Тип безопасности для WI-FI: что такое WPA, WPA2 PSK, шифрование


Сравнение протоколов WEP, WPA и WPA2

Разновидности зашиты

Итак, начнем с того, что еще недавно самой безопасной технологией защиты соединения считалась структура WEP. Она использовала проверку целостности ключа при беспроводном подключении любого девайса и являлась стандартом IEEE 802. 11i.

защита wifi сети

Защита WiFi-сети WPA2-PSK работает, в принципе, почти так же, однако проверку ключа доступа осуществляет на уровне 802. 1X. Иными словами, система проверяет все возможные варианты.

Однако есть и более нова технология, получившая название WPA2 Enterprise. В отличие от WPA, она предусматривает не только затребование персонального ключа доступа, но и наличие предоставляющего доступ сервера Radius. При этом такой алгоритм проверки подлинности может работать одновременно в нескольких режимах (например, Enterprise и PSK, задействовав при этом шифрование уровня AES CCMP).

взлом wpa2 psk

Почему важно знать об этих протоколах?

Все эти стандарты беспроводной связи созданы для обеспечения безопасности вашей домашней сети. Каждый из этих протоколов имеет свои преимущества и недостатки. Пользователь должен выбрать подходящий протокол. Эта статья точно знает, какой протокол использовать в это время.

Следует иметь в виду, что беспроводная технология по своей сути небезопасна, поскольку мы не можем контролировать распространение беспроводных сигналов в воздухе. Вот почему важно выбрать лучший протокол безопасности, который минимизирует риск взлома или утечки данных.

WEP, WPA и WPA2 Сравнение протоколов (технические различия)

Защита точки доступа WiFi очень важна, как если бы она оставалась небезопасной, кто-то может украсть вашу пропускную способность сети, может взломать вашу систему или сделать незаконную деятельность через вашу сеть. Протоколы WiFi — это стандарты, которые были созданы для обеспечения безопасного и безопасного доступа к беспроводной связи WiFi. Протоколы WiFi шифруют данные, когда они передаются в сети. Лицо без ключа дешифрования не может подключиться к сети и читать информацию о связи.

Некоторые из известных протоколов Wi-Fi включают WEP, WPA, WPA2 (Personal и Enterprise). В этой статье мы обсудим технические различия между этими протоколами и когда каждый из них будет использоваться.

Какие виды уязвимостей атак выявляют недостаточно защищенные сети??

Это не просто опасность быть KRACK’D. Незащищенная сеть Wi-Fi начинает атаковать, и WPA3 поможет снизить эти риски. US-Cert описывает возможные сценарии атаки:

  • продажа с нагрузкой
    — Типичный диапазон WiFi в помещении составляет 150 — 300 футов. Если вы живете рядом с соседом, ваше соединение может быть открыто для злоумышленников … или даже соседа-гика, который использует ваш Wi-Fi для загрузки своих фильмов.
  • Wardriving
    — Тип контрабанды, когда потенциальные злоумышленники разъезжают по окрестностям с антенной в поисках незащищенных беспроводных сетей..
  • Злые двойные атаки
    — При атаке злых двойников злоумышленник имитирует точку доступа к общедоступной сети, настраивая свой широковещательный сигнал, который будет сильнее сигнала, генерируемого законной точкой доступа. Естественно, пользователи подключаются к более сильному сигналу, преступному. Затем данные жертвы легко читаются хакером. Всегда проверяйте имя и пароль точки доступа Wi-Fi перед подключением.
  • Беспроводной нюхает
    — Избегайте общественных точек доступа, которые не защищены и где данные не зашифрованы. Преступники используют «снифферы» для поиска конфиденциальной информации, такой как пароли или номера кредитных карт..
  • Несанкционированный доступ к компьютеру
    — Незащищенная точка доступа может позволить злоумышленнику получить доступ к любым каталогам и файлам, которые вы непреднамеренно сделали доступными для совместного использования. Всегда блокировать общий доступ к файлам.
  • Серфинг на плечах
    — В общественных местах следите за скрытыми, злоумышленниками, которые смотрят, как вы печатаете, когда они проходят мимо, или записываете видео на сеанс. Вы можете купить защитную пленку, чтобы избежать этого.

Кража мобильных устройств

— Это не только сеть, которая представляет риск для ваших данных. Если ваше устройство украдено, когда вы работаете в точке доступа, это преступный день для преступников. Убедитесь, что ваши данные всегда защищены паролем, а конфиденциальная информация зашифрована. Это включает в себя данные на портативных устройствах хранения.

WEP против WPA против WPA2 Personal vs WPA2 Enterprise

Вместо обсуждения каждого протокола безопасности мы обсудим три фактора и сравним протоколы в соответствии с этими факторами. К факторам относятся безопасность, аутентификация и производительность.

Безопасность и шифрование

WEP и WPA используют алгоритм RC4 для шифрования сетевых данных. RC4 по своей сути небезопасен, особенно в случае WEP, который использует небольшие ключи и управление ключами. Поскольку WEP отправляет пароли в текстовом виде по сети, довольно просто взломать сеть, используя сетевые снифферы.

WPA был разработан как временная альтернатива WEP. Безопасная форма WPA использует шифрование TKIP, которое шифрует пароли для сетевой связи. Хотя это также более слабая форма безопасности, но она намного лучше, чем WEP.

WPA2 был разработан для сетевой связи с полной безопасностью. Он использует шифрование AES-CCMP, которое теоретически может занять сотни лет для взлома. Все пакеты связи, отправленные и полученные через WPA2, зашифрованы.

Хотя WPA2 — лучшая форма безопасности, вы можете использовать WPA, где устройства не совместимы с WPA2, и использовать WEP в качестве последнего средства, поскольку он все же лучше, чем полностью открытая сеть.

Аутентификация

Аутентификация является важной частью беспроводной сетевой связи. Он определяет, разрешено ли пользователю общаться с сетью или нет. Все три протокола безопасности, WEP, WPA и WPA2 используют PSK (предварительный общий ключ) для аутентификации. Хотя WEP использует простой ключ PSK, WPA и WPA2 объединяют его с другими методами шифрования, такими как WPA-PSK и EAP-PSK, чтобы сделать процесс аутентификации более безопасным. Стандарт WPA и WPA2 для аутентификации — 802.1x / EAP.

WPA и WPA2 используют 256-битное шифрование для аутентификации, которое достаточно безопасно. Но поскольку у пользователей, как правило, возникают трудности с установкой таких длинных паролей, кодовая фраза может составлять от 8 до 65 символов, которая сочетается с EAP для шифрования и аутентификации.

Скорость и производительность

Первая мысль о скорости и производительности заключается в том, что, поскольку WEP использует простую аутентификацию и безопасность, она должна быть самой быстрой. Но это полностью отличается от фактических цифр. Вместо использования большего количества шифрования и безопасности WPA2, по-видимому, является самым высокопроизводительным протоколом безопасности для всех. Это связано с тем, что он позволяет передавать большую пропускную способность между беспроводной точкой доступа и беспроводным устройством. Вы можете посмотреть следующее видео, в котором объясняется эксперимент сравнения скорости и производительности этих трех протоколов: WEP, WPA и WPA2.

Таблица сравнения WEP, WPA и WPA2

Вот сравнительная таблица для вас, чтобы легко проверить различия между WEP, WPA и WPA2.

Защита информации в сетях Wi-Fi: что использовать – WPA2-AES, WPA2-TKIP или и то и другое?

Многие роутеры в качестве опций предоставляют следующие стандарты безопасности: WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP/AES). Сделаете неправильный выбор – получите более медленную и менее защищенную сеть.

Стандарты WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) и WPA2 (Wi-Fi Protected Access II), которые будут вам предложены на выбор при настройке параметров безопасности беспроводной сети, представляют собой основные алгоритмы защиты информации. WEP является старейшим из них и наиболее уязвимым, так как за время его использования в нем было обнаружено множество слабых мест. WPA дает более совершенную защиту, но по имеющимся данным он также подвержен взлому. WPA2 – в настоящее время развивающийся стандарт – на текущий момент является самым распространенным вариантом защиты. TKIP (Temporal Key Integrity Protocol) и AES (Advanced Encryption Standard) представляют собой два различных типа шифрования, которые могут применяться в стандарте WPA2. Давайте посмотрим, чем они отличаются и какой из них в наибольшей степени подходит вам.

Как предприятия могут защитить себя? (Раскрыты)

У Мэтью Хьюза есть несколько практических предложений, закаленных несколькими словами предостережения.

  • Установите обратно совместимый патч
    — К сожалению, говорит Хьюз, многие люди не только медленно устанавливают патчи, но и многие производители не спешат выпускать их..
  • УстановитьVPN
    , зашифрованный туннель между устройствами, предотвращающий прослушивание посторонними лицами — он говорит, что для некоторых людей это может быть нецелесообразно, поскольку они не смогут получить доступ к другим подключенным устройствам в своей сети.
  • использованиеSSL / TLS
    — Это обеспечивает дополнительный уровень шифрования, чтобы помешать ворам и перехватчикам, поскольку он шифрует пакеты на уровне сеанса, а не на сетевом уровне (на который могут быть нацелены злоумышленники KRACK).
  • Обновление устройств и программного обеспечения
    — Убедитесь, что ваш ИТ-отдел регулярно выпускает обновления и исправления для всех устройств компании, включая BYOD. Свяжитесь с производителями, чтобы удостовериться, что они действительно выпустили патчи, исправляющие ошибку KRACK..

К тому же, обезопасить свой роутер

— Убедитесь, что ваш маршрутизатор заблокирован, защищен от внутренних угроз или посторонних лиц, посещающих здание. Существует также ряд настроек по умолчанию на вашем маршрутизаторе, которые вы можете изменить для усиления безопасности, например, ограничение входящего трафика, отключение неиспользуемых служб, изменение информации для входа в систему по умолчанию и изменение SSID на старых устройствах. Проверьте, включен ли межсетевой экран маршрутизатора (это не всегда выполняется автоматически). Используйте SSID для создания отдельных точек доступа для ваших сотрудников и клиентов. Отключите Wi-Fi Protected Setup (WPS), который используется для сопряжения устройств.

Кроме того, прочитайте соответствующие советы для домашних сетей ниже.

AES vs. TKIP

TKIP и AES представляют собой два различных стандарта шифрования, которые могут использоваться в сетях Wi-Fi. TKIP – более старый протокол шифрования, введенный в свое время стандартом WPA взамен крайне ненадежного алгоритма WEP. На самом деле TKIP во многом подобен алгоритму шифрования WEP. TKIP уже не считается надежным методом защиты и в настоящее время не рекомендуется. Другими словами, вам не следует его использовать.

AES – более надежный протокол шифрования, введенный стандартом WPA2. AES – это не какой-нибудь унылый, тот или другой стандарт, разработанный специально для сетей Wi-Fi. Это серьезный мировой стандарт шифрования, взятый на вооружение даже правительством США. Например, когда вы зашифровываете жесткий диск с помощью программы TrueCrypt, она может использовать для этого алгоритм шифрования AES. AES является общепризнанным стандартом, обеспечивающим практически полную безопасность, а его возможные слабые места – потенциальная восприимчивость к атакам методом «грубой силы» (для противодействия которым применяются достаточно сложные кодовые фразы) и недостатки защиты, связанные с другими аспектами WPA2.

Оппортунистическое беспроводное шифрование (OWE) для безопасного серфинга в горячих точках

OWE является водителем позади WiFi расширенный открытый

функция, реализованная для
защитить пользователей в общественных / гостевых точках доступа и предотвратить подслушивание
. Он заменяет старый «открытый» стандарт аутентификации 802.11. С OWE ваши данные шифруются, даже если вы не ввели пароль. Он был разработан для обеспечения зашифрованной передачи данных и обмена данными в сетях, которые не используют пароли (или не используют общий пароль) с использованием индивидуальной защиты данных (IDP); по сути,
каждый авторизованный сеанс имеет свой собственный токен шифрования
. Это означает, что данные каждого пользователя защищены в своем собственном хранилище. Но он также работает в защищенных паролем сетях, гарантируя, что если злоумышленник получит сетевой пароль, он по-прежнему не будет иметь доступа к зашифрованным данным на сетевых устройствах (см. SAE выше).

Все не гибель и мрак. Любой, кто использует Wi-Fi, уязвим, но давайте рассмотрим проблему в перспективе. Хакер может перехватывать только незашифрованный трафик между вашим устройством и маршрутизатором. Если данные были должным образом зашифрованы с использованием HTTPS, злоумышленник не может их прочитать.

Несколько заверений от Брендана Фицпатрика, вице-президента по кибер-риск-инжинирингу, пишущего для Axio:

  • Атака не может быть запущена удаленно, злоумышленник должен находиться в физическом диапазоне определенной сети Wi-Fi.
  • Атака происходит только во время четырехстороннего рукопожатия.
  • Пароль Wi-Fi не обнаруживается во время атаки, и злоумышленнику не разрешено подключаться к сети..
  • Только если атака успешна, злоумышленник может потенциально расшифровать трафик между жертвой и точкой доступа..
  • В настоящее время атака направлена ​​только на клиентскую сторону рукопожатия.

Роберт Грэм отмечает в своем блоге, KRACK «не может победить SSL / TLS или VPN».

Он добавляет: «Ваша домашняя сеть уязвима. Многие устройства будут использовать SSL / TLS, так что все нормально, например, эхо Amazon, которое вы можете продолжать использовать, не беспокоясь об этой атаке. Другие устройства, такие как ваши лампочки Phillips, могут быть не так защищены ». Решение? Патч с обновлениями от вашего поставщика.

Опции безопасности для сети Wi-Fi

Еще более сложно? Ничего удивительного. Но всё, что вам на самом деле нужно сделать – это найти в рабочем списке вашего устройства одну, обеспечивающую наибольшую защиту опцию. Вот наиболее вероятный список опций вашего роутера:

  • Open (risky)
    : в открытых сетях Wi-Fi нет кодовых фраз. Вам не следует устанавливать эту опцию – серьезно, вы можете дать повод полиции нагрянуть к вам в гости.
  • WEP 64 (risky)
    : старый стандарт протокола WEP легко уязвим, и вам не следует его использовать.
  • WEP 128 (risky)
    : это тот же WEP, но с увеличенной длиной шифровального ключа. По факту уязвим не менее, чем WEP 64.
  • WPA-PSK (TKIP)
    : здесь используется оригинальная версия протокола WPA (по сути – WPA1). Он не вполне безопасен и был заменен на WPA2.
  • WPA-PSK (AES)
    : здесь используется оригинальный протокол WPA, где TKIP заменен на более современный стандарт шифрования AES. Этот вариант предлагается как временная мера, но устройства, поддерживающие AES, почти всегда будут поддерживать WPA2, в то время как устройства, которым требуется WPA, почти никогда не будут поддерживать AES. Таким образом, эта опция не имеет большого смысла.
  • WPA2-PSK (TKIP)
    : здесь используется современный стандарт WPA2 со старым алгоритмом шифрования TKIP. Этот вариант не безопасен, и его достоинство заключается только в том, что он подходит для старых устройств, которые не поддерживают опцию WPA2-PSK (AES).
  • WPA2-PSK (AES)
    : это наиболее употребительная опция безопасности. Здесь используется WPA2, новейший стандарт шифрования для сетей Wi-Fi, и новейший протокол шифрования AES. Вам следует использовать эту опцию. На некоторых устройствах вы увидите опцию под названием просто «WPA2» или «WPA2-PSK», что в большинстве случаев подразумевает использование AES.
  • WPAWPA2-PSK (TKIP/AES)
    : некоторые устройства предлагают – и даже рекомендуют – такую смешанную опцию. Данная опция позволяет использовать и WPA, и WPA2 – как с TKIP, так и с AES. Это обеспечивает максимальную совместимость с любыми древними устройствами, которые у вас могут быть, но также дает хакерам возможность проникнуть в вашу сеть путем взлома более уязвимых протоколов WPA и TKIP. Сертификация WPA2 действительна с 2004 г., в 2006 г. она стала обязательной. Любое устройство с логотипом «Wi-Fi», произведенное после 2006 г., должно поддерживать стандарт шифрования WPA2.

Поскольку ваше устройство с возможностью подключения к сети Wi-Fi скорее всего моложе 11 лет, вы можете чувствовать себя спокойно, просто выбирая опцию WPA2-PSK (AES). Установив эту опцию, вы также сможете проверить работоспособность вашего устройства. Если устройство перестает работать, вы всегда сможете вернуть или обменять его. Хотя, если безопасность имеет для вас большое значение, вы можете просто купить новое устройство, произведенное не ранее 2006 г.

WPA3-Personal

Эта версия обеспечивает надежную аутентификацию на основе паролей, даже когда пользователи выбирают короткие или слабые пароли. Он не требует сервера аутентификации и является основным протоколом, который используют домашние пользователи и малые предприятия..

  • Использует 128-битное шифрование
  • Использует рукопожатие одновременной аутентификации равных (SAE), которое защищает от атак грубой силы
  • Включает прямую секретность означает, что новый набор ключей шифрования генерируется каждый раз, когда устанавливается соединение WPA3, поэтому, если исходный пароль скомпрометирован, это не имеет значения
  • Поддерживает безопасность в общественных сетях
  • Легко управляет подключенными устройствами
  • Позволяет выбрать естественный пароль, который, как утверждает Wi-Fi Alliance, облегчит пользователям запоминание парольных фраз

WPA и TKIP замедляют сеть Wi-Fi

Выбираемые в целях совместимости опции WPA и TKIP могут еще и замедлить работу сети Wi-Fi. Многие современные роутеры Wi-Fi, поддерживающие 802.11n или более новые и быстрые стандарты, будут снижать скорость до 54 Мбит/с, если вы установите на них опцию WPA или TKIP, – для обеспечения гарантированной совместимости с гипотетическими старыми устройствами.

Для сравнения, при использовании WPA2 с AES даже стандарт 802.11n поддерживает скорость до 300 Мбит/с, а стандарт 802.11ac предлагает теоретическую максимальную скорость 3,46 Гбит/с при оптимальных (читай: идеальных) условиях. В большинстве роутеров, как мы уже убедились, список опций обычно включает в себя WEP, WPA (TKIP) и WPA2 (AES) – и, возможно, смешанную опцию режима максимальной совместимости WPA (TKIP) + WPA2 (AES), добавленную с лучшими намерениями. Если у вас роутер необычного типа, который предлагает WPA2 или вместе с TKIP, или вместе с AES, выбирайте AES. Почти все ваши устройства точно будут с ним работать, к тому же более быстро и более безопасно. AES – простой и рациональный выбор.

Протокол обеспечения устройств (DPP) для управления сетями и устройствами IoT

Wi-Fi CERTIFIED Easy Connect ™

(который заменяет WPA2 WiFi Provisioning Service) помогает вам подключить все ваши устройства, даже те, которые не имеют удобного интерфейса для ввода вашего пароля (например, Google Home или ваш умный холодильник), используя одно промежуточное устройство.

Wi-Fi Alliance описывает, как это работает: владелец сети выбирает одно устройство в качестве центральной точки конфигурации. Хотя устройство с приятным графическим интерфейсом является самым простым, вы можете использовать любое устройство, способное сканировать код быстрого ответа (QR) или использовать NFC в качестве устройства конфигуратора. Запуск DPP — процедура регистрации «один размер подходит всем» — с этого устройства подключаются все отсканированные устройства и выдаются им учетные данные, необходимые для доступа к сети.. Замечания:

Это дополнительная функция и доступна только на устройствах с
Простое подключение
.

WPA3 безопасен?

После регистрации устройства Wi-Fi оно использует свою конфигурацию для обнаружения и подключения к сети через точку доступа (Источник

: Wi-Fi Alliance)

Настройка безопасности Wi-Fi маршрутизаторов и точек доступа

Сегодня у многих есть дома Wi-Fi маршрутизатор. Ведь по безпроводке куда проще подключить к интернету и ноутбук, и планшет, и смартфон, коих развелось в каждой семье больше чем людей. И он (маршрутизатор) по сути — врата в информационную вселенную. Читай входная дверь. И от этой двери зависит зайдет ли к вам незваный гость без вашего разрешения. Поэтому очень важно уделить внимание правильной настройке роутера, чтобы ваша беспроводная сеть не была уязвимой.

Думаю не нужно напоминать, что скрытие SSID точки доступа не защищает Вас. Ограничение доступа по MAC адресу не эффективно. Поэтому только современные методы шифрования и сложный пароль.

Зачем шифровать? Кому я нужен? Мне нечего скрывать

Не так страшно если украдут пин-код с кредитной карты и снимут с нее все деньги. Тем более, если кто-то будет сидеть за ваш счет в интернете, зная Wi-Fi пароль. И не так страшно если опубликуют ваши фото с корпоративных вечеринок где вы в неприглядном виде. Куда обидней когда злоумышленники проникнут в ваш компьютер и удалят фотографии как Вы забирали сына из роддома, как он сделал первые шаги и пошел в первый класс. Про бэкапы отдельная тема, их конечно нужно делать… Но репутацию со временем можно восстановить, деньги заработать, а вот дорогие для вас фотографии уже нет. Думаю у каждого есть то, что он не хочет потерять. Ваш роутер является пограничным устройством между личным и публичным, поэтому настройте его защиту по полной. Тем более это не так сложно.

Технологии и алгоритмы шифрования

Опускаю теорию. Не важно как это работает, главное уметь этим пользоваться. Технологии защиты беспроводных сетей развивались в следующем хронологическом порядке: WEP, WPA, WPA2. Также эволюционировали и методы шифрования RC4, TKIP, AES. Лучшей с точки зрения безопасности на сегодняшний день является связка WPA2-AES. Именно так и нужно стараться настраивать Wi-Fi. Выглядеть это должно примерно так:

WPA2 является обязательным с 16 марта 2006 года. Но иногда еще можно встретить оборудование его не поддерживающее. В частности если у Вас на компьютере установлена Windows XP без 3-го сервис пака, то WPA2 работать не будет. Поэтому из соображений совместимости на маршрутизаторах можно встретить варианты настроек WPA2-PSK -> AES+TKIP и другой зверинец. Но если парк девайсов у Вас современный, то лучше использовать WPA2 (WPA2-PSK) -> AES, как самый защищенный вариант на сегодняшний день.

Чем отличаются WPA(WPA2) и WPA-PSK(WPA2-PSK)

Стандартом WPA предусмотрен Расширяемый протокол аутентификации (EAP) как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства (иначе называют мандатом), подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена. База зарегистрированных пользователей и система проверки в больших сетях как правило расположены на специальном сервере (чаще всего RADIUS). Упрощённый режим Pre-Shared Key (WPA-PSK, WPA2-PSK) позволяет использовать один пароль, который хранится непосредственно в маршрутизаторе. С одной стороны все упрощается, нет необходимости создавать и сопровождать базу пользователей, с другой стороны все заходят под одним паролем. В домашних условиях целесообразней использовать WPA2-PSK, то есть упрощенный режим стандарта WPA. Безопасность Wi-Fi от такого упрощения не страдает.

Принцип работы WPA2

Нахождение уязвимостей в WPA привело к тому, что были создан метод защиты WPA2. Существенным отличием его от WPA является то, что трафик в сети шифруется не только от устройств, не подключенных к этой сети, но и друг от друга. Иными словами, каждое устройство имеет свои ключи шифрования для обмена данными с точкой доступа. В сети существует несколько ключей шифрования: 1) Pairwise Transient Key (PTK). При помощи данного типа ключа шифруется личный трафик каждого клиента. Таким образом, обеспечивается защита сети «изнутри», чтобы один клиент, авторизованный в сети, не мог перехватить трафик другого. 2)Group Temporal Key (GTK). Данный ключ шифрует широковещательные данные. WPA2 используется в качестве алгоритма шифрования CCMP

CCMP(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счётчика – протокол шифрования для сети WPA2, использующий алгоритм AES как основу для шифрования данных. В соответствии со стандартом FIPS-197 используется 128-битный ключ шифрования. Основное отличие от TKIP и WEP – это централизованное управление целостностью пакетов, которое выполняется на уровне AES. Структура пакета, зашифрованного CCMP

Пакет CCMP увеличен на 16 октетов. Заголовок CCMP состоит из трех частей: PN(номер пакета, 48-разрядный), ExtIV(вектор инициализации), и идентификатора ключа. Инкапсуляция данных с использованием CCMP: 1)Номер пакета увеличивается на некое число, чтобы избежать повторения пакетов 2)Создаются дополнительные аутентификационные данные 3)Создается служебное поле nonce 4)Номер пакета и идентификатор ключа помещаются в заголовок пакета 5)Поле nonce и дополнительные аутентификационные данные шифруются с использованием временного ключа. Декапсуляция данных с использованием CCMP: 1)Создаются поля дополнительных идентификационных данных и поле nonce с использованием данных пакета. 2)Поле дополнительных идентификационных данных извлекается из заголовка зашифрованного пакета 3)Извлекается поле А2, номер пакета и поле приоритета 4)Извлекается поле MIC 5)Выполняется расшифровка пакета и проверка его целостности, с использованием шифротекста пакета, дополнительных идентификационных данных, временного ключа и собственно MIC 6)Выполняется сборка пакета в расшифрованном виде. 7)Пакеты с повторяющимся номером отбрасываются Данный метод шифрования в сети на данный момент является наиболее надежным.

Пароль доступа Wi-Fi

Тут все просто. Пароль к вашей беспроводной точке доступа (роутеру) должен быть более 8 символов и содержать буквы в разном регистре, цифры, знаки препинания. И он никаким боком не должен ассоциироваться с вами. А это значит, что в качестве пароля нельзя использовать даты рождения, ваши имена, номера машин, телефонов и т.п. Так как сломать в лоб WPA2-AES практически невозможно (была лишь пара случаев смоделированных в лабораторных условиях), то основными методами взлома WPA2 являются атака по словарю и брут-форс (последовательный перебор всех вариантов паролей). Поэтому чем сложней пароль, тем меньше шансов у злоумышленников.

… в СССР на железнодорожных вокзалах получили широкое распространение автоматические камеры хранения. В качестве кодовой комбинации замка использовались одна буква и три цифры. Однако мало кто знает, что первая версия ячеек камеры хранения использовала в качестве кодовой комбинации 4 цифры. Казалось бы какая разница? Ведь количество кодовых комбинаций одинаково — 10000 (десять тысяч). Но как показала практика (особенно Московского Уголовного Розыска), когда человеку предлагалось в качестве пароля к ячейке камеры хранения использовать комбинацию из 4-х цифр, то очень много людей использовало свой год рождения (чтобы не забыть). Чем небезуспешно пользовались злоумышленники. Ведь первые две цифры в дате рождения абсолютного большинства населения страны были известны — 19. Осталось на глазок определить примерный возраст сдающего багаж, а любой из нас это может сделать с точностью +/- 3 года, и в остатке мы получаем (точнее злоумышленники) менее 10 комбинаций для подбора кода доступа к ячейке автоматической камеры хранения…

Самый популярный пароль

Человеческая лень и безответственность берут свое. Вот список самых популярных паролей:

  1. 123456
  2. qwerty
  3. 111111
  4. 123123
  5. 1a2b3c
  6. Дата рождения
  7. Номер мобильного телефона
  8. Имя

Правила безопасности при составлении пароля

  1. Каждому свое. То есть пароль маршрутизатора не должен совпадать с любым другим Вашим паролем. От почты например. Возьмите себе за правило, у всех аккаунтов свои пароли и они все разные.
  2. Используйте стойкие пароли, которые нельзя угадать. Например: 2Rk7-kw8Q11vlOp0

У Wi-Fi пароля есть один огромный плюс. Его не надо запоминать. Его можно написать на бумажке и приклеить на дно маршрутизатора.

Уязвимость

Еще в 2008 году на состоявшейся конференции PacSec была представлена методика, позволяющая взломать беспроводное соединение и прочитать передающиеся данные с маршрутизатора на клиентский терминал. Все это заняло около 12-15 минут. Однако взломать обратную передачу (клиент-маршрутизатор) так и не удалось.

Дело в том, что при включенном режиме маршрутизатора QoS можно не только прочитать передаваемую информацию, но и заменить ее поддельной. В 2009 году японские специалисты представили технологию, позволяющую сократить время взлома до одной минуты. А в 2010 году в Сети появилась информация о том, что проще всего взламывать модуль Hole 196, присутствующий в WPA2, с использованием собственного закрытого ключа.

как взломать wpa2 psk

Ни о каком вмешательстве в генерируемые ключи речь не идет. Сначала используется так называемая атака по словарю в сочетании с «брут-форс», а затем сканируется пространство беспроводного подключения с целью перехвата передаваемых пакетов и их последующей записью. Достаточно пользователю произвести подключение, как тут же происходит его деавторизация, перехват передачи начальных пакетов (handshake). После этого даже нахождение поблизости от основной точки доступа не требуется. Можно преспокойно работать в режиме оффлайн. Правда, для совершения всех этих действий понадобится специальное ПО.

Настройка роутера Dlink DIR 300, DIR 320, DIR 615 (русский интерфейс, ревизии B5)

Подготовка к настройке роутера.

Включите роутер в сеть питания. Подключите кабель из подъезда в разъем WAN (Internet). Соедините роутер с компьютером коротким кабелем, который идет в комплекте с роутером. Один разъем установите в сетевую карту компьютера, другой в один из LAN портов роутера.

Далее необходимо проверить настройки локальной сети на компьютере.

Для Windows XP:

Пуск -> Панель управления -> (Сеть и подключение к интернет) -> Сетевые подключения->Подключение по локальной сети ->Свойства -> Протокол Интернета TCP/IP. Установите точку «Получить IP-адрес автоматически» -> ОК, в предыдущем окне так же ОК.

Для Windows 7:

Пуск -> Панель управления -> (Сеть и интернет) -> Центр управления сетями и общим доступом -> Изменение параметров адаптера ->Подключение по локальной сети ->Свойства -> Протокол Интернета TCP/IPv4. Установите точку «Получить IP-адрес автоматически» -> ОК, в предыдущем окне так же ОК.

Для входа в настройки роутера в адресной строке браузера (Internet Explorer, Mozilla Firefox, Opera, Google Chrome), введите адрес 192.168.0.1 и нажмите клавишу Enter.

Если все сделано правильно, откроются настройки роутера. На открывшейся странице введите имя пользователя и пароль администратора для доступа к web-интерфейсу роутера (по умолчанию имя пользователя – admin, пароль – admin). Нажмите кнопку Enter.

После первого входа устройство попросит изменить пароль. Можно ввести так же пароль по умолчанию admin. Далее попадаем в меню настройки роутера.

Цветовые индикаторы вверху показывают состояние подключений на доступном уровне (зелёный — подключено, красный — ошибка, не подключено). Переходим в меню — Настроить вручную.

Перейдите в меню Сеть-> Соединения и нажмите под таблицей кнопку «Добавить». Откроются необходимые настройки.

Тип соединения– Выберите тип соединения PPPoE. Разрешить – Оставьте галку.

PPP Имя пользователя – пропишите логин для доступа в интернет, предоставленный провайдером.

Пароль и Подтверждение пароля – пропишите пароль для доступа в интернет предоставленный провайдером Keep Alive – ставим галку. LCP интервал – 30, LCP провалы – 3.

В поле Разное проверьте, чтобы стояли галки NAT и Сетевой экран.

Нажмите «Сохранить».

В строке с созданным соединением поставьте точку «Шлюз по умолчанию» и нажмите «Сохранить» в правом верхнем углу.

Перейдите в меню Wi-Fi => Общие настройки и проверьте, чтобы стояла галка «Включить беспроводное соединение».

Далее перейдите в меню Wi-Fi => Основные настройки.

Скрыть точку доступа – не ставьте галку.

SSID– пропишите имя беспроводной сети. Можно использовать латинские буквы и цифры.

Страна – оставьте RUSSIAN FEDERATION.

Канал – вместо AUTO установите любой канал с 1 по 11.

Беспроводной режим – можете оставить без изменений или выбрать другой режим.

Максимальное количество клиентов – можете установить максимальное количество беспроводных клиентов. Если установлен 0, количество клиентов неограничено.

Нажмите «Изменить».

Далее перейдите в меню Wi-Fi => Настройки безопасности.

Сетевая аутентификация – рекомендуется устанавливать шифрование WPA-PSK/WPA2- PSKmixed.

Ключ шифрования PSK – можете использовать ключ по умолчанию или установить свой

(от 8 до 63 символов, можно использовать латинские буквы и цифры).

WPA-шифрование – выберите TKIP+AES.

WPA период обновления ключа– оставьте без изменений.

Нажмите «Изменить».

Далее необходимо перезагрузить роутер, для этого в верхнем правом углу нажмите кнопку СистемаСохранить и Перезагрузить.

Настройка DNS.

Переходим в раздел Дополнительно. Выбираем подраздел Серверы имен.

Ставим галку Настройка сервера имен – Вручную:

Прописываем DNS-сервера Вашего города. Вверху выбираем СистемаСохранить и перезагрузить.

Настройка роутера завершена.

Вкладка EAP

Защита Wi-Fi Mikrotik

EAP Methods — метод EAP-аутентификации. Значения:

  • eap-tls — использование встроенной аутентификации EAP TLS. Клиент и сервер поддерживают сертификаты.
  • eap ttls mschapv2 — аутентификации EAP с именем пользователя и паролем.
  • passthrough — точка доступа будет ретранслировать процесс аутентификации на сервер RADIUS.

TLS Mode — режим проверки TLS. Значения:

  • verify certificate — проверять сертификат.
  • dont verify certificate — не проверять сертификаты у клиента.
  • no certificates — не использовать сертификат, использовать метод 2048 bit anonymous Diffie-Hellman key.
  • verify certificate with crl — проверять сертификат по спискам CRL (список аннулированных сертификатов SSL).

TLS certificate — тут указываем непосредственно сертификат TLS.

MSCHAPv2 Username — имя пользователя для аутентификации eap ttls mschapv2.

MSCHAPv2 Password — пароль для аутентификации eap ttls mschapv2.

WPA3 – Крупнейшее обновление безопасности Wi-Fi за последние 14 лет 8

В 2021 году в протоколе WPA2 была обнаружена серьезная уязвимость, получившая название KRACK (Key Reinstallation Attack) – атака с переустановкой ключа. Этот факт, наряду со всеми ранее известными недостатками WPA2, подтолкнул Wi-Fi Alliance к разработке нового стандарта безопасности — WPA3.

Wi-Fi уже давно стал неотъемлемой частью жизни миллионов людей, а с появлением IoT число беспроводных устройств во всем мире постоянно растет, поэтому вопросы защиты Wi-Fi сетей не теряют своей актуальности. Предыдущая версия протокола WPA2 была введена в 2004 году и за последние несколько лет неоднократно была дискредитирована. По этой причине в июле 2021 года Wi-Fi Alliance объявил о начале сертификации устройств, поддерживающих WPA3 (Wi-Fi Protected Access 3) — самого большого обновления безопасности за последние 14 лет.

Новый механизм аутентификации — SAE (Simultaneous Authentication of Equals)

В WPA2 всегда острой проблемой оставалось использование слабых паролей. Если пользователи ставят легкий пароль на беспроводную сеть, то его без труда можно было подобрать с помощью автоматизированных атак с использованием словарей, таких как Dictionary и Brute-Force. Протокол WPA2 никогда не предлагал вариантов для решения этой проблемы. От разработчиков были лишь рекомендации использовать сложные и более надежные пароли. В WPA3 будут приняты меры, позволяющие противодействовать таким атакам.

Для этого в WPA3 был реализован новый механизм аутентификации SAE (Simultaneous Authentication of Equals), который заменяет используемый в WPA2 метод PSK (Pre-Shared Key). Именно в PSK описано четырехступенчатое рукопожатие для установления связи. Этот метод был скомпрометирован KRACK-атакой, которая прерывает серию рукопожатий и пытается повторить запрос на подключение. Неоднократная повторная отправка приветственных сообщений вынуждает участников сети переустановить уже согласованный ключ. Когда жертва переустанавливает ключ, ассоциированные с ним параметры сбрасываются, что нарушает безопасность, которую должен гарантировать WPA2. Таким образом, злоумышленник получает возможность прослушивать трафик и внедрять свои пакеты.

SAE переводится как «одновременная аутентификация равных», и как понятно из названия, согласно этому алгоритму аутентификация устройств производится одновременно и на равных правах. Что это значит?

Разработчики отказались от строгой последовательности действий при авторизации и ушли от того, чтобы считать точку доступа главным устройством в сети при авторизации. Согласно механизму SAE, все устройства в сети (точки доступа и абонентские устройства) работают на равных правах. Поэтому любое устройство может начать отправлять запросы на аутентификацию и в произвольном порядке отправлять информацию по установлению ключей. В результате чего, возможность реализации KRACK-атаки была устранена. С появлением SAE у злоумышленника принципиально не будет возможности прервать процесс аутентификации, «влезая» между точкой доступа и абонентским устройством.

WPA3-Personal и WPA3-Enterprise

В WPA3 по аналогии с WPA2 останется два режима работы: WPA3-Enterprise и WPA3-Personal.

Устройства, использующие WPA3-Personal, получат повышенную защиту от перебора паролей в виде SAE. Даже когда пользователи выбирают пароли, не соответствующие типичным рекомендациям сложности, SAE гарантирует безопасность. Эта технология устойчива к офлайновым брутфорс-атакам, когда взломщик пытается определить сетевой пароль, пытаясь подобрать пароли без сетевого взаимодействия (офлайн).

Кроме этого WPA3-Personal получит дополнительное усиление безопасности в виде «Forward Secrecy». Это решение позволяет устанавливать новый ключ шифрования при каждом новом соединении. При WPA2 можно прослушивать трафик и сохранять зашифрованные данные долгое время, после чего, получив ключ доступа, полученные ранее данные можно расшифровать. С появлением Forward Secrecy это стало невозможно, так как даже если атакующий рано или поздно получит ключ от сети, то он сможет расшифровать только те данные, которые передавались после генерации последнего ключа.

  • Пользователи могут выбирать пароли, которые легче запомнить, не задумываясь о безопасности;
  • Новые алгоритм SAE обеспечивающий улучшенную защиту за счет изменения алгоритма авторизации;
  • Шифрование данные Forward Secrecy, защищает трафик данных, даже если пароль был скомпрометирован;

Корпоративные сети чаще используют Enterprise-протокол безопасности. WPA3-Enterprise также будет улучшен за счет усиления ключа шифрования с 128 бит до 192 битов. Разработчики считают такую длину ключа избыточной для большинства сетей, однако, его будет более чем достаточно для особо ценной информации.

При 192-разрядном шифровании будет использоваться целый ряд сложных криптографических инструментов, протоколов аутентификации и функций формирования ключей:

  • 256-bit Galois/Counter Mode Protocol (GCMP-256)
  • 384-bit Hashed Message Authentication Mode (HMAC) with Secure Hash Algorithm (HMAC-SHA384)
  • Elliptic Curve Diffie-Hellman (ECDH) exchange and Elliptic Curve Digital Signature Algorithm (ECDSA) using a 384-bit elliptic curve
  • 256-bit Broadcast/Multicast Integrity Protocol Galois Message Authentication Code (BIP-GMAC-256)

При этом WPA3 сохраняет обратную совместимость с устройствами, использующими WPA2.

Открытые Wi-Fi сети станут безопасными благодаря Enhanced Open

Пользователи получают доступ к сетям Wi-Fi повсюду: дома, в офисе, в гостиницах, на остановках и в торговых центрах. Доступ к незащищенным сетям в этих местах представляет собой риск того, что кто-то может перехватить персональные данные. Согласно статистики лаборатории Касперского, проанализировавшей 32 миллиона точек доступа Wi-Fi, более 20% устройств используют открытые беспроводные сети:

Стоит ли говорить о том, что следует подключаться только к безопасным и защищенным сетям? Всегда существуют ситуации, когда открытая Wi-Fi сеть является единственным возможным вариантом получения доступа к сети Интернет. Не редки случаи, когда в открытой сети среди большого количества устройств оказывается атакующий, прослушивающий трафик в фоновом режиме. Чтобы устранить эти риски, Wi-Fi Alliance разработал решение для открытых сетей, которое получило название Enhanced Open.

Сети Wi-Fi Enhanced Open предоставляют пользователям неавторизованное шифрование данных, что значительно усиливает безопасность. Защита прозрачна для пользователя и основана на шифровании Opportunistic Wireless Encryption (OWE), определенного в спецификации Internet Engineering Task Force RFC8110 и спецификации беспроводного шифрования Wi-Fi Alliance, Opportunistic Wireless Encryption Specification, которые были разработаны для защиты от пассивного прослушивания. Таким образом, даже просто подключившись к открытой сети с защитой WPA3 весь трафик по умолчанию будет шифроваться.

WPA3 безопасен? Конечно, но есть и улучшения для WPA2

Объявление WPA3 сделало несколько волн, но на его развертывание потребуется некоторое время. Тем временем будут также развернуты некоторые улучшения WPA2:

  • Внедрение Защищенных рамок управления (PMF) на всех устройствах с «Wi-Fi CERTIFIED»
  • Обеспечение поставщиками регулярных проверок на сертифицированных устройствах (Sourc
    e: Commisum)
  • Стандартизация 128-битного криптографического пакета (Sourc
    e: Commisum)

WPA выпускается в двух версиях, которые основаны на требованиях конечного пользователя (домашнее или служебное использование). На первый взгляд, между WPA3-Personal и WPA3-Enterprise нет большой разницы, хотя последняя более безопасна, чем была. предназначен для защиты сверхчувствительных данных и крупных предприятий.

Давайте быстро подведем итоги двух версий, описанных Wi-Fi Alliance. Для начала обе версии:

  • Используйте новейшие методы безопасности
  • Запретить устаревшие устаревшие протоколы
  • Требовать использования защищенных кадров управления (PMF). «Кадры действий управления одноадресной рассылкой защищены как от подслушивания, так и от подделки, а кадры действий управления многоадресной рассылкой защищены от подделки», — говорится в сообщении Wi-Fi Alliance. В двух словах, Википедия описывает фреймы управления как «механизмы, обеспечивающие целостность данных, аутентификацию источника данных и защиту воспроизведения». Техническое описание их работы можно найти на веб-сайте Cisco..
Рейтинг
( 2 оценки, среднее 4.5 из 5 )
Понравилась статья? Поделиться с друзьями: