WiFi протоколи за сигурност – разлика между WEP и WPA


Contents

WiFi протоколи за сигурност – разлика между WEP и WPA

Протоколите за сигурност на WiFi като WEP и WPA2 предотвратяват неоторизиран достъп до вашата мрежа от трети страни и криптират вашите лични данни.


WEP (Wired Equivalent Privacy), както подсказва името, е създаден да осигурява същото ниво на сигурност като кабелните мрежи и е одобрен като WiFi Security в края на 90-те години

WPA (WiFi Protected Access), от друга страна, беше временно подобрение на WEP, но беше широко приет след 2003 г..

IMG

Направо към …

Какво е WiFi протокол за сигурност?

Протоколи за сигурност на WiFi са стандартите за криптиране като WEP, WPA, WPA2 и WPA3, всеки от тях е надграждане на предишния. Първият стандарт за WiFi сигурност (WEP) е одобрен през 1990 г. за защита на безжичната мрежа. Целта му беше да служи на същото ниво сигурност като кабелни мрежи.

Какви са различните типове сигурност на WiFi?

От изобретението на WiFi през 90-те години, безжичните мрежи са използвали няколко различни протокола за сигурност. Всеки нов стандарт осигуряваше по-голяма сигурност и всеки обещаваше да бъде по-лесен за конфигуриране от тези, които са дошли преди. Всички те обаче запазват някои присъщи уязвимости.

В допълнение, с пускането на всеки нов протокол някои системи бяха надграждани, а някои не. В резултат на това днес се използват редица различни протоколи за защита. Някои от тях осигуряват доста добро ниво на защита, докато други не.

Има три основни протокола за защита, които се използват днес – WEP, WPA и WPA2 – и един, който тепърва ще се въвежда, WPA3. Нека разгледаме по-отблизо всеки.

WEP: Поверителност на жичната еквивалентност

Кабелна еквивалентна поверителност (WEP) беше първият мейнстрийм WiFi стандарт за сигурност, и е одобрен за употреба още през 1999 г. Въпреки че, както подсказва името му, е трябвало да предлага същото ниво на сигурност като кабелните мрежи, това не е било така. Редица проблеми със сигурността бяха бързо намерени и въпреки многото опити да ги закърпят, този стандарт беше изоставен от Wi-Fi Alliance през 2004г.

WPA: Защитен WiFi достъп

Защитеният WiFi достъп (WPA) протоколът е разработен през 2003 г. като директен заместител на WEP. Той увеличи сигурността чрез използване на двойка ключове за сигурност: a Предварително споделен ключ (PSK), най-често наричан WPA Personal и Протокол за интегрираност на ключовите темпори (или TKIP) за криптиране. Въпреки че WPA представлява значителен надграждане над WEP, той също е проектиран така, че да може да бъде разгърнат през застаряващия (и уязвим) хардуер, проектиран за WEP. Това означаваше, че наследи някои от добре известните уязвими места в сигурността на по-ранната система.

WPA2: Защитен от WiFi достъп II

WPA2 е разработен през 2004 г. като първият наистина нов протокол за сигурност след изобретяването на WiFi. Основният напредък, постигнат от WPA2, беше използването на Advanced Encryption System (AES), система, използвана от правителството на САЩ за криптиране на информацията от Top Secret. В момента WPA2, комбиниран с AES, представлява най-високото ниво на сигурност, обикновено използвано в домашните WiFi мрежи, въпреки че остават редица известни уязвимости в сигурността дори в тази система.

WPA3: Защитен WiFi достъп III

През 2018 г. WiFi Alliance обяви излизането на нов стандарт, WPA3, това постепенно ще замени WPA2. Този нов протокол все още не е широко приет, но обещава значителни подобрения спрямо по-ранните системи. Устройствата, съвместими с новия стандарт, вече се произвеждат.

Update: Едва ли мина година от пускането на WPA3 и вече бяха разкрити няколко уязвимости в защитата на WiFi, които могат да дадат възможност на атакуващите да откраднат паролите за Wi-Fi. Wi-Fi протоколът за сигурност на следващото поколение разчита водно конче, подобрено ръкостискане, което има за цел да защити срещу атаки в офлайн речник.

Въпреки това, изследователи по сигурността Еял Ронен и Мати Ванхоф откриха слабости в WPA3-Personal, които позволяват на атакуващия да извлече и възстанови паролите на Wi-Fi мрежите, като злоупотреби с кеш или базираните на времето изтичания на страничните канали. Изследователският документ, озаглавен DragonBlood, описва два вида дизайнерски недостатъци в протокола WPA3.

Първата е свързана с атаки на понижение, докато втората води до течове на странични канали. Тъй като WPA2 се използва широко от милиарди устройства по целия свят, универсалното приемане на WPA3 се очаква да отнеме известно време. Поради това повечето мрежи ще поддържат WPA3 и WPA2 връзки чрез „преходния режим“ на WPA3.

Преходният режим може да се използва за извършване на атаки с понижаване чрез настройване на измамна точка за достъп, която поддържа само протокола WPA2, принуждавайки WPA3 устройства да се свързват с 4-посоченото ръкохватка на WPA2, което не е сигурно.

Изследователите откриха също, че двете атаки на страничните канали срещу метода за кодиране на паролата на Dragonfly позволяват на нападателите да получават пароли за Wi-Fi чрез извършване на атака за разделяне на парола.

WEP срещу WPA vs WPA2: Кой WiFi протокол е най-защитен?

Що се отнася до сигурността, WiFi мрежите винаги ще бъдат по-малко защитени от кабелните мрежи. В кабелна мрежа данните се изпращат чрез физически кабел и това прави много трудно слушането на мрежовия трафик. WiFi мрежите са различни. По дизайн те излъчват данни в широк район и по този начин мрежовият трафик потенциално може да се вземе от всеки, който слуша.

Всички съвременни протоколи за сигурност на WiFi използват две основни техники: протоколи за удостоверяване, които идентифицират машините, които искат да се свържат с мрежата; и криптиране, което гарантира, че ако нападател се вслушва в мрежовия трафик, той няма да има достъп до важни данни.

Начинът, по който трите основни протокола за защита на WiFi реализират тези инструменти, обаче е различен:

WEPWPAWPA2

ПредназначениеНаправете WiFi мрежи толкова сигурни, колкото кабелните (това не работи!)Внедряване на IEEE802.1 li стандарти за WEP хардуерПълно изпълнение на IEEE802.1 li стандартите с използване на нов хардуер
Поверителност на данните
(Encryption)
Rivest Cipher 4 (RC4)Протокол за интегритетен ключов темпорал (TKIP)CCMP и AES
заверкаWEP-отворен и WEP-споделенWPA-PSK и WPA-EnterpriseWPA-Personal и WPA-Enterprise
Целостта на даннитеCRC-32Код за цялост на съобщениетоШифрови код за веригиране на съобщение за автентичност (CBC-MAC)
Управление на ключоветеНе се предоставя4-посочно ръкостискане4-посочно ръкостискане
Съвместимост на хардуераЦелият хардуерЦелият хардуерПо-старите мрежови интерфейсни карти не се поддържат (само по-нови от 2006 г.)
уязвимоститеСилно уязвими: податливи на Chopchop, фрагментация и DoS атакиПо-добри, но все още уязвими: Chopchop, фрагментация, WPA-PSK и DoS атакиНай-малко уязвимите, макар и все още податливи на DoS атаки
КонфигурацияЛесна за конфигуриранеПо-трудно за конфигуриранеWPA-Personal е лесна за конфигуриране, WPA-Enterprise по-малко
Replay Attack ProtectionБез защитаПореден брояч за защита от преиграване48-битова дейтаграма / номер на пакета предпазва от атаки при повторно възпроизвеждане

Без да навлизате в сложните детайли на всяка система, това означава, че различните протоколи за сигурност на WiFi предлагат различни нива на защита. Всеки нов протокол подобрява сигурността на тези, които са били преди, и затова основната оценка от най-добрите до най-лошите от съвременните методи за сигурност на WiFi, налични на съвременните (след 2006 г.) маршрутизатори, е такава:

  • WPA2 + AES
  • WPA + AES
  • WPA + TKIP / AES (TKIP съществува като резервен метод)
  • WPA + TKIP
  • WEP
  • Отворена мрежа (никаква сигурност)

8 начина да обезопасите вашата Wi-Fi мрежа

Има няколко прости стъпки, които можете да предприемете, за да направите безжичната си мрежа по-сигурна, независимо дали работите в бизнес среда или просто търсите да подобрите сигурността на домашната си мрежа.

Преместете вашия рутер до физически сигурно място

На фона на всички разговори за схеми за криптиране и ключови протоколи е лесно да се пренебрегне един доста основен аспект на WiFi сигурността: физическото местоположение на вашия рутер.

Ако работите с домашна мрежа, това означава да сте наясно каква част от вашия WiFi сигнал „изтича“ от дома ви. Ако вашият WiFi сигнал може да се вземе от вашия съсед, на улицата навън или дори в бара долу, вие се отваряте към атаки. В идеалния случай трябва да поставите вашия рутер в положение, където можете да получите добър сигнал навсякъде, където ви е необходим, и никой друг не може.

В бизнес среда физическата сигурност на вашия рутер е още по-важна. Атаките на векторите могат да бъдат въведени с простия акт на някой, който натиска бутона за нулиране на вашия рутер. Трябва да държите вашия безжичен рутер в заключен шкаф или офис и дори да мислите за системи за видеонаблюдение, които ще ви позволят да наблюдавате достъпа до него.

Променете информацията за влизане в рутера по подразбиране

Знаете ли каква е администраторската парола за вашия рутер? Ако не го направите, вероятно маршрутизаторът е пристигнал и това вероятно е „администратор“ или „парола“. Предполага се, че всеки ще промени тази парола, когато за първи път настрои своя рутер, но едва ли някой го прави.

Процесът за промяна на паролата на вашия рутер ще зависи от марката и модела на вашия хардуер, но не е труден. Едно бързо търсене от Google на модела на вашия рутер ще ви предостави инструкции как да го направите.

Докато избирате нова парола и потребителско име, трябва да обърнете внимание на общите указания за избора на силни пароли: новата ви парола трябва да бъде с дължина поне 15 знака и да включва комбинация от букви, цифри и специални знаци. Също така трябва редовно да променяте настройките на потребителското си име и парола. Задайте напомняне за промяна на паролата на всяко тримесечие. Просто не забравяйте да кажете на семейството си, че сте променили паролата, преди те да дойдат и да се оплачете, че „интернет е нарушен“!

Променете името на мрежата

Подобно на техните общи пароли и потребителски имена, повечето безжични рутери пристигат с общи идентификатори за набор от услуги (SSID), което е името, което идентифицира вашата WiFi мрежа. Обикновено това са нещо като „Linksys“ или „Netgear3060“, което ви дава информация за марката и модела на вашия рутер. Това е чудесно по време на първоначалната настройка, защото ви позволява да намерите вашия нов рутер.

Проблемът е, че тези имена също дават на всички, които могат да вземат вашия безжичен сигнал a, много полезна информация: марката и модела на вашия рутер. Вярвате или не, има онлайн списъци, които подробно описват уязвимостта на хардуера и софтуера на почти всеки рутер, така че потенциалният нападател може бързо да намери най-добрия начин да компрометира вашата мрежа.

Това е особен проблем, ако не сте променили информацията за вход по подразбиране на вашия рутер (вижте по-горе), тъй като след това атакуващият може просто да влезе във вашия рутер като администратор и да причини хаос.

Актуализирайте своя фърмуер и софтуер

Всички знаем, че трябва да поддържаме актуален софтуера си, за да ограничим уязвимостите в сигурността, но много от нас не го правят. Това става двойно за софтуера и фърмуера на вашия рутер. Ако никога не сте актуализирали фърмуера на вашия рутер преди, не сте сами. В проучване през 2014 г. за ИТ професионалисти (!) И служители, които работят отдалечено, проведено от охранителната фирма Tripwire, само 32% заявиха, че знаят как да актуализират своите рутери с най-новия фърмуер.

Част от причината за това е, че за разлика от вашата ОС, много рутери не ви напомнят периодично да проверявате и изтегляте актуализации за сигурност. Вероятно ще трябва сами да проверите за тях, затова задайте напомняне за това на всеки няколко месеца и променете паролите си, докато сте в него.

Актуализациите на фърмуера са особено важни, тъй като фърмуерът е най-основният код, използван от вашия рутер. Новите уязвимости във фърмуера на WiFi рутер се идентифицират непрекъснато и с достъпа до нивото на фърмуера на вашия рутер няма край на пакостите, които атакуващият може да причини.

Обикновено актуализациите на фърмуера се освобождават, за да закърпят специфични уязвимости на защитата и ще се инсталират самостоятелно, след като ги изтеглите. Това ги прави проста стъпка в осигуряването на вашата безжична мрежа.

Използвайте WPA2

Трябва да използвате най-сигурния протокол за безжична мрежа, който можете, и за повечето хора това ще бъде WPA2, комбиниран с AES.

Повечето съвременни рутери имат възможност да стартират няколко различни типа протокол за сигурност на WiFi, за да ги направят съвместими с възможно най-широк спектър хардуер. Това означава, че вашият рутер може да бъде конфигуриран да използва остарял протокол извън кутията.

Проверката с протокол, който вашият рутер използва е достатъчно лесна: просто потърсете инструкции онлайн, влезте в своя рутер и ще можете да видите (и промените) настройките. Ако установите, че вашият рутер използва WEP, трябва незабавно да промените това. WPA е по-добър, но за най-високо ниво на сигурност трябва да използвате WPA2 и AES.

Ако използвате по-стар рутер, може да се окаже, че той не е съвместим с WPA2 или с AES. Ако това е така, имате няколко възможности. Първо, трябва да проверите за надстройка на фърмуера, която ще позволи на вашия рутер да използва WPA: тъй като WPA е проектиран да е съвместим с по-стари WEP рутери, много от тях вече имат тази функционалност.

Ако не можете да намерите ъпгрейд на фърмуера, време е да започнете да мислите за надграждане на вашия хардуер. Това не трябва да бъде скъп вариант – много интернет доставчици ще ви предоставят нов рутер на минимални разходи или дори безплатно – и със сигурност са по-евтини от последствията от хакването на вашата мрежа!

Изключете WPS

Въпреки че WPA2 е много по-сигурен в сравнение с протоколите, които са били преди него, той запазва редица специфични уязвими места за сигурност, за които трябва да сте наясно. Някои от тях са причинени от функция на WPA2, чиято цел е да улесни настройката на вашата безжична мрежа: WPS.

Защитена WiFi настройка (WPS) означава, че свързването на устройство към вашата WiFi мрежа за първи път е толкова лесно, колкото натискането на бутон. Ако смятате, че това звучи като недостатък на сигурността, имате право. Ако оставите активиран WPS, всеки, който може физически да получи достъп до вашия рутер, може да се подпира във вашата мрежа.

Изключването на WPS е достатъчно лесно: влезте в своя рутер като потребител на администратор и трябва да видите опция за деактивирането му. Ако трябва да свържете допълнителна машина към вашата мрежа, можете да я включите за кратко, разбира се, просто се уверете, че отново я изключите, когато сте готови!

Ограничете или деактивирайте DHCP

Ако търсите още по-голяма сигурност, трябва да помислите за деактивиране на сървъра на протокола за динамична конфигурация на хоста (DHCP), който вашият рутер използва. Тази система автоматично присвоява IP адреси на всяко устройство, свързано към вашия рутер, като позволява на допълнителни устройства да се свързват лесно с вашата безжична мрежа. Проблемът е, че той ще даде на всеки, свързан към вашата мрежа, IP адрес, включително някой, който иска да получи неоторизиран достъп.

Има два подхода, които можете да предприемете за борба с тази потенциална уязвимост. Първото е да ограничите обхвата на DHCP, който вашият рутер използва, което води до ограничаване на броя на машините, с които може да се свърже. Вторият подход е да деактивирате DHCP изцяло. Това означава, че ще трябва ръчно да присвоите IP адрес на всяко устройство всеки път, когато се свързва с вашата мрежа.

Дали тези подходи са подходящи за вашата мрежа, зависи от начина, по който го използвате. Ако често свързвате и свързвате няколко устройства към вашия рутер, може да отнеме много време, за да зададете ръчно всеки IP адрес. От друга страна, ако броят на устройствата, които искате да свържете, е ограничен и предвидим, деактивирането на DHCP ви дава много контрол върху това кой е свързан към вашата мрежа.

Кой тип протокол за безжична защита е най-подходящ за Wi-Fi?

Ключовият момент тук е следният: най-сигурната настройка на WiFi, която можете да имате днес, е WPA2, комбинирана с AES. Въпреки това, не винаги ще бъде възможно да се използва този стандарт.

Възможно е например хардуерът ви да не поддържа WPA2 или AES. Това е проблем, който може да бъде преодолян чрез надграждане на вашия хардуер. Това може да звучи като скъпа опция, но повечето доставчици на интернет услуги ще ви предоставят безплатен обновен рутер, ако вашият е остарял. Това е особено важно, ако маршрутизаторът ви е древен и поддържа само WEP. Ако случаят е такъв, изхвърлете го и получете нов.

Единственият недостатък на използването на WPA2 и AES е, че криптирането, използвано от военна класа, което понякога може да забави връзката ви. Този проблем обаче засяга главно по-стари рутери, които бяха пуснати преди WPA2 и поддържат WPA2 само чрез надстройка на фърмуера. Всеки модерен рутер няма да страда от този проблем.

Друг по-голям проблем е, че всички сме принудени да използваме обществени WiFi връзки от време на време, а в някои случаи нивото на предлагана за тях защита е лошо. Следователно най-добрият подход е да сте наясно със степента на сигурност, предлагана в мрежите, към които се свързвате, и да избягвате изпращане на пароли (или друга важна информация) през лошо защитени мрежи.

Всичко това може да се обобщи в следната таблица:

Шифроване StandardSummaryКак работиМога ли да го използвам??
WEPПърви стандарт за сигурност 802.11: лесно за хакване.Използва RC4 шифър.Не
WPAВременен стандарт за справяне с основните пропуски в сигурността на WEP.Използва RC4 шифър, но добавя по-дълги (256-битови) клавиши.Само ако WPA2 не е наличен
WPA2Настоящ стандарт. Със съвременния хардуер увеличеното криптиране не влияе на производителността.Заменя RC4 шифъра с CCMP и AES за по-силна автентификация и криптиране.да

Често задавани въпроси

Как да разбера какъв тип настройки за защита на Wi-Fi има моят безжичен рутер?

Знанието е сила, така че да разберете какъв протокол за защита на Wi-Fi използвате, е първата стъпка в защитата.

Има няколко начина да направите това. Най-лесното е да използвате вашия смартфон:

  • Отворете приложението Настройки на мобилното си устройство.
  • Достъп до настройките на Wi-Fi връзката.
  • Намерете вашата безжична мрежа в списъка на наличните мрежи.
  • Докоснете името на мрежата или информационния бутон, за да издърпате мрежовата конфигурация.
  • Проверете мрежовата конфигурация за типа на защита.

Ако сте на лаптоп или настолен компютър, изтеглянето на мрежовите настройки обикновено също ще ви позволи да видите протокола за защита на Wi-Fi, който използвате.

Ако това не стане, направете търсене с Google за марката и модела на вашия рутер и трябва да намерите инструкции как да влезете в настройките му, където можете да видите (и промените) протокола, който използвате.

Знанието как да направите това също е необходимо да промените настройките по подразбиране на вашия рутер, което е важна част от запазването на мрежата ви сигурна, така че трябва да знаете как да влезете във вашия рутер във всеки случай!

4g по-сигурен ли е от Wi-Fi?

Като цяло, да.

По-добър отговор би бил, че зависи от Wi-Fi мрежата. Вашият 4G (или 3G, или каквото и вашият смартфон използва за мобилни данни) е защитен, защото вие сте единственият човек, който използва тази връзка. Никой друг няма достъп до информацията, която изпращате през тази връзка, освен ако не използва много сложни техники.

Същият принцип важи за Wi-Fi мрежите. Ако например сте единственият човек, който използва вашата домашна мрежа и е настроен по сигурен начин (вижте нашето ръководство по-горе), тогава вашата връзка ще бъде доста защитена.

Никога, никога не изпращайте лична информация, включително пароли или банкови данни, през обществена Wi-Fi мрежа. Много от тези мрежи използват лоши протоколи за сигурност, но дори и тези, които твърдят, че са защитени, са по своята същност уязвими поради броя на хората, които ги използват наведнъж.

Ето още няколко ръководства за WiFi мрежите:

  • Сигурност на домашната мрежа
  • Сигурност на горещата точка
  • Обществена WiFi сигурност
  • WiFi заплахи
  • Всички WiFi мрежи са уязвими
  • Kim Martin Administrator
    Sorry! The Author has not filled his profile.
    follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map