Meniul
AcasăFișiere și foldere

Ce algoritmi de criptare există pentru rețelele fără fir. Tipul de securitate și criptare wireless. Pe care sa aleg? Ce este criptarea AES

ÎN În ultima vreme Au apărut multe publicații „de dezvăluire” despre piratarea unui nou protocol sau tehnologie care compromite securitatea rețelelor wireless. Este cu adevărat așa, de ce ar trebui să vă fie teamă și cum vă puteți asigura că accesul la rețeaua dvs. este cât mai sigur posibil? Cuvintele WEP, WPA, 802.1x, EAP, PKI înseamnă puțin pentru tine? Acest scurtă recenzie va contribui la reunirea tuturor tehnologiilor aplicabile de criptare și autorizare a accesului radio. Voi încerca să arăt că o rețea wireless configurată corespunzător reprezintă o barieră de netrecut pentru un atacator (până la o anumită limită, desigur).

Bazele

Orice interacțiune între un punct de acces (rețea) și un client wireless se bazează pe:
  • Autentificare- modul în care clientul și punctul de acces se prezintă unul față de celălalt și confirmă că au dreptul de a comunica unul cu celălalt;
  • Criptare- ce algoritm de codificare pentru datele transmise este utilizat, cum este generată cheia de criptare și când se modifică.

Opțiuni retea fara fir, în primul rând numele său (SSID), este anunțat în mod regulat de punctul de acces în pachete de semnalizare de difuzare. Pe lângă setările de securitate așteptate, se transmit solicitări pentru QoS, parametri 802.11n, viteze acceptate, informații despre alți vecini etc. Autentificarea determină modul în care clientul se prezintă la obiect. Opțiuni posibile:

  • Deschis- așa-zisul rețea deschisă, în care toate dispozitivele conectate sunt autorizate simultan
  • Impartit- autenticitatea dispozitivului conectat trebuie verificată cu o cheie/parolă
  • EAP- autenticitatea dispozitivului conectat trebuie verificată folosind protocolul EAP de către un server extern
Deschiderea rețelei nu înseamnă că oricine poate lucra cu ea cu impunitate. Pentru a transmite date într-o astfel de rețea, algoritmul de criptare utilizat trebuie să se potrivească și, în consecință, conexiunea criptată trebuie stabilită corect. Algoritmii de criptare sunt:
  • Nici unul- fără criptare, datele sunt transmise în text clar
  • WEP- cifrare bazată pe algoritmul RC4 cu diferite lungimi de chei statice sau dinamice (64 sau 128 de biți)
  • CKIP- înlocuire proprietară pentru WEP Cisco, versiunea timpurie a TKIP
  • TKIP- Înlocuire WEP îmbunătățită cu verificări și protecție suplimentare
  • AES/CCMP- cel mai avansat algoritm bazat pe AES256 cu verificări și protecție suplimentare

Combinaţie Deschideți autentificare, fără criptare utilizat pe scară largă în sisteme acces oaspeților cum ar fi furnizarea de internet într-o cafenea sau hotel. Pentru a vă conecta, trebuie doar să știți numele rețelei wireless. Adesea această conexiune este combinată cu verificare suplimentară către Portalul Captiv prin redirecționarea solicitării HTTP a utilizatorului către pagină suplimentară, unde puteți solicita confirmare (login-parolă, acord cu regulile etc.).

Criptare WEP este compromisă și nu poate fi utilizată (chiar și în cazul cheilor dinamice).

Termeni care apar frecvent WPAȘi WPA2 determina, de fapt, algoritmul de criptare (TKIP sau AES). Datorită faptului că adaptoarele client acceptă WPA2 (AES) de ceva timp, nu are rost să folosiți criptarea TKIP.

Diferență între WPA2 PersonalȘi WPA2 Enterprise de unde provin cheile de criptare utilizate în mecanica algoritmului AES. Pentru aplicațiile private (acasă, mici), se utilizează o cheie statică (parolă, cuvânt cod, PSK (Pre-Shared Key)) cu o lungime minimă de 8 caractere, care este setată în setările punctului de acces și este aceeași pentru toți clienții unei rețele wireless date. Compromisul unei astfel de chei (au vărsat boabele unui vecin, un angajat a fost concediat, un laptop a fost furat) necesită o schimbare imediată a parolei pentru toți utilizatorii rămași, ceea ce este realist doar dacă există un număr mic de ei. Pentru aplicațiile corporative, după cum sugerează și numele, este utilizată o cheie dinamică, individuală pentru fiecare client care rulează în prezent. Această cheie poate fi actualizată periodic în timpul funcționării fără întreruperea conexiunii și este responsabilă pentru generarea acesteia componentă suplimentară- un server de autorizare și aproape întotdeauna acesta este un server RADIUS.

Toate parametrii posibili informațiile de siguranță sunt rezumate în această placă:

Proprietate WEP static WEP dinamic WPA WPA 2 (întreprindere)
Identificare Utilizator, computer, card WLAN Utilizator, computer
Utilizator, computer
Utilizator, computer
Autorizare
Cheie partajată

EAP

EAP sau cheie partajată

EAP sau cheie partajată

Integritate

Valoarea de verificare a integrității pe 32 de biți (ICV)

ICV pe 32 de biți

Cod de integritate a mesajelor (MIC) pe 64 de biți

CRT/CBC-MAC (Cod de autentificare a înlănțuirii blocurilor de cifrat în modul contor - CCM) Parte a AES

Criptare

Cheie statică

Cheia de sesiune

Cheie per pachet prin TKIP

CCMP (AES)

Distribuția cheilor

O singură dată, manual

Segment de cheie principală (PMK) în pereche

Derivat din PMK

Derivat din PMK

Vector de inițializare

Text, 24 de biți

Text, 24 de biți

Vector avansat, 65 de biți

Număr de pachet pe 48 de biți (PN)

Algoritm

RC4

RC4

RC4

AES

Lungimea cheii, biți

64/128
64/128
128
până la 256

Infrastructura necesară

Nu

RAZĂ

RAZĂ

RAZĂ

Dacă totul este clar cu WPA2 Personal (WPA2 PSK), soluție de întreprindere necesită o atenție suplimentară.

WPA2 Enterprise



Aici avem de-a face set suplimentar diverse protocoale. Pe partea de client, o componentă software specială, solicitantul (de obicei parte a sistemului de operare) interacționează cu partea de autorizare, serverul AAA. ÎN în acest exemplu afișează funcționarea unei rețele radio unificate construită pe puncte de acces ușoare și un controler. În cazul utilizării punctelor de acces cu „creiere”, întregul rol de intermediar între clienți și server poate fi preluat de punctul însuși. În acest caz, datele solicitantului client sunt transmise prin radioul format în protocolul 802.1x (EAPOL), iar pe partea controlerului sunt împachetate în pachete RADIUS.

Utilizarea mecanismului de autorizare EAP în rețeaua dvs. duce la faptul că, după autentificarea cu succes (aproape sigur deschisă) a clientului de către punctul de acces (împreună cu controlorul, dacă există), acesta din urmă cere clientului să autorizeze (confirmă autoritatea acestuia) cu serverul de infrastructură RADIUS:

Utilizare WPA2 Enterprise necesită un server RADIUS în rețeaua dvs. În prezent, cele mai eficiente produse sunt următoarele:

  • Microsoft Network Policy Server (NPS), fost IAS- configurat prin MMC, gratuit, dar trebuie să cumpărați Windows
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3- configurat printr-o interfață web, cu funcționalitate sofisticată, vă permite să creați sisteme distribuite și tolerante la erori, costisitoare
  • FreeRADIUS- gratuit, configurat folosind configurații text, nu este convenabil de gestionat și monitorizat

În acest caz, controlorul monitorizează cu atenție schimbul de informații în curs și așteaptă autorizarea sau refuzul cu succes a acestuia. Dacă are succes, serverul RADIUS poate transmite către punctul de acces Opțiuni suplimentare(de exemplu, în ce VLAN să plaseze abonatul, ce adresă IP să atribuiți, profilul QoS etc.). La sfârșitul schimbului, serverul RADIUS permite clientului și punctului de acces să genereze și să schimbe chei de criptare (individuale, valabile doar pentru această sesiune):

EAP

Protocolul EAP în sine este containerizat, adică mecanismul de autorizare propriu-zis este lăsat la latitudinea utilizatorului protocoale interne. Pe în prezent Următoarele au primit o distribuție semnificativă:
  • EAP-RAPID(Flexible Authentication via Secure Tunneling) - dezvoltat de Cisco; permite autorizarea folosind un login și o parolă transmise în tunelul TLS între solicitant și serverul RADIUS
  • EAP-TLS(Transport Layer Security). Utilizează infrastructura chei publice(PKI) pentru a autoriza clientul și serverul (aplicant și server RADIUS) prin certificate emise de o autoritate de certificare (CA) de încredere. Necesită emiterea și instalarea de certificate de client pe fiecare dispozitiv wireless, deci este potrivit doar pentru un mediu corporativ gestionat. Windows Certificate Server are facilități care permit clientului să-și genereze propriul certificat dacă clientul este membru al unui domeniu. Blocarea unui client se poate face cu ușurință prin revocarea certificatului acestuia (sau prin conturi).
  • EAP-TTLS(Tunneled Transport Layer Security) este similar cu EAP-TLS, dar nu necesită un certificat de client la crearea unui tunel. Într-un astfel de tunel, similar unei conexiuni SSL de browser, se efectuează o autorizare suplimentară (folosind o parolă sau altceva).
  • PEAP-MSCHAPv2(EAP protejat) - similar cu EAP-TTLS în ceea ce privește stabilirea inițială a unui tunel TLS criptat între client și server, necesitând un certificat de server. Ulterior, un astfel de tunel este autorizat folosind binecunoscutul protocol MSCHAPv2.
  • PEAP-GTC(Generic Token Card) - similar cu cel precedent, dar necesită carduri parole unice(și infrastructura aferentă)

Toate aceste metode (cu excepția EAP-FAST) necesită un certificat de server (pe serverul RADIUS) emis de o autoritate de certificare (CA). În acest caz, certificatul CA în sine trebuie să fie prezent pe dispozitivul clientului în grupul de încredere (care este ușor de implementat folosind Politica de grup pe Windows). În plus, EAP-TLS necesită un certificat de client individual. Autentificarea clientului se realizează după cum urmează: semnatura digitala, deci (opțional) prin compararea certificatului furnizat de client către serverul RADIUS cu ceea ce serverul a preluat din infrastructura PKI (Active Directory).

Suportul pentru oricare dintre metodele EAP trebuie să fie furnizat de un solicitant de partea clientului. Standardul încorporat Windows XP/Vista/7, iOS, Android oferă cel puțin EAP-TLS și EAP-MSCHAPv2, ceea ce face ca aceste metode să fie populare. Adaptoarele client Intel pentru Windows vin cu un utilitar ProSet care se extinde lista disponibila. Clientul Cisco AnyConnect face același lucru.

Cât de fiabil este?

La urma urmei, ce este nevoie pentru ca un atacator să-ți pirateze rețeaua?

Pentru autentificare deschisă, fără criptare - nimic. Conectat la rețea și atât. Deoarece mediul radio este deschis, semnalul circulă înăuntru laturi diferite, blocarea nu este ușoară. Dacă aveți adaptoare client adecvate care vă permit să ascultați emisiunea, trafic de rețea vizibil ca și cum atacatorul s-ar fi conectat la fir, la hub, la portul SPAN al switch-ului.
Criptarea bazată pe WEP necesită doar timp de forță brută IV și unul dintre multele utilitare de scanare disponibile gratuit.
Pentru criptarea bazată pe TKIP sau AES, decriptarea directă este posibilă în teorie, dar în practică nu au existat cazuri de hacking.

Desigur, puteți încerca să ghiciți cheia PSK sau parola pentru una dintre metodele EAP. Atacurile comune împotriva acestor metode nu sunt cunoscute. Puteți încerca să utilizați metode Inginerie sociala, sau

Pentru a vă proteja Rețea Wi-Fiși setați o parolă, trebuie să selectați tipul de securitate al rețelei fără fir și metoda de criptare. Și pe în această etapă Mulți oameni au o întrebare: pe care să o alegeți? WEP, WPA sau WPA2? Personal sau Enterprise? AES sau TKIP? Ce setări de securitate vă vor proteja cel mai bine rețeaua Wi-Fi? Voi încerca să răspund la toate aceste întrebări în cadrul acestui articol. Să luăm în considerare totul metode posibile autentificare și criptare. Să aflăm ce parametri de securitate a rețelei Wi-Fi sunt cel mai bine setați în setările routerului.

Vă rugăm să rețineți că tipul de securitate sau autentificare, autentificare retea, securitate, metoda de autentificare - totul este același lucru.

Tipul de autentificare și criptarea sunt principalele setări de securitate wifi wireless retelelor. Cred că mai întâi trebuie să ne dăm seama care sunt, ce versiuni există, capabilitățile lor etc. După care vom afla ce tip de protecție și criptare să alegem. Vă voi arăta folosind exemplul mai multor routere populare.

Recomand cu căldură să configurați o parolă și să vă protejați rețeaua wireless. Setați nivelul maxim de protecție. Dacă lăsați rețeaua deschisă, fără protecție, atunci oricine se poate conecta la ea. Acest lucru este în primul rând nesigur. Și încărcătură suplimentară la router, o scădere a vitezei de conectare și tot felul de probleme cu conectarea diferitelor dispozitive.

Protecția rețelei Wi-Fi: WEP, WPA, WPA2

Există trei opțiuni de protecție. Desigur, fără a lua în calcul „Open” (Fără protecție).

  • WEP(Wired Equivalent Privacy) este o metodă de autentificare învechită și nesigură. Aceasta este prima și nu foarte reușită metodă de protecție. Atacatorii pot accesa cu ușurință rețelele wireless care sunt protejate prin WEP. Nu este nevoie să setați acest mod în setările routerului dvs., deși este prezent acolo (nu întotdeauna).
  • WPA(Acces protejat Wi-Fi) – fiabil și tip modern Securitate. Compatibilitate maximă cu toate dispozitivele și sistemele de operare.
  • WPA2– o versiune nouă, îmbunătățită și mai fiabilă de WPA. Există suport pentru criptarea AES CCMP. Momentan, asta este Cel mai bun mod Protecție Wi-Fi retelelor. Acesta este ceea ce recomand să folosești.

WPA/WPA2 poate fi de două tipuri:

  • WPA/WPA2 - Personal (PSK)- Acest modul obișnuit autentificare. Când trebuie doar să setați o parolă (cheie) și apoi să o utilizați pentru a vă conecta la o rețea Wi-Fi. Aceeași parolă este utilizată pentru toate dispozitivele. Parola în sine este stocată pe dispozitive. Unde îl puteți vizualiza sau schimba dacă este necesar. Se recomandă utilizarea acestei opțiuni.
  • WPA/WPA2 - Enterprise- Mai mult metoda complexa, care este folosit în principal pentru a proteja rețelele wireless din birouri și diverse unități. Vă permite să oferiți mai mult nivel inalt protecţie. Folosit numai atunci când este instalat un server RADIUS pentru a autoriza dispozitivele (care emite parole).

Cred că ne-am dat seama de metoda de autentificare. Cel mai bun lucru de utilizat este WPA2 - Personal (PSK). Pentru o mai bună compatibilitate, astfel încât să nu existe probleme la conectarea dispozitivelor mai vechi, puteți seta modul mixt WPA/WPA2. Aceasta este setarea implicită pe multe routere. Sau marcat ca „Recomandat”.

Criptarea rețelei fără fir

Există două moduri TKIPȘi AES.

Se recomandă utilizarea AES. Dacă aveți dispozitive mai vechi în rețea care nu acceptă Criptare AES(dar numai TKIP) și vor apărea probleme cu conexiunea lor la rețeaua wireless, apoi setați-l pe „Automat”. Tip Criptare TKIP nu este acceptat în modul 802.11n.

În orice caz, dacă instalați strict WPA2 - Personal (recomandat), atunci va fi disponibilă doar criptarea AES.

Ce protecție ar trebui să instalez pe routerul meu Wi-Fi?

Utilizare WPA2 - Personal cu criptare AES. Până în prezent, acesta este cel mai bun și cel mai mult cale sigura. Iată cum arată setările de securitate a rețelei wireless: Routere ASUS:

Și așa arată aceste setări de securitate pe routerele de la TP-Link (cu firmware vechi).

Mai mult instrucțiuni detaliate pentru TP-Link puteți căuta.

Instrucțiuni pentru alte routere:

Dacă nu știți unde să găsiți toate aceste setări pe router, atunci scrieți în comentarii, voi încerca să vă spun. Doar nu uitați să specificați modelul.

De la WPA2 - Dispozitive mai vechi personale (AES) ( Adaptoare Wi-Fi, telefoane, tablete etc.) s-ar putea să nu-l accepte, apoi, în caz de probleme de conexiune, setați modul mixt (Auto).

Observ adesea că după schimbarea parolei sau a altor setări de securitate, dispozitivele nu doresc să se conecteze la rețea. Calculatoarele pot primi eroarea „Setările de rețea salvate pe acest computer nu îndeplinesc cerințele acestei rețele”. Încercați să ștergeți (uitați) rețeaua de pe dispozitiv și să vă conectați din nou. Am scris cum să fac asta pe Windows 7. Dar în Windows 10 aveți nevoie de .

Parolă (cheie) WPA PSK

Indiferent de tipul de securitate și metodă de criptare pe care o alegeți, trebuie să setați o parolă. El este la fel Cheie WPA, Parolă fără fir, Cheie de securitate pentru rețea Wi-Fi etc.

Lungimea parolei este de la 8 la 32 de caractere. Puteți folosi litere din alfabetul latin și numere. De asemenea semne speciale: - @ $ # ! etc. Fara spatii! Parola face distincție între majuscule și minuscule! Aceasta înseamnă că „z” și „Z” sunt caractere diferite.

Nu recomand să setați parole simple. Este mai bine să creezi parola puternica, pe care nimeni nu o va putea ridica, chiar dacă se străduiește din greu.

Este puțin probabil să vă puteți aminti o parolă atât de complexă. Ar fi bine să-l notezi undeva. Nu este neobișnuit ca parolele Wi-Fi să fie pur și simplu uitate. Am scris in articol ce sa fac in astfel de situatii: .

Dacă aveți nevoie de și mai multă securitate, puteți utiliza legarea adresei MAC. Adevărat, nu văd necesitatea asta. WPA2 - Personal asociat cu AES și parolă complexă- ajunge.

Cum vă protejați rețeaua Wi-Fi? Scrieți în comentarii. Ei bine, pune intrebari :)

Criptare Wi-Fi - ce protocol să alegeți?

M-am cumpărat router nouși m-am hotărât să-l instalez singur. Totul este configurat - Internetul și rețeaua wireless funcționează. A apărut o întrebare, pentru că undele radio (Wi-Fi în cazul meu) se propagă nu numai în apartamentul meu. În consecință, ele pot fi interceptate. Teoretic. Routerul are o setare de criptare a rețelei fără fir. Presupun că este tocmai pentru a exclude interceptarea și „interceptarea cu urechea”. Întrebarea este, care dintre protocoalele de criptare disponibile în routerul meu ar trebui să aleg? Disponibil: WPE, WPA-Personal, WPA-Enterprise, WPA2-Personal, WPA2-Enterprise, WPS. Ce criptare Wi-Fi ar trebui să folosesc în cazul meu?


norik | 16 februarie 2015, ora 10:14
Voi omite descrierile oricăror protocoale învechite Criptare Wi-Fi. Prin urmare, le voi descrie numai pe cele care au sens să le folosești. Dacă protocolul nu este descris aici, atunci fie este exotic, fie nu aveți nevoie de el.

WPA și WPA2 (Wi-Fi Protected Access) - disponibile pe toate routerele. Cel mai popular și răspândit protocol. Este, de asemenea, una dintre cele mai moderne. DIN PUNCTUL MEU DE VEDERE - cea mai buna alegere pentru casă și birou mic. Cu toate acestea, este destul de potrivit și pentru birourile mari, cu excepția faptului că are sens să complicem autorizarea. Lungimea parolei sale este de până la 63 de octeți, așa că dacă o spargeți ghicind, puteți deveni gri mai devreme. Desigur, trebuie să alegeți WPA2 dacă este acceptat de toate dispozitivele din rețea (numai gadgeturile foarte vechi nu îl înțeleg).

Ceea ce este cu adevărat valoros este ceea ce este înăuntru a acestui serviciu Pot fi utilizați mai mulți algoritmi de criptare. Printre acestea: 1. TKIP - nu-l recomand, deoarece este foarte posibil să găsești o gaură.
2. CCMP - mult mai bine.
3. AES - Cel mai mult îmi place, dar nu este suportat de toate dispozitivele, deși este inclus în specificația WPA2.

WPA2 oferă, de asemenea, două moduri autentificarea initiala. Aceste moduri sunt PSK și Enterprise. WPA Personal, cunoscut și ca WPA PSK, înseamnă că toți utilizatorii se vor conecta la rețeaua wireless cu o singură parolă introdusă pe partea clientului în momentul conectării la rețea. Excelent pentru acasă, dar problematic pentru un birou mare. Va fi dificil să schimbi parola pentru toată lumea de fiecare dată când un alt angajat care o cunoaște renunță.

WPA Enterprise necesită un server separat cu un set de chei. Pentru o casă sau un birou cu 6 mașini, acest lucru este greoi, dar dacă sunt 3 duzini în birou dispozitive fără fir, atunci poți avea grijă.

De fapt, acest lucru epuizează alegerea criptării Wi-Fi în acest moment. Protocoalele rămase fie nu au deloc criptare sau parolă, fie au găuri în algoritmi în care doar cei foarte lenesi nu ar intra. Recomand combinația WPA2 Personal AES pentru uz casnic. Pentru birouri mari - WPA2 Enterprise AES. Dacă nu există AES, atunci te poți descurca cu TKIP, dar probabilitatea ca pachetele să fie citite rămâne de un străin. Există o părere că WPA2 TKIP nu a fost niciodată piratat, spre deosebire de WPA TKIP, dar a fost protejat...

Astăzi vom aprofunda puțin în subiectul protecției. conexiune fără fir. Să ne dăm seama ce este - se mai numește și „autentificare” - și care este mai bine să o alegem. Probabil ați întâlnit abrevieri precum WEP, WPA, WPA2, WPA2/PSK. Și, de asemenea, unele dintre soiurile lor - Personal sau Enterprice și TKIP sau AES. Ei bine, să aruncăm o privire mai atentă la toate și să ne dăm seama ce tip de criptare să alegem pentru a asigura viteza maximă fără a sacrifica viteza.

Observ că pentru a vă proteja Parola WiFi necesar, indiferent de tipul de criptare pe care îl alegeți. Chiar și cele mai multe autentificare simplă Acest lucru va ajuta la evitarea unor probleme grave în viitor.

De ce spun asta? Nici măcar nu este vorba despre faptul că conectarea multor clienți greșiți vă va încetini rețeaua - acesta este doar începutul. Motivul principal Ideea este că, dacă rețeaua dvs. nu este protejată prin parolă, atunci un atacator se poate atașa de ea, care va efectua acțiuni ilegale de sub routerul dvs. și atunci va trebui să răspundeți pentru acțiunile sale, așa că luați în serios protecția wifi.

Tipuri de criptare și autentificare a datelor WiFi

Deci, suntem convinși de necesitatea criptării rețelei wifi, acum să vedem ce tipuri există:

Ce este protecția wifi WEP?

WEP(Wired Equivalent Privacy) este primul standard care a apărut, care nu mai îndeplinește cerințele moderne în ceea ce privește fiabilitatea. Toate programele configurate pentru a pirata rețeaua metoda wifi enumerarea caracterelor vizează în mare măsură selectarea unei chei de criptare WEP.

Ce este o cheie sau o parolă WPA?

WPA(Wi-Fi Protected Access) este un standard de autentificare mai modern care vă permite să protejați în mod fiabil retea localași Internetul de la pătrunderea ilegală.

Ce este WPA2-PSK - Personal sau Enterprise?

WPA2- versiune îmbunătățită tipul anterior. Cracarea WPA2 este aproape imposibilă, oferă gradul maxim securitate, așa că în articolele mele spun mereu fără explicații că trebuie să-l instalezi - acum știi de ce.

Standarde Protecție WiFi WPA2 și WPA au încă două variante:

  • Personal, notat ca WPA/PSK sau WPA2/PSK. Acest tip este cel mai utilizat și optim pentru utilizare în majoritatea cazurilor - atât acasă, cât și la birou. În WPA2/PSK setăm o parolă de minim 8 caractere, care este stocată în memoria dispozitivului pe care îl conectăm la router.
  • Afacere- o configurație mai complexă care necesită ca funcția RADIUS să fie activată pe router. Funcționează conform principiului, adică este atribuită o parolă separată pentru fiecare gadget individual conectat.

Tipuri de criptare WPA - TKIP sau AES?

Deci, am decis că WPA2/PSK (Personal) este cea mai bună alegere pentru securitatea rețelei, dar are încă două tipuri de criptare a datelor pentru autentificare.

  • TKIP- astăzi acesta este un tip învechit, dar este încă utilizat pe scară largă, deoarece multe dispozitive pentru un anumit număr de ani îl acceptă doar pe acesta. Nu funcționează cu tehnologia WPA2/PSK și nu acceptă WiFi 802.11n.
  • AES- ultimul momentan și cel mai mult tip de încredere Criptare WiFi.

Ce tip de criptare ar trebui să aleg și să instalez cheia WPA pe routerul meu WiFi?

Am rezolvat teoria - să trecem la practică. De la standardele WiFi 802.11 „B” și „G”, care viteza maxima până la 54 Mbit/s, nimeni nu l-a folosit de mult timp - astăzi norma este 802.11 „N” sau „AC”, care acceptă viteze de până la 300 Mbit/s și mai mari, atunci nu are rost să luați în considerare opțiunea de utilizare a protecției WPA/PSK cu tipul de criptare TKIP. Prin urmare, atunci când configurați o rețea fără fir, setați-o la implicit

WPA2/PSK - AES

Sau, ca ultimă soluție, specificați „Automat” ca tip de criptare pentru a vă asigura că încă conectați dispozitive cu dispozitive învechite. Modul WiFi.

În acest caz, cheia WPA, sau pur și simplu, parola pentru conectarea la rețea, trebuie să aibă între 8 și 32 de caractere, inclusiv litere mici și engleze. litere mari, precum și diverse personaje speciale.

Securitate wireless pe routerul dvs. TP-Link

Capturile de ecran de mai sus arată panoul de control al unui modern Router TP-Link V versiune noua firmware. Configurarea criptării rețelei aici este în „ Setari aditionaleModul wireless».

În vechea versiune „verde”, configurațiile rețelei WiFi care ne interesează sunt situate în „ Modul wireless - Securitate". Dacă faci totul ca în imagine, va fi grozav!

Dacă ați observat, există și un astfel de articol precum „Perioada de actualizare a cheii de grup WPA”. Faptul este că pentru a oferi o mai mare protecție, real cheie digitală WPA pentru criptarea conexiunii se modifică dinamic. Aici setați valoarea în secunde după care are loc modificarea. Recomand să nu-l atingeți și să-l lăsați implicit - în diferite modele Intervalul de actualizare este diferit.

Metoda de autentificare pe routerul ASUS

Pe routerele ASUS totul Setări WiFi situat pe o pagină „Rețea fără fir”.

Protecția rețelei prin router Zyxel Keenetic

La fel pt Zyxel Keenetic- capitolul " Rețea WiFi- Punct de acces"

În routerele Keenetic fără prefixul „Zyxel”, tipul de criptare poate fi modificat în „ rețeaua de acasă».

Configurarea securității routerului D-Link

Pe D-Link căutăm secțiunea „ Wi-Fi - Securitate»

Ei bine, astăzi am înțeles tipurile de criptare WiFi și termeni precum WEP, WPA, WPA2-PSK, TKIP și AES și am învățat care este mai bine să alegem. Citiți și despre alte opțiuni de securitate a rețelei într-unul din articolele mele anterioare, în care vorbesc despre adrese MAC și IP și alte metode de securitate.

Video despre setarea tipului de criptare pe router

Fără îndoială, mulți utilizatori de computere care lucrează cu Internetul (și nu numai) au auzit de termenul AES. Ce fel de sistem este acesta, ce algoritmi folosește și pentru ce este folosit, un cerc destul de limitat de oameni au idee. Pentru un utilizator obișnuit, aceasta este în general nu trebuie sa stii. Cu toate acestea, să luăm în considerare acest lucru sistem criptografic, fără a pătrunde în mod deosebit în complex calcule matematiceși formule pentru ca oricine să o poată înțelege.

Ce este criptarea AES?

Să începem cu faptul că sistemul în sine este un set de algoritmi care fac posibilă ascunderea aspectului inițial al unor date transmise, primite de utilizator sau stocate pe un computer. Cel mai adesea este utilizat în tehnologiile de internet, atunci când este necesar să se asigure confidențialitatea completă a informațiilor și se referă la așa-numiții algoritmi criptare simetrică.

Tipul de criptare AES presupune utilizarea aceleiași chei, care este cunoscută atât de partea expeditoare, cât și de cea care primește, pentru a converti informațiile într-o formă sigură și decodarea inversă, spre deosebire de criptarea simetrică, care implică utilizarea a două chei - private și public. Astfel, este ușor de concluzionat că, dacă ambele părți cunosc cheia corectă, procesul de criptare și decriptare este destul de simplu.

Puțină istorie

Criptarea AES a fost menționată pentru prima dată în 2000, când algoritmul Rijndael a câștigat competiția pentru a selecta un succesor al sistemului DES, care este un standard în Statele Unite din 1977.

În 2001, sistemul AES a fost adoptat oficial ca noul standard federal de criptare a datelor și de atunci a fost folosit peste tot.

Tipuri de criptare AES

A inclus mai multe etape intermediare, care au fost asociate în principal cu creșterea lungimii cheii. Astăzi există trei tipuri principale: criptare AES-128, AES-192 și AES-256.

Numele vorbește de la sine. Denumirea digitală corespunde lungimii cheii utilizate, exprimată în biți. În plus, criptarea AES este un tip de bloc care funcționează direct cu blocuri de informații de o lungime fixă, criptând fiecare dintre ele, spre deosebire de algoritmii de flux care operează pe caractere individuale. mesaj deschis, transformându-le în formă criptată. În AES, lungimea blocului este de 128 de biți.

În termeni științifici, aceiași algoritmi pe care îi folosește criptarea AES-256 implică operații bazate pe o reprezentare polinomială a operațiunilor și codurilor în timpul procesării tablouri bidimensionale(matrici).

Cum functioneaza?

Algoritmul de operare este destul de complex, dar include utilizarea mai multor elemente de baza. Inițial, sunt utilizate o matrice bidimensională, cicluri de transformare (ronde), o cheie rotundă și tabele de substituție inițială și inversă.

Procesul de criptare a datelor constă în mai multe etape:

  • calculul tuturor cheilor rotunde;
  • înlocuirea octeților folosind tabelul principal S-Box;
  • schimbarea formei folosind cantități diferite (vezi figura de mai sus);
  • amestecarea datelor în cadrul fiecărei coloane a matricei (formular);
  • adăugarea formei și a cheii rotunde.

Decriptarea se realizează în ordine inversă, dar în locul tabelului S-Box se folosește tabelul de setare inversă, care a fost menționat mai sus.

Pentru a da un exemplu, dacă aveți o cheie pe 4 biți, căutarea va necesita doar 16 etape (runde), adică trebuie să verificați toate combinațiile posibile, începând cu 0000 și terminând cu 1111. Desigur, o astfel de protecție poate fi crăpat destul de repede. Dar dacă luăm chei mai mari, 16 biți vor necesita 65.536 de etape, iar 256 de biți vor necesita 1,1 x 10 77. Și așa cum au afirmat experții americani, va dura aproximativ 149 de trilioane de ani pentru a selecta combinația corectă (cheia).

Ce să utilizați în practică atunci când configurați o rețea: criptare AES sau TKIP?

Acum să trecem la utilizarea AES-256 atunci când criptăm datele transmise și primite în rețelele fără fir.

De regulă, în oricare există mai mulți parametri din care puteți alege: numai AES, numai TKIP și AES+TKIP. Se aplică în funcție de protocol (WEP sau WEP2). Dar! TKIP este un sistem vechi, deoarece este mai puțin sigur și nu acceptă conexiuni 802.11n cu rate de date mai mari de 54 Mbps. Astfel, concluzia despre utilizarea prioritară a AES împreună cu modul de securitate WPA2-PSK sugerează de la sine, deși ambii algoritmi pot fi utilizați în perechi.

Probleme de fiabilitate și securitate a algoritmilor AES

În ciuda declarații zgomotoase specialisti, algoritmi AES teoretic încă vulnerabil, deoarece însăși natura criptării are o descriere simplă algebrică. Acest lucru a fost remarcat de Nils Fergusson. Și în 2002, Josef Pieprzyk și Nicolas Courtois au publicat o lucrare care susține un potențial atac XSL. Adevărat, a provocat multe controverse în lumea științifică, iar unii au considerat calculele lor ca fiind eronate.

În 2005, s-a sugerat că atacul ar putea folosi canale terțe, nu doar calcule matematice. Mai mult, unul dintre atacuri a calculat cheia după 800 de operații, iar celălalt a obținut-o după 2 32 de operații (în runda a opta).

Fără îndoială, astăzi acest sistem ar putea fi considerat unul dintre cele mai avansate, dacă nu de unul singur. În urmă cu câțiva ani, un val a cuprins internetul atacuri de virus, în care un virus de criptare (și, de asemenea, un ransomware), care pătrunde în computere, criptează complet datele, solicitând o sumă ordonată de bani pentru decriptare. În același timp, mesajul a menționat că criptarea a fost efectuată folosind algoritmul AES1024, despre care, până de curând, se credea că nu există în natură.

Indiferent dacă acest lucru este adevărat sau nu, chiar și cei mai renumiți dezvoltatori de software antivirus, inclusiv Kaspersky Lab, au fost neputincioși când au încercat să decripteze datele. Mulți experți au recunoscut că cel faimos, care la un moment dat a lovit milioane de computere din întreaga lume și le-a distrus Informații importante, în comparație cu această amenințare s-a dovedit a fi vorba de bebeluși. În plus, I Love You a fost destinat mai mult fișierelor multimedia și virus nou avea acces exclusiv la informații confidențiale marile corporații. Cu toate acestea, nimeni nu poate spune cu toată certitudinea că aici a fost folosită criptarea AES-1024.

Concluzie

Pentru a rezuma, în orice caz, putem spune că criptarea AES este de departe cea mai avansată și mai sigură, indiferent de lungimea cheii folosită. Nu este surprinzător faptul că acest standard special este utilizat în majoritatea criptosistemelor și are perspective destul de largi de dezvoltare și îmbunătățire în viitorul apropiat, mai ales că este foarte probabil să combine mai multe tipuri de criptare într-un singur întreg (de exemplu, utilizare paralelă simetrică și asimetrică sau criptare bloc și flux).