Теоретические основы защиты WPA

Параметры безопасности маршрутизатора (роутера)

Когда вы устанавливаете Wi-Fi, у вас есть несколько вариантов безопасности роутера. Если ваш роутер останется незащищенным, то посторонние лица смогут получить к нему доступ, использовать его для незаконной деятельности от вашего имени, отслеживать использование Интернета или даже устанавливать вредоносные программы.

Когда вы настраиваете безопасность беспроводной сети, вам будет доступно несколько вариантов: например, none, WEP, WPA, WPA2-Personal, WPA2-Enterprise и, возможно, WPA3. В зависимости от того, каким образом вы планируете пользоваться Интернетом, вам может потребоваться более или менее надежная защита.

Какой лучший метод обеспечения безопасности беспроводного Интернета?

Какой способ защиты вы выберете, будет зависеть от возможностей вашего роутера. Старые устройства не могут поддерживать новые протоколы безопасности, такие как WPA3.

Ниже мы приводим список протоколов безопасности, ранжированных по степени безопасности (вверху – наиболее безопасные):

1. WPA3

2. WPA2 Enterprise

3. WPA2 Personal

4. WPA + AES

5. WPA + TKIP

6. WEP

7. Open Network (no security implemented)

История протоколов безопасности

Безопасность беспроводной сети менялась с течением времени, чтобы стать более надежной, но при этом и более простой с точки зрения ее настройки. С момента появления Wi-Fi мы прошли путь от протокола WEP к протоколу WPA3. Давайте вспомним историю развития этих протоколов безопасности.

Wired Equivalent Privacy (WEP)

Первый протокол безопасности был назван Wired Equivalent Privacy или WEP. Этот протокол оставался стандартом безопасности с 1999 по 2004 год. Хотя эта версия протокола была создана для защиты, тем не менее, она имела достаточно посредственный уровень безопасности и была сложна в настройке.

В то время импорт криптографических технологий был ограничен, а это означало, что многие производители могли использовать только 64-битное шифрование. Это очень низкое битовое шифрование по сравнению с 128-битными или 256-битными опциями, доступными сегодня. В конечном счете, протокол WEP не стали развивать дальше.

Системы, которые все еще используют WEP, не являются безопасными. Если у вас есть система с WEP, ее следует обновить или заменить. При подключении к Wi-Fi, если в заведении используется протокол WEP, то ваша Интернет-активность не будет безопасной.

WiFi Protected Access (WPA)

Для улучшения функций WEP в 2003 году был создан протокол Wi-Fi Protected Access или WPA. Этот улучшенный протокол по-прежнему имел относительно низкую безопасность, но его легче было настроить. WPA, в отличие от WEP, использует протокол Temporary Key Integrity Protocol (TKIP) для более безопасного шифрования.

Поскольку Wi-Fi Alliance сделал переход с WEP на более продвинутый протокол WPA, они должны были сохранить некоторые элементы WEP, чтобы старые устройства все еще были совместимы. К сожалению, это означает, что такие уязвимости как функция настройки WiFi Protected, которую можно взломать относительно легко, все еще присутствуют в обновленной версии WPA.

WiFi Protected Access 2 (WPA2)

Годом позже, в 2004 году, стала доступна новая версия протокола Wi-Fi Protected Access 2. WPA2 обладает более высоким уровнем безопасности, а также он проще настраивается по сравнению с предыдущими версиями. Основное отличие в WPA2 заключается в том, что он использует улучшенный стандарт шифрования Advanced Encryption Standard (AES) вместо TKIP. AES способен защищать сверхсекретную правительственную информацию, поэтому это хороший вариант для обеспечения безопасности WiFi дома или в компании.

Единственная заметная уязвимость WPA2 заключается в том, что как только кто-то получает доступ к сети, он может атаковать другие устройства, подключенные к этой сети. Это может стать проблемой в том случае, если у компании есть внутренняя угроза, например, несчастный сотрудник, который способен взломать другие устройства в сети компании (или предоставить для этих целей свое устройства хакерам-профессионалам).

WiFi Protected Access 3 (WPA3)

По мере выявления уязвимостей вносятся соответствующие изменения и улучшения.  Как ожидается, эта новая версия будет иметь «новые функции для упрощения безопасности Wi-Fi, обеспечения более надежной аутентификации и повышения криптографической устойчивости для высокочувствительных данных». Новая версия WPA3 все еще внедряется, поэтому оборудование, сертифицированное для поддержки WPA3, пока не является доступным для большинства людей.

AES vs. TKIP

TKIP и AES представляют собой два различных стандарта шифрования, которые могут использоваться в сетях Wi-Fi. TKIP – более старый протокол шифрования, введенный в свое время стандартом WPA взамен крайне ненадежного алгоритма WEP. На самом деле TKIP во многом подобен алгоритму шифрования WEP. TKIP уже не считается надежным методом защиты и в настоящее время не рекомендуется. Другими словами, вам не следует его использовать.
AES – более надежный протокол шифрования, введенный стандартом WPA2. AES – это не какой-нибудь унылый, тот или другой стандарт, разработанный специально для сетей Wi-Fi. Это серьезный мировой стандарт шифрования, взятый на вооружение даже правительством США. Например, когда вы зашифровываете жесткий диск с помощью программы TrueCrypt, она может использовать для этого алгоритм шифрования AES. AES является общепризнанным стандартом, обеспечивающим практически полную безопасность, а его возможные слабые места – потенциальная восприимчивость к атакам методом «грубой силы» (для противодействия которым применяются достаточно сложные кодовые фразы) и недостатки защиты, связанные с другими аспектами WPA2.
Усеченный вариант защиты – TKIP, более старый протокол шифрования, используемый стандартом WPA. AES для Wi-Fi – более новое решение в части шифрования, применяемое в новом и безопасном стандарте WPA2. В теории на этом можно было бы закончить. Но на практике, в зависимости от вашего роутера, простого выбора WPA2 может оказаться недостаточно.
Хотя стандарт WPA2 для оптимальной защиты предполагает использование AES, он может использовать и TKIP – там, где требуется обратная совместимость с устройствами предыдущих поколений. При таком раскладе устройства, поддерживающие WPA2, будут подключаться в соответствии с WPA2, а устройства, поддерживающие WPA, будут подключаться в соответствии с WPA. То есть «WPA2» не всегда означает WPA2-AES. Тем не менее, на устройствах без явного указания опций «TKIP» или «AES» WPA2 обычно является синонимом WPA2-AES.
Аббревиатура «PSK» в полном наименовании этих опций расшифровывается как «pre-shared key» – ваша кодовая фраза (ключ шифра). Это отличает персональные стандарты от WPA-Enterprise, в котором используется RADIUS-сервер для выдачи уникальных ключей в больших корпоративных или правительственных сетях Wi-Fi.

Опции безопасности для сети Wi-Fi

Еще более сложно? Ничего удивительного. Но всё, что вам на самом деле нужно сделать – это найти в рабочем списке вашего устройства одну, обеспечивающую наибольшую защиту опцию. Вот наиболее вероятный список опций вашего роутера:

  • Open (risky): в открытых сетях Wi-Fi нет кодовых фраз. Вам не следует устанавливать эту опцию – серьезно, вы можете дать повод полиции нагрянуть к вам в гости.
  • WEP 64 (risky): старый стандарт протокола WEP легко уязвим, и вам не следует его использовать.
  • WEP 128 (risky): это тот же WEP, но с увеличенной длиной шифровального ключа. По факту уязвим не менее, чем WEP 64.
  • WPA-PSK (TKIP): здесь используется оригинальная версия протокола WPA (по сути – WPA1). Он не вполне безопасен и был заменен на WPA2.
  • WPA-PSK (AES): здесь используется оригинальный протокол WPA, где TKIP заменен на более современный стандарт шифрования AES. Этот вариант предлагается как временная мера, но устройства, поддерживающие AES, почти всегда будут поддерживать WPA2, в то время как устройства, которым требуется WPA, почти никогда не будут поддерживать AES. Таким образом, эта опция не имеет большого смысла.
  • WPA2-PSK (TKIP): здесь используется современный стандарт WPA2 со старым алгоритмом шифрования TKIP. Этот вариант не безопасен, и его достоинство заключается только в том, что он подходит для старых устройств, которые не поддерживают опцию WPA2-PSK (AES).
  • WPA2-PSK (AES): это наиболее употребительная опция безопасности. Здесь используется WPA2, новейший стандарт шифрования для сетей Wi-Fi, и новейший протокол шифрования AES. Вам следует использовать эту опцию. На некоторых устройствах вы увидите опцию под названием просто «WPA2» или «WPA2-PSK», что в большинстве случаев подразумевает использование AES.
  • WPAWPA2-PSK (TKIP/AES): некоторые устройства предлагают – и даже рекомендуют – такую смешанную опцию. Данная опция позволяет использовать и WPA, и WPA2 – как с TKIP, так и с AES. Это обеспечивает максимальную совместимость с любыми древними устройствами, которые у вас могут быть, но также дает хакерам возможность проникнуть в вашу сеть путем взлома более уязвимых протоколов WPA и TKIP.
  • Сертификация WPA2 действительна с 2004 г., в 2006 г. она стала обязательной. Любое устройство с логотипом «Wi-Fi», произведенное после 2006 г., должно поддерживать стандарт шифрования WPA2.
    Поскольку ваше устройство с возможностью подключения к сети Wi-Fi скорее всего моложе 11 лет, вы можете чувствовать себя спокойно, просто выбирая опцию WPA2-PSK (AES). Установив эту опцию, вы также сможете проверить работоспособность вашего устройства. Если устройство перестает работать, вы всегда сможете вернуть или обменять его. Хотя, если безопасность имеет для вас большое значение, вы можете просто купить новое устройство, произведенное не ранее 2006 г.

WPA и TKIP замедляют сеть Wi-Fi

Выбираемые в целях совместимости опции WPA и TKIP могут еще и замедлить работу сети Wi-Fi. Многие современные роутеры Wi-Fi, поддерживающие 802.11n или более новые и быстрые стандарты, будут снижать скорость до 54 Мбит/с, если вы установите на них опцию WPA или TKIP, – для обеспечения гарантированной совместимости с гипотетическими старыми устройствами.
Для сравнения, при использовании WPA2 с AES даже стандарт 802.11n поддерживает скорость до 300 Мбит/с, а стандарт 802.11ac предлагает теоретическую максимальную скорость 3,46 Гбит/с при оптимальных (читай: идеальных) условиях.
В большинстве роутеров, как мы уже убедились, список опций обычно включает в себя WEP, WPA (TKIP) и WPA2 (AES) – и, возможно, смешанную опцию режима максимальной совместимости WPA (TKIP) + WPA2 (AES), добавленную с лучшими намерениями.
Если у вас роутер необычного типа, который предлагает WPA2 или вместе с TKIP, или вместе с AES, выбирайте AES. Почти все ваши устройства точно будут с ним работать, к тому же более быстро и более безопасно. AES – простой и рациональный выбор.

WEP, WPA, WPA2 — безопасный пароль Wi-Fi. Советы.

Совет 1: правильное шифрование WLAN для большей безопасности

WEP, WPA, WPA2 — методов шифрования для беспроводных маршрутизаторов много. Но какая из выбираемых мер безопасности предлагает лучшую защиту?
  • Текущим стандартом является метод шифрования «WPA2 PSK». К сожалению, он не поддерживается некоторыми старыми устройствами, такими как Nintendo DS. Тем не менее, вы должны обойтись без WEP-шифрования. Это треснуло в течение нескольких секунд.
  • В соответствии с текущей правовой ситуацией вам также необходимо защитить свою сеть WLAN с помощью WPA или WPA2. В противном случае вы можете быть привлечены к ответственности за преступления, совершенные третьей стороной. Тем не менее, вы должны обойтись без процедуры WPA и напрямую активировать наиболее безопасное шифрование.
  • Лучший способ придерживаться простого принципа заключается в том, что новейший метод является самым безопасным. Единственным исключением является так называемый стандарт WPS. Он позволяет быстро и легко подключить ваши устройства к маршрутизатору одним нажатием кнопки. Эта функция используется хакерами, так как она не требует пароля и поэтому ее легче взломать. Поэтому, в случае сомнений, выключите.
WPA2 как шифрование WLAN

Совет 2: выберите случайный и безопасный пароль Wi-Fi

Даже самый лучший метод шифрования бесполезен, если соответствующий пароль легко угадать. Особенно со стандартными паролями, которые устанавливаются по умолчанию, существует опасность, что хакеры считывают ключ производителя с помощью специальных программ. Но с помощью нескольких простых приемов вы можете превратить ваш пароль в эффективную блокировку хранилища:
  • Надежный пароль должен содержать не менее двадцати символов. Если вы хотите усложнить жизнь взломщикам паролей, вы можете выбрать еще более длинный код.
  • Кроме того, вы должны отказаться от имен, дней рождения или других легко угадываемых терминов. Даже на первый взгляд умный пароль «пароль» находится наверху списка для хакеров. Лучше всего выбирать случайную комбинацию букв, цифр и специальных символов.
  • Вы получаете помощь от бесплатной программы: бесплатный генератор паролей генерирует безопасный пароль в любом случае. Просто установите желаемую длину пароля и установите флажок рядом с «Символ», как на скриншоте.
  • Кстати, то же самое относится и к паролю администратора, который переводит вас в пользовательский интерфейс вашей WLAN. Обычно это также простой в угадывании стандартный пароль, который вы должны изменить перед установкой.
Merktipp: Конечно, длинные пароли не легко запомнить. Но с небольшой хитростью это работает, но: Придумайте предложение, которое вы можете хорошо запомнить, например. Б. «Эти 5 практических советов защищают мой WLAN». Теперь возьмите начальные буквы и поместите между ними специальные символы: «D-5_P * s-m_W *». И у вас уже есть безопасный пароль. Кроме того, используйте бесплатный менеджер паролей.

Совет 3: обновляйте прошивку и отключайте удаленный доступ

Даже если вы все делаете правильно, хакеры могут получить доступ к вашему устройству благодаря дыре в системе вашего маршрутизатора. Чтобы предотвратить это, вы должны регулярно (автоматически) обновлять маршрутизатор WLAN.
  • Мы расскажем в отдельных статьях, таких как Speedport, Fritzbox, а также маршрутизаторы TP-Link и Asus.
  • С текущей версией прошивки часто идут многие дополнительные функции. Одним из них является удаленный доступ к подключенным жестким дискам и принтерам. Хотя это довольно практично, но может стать воротами для злоумышленников. Если вам это не нужно, вы должны отключить эту функцию в настройках роутера.
Обновление прошивки на Fritzbox

Совет 4: выберите фиксированный IP-адрес и выключите DHCP

Чтобы сделать вашу сеть WLAN действительно безопасной, вы должны отключить DHCP-сервер в маршрутизаторе. Это гарантирует, что терминалам отправляется вся необходимая информация для связи с маршрутизатором:
  • Если служба отключена, устройства могут подключаться к маршрутизатору и Интернету только после ручной настройки. Таким образом, вы должны ввести всю необходимую информацию самостоятельно. Каждая мера имеет свою цену.
  • В Windows введите необходимую информацию, например, в области [Сетевые подключения] панели управления. Там вы найдете свою сетевую карту и сможете назначить фиксированный IP-адрес вашему компьютеру, щелкнув правой кнопкой мыши.
  • Но вы не должны использовать адреса по умолчанию, такие как 192.168.1.101. Опять же, чем выше комбинация, тем безопаснее ваш Wi-Fi. Обратите внимание, что первые две цифры не должны быть изменены. Например, хорошим IP-адресом является 192.168.95.11.
  • В поле «Маска подсети» введите 255.255.255.0. Вы также можете ввести IP-адрес маршрутизатора в поле «Шлюз по умолчанию». Но в большинстве случаев это не обязательно.
Назначить фиксированный IP-адрес
Недостаток очевиден: гибкий совет после вашей подсказки больше не возможен. Например, если вы хотите предоставить доступ к своему посещению, вы должны заново выполнить настройки на каждом устройстве.

Совет 5: Сохранить WLAN с MAC-фильтром

Каждая сетевая карта компьютера и смартфона имеет индивидуальный идентификатор. Вы можете использовать этот так называемый MAC-адрес в свою пользу:
  • Многие маршрутизаторы можно настроить для подключения только к устройствам с определенным MAC-адресом. Например, вы можете предоставить смартфону и ноутбуку доступ только к беспроводной локальной сети. Фильтр MAC можно активировать в настройках роутера.
  • Сначала это звучит как безопасное, всеобъемлющее решение. К сожалению, зарегистрированные MAC-адреса также могут быть считаны. С помощью специальных инструментов также легко обмануть маршрутизатор по определенному MAC-адресу и получить доступ к вашей сети.
  • Но опять же, лишь немногие злоумышленники действительно прилагают усилия, чтобы обойти эти препятствия.
Включить фильтр MAC

Дополнительный совет: WLAN временно отключен

Несмотря на то, что вы хорошо защищены нашими пятью советами, стопроцентной защиты никогда не бывает — по крайней мере, пока активна сеть WLAN. По этой причине вам следует отключить беспроводное соединение, если оно вам не нужно. Это работает либо с помощью соответствующей кнопки на вашем маршрутизаторе, либо по расписанию в меню маршрутизатора.
Все эти функции можно активировать в меню конфигурации вашего роутера.

Выбираем самый надёжный метод проверки подлинности Wi-Fi

Скоростной проводной интернет становится всё более доступным. И вместе с развитием мобильной техники становится актуальным вопрос использование домашнего интернета на каждом из устройств. Этой цели служит Wi-Fi-роутер, его цель — распределить при беспроводном подключении интернет между разными пользователями.

Отдельное внимание следует уделить вопросу безопасности своей сети

При покупке достаточно настроить его при первом включении. Вместе с роутером поставляется диск с утилитой настройки. С его помощью настроить домашнюю сеть проще простого. Но, тем не менее у неопытных пользователей часто возникают проблемы на этапе настроек безопасности сети. Система предлагает выбрать метод проверки подлинности, и на выбор предоставляется как минимум четыре варианта. Каждый из них обладает определёнными преимуществами и недостатками, и, если вы хотите обезопасить себя от действий злоумышленников, следует выбрать самый надёжный вариант

Методы проверки подлинности

Большинство домашних моделей роутеров имеют поддержку следующих методов проверки подлинности сети: без шифрования, WEP, WPA/WPA2-Enterprise, WPA/WPA2-Personal (WPA/WPA2-PSK). Последние три имеют также несколько алгоритмов шифрования. Разберёмся подробнее.

Отсутствие защиты

Этот метод говорит сам за себя. Соединение является полностью открытым, к нему может подключиться абсолютно любой желающий. Обычно такой метод используется в общественных местах, но дома его лучше не использовать. Минимум, чем вам это грозит, это то, что соседи при подключении будут занимать ваш канал, и вы просто не сможете получить максимальную скорость согласно вашего тарифного плана. В худшем случае злоумышленники могут использовать это в своих целях, воруя вашу конфиденциальную информацию или совершая иные противозаконные действия. Зато вам не нужно запоминать пароль, но согласитесь, это довольно сомнительное преимущество.

WEP

При использовании этого метода проверки подлинности сети передаваемая информация защищается с помощью секретного ключа. Тип защиты бывает «Открытая система» и «Общий ключ». В первом случае идентификация происходит за счёт фильтрации по MAC-адресу без использования дополнительного ключа. Защита является, по сути, самой минимальной, поэтому небезопасной. Во втором вы должны придумать секретный код, который будет использоваться в качестве ключа безопасности. Он может быть 64, 128 из 152-битным. Система вам подскажет какой длины должен быть код, в зависимости от его кодировки — шестнадцатеричной либо ASCII. Можно задать несколько таких кодов. Надёжность защиты — относительная и давно считается устаревшей.

WPA/WPA2 – Enterprise и WPA/WPA2-Personal

Очень надёжный метод проверки подлинности сети, в первом случае используется на предприятиях, во втором — дома и в небольших офисах. Разница между ними в том, что в домашнем варианте используется постоянный ключ, который настраивается в точке доступа. Совместно с алгоритмом шифрования и SSID подключения образует безопасное соединение. Чтобы получить доступ к такой сети, необходимо знать пароль. Поэтому, если он надёжен, и вы никому его не разглашаете, для квартиры или дома — это идеальный вариант. Кроме того, практически все производители отмечают его как рекомендуемый.

Во втором случае применяется динамический ключ и каждому пользователю присваивается индивидуальный. Дома с этим заморачиваться нет смысла, поэтому он используется только на крупных предприятиях, где очень важна безопасность корпоративных данных.

Дополнительная надёжность зависит и от алгоритма шифрования. Их бывает два: AES и TKIP. Лучше использовать первый из них, так как последний является производным от WEP и доказал свою несостоятельность.

Как изменить метод проверки подлинности Wi-Fi

Если вы уже ранее выполняли настройку проверки подлинности своего соединения, но не уверены в выборе правильного метода, обязательно проверьте его сейчас. Зайдите в настройки роутера, в браузере введя его IP-адрес, логин и пароль(подробнее можно прочесть в статье IP адрес роутера на нашем сайте). Вам нужно пройти во вкладку настроек безопасности сети. В разных моделях роутера она может располагаться по-разному. После чего выберите метод проверки подлинности сети, придумайте надёжный пароль, нажмите «Сохранить» и перезагрузите маршрутизатор. Не забудьте переподключиться к сети по новой со всех устройств.

WPA-PSK

Этот вариант подойдет для домашнего использования. Для авторизации в сети нужен только ключ безопасности.

WPA-Enterprise

Это более продвинутый и замороченный вариант для корпоративных сетей для обеспечения более высокого уровня безопасности. Для авторизации требуется сервер Radius.

WPA2 — более современная и улучшенная версия защиты WPA. Точно так же может работать в обоих режимах: PSK и Enterprise. Отличается тем, что поддерживает тип шифрования AES CCMP.

Что лучше? WEP, WPA или WPA2?

На современном оборудовании в большинстве случаев оптимальным вариантом будет использование режима WPA2-PSK с типом шифрования AES:

Источники

  • https://www.cloudav.ru/mediacenter/security/wpa-vs-wpa2/
  • https://www.nix.ru/computer_hardware_news/hardware_news_viewer.html?id=195506
  • https://kttop.ru/wlan-sichern-f-nf-tipps-f-r-mehr-sicherheit-chip/
  • https://nastroyvse.ru/net/vayfay/metody-proverki-podlinnosti-seti.html
  • https://technophoto.ru/wpa2-personal-ili-enterprise-chto-luchshe/

Понравилась статья? Поделиться с друзьями:
Переход на цифровое телевидение в России 2019
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: