Стандарты шифрования wifi. Wifi шифрование — какое бывает и как выбрать. О настройке WPA шифрования

Перед чтением данного материала, рекомендуется ознакомится с предыдущими статьями цикла:
• Строим сеть своими руками и подключаем ее к Интернет, часть первая - построение проводной Ethernet сети (без коммутатора, в случае двух компьютеров и с коммутатором, а также при наличии трех и более машин) и организация доступа в Интернет через один из компьютеров сети, на котором имеются две сетевые карты и установлена операционная система Windows XP Pro.
• Часть вторая: настройка беспроводного оборудования в одноранговой сети - рассматриваются вопросы организации сети, при использовании только беспроводных адаптеров.

В предыдущей статье шифрованию в беспроводных сетях было посвящено всего несколько слов - было обещано осветить этот вопрос в отдельной статье. Сегодня мы выполняем свое обязательство:)

Для начала - немного теории.

Шифрованию данных в беспроводных сетях уделяется так много внимания из-за самого характера подобных сетей. Данные передаются беспроводным способом, используя радиоволны, причем в общем случае используются всенаправленные антенны. Таким образом, данные слышат все - не только тот, кому они предназначены, но и сосед, живущий за стенкой или «интересующийся», остановившийся с ноутбуком под окном. Конечно, расстояния, на которых работают беспроводные сети (без усилителей или направленных антенн), невелики - около 100 метров в идеальных условиях. Стены, деревья и другие препятствия сильно гасят сигнал, но это все равно не решает проблему.

Изначально для защиты использовался лишь SSID (имя сети). Но, вообще говоря, именно защитой такой способ можно называть с большой натяжкой - SSID передается в открытом виде и никто не мешает злоумышленнику его подслушать, а потом подставить в своих настройках нужный. Не говоря о том, что (это касается точек доступа) может быть включен широковещательный режим для SSID, т.е. он будет принудительно рассылаться в эфир для всех слушающих.

Поэтому возникла потребность именно в шифровании данных. Первым таким стандартом стал WEP - Wired Equivalent Privacy. Шифрование осуществляется с помощью 40 или 104-битного ключа (поточное шифрование с использованием алгоритма RC4 на статическом ключе). А сам ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Драйвера многих производителей позволяют вводить вместо набора ASCII-символов напрямую шестнадцатеричные значения (той же длины). Обращаю внимание, что алгоритмы перевода из ASCII-последовательности символов в шестнадцатеричные значения ключа могут различаться у разных производителей. Поэтому, если в сети используется разнородное беспроводное оборудование и никак не удается настройка WEP шифрования с использованием ключа-ASCII-фразы, - попробуйте ввести вместо нее ключ в шестнадцатеричном представлении.

А как же заявления производителей о поддержке 64 и 128-битного шифрования, спросите вы? Все правильно, тут свою роль играет маркетинг - 64 больше 40, а 128 - 104. Реально шифрование данных происходит с использованием ключа длиной 40 или 104. Но кроме ASCII-фразы (статической составляющей ключа) есть еще такое понятие, как Initialization Vector - IV - вектор инициализации. Он служит для рандомизации оставшейся части ключа. Вектор выбирается случайным образом и динамически меняется во время работы. В принципе, это разумное решение, так как позволяет ввести случайную составляющую в ключ. Длина вектора равна 24 битам, поэтому общая длина ключа в результате получается равной 64 (40+24) или 128 (104+24) бит.

Все бы хорошо, но используемый алгоритм шифрования (RC4) в настоящее время не является особенно стойким - при большом желании, за относительно небольшое время можно подобрать ключ перебором. Но все же главная уязвимость WEP связана как раз с вектором инициализации. Длина IV составляет всего 24 бита. Это дает нам примерно 16 миллионов комбинаций - 16 миллионов различных векторов. Хотя цифра «16 миллионов» звучит довольно внушительно, но в мире все относительно. В реальной работе все возможные варианты ключей будут использованы за промежуток от десяти минут до нескольких часов (для 40-битного ключа). После этого вектора начнут повторяться. Злоумышленнику стоит лишь набрать достаточное количество пакетов, просто прослушав трафик беспроводной сети, и найти эти повторы. После этого подбор статической составляющей ключа (ASCII-фразы) не занимает много времени.

Но это еще не все. Существуют так называемые «нестойкие» вектора инициализации. Использование подобных векторов в ключе дает возможность злоумышленнику практически сразу приступить к подбору статической части ключа, а не ждать несколько часов, пассивно накапливая трафик сети. Многие производители встраивают в софт (или аппаратную часть беспроводных устройств) проверку на подобные вектора, и, если подобные попадаются, они молча отбрасываются, т.е. не участвуют в процессе шифрования. К сожалению, далеко не все устройства обладают подобной функцией.

В настоящее время некоторые производители беспроводного оборудования предлагают «расширенные варианты» алгоритма WEP - в них используются ключи длиной более 128 (точнее 104) бит. Но в этих алгоритмах увеличивается лишь статическая составляющая ключа. Длина инициализационного вектора остается той же самой, со всеми вытекающими отсюда последствиями (другими словами, мы лишь увеличиваем время на подбор статического ключа). Само собой разумеется, что алгоритмы WEP с увеличенной длиной ключа у разных производителей могут быть не совместимы.

Хорошо напугал? ;-)

К сожалению, при использовании протокола 802.11b ничего кроме WEP выбрать не удастся. Точнее, некоторые (меньшинство) производители поставляют различные реализации WPA шифрования (софтовыми методами), которое гораздо более устойчиво, чем WEP. Но эти «заплатки» бывают несовместимы даже в пределах оборудования одного производителя. В общем, при использовании оборудования стандарта 802.11b, есть всего три способа зашифровать свой трафик:

• 1. Использование WEP с максимальной длиной ключа (128 бит или выше), если оборудование поддерживает циклическую смену ключей из списка (в списке - до четырех ключей), желательно эту смену активировать.
• 2. Использование стандарта 802.1x
• 3. Использование стороннего программного обеспечения для организации VPN туннелей (шифрованных потоков данных) по беспроводной сети. Для этого на одной из машин ставится VPN сервер (обычно с поддержкой pptp), на других - настраиваются VPN клиенты. Эта тема требует отдельного рассмотрения и выходит за рамки этой статьи.

802.1x использует связку из некоторых протоколов для своей работы:

• EAP (Extensible Authentication Protocol) - протокол расширенной аутентификации пользователей или удаленных устройств;
• TLS (Transport Layer Security) - протокол защиты транспортного уровня, он обеспечивает целостность передачи данных между сервером и клиентом, а так же их взаимную аутентификацию;
• RADIUS (Remote Authentication Dial-In User Server) - сервер аутентификации (проверки подлинности) удаленных клиентов. Он и обеспечивает аутентификацию пользователей.

Протокол 802.1x обеспечивает аутентификацию удаленных клиентов и выдачу им временных ключей для шифрования данных. Ключи (в зашифрованном виде) высылаются клиенту на незначительный промежуток времени, после которого генерируется и высылается новый ключ. Алгоритм шифрования не изменился - тот же RC4, но частая ротация ключей очень сильно затрудняет вероятность взлома. Поддержка этого протокола есть только в операционных системах (от Microsoft) Windows XP. Его большой минус (для конечного пользователя) в том, что протокол требует наличие RADIUS-сервера, которого в домашней сети, скорее всего, не будет.

Устройства, поддерживающие стандарт 802.11g, поддерживают улучшенный алгоритм шифрования WPA - Wi-Fi Protected Access. По большому счету это временный стандарт, призванный заполнить нишу безопасности до прихода протокола IEEE 802.11i (так называемого WPA2). WPA включает в себя 802.1X, EAP, TKIP и MIC.

Из нерассмотренных протоколов тут фигурируют TKIP и MIC:

• TKIP (Temporal Key Integrity Protocol) - реализация динамических ключей шифрования, плюс к этому, каждое устройство в сети так же получает свой Master-ключ (который тоже время от времени меняется). Ключи шифрования имеют длину 128 бит и генерируются по сложному алгоритму, а общее кол-во возможных вариантов ключей достигает сотни миллиардов, а меняются они очень часто. Тем не менее, используемый алгоритм шифрования - по--прежнему RC4.
• MIC (Message Integrity Check) - протокол проверки целостности пакетов. Протокол позволяет отбрасывать пакеты, которые были «вставлены» в канал третьим лицом, т.е. ушли не от валидного отправителя.

Большое число достоинств протокола TKIP не покрывает его основной недостаток- используемый для шифрования алгоритм RC4. Хотя на данный момент случаев взлома WPA на основе TKIP зарегистрировано не было, но кто знает, что преподнесет нам будущее? Поэтому сейчас все популярнее становится использование стандарта AES (Advanced Encryption Standard), который приходит на замену TKIP. К слову, в будущем стандарте WPA2 есть обязательное требование к использованию AES для шифрования.

Какие выводы можно сделать?

• при наличии в сети только 802.11g устройств лучше пользоваться шифрованием на основе WPA;
• по возможности (при поддержке всеми устройствами) включать AES шифрование;

Переходим к непосредственной настройке шифрования на устройствах. Я использую те же беспроводные адаптеры, что и в предыдущей статье:

Cardbus адаптер Asus WL-100g установлен на ноутбуке. Интерфейс управления картой - утилита от ASUS (ASUS WLAN Control Center).

Внешний адаптер с USB-интерфейсом ASUS WL-140 . Управление адаптером - через встроенный в Windows XP интерфейс (Zero Wireless Configuration). Эта карта стандарта 802.11b, поэтому поддержки WPA не имеет.

Плата с PCI интерфейсом Asus WL-130g . Интерфейс управления в реализации от (производитель чипсета данной PCI карты).

ASUS WLAN Control Center - ASUS WL-100g

Начнем с настройки шифрования в интерфейсе управления ASUS WLAN Control Center. Все настройки сосредоточены в разделе Encryption . Сначала выберем тип аутентификации (Network Authentication ), нам доступны три типа: Open System, Shared Key и WPA.

1. WEP-шифрование.

Типы Open System/Shared Key (Открытая система/Общий ключ) являются подмножествами алгоритма аутентификации, встроенного в WEP. Режим Open System является небезопасным, и его категорически не рекомендуется включать при возможности активации Shared Key. Это связано с тем, что в режиме Open System для входа в беспроводную сеть (ассоциации с другой станцией или точкой доступа) достаточно знать лишь SSID сети, а в режиме Shared Key - нужно еще установить общий для всей сети WEP-ключ шифрования.

Далее выбираем шифрование (Encryption) - WEP, размер ключа - 128 бит (64-битный ключ лучше не использовать вовсе). Выбираем формат ключа, HEX (ввод ключа в шестнадцатеричном виде) или генерация ключа из ASCII последовательности (не забываем, что алгоритмы генерации могут различаться у производителей). Так же учитываем, что WEP-ключ (или ключи) должны быть одинаковы на всех устройствах в одной сети. Всего можно ввести до четырех ключей. Последним пунктом выбираем, какой из ключей будет использоваться (Default Key). В данном случае есть еще один способ - запустить использовать все четыре ключа последовательно, что повышает безопасность. (совместимость только у устройств одного и того же производителя).

2. WPA-шифрование.

При поддержке на всех устройствах (обычно это 802.11g устройства) настоятельно рекомендуется использовать этот режим, вместо устаревшего и уязвимого WEP.

Обычно беспроводные устройства поддерживают два режима WPA:

• Стандартный WPA. Нам он не подходит, так как требует наличие RADIUS сервера в сети (к тому же работает лишь в связке с точкой доступа).
• WPA-PSK - WPA с поддержкой Pre Shared Keys (заранее заданных ключей). А это то, что нужно - ключ (одинаковый для всех устройств) вручную задается на всех беспроводных адаптерах и первичная аутентификация станций осуществляется через него.

В качестве алгоритмов шифрования можно выбрать TKIP или AES. Последний реализован не на всех беспроводных клиентах, но если он поддерживается всеми станциями, то лучше остановиться именно на нем. Wireless Network Key - это тот самый общий Pre Shared Key. Желательно сделать его длиннее и не использовать слово из словаря или набор слов. В идеале это должна быть какая-нибудь абракадабра.

После нажатия на кнопку Apply (или Ok), заданные настройки будут применены к беспроводной карте. На этом процедуру настройки шифрования на ней можно считать законченной.

Интерфейс управления в реализации от Ralink - Asus WL-130g

Настройка не очень отличается от уже рассмотренного интерфейса от ASUS WLAN CC. В окне открывшегося интерфейса идем на закладку Profile , выбираем нужный профиль и жмем Edit .

1. WEP шифрование.

Настройка шифрования осуществляется в закладке Authentication and Security . В случае активации WEP шифрования, выбираем Shared в Authentication type (т.е. общий ключ).

Выбираем тип шифрования - WEP и вводим до четырех ASCII или шестнадцатеричных ключей. Длину ключа в интерфейсе задать нельзя, сразу используется 128-битный ключ.

2. WPA шифрование.

Если в Authentication type выбрать WPA-None, то мы активируем WPA-шифрование с общим ключом. Выбираем тип шифрования (Encryption ) TKIP или AES и вводим общий ключ (WPA Pre-Shared Key ).

На этом и заканчивается настройка шифрования в данном интерфейсе. Для сохранения настроек в профиле достаточно нажать кнопку Ok .

Zero Wireless Configuration (встроенный в Windows интерфейс) - ASUS WL-140

ASUS WL-140 является картой стандарта 802.11b, поэтому поддерживает только WEP шифрование.

1. WEP шифрование.

В настройках беспроводного адаптера переходим на закладку Беспроводные сети . Далее выбираем нашу беспроводную сеть и жмем кнопку Настроить .

В появившемся окне активируем Шифрование данных . Также активируем Проверку подлинности сети , отключение этого пункта приведет к включению аутентификации типа «Open System», т.е. любой клиент сможет подключиться к сети, зная ее SSID.

Вводим ключ сети (и повторно его же в следующем поле). Проверяем его индекс (порядковый номер), обычно он равен единице (т.е. первый ключ). Номер ключа должен быть одинаков на всех устройствах.

Ключ (сетевой пароль), как нам подсказывает операционная система, должен содержать 5 или 13 символов или быть полностью введен в шестнадцатеричном виде. Еще раз обращаю внимание, что алгоритм перевода ключа из символьного вида в шестнадцатеричной может отличаться у Microsoft и производителей собственных интерфейсов к управлению беспроводными адаптерами, поэтому надежнее будет ввести ключ в шестнадцатеричном виде (т.е. цифрами от 0 до 9 и буквами от A до F).

В интерфейсе есть еще флаг, отвечающий за Автоматическое предоставление ключа , но я точно не знаю, где это будет работать. В разделе помощи сказано, что ключ может быть зашит в беспроводной адаптер производителем оного. В общем, лучше не активировать эту функцию.

На этом настройку шифрования для 802.11b адаптера можно считать законченной.

Кстати, о встроенной в ОС помощи. Большинство из сказанного здесь и даже более того можно найти в Центре справки и поддержки , которая обладает хорошей системой помощи, достаточно лишь ввести ключевые слова и нажать на зеленую стрелку поиска.

2. WPA шифрование.

Рассмотрев настройку шифрования на примере 802.11b адаптера ASUS WL-140, мы не коснулись настройки WPA в Windows, так как карта не поддерживает этот режим. Рассмотрим этот аспект на примере другого адаптера - ASUS WL-100g. Возможность настройки WPA в Windows XP появляется с установкой Service Pack версии 2 (или же соответствующими обновлениями, лежащими на сайте Microsoft).

Service Pack 2 сильно расширяет функции и удобство настроек беспроводной сети. Хотя основные элементы меню не изменились, но к ним добавились новые.

Настройка шифрования производится стандартным образом: сначала выбираем значок беспроводного адаптера, далее жмем кнопку Свойства .

Переходим на закладку Беспроводные сети и выбираем, какую сеть будем настраивать (обычно она одна). Жмем Свойства .

В появившемся окне выбираем WPA-None, т.е. WPA с заранее заданными ключами (если выбрать Совместимая , то мы включим режим настройки WEP шифрования, который уже был описан выше).

Выбираем AES или TKIP (если все устройства в сети поддерживают AES, то лучше выбрать его) и вводим два раза (второй в поле подтверждения) WPA-ключ. Желательно какой-нибудь длинный и трудноподбираемый.

После нажатия на Ok настройку WPA шифрования также можно считать законченной.

В заключении пару слов о появившемся с Service Pack 2 мастере настройки беспроводной сети.

В свойствах сетевого адаптера выбираем кнопку Беспроводные сети .

В появившемся окне - жмем на Установить беспроводную сеть .

Тут нам рассказывают, куда мы попали. Жмем Далее .

Выбираем Установить беспроводную сеть . (Если выбрать Добавить , то можно создать профили для других компьютеров в той же беспроводной сети).

В появившемся окне устанавливаем SSID сети, активируем, если возможно, WPA шифрование и выбираем способ ввода ключа. Генерацию можно предоставить операционной системе или ввести ключи вручную. Если выбрано первое, то далее выскочит окошко с предложением ввести нужный ключ (или ключи).

• В текстовом файле, для последующего ручного ввода на остальных машинах.
• Сохранение профиля на USB-флешке, для автоматического ввода на других машинах с Windows XP с интегрированным Service Pack версии 2.

Если выбран режим сохранения на Flash, то в следующем окне предложат вставить Flash-носитель и выбрать его в меню.

Если было выбрано ручное сохранение параметров, то после нажатия кнопки Напечатать …

… будет выведен текстовый файл с параметрами настроенной сети. Обращаю внимание, что генерируется случайный и длинные (т.е. хороший) ключи, но в качестве алгоритма шифрования используется TKIP. Алгоритм AES можно позже включить вручную в настройках, как было описано выше.

Итого

Мы закончили настройку шифрования на всех адаптерах беспроводной сети. Теперь можно проверить видят ли компьютеры друг друга. Как это сделать, рассказывалось во второй части цикла «сети своими руками» (действуем аналогично способу, когда шифрование в сети не было включено).

Если нас постигла неприятность, и не все компьютеры видят друг друга, то проверяем общие настройки у адаптеров:

• Алгоритм аутентификации должен быть одинаков у всех (Shared Keys или WPA);
• Алгоритм шифрования должен быть одинаков у всех (WEP-128bit, WPA-TKIP или WPA-AES);
• Длина ключа (в случае WEP-шифрования) должна быть одинаковой у всех станций в сети (обычная длина - 128bit);
• Сам ключ должен быть одинаковым на всех станциях сети. Если используется WEP, то возможная причина - использование ASCII-ключа и в сети используется разнородное оборудование (от разных производителей). Попробуйте ввести ключ в шестнадцатеричном представлении.

Широкополосный доступ в интернет уже давно перестал быть роскошью не только в крупных городах, но и в отдалённых регионах. При этом многие сразу же обзаводятся беспроводными роутерами, чтобы сэкономить на мобильном интернете и подключить к скоростной линии смартфоны, планшеты и прочую портативную технику. Более того, провайдеры всё чаще сразу устанавливают своим клиентам маршрутизаторы со встроенной беспроводной точкой доступа.

Между тем, потребители далеко не всегда понимают, как на самом деле работает сетевое оборудование и какую опасность оно может нести. Главное заблуждение состоит в том, что частный клиент просто не представляет, что беспроводная связь может нанести ему какой-то ущерб – ведь он не банк, не секретная служба и не владелец порнохранилищ. Но стоит только начать разбираться, как вам сразу захочется вернуться к старому доброму кабелю.

1. Никто не станет взламывать мою домашнюю сеть

Вот главное заблуждение домашних пользователей, ведущее к пренебрежению элементарными нормами сетевой безопасности. Принято считать, есто если вы не знаменитость, не банк и не интернет-магазин, то никто не будет тратить на вас время, ведь результаты будут неадекватны приложенным усилиям.

Более того, почему-то упорно циркулирует мнение, что якобы небольшие беспроводные сети взломать сложнее, чем крупные, в чём есть крупица правды, но в целом это тоже миф. Очевидно, это утверждение основано на том, что у мелких локальных сетей ограниченная дальность распространения сигнала, поэтому достаточно понизить его уровень, и хакер просто не сможет обнаружить такую сеть из припаркованного рядом автомобиля или кафе по-соседству.

Возможно, когда-то это было так, но сегодняшние взломщики оснащены высокочувствительными антеннами, способными принять даже самый слабый сигнал. И тот факт, что у вас на кухне планшет постоянно теряет связь, вовсе не означает, что хакеру, сидящему в машине за два дома от вас, не удастся покопаться в вашей беспроводной сети.

Что же касается мнения, что взлом вашей сети не стоит потраченных усилий, то это совсем не так: в ваших гаджетах хранится море всевозможной персональной информации, которая, как минимум, позволит злоумышленнику от вашего имени заказать покупки, получить кредит, или, воспользовавшись методами социальной инженерии, добиться ещё более неочевидных целей вроде проникновения в сеть вашего работодателя или даже его партнёров. При этом отношение к сетевой безопасности у простых пользователей сегодня настолько пренебрежительное, что взломать домашнюю сеть не составит особого труда даже для новичков.

2. Дома не нужен двух- или трёхдиапазонный роутер

Считается, что многодиапазонные роутеры нужны только особо требовательным владельцам огромного количества гаджетов, которые хотят выжать из беспроводной связи максимально доступную скорость. Между тем, любому из нас не помешает хотя бы двухдиапазонный маршрутизатор.

Главное преимущество многодиапазонного роутера заключается в том, что разные устройства можно «раскидать» по разным диапазонам, и тем самым повысить потенциально возможную скорость передачи данных и, конечно же, надёжность связи. Например, вполне целесообразно было бы подключать ноутбуки к одному диапазону, телевизионные приставки – ко второму, а мобильные гаджеты – к третьему.

3. Диапазон 5 ГГц лучше диапазона 2,4 ГГц

Оценившие преимущества частотного диапазона 5 ГГц обычно рекомендуют всем переходить на него и вообще отказаться от использования частоты 2,4 ГГц. Но, как обычно, не всё так просто.

Да, 5 ГГц физически менее «заселён», чем более массовый 2,4 ГГц – в том числе и потому, что на 2,4 ГГц работает больше всего устройств на базе старых стандартов. Однако 5 ГГц уступает в дальности связи, в особенности в том, что касается проникновения через бетонные стены и другие преграды.

В целом, здесь нет однозначного ответа, можно посоветовать лишь использовать тот диапазон, в котором конкретно у вас приём лучше. Ведь вполне может оказаться, что в каком-то конкретном месте и полоса 5 ГГц перегружена устройствами – хотя это и очень маловероятно.

4. Не нужно трогать настройки роутера

Предполагается, что настройку оборудования лучше оставить профессионалам и ваше вмешательство способно только навредить работоспособности сети. Обычный способ представителей провайдера (и сисадминов) запугать пользователя, чтобы снизить вероятность неправильных настроек и последующих вызовов на дом.

Понятно, что если вы вообще не представляете, о чём там речь, лучше ничего не трогать, но даже непрофессионал вполне способен изменить некоторые настройки, повысив защищённость, надёжность и производительность сети. Хотя бы зайдите в веб-интерфейс и ознакомьтесь с тем, что там можно изменить – но если вы не знаете, что это даст, лучше оставьте всё как есть.

В любом случае есть смысл внести четыре поправки, если они уже не сделаны в настройках вашего роутера:

1) По возможности переключайтесь на новый стандарт – если его поддерживает как роутер, так и ваши устройства. Переход с 802.11n на 802.11ac даст существенный прирост скорости, как и переключение с более старых 802.11b/g на 802.11n.

2) Поменяйте тип шифрования . Некоторые установщики до сих пор оставляют домашние беспроводные сети либо полностью открытыми, либо с устаревшим стандартом шифрования WEP. Обязательно нужно поменять тип на WPA2 c шифрованием AES и сложным длинным паролем.

3) Измените логин и пароль по умолчанию . Практически все провайдеры при установке нового оборудования оставляют эти данные по умолчанию – если только их специально не попросить о смене. Это общеизвестная «дыра» домашних сетей, и любой хакер для начала обязательно попробует воспользоваться именно ею.

4) Отключите WPS (Wi-Fi Protected Setup) . Технология WPS обычно включена в роутерах по умолчанию – она предназначена для быстрого подключения совместимых мобильных устройств к сети без ввода длинных паролей. Вместе с тем WPS делает вашу локальную сеть очень уязвимой для взлома путём метода «грубой силы» – простого подбора пин-кода WPS, состоящего из 8 цифр, после чего злоумышленник без проблем получит доступ к ключу WPA/WPA2 PSK. При этом из-за ошибки в стандарте достаточно определить всего 4 цифры, а это уже всего 11 000 сочетаний, и для взлома понадобится перебрать далеко не все из них.

5. Сокрытие SSID спрячет сеть от хакеров

SSID – это сервисный идентификатор сети или попросту название вашей сети, которое используют для установки соединения различные устройства, когда-либо подключавшиеся к ней. Отключив трансляцию SSID, вы не будете появляться в соседском списке доступных сетей, но это не значит, что хакеры не смогут её найти: демаскировка скрытого SSID – задача для новичка.

Вместе с тем, спрятав SSID, вы даже упростите жизнь хакерам: все устройства, пытающиеся подключиться к вашей сети, станут перебирать ближайшие точки доступа, и могут подключиться к сетям-«ловушкам», специально созданным злоумышленниками. Можно развернуть такую подменную открытую сеть под вашим же раскрытым SSID, к которому ваши девайсы будут просто подключаться автоматически.

Поэтому общая рекомендация такова: дайте вашей сети такое название, в котором никак бы не упоминался ни провайдер, ни производитель роутера, ни какая-то личная информация, позволяющая идентифицировать вас и нанести точечные атаки по слабым местам.

6. Шифрование не нужно, если есть антивирус и брандмауэр

Типичный пример того, когда путают тёплое с мягким. Программы защищают от программных же угроз онлайн или уже находящихся в вашей сети, они не защищают вас от перехвата самих данных, передаваемых между роутером и вашим компьютером.

Для обеспечения сетевой безопасности нужен комплекс средств, куда входят и протоколы шифрования, и аппаратные или программные брандмауэры, и антивирусные пакеты.

7. Шифрования WEP достаточно для домашней сети

WEP небезопасен в любом случае, и он поддаётся взлому за считанные минуты с помощью смартфона. По уровню безопасности он мало отличается от полностью открытой сети, и это его главная проблема. Если вы интересуетесь историей вопроса, то можете найти в интернете массу материалов о том, что WEP запросто ломали ещё в начале «нулевых». Нужна ли вам такая «безопасность»?

8. Роутер с шифрованием WPA2-AES невозможно взломать

Если брать «сферический роутер с шифрованием WPA2-AES в вакууме», то это правда: по последним оценкам, при существующих вычислительных мощностей на взлом AES методами «грубой силы» уйдут миллиарды лет. Да, миллиарды.

Но это вовсе не означает, что AES не позволит хакеру добраться до ваших данных. Как и всегда, главная проблема – человеческий фактор. В данном случае, многое зависит от того, насколько сложным и грамотно составленным будет ваш пароль. При «бытовом» подходе к придумыванию паролей, методов социальной инженерии будет достаточно для взлома WPA2-AES за достаточно короткий срок.

О правилах составления хороших паролей мы подробно не так давно, так что всех интересующихся отсылаем к этой статье.

9. Шифрование WPA2-AES снижает скорость передачи данных

Технически, это действительно так, но в современных роутерах есть аппаратные средства, позволяющие свести это снижение к минимуму. Если вы наблюдаете существенное замедление соединения, это означает, что вы используете устаревший роутер, в которых были реализованы немного иные стандарты и протоколы. Например, WPA2-TKIP. Сам по себе TKIP был более безопасным, чем его предшественник WEP, но представлял из себя компромиссное решение, позволяющее использовать старое «железо» с более современными и защищёнными протоколами. Чтобы «подружить» TKIP c новым типом шифрования AES, использовались различные программные ухищрения, что и приводило к замедлению скорости передачи данных.

Ещё в 2012 году в стандарте 802.11 TKIP был признан недостаточно безопасным, но он всё ещё часто встречается в роутерах старых выпусков. Решение проблемы одно – купить современную модель.

10. Работающий роутер менять не нужно

Принцип для тех, кого сегодня вполне устраивает механическая пишущая машинка и телефон с наборным диском. Новые стандарты беспроводной связи появляются регулярно, и с каждым разом не только повышается скорость передачи данных, но и безопасность сети.

Сегодня, когда стандарт 802.11ac предусматривает передачу данных со скоростью выше 50 Мбит/с, старый роутер с поддержкой 802.11n и всех предыдущих стандартов может ограничивать потенциальную пропускную способность сети. В случае с тарифными планами, предусматривающими скорости выше 100 Мбит/с, вы просто будете платить лишние деньги, не получая полноценной услуги.

Конечно, срочно менять работающий роутер вовсе не обязательно, но в один прекрасный день настанет момент, когда к нему не сможет подключиться ни одно современное устройство.

Количество людей, которые активно пользуются интернетом растет, как на дрожжах: на работе для решения корпоративных целей и администрирования, дома, в общественных местах. Распространение получают Wi-Fi сети и оборудование, позволяющее беспрепятственно получать доступ к интернету.

Вай фай сеть обладает зашитой в виде пароля, не зная который, подключиться к конкретной сети будет практически невозможно, кроме общественных сетей (кафе, рестораны, торговые центры, точки доступа на улицах) . «Практически» не стоит понимать в буквальном смысле: умельцев, способных «вскрыть» сеть и получить доступ не только к ресурсу роутера, но и к передаваемым внутри конкретной сети данным, достаточно.

Но в этом вступительном слове мы поговорили о подключении к wi-fi — аутентификации пользователя (клиента), когда клиентское устройство и точка доступа обнаруживают друг друга и подтверждают, что могут общаться между собой.

Варианты аутентификации :

• Open - открытая сеть, в которой все подключаемые устройства авторизованы сразу
• Shared - подлинность подключаемого устройства должна быть проверена ключом/паролем
• EAP - подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Шифрование — это алгоритм скремблирования (scramble - шифровать, перемешивать) передаваемых данных, изменение и генерация ключа шифрования

Для оборудования wifi были разработаны различные типы шифрования, дающие возможность защищать сеть от взлома, а данные от общего доступа.

На сегодняшний день выделяются несколько вариантов шифрования. Рассмотрим каждый из них подробнее.

Выделяются и являются самыми распространенными следующие типы:

• OPEN;
• WPA, WPA2;

Первый тип, именуемый не иначе, как OPEN, все требуемую для познания информацию содержит в названии. Зашифровать данные или защитить сетевое оборудование такой режим не позволит, потому как точка доступа будет являться при условии выбора такого типа постоянно открытой и доступной для всех устройств, которыми она будет обнаружена. Минусы и уязвимости такого типа «шифрования» очевидны.

Если сеть открыта, это не значит, что любой может с ней работать. Чтобы пользоваться такой сетью и передавать в ней данные, нужно совпадение используемого метода шифрования. И еще одно условие пользования такой сетью отсутствие MAC-фильтра, который определяет MAC-адреса пользователей, для того, что бы распознать каким устройствам запрещено или разрешено пользоваться данной сетью

WEP

Второй тип, он же WEP, уходит корнями в 90-е годы прошлого века, являясь родоначальником всех последующих типов шифрования. Wep шифрование сегодня – слабейший из всех существующих вариантов организации защиты. Большинство современных роутеров, создаваемых специалистами и учитывающих интересы конфиденциальности пользователей, не поддерживают шифрование wep.

Среди минусов, вопреки факту наличия хоть какой-то защиты (в сравнении с OPEN), выделяется ненадежность: она обусловлена кратковременной защитой, которая активируется на определенные интервалы времени. По истечении этого промежутка, пароль к вашей сети можно будет легко подобрать, а ключ wep будет взломан за время до 1 минуты. Это обусловлено битностью wep ключа, которая составляет в зависимости от характеристик сетевого оборудования от 40 до 100 бит.

Уязвимость wep ключа заключается в факте передачи частей пароля в совокупности с пакетами данных. Перехват пакетов для специалиста – хакера или взломщика – задача, легкая для осуществления. Важно понимать и тот факт, что современные программные средства способны перехватывать пакеты данных и созданы специально для этого.

Таким образом, шифрование wep – самый ненадежный способ защиты вашей сети и сетевого оборудования.

WPA, WPA2

Такие разновидности – самые современные и совершенными с точки зрения организации зашиты на данный момент. Аналогов им не существует. Возможность задать любую удобную пользователю длину и цифробуквенную комбинацию wpa ключа довольно затрудняет жизнь желающим несанкционированно воспользоваться конкретной сетью или перехватить данные этой сети.

Данные стандарты поддерживают различные алгоритмы шифрования, которые могут передаваться после взаимодействия протоколов TKIP и AES. Тип шифрования aes является более совершенным протоколом, чем tkip, и большинством современных роутеров поддерживается и активно используется.

Шифрование wpa или wpa2 – предпочтительный тип как для домашнего использования, так и для корпоративного. Последний дает возможность применения двух режимов аутентификации: проверка паролей для доступа определенных пользователей к общей сети осуществляется, в зависимости от заданных настроек, по режиму PSK или Enterprise.

PSK предполагает доступ к сетевому оборудованию и ресурсам интернета при использовании единого пароля, который требуется ввести при подключении к роутеру. Это предпочтительный вариант для домашней сети, подключение которой осуществляется в рамках небольших площадей определенными устройствами, например: мобильным, персональным компьютером и ноутбуком.

Для компаний, имеющих солидные штаты сотрудников, PSK является недостаточно удобным режимом аутентификации, потому был разработан второй режим – Enterprise. Его использование дает возможность применения множества ключей, который будут храниться на особом выделенном сервере.

WPS

По-настоящему современная и , делает возможным подключение к беспроводной сети при помощи одного нажатия на кнопку. Задумываться о паролях или ключах бессмысленно, но стоит выделить и учитывать ряд серьезных недостатков, касающихся допуска к сетям с WPS.

Подключение посредством такой технологии осуществляется при использовании ключа, включающего в себя 8 символов. Уязвимость типа шифрования заключается в следующем: он обладает серьезной ошибкой, которая взломщикам или хакерам позволяет получить доступ к сети, если им доступны хотя бы 4 цифры из восьмизначной комбинации. Количество попыток подбора пароля при этом составляет порядка нескольких тысяч, однако для современных программных средств это число – смешное. Если измерять процесс форсирования WPS во времени, то процесс займет не более суток.

Стоит отметить и тот факт, что данная уязвимость находиться на стадии совершенствования и поддается исправлению, потому в последующих моделях оборудования с режимом WPS стали внедряться ограничения на количество попыток входа, что существенно затруднило задачу несанкционированного доступа для заинтересованных в этом лиц.

И тем не менее, чтобы повысить общий уровень безопасности, опытные пользователи рекомендуют принципиально отказываться от рассмотренной технологии.

Подводя итоги

Самой современной и по-настоящему надежной методикой организации защиты сети и данных, передаваемых внутри нее, является WPA или ее аналог WPA2.

Первый вариант предпочтителен для домашнего использования определенным числом устройств и пользователей.

Второй, обладающий функцией аутентификации по двум режимам, больше подходит для крупных компаний. Применение его оправдано тем, что при увольнении сотрудников нет необходимости в смене паролей и ключей, потому как определенное количество динамических паролей хранятся на специально выделенном сервере, доступ к которому имеют лишь текущие сотрудники компании.

Следует отметить, что большинство продвинутых пользователей отдают предпочтение WPA2 даже для домашнего использования. С точки зрения организации защиты оборудования и данных, такой метод шифрования является самым совершенным из существующих на сегодняшний день.

Что касается набирающего популярность WPS, то отказаться от него – значит в определенной мере обезопасить сетевое оборудование и информационные данные, передаваемые с его помощью. Пока технология не развита достаточно и не обладает всеми преимуществами, например, WPA2, от ее применения рекомендуется воздержаться вопреки кажущейся простоте применения и удобству. Ведь безопасность сети и передаваемых внутри нее информационных массивов – приоритет для большинства пользователей.

WPA шифрование подразумевает использование защищенной сети Wi-Fi. Вообще, WPA расшифровывается как Wi-Fi Protected Access, то есть защищенный .

Большинство системных администраторов умеют настраивать этот протокол и знают о нем достаточно много.

Но и обычные люди могут узнать достаточно много о том, что же такое WPA, как его настроить и как использовать.

Правда, в интернете можно найти множество статей по этому поводу, из которых невозможно ничего понять. Поэтому сегодня мы будем говорить простым языком о сложных вещах.

Немного теории

Итак, WPA – это протокол, технология, программа, которая содержит в себе набор сертификатов, используемых при передаче .

Если проще, эта технология позволяет использовать различные методы для защиты Wi-Fi сети.

Это может быть электронный ключ, он же – специальное свидетельство о праве использования данной сети (дальше мы об этом поговорим).

В общем, при помощи этой программы использовать сеть смогут только те, кто имеет на это право и это все, что Вам нужно знать.

Для справки: Аутентификация – это средство защиты, которое позволяет установить подлинность лица и его право на доступ к сети, при помощи сопоставления сообщенных им и ожидаемых данных.

К примеру, человек может проходить аутентификацию, когда прикладывает свой . Если он просто вводит логин и пароль, это только авторизация.

Но отпечаток пальца позволяет проверить, действительно ли заходит этот человек, а не кто-то взял его данные и вошел с их помощью.

Рис. 1. Сканер отпечатка пальца на смартфоне

А также на схеме есть WLC – контроллер беспроводной локальной сети. Справа расположен сервер аутентификации.

Все это соединяет обычный Switch (устройство, которое просто соединяет различные сетевые устройства). С контроллера посылается ключ на сервер аутентификации, запоминается там.

Клиент при попытке подключиться к сети должен передать на LAP ключ, который он знает. Этот ключ попадает на сервер аутентификации и сравнивается с нужным ключом.

Если ключи совпадают, сигнал свободно распространяется к клиенту.

Рис. 2. Примерная схема WPA в Cisco Pocket Tracer

Составляющие WPA

Как мы говорили выше, WPA использует специальные ключи, которые генерируются при каждой попытке начать передачу сигнала, то есть включить Wi-Fi, а также меняются раз в некоторое время.

В WPA входит сразу несколько технологий, которые и помогают генерировать и передавать эти самые ключи.

Ниже, на рисунке, показана общая формула, в которую входят все составляющие рассматриваемой технологии.

Рис. 3. Формула с составляющими WPA

А теперь рассмотрим каждую из этих составляющих по отдельности:

• 1X – это стандарт, который используется для генерирования того самого уникального ключа, с помощью которого в дальнейшем и происходит аутентификация.
• EAP – это так называемый расширяемый протокол аутентификации. Он отвечает за формат сообщений, с помощью которых передаются ключи.
• TKIP – протокол, который позволил расширить размер ключа до 128 байт (раньше, в WEP, он был лишь 40 байт).
• MIC – механизм проверки сообщений (в частности, они проверяются на предмет целостности). Если сообщения не отвечают критериям, они отправляются обратно.

Стоит сказать, что сейчас уже есть WPA2, в котором, кроме всего вышесказанного, используются также CCMP и шифрование AES.

Мы не будем сейчас говорить о том, что это такое, но WPA2 надежнее, чем WPA. Это все, что Вам точно нужно знать.

Еще раз с самого начала

Итак, у Вас есть . В сети используется технология WPA.

Чтобы подключиться к Wi-Fi, каждое устройство должно предоставить сертификат пользователя, а если проще, то специальный ключ, выданный сервером аутентификации.

Только тогда он сможет использовать сеть. Вот и все!

Теперь Вы знаете, что же такое WPA. Теперь поговорим о том, чем хороша и чем плоха эта технология.

Преимущества и недостатки WPA шифрования

К преимуществам данной технологии стоило бы отнести следующее:

1. Усиленная безопасность передачи данных (в сравнении с WEP, предшественником, WPA).
2. Более жесткий контроль доступа к Wi-Fi.
3. Совместимость с большим количеством устройств, которые используются для организации беспроводной сети.
4. Централизованное управление безопасностью. Центром в этом случае является сервер аутентификации. За счет этого злоумышленники не имеют возможности получить доступ к скрытым данным.
5. Предприятия могут использовать собственные политики безопасности.
6. Простота в настройке и дальнейшем использовании.

Конечно же, есть у данной технологии и недостатки, причем они зачастую оказываются весьма значительными. В частности, речь идет вот о чем:

1. Ключ TKIP можно взломать максимум за 15 минут. Об этом заявила группа специалистов в 2008 году на конференции PacSec.
2. В 2009 году специалистами из Университета Хиросимы был разработан метод взлома любой сети, где используется WPA, за одну минуту.
3. С помощью уязвимости, названной специалистами Hole196, можно использовать WPA2 со своим ключом, а не с тем, который требуется сервером аутентификации.
4. В большинстве случаев любое WPA можно взломать с помощью обычного перебора всех возможных вариантов (брут-форс), а также при помощи так называемой атаки по словарю. Во втором случае используются варианты не в хаотическом порядке, а по словарю.

Конечно, чтобы воспользоваться всеми этими уязвимостями и проблемами, необходимо иметь особенные знания в области построения компьютерных сетей.

Большинству рядовых пользователей все это недоступно. Поэтому Вы можете особо не переживать о том, что кто-то получит доступ к Вашему Wi-Fi.

Рис. 4. Взломщик и компьютер

Нередко возникает вопрос: какой тип шифрования Wi-Fi выбрать для домашнего маршрутизатора. Казалось бы мелочь, но при некорректных параметрах, к сети , да и c передачей информации по Ethernet-кабелю могут возникнуть проблемы.

Поэтому здесь мы рассмотрим, какие типы шифрования данных поддерживают современные WiFi роутеры, и чем тип шифрования aes отличается от популярного wpa и wpa2.

Тип шифрования беспроводной сети: как выбрать способ защиты?

Итак, всего существует 3 типа шифрования:

1. 1. WEP шифрование

Тип шифрования WEP появился ещё в далеких 90-х и был первым вариантом защиты Wi-Fi сетей: позиционировался он как аналог шифрования в проводных сетях и применял шифр RC4. Существовало три распространенных алгоритма шифровки передаваемых данных - Neesus, Apple и MD5 - но каждый из них не обеспечивал должного уровня безопасности. В 2004 году IEEE объявили стандарт устаревшим ввиду того, что он окончательно перестал обеспечивать безопасность подключения к сети. В данный момент такой тип шифрования для wifi использовать не рекомендуется, т.к. он не является криптостойким.

1. 2. WPS - это стандарт, не предусматривающий использование . Для подключения к роутеру достаточно просто нажать на соответствующую кнопку, о которой мы подробно рассказывали в статье .

Теоретически WPS позволяет подключиться к точке доступа по восьмизначному коду, однако на практике зачастую достаточно лишь четырех.

Этим фактом преспокойно пользуются многочисленные хакеры, которые достаточно быстро (за 3 - 15 часов) взламывают сети wifi, поэтому использовать данное соединение также не рекомендуется.

1. 3. Тип шифрования WPA/WPA2

Куда лучше обстоят дела с шифрованием WPA. Вместо уязвимого шифра RC4 здесь используется шифрование AES, где длина пароля – величина произвольная (8 – 63 бита). Данный тип шифрования обеспечивает нормальный уровень безопасности безопасность, и вполне подходит для простых wifi маршрутизаторов. При этом существует две его разновидности:

Тип PSK (Pre-Shared Key) – подключение к точке доступа осуществляется с помощью заранее заданного пароля.
- Enterprise – пароль для каждого узла генерируется автоматически с проверкой на серверах RADIUS.

Тип шифрования WPA2 является продолжением WPA с улучшениями безопасности. В данном протоколе применяется RSN, в основе которого лежит шифрование AES.

Как и у шифрования WPA, тип WPA2 имеет два режима работы: PSK и Enterprise.

С 2006 года тип шифрования WPA2 поддерживается всем Wi-Fi оборудованием, соответственное гео можно выбрать для любого маршрутизатора.