Тип Шифрования WiFi — Какой Выбрать, WEP или WPA2-PSK Personal-Enterprise Для Защиты Безопасности Сети?

Сегодня мы чуть глубже копнем тему защиты беспроводного соединения. Разберемся, что такое тип шифрования WiFi — его еще называют «аутентификацией» — и какой лучше выбрать. Наверняка при настройке роутера вам попадались на глаза такие аббревиатуры, как WEP, WPA, WPA2, WPA2/PSK, WPA3-PSK. А также их некоторые разновидности — Personal или Enterprice и TKIP или AES. Что ж, давайте более подробно изучим их все и разберемся, какой тип шифрования выбрать для обеспечения максимальной безопасности WiFi сети без потери скорости.

Шифрование WiFi данных и типы аутентификации

Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:

  • WEP
  • WPA
  • WPA2
  • WPA3

Что такое WEP защита wifi?

WEP (Wired Equivalent Privacy) — это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.

Что такое ключ WPA или пароль?

WPA (Wi-Fi Protected Access) — более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.

Что такое WPA2-PSK — Personal или Enterprise?

WPA2 — усовершенствованный вариант предыдущего типа. Взлом WPA2 практически невозможен, он обеспечивает максимальную степень безопасности, поэтому в своих статьях я всегда без объяснений говорю о том, что нужно устанавливать именно его — теперь вы знаете, почему.

У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:

  • Personal, обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев — и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
  • Enterprise — более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу DHCP сервера, то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.

Предварительный общий ключ (PSK)

Первоначальную часть проверки безопасности, которую вы прошли в банке по приведенной выше аналогии, можно сравнить с WPA2-PSK., аутентификация

который требует, чтобы человек соединялся с сетью Wi-Fi (попросите деньги в банке в нашей метафоре), используя фразу-пароль. PSK относится к «общему секрету», в данном случае к паролю..

  • WPA2 без PSK
    это опция, используемая, если вы хотите использовать сервер аутентификации. Компания должна выбрать эту опцию, если она хочет назначить уникальные ключи устройствам сотрудника. Если ключ скомпрометирован, бизнесу потребуется только создать новый ключ для одного устройства. Это также предотвратит утрату или кражу ключа от других устройств, что может произойти, если все устройства будут использовать один и тот же ключ..
  • Что разница между WPA2-PSK
    и
    WPA2-Personal
    ? Термины используются взаимозаменяемо, хотя WPA2-Personal
    подразумевает
    использование AES, а WPA2-PSK
    подразумевает
    выбор между старым TKIP и AES. Как объясняется в блоге Cisco, некоторые устройства позволяют WPA с AES и WPA2 с TKIP. AES является необязательным в WPA, но в WPA2 AES является обязательным, а TKIP является необязательным. Оба термина относятся к использованию PSK, что отличает WPA2-Personal от WPA2-Enterprise..

WPA3-Personal

Эта версия обеспечивает надежную аутентификацию на основе паролей, даже когда пользователи выбирают короткие или слабые пароли. Он не требует сервера аутентификации и является основным протоколом, который используют домашние пользователи и малые предприятия..

  • Использует 128-битное шифрование
  • Использует рукопожатие одновременной аутентификации равных (SAE), которое защищает от атак грубой силы
  • Включает прямую секретность означает, что новый набор ключей шифрования генерируется каждый раз, когда устанавливается соединение WPA3, поэтому, если исходный пароль скомпрометирован, это не имеет значения
  • Поддерживает безопасность в общественных сетях
  • Легко управляет подключенными устройствами
  • Позволяет выбрать естественный пароль, который, как утверждает Wi-Fi Alliance, облегчит пользователям запоминание парольных фраз

WEP против WPA против WPA2 Personal vs WPA2 Enterprise

Вместо обсуждения каждого протокола безопасности мы обсудим три фактора и сравним протоколы в соответствии с этими факторами. К факторам относятся безопасность, аутентификация и производительность.

Безопасность и шифрование

WEP и WPA используют алгоритм RC4 для шифрования сетевых данных. RC4 по своей сути небезопасен, особенно в случае WEP, который использует небольшие ключи и управление ключами. Поскольку WEP отправляет пароли в текстовом виде по сети, довольно просто взломать сеть, используя сетевые снифферы.

WPA был разработан как временная альтернатива WEP. Безопасная форма WPA использует шифрование TKIP, которое шифрует пароли для сетевой связи. Хотя это также более слабая форма безопасности, но она намного лучше, чем WEP.

WPA2 был разработан для сетевой связи с полной безопасностью. Он использует шифрование AES-CCMP, которое теоретически может занять сотни лет для взлома. Все пакеты связи, отправленные и полученные через WPA2, зашифрованы.

Хотя WPA2 — лучшая форма безопасности, вы можете использовать WPA, где устройства не совместимы с WPA2, и использовать WEP в качестве последнего средства, поскольку он все же лучше, чем полностью открытая сеть.

Аутентификация

Аутентификация является важной частью беспроводной сетевой связи. Он определяет, разрешено ли пользователю общаться с сетью или нет. Все три протокола безопасности, WEP, WPA и WPA2 используют PSK (предварительный общий ключ) для аутентификации. Хотя WEP использует простой ключ PSK, WPA и WPA2 объединяют его с другими методами шифрования, такими как WPA-PSK и EAP-PSK, чтобы сделать процесс аутентификации более безопасным. Стандарт WPA и WPA2 для аутентификации — 802.1x / EAP.

WPA и WPA2 используют 256-битное шифрование для аутентификации, которое достаточно безопасно. Но поскольку у пользователей, как правило, возникают трудности с установкой таких длинных паролей, кодовая фраза может составлять от 8 до 65 символов, которая сочетается с EAP для шифрования и аутентификации.

Читайте также:  Количество ранков оперативной памяти что это

Скорость и производительность

Первая мысль о скорости и производительности заключается в том, что, поскольку WEP использует простую аутентификацию и безопасность, она должна быть самой быстрой. Но это полностью отличается от фактических цифр. Вместо использования большего количества шифрования и безопасности WPA2, по-видимому, является самым высокопроизводительным протоколом безопасности для всех. Это связано с тем, что он позволяет передавать большую пропускную способность между беспроводной точкой доступа и беспроводным устройством. Вы можете посмотреть следующее видео, в котором объясняется эксперимент сравнения скорости и производительности этих трех протоколов: WEP, WPA и WPA2.

Таблица сравнения WEP, WPA и WPA2

Вот сравнительная таблица для вас, чтобы легко проверить различия между WEP, WPA и WPA2.

Access List

Чтобы включить доступ по правилам Access List, на вкладке Interfaces необходимо открыть свойства беспроводного интерфейса, где на вкладке Wireless, убрать галочку с параметра Default Authenticate.

Защита Wi-Fi Mikrotik

После снятия галки, переходим в Access List и создаем правило. Оно может быть для каждого клиента свое, или общее на всех.

Защита Wi-Fi Mikrotik

MAC Address — MAC адрес устройства, которое будет подключатся к вашему роутеру. Если снять галочку Default Authenticate и выставить тут MAC адрес, то только это устройство сможет подключится к сети. Это и есть ограничение подключения по MAC-адресам в Mikrotik. Для того, что бы другое устройство смогло подключится к вашей точке, нужно внести его MAC в список правил.

Interface — интерфейс к которому будет производится подключение. Если указать «all» — правило будет применяться ко всем беспроводным интерфейсам вашего устройства.

Signal Strength Range — диапазон уровня сигнала, при котором возможно подключение. Настройка применяется в сетях с бесшовным роумингом между точками. Служит для того, что-бы ваше устройство не держалось за текущую точку доступа до критически слабого уровня сигнала, а перерегистрировалось на новую точку (при одинаковом SSID).

Обычно выставляют диапазон типа «-75..120» при наличии нескольких точек доступа в нормальной доступности.

AP Tx Limit — ограничить скорость передачи данных этому клиенту. Значение «0» — без ограничений.

Client Tx Limit — передать ограничение скорости клиента. Поддерживается только на RouterOS клиентах.

Authentication — возможность авторизации. Если убрать галочку, устройство с этим MAC адресом, не сможет подключиться к вашей сети.

Forwarding — возможность обмена информацией с другими участниками беспроводной сети. Если убрать галочку с этого пункта — пользователь этого устройства не будет иметь доступа к другим клиентам wifi-сети.

Обычно на публичных точка доступа — галочку снимают, для экономии трафика и безопасности.

VLAN-Mode — С помощью VLAN Tagging можно отделить трафик виртуальных беспроводных точек доступа от локальных клиентов (например, что-бы отделитель гостевую сеть от рабочей). Значения:

  • no-tag — не использовать VLAN-тегирование на беспроводном интерфейсе;
  • use-service-tag — использовать 802.1ad тегирование;
  • use-tag — использовать 802.1q тегирование.

VLAN-ID — VLAN-идентификатор.

VLAN не используем, оставляем по-умолчанию — «1».

Private Key — возможность установки персонального ключа шифрования для устройства с данным MAC адресом. Только для режимов WEP.

Private Pre Shared Key — персональный ключ шифрования. Используется в режиме WPA PSK.

Managment Protection Key — ключ защиты Managment Protection. Managment Protection — защита от атак деаутентификации и клонирования MAC-адреса. Выставляется на вкладке «General» в Security Profiles.

Time — в этом разделе можно указать временной диапазон, в рамках которого будет возможно подключение этого устройства.

Шифрование WiFi данных и типы аутентификации

Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:

  • WEP
  • WPA
  • WPA2

Что такое WEP защита wifi?

WEP (Wired Equivalent Privacy) — это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.

Что такое ключ WPA или пароль?

WPA (Wi-Fi Protected Access) — более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.

Что такое WPA2-PSK — Personal или Enterprise?

WPA2 — усовершенствованный вариант предыдущего типа. Взлом WPA2 практически невозможен, он обеспечивает максимальную степень безопасности, поэтому в своих статьях я всегда без объяснений говорю о том, что нужно устанавливать именно его — теперь вы знаете, почему.

У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:

  • Personal, обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев — и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
  • Enterprise — более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу DHCP сервера, то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.

Типы шифрования WPA — TKIP или AES?

Итак, мы определились, что оптимальным выбором для обеспечения безопасности сети будет WPA2/PSK (Personal), однако у него есть еще два типа шифрования данных для аутентификации.

  • TKIP — сегодня это уже устаревший тип, однако он все еще широко употребляется, поскольку многие девайсы энное количество лет выпуска поддерживают только его. Не работает с технологией WPA2/PSK и не поддерживает WiFi стандарта 802.11n.
  • AES — последний на данный момент и самый надежный тип шифрования WiFi.
Читайте также:  Dsr степень Nvidia что это

Для чего нужно шифровать WiFi?

Отмечу, что защищать свой WiFi паролем нужно обязательно, не важно, какой тип шифрования вы при этом выберете. Даже самая простая аутентификация позволит избежать в будущем довольно серьезных проблем.

Почему я так говорю? Тут даже дело не в том, что подключение множества левых клиентов будет тормозить вашу сеть — это только цветочки. Главная причина в том, что если ваша сеть незапаролена, то к ней может присосаться злоумышленник, который из-под вашего роутера будет производить противоправные действия, а потом за его действия придется отвечать вам, так что отнеситесь к защите wifi со всей серьезностью.

Зачем шифровать? Кому я нужен? Мне нечего скрывать

Не так страшно если украдут пин-код с кредитной карты и снимут с нее все деньги. Тем более, если кто-то будет сидеть за ваш счет в интернете, зная Wi-Fi пароль. И не так страшно если опубликуют ваши фото с корпоративных вечеринок где вы в неприглядном виде. Куда обидней когда злоумышленники проникнут в ваш компьютер и удалят фотографии как Вы забирали сына из роддома, как он сделал первые шаги и пошел в первый класс. Про бэкапы отдельная тема, их конечно нужно делать… Но репутацию со временем можно восстановить, деньги заработать, а вот дорогие для вас фотографии уже нет. Думаю у каждого есть то, что он не хочет потерять.
Ваш роутер является пограничным устройством между личным и публичным, поэтому настройте его защиту по полной. Тем более это не так сложно.

Варианты защиты

Смотрите также видео с инструкциями по настройке безопасности сети WI-FI:

Чтобы быть уверенным в безопасности нашего WI-FI, нужно придумать логин и пароль и определиться с технологией защиты. Из вариантов нам предлагаются WEP, WPA и WPA2.

Одной из первых безопасных технологий была WEP. Она проверяла ключ на целостность при каждом соединении по Wi-Fi и была стандартом IEEE802.11i. Сейчас эта технология считается устаревшей и недостаточно безопасной.

Протокол шифрования, который, однако, использует довольно не стойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256- и 512-битное wep шифрование. Чем больше бит используется, тем больше возможных комбинаций ключей, естественно, это дает более высокую стойкость сетки к взлому. Часть wep ключа является статической (40 бит в случае 64-битного шифрования), а другая часть (24 бит) – динамичекая (вектор инициализации), который меняется во времени. Основной уязвимостью протокола wep является то, что вектора инициализации повторяются через некоторый промежуток времени и взломщику потребуется лишь собрать эти повторы и вычислить по ним статическую часть ключа. Для повышения уровня безопасности можно дополнительно к wep шифрованию использовать стандарт 802.1x или VPN.

WPA

Более стойкий протокол шифрования, чем wep, правда и здесь используется тот же алгоритм RC4. Более высокая безопасность достигается за счет использования протоколов TKIP и MIC.

TKIP (Temporal Key Integrity Protocol). Протокол динамических ключей сети, которые меняются довольно часто. Каждому устройству также присваивается ключ, который тоже меняется.

MIC (Message Integrity Check). Протокол проверки целостности пакетов. Защищает от перехвата пакетов.

Также возможно и использование 802.1x и VPN, как и в случае с wep.

Существует два вида WPA:

WPA-PSK (Pre-shared key). Для генерации ключей сети и для входа в сеть используется ключевая фраза. Самый лучший вариант, если вы развертываете сеть дома или в небольшом офисе.

WPA-802.1x. Вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.

WPA2

Усовершенствование протокола WPA. В отличие от WPA, используется более стойкий алгоритм шифрования AES. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.

802.1X

Стандарт безопасности, в который входят несколько протоколов:

EAP (Extensible Authentication Protocol). Протокол расширенной аутентификации . Используется совместно с RADIUS сервером в крупных сетях.

TLS (Transport Layer Security). Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.

RADIUS (Remote Authentication Dial-In User Server). Сервер аутентификации пользователей по логину и паролю.

VPN

VPN (Virtual Private Network) – Виртуальная частная сеть. Этот протокол был создан для безопасного подключения клиентов к сети через общественные сети, например, Интернет. Принцип работы VPN – это создание «туннелей» от пользователя до узла доступа или сервера. Хотя VPN был разработан задолго до появления WI-Fi, его можно использовать в любом типе сетей. Для шифрования трафика в VPN обычно используется протокол IPSec. Он обеспечивает высокий уровень безопасности. Случаев взлома VPN на данный момент неизвестно. Мы рекомендуем использовать эту технологию для корпоративных сетей.

Дополнительные методы защиты

Фильтрация по MAC адресу.

MAC адрес – это уникальный идентификатор устройства (сетевого адаптера), «зашитый» в него производителем. На некотором оборудовании возможно задействовать данную функцию и разрешить доступ в сеть необходимым адресам. Это создаст дополнительную преграду взломщику, хотя не очень серьезную – MAC адрес можно подменить.

Скрытие SS >SSID – это идентификатор вашей беспроводной сети. Большинство оборудования позволяет его скрыть, таким образом при сканировании wi-fi сетей вашей сети видно не будет. Но опять же, это не слишком серьезная преграда если взломщик использует более продвинутый сканер сетей, чем стандартная утилита в Windows.

Запрет доступа к настройкам точки доступа или роутера через беспроводную сеть.

Активировав эту функцию можно запретить доступ к настройкам точки доступа через Wi-fi сеть, однако это не защитит вас от перехвата трафика или от проникновения в вашу сеть.

Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access II (WPA2) – это основные алгоритмы безопасности, которые вы увидите при настройке беспроводной сети. WEP является самым старым и оказался уязвимым. WPA улучшила безопасность, но теперь также считается уязвимой. WPA2, хотя и не идеален, в настоящее время является самым надежным выбором.

Протокол целостности временного ключа (TKIP) и Advanced Encryption Standard (AES) – это два разных типа шифрования, которые вы увидите в сетях, защищенных WPA2. Давайте посмотрим, как они отличаются и какой лучше всего подходит для вас.

Виды шифрования сети

В настоящее время Wi-Fi маршрутизаторы используют три разных типа шифрования.

Отличаются они друг от друга не только количеством доступных для создания пароля символов, но и другими не менее важными особенностями.

Самым ненадежным и менее популярным типом шифрования на сегодняшний день является WEP. В общем-то, этот тип шифрования использовался раньше и сейчас применяется редко. И дело тут не только в моральной старости такого типа шифрования. Он действительно достаточно ненадежный. Пользователи, использующие устройства с WEP-шифрованием имеют довольно высокие шансы на то, что их собственный ключ безопасности сети будет взломан сторонним пользователем. Данный вид шифрования не поддерживается многими современными Wi-Fi роутерами.

Последние два типа шифрования намного более надежны и гораздо чаще используются. При этом у пользователей имеется возможность выбрать уровень безопасности сети. Так, WPA и WPA2 поддерживают два вида проверки безопасности.

Один из них рассчитан на обычных пользователей и содержит один уникальный пароль для всех подключаемых устройств.

Другой используется для предприятий и значительно повышает уровень надежности сети Wi-Fi. Суть его заключается в том, что для каждого отдельного устройства создается собственный уникальный ключ безопасности.

Таким образом, становится практически невозможно без разрешения подключиться к чужой сети.

Тем не менее, выбирая свой будущий маршрутизатор, следует остановить свой выбор именно на той модели, которая поддерживает именно WPA2-шифрование. Объясняется ее большей надежностью в сравнении с WPA. Хотя, конечно же, WPA-шифрование является достаточно качественным. Большинство маршрутизаторов поддерживают оба эти вида шифрования.

Настройка роутера Dlink DIR 300, DIR 320, DIR 615 (русский интерфейс, ревизии B5)

Подготовка к настройке роутера.

Включите роутер в сеть питания. Подключите кабель из подъезда в разъем
WAN (Internet). Соедините роутер с компьютером коротким кабелем, который идет в
комплекте с роутером. Один разъем установите в сетевую карту компьютера, другой
в один из LAN портов роутера.

Далее необходимо проверить настройки локальной сети на компьютере.

Для Windows XP:

Пуск -> Панель управления -> (Сеть и подключение к интернет) -> Сетевые
подключения->Подключение по локальной сети ->Свойства -> Протокол Интернета TCP/IP.
Установите точку «Получить IP-адрес автоматически» -> ОК, в предыдущем окне
так же ОК.

Для Windows 7:

Пуск -> Панель управления -> (Сеть и интернет) -> Центр управления сетями и
общим доступом -> Изменение параметров адаптера ->Подключение по локальной сети ->Свойства -> Протокол Интернета TCP/IPv4.
Установите точку «Получить IP-адрес автоматически» -> ОК, в предыдущем окне так же ОК.

Для входа в настройки роутера в адресной строке браузера (Internet Explorer,
Mozilla Firefox, Opera, Google Chrome), введите адрес 192.168.0.1 и нажмите клавишу Enter.

Если все сделано правильно, откроются настройки роутера.
На открывшейся странице введите имя пользователя и пароль администратора для
доступа к web-интерфейсу роутера (по умолчанию имя пользователя – admin,
пароль – admin). Нажмите кнопку Enter.

После первого входа устройство попросит изменить пароль. Можно ввести так же пароль по умолчанию admin. Далее попадаем в меню настройки роутера.

Цветовые индикаторы вверху показывают состояние подключений на доступном уровне (зелёный
— подключено, красный — ошибка, не подключено).
Переходим в меню — Настроить вручную.

Перейдите в меню Сеть-> Соединения и нажмите под таблицей кнопку «Добавить». Откроются необходимые настройки.

Тип соединения– Выберите тип соединения PPPoE.
Разрешить – Оставьте галку.

PPP Имя пользователя – пропишите логин для доступа в интернет, предоставленный
провайдером.

Пароль и Подтверждение пароля – пропишите пароль для доступа в интернет
предоставленный провайдером Keep Alive – ставим галку. LCP интервал – 30, LCP провалы – 3.

В поле Разное проверьте, чтобы стояли галки NAT и Сетевой экран.

Нажмите «Сохранить».

В строке с созданным соединением поставьте точку «Шлюз по умолчанию» и нажмите
«Сохранить» в правом верхнем углу.

Перейдите в меню Wi-Fi => Общие настройки и проверьте, чтобы стояла галка «Включить беспроводное соединение».

Далее перейдите в меню Wi-Fi => Основные настройки.

Скрыть точку доступа – не ставьте галку.

SSID– пропишите имя беспроводной сети. Можно использовать латинские буквы и цифры.

Страна – оставьте RUSSIAN FEDERATION.

Канал – вместо AUTO установите любой канал с 1 по 11.

Беспроводной режим – можете оставить без изменений или выбрать другой режим.

Максимальное количество клиентов – можете установить максимальное количество беспроводных клиентов. Если установлен 0, количество клиентов неограничено.

Нажмите «Изменить».

Далее перейдите в меню Wi-Fi => Настройки безопасности.

Сетевая аутентификация – рекомендуется устанавливать шифрование WPA-PSK/WPA2- PSKmixed.

Ключ шифрования PSK – можете использовать ключ по умолчанию или установить свой

(от 8 до 63 символов, можно использовать латинские буквы и цифры).

WPA-шифрование – выберите TKIP+AES.

WPA период обновления ключа– оставьте без изменений.

Нажмите «Изменить».

Далее необходимо перезагрузить роутер, для этого в верхнем правом углу нажмите кнопку СистемаСохранить и Перезагрузить.

Настройка DNS.

Переходим в раздел Дополнительно.
Выбираем подраздел Серверы имен.

Ставим галку Настройка сервера имен – Вручную:

Прописываем DNS-сервера Вашего города.
Вверху выбираем СистемаСохранить и перезагрузить.

Ссылка на основную публикацию