Разница между WPA и WPA2

Какой Выбрать Тип Шифрования WiFi Сети – 3 Способа – ВайФайка.РУ

Разница между WPA и WPA2

Сегодня мы чуть глубже копнем тему защиты беспроводного соединения. Разберемся, что такое тип шифрования WiFi – его еще называют “аутентификацией” – и какой лучше выбрать.

Наверняка при настройке роутера вам попадались на глаза такие аббревиатуры, как WEP, WPA, WPA2, WPA2/PSK. А также их некоторые разновидности – Personal или Enterprice и TKIP или AES.

Что ж, давайте более подробно изучим их все и разберемся, какой тип шифрования выбрать для обеспечения максимальной безопасности WiFi сети без потери скорости.

Для чего нужно шифровать WiFi?

Отмечу, что защищать свой WiFi паролем нужно обязательно, не важно, какой тип шифрования вы при этом выберете. Даже самая простая аутентификация позволит избежать в будущем довольно серьезных проблем.

Почему я так говорю? Тут даже дело не в том, что подключение множества левых клиентов будет тормозить вашу сеть – это только цветочки.

причина в том, что если ваша сеть незапаролена, то к ней может присосаться злоумышленник, который из-под вашего роутера будет производить противоправные действия, а потом за его действия придется отвечать вам, так что отнеситесь к защите wifi со всей серьезностью.

Шифрование WiFi данных и типы аутентификации

Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:

Что такое WEP защита wifi?

WEP (Wired Equivalent Privacy) – это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.

Что такое ключ WPA или пароль?

WPA (Wi-Fi Protected Access) – более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.

Что такое WPA2-PSK – Personal или Enterprise?

WPA2 – усовершенствованный вариант предыдущего типа. Взлом WPA2 практически невозможен, он обеспечивает максимальную степень безопасности, поэтому в своих статьях я всегда без объяснений говорю о том, что нужно устанавливать именно его – теперь вы знаете, почему.

У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:

  • Personal, обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев – и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
  • Enterprise – более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу DHCP сервера, то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.

Типы шифрования WPA – TKIP или AES?

Итак, мы определились, что оптимальным выбором для обеспечения безопасности сети будет WPA2/PSK (Personal), однако у него есть еще два типа шифрования данных для аутентификации.

  • TKIP – сегодня это уже устаревший тип, однако он все еще широко употребляется, поскольку многие девайсы энное количество лет выпуска поддерживают только его. Не работает с технологией WPA2/PSK и не поддерживает WiFi стандарта 802.11n.
  • AES – последний на данный момент и самый надежный тип шифрования WiFi.

Какой выбрать тип шифрования и поставить ключ WPA на WiFi роутере?

С теорией разобрались – переходим к практике. Поскольку стандартами WiFi 802.11 “B” и “G”, у которых максимальная скорость до 54 мбит/с, уже давно никто не пользуется – сегодня нормой является 802.

11 “N” или “AC”, которые поддерживают скорость до 300 мбит/с и выше, то рассматривать вариант использования защиты WPA/PSK с типом шифрования TKIP нет смысла.

Поэтому когда вы настраиваете беспроводную сеть, то выставляйте по умолчанию

WPA2/PSK – AES

Либо, на крайний случай, в качестве типа шифрования указывайте “Авто”, чтобы предусмотреть все-таки подключение устройств с устаревшим WiFi модулем.

При этом ключ WPA, или попросту говоря, пароль для подключения к сети, должен иметь от 8 до 32 символов, включая английские строчные и заглавные буквы, а также различные спецсимволы.

Защита беспроводного режима на маршрутизаторе TP-Link

На приведенных выше скринах показана панель управления современным роутером TP-Link в новой версии прошивки. Настройка шифрования сети здесь находится в разделе “Дополнительные настройки – Беспроводной режим”.

В старой “зеленой” версии интересующие нас конфигурации WiFi сети расположены в меню “Беспроводной режим – Защита”. Сделаете все, как на изображении – будет супер!

Если заметили, здесь еще есть такой пункт, как “Период обновления группового ключа WPA”. Дело в том, что для обеспечения большей защиты реальный цифровой ключ WPA для шифрования подключения динамически меняется. Здесь задается значение в секундах, после которого происходит смена. Я рекомендую не трогать его и оставлять по умолчанию – в разных моделях интервал обновления отличается.

Метод проверки подлинности на роутере ASUS

На маршрутизаторах ASUS все параметры WiFi расположены на одной странице “Беспроводная сеть”

Защита сети через руотер Zyxel Keenetic

Аналогично и у Zyxel Keenetic – раздел “Сеть WiFi – Точка доступа”

В роутерах Keenetic без приставки “Zyxel” смена типа шифрования производится в разделе “Домашняя сеть”.

Настройка безопасности роутера D-Link

На D-Link ищем раздел “Wi-Fi – Безопасность”

Что ж, сегодня мы разобрались типами шифрования WiFi и с такими терминами, как WEP, WPA, WPA2-PSK, TKIP и AES и узнали, какой из них лучше выбрать. О других возможностях обеспечения безопасности сети читайте также в одной из прошлых статей, в которых я рассказываю о фильтрации контента на роутере по MAC и IP адресам и других способах защиты.

Безопасность Wi-Fi: следует ли использовать WPA2-AES, WPA2-TKIP или оба?

Разница между WPA и WPA2

Многие Wi-Fi роутеры предоставляют WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP / AES) в качестве параметров. Стоит выбрать не тот, и у вас будет более медленная и менее защищенная сеть.

Wired Equivalent Privacy (WEP), защищенный доступ Wi-Fi (WPA) и защищенный доступ Wi-Fi II (WPA2) — это основные алгоритмы безопасности, которые вы увидите при настройке беспроводной сети. WEP является самым старым и уязвимым, поскольку все больше и больше недостатков безопасности оказываются обнаруженными.

WPA улучшила безопасность, но теперь также считается уязвимой для вторжения. WPA2, хоть и не идеальный, но в настоящее время самый надежный выбор. Протокол целостности временных ключей (TKIP) и Advanced Encryption Standard (AES) — это два разных типа шифрования, которые вы увидите в сетях, защищенных WPA2.

Давайте посмотрим, как они отличаются и который из них лучше всего подходит для вас.

AES против TKIP

TKIP и AES — это два разных типа шифрования, которые могут использоваться сетью Wi-Fi.

TKIP на самом деле является более старым протоколом шифрования, введенным с WPA, чтобы заменить незащищенное шифрование WEP в то время. TKIP на самом деле очень похож на WEP-шифрование.

TKIP больше не считается безопасным и теперь устарел. Другими словами, вы не должны его использовать.

AES — это более безопасный протокол шифрования, введенный с WPA2. AES — это не какой-то скрипучий стандарт, разработанный специально для сетей Wi-Fi. Это серьезный мировой стандарт шифрования, который даже был принят правительством США.

Например, когда вы шифруете жесткий диск с помощью TrueCrypt, для этого может использоваться шифрование AES.

AES, как правило, считается достаточно безопасным, и основными недостатками могут быть атаки грубой силы (предотвращенные с использованием сильной кодовой фразы) и недостатки безопасности в других аспектах WPA2.

Коротко говоря TKIP является более старым стандартом шифрования, используемым WPA. AES — это новое решение для шифрования Wi-Fi, используемое новым и безопасным стандартом WPA2. Теоретически это конец. Но, в зависимости от вашего роутера, просто выбор WPA2 может быть недостаточно хорошим.

Хотя WPA2 должен использовать AES для обеспечения оптимальной безопасности, он также может использовать TKIP, где необходима обратная совместимость с устаревшими устройствами.

В таком состоянии устройства, поддерживающие WPA2, будут подключаться к WPA2, а устройства, поддерживающие WPA, будут подключаться к WPA. Поэтому «WPA2» не всегда означает WPA2-AES.

Однако на устройствах без видимой опции «TKIP» или «AES» WPA2 обычно является синонимом WPA2-AES.

И в случае, если вам интересно, «PSK» в этих именах означает «предварительный общий ключ». Предварительно общий ключ — это, как правило, ваша кодовая фраза шифрования. Это отличает его от WPA-Enterprise, который использует сервер RADIUS для раздачи уникальных ключей в крупных корпоративных или правительственных сетях Wi-Fi.

Разработанные режимы безопасности Wi-Fi

Не много запутались? Мы не удивлены. Но все, что вам действительно нужно сделать, это определить один, самый безопасный вариант в списке, который работает с вашими устройствами. Вот варианты, которые вы, вероятно, увидите на своем роутере:

  • Открыто (опасно): в открытых сетях Wi-Fi нет кодовой фразы. Вы не должны настраивать сеть Wi-Fi как открытую — серьезно, это как оставить дверь дома открытой.
  • WEP 64 (опасно): старый стандарт протокола WEP уязвим, и вы действительно не должны его использовать.
  • WEP 128 (опасно): это WEP, но с большим размером ключа шифрования. На самом деле он не менее уязвим, чем WEP 64.
  • WPA-PSK (TKIP): используется исходная версия протокола WPA (по существу WPA1). Он был заменен WPA2 и не является безопасным.
  • WPA-PSK (AES): используется оригинальный протокол WPA, но заменяет TKIP более современным AES-шифрованием. Он предлагается как временная мера, но устройства, поддерживающие AES, почти всегда поддерживают WPA2, а устройства, требующие WPA, почти никогда не будут поддерживать шифрование AES. Таким образом, этот вариант не имеет смысла.
  • WPA2-PSK (TKIP): используется современный стандарт WPA2 со старым шифрованием TKIP. Это небезопасно, и это хорошая идея, если у вас есть более старые устройства, которые не могут подключиться к сети WPA2-PSK (AES).
  • WPA2-PSK (AES): Это самый безопасный вариант. Он использует WPA2, новейший стандарт шифрования Wi-Fi и новейший протокол шифрования AES. Вы должны использовать этот параметр. На некоторых устройствах вы просто увидите опцию «WPA2» или «WPA2-PSK». Если вы это сделаете, вероятно, все будет отлично, так как это выбор здравого смысла.
  • WPAWPA2-PSK (TKIP / AES): Некоторые устройства предлагают и даже рекомендуют этот вариант смешанного режима. Эта опция позволяет использовать как WPA, так и WPA2, как с TKIP, так и с AES. Это обеспечивает максимальную совместимость с любыми древними устройствами, которые у вас могут быть, но также позволяет злоумышленнику нарушать вашу сеть, взламывая более уязвимые протоколы WPA и TKIP.

Немного из истории

Сертификация WPA2 стала доступной в 2004 году, десять лет назад. В 2006 году сертификация WPA2 стала обязательной. Любое устройство, изготовленное после 2006 года с логотипом «Wi-Fi», должно поддерживать шифрование WPA2.

Поскольку ваши устройства с поддержкой Wi-Fi, скорее всего, новее 8-10 лет, все должно быть в порядке, просто выбирайте WPA2-PSK (AES). Если устройство перестает работать, вы всегда можете его изменить. Хотя, если безопасность вызывает беспокойство, вы можете просто купить новое устройство, выпущенное после 2006 года.

WPA и TKIP замедлят ваш Wi-Fi

Параметры совместимости WPA и TKIP также могут замедлить работу вашей сети Wi-Fi. Многие современные Wi-Fi роутеры, поддерживающие 802.11n и более новые, более быстрые стандарты, будут замедляться до 54 Мбит / с, если вы включите WPA или TKIP. Они делают это для того, чтобы гарантировать совместимость с этими более старыми устройствами.

Для сравнения, даже 802.11n поддерживает до 300 Мбит / с, если вы используете WPA2 с AES. Теоретически 802.11ac предлагает максимальную скорость 3,46 Гбит / с при оптимальных условиях (считайте: идеальный).

На большинстве роутеров, которые мы видели, параметры, как правило, включают WEP, WPA (TKIP) и WPA2 (AES) — с возможностью совместимости с WPA (TKIP) + WPA2 (AES).

Если у вас есть нечетный тип роутера, который предлагает WPA2 в вариантах TKIP или AES, выберите AES. Почти все ваши устройства, безусловно, будут работать с ним, и это быстрее и безопаснее. Это простой выбор, если вы помните, что AES — хорош.

Перевод статьи: «Wi-Fi Security: Should You Use WPA2-AES, WPA2-TKIP, or Both?«

Сравнение протоколов WEP, WPA и WPA2

Разница между WPA и WPA2

Защита точки доступа WiFi очень важна, как если бы она оставалась небезопасной, кто-то может украсть вашу пропускную способность сети, может взломать вашу систему или сделать незаконную деятельность через вашу сеть.

Протоколы WiFi — это стандарты, которые были созданы для обеспечения безопасного и безопасного доступа к беспроводной связи WiFi. Протоколы WiFi шифруют данные, когда они передаются в сети.

Лицо без ключа дешифрования не может подключиться к сети и читать информацию о связи.

Некоторые из известных протоколов Wi-Fi включают WEP, WPA, WPA2 (Personal и Enterprise). В этой статье мы обсудим технические различия между этими протоколами и когда каждый из них будет использоваться.

Почему важно знать об этих протоколах?

Все эти стандарты беспроводной связи созданы для обеспечения безопасности вашей домашней сети. Каждый из этих протоколов имеет свои преимущества и недостатки. Пользователь должен выбрать подходящий протокол. Эта статья точно знает, какой протокол использовать в это время.

Следует иметь в виду, что беспроводная технология по своей сути небезопасна, поскольку мы не можем контролировать распространение беспроводных сигналов в воздухе. Вот почему важно выбрать лучший протокол безопасности, который минимизирует риск взлома или утечки данных.

WEP, WPA и WPA2 Сравнение протоколов (технические различия)

Защита точки доступа WiFi очень важна, как если бы она оставалась небезопасной, кто-то может украсть вашу пропускную способность сети, может взломать вашу систему или сделать незаконную деятельность через вашу сеть.

Протоколы WiFi — это стандарты, которые были созданы для обеспечения безопасного и безопасного доступа к беспроводной связи WiFi. Протоколы WiFi шифруют данные, когда они передаются в сети.

Лицо без ключа дешифрования не может подключиться к сети и читать информацию о связи.

Некоторые из известных протоколов Wi-Fi включают WEP, WPA, WPA2 (Personal и Enterprise). В этой статье мы обсудим технические различия между этими протоколами и когда каждый из них будет использоваться.

WEP против WPA против WPA2 Personal vs WPA2 Enterprise

Вместо обсуждения каждого протокола безопасности мы обсудим три фактора и сравним протоколы в соответствии с этими факторами. К факторам относятся безопасность, аутентификация и производительность.

Безопасность и шифрование

WEP и WPA используют алгоритм RC4 для шифрования сетевых данных. RC4 по своей сути небезопасен, особенно в случае WEP, который использует небольшие ключи и управление ключами. Поскольку WEP отправляет пароли в текстовом виде по сети, довольно просто взломать сеть, используя сетевые снифферы.

WPA был разработан как временная альтернатива WEP. Безопасная форма WPA использует шифрование TKIP, которое шифрует пароли для сетевой связи. Хотя это также более слабая форма безопасности, но она намного лучше, чем WEP.

WPA2 был разработан для сетевой связи с полной безопасностью. Он использует шифрование AES-CCMP, которое теоретически может занять сотни лет для взлома. Все пакеты связи, отправленные и полученные через WPA2, зашифрованы.

Хотя WPA2 — лучшая форма безопасности, вы можете использовать WPA, где устройства не совместимы с WPA2, и использовать WEP в качестве последнего средства, поскольку он все же лучше, чем полностью открытая сеть.

Аутентификация

Аутентификация является важной частью беспроводной сетевой связи. Он определяет, разрешено ли пользователю общаться с сетью или нет.

Все три протокола безопасности, WEP, WPA и WPA2 используют PSK (предварительный общий ключ) для аутентификации.

Хотя WEP использует простой ключ PSK, WPA и WPA2 объединяют его с другими методами шифрования, такими как WPA-PSK и EAP-PSK, чтобы сделать процесс аутентификации более безопасным. Стандарт WPA и WPA2 для аутентификации — 802.1x / EAP.

WPA и WPA2 используют 256-битное шифрование для аутентификации, которое достаточно безопасно. Но поскольку у пользователей, как правило, возникают трудности с установкой таких длинных паролей, кодовая фраза может составлять от 8 до 65 символов, которая сочетается с EAP для шифрования и аутентификации.

Скорость и производительность

Первая мысль о скорости и производительности заключается в том, что, поскольку WEP использует простую аутентификацию и безопасность, она должна быть самой быстрой. Но это полностью отличается от фактических цифр.

Вместо использования большего количества шифрования и безопасности WPA2, по-видимому, является самым высокопроизводительным протоколом безопасности для всех. Это связано с тем, что он позволяет передавать большую пропускную способность между беспроводной точкой доступа и беспроводным устройством.

Вы можете посмотреть следующее видео, в котором объясняется эксперимент сравнения скорости и производительности этих трех протоколов: WEP, WPA и WPA2.

Таблица сравнения WEP, WPA и WPA2

Вот сравнительная таблица для вас, чтобы легко проверить различия между WEP, WPA и WPA2.

ProtocolEncryptionAuthentication
WEPRC4PSK 64-bit
WPARC4 and TKIPPSK 128 & 256 bit
WPA2AES-CCMPAES-PSK 256 bit

Заключение

Мой последний вердикт заключается в том, что если у вас есть современное устройство, вы должны почти всегда использовать WPA2 и хорошие алгоритмы шифрования и аутентификации, поскольку это сделает вашу беспроводную сеть более безопасной.

Но если у вас есть старое устройство, которое не поддерживает WPA2, тогда вы должны пойти с WPA с высоким уровнем шифрования и аутентификации. Третий вариант — перейти с WPA и относительно низким качеством шифрования и аутентификации.

Я бы предложил WEP как выбор последнего средства, поскольку он по-прежнему лучше, чем просто поддерживать беспроводную сеть без безопасности.

Обзорная статья по wi-fi (часть 2)

Разница между WPA и WPA2

В первой части мы рассказывали об основныъ компонентах wi-fi сетей, в этой часте статьи речь пойдет о проблемах безопасности.

Для ограничения доступа посторонним устройствам в WiFi-сети применяется шифрование данных.

WEP

Протокол шифрования, который, однако, использует довольно не стойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256- и 512-битное wep шифрование. Чем больше бит используется, тем больше возможных комбинаций ключей, естественно, это дает более высокую стойкость сетки к взлому.

Часть wep ключа является статической (40 бит в случае 64-битного шифрования), а другая часть (24 бит) – динамичекая (вектор инициализации), который меняется во времени. Основной уязвимостью протокола wep является то, что вектора инициализации повторяются через некоторый промежуток времени и взломщику потребуется лишь собрать эти повторы и вычислить по ним статическую часть ключа.

Для повышения уровня безопасности можно дополнительно к wep шифрованию использовать стандарт 802.1x или VPN.

WPA

Более стойкий протокол шифрования, чем wep, правда и здесь используется тот же алгоритм RC4. Более высокая безопасность достигается за счет использования протоколов TKIP и MIC.

TKIP (Temporal Key Integrity Protocol). Протокол динамических ключей сети, которые меняются довольно часто. Каждому устройству также присваивается ключ, который тоже меняется.

MIC (Message Integrity Check). Протокол проверки целостности пакетов. Защищает от перехвата пакетов.

https://www.youtube.com/watch?v=-Q_WXeEf8Fw

Также возможно и использование 802.1x и VPN, как и в случае с wep.

Существует два вида WPA:

WPA-PSK (Pre-shared key). Для генерации ключей сети и для входа в сеть используется ключевая фраза. Самый лучший вариант, если вы развертываете сеть дома или в небольшом офисе.

WPA-802.1x. Вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.

WPA2

Усовершенствование протокола WPA. В отличие от WPA, используется более стойкий алгоритм шифрования AES. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.

802.1X

Стандарт безопасности, в который входят несколько протоколов:

EAP (Extensible Authentication Protocol). Протокол расширенной аутентификации. Используется совместно с RADIUS сервером в крупных сетях.

TLS (Transport Layer Security). Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.

RADIUS (Remote Authentication Dial-In User Server). Сервер аутентификации пользователей по логину и паролю.

VPN

VPN (Virtual Private Network) – Виртуальная частная сеть. Этот протокол был создан для безопасного подключения клиентов к сети через общественные сети, например, Интернет. Принцип работы VPN – это создание «туннелей» от пользователя до узла доступа или сервера.

Хотя VPN был разработан задолго до появления WI-Fi, его можно использовать в любом типе сетей. Для шифрования трафика в VPN обычно используется протокол IPSec. Он обеспечивает высокий уровень безопасности. Случаев взлома VPN на данный момент неизвестно.

Мы рекомендуем использовать эту технологию для корпоративных сетей.

Дополнительные методы защиты

Фильтрация по MAC адресу

MAC адрес – это уникальный идентификатор устройства (сетевого адаптера), «зашитый» в него производителем. На некотором оборудовании возможно задействовать данную функцию и разрешить доступ в сеть необходимым адресам. Это создаст дополнительную преграду взломщику, хотя не очень серьезную – MAC адрес можно подменить.

Скрытие SSID

SSID – это идентификатор вашей беспроводной сети. Большинство оборудования позволяет его скрыть, таким образом при сканировании wi-fi сетей вашей сети видно не будет. Но опять же, это не слишком серьезная преграда если взломщик использует более продвинутый сканер сетей, чем стандартная утилита в Windows.

Запрет доступа к настройкам точки доступа или роутера через беспроводную сеть.

Активировав эту функцию можно запретить доступ к настройкам точки доступа через Wi-fi сеть, однако это не защитит вас от перехвата трафика или от проникновения в вашу сеть.

P.S. Если у вас возникли сложности с настройкой wi-fi, обращайтесь в наш компьютерный сервис либо закажите выезд компьютерного мастера.

WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети

Разница между WPA и WPA2

В последнее время появилось много «разоблачающих» публикаций о взломе какого-либо очередного протокола или технологии, компрометирующего безопасность беспроводных сетей. Так ли это на самом деле, чего стоит бояться, и как сделать, чтобы доступ в вашу сеть был максимально защищен? Слова WEP, WPA, 802.

1x, EAP, PKI для вас мало что значат? Этот небольшой обзор поможет свести воедино все применяющиеся технологии шифрования и авторизации радио-доступа. Я попробую показать, что правильно настроенная беспроводная сеть представляет собой непреодолимый барьер для злоумышленника (до известного предела, конечно).

Основы

Любое взаимодействие точки доступа (сети), и беспроводного клиента, построено на:

  • Аутентификации — как клиент и точка доступа представляются друг другу и подтверждают, что у них есть право общаться между собой;
  • Шифровании — какой алгоритм скремблирования передаваемых данных применяется, как генерируется ключ шифрования, и когда он меняется.

Параметры беспроводной сети, в первую очередь ее имя (SSID), регулярно анонсируются точкой доступа в широковещательных beacon пакетах. Помимо ожидаемых настроек безопасности, передаются пожелания по QoS, по параметрам 802.11n, поддерживаемых скорости, сведения о других соседях и прочее. Аутентификация определяет, как клиент представляется точке.

Возможные варианты:

  • Open — так называемая открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared — подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP — подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Открытость сети не означает, что любой желающий сможет безнаказанно с ней работать. Чтобы передавать в такой сети данные, необходимо совпадение применяющегося алгоритма шифрования, и соответственно ему корректное установление шифрованного соединения. Алгоритмы шифрования таковы:

  • None — отсутствие шифрования, данные передаются в открытом виде
  • WEP — основанный на алгоритме RC4 шифр с разной длиной статического или динамического ключа (64 или 128 бит)
  • CKIP — проприетарная замена WEP от Cisco, ранний вариант TKIP
  • TKIP — улучшенная замена WEP с дополнительными проверками и защитой
  • AES/CCMP — наиболее совершенный алгоритм, основанный на AES256 с дополнительными проверками и защитой

Комбинация Open Authentication, No Encryption широко используется в системах гостевого доступа вроде предоставления Интернета в кафе или гостинице. Для подключения нужно знать только имя беспроводной сети. Зачастую такое подключение комбинируется с дополнительной проверкой на Captive Portal путем редиректа пользовательского HTTP-запроса на дополнительную страницу, на которой можно запросить подтверждение (логин-пароль, согласие с правилами и т.п).

Шифрование WEP скомпрометировано, и использовать его нельзя (даже в случае динамических ключей).

Широко встречающиеся термины WPA и WPA2 определяют, фактически, алгоритм шифрования (TKIP либо AES). В силу того, что уже довольно давно клиентские адаптеры поддерживают WPA2 (AES), применять шифрование по алгоритму TKIP нет смысла.

Разница между WPA2 Personal и WPA2 Enterprise состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES.

Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым.

Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа.

Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент — сервер авторизации, и почти всегда это RADIUS-сервер.
Все возможные параметры безопасности сведены в этой табличке:

СвойствоСтатический WEPДинамический WEPWPAWPA 2 (Enterprise)
ИдентификацияПользователь, компьютер, карта WLANПользователь, компьютерПользователь, компьютерПользователь, компьютер
АвторизацияОбщий ключ EAP EAP или общий ключ EAP или общий ключ
Целостность 32-bit Integrity Check Value (ICV) 32-bit ICV 64-bit Message Integrity Code (MIC) CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code — CCM) Part of AES
Шифрование Статический ключ Сессионный ключ Попакетный ключ через TKIP CCMP (AES)
РАспределение ключей Однократное, вручную Сегмент Pair-wise Master Key (PMK) Производное от PMK Производное от PMK
Вектор инициализации Текст, 24 бита Текст, 24 бита Расширенный вектор, 65 бит 48-бит номер пакета (PN)
Алгоритм RC4 RC4 RC4 AES
Длина ключа, бит 64/128 64/128 128 до 256
Требуемая инфраструктура Нет RADIUS RADIUS RADIUS

Если с WPA2 Personal (WPA2 PSK) всё ясно, корпоративное решение требует дополнительного рассмотрения.

WPA2 Enterprise

Здесь мы имеем дело с дополнительным набором различных протоколов. На стороне клиента специальный компонент программного обеспечения, supplicant (обычно часть ОС) взаимодействует с авторизующей частью, AAA сервером. В данном примере отображена работа унифицированной радиосети, построенной на легковесных точках доступа и контроллере.

В случае использования точек доступа «с мозгами» всю роль посредника между клиентов и сервером может на себя взять сама точка. При этом данные клиентского суппликанта по радио передаются сформированными в протокол 802.1x (EAPOL), а на стороне контроллера они оборачиваются в RADIUS-пакеты.

Применение механизма авторизации EAP в вашей сети приводит к тому, что после успешной (почти наверняка открытой) аутентификации клиента точкой доступа (совместно с контроллером, если он есть) последняя просит клиента авторизоваться (подтвердить свои полномочия) у инфраструктурного RADIUS-сервера:

Использование WPA2 Enterprise требует наличия в вашей сети RADIUS-сервера. На сегодняшний момент наиболее работоспособными являются следующие продукты:

  • Microsoft Network Policy Server (NPS), бывший IAS — конфигурируется через MMC, бесплатен, но надо купить винду
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3 — конфигурируется через веб-интерфейс, наворочен по функционалу, позволяет создавать распределенные и отказоустойчивые системы, стоит дорого
  • FreeRADIUS — бесплатен, конфигурируется текстовыми конфигами, в управлении и мониторинге не удобен

При этом контроллер внимательно наблюдает за происходящим обменом информацией, и дожидается успешной авторизации, либо отказа в ней. При успехе RADIUS-сервер способен передать точке доступа дополнительные параметры (например, в какой VLAN поместить абонента, какой ему присвоить IP-адрес, QoS профиль и т.п.). В завершении обмена RADIUS-сервер дает возможность клиенту и точке доступа сгенерировать и обменяться ключами шифрования (индивидуальными, валидными только для данной сеcсии):

EAP

Сам протокол EAP является контейнерным, то есть фактический механизм авторизации дается на откуп внутренних протоколов.

На настоящий момент сколько-нибудь значимое распространение получили следующие:

  • EAP-FAST (Flexible Authentication via Secure Tunneling) — разработан фирмой Cisco; позволяет проводить авторизацию по логину-паролю, передаваемому внутри TLS туннеля между суппликантом и RADIUS-сервером
  • EAP-TLS (Transport Layer Security). Использует инфраструктуру открытых ключей (PKI) для авторизации клиента и сервера (суппликанта и RADIUS-сервера) через сертификаты, выписанные доверенным удостоверяющим центром (CA). Требует выписывания и установки клиентских сертификатов на каждое беспроводное устройство, поэтому подходит только для управляемой корпоративной среды. Сервер сертификатов Windows имеет средства, позволяющие клиенту самостоятельно генерировать себе сертификат, если клиент — член домена. Блокирование клиента легко производится отзывом его сертификата (либо через учетные записи).
  • EAP-TTLS (Tunneled Transport Layer Security) аналогичен EAP-TLS, но при создании туннеля не требуется клиентский сертификат. В таком туннеле, аналогичном SSL-соединению браузера, производится дополнительная авторизация (по паролю или как-то ещё).
  • PEAP-MSCHAPv2 (Protected EAP) — схож с EAP-TTLS в плане изначального установления шифрованного TLS туннеля между клиентом и сервером, требующего серверного сертификата. В дальнейшем в таком туннеле происходит авторизация по известному протоколу MSCHAPv2
  • PEAP-GTC (Generic Token Card) — аналогично предыдущему, но требует карт одноразовых паролей (и соответствующей инфраструктуры)

Все эти методы (кроме EAP-FAST) требуют наличия сертификата сервера (на RADIUS-сервере), выписанного удостоверяющим центром (CA).

При этом сам сертификат CA должен присутствовать на устройстве клиента в группе доверенных (что нетрудно реализовать средствами групповой политики в Windows). Дополнительно, EAP-TLS требует индивидуального клиентского сертификата.

Проверка подлинности клиента осуществляется как по цифровой подписи, так (опционально) по сравнению предоставленного клиентом RADIUS-серверу сертификата с тем, что сервер извлек из PKI-инфраструктуры (Active Directory). Поддержка любого из EAP методов должна обеспечиваться суппликантом на стороне клиента. Стандартный, встроенный в Windows XP/Vista/7, iOS, Android обеспечивает как минимум EAP-TLS, и EAP-MSCHAPv2, что обуславливает популярность этих методов. С клиентскими адаптерами Intel под Windows поставляется утилита ProSet, расширяющая доступный список. Это же делает Cisco AnyConnect Client.

Насколько это надежно

В конце концов, что нужно злоумышленнику, чтобы взломать вашу сеть? Для Open Authentication, No Encryption — ничего. Подключился к сети, и всё. Поскольку радиосреда открыта, сигнал распространяется в разные стороны, заблокировать его непросто.

При наличии соответствующих клиентских адаптеров, позволяющих прослушивать эфир, сетевой трафик виден так же, будто атакующий подключился в провод, в хаб, в SPAN-порт коммутатора.

Для шифрования, основанного на WEP, требуется только время на перебор IV, и одна из многих свободно доступных утилит сканирования. Для шифрования, основанного на TKIP либо AES прямое дешифрование возможно в теории, но на практике случаи взлома не встречались.

Конечно, можно попробовать подобрать ключ PSK, либо пароль к одному из EAP-методов. Распространенные атаки на данные методы не известны. Можно пробовать применить методы социальной инженерии, либо терморектальный криптоанализ.

Получить доступ к сети, защищенной EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 можно, только зная логин-пароль пользователя (взлом как таковой невозможен). Атаки типа перебора пароля, или направленные на уязвимости в MSCHAP также не возможны либо затруднены из-за того, что EAP-канал «клиент-сервер» защищен шифрованным туннелем. Доступ к сети, закрытой PEAP-GTC возможен либо при взломе сервера токенов, либо при краже токена вместе с его паролем. Доступ к сети, закрытой EAP-TLS возможен при краже пользовательского сертификата (вместе с его приватным ключом, конечно), либо при выписывании валидного, но подставного сертификата. Такое возможно только при компрометации удостоверяющего центра, который в нормальных компаниях берегут как самый ценный IT-ресурс. Поскольку все вышеозначенные методы (кроме PEAP-GTC) допускают сохранение (кэширование) паролей/сертификатов, то при краже мобильного устройства атакующий получает полный доступ без лишних вопросов со стороны сети. В качестве меры предотвращения может служить полное шифрование жесткого диска с запросом пароля при включении устройства.

Запомните: при грамотном проектировании беспроводную сеть можно очень хорошо защитить; средств взлома такой сети не существует (до известного предела)

  • wi-fi
  • 802.1x
  • RADIUS
  • EAP
  • PEAP
  • PKI
  • безопасность в сети

Безопасность Wi-Fi – когда использовать WPA2-AES и WPA2-TKIP

Разница между WPA и WPA2

Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access II (WPA2) – это основные алгоритмы безопасности, которые вы увидите при настройке беспроводной сети. WEP является самым старым и оказался уязвимым. WPA улучшила безопасность, но теперь также считается уязвимой. WPA2, хотя и не идеален, в настоящее время является самым надежным выбором.

Протокол целостности временного ключа (TKIP) и Advanced Encryption Standard (AES) – это два разных типа шифрования, которые вы увидите в сетях, защищенных WPA2. Давайте посмотрим, как они отличаются и какой лучше всего подходит для вас.

Режимы безопасности Wi-Fi

Ещё не запутались? Всё, что вам действительно нужно сделать, это выбрать один, самый безопасный вариант в списке, который работает с вашими устройствами.

Вот варианты, которые вы, вероятно, увидите на своем маршрутизаторе:

  • Open (рискованно): в открытых сетях Wi-Fi нет кодовой фразы. Вы не должны настраивать открытую сеть Wi-Fi – это все равно, что снять замок с входной двери.
  • WEP 64 (рискованно): старый стандарт протокола WEP – уязвим, и вы не должны его использовать.
  • WEP 128 (рискованно): это тот же WEP, но с большим размером ключа шифрования. На самом деле, он столь уязвим, как WEP 64.
  • WPA-PSK (TKIP): используется исходная версия протокола WPA (по существу WPA1). Он был заменен WPA2 и не является безопасным.
  • WPA-PSK (AES): используется оригинальный протокол WPA, но TKIP заменен более современным AES-шифрованием. Он предлагается в качестве промежуточного варианта: устройства, поддерживающие AES, почти всегда поддерживают WPA2, а устройства, требующие WPA, почти никогда не будут поддерживать шифрование AES. Таким образом, этот вариант имеет мало смысла.
  • WPA2-PSK (TKIP): используется современный стандарт WPA2 со старым шифрованием TKIP. Это небезопасно, и подходит, если у вас старые устройства, которые не могут подключиться к сети WPA2-PSK (AES).
  • WPA2-PSK (AES): Это самый безопасный вариант. Он использует WPA2, новейший стандарт шифрования Wi-Fi и новейший протокол шифрования AES. Вы должны использовать этот параметр. На некоторых устройствах вы просто увидите опцию «WPA2» или «WPA2-PSK». Если вы это сделаете, вероятно, будет использовать AES, так как это выбор здравого смысла.
  • WPAWPA2-PSK (TKIP/AES): некоторые устройства предлагают и даже рекомендуют этот вариант смешанного режима. Эта опция позволяет использовать как WPA, так и WPA2, как с TKIP, так и с AES. Это обеспечивает максимальную совместимость с любыми древними устройствами, которые у вас могут быть, но также позволяет злоумышленникам проникать в вашу сеть, взламывая более уязвимые протоколы WPA и TKIP.

Сертификация WPA2 стала доступной в 2004 году. С 2006 года сертификация WPA2 стала обязательной. Любое устройство, изготовленное после 2006 года с логотипом «Wi-Fi», должно поддерживать шифрование WPA2.

Поскольку ваши устройства с поддержкой Wi-Fi, скорее всего, не старее 10 лет, вы не будете испытывать проблем при выборе WPA2-PSK (AES). Если устройство перестает работать, вы всегда можете его изменить. Хотя, если вам важна ваша безопасность, то лучше купить новое устройство, выпущенное после 2006 года.

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.