Wpa wpa2 psk что такое: В чем разница между режимами WPA-Personal и WPA-Enterprise

Содержание

В чем разница между режимами WPA-Personal и WPA-Enterprise

WPA-Personal (WPA-PSK):

Данный режим подходит для большинства домашних сетей. Когда на беспроводной маршрутизатор или на точку доступа устанавливается пароль, он должен вводиться пользователями при подключении к сети Wi-Fi. 

 

 

В режиме PSK беспроводной доступ не может управляться индивидуально или централизованно. Один пароль распространяется на всех пользователей, и он должен быть вручную изменен на каждом беспроводном устройстве после того, как он вручную изменяется на беспроводном маршрутизаторе или на точке доступа. Данный пароль хранится на беспроводных устройствах. Таким образом, каждый пользователь компьютера может подключиться к сети, а также увидеть пароль. 

 

WPA-Enterprise (WPA-802.1x, RADIUS):

Данный режим предоставляет необходимую в рабочей среде защиту беспроводной сети. Данный режим сложнее в настройке и предлагает индивидуальное и централизованное управление доступом к вашей сети Wi-Fi.

Когда пользователи попытаются подключиться к сети, им понадобится предоставить свои учетные данные для аутентификации. 

Данный режим поддерживает аутентификацию по протоколу 802.1x через RADIUS-сервер и подходит в том случае, если установлен сервер RADIUS. Режим WPA-Enterprise должен использоваться исключительно в том случае, если для аутентификации устройств подключен сервер RADIUS. 

 

Пользователи фактически не имеют дела с ключами шифрования. Они создаются защищенно и назначаются во время каждой пользовательской рабочей сессии в фовом режиме после того, как пользователь предоставляет свои аутентификационные данные. Это не допускает извлечения пользователеми сетевого ключа из компьютера. 

 

Краткая сводка:

WPA-Personal является распространенным способом защиты беспроводных сетей и подходит для большинства домашних сетей. 

Был ли этот FAQ полезен?

Ваш отзыв поможет нам улучшить работу сайта.

Да Нет

Что вам не понравилось в этой статье?

  • Недоволен продуктом
  • Слишком сложно
  • Неверный заголовок
  • Не относится к моей проблеме
  • Слишком туманное объяснение
  • Другое

Как мы можем это улучшить?

Отправить

Спасибо

Спасибо за обращение
Нажмите здесь, чтобы связаться с технической поддержкой TP-Link.

WPA vs. WPA2 | Differbetween

Основное отличие в WPA2 заключается в том, что one использует улучшенный стандарт шифрования Advanced Encryption Standard (AES) вместо TKIP. AES har fått beskjed om innvirkning på nettet, noe som er viktig for å kunne tilby en gratis WiFi-versjon av Wi-Fi..

  1. В чем разница между WPA PSK og WPA2-PSK?
  2. Что такое WEP og WPA?
  3. Какую лучше установить защиту на вай фай?
  4. Что означает WPA WPA2?
  5. Что такое безопасность WPA2 PSK?
  6. Sånn мастроить маршрутизатор на использование WPA2?
  7. Sånn kan WPA?
  8. Что лучше WPA2 Personal eller Enterprise?
  9. Зто значит слабый уровень безопасности Wi-Fi?
  10. Как определить тип шифрования wi-fi?
  11. Какой тип подключения выбрать при настройке маршрутизатора?
  12. Как настроить роутер D Link DIR 615?

В чем разница между WPA PSK og WPA2-PSK?

В чём отличие WPA-PSK fra WPA2-PSK? Олавное отличие в том, что в WPA слабый протокол шифрования TKIP, and WPA2 основан on гораздо более надежном протоколе CCMP, испль Са современных компьютерах взломать WPA-PSK с TKIP можно за несколько минут.

Что такое WEP og WPA?

WPA og WPA2 (Wi-Fi Protected Access) — обновлённая программа сертификации устройств беспроводной связи. Tjenesten WPA tilbyr et utvalg av telefoner som tilbyr et gratis Wi-Fi-system WEP. Плюсами WPA явля тся усиленная безопасность данных og ужесточённый контроль доступа к б.

Какую лучше установить защиту на вай фай?

Распространенные типы шифрования беспроводных сетей: WEP, TKIP, WPA, WPA2 (AES / CCMP). Главное отличие между ними — уровень защиты. Мы рекомендуем WPA2, так как он самый надежный из предлагаемых.

Что означает WPA WPA2?

WPA был разработан как временная альтернатива WEP. Безопасная форма WPA использует шифрование TKIP, которое шифрует пароли для сетевой связи. Хотя это также более слабая форма безопасности, но она намного лучше, чем WEP. WPA2 utløp for uttaket av сетевой связи с полной безопасностью.

Что такое безопасность WPA2 PSK?

WPA / WPA2 — Personal (PSK) — это обычный способ аутентификации. Когда нужно задать только пароль (ключ) и потом использовать его для подключения к Wi-Fi сети. Используется один пароль для всех устройств. … И п п п п то п п п то,,,, ко ко ко ко ко R R R R R R R R R R R R R R R R R R R R R R R R R R.

Sånn мастроить маршрутизатор на использование WPA2?

Wастройка WPA / WPA2:

  1. Kontaktkomponenter к одному из четырех портов LAN маршрутизатора NETGEAR and помощью кабеля Ethernet.
  2. Выберите Настройки беспроводного соединения из меню «Настройки» в панели навигации слева. …
  3. В разделе Беспроводная сеть введите имя сети в поле Имя (SSID).

Sånn kan WPA?

Принцип работы WPA

Для управления ключами существует специальная иерархия, которая призвана предотвратить предсказуемость ключа шифрования Tлагодаря TKIP к ф ш для ф ф для для для для для для о о о о о о о о о о о о о о о ч ч ч ч.

Что лучше WPA2 Personal eller Enterprise?

WPA2 tilbyr tilbud om danske og konjunkturutvikling i bedriftene som er tilgjengelige for korrupsjon (WPA2-Enterprise) … Sånn som WPA2-tjenesten er tilgjengelig, kan du lese mer om Wi-Fi for å gjøre det enklere for Wi-Fi for å komme tilbake til nettet.

Зто значит слабый уровень безопасности Wi-Fi?

Зайти в меню «Настройки». Перейти в раздел «Wi-Fi». Здесь в верхней части экрана (под подключенной сетью) будет располагаться сообщение «Слабый уровень безопасност. Sånn at det ikke er noe å si, det er i det nye tilfellet, det vil si at det ikke er noe å gjøre, noe som er viktig for å gjøre det.

Как определить тип шифрования wi-fi?

Нажмите Свойства беспроводной сети. Откроется диалоговое окно Свойства беспроводной сети (SSID). Выберите вкладку «Безопасность». Åpningstider for spionering av innholdsstoffene Tipp безопасности, Tipp шифрования og Clлчч безопасности сети.

Какой тип подключения выбрать при настройке маршрутизатора?

В настройках маршрутизатора нужно будет выбрать PPPoE, указать логин and пароль, которые вам выдает провайдер. Так же, возможно, нужно будет задать статический IP адрес. PPTP og L2TP — похожие протоколы, при настройке которых нужно так же указывать имя и логин.

Как настроить роутер D Link DIR 615?

Настройка роутера D-Link DIR-615 K2

  1. Наберите в адресной строке браузера а д р р ро о,, о.
  2. В появившемся окне введите имя пользователя «admin» og пароль «admin», затем нажмите «Вход».
  3. Нажмите кнопку Расширенные настройки в правом нижнем углу.
  4. В поле Сеть выберите WAN .

Сравнение протоколов WEP, WPA и WPA2 (технические различия)

  • Категория: Разное

Защита точки доступа Wi-Fi очень важна, поскольку если она остается незащищенной, кто-то может украсть пропускную способность вашей сети, взломать вашу систему или совершить незаконные действия через вашу сеть. Протоколы Wi-Fi — это стандарты, которые были созданы для оптимизации связи Wi-Fi безопасным и безопасным способом. Протоколы WiFi шифруют данные при их передаче по сети. Человек без ключа дешифрования не может подключиться к сети и прочитать коммуникационную информацию.



Некоторые из известных протоколов WiFi включают WEP, WPA, WPA2 (Personal и Enterprise). В этой статье мы обсудим технические различия между этими протоколами и когда каждый из них следует использовать.

Краткое резюме Спрятать 1 Почему так важно знать об этих протоколах? 2 WEP против WPA против WPA2 Personal против WPA2 Enterprise 3 Безопасность и шифрование 4 Аутентификация 5 Скорость и производительность 6 Таблица сравнения WEP, WPA и WPA2 7 Заключение

Почему так важно знать об этих протоколах?

Все эти стандарты беспроводной связи созданы для обеспечения безопасности вашей домашней сети. У каждого из этих протоколов есть свои преимущества и недостатки. Выбор подходящего протокола остается за пользователем. Эта статья посвящена именно тому, чтобы узнать, какой протокол использовать и в какое время.



Следует иметь в виду, что беспроводная технология по своей сути небезопасна, поскольку мы не можем контролировать распространение беспроводных сигналов в воздухе. Вот почему важно выбрать лучший протокол безопасности, который минимизирует риск взлома или утечки данных.

WEP против WPA против WPA2 Personal против WPA2 Enterprise

Вместо того, чтобы обсуждать каждый протокол безопасности, мы обсудим три фактора и сравним протоколы в соответствии с этими факторами. Факторы включают безопасность, аутентификацию и производительность.

Безопасность и шифрование

WEP и WPA используют алгоритм RC4 для шифрования сетевых данных. RC4 по своей сути небезопасен, особенно в случае WEP, который использует небольшие ключи и управление ключами. Поскольку WEP отправляет пароли в виде обычного текста по сети, взломать сеть с помощью снифферов сетевых пакетов довольно просто.



WPA был разработан как временная альтернатива WEP. В безопасной форме WPA используется шифрование TKIP, которое шифрует пароли для сетевого взаимодействия. Хотя это тоже более слабая форма защиты, но она намного лучше, чем WEP.

WPA2 был разработан для сетевого взаимодействия с учетом полной безопасности. Он использует шифрование AES-CCMP, взлом которого теоретически может занять сотни лет. Все коммуникационные пакеты, отправленные и полученные через WPA2, зашифрованы.

Хотя WPA2 — лучшая форма безопасности, вы можете использовать WPA там, где устройства не совместимы с WPA2, и использовать WEP в крайнем случае, поскольку это все же лучше, чем полностью открытая сеть.

Аутентификация



Аутентификация — важная часть беспроводного сетевого взаимодействия. Он определяет, разрешено ли пользователю общаться с сетью или нет. Все три протокола безопасности, WEP, WPA и WPA2 используют девушка легкого поведения (Общий ключ) для аутентификации. В то время как WEP использует простой ключ PSK, WPA и WPA2 объединяют его с другими методами шифрования, такими как WPA-PSK и EAP-PSK, чтобы сделать процесс аутентификации более безопасным. Стандарт, которому следуют WPA и WPA2 для аутентификации, — 802.1x / EAP.

WPA и WPA2 используют 256-битное шифрование для аутентификации, что довольно безопасно. Но поскольку пользователи обычно испытывают трудности с установкой таких длинных паролей, парольная фраза может содержать от 8 до 65 символов, которая сочетается с EAP для шифрования и аутентификации.

Скорость и производительность



Первая мысль о скорости и производительности заключается в том, что, поскольку WEP использует простую аутентификацию и безопасность, он должен быть самым быстрым. Но это совершенно не соответствует действительности. Вместо того, чтобы использовать больше шифрования и безопасности, WPA2 кажется самым эффективным протоколом безопасности из всех. Это потому, что это позволяет передавать большую полосу пропускания между беспроводной точкой доступа и беспроводным устройством. Вы можете посмотреть следующее видео, в котором рассказывается об эксперименте по сравнению скорости и производительности этих трех протоколов, WEP, WPA и WPA2.

Таблица сравнения WEP, WPA и WPA2

Вот сравнительная таблица, чтобы вы могли легко проверить различия между WEP, WPA и WPA2.

Протокол Шифрование Аутентификация
WEPRC4PSK 64-битный
WPARC4 и TKIPPSK 128 и 256 бит
WPA2AES-CCMPAES-PSK 256 бит

Заключение

Мой окончательный вердикт: если у вас современное устройство, вам почти всегда следует использовать WPA2 и хорошие алгоритмы шифрования и аутентификации, так как это сделает вашу беспроводную сеть более безопасной. Но если у вас старое устройство, которое не поддерживает WPA2, вам следует использовать WPA с высоким уровнем шифрования и аутентификации. Третий вариант — использовать WPA и относительно низкое качество шифрования и аутентификации. Я бы посоветовал WEP в качестве последнего средства, поскольку это все же лучше, чем держать беспроводную сеть открытой без защиты.

Чем различаются протоколы WEP, WPA и WPA2?

Защита точки доступа WiFi очень важна, как если бы она оставалась небезопасной, кто-то может украсть вашу пропускную способность сети, может взломать вашу систему или сделать незаконную деятельность через вашу сеть. Протоколы WiFi — это стандарты, которые были созданы для обеспечения безопасного и безопасного доступа к беспроводной связи WiFi. Протоколы WiFi шифруют данные, когда они передаются в сети. Лицо без ключа дешифрования не может подключиться к сети и читать информацию о связи.

Некоторые из известных протоколов Wi-Fi включают WEP, WPA, WPA2 (Personal и Enterprise). В этой статье мы обсудим технические различия между этими протоколами и когда каждый из них будет использоваться.

Почему важно знать об этих протоколах?

Все эти стандарты беспроводной связи созданы для обеспечения безопасности вашей домашней сети. Каждый из этих протоколов имеет свои преимущества и недостатки. Пользователь должен выбрать подходящий протокол. Эта статья точно знает, какой протокол использовать в это время.

Следует иметь в виду, что беспроводная технология по своей сути небезопасна, поскольку мы не можем контролировать распространение беспроводных сигналов в воздухе. Вот почему важно выбрать лучший протокол безопасности, который минимизирует риск взлома или утечки данных.

WEP, WPA и WPA2 Сравнение протоколов (технические различия)

Защита точки доступа WiFi очень важна, как если бы она оставалась небезопасной, кто-то может украсть вашу пропускную способность сети, может взломать вашу систему или сделать незаконную деятельность через вашу сеть. Протоколы WiFi — это стандарты, которые были созданы для обеспечения безопасного и безопасного доступа к беспроводной связи WiFi. Протоколы WiFi шифруют данные, когда они передаются в сети. Лицо без ключа дешифрования не может подключиться к сети и читать информацию о связи.

Некоторые из известных протоколов Wi-Fi включают WEP, WPA, WPA2 (Personal и Enterprise). В этой статье мы обсудим технические различия между этими протоколами и когда каждый из них будет использоваться.

WEP против WPA против WPA2 Personal vs WPA2 Enterprise

Вместо обсуждения каждого протокола безопасности мы обсудим три фактора и сравним протоколы в соответствии с этими факторами. К факторам относятся безопасность, аутентификация и производительность.

Безопасность и шифрование

WEP и WPA используют алгоритм RC4 для шифрования сетевых данных. RC4 по своей сути небезопасен, особенно в случае WEP, который использует небольшие ключи и управление ключами. Поскольку WEP отправляет пароли в текстовом виде по сети, довольно просто взломать сеть, используя сетевые снифферы.

WPA был разработан как временная альтернатива WEP. Безопасная форма WPA использует шифрование TKIP, которое шифрует пароли для сетевой связи. Хотя это также более слабая форма безопасности, но она намного лучше, чем WEP.

WPA2 был разработан для сетевой связи с полной безопасностью. Он использует шифрование AES-CCMP, которое теоретически может занять сотни лет для взлома. Все пакеты связи, отправленные и полученные через WPA2, зашифрованы.

Хотя WPA2 — лучшая форма безопасности, вы можете использовать WPA, где устройства не совместимы с WPA2, и использовать WEP в качестве последнего средства, поскольку он все же лучше, чем полностью открытая сеть.

Аутентификация

Аутентификация является важной частью беспроводной сетевой связи. Он определяет, разрешено ли пользователю общаться с сетью или нет. Все три протокола безопасности, WEP, WPA и WPA2 используют PSK (предварительный общий ключ) для аутентификации. Хотя WEP использует простой ключ PSK, WPA и WPA2 объединяют его с другими методами шифрования, такими как WPA-PSK и EAP-PSK, чтобы сделать процесс аутентификации более безопасным. Стандарт WPA и WPA2 для аутентификации — 802.1x / EAP.

WPA и WPA2 используют 256-битное шифрование для аутентификации, которое достаточно безопасно. Но поскольку у пользователей, как правило, возникают трудности с установкой таких длинных паролей, кодовая фраза может составлять от 8 до 65 символов, которая сочетается с EAP для шифрования и аутентификации.

Скорость и производительность

Первая мысль о скорости и производительности заключается в том, что, поскольку WEP использует простую аутентификацию и безопасность, она должна быть самой быстрой. Но это полностью отличается от фактических цифр. Вместо использования большего количества шифрования и безопасности WPA2, по-видимому, является самым высокопроизводительным протоколом безопасности для всех. Это связано с тем, что он позволяет передавать большую пропускную способность между беспроводной точкой доступа и беспроводным устройством. Вы можете посмотреть следующее видео, в котором объясняется эксперимент сравнения скорости и производительности этих трех протоколов: WEP, WPA и WPA2.

Таблица сравнения WEP, WPA и WPA2

Вот сравнительная таблица для вас, чтобы легко проверить различия между WEP, WPA и WPA2.

ProtocolEncryptionAuthentication
WEPRC4PSK 64-bit
WPARC4 and TKIPPSK 128 & 256 bit
WPA2AES-CCMPAES-PSK 256 bit

Заключение

Мой последний вердикт заключается в том, что если у вас есть современное устройство, вы должны почти всегда использовать WPA2 и хорошие алгоритмы шифрования и аутентификации, поскольку это сделает вашу беспроводную сеть более безопасной. Но если у вас есть старое устройство, которое не поддерживает WPA2, тогда вы должны пойти с WPA с высоким уровнем шифрования и аутентификации. Третий вариант — перейти с WPA и относительно низким качеством шифрования и аутентификации. Я бы предложил WEP как выбор последнего средства, поскольку он по-прежнему лучше, чем просто поддерживать беспроводную сеть без безопасности.

Статьи по теме:

Безопасность беспроводной сети: WPA/WPA2 (рекомендовано) | Answer

В этой статье описывается процесс настройки  режима безопасности WPA/WPA2  на беспроводных маршрутизаторах NETGEAR. Подобным образом можно настроить точки доступа NETGEAR.

 

Настройка WPA/WPA2:

  1. Подключите компьютер к одному из четырех портов LAN маршрутизатора NETGEAR с помощью кабеля Ethernet.
  2. Log in to your NETGEAR router by browsing to
    http://192.168.1.1 or http://192.168.0.1 or http://www.routerlogin.net or http://www.routerlogin.com.

    Note: The URL changes by the product model. You can sometimes find the login URL and default login information on a sticker on the bottom or back of the router.

    Enter the username (admin) and password. By default, the password is password or 1234 (for older router models) unless it was previously changed.

    Шаги 3-7 см. на рис. A-1/A-2 ниже.

  3. Выберите Настройки беспроводного соединения из меню «Настройки» в панели навигации слева. 
    Примечание. На некоторых маршрутизаторах этот пункт может называться Беспроводные соединения.
  4. В разделе Беспроводная сеть введите имя сети в поле Имя (SSID).
  5. В разделе Параметры безопасности выберите WPA-PSK [TKIP] + WPA2-PSK [AES]
  6. В разделе Параметры безопасности (WPA-PSK + WPA2-PSK) введите сетевой пароль в поле Фраза-пароль.
    • ЗАПИШИТЕ или ЗАПОМНИТЕ  сетевое имя, параметры безопасности и фразу-пароль — они понадобятся вам для беспроводного подключения компьютеров и устройств к вашей сети.
  7. Нажмите Применить для сохранения изменений.

 

Примечание.

  • Для настройки двухполосных беспроводных маршрутизаторов может понадобиться отдельная настройка параметров диапазонов 2,4 ГГц (b/g/n) и 5 ГГц (a/n).
  • После настройки параметров безопасности сети вы можете обеспечить дополнительную защиту доступа к набору устройств при помощи списка доступа адаптеров беспроводной связи (также известного как ). Если устройство не добавлено в список контроля доступа, оно не сможет подключиться к вашей сети. 

 

Рис. A-1. Экран настроек беспроводного соединения на новых маршрутизаторах

Рис. A-2. Экран настроек беспроводного соединения на некоторых старых маршрутизаторах

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Обновлено:11/28/2016 | Article ID: 22292

Стандарт WPA3.

Безопасность WPA3 и отличия от WPA2

В прошлом году была найдена критическая уязвимость в WPA2 — протоколе безопасности, который использует примерно каждая первая точка доступа Wi-Fi. Взволновало это немногих — а зря! В сегодняшней статье я расскажу о новом протоколе WPA3, где атака KRACK больше не сработает, а заодно посмотрим и на другие существующие стандарты.

Еще по теме: Безопасность роутеров MikroTik

WPA, WPA2, WPA3

Прежде чем говорить о том, что нового в WPA3, нам придется вкратце пройтись по предыдущим протоколам, начиная с WEP. Вы, возможно, спросите, зачем рассказ об экскаваторах начинать с палки-копалки. Но все существующие протоколы безопасности WiFi (а их уже четыре) — это в той или иной степени надстройки над своими предшественниками. К тому же WEP до сих пор кое-где используется, и вспомнить о его существовании никому не помешает.

Безопасность WEP

Безопасность WEP обеспечивается, можно сказать теми же методами, что и защита в проводных сетях. Это и стало гвоздем в крышку его гроба. Если бы хакер хотел перехватить трафик Ethernet на физическом уровне, то ему пришлось бы проникнуть в квартиру или офис жертвы и залезть под стол. В случае с WiFi с WEP нужно всего лишь находиться в зоне приема сигнала.

Вы спросите: «а как же шифрование?» — и будете правы. Для шифрования трафика WEP используется ключевой поток, который получается из смешивания пароля и вектора инициализации (IV).

Формирование зашифрованного кадра в WEP

Вектор инициализации в WEP — это постоянно меняющееся 24-битное число. Может сложиться впечатление, что из-за постоянного изменения ключевого потока подобрать пароль становится невозможно.

Так думали и разработчики WEP, но этот метод шифрования в совокупности с возможностью перехватывать пакеты оказался ахиллесовой пятой WEP. С ростом вычислительных мощностей персональных компьютеров длина вектора инициализации стала недостаточной. Если долго собирать фреймы, то можно получить такие, для которых вектор инициализации будет одинаковым.

Таким образом, независимо от сложности ключа раскрыть любую передачу стало возможно после статистического анализа достаточного количества перехваченных пакетов (несколько десятков тысяч, что довольно мало для активно использующейся сети). Постепенно время взлома WEP свелось к минутам.

Безопасность WPA

Для решения проблемы альянс Wi-Fi предложил надстройку над WEP, которая позволяла устранить уязвимость без замены оборудования. Первой идеей была смена ключей. Что, если менять ключ до того, как база будет достаточной для атаки?

Были собраны все существовавшие на тот момент разработки, которые относились к стандарту IEEE 802.11i, и на их базе разработан стандарт WPA. Его основой стал протокол TKIP. Он значительно усиливал WEP с помощью двухуровневой системы векторов инициализации.

Идея работы алгоритма очень проста. Для каждого нового фрейма растет значение младшего вектора инициализации (как и ранее в стандарте WEP), но после прохождения всех комбинаций увеличивается значение старшего вектора инициализации и генерируется новый ключ. При смене ключа база статистики для взлома просто не успевает набраться.

Схема формирования ключевого потока для протокола WPA

Другим новшеством в WPA стала технология WPS, которая позволяет беспроводным устройствам упрощенно получить доступ к Wi-Fi при условии физического доступа к маршрутизатору. Она же и стала первой эксплуатируемой уязвимостью WPA. Еще одна занятная уязвимость скрывалась в особенности TKIP.

Для быстрого залатывания критических уязвимостей WEP было введено правило, по которому точка доступа обязана блокировать все подключения на 60 секунд, если получится засечь подбор ключа. Благодаря этой защите стала возможна атака Michael. Передача испорченных пакетов приводила к отключению всей сети. Причем в отличие от обычного DDoS тут достаточно всего двух (двух!) пакетов для гарантированного выведения сети из строя на одну минуту.

Справедливости ради надо отметить, что после обнаружения этих уязвимостей говорить о взломе WPA было еще нельзя. Достаточно отключить WPS, и перехватить данные будет невозможно. А наличие выбора между комфортом и безопасностью нельзя назвать критической уязвимостью протокола.

В 2006 году на надежности WPA окончательно поставили крест уязвимости, которые позволяют манипулировать сетью. Эти атаки основаны на знании некоторых данных в зашифрованных фреймах, например запросов ARP или фреймов для обеспечения QoS. Эксплоит позволяет читать данные, передаваемые от точки доступа клиентской машине, а также передавать поддельную информацию на клиентскую машину. Для реализации этой атаки необходимо, чтобы в сети использовался QoS.

Безопасность WPA2

К 2006 году WPA2 был уже реализован во многих беспроводных устройствах, и серьезной паники взлом его предшественника не вызвал. Кардинальным отличием WPA2 от предшественника стало индивидуальное шифрование данных каждого пользователя. В довесок он использовал более надежный алгоритм шифрования — AES.

Долгое время основными методами взлома маршрутизаторов, работавших по WPA2, был взлом PIN-кода при подключении через WPS или перехват рукопожатия и подбор ключа методом подбора «грубой силой». Обезопасить себя можно было, отключив WPS и установив достаточно сильный пароль. Поэтому до недавнего времени WPA2 считался надежным и всех устраивал.

В октябре 2017 года было опубликовано описание KRACK — способа взлома сетей Wi-Fi, использующих WPA2 (см. врезку). С этого момента эксперты стали считать протокол WPA2 ненадежным. Хотя тревожные звоночки были и раньше.

Атака KRACK

В октябре 2017 года была опубликована уязвимость в WPA2. И вот тут шума стало гораздо больше. Новый метод взлома назвали атакой с переустановкой ключа — key reinstallation attack, или сокращенно KRACK. Атака работает против всех современных сетей Wi-Fi, в зависимости от конфигурации сети также существует возможность манипулирования данными.

Реализовать атаку можно, воздействуя на четырехстороннее рукопожатие протокола WPA2. Такой хендшейк происходит, когда клиент подсоединяется к защищенной сети, — он подтверждает, что клиент и точка доступа имеют общие учетные данные. Один из этапов этого процесса — согласование нового ключа шифрования для всего будущего трафика между клиентом и сетью.

Не будем останавливаться на великом множестве ключей, которые участвуют в четырехстороннем рукопожатии. Для понимания процесса нам это и не надо. Первым и вторым рукопожатием маршрутизатор и клиент обмениваются загаданными ими случайными числами ANonce и SNonce и с их помощью вычисляют ключ сессии. После получения третьего пакета рукопожатия клиент устанавливает ключи шифрования и обнуляет счетчик инкремента пакетов nonce. Четвертым рукопожатием клиент отправляет маршрутизатору информацию о том, что ключи установлены и можно начинать обмен данными.

Атака реализуется следующим образом. Первоначально злоумышленнику необходимо похитить третий пакет рукопожатия. Этот пакет злоумышленник ретранслирует клиенту, что приводит к переустановке того же ключа и обнулению счетчика инкремента пакетов nonce. Счетчик nonce непосредственно участвует в создании ключевого потока, с помощью которого шифруются пакеты, отправляемые между клиентом и маршрутизатором.

Изменение nonce при обмене трафиком гарантирует формирование абсолютно разных ключевых потоков для всех передаваемых пакетов. Но в результате атаки следующий после переустановки ключа пакет, отправляемый клиентом, будет зашифрован тем же ключевым потоком, которым был зашифрован первый пакет. В чем опасность? Дело в том, что это возвращает нас к тем же проблемам, которые были у WEP.

Процесс четырехстороннего рукопожатия

В 2010 году была найдена уязвимость, известная под кодовым названием hole196. Почему 196? Пытались взломать и получилось со 196-го раза? Нет, просто на 196-й странице стандарта 802.11 нашлась информация о том, что для всех авторизованных в сети пользователей при широковещательных запросах используется одинаковый ключ шифрования.

Благодаря hole196 стали возможными давно известные атаки ARP/DHCP Spoofing. Уязвимость в свое время наделала достаточно шума, но назвать ее особенно критичной было нельзя. Почему? Во-первых, прежде чем вести атаку, нужно было авторизоваться в сети. Во-вторых, эта уязвимость лечится применением файрвола.

Что такое WPA3?

27 июня 2018 года альянс Wi-Fi объявил об окончании разработки нового стандарта безопасности — WPA3. Это одновременно и новый протокол безопасности, и название соответствующей программы сертификации.

Прежде чем на том или ином оборудовании появится лейбл «WPA3», ему необходимо будет пройти огромное количество тестов — это гарантирует корректную работу с другими устройствами, получившими ту же метку. С точки зрения пользователя стандарт WPA3 можно назвать и протоколом безопасности, но подразумевается под этим не аппаратная реализация, а соответствие нормативам.

Еще по теме: Взлом WiFi на Python

Отличия WPA3 от WPA2

Создатели WPA3 попытались устранить концептуальные недоработки, которые всплыли с появлением KRACK. Новый стандарт, как и во всех предыдущих случаях, основан на технологиях его предшественника. В анонсе WPA3 представители альянса Wi-Fi говорили о применении четырех новых технологий, призванных встать на защиту беспроводного соединения. Но в итоге лишь одна из них стала обязательной для реализации производителями.

Поскольку ключевая уязвимость скрывалась в четырехстороннем рукопожатии, в WPA3 добавилась обязательная поддержка более надежного метода соединения — SEA, также известного как Dragonfly. Технология SEA (Simultaneous Authentication of Equals) уже применялась в mesh-сетях и описана в стандарте IEEE 802.11s. Она основана на протоколе обмена ключами Диффи — Хеллмана с использованием конечных циклических групп.

SEA относится к протоколам типа PAKE и предоставляет интерактивный метод, в соответствии с которым две и более стороны устанавливают криптографические ключи, основанные на знании пароля одной или несколькими сторонами. Результирующий ключ сессии, который получает каждая из сторон для аутентификации соединения, выбирается на основе информации из пароля, ключей и MAC-адресов обеих сторон. Если ключ одной из сторон окажется скомпрометирован, это не повлечет компрометации ключа сессии. И даже узнав пароль, атакующий не сможет расшифровать пакеты.

Еще одним новшеством WPA3 будет поддержка PMF (Protected Management Frames) для контроля целостности трафика. Но в будущем поддержка PMF станет обязательной и для WPA2.

Не попали в сертификацию WPA3 программы Wi-Fi Easy Connect и Wi-Fi Enhanced Open. Wi-Fi Easy Connect позволяет реализовать упрощенную настройку устройств без экрана. Для этого можно использовать другое, более продвинутое устройство, уже подключенное к беспроводной сети. Например, параметры сети для датчиков и умной домашней утвари можно будет задавать со смартфона, сфотографировав QR-код на корпусе девайса.

Easy Connect основан на применении аутентификации по открытым ключам (в QR-коде передается открытый ключ) и может использоваться в сетях с WPA2 и WPA3. Еще одна приятная особенность Wi-Fi Easy Connect — возможность замены точки доступа без необходимости перенастраивать все устройства.

Wi-Fi Enhanced Open подразумевает шифрование всех потоков данных между клиентом и точкой доступа. Эта технология позволит защитить приватность пользователя в публичных сетях, где не требуется аутентификация. Для генерации ключей в таких сетях будет применяться процесс согласования соединения, реализуемый расширением Opportunistic Wireless Encryption.

Поддержка обеих технологий не обязательна для сертификации по WPA3, но производитель может при желании сам включить их поддержку в продукт.

Как и в WPA2, в WPA3 предусмотрено два режима работы: WPA3-Personal и WPA3-Enterprise.

  • WPA3-Personal обеспечит надежную защиту, в особенности если пользователь задал стойкий пароль, который нельзя получить словарным перебором. Но если пароль не совсем тривиальный, то должно помочь новое ограничение на число попыток аутентификации в рамках одного рукопожатия. Также ограничение не позволит подбирать пароль в офлайновом режиме. Вместо ключа PSK в WPA3 реализована технология SEA.
  • WPA3-Enterprise подразумевает шифрование на основе как минимум 192-разрядных ключей, соответствующих требованиям CNSA (они выработаны комитетом NSS для защиты правительственных, военных и промышленных сетей). Для аутентифицированного шифрования рекомендовано применение 256-разрядных ключей GCMP-256, для передачи и подтверждения ключей используется HMAC с хешами SHA-384, для согласования ключей и аутентификации — ECDH и ECDSA с 384-разрядными эллиптическими кривыми, для защиты целостности кадров — протокол BIP-GMAC-256.

Когда ждать WPA3?

Пока нет официальной информации об устройствах, которые смогут в будущем получить поддержку WPA3. Вряд ли стоит надеяться и на то, что во многих роутерах WPA3 появится после апдейта прошивки. В теории это возможно, но тогда производителям придется сертифицировать старые устройства. Скорее всего, делать этого они не будут и предпочтут потратить ресурсы на выпуск новых моделей.

На официальном сайте альянса Wi-Fi уже опубликован список устройств с поддержкой WPA3, но пока что их всего шесть штук. Однако наличие такого списка означает, что до появления WPA3 осталось ровно столько времени, сколько необходимо для интеграции протокола в новые устройства. По прогнозам альянса Wi-Fi, ожидается, что устройства с поддержкой WPA3 получат распространение на рынке в 2019 году вместе с устройствами с поддержкой Wi-Fi-802.11ax (или Wi-Fi 6 согласно новой схеме наименования).

Выводы

Тот факт, что WPA3 обратно совместим с WPA2, уже вызвал критику Мэти Ванхофа, автора атаки KRACK. Он считает, что в угоду совместимости с WPA2 альянс Wi-Fi принял недостаточные меры для усиления безопасности. Исследователи уверены, что найдется способ обхода PMF для принудительного отсоединения клиента от сети. Внедрение SEA хоть и усложнит проведение словарных атак, но не исключит их и лишь сделает более длительными, а для обхода защиты в открытых сетях атакующий по-прежнему сможет развернуть свою точку доступа и перехватывать трафик.

Также исследователь Дэн Харкинс положил начало бурным дебатам, связанным с Dragonfly, усомнившись в его надежности. И это уже не говоря о том, что Кевин Айгоу, председатель рабочей группы по криптостандартам, утверждающей Dragonfly, по слухам, работает в АНБ. Так что надежность SEA пока что под некоторым сомнением.

Но даже несмотря на все эти опасения, WPA3 — это очередной прорыв на пути к усилению безопасности беспроводных соединений. Найдется ли и в нем критическая брешь? Посмотрим!

Еще по теме: Как проверить свой роутер на уязвимость

WEP против шифрования WPA | Ответ

WEP и WPA — это стандарты шифрования данных, передаваемых по беспроводным (WiFi) сетям, для предотвращения прослушивания.

В этой статье объясняется теория WEP и WPA. Ответы по конкретным продуктам см. в разделе Устранение неполадок с беспроводными сетями

.
  • Шифрование WEP

      — WEP использует старый метод шифрования и может быть легко декодирован современными мощными компьютерами.Используйте этот режим только в том случае, если у вас очень старый устаревший беспроводной клиент, который не поддерживает WPA-PSK. Альянс Wi-Fi настоятельно рекомендует не использовать WEP и планирует сделать его устаревшим.

  • Шифрование WPA

    Шифрование WPA встроено во все оборудование, имеющее сертификат Wi-Fi. Эта печать означает, что продукт авторизован Wi-Fi Alliance (http://www.wi-fi.org/), поскольку он соответствует всемирному единому стандарту для высокоскоростных беспроводных локальных сетей.

    WPA-PSK использует гораздо более надежный алгоритм шифрования, чем WEP, поэтому его труднее декодировать. Этот параметр использует парольную фразу для выполнения аутентификации и создания начальных ключей шифрования данных. Затем он динамически изменяет ключ шифрования. WPA-PSK использует шифрование данных Temporal Key Integrity Protocol (TKIP), реализует большую часть стандарта IEEE 802.11i и предназначен для работы со всеми картами беспроводного сетевого интерфейса, но не со всеми точками беспроводного доступа. Он заменен WPA2-PSK.

    WPA2-PSK — самый сильный. Рекламируется, что он теоретически не поддается расшифровке из-за большей степени случайности в генерируемых им ключах шифрования. WPA2-PSK имеет более высокую скорость, потому что обычно реализуется аппаратно, а WPA-PSK обычно реализуется программно. WPA2-PSK использует парольную фразу для аутентификации и генерации начальных ключей шифрования данных. Затем он динамически изменяет ключ шифрования.

    Смешанный режим WPS-PSK + WPA2-PSK — это предварительно настроенный режим безопасности на маршрутизаторе с беспроводным модемом.NETGEAR рекомендует смешанный режим, поскольку он обеспечивает более широкую поддержку всех беспроводных клиентов. Клиенты WPA2-PSK получают более высокую скорость и безопасность, а клиенты WPA-PSK получают достойную скорость и безопасность. В документации по продукту для вашего беспроводного адаптера и клиентского программного обеспечения
    WPA должны быть инструкции по настройке их параметров WPA.

    WPA-802.1x представляет собой систему безопасности корпоративного уровня и требует наличия сервера аутентификации для распознавания и авторизации клиентского доступа. Сервер проверки подлинности называется службой удаленной проверки подлинности пользователей по телефонной линии (RADIUS).Каждый беспроводной клиент имеет логин пользователя на сервере RADIUS, а маршрутизатор с беспроводным модемом имеет логин клиента на сервере RADIUS. Передача данных шифруется автоматически сгенерированным ключом.

 

Сокращения:

WEP      Проводная эквивалентная конфиденциальность

WPA      Wi-Fi Защищенный доступ

 

Дополнительная информация:

Вики-ссылка WEP

Вики-ссылка WPA

Последнее обновление: 28.11.2016 | Код статьи: 20043

Что такое WPA-PSK/WPA2-PSK, TKIP и AES?

Тип алгоритмов безопасности и характеристики шифрования вашей сети Wi-Fi во многом определяют ее скорость и безопасность.

Вот почему жизненно важно, чтобы вы знали, что они из себя представляют, что они означают и что именно они делают.

Терминология

В статьях о сетевой безопасности термины «протокол», «стандарт» и «сертификация» и «программа» часто используются взаимозаменяемо, когда речь идет о шифровании. Например, то, что один источник, веб-сайт или лицо называет «протоколом», в другом месте может называться «стандартом».

В статьях по сетевой безопасности термины «протокол», «стандарт» и «сертификация» и «программа» часто используются как синонимы

Сначала мы рассмотрим программы сертификации . WPA, WPA2 и WPA3 — это три программы сертификации беспроводных сетей, которые мы будем обсуждать в этой статье. Их иногда называют стандартами шифрования.

Программы сертификации — в данном случае для сетей Wi-Fi — используют протоколы шифрования для защиты данных, передаваемых через данное соединение Wi-Fi. Примером может служить TKIP, протокол целостности временного ключа. То, как протоколы шифрования шифруют данные, определяется шифрами , которые по сути являются просто алгоритмами, формирующими процесс.Примером этого является AES (который, как ни странно, означает Advanced Encryption Standard).

Методы или механизмы аутентификации используются для проверки беспроводных клиентов, таких как Pre-Shared Key (PSK), который по существу представляет собой просто строку символов. В криптографии это называется «общим секретом» — это фрагмент данных, известный только объектам, участвующим в безопасной связи, для которой он используется. Примером PSK может быть пароль Wi-Fi, который может содержать до 63 символов и обычно инициирует процесс шифрования.

Программы сертификации безопасности

Все сети нуждаются в программах безопасности, сертификатах и ​​протоколах для обеспечения безопасности устройств и пользователей в сети. Для беспроводных сетей разработан ряд программ сертификации безопасности, включая WPA и WPA2.

Эквивалентная защита проводных сетей (WEP)

WEP был первоначальным алгоритмом безопасности беспроводной сети, и, как вы, вероятно, догадались по названию, он был разработан для обеспечения данной сети безопасностью проводной.WEP использует шифр RC4. Тем не менее, WEP совсем не безопасен, поэтому он редко используется и полностью устарел по сравнению с более поздними протоколами. Все в сети используют один и тот же ключ — форма статического шифрования — что означает, что каждый подвергается опасности, если один клиент будет взломан.

Защищенный доступ Wi-Fi (WPA)

 

WPA — это более современный и безопасный сертификат безопасности для беспроводных сетей. Тем не менее, по-прежнему уязвим для вторжения , и доступны более безопасные протоколы.Беспроводные сети, защищенные WPA, имеют предварительный общий ключ (PSK) и используют протокол TKIP, который, в свою очередь, использует шифр RC4 для целей шифрования, создавая WPA-PSK. Это также не самая безопасная программа для использования, потому что использование PSK в качестве краеугольного камня процесса сертификации оставляет вас с такими же уязвимостями, как и WEP.

Wi-Fi-Protected Access 2 (WPA2)

WPA2 — это еще один шаг вперед с точки зрения безопасности, в котором для шифрования используется шифр Advanced Encryption Standard (AES), т.е. много его шифрования.TKIP заменен на CCMP, основанный на обработке AES, что обеспечивает лучший стандарт шифрования. Существует как персональная версия (которая поддерживает CCMP/AES и TKIP/RC4), так и корпоративная версия (которая поддерживает EAP — расширяемый протокол аутентификации, а также CCMP). См. наше руководство по WPA2 для получения дополнительной информации об этом.

Защищенный доступ Wi-Fi 3 (WPA3)

 

WPA3 был разработан совсем недавно, за последние три года, а еще не получил широкого распространения .WPA3 также имеет варианты Personal и Enterprise и описывается Wi-Fi Alliance как имеющая:

Новые функции, упрощающие безопасность Wi-Fi, обеспечивающие более надежную отказоустойчивость критически важных сетей.

Шифры и протоколы

Выше мы рассмотрели, какие именно программы сертификации являются самыми современными, а также какие протоколы шифрования и шифры они используют для защиты беспроводных сетей.Здесь мы кратко рассмотрим, как они работают.

Шифры

Шифры, которые, как мы упоминали ранее, определяют процесс шифрования данных, являются важной частью защиты беспроводной сети. RC4 — сокращение от Rivet Cipher 4 — поточный шифр. Потоковые шифры шифруют данные по одному биту за раз, используя генератор псевдослучайных битов для создания 8-битного числа. Созданный еще в 1987 году, он на протяжении многих лет хвалился за свою скорость и простоту, но теперь признано, что он имеет несколько уязвимостей, которые делают его уязвимым, среди прочего, для атак типа «человек посередине».

Значительное улучшение произошло в виде AES, , который является аббревиатурой от Advanced Encryption Standard. AES — это симметричный блочный шифр. Он симметричен в том смысле, что для расшифровки информации используется только один ключ, и он классифицируется как «блочный» шифр, потому что он шифрует блоками битов, а не побитно, как потоковый шифр. Он использует ключи длиной 256 бит, что делает его практически непроницаемым для атак грубой силы (при существующей вычислительной мощности).Шифрование AES является федеральным стандартом шифрования США и считается самой надежной широко используемой формой из когда-либо созданных.

Протоколы шифрования

Протокол Temporal Key Integrity Protocol был разработан с учетом уязвимостей WEP. WEP использовал 64-битный или 128-битный ключ шифрования, который нужно было вводить на беспроводных точках доступа и устройствах вручную, а сам ключ никогда не менялся. TKIP, с другой стороны, реализует ключ для каждого пакета, что означает, что он динамически создает новый 128-битный ключ для каждого пакета данных.

Протокол кода аутентификации сообщений с цепочкой блоков шифра счетчика является шагом вперед по сравнению с TKIP в основном потому, что он использует шифр AES, свойства которого, обеспечивающие максимальную безопасность, обсуждались выше.

Различные комбинации и какая самая безопасная?

Ниже приведено краткое описание некоторых различных комбинаций беспроводных сетей, к которым вы регулярно подключаетесь, которые могут использоваться для обеспечения их безопасности.

53
Опция 57 Уровень безопасности
Открытая сеть Это те сеть, которую вы можете найти в кафе или снаружи на туристическом месте.Он не требует пароля, что означает, что любой может подключиться к сети. Очень рискованно 
WEP 64/128 Хотя WEP 128 более безопасен, чем WEP 64 (в нем используется ключ шифрования большего размера), они оба старые, устаревшие и, следовательно, уязвимые. Очень рискованно
WPA-PSK (TKIP) Это комбинация старой программы сертификации безопасности с устаревшим протоколом шифрования, поэтому она также не очень безопасна. Рискованный
WPA2-PSK
(TKIP)
Использование устаревшего протокола шифрования, который не является безопасным, сводит на нет цель использования WPA2, которая является безопасной программой сертификации Wi-Fi. Рискованный 
WPA2-PSK (AES) Это новейший шифр шифрования в сочетании с самой современной и безопасной программой сертификации, которые обеспечивают наиболее безопасный вариант беспроводной сети. Безопасный

WEP, WPA, WPA2 и WPA3: различия и объяснение

Безопасность беспроводной сети является важным аспектом обеспечения безопасности в Интернете. Подключение к Интернету через небезопасные ссылки или сети представляет собой угрозу безопасности, которая потенциально может привести к потере данных, утечке учетных данных и установке вредоносных программ в вашей сети. Использование надлежащих мер безопасности Wi-Fi имеет решающее значение, но при этом важно понимать различия между различными стандартами беспроводного шифрования, включая WEP, WPA, WPA2 и WPA3.

Wi-Fi Protected Access (WPA) — это стандарт безопасности для вычислительных устройств с беспроводным подключением к Интернету. Он был разработан Wi-Fi Alliance для обеспечения лучшего шифрования данных и аутентификации пользователей, чем Wired Equivalent Privacy (WEP), который был первоначальным стандартом безопасности Wi-Fi. С конца 1990-х типы безопасности Wi-Fi претерпели множество изменений, направленных на их улучшение.

Что такое WEP?

Поскольку беспроводные сети передают данные с помощью радиоволн, данные можно легко перехватить, если не будут приняты меры безопасности.Представленная в 1997 году технология Wired Equivalent Privacy (WEP) стала первой попыткой защиты беспроводных сетей. Цель состояла в том, чтобы повысить безопасность беспроводных сетей за счет шифрования данных. Если бы беспроводные данные были перехвачены, они были бы неузнаваемы для перехватчиков, поскольку они были зашифрованы. Однако авторизованные в сети системы смогут распознавать и расшифровывать данные. Это связано с тем, что устройства в сети используют один и тот же алгоритм шифрования.

WEP шифрует трафик с помощью 64- или 128-битного шестнадцатеричного ключа.Это статический ключ, что означает, что весь трафик, независимо от устройства, шифруется с помощью одного ключа. Ключ WEP позволяет компьютерам в сети обмениваться зашифрованными сообщениями, скрывая содержимое сообщений от злоумышленников. Этот ключ используется для подключения к беспроводной сети с поддержкой безопасности.

Одной из основных целей WEP было предотвращение атак типа «человек посередине», что он и делал какое-то время. Однако, несмотря на изменения в протоколе и увеличенный размер ключа, со временем в стандарте WEP были обнаружены различные недостатки безопасности.По мере увеличения вычислительной мощности преступникам стало легче использовать эти недостатки. Из-за своей уязвимости Wi-Fi Alliance официально отказался от WEP в 2004 году. Сегодня безопасность WEP считается устаревшей, хотя иногда она все еще используется — либо потому, что сетевые администраторы не изменили безопасность по умолчанию на своих беспроводных маршрутизаторах, либо потому, что устройства слишком стары для поддержки новых методов шифрования, таких как WPA.

Что такое WPA?

Затем появился WPA или защищенный доступ Wi-Fi.Этот протокол, представленный в 2003 году, стал заменой WEP от Wi-Fi Alliance. Он имел сходство с WEP, но предлагал улучшения в том, как он обрабатывает ключи безопасности и как авторизуются пользователи. В то время как WEP предоставляет каждой авторизованной системе один и тот же ключ, WPA использует протокол целостности временного ключа (TKIP), который динамически изменяет ключ, используемый системами. Это не позволяет злоумышленникам создать собственный ключ шифрования, соответствующий ключу, используемому в защищенной сети. Позже стандарт шифрования TKIP был заменен Advanced Encryption Standard (AES).

Кроме того, WPA включает проверки целостности сообщений, чтобы определить, перехватил ли злоумышленник или изменил пакеты данных. Ключи, используемые WPA, были 256-битными, что значительно больше, чем 64-битные и 128-битные ключи, используемые в системе WEP. Однако, несмотря на эти улучшения, стали использоваться элементы WPA, что привело к WPA2.

Иногда вы слышите термин «ключ WPA» по отношению к WPA. Ключ WPA — это пароль, который вы используете для подключения к беспроводной сети. Вы можете получить пароль WPA от любого, кто управляет сетью.В некоторых случаях на беспроводном маршрутизаторе может быть напечатана парольная фраза или пароль WPA по умолчанию. Если вы не можете определить пароль на своем маршрутизаторе, возможно, вы сможете сбросить его.

Что такое WPA2?

WPA2 был представлен в 2004 году и представлял собой обновленную версию WPA. WPA2 основан на механизме надежной сети безопасности (RSN) и работает в двух режимах:

  • Персональный режим или предварительный общий ключ (WPA2-PSK) — который использует общий пароль для доступа и обычно используется в домашних условиях.
  • Режим предприятия (WPA2-EAP) — как следует из названия, он больше подходит для использования в организациях или в бизнесе.

В обоих режимах используется протокол CCMP, который расшифровывается как Counter Mode Cipher Block Chaining Message Authentication Code Protocol. Протокол CCMP основан на алгоритме Advanced Encryption Standard (AES), обеспечивающем проверку подлинности и целостности сообщений. CCMP сильнее и надежнее оригинального протокола WPA Temporal Key Integrity Protocol (TKIP), что затрудняет обнаружение шаблонов злоумышленниками.

Однако у WPA2 все еще есть недостатки. Например, он уязвим для атак с переустановкой ключа (KRACK). KRACK использует уязвимость в WPA2, которая позволяет злоумышленникам изображать из себя сеть-клон и вместо этого заставлять жертву подключаться к вредоносной сети. Это позволяет хакеру расшифровать небольшой фрагмент данных, который может быть объединен для взлома ключа шифрования. Однако устройства можно исправлять, и WPA2 по-прежнему считается более безопасным, чем WEP или WPA.

Что такое WPA3?

WPA3 — это третья версия протокола защищенного доступа Wi-Fi.Wi-Fi Alliance представил WPA3 в 2018 году. WPA3 представил новые функции как для личного, так и для корпоративного использования, в том числе:

Индивидуальное шифрование данных : При входе в общедоступную сеть WPA3 регистрирует новое устройство с помощью процесса, отличного от общего пароля. WPA3 использует систему Wi-Fi Device Provisioning Protocol (DPP), которая позволяет пользователям использовать метки Near Field Communication (NFC) или QR-коды, чтобы разрешить устройствам подключаться к сети. Кроме того, безопасность WPA3 использует шифрование GCMP-256, а не ранее использовавшееся 128-битное шифрование.

Протокол одновременной аутентификации Equals : используется для создания безопасного рукопожатия, при котором сетевое устройство подключается к беспроводной точке доступа, и оба устройства взаимодействуют для проверки аутентификации и подключения. Даже если пароль пользователя слабый, WPA3 обеспечивает более безопасное рукопожатие с использованием Wi-Fi DPP.

Более надежная защита от атак методом грубой силы : WPA3 защищает от подбора пароля в автономном режиме, позволяя пользователю угадать только один раз, вынуждая пользователя напрямую взаимодействовать с устройством Wi-Fi, что означает, что они должны физически присутствовать каждый раз, когда они хотят угадать пароль.WPA2 не имеет встроенного шифрования и конфиденциальности в общедоступных открытых сетях, что делает атаки методом грубой силы серьезной угрозой.

Устройства

WPA3 стали широко доступны в 2019 году и обратно совместимы с устройствами, использующими протокол WPA2.

Какой тип безопасности у моего Wi-Fi?

Знание вашего типа шифрования Wi-Fi важно для безопасности вашей сети. Старые протоколы более уязвимы, чем новые, и, следовательно, с большей вероятностью станут жертвой попытки взлома. Это связано с тем, что старые протоколы были разработаны до того, как было полностью понято, как хакеры атакуют маршрутизаторы.В более поздних протоколах эти эксплойты исправлены, и поэтому считается, что они обеспечивают наилучшую безопасность Wi-Fi.

Как определить ваш тип безопасности Wi-Fi:

В Windows 10:

  • Найдите значок подключения к Wi-Fi на панели задач и нажмите на него
  • Затем нажмите Свойства под вашим текущим соединением Wi-Fi
  • Прокрутите вниз и найдите сведения о Wi-Fi в разделе Свойства
  • Под ним найдите Security Type , который показывает ваш протокол Wi-Fi

В macOS:

  • Удерживайте клавишу Option
  • Щелкните значок Wi-Fi на панели инструментов
  • Здесь будут показаны сведения о вашей сети, включая ваш тип безопасности Wi-Fi
  • .

В Android:

  • На телефоне Android перейдите в Настройки
  • Откройте категорию Wi-Fi
  • Выберите маршрутизатор, к которому вы подключены, и просмотрите сведения о нем
  • Это покажет, какой тип безопасности Wi-Fi у вашего соединения
  • Путь к этому экрану может отличаться в зависимости от вашего устройства

На iPhone:

К сожалению, в iOS нет возможности проверить безопасность вашего Wi-Fi.Если вы хотите проверить уровень безопасности вашего Wi-Fi, вы можете либо использовать компьютер, либо войти в маршрутизатор через телефон. Каждый маршрутизатор может быть разным, поэтому вам может понадобиться обратиться к документации, прилагаемой к устройству. В качестве альтернативы, если ваш интернет-провайдер настроил маршрутизатор, вы можете обратиться к нему за помощью.

WEP против WPA: в заключение

Если маршрутизатор незащищен, преступники могут украсть пропускную способность вашего интернет-трафика, осуществлять незаконные действия через ваше соединение, отслеживать ваши действия в Интернете и устанавливать вредоносное программное обеспечение в вашей сети.Таким образом, важным аспектом обеспечения безопасности вашего маршрутизатора является понимание различий между протоколами безопасности и внедрение наиболее продвинутого протокола, который может поддерживать ваш маршрутизатор (или его обновление, если он не поддерживает стандарты безопасности текущего поколения). В настоящее время WEP считается устаревшим стандартом шифрования Wi-Fi, и пользователям следует стремиться использовать более современные протоколы, где это возможно.

Другие шаги, которые вы можете предпринять для повышения безопасности маршрутизатора, включают:

  1. Изменение имени домашней сети Wi-Fi по умолчанию.
  2. Изменение имени пользователя и пароля вашего маршрутизатора.
  3. Обновление прошивки.
  4. Отключение удаленного доступа, Universal Plug and Play и защищенной настройки Wi-Fi.
  5. Использование гостевой сети, если это возможно.

Полное руководство по настройке безопасной домашней сети можно прочитать здесь. Один из лучших способов оставаться в безопасности в Интернете — это использовать современное антивирусное решение, такое как Kaspersky Total Security. Это работает круглосуточно и без выходных, чтобы защитить вас от хакеров, вирусов и вредоносных программ, а также включает инструменты конфиденциальности, чтобы защитить вас со всех сторон.

Статьи по теме:

WPA2-Enterprise и 802.1x Simplified

WPA2-PSK и WPA2-Enterprise: в чем разница?

WPA2-PSK

WPA2-PSK (Wi-Fi Protected Access 2 Pre-Shared Key) — это тип сети, которая защищена одним общий пароль для всех пользователей. Принято считать, что один пароль для доступа к Wi-Fi безопасен, но только настолько, насколько вы доверяете тем, кто его использует. В противном случае это тривиально для того, кто получил пароль через гнусные средства для проникновения в сеть.Вот почему WPA2-PSK часто считается ненадежный.

Существует всего несколько ситуаций, в которых следует развертывать WPA2-PSK:

  • В сети всего несколько устройств, и все они являются доверенными. Это может быть дом или небольшой офис.
  • Как способ запретить случайным пользователям присоединяться к открытой сети, если они не могут развернуть закрытый портал. Это может быть кофейня или гостевая сеть.
  • В качестве альтернативной сети для устройств, несовместимых с 802.1x. Например, игровые приставки в студенческое общежитие.

WPA3-PSK

Чтобы повысить эффективность PSK, обновления WPA3-PSK обеспечивают более надежную защиту за счет улучшения процесс аутентификации. Стратегия для этого использует одновременную аутентификацию равных (SAE), чтобы сделать атака по словарю методом перебора гораздо сложнее для хакера. Этот протокол требует взаимодействия со стороны пользователя при каждой попытке аутентификации, что приводит к значительному замедлению работы тех, кто пытается выполнить брутфорс. через процесс аутентификации.

WPA2-предприятие

Для развертывания WPA2-Enterprise требуется сервер RADIUS, который обрабатывает задачу аутентификации доступа пользователей сети. Фактический процесс аутентификации основан на 802.1x и поставляется в нескольких различных системах с пометкой EAP. Поскольку каждое устройство аутентифицируется перед подключается, между устройством и сетью эффективно создается персональный зашифрованный туннель.

WPA3-предприятие

Существенным улучшением, которое предлагает WPA3-Enterprise, является требование проверки сертификата сервера для быть настроен на подтверждение идентификации сервера, к которому подключается устройство.

Хотите узнать больше о WPA3? Узнайте подробности об изменениях, которые WPA3 готов внести в эту статью.

Ключевые выводы
  • WPA2-PSK — это простейшая форма безопасности аутентификации, и ее не следует использовать вне защиты домашние сети Wi-Fi.
  • WPA2-Enterprise требует сетевой инфраструктуры и несколько сложной конфигурации, но значительно безопаснее.
  • WPA3 все еще находится на предварительной стадии, и на данный момент WPA2-Enterprise является золотым стандартом для беспроводных сетей. безопасность.

Развертывание WPA2-Enterprise и 802.1x

Для работы стандарта 802.1x требуется всего несколько компонентов. На самом деле, если у вас уже есть точки доступа и немного свободного места на сервере, у вас есть все оборудование. необходимо, чтобы обеспечить безопасную беспроводную связь. Иногда вам даже не нужен сервер: некоторые точки доступа поставляются с встроенное программное обеспечение, которое может работать с 802.1x (хотя только для самых маленьких развертываний). Независимо от того покупаете ли вы профессиональные решения или создаете их самостоятельно с помощью инструментов с открытым исходным кодом, качество и простота 802.1x полностью зависит от дизайна.

Ключевые выводы
  • Лучший способ развернуть золотой стандарт беспроводной безопасности (WPA2-Enterprise с 802.1X) — это беспарольное решение, использующее цифровые сертификаты.
  • Свяжите свою облачную идентификацию с сетевой безопасностью, развернув WPA2-Enterprise для Wi-Fi и VPN аутентификация.

Компоненты 802.1x

Клиент / Соискатель

Чтобы устройство могло участвовать в аутентификации 802.1x, оно должно иметь часть программного обеспечения, называемую проситель, установленный в сетевом стеке. Соискатель необходим, так как он будет участвовать в начальное согласование транзакции EAP с коммутатором или контроллером и пакет учетных данных пользователя способом, соответствующим 802.1x. Если у клиента нет запрашивающей стороны, кадры EAP, отправленные из коммутатор или контроллер будут игнорироваться, и коммутатор не сможет пройти аутентификацию.

К счастью, почти все устройства, которые мы могли бы подключить к беспроводной сети, имеют запрашивающее устройство. встроенный. SecureW2 предоставляет запросчик 802.1x для устройств, у которых его нет изначально.

К счастью, подавляющее большинство производителей устройств имеют встроенную поддержку 802.1x. Самый распространенный исключениями могут быть потребительские устройства, такие как игровые приставки, развлекательные устройства или некоторые принтеры.Вообще говоря, эти устройства должны составлять менее 10% устройств в вашей сети и лучше всего рассматриваться как исключение, а не в центре внимания.

Ключевые выводы
  • Клиент содержит учетные данные пользователя и подключается к коммутатору/контроллеру, поэтому аутентификация процесс может инициироваться.

Коммутатор/точка доступа/контроллер

Коммутатор или беспроводной контроллер играет важную роль в 802.1x транзакция в качестве «брокера» в обмен. До успешной аутентификации у клиента нет подключения к сети, и только связь между клиентом и коммутатором в обмене 802.1x. Переключатель/контроллер инициирует обмен, отправляя пакет EAPOL-Start клиенту, когда клиент подключается к сеть. Ответы клиента перенаправляются на правильный сервер RADIUS в соответствии с конфигурацией в Настройки безопасности беспроводной сети.Когда аутентификация завершена, коммутатор/контроллер принимает решение следует ли авторизовать устройство для доступа к сети на основе статуса пользователя и, возможно, атрибутов содержится в пакете Access_Accept, отправленном с сервера RADIUS.

Если сервер RADIUS отправляет пакет Access_Accept в результате аутентификации, он может содержать определенные атрибуты, которые предоставляют коммутатору информацию о том, как подключить устройство к сети.Общий Атрибуты будут указывать, какую VLAN назначить пользователю, или, возможно, набор ACL (список управления доступом) user должен быть предоставлен после подключения. Это обычно называется «Назначение политик на основе пользователей», так как RADIUS сервер принимает решение на основе учетных данных пользователя. Распространенными вариантами использования были бы подталкивание гостевых пользователей к «Гостевая VLAN» и сотрудников в «Employee VLAN».

Ключевые выводы
  • Эти компоненты облегчают связь между устройством конечного пользователя и сервером RADIUS.
  • Они могут быть настроены с протоколами аутентификации с низким уровнем безопасности, такими как WPA-PSK, которые не требуют РАДИУС.
  • Переключатель — это место, где вы настраиваете сеть для использования 802.1x вместо WPA2-PSK.

RADIUS-сервер

Локальный или облачный сервер RADIUS выступает в качестве охрана» сети; когда пользователи подключаются к сети, RADIUS аутентифицирует их личность и авторизует их для использование сети.Пользователь получает авторизацию для доступа к сети после подачи заявки на сертификат от PKI. (Инфраструктура закрытых ключей) или подтвердив свои учетные данные. Каждый раз, когда пользователь подключается, RADIUS подтверждает, что у них есть правильный сертификат или учетные данные, и предотвращает доступ любых неутвержденных пользователей сеть. Ключевым механизмом безопасности, который следует использовать при использовании RADIUS, является проверка сертификата сервера. Это гарантирует, что пользователь подключается только к той сети, к которой он намеревается, настроив свое устройство для подтверждения личности RADIUS, проверив сертификат сервера.Если сертификат не тот, который ищет устройство поскольку он не будет отправлять сертификат или учетные данные для аутентификации.

Серверы

RADIUS также можно использовать для аутентификации пользователей из другой организации. В таких решениях, как Eduroam, серверы RADIUS работают как прокси (такие как RADSEC), так что если студент посещает соседний университет, сервер RADIUS может аутентифицировать его статус дома университет и предоставить им безопасный доступ к сети в университете, который они в настоящее время посещают.

Ключевые выводы
  • Серверы RADIUS служат в качестве «охранника» сети путем аутентификации клиентов, авторизации клиентов доступ и мониторинг активности клиентов.
  • Серверы RADIUS получают атрибуты от клиента и определяют соответствующий уровень доступа.

Магазин идентичности

Хранилище удостоверений относится к объекту, в котором хранятся имена пользователей и пароли.В большинстве случаев это Active Directory или, возможно, сервер LDAP. Почти любой RADIUS сервер может подключаться к вашему AD или LDAP для проверки пользователей. Есть несколько предостережений при использовании LDAP, в частности, о том, как пароли хэшируются на сервере LDAP. Если ваши пароли не хранятся в открытым текстом или хэшем NTLM, вам нужно будет тщательно выбирать методы EAP, поскольку некоторые методы, такие как EAP-PEAP, может быть несовместим. Это не проблема, вызванная серверами RADIUS, а скорее пароль хэш.

SecureW2 может помочь вам настроить SAML для аутентификации пользователей любого поставщика удостоверений для доступа к Wi-Fi. Здесь руководства по интеграции с некоторыми популярными продуктами.

Чтобы настроить аутентификацию SAML в Google Workspace, нажмите здесь.

Настройка WPA2-Enterprise с Okta, нажмите здесь.

Чтобы получить руководство по аутентификации SAML с использованием Shibboleth, щелкните здесь.

Чтобы настроить WPA2-Enterprise с ADFS, щелкните здесь.

Для разработки надежной сети WPA2-Enterprise требуются дополнительные задачи, такие как настройка PKI или CA. (Центр сертификации), чтобы беспрепятственно распространять сертификаты среди пользователей. Но вопреки тому, что вы могли бы думаю, вы можете сделать любое из этих обновлений без покупки нового оборудования или внесения изменений в инфраструктура. Например, развертывание гостевого доступа или изменение метода аутентификации может быть осуществляется без дополнительной инфраструктуры.В последнее время многие учреждения меняют методы EAP. с PEAP на EAP-TLS после заметного улучшения времени соединения и возможности роуминга или переключения с физического сервера RADIUS на облачное решение RADIUS. Улучшения функциональности беспроводных сетей можно добиться, не меняя ни одной аппаратной части.


Ключевые выводы
  • 802.1x включает только четыре основных компонента: клиент, коммутатор, сервер RADIUS и каталог
  • 802.1x требуется каталог, чтобы RADIUS мог идентифицировать каждого конечного пользователя и какой уровень доступа они разрешены.
  • Несмотря на то, что 802.1x состоит всего из нескольких компонентов, включить его невероятно сложно, и вы рискуете неправильная конфигурация при передаче настройки конечному пользователю.
  • Лучше всего интегрировать бортовое приложение, которое позволяет устройствам самообслуживаться с настройки 802.1х.

Протоколы WPA2-Enterprise

Далее следует краткий обзор основных протоколов аутентификации WPA2-Enterprise.Если вы хотите более подробное сравнение и противопоставление, читайте полноценная статья.

EAP-TLS

EAP-TLS — это протокол на основе сертификатов, который считается одним из самых безопасных стандартов EAP. потому что это устраняет риск кражи учетных данных по воздуху. Это также протокол, который обеспечивает лучший пользовательский интерфейс, поскольку он устраняет отключения, связанные с паролем из-за политик смены пароля. в Раньше существовало ошибочное мнение, что аутентификацию на основе сертификатов сложно настроить и/или контролировать, но теперь многие считают, что EAP-TLS проще в настройке и управлении, чем другие протоколы.
Хотите узнать больше о преимуществах EAP-TLS и о том, как SecureW2 может помочь вам внедрить его в вашу собственную сеть? Нажмите на ссылку!

EAP-TTLS/PAP

EAP-TTLS/PAP — это протокол на основе учетных данных, который был создан для упрощения настройки, поскольку требует только сервер для аутентификации, в то время как аутентификация пользователя не является обязательной. TTLS создает «туннель» между клиент и сервер и дает вам несколько вариантов аутентификации.

Но TTLS содержит много уязвимостей. Процесс настройки может быть сложным для неопытных сетевых пользователей, а одно неправильно настроенное устройство может привести к значительным потерям для организации. протокол позволяет отправлять учетные данные по воздуху в открытом виде, что может быть уязвимо для кибератак. как Man-In-The-Middle и легко перепрофилируется для достижения целей хакера.

Если вы хотите узнать больше об уязвимостях TTLS-PAP, Читай полную статью здесь.

PEAP-MSCHAPv2

PEAP-MSCHAPv2 — это протокол на основе учетных данных, разработанный Microsoft для Active Directory. среды. Хотя это один из самых популярных методов аутентификации WPA2-Enterprise, PEAP-MSCHAPv2 не требует настройки проверки сертификата сервера, оставляя устройства уязвимы для кражи учетных данных по воздуху. Неправильная конфигурация устройства, если оставить ее на усмотрение конечных пользователей, относительно распространено, поэтому большинство организаций полагаются на Onboarding Software для настройки устройств для PEAP-MSCHAPv2.Прочитайте, как этот топ Университет перешел с аутентификации PEAP-MSCHAPv2 на EAP-TLS, чтобы обеспечить более стабильную аутентификация для пользователей сети.
Дополнительные сведения о протоколе PEAP MSCHAPv2 см. в этой статье.

Ключевые выводы
  • Протоколы WPA2-Enteprise могут либо основываться на учетных данных (EAP-TTLS/PAP и PEAP-MSCHAPv2), либо на основе сертификата (EAP-TLS)
  • EAP-TLS — это протокол аутентификации на основе сертификатов, рекомендуемый такими титанами отрасли, как Майкрософт и НИСТ.
  • Специалисты по безопасности не рекомендуют использовать протоколы аутентификации на основе учетных данных, такие как TTLS/PAP и MSCHAPv2. и вместо этого интегрировать протоколы аутентификации без пароля.

Методы аутентификации 802.1x

Прежде чем пользователи смогут повседневно аутентифицироваться для доступа к сети, они должны быть подключены к безопасному сеть. Адаптация — это процесс проверки и утверждения пользователей, чтобы они могли подключиться к защищенной сети. используя форму идентификации, такую ​​как имя пользователя/пароль или сертификаты.Этот процесс часто становится существенное бремя, поскольку пользователям требуется настроить свои устройства для работы в сети. Для обычного пользователей сети, этот процесс может оказаться слишком сложным, поскольку он требует высокого уровня знаний в области ИТ для понять шаги. Например, университеты в начале учебного года испытывают это, когда подключение сотен или даже тысяч студенческих устройств, что приводит к длинным очередям обращений в службу поддержки. Адаптированные клиенты предлагают простую в использовании альтернативу, которая позволяет конечным пользователям легко настраивать свои устройства в несколько шагов, экономя пользователям и ИТ-администраторам массу времени и денег.

Аутентификация на основе пароля

Подавляющее большинство методов аутентификации полагаются на имя пользователя/пароль. Его проще всего развернуть, поскольку в большинстве учреждений уже настроены какие-либо учетные данные, но сеть восприимчива ко всем проблемы паролей без бортовой системы (см. ниже).

Для аутентификации на основе пароля существует два основных варианта: PEAP-MSCHAPv2 и EAP-TTLS/PAP. Они оба работают одинаково, но TTLS не поддерживается любой ОС Microsoft до Windows 8 без использования стороннего 802.1x проситель, такой как наш Корпоративный клиент. На данный момент большинство учреждений развернули или перешли на PEAP. Однако вы не может развернуть PEAP без использования Active Directory (проприетарная служба Microsoft) или выхода из пароли в незашифрованном виде.

Ключевые выводы
  • Более 80% утечек данных можно отследить по утерянным или украденным паролям. Рассмотрите возможность движения к аутентификация на основе сертификатов.

Аутентификация на основе токенов

Исторически токены представляли собой физические устройства в виде брелоков или электронных ключей, которые пользователи. Они генерировали числа синхронно с сервером, чтобы добавить дополнительную проверку соединения. Хотя вы можете носить их с собой и использовать расширенные функции, такие как сканеры отпечатков пальцев или USB-плагины, ключи есть минусы. Они могут быть дорогими и, как известно, иногда теряют соединение с серверами.

Физические токены все еще используются, но их популярность снижается, поскольку смартфоны сделали их ненужными. То, что когда-то было загружено на брелок, теперь можно поместить в приложение. Кроме того, существуют и другие методы двухфакторной аутентификации за пределами самого метода EAP, например текстовые или электронные подтверждения для проверки устройства.

Ключевые выводы
  • Для токена доступа не существует стандартной структуры; теоретически он может содержать что угодно и клиент не было бы никакого способа узнать.
  • Злоумышленник может легко внедрить утекший или украденный токен доступа и выдать себя за сервер ресурсов, когда клиент принимает токены доступа.

Аутентификация на основе сертификатов

Сертификаты

уже давно являются основой аутентификации в целом, но обычно не используются в BYOD. настройки, поскольку сертификаты требуют, чтобы пользователи устанавливали их на свои устройства. Однако после получения сертификата установлены, они удивительно удобны: на них не распространяются политики смены паролей, они намного безопаснее, чем Имена пользователей/пароли и устройства аутентифицируются быстрее.

Службы PKI SecureW2 в сочетании с встроенным клиентом JoinNow создают готовое решение для аутентификации Wi-Fi на основе сертификатов. Ан эффективная PKI обеспечивает всю необходимую инфраструктуру для реализации сети на основе сертификатов и поддерживает безопасность и распространение всех сетевых сертификатов. Теперь организации могут беспрепятственно распространять сертификаты на устройства и легко управлять ими, используя наши мощные функции управления сертификатами.

Ключевые выводы
  • 802.1x используется для защиты конечных пользователей от корпоративной сети и ее приложений через Wi-Fi или VPN.
  • Идеальным методом развертывания 802.1x является беспарольная служба адаптации, которая автоматизирует 802.1x. конфигурации, а не полагаться на конечных пользователей для настройки.
  • Цифровые сертификаты — это решение без пароля, поскольку их можно запрограммировать так, чтобы они направляли конечного пользователя. через процесс адаптации.

Проблемы WPA2-Enterprise

По нашему опыту мы обнаружили, что средняя сеть WPA2-Enterprise страдает от комбинации этих 4 проблем:

Недостаток №1: Вариант устройства

Когда IEEE создал протокол 802.1x в 2001 году, было несколько устройств, которые могли бы использовать беспроводной доступ и управление сетью было намного проще. С тех пор количество производителей устройств резко возросло. мобильных вычислений.Чтобы дать некоторое представление, сегодня существует больше разновидностей Android, чем было целых операционных систем в 2001 году.

Поддержка 802.1x несовместима между устройствами, даже между устройствами с одной и той же ОС. Каждое устройство имеет уникальные характеристики, которые могут заставить их вести себя непредсказуемо. Эта проблема усугубляется уникальными драйверами. и программное обеспечение, установленное на устройстве.

Недостаток № 2: MITM и доставка сертификатов

Хотя WPA2 предлагает очень безопасное соединение, вы также должны быть уверены, что пользователи будут подключаться только к безопасная сеть.Безопасное соединение не имеет смысла, если пользователь неосознанно подключился к приманке или самозванцу. сигнал. Учреждения часто ищут и обнаруживают мошеннические точки доступа, в том числе атаки «Человек посередине», но пользователи по-прежнему могут быть уязвимы за пределами сайта. Человек с ноутбуком может попытаться незаметно собрать учетные данные пользователя на автобусной остановке, в кафе или в любом другом месте, через которое могут пройти устройства и попытаться автоматически подключиться.

Даже если сервер имеет правильно настроенный сертификат, нет гарантии, что пользователи не будут подключаться к мошеннический SSID и принимать любые представленные им сертификаты.Лучшей практикой является установка открытого ключа на устройство пользователя для автоматической проверки сертификаты, представленные сервером.

Чтобы узнать больше об атаках MITM, ознакомьтесь с нашей разбивкой здесь.

Недостаток № 3: проблема со сменой пароля

Сети с паролями, срок действия которых истекает на регулярной основе, сталкиваются с дополнительным бременем при использовании WPA2-Enterprise. Каждый устройство потеряет связь, пока не будет перенастроено. Это не было проблемой, когда у среднего пользователя был только один устройства, но в современной среде BYOD каждый пользователь, скорее всего, будет иметь несколько устройства, для которых требуется безопасное сетевое соединение.В зависимости от того, как происходит изменение пароля или возможности пользователей управлять паролями, это может быть бременем для служб поддержки.

Еще хуже в сетях с неожиданными изменениями пароля из-за утечки данных или безопасности. уязвимости. Помимо развертывания новых учетных данных по всему сайту, ИТ-отделу приходится сталкиваться с наплывом билеты службы поддержки, связанные с Wi-Fi.

Недостаток № 4: изменение пользовательских ожиданий

Самая сложная часть настройки сети WPA2-Enterprise — это обучение пользователей.Пользователи сегодня возлагают невероятно большие надежды на простоту использования. У них также есть больше вариантов, чем когда-либо, чтобы обойти официальный доступ. Если сеть слишком сложна в использовании, они будут использовать данные. Если сертификат плохой, они игнорируй это. Если они не могут получить доступ к чему-то, что им нужно, они будут использовать прокси.

Для того чтобы WPA2-Enterprise был эффективным, вам необходимо максимально упростить навигацию для пользователей сети. без ущерба для безопасности.

Прежде чем приступить к работе в сети WPA2-Enterprise, ознакомьтесь с нашим учебником по наиболее распространенным ошибкам. люди делают при настройке WPA2-предприятие.

Ключевые выводы
  • WPA2-Enterprise не без проблем; можно проследить основные уязвимости в WPA2-Enterprise к украденным учетным данным и неправильно настроенным клиентам.
  • Эти проблемы можно решить, связав сетевую безопасность с вашей облачной идентификацией с помощью сертификатов.

Упрощение WPA2-Enterprise с помощью JoinNow

Правильно настроенная сеть WPA2-Enterprise, использующая 802.1x аутентификация — мощный инструмент для защита безопасности пользователей сети и защита ценных данных; но ни в коем случае это не конец сети соображения, которые вам необходимо сделать. Многие компоненты способствуют безопасности и удобству использования сети как полная система. Если только метод аутентификации безопасен, а конфигурация управляемых устройств оставленный среднему пользователю сети, существует серьезный риск для целостности сети. SecureW2 распознает что каждый аспект беспроводной сети должен работать в унисон для железной безопасности, поэтому мы предоставили некоторые готовые концепции, которые каждый сетевой администратор должен учитывать при планировании своей сети.

Ключевые выводы
  • Оптимизация внедрения WPA2-Enterprise с помощью управляемой службы PKI, предназначенной для простого интегрироваться в существующую архитектуру.
  • Соединитель JoinNow использует цифровой сертификат и позволяет организациям внедрять Zero Trust инициативы.

Эффективность за счет адаптации

Одной из самых больших проблем для сетевых администраторов является эффективная и точная адаптация пользователей к безопасная сеть.Если предоставить их самим себе, многие пользователи ошибутся в настройке. Настройка для Сеть WPA2-Enterprise с аутентификацией 802.1x не является простым процессом и включает в себя несколько шагов, которые человек, незнакомый с концепциями ИТ, не поймет. Если пользователи не подключаются к безопасному SSID и неправильно настроены для WPA2-Enterprise, ожидаемые администраторами преимущества безопасности будут потеряны. Для тех, кто хотят получить преимущества сетей на основе сертификатов, многие решают развернуть встроенный клиент, который автоматически настроит пользовательские устройства.

Встроенные клиенты, такие как предлагаемые SecureW2, устраняют путаницу для пользователей, предлагая им всего несколько простых шагов, предназначенных для учащихся в возрасте от K-12 и старше. Результат — правильно настроенная сеть WPA2-Enterprise с аутентификацией 802.1x, которая успешно подключила всю сеть пользователей в защищенную сеть.

Хотите получить дополнительную информацию о преимуществах оптимизированной и безопасной регистрации с использованием собственных устройств (BYOD) программное обеспечение? Посмотрите этот информативный материал на адаптация!

Ключевые выводы
  • Лучшее решение PKI предоставляет программное обеспечение самообслуживания для BYOD и неуправляемых устройств, которое автоматически управляет 802.1x настройки.

Укрепленный сертификат WPA2-Enterprise

PKI позволяет организациям использовать x.509 сертификаты и распространять их среди пользователей сети. Он состоит из HSM (аппаратного модуля безопасности), CA, клиент, открытый и закрытый ключи, а также CRL (список отозванных сертификатов). Эффективная PKI значительно укрепляет сетевую безопасность, позволяя организациям устранять проблемы, связанные с паролями, с помощью сертификатов. аутентификация.После настройки PKI пользователи сети могут начать регистрацию сертификатов. Это сложная задача для выполнения, но организации, которые использовали онбординг-клиент, добились наибольшего успеха раздача сертификатов. SecureW2 может предоставить все инструменты, необходимые для успешного развертывания PKI. и эффективное распространение сертификатов. После оснащения своих устройств сертификатом пользователи готовы для аутентификации в беспроводной сети.Помимо безопасной беспроводной аутентификации, можно использовать сертификаты. для VPN, аутентификации веб-приложений, проверки безопасности SSL и многого другого.

Ключевые выводы
  • Наш ConnectNow Connector PKI обеспечивает надежную основу для беспарольной безопасности для строгой аутентификации устройств, сетей и приложений.

Конфигурация управляемого устройства WPA2-Enterprise

Предприятиям с управляемыми устройствами часто не хватает единого метода настройка устройств для обеспечения безопасности на основе сертификатов.Разрешение пользователям самостоятельно настраивать часто приводит к много неправильно настроенных устройств, и передача задачи ИТ-специалистам может оказаться сложной задачей. Настройка десятков, а иногда даже сотни устройств вручную для безопасной сети WPA2-Enterprise часто считаются слишком трудоемкий, чтобы быть стоящим. Усовершенствованные шлюзы SCEP и WSTEP от SecureW2 предоставить средства для автоматической регистрации управляемых устройств без взаимодействия с конечным пользователем. Одним махом эти шлюзы разрешить ИТ-отделу настраивать управляемые устройства любого крупного поставщика для сети, управляемой сертификатами безопасность.

Ключевые выводы
  • Используйте свои платформы управления устройствами (включая IoT) и платформы MDM / EMM через API JoinNow для распространять сертификаты и управлять ими.

Серверы RADIUS и управление доступом на основе политик

Сервер RADIUS играет важнейшую роль в сети, аутентифицируя каждое устройство при подключении к сети. сеть. Решение SecureW2 JoinNow поставляется со встроенным облачным сервером RADIUS мирового класса, обеспечивающим мощный, управляемый политиками 802.1x аутентификация. Поддерживаемый AWS, он обеспечивает высокую доступность, стабильное и качественное подключение и требует без физической установки. Сервер легко конфигурируется и настраивается под нужды любой организации. требования, без необходимости модернизации существующей инфраструктуры вилочным погрузчиком. После полной интеграции сеть на основе сертификатов готова начать аутентификацию пользователей сети.

SecureW2 также предлагает первую в отрасли технологию, которую мы называем Dynamic Cloud RADIUS , которая позволяет для прямой ссылки на каталог — даже на облачные каталоги, такие как Google, Azure и Okta.Вместо того, чтобы делать решения о политике на основе статических сертификатов, RADIUS принимает решения о политике на уровне выполнения на основе пользовательских атрибуты, хранящиеся в каталоге.

Dynamic RADIUS — это улучшенный RADIUS с улучшенной безопасностью и более простым управлением пользователями. Хотите узнать больше? Говорить одному из наших экспертов, чтобы узнать, может ли ваша сеть WPA2-Enterprise извлечь выгоду из Dynamic RADIUS.

Ключами к успешному развертыванию RADIUS являются доступность, согласованность и скорость.Cloud RADIUS от SecureW2 предоставляет организациям инструменты, необходимые для безопасная сеть, к которой легко подключиться и которая всегда доступна, поэтому пользователи постоянно защищены от внешних воздействий угрозы.

Готовы сделать следующий шаг в улучшении взаимодействия с пользователем и усилении безопасности вашей сети? Переход процесс проще, чем вы думаете. Нажмите здесь, если вы хотели бы связаться с одним из наших экспертов.

Ключевые выводы
  • Безопасность сертификата требует высокопроизводительной аутентификации — вам необходимо внедрить облачную RADIUS разработан для защиты без пароля и на основе облачной идентификации.

WPA PSK, WPA TKIP, WPA CCMP, безопасность Wi-Fi, информация о безопасности Wi-Fi, безопасность WPA

Сети

Wi-Fi имеют множество различных параметров безопасности, которые можно настроить для повышения конфиденциальности связи. Acrylic Wi-Fi отображает эти параметры безопасности в столбцах WEP , WPA и WPA2 . Узнайте, как интерпретировать информацию о безопасности сети Wi-Fi на Acrylic Wi-Fi:

Acrylic Wi-Fi отображает информацию о безопасности сети Wi-Fi в трех столбцах.В первом столбце (WEP) указано, является ли сеть открытой (незащищенной) или использует шифрование WEP (что считается небезопасным). Столбцы WPA и WPA2 используются, когда в вашей сети Wi-Fi используются другие стандарты шифрования. WPA и WPA2 очень похожи и могут иметь некоторые из следующих значений:

  • ПСК-ТКИП
  • ПСК-CCMP
  • ПСК-(ТКИП|CCMP)

Защищенные паролем сети Wi-Fi. Что такое WPA PSK?

Обычно домашняя сеть Wi-Fi с защитой WPA основана на проверке подлинности с предварительным общим ключом (PSK).Другими словами, безопасность сети Wi-Fi основана на общем секрете (пароле сети Wi-Fi), известном всем пользователям сети и точке доступа.

Проще говоря, сеть Wi-Fi WPA-PSK имеет пароль, который используется всеми клиентами сети Wi-Fi. Это сетевая конфигурация, наиболее широко применяемая для ADSL/кабельных/оптоволоконных маршрутизаторов Wi-Fi интернет-провайдеров.

Может ли сеть Wi-Fi быть WPA2 PSK?

Сеть Wi-Fi, безусловно, может быть WPA2-PSK .WPA2 — это новый стандарт безопасности Wi-Fi, усовершенствованный для защиты от некоторых известных угроз. В домашних сетях Wi-Fi WPA2 клиенты по-прежнему могут использовать аутентификацию с предварительным общим ключом (PSK).

Что такое сеть Wi-Fi с защитой TKIP?

С появлением WPA вместо WEP алгоритм шифрования Temporal Key Integrity Protocol (TKIP) стал новым механизмом шифрования для защиты беспроводной связи. В настоящее время он считается устаревшим после того, как в 2009 году его заменил CCMP.Тем не менее, TKIP по-прежнему остается одной из наиболее широко используемых конфигураций ( WPA-TKIP ).

Что такое сеть Wi-Fi с безопасностью WPA CCMP или WPA2 CCMP?

CCMP расшифровывается как Counter Mode CBC-MAC Protocol. CCMP , также известный как AES CCMP , представляет собой механизм шифрования, который заменил TKIP , и является стандартом безопасности, используемым в беспроводных сетях WPA2. Согласно спецификациям, сети WPA2 должны использовать CCMP по умолчанию ( WPA2-CCMP ), хотя CCMP также может использоваться в сетях WPA для повышения безопасности ( WPA-CCMP ).

А что такое WPA MGT или WPA2 MGT?

Для сетей Wi-Fi WPA MGT или WPA2 MGT пароль не является общим ключом. Вместо этого сеть Wi-Fi подключается к службе аутентификации, обычно это служба радиуса, которая проверяет имя пользователя и пароль клиента сети Wi-Fi. Поскольку для сетей Wi-Fi MGT (управление) требуется более сложная инфраструктура, их часто развертывают в корпоративной и профессиональной среде.

Какой вариант наиболее защищен, TKIP или CCMP?

При просмотре сетей Wi-Fi в Acrylic Wi-Fi вы обнаружите, что многие из них поддерживают безопасность как WPA, так и WPA2, и каждый из этих механизмов аутентификации может поддерживать либо TKIP , либо CCMP .

Хотя это и не рекомендуется сетевым стандартом, TKIP используется с WPA2 PSK для совместимости со старыми устройствами. В этом случае вам следует отключить безопасность WPA в вашей сети Wi-Fi, оставив защиту WPA2 включенной. Вы также должны отключить TKIP, оставив только параметры CCMP. Сети Wi-Fi, использующие только механизм WPA2-CCMP, являются наиболее защищенными.

Если вы хотите узнать больше о безопасности сети Wi-Fi, перейдите к статье Защищена ли сеть Wi-Fi WPA?

Что такое пароль WPA WPA2 PSK? – Рестораннорман.ком

Что такое пароль WPA WPA2 PSK?

Ключ WPA или ключ безопасности: это пароль для подключения к вашей беспроводной сети. Его также называют ключом безопасности Wi-Fi, ключом WEP или парольной фразой WPA/WPA2. Это другое название пароля на модеме или маршрутизаторе.

Что такое WPA WPA2 PSK в Wi-Fi?

Что такое WPA2-PSK? WPA означает «защищенный доступ Wi-Fi», а PSK — сокращение от «Pre-Shared Key». WPA2-PSK [AES] — это рекомендуемый безопасный метод, гарантирующий, что никто не сможет прослушивать ваши беспроводные данные, пока они передаются туда и обратно между вашим маршрутизатором и другими устройствами в вашей сети.

Насколько хороша защита WPA2-PSK?

WPA2 обеспечивает более надежную защиту и проще в настройке, чем предыдущие варианты. Основное отличие WPA2 заключается в том, что он использует расширенный стандарт шифрования (AES) вместо TKIP. AES может защитить сверхсекретную правительственную информацию, поэтому это хороший вариант для обеспечения безопасности личного устройства или корпоративного Wi-Fi.

Что такое 4-стороннее рукопожатие в WiFi?

4-стороннее рукопожатие — это процесс обмена 4 сообщениями между точкой доступа (аутентификатором) и клиентским устройством (запрашивающим устройством) для генерации некоторых ключей шифрования, которые можно использовать для шифрования фактических данных, отправляемых по беспроводной среде.

Является ли PSK таким же, как пароль WIFI?

Ключ WEP или предварительный ключ/парольная фраза WPA/WPA2 не совпадают с паролем для точки доступа. Пароль позволяет получить доступ к настройкам точки доступа. Ключ WEP или общий ключ/пароль WPA/WPA2 позволяет принтерам и компьютерам подключаться к вашей беспроводной сети.

Где найти код WPA-PSK?

Просмотрите разделы «Параметры беспроводной сети» или «Безопасность беспроводной сети» на странице конфигурации. Ключ WPA должен быть здесь.Если вы перезагрузите маршрутизатор на шаге 4, то вам придется создать ключ заново.

Является ли WPA2-PSK таким же, как WPA2?

В чем разница между WPA2 Enterprise и WPA2 Personal? WPA2 Enterprise использует IEEE 802.1X, который предлагает аутентификацию корпоративного уровня. WPA2 Personal использует предварительные общие ключи (PSK) и предназначен для домашнего использования. Однако WPA2 Enterprise специально разработан для использования в организациях.

Как узнать пароль WPA?

Как найти ключ WPA для беспроводной сети

  1. Запустите веб-браузер.
  2. Когда страница загрузится, введите имя пользователя и пароль. Нажмите Ввод.
  3. Найдите в меню вкладку «Безопасность», «Безопасность беспроводной сети» или «Настройки беспроводной сети».
  4. Откройте вкладку и найдите пароль WPA.

Что такое WPA2-PSK?

WPA2 — это новейший стандартный метод защиты беспроводной сети. Что такое WPA2-PSK? WPA означает «защищенный доступ Wi-Fi», а PSK — сокращение от «Pre-Shared Key». Существует две версии WPA: WPA и WPA2.

Как использовать атаку воспроизведения p0841 в бутылочке для кормления?

Нажмите Бутылочка для кормления, чтобы начать. Выберите WiFi-карту и дождитесь включения режима монитора (загорится зеленый цвет). Затем нажмите «Далее». Нажмите «Сканировать» и подождите 30 секунд, выберите WiFi, у которого есть клиент (как показано ниже). Нажмите кнопку «Далее. Выберите P0841 REPLAY ATTACK и нажмите «Начать атаку», вы заметите, что IVS запускается.

Может ли ноутбук с Windows 10 подключиться к сети Wi-Fi WPA PSK?

Ноутбук с Windows 10 не может подключиться к сети Wi-Fi WPA PSK.У меня есть ноутбук Fujitsu Lifebook A555 с установленной Windows 10 Pro 1909 (18363.418). В ноутбуке установлена ​​карта Wi-Fi Intel Wireless-N 7265. В моем доме есть два телефона Samsung Galaxy J2 Pro, и на обоих включена мобильная точка доступа.

Как пользоваться бутылочкой для кормления beini/CDLinux?

После успешной загрузки вы увидите экран ниже, либо вы используете Beini/CDlinux. Нажмите Бутылочка для кормления, чтобы начать. Выберите WiFi-карту и дождитесь включения режима монитора (загорится зеленый цвет).Затем нажмите «Далее». Нажмите «Сканировать» и подождите 30 секунд, выберите WiFi, у которого есть клиент (как показано ниже).

Часто задаваемые вопросы об уязвимости

PMKID — WPA/WPA2-PSK и 802.11r

Обзор

4 августа 2018 года было объявлено о новом методе эксплуатации известной уязвимости для беспроводных сетей, использующих WPA/WPA2-PSK (предварительно общий ключ). Уязвимость позволяет злоумышленникам получить PSK, используемый для определенного SSID. Уязвимость затрагивает большинство поставщиков беспроводных сетей, использующих технологии роуминга, включая Cisco Meraki.Чтобы узнать, как Meraki помогла своим клиентам, посетите наш блог. Для получения дополнительной информации см. эту страницу часто задаваемых вопросов.

 

SSID, использующие PSK, традиционно не считались безопасными, поскольку PSK, используемый для разных клиентов, одинаков, а атаки по словарю можно легко использовать для взлома паролей. PSK также подвержен атакам социальной инженерии. Клиентам рекомендуется проверить свои сети, чтобы убедиться, что технологии быстрого роуминга отключены.

 

В рамках атаки злоумышленник может использовать процесс повторной ассоциации для получения уникального идентификатора первичного ключа, используемого для конкретного клиента. Идентификатор первичного ключа получается из первичного ключа (функция PSK) и имени, MAC-адреса точки доступа и MAC-адреса клиента. Поскольку первичный ключ получен из PSK, и другие детали могут быть легко получены, злоумышленник может получить ключ. Эта атака использует атаку по словарю для определения используемого PSK, поэтому настоятельно рекомендуется использовать надежные пароли, которые не поддаются попыткам подбора.

 

Часто задаваемые вопросы

На что нацелена эта атака?

Злоумышленник нацеливается на кадры управления, используемые во время роуминга, чтобы получить PMKID, используемый для каждого клиента. PMKID кэшируется на точках доступа для расширенного роуминга.

 

Что такое PMKID и для чего он используется?

PMKID — это уникальный идентификатор ключа, используемый точкой доступа для отслеживания PMK, используемого для клиента. PMKID является производным от AP MAC, Client MAC, PMK и имени PMK

.

 

Что такое кэширование PMK? Почему это важно?

Кэширование

PMK используется для обеспечения плавного роуминга для приложений, чувствительных ко времени.Благодаря кэшированию PMKID клиентам не нужно проходить весь цикл аутентификации, что сокращает время, необходимое клиенту для аутентификации на новой точке доступа. Это особенно важно в WPA/WPA2 — корпоративных сетях, время аутентификации которых составляет почти 1 секунду в зависимости от используемого типа аутентификации.

 

Какие методы проверки подлинности используют кэширование PMK и когда они используются?

Практически все технологии быстрого роуминга используют кэширование PMK.Meraki использует кэширование PMK для следующего:

  1. 802.11r — Клиент перемещается на новую точку доступа

  2. OKC — Клиент перемещается на новую точку доступа

  3. Кэширование PMK — клиент перемещается обратно к точке доступа, с которой он ранее был связан

 

Все ли технологии роуминга затронуты в точках доступа Meraki?

Нет, только использование WPA/WPA2-PSK с 802.11r сделает сети уязвимыми при использовании точек доступа Meraki.

 

Какие методы аутентификации WPA уязвимы?

Уязвим только WPA/WPA2-PSK. Неважно, используется ли WPA или WPA2, так как атака направлена ​​против управления ключами, что делает шифры неактуальными. SSID, использующие WPA/WPA2-Enterprise, не уязвимы, поскольку PMK создается динамически сервером RADIUS, а не является функцией PSK.

 

Требуется ли кэширование PMKID для WPA/WPA2-PSK?

Нет, несмотря на то, что кэширование PMKID сокращает время, необходимое для аутентификации даже с PSK SSID, сокращение времени незначительно и не имеет реальных преимуществ.Количество кадров для аутентификации уменьшается с 4 до 2, если используется кэширование PMK. Использование кэширования PMKID WPA/WPA2-Enterprise приводит к значительному сокращению времени аутентификации.

 

WPA/WPA2-PSK больше не безопасен?

Хотя используемая базовая атака представляет собой атаку по словарю и существует с момента объявления WPA, эта уязвимость облегчает злоумышленнику сбор информации для атаки по словарю.

 

Как защитить свои сети от этой уязвимости?

Рекомендуется отключить 802.11r в сетях WPA/WPA2-PSK. Затронутые клиенты могут использовать инструмент, доступный в разделе Notifications > KRACK & PMKID Vulnerability Impact , чтобы отключить 802.

Leave a comment