
Нажмите Подключиться
:

7
Введите ключ безопасности.

Windows 7

Здесь всё проще и нагляднее.

1
Нажмите по иконке беспроводной сети в панели задач.

3
Нажмите на ссылку Управление беспроводными сетями
:

4
Нажмите правой кнопкой мыши по профилю нужной сети.

5
Выберите Свойства
:

Внимание! На этом шаге можно также нажать Удалить сеть
и просто подключиться к ней заново! Если вы решите сделать так, то далее читать не нужно.

6
Перейдите на вкладку Безопасность
.

Широкополосный доступ в интернет уже давно перестал быть роскошью не только в крупных городах, но и в отдалённых регионах. При этом многие сразу же обзаводятся беспроводными роутерами, чтобы сэкономить на мобильном интернете и подключить к скоростной линии смартфоны, планшеты и прочую портативную технику. Более того, провайдеры всё чаще сразу устанавливают своим клиентам маршрутизаторы со встроенной беспроводной точкой доступа.

Между тем, потребители далеко не всегда понимают, как на самом деле работает сетевое оборудование и какую опасность оно может нести. Главное заблуждение состоит в том, что частный клиент просто не представляет, что беспроводная связь может нанести ему какой-то ущерб – ведь он не банк, не секретная служба и не владелец порнохранилищ. Но стоит только начать разбираться, как вам сразу захочется вернуться к старому доброму кабелю.

1. Никто не станет взламывать мою домашнюю сеть

Вот главное заблуждение домашних пользователей, ведущее к пренебрежению элементарными нормами сетевой безопасности. Принято считать, есто если вы не знаменитость, не банк и не интернет-магазин, то никто не будет тратить на вас время, ведь результаты будут неадекватны приложенным усилиям.

Более того, почему-то упорно циркулирует мнение, что якобы небольшие беспроводные сети взломать сложнее, чем крупные, в чём есть крупица правды, но в целом это тоже миф. Очевидно, это утверждение основано на том, что у мелких локальных сетей ограниченная дальность распространения сигнала, поэтому достаточно понизить его уровень, и хакер просто не сможет обнаружить такую сеть из припаркованного рядом автомобиля или кафе по-соседству.

Возможно, когда-то это было так, но сегодняшние взломщики оснащены высокочувствительными антеннами, способными принять даже самый слабый сигнал. И тот факт, что у вас на кухне планшет постоянно теряет связь, вовсе не означает, что хакеру, сидящему в машине за два дома от вас, не удастся покопаться в вашей беспроводной сети.

Что же касается мнения, что взлом вашей сети не стоит потраченных усилий, то это совсем не так: в ваших гаджетах хранится море всевозможной персональной информации, которая, как минимум, позволит злоумышленнику от вашего имени заказать покупки, получить кредит, или, воспользовавшись методами социальной инженерии, добиться ещё более неочевидных целей вроде проникновения в сеть вашего работодателя или даже его партнёров. При этом отношение к сетевой безопасности у простых пользователей сегодня настолько пренебрежительное, что взломать домашнюю сеть не составит особого труда даже для новичков.

2. Дома не нужен двух- или трёхдиапазонный роутер

Считается, что многодиапазонные роутеры нужны только особо требовательным владельцам огромного количества гаджетов, которые хотят выжать из беспроводной связи максимально доступную скорость. Между тем, любому из нас не помешает хотя бы двухдиапазонный маршрутизатор.

Главное преимущество многодиапазонного роутера заключается в том, что разные устройства можно «раскидать» по разным диапазонам, и тем самым повысить потенциально возможную скорость передачи данных и, конечно же, надёжность связи. Например, вполне целесообразно было бы подключать ноутбуки к одному диапазону, телевизионные приставки – ко второму, а мобильные гаджеты – к третьему.

3. Диапазон 5 ГГц лучше диапазона 2,4 ГГц

Оценившие преимущества частотного диапазона 5 ГГц обычно рекомендуют всем переходить на него и вообще отказаться от использования частоты 2,4 ГГц. Но, как обычно, не всё так просто.

Да, 5 ГГц физически менее «заселён», чем более массовый 2,4 ГГц – в том числе и потому, что на 2,4 ГГц работает больше всего устройств на базе старых стандартов. Однако 5 ГГц уступает в дальности связи, в особенности в том, что касается проникновения через бетонные стены и другие преграды.

В целом, здесь нет однозначного ответа, можно посоветовать лишь использовать тот диапазон, в котором конкретно у вас приём лучше. Ведь вполне может оказаться, что в каком-то конкретном месте и полоса 5 ГГц перегружена устройствами – хотя это и очень маловероятно.

4. Не нужно трогать настройки роутера

Предполагается, что настройку оборудования лучше оставить профессионалам и ваше вмешательство способно только навредить работоспособности сети. Обычный способ представителей провайдера (и сисадминов) запугать пользователя, чтобы снизить вероятность неправильных настроек и последующих вызовов на дом.

Понятно, что если вы вообще не представляете, о чём там речь, лучше ничего не трогать, но даже непрофессионал вполне способен изменить некоторые настройки, повысив защищённость, надёжность и производительность сети. Хотя бы зайдите в веб-интерфейс и ознакомьтесь с тем, что там можно изменить – но если вы не знаете, что это даст, лучше оставьте всё как есть.

В любом случае есть смысл внести четыре поправки, если они уже не сделаны в настройках вашего роутера:

1) По возможности переключайтесь на новый стандарт
– если его поддерживает как роутер, так и ваши устройства. Переход с 802.11n на 802.11ac даст существенный прирост скорости, как и переключение с более старых 802.11b/g на 802.11n.

2) Поменяйте тип шифрования
. Некоторые установщики до сих пор оставляют домашние беспроводные сети либо полностью открытыми, либо с устаревшим стандартом шифрования WEP. Обязательно нужно поменять тип на WPA2 c шифрованием AES и сложным длинным паролем.

3) Измените логин и пароль по умолчанию
. Практически все провайдеры при установке нового оборудования оставляют эти данные по умолчанию – если только их специально не попросить о смене. Это общеизвестная «дыра» домашних сетей, и любой хакер для начала обязательно попробует воспользоваться именно ею.

4) Отключите WPS (Wi-Fi Protected Setup)
. Технология WPS обычно включена в роутерах по умолчанию – она предназначена для быстрого подключения совместимых мобильных устройств к сети без ввода длинных паролей. Вместе с тем WPS делает вашу локальную сеть очень уязвимой для взлома путём метода «грубой силы» – простого подбора пин-кода WPS, состоящего из 8 цифр, после чего злоумышленник без проблем получит доступ к ключу WPA/WPA2 PSK. При этом из-за ошибки в стандарте достаточно определить всего 4 цифры, а это уже всего 11 000 сочетаний, и для взлома понадобится перебрать далеко не все из них.

5. Сокрытие SSID спрячет сеть от хакеров

SSID – это сервисный идентификатор сети или попросту название вашей сети, которое используют для установки соединения различные устройства, когда-либо подключавшиеся к ней. Отключив трансляцию SSID, вы не будете появляться в соседском списке доступных сетей, но это не значит, что хакеры не смогут её найти: демаскировка скрытого SSID – задача для новичка.

Вместе с тем, спрятав SSID, вы даже упростите жизнь хакерам: все устройства, пытающиеся подключиться к вашей сети, станут перебирать ближайшие точки доступа, и могут подключиться к сетям-«ловушкам», специально созданным злоумышленниками. Можно развернуть такую подменную открытую сеть под вашим же раскрытым SSID, к которому ваши девайсы будут просто подключаться автоматически.

Поэтому общая рекомендация такова: дайте вашей сети такое название, в котором никак бы не упоминался ни провайдер, ни производитель роутера, ни какая-то личная информация, позволяющая идентифицировать вас и нанести точечные атаки по слабым местам.

6. Шифрование не нужно, если есть антивирус и брандмауэр

Типичный пример того, когда путают тёплое с мягким. Программы защищают от программных же угроз онлайн или уже находящихся в вашей сети, они не защищают вас от перехвата самих данных, передаваемых между роутером и вашим компьютером.

Для обеспечения сетевой безопасности нужен комплекс средств, куда входят и протоколы шифрования, и аппаратные или программные брандмауэры, и антивирусные пакеты.

7. Шифрования WEP достаточно для домашней сети

WEP небезопасен в любом случае, и он поддаётся взлому за считанные минуты с помощью смартфона. По уровню безопасности он мало отличается от полностью открытой сети, и это его главная проблема. Если вы интересуетесь историей вопроса, то можете найти в интернете массу материалов о том, что WEP запросто ломали ещё в начале «нулевых». Нужна ли вам такая «безопасность»?

8. Роутер с шифрованием WPA2-AES невозможно взломать

Если брать «сферический роутер с шифрованием WPA2-AES в вакууме», то это правда: по последним оценкам, при существующих вычислительных мощностей на взлом AES методами «грубой силы» уйдут миллиарды лет. Да, миллиарды.

Но это вовсе не означает, что AES не позволит хакеру добраться до ваших данных. Как и всегда, главная проблема – человеческий фактор. В данном случае, многое зависит от того, насколько сложным и грамотно составленным будет ваш пароль. При «бытовом» подходе к придумыванию паролей, методов социальной инженерии будет достаточно для взлома WPA2-AES за достаточно короткий срок.

О правилах составления хороших паролей мы подробно не так давно, так что всех интересующихся отсылаем к этой статье.

9. Шифрование WPA2-AES снижает скорость передачи данных

Технически, это действительно так, но в современных роутерах есть аппаратные средства, позволяющие свести это снижение к минимуму. Если вы наблюдаете существенное замедление соединения, это означает, что вы используете устаревший роутер, в которых были реализованы немного иные стандарты и протоколы. Например, WPA2-TKIP. Сам по себе TKIP был более безопасным, чем его предшественник WEP, но представлял из себя компромиссное решение, позволяющее использовать старое «железо» с более современными и защищёнными протоколами. Чтобы «подружить» TKIP c новым типом шифрования AES, использовались различные программные ухищрения, что и приводило к замедлению скорости передачи данных.

Ещё в 2012 году в стандарте 802.11 TKIP был признан недостаточно безопасным, но он всё ещё часто встречается в роутерах старых выпусков. Решение проблемы одно – купить современную модель.

10. Работающий роутер менять не нужно

Принцип для тех, кого сегодня вполне устраивает механическая пишущая машинка и телефон с наборным диском. Новые стандарты беспроводной связи появляются регулярно, и с каждым разом не только повышается скорость передачи данных, но и безопасность сети.

Сегодня, когда стандарт 802.11ac предусматривает передачу данных со скоростью выше 50 Мбит/с, старый роутер с поддержкой 802.11n и всех предыдущих стандартов может ограничивать потенциальную пропускную способность сети. В случае с тарифными планами, предусматривающими скорости выше 100 Мбит/с, вы просто будете платить лишние деньги, не получая полноценной услуги.

Конечно, срочно менять работающий роутер вовсе не обязательно, но в один прекрасный день настанет момент, когда к нему не сможет подключиться ни одно современное устройство.

Сегодня мы чуть глубже копнем тему защиты беспроводного соединения. Разберемся, что такое — его еще называют «аутентификацией» — и какой лучше выбрать. Наверняка при вам попадались на глаза такие аббревиатуры, как WEP, WPA, WPA2, WPA2/PSK. А также их некоторые разновидности — Personal или Enterprice и TKIP или AES. Что ж, давайте более подробно изучим их все и разберемся, какой тип шифрования выбрать для обеспечения максимальной без потери скорости.

Отмечу, что защищать свой WiFi паролем нужно обязательно, не важно, какой тип шифрования вы при этом выберете. Даже самая простая аутентификация позволит избежать в будущем довольно серьезных проблем.

Почему я так говорю? Тут даже дело не в том, что подключение множества левых клиентов будет тормозить вашу сеть — это только цветочки. Главная причина в том, что если ваша сеть незапаролена, то к ней может присосаться злоумышленник, который из-под вашего роутера будет производить противоправные действия, а потом за его действия придется отвечать вам, так что отнеситесь к защите wifi со всей серьезностью.

Шифрование WiFi данных и типы аутентификации

Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:

Что такое WEP защита wifi?

WEP
(Wired Equivalent Privacy) — это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.

Что такое ключ WPA или пароль?

WPA
(Wi-Fi Protected Access) — более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.

Что такое WPA2-PSK — Personal или Enterprise?

WPA2
— усовершенствованный вариант предыдущего типа. Взлом WPA2 практически невозможен, он обеспечивает максимальную степень безопасности, поэтому в своих статьях я всегда без объяснений говорю о том, что нужно устанавливать именно его — теперь вы знаете, почему.

У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:

  • Personal
    , обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев — и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
  • Enterprise
    — более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу , то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.

Типы шифрования WPA — TKIP или AES?

Итак, мы определились, что оптимальным выбором для обеспечения безопасности сети будет WPA2/PSK (Personal), однако у него есть еще два типа шифрования данных для аутентификации.

  • TKIP
    — сегодня это уже устаревший тип, однако он все еще широко употребляется, поскольку многие девайсы энное количество лет выпуска поддерживают только его. Не работает с технологией WPA2/PSK и не поддерживает WiFi стандарта 802.11n.
  • AES
    — последний на данный момент и самый надежный тип шифрования WiFi.

Какой выбрать тип шифрования и поставить ключ WPA на WiFi роутере?

С теорией разобрались — переходим к практике. Поскольку стандартами WiFi 802.11 «B» и «G», у которых максимальная скорость до 54 мбит/с, уже давно никто не пользуется — сегодня нормой является 802.11 «N» или «AC», которые поддерживают скорость до 300 мбит/с и выше, то рассматривать вариант использования защиты WPA/PSK с типом шифрования TKIP нет смысла. Поэтому когда вы настраиваете беспроводную сеть, то выставляйте по умолчанию

WPA2/PSK — AES

Либо, на крайний случай, в качестве типа шифрования указывайте «Авто», чтобы предусмотреть все-таки подключение устройств с устаревшим WiFi модулем.

При этом ключ WPA, или попросту говоря, пароль для подключения к сети, должен иметь от 8 до 32 символов, включая английские строчные и заглавные буквы, а также различные спецсимволы.

Защита беспроводного режима на маршрутизаторе TP-Link

На приведенных выше скринах показана панель управления современным роутером TP-Link в новой версии прошивки. Настройка шифрования сети здесь находится в разделе «Дополнительные настройки — Беспроводной режим».

В старой «зеленой» версии интересующие нас конфигурации WiFi сети расположены в меню «Беспроводной режим — Защита
«. Сделаете все, как на изображении — будет супер!

Если заметили, здесь еще есть такой пункт, как «Период обновления группового ключа WPA». Дело в том, что для обеспечения большей защиты реальный цифровой ключ WPA для шифрования подключения динамически меняется. Здесь задается значение в секундах, после которого происходит смена. Я рекомендую не трогать его и оставлять по умолчанию — в разных моделях интервал обновления отличается.

Метод проверки подлинности на роутере ASUS

На маршрутизаторах ASUS все параметры WiFi расположены на одной странице «Беспроводная сеть»

Защита сети через руотер Zyxel Keenetic

Аналогично и у Zyxel Keenetic — раздел «Сеть WiFi — Точка доступа»

В роутерах Keenetic без приставки «Zyxel» смена типа шифрования производится в разделе «Домашняя сеть».

Настройка безопасности роутера D-Link

На D-Link ищем раздел «Wi-Fi — Безопасность
»

Что ж, сегодня мы разобрались типами шифрования WiFi и с такими терминами, как WEP, WPA, WPA2-PSK, TKIP и AES и узнали, какой из них лучше выбрать. О других возможностях обеспечения безопасности сети читайте также в одной из прошлых статей, в которых я рассказываю о по MAC и IP адресам и других способах защиты.

Видео по настройке типа шифрования на маршрутизаторе

В последнее время появилось много «разоблачающих» публикаций о взломе какого-либо очередного протокола или технологии, компрометирующего безопасность беспроводных сетей. Так ли это на самом деле, чего стоит бояться, и как сделать, чтобы доступ в вашу сеть был максимально защищен? Слова WEP, WPA, 802.1x, EAP, PKI для вас мало что значат? Этот небольшой обзор поможет свести воедино все применяющиеся технологии шифрования и авторизации радио-доступа. Я попробую показать, что правильно настроенная беспроводная сеть представляет собой непреодолимый барьер для злоумышленника (до известного предела, конечно).

Основы

Любое взаимодействие точки доступа (сети), и беспроводного клиента, построено на:

  • Аутентификации
    — как клиент и точка доступа представляются друг другу и подтверждают, что у них есть право общаться между собой;
  • Шифровании
    — какой алгоритм скремблирования передаваемых данных применяется, как генерируется ключ шифрования, и когда он меняется.

Параметры беспроводной сети, в первую очередь ее имя (SSID), регулярно анонсируются точкой доступа в широковещательных beacon пакетах. Помимо ожидаемых настроек безопасности, передаются пожелания по QoS, по параметрам 802.11n, поддерживаемых скорости, сведения о других соседях и прочее. Аутентификация определяет, как клиент представляется точке. Возможные варианты:

  • Open
    — так называемая открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared
    — подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP
    — подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Открытость сети не означает, что любой желающий сможет безнаказанно с ней работать. Чтобы передавать в такой сети данные, необходимо совпадение применяющегося алгоритма шифрования, и соответственно ему корректное установление шифрованного соединения. Алгоритмы шифрования таковы:

  • None
    — отсутствие шифрования, данные передаются в открытом виде
  • WEP
    — основанный на алгоритме RC4 шифр с разной длиной статического или динамического ключа (64 или 128 бит)
  • CKIP
    — проприетарная замена WEP от Cisco, ранний вариант TKIP
  • TKIP
    — улучшенная замена WEP с дополнительными проверками и защитой
  • AES/CCMP
    — наиболее совершенный алгоритм, основанный на AES256 с дополнительными проверками и защитой

Комбинация Open Authentication, No Encryption
широко используется в системах гостевого доступа вроде предоставления Интернета в кафе или гостинице. Для подключения нужно знать только имя беспроводной сети. Зачастую такое подключение комбинируется с дополнительной проверкой на Captive Portal путем редиректа пользовательского HTTP-запроса на дополнительную страницу, на которой можно запросить подтверждение (логин-пароль, согласие с правилами и т. п).

Шифрование WEP
скомпрометировано, и использовать его нельзя (даже в случае динамических ключей).

Широко встречающиеся термины WPA
и WPA2
определяют, фактически, алгоритм шифрования (TKIP либо AES). В силу того, что уже довольно давно клиентские адаптеры поддерживают WPA2 (AES), применять шифрование по алгоритму TKIP нет смысла.

Разница между WPA2 Personal
и WPA2 Enterprise
состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES. Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым. Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа. Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент — сервер авторизации, и почти всегда это RADIUS-сервер.

Все возможные параметры безопасности сведены в этой табличке:

Свойство Статический WEP Динамический WEP WPA WPA 2 (Enterprise)
Идентификация Пользователь, компьютер, карта WLAN Пользователь, компьютер Пользователь, компьютер Пользователь, компьютер
Авторизация Общий ключ EAP EAP или общий ключ EAP или общий ключ
Целостность 32-bit Integrity Check Value (ICV) 32-bit ICV 64-bit Message Integrity Code (MIC) CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code — CCM) Part of AES
Шифрование Статический ключ Сессионный ключ Попакетный ключ через TKIP CCMP (AES)
РАспределение ключей Однократное, вручную Сегмент Pair-wise Master Key (PMK) Производное от PMK Производное от PMK
Вектор инициализации Текст, 24 бита Текст, 24 бита Расширенный вектор, 65 бит 48-бит номер пакета (PN)
Алгоритм RC4 RC4 RC4 AES
Длина ключа, бит 64/128 64/128 128 до 256
Требуемая инфраструктура Нет RADIUS RADIUS RADIUS

Если с WPA2 Personal (WPA2 PSK) всё ясно, корпоративное решение требует дополнительного рассмотрения.

WPA2 Enterprise

Здесь мы имеем дело с дополнительным набором различных протоколов. На стороне клиента специальный компонент программного обеспечения, supplicant (обычно часть ОС) взаимодействует с авторизующей частью, AAA сервером. В данном примере отображена работа унифицированной радиосети, построенной на легковесных точках доступа и контроллере. В случае использования точек доступа «с мозгами» всю роль посредника между клиентов и сервером может на себя взять сама точка. При этом данные клиентского суппликанта по радио передаются сформированными в протокол 802.1x (EAPOL), а на стороне контроллера они оборачиваются в RADIUS-пакеты.

Применение механизма авторизации EAP в вашей сети приводит к тому, что после успешной (почти наверняка открытой) аутентификации клиента точкой доступа (совместно с контроллером, если он есть) последняя просит клиента авторизоваться (подтвердить свои полномочия) у инфраструктурного RADIUS-сервера:

Использование WPA2 Enterprise
требует наличия в вашей сети RADIUS-сервера. На сегодняшний момент наиболее работоспособными являются следующие продукты:

  • Microsoft Network Policy Server (NPS), бывший IAS
    — конфигурируется через MMC, бесплатен, но надо купить винду
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3
    — конфигурируется через веб-интерфейс, наворочен по функционалу, позволяет создавать распределенные и отказоустойчивые системы, стоит дорого
  • FreeRADIUS
    — бесплатен, конфигурируется текстовыми конфигами, в управлении и мониторинге не удобен

При этом контроллер внимательно наблюдает за происходящим обменом информацией, и дожидается успешной авторизации, либо отказа в ней. При успехе RADIUS-сервер способен передать точке доступа дополнительные параметры (например, в какой VLAN поместить абонента, какой ему присвоить IP-адрес, QoS профиль и т.п.). В завершении обмена RADIUS-сервер дает возможность клиенту и точке доступа сгенерировать и обменяться ключами шифрования (индивидуальными, валидными только для данной сеcсии):

EAP

Сам протокол EAP является контейнерным, то есть фактический механизм авторизации дается на откуп внутренних протоколов. На настоящий момент сколько-нибудь значимое распространение получили следующие:

  • EAP-FAST
    (Flexible Authentication via Secure Tunneling) — разработан фирмой Cisco; позволяет проводить авторизацию по логину-паролю, передаваемому внутри TLS туннеля между суппликантом и RADIUS-сервером
  • EAP-TLS
    (Transport Layer Security). Использует инфраструктуру открытых ключей (PKI) для авторизации клиента и сервера (суппликанта и RADIUS-сервера) через сертификаты, выписанные доверенным удостоверяющим центром (CA). Требует выписывания и установки клиентских сертификатов на каждое беспроводное устройство, поэтому подходит только для управляемой корпоративной среды. Сервер сертификатов Windows имеет средства, позволяющие клиенту самостоятельно генерировать себе сертификат, если клиент — член домена. Блокирование клиента легко производится отзывом его сертификата (либо через учетные записи).
  • EAP-TTLS
    (Tunneled Transport Layer Security) аналогичен EAP-TLS, но при создании туннеля не требуется клиентский сертификат. В таком туннеле, аналогичном SSL-соединению браузера, производится дополнительная авторизация (по паролю или как-то ещё).
  • PEAP-MSCHAPv2
    (Protected EAP) — схож с EAP-TTLS в плане изначального установления шифрованного TLS туннеля между клиентом и сервером, требующего серверного сертификата. В дальнейшем в таком туннеле происходит авторизация по известному протоколу MSCHAPv2
  • PEAP-GTC
    (Generic Token Card) — аналогично предыдущему, но требует карт одноразовых паролей (и соответствующей инфраструктуры)

Все эти методы (кроме EAP-FAST) требуют наличия сертификата сервера (на RADIUS-сервере), выписанного удостоверяющим центром (CA). При этом сам сертификат CA должен присутствовать на устройстве клиента в группе доверенных (что нетрудно реализовать средствами групповой политики в Windows). Дополнительно, EAP-TLS требует индивидуального клиентского сертификата. Проверка подлинности клиента осуществляется как по цифровой подписи, так (опционально) по сравнению предоставленного клиентом RADIUS-серверу сертификата с тем, что сервер извлек из PKI-инфраструктуры (Active Directory).

Поддержка любого из EAP методов должна обеспечиваться суппликантом на стороне клиента. Стандартный, встроенный в Windows XP/Vista/7, iOS, Android обеспечивает как минимум EAP-TLS, и EAP-MSCHAPv2, что обуславливает популярность этих методов. С клиентскими адаптерами Intel под Windows поставляется утилита ProSet, расширяющая доступный список. Это же делает Cisco AnyConnect Client.

Насколько это надежно

В конце концов, что нужно злоумышленнику, чтобы взломать вашу сеть?

Для Open Authentication, No Encryption — ничего. Подключился к сети, и всё. Поскольку радиосреда открыта, сигнал распространяется в разные стороны, заблокировать его непросто. При наличии соответствующих клиентских адаптеров, позволяющих прослушивать эфир, сетевой трафик виден так же, будто атакующий подключился в провод, в хаб, в SPAN-порт коммутатора.
Для шифрования, основанного на WEP, требуется только время на перебор IV, и одна из многих свободно доступных утилит сканирования.
Для шифрования, основанного на TKIP либо AES прямое дешифрование возможно в теории, но на практике случаи взлома не встречались.

Конечно, можно попробовать подобрать ключ PSK, либо пароль к одному из EAP-методов. Распространенные атаки на данные методы не известны. Можно пробовать применить методы социальной инженерии, либо

Количество людей, которые активно пользуются интернетом растет, как на дрожжах: на работе для решения корпоративных целей и администрирования, дома, в общественных местах. Распространение получают Wi-Fi сети и оборудование, позволяющее беспрепятственно получать доступ к интернету.

Вай фай сеть обладает зашитой в виде пароля, не зная который, подключиться к конкретной сети будет практически невозможно, кроме общественных сетей (кафе, рестораны, торговые центры, точки доступа на улицах) . «Практически» не стоит понимать в буквальном смысле: умельцев, способных «вскрыть» сеть и получить доступ не только к ресурсу роутера, но и к передаваемым внутри конкретной сети данным, достаточно.

Но в этом вступительном слове мы поговорили о подключении к wi-fi — аутентификации
пользователя (клиента), когда клиентское устройство и точка доступа обнаруживают друг друга и подтверждают, что могут общаться между собой.

Варианты аутентификации
:

  • Open
    — открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared
    — подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP
    — подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Шифрование
— это алгоритм скремблирования (scramble
— шифровать, перемешивать) передаваемых данных, изменение и генерация ключа шифрования

Для оборудования wifi были разработаны различные типы шифрования, дающие возможность защищать сеть от взлома, а данные от общего доступа.

На сегодняшний день выделяются несколько вариантов шифрования. Рассмотрим каждый из них подробнее.

Выделяются и являются самыми распространенными следующие типы:

Первый тип, именуемый не иначе, как OPEN, все требуемую для познания информацию содержит в названии. Зашифровать данные или защитить сетевое оборудование такой режим не позволит, потому как точка доступа будет являться при условии выбора такого типа постоянно открытой и доступной для всех устройств, которыми она будет обнаружена. Минусы и уязвимости такого типа «шифрования» очевидны.

Если сеть открыта, это не значит, что любой может с ней работать. Чтобы пользоваться такой сетью и передавать в ней данные, нужно совпадение используемого метода шифрования. И еще одно условие пользования такой сетью отсутствие MAC-фильтра, который определяет MAC-адреса пользователей, для того, что бы распознать каким устройствам запрещено или разрешено пользоваться данной сетью

WEP

Второй тип, он же WEP, уходит корнями в 90-е годы прошлого века, являясь родоначальником всех последующих типов шифрования. Wep шифрование сегодня – слабейший из всех существующих вариантов организации защиты. Большинство современных роутеров, создаваемых специалистами и учитывающих интересы конфиденциальности пользователей, не поддерживают шифрование wep.

Среди минусов, вопреки факту наличия хоть какой-то защиты (в сравнении с OPEN), выделяется ненадежность: она обусловлена кратковременной защитой, которая активируется на определенные интервалы времени. По истечении этого промежутка, пароль к вашей сети можно будет легко подобрать, а ключ wep будет взломан за время до 1 минуты. Это обусловлено битностью wep ключа, которая составляет в зависимости от характеристик сетевого оборудования от 40 до 100 бит.

Уязвимость wep ключа заключается в факте передачи частей пароля в совокупности с пакетами данных. Перехват пакетов для специалиста – хакера или взломщика – задача, легкая для осуществления. Важно понимать и тот факт, что современные программные средства способны перехватывать пакеты данных и созданы специально для этого.

Таким образом, шифрование wep – самый ненадежный способ защиты вашей сети и сетевого оборудования.

WPA, WPA2

Такие разновидности – самые современные и совершенными с точки зрения организации зашиты на данный момент. Аналогов им не существует. Возможность задать любую удобную пользователю длину и цифробуквенную комбинацию wpa ключа довольно затрудняет жизнь желающим несанкционированно воспользоваться конкретной сетью или перехватить данные этой сети.

Данные стандарты поддерживают различные алгоритмы шифрования, которые могут передаваться после взаимодействия протоколов TKIP и AES. Тип шифрования aes является более совершенным протоколом, чем tkip, и большинством современных роутеров поддерживается и активно используется.

Шифрование wpa или wpa2 – предпочтительный тип как для домашнего использования, так и для корпоративного. Последний дает возможность применения двух режимов аутентификации: проверка паролей для доступа определенных пользователей к общей сети осуществляется, в зависимости от заданных настроек, по режиму PSK или Enterprise.

PSK предполагает доступ к сетевому оборудованию и ресурсам интернета при использовании единого пароля, который требуется ввести при подключении к роутеру. Это предпочтительный вариант для домашней сети, подключение которой осуществляется в рамках небольших площадей определенными устройствами, например: мобильным, персональным компьютером и ноутбуком.

Для компаний, имеющих солидные штаты сотрудников, PSK является недостаточно удобным режимом аутентификации, потому был разработан второй режим – Enterprise. Его использование дает возможность применения множества ключей, который будут храниться на особом выделенном сервере.

WPS

По-настоящему современная и , делает возможным подключение к беспроводной сети при помощи одного нажатия на кнопку. Задумываться о паролях или ключах бессмысленно, но стоит выделить и учитывать ряд серьезных недостатков, касающихся допуска к сетям с WPS.

Подключение посредством такой технологии осуществляется при использовании ключа, включающего в себя 8 символов. Уязвимость типа шифрования заключается в следующем: он обладает серьезной ошибкой, которая взломщикам или хакерам позволяет получить доступ к сети, если им доступны хотя бы 4 цифры из восьмизначной комбинации. Количество попыток подбора пароля при этом составляет порядка нескольких тысяч, однако для современных программных средств это число – смешное. Если измерять процесс форсирования WPS во времени, то процесс займет не более суток.

Стоит отметить и тот факт, что данная уязвимость находиться на стадии совершенствования и поддается исправлению, потому в последующих моделях оборудования с режимом WPS стали внедряться ограничения на количество попыток входа, что существенно затруднило задачу несанкционированного доступа для заинтересованных в этом лиц.

И тем не менее, чтобы повысить общий уровень безопасности, опытные пользователи рекомендуют принципиально отказываться от рассмотренной технологии.

Подводя итоги

Самой современной и по-настоящему надежной методикой организации защиты сети и данных, передаваемых внутри нее, является WPA или ее аналог WPA2.

Первый вариант предпочтителен для домашнего использования определенным числом устройств и пользователей.

Второй, обладающий функцией аутентификации по двум режимам, больше подходит для крупных компаний. Применение его оправдано тем, что при увольнении сотрудников нет необходимости в смене паролей и ключей, потому как определенное количество динамических паролей хранятся на специально выделенном сервере, доступ к которому имеют лишь текущие сотрудники компании.

Следует отметить, что большинство продвинутых пользователей отдают предпочтение WPA2 даже для домашнего использования. С точки зрения организации защиты оборудования и данных, такой метод шифрования является самым совершенным из существующих на сегодняшний день.

Что касается набирающего популярность WPS, то отказаться от него – значит в определенной мере обезопасить сетевое оборудование и информационные данные, передаваемые с его помощью. Пока технология не развита достаточно и не обладает всеми преимуществами, например, WPA2, от ее применения рекомендуется воздержаться вопреки кажущейся простоте применения и удобству. Ведь безопасность сети и передаваемых внутри нее информационных массивов – приоритет для большинства пользователей.

Тип шифрования wifi wpa2 psk. Какой тип шифрования выбрать для wifi роутера

Тип безопасности и шифрования беспроводной сети. Какой выбрать?

Чтобы защитить свою Wi-Fi сеть и установить пароль, необходимо обязательно выбрать тип безопасности беспроводной сети и метод шифрования. И на данном этапе у многих возникает вопрос: а какой выбрать? WEP, WPA, или WPA2? Personal или Enterprise? AES, или TKIP? Какие настройки безопасности лучше всего защитят Wi-Fi сеть? На все эти вопросы я постараюсь ответить в рамках этой статьи. Рассмотрим все возможные методы аутентификации и шифрования. Выясним, какие параметры безопасности Wi-Fi сети лучше установить в настройках маршрутизатора.

Обратите внимание, что тип безопасности, или аутентификации, сетевая аутентификация, защита, метод проверки подлинности – это все одно и то же.

Тип аутентификации и шифрование – это основные настройки защиты беспроводной Wi-Fi сети. Думаю, для начала нужно разобраться, какие они бывают, какие есть версии, их возможности и т. д. После чего уже выясним, какой тип защиты и шифрования выбрать. Покажу на примере нескольких популярных роутеров.

Я настоятельно рекомендую настраивать пароль и защищать свою беспроводную сеть. Устанавливать максимальный уровень защиты. Если вы оставите сеть открытой, без защиты, то к ней смогут подключится все кто угодно. Это в первую очередь небезопасно. А так же лишняя нагрузка на ваш маршрутизатор, падение скорости соединения и всевозможные проблемы с подключением разных устройств.

Защита Wi-Fi сети: WEP, WPA, WPA2

Есть три варианта защиты. Разумеется, не считая «Open» (Нет защиты)
.

  • WEP
    (Wired Equivalent Privacy)
    – устаревший и небезопасный метод проверки подлинности. Это первый и не очень удачный метод защиты. Злоумышленники без проблем получают доступ к беспроводным сетям, которые защищены с помощью WEP. Не нужно устанавливать этот режим в настройках своего роутера, хоть он там и присутствует (не всегда)
    .
  • WPA
    (Wi-Fi Protected Access)
    – надежный и современный тип безопасности. Максимальная совместимость со всеми устройствами и операционными системами.
  • WPA2
    – новая, доработанная и более надежная версия WPA. Есть поддержка шифрования AES CCMP. На данный момент, это лучший способ защиты Wi-Fi сети. Именно его я рекомендую использовать.

WPA/WPA2 может быть двух видов:

  • WPA/WPA2 — Personal (PSK)
    – это обычный способ аутентификации. Когда нужно задать только пароль (ключ)
    и потом использовать его для подключения к Wi-Fi сети. Используется один пароль для всех устройств. Сам пароль хранится на устройствах. Где его при необходимости можно посмотреть, или сменить. Рекомендуется использовать именно этот вариант.
  • WPA/WPA2 — Enterprise
    – более сложный метод, который используется в основном для защиты беспроводных сетей в офисах и разных заведениях. Позволяет обеспечить более высокий уровень защиты. Используется только в том случае, когда для авторизации устройств установлен RADIUS-сервер (который выдает пароли)
    .

Думаю, со способом аутентификации мы разобрались. Лучшие всего использовать WPA2 — Personal (PSK). Для лучшей совместимости, чтобы не было проблем с подключением старых устройств, можно установить смешанный режим WPA/WPA2. На многих маршрутизаторах этот способ установлен по умолчанию. Или помечен как «Рекомендуется».

Шифрование беспроводной сети

Есть два способа TKIP
и AES
.

Рекомендуется использовать AES. Если у вас в сети есть старые устройства, которые не поддерживают шифрование AES (а только TKIP)
и будут проблемы с их подключением к беспроводной сети, то установите «Авто». Тип шифрования TKIP не поддерживается в режиме 802.11n.

В любом случае, если вы устанавливаете строго WPA2 — Personal (рекомендуется)
, то будет доступно только шифрование по AES.

Какую защиту ставить на Wi-Fi роутере?

Используйте WPA2 — Personal с шифрованием AES
. На сегодняшний день, это лучший и самый безопасный способ. Вот так настройки защиты беспроводной сети выглядит на маршрутизаторах ASUS:

Подробнее в статье: как установить пароль на Wi-Fi роутере Asus.

А вот так эти настройки безопасности выглядят на роутерах от TP-Link (со старой прошивкой)
.

Более подробную инструкцию для TP-Link можете посмотреть здесь.

Инструкции для других маршрутизаторов:

Если вы не знаете где найти все эти настройки на своем маршрутизаторе, то напишите в комментариях, постараюсь подсказать. Только не забудьте указать модель.

Так как WPA2 — Personal (AES) старые устройства (Wi-Fi адаптеры, телефоны, планшеты и т. д.) могут не поддерживать, то в случае проблем с подключением устанавливайте смешанный режим (Авто).

Не редко замечаю, что после смены пароля, или других параметров защиты, устройства не хотят подключаться к сети. На компьютерах может быть ошибка «Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети». Попробуйте удалить (забыть)
сеть на устройстве и подключится заново. Как это сделать на Windows 7, я писал здесь. А в Windows 10 нужно забыть сеть.

Пароль (ключ) WPA PSK

Какой бы тип безопасности и метод шифрования вы не выбрали, необходимо установить пароль. Он же ключ WPA, Wireless Password, ключ безопасности сети Wi-Fi и т. д.

Длина пароля от 8 до 32 символов. Можно использовать буквы латинского алфавита и цифры. Так же специальные знаки:  — @ $ # ! и т. д. Без пробелов! Пароль чувствительный к регистру! Это значит, что «z» и «Z» это разные символы.

Не советую ставить простые пароли. Лучше создать надежный пароль, который точно никто не сможет подобрать, даже если хорошо постарается.

Вряд ли получится запомнить такой сложный пароль. Хорошо бы его где-то записать. Не редко пароль от Wi-Fi просто забывают. Что делать в таких ситуациях, я писал в статье: как узнать свой пароль от Wi-Fi.

Так же не забудьте установить хороший пароль, который будет защищать веб-интерфейс вашего маршрутизатора. Как это сделать, я писал здесь: как на роутере поменять пароль с admin на другой.

Если вам нужно еще больше защиты, то можно использовать привязку по MAC-адресу. Правда, не вижу в этом необходимости. WPA2 — Personal в паре с AES и сложным паролем – вполне достаточно.

А как вы защищаете свою Wi-Fi сеть? Напишите в комментариях. Ну и вопросы задавайте 🙂

19

Настройка защиты Wi-Fi сетей

Что нужно использовать для более быстрой работы Wi-Fi сети: AES или TKIP?

Здравствуйте дорогие читатели. Слабая система защиты маршрутизатора подвергает вашу сеть опасности. Все мы знаем, насколько важна безопасность маршрутизатора, но большинство людей не осознают, что некоторые настройки безопасности могут замедлить работы всей сети.

Основными вариантами шифрования данных, проходящих через маршрутизатор, являются протоколы WPA2-AES
и WPA2-TKIP
. Сегодня вы поговорим о каждом из них и объясним, почему стоит выбирать AES.

Знакомимся с WPA

WPA или защищённый доступ к Wi-Fi стал ответом Wi-Fi Альянса на уязвимости безопасности, которыми изобиловал протокол WEP. Важно отметить, что он не предназначался в качестве полноценного решения. Скорее, он должен был стать временным выбором, позволяющим людям использовать существующие маршрутизаторы, не прибегая к помощи протокола WEP, имеющего заметные изъяны в безопасности.

Хотя WPA и превосходил WEP, он тоже имел собственные проблемы с безопасностью. Несмотря на то, что атаки обычно не были способны пробиться через сам алгоритм TKIP (протокол целостности временного ключа), обладающий 256-битным шифрованием, они могли обойти дополнительную систему, встроенную в данный протокол и называющуюся WPS
или Защищённая Установка Wi-Fi
.

Защищённая Установка Wi-Fi была разработана для облегчения подключения устройств друг к другу. Однако из-за многочисленных брешей безопасности, с которыми она была выпущена, WPS начала исчезать в небытие, унося с собой WPA.

На данный момент как WPA, так и WEP уже не используются, поэтому мы станем вдаваться в подробности и, вместо этого, рассмотрим новую версию протокола — WPA2.

Почему WPA2 лучше

В 2006 году WPA стал устаревшим протоколом и на смену ему пришёл WPA2.

Замена шифрования TKIP на новый и безопасный алгоритм AES (стандарт продвинутого шифрования) привела к появлению более быстрых и защищённых Wi-Fi сетей. Причина в том, что TKIP был не полноценным алгоритмом, а скорее временной альтернативой. Проще говоря, протокол WPA-TKIP являлся промежуточным выбором, обеспечившим работоспособность сетей в течение трёх лет, прошедших между появлением WPA-TKIP и выпуском WPA2-AES.

Читайте также:
  Как очистить взломанный браузер

Дело в том, что AES — реальный алгоритм шифрования, использующийся не только для защиты Wi-Fi сетей. Это серьёзный мировой стандарт, применявшийся правительством, когда-то популярной программой TrueCrypt и многими другими для защиты данных от любопытных глаз. Тот факт, что этот стандарт защищает вашу домашнюю сеть — приятный бонус, но для этого требуется приобрести новый маршрутизатор.

AES против TKIP в плане безопасности

TKIP — это, по сути, патч для WEP, решающий проблему из-за которой атакующий мог получить ваш ключ после исследования относительно небольшого объёма трафика, прошедшего через маршрутизатор. TKIP исправил эту уязвимость путём выпуска нового ключа каждые несколько минут, что в теории не позволило бы хакеру собрать достаточно данных для расшифровки ключа или потокового шифра RC4, на который полагается алгоритм.

Хотя TKIP в своё время стал значительным улучшением в плане безопасности, сегодня он превратится в устаревшую технологию, уже не считающуюся достаточно безопасной для защиты сетей от хакеров. К примеру, его крупнейшая, но не единственная уязвимость, известная как chop-chop атака стала достоянием общественности ещё до появления самого метода шифрования.

Chop-chop атака позволяет хакерам, знающим как перехватывать и анализировать потоковые данные, генерируемые сетью, использовать их для расшифровки ключа и отображения информации в виде обычного, а не закодированного текста.

AES — совершенно другой алгоритм шифрования, намного превосходящий возможности TKIP. Этот алгоритм представляет собой 128, 192 или 256-битный блоковый шифр, не страдающий уязвимостями, которые имел TKIP.

Если объяснять алгоритм простым языком, он берёт открытый текст и преобразует его в зашифрованный текст. Для стороннего наблюдателя, не имеющего ключа, такой текст выглядит как строка случайных символов. Устройство или человек на другой стороне передачи имеет ключ, который разблокирует или расшифровывает данные. В этом случае, маршрутизатор имеет первый ключ и шифрует данные до передачи, а у компьютера есть второй ключ, который расшифровывает информацию, позволяя вывести её на ваш экран.

Читайте также:
  Как удалить почту Gmail навсегда

Уровень шифрования (128, 192 или 256-бит) определяет количество перестановок применяемых к данным, а значит и потенциальное число возможных комбинаций, если вы заходите его взломать.

Даже самый слабый уровень AES шифрования (128-бит) теоретически невозможно взломать, поскольку компьютеру текущий вычислительной мощности потребовалось бы 100 миллиардов лет на поиск верного решения для данного алгоритма.

AES против TKIP в плане скорости

TKIP — устаревший метод шифрования и, кроме проблем с безопасностью, он также замедляет системы, которые до сих пор с ним работают.

Большинство новых маршрутизаторов (всё стандарта 802.11n или старше) по умолчанию используют шифрование WPA2-AES, но если вы работаете со старым маршрутизатором или по какой-то причине выбрали шифрование WPA-TKIP, высоки шансы, что вы теряете значительную часть скорости.

Любой маршрутизатор, поддерживающий стандарт 802.11n (хотя вам всё же стоит приобрести маршрутизатор AC), замедляется до 54 Мбит при включении WPA или TKIP в настройках безопасности. Это делается для того, чтобы протоколы безопасности корректно работали со старыми устройствами.

Стандарт 802. 11ac с шифрованием WPA2-AES теоретически предлагает максимальную скорость 3,46 Гбит в оптимальных (читай: невозможных) условиях. Но даже если не принимать это во внимание, WPA2 и AES всё равно гораздо быстрее, чем TKIP.

Итоги

AES и TKIP вообще нельзя сравнивать между собой. AES — более продвинутая технология, во всех смыслах этого слова. Высокая скорость работы маршрутизаторов, безопасный браузинг и алгоритм, на который полагаются даже правительства крупнейших стран делают её единственно верным выбором для всех новых и уже существующих Wi-Fi сетей.

Учитывая всё, что предлагает AES, есть ли достойная причина отказаться от использования этого алгоритма в домашней сети? А почему вы применяете (или не применяете) его?

Download Nulled WordPress Themes

Premium WordPress Themes Download

Download WordPress Themes

Download WordPress Themes

udemy paid course free download

download micromax firmware

Premium WordPress Themes Download

Типы шифрования сетевого оборудования: особенности и характеристики

Вай фай сеть обладает зашитой в виде пароля, не зная который, подключиться к конкретной сети будет практически невозможно, кроме общественных сетей (кафе, рестораны, торговые центры, точки доступа на улицах) . «Практически» не стоит понимать в буквальном смысле: умельцев, способных «вскрыть» сеть и получить доступ не только к ресурсу роутера, но и к передаваемым внутри конкретной сети данным, достаточно.

Но в этом вступительном слове мы поговорили о подключении к wi-fi — аутентификации
пользователя (клиента),  когда клиентское устройство и точка доступа обнаруживают друг друга и подтверждают, что могут общаться между собой.

Варианты аутентификации
:

  • Open
    — открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared
    — подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP
    — подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Шифрование роутера: методы и их характеристики

Шифрование
— это алгоритм скремблирования (scramble
 — шифровать, перемешивать) передаваемых данных, изменение и генерация ключа шифрования

Для оборудования wifi были разработаны различные типы шифрования, дающие возможность защищать сеть от взлома, а данные от общего доступа. На сегодняшний день выделяются несколько вариантов шифрования. Рассмотрим каждый из них подробнее. Выделяются и являются самыми распространенными следующие типы:

  • OPEN;
  • WEP;
  • WPA, WPA2;
  • WPS.

Первый тип, именуемый не иначе, как OPEN, все требуемую для познания информацию содержит в названии. Зашифровать данные или защитить сетевое оборудование такой режим не позволит, потому как точка доступа будет являться при условии выбора такого типа постоянно открытой и доступной для всех устройств, которыми она будет обнаружена. Минусы и уязвимости такого типа «шифрования» очевидны.

Если сеть открыта, это не значит, что любой может с ней работать. Чтобы пользоваться такой сетью и передавать в ней данные, нужно  совпадение используемого метода шифрования. И еще одно условие пользования такой сетью отсутствие MAC-фильтра, который определяет MAC-адреса пользователей, для того, что бы распознать каким устройствам запрещено или разрешено пользоваться данной сетью

WEP

Второй тип, он же WEP, уходит корнями в 90-е годы прошлого века, являясь родоначальником всех последующих типов шифрования. Wep шифрование сегодня – слабейший из всех существующих вариантов организации защиты. Большинство современных роутеров, создаваемых специалистами и учитывающих интересы конфиденциальности пользователей, не поддерживают шифрование wep. Среди минусов, вопреки факту наличия хоть какой-то защиты (в сравнении с OPEN), выделяется ненадежность: она обусловлена кратковременной защитой, которая активируется на определенные интервалы времени. По истечении этого промежутка, пароль к вашей сети можно будет легко подобрать, а ключ wep будет взломан за время до 1 минуты. Это обусловлено битностью wep ключа, которая составляет в зависимости от характеристик сетевого оборудования от 40 до 100 бит. Уязвимость wep ключа заключается в факте передачи частей пароля в совокупности с пакетами данных. Перехват пакетов для специалиста – хакера или взломщика – задача, легкая для осуществления. Важно понимать и тот факт, что современные программные средства способны перехватывать пакеты данных и созданы специально для этого. Таким образом, шифрование wep – самый ненадежный способ защиты вашей сети и сетевого оборудования.

WPA, WPA2

Такие разновидности – самые современные и совершенными с точки зрения организации зашиты на данный момент. Аналогов им не существует. Возможность задать любую удобную пользователю длину и цифробуквенную комбинацию wpa ключа довольно затрудняет жизнь желающим несанкционированно воспользоваться конкретной сетью или перехватить данные этой сети. Данные стандарты поддерживают различные алгоритмы шифрования, которые могут передаваться после взаимодействия протоколов TKIP и AES. Тип шифрования aes является более совершенным протоколом, чем tkip, и большинством современных роутеров поддерживается и активно используется. Шифрование wpa или wpa2 – предпочтительный тип как для домашнего использования, так и для корпоративного. Последний дает возможность применения двух режимов аутентификации: проверка паролей для доступа определенных пользователей к общей сети осуществляется, в зависимости от заданных настроек, по режиму PSK или Enterprise. PSK предполагает доступ к сетевому оборудованию и ресурсам интернета при использовании единого пароля, который требуется ввести при подключении к роутеру. Это предпочтительный вариант для домашней сети, подключение которой осуществляется в рамках небольших площадей определенными устройствами, например: мобильным, персональным компьютером и ноутбуком. Для компаний, имеющих солидные штаты сотрудников, PSK является недостаточно удобным режимом аутентификации, потому был разработан второй режим – Enterprise. Его использование дает возможность применения множества ключей, который будут храниться на особом выделенном сервере.

WPS

По-настоящему современная и уникальная технология – WPS, делает возможным подключение к беспроводной сети при помощи одного нажатия на кнопку. Задумываться о паролях или ключах бессмысленно, но стоит выделить и учитывать ряд серьезных недостатков, касающихся допуска к сетям с WPS.

Подключение посредством такой технологии осуществляется при использовании ключа, включающего в себя 8 символов. Уязвимость типа шифрования заключается в следующем: он обладает серьезной ошибкой, которая взломщикам или хакерам позволяет получить доступ к сети, если им доступны хотя бы 4 цифры из восьмизначной комбинации. Количество попыток подбора пароля при этом составляет порядка нескольких тысяч, однако для современных программных средств это число – смешное. Если измерять процесс форсирования WPS во времени, то процесс займет не более суток. И тем не менее, чтобы повысить общий уровень безопасности, опытные пользователи рекомендуют принципиально отказываться от рассмотренной технологии.

Подводя итоги

Самой современной и по-настоящему надежной методикой организации защиты сети и данных, передаваемых внутри нее, является WPA или ее аналог WPA2. Первый вариант предпочтителен для домашнего использования определенным числом устройств и пользователей. Второй, обладающий функцией аутентификации по двум режимам, больше подходит для крупных компаний. Применение его оправдано тем, что при увольнении сотрудников нет необходимости в смене паролей и ключей, потому как определенное количество динамических паролей хранятся на специально выделенном сервере, доступ к которому имеют лишь текущие сотрудники компании. Следует отметить, что большинство продвинутых пользователей отдают предпочтение WPA2 даже для домашнего использования. С точки зрения организации защиты оборудования и данных, такой метод шифрования является самым совершенным из существующих на сегодняшний день. Что касается набирающего популярность WPS, то отказаться от него – значит в определенной мере обезопасить сетевое оборудование и информационные данные, передаваемые с его помощью. Пока технология не развита достаточно и не обладает всеми преимуществами, например, WPA2, от ее применения рекомендуется воздержаться вопреки кажущейся простоте применения и удобству. Ведь безопасность сети и передаваемых внутри нее информационных массивов – приоритет для большинства пользователей.

Безопасность Wi-Fi: следует ли использовать WPA2-AES, WPA2-TKIP или оба?

Многие маршрутизаторы предоставляют опции WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP / AES). Однако выберите неправильный вариант, и у вас будет медленная, менее безопасная сеть.

Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access II (WPA2) являются основными алгоритмами безопасности, которые вы увидите при настройке беспроводной сети. WEP является старейшим и доказал свою уязвимость, так как обнаруживается все больше и больше недостатков безопасности. WPA улучшил безопасность, но теперь также считается уязвимым для вторжения. WPA2, хотя и не идеальный, в настоящее время является наиболее безопасным выбором. Протокол целостности временного ключа (TKIP) и Advanced Encryption Standard (AES) — это два разных типа шифрования, которые вы увидите в сетях, защищенных с помощью WPA2. Давайте посмотрим, как они отличаются и что лучше для вас.

AES против TKIP

TKIP и AES — это два разных типа шифрования, которые могут использоваться в сети Wi-Fi. TKIP на самом деле является более старым протоколом шифрования, представленным в WPA для замены очень небезопасного шифрования WEP в то время. TKIP на самом деле очень похож на WEP-шифрование. TKIP больше не считается безопасным, и теперь считается устаревшим. Другими словами, вы не должны его использовать.

AES — это более безопасный протокол шифрования, представленный в WPA2. AES — это не какой-то скрипучий стандарт, разработанный специально для сетей Wi-Fi. Это серьезный мировой стандарт шифрования, который даже был принят правительством США. Например, когда вы шифруете жесткий диск с помощью TrueCrypt, он может использовать для этого шифрование AES. Как правило, AES считается достаточно безопасным, и основными недостатками могут быть атаки методом «грубой силы» (предотвращенные с помощью надежной парольной фразы) и недостатки безопасности в других аспектах WPA2.

Короче говоря, TKIP — это более старый стандарт шифрования, используемый стандартом WPA. AES — это новое решение для шифрования Wi-Fi, используемое в соответствии с новым и безопасным стандартом WPA2. В теории это конец. Но, в зависимости от вашего роутера, просто выбрать WPA2 может быть недостаточно.

В то время как WPA2 должен использовать AES для оптимальной безопасности, он также может использовать TKIP, где требуется обратная совместимость с устаревшими устройствами. В таком состоянии устройства, которые поддерживают WPA2, будут соединяться с WPA2, а устройства, которые поддерживают WPA, будут соединяться с WPA. Таким образом, «WPA2» не всегда означает WPA2-AES. Однако на устройствах без видимой опции «TKIP» или «AES» WPA2 обычно является синонимом WPA2-AES.

И в случае, если вам интересно, «PSK» в этих именах означает «предварительный общий ключ» — предварительный общий ключ обычно является вашей парольной фразой шифрования. Это отличает его от WPA-Enterprise, который использует сервер RADIUS для выдачи уникальных ключей в крупных корпоративных или государственных сетях Wi-Fi.

Объясненные режимы безопасности Wi-Fi

Смущены еще? Мы не удивлены. Но все, что вам действительно нужно сделать, — это найти самый безопасный вариант в списке, который работает с вашими устройствами. Вот параметры, которые вы можете увидеть на своем маршрутизаторе:

  • Открытый (рискованно) : открытые сети Wi-Fi не имеют парольной фразы. Вы не должны устанавливать открытую сеть Wi-Fi — серьезно, вы могли бы забить вашу дверь полицией.
  • WEP 64 (рискованно) : старый стандарт протокола WEP уязвим, и вы действительно не должны его использовать.
  • WEP 128 (рискованно) : это WEP, но с большим размером ключа шифрования. На самом деле он не менее уязвим, чем WEP 64.
  • WPA-PSK (TKIP) : используется оригинальная версия протокола WPA (по сути, WPA1). Он был заменен WPA2 и не является безопасным.
  • WPA-PSK (AES) : используется оригинальный протокол WPA, но вместо TKIP используется более современное шифрование AES. Он предлагается в качестве временного промежутка, но устройства, которые поддерживают AES, почти всегда будут поддерживать WPA2, тогда как устройства, которым требуется WPA, почти никогда не будут поддерживать шифрование AES. Таким образом, этот вариант имеет мало смысла.
  • WPA2-PSK (TKIP) : используется современный стандарт WPA2 с более старым шифрованием TKIP. Это небезопасно, и это хорошая идея, если у вас есть старые устройства, которые не могут подключиться к сети WPA2-PSK (AES).
  • WPA2-PSK (AES) : это наиболее безопасный вариант. Он использует WPA2, новейший стандарт шифрования Wi-Fi и новейший протокол шифрования AES. Вы должны использовать эту опцию. На некоторых устройствах вы просто увидите опцию «WPA2» или «WPA2-PSK». Если вы это сделаете, то, скорее всего, просто будете использовать AES, так как это здравый смысл.
  • WPAWPA2-PSK (TKIP / AES) : некоторые устройства предлагают — и даже рекомендуют — этот вариант смешанного режима. Эта опция включает как WPA, так и WPA2, с TKIP и AES. Это обеспечивает максимальную совместимость с любыми древними устройствами, которые у вас могут быть, но также позволяет злоумышленнику взломать вашу сеть, взломав более уязвимые протоколы WPA и TKIP.

Сертификация WPA2 стала доступна в 2004 году, десять лет назад. В 2006 году сертификация WPA2 стала обязательной. Любое устройство, выпущенное после 2006 года с логотипом «Wi-Fi», должно поддерживать шифрование WPA2.

Поскольку ваши устройства с поддержкой Wi-Fi, скорее всего, старше 8-10 лет, вам следует выбрать WPA2-PSK (AES). Выберите эту опцию, и тогда вы увидите, что ничего не работает. Если устройство перестает работать, вы всегда можете изменить его обратно. Хотя, если безопасность является проблемой, вы можете просто купить новое устройство, выпущенное с 2006 года.

WPA и TKIP замедляют работу Wi-Fi

Параметры совместимости WPA и TKIP также могут замедлять работу сети Wi-Fi. Многие современные маршрутизаторы Wi-Fi, которые поддерживают 802.11n и более новые, более быстрые стандарты, будут замедляться до 54 Мбит / с, если вы включите WPA или TKIP в их настройках. Они делают это, чтобы гарантировать, что они совместимы с этими старыми устройствами.

Для сравнения, даже 802.11n поддерживает до 300 Мбит / с, если вы используете WPA2 с AES. Теоретически, 802.11ac предлагает максимальные скорости 3, 46 Гбит / с в оптимальных (читай: идеальных) условиях.

На большинстве маршрутизаторов, которые мы видели, обычно используются следующие параметры: WEP, WPA (TKIP) и WPA2 (AES) — возможно, для обеспечения хорошей совместимости используется режим совместимости WPA (TKIP) + WPA2 (AES).

Если у вас есть нечетный тип маршрутизатора, который предлагает WPA2 в вариантах TKIP или AES, выберите AES. Почти все ваши устройства, безусловно, будут работать с ним, и это быстрее и безопаснее. Это простой выбор, если вы помните, что AES — хороший выбор.

В чем разница между WPA2, WPA, WEP, AES и TKIP?

Практически везде, куда вы идете сегодня, есть сеть WiFi, к которой вы можете подключиться. Будь то дома, в офисе или в местной кофейне, существует множество сетей WiFi. Каждая сеть Wi-Fi настроена на какую-то сетевую безопасность, либо открытую для всех, либо крайне ограниченную, где могут подключаться только определенные клиенты.

Когда дело доходит до безопасности WiFi, у вас есть только несколько вариантов, особенно если вы настраиваете домашнюю беспроводную сеть. На сегодняшний день тремя крупными протоколами безопасности являются WEP, WPA и WPA2. Два больших алгоритма, которые используются с этими протоколами, – это TKIP и AES с CCMP. Я объясню некоторые из этих понятий более подробно ниже.

Какой вариант безопасности выбрать?

Если вам не нужны все технические подробности каждого из этих протоколов и вы просто хотите узнать, какой из них выбрать для своего беспроводного маршрутизатора, ознакомьтесь со списком ниже. Он ранжируется от самых безопасных до наименее безопасных. Чем более безопасный вариант вы можете выбрать, тем лучше.

Если вы не уверены, что некоторые из ваших устройств смогут подключаться наиболее безопасным способом, я предлагаю вам включить его, а затем проверить, есть ли какие-либо проблемы. Я думал, что несколько устройств не будут поддерживать самое высокое шифрование, но был удивлен, обнаружив, что они подключены очень хорошо.

  1. WPA2 Enterprise (802.1x RADIUS)
  2. WPA2-PSK AES
  3. WPA-2-PSK AES + WPA-PSK TKIP
  4. WPA TKIP
  5. WEP
  6. Открыто (Нет безопасности)

Стоит отметить, что WPA2 Enterprise не использует предварительные общие ключи (PSK), но вместо этого использует протокол EAP и требует внутреннего сервера RADIUS для аутентификации с использованием имени пользователя и пароля. PSK, который вы видите с WPA2 и WPA, в основном является ключом беспроводной сети, который вы должны ввести при первом подключении к беспроводной сети.

WPA2 Enterprise гораздо сложнее в настройке и обычно выполняется только в корпоративных средах или в домах с технически подкованными владельцами. Практически вы сможете выбирать только варианты от 2 до 6, хотя большинство маршрутизаторов теперь даже не имеют опции для WEP или WPA TKIP, потому что они небезопасны.

Обзор WEP, WPA и WPA2

Я не буду вдаваться в технические подробности каждого из этих протоколов, потому что вы можете легко найти их в Google для получения дополнительной информации. По сути, протоколы беспроводной безопасности появились в конце 90-х годов и с тех пор развиваются. К счастью, только несколько протоколов были приняты, и поэтому это намного легче понять.

WEP

WEP или Wired Equivalent Privacy была выпущена еще в 1997 году вместе со стандартом 802.11 для беспроводных сетей. Он должен был обеспечить конфиденциальность, эквивалентную проводной сети (отсюда и название).

WEP начинался с 64-битного шифрования и в конечном итоге прошел до 256-битного шифрования, но наиболее популярной реализацией в маршрутизаторах было 128-битное шифрование. К сожалению, очень скоро после введения WEP исследователи безопасности обнаружили несколько уязвимостей, которые позволили им взломать ключ WEP в течение нескольких минут.

Даже с обновлениями и исправлениями протокол WEP оставался уязвимым и легким для проникновения. В ответ на эти проблемы WiFi Alliance представил WPA или WiFi Protected Access, который был принят в 2003 году.

WPA

На самом деле WPA предназначалось лишь как промежуточное средство правовой защиты до тех пор, пока они не смогут завершить WPA2, который был введен в 2004 году и в настоящее время является стандартом, используемым в настоящее время. WPA использовал TKIP или протокол целостности временного ключа в качестве способа обеспечения целостности сообщения. Это отличалось от WEP, в котором использовались CRC или циклическая проверка избыточности. TKIP был намного сильнее, чем CRC.

К сожалению, чтобы обеспечить совместимость, WiFi Alliance позаимствовал некоторые аспекты у WEP, что в итоге сделало WPA небезопасным и с TKIP. WPA включил новую функцию под названием WPS (WiFi Protected Setup), которая должна была упростить пользователям подключение устройств к беспроводному маршрутизатору. Однако в результате появились уязвимости, которые позволили исследователям безопасности взломать ключ WPA за короткий промежуток времени.

WPA2

WPA2 стал доступен еще в 2004 году и официально потребовался к 2006 году. Самым большим изменением между WPA и WPA2 стало использование алгоритма шифрования AES с CCMP вместо TKIP.

В WPA AES был необязательным, но в WPA2 AES является обязательным, а TKIP – необязательным. С точки зрения безопасности, AES намного безопаснее, чем TKIP. В WPA2 были обнаружены некоторые проблемы, но они относятся только к корпоративной среде и не относятся к домашним пользователям.

WPA использует 64-битный или 128-битный ключ, наиболее распространенным из которых является 64-битный для домашних маршрутизаторов. WPA2-PSK и WPA2-Personal являются взаимозаменяемыми терминами.

Так что если вам нужно что-то вспомнить из всего этого, то вот что: WPA2 – самый безопасный протокол, а AES с CCMP – самое безопасное шифрование. Кроме того, WPS должен быть отключен, поскольку очень легко взломать и перехватить PIN-код маршрутизатора, который затем можно использовать для подключения к маршрутизатору. Если у вас есть какие-либо вопросы, не стесняйтесь комментировать. Наслаждайтесь!

WPA2: В чем разница между AES и TKIP?

Wi-Fi Protected Access 2 (WPA2) — это программа сертификации безопасности , разработанная Wi-Fi Alliance для защиты беспроводных компьютерных сетей. В зависимости от типа и возраста вашего беспроводного маршрутизатора вам будет доступно несколько вариантов шифрования. Двумя основными для WPA2-Personal (версия, используемая домашними пользователями или пользователями малого бизнеса) являются Advanced Encryption Standard (AES) и более старый Temporal Key Integrity Protocol (TKIP), или комбинация обоих .

В этой статье мы объясним , что такое AES и TKIP , и предложим, какой вариант следует выбрать для ваших устройств с поддержкой WPA2. Вам нужно выбрать лучший режим шифрования не только из соображений безопасности, но и потому, что неправильный режим может замедлить работу вашего устройства . Если вы выберете более старый режим шифрования, даже если ваш Wi-Fi-маршрутизатор поддерживает более быстрый тип шифрования, передача данных автоматически замедлится, чтобы быть совместимой со старыми устройствами, с которыми он подключается.

Мы также объясним некоторые термины безопасности Wi-Fi , связанные с WPA2 , например те, которые упомянуты на диаграмме ниже, в основном ориентированы на WPA2-Personal. Например, термины «сертификаты», «стандарты», «протоколы» и «программы» иногда (ошибочно) используются взаимозаменяемо, а часто и неправильно. AES — это протокол или тип шифрования? WPA2 — это протокол или стандарт? (Предупреждение о спойлере: AES — это стандарт, а WPA2 — это сертификация.) Можно немного снисходительно относиться к терминологии Wi-Fi, если вы знаете, что на самом деле означают эти термины.Эта статья устанавливает все прямо. И да, мы очень свободно используем термин «режим» для описания настроек шифрования и аутентификации WPA2.

Существует две версии WPA2: персональная (для домашнего и офисного использования) и корпоративная (для корпоративного использования). В этой статье мы сосредоточимся на первом, но сравним его с версией Enterprise, что поможет проиллюстрировать, чего не делает WPA2-Personal.

«Беспроводные сети по своей природе небезопасны.На заре создания беспроводных сетей производители старались максимально упростить их для конечных пользователей. Готовая конфигурация для большинства беспроводного сетевого оборудования обеспечивает простой (но небезопасный) доступ к беспроводной сети ». (Источник: чайники)

Насколько безопасен WPA2 по сравнению с другими распространенными сертификатами Wi-Fi? До появления WPA3 самым безопасным вариантом считался WPA2, KRACK и все такое. Текущие уязвимости WPA2 могут быть эффективно исправлены, но вам все равно необходимо выбрать лучший тип шифрования для вашего устройства Wi-Fi и ваших требований к использованию.Например, если вы работаете в малом бизнесе со старыми устройствами, вам, возможно, придется пожертвовать скоростью ради безопасности или обновить свои устройства. Если вы большая организация, вы можете вообще отказаться от WPA2 и начать планировать развертывание WPA3 как можно скорее.

Стандарты шифрования подключения Wi-Fi, используемые в общедоступных точках доступа Wi-Fi во всем мире (Источник: Kaspersky Security Network (KSN))

Насколько безопасны основные сертификаты Wi-Fi, используемые сегодня?

  • Открыто — Нет безопасности
  • Wired Equivalent Privacy (WEP) — Очень ненадежный и использует шифр RC4, который изначально был принят за очень быструю и простую реализацию.Когда-то популярный — согласно WayBack Machine, Skype использовал модифицированную версию примерно в 2010 году — с тех пор считается очень небезопасным. WEP использует метод аутентификации, при котором все пользователи используют один и тот же ключ, поэтому, если один клиент скомпрометирован, все в сети подвергаются риску. WPA-PSK (Pre-Shared Key) имеет ту же проблему. Согласно Webopedia, WEP небезопасен, поскольку, как и другие широковещательные передачи Wi-Fi, он отправляет сообщения с использованием радиоволн, которые подвержены подслушиванию, эффективно обеспечивая безопасность, равносильную проводному соединению.Шифрование не мешает хакерам перехватывать сообщения, и проблема с WEP заключается в том, что он использует статическое шифрование (один ключ для всех пакетов для всех устройств в сети), подвергая риску все устройства, что потенциально является большим уловом для хакеров. Затем воры могут попытаться расшифровать данные на досуге в автономном режиме. WPA создает уникальный ключ для каждого устройства, ограничивая риск для других клиентов при взломе одного устройства в сети.
  • WPA — использует неэффективный протокол шифрования TKIP , который не является безопасным.Сам TKIP использует шифр RC4, а AES не является обязательным для WPA. Хорошая метафора того, как работает WPA, исходит из сообщения суперпользователя: «Если вы думаете об иностранном языке как о разновидности шифрования, WPA немного похож на ситуацию, когда все машины, подключенные к этой сети WPA, говорят на одном языке, но это язык, чуждый другим машинам. Итак, конечно, машины, подключенные к этой сети, могут атаковать друг друга и слышать / видеть все пакеты, отправленные / полученные всеми остальными. Защита действует только от хостов, которые не подключены к сети (например,грамм. потому что они не знают секретного пароля) «.
  • WPA2 — Достаточно безопасный, но уязвимый для атак методом грубой силы и словаря. Использует шифрование AES и вводит режим счетчика с кодом проверки подлинности сообщения цепочки блоков шифра (CCMP) , надежное шифрование на основе AES. Он обратно совместим с TKIP. Поставщики выпустили исправления для многих уязвимостей, например КРЕК. Одним из основных недостатков безопасности версии WPA2-Personal является Wifi Protected Setup (WPS), , который позволяет пользователям быстро настроить безопасную беспроводную домашнюю сеть.Согласно US-Cert, «Бесплатные инструменты атаки могут восстановить PIN-код WPS за 4-10 часов». Он рекомендует пользователям проверять наличие обновленного микропрограммного обеспечения от их поставщика, чтобы устранить эту уязвимость. WPA2-Enterprise более безопасен, но имеет некоторые недостатки.
  • WPA3 — Все еще слишком ново для получения значимых данных об использовании, но в настоящее время рекламируется как наиболее безопасный вариант.

ТКИП

Согласно Википедии, TKIP был разработан, чтобы «заменить» тогда уязвимый «стандарт» WEP без необходимости вносить изменения в оборудование, работающее под стандартом Wired Equivalent Privacy (WEP).Он использует шифр RC4.

Network World объясняет, что TKIP фактически не заменяет WEP; это «обертка». К сожалению, он основан на принципиально небезопасном WEP, потому что он был задуман как временная мера, потому что никто не хотел выбрасывать все сделанные вложения в оборудование, и его можно было быстро развернуть. Последней причины было достаточно, чтобы продавцы и бизнес-менеджеры с энтузиазмом восприняли ее. В свое время TKIP усилил безопасность WEP:

  • Смешивание базового ключа, MAC-адреса точки доступа (AP) и серийного номера пакета — «Операция микширования предназначена для минимальной нагрузки на станции и точки доступа, но при этом имеет достаточную криптографическую стойкость, чтобы что его нелегко сломать.”
  • Увеличение длины ключа до 128 бит — «Это решает первую проблему WEP: слишком короткая длина ключа».
  • Создание уникального 48-битного серийного номера , который увеличивается для каждого отправленного пакета, поэтому нет двух одинаковых ключей — «Этот решает другую проблему WEP, называемую« атакой на коллизию », которая может возникнуть, когда один и тот же ключ используется для двух разных пакетов.
  • Снижение риска повторных атак с расширенным вектором инициализации (IV), упомянутым выше — «Поскольку 48-битный порядковый номер будет повторяться через тысячи лет, никто не может воспроизвести старые пакеты из беспроводного соединения — они будут обнаружены как вышедшие из строя, потому что порядковые номера будут неправильными.”

Насколько действительно уязвим TKIP? Согласно Cisco, TKIP уязвим для расшифровки пакетов злоумышленником. Однако злоумышленник может украсть только ключ аутентификации, но не ключ шифрования.

«С восстановленным ключом только захваченные пакеты могут быть подделаны в ограниченном окне максимум 7 попыток. Злоумышленник может расшифровать только один пакет за раз, в настоящее время со скоростью один пакет за 12-15 минут. Кроме того, пакеты могут быть расшифрованы только при отправке из точки беспроводного доступа (AP) клиенту (однонаправленный).”

Проблема в том, что если белые шляпы открывают большие векторы для вставки атак, то и черные шляпы обнаруживают.

У есть обратная сторона, когда TKIP используется с PSK . «При аутентификации 802.1X секрет сеанса уникален и безопасно передается на станцию ​​сервером аутентификации; при использовании TKIP с предварительно разделенными ключами секрет сеанса одинаков для всех и никогда не меняется — отсюда и уязвимость использования TKIP с предварительно разделенными ключами.”

AES

AES (основанный на алгоритме Риандаэля) — это блочный шифр («S» на самом деле означает стандарт и еще один пример запутанной терминологии), используемый протоколом CCMP. Он преобразует открытый текст в зашифрованный текст и имеет длину ключа 28, 192 или 256 бит. Чем длиннее ключ, тем труднее злоумышленники зашифрованные данные.

Эксперты по безопасности в целом согласны с тем, что AES не имеет серьезных недостатков. Исследователи успешно атаковали AES лишь несколько раз, и эти атаки были в основном побочными.

AES — предпочтительный вариант шифрования для федерального правительства США и НАСА. Для получения дополнительной уверенности посетите Crypto-форум Stack Exchange. Чтобы получить подробные технические подробности о том, как работает AES, что выходит за рамки этой статьи, посетите eTutorials.

Сертификаты и стандарты

Хотя WPA2 является программой сертификации, ее часто называют стандартом, а иногда и протоколом. «Стандарт» и «протокол» — это описания, которые часто используются журналистами и даже разработчиками этих сертификатов (и рискуют проявить педантичность), но термины могут вводить в заблуждение, когда дело доходит до понимания того, как стандарты и протоколы связаны с Wi-Fi. сертификация, если не сказать прямо неверная.

Можно использовать аналогию с транспортным средством, которое сертифицировано как годное к эксплуатации. У производителя есть инструкции, которые определяют стандарты безопасности . Когда вы покупаете автомобиль, он будет иметь сертификат как безопасный для вождения организацией, определяющей стандарты безопасности транспортных средств.

Итак, хотя WPA2 следует называть сертификацией, его можно условно назвать стандартом. Но называть это протоколом сбивает с толку значение реальных протоколов — TKIP, CCMP и EAP — в безопасности Wi-Fi.

Протоколы и шифры

Еще один уровень путаницы: AES — это аббревиатура Advanced Encryption Standard . И, по словам пользователя Stack Exchange, TKIP на самом деле не является алгоритмом шифрования; он используется для обеспечения отправки пакетов данных с уникальными ключами шифрования. Пользователь, Лукас Кауфман, говорит: «TKIP реализует более сложную функцию смешивания ключей для смешивания сеансового ключа с вектором инициализации для каждого пакета». Между прочим, Кауфман определяет EAP как «структуру аутентификации».Он прав в том, что EAP определяет способ передачи сообщений; сам он их не шифрует. Мы коснемся этого еще раз в следующем разделе.

WPA2 и другие сертификаты Wi-Fi используют протоколы шифрования для защиты данных Wi-Fi. WPA2-Personal поддерживает несколько типов шифрования. WPA и WPA2 обратно совместимы с WEP, который поддерживает только TKIP.

Juniper называет такие протоколы шифрования, как AES и TKIP, шифрами шифрования. Шифр — это просто алгоритм, который определяет, как выполняется процесс шифрования.

По данным сообщества AirHeads:

«Вы часто видите ссылки на TKIP и AES при защите клиента WiFi. На самом деле, на него следует ссылаться как на TKIP и CCMP, а не как на AES. TKIP и CCMP — это протоколы шифрования. AES и RC4 — это шифры, CCMP / AES и TKIP / RC4. Вы можете видеть, что поставщики смешивают шифр с протоколом шифрования. При сдаче экзамена самый простой способ запомнить разницу — помнить, что TKIP и CCMP оканчиваются на «P» для протокола шифрования. [sic] »

Как и EAP, хотя это протокол аутентификации, а не шифрования.

Итого:

Аутентификация — PSK по сравнению с 802.1X

Как и WPA, WPA2 поддерживает аутентификацию IEEE 802.1X / EAP и PSK.

WPA2-Personal — PSK — это механизм аутентификации, используемый для проверки пользователей WPA2-Personal, устанавливающих соединение Wi-Fi. Он был разработан в первую очередь для общего использования дома и в офисе. PSK не требует настройки сервера аутентификации. Пользователи входят в систему с предварительным общим ключом, а не с помощью имени пользователя и пароля, как в версии Enterprise.

WPA2-Enterprise — Исходный стандарт IEEE 802.11 («пригодный для эксплуатации» стандарт для сертификации Wi-Fi) был выпущен в 1997 году. Более поздние версии часто разрабатывались для повышения скорости передачи данных и обеспечения соответствия новым технологиям безопасности. Последний WPA2 — Корпоративные версии соответствуют стандарту 802.11i. Его базовый протокол аутентификации — 802.1X, , который позволяет устройствам Wi-Fi аутентифицироваться по имени пользователя и паролю или с использованием сертификата безопасности.Проверка подлинности 802.1X развернута на сервере AAA (обычно RADIUS) , который обеспечивает централизованную проверку подлинности и функции управления пользователями. EAP — это стандарт, используемый для передачи сообщений и проверки подлинности клиента и сервера перед доставкой. Эти сообщения защищены с помощью таких протоколов, как SSL, TLS и PEAP .

Шифрование — «семечки» и ПМК

WPA2-Personal — PSK сочетает в себе парольную фразу (предварительный общий ключ) и SSID (который используется в качестве «начального числа» и виден всем в пределах досягаемости) для генерации ключей шифрования.Сгенерированный ключ — парный главный ключ (PMK) — используется для шифрования данных с использованием TKIP / CCMP. PMK основан на известном значении (кодовой фразе), поэтому любой, у кого есть это значение (включая сотрудника, покидающего компанию), может захватить ключ и потенциально использовать грубую силу для расшифровки трафика.

Несколько слов о семенах и SSID.

  • SSID — Все имена сетей, которые отображаются в списке точек доступа Wi-Fi вашего устройства, являются SSID. Программное обеспечение для анализа сети может сканировать SSID, даже если он предположительно скрыт.По словам Стива Райли из Microsoft, «SSID — это имя сети, а не — я повторяю, не — пароль. У беспроводной сети есть SSID, чтобы отличить ее от других беспроводных сетей поблизости. SSID никогда не предназначался для скрытия, поэтому он не обеспечит никакой защиты вашей сети, если вы попытаетесь его скрыть. Скрытие SSID является нарушением спецификации 802.11; поправка к спецификации 802.11i (которая определяет WPA2, обсуждается ниже) даже заявляет, что компьютер может отказаться от связи с точкой доступа, которая не передает свой SSID.”
  • Seeds — Идентификатор SSID и длина SSID обрабатываются перед тем, как стать частью сгенерированного PMK. SSID и длина SSID используются в качестве начальных значений, которые инициализируют генератор псевдослучайных чисел, используемый для объединения парольной фразы, создавая хешированный ключ. Это означает, что пароли по-разному хешируются в сетях с разными SSID, даже если они используют один и тот же пароль.

Хорошая парольная фраза может снизить потенциальный риск, связанный с использованием SSID в качестве начального значения.Парольную фразу следует генерировать случайным образом и часто менять, особенно после использования точки доступа Wi-Fi и когда сотрудник увольняется из компании.

WPA2-Enterprise — после того, как сервер RADIUS аутентифицировал клиента, он возвращает случайный 256-битный PMK , который CCMP использует для шифрования данных только для текущего сеанса. «Сид» неизвестен, и каждая сессия требует нового PMK, поэтому атаки методом перебора — пустая трата времени. WPA2 Enterprise может, но обычно не использовать PSK.

Первоначальный вопрос, заданный в этой статье, заключался в том, следует ли использовать AES, TKIP или и то, и другое для WPA2?

Выбор типа шифрования на маршрутизаторе

Ваш выбор (в зависимости от вашего устройства) может включать:

  • WPA2 с TKIP . Выбирайте этот параметр, только если ваши устройства слишком старые для подключения к более новому типу шифрования AES
  • .

  • WPA2 с AES — это лучший (и по умолчанию) выбор для новых маршрутизаторов, поддерживающих AES.Иногда вы видите только WPA2-PSK , что обычно означает, что ваше устройство поддерживает PSK по умолчанию.
  • WPA2 с AES и TKIP — это альтернатива для устаревших клиентов, которые не поддерживают AES. Когда вы используете WPA2 с AES и TKIP (что может потребоваться при обмене данными с устаревшими устройствами), вы можете столкнуться с более низкой скоростью передачи. Сообщество AirHead объясняет это тем, что «групповые шифры всегда будут иметь самый низкий шифр». AES использует больше вычислительной мощности, поэтому, если у вас много устройств, вы можете увидеть снижение производительности в офисе.Максимальная скорость передачи для сетей, использующих пароли WEP или WPA (TKIP), составляет 54 Мбит / с (Источник: CNet).
  • WPA / WPA2 — аналогично варианту, приведенному выше, вы можете выбрать его, если у вас есть старые устройства, но он не так безопасен, как вариант
  • только для WPA2

На вашем устройстве вместо WPA2 вам может быть показана опция «WPA2-PSK». Вы можете относиться к этому как к одному и тому же.

Советы по усилению безопасности PSK

Комментарии Терренса Кумана о Stack Exchange помогают понять, почему WPA2-Enterprise более безопасен, чем WPA2-Personal.Он также дает следующие советы:

  • Установите свой SSID («начальное число» PMK) на случайную строку из максимально допустимого количества цифр, что сделает PMK менее уязвимым для атак методом перебора.
  • Создать длинный случайный PSK и регулярно его менять
  • Уникальный SSID может сделать вас уязвимыми для воров, которым будет проще найти вас на Wigle. Если вы действительно параноик, вам следует подумать об использовании вместо этого VPN.

Согласно NetSpot, «Вероятно, единственный недостаток WPA2 — это то, сколько вычислительной мощности ему необходимо для защиты вашей сети.Это означает, что необходимо более мощное оборудование, чтобы избежать снижения производительности сети. Эта проблема касается старых точек доступа, которые были реализованы до WPA2 и поддерживают WPA2 только через обновление прошивки. Большинство нынешних точек доступа оснащены более мощным оборудованием ». И большинство поставщиков продолжают поставлять исправления WPA2.

WPA2 будет постепенно заменяться WPA3, выпущенным в июне 2018 года после выявления уязвимости безопасности под названием KRACK в WPA2 в прошлом году.Ожидается, что развертывание займет некоторое время (возможно, до 2019 года), пока поставщики сертифицируют и отправляют новые устройства. Хотя были выпущены исправления для уязвимости KRACK, WPA2 в целом не так безопасен, как WPA3. Для начала убедитесь, что вы выбрали наиболее безопасный метод шифрования. Скептик Дион Филлипс, пишущий для InfiniGate, считает: «… сомнительно, что текущие беспроводные устройства будут обновлены для поддержки WPA3, и гораздо более вероятно, что следующая волна устройств пройдет процесс сертификации.”

Вы поняли; в конце концов, скорее всего, вам придется покупать новый роутер. А пока, чтобы оставаться в безопасности, вы можете пропатчить и защитить WPA2.

Документированных сообщений об атаках KRACK пока не поступало, но сертификация WPA3 обеспечивает гораздо большую безопасность, чем просто устранение уязвимости KRACK. В настоящее время это необязательная программа сертификации, но со временем она станет обязательной, поскольку ее примут все больше поставщиков. Узнайте больше о WPA2 и 3 в статье Comparitech о том, что такое WPA3 и насколько он безопасен?

  • Отличное, хотя и длинное, техническое введение в TKIP, AES и проблемное использование вводящей в заблуждение терминологии — это TKIP Hack
  • .

  • Если вас беспокоит WPA2, а ваши устройства поддерживают только TKIP, выберите надежный VPN.
  • Понимать основы криптографии
  • Узнайте, как защитить свой Wi-Fi роутер — советы для обычного пользователя и всех, у кого есть конфиденциальные данные для защиты

См. Также:
Руководство по ресурсам шифрования
Повышение собственной кибербезопасности

Изображение первой страницы для протокола WPA от Марко Верча.Лицензия CC BY 2.0

Сравнение: WPA2-AES или WPA2-TKIP, что лучше?

Стандарты шифрования WPA2-AES и WPA2-TKIP используются на всех современных маршрутизаторах, поэтому мы подготовили сравнение, чтобы увидеть, какие из них лучше защищают наши сети WiFi и пароли.

Очень важно иметь правильный пароль Wi-Fi, который является надежным и сложным. Таким образом, мы можем предотвратить проникновение злоумышленников в наши учетные записи.Но не имеет значения только ключ, который мы собираемся выбрать, это то, что существует под названием шифрование. В нашем распоряжении есть несколько вариантов.

Современные маршрутизаторы позволяют выбирать между различными типами, и не все из них будут безопасными. В этой статье мы сосредоточимся на паролях, использующих WPA2-AES и WPA2-TKIP.

Защита сети — важная вещь

Прежде всего, мы хотим помнить о важности правильной защиты наших беспроводных сетей.Есть много типов атак, которые злоумышленники могут использовать для взлома нашей безопасности. Вот почему мы должны использовать инструменты и методы, которые могут адекватно защитить нас.

Тот факт, что в наших сетях есть злоумышленники, может поставить под угрозу вашу конфиденциальность и безопасность. У вас может быть доступ к другому подключенному оборудованию, а также возможность собирать личную информацию.

Но помимо этого, как мы можем себе представить, это также создает проблемы для производительности. Это факт, что чем больше компьютеров вы подключили и используете сеть, тем больше может возникнуть проблем со скоростью, качеством и стабильностью.Если у нас есть злоумышленники в нашем Wi-Fi, можно предположить, что скорость заметно упадет.

Короче говоря, защита наших беспроводных сетей будет иметь фундаментальное значение, и мы всегда должны помнить об этом. Что да, необходимо правильно выбрать ключ, который мы собираемся использовать, а также тип шифрования в рамках имеющихся у нас возможностей.

WPA2-AES против паролей WPA2-TKIP

Среди вариантов, которые мы можем увидеть при использовании шифрования Wi-Fi, возможно, наиболее часто используются WPA2-AES и WPA2-TKIP.Надо сказать, что на сегодняшний день они являются самыми безопасными, поскольку другие, такие как WEP и WPA (оба в их различных вариантах), устарели, и существуют различные инструменты, позволяющие использовать их. Поэтому использовать их в настоящее время не рекомендуется.

Итак, среди двух типов, которые мы можем считать безопасными, они не равны. И мы можем сказать, что идеальным было бы использование WPA2-AES. Это самый надежный вид шифрования. Он использует новейший стандарт шифрования Wi-Fi и новейшее шифрование AES.

Шифрование TKIP снимается с WiFi Alliance. Это означает, что новые маршрутизаторы не должны использовать его, поскольку сегодня он не считается полностью безопасным. Поэтому по возможности нам следует избегать этого.

WPA2-TKIP использует современный стандарт WPA2, но использует старое шифрование TKIP. Следовательно, его использование не рекомендуется сегодня, если мы хотим максимизировать безопасность наших сетей.

Тогда мы можем сказать, что если мы сравним пароли Wi-Fi WPA2-AES и WPA2-TKIP, то самым безопасным вариантом будет использование первого варианта.Это тот, который предложит нам большую гарантию и будет иметь меньше проблем с безопасностью, которые могут поставить под угрозу наши сети.

Имейте в виду, что есть разница в скорости. Если мы используем WPA2-AES, мы получим лучшие результаты, в то время как WPA2-TKIP влияет на отправку пакетов и получение данных. Это еще один фактор, который мы должны учитывать, помимо безопасности, которая логически является основным фактором.

Есть ли проблемы с совместимостью?

Однако имейте в виду, что в некоторых случаях использование WPA2-AES будет невозможно.Причина в том, что некоторые старые устройства не смогут подключаться к сетям, которые используют это более современное шифрование, и должны использовать WPA2-TKIP.

Это один из недостатков, который мы можем найти в определенных ситуациях. Некоторые пользователи вынуждены использовать более старое шифрование, такое как WPA2-TKIP, для подключения других компьютеров.

AES против TKIP для беспроводного шифрования

Беспроводное шифрование — это инструмент безопасности для защиты сети компании. Слово «шифрование» означает преобразование чего-либо в код.Когда ИТ-специалисты используют шифрование беспроводной сети, они кодируют сообщения, передаваемые между беспроводным адаптером компьютера и беспроводным маршрутизатором.

Благодаря шифрованию этих сообщений никто другой не сможет увидеть, какую информацию передает компьютер.

Существует два типа шифрования для беспроводных сетей. Первый тип называется Temporal Key Integrity Protocol (TKIP) , а второй тип известен как Advanced Encryption Standard (AES) . В этой статье мы исследуем каждый тип и выясним, нужен ли вам один или другой (или оба).

TKIP разработан, чтобы вывести безопасность беспроводной сети на новый уровень

TKIP был разработан для обеспечения большей безопасности, чем Wired Equivalent Privacy (WEP), который был исходным протоколом для беспроводных локальных сетей (WLAN).

WEP был очень слабым протоколом безопасности. В результате защищенный доступ Wi-Fi (WPA) стал новым протоколом безопасности с TKIP в качестве метода шифрования.

Этот метод шифрования представляет собой набор алгоритмов. TKIP охватывает WEP и добавляет дополнительный код в начало и конец каждого пакета данных.Он также шифрует каждый пакет данных уникальным ключом. Эти ключи намного сильнее, чем просто WEP.

Поскольку TKIP является частью WEP, это означает, что люди или организации, использующие устаревшее оборудование, могут перейти на TKIP без дорогостоящей замены.

Представлен

AES для повышения безопасности

Хотя TKIP — хорошее решение для тех, кто использует устаревшее оборудование и не может или не хочет обновляться, у него все же есть недостатки. Очень вероятно, что TKIP не защитит конфиденциальные данные.В своем стандарте 802.11i, опубликованном в июне 2004 года, Институт инженеров по электротехнике и радиоэлектронике (IEEE) требовал новых протоколов шифрования для беспроводных сетей.

IEEE установил стандарт, который был более надежным и безопасным, чем его предыдущие стандарты. Этот стандарт требовал TKIP и AES.

AES — симметричный блочный шифр. Блочный шифр применяет криптографический ключ к блоку данных сразу, в отличие от побитового шифрования информации. Правительство США использует AES для защиты секретной информации.

AES Разработано для правительства США

Эта форма шифрования возникла в 1997 году, когда Национальный институт стандартов и технологий США, известный как NIST, решил, что пришло время заменить стандарт шифрования данных (DES), который стал уязвимым для кибератак.

Целью NIST было разработать что-то, что могло бы защитить конфиденциальную правительственную информацию, но при этом было бы легко реализовать в аппаратном и программном обеспечении и ограниченных средах, таких как смарт-карты.

После нескольких лет тестирования криптографы нашли эффективный алгоритм для AES. В 2002 году AES стал стандартом шифрования федерального правительства США. Год спустя правительство США объявило, что AES может защищать секретную информацию.

После этого объявления AES стала очень популярной в частном секторе. Он очень эффективен для защиты информации, поскольку использует надежный алгоритм и обеспечивает более быстрое шифрование, чем DES.

TKIP или AES: что лучше для бизнеса?

Какая форма беспроводного шифрования лучше всего защищает бизнес-данные? AES — это самое надежное беспроводное шифрование из доступных.Единственное преимущество использования TKIP заключается в том, что вам не нужно обновлять устаревшее оборудование.

Однако это устаревшее оборудование в конечном итоге перестанет работать, и вам придется его заменить. Какое бы новое оборудование вы ни купили, оно будет использовать AES. Сделайте переход прямо сейчас, чтобы обеспечить безопасность данных вашей компании.

Где найти надежные продукты для шифрования данных

Знание того, что вам необходимо защитить данные вашего бизнеса с помощью надежного шифрования, — это половина дела. Следующим шагом является поиск подходящего программного обеспечения для ваших нужд.

Имея более пяти миллионов пользователей SecureDoc в более чем 80 странах, WinMagic предоставляет программное решение для предприятий любого размера, позволяющее эффективно обеспечивать безопасность данных. Мы уверены, что можем помочь и вашему бизнесу, поэтому мы предоставляем пробную копию и онлайн-демонстрацию наших продуктов, где вы сразу же ощутите преимущества нашего отмеченного наградами шифрования данных.

Узнайте больше о наших продуктах и ​​начните правильно защищать свои данные, чтобы вы могли сосредоточиться на развитии своего бизнеса, а не на последствиях уязвимостей данных.

TKIP против AES: объяснение протоколов безопасности Wi-Fi

При настройке маршрутизатора дома или на работе вы наверняка столкнулись с несколькими вариантами выбора стандарта безопасности для подключения к Wi-Fi. WEP, WPA, WPA2, CCMP, EMP, TKIP, AES… список длинный, если он сбивает с толку. Хотя варианты (почти) всегда полезны, обычному пользователю Интернета сложно выбрать один, особенно когда большинство из нас не знает, чем один стандарт отличается от другого.Что ж, тем, кто не знает, следует придерживаться протокола WPA2, поскольку это наиболее широко используемый стандартный протокол безопасности WiFi. Однако WPA2 использует два разных типа шифрования; AES и TKIP. В этой статье мы узнаем немного больше о каждом из них, чтобы помочь вам решить, какой из них выбрать.

Что такое TKIP?

TKIP, или протокол целостности временного ключа, был введен в первые годы этого тысячелетия в качестве временной меры безопасности для замены старого и изначально небезопасного стандарта шифрования WEP (Wired Equivalent Privacy), который широко использовался на раннем оборудовании Wi-Fi, которое использовалось запущен в конце 1990-х — начале 2000-х годов.Хотя TKIP должен был быть, по крайней мере, относительно более защищенным, чем WEP, стандарт с тех пор устарел в версии Wi-Fi 802.11 2012 года после того, как было обнаружено явных лазеек в безопасности , которые могут быть использованы хакерами, большая проблема. Это потому, что TKIP использует тот же базовый механизм, что и WEP, и, следовательно, в равной степени уязвим для атак. При этом некоторые из новых функций безопасности, реализованных в стандарте WPA-PSK (TKIP), такие как хеширование ключей для каждого пакета, ротация широковещательного ключа и счетчик последовательностей, означают, что он смог устранить некоторые из слабых мест WEP, подобно печально известным атакам восстановления ключей, которым был подвержен старый стандарт, хотя протокол имеет собственные значительные уязвимости.

Что такое AES?

Сокращенно от Advanced Encryption Standard, AES — это набор шифров, который доступен с размером блока 128 бит и длиной ключа 128, 192 или 256 бит в зависимости от оборудования. Хотя он поставляется со своим багажом, это гораздо более защищенный протокол , который заменяет устаревший протокол DES (стандарт шифрования данных), который был первоначально опубликован еще в 1970-х годах. В отличие от своего предшественника, AES не использует сеть Fiestel, а вместо этого использует принцип проектирования, известный как сеть замещения-перестановки, в качестве основы для своего алгоритма блочного шифрования.Это стандарт шифрования , выбранный федеральным правительством США , и единственный общедоступный шифр, одобренный Агентством национальной безопасности страны (АНБ). Хотя некоторые криптографы время от времени представляли доказательства предполагаемых уязвимостей в AES, все они оказались непрактичными или неэффективными по сравнению с полной реализацией AES-128.
Изображение предоставлено: D-Link

WPA, WPA2, WEP: как насчет этих сокращений?

У вас есть возможность использовать либо TKIP, либо AES с большинством маршрутизаторов, доступных сегодня на рынке, но как насчет всех этих надоедливых сокращений, таких как WPA, WPA2, WEP, PSK, Enterprise, Personal и т. Д.так далее.? Для начала вам необходимо запомнить одну вещь: WEP или Wired Equivalent Privacy — это протокол десятилетней давности, который оказался чрезвычайно уязвимым , поэтому его следует отправить в анналы истории. где он принадлежит. WPA (Wi-Fi Protected Access), пришедший на смену WEP, является более новым протоколом, который является относительно более безопасным, хотя, как было показано, также оказался исключительно неэффективным против компетентных хакеров.
Изображение предоставлено: LinkSys

Самый новый и наиболее защищенный протокол WPA2 , который стал отраслевым стандартом в середине последнего десятилетия, должен быть алгоритмом безопасности по умолчанию практически для всего оборудования Wi-Fi, выпущенного в 2006 г., когда стандарт стал обязательно для всех новых устройств Wi-Fi .Хотя старый WPA был разработан с учетом обратной совместимости со старым оборудованием Wi-Fi, защищенным с помощью WEP, WPA2 не работает со старыми сетевыми картами и устаревшими устройствами.

Разница между Personal, Enterprise и WPS

Некоторые из вас могут задаться вопросом о еще нескольких запутанных акронимах, с которыми вам придется иметь дело при настройке маршрутизатора. Таким образом, режимы Personal и Enterprise представляют собой не столько разные протоколы шифрования, сколько механизмы распределения ключей аутентификации, чтобы различать конечных пользователей.Персональный режим, также называемый PSK или предварительный общий ключ, в первую очередь предназначен для домашних сетей и сетей малого офиса и не требует сервера аутентификации. По большей части, все, что вам нужно, это пароль для входа в эти сети.

Корпоративный режим, с другой стороны, предназначен в первую очередь для корпоративных сетей , и, хотя он обеспечивает дополнительную безопасность, он также требует гораздо более сложной настройки. Для этого требуется сервер аутентификации RADIUS для проверки каждого входа в систему, а для аутентификации используется EAP (Extensible Authentication Protocol).Персональный и корпоративный режимы доступны как с WPA, так и с WPA2, как видно из приведенного выше изображения нашей страницы настройки LinkSys EA7300.
Изображение предоставлено: D-Link

Существует также другой механизм распределения ключей аутентификации, называемый WPS (Wi-Fi Protected Setup), но он, как было доказано, имеет несколько проблем безопасности, включая так называемую уязвимость восстановления контактов Wi-Fi, которая могла потенциально позволяет удаленным злоумышленникам восстановить PIN-код WPS, тем самым позволяя им довольно легко расшифровать пароль Wi-Fi маршрутизатора.

TKIP против AES против TKIP / AES: как выбрать правильный вариант?

К настоящему времени вы уже знаете, что между стандартами TKIP и AES нет реальных споров. Это связано с тем, что, в отличие от старого, устаревшего протокола, не существует задокументированного практического взлома, который позволил бы удаленному злоумышленнику прочитать данные, зашифрованные с помощью AES. Однако, учитывая, что некоторые маршрутизаторы на самом деле предлагают вам запутанную опцию «TKIP / AES», многие из вас могут задаться вопросом, есть ли какие-то преимущества в выборе этого вместо AES. Итак, вот в чем дело. Смешанный режим TKIP / AES предназначен только для обратной совместимости с устаревшим оборудованием Wi-Fi прошлой эпохи, поэтому, если вы не используете какое-либо такое устройство, эксперты по кибербезопасности рекомендуют вам использовать WPA2-PSK / Personal ( AES) каждый раз . В случае, если у вас есть старое (я имею в виду на самом деле старое) оборудование Wi-Fi, которое было запущено без AES, конфигурация смешанного режима WPA / WPA2 (TKIP / AES) может быть необходимым злом, к которому вам нужно прибегнуть, но помните, что это также может сделать вас уязвимым для нарушений безопасности благодаря всем дырам в безопасности, обнаруженным в протоколах WPA и TKIP.

Если усиленной безопасности недостаточно, чтобы убедить вас в преимуществах использования стандарта WPA2 (AES), возможно, следующая информация убедит вас сделать это. Использование WPA / TKIP для совместимости также означает, что вы получите относительно более медленное соединение . Вы действительно не заметите этого, если вы все еще застряли на более медленных соединениях, но многие современные сверхбыстрые маршрутизаторы, поддерживающие 802.11n / ac, будут поддерживать только скорости до 54 Мбит / с в смешанном режиме, так что Ваше дорогое гигабитное соединение все равно будет понижено до 54 Мбит / с, если вы используете шифрование в смешанном режиме.В то время как 802.11n поддерживает до 300 Мбит / с с WPA2 (AES), 802.11ac может поддерживать теоретические максимальные скорости до 3,46 Гбит / с в диапазоне 5 ГГц, хотя практические скорости, вероятно, будут намного ниже.

СМОТРИ ТАКЖЕ: Как настроить Linksys Smart WiFi Router

TKIP VS AES: лучшая безопасность для вашей сети Wi-Fi

Как конечный пользователь, вы должны помнить одну вещь: если на странице настройки вашего маршрутизатора просто написано WPA2, это почти неизбежно означает WPA2-PSK (AES).Точно так же WPA без каких-либо других сокращений означает WPA-PSK (TKIP). Некоторые маршрутизаторы предлагают WPA2 как с TKIP, так и с AES, и в этом случае, если вы действительно не собираетесь использовать устаревшее устройство в сети, вам лучше не использовать TKIP. Практически все ваше оборудование Wi-Fi за последнее десятилетие будет работать с WPA2 (AES), и вы получите для него более быструю и безопасную сеть. Как это по выгодной цене? Поэтому, если у вас есть какие-либо дополнительные сомнения по этому поводу или на странице настройки вашего маршрутизатора есть вариант, который мы здесь не рассмотрели, оставьте сообщение в разделе комментариев ниже, и мы сделаем все возможное, чтобы вернуться к вам.

WPA2 AES против TKIP — Видео и стенограмма урока

Протокол целостности временного ключа

Если вы покопаетесь в настройках своего маршрутизатора Wi-Fi, вы можете столкнуться с выбором, использовать ли TKIP или AES с вашим сеть. Хотя оба стандарта значительно лучше старого стандарта WEP, между ними есть некоторые важные различия.

Чтобы увидеть различия в действии, посмотрим на Боба, внештатного ИТ-консультанта. Его наняли для установки сети Wi-Fi в небольшом офисе.Это небольшое юридическое бюро будет поддерживать людей, которым необходимо использовать свои ноутбуки, планшеты и смартфоны для подключения. Поскольку их работа связана с конфиденциальной информацией, безопасность вызывает серьезную озабоченность. Давайте проследим за ним, пока он настраивает новый маршрутизатор.

TKIP , или протокол целостности временного ключа, представляет собой метод шифрования, предназначенный для замены старого протокола Wired Equivalent Privacy или WEP. WEP был стандартом шифрования, который использовался в раннем оборудовании Wi-Fi, появившемся на рынке в конце 1990-х — начале 2000-х годов.

Первое, что делает Боб, открывая настройки Wi-Fi, — это смотрит на метод шифрования, который использует сеть. Он считает, что TKIP и WEP указаны как два варианта, но как профессионал он знает, что ему не следует использовать ни один из них.

WEP, предназначенный для поддержания безопасности в сетях Wi-Fi путем шифрования проходящего через них трафика, оказался тривиально простым для взлома. Это означало, что хакеру не потребуется никаких усилий, чтобы увидеть все в сети: имя пользователя, пароли, содержимое электронной почты и мгновенные сообщения.Очевидно, это большая проблема, особенно в публичных сетях.

По этой причине Wi-Fi Alliance в 2003 году официально отказался от WEP в пользу WPA. Это означало, что его больше не рекомендовали к использованию, но он все еще был доступен. Современные устройства Wi-Fi по-прежнему поддерживают WEP.

Если WEP настолько небезопасен, почему так много маршрутизаторов все еще указывают его как вариант? Простая причина — обратная совместимость. Несмотря на то, что Wi-Fi был относительно новым, уже было много устройств, использующих WEP.Для предприятий и потребителей было бы слишком дорого избавляться от своих старых устройств.

Первая версия WPA использовала TKIP как способ гарантировать, что эти устройства смогут быть переведены с WEP на более новый, более безопасный стандарт. Хотя в теории это была отличная идея, на практике обратная совместимость с устройствами WEP приводит к еще большим проблемам с безопасностью, что приводит к тому, что она также устарела.

Одно из преимуществ TKIP перед WEP состоит в том, что он шифрует каждый пакет уникальным ключом, а это означает, что если злоумышленник расшифровывает один пакет, остальная часть потока становится бесполезной.Требуются определенные усилия, чтобы расшифровать ключ для одного пакета, а это для всего трафика займет много времени.

Выбор лучших протоколов безопасности маршрутизатора для вашей защиты

Хотите, чтобы хакеры и хакеры не могли получить доступ к вашей сети Wi-Fi и вашим личным данным? Вам нужно будет установить правильные протоколы безопасности в вашем маршрутизаторе. Но буквы и цифры, которые вы найдете в параметрах безопасности вашего маршрутизатора, могут сбивать с толку.
Не паникуйте. В этой статье вы найдете все, что вам нужно знать о WEP, WPA и WPA2.

Что такое WEP, WPA и WPA2?

С 1990 года в протоколах безопасности Wi-Fi произошли значительные улучшения. Развитие технологий привело к появлению более безопасных протоколов безопасности, которые не позволяют большему количеству людей получить доступ к вашей личной информации.

Wired Equivalent Privacy (WEP)

Wired Equivalent Privacy (также известный как WEP) является наиболее часто используемым протоколом безопасности. Но почему так? Во-первых, он самый старый, поэтому совместим практически с любым роутером.
Впервые ратифицирован в 1999 г., даже самые ранние версии WEP не были стабильными. Он начинался с 64-битного шифрования, но сегодня он может перейти на 256-битное шифрование (хотя большинство машин по-прежнему используют 128-битное шифрование). Это означает, что ваш маршрутизатор использует 256-битный ключ (например, алгоритм) для шифрования данных или файлов, чтобы никто другой не мог их прочитать.
К сожалению, в протоколе WEP есть много недостатков, которые могут поставить под угрозу вашу безопасность. В 2005 году ФБР смогло взломать 128-битный ключ WEP примерно за три минуты.Затем, в 2008 году, компаниям, использующим основные кредитные карты, было запрещено использовать шифрование WEP еще в 2008 году.

Защищенный доступ Wi-Fi (WPA)

Защищенный доступ Wi-Fi (также известный как WPA) является основным замена протокола WEP. В 2003 году Wi-Fi Alliance представил WPA как временное решение для ограниченной защиты, предлагаемой WEP. Его наиболее распространенная конфигурация — WPA-PSK. Использование 256-битного ключа — более надежная мера безопасности маршрутизатора по сравнению с WEP.
Что еще делает его более безопасным?
Для начала в WPA добавлена ​​поддержка шифрования Temporal Key Integrity Protocol (TKIP). Это означает, что он способен определять, взламывает ли кто-то другой и изменяет ли информацию, которая проходит через маршрутизатор.
WPA также имеет проверки целостности сообщений (MIC), которые могут определить, перехватил ли кто-то или изменил пакеты данных от точки доступа к клиенту.
Хотя WPA был более безопасным, чем предыдущий протокол, уязвимости все же существуют. Это связано с тем, что производителям необходимо было по-прежнему использовать старые оболочки маршрутизаторов.Но старые маршрутизаторы не обладали необходимыми возможностями для правильной работы WPA. Это привело к переработке некоторых элементов системы WEP.

Защищенный доступ Wi-Fi II (WPA2)

Защищенный доступ Wi-Fi II (также известный как WPA2) был выпущен в 2006 году для замены протокола WPA. WPA2 также представил режим Counter Cipher Mode с протоколом кода аутентификации сообщений с цепочкой блоков (CCMP), который заменил TKIP.
WPA2 по-прежнему имеет уязвимости, но производители быстро предоставляют обновления для защиты от них.Как пользователь, вы также должны обновить свое устройство этими исправлениями безопасности, как только они выйдут.

AES или TKIP

Advanced Encryption Standard (AES) — это стандарт шифрования, установленный правительством США в 2001 году для защиты секретной информации.
TKIP — это более старая версия, а AES — более новая версия. В конечном итоге AES более безопасен.

Итак, Какой вариант безопасности маршрутизатора выбрать?

Вот список протоколов безопасности, ранжированных от самых безопасных до наименее безопасных:

  1. WPAWPA2-PSK (TKIP / AES) — наиболее безопасный вариант, но недоступен на большинстве маршрутизаторов
  2. WPA2-PSK (AES) — Самый безопасный вариант для большинства маршрутизаторов
  3. WPA2-PSK (TKIP) — Все еще можно использовать, минимальная безопасность
  4. WPA-PSK (AES) — Все еще можно использовать, минимальный уровень безопасности
  5. WPA-PSK (TKIP) — Не очень безопасен
  6. WEP 128 — Опасно
  7. WEP 64 — Высоко рискованно
  8. Открытая сеть или вообще без пароля — Нет защиты

WPA2 и AES — лучшие настройки для защиты вашего Wi-Fi-соединения от хакеров.Если хакеры смогут взломать вашу сеть, они могут украсть важную информацию, например банковские реквизиты или даже вашу личность.
Использование открытой сети означает, что у вас не будет пароля, поэтому любой может получить доступ к вашему Wi-Fi и всем устройствам в вашей сети.
Убедитесь, что вы покупаете маршрутизатор с максимально возможным уровнем безопасности. Теперь, когда вы знаете, почему WPA2 является наиболее безопасным, примените его к своему маршрутизатору, чтобы улучшить защиту вашей онлайн-информации.

Как установить протоколы безопасности Wi-Fi

  1. Введите IP-адрес вашего маршрутизатора в строку поиска веб-браузера.
  2. Введите имя пользователя и пароль вашего маршрутизатора.
  3. Перейти к беспроводной безопасности. Эта вкладка или страница в вашем маршрутизаторе может называться иначе.
  4. Выберите протокол безопасности.

Хотите узнать больше способов защитить свой маршрутизатор? Ознакомьтесь с нашей предыдущей статьей здесь.

следует использовать WPA2-AES, WPA2-TKIP или оба?

Многие маршрутизаторы предоставляют WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP / AES). Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access II (WPA2) — основные алгоритмы безопасности, которые вы увидите при настройке беспроводной сети.WEP — самый старый алгоритм безопасности Wi-Fi, поэтому в нем больше дыр в безопасности. WPA улучшил безопасность, но теперь также считается уязвимым. Хотя WPA2 не идеален, в настоящее время это самый безопасный вариант. Протокол целостности временного ключа (TKIP) и расширенный стандарт шифрования (AES) — это два разных типа шифрования, используемых в защищенных сетях WPA2. Посмотрим, насколько они разные и что лучше для вас.

  1. Безопасный WiFi с основных шагов

Сравнить AES и TKIP

TKIP и AES — это два разных типа шифрования, используемых в сетях Wi-Fi.На самом деле TKIP — это старый протокол шифрования, представленный с WPA для замены очень небезопасного шифрования WEP в то время. TKIP похож на шифрование WEP. TKIP больше не считается безопасным, поэтому вам не следует его использовать.

AES — это более безопасный протокол шифрования, представленный WPA2. AES также не является специальным стандартом, разработанным для сетей Wi-Fi. Однако это глобальный стандарт кодирования, который даже был принят правительством США. Например, при шифровании жесткого диска с помощью TrueCrypt он может использовать шифрование AES.AES часто считается вполне безопасным, и его основная слабость — это атака методом грубой силы (которая предотвращается с помощью надежного пароля Wi-Fi).

Краткая версия TKIP — это старый стандарт шифрования, используемый в стандарте WPA. AES — это новое решение для шифрования Wi-Fi, используемое в новом и безопасном стандарте WPA2. Однако, в зависимости от вашего маршрутизатора, выбора только WPA2 может быть недостаточно.

Хотя предполагается, что WPA2 использует AES для оптимальной безопасности, он также может использовать TKIP для обратной совместимости со старыми устройствами.В таком состоянии устройства, поддерживающие WPA2, будут подключаться к WPA2, а устройства, поддерживающие WPA, будут подключаться к WPA. Таким образом, «WPA2» не всегда означает WPA2-AES. Однако на устройствах без параметров «TKIP» или «AES» WPA2 часто является синонимом WPA2-AES.

PSK расшифровывается как pre-shared key — зашифрованный пароль. В отличие от WPA-Enterprise, используйте сервер RADIUS для генерации паролей в крупных корпоративных или государственных сетях Wi-Fi.

Объяснить Wi f i Режим безопасности

Вот параметры, которые пользователи могут видеть на своих маршрутизаторах:

  1. Открыть (с риском) : Открыть сеть Wi-Fi без пароля.Пользователи не должны настраивать открытую сеть Wi-Fi.
  2. WEP 64 ( в зоне риска ) : Старый стандарт протокола WEP очень уязвим, и вам действительно не следует его использовать.
  3. WEP 128 (с риском) : Это также протокол WEP, но с лучшим шифрованием. Однако он не совсем лучше, чем WEP 64.
  4. WPA-PSK (TKIP) : использование исходной версии протокола WPA (в основном WPA1). Он был заменен на WPA2 и не является безопасным.
  5. WPA-PSK (AES) : используйте исходный протокол WPA, но замените TKIP более современным шифрованием AES. Он предоставляется в качестве временной меры. Однако устройства, поддерживающие AES, почти всегда поддерживают WPA2, а устройства, требующие WPA, редко поддерживают шифрование AES. Так что этот вариант не имеет смысла.
  6. WPA2-PSK (TKIP) : используйте современный стандарт WPA2 со старым шифрованием TKIP. Этот стандарт также небезопасен и идеален только в том случае, если у вас есть старое устройство, которое не может подключиться к сети WPA2-PSK (AES).
  7. WPA2-PSK (AES) : это самый безопасный вариант. Он использует WPA2, стандарт шифрования Wifi и новейший протокол шифрования AES. Вам следует использовать эту опцию.
  8. WPAWPA2-PSK (TKIP / AES) : Некоторые устройства предлагают и даже предлагают этот вариант смешанного режима. Эта опция позволяет использовать WPA и WPA2 как с TKIP, так и с AES. Это обеспечивает максимальную совместимость с любым старым устройством, но также позволяет злоумышленникам взламывать более уязвимые протоколы WPA и TKIP.
  9. Сертификат

WPA2 доступен с 2004 года, 10 лет назад. В 2006 году сертификация WPA2 стала обязательной. Любое устройство, выпущенное после 2006 года со значком «Wi-Fi», должно поддерживать шифрование WPA2.

Поскольку вашему устройству с поддержкой Wi-Fi может быть более 8-10 лет, выбран только WPA2-PSK (AES). Выберите этот вариант и посмотрите, работает ли он. Если устройство не работает, вы можете его поменять. Если вас беспокоит безопасность Wi-Fi, вам следует купить новое устройство, произведенное с 2006 года.

WPA и TKIP будут замедлять W , если i

Параметры совместимости

WPA и TKIP также могут замедлять работу сетей Wi-Fi. Многие современные маршрутизаторы Wi-Fi поддерживают 802.11n и более новые стандарты, более быстрые стандарты снизят скорость до 54 Мбит / с, если вы включите WPA или TKIP. Это обеспечит их совместимость со старыми устройствами.

Стандарт

802.11n поддерживает скорость до 300 Мбит / с при использовании WPA2 с AES. Теоретически 802.11ac обеспечивает максимальную скорость 3,46 Гбит / с в оптимальных условиях.На большинстве маршрутизаторов, которые мы видим, обычно используются WEP, WPA (TKIP) и WPA2 (AES) — возможно, WPA (TKIP) + WPA2 (AES).

Если есть маршрутизатор, который обеспечивает WPA2 с TKIP или AES, выберите AES. Потому что с ним точно будут работать практически все устройства, причем быстрее и безопаснее.

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

2023 © Все права защищены. Карта сайта