Защита wpa2: Защита корпоративной сети с помощью WPA2-Enterprise. Как сделать ее надежной

Содержание

Что значит защита WPA2

Ошибка аутентификации Wi-Fi на планшете и телефоне

Одна из часто встречающихся проблем при подключении Android телефона или планшета к Wi-Fi — ошибка аутентификации, или просто надпись «Сохранено, защита WPA/WPA2» после попытки подключиться к беспроводной сети.

В этой статье я расскажу об известных мне способах исправить проблему аутентификации и подключиться-таки к Интернете, раздаваемому вашим Wi-Fi роутером, а также о том, чем может быть вызвано такое поведение.

Сохранено, защита WPA/WPA2 на Android

Обычно сам процесс подключения при возникновении ошибки аутентификации выглядит следующим образом: вы выбираете беспроводную сеть, вводите пароль от нее, после чего видите изменение статуса: Подключение — Аутентификация — Сохранено, защита WPA2 или WPA. Если чуть позже статус меняется на «Ошибка аутентификации», при этом само подключение к сети не происходит, то что-то не так с паролем или настройками безопасности на роутере. Если же просто пишет «Сохранено», то вероятно, дело в параметрах Wi-Fi сети. А теперь по порядку о том, что в таком случае можно сделать, чтобы подключиться к сети.

Важное примечание: при изменении параметров беспроводной сети в роутере, удаляйте сохраненную сеть на своем телефоне или планшете. Для этого в настройках Wi-Fi выберите свою сеть и удерживайте ее, пока не появится меню. В данном меню есть также пункт «Изменить», но по какой-то причине, даже на последних версиях Android после внесения изменений (например, нового пароля), все-равно появляется ошибка аутентификации, в то время как после удаления сети все в порядке.

Очень часто такая ошибка бывает вызвана именно неправильным вводом пароля, при этом пользователь может быть уверен, что вводит все правильно. Прежде всего, убедитесь, что в пароле на Wi-Fi не используется кириллица, а при вводе вы соблюдаете регистр букв (большие и маленькие). Для простоты проверки можете временно изменить пароль на роутере на полностью цифровой, о том, как это сделать вы можете прочитать в инструкциях по настройке роутера (там есть информация для всех распространенных марок и моделей) у меня на сайте (также там вы найдете, как зайти в настройки роутера для описанных ниже изменений).

Второй распространенный вариант, особенно для более старых и бюджетных телефонов и планшетов — неподдерживаемый режим Wi-Fi сети. Следует попробовать включить режим 802.11 b/g (вместо n или Auto) и попробовать подключиться снова. Также, в редких случаях, помогает смена региона беспроводной сети на США (или Россия, если у вас установлен иной регион).

Следующее, что стоит проверить и попробовать изменить — метод проверки подлинности и шифрование WPA (тоже в настройках беспроводной сети роутера, пункты могут называться иначе). Если у вас по умолчанию установлено WPA2-Personal, попробуйте поставить WPA. Шифрование — AES.

Если ошибке аутентификации Wi-Fi на Android у вас сопутствует слабый прием сигнала, попробуйте выбрать свободный канал для беспроводной сети. Маловероятно, но может помочь и смена ширины канала на 20 МГц.

Обновление: в комментариях Кирилл описал такой способ (который по отзывам далее у многих сработал, а потому выношу сюда): Заходим в настройки, нажимаем кнопку Ещё — Режим модема — Настройка точки доступа и сопряжения ставим на IPv4 и IPv6 — BT-модем Выкл/вкл (оставлять на выкл) включите точку доступа, после выключите. (верхний переключатель). Также зайти во вкладку VPN поставить пароль, после убрал в настройках. Последний этап это включить/выключить режим полёта. После всего этого мой вай-фай ожил и автоматически подключился без нажатий.

Еще один способ, предложенный в комментариях — попробуйте задать пароль сети Wi-Fi, состоящий только из цифр, может помочь.

И последний способ, который в случае чего можете попробовать — это автоматическое исправление проблем с помощью приложения для Android WiFi Fixer (можно скачать бесплатно в Google Play). Приложение автоматически исправляет многие ошибки, имеющие отношение к беспроводному подключению и, судя по отзывам, работает (хотя я не совсем понимаю, как именно).

Настройка оборудования

Блог о модемах, роутерах и gpon ont терминалах.

Ошибка аутентификации при подключении к WiFi на планшете или телефоне Android

Сегодня мы с Вами поговорим о частой проблеме, сопутствующей мобильной технике на базе операционной системы Андроид — ошибке аутентификации. Казалось бы что такого — скорее всего просто ошибка при наборе пароля к сети WiFi. Но когда ключ введён несколько раз и вроде бы правильно, а подключение всё равно не проходит — система либо сразу сообщает: «проблема аутентификации», либо просто пишет — «Сохранено, защита WPAWPA2».

Вот тут обычный пользователь начинает впадать в ступор. Особенно, если при этом рядом какой-нибудь ноутбук к этой же сети отлично подключается и работает. Попробуем вместе решить эту задачку.

Сохранено, защита WPAWPA2 на Андроид

Перед тем, как что-либо делать, я бы советовал сделать следующее:
— просто перезагрузите роутер. Парадокс, но в 50% случаев именно это помогает решить все возникающие проблемы, в том числе и ошибку аутентификации.
— попробуйте ещё раз удалить сеть из сохраненных и подключиться заново. Для этого надо нажать на сеть и подержать. Откроется меню, где нужно выбрать пункт «Исключить сеть» или «Удалить». Иногда это помогает, как ни странно.
— обновите прошивку своего маршрутизатора с сайта производителя до самой последней версии. Случается, что причиной ошибки аутентификации является именно кривая микропрограмма домашнего маршрутизатора.
— по возможности сохраните файл с конфигурацией роутера себе на компьютер чтобы потом, в случае чего, не настраивать полностью устройство по новой.
— убедитесь, что Ваша сеть не скрытая, то есть в настройках не установлена галка «Hidden SSID».
— обязательно проверьте, что имя беспроводной сети — SSID — написано на латинице. При этом я не советую использовать спецсимволы, в т.ч. тире и дефисы.

Варианты решения проблемы я рассмотрю универсальные, которые будут актуальны для большинства моделей домашних Вай-Фай маршрутизаторов. В качестве примера буду использовать роутеры TP-Link, а в конце статьи — приведу скриншоты тех же параметров на устройствах от D-Link и ASUS.

1. Попробуйте использовать пароль на WiFi, состоящий только из цифр.

Как показывает статистика, большинство проблем с аутентификацей связаны именно со сложным паролем — кто-то ошибается в символе, или в регистре. Поставив чисто цифровой пароль, Вы исключите ошибку в наборе какого-либо символа. Сделать это можно в настройках безопасности беспроводной сети:

2. Смена типа шифрования.

Ещё один способ, который нередко помогает в случае с планшетами и смартфонами на базе операционной системы Android — смена типа шифрования. У большинства роутеров по умолчанию при выборе стандарта безопасности WPA2-PSK автоматически ставится тип шифрования — AES. И это правильно. Но только вот до сих пор встречаются старые версии Андроида, которые с AES не работают. Поэтому его можно попробовать сменить на TKIP. Делается это так же, в параметрах безопасности:

3. Пробуем использовать WPA-PSK.

Ещё один вариант, который может помочь устранить ошибку аутентификации — смена версии стандарта безопасности. Это часто спасает и в случае использования старых телефонов с Вай-Фай и при использовании новомодных Айфонов и Андроида. И если со старыми аппаратами понятно — те просто с WPA2-PSK работать не умеют. То в случае с новыми устройствами проблема чаще всего в прошивке маршрутизатора. По какой-то причине он неправильно работает с этим стандартом. Поэтому пробуем сменить его на WPA-PSK:

Если этот шаг поможет, то далее пробуйте обновлять прошивку маршрутизатора. На новой версии проблема скорее всего будет устранена.

4. Исключаем режим 802.11N

К сожалению, с самым быстрым беспроводным стандартом N300 работать умеют тоже не все устройства, что так же может усугубить ситуацию. Поэтому в настройках беспроводного модуля пробуем сменить режим «B/G» вместо «B/G/N mixed» и посмотреть результат:

Примечание: Если у Вас аутентификация всё же проходит отлично, а потом долго висит получение IP-адреса и затем пишет «Сохранено, защита WPAWPA2» — смотрите эту инструкцию.

Если Вы используете роутер D-Link, то для тонкой настройки сети Вай-Фай Вам нужно зайти в расширенные параметры и выбрать соответствующий раздел:

Используемый стандарт, шифрование и пароль на сеть Вы можете сменить в настройках безопасности:

А вот используемый режим менять нужно уже в основных настройках:

На роутерах ASUS производитель вывел все базовые параметры в один раздел — «Общие»:

Если перечисленные выше способы не принесли результата, то Вам стоит проверить ещё одну возможную причину — не включена ли случайно на роутере фильтрация клиентов по MAC-адресам. Если она активна, а MAC устройства там не прописан, то Вы никогда к этой сети не подключитесь, хоть и пароль будет 100% верный.

Навигация по записям

Помогло? Посоветуйте друзьям!

Ошибка аутентификации при подключении к WiFi на планшете или телефоне Android : 15 комментариев

У меня не проходит аутентификация, но…
-Я раздаю интернет просто с ноутбука (Использовал Connectify, сейчас использую стандартные средства винды) Хоть с чего раздаю, не помогает.
-Телефон сначала подключался. Недели три он стабильно работал. Но в один прекрасный момент просто перестал подключаться, выдавая ошибку аутентификации. В любом другом месте спокойно подключается и с паролем, и без пароля.

У меня такая же ситуация. Телефон сначала подключался. Стабильно работал несколько месяцев. Но в один прекрасный момент просто перестал подключаться, выдавая ошибку аутентификации. В любом другом месте спокойно подключается и с паролем, и без пароля. При том, что дома спокойно работают и комп, и другие смартфоны

Всё то же самое. Кто знает решение? Помогите, пожалуйста.

Сама решила. Перезапустила коннектифай (выйти, остановив подключение). Теперь ловит, вот только значок не синий, как обычно, а серый, как при очень слабом сигнале.

Ну не учитывали тот вариант что :
Заходим в настройки, нажимаем кнопку Ещё>>>Режим модема>>>Настройка точки доступа и сопряжения ставим на IPv4 & IPv6>>>BT-модем Выкл/вкл (оставлять на выкл) включите точку доступа, после выключите. (верхний переключатель). Также зашёл во вкладку VPN поставил пароль, после убрал в настройках. Последний этап это включить/выключить режим полёта. После всего этого мой вай-фай ожил и автоматически подключился без нажатий. (перепробовал все варианты настройки модема, всякие типы шифрования, менял пароли буквы/цифры ничего не помогало, а это помогло)

Из розетки выключите роутер,и включите

У меня похожая проблема возникала при использовании стандартных виндовых драйверов для Broadcom 802.11 (Windows 8 x64). Проблема решилась установка Broadcom’овского драйвера.

. Кирилл Афёров 8 апреля 2015 в 22:02 Ну не учитывали тот вариант что : Заходим в настройки, нажимаем кнопку Ещё>>>Режим модема>>>Настройка точки доступа и сопряжения ставим на IPv4 & IPv6>>>BT-модем Выкл/вкл (оставлять на выкл) включите точку доступа, после выключите. (верхний переключатель). Также зашёл во вкладку VPN поставил пароль, после убрал в настройках. Последний этап это включить/выключить режим полёта. После всего этого мой вай-фай ожил и автоматически подключился без нажатий. (перепробовал все варианты настройки модема, всякие типы шифрования, менял пароли буквы/цифры ничего не помогало, а это помогло)

Кирилл, а подскажи на каком устроистве так ты делал?
У меня на Нтс , нет такого пункта как ты говоришь( еще-режим модема-точки доступа)
На ноуте тоже такая ж проблема с?аунтиф.

описанные решения подходят для того, кто в первый раз пытается подключается к данной точке вифи, а тем, у кого дисконект произошел внезапно, это не поможет, в таком случае глюк случается на самом теле… подразумеваю, что выход может быть в сбросе аппарата до заводских настроек, либо замены системного файла, отвечающего за работу вифи, но скопировать надо с такой же версии «андрюши»

Манипуляции по совету Кирилла помогли. Спасибо ему за это. Олег, ты не прав. У меня переодически телефон не может подключиться к роутеру дома. Раньше лечил перезагрузкой тела.

Объясните подробнее, что сделал Кирил? На моём телефоне Леново а6060, в настройках немного иначе

Кирил мужик! Заработало!

А что если это общественная сеть и у тебя нет доступа к настройкам роутера?
С HTC Аутентификации проходит, и вайфай работает, а с Asus Zenfone нет, пишет «ошибка аутентификации». Пароль только из цифр состоит.
Что можно сделать в этом случае? Может какие либо приложения есть?
Скачивал WiFi Fixer но не помогает, удалял сеть и заходил заново, тоже самое -_-

Попробуйте на роутере отключить шифрование для проверки и подключить asus — нормально всё пройдёт?!

WEP и WPA против WPA2: почему важны различия для защиты

Акронимы WEP, WPA и WPA2 относятся к различным протоколам беспроводного шифрования, которые предназначены для защиты информации, которую вы отправляете и получаете по беспроводной сети. Выбор протокола для собственной сети может немного сбить с толку, если вы не знакомы с их различиями.

Ниже приводится обзор истории беспроводного шифрования и сравнение этих протоколов, чтобы вы могли прийти к четкому выводу о том, что вы можете использовать для своего дома или бизнеса.

Короче говоря, WPA2 – это то, что следует использовать, если это возможно. Не все устройства поддерживают его, но если оно вам доступно, важно активировать его, чтобы максимально возможная защита была доступна для всех устройств, которые в данный момент подключены и будут подключаться к вашей сети Wi-Fi .

Что значат WEP, WPA и WPA2 – что использовать

Эти протоколы беспроводного шифрования были созданы Wi-Fi Alliance, ассоциацией сотен компаний в отрасли беспроводных технологий. Первым протоколом, созданным группой, был WEP (Wired Equivalent Privacy), введенный в конце 1990-х годов.

WEP, однако, имел серьезные недостатки безопасности и был заменен WPA (Wi-Fi Protected Access). Несмотря на простоту взлома, WEP-соединения всё ещё широко используются и могут давать ложное чувство безопасности многим людям, которые «защищают» свои сети с помощью WEP.

Причина, по которой WEP по-прежнему используется, либо потому, что сетевой администратор не изменил настройки безопасности на беспроводных маршрутизаторах, либо потому, что устройство устарело и поэтому не поддерживает более новые методы шифрования, такие как WPA.

Так же, как WPA заменил WEP, WPA2 заменил WPA в качестве более современного и надежного протокола безопасности. WPA2 реализует новейшие стандарты безопасности, в том числе шифрование данных государственного уровня. С 2006 года все сертифицированные продукты Wi-Fi должны использовать безопасность WPA2.

Если вы ищете новую беспроводную карту или устройство, убедитесь, что оно помечено как Wi-Fi CERTIFIED™, что знать, что оно соответствует последнему стандарту безопасности. Для существующих подключений убедитесь, что ваша беспроводная сеть использует протокол WPA2, особенно при передаче конфиденциальной личной или деловой информации.

Использование WEP/WPA/WPA2 на маршрутизаторе

Во время начальной настройки большинство современных беспроводных точек доступа и маршрутизаторов позволяют выбрать протокол безопасности для использования. Хотя это хорошо, некоторые люди не хотят менять стандартных настроек.

Проблема, связанная с отсутствием изменения протокола безопасности по умолчанию, используемого маршрутизатором, заключается в том, что он может использовать WEP, который небезопасен. Или, что ещё хуже, маршрутизатор может быть полностью открыт без какого-либо шифрования или пароля.

Если вы настраиваете свою собственную сеть, обязательно используйте WPA2 или, по крайней мере, WPA.

Использование WEP/WPA/WPA2 на стороне клиента

Когда вы впервые пытаетесь установить соединение с беспроводной сетью с поддержкой безопасности – будь то ваш ноутбуку, настольный компьютер, смартфон и т.д. – вам будет предложено ввести правильный ключ безопасности или фразу-пароль, чтобы получить доступ к сеть.

Этот пароль является кодом WEP/WPA/WPA2, который администратор маршрутизатора ввел в маршрутизатор при настройке безопасности сети. Если вы подключаетесь к бизнес-сети, он, скорее всего, предоставляется сетевым администратором.

В отличие от точки зрения администратора, настраивающего маршрутизатор на использование определенного протокола безопасности, вы, как пользователь, не можете ничего изменить в методе обеспечения безопасности. Когда вы вводите пароль для сети Wi-Fi, вы получаете доступ, используя любой уже активированный протокол.

По этой причине вы должны принять к сведению настройки безопасности сети после подключения, чтобы понять, что безопасно и небезопасно делать в этой конкретной сети.

Защита wi-fi сети wpa2

Защита в сетях Wi-Fi постоянно совершенствовалась с самого момента появления этой беспроводной технологии. В последнее время она развилась настолько, что почти все современные маршрутизаторы ограждены от возможных атак надежными паролями, сложными методами шифрования, встроенными межсетевыми экранами и множеством других средств защиты от вторжений злоумышленников. Но что произойдёт, если алгоритмы шифрования, до сих пор делавшие Wi-Fi одним из самых защищенных протоколов, окажутся взломанными?

Именно это произошло осенью 2017 года, когда бельгийские исследователи из Лёвенского университета нашли несколько критических уязвимостей в протоколе WPA2 и опубликовали об этом подробный отчет. Протокол WPA2 используется для защиты большинства сетей Wi-Fi в мире и считается самым надежным средством безопасности среди доступных для массового применения.

Как защитить свои данные, если Wi-Fi больше не гарантирует безопасность?

То, что WPA был взломан – это тревожная новость, которая затрагивает множество электронных устройств, однако в ней нет оснований для тревоги.

По сути, исследователи нашли уязвимость в протоколе Wi-Fi, которая делает беспроводной трафик потенциально доступным для прослушивания злоумышленниками. Иными словами, любой желающий может использовать этот изъян в сетевой безопасности, чтобы подсмотреть за чужими действиями в интернете, украсть номера кредитных карт, пароли, перехватить сообщения в мессенджерах и т.д.

К счастью, производители многих гаджетов уже успели улучшить и доработать свои устройства, устранив найденную уязвимость. И кроме того WPA2 – далеко не единственная стена защиты между хакером и персональными данными пользователей.

Чтобы взломать чужой Wi-Fi, злоумышленнику, во-первых, нужно расположить свою принимающую антенну в пределах действия радиоканала, а во-вторых, большая часть информации в интернете передаётся в уже зашифрованном виде, и хакер в любом случае не сможет её прочитать.


Протокол https, на котором работает большинство веб-серверов, добавляет соединению дополнительный уровень защиты, так же как и использование сервисов VPN.

Именно поэтому всегда нужно помнить о значке замка в адресной строке браузера. Если там не отображается маленький навесной замок, это значит, что сайт не использует протокол https, и вся информация, вводимая в формы, включая пароли, может быть доступна третьим лицам.

Именно поэтому перед тем, как отправить куда-то свой домашний адрес или данные платежа, всегда нужно убедиться, что в адресной строке есть замок.

Все ведущие разработчики программного обеспечения почти сразу после новости об уязвимости протокола Wi-Fi выпустили соответствующие патчи для своих продуктов. Например, Microsoft выпустил обновление для Windows в октябре 2017 года. Apple также исправил свои операционные системы macOS и iOS примерно в то же время.

Google выпустил обновление для Android в ноябре, поэтому каждому владельцу устройств с этой платформой нужно ознакомиться с разделом About в настройках телефона или планшета, чтобы узнать, когда было последнее обновление системы безопасности. Если оно выполнялось до ноября, и на телефоне установлен Android 6 или более ранняя версия ОС, то тогда необходимо сделать обновление.

Какой стандарт безопасности беспроводного соединения следует предпочесть?

Беспроводные маршрутизаторы могут использовать большой набор различных протоколов для шифрования данных. Вот три основных стандарта, с которыми работает большинство домашних и офисных маршрутизаторов:

1. Wired Equivalent Privacy (WEP): этот протокол был введен в 1997 году сразу после разработки стандарта 802.11 Wi-Fi; в настоящее время WEP считается небезопасным и уже с 2003 его заменяет технология защиты информации WPA с методом шифрования TKIP.

2. Протокол Integrity Key Temporal Key (TKIP). Этот стандарт также является устаревшим и постепенно выходит из использования. Но в отличие от WEP его по-прежнему можно встретить в прошивках многих моделей современного оборудования.

3. Advanced Encryption Standard (AES). Этот стандарт был введен сразу после TKIP в 2004 году вместе с обновленной и улучшенной системой сертификации соединений WPA2. Маршрутизаторам, работающим именно с этой технологией нужно отдавать предпочтение при выборе нового сетевого оборудования. Гаджеты, подключаемые к беспроводной сети, также должны поддерживать AES, чтобы нормально взаимодействовать с такими маршрутизаторами. Несмотря на уязвимость, о которой говорилось выше, WPA2 по-прежнему считается лучшим методом защиты Wi-Fi. В настоящее время производители маршрутизаторов и интернет-провайдеры обычно используют WPA2 как стандарт; некоторые из них используют комбинацию WPA2 и WPA, чтобы сделать возможной работу с самым широким набором беспроводных гаджетов.

В технической документации к маршрутизаторам также иногда можно встретить буквы PSK, которые означают Pre-Shared-Key или Personal Shared Key. Когда есть выбор, всегда лучше отдать предпочтение моделям с WPA2-PSK (AES) вместо WPA2-PSK (TKIP), но если некоторые старые гаджеты не могут подключиться к роутеру, тогда можно остановиться и на WPA2-PSK (TKIP). Технология TKIP использует современный метод шифрования WPA2, оставляя старым устройствам, зависящим от TKIP, возможность подключаться к беспроводным маршрутизаторам.

Как обезопасить свой Wi-Fi

Отключение WPS

WPS расшифровывается как Wi-Fi Protected Setup, это стандарт и одновременно протокол, который был создан, чтобы сделать настройку беспроводных соединений проще. Несмотря на свою практичность и функциональность, это решение содержит серьёзный изъян: восьмизначный PIN-код, состоящий только из цифр, легко сломать методом примитивного подбора, и это создаёт удобную отправную точку для хакеров, желающих завладеть чужим Wi-Fi.

Что бы узнать, использует или нет беспроводной маршрутизатор протокол WPS, нужно повнимательней рассмотреть коробку, в которой он поставляется: поддержка WPS отмечается наличием особого логотипа на упаковке и отдельной физической кнопкой на корпусе устройства. С точки зрения защиты от взлома этот протокол лучше отключить и никогда им не пользоваться.

Смена пароля на маршрутизаторе

Для того чтобы увидеть панель управления(Вэб-интерфейс) маршрутизатором, нужно написать его внутренний адрес 192.168.1.1 или 192.168.0.1 в адресной строке браузера.

После того, как удалось успешно войти в панель с помощью родного пароля, установленного производителем или полученного от провайдера интернет-услуг, можно увидеть раздел изменения администраторского логина или пароля. Множество маршрутизаторов поставляются с примитивными паролями и логинами вроде ‘admin’ и ‘password’, которые, естественно, нужно сменить на нормальные. Сложный пароль сделает взлом маршрутизатора и доступ к его администраторской панели практически невозможным для посторонних лиц.

При попытке подключения планшета к Wi Fi после ввода пароля появляется *сохранено, защита WEP*, а интернет не подключен

«На сегодняшний день имеется три типа шифрования беспроводных сетей: Защищенный доступ Wi-Fi (WPA и WPA2), Wired Equivalent Privacy (WEP) и 802.1x. Первые два метода подробно описаны в следующих разделах. Протокол 802.1x используется, как правило, в корпоративных сетях.. .

Протокол WEP (Wired Equivalent Privacy)
WEP — более старый метод обеспечения безопасности сети. Он все еще доступен для поддержки устаревших устройств, но использовать его не рекомендуется.

Защищенный доступ Wi-Fi (WPA и WPA2)
По возможности используйте WPA2, так как он обеспечивает наибольшую безопасность. Почти все новые адаптеры беспроводной сети поддерживают WPA и WPA2, но некоторые старые модели не поддерживают. В WPA-личное и WPA2-личное всем пользователям назначается одинаковая парольная фраза. Этот режим рекомендуется для домашних сетей. «

Что Вам нужно сделать:

1) Посмотреть в технических характеристиках своего роутера, какой протокол он поддерживает. (Скорее всего, окажется WEP).

2) Посмотреть в технических характеристиках своего планшета, какой протокол он поддерживает. (Скорее всего, окажется WPA2).

3) Попробовать подключиться с планшета к другому Wi-Fi роутеру, о котором известно, что он поддерживает этот же протокол. Если планшет почему-либо не соединится и с таким роутером, тогда придется обратиться в сервис-центр. Возможно, достаточно будет перепрошивки, чтобы планшет заработал без сбоев.

Безопасность в сетях WiFi. WEP, WPA, WPA2 шифрование Wi-Fi сетей.

Серьезной проблемой для всех беспроводных локальных сетей (и, если уж на то пошло, то и всех проводных локальных сетей) является безопасность. Безопасность здесь так же важна, как и для любого пользователя сети Интернет. Безопасность является сложным вопросом и требует постоянного внимания. Огромный вред может быть нанесен пользователю из-за того, что он использует случайные хот-споты (hot-spot) или открытые точки доступа WI-FI дома или в офисе и не использует шифрование или VPN (Virtual Private Network — виртуальная частная сеть). Опасно это тем, что пользователь вводит свои личные или профессиональные данные, а сеть при этом не защищена от постороннего вторжения.

WEP

Изначально было сложно обеспечить надлежащую безопасность для беспроводных локальных сетей.

Хакеры легко осуществляли подключение практически к любой WiFi сети взламывая такие первоначальные версии систем безопасности, как Wired Equivalent Privacy (WEP). Эти события оставили свой след, и долгое время некоторые компании неохотно внедряли или вовсе не внедряли у себя беспроводные сети, опасаясь, что данные, передаваемые между беспроводными WiFi устройствами и Wi-Fi точками доступа могут быть перехвачены и расшифрованы. Таким образом, эта модель безопасности замедляла процесс интеграции беспроводных сетей в бизнес и заставляла нервничать пользователей, использующих WiFi сети дома. Тогда институт IEEE, создал рабочую группу 802.11i , которая работала над созданием всеобъемлющей модели безопасности для обеспечения 128-битного AES шифрования и аутентификации для защиты данных. Wi-Fi Альянс представил свой собственный промежуточный вариант этого спецификации безопасности 802.11i: Wi-Fi защищенный доступ (WPA – Wi-Fi Protected Access). Модуль WPA сочетает несколько технологий для решения проблем уязвимости 802.11 WEP системы. Таким образом, WPA обеспечивает надежную аутентификацию пользователей с использованием стандарта 802.1x (взаимная аутентификация и инкапсуляция данных передаваемых между беспроводными клиентскими устройствами, точками доступа и сервером) и расширяемый протокол аутентификации (EAP).

Принцип работы систем безопасности схематично представлен на рис.1

 

Также, WPA оснащен временным модулем для шифрования WEP-движка посредствам 128 – битного шифрования ключей и использует временной протокол целостности ключей (TKIP). А с помощью контрольной суммы сообщения (MIC) предотвращается изменение или форматирование пакетов данных. Такое сочетание технологий защищает конфиденциальность и целостность передачи данных и гарантирует обеспечение безопасности путем контроля доступа, так чтобы только авторизованные пользователи получили доступ к сети.

WPA

Дальнейшее повышение безопасности и контроля доступа WPA заключается в создании нового уникального мастера ключей для взаимодействия между каждым пользовательским беспроводным оборудованием и точками доступа и обеспечении сессии аутентификации. А также, в создании генератора случайных ключей и в процессе формирования ключа для каждого пакета.

В IEEE стандарт 802.11i, ратифицировали в июне 2004 года, значительно расширив многие возможности благодаря технологии WPA. Wi-Fi Альянс укрепил свой модуль безопасности в программе WPA2. Таким образом, уровень безопасности передачи данных WiFi стандарта 802.11 вышел на необходимый уровень для внедрения беспроводных решений и технологий на предприятиях. Одно из существенных изменений 802.11i (WPA2) относительно WPA это использования 128-битного расширенного стандарта шифрования (AES). WPA2 AES использует в борьбе с CBC-MAC режимом (режим работы для блока шифра, который позволяет один ключ использовать как для шифрования, так и для аутентификации) для обеспечения конфиденциальности данных, аутентификации, целостности и защиты воспроизведения. В стандарте 802.11i предлагается также кэширование ключей и предварительной аутентификации для упорядочивания пользователей по точкам доступа.

 

WPA2

Со стандартом 802.11i, вся цепочка модуля безопасности (вход в систему, обмен полномочиями, аутентификация и шифрование данных) становится более надежной и эффективной защитой от ненаправленных и целенаправленных атак. Система WPA2 позволяет администратору Wi-Fi сети переключиться с вопросов безопасности на управление операциями и устройствами.

Стандарт 802.11r является модификацией стандарта 802.11i. Данный стандарт был ратифицирован в июле 2008 года. Технология стандарта более быстро и надежно передает ключевые иерархии, основанные на технологии Handoff (передача управления) во время перемещения пользователя между точками доступа. Стандарт 802.11r является полностью совместимой с WiFi стандартами 802.11a/b/g/n.

Также существует стандарт 802.11w , предназначенный для усовершенствования механизма безопасности на основе стандарта 802.11i. Этот стандарт разработан для защиты управляющих пакетов.

Стандарты 802.11i и 802.11w – механизмы защиты сетей WiFi стандарта 802.11n.

Шифрование файлов и папок в Windows 7

Функция шифрования позволяет вам зашифровать файлы и папки, которые будет в последствии невозможно прочитать на другом устройстве без специального ключа. Такая возможность присутствует в таких версиях пакетаWindows 7 как Professional, Enterprise или Ultimate. Далее будут освещены способы включения шифрования файлов и папок.

Включение шифрования файлов:

Пуск -> Компьютер(выберите файл для шифрования)-> правая кнопка мыши по файлу->Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты->Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->Закрыть диалог Свойства(Нажать Ok или Закрыть).

Включение шифрования папок:

Пуск -> Компьютер(выберите папку для шифрования)-> правая кнопка мыши по папку-> Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты-> Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->Закрыть диалог Свойства(Нажать Ok или Закрыть).

В обоих случая в области уведомления появится предложение сделать резервную копию ключа шифруемых файлов или папок. В диалоговом окне вы сможете выбрать место сохранения копии ключа (рекомендуется съемный носитель). Файл или папка изменит свой цвет при удачном шифровании.

Шифрование крайне полезно если вы делите свой рабочий компьютер с несколькими людьми.

Сфера применения

В большинстве случаев беспроводные сети (используя точки доступа и маршрутизаторы) строятся в коммерческих целях для привлечения прибыли со стороны клиентов и арендаторов. Сотрудники компании «Гет Вайфай» имеют опыт подготовки и реализации следующих проектов по внедрению сетевой инфраструктуры на основе беспроводных решений: 

Если у Вас после прочтения возникнут какие-либо вопросы, Вы можете задать их через форму отправки сообщений в разделе контакты.

Защита wpa2 psk как отключить на Андроиде?

Что делать, если невозможно подключиться к сети Wi-Fi и выбивает «сохранено защита WPA, WPA2»?

Часто у пользователей возникает проблема с подключением к интернету, когда сеть действует, но сигнал не раздаётся. Устройство пытается подключиться к точке доступа, но появляется надпись «Сохранено защита WPA» и в результате соединение отсутствует.

Иногда бывает, что девайс к сети подключается, но по факту раздача интернета не работает

Что с этим делать? В большинстве случаев неполадки касаются не телефона или планшета, устройств на Андроиде, а самого роутера. Есть несколько способов изменить его настройки, чтобы наладить его на корректную работу и качественное соединение с вашим оборудованием.

Перезагрузка и перепрошивка роутера

Иногда для решения проблемы с соединением, когда выбивает «Сохранено защита WPA», достаточно сделать перезагрузку точки Wi-Fi и заново подключиться к ней. Вероятно, в работе маршрутизатора попросту возникла неполадка, которая легко устраняется его перезапуском.

Ещё одна возможная причина, связанная с некорректной работой оборудования, может быть связана с тем, что у него устарела прошивка. Скачайте с сайта производителя наиболее актуальную прошивку для маршрутизатора, загрузите файл в меню настроек.

Настройки открываются так: введите IP-адрес роутера в адресную строку любого браузера, впишите значение «Admin» вместо логина и пароля, если вы не изменяли их.

После входа обновите оборудование. Даже если дело не в прошивке, лишний раз поставить новую версию всегда полезно, ведь выпуская её, производитель исправляет все предыдущие неполадки.

Региональные настройки

Доступ к сети может быть недоступен по банальной причине — в оборудовании неправильно установлен регион, где вы проживаете.

Чтобы выяснить это, зайдите в настройки маршрутизатора, выберите раздел Wireless, строку Wireless Settings (для моделей марки TP-Link) и проверьте, какой регион указан в строке с одноимённым названием. Если данные некорректны, исправьте их.

Если у вас роутер другой марки, ищите эти данные в разделе, где помимо региона задаётся имя устройства, а также параметры соединения.

Проблемы с паролем

Проверка правильности ключа

В некоторых случаях строка «Сохранено защита WPA» появляется, если при подключении вы ввели неверный пароль. Чтобы сбросить его, нажмите на значок сети, выберите «Удалить», после чего заново подключитесь и введите правильную комбинацию.

Изменение пароля и типа шифрования

Вполне вероятно, что устройство, при помощи которого вы подключаетесь к Wi-Fi, не воспринимает пароль или тип его шифрования. Эти параметры изменяются в настройках оборудования.

Чтобы сделать это на моделях марки TP-Link, зайдите в меню Wireless, выберите вкладку Wireless Security. Здесь вы измените пароль — попробуйте создать комбинацию, состоящую только из цифр. Ниже выберите способ шифрования — лучше всего выбрать пункт WPA/WPA2 — Personal (Recommended), установите тип AES.

Не забудьте сохранить изменения, сделайте перезагрузку и заново подключитесь к Wi-Fi со своего гаджета. Обратите внимание, что при установке нового пароля и изменении параметров вам нужно изменить данные на остальных устройствах, которые ранее соединялись с этим беспроводным подключением.

Изменение режима работы

Соединение зачастую отсутствует по причине того, что телефон, планшет или другая техника не поддерживает режим работы роутера. Существует три таких режима, все они называются латинскими буквами b, g, n. Если маршрутизатор установлен на работу в режиме n, а гаджет его не поддерживает, то вам не удастся их соединить.

Поэтому проведите эксперимент: измените способ работы устройства, для чего необходимо выполнить следующие действия:

  • Зайдите в настройки оборудования, воспользуйтесь упомянутым ранее разделом Wireless, вкладка Wireless Settings.
  • Остановитесь на строке под названием Mode.
  • Теперь вам предстоит выбрать другой режим — используйте вариант с наличием всех трёх букв — b, g, n, чтобы вы могли подключаться к Wi-Fi со всех устройств, работающих, по крайней мере, в одном из этих режимов.

В моделях ASUS такие параметры вы увидите в меню «Беспроводная сеть», где есть вкладка с выбором режима — остановитесь на варианте Auto или Mixed.

Проверка каналов сети Wi-Fi

Что ещё можно сделать, если у вас нет соединения, и выбивает надпись «Сохранено защита WPA2»? Изменить канал, на котором работает оборудование для беспроводного подключения к сети.

Для этого сделайте следующее:

  • Зайдите в настройки, раздел Wireless, вкладка Wireless Settings — при использовании устройства TP-Link, или «Беспроводная сеть» — для моделей от ASUS.
  • Выберите пункт «Ширина канала» или «Chanel Width».
  • Желательно выбирать вариант Auto или пункт, в котором будет одновременно несколько значений ширины канала.

Как видите, существует много причин, из-за которых возникают проблемы с подключением к сети через Wi-Fi, и все они преимущественно связаны с настройками роутера. Если появилась надпись «Сохранено защита WPA», есть несколько простых способов устранить неполадки, причем сделать это можно самостоятельно и без каких-либо проблем.

nastroyvse.ru

Ошибка аутентификации при подключении к WiFi на планшете или телефоне Android

Сегодня мы с Вами поговорим о частой проблеме, сопутствующей мобильной технике на базе операционной системы Андроид — ошибке аутентификации. Казалось бы что такого — скорее всего просто ошибка при наборе пароля к сети WiFi. Но когда ключ введён несколько раз и вроде бы правильно, а подключение всё равно не проходит — система либо сразу  сообщает: «проблема аутентификации», либо просто пишет — «Сохранено, защита WPAWPA2». 

Вот тут обычный пользователь начинает впадать в ступор. Особенно, если при этом рядом какой-нибудь ноутбук к этой же сети отлично подключается и работает. Попробуем вместе решить эту задачку.

Сохранено, защита WPAWPA2 на Андроид

Перед тем, как что-либо делать, я бы советовал сделать следующее: — просто перезагрузите роутер. Парадокс, но в 50% случаев именно это помогает решить все возникающие проблемы, в том числе и ошибку аутентификации. — попробуйте ещё раз удалить сеть из сохраненных и подключиться заново. Для этого надо нажать на сеть и подержать. Откроется меню, где нужно выбрать пункт «Исключить сеть» или «Удалить». Иногда это помогает, как ни странно. — обновите прошивку своего маршрутизатора с сайта производителя до самой последней версии. Случается, что причиной ошибки аутентификации является именно кривая микропрограмма домашнего маршрутизатора. — по возможности сохраните файл с конфигурацией роутера себе на компьютер чтобы потом, в случае чего, не настраивать полностью устройство по новой. — убедитесь, что Ваша сеть не скрытая, то есть в настройках не установлена галка «Hidden SSID».

— обязательно проверьте, что имя беспроводной сети — SSID — написано на латинице. При этом я не советую использовать спецсимволы, в т.ч. тире и дефисы.

Варианты решения проблемы я рассмотрю универсальные, которые будут актуальны для большинства моделей домашних Вай-Фай маршрутизаторов. В качестве примера буду использовать роутеры TP-Link,  а в конце статьи — приведу скриншоты тех же параметров на устройствах от D-Link и ASUS.

1. Попробуйте использовать пароль на WiFi, состоящий только из цифр.

Как показывает статистика, большинство проблем с аутентификацей связаны именно со сложным паролем — кто-то ошибается в символе, или в регистре.  Поставив чисто цифровой пароль, Вы исключите ошибку в наборе какого-либо символа. Сделать это можно в настройках безопасности беспроводной сети:

2. Смена типа шифрования.

Ещё один способ, который нередко помогает в случае с планшетами и смартфонами на базе операционной системы Android — смена типа шифрования. У большинства роутеров по умолчанию при выборе стандарта безопасности WPA2-PSK автоматически ставится тип шифрования — AES. И это правильно. Но только вот до сих пор встречаются старые версии Андроида, которые с AES не работают. Поэтому его можно попробовать сменить на TKIP. Делается это так же, в параметрах безопасности:

3. Пробуем использовать WPA-PSK.

Ещё один вариант, который может помочь устранить ошибку аутентификации  — смена версии стандарта безопасности. Это часто спасает и в случае использования старых телефонов с Вай-Фай и при использовании новомодных Айфонов и Андроида. И если со старыми аппаратами понятно — те просто с WPA2-PSK работать не умеют.  То в случае с новыми устройствами проблема чаще всего в прошивке маршрутизатора. По какой-то причине он неправильно работает с этим стандартом. Поэтому пробуем сменить его на WPA-PSK:

Если этот шаг поможет, то далее пробуйте обновлять прошивку маршрутизатора. На новой версии проблема скорее всего будет устранена.

4. Исключаем режим 802.11N

К сожалению, с самым быстрым беспроводным стандартом N300 работать умеют тоже не все устройства, что так же может усугубить ситуацию. Поэтому в настройках беспроводного модуля пробуем сменить режим «B/G» вместо «B/G/N mixed» и посмотреть результат:

Примечание: Если у Вас аутентификация всё же проходит отлично, а потом долго висит получение IP-адреса и затем пишет «Сохранено, защита WPAWPA2» — смотрите эту инструкцию.

Если Вы используете роутер D-Link, то для тонкой настройки сети Вай-Фай Вам нужно зайти в расширенные параметры и выбрать соответствующий раздел:

Используемый стандарт, шифрование и пароль на сеть Вы можете сменить в настройках безопасности:

А вот используемый режим менять нужно уже в основных настройках:

На роутерах ASUS производитель вывел все базовые параметры в один раздел — «Общие»:

Если  перечисленные выше способы не принесли результата, то Вам стоит проверить ещё одну возможную причину — не включена ли случайно на роутере фильтрация клиентов по MAC-адресам. Если она активна, а MAC устройства там не прописан, то Вы никогда к этой сети не подключитесь, хоть и пароль будет 100% верный.

nastroisam.ru

Почему телефон не подключается к wifi и пишет сохранено защита wpa2

                       Иногда бывает такое, что при подключении к доступному wi-fi выходит сообщение «сохранено, защита wpa2». Причем подключение срабатывает, но выгрузки не происходит. А значит и доступ преграждается.

Для того чтобы понять почему телефон не подключается к wifi пишет сохранено защита wpa2, нужно начать сначала, а именно с сути проблемы.

Зачастую проблемой являются сами настройки роутера. Если покопаться в настройках, то можно найти пункт «режим беспроводной сети», в котором должно стоять значение Auto. В противном случае Вы не избавитесь от проблемы.

Иногда бывает такое, что телефон подключен к сети, но не прогружает ничего. После того как перезагружаешь телефон, и пытаешься подключиться заново выдает эту самую ошибку. В этом случае нужно прибегнуть к перезагрузке роутера.

После того, как мы узнали причины, почему телефон не подключается к wifi, следует приступить к исправлению данных ошибок и недочетов.

Для решения этой проблемы нужно обратиться к правильным настройкам. А именно:

Выставить правильные географические данные на роутере.

Проверить правильность вводимого пароля к сети.

Настроить режим беспроводной сети в тех же самых настройках.

Проверить тип шифрования данных.

Попробовать поменять канал работы сети.

Изменить саму шину этого канала.

Но давайте обо всем по порядку. Для начала входим в настройки роутера. Для этого в адресной строке любого обозревателя нужно вписать 192.168.1.1. После проследовать в настройки wi-fi и выставить правильные данные места, в котором Вы находитесь. Сохраняем изменения.

Пробуйте переписать сам пароль при подключении. Если Вы забыли верный пароль то его можно найти в тех же настройках, что описывались выше.

Режим работы сети включает в себя буквы b/g/n, которые находятся в настройках самого маршрутизатора. Попробуйте менять режимы. Но после каждой смены требуется перезагрузить роутер. Дело в том, что иногда устройство, с которого Вы хотите подключиться к сети, не поддерживает режим сети роутера.

Изменить тип шифрования пароля, и сам пароль. Но важно помнить, что после этих манипуляций устройства, что были подключены ранее, перестанут быть в сети с этим роутером. Необходимо будет на них переписать данные входа.

Ширина канала выставляется тоже в настройках роутера. Можно поэкспериментировать с этими данными, и попробовать новое подключение.

Теперь вы знаете, почему телефон не подключается к wifi, пишет сохранено защита wpa2, а также как это исправить. После проделки этих действий проблема должна быть исправлена, и устройство подключится к сети.

schel4koff.ru

Ошибка аутентификации Wi-Fi на планшете и телефоне

08.10.2014  мобильные устройства | настройка роутера

Одна из часто встречающихся проблем при подключении Android телефона или планшета к Wi-Fi — ошибка аутентификации, или просто надпись «Сохранено, защита WPA/WPA2» после попытки подключиться к беспроводной сети.

В этой статье я расскажу об известных мне способах исправить проблему аутентификации и подключиться-таки к Интернете, раздаваемому вашим Wi-Fi роутером, а также о том, чем может быть вызвано такое поведение.

Сохранено, защита WPA/WPA2 на Android

Обычно сам процесс подключения при возникновении ошибки аутентификации выглядит следующим образом: вы выбираете беспроводную сеть, вводите пароль от нее, после чего видите изменение статуса: Подключение — Аутентификация — Сохранено, защита WPA2 или WPA. Если чуть позже статус меняется на «Ошибка аутентификации», при этом само подключение к сети не происходит, то что-то не так с паролем или настройками безопасности на роутере. Если же просто пишет «Сохранено», то вероятно, дело в параметрах Wi-Fi сети.  А теперь по порядку о том, что в таком случае можно сделать, чтобы подключиться к сети.

Важное примечание: при изменении параметров беспроводной сети в роутере, удаляйте сохраненную сеть на своем телефоне или планшете. Для этого в настройках Wi-Fi выберите свою сеть и удерживайте ее, пока не появится меню. В данном меню есть также пункт «Изменить», но по какой-то причине, даже на последних версиях Android после внесения изменений (например, нового пароля), все-равно появляется ошибка аутентификации, в то время как после удаления сети все в порядке.

Очень часто такая ошибка бывает вызвана именно неправильным вводом пароля, при этом пользователь может быть уверен, что вводит все правильно. Прежде всего, убедитесь, что в пароле на Wi-Fi не используется кириллица, а при вводе вы соблюдаете регистр букв (большие и маленькие). Для простоты проверки можете временно изменить пароль на роутере на полностью цифровой, о том, как это сделать вы можете прочитать в инструкциях по настройке роутера (там есть информация для всех распространенных марок и моделей) у меня на сайте (также там вы найдете, как зайти в настройки роутера для описанных ниже изменений).

Второй распространенный вариант, особенно для более старых и бюджетных телефонов и планшетов — неподдерживаемый режим Wi-Fi сети. Следует попробовать включить режим 802.11 b/g (вместо n или Auto) и попробовать подключиться снова. Также, в редких случаях, помогает смена региона беспроводной сети на США (или Россия, если у вас установлен иной регион).

Следующее, что стоит проверить и попробовать изменить — метод проверки подлинности и шифрование WPA (тоже в настройках беспроводной сети роутера, пункты могут называться иначе). Если у вас по умолчанию установлено WPA2-Personal, попробуйте поставить WPA. Шифрование — AES.

Если ошибке аутентификации Wi-Fi на Android у вас сопутствует слабый прием сигнала, попробуйте выбрать свободный канал для беспроводной сети. Маловероятно, но может помочь и смена ширины канала на 20 МГц.

Обновление: в комментариях Кирилл описал такой способ (который по отзывам далее у многих сработал, а потому выношу сюда): Заходим в настройки, нажимаем кнопку Ещё — Режим модема — Настройка точки доступа и сопряжения ставим на IPv4 и IPv6 — BT-модем Выкл/вкл (оставлять на выкл) включите точку доступа, после выключите. (верхний переключатель). Также зайти во вкладку VPN поставить пароль, после убрал в настройках. Последний этап это включить/выключить режим полёта. После всего этого мой вай-фай ожил и автоматически подключился без нажатий.

Еще один способ, предложенный в комментариях — попробуйте задать пароль сети Wi-Fi, состоящий только из цифр, может помочь.

И последний способ, который в случае чего можете попробовать — это автоматическое исправление проблем с помощью приложения для Android WiFi Fixer (можно скачать бесплатно в Google Play). Приложение автоматически исправляет многие ошибки, имеющие отношение к беспроводному подключению и, судя по отзывам, работает (хотя я не совсем понимаю, как именно).

А вдруг и это будет интересно:

remontka.pro

Технологии WEP и WPA | Лаборатория Касперского

Защита беспроводной сети – важнейший аспект безопасности. Подключение к интернету с использованием небезопасных ссылок или сетей угрожает безопасности системы и может привести к потере информации, утечке учетных данных и установке в вашей сети вредоносных программ. Очень важно применять надлежащие меры защиты Wi-Fi, однако также важно понимать различия стандартов беспроводного шифрования: WEP, WPA, WPA2 и WPA3.

WPA (Wi-Fi Protected Access) – это стандарт безопасности для вычислительных устройств с беспроводным подключением к интернету. Он был разработан объединением Wi-Fi Alliance для обеспечения лучшего шифрования данных и аутентификации пользователей, чем было возможно в рамках стандарта WEP (Wired Equivalent Privacy), являющегося исходным стандартом безопасности Wi-Fi. С конца 1990-х годов стандарты безопасности Wi-Fi претерпели некоторые изменения, направленные на их улучшение.

Что такое WEP?

Беспроводные сети передают данные посредством радиоволн, поэтому, если не приняты меры безопасности, данные могут быть с легкостью перехвачены. Представленная в 1997 году технология WEP является первой попыткой защиты беспроводных сетей. Ее целью было повышение безопасности беспроводных сетей за счет шифрования данных. Даже в случае перехвата данных, передаваемых в беспроводной сети, их невозможно было прочитать, поскольку они были зашифрованы. Однако системы, авторизованные в сети, могут распознавать и расшифровывать данные, благодаря тому, что все устройства в сети используют один и тот же алгоритм шифрования.

WEP шифрует трафик с использованием 64 или 128-битного ключа в шестнадцатеричном формате. Это статический ключ, поэтому весь трафик, независимо от устройства, шифруется с помощью одного ключа. Ключ WEP позволяет компьютерам внутри сети обмениваться зашифрованными сообщениями, однако содержимое сообщений скрыто от злоумышленников. Этот ключ используется для подключения к беспроводной сети с включенной безопасностью.

Одна из основных задач технологии WEP – предотвращение атак типа «человек посередине», с которой она успешно справлялась в течение определенного времени. Однако, несмотря на изменения протокола и увеличение размера ключа, со временем в стандарте WEP были обнаружены различные недостатки. По мере роста вычислительных мощностей злоумышленникам стало проще использовать эти недостатки. Объединение Wi-Fi Alliance официально отказалось от использования технологии WEP в 2004 году из-за ее уязвимостей. В настоящее время технология безопасности WEP считается устаревшей, хотя иногда она все еще используется либо из-за того, что администраторы сети не изменили настроенные умолчанию протоколы безопасности беспроводных роутеров, либо из-за того, что устройства устарели и не способны поддерживать новые методы шифрования, такие как WPA.

Что такое WPA?

WPA (Wi-Fi Protected Access) – это появившийся в 2003 году протокол, которым объединение Wi-Fi Alliance заменило протокол WEP. WPA похож на WEP, однако в нем усовершенствована обработка ключей безопасности и авторизации пользователей. WEP предоставляет всем авторизованным системам один ключ, а WPA использует протокол целостности временного ключа (Temporal Key Integrity Protocol, TKIP), динамически изменяющий ключ, используемый системами. Это не позволяет злоумышленникам создать собственный ключ шифрования, соответствующий используемому в защищенной сети. Стандарт шифрования TKIP впоследствии был заменен расширенным стандартом шифрования (Advanced Encryption Standard, AES).

Кроме того, протокол WPA включает проверку целостности сообщений, чтобы определить, имел ли место захват или изменение пакетов данных злоумышленником. Протокол WPA использует 256-битные ключи, что значительно надежнее 64 и 128-битных ключей, используемых протоколом WEP. Однако, несмотря на эти улучшения, в протоколе WPA также были обнаружены уязвимости, что привело к созданию протокола WPA2.

Иногда используется термин «ключ WPA» – это пароль для подключения к беспроводной сети. Пароль WPA можно получить от администратора сети. В ряде случаев установленный по умолчанию пароль WPA может быть напечатан на беспроводном роутере. Если не удается определить пароль роутера, возможно, его можно сбросить.

Что такое WPA2?

Протокол WPA2 появился в 2004 году. Он является обновленной версией WPA. WPA2 основан на механизме сети высокой безопасности (RSN) и работает в двух режимах:

  • Персональный режим или общий ключ (WPA2-PSK) – использует общий пароль доступа и обычно применяется в домашних сетях.
  • Корпоративный режим (WPA2-EAP) – больше подходит для сетей организаций и коммерческого использования.

В обоих режимах используется протокол CCMP, основанный на алгоритме расширенного стандарта шифрования (AES), обеспечивающего проверку подлинности и целостности сообщения. Протокол CCMP является более надежным, чем исходно используемый в WPA протокол TKIP, поэтому его использование затрудняет атаки злоумышленников.

Однако у протокола WPA2 также есть недостатки. Например, он уязвим для атак с переустановкой ключа (KRACK). Атаки с переустановкой ключа используют уязвимость WPA2, позволяющую имитировать реальную сеть и вынуждать пользователей подключаться к вредоносной сети вместо настоящей. Это позволяет злоумышленникам расшифровывать небольшие фрагменты данных, объединение которых позволит взломать ключ шифрования. Однако на устройства могут быть установлены исправления, поэтому WPA2 считается более надежным, чем WEP и WPA.

Что такое WPA3?

WPA3 – это третья версия протокола защищенного доступа Wi-Fi. Объединение Wi-Fi Alliance выпустило WPA3 в 2018 году. В протоколе WPA3 реализованы следующие новые функции для личного и для корпоративного использования:

Индивидуальное шифрование данных. При входе в публичную сеть WPA3 регистрирует новое устройство способом, не подразумевающим использование общего пароля. В WPA3 используется протокол DPP (Device Provisioning Protocol) для сетей Wi-Fi, позволяющий пользователям использовать теги NFC или QR-коды для подключения устройств к сети. Кроме того, для обеспечения безопасности WPA3 используется шифрование GCMP-256 вместо применявшегося ранее 128-битного шифрования.

Протокол SAE (одновременная аутентификация равных). Этот протокол используется для создания безопасного «рукопожатия», при котором сетевое устройство подключается к беспроводной точке доступа, и оба устройства обмениваются данными для проверки аутентификации и подключения. Даже если пароль пользователя не достаточно надежный, WPA3 обеспечивает более безопасное взаимодействие по протоколу DPP для сетей Wi-Fi .

Усиленная защита от атак методом подбора пароля. Протокол WPA3 защищает от подбора пароля в автономном режиме. Пользователю позволяется выполнить только одну попытку ввода пароля. Кроме того, необходимо взаимодействовать напрямую с устройством Wi-Fi: при каждой попытке ввода пароля требуется физическое присутствие. В протоколе WPA2 отсутствует встроенное шифрование и защита данных в публичных открытых сетях, что делает атаки методом подбора пароля серьезной угрозой.

Устройства, работающие по протоколу WPA3, стали широко доступны в 2019 году. Они поддерживают обратную совместимость с устройствами, работающими по протоколу WPA2.

Какой протокол безопасности применяется в моей сети Wi-Fi?

Для обеспечения надлежащего уровня безопасности сети Wi-Fi важно знать, какой тип шифрования в ней используется. Устаревшие протоколы являются более уязвимыми, чем новые, поэтому вероятность их взлома выше. Устаревшие протоколы были разработаны до того, как стало полностью понятно, каким способом злоумышленники осуществляют атаки на роутеры. В новых протоколах эти уязвимости устранены, поэтому считается, что они обеспечивают лучшую безопасность сетей Wi-Fi.

Как определить тип безопасности вашей сети Wi-Fi

В Windows 10

  • Найдите значок подключения к Wi-Fi на панели задач и нажмите на него.
  • Затем выберите пункт Свойства под текущим подключением Wi-Fi.
  • Прокрутите вниз и найдите сведения о подключении Wi-Fi в разделе Свойства.
  • Под ним найдите пункт Тип безопасности, в котором отображаются данные вашего протокола Wi-Fi.

В macOS

  • Удерживайте нажатой клавишу Option.
  • Нажмите на значок Wi-Fi на панели инструментов.
  • В результате отобразятся сведения о вашей сети Wi-Fi, включая тип безопасности.

В Android

  • На телефоне Android перейдите в раздел Настройки.
  • Откройте категорию Wi-Fi.
  • Выберите роутер, к которому вы подключены, и посмотрите информацию о нем.
  • Отобразится тип безопасности сети Wi-Fi.
  • Путь к этому экрану может отличаться в зависимости от устройства.

В iPhone

К сожалению, в iOS нет возможности проверить безопасность вашей сети Wi-Fi. Чтобы проверить уровень безопасности сети Wi-Fi, можно использовать компьютер или войти на роутер через телефон. Все модели роутеров отличаются, поэтому, возможно, придется обратиться к документации устройства. Если роутер настроен интернет-провайдером, можно обратиться к нему за помощью. 

WEP или WPA. Заключение

Если роутер не защищен, злоумышленники могут получить доступ к вашим частотам подключения к интернету, осуществлять незаконные действия, используя ваше подключение, отслеживать вашу сетевую активность и устанавливать вредоносные программы в вашей сети. Важным аспектом защиты роутера является понимание различий между протоколами безопасности и использование самого продвинутого из поддерживаемых вашим роутером (или обновление роутера, если он не поддерживает стандарты безопасности текущего поколения). В настоящее время WEP считается устаревшим стандартом шифрования Wi-Fi, и по возможности следует использовать более современные протоколы.

Ниже перечислены дополнительные действия, которые можно предпринять для повышения безопасности роутера:

  1. Изменить имя, заданное по умолчанию для домашней сети Wi-Fi.
  2. Изменить имя пользователя и пароль роутера.
  3. Поддерживать прошивку в актуальном состоянии.
  4. Отключить удаленный доступ, универсальную настройку сетевых устройств (Universal Plug and Play) и настройку защищенного Wi-Fi.
  5. Если возможно, использовать гостевую сеть.

Вы можете ознакомиться с полным руководством по настройке безопасной домашней сети. Один из лучших способов для сохранения безопасности в интернете – использование современного антивирусного решения, такого как Kaspersky Total Security, обеспечивающего защиту от злоумышленников, вирусов и вредоносных программ, а также включающего средства сохранения конфиденциальности, предоставляющие всестороннюю защиту.

Статьи по теме:

WEP, WPA, WPA2. Что лучше

Сегодня не назовешь чем-то из ряда вон выходящим. Однако при этом многие юзеры (особенно владельцы мобильных устройств) сталкиваются с проблемой, какую систему защиты использовать: WEP, WPA или WPA2-PSK. Что это за технологии, мы сейчас и посмотрим. Однако наибольшее внимание будет уделено именно WPA2-PSK, поскольку именно эта протекция является сегодня наиболее востребованной.

WPA2-PSK: что это?

Скажем сразу: это система защиты любого локального подключения к беспроводной сети на основе WI-Fi. К проводным системам на основе сетевых карт, использующих непосредственное соединение при помощи Ethernet, это не имеет никакого отношения.

С применением технологии WPA2-PSK сегодня является наиболее «продвинутой». Даже несколько устаревающие методы, требующие запрос логина и пароля, а также предполагающие шифрование конфиденциальных данных при приеме-передаче, выглядят, мягко говоря, детским лепетом. И вот почему.

Разновидности зашиты

Итак, начнем с того, что еще недавно самой безопасной технологией защиты соединения считалась структура WEP. Она использовала проверку целостности ключа при беспроводном подключении любого девайса и являлась стандартом IEEE 802. 11i.


Защита WiFi-сети WPA2-PSK работает, в принципе, почти так же, однако проверку ключа доступа осуществляет на уровне 802. 1X. Иными словами, система проверяет все возможные варианты.

Однако есть и более нова технология, получившая название WPA2 Enterprise. В отличие от WPA, она предусматривает не только затребование персонального ключа доступа, но и наличие предоставляющего доступ сервера Radius. При этом такой алгоритм проверки подлинности может работать одновременно в нескольких режимах (например, Enterprise и PSK, задействовав при этом шифрование уровня AES CCMP).

Основные протоколы защиты и безопасности

Равно как и уходящие в прошлое, современные методы защиты используют один и тот же протокол. Это TKIP (система защиты WEP, основанная на обновлении программного обеспечения и алгоритме RC4). Все это предполагает ввод временного ключа для доступа к сети.

Как показало практическое использование, сам по себе такой алгоритм особой защищенности подключения в беспроводной сети не дал. Именно поэтому были разработаны новые технологии: сначала WPA, а затем WPA2, дополненные PSK (персональный ключ доступа) и TKIP (временный ключ). Кроме того, сюда же были включены данных при приеме-передаче, сегодня известные как стандарт AES.

Устаревшие технологии

Тип безопасности WPA2-PSK появился относительно недавно. До этого, как уже было сказано выше, использовалась система WEP в сочетании с TKIP. Защита TKIP есть не что иное, как средство увеличения разрядности ключа доступа. На данный момент считается, что базовый режим позволяет увеличить ключ с 40 до 128 бит. При всем этом можно также сменить один-единственный ключ WEP на несколько отличных, генерируемых и отсылаемых в автоматическом режиме самим сервером, производящим аутентификацию пользователя при входе.

Кроме того, сама система предусматривает использование строгой иерархии распределения ключей, а также методики, позволяющей избавиться от так называемой проблемы предсказуемости. Иными словами, когда, допустим, для беспроводной сети, использующей защиту WPA2-PSK, пароль задается в виде последовательности типа «123456789», нетрудно догадаться, что те же программы-генераторы ключей и паролей, обычно называемые KeyGen или чем-то вроде этого, при вводе первых четырех знаков могут автоматически сгенерировать четыре последующих. Тут, как говорится, не нужно быть уникумом, чтобы угадать тип используемой секвенции. Но это, как, наверное, уже понято, самый простой пример.

Что касается даты рождения пользователя в пароле, это вообще не обсуждается. Вас запросто можно вычислить по тем же регистрационным данным в социальных сетях. Сами же цифровые пароли такого типа являются абсолютно ненадежными. Уж лучше использовать совместно цифры, литеры, а также символы (можно даже непечатаемые при условии задания сочетания «горячих» клавиш) и пробел. Однако даже при таком подходе взлом WPA2-PSK осуществить можно. Тут нужно пояснить методику работы самой системы.

Типовой алгоритм доступа

Теперь еще несколько слов о системе WPA2-PSK. Что это такое в плане практического применения? Это совмещение нескольких алгоритмов, так сказать, в рабочем режиме. Поясним ситуацию на примере.

В идеале секвенция исполнения процедуры защиты подключения и шифрования передающейся или принимающейся информации сводится к следующему:

WPA2-PSK (WPA-PSK) + TKIP + AES.

При этом здесь главную роль играет общий ключ (PSK) длиной от 8 до 63 символов. В какой именно последовательности будут задействованы алгоритмы (то ли сначала произойдет шифрование, то ли после передачи, то ли в процессе с использованием случайных промежуточных ключей и т. д.), не суть важно.

Но даже при наличии защиты и системы шифрования на уровне AES 256 (имеется в виду разрядность ключа шифра) взлом WPA2-PSK для хакеров, сведущих в этом деле, будет задачей хоть и трудной, но возможной.

Уязвимость

Еще в 2008 году на состоявшейся конференции PacSec была представлена методика, позволяющая взломать беспроводное соединение и прочитать передающиеся данные с маршрутизатора на клиентский терминал. Все это заняло около 12-15 минут. Однако взломать обратную передачу (клиент-маршрутизатор) так и не удалось.

Дело в том, что при включенном режиме маршрутизатора QoS можно не только прочитать передаваемую информацию, но и заменить ее поддельной. В 2009 году японские специалисты представили технологию, позволяющую сократить время взлома до одной минуты. А в 2010 году в Сети появилась информация о том, что проще всего взламывать модуль Hole 196, присутствующий в WPA2, с использованием собственного закрытого ключа.


Ни о каком вмешательстве в генерируемые ключи речь не идет. Сначала используется так называемая атака по словарю в сочетании с «брут-форс», а затем сканируется пространство беспроводного подключения с целью перехвата передаваемых пакетов и их последующей записью. Достаточно пользователю произвести подключение, как тут же происходит его деавторизация, перехват передачи начальных пакетов (handshake). После этого даже нахождение поблизости от основной точки доступа не требуется. Можно преспокойно работать в режиме оффлайн. Правда, для совершения всех этих действий понадобится специальное ПО.

Как взломать WPA2-PSK?

По понятным причинам, здесь полный алгоритм взлома соединения приводиться не будет, поскольку это может быть использовано как некая инструкция к действию. Остановимся только на главных моментах, и то — только в общих чертах.


Как правило, при непосредственном доступе к роутеру его можно перевести в так называемый режим Airmon-NG для отслеживания трафика (airmon-ng start wlan0 — переименование беспроводного адаптера). После этого происходит захват и фиксация трафика при помощи команды airdump-ng mon0 (отслеживание данных канала, скорость маяка, скорость и метод шифрования, количество передаваемых данных и т. д.).


Далее задействуется команда фиксации выбранного канала, после чего вводится команда Aireplay-NG Deauth с сопутствующими значениями (они не приводятся по соображениям правомерности использования таких методов).

После этого (когда пользователь уже прошел авторизацию при подключении) юзера можно просто отключить от сети. При этом при повторном входе со взламывающей стороны система повторит авторизацию входа, после чего можно будет перехватить все пароли доступа. Далее возникнет окно с «рукопожатием» (handshake). Затем можно применить запуск специального файла WPAcrack, который позволит взломать любой пароль. Естественно, как именно происходит его запуск, никто и никому рассказывать не будет. Заметим только, что при наличии определенных знаний весь процесс занимает от нескольких минут до нескольких дней. К примеру, процессор уровня Intel, работающий на штатной тактовой частоте 2,8 ГГц, способен обрабатывать не более 500 паролей за одну секунду, или 1,8 миллиона в час. В общем, как уже понятно, не стоит обольщаться.

Вместо послесловия

Вот и все, что касается WPA2-PSK. Что это такое, быть может, с первого прочтения понятно и не будет. Тем не менее основы защиты данных и применяемых систем шифрования, думается, поймет любой пользователь. Более того, сегодня с этим сталкиваются практически все владельцы мобильных гаджетов. Никогда не замечали, что при создании нового подключения на том же смартфоне система предлагает использовать определенный тип защиты (WPA2-PSK)? Многие просто не обращают на это внимания, а зря. В расширенных настройках можно задействовать достаточно большое количество дополнительных параметров с целью улучшения системы безопасности.

Эта статья посвящена вопросу безопасности при использовании беспроводных сетей WiFi.

Введение — уязвимости WiFi

Главная причина уязвимости пользовательских данных, когда эти данные передаются через сети WiFi, заключается в том, что обмен происходит по радиоволне. А это дает возможность перехвата сообщений в любой точке, где физически доступен сигнал WiFi. Упрощенно говоря, если сигнал точки доступа можно уловить на дистанции 50 метров, то перехват всего сетевого трафика этой WiFi сети возможен в радиусе 50 метров от точки доступа. В соседнем помещении, на другом этаже здания, на улице.

Представьте такую картину. В офисе локальная сеть построена через WiFi. Сигнал точки доступа этого офиса ловится за пределами здания, например на автостоянке. Злоумышленник, за пределами здания, может получить доступ к офисной сети, то есть незаметно для владельцев этой сети. К сетям WiFi можно получить доступ легко и незаметно. Технически значительно легче, чем к проводным сетям.

Да. На сегодняшний день разработаны и внедрены средства защиты WiFi сетей. Такая защита основана на шифровании всего трафика между точкой доступа и конечным устройством, которое подключено к ней. То есть радиосигнал перехватить злоумышленник может, но для него это будет просто цифровой «мусор».

Как работает защита WiFi?

Точка доступа, включает в свою WiFi сеть только то устройство, которое пришлет правильный (указанный в настройках точки доступа) пароль. При этом пароль тоже пересылается зашифрованным, в виде хэша. Хэш это результат необратимого шифрования. То есть данные, которые переведены в хэш, расшифровать нельзя. Если злоумышленник перехватит хеш пароля он не сможет получить пароль.

Но каким образом точка доступа узнает правильный указан пароль или нет? Если она тоже получает хеш, а расшифровать его не может? Все просто — в настройках точки доступа пароль указан в чистом виде. Программа авторизации берет чистый пароль, создает из него хеш и затем сравнивает этот хеш с полученным от клиента. Если хеши совпадают значит у клиента пароль верный. Здесь используется вторая особенность хешей — они уникальны. Одинаковый хеш нельзя получить из двух разных наборов данных (паролей). Если два хеша совпадают, значит они оба созданы из одинакового набора данных.

Кстати. Благодаря этой особенности хеши используются для контроля целостности данных. Если два хеша (созданные с промежутком времени) совпадают, значит исходные данные (за этот промежуток времени) не были изменены.

Тем, не менее, не смотря на то, что наиболее современный метод защиты WiFi сети (WPA2) надежен, эта сеть может быть взломана. Каким образом?

Есть две методики доступа к сети под защитой WPA2:

  1. Подбор пароля по базе паролей (так называемый перебор по словарю).
  2. Использование уязвимости в функции WPS.

В первом случае злоумышленник перехватывает хеш пароля к точке доступа. Затем по базе данных, в которой записаны тысячи, или миллионы слов, выполняется сравнение хешей. Из словаря берется слово, генерируется хеш для этого слова и затем этот хеш сравнивается с тем хешем который был перехвачен. Если на точке доступа используется примитивный пароль, тогда взлом пароля, этой точки доступа, вопрос времени. Например пароль из 8 цифр (длина 8 символов это минимальная длина пароля для WPA2) это один миллион комбинаций. На современном компьютере сделать перебор одного миллиона значений можно за несколько дней или даже часов.

Во втором случае используется уязвимость в первых версиях функции WPS. Эта функция позволяет подключить к точке доступа устройство, на котором нельзя ввести пароль, например принтер. При использовании этой функции, устройство и точка доступа обмениваются цифровым кодом и если устройство пришлет правильный код, точка доступа авторизует клиента. В этой функции была уязвимость — код был из 8 цифр, но уникальность проверялась только четырьмя из них! То есть для взлома WPS нужно сделать перебор всех значений которые дают 4 цифры. В результате взлом точки доступа через WPS может быть выполнен буквально за несколько часов, на любом, самом слабом устройстве.

Настройка защиты сети WiFi

Безопасность сети WiFi определяется настройками точки доступа. Несколько этих настроек прямо влияют на безопасность сети.

Режим доступа к сети WiFi

Точка доступа может работать в одном из двух режимов — открытом или защищенном. В случае открытого доступа, подключиться к точке досутпа может любое устройство. В случае защищенного доступа подключается только то устройство, которое передаст правильный пароль доступа.

Существует три типа (стандарта) защиты WiFi сетей:

  • WEP (Wired Equivalent Privacy) . Самый первый стандарт защиты. Сегодня фактически не обеспечивает защиту, поскольку взламывается очень легко благодаря слабости механизмов защиты.
  • WPA (Wi-Fi Protected Access) . Хронологически второй стандарт защиты. На момент создания и ввода в эксплуатацию обеспечивал эффективную защиту WiFi сетей. Но в конце нулевых годов были найдены возможности для взлома защиты WPA через уязвимости в механизмах защиты.
  • WPA2 (Wi-Fi Protected Access) . Последний стандарт защиты. Обеспечивает надежную защиту при соблюдении определенных правил. На сегодняшний день известны только два способа взлома защиты WPA2. Перебор пароля по словарю и обходной путь, через службу WPS.

Таким образом, для обеспечения безопасности сети WiFi необходимо выбирать тип защиты WPA2. Однако не все клиентские устройства могут его поддерживать. Например Windows XP SP2 поддерживает только WPA.

Помимо выбора стандарта WPA2 необходимы дополнительные условия:

Использовать метод шифрования AES.
Пароль для доступа к сети WiFi необходимо составлять следующим образом:
  1. Используйте буквы и цифры в пароле. Произвольный набор букв и цифр. Либо очень редкое, значимое только для вас, слово или фразу.
  2. Не используйте простые пароли вроде имя + дата рождения, или какое-то слово + несколько цифр, например lena1991 или dom12345 .
  3. Если необходимо использовать только цифровой пароль, тогда его длина должна быть не менее 10 символов. Потому что восьмисимвольный цифровой пароль подбирается методом перебора за реальное время (от нескольких часов до нескольких дней, в зависимости от мощности компьютера).

Если вы будете использовать сложные пароли, в соответствии с этими правилами, то вашу WiFi сеть нельзя будет взломать методом подбора пароля по словарю. Например, для пароля вида 5Fb9pE2a (произвольный буквенно-цифровой), максимально возможно 218340105584896 комбинаций. Сегодня это практически невозможно для подбора. Даже если компьютер будет сравнивать 1 000 000 (миллион) слов в секунду, ему потребуется почти 7 лет для перебора всех значений.

WPS (Wi-Fi Protected Setup)

Если точка доступа имеет функцию WPS (Wi-Fi Protected Setup), нужно отключить ее. Если эта функция необходима, нужно убедиться что ее версия обновлена до следующих возможностей:

  1. Использование всех 8 символов пинкода вместо 4-х, как это было вначале.
  2. Включение задержки после нескольких попыток передачи неправильного пинкода со стороны клиента.

Дополнительная возможность улучшить защиту WPS это использование цифробуквенного пинкода.

Безопасность общественных сетей WiFi

Сегодня модно пользоваться Интернет через WiFi сети в общественных местах — в кафе, ресторанах, торговых центрах и т.п. Важно понимать, что использование таких сетей может привести к краже ваших персональных данных. Если вы входите в Интернет через такую сеть и затем выполняете авторизацию на каком-либо сайта, то ваши данные (логин и пароль) могут быть перехвачены другим человеком, который подключен к этой же сети WiFi. Ведь на любом устройстве которое прошло авторизацию и подключено к точке доступа, можно перехватывать сетевой трафик со всех остальных устройств этой сети. А особенность общественных сетей WiFi в том, что к ней может подключиться любой желающий, в том числе злоумышленник, причем не только к открытой сети, но и к защищенной.

Что можно сделать для защиты своих данных, при подключении к Интерне через общественную WiFi сеть? Есть только одна возможность — использовать протокол HTTPS. В рамках этого протокола устанавливается зашифрованное соединение между клиентом (браузером) и сайтом. Но не все сайты поддерживают протокол HTTPS. Адреса на сайте, который поддерживает протокол HTTPS, начинаются с префикса https://. Если адреса на сайте имеют префикс http:// это означает что на сайте нет поддержки HTTPS или она не используется.

Некоторые сайты по умолчанию не используют HTTPS, но имеют этот протокол и его можно использовать если явным образом (вручную) указать префикс https://.

Что касается других случаев использования Интернет — чаты, скайп и т.д, то для защиты этих данных можно использовать бесплатные или платные серверы VPN. То есть сначала подключаться к серверу VPN, а уже затем использовать чат или открытый сайт.

Защита пароля WiFi

Во второй и третьей частях этой статьи я писал, о том, что в случае использования стандарта защиты WPA2, один из путей взлома WiFi сети заключается в подборе пароля по словарю. Но для злоумышленника есть еще одна возможность получить пароль к вашей WiFi сети. Если вы храните ваш пароль на стикере приклеенном к монитору, это дает возможность увидеть этот пароль постороннему человеку. А еще ваш пароль может быть украден с компьютера который подключен к вашей WiFi сети. Это может сделать посторонний человек, в том случае если ваши компьютеры не защищены от доступа посторонних. Это можно сделать при помощи вредоносной программы. Кроме того пароль можно украсть и с устройства которое выносится за пределы офиса (дома, квартиры) — со смартфона, планшета.

Таким образом, если вам нужна надежная защита вашей WiFi сети, необходимо принимать меры и для надежного хранения пароля. Защищать его от доступа посторонних лиц.

Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь — поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354 . Или на телефон +7 918-16-26-331 .

Даже небольшая сумма может помочь написанию новых статей:)

Пароль и фильтрация по MAC-адресу должны защитить вас от взлома. На самом деле безопасность в большей степени зависит от вашей осмотрительности. Неподходящие методы защиты, незамысловатый пароль и легкомысленное отношение к посторонним пользователям в домашней сети дают злоумышленникам дополнительные возможности для атаки. Из этой статьи вы узнаете, как можно взломать WEP-пароль, почему следует отказаться от фильтров и как со всех сторон обезопасить свою беспроводную сеть.

Защита от незваных гостей

Ваша сеть не защищена, следовательно, рано или поздно к вашей беспроводной сети подсоединится посторонний пользователь — возможно даже не специально, ведь смартфоны и планшеты способны автоматически подключаться к незащищенным сетям. Если он просто откроет несколько сайтов, то, скорее всего, не случиться ничего страшного кроме расхода трафика. Ситуация осложнится, если через ваше интернет-подключение гость начнет загружать нелегальный контент.

Если вы еще не предприняли никаких мер безопасности, то зайдите в интерфейс роутера через браузер и измените данные доступа к сети. Адрес маршрутизатора, как правило, имеет вид: http://192.168.1.1 . Если это не так, то вы сможете выяснить IP-адрес своего сетевого устройства через командную строку. В операционной системе Windows 7 щелкните по кнопке «Пуск» и задайте в строке поиска команду «cmd». Вызовите настройки сети командой «ipconfig» и найдите строку «Основной шлюз». Указанный IP — это адрес вашего роутера, который нужно ввести в адресной строке браузера. Расположение настроек безопасности маршрутизатора зависит от производителя. Как правило, они расположены в разделе с названием вида «WLAN | Безопасность».

Если в вашей беспроводной сети используется незащищенное соединение, следует быть особенно осторожным с контентом, который расположен в папках с общим доступом, так как в отсутствие защиты он находится в полном распоряжении остальных пользователей. При этом в операционной системе Windows XP Home ситуация с общим доступом просто катастрофическая: по умолчанию здесь вообще нельзя устанавливать пароли — данная функция присутствует только в профессиональной версии. Вместо этого все сетевые запросы выполняются через незащищенную гостевую учетную запись. Обезопасить сеть в Windows XP можно c помощью небольшой манипуляции: запустите командную строку, введите «net user guest ВашНовыйПароль» и подтвердите операцию нажатием клавиши «Enter». После перезагрузки Windows получить доступ к сетевым ресурсам можно будет только при наличии пароля, однако более тонкая настройка в этой версии ОС, к сожалению, не представляется возможной. Значительно более удобно управление настройками общего доступа реализовано в Windows 7. Здесь, чтобы ограничить круг пользователей, достаточно в Панели управления зайти в «Центр управления сетями и общим доступом» и создать домашнюю группу, защищенную паролем.

Отсутствие должной защиты в беспроводной сети является источником и других опасностей, так как хакеры могут с помощью специальных программ (снифферов) выявлять все незащищенные соединения. Таким образом, взломщикам будет несложно перехватить ваши идентификационные данные от различных сервисов.

Хакеры

Как и прежде, сегодня наибольшей популярностью пользуются два способа защиты: фильтрация по MAC-адресам и скрытие SSID (имени сети): эти меры защиты не обеспечат вам безопасности. Для того чтобы выявить имя сети, взломщику достаточно WLAN-адаптера, который с помощью модифицированного драйвера переключается в режим мониторинга, и сниффера — например, Kismet. Взломщик ведет наблюдение за сетью до тех пор, пока к ней не подключится пользователь (клиент). Затем он манипулирует пакетами данных и тем самым «выбрасывает» клиента из сети. При повторном подсоединении пользователя взломщик видит имя сети. Это кажется сложным, но на самом деле весь процесс занимает всего несколько минут. Обойти MAC-фильтр также не составляет труда: взломщик определяет MAC-адрес и назначает его своему устройству. Таким образом, подключение постороннего остается незамеченным для владельца сети.

Если ваше устройство поддерживает только WEP-шифрование, срочно примите меры — такой пароль за несколько минут могут взломать даже непрофессионалы.

Особой популярностью среди кибермошенников пользуется пакет программ Aircrack-ng, который помимо сниффера включает в себя приложение для загрузки и модификации драйверов WLAN-адаптеров, а также позволяет выполнять восстановление WEP-ключа. Известные методы взлома — это PTW- и FMS/KoreKатаки, при которых перехватывается трафик и на основе его анализа вычисляется WEP-ключ. В данной ситуации у вас есть только две возможности: сначала вам следует поискать для своего устройства актуальную прошивку, которая будет поддерживать новейшие методы шифрования. Если же производитель не предоставляет обновлений, лучше отказаться от использования такого устройства, ведь при этом вы ставите под угрозу безопасность вашей домашней сети.

Популярный совет сократить радиус действия Wi-Fi дает только видимость защиты. Соседи все равно смогут подключаться к вашей сети, а злоумышленники зачастую пользуются Wi-Fi-адаптерами с большим радиусом действия.

Публичные точки доступа

Места со свободным Wi-Fi привлекают кибермошенников, так как через них проходят огромные объемы информации, а воспользоваться инструментами взлома может каждый. В кафе, отелях и других общественных местах можно найти публичные точки доступа. Но другие пользователи этих же сетей могут перехватить ваши данные и, например, взять под свой контроль ваши учетные записи на различных веб-сервисах.

Защита Cookies. Некоторые методы атак действительно настолько просты, что ими может воспользоваться каждый. Расширение Firesheep для браузера Firefox автоматически считывает и отображает в виде списка аккаунты других пользователей, в том числе на Amazon, в Google, Facebook и Twitter. Если хакер щелкнет по одной из записей в списке, он сразу же получит полный доступ к аккаунту и сможет изменять данные пользователя по своему усмотрению. Firesheep не осуществляет взлом паролей, а только копирует активные незашифрованные cookies. Чтобы защититься от подобных перехватов, следует пользоваться специальным дополнением HTTPS Everywhere для Firefox. Это расширение вынуждает онлайн-сервисы постоянно использовать зашифрованное соединение через протокол HTTPS, если он поддерживается сервером поставщика услуг.

Защита Android. В недавнем прошлом всеобщее внимание привлекла недоработка в операционной системе Android, из-за которой мошенники могли получить доступ к вашим аккаунтам в таких сервисах, как Picasa и «Календарь Google», а также считывать контакты. Компания Google ликвидировала эту уязвимость в Android 2.3.4, но на большинстве устройств, ранее приобретенных пользователями, установлены более старые версии системы. Для их защиты можно использовать приложение SyncGuard.

WPA 2

Наилучшую защиту обеспечивает технология WPA2, которая применяется производителями компьютерной техники еще с 2004 года. Большинство устройств поддерживают этот тип шифрования. Но, как и другие технологии, WPA2 тоже имеет свое слабое место: с помощью атаки по словарю или метода bruteforce («грубая сила») хакеры могут взламывать пароли — правда, лишь в случае их ненадежности. Словари просто перебирают заложенные в их базах данных ключи — как правило, все возможные комбинации чисел и имен. Пароли наподобие «1234» или «Ivanov» угадываются настолько быстро, что компьютер взломщика даже не успевает нагреться.

Метод bruteforce предполагает не использование готовой базы данных, а, напротив, подбор пароля путем перечисления всех возможных комбинаций символов. Таким способом взломщик может вычислить любой ключ — вопрос только в том, сколько времени ему на это потребуется. NASA в своих инструкциях по безопасности рекомендует пароль минимум из восьми символов, а лучше — из шестнадцати. Прежде всего важно, чтобы он состоял из строчных и прописных букв, цифр и специальных символов. Чтобы взломать такой пароль, хакеру потребуются десятилетия.

Пока еще ваша сеть защищена не до конца, так как все пользователи внутри нее имеют доступ к вашему маршрутизатору и могут производить изменения в его настройках. Некоторые устройства предоставляют дополнительные функции защиты, которыми также следует воспользоваться.

Прежде всего отключите возможность манипулирования роутером через Wi-Fi. К сожалению, эта функция доступна лишь в некоторых устройствах — например, маршрутизаторах Linksys. Все современные модели роутеров также обладают возможностью установки пароля к интерфейсу управления, что позволяет ограничить доступ к настройкам.

Как и любая программа, прошивка роутера несовершенна — небольшие недоработки или критические дыры в системе безопасности не исключены. Обычно информация об этом мгновенно распространяется по Сети. Регулярно проверяйте наличие новых прошивок для вашего роутера (у некоторых моделей есть даже функция автоматического обновления). Еще один плюс перепрошивок в том, что они могут добавить в устройство новые функции.

Периодический анализ сетевого трафика помогает распознать присутствие незваных гостей. В интерфейсе управления роутером можно найти информацию о том, какие устройства и когда подключались к вашей сети. Сложнее выяснить, какой объем данных загрузил тот или иной пользователь.

Гостевой доступ — средство защиты домашней сети

Если вы защитите роутер надежным паролем при использовании шифрования WPA2, вам уже не будет угрожать никакая опасность. Но только до тех пор, пока вы не передадите свой пароль другим пользователям. Друзья и знакомые, которые со своими смартфонами, планшетами или ноутбуками захотят выйти в Интернет через ваше подключение, являются фактором риска. Например, нельзя исключать вероятность того, что их устройства заражены вредоносными программами. Однако из-за этого вам не придется отказывать друзьям, так как в топовых моделях маршрутизаторов, например Belkin N или Netgear WNDR3700, специально для таких случаев предусмотрен гостевой доступ. Преимущество данного режима в том, что роутер создает отдельную сеть с собственным паролем, а домашняя не используется.

Надежность ключей безопасности

WEP (WIRED EQUIVALENT PRIVACY). Использует генератор псевдослучайных чисел (алгоритм RC4) для получения ключа, а также векторы инициализации. Так как последний компонент не зашифрован, возможно вмешательство третьих лиц и воссоздание WEP-ключа.

WPA (WI-FI PROTECTED ACCESS) Основывается на механизме WEP, но для расширенной защиты предлагает динамический ключ. Ключи, сгенерированные с помощью алгоритма TKIP, могут быть взломаны посредством атаки Бека-Тевса или Охигаши-Мории. Для этого отдельные пакеты расшифровываются, подвергаются манипуляциям и снова отсылаются в сеть.

WPA2 (WI-FI PROTECTED ACCESS 2) Задействует для шифрования надежный алгоритм AES (Advanced Encryption Standard). Наряду с TKIP добавился протокол CCMP (Counter-Mode/CBC-MAC Protocol), который также базируется на алгоритме AES. Защищенную по этой технологии сеть до настоящего момента взломать не удавалось. Единственной возможностью для хакеров является атака по словарю или «метод грубой силы», когда ключ угадывается путем подбора, но при сложном пароле подобрать его невозможно.

Что в наше время может быть важнее, чем защита своей домашней Wi-Fi сети 🙂 Это очень популярная тема, на которую уже только на этом сайте написана не одна статья. Я решил собрать всю необходимую информацию по этой теме на одной странице. Сейчас мы подробно разберемся в вопросе защиты Wi-Fi сети. Расскажу и покажу, как защитить Wi-Fi паролем, как правильно это сделать на роутерах разных производителей, какой метод шифрования выбрать, как подобрать пароль, и что нужно знать, если вы задумали сменить пароль беспроводной сети.

В этой статье мы поговорим именно о защите домашней беспроводной сети . И о защите только паролем. Если рассматривать безопасность каких-то крупных сетей в офисах, то там к безопасности лучше подходить немного иначе (как минимум, другой режим аутентификации) . Если вы думаете, что одного пароля мало для защиты Wi-Fi сети, то я бы советовал вам не заморачиваться. Установите хороший, сложный пароль по этой инструкции, и не беспокойтесь. Вряд ли кто-то будет тратить время и силы, что бы взломать вашу сеть. Да, можно еще например скрыть имя сети (SSID), и установить фильтрацию по MAC-адресам, но это лишние заморочки, которые в реальности будут только приносить неудобства при подключении и использовании беспроводной сети.

Если вы думаете о том, защищать свой Wi-Fi, или оставить сеть открытой, то решение здесь может быть только одним – защищать. Да, интернет безлимитный, да практически у все дома установлен свой роутер, но к вашей сети со временем все ровно кто-то подключится. А для чего нам это, ведь лишние клиенты, это лишняя нагрузка на роутер. И если он у вас не дорогой, то этой нагрузки он просто не выдержит. А еще, если кто-то подключится к вашей сети, то он сможет получить доступ к вашим файлам (если настроена локальная сеть) , и доступ к настройкам вашего роутера (ведь стандартный пароль admin, который защищает панель управления, вы скорее всего не сменили) .

Обязательно защищайте свою Wi-Fi сеть хорошим паролем с правильным (современным) методом шифрования. Устанавливать защиту я советую сразу при настройке маршрутизатора. А еще, не плохо бы время от времени менять пароль.

Если вы переживаете, что вашу сеть кто-то взломает, или уже это сделал, то просто смените пароль, и живите спокойно. Кстати, так как вы все ровно будете заходит в панель управления своего роутера, я бы еще советовал , который используется для входа в настройки маршрутизатора.

Правильная защита домашней Wi-Fi сети: какой метод шифрования выбрать?

В процессе установки пароля, вам нужно будет выбрать метод шифрования Wi-Fi сети (метод проверки подлинности) . Я рекомендую устанавливать только WPA2 — Personal , с шифрованием по алгоритму AES . Для домашней сети, это лучшее решения, на данный момент самое новое и надежное. Именно такую защиту рекомендуют устанавливать производители маршрутизаторов.

Только при одном условии, что у вас нет старых устройств, которые вы захотите подключить к Wi-Fi. Если после настройки у вас какие-то старые устройства откажутся подключатся к беспроводной сети, то можно установить протокол WPA (с алгоритмом шифрования TKIP) . Не советую устанавливать протокол WEP, так как он уже устаревший, не безопасный и его легко можно взломать. Да и могут появится проблемы с подключением новых устройств.

Сочетание протокола WPA2 — Personal с шифрованием по алгоритму AES , это оптимальный вариант для домашней сети. Сам ключ (пароль) , должен быть минимум 8 символов. Пароль должен состоять из английских букв, цифр и символов. Пароль чувствителен к регистру букв. То есть, «111AA111» и «111aa111» – это разные пароли.

Я не знаю, какой у вас роутер, поэтому, подготовлю небольшие инструкции для самых популярных производителей.

Если после смены, или установки пароля у вас появились проблемы с подключением устройств к беспроводной сети, то смотрите рекомендации в конце этой статьи.

Советую сразу записать пароль, который вы будете устанавливать. Если вы его забудете, то придется устанавливать новый, или .

Защищаем Wi-Fi паролем на роутерах Tp-Link

Подключаемся к роутеру (по кабелю, или по Wi-Fi) , запускаем любой браузер и открываем адрес 192.168.1.1, или 192.168.0.1 (адрес для вашего роутера, а так же стандартные имя пользователя и пароль указаны на наклейке снизу самого устройства) . Укажите имя пользователя и пароль. По умолчанию, это admin и admin. В , я подробнее описывал вход в настройки.

В настройках перейдите на вкладку Wireless (Беспроводной режим) — Wireless Security (Защита беспроводного режима). Установите метку возле метода защиты WPA/WPA2 — Personal(Recommended) . В выпадающем меню Version (версия) выберите WPA2-PSK . В меню Encryption (шифрование) установите AES . В поле Wireless Password (Пароль PSK) укажите пароль, для защиты своей сети.

Установка пароля на роутерах Asus

В настройках нам нужно открыть вкладку Беспроводная сеть , и выполнить такие настройки:

  • В выпадающем меню «Метод проверки подлинности» выбираем WPA2 — Personal.
  • «Шифрование WPA» — устанавливаем AES.
  • В поле «Предварительный ключ WPA» записываем пароль для нашей сети.

Для сохранения настроек нажмите на кнопку Применить .


Подключите свои устройства к сети уже с новым паролем.

Защищаем беспроводную сеть роутера D-Link

Зайдите в настройки своего роутера D-Link по адресу 192.168.0.1. Можете смотреть подробную инструкцию . В настройках откройте вкладку Wi-Fi Настройки безопасности . Установите тип безопасности и пароль, как на скриншоте ниже.


Установка пароля на других маршрутизаторах

У нас есть еще подробные инструкции для роутеров ZyXEL и Tenda. Смотрите по ссылкам:

Если вы не нашли инструкции для своего роутера, то настроить защиту Wi-Fi сети вы сможете в панели управления своим маршрутизатором, в разделе настроек, который называется: настройки безопасности, беспроводная сеть, Wi-Fi, Wireless и т. д. Найти я думаю будет не сложно. А какие настройки устанавливать, я думаю вы уже знаете: WPA2 — Personal и шифрование AES. Ну и ключ.

Если не сможете разобраться, спрашивайте в комментариях.

Что делать, если устройства не подключаются после установки, смены пароля?

Очень часто, после установки, а особенно смены пароля, устройства которые раньше были подключены к вашей сети, не хотят к ней подключатся. На компьютерах, это как правило ошибки «Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети» и «Windows не удалось подключится к…». На планшетах, и смартфонах (Android, iOS) так же могут появляться ошибки типа «Не удалось подключится к сети», «Подключено, защищено» и т. д.

Решаются эти проблемы простым удалением беспроводной сети, и повторным подключением, уже с новым паролем. Как удалить сеть в Windows 7, я писал . Если у вас Windows 10, то нужно «забыть сеть» по . На мобильных устройствах нажмите на свою сеть, подержите, и выберите «Удалить» .

Если проблемы с подключением наблюдаются на старых устройствах, то установите в настройках роутера протокол защиты WPA, и шифрование TKIP.

Сегодня у многих есть дома Wi-Fi маршрутизатор. Ведь по безпроводке куда проще подключить к интернету и ноутбук, и планшет, и смартфон, коих развелось в каждой семье больше чем людей. И он (маршрутизатор) по сути — врата в информационную вселенную. Читай входная дверь. И от этой двери зависит зайдет ли к вам незваный гость без вашего разрешения. Поэтому очень важно уделить внимание правильной настройке роутера, чтобы ваша беспроводная сеть не была уязвимой.

Думаю не нужно напоминать, что скрытие SSID точки доступа не защищает Вас. Ограничение доступа по MAC адресу не эффективно. Поэтому только современные методы шифрования и сложный пароль.

Зачем шифровать? Кому я нужен? Мне нечего скрывать

Не так страшно если украдут пин-код с кредитной карты и снимут с нее все деньги. Тем более, если кто-то будет сидеть за ваш счет в интернете, зная Wi-Fi пароль. И не так страшно если опубликуют ваши фото с корпоративных вечеринок где вы в неприглядном виде. Куда обидней когда злоумышленники проникнут в ваш компьютер и удалят фотографии как Вы забирали сына из роддома, как он сделал первые шаги и пошел в первый класс. Про бэкапы отдельная тема, их конечно нужно делать… Но репутацию со временем можно восстановить, деньги заработать, а вот дорогие для вас фотографии уже нет. Думаю у каждого есть то, что он не хочет потерять.
Ваш роутер является пограничным устройством между личным и публичным, поэтому настройте его защиту по полной. Тем более это не так сложно.

Технологии и алгоритмы шифрования

Опускаю теорию. Не важно как это работает, главное уметь этим пользоваться.
Технологии защиты беспроводных сетей развивались в следующем хронологическом порядке: WEP , WPA , WPA2 . Также эволюционировали и методы шифрования RC4, TKIP, AES.
Лучшей с точки зрения безопасности на сегодняшний день является связка WPA2-AES. Именно так и нужно стараться настраивать Wi-Fi. Выглядеть это должно примерно так:

WPA2 является обязательным с 16 марта 2006 года. Но иногда еще можно встретить оборудование его не поддерживающее. В частности если у Вас на компьютере установлена Windows XP без 3-го сервис пака, то WPA2 работать не будет. Поэтому из соображений совместимости на маршрутизаторах можно встретить варианты настроек WPA2-PSK -> AES+TKIP и другой зверинец.
Но если парк девайсов у Вас современный, то лучше использовать WPA2 (WPA2-PSK) -> AES, как самый защищенный вариант на сегодняшний день.

Чем отличаются WPA(WPA2) и WPA-PSK(WPA2-PSK)

Стандартом WPA предусмотрен Расширяемый протокол аутентификации (EAP) как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства (иначе называют мандатом), подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена. База зарегистрированных пользователей и система проверки в больших сетях как правило расположены на специальном сервере (чаще всего RADIUS).
Упрощённый режим Pre-Shared Key (WPA-PSK, WPA2-PSK) позволяет использовать один пароль, который хранится непосредственно в маршрутизаторе. С одной стороны все упрощается, нет необходимости создавать и сопровождать базу пользователей, с другой стороны все заходят под одним паролем.
В домашних условиях целесообразней использовать WPA2-PSK, то есть упрощенный режим стандарта WPA. Безопасность Wi-Fi от такого упрощения не страдает.

Пароль доступа (шифрования) Wi-Fi

Тут все просто. Пароль к вашей беспроводной точке доступа (роутеру) должен быть более 8 символов и содержать буквы в разном регистре, цифры, знаки препинания. И он никаким боком не должен ассоциироваться с вами. А это значит, что в качестве пароля нельзя использовать даты рождения, ваши имена, номера машин, телефонов и т.п.
Так как сломать в лоб WPA2-AES практически не возможно (было лишь пара случаев смоделированных в лабораторных условиях), то основными методами взлома WPA2 являются атака по словарю и брут-форс (последовательный перебор всех вариантов паролей). Поэтому чем сложней пароль, тем меньше шансов у злоумышленников.

… в СССР на железнодорожных вокзалах получили широкое распространение автоматические камеры хранения. В качестве кодовой комбинации замка использовались одна буква и три цифры. Однако мало кто знает, что первая версия ячеек камеры хранения использовала в качестве кодовой комбинации 4 цифры. Казалось бы какая разница? Ведь количество кодовых комбинаций одинаково — 10000 (десять тысяч). Но как показала практика (особенно Московского Уголовного Розыска), когда человеку предлагалось в качестве пароля к ячейке камеры хранения использовать комбинацию из 4-х цифр, то очень много людей использовало свой год рождения (чтобы не забыть). Чем небезуспешно пользовались злоумышленники. Ведь первые две цифры в дате рождения абсолютного большинства населения страны были известны — 19. Осталось на глазок определить примерный возраст сдающего багаж, а любой из нас это может сделать с точностью +/- 3 года, и в остатке мы получаем (точнее злоумышленники) менее 10 комбинаций для подбора кода доступа к ячейке автоматической камеры хранения…

Самый популярный пароль

Человеческая лень и безответственность берут свое. Вот список самых популярных паролей:

  1. 123456
  2. qwerty
  3. 111111
  4. 123123
  5. 1a2b3c
  6. Дата рождения
  7. Номер мобильного телефона

Правила безопасности при составлении пароля

  1. Каждому свое. То есть пароль маршрутизатора не должен совпадать с любым другим Вашим паролем. От почты например. Возьмите себе за правило, у всех аккаунтов свои пароли и они все разные.
  2. Используйте стойкие пароли, которые нельзя угадать. Например: 2Rk7-kw8Q11vlOp0

У Wi-Fi пароля есть один огромный плюс. Его не надо запоминать. Его можно написать на бумажке и приклеить на дно маршрутизатора.

Гостевая зона Wi-Fi

Если ваш роутер позволяет организовать гостевую зону. То обязательно сделайте это. Естественно защитив ее WPA2 и надежным паролем. И теперь, когда к вам домой придут друзья и попросятся в интернет, вам не придется сообщать им основной пароль. Более того гостевая зона в маршрутизаторах изолирована от основной сети. И любые проблемы с девайсами ваших гостей не повлияют на вашу домашнюю сеть.

Беспроводные сети: взлом и защита (WPA-WPA2) | Компьютер и Интернет

Как можно заполучить ключ от беспроводной сети.

1.Захват пакетов.

В вай фай сети всегда ходят пакеты с информацией. Эти пакеты точка доступа отправляет вам или вы точке доступа. В этих пакетах помимо нужной вам информации «ходит» основная информация о точке доступа и ключ. Airodump-ng будет показывать нам информацию о ближайших точках доступа и записывать все, что от них идет в .pcap файл… итак, мы наловили достаточно пакетов, пора расшифровать.

2.Ищем пароль от сети.

2.1.WPA (WEP) шифрование.

В таком протоколе шифрования, пакеты с паролем ходят почти всегда (при наличии пользователей внутри сети) наша цель лишь наловить их достаточное кол-во. Наловили. Что дальше?

Дальше нам нужно в куче символов в этих пакетах найти что-то похожее на ключ от сети. С этим справится утилита Aircrack-ng. Она сравнивает слова из словаря (заранее скачанном вами из интернета, гигов на 10) и из наловленных вами пакетов. Если она найдет соответствие, это и будет пароль от сети.

2.2.WPA2 шифрование.

В таком протоколе ключ от сети появляется только при подключении пользователя к точке доступа. Называется подключение-«Хэндшейк». Поймаем Хэндшейк-поймаем ключ.

Есть два пути.

1-ый путь. Ждать пока кто-то подключится.

2-ой путь. Отключить пользователей которые уже есть на точке доступа, и при их повторном подключении поймать хэндшейк.Идём по второму пути. Он легче.

Aireplay-ng-может отключить пользователей от сети, пакетами deauth. Результат-пользователь снова подключится. А мы поймаем хэндшейк.

Далее снова запускаем aircrack-ng и ищем пароль перебором по словарю через CPU, если у кого есть хорошая видеокарта, то можно перебирать по GPU, это намного быстрее и эффективнее чем перебор по словарю, так как через видеокарту можно перебирать по маске, генерирую случайные символы в определенном диапазоне (например от 8 до 10 символов), таким образом даже сложный пароль по маске можно подобрать.

Итак, смысл в этом, не обучить вас атакам на точки доступа, а защититься от взлома.

Каким образом?

1. Не ставить пароль типа :12345670.

2. Ставить пароль больше 8-ми символов, так как большинство паролей к Aircrack-ng идут на 8 символов.

3. Символы делайте разного регистра. Типа » ПарОЛьОтВАЙФай».

WPA и WPA2 PSK – что это такое, какой ключ шифрования лучше

Сегодня распространение сетей беспроводного доступа стало таким обширным, особенно в мегаполисах, что мы уже не представляем себе погружение в интернет без них. WI-FI есть в каждой доме, офисе и местах общего посещения. Но для того, чтобы входить в сеть и хранить там свои данные безопасно, необходимо использовать защитные технологии. Их можно найти и применить в параметрах подключения. Давайте в данной статье разберемся – какие настройки и для чего нам нужны.

Варианты защиты

Смотрите также видео с инструкциями по настройке безопасности сети WI-FI:

Чтобы быть уверенным в безопасности нашего WI-FI, нужно придумать логин и пароль и определиться с технологией защиты. Из вариантов нам предлагаются WEP, WPA и WPA2.

Одной из первых безопасных технологий была WEP. Она проверяла ключ на целостность при каждом соединении по Wi-Fi и была стандартом IEEE802.11i. Сейчас эта технология считается устаревшей и недостаточно безопасной.

WPA

Защита WPA выполняет проверку ключа доступа при использовании протокола 802.1Х, таким образом, перебирая все варианты. Это более надежный и современный тип защиты. Полное название – Wi-Fi Protected Access – защищенный доступ Wi-Fi.

Делится на пару видов:

  • WPA-Personal (Personal Key) или сокращенно WPA PSK.
  • WPA-Enterprise.

И наконец, что такое WPA2 PSK? Спросите, какая разница, чем отличается этот вариант от WPA? Она поддерживает шифрование и считается лучшим способом для защиты сетей беспроводного доступа. Еще отличие в том, что это самая современная, свежая версия.

Давайте подробнее остановимся на видах WPA2:

  • WPA2 PSK или персональный (Personal) ключ – это вариант аутентификации. Нам просто нужно придумать пароль, который будет ключом, и пользоваться им во время входа в сеть WI-Fi. Этот пароль будет одним для всех подключаемых девайсов и будет храниться в настройках роутера.

  • WPA2 Enterprise – усложненный способ аутентификации, подойдет для использования на работе. Он имеет повышенный уровень защиты и использует сервер для выдачи паролей.

Часто по умолчанию в настройках роутера через компьютер можно увидеть общий режим WPA/WPA2. Он используется для избежания проблем с подключением устаревших моделей телефонов и планшетов пользователей.

Шифрование беспроводной сети

Коротко рассмотрим и алгоритмы шифрования. Их два вида – TKIP и AES. Первый алгоритм поддерживают только устаревшие устройства, поэтому при настройке доступа лучше установить режим «Авто». Если мы выбрали режим WPA2 Personal, то по умолчанию будет предложено только шифрование по AES.

WPA2 Enterprise

Пара слов о данном виде WPA Enterprise. Для использования необходимо иметь в нашей сети RADIUS-сервер. Для любого девайса выдается свой ключ шифрования, который уникален и создается прямо во время аутентификации на сервере.

Как же тогда подключается устройство к сети Wi-Fi? Сначала происходит обмен данными. Затем информация доходит до RADIUS-сервера, где выполняется аутентификация устройства: RADIUS-сервер смотрит, есть ли в его базе такое устройство, проверяет вводимые данные login и password, затем дает разрешение на подключение или запрещает соединение. После положительной проверки беспроводная точка открывает доступ в сеть нашему устройству.

Пароль для сети

После того, как мы выбрали режимы безопасности, нам необходимо задуматься о пароле. Каким он должен быть?

Определимся с величиной – 8-32 символа. Используется только латиница, цифры и специальные символы. Обязательным условием является недопустимость пробелов. Пароль реагирует на регистр. Лучше придумать надежный и легко запоминающийся пароль, чтобы его никто не мог взломать.

Теперь вы с уверенностью можете сказать, какой способ проверки подлинности Wi-Fi лучше. Чтобы к вам не мог подключиться любой нежелательный пользователь, нужно защитить свою сеть.

Если статья была полезной, ставьте звездочки! Задавайте вопросы и делитесь опытом по теме! Всем спасибо и до новых встреч на WiFi Гид!

Какую систему безопасности Wi-Fi следует использовать?

Беспроводные сети повсюду. Будь вы в местной кофейне, в школе или дома, вполне вероятно, что есть несколько беспроводных сетей, к которым вы можете получить доступ. Но как узнать, какие из них безопасны? Просмотр настроек сетевой безопасности может быть хорошим индикатором того, каким из них вы можете доверять. Чтобы помочь вам понять возможные варианты, мы обсудим историю протоколов безопасности и сравним WPA и WPA2.

Параметры безопасности маршрутизатора

При установке Wi-Fi у вас есть несколько вариантов безопасности маршрутизатора.Если ваш маршрутизатор не защищен, кто-то может получить к нему доступ, использовать его для незаконных действий от вашего имени, отслеживать использование вами Интернета или даже установить вредоносное ПО.

Если вы посмотрите на безопасность беспроводной сети, вам будет доступно несколько вариантов. Эти варианты будут включать «нет», WEP, WPA, WPA2-Personal, WPA2-Enterprise и, возможно, WPA3. В зависимости от характера вашего использования в сети вам может потребоваться более или менее безопасность.

Какой лучший метод обеспечения безопасности беспроводного Интернета?

Какой метод безопасности вы выберете, будет зависеть от возможностей вашего маршрутизатора.Старые устройства не могут поддерживать новые протоколы безопасности, такие как WPA3.

Если у вас есть возможность, вот список лучших протоколов безопасности, отсортированный от наиболее безопасного до наименее безопасного:

  1. WPA3
  2. WPA2 предприятие
  3. WPA2 персональный
  4. WPA + AES
  5. WPA + TKIP
  6. WEP
  7. Открытая сеть (без обеспечения безопасности)

История протоколов безопасности

Беспроводная безопасность со временем совершенствовалась, становясь более надежной и простой в настройке.С момента появления Wi-Fi мы перешли с протокола WEP на протокол WPA3. Прочтите, чтобы узнать об истории развития этих протоколов безопасности.

Протокол Wired Equivalent Privacy (WEP)

Первый протокол безопасности получил название Wired Equivalent Privacy или WEP. Это был стандартный протокол с 1999 по 2004 год. Хотя эта версия была создана для защиты, у нее был низкий уровень безопасности, и ее было трудно настроить.

В то время импорт криптографических технологий был ограничен, что означало, что все больше производителей могли использовать только 64-битное шифрование.Это очень низкоразрядное шифрование по сравнению с доступными сегодня 128-битными или 256-битными вариантами. В конечном итоге от WEP отказались в пользу более продвинутого решения.

Системы, которые все еще используют WEP, небезопасны. Если у вас есть система с WEP, ее следует обновить или заменить. При подключении к Wi-Fi, если в заведении есть WEP, ваша интернет-активность не будет защищена.

Защищенный доступ к Wi-Fi (WPA)

Для улучшения функций WEP, WiFi Protected Access или WPA был создан в 2003 году.Это временное усовершенствование по-прежнему имеет относительно низкую безопасность, но его легче настроить. WPA использует протокол целостности временного ключа (TKIP) для более безопасного шифрования, чем предлагает WEP.

Поскольку WiFi Alliance перешла на более продвинутый протокол, им пришлось сохранить некоторые из тех же элементов WEP, чтобы старые устройства оставались совместимыми. К сожалению, это означает, что уязвимости, такие как функция Wi-Fi Protected Setup, которую можно относительно легко взломать, все еще присутствуют в обновленной версии WPA.

Защищенный доступ Wi-Fi 2 (WPA2)

Год спустя, в 2004 году, стал доступен WiFi Protected Access 2. WPA2 имеет более высокий уровень безопасности и его проще настроить, чем предыдущие варианты. Основное отличие WPA2 в том, что он использует расширенный стандарт шифрования (AES) вместо TKIP. AES может защитить сверхсекретную правительственную информацию, поэтому это хороший вариант для защиты личного устройства или корпоративного Wi-Fi.

Единственная заметная уязвимость WPA2 заключается в том, что, получив доступ к сети, кто-то может атаковать другие устройства, подключенные к сети.Это проблема, если у компании есть внутренняя угроза, например, недовольный сотрудник, который взламывает другие устройства в сети компании.

Защищенный доступ Wi-Fi 3 (WPA3)

По мере обнаружения уязвимостей делаются улучшения. В 2018 году WiFi Alliance представил WPA3. Эта новая версия будет иметь «новые функции для упрощения безопасности Wi-Fi, обеспечения более надежной аутентификации и повышения криптографической стойкости для рынков высокочувствительных данных.«WPA3 все еще внедряется, поэтому оборудование с сертификатом WPA3 недоступно для большинства людей.

WPA против WPA2: чем они отличаются

WPA и WPA2 — наиболее распространенные меры безопасности, которые используются для защиты беспроводного Интернета. Учитывая это, мы сравнили разницу между WPA и WPA2, чтобы вы могли найти правильный вариант для своей ситуации.

WPA WPA2
Год поступления в продажу 2003 2004
Метод шифрования Протокол целостности временного ключа (TKIP) Расширенный стандарт шифрования (AES)
Уровень безопасности Сильнее, чем WEP, обеспечивает базовую безопасность Сильнее, чем WPA, обеспечивает повышенную безопасность
Поддержка устройства Может поддерживать более старое программное обеспечение Совместимость только с более новым программным обеспечением
Длина пароля Требуется более короткий пароль Требуется более длинный пароль
Использование в бизнесе Нет корпоративных решений Имеет опцию для предприятий
Требуемая вычислительная мощность Минимально необходимо Требуется значительная сумма

При сравнении WPA иWPA2, WPA2 будет лучшим вариантом, если ваше устройство может его поддерживать.

Почему кто-то выбрал WPA?

WPA имеет менее безопасный метод шифрования и требует более короткого пароля, что делает его более слабым вариантом. Для WPA не существует корпоративного решения, поскольку оно недостаточно защищено для поддержки использования в бизнесе. Однако, если у вас более старое программное обеспечение, WPA может использоваться с минимальной вычислительной мощностью и может быть для вас лучшим вариантом, чем альтернатива WEP.

Почему кто-то выбрал WPA2?

WPA2 — это обновленная версия WPA, которая использует шифрование AES и длинные пароли для создания защищенной сети.WPA2 имеет индивидуальные и корпоративные параметры, что делает его идеальным для домашних пользователей и предприятий. Однако для этого требуется значительная вычислительная мощность, поэтому, если у вас старое устройство, оно может работать медленно или вообще не работать.

Независимо от того, какой вариант лучше всего подходит для вас, важно обеспечить безопасность своего устройства, должным образом защищая соединение Wi-Fi. Если ваш маршрутизатор не поддерживает самый безопасный метод шифрования, рассмотрите возможность использования VPN для шифрования ваших поисковых запросов. Бесплатный VPN от Panda Security поможет вам безопасно и конфиденциально просматривать веб-страницы из любого места.

Источники:

Lifewire | Компьютерщик службы поддержки

Что такое WPA2 и как повысить безопасность WPA2?

Более 68% пользователей полагаются на эту технологию шифрования Wi-Fi WPA2, как сообщает Wireless Geographic Logging Engine (WiGLE). Вот что нужно знать о безопасности WPA2 для ваших личных и корпоративных беспроводных сетей

Для многих из нас Интернет вездесущ. Безопасность беспроводных сетей может игнорировать наш радар при подключении к общедоступной сети Wi-Fi в кафе или аэропорту, чтобы обновлять наши социальные сети или отвечать на электронные письма.Однако подключение по небезопасным каналам или сетям представляет собой угрозу безопасности, которая может привести к потенциальной потере данных, утечке учетных данных и множеству других проблем. Вот почему критически важно использовать правильные меры безопасности Wi-Fi. Но для этого вам нужно знать разницу между различными стандартами беспроводного шифрования, включая WPA2.

Итак, в чем разница между Wi-Fi в кафе и тем, который мы используем в домашних или офисных сетях? Давайте разберемся!

Как работает Wi-Fi и почему необходимо защищать соединения

Wi-Fi, технология беспроводной сети, которая позволяет устройствам взаимодействовать с Интернетом, использует радиоволны.Он основан на стандарте IEEE 802.11 Института электроники и инженеров-электриков. Однако эта технология очень уязвима для взлома, поскольку в протоколах, на которых они основаны, были обнаружены слабые места.

Рассмотрите типы транзакций, которые происходят через Интернет как через домашнюю, так и через деловую сеть. Вы могли совершать онлайн-покупки из дома, для чего вам необходимо ввести платежную информацию. На работе вы можете получать доступ к конфиденциальным данным клиентов для определенных проектов.Как видите, обе эти сети несут конфиденциальную информацию, которую необходимо защитить от несанкционированного доступа. Обычно это связано с использованием процессов и технологий шифрования.

Необходимость в безопасности беспроводной сети возникает для предотвращения любого незаконного доступа для сохранения конфиденциальности данных и предотвращения того, чтобы запрещенные пользователи съедали пропускную способность соединения. Неавторизованные пользователи могут нанести ущерб сети, используя различные средства, начиная от подслушивания соединения и заканчивая распространением вредоносного ПО по сети.Хакеры также могут использовать технику, называемую вардрайвингом, когда они разъезжают по городу, нанося на карту точки доступа Wi-Fi в поисках незащищенных сетей, которые они могут использовать или использовать для совершения гнусных действий.

WPA2 и другие стандарты шифрования беспроводной сети Определения и пояснения

Давайте рассмотрим различные варианты, которые вы можете использовать для защиты своих сетей, и стандарты шифрования, которые делают возможной безопасность беспроводной сети. Как вы можете видеть из этой временной шкалы, на самом деле существовало несколько типов стандартов безопасности беспроводной сети, которые использовались в течение последних 20 лет или около того.

Временная шкала, показывающая эволюцию от WEP к WPA3

Wired Equivalency Privacy (WEP)

WEP был официально представлен в качестве эталона безопасности Wi-Fi в 1999 году. Однако он был частью первоначального стандарта IEEE 80.11, ратифицированного в 1997 году. Идея заключалась в обеспечении такого же уровня конфиденциальности данных, что и в проводных сетях, хотя эта цель не была достигнута. т понял. Это связано с тем, что в качестве алгоритма шифрования WEP использует RC4, потоковый шифр с множеством уязвимостей.

Видите ли, RC4 полагается на вектор инициализации, чтобы предотвратить генерацию одних и тех же данных открытого текста одними и теми же данными, зашифрованными WEP.Однако вектор инициализации передается в виде открытого текста, и, изучив достаточное количество пакетов с использованием одного и того же ключа WEP, злоумышленник может получить этот ключ математически.

В результате WEP является наиболее небезопасным из всех стандартов шифрования. WEP предлагает два режима аутентификации:

  1. Открыть — здесь ключ WEP не нужен. Но если он указан, он будет использоваться для шифрования трафика.
  2. Shared — это означает, что точки беспроводного доступа и беспроводные клиенты настраиваются вручную с использованием одного и того же ключа заранее.

Защищенный доступ Wi-Fi (WPA)

Защищенный доступ Wi-Fi, созданный в 2003 году, является улучшением по сравнению с WEP. Это потому, что он обеспечивает повышенную безопасность с точки зрения обработки ключей и более эффективный процесс авторизации пользователей. WPA был введен для повышения безопасности незащищенных сетей WEP без необходимости в дополнительном оборудовании. Он полагается на протокол целостности временного ключа (TKIP) для шифрования, который динамически изменяет используемые ключи. TKIP включает в себя функции смешивания клавиш, которые увеличивают сложность клавиш и затрудняют декодирование злоумышленниками.

WPA также включает проверку целостности сообщения под названием «Майкл». Хотя это более безопасно, чем контрольная сумма CRC-32, используемая для аналогичных проверок целостности в WEP, она все же имеет свои недостатки.

Это подводит нас к следующему типу стандарта беспроводного шифрования: WPA2.

Защищенный доступ Wi-Fi 2 (WPA2)

WPA2, запущенный в 2004 году, представляет собой обновленную версию WPA и основан на механизме надежной сети безопасности (RSN). WPA2 работает в двух режимах — личном (предварительный ключ или PSK) и корпоративном (EAP / Radius) режиме.Как следует из названия, первый предназначен для домашнего использования, а корпоративный режим обычно развертывается в корпоративной среде. Оба этих режима полагаются на AES-CCMP, комбинацию режима счетчика с методом обеспечения целостности сообщений CBC-MAC и блочным шифром AES для шифрования. Из-за этого злоумышленникам, прослушивающим сеть, труднее выявлять закономерности.

Общий ключ или персональный режим (WPA2-PSK)

WPA2 Personal использует общую парольную фразу для доступа и не рекомендуется для корпоративной среды.Обычно он развертывается в домашних сетях, где кодовая фраза определяется в точке доступа (маршрутизаторе), и клиентские устройства должны вводить ту же парольную фразу для подключения к беспроводной сети. Парольная фраза шифрования хранится на отдельных оконечных устройствах и может быть легко восстановлена. Кроме того, каждый раз, когда сотрудник покидает организацию, или если кодовая фраза каким-либо образом раскрывается, ее необходимо менять индивидуально на всех точках доступа и подключенных устройствах.

Режим предприятия (EAP)

У корпоративного PA2 есть несколько вариантов расширяемого протокола аутентификации (EAP) — аутентификация на основе пароля, EAP на основе сертификатов и т. Д.Обратите внимание, что EAP сам по себе является структурой аутентификации и может быть реализован путем принятия различных типов EAP.

Хотя WPA2 является шагом вперед по сравнению с WEP, он все еще уязвим для атак с переустановкой ключей (KRACK). KRACK использует слабое место в четырехстороннем рукопожатии WPA2. Злоумышленник может выдать себя за клонированную сеть и заставить жертву подключиться к вредоносной сети. Это позволяет хакеру расшифровать небольшой фрагмент данных, который может быть объединен для взлома ключа шифрования. Однако клиентские устройства можно пропатчить, и это по-прежнему более безопасно, чем WEP или WPA.

Это подводит нас к следующему звену в эволюции стандартов шифрования Wi-Fi.

Защищенный доступ Wi-Fi 3 (WPA3)

WPA3 теперь считается обязательной сертификацией для устройств Wi-Fi CERTIFIED ™, согласно Wi-Fi Alliance. Но что такое WPA3 и чем он отличается от своих предшественников WPA2 и WPA? WPA3 направлен на устранение некоторых основных недостатков WPA2 (таких как его уязвимость к атакам методом перебора парольной фразы, атакам с переустановкой ключей и т. Д.). Это позволяет повысить безопасность личных и открытых сетей, а также повысить безопасность корпоративных сетей.

Ключевым преимуществом WPA3 является то, что он обеспечивает устойчивость к атакам методом грубой силы даже для слабых или коротких паролей. Он заменяет WPA2-PSK на одновременную аутентификацию равных WPA3 (SAE), безопасный метод обмена ключами с аутентификацией по паролю. WPA3-SAE не передает хэш пароля в открытом виде и ограничивает количество предположений, которые может сделать злоумышленник. Тем не менее, в прошлом году исследователи обнаружили несколько недостатков безопасности (атаки на более раннюю версию, атаки по побочным каналам и т. Д.) в рукопожатии стрекозы, используемом в WPA3 (который заменил четырехстороннее рукопожатие, используемое в WPA2).

Wi-Fi Alliance выпустила исправления для этих уязвимостей. Но, учитывая частоту сбоев стандартов Wi-Fi с KRACK (в случае WPA2) и dragonblood, полагаться только на них может быть не самым разумным выбором для защиты наших сетей.

5 советов по повышению безопасности WPA2

Многие пользователи продолжают использовать WPA2 в домашних условиях или в сети малого бизнеса для доступа в Интернет.Вот несколько указателей, которые помогут защитить ваше общение:

  • Держите свои устройства в актуальном состоянии. Обновите операционную систему на всех клиентских устройствах в сети для повышения безопасности WPA2. Это гарантирует, что установлены последние исправления известных уязвимостей (например, KRACK).
  • Используйте надежные и уникальные пароли с большей длиной пароля. Увеличьте сложность, используя специальные символы, цифры, прописные и строчные буквы.
  • Убедитесь, что учетные данные по умолчанию не используются ни на одной из точек доступа (например, учетные данные администратора на маршрутизаторе).
  • Введите IP-адрес для доступа к настройкам маршрутизатора с помощью веб-браузера. В настройках прошивки регулярно проверяйте наличие доступных обновлений, ожидающих установки на вашем маршрутизаторе. Кроме того, подумайте о замене маршрутизатора, как только производители перестанут его поддерживать и продукт будет снят с производства. Современные системы Wi-Fi, такие как Google Wifi, имеют функцию установки автоматических обновлений.
  • Отключить удаленный доступ к роутеру . Чтобы гарантировать, что настройки вашего маршрутизатора не могут быть изменены через беспроводное соединение, отключите доступ через Wi-Fi, чтобы изменения можно было вносить только путем подключения через кабель Ethernet.

Помимо вышеупомянутых советов, использование виртуальной частной сети (VPN) или применение передовых методов безопасности, таких как просмотр через защищенные HTTPS-соединения, могут обеспечить дополнительный уровень безопасности.

WPA2 или лучший WPA3; никогда не используйте легко взломанный WEP

Ким Командо | Специально для США СЕГОДНЯ

Плохая новость: большинство людей не задумываются о своих маршрутизаторах.

Отсутствие ноу-хау ставит множество домашних хозяйств в опасное положение. Группа готовности к компьютерным чрезвычайным ситуациям США (US-CERT) опубликовала предупреждение о том, что поддерживаемые государством хакеры совершают атаки на большое количество домашних маршрутизаторов в США.

Некоторые маршрутизаторы изначально неисправны и никогда не могут быть исправлены. Вот пять тактик защиты домашней сети, устройств и файлов от хакеров, которые помогут повысить безопасность вашего маршрутизатора.

Апгрейд от Apple: Обзор iPad mini: в эпоху больших iPhone имеет смысл маленький планшет Apple?

Конец карьеры: Слишком много людей совершают эту распространенную ошибку при планировании выхода на пенсию.Ты?

Сначала проверьте страницу администратора вашего маршрутизатора.

Перед тем, как начать, убедитесь, что вы можете войти в консоль администрирования вашего маршрутизатора; здесь вы управляете настройками маршрутизатора, включая управление паролями для обновлений прошивки.

Сначала убедитесь, что ваш компьютер подключен (проводным или беспроводным способом) к маршрутизатору, откройте веб-браузер и введите IP-адрес маршрутизатора. IP-адрес — это набор чисел, значение по умолчанию зависит от производителя вашего маршрутизатора.Наиболее распространены 192.168.1.1, 192.168.0.1 или 192.168.2.1.

Если вы не знаете IP-адрес или пароль своего маршрутизатора, значит, он в Интернете.

1. Выберите лучшее шифрование

Преступники любят незащищенные домашние сети Wi-Fi. Защита вашей сети Wi-Fi также может защитить вас от нежелательных подключений, которые могут использовать вашу сеть для незаконных действий.

Вот почему так важно защитить вашу сеть Wi-Fi с помощью надежного шифрования. Если вам необходимо ввести пароль для подключения к Wi-Fi, значит, на вашем маршрутизаторе уже включено шифрование.

Существуют разные типы шифрования Wi-Fi, и вы должны убедиться, что это наиболее безопасный из возможных.

Советы и рекомендации для смартфонов: 14 приложений для iPhone и Android, которые вы будете использовать снова и снова

Не позволяйте смартфону отслеживать вас: Не позволяйте ему обмениваться данными и отправлять рекламу

Наиболее широко используемые Протокол безопасности Wi-Fi на данный момент по-прежнему является шифрованием Wi-Fi Protected Access 2 (WPA2). Однако этому стандарту более десяти лет, и он уже подвержен серьезным уязвимостям безопасности, таким как атака KRACK 2017 года.

Если вы покупаете новый маршрутизатор, поищите тот, который поддерживает новейший стандарт безопасности под названием WPA3. Эти модели только начали выпускаться. У каждого маршрутизатора разная структура меню, но вы сможете найти шифрование в меню «Беспроводная связь» или «Безопасность». У вас будет несколько вариантов шифрования: если у вас все еще есть старый маршрутизатор, вы хотите выбрать тот, который начинается с «WPA2». Если ваш роутер несовместим с WPA3, то «WPA2-PSK AES» — ваш лучший вариант прямо сейчас.

Однако, если у вас есть старые гаджеты Wi-Fi, вам, возможно, придется выбрать гибридную опцию «WPA2-PSK AES + WPA-PSK TKIP», чтобы они заработали.

Никогда не выбирайте «Открыть» (без защиты) или, если используется WEP, немедленно измените настройку защиты. Открытая сеть облегчит кому-либо украсть ваш Wi-Fi, а старая система безопасности WEP легко взломана.

Если у вашего маршрутизатора есть только варианты шифрования WEP или WPA, попросите ваш маршрутизатор проверить наличие обновлений прошивки. Поищите инструкции в своем руководстве.

Больше нет руководства? Попробуйте ManualsLib или ManualsOnline, где есть сотни тысяч руководств, от маршрутизаторов до холодильников и всего остального, что может вам понадобиться.

Если нет обновления прошивки или обновлений вашего маршрутизатора, но вы все еще застряли на WPA или WEP, пора купить новый маршрутизатор. Эти методы шифрования слишком небезопасны в использовании, к тому же это означает, что вашему маршрутизатору, вероятно, больше 7 лет.

2. Профи создают дополнительную отдельную сеть

Отличная тактика — разместить устройства посетителей в отдельной сети.Вы делаете это, настраивая совершенно другой маршрутизатор Wi-Fi или активируя опцию «Гостевая сеть» вашего маршрутизатора, популярную функцию для большинства маршрутизаторов.

Гостевые сети предназначены для посетителей вашего дома, которым может потребоваться подключение к Интернету Wi-Fi, но вы не хотите, чтобы они получали доступ к общим файлам и устройствам в вашей сети.

Это разделение также будет работать для ваших интеллектуальных устройств и может защитить ваши основные устройства от определенных атак Интернета вещей.

Во избежание путаницы с основной сетью настройте гостевую сеть с другим именем сети (SSID) и паролем.Убедитесь, что вы также установили надежный и сверхзащищенный пароль в гостевой сети. По соображениям безопасности вы все равно не захотите, чтобы мошенники и посторонние занимались этим.

Новые маршрутизаторы выполняют эту сегментацию автоматически. Благодаря этой функции пользователи могут размещать устройства Интернета вещей в отдельной сети, защищая центральные компьютеры и другие личные устройства от атак.

Благодаря этому виртуальному зонированию вашей сети вы по-прежнему можете разрешить всем своим интеллектуальным устройствам и концентраторам обмениваться данными друг с другом, сохраняя при этом безопасность своих основных вычислительных устройств в случае атаки Интернета вещей.

Кроме того, если вас беспокоят «охранники» или люди, которые блуждают в поисках точек Wi-Fi для взлома, вы можете полностью отключить трансляцию своей сети и имени вашей гостевой сети (SSID).

3. Используйте бесплатный родительский контроль

Чтобы защитить своих детей от нежелательных сайтов, большинство маршрутизаторов имеют встроенные фильтры содержимого, родительский контроль и ограничения по времени.

Чтобы включить эти фильтры, снова посетите страницу администратора маршрутизатора или приложение и найдите раздел под названием «Родительский контроль» или «Контроль доступа».«Здесь вы можете выбрать, к какому типу сайтов отключить доступ, установить расписание, когда будут действовать фильтры, и установить комендантский час для определенных гаджетов.

Вы даже можете установить фильтры для определенных IP- и MAC-адресов. Обратной стороной этого является метод доставляет неудобства, и для этого требуются некоторые технические навыки. Преимущество этого заключается в том, что у вас будет карта всех подключенных гаджетов и их соответствующих IP-адресов.

Чтобы пойти дальше, поверните о фильтрации MAC (Multimedia Access Control).Включив фильтрацию MAC-адресов, вы можете указать, какие MAC-адреса будут разрешены для подключения к вашей сети в определенное время. Примечание. MAC-адреса обычно можно найти в настройках гаджета, на этикетке или в руководстве. Ищите набор из 16 буквенно-цифровых символов. (Вот пример того, как будет выглядеть MAC-адрес: 00: 15: 96: FF: FE: 12: 34: 56)

4. Включите VPN

Вы, вероятно, слышали о VPN (виртуальная частная сеть ), что является отличным способом повысить вашу безопасность и конфиденциальность в Интернете.

С помощью VPN IP-адрес вашего гаджета скрыт от веб-сайтов и служб, которые вы посещаете, и вы можете просматривать их анонимно. Интернет-трафик также зашифрован, что означает, что даже ваш интернет-провайдер не может видеть вашу онлайн-активность. Это хороший способ скрыть свои интернет-треки от посторонних.

Услуги VPN обычно доступны через программное обеспечение, но некоторые новые маршрутизаторы могут быть настроены с возможностями VPN прямо в самом маршрутизаторе. Вместо того, чтобы защищать каждый гаджет собственной службой VPN, ваш маршрутизатор будет защищать каждое подключенное устройство.

Маршрутизаторы с этой возможностью имеют поддержку программного обеспечения маршрутизатора с открытым исходным кодом (например, DD-WRT), и их можно настроить для использования таких сервисов, как OpenVPN.

В настоящее время существует множество маршрутизаторов с открытым исходным кодом и OpenVPN на выбор, но наиболее популярными моделями являются Linksys AC3200 и Netgear Nighthawk AC1900.

5. Включите брандмауэр и проверьте его.

Брандмауэр может защитить ваш маршрутизатор от хакеров. С его помощью, даже если им удастся узнать местоположение вашего маршрутизатора и IP-адрес, брандмауэр может препятствовать им доступ к вашей системе и вашей сети.

Почти каждый новый маршрутизатор имеет встроенную защиту с помощью межсетевого экрана. Они могут быть помечены по-другому, но ищите функции в расширенных настройках вашего маршрутизатора, такие как NAT-фильтрация, переадресация портов, фильтрация портов и блокировка сервисов.

С помощью этих элементов управления вы можете настроить и указать порты исходящих и входящих данных вашей сети и защитить ее от вторжений. Однако будьте осторожны при настройке параметров порта, поскольку неправильная настройка порта может сделать ваш маршрутизатор уязвимым для сканеров портов, давая хакерам возможность ускользнуть.

Чтобы проверить, безопасны ли брандмауэр вашего маршрутизатора и ваши порты, вы можете использовать онлайн-инструмент для быстрой проверки.

Какие вопросы о цифровом образе жизни у вас есть? Позвоните в мое национальное радио-шоу и нажмите здесь, чтобы найти его на местной радиостанции. Вы можете слушать Шоу Ким Командо на своем телефоне, планшете или компьютере. От советов по покупке до вопросов цифровой жизни — щелкните здесь, чтобы увидеть мои бесплатные подкасты.

WPA2-Enterprise и 802.1x упрощенный

WPA2-Enterprise существует с 2004 года и до сих пор считается золотым стандартом безопасности беспроводных сетей, обеспечивая шифрование по воздуху и высокий уровень безопасности.В сочетании с эффективным методом аутентификации, известным как 802.1x для Cloud RADIUS, пользователи успешно авторизовались для безопасного доступа к сети в течение многих лет. Но за то время WPA2-Enterprise не стало проще настраивать вручную. Независимо от того, развертываете ли вы беспроводную сеть впервые или являетесь опытным экспертом, всегда есть уникальные задачи, готовые вызвать у вас головную боль. К счастью, существуют проверенные и надежные сетевые решения, которые пытаются исправить возникающие у вас проблемы с сетью.

WPA2-PSK и WPA2-Enterprise: в чем разница?

WPA2-PSK

WPA2-PSK (Wi-Fi Protected Access 2 Pre-Shared Key) — это тип сети, которая защищена одним паролем, общим для всех пользователей. Принято считать, что один пароль для доступа к Wi-Fi безопасен, но только в той мере, в какой вы доверяете тем, кто его использует. В противном случае для кого-то, кто получил пароль зловредными способами, легко проникнуть в сеть. Вот почему WPA2-PSK часто считается небезопасным.

Есть только несколько ситуаций, в которых следует развернуть WPA2-PSK:

  • В сети всего несколько устройств, и все они являются доверенными. Это может быть дом или небольшой офис.
  • Как способ запретить случайным пользователям присоединяться к открытой сети, когда им не удается развернуть перехватывающий портал. Это может быть кофейня или гостевая сеть.
  • В качестве альтернативы сети для устройств, несовместимых со стандартом 802.1x. Пример — игровые приставки в студенческом общежитии.

WPA3-PSK

Для повышения эффективности PSK обновления WPA3-PSK обеспечивают большую защиту за счет улучшения процесса аутентификации.Стратегия для этого использует одновременную аутентификацию равных (SAE), чтобы значительно усложнить хакерские атаки по словарю методом перебора. Этот протокол требует взаимодействия со стороны пользователя при каждой попытке аутентификации, что приводит к значительному замедлению работы тех, кто пытается использовать грубую силу в процессе аутентификации.

WPA2-предприятие

Для развертывания WPA2-Enterprise требуется сервер RADIUS, который выполняет задачу аутентификации доступа пользователей сети. Фактический процесс аутентификации основан на стандарте 802.1x и входит в несколько разных систем, обозначенных EAP. Поскольку каждое устройство аутентифицируется перед подключением, между устройством и сетью фактически создается личный зашифрованный туннель.

WPA3-предприятие

Значительное улучшение, которое предлагает WPA3-Enterprise, — это требование для проверки сертификата сервера, которое должно быть настроено для подтверждения идентичности сервера, к которому устройство подключается.

Хотите узнать больше о WPA3? Подробная информация об изменениях, которые WPA3 внесет в эту статью.

Развертывание WPA2-Enterprise и 802.1x


Для работы 802.1x необходимо всего несколько компонентов. На самом деле, если у вас уже есть точки доступа и немного свободного места на сервере, у вас есть все оборудование, необходимое для обеспечения безопасности беспроводной сети. Иногда вам даже не нужен сервер: некоторые точки доступа поставляются со встроенным программным обеспечением, которое может работать со стандартом 802.1x (но только для самых маленьких из небольших развертываний). Независимо от того, покупаете ли вы профессиональные решения или создаете собственное из инструментов с открытым исходным кодом, качество и простота 802.1x — это полностью дизайнерский аспект.

Компоненты 802.1x

Клиент / истец

Чтобы устройство могло участвовать в аутентификации 802.1x, оно должно иметь часть программного обеспечения, называемую соискателем, установленную в сетевом стеке. Соискатель необходим, поскольку он будет участвовать в начальном согласовании транзакции EAP с коммутатором или контроллером и упаковать учетные данные пользователя в соответствии со стандартом 802.1x. Если у клиента нет соискателя, кадры EAP, отправленные с коммутатора или контроллера, будут проигнорированы, и коммутатор не сможет аутентифицироваться.

К счастью, почти все устройства, которые, как мы можем ожидать, подключатся к беспроводной сети, имеют встроенный соискатель. SecureW2 предоставляет запрашивающее устройство 802.1x для устройств, у которых его изначально нет.

К счастью, подавляющее большинство производителей устройств имеют встроенную поддержку 802.1x. Наиболее частыми исключениями из этого правила могут быть потребительское оборудование, такое как игровые консоли, развлекательные устройства или некоторые принтеры. Вообще говоря, эти устройства должны составлять менее 10% устройств в вашей сети, и их лучше рассматривать как исключение, а не как фокус.

Коммутатор / Точка доступа / Контроллер

Коммутатор или беспроводной контроллер играет важную роль в транзакции 802.1x, выступая в качестве «брокера» при обмене. До успешной аутентификации у клиента нет возможности подключения к сети, и связь осуществляется только между клиентом и коммутатором в обмене 802.1x. Коммутатор / контроллер инициирует обмен, отправляя клиенту пакет EAPOL-Start, когда клиент подключается к сети. Ответы клиента пересылаются на правильный сервер RADIUS в зависимости от конфигурации в настройках безопасности беспроводной сети.Когда аутентификация завершена, коммутатор / контроллер принимает решение, разрешать ли устройству доступ к сети, на основе статуса пользователя и, возможно, атрибутов, содержащихся в пакете Access_Accept, отправленном с сервера RADIUS.

Если сервер RADIUS отправляет пакет Access_Accept в результате аутентификации, он может содержать определенные атрибуты, которые предоставляют коммутатору информацию о том, как подключить устройство к сети. Общие атрибуты будут указывать, какую VLAN назначить пользователю, или, возможно, набор ACL (список управления доступом), который должен быть предоставлен пользователю после подключения.Это обычно называется «назначением политики на основе пользователя», поскольку сервер RADIUS принимает решение на основе учетных данных пользователя. Обычными вариантами использования было бы подтолкнуть гостевых пользователей к «гостевой VLAN», а сотрудников — к «Employee VLAN».

Сервер RADIUS

Локальный или облачный сервер RADIUS действует как «охранник» сети; когда пользователи подключаются к сети, RADIUS аутентифицирует их личность и авторизует их для использования в сети. Пользователь становится авторизованным для доступа к сети после регистрации сертификата из PKI (инфраструктуры закрытых ключей) или подтверждения своих учетных данных.Каждый раз, когда пользователь подключается, RADIUS подтверждает, что у него есть правильный сертификат или учетные данные, и предотвращает доступ к сети неутвержденных пользователей. Ключевым механизмом безопасности, который следует использовать при использовании RADIUS, является проверка сертификата сервера. Это гарантирует, что пользователь подключается к сети, в которой он намеревается, только настроив свое устройство на подтверждение идентичности RADIUS путем проверки сертификата сервера. Если сертификат не тот, который ищет устройство, оно не будет отправлять сертификат или учетные данные для аутентификации.

Серверы

RADIUS также могут использоваться для аутентификации пользователей из другой организации. В решениях, подобных Eduroam, серверы RADIUS работают как прокси (например, RADSEC), так что, если студент посещает соседний университет, сервер RADIUS может подтвердить его статус в домашнем университете и предоставить им безопасный доступ к сети в университете, который они в настоящее время посещают.

Магазин идентификационной информации

Хранилище удостоверений относится к объекту, в котором хранятся имена пользователей и пароли.В большинстве случаев это Active Directory или, возможно, сервер LDAP. Практически любой сервер RADIUS может подключаться к вашему AD или LDAP для проверки пользователей. При использовании LDAP есть несколько предостережений, особенно в отношении того, как пароли хешируются на сервере LDAP. Если ваши пароли не хранятся в виде открытого текста или хэша NTLM, вам нужно будет тщательно выбирать методы EAP, поскольку некоторые методы, такие как EAP-PEAP, могут быть несовместимы. Это проблема не из-за серверов RADIUS, а из-за хэша пароля.

SecureW2 может помочь вам настроить SAML для аутентификации пользователей любого провайдера идентификации для доступа к Wi-Fi. Вот руководства по интеграции с некоторыми популярными продуктами.

Чтобы настроить аутентификацию SAML в Google Workspace, нажмите здесь.

Настройка WPA2-Enterprise с Okta, щелкните здесь.

Чтобы получить руководство по аутентификации SAML с помощью Shibboleth, щелкните здесь.

Чтобы настроить WPA2-Enterprise с ADFS, щелкните здесь.

Разработка надежной сети WPA2-Enterprise требует дополнительных задач, таких как настройка PKI или CA (центра сертификации), для беспрепятственного распространения сертификатов среди пользователей.Но вопреки тому, что вы думаете, вы можете выполнить любое из этих обновлений, не покупая новое оборудование или не внося изменений в инфраструктуру. Например, развертывание гостевого доступа или изменение метода аутентификации можно выполнить без дополнительной инфраструктуры. В последнее время многие учреждения переключают методы EAP с PEAP на EAP-TLS, заметив заметное улучшение времени соединения и возможности роуминга или переключения с физического сервера RADIUS на решение Cloud RADIUS. Улучшение функциональности беспроводных сетей может быть достигнуто, не меняя ни одного элемента оборудования.

WPA2-Корпоративные протоколы

Ниже приводится краткое описание основных протоколов аутентификации WPA2-Enterprise. Если вам нужно более подробное сравнение и сопоставление, прочитайте полную статью.

EAP-TLS

EAP-TLS — это протокол на основе сертификатов, который широко считается одним из самых безопасных стандартов EAP, поскольку он исключает риск кражи учетных данных по беспроводной сети. Это также протокол, который обеспечивает наилучшее взаимодействие с пользователем, поскольку он исключает отключения, связанные с паролем, из-за политик смены пароля.Раньше существовало неправильное представление о том, что аутентификацию на основе сертификатов сложно настроить и / или управлять, но теперь многие считают, что EAP-TLS на самом деле проще в настройке и управлении, чем другие протоколы.
Хотите узнать больше о преимуществах EAP-TLS и о том, как SecureW2 может помочь вам внедрить его в вашей собственной сети? Нажмите на ссылку!

EAP-TTLS / PAP

EAP-TTLS / PAP — это протокол на основе учетных данных, который был создан для упрощения настройки, поскольку он требует только аутентификации сервера, в то время как аутентификация пользователя является необязательной.TTLS создает «туннель» между клиентом и сервером и дает вам несколько вариантов аутентификации.

Но TTLS содержит много уязвимостей. Процесс настройки может быть трудным для неопытных пользователей сети, а одно неверно настроенное устройство может привести к значительным потерям для организации. Протокол позволяет пересылать учетные данные по воздуху в открытом виде, который может быть уязвим для кибератак, таких как Man-In-The-Middle, и легко перепрофилирован для достижения целей хакера.

Если вы хотите узнать больше об уязвимостях TTLS-PAP, прочитайте полную статью здесь.

PEAP-MSCHAPv2

PEAP-MSCHAPv2 — это протокол на основе учетных данных, разработанный Microsoft для сред Active Directory. Хотя это один из самых популярных методов аутентификации WPA2-Enterprise, PEAP-MSCHAPv2 не требует настройки проверки сертификата сервера, что делает устройства уязвимыми для кражи учетных данных по беспроводной сети. Неправильная конфигурация устройства, оставленная конечным пользователям, является относительно обычным явлением, поэтому большинство организаций полагаются на программное обеспечение для подключения к сети для настройки устройств для PEAP-MSCHAPv2.Узнайте, как этот лучший университет перешел с аутентификации PEAP-MSCHAPv2 на EAP-TLS, чтобы обеспечить более стабильную аутентификацию для пользователей сети.
Для получения дополнительных сведений о протоколе PEAP MSCHAPv2 прочтите эту статью.


Методы аутентификации 802.1x

Прежде чем пользователи смогут проходить аутентификацию для повседневного доступа к сети, они должны быть подключены к защищенной сети. Подключение — это процесс проверки и утверждения пользователей, чтобы они могли подключиться к защищенной сети, используя форму идентификации, такую ​​как имя пользователя / пароль или сертификаты.Этот процесс часто становится значительным бременем, поскольку он требует от пользователей настройки своих устройств для работы в сети. Для обычных пользователей сети этот процесс может оказаться слишком сложным, поскольку для понимания шагов требуются высокоуровневые ИТ-знания. Например, университеты в начале учебного года сталкиваются с этим при подключении сотен или даже тысяч студенческих устройств, что приводит к длинным очередям заявок на поддержку. Адаптация клиентов предлагает простую в использовании альтернативу, которая позволяет конечным пользователям легко самостоятельно настраивать свои устройства за несколько шагов, экономя пользователям и ИТ-администраторам массу времени и денег.

Аутентификация на основе пароля

Подавляющее большинство методов аутентификации полагаются на имя пользователя / пароль. Его проще всего развернуть, поскольку в большинстве организаций уже настроены какие-либо учетные данные, но сеть подвержена всем проблемам с паролями без системы подключения (см. Ниже).

Для аутентификации на основе пароля есть два основных варианта: PEAP-MSCHAPv2 и EAP-TTLS / PAP. Они оба работают одинаково, но TTLS не поддерживается ни одной ОС Microsoft до Windows 8 без использования стороннего стандарта 802.1x соискатель, такой как наш корпоративный клиент. На данный момент большинство организаций развернули или перешли на PEAP. Однако вы не можете развернуть PEAP без использования Active Directory (проприетарной службы Microsoft) или без сохранения паролей в незашифрованном виде.

Аутентификация на основе токенов

Исторически токены представляли собой физические устройства в виде брелоков или ключей, которые распространялись среди пользователей. Они генерировали числа синхронно с сервером, чтобы добавить дополнительную проверку соединения.Несмотря на то, что вы можете носить их с собой и использовать расширенные функции, такие как сканеры отпечатков пальцев или USB-плагины, у ключей есть недостатки. Они могут быть дорогими и, как известно, иногда теряют связь с серверами.

Физические токены все еще используются, но их популярность падает, поскольку смартфоны сделали их избыточными. То, что когда-то было загружено на брелок, теперь можно поместить в приложение. Кроме того, существуют и другие методы двухфакторной аутентификации помимо самого метода EAP, такие как подтверждение по тексту или электронной почте для проверки устройства.

Аутентификация на основе сертификатов

Сертификаты долгое время были основой аутентификации в целом, но обычно не развертываются в настройках BYOD, поскольку сертификаты требуют, чтобы пользователи устанавливали их на своих собственных устройствах. Однако после установки сертификата они становятся удивительно удобными: на них не влияют политики смены паролей, они намного безопаснее, чем имена пользователей / пароли, и устройства аутентифицируются быстрее.

PKI-сервисы

SecureW2 в сочетании с подключенным клиентом JoinNow создают готовое решение для аутентификации Wi-Fi на основе сертификатов.Эффективная PKI обеспечивает всю необходимую инфраструктуру для реализации сети на основе сертификатов и поддерживает безопасность и распространение всех сетевых сертификатов. Теперь организации могут беспрепятственно распространять сертификаты на устройства и легко управлять ими с помощью наших мощных функций управления сертификатами.


WPA2-Enterprise Challenges

По нашему опыту, мы обнаружили, что средняя сеть WPA2-Enterprise страдает от сочетания этих четырех проблем:

Недостаток №1: Вариант устройства

Когда IEEE создал 802.1x в 2001 году было несколько устройств, которые могли использовать беспроводной доступ, и управление сетью было намного проще. С тех пор количество производителей устройств резко возросло с развитием мобильных вычислений. Чтобы дать некоторую перспективу, сегодня существует больше разновидностей Android, чем было целых операционных систем в 2001 году.

Поддержка 802.1x несовместима между устройствами, даже между устройствами с одной и той же ОС. Каждое устройство обладает уникальными характеристиками, из-за которых они могут вести себя непредсказуемо.Эта проблема усугубляется уникальными драйверами и программным обеспечением, установленным на устройстве.

Недостаток №2: MITM и выдача сертификатов

Хотя WPA2 предлагает очень безопасное соединение, вы также должны быть уверены, что пользователи будут подключаться только к защищенной сети. Безопасное соединение бессмысленно, если пользователь неосознанно подключился к приманке или к сигналу самозванца. Учреждения часто выявляют и обнаруживают несанкционированные точки доступа, в том числе атаки типа Man-in-the-Middle, но пользователи по-прежнему могут быть уязвимы за пределами площадки.Человек с ноутбуком может попытаться незаметно собрать учетные данные пользователя на автобусной остановке, в кафе или в любом другом месте, где могут пройти устройства, и попытаться подключиться автоматически.

Даже если на сервере правильно настроен сертификат, нет гарантии, что пользователи не подключатся к ложному SSID и не примут предоставленные им сертификаты. Лучше всего установить открытый ключ на устройство пользователя для автоматической проверки сертификатов, представленных сервером.

Чтобы узнать больше об атаках MITM, прочтите нашу разбивку здесь.

Недостаток 3: проблема смены пароля

Сети с паролями, срок действия которых истекает регулярно, сталкиваются с дополнительной нагрузкой из-за WPA2-Enterprise. Каждое устройство будет терять связь до тех пор, пока не будет перенастроено. Это не было проблемой, когда у обычного пользователя было только одно устройство, но в сегодняшней среде BYOD у каждого пользователя, скорее всего, будет несколько устройств, для которых требуется безопасное сетевое соединение. В зависимости от того, как меняются пароли, или от возможностей пользователей управлять паролями, это может стать бременем для службы поддержки.

Еще хуже обстоит дело в сетях, в которых происходит неожиданная смена пароля из-за утечки данных или уязвимостей системы безопасности. Помимо необходимости развертывания новых учетных данных для всего сайта, ИТ-отделам приходится иметь дело с наплывом обращений в службу поддержки, связанных с Wi-Fi.

Недостаток 4: изменение ожиданий пользователей

Безусловно, самой сложной частью настройки сети WPA2-Enterprise является обучение пользователей. Сегодня пользователи возлагают невероятно высокие ожидания на простоту использования. У них также есть больше возможностей, чем когда-либо, чтобы обойти официальный доступ.Если сеть слишком сложна в использовании, они будут использовать данные. Если сертификат плохой, они его проигнорируют. Если они не могут получить доступ к тому, что хотят, они будут использовать прокси.

Чтобы WPA2-Enterprise была эффективной, необходимо максимально упростить для пользователей сети навигацию без ущерба для безопасности.

Прежде чем приступить к работе в сети WPA2-Enterprise, ознакомьтесь с нашим учебником по наиболее распространенным ошибкам, которые люди допускают при настройке WPA2-Enterprise.


Упрощение WPA2-Enterprise с помощью JoinNow

Правильно настроенная сеть WPA2-Enterprise, использующая 802.1x аутентификация — мощный инструмент для защиты безопасности пользователей сети и защиты ценных данных; но это ни в коем случае не конец сетевых соображений, которые вам нужно сделать. Многие компоненты способствуют безопасности и удобству использования сети как целостной системы. Если безопасным является только метод аутентификации, а настройка управляемых устройств предоставляется среднему пользователю сети, существует серьезный риск для целостности сети. SecureW2 признает, что все аспекты беспроводной сети должны работать в унисон для обеспечения надежной безопасности, поэтому мы предоставили несколько готовых концепций, которые каждый сетевой администратор должен учитывать при планировании своей сети.

Эффективность благодаря адаптации

Одна из самых серьезных проблем для сетевых администраторов — это эффективное и точное подключение пользователей к защищенной сети. Если оставить их наедине с собой, многие пользователи неправильно настроят. Настройка сети WPA2-Enterprise с проверкой подлинности 802.1x — непростой процесс, включающий несколько шагов, которые человек, не знакомый с концепциями ИТ, не поймет. Если пользователи не подключаются к защищенному SSID и неправильно настроены для WPA2-Enterprise, преимущества безопасности, ожидаемые администраторами, будут потеряны.Для тех, кому нужны преимущества сетей на основе сертификатов, многие предпочитают развернуть клиентский клиент, который автоматически настраивает устройства пользователей.

Клиенты

Onboarding, такие как предлагаемые SecureW2, устраняют путаницу для пользователей, предлагая им лишь несколько простых шагов, предназначенных для выполнения учащимися от K-12 и старше. В результате получается правильно настроенная сеть WPA2-Enterprise с аутентификацией 802.1x, которая успешно подключила всех пользователей сети к защищенной сети.

Хотите получить дополнительную информацию о преимуществах оптимизированного и безопасного программного обеспечения для регистрации на платформе Bring Your Own Device (BYOD)? Ознакомьтесь с этой информативной статьей об адаптации!

Защищенный сертификатом WPA2-Enterprise

PKI позволяет организациям использовать сертификаты x.509 и распространять их среди пользователей сети. Он состоит из HSM (аппаратного модуля безопасности), центров сертификации, клиента, открытого и закрытого ключей и CRL (списка отзыва сертификатов). Эффективная PKI значительно повышает безопасность сети, позволяя организациям устранить проблемы, связанные с паролями, с помощью проверки подлинности на основе сертификатов.После настройки PKI пользователи сети могут начать регистрацию сертификатов. Это сложная задача для выполнения, но организации, которые использовали адаптируемого клиента, добились наибольшего успеха в распространении сертификатов. SecureW2 может предоставить все инструменты, необходимые для успешного развертывания PKI и эффективного распространения сертификатов. После оснащения своих устройств сертификатом пользователи могут пройти аутентификацию в беспроводной сети. Помимо безопасной беспроводной аутентификации, сертификаты могут использоваться для VPN, аутентификации веб-приложений, безопасности SSL Inspection и многого другого.

WPA2-Конфигурация корпоративного управляемого устройства

На предприятиях с управляемыми устройствами часто отсутствует единый метод настройки устройств для обеспечения безопасности на основе сертификатов. Разрешение пользователям самостоятельно настраивать конфигурацию часто приводит к неправильной настройке многих устройств, и передача этой задачи ИТ-отделу может оказаться сложной задачей. Настройка десятков, а иногда и сотен устройств вручную для защищенной сети WPA2-Enterprise часто считается слишком трудоемкой, чтобы иметь смысл. Усовершенствованные шлюзы SCEP и WSTEP SecureW2 предоставляют средства для автоматической регистрации управляемых устройств без вмешательства конечного пользователя.Одним махом эти шлюзы позволяют ИТ-отделу настраивать управляемые устройства от любого крупного поставщика для обеспечения сетевой безопасности на основе сертификатов.

Серверы RADIUS и управление доступом на основе политик

Сервер RADIUS играет важную роль в сети, аутентифицируя каждое устройство, когда оно подключается к сети. Решение JoinNow от SecureW2 встроено в облачный сервер RADIUS мирового класса, обеспечивающий мощную аутентификацию 802.1x на основе политик. При поддержке AWS он обеспечивает высокую доступность, стабильные и качественные соединения и не требует физической установки.Сервер можно легко настроить и настроить в соответствии с требованиями любой организации без необходимости модернизации существующей инфраструктуры с помощью вилочного погрузчика. После полной интеграции сеть на основе сертификатов готова к аутентификации пользователей сети.

SecureW2 также предлагает первую в отрасли технологию, которую мы называем Dynamic Cloud RADIUS , которая позволяет RADIUS напрямую ссылаться на каталог — даже облачные каталоги, такие как Google, Azure и Okta. Вместо того, чтобы принимать решения о политике на основе статических сертификатов, RADIUS принимает решения о политике на уровне выполнения на основе атрибутов пользователя, хранящихся в каталоге.

Dynamic RADIUS — это улучшенный RADIUS с улучшенной безопасностью и более простым управлением пользователями. Хотите узнать больше? Поговорите с одним из наших экспертов, чтобы узнать, может ли ваша сеть WPA2-Enterprise использовать Dynamic RADIUS.

Ключом к успешному развертыванию RADIUS являются доступность, согласованность и скорость. Cloud RADIUS от SecureW2 предоставляет организациям инструменты, необходимые для упрощения подключения к защищенной сети и обеспечения ее постоянной доступности, чтобы пользователи были постоянно защищены от внешних угроз.


WPA2-Personal security — Apple Community

Ничего не сломано — но ваша сеть Wi-Fi может выиграть от обновления в настройках или улучшенном оборудовании …

Сегодня ваш iPad не менее безопасен, чем был до обновления до iPadOS14 . Однако теперь ваш iPad может лучше [предупреждать] сообщать вам о недостатках безопасности вашей сети Wi-Fi и настройках iPad.

На этой странице поддержки будут описаны более безопасные (рекомендуемые) настройки для Wi-Fi:

Рекомендуемые настройки для маршрутизаторов и точек доступа Wi-Fi — Apple Support

быть) настроен для более безопасных настроек.Таким образом, вы можете либо настроить наиболее безопасные параметры, которые будет поддерживать ваш маршрутизатор, либо заменить его на что-то более продвинутое, обеспечивающее лучшие параметры конфигурации безопасности.

Хотя WPA3 является новейшим стандартом, вы должны стремиться использовать как минимум WPA2 (AES-PSK). Некоторые маршрутизаторы, по-видимому, продолжают поддерживать небезопасные / устаревшие стандарты TKIP — даже если они явно настроены для работы WPA2; TKIP обязательно вызовет появление предупреждения системы безопасности.

В iOS / iPadOS14 есть новая функция конфиденциальности, которая скрывает ваш физический MAC-адрес и вместо этого использует случайно выбранный частный MAC-адрес.Эту функцию можно включить / отключить на вашем iPhone / iPad для каждой настроенной сети Wi-Fi. Эта функция также влияет на внешний вид уведомлений о слабой безопасности.

Дополнительную информацию об этой новой функции можно найти здесь:

Используйте частные адреса Wi-Fi в iOS 14, iPadOS 14 и watchOS 7 — Служба поддержки Apple

Если вы не можете использовать более безопасные настройки безопасности в своей сети Wi-Fi, вы можете подумать о замене сетевого оборудования WiFi, такого как WiFi-роутер, на более современное оборудование.Однако, если маршрутизатор предоставляется вашим интернет-провайдером, это не может быть практическим предложением. Потенциально более дешевым и более гибким подходом может быть добавление дополнительного восходящего WiFi-маршрутизатора или точки доступа WiFi (AP), которая соответствует требуемым стандартам.

Я надеюсь, что эта информация поможет вам лучше понять способы устранения предупреждений безопасности WiFi, которые могут появиться после обновления до iPadOS14.

В чем разница между AES и TKIP?

Wi-Fi Protected Access 2 (WPA2) — это программа сертификации безопасности , разработанная Wi-Fi Alliance для защиты беспроводных компьютерных сетей.В зависимости от типа и возраста вашего беспроводного маршрутизатора вам будет доступно несколько вариантов шифрования. Двумя основными для WPA2-Personal (версия, используемая домашними пользователями или пользователями малого бизнеса) являются Advanced Encryption Standard (AES) и более старый Temporal Key Integrity Protocol (TKIP), или комбинация обоих .

В этой статье мы объясним , что такое AES и TKIP , и предложим, какой вариант следует выбрать для ваших устройств с поддержкой WPA2.Вам нужно выбрать лучший режим шифрования не только из соображений безопасности, но и потому, что неправильный режим может замедлить работу вашего устройства . Если вы выберете более старый режим шифрования, даже если ваш Wi-Fi-маршрутизатор поддерживает более быстрый тип шифрования, передача данных автоматически замедлится, чтобы быть совместимой со старыми устройствами, с которыми он подключается.

Мы также объясним некоторые термины безопасности Wi-Fi , связанные с WPA2 , например те, которые упомянуты на диаграмме ниже, ориентированы в первую очередь на WPA2-Personal.Например, термины «сертификаты», «стандарты», «протоколы» и «программы» иногда (ошибочно) используются взаимозаменяемо, а часто и неправильно. AES — это протокол или тип шифрования? WPA2 — это протокол или стандарт? (Предупреждение о спойлере: AES — это стандарт, а WPA2 — это сертификация.) Можно немного снисходительно относиться к терминологии Wi-Fi, если вы знаете, что на самом деле означают эти термины. Эта статья устанавливает все прямо. И да, мы очень свободно используем термин «режим» для описания настроек шифрования и аутентификации WPA2.

WPA2 101 — (очень) краткий обзор

Существует две версии WPA2: персональная (для домашнего и офисного использования) и корпоративная (для корпоративного использования). В этой статье мы сосредоточимся на первом, но сравним его с версией Enterprise, что поможет проиллюстрировать, чего не делает WPA2-Personal.

Насколько надежны распространенные сертификаты безопасности Wi-Fi?

«Беспроводные сети по своей природе небезопасны. На заре создания беспроводных сетей производители старались максимально упростить их для конечных пользователей.Готовая конфигурация для большинства беспроводного сетевого оборудования обеспечивала легкий (но небезопасный) доступ к беспроводной сети ». (Источник: чайники)

Насколько безопасен WPA2 по сравнению с другими часто используемыми сертификатами Wi-Fi? До появления WPA3 самым безопасным вариантом считался WPA2, KRACK и все такое. Текущие уязвимости WPA2 могут быть эффективно исправлены, но вам все равно необходимо выбрать лучший тип шифрования для вашего устройства Wi-Fi и ваших требований к использованию. Например, если вы работаете в малом бизнесе со старыми устройствами, вам, возможно, придется пожертвовать скоростью ради безопасности или обновить свои устройства.Если вы большая организация, вы можете решить полностью отказаться от WPA2 и начать планировать развертывание WPA3 как можно скорее.

Стандарты шифрования подключения Wi-Fi, используемые в общедоступных точках доступа Wi-Fi во всем мире (Источник: Kaspersky Security Network (KSN))

Насколько безопасны основные сертификаты Wi-Fi, используемые сегодня?

  • Открыть — Нет безопасности
  • Wired Equivalent Privacy (WEP) — Очень ненадежный и использует шифр RC4, который изначально был признан очень быстрым и простым в реализации.Когда-то популярный — согласно WayBack Machine, Skype использовал модифицированную версию около 2010 года — с тех пор считается очень небезопасным. WEP использует метод аутентификации, при котором все пользователи используют один и тот же ключ, поэтому, если один клиент скомпрометирован, все в сети подвергаются риску. WPA-PSK (Pre-Shared Key) имеет ту же проблему. Согласно Webopedia, WEP небезопасен, поскольку, как и другие широковещательные передачи Wi-Fi, он отправляет сообщения с использованием радиоволн, которые подвержены подслушиванию, эффективно обеспечивая безопасность, равносильную проводному соединению.Шифрование не мешает хакерам перехватывать сообщения, и проблема с WEP заключается в том, что он использует статическое шифрование (один ключ для всех пакетов для всех устройств в сети), подвергая риску все устройства, что потенциально является большим уловом для хакеров. Затем воры могут попытаться расшифровать данные на досуге в автономном режиме. WPA создает уникальный ключ для каждого устройства, ограничивая риск для других клиентов при взломе одного устройства в сети.
  • WPA — использует неэффективный протокол шифрования TKIP , который не является безопасным.Сам TKIP использует шифр RC4, а AES не является обязательным для WPA. Хорошая метафора того, как работает WPA, исходит из сообщения суперпользователя: «Если вы думаете об иностранном языке как о разновидности шифрования, WPA немного похож на ситуацию, когда все машины, подключенные к этой сети WPA, говорят на одном языке, но это язык, чуждый другим машинам. Итак, конечно, машины, подключенные к этой сети, могут атаковать друг друга и слышать / видеть все пакеты, отправленные / полученные всеми остальными. Защита действует только от хостов, которые не подключены к сети (например,г. потому что они не знают секретного пароля) «.
  • WPA2 — Достаточно безопасный, но уязвимый для атак методом перебора и словарных атак. Использует шифрование AES и вводит режим счетчика с кодом проверки подлинности сообщения цепочки блоков шифрования (CCMP) , надежное шифрование на основе AES. Он обратно совместим с TKIP. Поставщики выпустили исправления для многих уязвимостей, например КРЕК. Одним из основных недостатков безопасности версии WPA2-Personal является Wifi Protected Setup (WPS), , который позволяет пользователям быстро настроить безопасную беспроводную домашнюю сеть.Согласно US-Cert, «Бесплатные инструменты атаки могут восстановить PIN-код WPS за 4-10 часов». Он рекомендует пользователям проверять наличие обновленного микропрограммного обеспечения от своего поставщика, чтобы устранить эту уязвимость. WPA2-Enterprise более безопасен, но имеет некоторые недостатки.
  • WPA3 — Все еще слишком ново для получения значимых данных об использовании, но в настоящее время рекламируется как наиболее безопасный вариант.

AES, TKIP или оба, и как они работают?

ТКИП

Согласно Википедии, TKIP был разработан, чтобы «заменить» тогда уязвимый «стандарт» WEP без необходимости вносить изменения в оборудование, работающее под стандартом Wired Equivalent Privacy (WEP).Он использует шифр RC4.

Network World объясняет, что TKIP на самом деле не заменяет WEP; это «обертка». К сожалению, он основан на принципиально небезопасном WEP, потому что он был задуман как временная мера, потому что никто не хотел выбрасывать все сделанные вложения в оборудование, и его можно было быстро развернуть. Последней причины было достаточно, чтобы продавцы и бизнес-менеджеры с энтузиазмом восприняли ее. В свое время TKIP усилил безопасность WEP:

  • Смешивание базового ключа, MAC-адреса точки доступа (AP) и серийного номера пакета — «Операция микширования предназначена для минимальной нагрузки на станции и точки доступа, но при этом имеет достаточную криптографическую стойкость, чтобы что его нелегко сломать.”
  • Увеличение длины ключа до 128 бит — «Это решает первую проблему WEP: слишком короткая длина ключа».
  • Создание уникального 48-битного серийного номера , который увеличивается для каждого отправляемого пакета, поэтому нет двух одинаковых ключей — «Этот решает другую проблему WEP, называемую« атакой на коллизию », которая может возникать, когда используется один и тот же ключ. используется для двух разных пакетов.
  • Снижение риска повторных атак с расширенным вектором инициализации (IV), упомянутым выше — «Поскольку 48-битный порядковый номер будет повторяться тысячи лет, никто не может воспроизвести старые пакеты из беспроводного соединения — они будут обнаружены как вышедшие из строя, потому что порядковые номера будут неправильными.”

Насколько действительно уязвим TKIP? Согласно Cisco, TKIP уязвим для расшифровки пакетов злоумышленником. Однако злоумышленник может украсть только ключ аутентификации, но не ключ шифрования.

«С восстановленным ключом только перехваченные пакеты могут быть подделаны в ограниченном окне максимум 7 попыток. Злоумышленник может расшифровать только один пакет за раз, в настоящее время со скоростью один пакет за 12-15 минут. Кроме того, пакеты могут быть дешифрованы только при отправке из точки беспроводного доступа (AP) клиенту (однонаправленный).”

Проблема в том, что если белые шляпы открывают большие векторы для вставки атак, то и черные шляпы обнаруживают.

У есть обратная сторона, когда TKIP используется с PSK . «При аутентификации 802.1X секрет сеанса уникален и безопасно передается на станцию ​​сервером аутентификации; при использовании TKIP с предварительно разделенными ключами секрет сеанса одинаков для всех и никогда не меняется — отсюда и уязвимость использования TKIP с предварительно разделенными ключами.”

AES

AES (основанный на алгоритме Риандаэля) — это блочный шифр («S» на самом деле означает стандарт и еще один пример запутанной терминологии), используемый протоколом под названием CCMP. Он преобразует открытый текст в зашифрованный текст и имеет длину ключа 28, 192 или 256 бит. Чем больше длина ключа, тем труднее злоумышленники зашифрованные данные.

Эксперты по безопасности в целом согласны с тем, что AES не имеет серьезных недостатков. Исследователи успешно атаковали AES лишь несколько раз, и в основном эти атаки носили побочный характер.

AES — предпочтительный вариант шифрования для федерального правительства США и НАСА. Для получения дополнительной уверенности посетите Crypto-форум Stack Exchange. Чтобы получить подробные технические подробности о том, как работает AES, которые выходят за рамки этой статьи, посетите eTutorials.

Термины и сокращения, которые следует знать о Wi-Fi

Сертификаты и стандарты

Хотя WPA2 — это программа сертификации, ее часто называют стандартом, а иногда и протоколом.«Стандарт» и «протокол» — это описания, которые часто используются журналистами и даже разработчиками этих сертификатов (и рискуют проявить педантичность), но эти термины могут вводить в заблуждение, когда дело доходит до понимания того, как стандарты и протоколы относятся к Wi-Fi. сертификация, если не сказать прямо неверная.

Мы можем использовать аналогию с транспортным средством, которое сертифицировано как годное к эксплуатации. Производитель будет иметь инструкции, которые определяют стандарты безопасности . Когда вы покупаете автомобиль, он будет иметь сертификат , сертификат как безопасный для вождения организацией, определяющей стандарты безопасности транспортных средств.

Итак, хотя WPA2 следует называть сертификацией, его можно условно назвать стандартом. Но называть это протоколом сбивает с толку значение реальных протоколов — TKIP, CCMP и EAP — в безопасности Wi-Fi.

Протоколы и шифры

Еще одна путаница: AES — это аббревиатура от Advanced Encryption Standard . И, по словам пользователя Stack Exchange, TKIP на самом деле не является алгоритмом шифрования; он используется, чтобы гарантировать, что пакеты данных отправляются с уникальными ключами шифрования.Пользователь, Лукас Кауфман, говорит: «TKIP реализует более сложную функцию смешивания ключей для смешивания сеансового ключа с вектором инициализации для каждого пакета». Между прочим, Кауфман определяет EAP как «структуру аутентификации». Он прав в том, что EAP определяет способ передачи сообщений; сам он их не шифрует. Мы коснемся этого еще раз в следующем разделе.

WPA2 и другие сертификаты Wi-Fi используют протоколы шифрования для защиты данных Wi-Fi. WPA2-Personal поддерживает несколько типов шифрования.WPA и WPA2 обратно совместимы с WEP, который поддерживает только TKIP.

Juniper называет такие протоколы шифрования, как AES и TKIP, шифровальными шифрами. Шифр — это просто алгоритм, который определяет, как выполняется процесс шифрования.

По данным сообщества AirHeads:

«Вы часто видите ссылки на TKIP и AES при защите клиента WiFi. На самом деле, на него следует ссылаться как на TKIP и CCMP, а не как на AES. TKIP и CCMP — это протоколы шифрования. AES и RC4 — это шифры, CCMP / AES и TKIP / RC4.Вы можете видеть, что поставщики смешивают шифр с протоколом шифрования. При сдаче экзамена самый простой способ запомнить разницу — помнить, что TKIP и CCMP оканчиваются на «P» для протокола шифрования. [sic] »

Как и EAP, хотя это протокол аутентификации, а не шифрования.

Итого:

Шифрование и аутентификация WPA2

Аутентификация — PSK по сравнению с 802.1X

Как и WPA, WPA2 поддерживает аутентификацию IEEE 802.1X / EAP и PSK.

WPA2-Personal — PSK — это механизм аутентификации, используемый для проверки пользователей WPA2-Personal, устанавливающих соединение Wi-Fi. Он был разработан в первую очередь для общего использования дома и в офисе. PSK не требует настройки сервера аутентификации. Пользователи входят в систему с предварительным общим ключом, а не с помощью имени пользователя и пароля, как в версии Enterprise.

WPA2-Enterprise — Исходный стандарт IEEE 802.11 («годный к эксплуатации» стандарт для сертификации Wi-Fi) был выпущен в 1997 году.Более поздние версии часто разрабатывались для повышения скорости передачи данных и обеспечения соответствия новым технологиям безопасности. Последние версии WPA2-Enterprise соответствуют стандарту 802.11i. Его базовый протокол аутентификации — 802.1X, , который позволяет устройствам Wi-Fi аутентифицироваться по имени пользователя и паролю или с использованием сертификата безопасности. Аутентификация 802.1X развернута на сервере AAA (обычно RADIUS) , который обеспечивает централизованную аутентификацию и функции управления пользователями. EAP — это стандарт, используемый для передачи сообщений и проверки подлинности клиента и сервера перед доставкой. Эти сообщения защищены такими протоколами, как SSL, TLS и PEAP .

Шифрование — «семечки» и ПМК

WPA2-Personal — PSK объединяет парольную фразу (предварительно общий ключ) и SSID (который используется в качестве «начального» и виден всем в пределах досягаемости) для генерации ключей шифрования. Сгенерированный ключ — парный главный ключ (PMK) — используется для шифрования данных с использованием TKIP / CCMP.PMK основан на известном значении (кодовой фразе), поэтому любой, у кого есть это значение (включая сотрудника, покидающего компанию), может захватить ключ и потенциально использовать грубую силу для расшифровки трафика.

Несколько слов о семенах и SSID.

  • SSID — Все имена сетей, которые появляются в списке точек доступа Wi-Fi на вашем устройстве, являются SSID. Программное обеспечение для анализа сети может сканировать SSID, даже если он предположительно скрыт. По словам Стива Райли из Microsoft, «SSID — это имя сети, а не — я повторяю, не — пароль.У беспроводной сети есть идентификатор SSID, чтобы отличать ее от других беспроводных сетей поблизости. SSID никогда не предназначался для скрытия, поэтому он не обеспечит никакой защиты вашей сети, если вы попытаетесь его скрыть. Скрытие SSID является нарушением спецификации 802.11; поправка к спецификации 802.11i (которая определяет WPA2, обсуждается ниже) даже гласит, что компьютер может отказаться от связи с точкой доступа, которая не передает свой SSID ».
  • Seeds — SSID и длина SSID обрабатываются перед тем, как стать частью сгенерированного PMK.SSID и длина SSID используются в качестве начальных значений, которые инициализируют генератор псевдослучайных чисел, используемый для объединения парольной фразы, создавая хешированный ключ. Это означает, что пароли по-разному хешируются в сетях с разными SSID, даже если они используют один и тот же пароль.

Хорошая парольная фраза может снизить потенциальный риск, связанный с использованием SSID в качестве начального значения. Парольную фразу следует генерировать случайным образом и часто менять, особенно после использования точки доступа Wi-Fi и когда сотрудник увольняется из компании.

WPA2-Enterprise — после того, как сервер RADIUS аутентифицировал клиента, он возвращает случайный 256-битный PMK , который CCMP использует для шифрования данных только для текущего сеанса. «Сид» неизвестен, и каждая сессия требует нового PMK, поэтому атаки методом перебора — пустая трата времени. WPA2 Enterprise может, но обычно не использовать PSK.

Какой тип шифрования лучше всего подходит для вас: AES, TKIP или оба? (Решено)

Первоначальный вопрос, заданный в этой статье, заключался в том, следует ли использовать AES, TKIP или и то, и другое для WPA2?

Выбор типа шифрования на маршрутизаторе

Ваш выбор (в зависимости от вашего устройства) может включать:

  • WPA2 с TKIP — вам следует выбирать этот вариант, только если ваши устройства слишком старые для подключения к более новому типу шифрования AES
  • WPA2 с AES — это лучший (и по умолчанию) выбор для новых маршрутизаторов, поддерживающих AES.Иногда вы видите только WPA2-PSK , что обычно означает, что ваше устройство поддерживает PSK по умолчанию.
  • WPA2 с AES и TKIP — это альтернатива для устаревших клиентов, которые не поддерживают AES. Когда вы используете WPA2 с AES и TKIP (что может потребоваться при обмене данными с устаревшими устройствами), вы можете столкнуться с более медленными скоростями передачи. Сообщество AirHead объясняет это тем, что «групповые шифры всегда будут иметь самый низкий шифр». AES использует больше вычислительной мощности, поэтому, если у вас много устройств, вы можете увидеть снижение производительности в офисе.Максимальная скорость передачи для сетей, использующих пароли WEP или WPA (TKIP), составляет 54 Мбит / с (Источник: CNet).
  • WPA / WPA2 — аналогично варианту, приведенному выше, вы можете выбрать его, если у вас есть старые устройства, но он не так безопасен, как вариант
  • только для WPA2

На вашем устройстве вместо WPA2 вам может быть показана опция «WPA2-PSK». Вы можете относиться к этому как к одному и тому же.

Советы по усилению безопасности PSK

Комментарии Терренса Кумана о Stack Exchange помогают понять, почему WPA2-Enterprise более безопасен, чем WPA2-Personal.Он также дает следующие советы:

  • Задайте для своего SSID («начальное число» PMK) случайную строку из максимально допустимого числа цифр, что сделает PMK менее уязвимым для атак методом перебора.
  • Создать длинный случайный PSK и регулярно его менять
  • Уникальный SSID может сделать вас уязвимыми для воров, которым будет проще найти вас на Wigle. Если вы действительно параноик, вам следует подумать об использовании вместо этого VPN.

Что дальше? Вышел WPA3

Согласно NetSpot, «Вероятно, единственный недостаток WPA2 — это то, сколько вычислительной мощности ему необходимо для защиты вашей сети.Это означает, что необходимо более мощное оборудование, чтобы избежать снижения производительности сети. Эта проблема касается старых точек доступа, которые были реализованы до WPA2 и поддерживают WPA2 только через обновление прошивки. Большинство нынешних точек доступа оснащены более мощным оборудованием ». И большинство поставщиков продолжают поставлять исправления WPA2.

WPA2 будет постепенно заменяться WPA3, выпущенным в июне 2018 года после выявления уязвимости безопасности под названием KRACK в WPA2 в прошлом году.Ожидается, что внедрение займет некоторое время (возможно, не раньше 2019 года), пока поставщики сертифицируют и отправляют новые устройства. Хотя были выпущены исправления для уязвимости KRACK, WPA2 в целом не так безопасен, как WPA3. Для начала убедитесь, что вы выбрали наиболее безопасный метод шифрования. Скептик Дион Филлипс, пишущий для InfiniGate, считает: «… сомнительно, что текущие беспроводные устройства будут обновлены для поддержки WPA3, и гораздо более вероятно, что следующая волна устройств пройдет процесс сертификации.”

Вы поняли; в конце концов, скорее всего, вам придется покупать новый роутер. А пока, чтобы оставаться в безопасности, вы можете пропатчить и защитить WPA2.

Документированных отчетов об атаках KRACK пока не поступало, но сертификация WPA3 обеспечивает гораздо большую безопасность, чем просто устранение уязвимости KRACK. В настоящее время это необязательная программа сертификации, но со временем она станет обязательной по мере того, как все больше поставщиков примут ее. Узнайте больше о WPA2 и 3 из статьи Comparitech о том, что такое WPA3 и насколько он безопасен?

Безопасность WPA3

Хотя обновления безопасности WPA3 устранили многие дыры в WPA2, он не был идеальным.В 2019 году исследователи опубликовали результаты, которые показали, как злоумышленник в пределах досягаемости своей жертвы может восстановить пароль жертвы. Атака сработала, несмотря на лежащее в основе WPA3 рукопожатие Dragonfly, цель которого — сделать непрактичным взлом пароля сети.

Атака вызывает беспокойство, потому что это означает, что злоумышленник может получить доступ к конфиденциальным данным, таким как данные для входа, если они вводятся без HTTPS-соединения (вы всегда должны убедиться, что у вас есть HTTPS-соединение, когда вы вводите свой пароль или другую конфиденциальную информацию в веб-сайт, иначе данные будут уязвимы).

Подробности атаки объясняются исследователями в их статье «Dragonblood: Анализируя рукопожатие Dragonfly» WPA3 и EaP-pwd. Вместе с Wi-Fi Alliance и CERT / CC они уведомили затронутых поставщиков и помогли им реализовать контрмеры.

Руководство по безопасности WPA3

В конце 2019 года Wi-Fi Alliance выпустил набор рекомендаций по безопасности для WPA3, чтобы минимизировать риски атак:

  • Надежные пароли — Это довольно стандартный совет по безопасности, но пароли, используемые с WPA3-Personal, должны быть сложными.Они также должны быть длинными и уникальными. Реализация также должна ограничить количество попыток аутентификации, чтобы хакеры не смогли подобрать пароль.
  • Защита от отказа в обслуживании — Реализации точки доступа должны обрабатывать операции одновременной аутентификации равных (SAE) в непривилегированных очередях обработки. Если они перегружены, они не должны приводить к отказу всего базового набора служб из-за потребления ресурсов ЦП (дополнительные сведения см. В разделе «Отказ в обслуживании» указанной выше ссылки).
  • Рекомендуемые группы Диффи-Хеллмана — В реализациях SAE следует использовать только группы Диффи-Хеллмана 15–21 (см. Раздел «Подходящие группы Диффи-Хеллмана» по ссылке выше). Группа 19 является обязательной, а остальные группы — необязательными. Сила выбранной группы Диффи-Хеллмана должна быть равна или превышать стойкость предлагаемого шифра шифрования. Параметр безопасности k реализации SAE должен иметь значение не менее 40.
  • Атаки по побочным каналам — Реализации SAE должны избегать различий в исполнении кода, которые высвобождают информацию о побочных каналах и могут быть собраны через кеш.
  • WPA3-Personal Transition Mode — Если это не соответствует требованиям безопасности для развертывания, WPA3-Personal и WPA-2 Personal должны быть развернуты с их собственными индивидуальными SSID. Они должны использовать уникальные и логически разделенные пароли (дополнительные сведения см. В разделе «Персональный режим перехода WPA-3» по указанной выше ссылке).

В рекомендациях по безопасности указано, что их неправильная реализация может сделать реализацию поставщика открытой для атаки или компрометации сети.

Подробнее о безопасности Wi-Fi
  • Отличное, хотя и длинное, техническое введение в TKIP, AES и проблемное использование вводящей в заблуждение терминологии — это TKIP Hack
  • .
  • Если вас беспокоит WPA2 и ваши устройства поддерживают только TKIP, выберите надежный VPN.
  • Понимать основы криптографии
  • Узнайте, как защитить свой Wi-Fi роутер — советы для обычного пользователя и всех, у кого есть конфиденциальные данные, которые необходимо защитить.

WiFi Шифрование: WPA3, WPA2 и WPA Enterprise

Настройка уровня

: все эти типы шифрования (WEP, WPA, WPA2, WPA3 и WPA Enterprise) применяются только между беспроводным устройством (компьютером, телефоном, планшетом, IoT) и маршрутизатором.Когда данные покидают маршрутизатор и попадают в Интернет, ничего из этого не применяется. Если данные являются защищенной (HTTPS) веб-страницей, то они дважды шифруются в вашем доме / офисе, один раз маршрутизатором (возможно, с WPA2), а также веб-сайтом. Когда зашифрованная веб-страница проходит через Интернет, она шифруется только один раз. Если беспроводное устройство в вашем доме / офисе использует VPN, то данные, передаваемые между этим устройством и маршрутизатором, снова подвергаются двойному шифрованию: один раз маршрутизатором (вероятно, WPA2) и один раз VPN.И да, если данные в VPN-туннеле представляют собой защищенную (HTTPS) веб-страницу, то они подвергаются тройному шифрованию при передаче по воздуху в вашем доме / офисе.

WPA3

Обновления раздела: впервые добавлено 3 августа 2018 г., обновлено 3 ноября 2018 г. | 11 апреля 2019 г. | 18 мая 2021 г.

18 мая 2021 г .: Вкратце: WPA3 более безопасен, чем WPA2, но не имеет никакого смысла. Так что не обновляйте свой маршрутизатор только для того, чтобы получить WPA3.

Улучшение 1: Благодаря WPA2 злоумышленники могут прослушивать эфирный разговор, когда устройство впервые подключается к сети Wi-Fi.В этом разговоре используется зашифрованный пароль, и злоумышленники могут сохранить копию разговора и угадать миллиард паролей в секунду. Официальная терминология для этого — угадывание методом грубой силы в автономном режиме. WPA3 делает невозможным выполнение угадывания грубой силы в автономном режиме. Но если пароль Wi-Fi WPA2 достаточно длинный, то на поиск пароля методом перебора могут потребоваться годы, если не десятилетия. Как долго это достаточно долго? Со временем это меняется, но, по моему мнению, длина составляет 15 символов.

Улучшение 2: WPA3 добавляет Perfect Forward Secrecy (PFS или FS).Чтобы проиллюстрировать, что это означает, предположим, что злоумышленники захватили все ваши передачи Wi-Fi в понедельник и узнали ваш пароль во вторник. Без Совершенной прямой секретности они могли читать сохраненные передачи с понедельника. С этим они не могут. Здесь снова достаточно длинный пароль WPA2 обеспечивает защиту от атак грубой силы. Однако, если кто-то выдает пароль Wi-Fi, то рекомендуется иметь прямую секретность, если вы достаточно важны, чтобы злоумышленники зависали рядом с вашим домом и записывали весь трафик Wi-Fi.

Улучшение 3: WPA3 имеет более безопасную альтернативу WPS. Но миллионы существующих устройств, зависящих от WPS, не исчезнут в одно мгновение. Итак, WPS все еще нуждается в поддержке. И многие маршрутизаторы, которые предлагают только WPA2, позволяют отключить WPS. Более того, некоторые маршрутизаторы WPA2 вообще не поддерживают WPS. Замена WPS называется Wi-Fi Easy. Подключайтесь и, как и WPS, он предназначен для беспроводных устройств, у которых нет экрана или клавиатуры (обычно IoT). Как и все в наше время, это зависит от смартфона.Вы сканируете QR-код на маршрутизаторе, затем отсканируйте QR-код на устройстве IoT, и он будет в вашей сети. Я не знаю, как это работает, когда маршрутизатор создает несколько сетей Wi-Fi. Я бы долго этому не доверял. Лучше избегать новых программных протоколов от Wi-Fi Alliance. Их история — история очень плохого дизайна. Сам WPA3 — их четвертый способ взломать беспроводное шифрование. Easy Connect может оказались очень надежными, но, по-моему, жюри не будет на пару лет.

Улучшение 4: Шифрование без пароля.Эта функция называется Wi-Fi Enhanced Open и добавляет беспроводное шифрование к сетям, не требующим пароля. Но там так мало «открытых» сетей (пароль не нужен), что я не вижу в этом особого значения.

— — — — —

, 11 апреля 2019 г .: Wi-Fi Alliance, устанавливающий стандарты Wi-Fi, давно терпит неудачи. Организация — это позор отрасли. И, похоже, со стандартом WPA3 они поддерживают свою жалкую репутацию. Когда некоторым квалифицированным специалистам (Мати Ванхоф и Эяль Ронен) наконец удалось оценить WPA3, они обнаружили множество недостатков в конструкции.Чтобы было понятно, это не недостатки кода, это плохой дизайн. В зависимости от того, как вы считаете, есть как минимум пять дизайнерских ошибок.

Их веб-сайт, документирующий недостатки — Dragonblood. См. Также

  1. Охотники за ошибками пробивают огромные дыры в стандарте WPA3 для безопасности Wi-Fi Шон Николс из The Register 11 апреля 2019 г.
  2. Серьезные недостатки делают WPA3 уязвимым для взломов, которые крадут пароли Wi-Fi Дэн Гудин из Ars Technica 11 апреля 2019 г.
  3. Их исследовательская статья Dragonblood: A Security Analysis of WPA3 SAE Handshake

— — — — —

По состоянию на июль 2018 года еще слишком рано говорить о WPA версии 3 (WPA3) с какими-либо полномочиями.Никто еще не решил, что протокол будет работать, и непонятно, когда устройства будут его поддерживать. Все, что поддерживает WPA3, должно также поддерживать WPA2, поэтому большого преобразования не произойдет.

Самый большой недостаток WPA2 заключается в том, что злоумышленники могут в автономном режиме подобрать пароль Wi-Fi путем перебора. Миллиарды и миллиарды догадок каждую секунду. WPA3 должен устранить этот недостаток. Тем не менее, достаточно длинный пароль WPA2 (более 15? 16? Символов) также устраняет проблему.

Вот обзор улучшений.Большая часть этой информации поступает с веб-сайта Агентства национальной безопасности США по обеспечению безопасности, в частности, из отчета за июнь 2018 года под названием WPA3 будет повышена безопасность Wi-Fi.

Усовершенствования запланированы в два этапа, первый из которых известен как улучшения WPA2, и ожидается, что он будет выпущен до конца 2018 года. Второй этап — это полномасштабный WPA3. Ожидается, что продукты, совместимые с WPA3, начнут появляться до конца 2018 года. Улучшения WPA2 требуют использования защищенных фреймов управления (PMF), более строгой проверки реализаций безопасности поставщиков и улучшенной согласованности в конфигурации сетевой безопасности.

IEEE 802.11w, стандарт, описывающий PMF, был ратифицирован в 2009 году и становится обязательным. Без него кадры управления передаются в незашифрованном виде, и их целостность не проверяется. PMF обеспечивает целостность трафика управления сетью, обеспечивает защиту от перехвата, воспроизведения и подделки кадров действий управления. Это защищает от DoS-атак, которые используют поддельные фреймы деаутентификации / диссоциации, чтобы выгнать клиентов из сети и вынудить их снова пройти аутентификацию.

Многие уязвимости беспроводной сети являются результатом неправильной реализации или неправильной настройки. Усовершенствования WPA2 потребуют дополнительных тестов на устройствах, сертифицированных Wi-Fi, чтобы гарантировать как использование передовых методов, так и соответствие продуктов ожидаемому поведению. Расширение WPA2 также определяет набор безопасных наборов шифров, чтобы предотвратить использование злоумышленником уязвимости конфигурации.

В настоящее время сети Wi-Fi могут быть полностью открытыми, без пароля и без шифрования.Это будет невозможно с WPA3, который вводит Opportunistic Wireless Encryption (OWE). OWE обеспечивает индивидуализированное шифрование данных для клиентов Wi-Fi, использующих общедоступные открытые сети. Больше никаких подслушиваний. Процесс шифрования прозрачен для пользователей. Они видят и присоединяются к сети Wi-Fi, как к открытой сети. БОЛЬШОЕ улучшение. Технически OWE использует неаутентифицированный ключ Диффи-Хеллмана. обмен во время ассоциации, в результате чего парный главный ключ (PMK), используемый для получения ключей сеанса.

В статье для Network World Эрик Гейер отмечает, что Wi-Fi Enhanced Open официально не является частью WPA3. Хотя ожидается, что он будет добавлен вместе с WPA3, тем не менее, это необязательно. Также необязательной является поддержка незашифрованных устаревших открытых подключений.

Гейер также указывает на некоторые недостатки того, как WPA3 обрабатывает открытые сети. Во-первых, клиентское устройство Wi-Fi может не отличить безопасную открытую сеть WPA3 от незащищенной открытой сети WPA2.Нам просто нужно подождать и посмотреть, как каждая операционная система справится с этим. А общие папки на клиентах Wi-Fi будут доступны всем в сети WPA3 Open. Наконец, он ничего не делает для защиты от злых сетей-близнецов.

Еще одно важное улучшение было упомянуто выше — устойчивость к подбору пароля методом перебора. Режим предварительного общего ключа WPA2 (PSK) больше не используется, его заменил режим одновременной аутентификации равных WPA3 (SAE). Большим улучшением здесь является то, что SAE не передает хэш пароля в открытом виде.WPA2-PSK позволяет злоумышленникам прослушивать хэш пароля, а затем, когда он у них есть, делать миллиард предположений в секунду, чтобы преобразовать хеш в пароль. SAE ограничивает количество предположений, которые может сделать злоумышленник. Взаимодействие с конечным пользователем не меняется с SAE, люди по-прежнему вводят пароль, как и сейчас с WPA2-PSK.

При использовании WPA3 каждое подключение пользователя к маршрутизатору шифруется отдельным ключом. Это большое. Без него, как в случае с WPA2, любой, кто знал пароль Wi-Fi, мог шпионить за другими пользователями той же сети.Кроме того, WPA2 не предлагал Perfect Forward Secrecy (PFS или просто FS). Если кто-то пытался вас достать, он мог записывать ваш трафик Wi-Fi, поскольку он передавался по воздуху (или он мог быть записан интернет-провайдером). С WPA2, как только кто-то узнал Pre-Shared Key, он мог вернуться и расшифровать все старые передачи. С WPA3 это невозможно. Старые передачи остаются секретными даже с течением времени.

Наконец, WPS заменяется DPP (протокол предоставления устройств).Как и WPS, DPP нацелен на то, чтобы устройства без экрана или клавиатуры могли легко подключиться к сети Wi-Fi. Устройство с поддержкой DPP будет иметь встроенный открытый ключ, и сетевой администратор может подключить его к сети несколькими способами. Один из подходов — сканирование QR-кода на устройстве с поддержкой DPP с помощью телефона. Я настроен скептически; все, что пытается быть удобным для пользователя, скорее всего, будет небезопасным. Посмотрим, как это закончится. Поскольку для некоторых устройств требуется WPS, его нельзя полностью отключить. Как и WPS, DPP вводит новую терминологию, конфигуратор и подписчика.

Конфигуратором будет смартфон или планшет, который уже является частью сети и может подготавливать новые устройства. Неясно, как он получает возможность предоставлять новые устройства. Также неясно, как он теряет способность после потери или кражи. WPS имел 4 или 5 различных режимов работы, как и DPP. Устройствам может быть предоставлен доступ к сети путем сканирования QR-кода, согласования доверенного открытого ключа с использованием парольной фразы / кода, NFC или Bluetooth. Фу.

устройства Wi-Fi уже некоторое время используют AES со 128-битными ключами для защиты данных.WPA3 будет требовать 256-битного шифрования и использования одобренных CNSA наборов шифров.

Когда будет доступен WPA3? Эрик Гейер говорит, что к концу 2018 года должно появиться несколько устройств WPA3. WPA3 в настоящее время (ноябрь 2018 г.) является необязательным и может не быть обязательным в течение двух лет. Некоторые устройства можно обновлять с помощью программного обеспечения, для других потребуется новое оборудование.

История говорит нам, что первая версия протокола, вероятно, будет содержать ошибки либо из-за самой спецификации, либо из-за конкретных реализаций.Кроме того, для использования WPA3 требуется поддержка как маршрутизатора / точки доступа, так и клиентского устройства (компьютер, планшет, телефон).

Хорошая статья: WPA3: Как и почему стандарт Wi-Fi имеет значение, Ларри Зельцер, август 2018 г.

И: Google знает почти все пароли Wi-Fi в мире от меня 12 сентября 2013 года.

WEP, WPA и WPA2 Начало страницы

Сначала вы могли подумать, что еще можно сказать о шифровании WiFi? Основные правила не менялись долгое время и их можно варить. до ИСПОЛЬЗУЙТЕ WPA2 .Но это еще не все.

Введение: Wi-Fi поддерживает три разные схемы беспроводного шифрования: WEP, WPA и WPA2 (WPA версии 2). Все варианты шифрования данные передаются между устройством WiFi и маршрутизатором или точкой доступа (AP), являющейся источником беспроводной сети. Как только данные покидают маршрутизатор, привязанный для Интернета в целом WEP, WPA и WPA2 больше не используются.

Как везде отмечалось, WPA2 — лучший вариант. Однако WPA2 — это не просто флажок «Вкл. / Выкл.», Есть дополнительные параметры.Эти дополнительные параметры — TKIP, AES или CCMP. Не выбирайте TKIP. Это означает, что вы, по сути, используете менее безопасное шифрование WPA. AES и CCMP — два названия одного и того же. Какой бы ни был ваш роутер, выбирайте его.

И некоторые маршрутизаторы могут не предлагать только WPA2. Я видел маршрутизаторы, которые предлагали только комбинацию WPA или WPA2. Автономный или эксклюзивный WPA2 более безопасен.

Transitioning: статья в журнале PC Magazine за март 2017 г., Лучшие системы ячеистой сети Wi-Fi 2017 года начинается с обзора функций девяти различных ячеистых систем.Самые безопасные устройства в то время предлагали WPA2: Plume, Eero, Securifi Almond 3 и Google Wifi. Два устройства, Luma и Ubiquiti Amplifi, по-прежнему предлагали WPA (в дополнение к WPA2). В категории «что они думали» находятся устройства, предлагающие WEP: Netgear Orbi, Linksys Velop и Amped Wireless Ally Plus.

Если у вас есть старое беспроводное устройство, поддерживающее шифрование WPA, но не имеющее более поздней версии WPA2, создайте новую сеть на маршрутизаторе, которая использует шифрование WPA, и выберите для нее очень длинный пароль.Если возможно, это должна быть гостевая сеть, изолированная от частной сети.

Если у вас есть старое устройство, которое не поддерживает шифрование WPA или WPA2 (то есть все, что оно может делать, это WEP), избавьтесь от него. WEP использовать не следует.

Подробнее о старых типах шифрования см. Wi-Fi. Безопасность: следует ли использовать WPA2-AES, WPA2-TKIP или оба? Крис Хоффман (декабрь 2014 г.).

WPA2 Enterprise Начало страницы

Обновление раздела: 20 сентября 2021 г.21 сентября 2019 г.

То, что все знают как шифрование WPA2, на самом деле Общий ключ WPA2 (сокращенно WPA2 PSK). Его также называют WPA2 Personal, и это означает, что каждая сеть Wi-Fi (SSID) имеет один пароль. Маршрутизатор, который создает три сети WPA2 PSK, будет иметь один пароль для каждой сети (все они могут быть одинаковыми, каждый SSID является свободным агентом). Хотя принято считать, что WPA2 PSK — лучшая доступная защита Wi-Fi (по крайней мере, до выпуска WPA3), на самом деле WPA2 Enterprise более безопасен, чем WPA2 PSK.

В WPA2 Enterprise существует несколько паролей для каждой сети / SSID. Фактически, для входа в сеть WPA2 Enterprise компьютерное устройство должно предоставить и , и идентификатор пользователя, и пароль. Крупные организации (также известные как предприятия) любят это, поскольку каждый сотрудник получает свой собственный идентификатор пользователя / пароль. Когда кто-то покидает организацию, нужно удалить только его идентификатор пользователя / пароль, это не повлияет на других сотрудников. И WPA3 Enterprise — тоже вещь.

Я не являюсь экспертом по WPA2 Enterprise, но я пробовал его и использую каждый день.

По большому счету WPA2 Enterprise слишком много для потребителей. Многие потребительские маршрутизаторы не могут создавать корпоративные сети WPA2. Например, он недоступен на ячеистых маршрутизаторах от Eero, Google, Linksys (Velop) или Ubiquiti (AmpliFi). Он доступен на маршрутизаторах Synology и Peplink.

Когда маршрутизатор может создать сеть WPA2 Enterprise, следующая проблема — поддержание списка идентификаторов пользователей и паролей Wi-Fi. Этот список обычно поддерживается программным обеспечением, известным как сервер RADIUS.При создании WPA2 Enterprise SSID необходимо предоставить информацию о том, как подключиться к серверу RADIUS. Сервер RADIUS может находиться в той же локальной сети, что и маршрутизатор, в самом маршрутизаторе или может находиться где-то в облаке.

Я подозреваю, что RADIUS-сервер в локальной сети, вероятно, является наиболее распространенным способом реализации этого. Я использую устройство Synology NAS в качестве сервера RADIUS. Synology предлагает программное обеспечение RADIUS для бесплатной загрузки в своем магазине приложений. QNAP тоже это делает. Synology NAS уже поддерживает несколько идентификаторов пользователей, и эти идентификаторы пользователей / пароли NAS становятся идентификаторами пользователей / паролями RADIUS / WiFi.

Другой вариант резидентного подключения к локальной сети — использование Raspberry Pi и установка на него программного обеспечения FreeRADIUS. Подробнее об этом см. «Простой и безопасный RADIUS» Майка Чифелли.

Самый простой из известных мне вариантов предлагается на маршрутизаторе Synology. Насколько мне известно, Synology уникальна тем, что позволяет запускать сервер RADIUS на самом маршрутизаторе. Я не пробовал этого, так как ненавидел один маршрутизатор Synology, который я тестировал.

Имейте в виду, что некоторые беспроводные устройства, обычно устройства IoT, не могут подключиться к сети WPA2 Enterprise.У меня есть интернет-радио, которое не может подключиться к моему SSID WPA2 Enterprise. WPA2 Enterprise поддерживается в операционных системах для настольных ПК, Chromebook, iOS и Android.

По крайней мере, многие плохие парни понятия не имеют, как взломать сеть WPA2 Enterprise 🙂

Пароли Wi-Fi Наверх страницы

28 октября 2021 года тема паролей WiFi перенесена на отдельную страницу.

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *