Режим безпеки wifi який краще. Шифрування Wi-Fi - який протокол вибрати? Переваги та недоліки WPA шифрування
Шифрування Wi-Fi - який протокол вибрати?
Я купив собі новий роутер і вирішив його налаштувати самостійно. Все налаштував - інтернет і бездротова мережа працює. Виникло питання, адже радіохвилі (Wi-Fi в моєму випадку) поширюються не тільки в рамках моєї квартири. Відповідно, їх можна перехоплювати. Теоретично. У роутере є настройка шифрування бездротової мережі. Я припускаю, що саме для виключення перехоплення і "підслуховування". Питання, який з протоколів шифрування, наявних в моєму роутере, вибрати? Доступні: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Яке шифрування Wi-Fi слід використовувати в моєму випадку?
Ми також поділимося рекомендаціями по типу, який ви повинні вибрати, - усуваючи здогади і допомагаючи вам максимально безпечно підтримувати свою мережу. Є кілька типів бездротової безпеки, з якими ви зіткнетеся - ось короткий опис деталей.
Це може звучати безпечно, але в цій схемі є місце для виявлення експлойта. У той час як Майкл значно поліпшив старий спосіб захисту мереж, все ще є деякі проблеми з деякими проблемами безпеки з використанням аналогічної реалізації.
Правильний вибір шифрування. Це як і раніше досить велика кількість можливостей, і один як і раніше можна вважати цілком безпечним, але в процесі перевірки є недолік. Знати кого-небудь з бездротової домашньої мережею? Або, скажімо, ви знаєте кого-небудь, у якого немає бездротової домашньої мережі? Майже всі підключаються до бездротової мережі будинку за допомогою якогось гаджета, комп'ютера або пристрою, тому залишатися в безпеці - це високий пріоритет. Ви можете бути збентежені про безпеку бездротової мережі і спробі налаштувати її, тому ми хотіли переконатися, що ви знаєте, з чого почати.
norik | 16 лютого 2015 року, 10:14
Опущу опису всяких застарілих протоколів шифрування Wi-Fi. Тому буду описувати тільки ті, якими користуватися має сенс. Якщо протокол тут не описаний, то або це екзотика, або він вам не потрібен.
WPA і WPA2 (Wi-Fi Protected Access) - є на всіх роутерах. Найбільш ходовий і поширений протокол. Він же один з найсучасніших. ІМХО - кращий вибір для дому та невеликого офісу. Втім, для великих офісів теж цілком підійде, хіба що має сенс авторизацію зробити складніше. Довжина пароля у нього до 63 байт, тому підбором зламувати - можна посивіти раніше. Зрозуміло вибирати потрібно WPA2, якщо він підтримується всіма пристроями в мережі (не розуміють його тільки зовсім вже старі гаджети).
Шифрування Wi-Fi - який протокол вибрати?
більшість бездротових маршрутизаторів, Які ви придбаєте, швидше за все, будуть мати параметри бездротової безпеки, які слід вибирати при їх налаштування. Це було легко налаштувати і здалося безпечним, але зі зміною часу і загрозами безпеці на весь час було необхідно щось більш безпечне.
Ось деяка інформація від популярних постачальників маршрутизаторів. Якщо проблема як і раніше зберігається, вам необхідно оновити прошивку вашого маршрутизатора до останньої версії. У розділі «Бездротова мережа» введіть ім'я потрібної мережі в поле «Ім'я».
- Відкрийте веб-сторінку настройки маршрутизатора, відкривши веб-браузер.
- Введіть ім'я користувача і пароль.
Що дійсно цінно, так це те, що всередині даного сервісу можна використовувати кілька алгоритмів шифрування. Серед них: 1. TKIP - не рекомендую, так як цілком можна знайти дірку.
2. CCMP - набагато краще.
3. AES - мені він подобається найбільше, але підтримується не всіма пристроями, хоча в специфікації WPA2 є.
WPA2 ще передбачає два режими початкової аутентифікації. Ці режими - PSK і Enterprise. WPA Personal, він же WPA PSK має на увазі, що всі користувачі будуть входити в бездротову мережу єдиному паролю, що вводиться на стороні клієнта в момент підключення до сітки. Для будинку відмінно, але для великого офісу - проблематично. Складно буде міняти кожен раз пароль для всіх, коли звільниться черговий співробітник, що знає його.
У режимі бездротової безпеки виберіть тип бездротової безпеки, яку ви хотіли б використовувати. Корисні поради з безпеки бездротової мережі. Ми рекомендуємо вам змінити його на знайоме ім'я, яке не містить ніякої особистої інформації. Прихована бездротовий зв'язок: включення прихованого режиму - ще один спосіб захистити вашу мережу. Якщо ця опція включена, жоден з бездротових клієнтів не зможе побачити вашу бездротову мережу при виконанні сканування, щоб дізнатися, що доступно.
Щоб ваші бездротові пристрої могли підключатися до вашого маршрутизатора, вам необхідно вручну ввести ім'я бездротової мережі на кожному пристрої. Вам потрібно буде ввести цю інформацію на будь-який бездротовий пристрій, яке ви підключаєте до бездротової мережі.
WPA Enterprise передбачає наявність окремого сервера з набором ключів. Для будинку або офісу на 6 машин це громіздко, а ось якщо в офісі 3 десятка бездротових пристроїв, то можна потурбуватися.
Власне цим і вичерпується, щоб зашифрувати Wi-Fi на даний момент. Решта протоколи або взагалі не мають шифрування або пароля, або мають дірки в алгоритмах куди не залізе тільки зовсім лінивий. Я рекомендую поєднання WPA2 Personal AES для будинку. Для великих офісів - WPA2 Enterprise AES. Якщо немає AES, то можна обійтися і TKIP, але тоді зберігається ймовірність читання пакетів сторонньою особою. Є думка, що WPA2 TKIP так і не зламали, на відміну від WPA TKIP, але береженого ...
Що потрібно знати про WPA?
Вітаємо вас за те, що ви тут, за турботу про безпеку вашої бездротової мережі і маршрутизатора, який її створює. Гарна новина полягає в тому, що вам не потрібно багато вчитися або робити. Погана новина в тому, що перший крок, ймовірно, буде найскладнішим.
Остання тенденція в маршрутизаторах - це сітчасті системи, що складаються з двох або трьох пристроїв, які працюють разом, щоб збільшити діапазон бездротової мережі. Більшість мережевих маршрутизаторів не мають веб-інтерфейсу, замість цього вони управляються мобільним додатком. Якщо у вас є сітчаста система, для внесення будь-яких змін вам буде потрібно як мобільний додаток, Так і пароль маршрутизатора.
Кількість людей, які активно користуються інтернетом зростає, як на дріжджах: на роботі для вирішення корпоративних цілей і адміністрування, будинки, в громадських місцях. поширення отримують Wi-Fi мережі і обладнання, що дозволяє безперешкодно отримувати доступ до інтернету.
Вай фай мережа має захистом у вигляді пароля, не знаючи який, підключитися до конкретної мережі буде практично неможливо, крім громадських мереж (кафе, ресторани, торгові центри, точки доступу на вулицях). «Практично» не варто розуміти в буквальному сенсі: умільців, здатних «розкрити» мережу і отримати доступ не тільки до ресурсу роутера, а й до переданих всередині конкретної мережі даними, досить.
Як тільки ви отримаєте доступ до маршрутизатора, змініть його пароль на той, який вам відомий. Пароль маршрутизатора не повинен бути найдовшим і випадковим паролем в світі, але зробити його не менше 10 символів і не використовувати слово в словнику. Мені було корисно написати пароль на аркуші паперу і надіньте його на маршрутизатор лицьовою стороною вниз.
Безпека обробляється однаково для всіх трьох. Санітарне шифрування почалося слабо, покращився один раз, а потім знову покращився. Третя і поточна ітерація довела свою цінність протягом багатьох років. Він дозволяє використовувати один загальний пароль для даної бездротової мережі. Режим підприємства більш безпечний, але він складний, настільки, що пристрій у вашому будинку не може обробляти його самостійно. Корпоративний режим, він, ймовірно, досить старий.
Але в цьому вступному слові ми поговорили про підключення до wi-fi - аутентифікації користувача (клієнта), коли клієнтський пристрій і точка доступу виявляють один одного і підтверджують, що можуть спілкуватися між собою.
варіанти аутентифікації:
- Open - відкрита мережа, В якій всі пристрої, які підключаються авторизовані відразу
- Shared - справжність пристрою, що підключається повинна бути перевірена ключем / паролем
- EAP - справжність пристрою, що підключається повинна бути перевірена за протоколом EAP зовнішнім сервером
шифрування - це алгоритм скремблювання (scramble - шифрувати, перемішувати) переданих даних, зміна і генерація ключа шифрування
Погані хлопці можуть захопити це, оскільки він передається по повітрю і використовує спеціальне програмне забезпечення для вгадування пароля. Вони навіть не повинні чекати, поки пристрій увійде в систему. Більшість бездротових пристроїв зберігають пароль, тому потрібно тільки секунд для входу в систему.
Але вхід в систему дає поганому хлопцю зашифрований пароль. По-перше, вони вибирають низько висять фрукти - паролі, які є словом в словнику або простий варіацією. Інший підхід - використовувати паролі, які раніше використовували люди. За останні роки багато порушень даних привели до величезної кількості живих паролів. Він не отримував вгадувати програмне забезпечення, яке так довго перевіряла ці раніше переглянуті паролі, навіть якщо їх мільйони.
Для обладнання wifi були розроблені різні типи шифрування, що дають можливість захищати мережу від злому, а дані від загального доступу.
На сьогоднішній день виділяються кілька варіантів шифрування. Розглянемо кожен з них детальніше.
Виділяються і є найпоширенішими наступні типи:
- OPEN;
- WPA, WPA2;
Перший тип, іменований не інакше, як OPEN, все необхідну для пізнання інформацію містить в назві. Зашифрувати дані або захистити мережеве обладнання такий режим не дозволить, бо як точка доступу буде за умови вибору такого типу постійно відкритою і доступною для всіх пристроїв, якими вона буде виявлена. Мінуси і уразливості такого типу «шифрування» очевидні.
Третій підхід - здогадка грубої сили - спроба кожної можливої комбінації букв, цифр і навіть спеціальних символів. Тепер, ймовірно, це буде мільярди здогадок в секунду, якщо не вище. Проблема з цим паролем полягає в тому, що він занадто короткий, всього 8 символів. Захист від вгадування грубої сили вимагає набагато більш тривалого пароля.
Обидва цих приклади ілюструють важливий момент безпеки паролів. Короткий пароль, який виглядає як кішка, пробігає по ним, клавіатура не так безпечна, як довгий пароль, навіть якщо довга рядок являє собою рядок слів. Кілька слів також легше запам'ятовувати і легше вводити. І додавання спеціального символу між кожним словом робить пароль ще більш безпечним.
Якщо мережа відкрита, це не означає, що будь-хто може з нею працювати. Щоб користуватися такою мережею і передавати в ній дані, потрібно збіг використовуваного методу шифрування. І ще одна умова користування такою мережею відсутність MAC-фільтра, який визначає MAC-адреси користувачів, для того, що б розпізнати яким пристроям заборонено або дозволено користуватися цією мережею
Часто ці додаткові мережі називаються гостьовими мережами, маючи на увазі, що вони призначені для надання доступу в Інтернет для відвідувачів. Великою перевагою гостьових мереж є те, що вони зазвичай ізольовані. Тобто пристрої в гостьовій мережі, як правило, не можуть бачити або взаємодіяти з іншими пристроями, підключеними до маршрутизатора. Бідні є сумно відомими, тому їх ізолювання в гостьовій мережі може перешкодити зламати пристрою вплинути на будь-який інший ваш пристрою.
TKIP або AES? Що краще?
Проте, необхідно виконати деякі домашні завдання. Почнемо з того, що існує два типи ізоляції: гостьові пристрою від не гостя і гостьові пристрої один від одного. На жаль, тут немає стандартів, тому вам потрібно буде перевірити, як ваш маршрутизатор обробляє кожен тип ізоляції.
WEP
Другий тип, він же WEP, йде корінням в 90-і роки минулого століття, будучи родоначальником всіх наступних типів шифрування. Wep шифрування сьогодні - найслабший з усіх існуючих варіантів організації захисту. Більшість сучасних роутерів, створюваних фахівцями і враховують інтереси конфіденційності користувачів, не підтримують шифрування wep.
Те, що використовувана термінологія відрізняється від маршрутизаторів, робить це складніше. Це відбувається в соціальних мережах, таких як готель, кафе або на літаку. Поганий хлопець, який сидить поруч з вами в кафе, може атакувати ваш комп'ютер з мережі кафе, ніякого інтернету взагалі не потрібно. Ще одна перевага гостьових мереж полягає в тому, що вони можуть використовувати інший пароль. Таким чином, хоча пароль для основної мережі може бути довгим і складним, один для гостей може бути простим, як два слова або навіть одне слово і деякі спеціальні символи.
Серед мінусів, всупереч факту наявності хоч якогось захисту (в порівнянні з OPEN), виділяється ненадійність: вона обумовлена короткочасної захистом, яка активується на певні інтервали часу. Після закінчення цього проміжку, пароль до вашої мережі можна буде легко підібрати, а ключ wep буде зламаний за час до 1 хвилини. Це обумовлено Бітність wep ключа, яка становить в залежності від характеристик мережевого обладнання від 40 до 100 біт.
Необхідна сила пароля гостьовій мережі змінюється. Якщо мережа активується тільки в міру необхідності, то пароль може бути відносно простим. На додаток до другого паролю, гостьові мережі також допускають різне шифрування. Кількість гостьових мереж, що надаються маршрутизаторами, сильно варіюється. Останні системи сітчастого маршрутизатора обмежені однією гостьовий мережею. Багато маршрутизатори пропонують дві гостьові мережі, по одній на кожну частотну смугу.
Нарешті, в більшості маршрутизаторів є два бекдор, які необхідно закрити для кращої безпеки. Надання пароля - це не єдиний спосіб потрапити в бездротову мережу. З цим пін-кодом, а не з паролем, бездротові пристрої можуть потрапити в мережу.
Уразливість wep ключа полягає у факті передачі частин пароля в сукупності з пакетами даних. Перехоплення пакетів для фахівця - хакера або зломщика - завдання, легка для здійснення. Важливо розуміти і той факт, що сучасні програмні засоби здатні перехоплювати пакети даних і створені спеціально для цього.
Таким чином, шифрування wep - найбільш ненадійний спосіб захисту вашої мережі і мережевого устаткування.
Недоліком є те, що він залишає ці одні й ті ж аксесуари від Інтернету і вразливий для хакерів. Це найбільші проблеми, але для захисту маршрутизатора завжди є більше, ніж можна. На додаток до оновлення, ця ревізія додає обговорення безпеки маршрутизатора і гостьових мереж.
Головне, що ви можете зробити, - це найважчий людина, яка може зламати вас. Ви тільки трохи більш захищені, якщо ваш маршрутизатор підтримує обмеження швидкості, яке сповільнюється, але не запобігає атаки грубої сили на ваш шлейф вашого маршрутизатора. Якщо ваш пароль навіть віддалено нагадує слово або щось ще це може бути набір слів, які ви зробили. Це займе кожне слово або слова в словнику і додасть популярний синтаксис і структури, такі як паролі, які виглядають як ця «велика літера», малі літери, деякі цифри, а потім символ. Якщо ви стоїте занадто дорого, щоб зламати комп'ютери з ультрависокої швидкістю, засновані на зломі, тоді ви абсолютно безпечні для будь-кого. Тому в ідеалі ви хочете використовувати максимум 64 символу для свого пароля, і це схоже на самий зіпсований дратівливий символ, наповнений шматочок некогерентного верхній частині нижнього регістра, яку ви коли-небудь бачили. Це буквально найтупіша річ. Найпростіший спосіб захистити від цього - це зупинити ваш пристрій від автоматичного підключення. Однак це може все ще зам'яти вас. Ви безпечніші від цих атак, якщо ви дійсно знаєте, як виглядає веб-консоль вашого маршрутизатора, тому що фішинг-сторінки за замовчуванням, які приходять з такими типами додатків, як правило, досить старими, проте складний атакуючий може створити хорошу цільову сторінку. Простіше кажучи, якщо ваш «маршрутизатор» коли-небудь хоче, щоб ви вводили пароль, не вводьте його! Коли ви створюєте пароль, вам буде поставлено тільки запит, коли ви спеціально входите в 1 або 1 призначений для користувача інтерфейс, тоді ви будете фішіроваться, і гра закінчиться. Це те, що хакери використовують для злому в автономному режимі, використовуючи атаки з паролем в точці. Однак, якщо ви використовували сильний пароль то ви вже пом'якшили цю атаку. Якщо зловмисник знає, хто ви, ви «вкручені». Ви порушили кардинальний закон електронної пошти. Це можна було б творчо використовувати зі злою подвійний атакою, щоб збільшити ймовірність того, що ви наберете свій пароль. Це зажадає деякої гри в налаштуваннях вашого маршрутизатора. . Там багато інших способів, і ви ніколи їх не уникнете.
WPA, WPA2
Такі різновиди - найсучасніші і досконалими з точки зору організації захисту на даний момент. Аналогів їм немає. Можливість задати будь-яку зручну користувачеві довжину і цифробуквене комбінацію wpa ключа досить ускладнює життя бажаючим несанкціоновано скористатися конкретною мережею або перехопити дані цієї мережі.
Дані стандарти підтримують різні алгоритми шифрування, які можуть передаватися після взаємодії протоколів TKIP і AES. Тип шифрування aes є більш досконалим протоколом, ніж tkip, і більшістю сучасних роутерів підтримується і активно використовується.
Шифрування wpa або wpa2 - пріоритетний тип як для домашнього використання, так і для корпоративного. Останній дає можливість застосування двох режимів аутентифікації: перевірка паролів для доступу певних користувачів до загальної мережі здійснюється, в залежності від заданих параметрів, по режиму PSK або Enterprise.
PSK передбачає доступ до мережного обладнання та ресурсів інтернету при використанні єдиного пароля, який потрібно ввести при підключенні до роутера. Це кращий варіант для домашньої мережі, підключення якої здійснюється в рамках невеликих площ певними пристроями, наприклад: мобільним, персональним комп'ютером і ноутбуком.
Для компаній, що мають солідні штати співробітників, PSK є недостатньо зручним режимом аутентифікації, тому був розроблений другий режим - Enterprise. Його використання дає можливість застосування безлічі ключів, який будуть зберігатися на спеціальному виділеному сервері.
WPS
По-справжньому сучасна і, уможливлює підключення до бездротової мережі за допомогою одного натискання на кнопку. Замислюватися про паролі або ключах безглуздо, але варто виділити і враховувати ряд серйозних недоліків, що стосуються допуску до мереж з WPS.
Підключення за допомогою таких способів здійснюється при використанні ключа, що включає в себе 8 символів. Уразливість типу шифрування полягає в наступному: він володіє серйозною помилкою, яка хакерам або хакерам дозволяє отримати доступ до мережі, якщо їм доступні хоча б 4 цифри з восьмизначний комбінації. Кількість спроб підбору пароля при цьому становить близько кількох тисяч, однак для сучасних програмних засобів це число - смішне. Якщо вимірювати процес форсування WPS в часі, то процес займе не більше доби.
Варто відзначити і той факт, що дана уразливість перебувати на стадії вдосконалення і можна виправити, тому в наступних моделях обладнання з режимом WPS стали впроваджуватися обмеження на кількість спроб входу, що істотно ускладнило завдання несанкціонованого доступу для зацікавлених в цьому осіб.
І тим не менше, щоб підвищити загальний рівень безпеки, досвідчені користувачі рекомендують принципово відмовлятися від розглянутої технології.
Підбиваючи підсумки
Найсучаснішою і по-справжньому надійної методикою організації захисту мережі і даних, що передаються всередині неї, є WPA або її аналог WPA2.
Перший варіант кращий для домашнього використання певним числом пристроїв і користувачів.
Другий, що володіє функцією аутентифікації по двом режимам, більше підходить для великих компаній. Застосування його виправдано тим, що при звільненні співробітників немає необхідності в зміні паролів і ключів, тому як певну кількість динамічних паролів зберігаються на спеціально виділеному сервері, доступ до якого мають лише поточні співробітники компанії.
Слід зазначити, що більшість просунутих користувачів віддають перевагу WPA2 навіть для домашнього використання. З точки зору організації захисту обладнання і даних, такий метод шифрування є найдосконалішим з існуючих на сьогоднішній день.
Що стосується набирає популярність WPS, то відмовитися від нього - значить в певній мірі убезпечити мережеве обладнання та інформаційні дані, що передаються з його допомогою. Поки технологія не розвинена досить і не володіє всіма перевагами, наприклад, WPA2, від її застосування рекомендується утриматися всупереч уявній простоті застосування і зручності. Адже безпека мережі і переданих всередині неї інформаційних масивів - пріоритет для більшості користувачів.