Wpa2 и wpa

Проверка каналов сети Wi-Fi

Что ещё можно сделать, если у вас нет соединения, и выбивает надпись «Сохранено защита WPA2»? Изменить канал, на котором работает оборудование для беспроводного подключения к сети.

Для этого сделайте следующее:

  • Зайдите в настройки, раздел Wireless, вкладка Wireless Settings — при использовании устройства TP-Link, или «Беспроводная сеть» — для моделей от ASUS.
  • Выберите пункт «Ширина канала» или «Chanel Width».
  • Желательно выбирать вариант Auto или пункт, в котором будет одновременно несколько значений ширины канала.

Как видите, существует много причин, из-за которых возникают проблемы с подключением к сети через Wi-Fi, и все они преимущественно связаны с настройками роутера. Если появилась надпись «Сохранено защита WPA», есть несколько простых способов устранить неполадки, причем сделать это можно самостоятельно и без каких-либо проблем.

Виды WPA-шифрования

Для выполнения подключения от пользователя требуется введение уникального пароля. После проверки ключа все данные, которые передаются между участниками сети, шифруются.
В таком случае существуют два типа проверки безопасности: WPA-личное и WPA-предприятие. Стоит отметить, что современные роутеры поддерживают обе эти технологии.

WPA-Personal

Протокол WPA-Personal используется на основе общих ключей WPA-PSK (Pre Shared Key) и считается менее безопасным режимом. Ключ PSK предназначен для домашних сетей, сетей небольших офисов или частных групп, где всем участникам группы предоставляется один ключ безопасности беспроводной сети Wi-Fi, т.е. всем абонентам выдается одна парольная фраза, которая открывает доступ.

При использовании WPA-PSK в настройках точки доступа и профилях беспроводного соединения клиентов указывается общий ключ (PSK)- пароль- длиной от 8 до 63 символов. Протокол WPA-PSK позволяет беспроводному устройству Brother обмениваться данными с точками доступа при помощи способа шифрования TKIP или AES.

WPA-Enterprise

В этом случае каждый пользователь получает уникальный пароль, который работает только для одного компьютера, т.к. авторизация пользователей проводится на отдельном RADIUS-сервере. Именно сервер проверки подлинности 802.1X распределяет различные ключи каждому отдельному пользователю.

Такой метод считается более безопасным, поэтому используется исключительно на предприятиях, требующих повышенный уровень безопасности, или в корпоративных сетях.

Шифрование данных

Технология WPA состоит из следующих компонентов:

  1. протокол 802.1x — универсальный протокол для аутентификации, авторизации и учета (AAA)
  2. протокол EAP — расширяемый протокол аутентификации (Extensible Authentication Protocol)
  3. протокол TKIP — протокол временнОй целостности ключей, другой вариант перевода — протокол целостности ключей во времени (Temporal Key Integrity Protocol)
  4. MIC — криптографическая проверка целостности пакетов (Message Integrity Code)
  5. протокол RADIUS

работа протокола 802.1x

После получения сертификата от пользователя сервер аутентификации для генерации уникального базового ключа для данного сеанса связи использует протокол 802.1х, одной из главных функций которого является аутентификация пользователя и распределение ключей шифрования, а также проверка их подлинности. Необходимо отметить, что аутентификация происходит «на уровне порта» — то есть пока пользователь не будет аутентифицирован, ему разрешено посылать/принимать пакеты, касающиеся только процесса его аутентификации (учетных данных) и не более того. И только после успешной аутентификации порт устройства будет открыт и пользователь получит доступ к ресурсам сети.

После запроса пользователя на получение ключа протокол TKIP осуществляет передачу сгенерированного ключа пользователю и точке доступа. TKIP позволяет изменить длину ключа шифрования до 128 бит (вместо предыдущих 40). Поэтому для управления ключами существует специальная иерархия, которая призвана предотвратить предсказуемость ключа шифрования для каждого кадра. Благодаря TKIP двусторонний ключ шифрования для каждого кадра данных генерируется динамически так, что они не повторяют друг друга, пусть даже частично. Для достижения этого применяется более длинный вектор инициализации и используется криптографическая контрольная сумма (MIC) для подтверждения целостности пакетов, а также используется шифрование каждого пакета данных. Подобная иерархия ключей TKIP заменяет один ключ для протокола WEP на 500 миллиардов возможных ключей, которые будут использованы для шифрования данного пакета данных.

После произведения данной процедуры происходит проверка целостности сообщений (Message Integrity Code, MIC). данный контрольной суммы позволяет предотвратить перехват пакетов данных, содержание которых может быть изменено, а модифицированный пакет вновь передан по сети. MIC построена на основе мощной математической функции, которая применяется на стороне отправителя и получателя, после чего сравнивается результат. Если проверка показывает на несовпадение результатов вычислений, данные считаются ложными и пакет отбрасывается.

Также проверка подлинности может осуществляться благодаря протоколу EAP (Extensible Authentication Protocol), который используется для аутентификации в проводных сетях, что позволяет WPA легко интегрироваться в уже имеющуюся инфраструктуру. Обязательным условием аутентификации является предъявление пользователем маркера доступа, подтверждающего его право на доступ в сеть. Для получения маркера выполняется запрос к специальной базе данных, а без аутентификации работа в сети для пользователя будет запрещена. Система проверки расположена на специальном RADIUS-сервере, а в качестве базы данных используется Active Directory(в Windows-системах).

Таким образом, WPA-сети полностью защищены от атак replay (повторение ключей) и forgery (подмена содержимого пакетов), что значительно повысило качество шифрования по сравнению с протоколом WEP.

Использование WEP/WPA/WPA2 на маршрутизаторе

Во время начальной настройки большинство современных беспроводных точек доступа и маршрутизаторов позволяют выбрать протокол безопасности для использования. Хотя это хорошо, некоторые люди не хотят менять стандартных настроек.

Проблема, связанная с отсутствием изменения протокола безопасности по умолчанию, используемого маршрутизатором, заключается в том, что он может использовать WEP, который небезопасен. Или, что ещё хуже, маршрутизатор может быть полностью открыт  без какого-либо шифрования или пароля.

Если вы настраиваете свою собственную сеть, обязательно используйте WPA2 или, по крайней мере, WPA.

AES против TKIP

TKIP и AES – это два разных типа шифрования, которые могут использоваться сетью Wi-Fi.

TKIP является более старым протоколом шифрования, введенным с WPA, чтобы заменить незащищенное шифрование WEP. TKIP, на самом деле, очень похож на WEP-шифрование. TKIP больше не считается безопасным и относится к устаревшим.

Другими словами, вы не должны использовать TKIP.

AES – это более безопасный протокол шифрования, введенный с WPA2. AES – это не какой-то жесткий стандарт, разработанный специально для сетей Wi-Fi. Это серьезный мировой стандарт шифрования, который используется даже правительственными учреждениями. Например, когда вы шифруете жесткий диск с помощью TrueCrypt, для этого может использоваться шифрование AES.

AES считается достаточно безопасным, и основными недостатками могут быть подверженность атаке грубой силой и нарушения безопасности в других аспектах WPA2.

Короткое объяснение заключается в том, что TKIP является более старым стандартом шифрования, используемым в старом WPA. AES – это новое решение для шифрования Wi-Fi, используемое новым и безопасным стандартом WPA2. Теоретически, это конец! Но, в зависимости от вашего маршрутизатора, выбор WPA2 может быть недостаточно хорошим решением.

Хотя WPA2 должен использовать AES для обеспечения оптимальной безопасности, он также может использовать TKIP, когда необходима обратная совместимость с устаревшими устройствами. В таком состоянии устройства, поддерживающие WPA2, будут подключаться к WPA2, а устройства, поддерживающие WPA, будут подключаться к WPA. Поэтому «WPA2» не всегда означает WPA2-AES. Однако на устройствах без видимой опции «TKIP» или «AES» WPA2 обычно является синонимом WPA2-AES.

Опробование плат беспроводного интерфейса

Как узнать, какие функции поддерживает ваша плата беспроводного интерфейса? Об этом расскажет команда . Найдите секцию «Supported interface modes» (поддерживаемые режимы интерфейса) и посмотрите, поддерживает ли ваша карта режим AP. Пример такой команды показан в
.

Листинг 1. Вывод команды iw
$ iw list



Supported interface modes:
*IBSS
*managed
*monitor
*AP
*AP/VLAN

В этом примере показана плата беспроводного интерфейса, поддерживающая режим AP и беспроводные виртуальные сети (VLAN). IBSS — это режим ad hoc. Режим monitor предназначен для анализа трафика в беспроводных сетях. Все платы беспроводного интерфейса поддерживают режим managed, в котором они играют роль клиента точки доступа.

Попробуйте выполнить команду для интерфейсов Atheros, использующих драйверы Madwifi. См. .

Листинг 2. Пример команды wlanconfig
# wlanconfig ath0 list caps
ath0=7782e40f<WEP,TKIP,AES,AES_CCM,HOSTAP,TXPMGT,SHSLOT,SHPREAMBLE,TKIPMIC,WPA1,WPA2,BURST
     ,WME>

Эта команда показывает наличие поддержки режима AP, а также шифрования WPA2 и криптостойкого шифра AES-CCMP.

Другим хорошим способом проверки беспроводного оборудования является чрезвычайно полезная команда . Она имеет специальную опцию для беспроводных интерфейсов и дает много полезной информации, как показывает фрагмент вывода в :

Листинг 3. Пример информации hwinfo для карты WIC
$ hwinfo --wlan
27: PCI 500.0: 0282 WLAN controller
Model: "Intel WLAN controller"
Driver: "iwlagn"
Driver Modules: "iwlagn"
WLAN encryption modes: WEP40
WEP104 TKIP CCMP
WLAN authentication modes: open sharedkey wpa-psk wpa-eap
Status: iwlagn is active
Driver Activation Cmd: "modprobe iwlagn"

Команда называет драйвер, показывает, какое шифрование он поддерживает, сообщает имя устройства и многое другое. Кроме того, можно попробовать команду для сетевых плат с интерфейсом PCI и команду — для интерфейсов USB. Эта плата сетевого интерфейса не может работать в качестве точки доступа, поскольку драйвер iwlagn не поддерживается в , и в любом случае она не поддерживает режим AP. (Этот интерфейс является частью малобюджетного чипа Centrino.)

Настройка для домашней сети

Теперь самое интересное — настройка. Этот процесс задокументирован для Arch Wiki, и Gentoo Wiki, но всех деталей там естественно нет.

Программа обычно ставится в директорию , и наша задача — правильно настроить конфигурационный файл , и привязать его к автозапуску беспроводного сетевого интерфейса.

Начнем с . Если вы подключаетесь из дома к WPA/WPA2, то скорее всего используете пароль для WiFi соединения, что соответствует режиму . Мы не будет рассматривать варианты с WEP шифрованием, так как оно ненамного лучше открытой сети.

Возьмем типовой конфиг из документации. Например такой.

Первая строка необходима, без программа даже не запустится. GROUP=wheel нужно для того, чтобы запускать из под обычного пользователя в графическом интерфейсе wpa_gui, но это не наш путь. Поэтому меняем на рутовый .

Каждой сети в файле настроек должен соответствовать блок . Покопавшись в исходниках, обнаружил нашел годное писание переменной в файле , а в мануале и руководстве пользователя ее описание очень скудное.

Остальные опции взяты из руководства конфиг файла.

  • — The Basic Service Set Identifier (BSSID), физический адрес точки доступа.
  • — Протоколы аутентификации.
  • — Для WPA2 укажите CCMP, а для WPA — TKIP.
  • — WPA/WPA2.
  • — Хэш пароля PreShared Key.

Создаем хэш пароля для :

Все готово, чтобы создать конфиг сети. Итоговый файл должен выглядеть как-то так.

Верные значения для , , и можно определить, сканируя беспроводную сеть.

Команда из набора устарела, вместо нее сейчас .

Какую защиту ставить на Wi-Fi роутере

Важным вопросом считается защита сети Wi-Fi, в частности — какую выбрать.

На вай-фай роутер обязательно необходимо ставить защиту. Ввиду вышеуказанной информации, сделать правильное решение будет несложно.

Для настройки способа защиты, в частности, метода шифрования, необходимо обратиться в раздел дополнительных настроек на панели управления роутером (например, TP-Link с актуальной версией прошивки).

Во вкладке дополнительных настроек следует проверить беспроводной режим.

Обратите внимание! При использовании старой версии вай-фай роутера, необходимые для защиты конфигурации, находятся в разделе безопасной защиты. В открывшейся вкладке можно увидеть пункт периода обновления группового ключа WPA

В условиях повышенной безопасности происходит динамическое изменение реального цифрового шифровального ключа WPA. Обычно промежуток изменения задается в секундах. Если таковой пункт в конкретной версии роутера имеется, то трогать указанное по умолчанию значение нежелательно

В открывшейся вкладке можно увидеть пункт периода обновления группового ключа WPA. В условиях повышенной безопасности происходит динамическое изменение реального цифрового шифровального ключа WPA. Обычно промежуток изменения задается в секундах. Если таковой пункт в конкретной версии роутера имеется, то трогать указанное по умолчанию значение нежелательно.

На маршрутизаторах «Асус» все параметры Wi-Fi расположены на одной странице «Беспроводная сеть». Аналогично и у Zyxel Keenetic — раздел «Сеть Wi-Fi — Точка доступа — Wi-Fi шифрование»

В роутерах Keenetic без приставки «Zyxel» смена типа шифрования производится в разделе «Домашняя сеть».

Настройка безопасности роутера D-Link На D-Link надо найти раздел «Wi-Fi — Безопасность».

Таким образом, на основании представленной в статье информации можно узнать, какой метод проверки подлинности Wi-Fi лучше, каким образом осуществить надежную защиту домашней, а также корпоративной сетей.

ПРОИЗОШЛА ОШИБКА ПРОВЕРКИ ПОДЛИННОСТИПРОИЗОШЛА ОШИБКА ПРОВЕРКИ ПОДЛИННОСТИ

Как узнать ключ безопасности

Если пароль от Wi-Fi утерян, его нужно где-то посмотреть. Узнать ключ безопасности от своей беспроводной сети можно на роутере, ноутбуке, смартфоне.

С помощью роутера

Увидеть сетевой ключ для роутера пользователь сможет в интерфейсе устройства.

Инструкция:

  1. На тыльной стороне корпуса маршрутизатора найти IP-адрес для входа (192.168.1.1 или 192.168.0.1).
  2. Параметры для авторизации – «admin/admin».
  3. Развернуть раздел «Беспроводная сеть» или «Wireless».
  4. Название подключения в поле «SSID». Пароль в строке «PSK Password» или «Предварительный ключ WPA».

На технике разных брендов и моделей язык интерфейса и названия вкладок различны, но общий принцип одинаков.

С помощью компьютера

Посмотреть ключ безопасности от своей беспроводной сети можно на компьютере, находящемся в Wi-Fi сети.

Вот так можно узнать пароль от wi-fi на Windows 10:

  1. Развернуть трей, навести курсор на иконку соединения с Сетью, нажать и выбрать «Открыть «Параметры сети и Интернет».
  2. Вызвать «Центр управления сетями и общим доступом».
  3. Кликнуть на активное соединение и выбрать «Свойства беспроводной сети».
  4. Во вкладке «Безопасность» включить отображение введенных знаков. В строке «Ключ безопасности» откроется скрытая комбинация.

На Виндовс 7 действия незначительно отличаются:

  1. Открыть «Центр управления сетями и общим доступом».
  2. В колонке слева нажать на «Управление беспроводными сетями».
  3. Навести курсор на Wi-Fi, ПКМ вызвать меню и нажать «Свойства».
  4. Перейти в «Безопасность».
  5. Активировать отображение вводимых знаков.
  6. Нужная комбинация появится в поле «Ключ безопасности».

Если устройство не использует Wi-Fi, это решение не подойдет.

На телефоне

Получить ROOT-права помогут приложения из Play Market, например, Root Explorer.

Инструкция:

  1. Скачать из Google Play и открыть приложение для получения Root-прав.
  2. Открыть внутреннюю память смартфона, последовательно открыть папки «Data» — «Misc» — «WiFi».
  3. Найти файл «wpa_supplicant.conf» и открыть через приложение для чтения текстовых файлов или в веб-обозревателе.
  4. Найти «SSID» и «PSK». Значение в первой строке – это название Wi-Fi, во второй – пароль.

Если ROOT-права не получены, воспользоваться способом не получится.

Инструкция или наклейка на устройстве

После покупки или сброса маршрутизатора до заводских параметров на нем будет действовать ключ безопасности вайфай сети, нанесенный на наклейку снизу роутера. Код будет подписан как «Ключ сети», «Wi-Fi пароль», «Wireless Key», «Wi-Fi Key», «PIN».

Способ актуален, если секретная комбинация не редактировалась в ходе настройки устройства.

Дополнительные способы

Если предыдущие способы, как узнать пароль от Wi-Fi, неэффективны, можно задействовать стороннее ПО для десктопных и мобильных платформ.

Чтобы найти ключ безопасности сети на ноутбуке, потребуется установить WirelessKeyView. Она подойдет для всех версий Windows, от 10 до XP. Способ подходит, если Интернет на компьютере ранее был настроен через интересующую беспроводную сеть, но теперь устройство отключено от Wi-Fi.

Инструкция по использованию утилиты:

Откроется окно с информацией обо всех сетях, к которым подключалось устройство, включая нужную.

Руководство для смартфонов с ОС Андроид:

  1. Открыть Play Market.
  2. Скачать специальное приложение, для просмотра паролей к беспроводным сетям, например, Wi-Fi Password.
  3. Запустить приложение с открытыми ROOT-правами.
  4. Выбрать сеть.
  5. Посмотреть секретную комбинацию.

Определить пароль от Wi-Fi иногда предлагается с помощью хакерского ПО для взлома Wi-Fi. Это не самое лучшее решение. При скачивании таких программ на телефон или ПК существует риск заразить технику вирусами или установить вредоносное ПО, способное нанести ущерб технике и ее владельцу.

Разница между WPA2 Personal и WPA2 Enterprise

Разница между WPA2 Personal и WPA2 Enterprise состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES. Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым. Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа. Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент — сервер авторизации, и почти всегда это RADIUS-сервер.

Все возможные параметры безопасности сведены в этой табличке:

Свойство Статический WEP Динамический WEP WPA WPA 2 (Enterprise)
Идентификация Пользователь, компьютер, карта WLAN Пользователь, компьютер Пользователь, компьютер Пользователь, компьютер
Авторизация Общий ключ EAP EAP или общий ключ EAP или общий ключ
Целостность 32-bit Integrity Check Value (ICV) 32-bit ICV 64-bit Message Integrity Code (MIC) CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code — CCM) Part of AES
Шифрование Статический ключ Сессионный ключ Попакетный ключ через TKIP CCMP (AES)
Распределение ключей Однократное, вручную Сегмент Pair-wise Master Key (PMK) Производное от PMK Производное от PMK
Вектор инициализации Текст, 24 бита Текст, 24 бита Расширенный вектор, 65 бит 48-бит номер пакета (PN)
Алгоритм RC4 RC4 RC4 AES
Длина ключа, бит 64/128 64/128 128 до 256
Требуемая инфраструктура Нет RADIUS RADIUS RADIUS

Способы решения проблемы аутентификации

Исходя из описанных выше причин возникновения неисправности при подключении к беспроводной сети, становится понятно, что на вопрос, как быстро убрать ошибку аутентификации, нет единого ответа. В каждом конкретном случае применяется свой алгоритм, позволяющий решить проблемы с идентификацией. Подробнее они будут описаны ниже.

Переподключение сети

Если возникает ошибка идентификации, нужно, прежде всего, попробовать подключиться заново. Для этого устройство переводится в режим полета на 20-30 секунд. Иногда проблему с подключением помогает исправить банальное удаление данных о сети. Рассмотрим это на примере смартфона фирмы «Самсунг». В первом случае делается свайп сверху вниз, нажимается кнопка «Режим полета», а потом отключается. Во втором случае необходимо зайти в настройки, перейти в подпункт wi-fi, там выбрать нужную сеть. Путем длительного удержания пальца на ее названии вызывается меню, где выбирается пункт «Забыть сеть». После этого из памяти смартфона или планшета стирается информация, касающаяся конкретной беспроводной сети и, скорее всего, ошибки аутентификации удастся избежать. Кроме того, следует учитывать невозможность некоторых устройств работать со стандартом 802.11N. Для этого режим b/g/n смешанный должен быть сменен на b/g смешанный:

Ошибка при проверке подлинности

Бывают ситуации, когда устройства на Android неспособны подключиться к сети при осуществлении проверки подлинности по причине конфликта с установленной в настройках версией стандарта безопасности. Причем это касается как современных телефонов, так и устаревших моделей. В данной ситуации простейшим выходом является смена новейшего WPA-2 на более старый WPA. В большинстве случаев это связано со сбоем в прошивке роутера, поэтому описанное решение является временным, стоит обновиться на более новую и актуальную версию прошивки.

Иногда, ошибка аутентификации означает наличие несовместимости устаревших версий Android с алгоритмом AES. В таком случае метод проверки подлинности меняется на WPA-Auto-Personal, после чего появится возможность выбрать протокол TKIP. В роутерах ASUS используется продвинутая версия, использующая сразу два протокола в зависимости от подключаемого устройства.

О том, что причина ошибки при аутентификации заключается в этом, определяет временная установка открытого доступа. В методе проверки подлинности из выпадающего меню выбирается пункт Open System. Если после такого шага происходит удачная аутентификация смартфона, очевидно, что следует экспериментировать именно с данным полем. Методом перебора определить способ, который будет функционировать без ошибок.

Поиск причины в роутере

Если ошибка аутентификации предположительно вызвана роутером, являющимся точкой доступа, с ним осуществляются следующие несложные манипуляции. Простейшим решением ошибки является банальная перезагрузка. Делается это выключением кнопки питания и повторного ее нажатия через полминуты. В том случае, если это не помогло, посмотреть, а доступна ли сеть для аутентификации. Делается это через интерфейс администратора, куда легко зайти, введя 192.168.1.1 Необходимо, чтобы SSID (имя сети) было написано на английском языке, и не стояла галочка «скрыть SSID».

Разновидности зашиты

Итак, начнем с того, что еще недавно самой безопасной технологией защиты соединения считалась структура WEP. Она использовала проверку целостности ключа при беспроводном подключении любого девайса и являлась стандартом IEEE 802. 11i.

Защита WiFi-сети WPA2-PSK работает, в принципе, почти так же, однако проверку ключа доступа осуществляет на уровне 802. 1X. Иными словами, система проверяет все возможные варианты.

Однако есть и более нова технология, получившая название WPA2 Enterprise. В отличие от WPA, она предусматривает не только затребование персонального ключа доступа, но и наличие предоставляющего доступ сервера Radius. При этом такой алгоритм проверки подлинности может работать одновременно в нескольких режимах (например, Enterprise и PSK, задействовав при этом шифрование уровня AES CCMP).

Аутентификация пользователей

Wi-Fi Alliance даёт следующую формулу для определения сути WPA:

WPA = 802.1X + EAP + TKIP + MIC

Видно, что WPA, по сути, является суммой нескольких технологий.

Как упомянуто выше, в стандарте WPA используется Расширяемый протокол аутентификации (EAP) как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства (иначе называют мандатом), подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена. База зарегистрированных пользователей и система проверки в больших сетях, как правило, расположены на специальном сервере (чаще всего RADIUS).

Следует отметить, что WPA имеет упрощённый режим. Он получил название Pre-Shared Key (WPA-PSK). При применении режима PSK необходимо ввести один пароль для каждого отдельного узла беспроводной сети (беспроводные маршрутизаторы, точки доступа, мосты, клиентские адаптеры). Если пароли совпадают с записями в базе, пользователь получит разрешение на доступ в сеть.

Разница между WPA и WPA2

На сегодняшний день ситуация такова, что все устройства, работающие в сетях Wi-Fi, обязаны поддерживать WPA2, так что выбор WPA обусловлен может быть только нестандартными ситуациями. К примеру, операционные системы старше Windows XP SP3 не поддерживают работу с WPA2 без применения патчей, так что машины и устройства, управляемые такими системами, требуют внимания администратора сети. Даже некоторые современные смартфоны могут не поддерживать новый протокол шифрования, преимущественно это касается внебрендовых азиатских гаджетов. С другой стороны, некоторые версии Windows старше XP не поддерживают работу с WPA2 на уровне объектов групповой политики, поэтому требуют в этом случае более тонкой настройки сетевых подключений.

Техническое отличие WPA от WPA2 состоит в технологии шифрования, в частности, в используемых протоколах. В WPA используется протокол TKIP, в WPA2 — проткол AES. На практике это означает, что более современный WPA2 обеспечивает более высокую степень защиты сети. К примеру, протокол TKIP позволяет создавать ключ аутентификации размером до 128 бит, AES — до 256 бит.

Отличие:

  • WPA2 представляет собой улучшенный WPA
  • WPA2 использует протокол AES, WPA — протокол TKIP
  • WPA2 поддерживается всеми современными беспроводными устройствами
  • WPA2 может не поддерживаться устаревшими операционными системами
  • Степень защиты WPA2 выше, чем WPA

Создаем сложный пароль

Чтобы создать сложный пароль, должны быть соблюдены условия:

  1. Длина: чем больше символов в комбинации, тем сложнее ее подобрать, даже программным способом.
  2. Сложность: сильный пароль включает буквы различного регистра и цифры. Пробелы, тире снизу и сложные символы не подходят, потому что их сложно вводить, особенно на мобильной технике или Smart TV телевизорах.
  3. Распространенные фразы, имена, даты использовать нельзя – такие пароли легко подбираются.

Соблюдая эти нехитрые правила, можно быть уверенным, что сеть не смогут взломать злоумышленники.

Ключ безопасности сети – это последовательность из цифр, букв и символов, защищающая доступ к Wi-Fi. Если он забыт, просмотреть его можно на ПК, ноутбуке, смартфоне или роутере. Пароль можно отредактировать или удалить, сбросив маршрутизатор к начальным установкам. При вводе нового кода нужно помнить: чем он сложнее, тем более защищенным будет беспроводное соединение, а значит, тем труднее его будет взломать злоумышленникам.

Мне нравитсяНе нравится

FAQ

Вопрос: Какой беспроводной адаптер нужен для взлома?

Ответ: Перед тем как экспериментировать, нужно убедиться, что беспроводной адаптер может работать в режиме мониторинга. Лучший способ — свериться со списком поддерживаемого оборудования на сайте проекта Aircrack-ng . Если же встанет вопрос о том, какой беспроводной модуль купить, то начать можно с любого адаптера на чипсете RTL8187L. USB’шные донглы легко найти в интернете за 20$.

Вопрос: Почему у меня возникают ошибки «timeout» и «out of order»?

Ответ: Обычно это происходит из-за низкого уровня сигнала и плохой связи с точкой доступа. Кроме того, точка доступа может на время заблокировать использование WPS.

Вопрос: Почему у меня не работает спуфинг MAC-адреса?

Ответ: Возможно, ты спуфишь MAC виртуального интерфейса mon0, а это работать не будет. Надо указывать имя реального интерфейса, например, wlan0.

Вопрос: Почему при плохом сигнале Reaver работает плохо, хотя тот же взлом WEP проходит нормально?

Ответ: Обычно взлом WEP происходит путем повторной пересылки перехваченных пакетов, чтобы получить больше векторов инициализации (IV), необходимых для успешного взлома

В этом случае неважно, потерялся какой-либо пакет, либо как-то был поврежден по пути. А вот для атаки на WPS необходимо строгое следование протоколу передачи пакетов между точкой доступа и Reaver для проверки каждого PIN-кода

И если при этом какой-то пакет потеряется, либо придет в непотребном виде, то придется заново устанавливать WPS-сессию. Это делает атаки на WPS гораздо более зависимыми от уровня сигнала. Также важно помнить, что если твой беспроводной адаптер видит точку доступа, то это ещё не значит, что и точка доступа видит тебя. Так что если ты являешься счастливым обладателем высокомощного адаптера от ALFA Network и антенны на пару десятков dBi, то не надейся, что получится поломать все пойманные точки доступа.

Вопрос: Reaver все время посылает точке доступа один и тот же PIN, в чем дело?

Ответ: Проверь, активирован ли на роутере WPS. Это можно сделать при помощи утилиты wash: запусти её и проверь, что твоя цель находится в списке.

Вопрос: Почему я не могу ассоциироваться с точкой доступа?

Ответ: Это может быть из-за плохого уровня сигнала или потому, что твой адаптер непригоден для подобных изысканий.

Вопрос: Почему я постоянно получаю ошибки «rate limiting detected»?
Ответ: Это происходит потому, что точка доступа заблокировала WPS. Обычно это временная блокировка (около пяти минут), но в некоторых случаях могут влепить и перманентный бан (разблокировка только через административную панель). Есть один неприятный баг в Reaver версии 1.3, из-за которого не определяются снятия подобных блокировок. В качестве воркэраунда предлагают использовать опцию ‘—ignore-locks’ или скачать последнюю версию из SVN.

Вопрос: Можно ли одновременно запустить два и более экземпляров Reaver для ускорения атаки?

Ответ: Теоретически можно, но если они будут долбить одну и ту же точку доступа, то скорость перебора едва ли увеличится, так как в данном случае она ограничивается слабым железом точки доступа, которое уже при одном атакующем загружается по полной.

Личные данные и файлы в беспроводной сети иногда могут быть доступны посторонним людям, перехватывающим сетевой сигнал. Это может привести к краже личных данных и другим злонамеренным действиям. Ключ безопасности сети или парольная фраза могут помочь защитить беспроводную сеть от подобного несанкционированного доступа.

Следуйте инструкциям мастера настройки сети, чтобы настроить ключ безопасности.

Примечание.

Не рекомендуется использовать протокол WEP для защиты беспроводной сети. Более надежным является защищенный доступ Wi-Fi Protected Access (WPA или WPA2). Если при попытке использовать WPA и WPA2 они не работают, рекомендуется заменить сетевой адаптер на адаптер, поддерживающий WPA или WPA2. Все сетевые устройства, компьютеры, маршрутизаторы и точки доступа также должны поддерживать WPA или WPA2.

Рекомендации для снижения возможности компрометации беспроводной сети

  • при использовании WPA2-Personal рекомендуемая длина пароля должна быть больше, чем минимально требуемые 8 символов, к тому же использование словарных паролей значительно сокращает время их подбора. По данным на 2020 год, одними из самых популярных 8-символьных паролей все еще являются «12345678» и «password»;
  • в компаниях с небольшим количеством пользователей можно дополнительно организовать фильтрацию на основе MAC-адреса устройства. Но данный метод может быть лишь одним из дополнительных элементов защиты, поскольку злоумышленник, начав процесс мониторинга беспроводной сети, в любом случае увидит MAC-адреса пользователей, которые подключены к точке доступа. Дальнейшее изменение собственного MAC-адреса при подключении останется лишь делом техники. К тому же, с увеличением количества клиентов «белый список» также будет увеличиваться, что не всегда бывает удобно для администратора;
  • разделение сети на гостевую и корпоративную. Гостевая сеть может иметь доступ только в сеть Интернет. Корпоративная может иметь доступ к локальной сети. Используйте сегментирование (VLAN) для разных сетей;
  • изолирование пользователей беспроводной сети друг от друга с целью предотвращения злоумышленником взаимодействия с другими клиентами точки доступа;
  • если есть возможность использовать WPA2-Enterprise, то рекомендуется использовать его, дополнительно обеспечив подключение с помощью сертификатов безопасности;
  • использование средств обнаружения вторжений в беспроводные сети (WIPS). Они предназначены для мониторинга беспроводной активности и определения/предотвращения попыток внутренних и внешних сетевых вторжений. Основывая свой анализ на канальном и физическом уровнях сетевой модели OSI, WIPS позволяет организациям успешно идентифицировать и защищать свои сети от несанкционированных точек доступа, атак на беспроводные сети и атак типа “отказ в обслуживании”.
  • использование протоколов IEEE с повышенной безопасностью (например, 802.11w-2009), позволяющих блокировать попытки диссоциации/деаунтефикации и т.д.

Заключение

Мой последний вердикт заключается в том, что если у вас есть современное устройство, вы должны почти всегда использовать WPA2 и хорошие алгоритмы шифрования и аутентификации, поскольку это сделает вашу беспроводную сеть более безопасной. Но если у вас есть старое устройство, которое не поддерживает WPA2, тогда вы должны пойти с WPA с высоким уровнем шифрования и аутентификации. Третий вариант — перейти с WPA и относительно низким качеством шифрования и аутентификации. Я бы предложил WEP как выбор последнего средства, поскольку он по-прежнему лучше, чем просто поддерживать беспроводную сеть без безопасности.

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий