Mã hóa Wifi - nó là gì và cách chọn. Điện thoại (máy tính bảng) không kết nối được Wi-Fi, nó báo “Đã lưu, được bảo vệ bởi WPA\WPA2

Chúc một ngày tốt lành, những người bạn thân yêu, những người quen biết và những tính cách khác. Hôm nay chúng ta sẽ nói về Mã hóa Wi-Fi , điều này hợp lý ngay từ tiêu đề.

Tôi nghĩ rằng nhiều bạn sử dụng một thứ như vậy, có nghĩa là, rất có thể, cũng Wifi trên chúng cho máy tính xách tay, máy tính bảng và các thiết bị di động khác của bạn.

Không cần phải nói rằng chính Wi-Fi này phải được khóa bằng mật khẩu, nếu không những người hàng xóm có hại sẽ sử dụng Internet của bạn miễn phí hoặc thậm chí tệ hơn là máy tính của bạn :)

Không cần phải nói rằng ngoài mật khẩu, còn có tất cả các loại mã hóa khác nhau của chính mật khẩu này, hay chính xác hơn là mật khẩu của bạn. Wifi giao thức để nó không những không được sử dụng mà còn không thể bị hack.

Nói chung, hôm nay tôi muốn nói chuyện với bạn một chút về một điều như Wifi mã hóa, hay đúng hơn là những thứ này WPE, WPA, WPA2, WPS và những người khác thích họ.

Sẵn sàng? Bắt đầu nào.

Mã hóa WiFi - thông tin chung

Để bắt đầu, chúng ta hãy nói một cách rất đơn giản về việc xác thực với bộ định tuyến (máy chủ) trông như thế nào, tức là quá trình mã hóa và trao đổi dữ liệu trông như thế nào. Đây là hình ảnh chúng tôi nhận được:

Nghĩa là, trước tiên, với tư cách là khách hàng, chúng tôi nói rằng chúng tôi là chúng tôi, tức là chúng tôi biết mật khẩu (mũi tên màu xanh lá cây ở trên cùng). Máy chủ, giả sử là một bộ định tuyến, vui mừng và cung cấp cho chúng tôi một chuỗi ngẫu nhiên (đó cũng là khóa mà chúng tôi mã hóa dữ liệu), sau đó dữ liệu được mã hóa bằng chính khóa này sẽ được trao đổi.

Bây giờ hãy nói về các loại mã hóa, lỗ hổng của chúng, v.v. Hãy bắt đầu theo thứ tự, cụ thể là với MỞ, nghĩa là, từ việc không có bất kỳ mật mã nào, và sau đó chúng ta chuyển sang mọi thứ khác.

Loại 1 - MỞ

Như bạn đã hiểu (và tôi vừa nói), trên thực tế, MỞ- đây là sự vắng mặt của bất kỳ sự bảo vệ nào, tức là. wifi Không có mã hóa như một lớp và bạn và bộ định tuyến của bạn hoàn toàn không liên quan đến việc bảo vệ kênh và dữ liệu được truyền.

Đây chính xác là nguyên tắc mà mạng có dây hoạt động - chúng không có cơ chế bảo vệ tích hợp và bằng cách “đâm” vào mạng hoặc chỉ đơn giản là kết nối với hub/switch/router, bộ điều hợp mạng sẽ nhận các gói từ tất cả các thiết bị trong mạng này phân đoạn trong văn bản rõ ràng.

Tuy nhiên, với mạng không dây, bạn có thể gặp sự cố từ bất cứ đâu - 10-20-50 mét trở lên và khoảng cách không chỉ phụ thuộc vào công suất máy phát của bạn mà còn phụ thuộc vào độ dài ăng-ten của hacker. Do đó, việc truyền dữ liệu mở qua mạng không dây nguy hiểm hơn nhiều, vì trên thực tế, kênh của bạn có sẵn cho tất cả mọi người.

Loại 2 - WEP (Quyền riêng tư tương đương có dây)

Một trong những loại đầu tiên wifi mã hóa là WEP. Đã xuất hiện vào cuối 90 -x và hiện là một trong những loại mã hóa yếu nhất.

Bạn có muốn biết và có thể tự mình làm được nhiều hơn không?

Chúng tôi cung cấp cho bạn đào tạo về các lĩnh vực sau: máy tính, chương trình, quản trị, máy chủ, mạng, xây dựng trang web, SEO và hơn thế nữa. Tìm hiểu chi tiết ngay bây giờ!

Trong nhiều bộ định tuyến hiện đại, loại mã hóa này hoàn toàn bị loại khỏi danh sách các tùy chọn để bạn lựa chọn:

Nên tránh điều này theo cách tương tự như các mạng mở - nó chỉ cung cấp bảo mật trong một thời gian ngắn, sau đó mọi đường truyền có thể bị lộ hoàn toàn, bất kể độ phức tạp của mật khẩu.

Tình hình trở nên trầm trọng hơn bởi thực tế là mật khẩu trong WEP- nó cũng vậy 40 , hoặc 104 bit rằng có một sự kết hợp cực kỳ ngắn và nó có thể được chọn trong vài giây (điều này không tính đến các lỗi trong quá trình mã hóa).

Vấn đề chính WEP- một lỗi thiết kế cơ bản. WEP thực sự truyền một số byte có cùng khóa này cùng với mỗi gói dữ liệu.

Do đó, bất kể độ phức tạp của khóa, bất kỳ đường truyền nào cũng có thể bị phát hiện chỉ bằng cách có đủ số lượng gói bị chặn (vài chục nghìn, khá nhỏ đối với một mạng được sử dụng tích cực).

Loại 3 - WPA và WPA2 (Truy cập được bảo vệ Wi-Fi)

Đây là một số loại hiện đại nhất của những thứ như Mã hóa Wi-Fi và trên thực tế cho đến nay hầu như chưa có cái mới nào được phát minh.

Trên thực tế, việc tạo ra các loại mã hóa này đã thay thế các phương pháp mã hóa lâu dài WEP. Độ dài mật khẩu là tùy ý, từ 8 trước 63 byte, khiến cho việc lựa chọn rất khó khăn (so sánh với 3, 6 Và 15 byte trong WEP).

Tiêu chuẩn này hỗ trợ các thuật toán mã hóa khác nhau cho dữ liệu được truyền sau khi bắt tay: TKIP Và CCMP.

Đầu tiên là một cái gì đó giống như một cây cầu giữa WEP Và WPA, được phát minh vào thời điểm đó IEEEđang bận tạo ra một thuật toán hoàn chỉnh CCMP. TKIP cũng như WEP, gặp phải một số kiểu tấn công và nhìn chung không an toàn lắm.

Ngày nay nó hiếm khi được sử dụng (mặc dù tôi không rõ tại sao nó vẫn được sử dụng) và nói chung việc sử dụng WPA Với TKIP gần giống như sử dụng đơn giản WEP.

Ngoài các thuật toán mã hóa khác nhau, WPA(2) hỗ trợ hai chế độ xác thực ban đầu khác nhau (xác minh mật khẩu để khách hàng truy cập vào mạng) - PSK Và Doanh nghiệp. PSK(đôi khi được gọi là WPA cá nhân) - đăng nhập bằng một mật khẩu duy nhất mà khách hàng nhập khi kết nối.

Điều này đơn giản và thuận tiện, nhưng trong trường hợp các công ty lớn, nó có thể là một vấn đề - giả sử nhân viên của bạn đã rời đi và anh ta không thể truy cập mạng được nữa, bạn phải thay đổi mật khẩu cho toàn bộ mạng và thông báo cho các nhân viên khác về Nó. Doanh nghiệp loại bỏ vấn đề này do có nhiều khóa được lưu trữ trên một máy chủ riêng biệt - BÁNH GIÁ.

Bên cạnh đó, Doanh nghiệp chuẩn hóa chính quá trình xác thực trong giao thức EAP (E có thể mở rộng MỘT xác thực P rotocol), cho phép bạn viết thuật toán của riêng mình.

Loại 4 - WPS/QSS

wifi mã hóa WPS, hay còn gọi là QSS- một công nghệ thú vị cho phép chúng ta không cần nghĩ đến mật khẩu mà chỉ cần nhấn nút và kết nối mạng ngay lập tức. Về bản chất, đây là một phương pháp “hợp pháp” để vượt qua bảo vệ mật khẩu nói chung, nhưng điều đáng ngạc nhiên là nó đã trở nên phổ biến do một tính toán sai lầm rất nghiêm trọng trong chính hệ thống truy cập - đây là nhiều năm sau trải nghiệm đáng buồn với WEP.

WPS cho phép khách hàng kết nối với điểm truy cập bằng mã 8 ký tự bao gồm các số ( GHIM). Tuy nhiên do sai tiêu chuẩn nên bạn chỉ cần đoán thôi 4 của họ. Như vậy, chỉ cần thế là đủ 10000 cố gắng đoán và, bất kể mật khẩu truy cập mạng không dây có phức tạp như thế nào, bạn sẽ tự động có được quyền truy cập này và cùng với đó là mật khẩu giống như hiện tại.

Cho rằng sự tương tác này xảy ra trước bất kỳ kiểm tra bảo mật nào, mỗi giây có thể được gửi bởi 10-50 yêu cầu đăng nhập qua WPS, và thông qua 3-15 giờ (có khi nhiều hơn, có khi ít hơn) bạn sẽ nhận được chìa khóa thiên đàng.

Khi lỗ hổng này được phát hiện, các nhà sản xuất bắt đầu thực hiện giới hạn số lần đăng nhập ( giới hạn tỷ lệ), sau khi vượt quá giới hạn đó, điểm truy cập sẽ tự động tắt trong một thời gian WPS- tuy nhiên, cho đến nay không có quá một nửa số thiết bị như vậy trong số những thiết bị đã được phát hành mà không có sự bảo vệ này.

Thậm chí nhiều hơn - việc vô hiệu hóa tạm thời không thay đổi bất cứ điều gì về cơ bản, vì với một lần đăng nhập mỗi phút, chúng tôi sẽ chỉ cần 10000/60/24 = 6,94 ngày. MỘT GHIM thường được tìm thấy trước khi toàn bộ chu trình được hoàn thành.

Tôi muốn một lần nữa thu hút sự chú ý của bạn đến thực tế là khi WPS mật khẩu của bạn chắc chắn sẽ bị lộ, bất kể độ phức tạp của nó. Vì vậy nếu bạn cần nó chút nào WPS- chỉ bật nó khi kết nối với mạng và tắt nó trong thời gian còn lại.

Lời bạt

Trên thực tế, bạn có thể tự rút ra kết luận, nhưng nói chung, hiển nhiên là bạn nên sử dụng ít nhất WPA, và tốt hơn WPA2.

Trong bài viết tiếp theo về Wifi chúng ta sẽ nói về các loại mã hóa khác nhau ảnh hưởng như thế nào đến hiệu suất của kênh và bộ định tuyến, đồng thời xem xét một số sắc thái khác.

Như mọi khi, nếu bạn có bất kỳ câu hỏi, bổ sung nào, v.v., vui lòng nhận xét về chủ đề về Mã hóa Wi-Fi.

Tái bút: Về sự tồn tại của tài liệu này, xin cảm ơn tác giả Habr dưới biệt danh ProgerXP. Trên thực tế, tất cả văn bản đều được lấy từ tài liệu của anh ấy, để không phát minh lại bánh xe bằng lời nói của chính bạn.

Hôm nay chúng ta sẽ tìm hiểu sâu hơn một chút về chủ đề bảo mật kết nối không dây. Chúng ta hãy tìm hiểu xem nó là gì - nó còn được gọi là "xác thực" - và nên chọn cái nào tốt hơn. Chắc hẳn bạn đã từng gặp những từ viết tắt như WEP, WPA, WPA2, WPA2/PSK. Và cũng có một số loại của họ - Cá nhân hoặc Doanh nghiệp và TKIP hoặc AES. Chà, chúng ta hãy xem xét kỹ hơn tất cả chúng và tìm ra loại mã hóa nào nên chọn để đảm bảo tốc độ tối đa mà không làm giảm tốc độ.

Tôi lưu ý rằng bắt buộc phải bảo vệ WiFi của bạn bằng mật khẩu, bất kể bạn chọn loại mã hóa nào. Ngay cả việc xác thực đơn giản nhất cũng sẽ tránh được những vấn đề khá nghiêm trọng trong tương lai.

Tại sao tôi nói điều này? Thực tế không phải là việc kết nối nhiều máy khách sai sẽ làm chậm mạng của bạn—đó mới chỉ là bước khởi đầu. Lý do chính là nếu mạng của bạn không được bảo vệ bằng mật khẩu thì kẻ tấn công có thể tự gắn vào mạng, kẻ này sẽ thực hiện các hành động bất hợp pháp từ bên dưới bộ định tuyến của bạn và khi đó bạn sẽ phải trả lời cho hành động của hắn, vì vậy hãy hết sức coi trọng việc bảo vệ wifi .

Các loại xác thực và mã hóa dữ liệu WiFi

Vì vậy, chúng tôi tin chắc về sự cần thiết phải mã hóa mạng wifi, bây giờ hãy xem có những loại nào:

Bảo vệ wifi WEP là gì?

WEP(Quyền riêng tư tương đương có dây) là tiêu chuẩn đầu tiên xuất hiện, nhưng độ tin cậy của nó không còn đáp ứng được các yêu cầu hiện đại. Tất cả các chương trình được định cấu hình để hack mạng wifi bằng phương pháp vũ phu đều nhằm mục đích chủ yếu là chọn khóa mã hóa WEP.

Khóa hoặc mật khẩu WPA là gì?

WPA(Truy cập được bảo vệ Wi-Fi) là một tiêu chuẩn xác thực hiện đại hơn cho phép bạn bảo vệ mạng cục bộ và Internet của mình một cách đáng tin cậy khỏi sự xâm nhập bất hợp pháp.

WPA2-PSK - Cá nhân hay Doanh nghiệp là gì?

WPA2- một phiên bản cải tiến của loại trước đó. Việc hack WPA2 gần như là không thể, nó cung cấp mức độ bảo mật tối đa, vì vậy trong các bài viết của mình, tôi luôn nói mà không cần giải thích rằng bạn cần phải cài đặt nó - bây giờ bạn đã biết tại sao.

Các tiêu chuẩn bảo mật WiFi WPA2 và WPA có thêm hai loại:

• Riêng tư, được ký hiệu là WPA/PSK hoặc WPA2/PSK. Loại này được sử dụng rộng rãi và tối ưu nhất trong hầu hết các trường hợp - cả ở nhà và văn phòng. Trong WPA2/PSK, chúng tôi đặt mật khẩu gồm ít nhất 8 ký tự, mật khẩu này được lưu trong bộ nhớ của thiết bị mà chúng tôi kết nối với bộ định tuyến.
• Doanh nghiệp- một cấu hình phức tạp hơn yêu cầu bật chức năng RADIUS trên bộ định tuyến. Nó hoạt động theo nguyên tắc, tức là một mật khẩu riêng được gán cho từng tiện ích được kết nối riêng lẻ.

Các loại mã hóa WPA - TKIP hoặc AES?

Vì vậy, chúng tôi đã quyết định rằng WPA2/PSK (Cá nhân) là lựa chọn tốt nhất để bảo mật mạng nhưng nó có thêm hai loại mã hóa dữ liệu để xác thực.

• TKIP- ngày nay đây là loại đã lỗi thời, nhưng nó vẫn được sử dụng rộng rãi, vì nhiều thiết bị trong một số năm nhất định chỉ hỗ trợ nó. Không hoạt động với công nghệ WPA2/PSK và không hỗ trợ WiFi 802.11n.
• AES- loại mã hóa WiFi mới nhất và đáng tin cậy nhất hiện nay.

Tôi nên chọn loại mã hóa nào và đặt khóa WPA trên bộ định tuyến WiFi của mình?

Chúng tôi đã sắp xếp lý thuyết - hãy chuyển sang thực hành. Vì chưa có ai sử dụng chuẩn WiFi 802.11 “B” và “G”, có tốc độ tối đa lên tới 54 Mbit/s, nên ngày nay chuẩn này là 802.11 “N” hoặc “AC”, hỗ trợ tốc độ lên tới 300 Mbit /s trở lên thì chẳng ích gì khi xem xét tùy chọn sử dụng bảo vệ WPA/PSK với loại mã hóa TKIP. Vì vậy, khi thiết lập mạng không dây, hãy đặt nó ở chế độ mặc định

WPA2/PSK - AES

Hoặc, phương án cuối cùng, chỉ định “Tự động” làm loại mã hóa để vẫn cho phép kết nối các thiết bị có mô-đun WiFi lỗi thời.

Trong trường hợp này, khóa WPA, hay nói một cách đơn giản hơn, mật khẩu để kết nối mạng phải có từ 8 đến 32 ký tự, bao gồm chữ cái viết thường và in hoa tiếng Anh, cũng như các ký tự đặc biệt khác nhau.

Bảo mật không dây trên bộ định tuyến TP-Link của bạn

Ảnh chụp màn hình ở trên hiển thị bảng điều khiển của bộ định tuyến TP-Link hiện đại trong phiên bản chương trình cơ sở mới. Thiết lập mã hóa mạng ở đây nằm trong phần “Cài đặt nâng cao - Chế độ không dây”.

Ở phiên bản “xanh” cũ, các cấu hình mạng WiFi mà chúng ta quan tâm nằm ở phần “ Chế độ không dây - Bảo mật". Nếu bạn làm mọi thứ như trong hình thì sẽ rất tuyệt!

Nếu bạn để ý, cũng có một mục như “Thời gian cập nhật khóa nhóm WPA”. Thực tế là để mang lại mức độ bảo mật cao hơn, khóa kỹ thuật số WPA thực tế để mã hóa kết nối sẽ thay đổi linh hoạt. Ở đây bạn đặt giá trị tính bằng giây sau đó thay đổi xảy ra. Tôi khuyên bạn nên để nguyên và để mặc định - khoảng thời gian cập nhật thay đổi tùy theo kiểu máy.

Phương thức xác thực trên bộ định tuyến ASUS

Trên bộ định tuyến ASUS, tất cả cài đặt WiFi đều nằm trên một trang “Mạng không dây”

Bảo vệ mạng thông qua bộ định tuyến Zyxel Keenetic

Tương tự với Zyxel Keenetic - phần “Mạng WiFi - Access Point”

Trong các bộ định tuyến Keenetic không có tiền tố “Zyxel”, loại mã hóa có thể được thay đổi trong phần “Mạng gia đình”.

Thiết lập bảo mật bộ định tuyến D-Link

Trên D-Link chúng ta tìm phần “ Wi-Fi - Bảo mật»

Chà, hôm nay chúng ta đã hiểu các loại mã hóa WiFi và các thuật ngữ như WEP, WPA, WPA2-PSK, TKIP và AES và biết nên chọn loại nào tốt hơn. Đọc thêm về các tùy chọn bảo mật mạng khác trong một trong những bài viết trước của tôi, trong đó tôi nói về địa chỉ MAC và IP cũng như các phương pháp bảo mật khác.

Video hướng dẫn cài đặt loại mã hóa trên bộ định tuyến

Bài viết này dành cho vấn đề bảo mật khi sử dụng mạng WiFi không dây.

Giới thiệu - Lỗ hổng WiFi

Nguyên nhân chính khiến dữ liệu người dùng dễ bị tổn thương khi dữ liệu này được truyền qua mạng WiFi là việc trao đổi diễn ra qua sóng vô tuyến. Và điều này giúp có thể chặn tin nhắn tại bất kỳ điểm nào có tín hiệu WiFi. Nói một cách đơn giản, nếu tín hiệu của một điểm truy cập có thể được phát hiện ở khoảng cách 50 mét thì có thể chặn tất cả lưu lượng mạng của mạng WiFi này trong bán kính 50 mét tính từ điểm truy cập. Ở phòng bên cạnh, trên một tầng khác của tòa nhà, trên đường phố.

Hãy tưởng tượng hình ảnh này. Trong văn phòng, mạng cục bộ được xây dựng thông qua WiFi. Tín hiệu từ điểm truy cập của văn phòng này được thu bên ngoài tòa nhà, chẳng hạn như ở bãi đậu xe. Kẻ tấn công bên ngoài tòa nhà có thể truy cập vào mạng văn phòng, nghĩa là chủ sở hữu của mạng này không chú ý. Mạng WiFi có thể được truy cập dễ dàng và kín đáo. Về mặt kỹ thuật dễ dàng hơn nhiều so với mạng có dây.

Đúng. Đến nay, các phương tiện bảo vệ mạng WiFi đã được phát triển và triển khai. Sự bảo vệ này dựa trên việc mã hóa tất cả lưu lượng truy cập giữa điểm truy cập và thiết bị cuối được kết nối với nó. Nghĩa là, kẻ tấn công có thể chặn tín hiệu vô tuyến, nhưng đối với hắn, đó sẽ chỉ là “rác rưởi” kỹ thuật số.

Bảo vệ WiFi hoạt động như thế nào?

Điểm truy cập chỉ bao gồm trong mạng WiFi của nó thiết bị gửi mật khẩu chính xác (được chỉ định trong cài đặt điểm truy cập). Trong trường hợp này, mật khẩu cũng được gửi mã hóa dưới dạng hàm băm. Hàm băm là kết quả của quá trình mã hóa không thể đảo ngược. Tức là dữ liệu đã được băm không thể giải mã được. Nếu kẻ tấn công chặn mật khẩu băm, anh ta sẽ không thể lấy được mật khẩu.

Nhưng làm sao điểm truy cập biết được mật khẩu có đúng hay không? Điều gì sẽ xảy ra nếu cô ấy cũng nhận được một hàm băm nhưng không thể giải mã được nó? Thật đơn giản - trong cài đặt điểm truy cập, mật khẩu được chỉ định ở dạng thuần túy. Chương trình ủy quyền lấy một mật khẩu trống, tạo một hàm băm từ mật khẩu đó và sau đó so sánh hàm băm này với mật khẩu nhận được từ máy khách. Nếu các giá trị băm khớp nhau thì mật khẩu của khách hàng là chính xác. Tính năng thứ hai của hàm băm được sử dụng ở đây - chúng là duy nhất. Không thể lấy cùng một hàm băm từ hai bộ dữ liệu (mật khẩu) khác nhau. Nếu hai giá trị băm khớp nhau thì cả hai đều được tạo từ cùng một bộ dữ liệu.

Nhân tiện. Nhờ tính năng này, hàm băm được sử dụng để kiểm soát tính toàn vẹn của dữ liệu. Nếu hai giá trị băm (được tạo trong một khoảng thời gian) khớp nhau thì dữ liệu gốc (trong khoảng thời gian đó) không bị thay đổi.

Tuy nhiên, mặc dù thực tế là phương pháp bảo mật mạng WiFi (WPA2) hiện đại nhất là đáng tin cậy nhưng mạng này vẫn có thể bị hack. Làm sao?

Có hai phương pháp để truy cập mạng được bảo vệ bởi WPA2:

1. Chọn mật khẩu bằng cơ sở dữ liệu mật khẩu (còn gọi là tìm kiếm từ điển).
2. Khai thác lỗ hổng trong chức năng WPS.

Trong trường hợp đầu tiên, kẻ tấn công chặn hàm băm mật khẩu của điểm truy cập. Sau đó, các giá trị băm được so sánh với cơ sở dữ liệu hàng nghìn hoặc hàng triệu từ. Một từ được lấy từ từ điển, một hàm băm được tạo cho từ này và sau đó hàm băm này được so sánh với hàm băm bị chặn. Nếu một mật khẩu cơ bản được sử dụng trên một điểm truy cập thì việc bẻ khóa mật khẩu của điểm truy cập này chỉ là vấn đề thời gian. Ví dụ: mật khẩu 8 chữ số (dài 8 ký tự là độ dài mật khẩu tối thiểu cho WPA2) là một triệu kết hợp. Trên máy tính hiện đại, bạn có thể sắp xếp một triệu giá trị trong vài ngày hoặc thậm chí vài giờ.

Trong trường hợp thứ hai, lỗ hổng trong phiên bản đầu tiên của chức năng WPS bị khai thác. Tính năng này cho phép bạn kết nối thiết bị không có mật khẩu, chẳng hạn như máy in, với điểm truy cập. Khi sử dụng tính năng này, thiết bị và điểm truy cập sẽ trao đổi mã kỹ thuật số và nếu thiết bị gửi mã chính xác, điểm truy cập sẽ ủy quyền cho máy khách. Có một lỗ hổng trong chức năng này - mã có 8 chữ số, nhưng chỉ có 4 chữ số trong số đó được kiểm tra tính duy nhất! Nghĩa là, để hack WPS, bạn cần tìm kiếm tất cả các giá trị có 4 chữ số. Do đó, việc hack một điểm truy cập qua WPS có thể được thực hiện chỉ trong vài giờ, trên bất kỳ thiết bị yếu nhất nào.

Thiết lập bảo mật mạng WiFi

Tính bảo mật của mạng WiFi được xác định bởi cài đặt của điểm truy cập. Một số cài đặt này ảnh hưởng trực tiếp đến an ninh mạng.

Chế độ truy cập mạng WiFi

Điểm truy cập có thể hoạt động ở một trong hai chế độ - mở hoặc được bảo vệ. Trong trường hợp truy cập mở, mọi thiết bị đều có thể kết nối với điểm truy cập. Trong trường hợp truy cập được bảo vệ, chỉ thiết bị truyền mật khẩu truy cập chính xác mới được kết nối.

Có ba loại (tiêu chuẩn) bảo vệ mạng WiFi:

• WEP (Quyền riêng tư tương đương có dây). Tiêu chuẩn bảo vệ đầu tiên. Ngày nay, nó thực sự không cung cấp khả năng bảo vệ vì nó có thể bị hack rất dễ dàng do cơ chế bảo vệ yếu kém.
• WPA (Truy cập được bảo vệ Wi-Fi). Theo trình tự thời gian, tiêu chuẩn bảo vệ thứ hai. Tại thời điểm tạo và vận hành, nó cung cấp khả năng bảo vệ hiệu quả cho mạng WiFi. Nhưng vào cuối những năm 2000, cơ hội hack bảo vệ WPA đã được tìm thấy thông qua các lỗ hổng trong cơ chế bảo mật.
• WPA2 (Truy cập được bảo vệ Wi-Fi). Tiêu chuẩn bảo vệ mới nhất. Cung cấp sự bảo vệ đáng tin cậy khi tuân theo các quy tắc nhất định. Cho đến nay, chỉ có hai cách được biết để phá vỡ bảo mật WPA2. Lực lượng mạnh mẽ của mật khẩu từ điển và cách giải quyết bằng cách sử dụng dịch vụ WPS.

Vì vậy, để đảm bảo tính bảo mật cho mạng WiFi của mình, bạn phải chọn loại bảo mật WPA2. Tuy nhiên, không phải tất cả các thiết bị khách đều có thể hỗ trợ nó. Ví dụ: Windows XP SP2 chỉ hỗ trợ WPA.

Ngoài việc chọn chuẩn WPA2 còn cần thêm điều kiện:

Sử dụng phương pháp mã hóa AES.

Mật khẩu truy cập mạng WiFi phải được soạn như sau:

1. Sử dụng các chữ cái và số trong mật khẩu. Một tập hợp ngẫu nhiên các chữ cái và số. Hoặc một từ hoặc cụm từ rất hiếm chỉ có ý nghĩa với bạn.
2. Không sử dụng mật khẩu đơn giản như tên + ngày sinh hoặc một số từ + một vài con số chẳng hạn lena1991 hoặc dom12345.
3. Nếu bạn chỉ cần sử dụng mật khẩu kỹ thuật số thì độ dài của nó phải có ít nhất 10 ký tự. Bởi vì mật khẩu kỹ thuật số gồm tám ký tự được chọn bằng phương pháp bạo lực trong thời gian thực (từ vài giờ đến vài ngày, tùy thuộc vào sức mạnh của máy tính).

Nếu bạn sử dụng mật khẩu phức tạp theo các quy tắc này thì mạng WiFi của bạn không thể bị hack bằng cách đoán mật khẩu bằng từ điển. Ví dụ: đối với mật khẩu như 5Fb9pE2a(chữ và số ngẫu nhiên), tối đa có thể 218340105584896 sự kết hợp. Ngày nay gần như không thể lựa chọn. Ngay cả khi một máy tính so sánh 1.000.000 (triệu) từ mỗi giây, nó sẽ mất gần 7 năm để lặp lại tất cả các giá trị.

WPS (Thiết lập bảo vệ Wi-Fi)

Nếu điểm truy cập có chức năng WPS (Wi-Fi Protected Setup), bạn cần tắt chức năng này. Nếu tính năng này là bắt buộc, bạn phải đảm bảo rằng phiên bản của nó được cập nhật các khả năng sau:

1. Sử dụng tất cả 8 ký tự mã PIN thay vì 4 ký tự như trường hợp ban đầu.
2. Cho phép trì hoãn sau nhiều lần gửi mã PIN không chính xác từ máy khách.

Một tùy chọn bổ sung để cải thiện bảo mật WPS là sử dụng mã PIN chữ và số.

Bảo mật WiFi công cộng

Ngày nay việc sử dụng Internet qua mạng WiFi ở những nơi công cộng - trong quán cà phê, nhà hàng, trung tâm mua sắm, v.v. là mốt. Điều quan trọng là phải hiểu rằng việc sử dụng các mạng như vậy có thể dẫn đến việc đánh cắp dữ liệu cá nhân của bạn. Nếu bạn truy cập Internet thông qua mạng như vậy và sau đó đăng nhập vào một trang web, dữ liệu của bạn (tên người dùng và mật khẩu) có thể bị chặn bởi một người khác được kết nối với cùng một mạng WiFi. Rốt cuộc, trên bất kỳ thiết bị nào đã vượt qua ủy quyền và được kết nối với điểm truy cập, bạn có thể chặn lưu lượng truy cập mạng từ tất cả các thiết bị khác trên mạng này. Và điểm đặc biệt của mạng WiFi công cộng là bất kỳ ai cũng có thể kết nối với nó, kể cả kẻ tấn công, không chỉ với mạng mở mà còn với mạng được bảo vệ.

Bạn có thể làm gì để bảo vệ dữ liệu của mình khi kết nối Internet qua mạng WiFi công cộng? Chỉ có một lựa chọn - sử dụng giao thức HTTPS. Giao thức này thiết lập kết nối được mã hóa giữa máy khách (trình duyệt) và trang web. Nhưng không phải tất cả các trang web đều hỗ trợ giao thức HTTPS. Địa chỉ trên trang web hỗ trợ giao thức HTTPS bắt đầu bằng tiền tố https://. Nếu địa chỉ trên một trang web có tiền tố http://, điều này có nghĩa là trang web đó không hỗ trợ HTTPS hoặc không sử dụng nó.

Một số trang web không sử dụng HTTPS theo mặc định nhưng có giao thức này và có thể được sử dụng nếu bạn chỉ định rõ ràng (thủ công) tiền tố https://.

Đối với các trường hợp sử dụng Internet - trò chuyện, Skype, v.v., bạn có thể sử dụng máy chủ VPN miễn phí hoặc trả phí để bảo vệ dữ liệu này. Nghĩa là, trước tiên hãy kết nối với máy chủ VPN và chỉ sau đó mới sử dụng trò chuyện hoặc mở trang web.

Bảo vệ mật khẩu WiFi

Trong phần thứ hai và thứ ba của bài viết này, tôi đã viết rằng khi sử dụng chuẩn bảo mật WPA2, một trong những cách hack mạng WiFi là đoán mật khẩu bằng từ điển. Nhưng có một cơ hội khác để kẻ tấn công lấy được mật khẩu mạng WiFi của bạn. Nếu bạn lưu mật khẩu của mình trên một tờ giấy dán dán vào màn hình, điều này sẽ khiến người lạ có thể nhìn thấy mật khẩu này. Và mật khẩu của bạn có thể bị đánh cắp từ máy tính được kết nối với mạng WiFi của bạn. Điều này có thể được thực hiện bởi người ngoài nếu máy tính của bạn không được bảo vệ khỏi sự truy cập của người ngoài. Điều này có thể được thực hiện bằng cách sử dụng phần mềm độc hại. Ngoài ra, mật khẩu có thể bị đánh cắp từ một thiết bị được mang ra ngoài văn phòng (nhà, căn hộ) - từ điện thoại thông minh, máy tính bảng.

Vì vậy, nếu bạn cần sự bảo vệ đáng tin cậy cho mạng WiFi của mình, bạn cần thực hiện các bước để lưu trữ mật khẩu của mình một cách an toàn. Bảo vệ nó khỏi sự truy cập của những người không được phép.

Nếu bạn thấy bài viết này hữu ích hoặc đơn giản là thích nó thì đừng ngần ngại hỗ trợ tài chính cho tác giả. Điều này có thể dễ dàng thực hiện bằng cách ném tiền vào Ví Yandex số 410011416229354. Hoặc trên điện thoại +7 918-16-26-331 .

Ngay cả một lượng nhỏ cũng có thể giúp viết bài mới :)

TKIP và AES là hai loại mã hóa thay thế được sử dụng trong chế độ bảo mật WPA và WPA2. Trong cài đặt bảo mật mạng không dây của bộ định tuyến và điểm truy cập, bạn có thể chọn một trong ba tùy chọn mã hóa:

• TKIP;
• TKIP+AES.

Nếu bạn chọn tùy chọn thứ hai (kết hợp), máy khách sẽ có thể kết nối với điểm truy cập bằng một trong hai thuật toán.

TKIP hay AES? Cái gì tốt hơn?

Trả lời: đối với các thiết bị hiện đại thì thuật toán AES chắc chắn phù hợp hơn.

Chỉ sử dụng TKIP nếu bạn gặp vấn đề khi chọn cái đầu tiên (đôi khi xảy ra trường hợp khi sử dụng mã hóa AES, kết nối với điểm truy cập bị gián đoạn hoặc hoàn toàn không được thiết lập. Điều này thường được gọi là không tương thích thiết bị).

Sự khác biệt là gì

AES là một thuật toán hiện đại và an toàn hơn. Nó tương thích với chuẩn 802.11n và cung cấp tốc độ truyền dữ liệu cao.

TKIP không còn được dùng nữa. Nó có mức độ bảo mật thấp hơn và hỗ trợ tốc độ truyền dữ liệu lên tới 54 Mbit/s.

Cách chuyển từ TKIP sang AES

Trường hợp 1. Điểm truy cập hoạt động ở chế độ TKIP+AES

Trong trường hợp này, bạn chỉ cần thay đổi kiểu mã hóa trên thiết bị khách. Cách dễ nhất để thực hiện việc này là xóa cấu hình mạng và kết nối lại.

Trường hợp 2: Access point chỉ sử dụng TKIP

Trong trường hợp này:

1. Đầu tiên, hãy chuyển đến giao diện web của điểm truy cập (hoặc bộ định tuyến tương ứng). Thay đổi mã hóa thành AES và lưu cài đặt (đọc thêm bên dưới).

2. Thay đổi mã hóa trên thiết bị khách (chi tiết hơn trong đoạn tiếp theo). Và một lần nữa, việc quên mạng và kết nối lại với mạng sẽ dễ dàng hơn bằng cách nhập khóa bảo mật.

Kích hoạt mã hóa AES trên bộ định tuyến

Sử dụng D-Link làm ví dụ

Đi đến phần Cài đặt wireless.

Nhấn vào nút Thiết lập kết nối không dây thủ công.

Đặt chế độ bảo mật WPA2-PSK.

Tìm một mục loại mật mã và đặt giá trị AES.

Nhấp chuột Lưu các thiết lập.

Lấy TP-Link làm ví dụ

Phần mở Không dây.

Chọn một mục Bảo mật không dây.

Trong lĩnh vực Phiên bản lựa chọn WPA2-PSK.

Trong lĩnh vực Mã hóa lựa chọn AES.

Nhấn vào nút Cứu:

Thay đổi loại mã hóa không dây trong Windows

Windows 10 và Windows 8.1

Các phiên bản hệ điều hành này không có tệp . Do đó, có ba tùy chọn để thay đổi mã hóa.

Lựa chọn 1. Bản thân Windows sẽ phát hiện sự không khớp trong cài đặt mạng và nhắc bạn nhập lại khóa bảo mật. Trong trường hợp này, thuật toán mã hóa chính xác sẽ được cài đặt tự động.

Lựa chọn 2. Windows sẽ không thể kết nối và sẽ đề nghị quên mạng bằng cách hiển thị nút tương ứng:

Sau này, bạn sẽ có thể kết nối với mạng của mình mà không gặp vấn đề gì, bởi vì... hồ sơ của cô ấy sẽ bị xóa.

Tùy chọn 3. Bạn sẽ phải xóa cấu hình mạng theo cách thủ công thông qua dòng lệnh và chỉ sau đó kết nối lại với mạng.

Thực hiện theo các bước sau:

1 Khởi chạy dấu nhắc lệnh.

2 Nhập lệnh:

Netsh wlan hiển thị hồ sơ

để hiển thị danh sách các cấu hình mạng không dây đã lưu.

3 Bây giờ nhập lệnh:

Netsh wlan xóa hồ sơ "tên mạng của bạn"

để xóa hồ sơ đã chọn.

Nếu tên mạng có chứa khoảng trắng (ví dụ: "wifi 2"), đặt nó trong dấu ngoặc kép.

Hình ảnh hiển thị tất cả các hành động được mô tả:

4 Bây giờ hãy nhấp vào biểu tượng mạng không dây trên thanh tác vụ:

5 Chọn một mạng.

6 Nhấp chuột Kết nối:

7 Nhập khóa bảo mật của bạn.

Windows 7

Mọi thứ ở đây đơn giản và rõ ràng hơn.

1 Nhấp vào biểu tượng mạng không dây trên thanh tác vụ.

3 Nhấp vào liên kết Quản lý mạng không dây:

4 Nhấp chuột phải vào hồ sơ của mạng mong muốn.

5 Chọn Của cải:

Chú ý! Ở bước này bạn cũng có thể nhấp vào Xóa mạng và chỉ cần kết nối lại với nó! Nếu bạn quyết định làm điều này, bạn không cần phải đọc thêm nữa.

6 Đi tới tab Sự an toàn.

Internet có dây tốc độ cao ngày càng trở nên dễ tiếp cận hơn. Và cùng với sự phát triển của công nghệ di động, vấn đề sử dụng Internet gia đình trên mỗi thiết bị trở nên cấp thiết. Bộ định tuyến Wi-Fi phục vụ mục đích này; mục đích của nó là phân phối Internet giữa những người dùng khác nhau trong quá trình kết nối không dây.

Cần đặc biệt chú ý đến tính bảo mật của mạng của bạn.

Khi mua, bạn chỉ cần cấu hình nó trong lần bật đầu tiên. Một đĩa có tiện ích cấu hình được cung cấp cùng với bộ định tuyến. Nó làm cho việc thiết lập mạng gia đình của bạn dễ dàng như việc bóc vỏ quả lê. Tuy nhiên, những người dùng thiếu kinh nghiệm thường gặp vấn đề ở giai đoạn cài đặt bảo mật mạng. Hệ thống sẽ nhắc bạn chọn phương thức xác thực và có ít nhất bốn tùy chọn để bạn chọn. Mỗi người trong số họ đều có những ưu điểm và nhược điểm nhất định, và nếu muốn bảo vệ bản thân khỏi hành động của những kẻ tấn công, bạn nên chọn phương án đáng tin cậy nhất. Đây chính là nội dung bài viết của chúng tôi.

Phương thức xác thực

Hầu hết các mẫu bộ định tuyến gia đình đều hỗ trợ các phương thức xác thực mạng sau: không mã hóa, WEP, WPA/WPA2-Enterprise, WPA/WPA2-Personal (WPA/WPA2-PSK). Ba cái cuối cùng cũng có một số thuật toán mã hóa. Chúng ta hãy xem xét kỹ hơn.

Thiếu sự bảo vệ

Phương pháp này nói lên điều đó. Kết nối hoàn toàn mở, hoàn toàn ai cũng có thể kết nối được. Phương pháp này thường được sử dụng ở những nơi công cộng, nhưng tốt hơn hết là không nên sử dụng ở nhà. Điều tối thiểu mà điều này đe dọa bạn là hàng xóm sẽ chiếm kênh của bạn khi được kết nối và đơn giản là bạn sẽ không thể đạt được tốc độ tối đa theo gói cước của mình. Trong trường hợp xấu nhất, những kẻ tấn công có thể sử dụng điều này cho mục đích riêng của chúng, đánh cắp thông tin bí mật của bạn hoặc thực hiện các hành động bất hợp pháp khác. Tuy bạn không cần phải nhớ mật khẩu nhưng phải thừa nhận rằng, đây là một lợi thế khá đáng ngờ.

WEP

Khi sử dụng phương thức xác thực mạng này, thông tin được truyền đi sẽ được bảo vệ bằng khóa bí mật. Loại bảo vệ là “Hệ thống mở” và “Khóa chia sẻ”. Trong trường hợp đầu tiên, việc nhận dạng xảy ra thông qua lọc theo địa chỉ MAC mà không cần sử dụng khóa bổ sung. Trên thực tế, khả năng bảo vệ là ở mức tối thiểu nhất và do đó không an toàn. Trong bước thứ hai, bạn phải nghĩ ra một mã bí mật sẽ được sử dụng làm khóa bảo mật. Nó có thể là 64, 128 của 152 bit. Hệ thống sẽ cho bạn biết mã sẽ dài bao nhiêu, tùy thuộc vào cách mã hóa của nó - thập lục phân hoặc ASCII. Bạn có thể đặt một số mã như vậy. Độ tin cậy của việc bảo vệ là tương đối và từ lâu đã bị coi là lỗi thời.

WPA/WPA2 – Doanh nghiệp và WPA/WPA2-Cá nhân

Một phương pháp xác minh tính xác thực của mạng rất đáng tin cậy, trong trường hợp đầu tiên, nó được sử dụng trong các doanh nghiệp, trong trường hợp thứ hai - tại nhà và các văn phòng nhỏ. Sự khác biệt giữa chúng là phiên bản gia đình sử dụng khóa vĩnh viễn, được định cấu hình tại điểm truy cập. Cùng với thuật toán mã hóa và SSID kết nối, nó tạo thành một kết nối an toàn. Để có quyền truy cập vào mạng như vậy, bạn cần biết mật khẩu. Vì vậy, nếu nó đáng tin cậy và bạn không tiết lộ nó cho bất kỳ ai thì đây là một lựa chọn lý tưởng cho một căn hộ hoặc một ngôi nhà. Ngoài ra, hầu hết tất cả các nhà sản xuất đều đánh dấu nó là khuyến nghị.

Trong trường hợp thứ hai, một khóa động được sử dụng và mỗi người dùng được chỉ định một khóa riêng lẻ. Không có ích gì khi bận tâm đến vấn đề này ở nhà, vì vậy nó chỉ được sử dụng trong các doanh nghiệp lớn, nơi việc bảo mật dữ liệu của công ty là rất quan trọng.

Độ tin cậy bổ sung cũng phụ thuộc vào thuật toán mã hóa. Có hai trong số đó: AES và TKIP. Tốt hơn nên sử dụng cái đầu tiên, vì cái sau là một dẫn xuất của WEP và đã được chứng minh là thất bại.

Cách thay đổi phương thức xác thực Wi-Fi

Nếu trước đây bạn đã định cấu hình xác thực kết nối của mình nhưng không chắc chắn về phương pháp đúng, hãy nhớ kiểm tra ngay bây giờ. Đi tới cài đặt bộ định tuyến bằng cách nhập địa chỉ IP, thông tin đăng nhập và mật khẩu của nó vào trình duyệt (bạn có thể đọc thêm trong bài viết Địa chỉ IP của bộ định tuyến trên trang web của chúng tôi). Bạn cần chuyển đến tab cài đặt bảo mật mạng. Nó có thể được đặt khác nhau trong các mẫu bộ định tuyến khác nhau. Sau đó chọn phương thức xác thực mạng, tạo mật khẩu mạnh, nhấp vào “Lưu” và khởi động lại bộ định tuyến. Đừng quên kết nối lại với mạng từ tất cả các thiết bị.

Phần kết luận

Chúng tôi hy vọng bạn thấy thông tin này hữu ích. Đừng bỏ qua cài đặt bảo mật Wi-Fi. Đừng để nó mở mà hãy chọn phương thức xác thực được đề xuất và thuật toán mã hóa chính xác.

Bạn đang sử dụng phương pháp bảo mật kết nối nào? Chia sẻ với chúng tôi trong các ý kiến.