Серьезной проблемой для всех беспроводных локальных сетей (и, если уж на то пошло, то и всех проводных локальных сетей) является безопасность. Безопасность здесь так же важна, как и для любого пользователя сети Интернет. Безопасность является сложным вопросом и требует постоянного внимания. Огромный вред может быть нанесен пользователю из-за того, что он использует случайные хот-споты (hot-spot) или открытые точки доступа WI-FI дома или в офисе и не использует шифрование или VPN (Virtual Private Network - виртуальная частная сеть). Опасно это тем, что пользователь вводит свои личные или профессиональные данные, а сеть при этом не защищена от постороннего вторжения.

WEP

Изначально было сложно обеспечить надлежащую безопасность для беспроводных локальных сетей.

Хакеры легко осуществляли подключение практически к любой WiFi сети взламывая такие первоначальные версии систем безопасности, как Wired Equivalent Privacy (WEP). Эти события оставили свой след, и долгое время некоторые компании неохотно внедряли или вовсе не внедряли у себя беспроводные сети, опасаясь, что данные, передаваемые между беспроводными WiFi устройствами и Wi-Fi точками доступа могут быть перехвачены и расшифрованы. Таким образом, эта модель безопасности замедляла процесс интеграции беспроводных сетей в бизнес и заставляла нервничать пользователей, использующих WiFi сети дома. Тогда институт IEEE, создал рабочую группу 802.11i , которая работала над созданием всеобъемлющей модели безопасности для обеспечения 128-битного AES шифрования и аутентификации для защиты данных. Wi-Fi Альянс представил свой собственный промежуточный вариант этого спецификации безопасности 802.11i: Wi-Fi защищенный доступ (WPA – Wi-Fi Protected Access). Модуль WPA сочетает несколько технологий для решения проблем уязвимости 802.11 WEP системы. Таким образом, WPA обеспечивает надежную аутентификацию пользователей с использованием стандарта 802.1x (взаимная аутентификация и инкапсуляция данных передаваемых между беспроводными клиентскими устройствами, точками доступа и сервером) и расширяемый протокол аутентификации (EAP).

Принцип работы систем безопасности схематично представлен на рис.1

Также, WPA оснащен временным модулем для шифрования WEP-движка посредствам 128 – битного шифрования ключей и использует временной протокол целостности ключей (TKIP). А с помощью контрольной суммы сообщения (MIC) предотвращается изменение или форматирование пакетов данных. Такое сочетание технологий защищает конфиденциальность и целостность передачи данных и гарантирует обеспечение безопасности путем контроля доступа, так чтобы только авторизованные пользователи получили доступ к сети.

WPA

Дальнейшее повышение безопасности и контроля доступа WPA заключается в создании нового уникального мастера ключей для взаимодействия между каждым пользовательским беспроводным оборудованием и точками доступа и обеспечении сессии аутентификации. А также, в создании генератора случайных ключей и в процессе формирования ключа для каждого пакета.

В IEEE стандарт 802.11i, ратифицировали в июне 2004 года, значительно расширив многие возможности благодаря технологии WPA. Wi-Fi Альянс укрепил свой модуль безопасности в программе WPA2. Таким образом, уровень безопасности передачи данных WiFi стандарта 802.11 вышел на необходимый уровень для внедрения беспроводных решений и технологий на предприятиях. Одно из существенных изменений 802.11i (WPA2) относительно WPA это использования 128-битного расширенного стандарта шифрования (AES). WPA2 AES использует в борьбе с CBC-MAC режимом (режим работы для блока шифра, который позволяет один ключ использовать как для шифрования, так и для аутентификации) для обеспечения конфиденциальности данных, аутентификации, целостности и защиты воспроизведения. В стандарте 802.11i предлагается также кэширование ключей и предварительной аутентификации для упорядочивания пользователей по точкам доступа.

WPA2

Со стандартом 802.11i, вся цепочка модуля безопасности (вход в систему, обмен полномочиями, аутентификация и шифрование данных) становится более надежной и эффективной защитой от ненаправленных и целенаправленных атак. Система WPA2 позволяет администратору Wi-Fi сети переключиться с вопросов безопасности на управление операциями и устройствами.

Стандарт 802.11r является модификацией стандарта 802.11i. Данный стандарт был ратифицирован в июле 2008 года. Технология стандарта более быстро и надежно передает ключевые иерархии, основанные на технологии Handoff (передача управления) во время перемещения пользователя между точками доступа. Стандарт 802.11r является полностью совместимой с WiFi стандартами 802.11a/b/g/n.

Также существует стандарт 802.11w , предназначенный для усовершенствования механизма безопасности на основе стандарта 802.11i. Этот стандарт разработан для защиты управляющих пакетов.

Стандарты 802.11i и 802.11w – механизмы защиты сетей WiFi стандарта 802.11n.

Шифрование файлов и папок в Windows 7

Функция шифрования позволяет вам зашифровать файлы и папки, которые будет в последствии невозможно прочитать на другом устройстве без специального ключа. Такая возможность присутствует в таких версиях пакетаWindows 7 как Professional, Enterprise или Ultimate. Далее будут освещены способы включения шифрования файлов и папок.

Включение шифрования файлов:

Пуск -> Компьютер(выберите файл для шифрования)-> правая кнопка мыши по файлу->Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты->Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->

Включение шифрования папок:

Пуск -> Компьютер(выберите папку для шифрования)-> правая кнопка мыши по папку-> Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты-> Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->Закрыть диалог Свойства(Нажать Ok или Закрыть).

WEP-шифрование является функцией каждой системы 802.11b, поэтому важно знать принцип его работы, даже если вы решили им не пользоваться. Как следует из названия, первоначальной задачей протокола защиты, эквивалентной проводной - Wired Equivalent Privacy (WEP), было обеспечение уровня защиты беспроводных сетей, сравнимой с защитой проводной сети. Но существует весьма распространенное утверждение, что сеть, основанная на WEP-шифровании, почти так же уязвима к вторжению, как и сеть с абсолютным отсутствием защиты. Она будет защищать от случайных шпионов, но не будет особенно эффективна против упорного взломщика.

WEP выпоняет три функции: предотвращает неавторизованный доступ в сеть, выполняет проверку целостности каждого пакета и защищает данные от недоброжелателей. Для шифрования пакетов данных WEP использует секретный ключ шифрования перед тем, как сетевой клиент или точка доступа передаст их, и применяет этот же ключ для декодирования данных после их приема.

Когда клиент пытается обменяться данными с сетью, используя другой ключ, результат искажается и игнорируется. Поэтому WEP-настройки должны быть абсолютно одинаковыми на каждой точке доступа и адаптере клиента в сети. Это звучит достаточно просто, но вызывает затруднения, так как производители используют разные методы для определения размера и формата WEP-ключа. Функции неизменны от марки к марке, но одинаковые настройки не всегда имеют одинаковые обозначения.

Сколько битов в вашем WEP-ключе?

Во-первых, WEP-ключ может состоять либо из 64, либо из 128 битов. 128-битные ключи взломать труднее, но они также увеличивают количество времени, необходимое для передачи каждого пакета.

Путаница в реализациях разных производителей возникает оттого, что 40-битный WEP представляет собой то же, что и 64-ключ WEP, а 104-битный ключ - то же, что и 128-битный ключ. Стандартный 64-битный WEP-ключ является строкой, содержащей внутренне сгенерированный 24-битный вектор инициализации и 40-битный секретный ключ, присвоенный сетевым администратором. Спецификации некоторых производителей и конфигурационные программы называют это «64-битным шифрованием», а другие - «40-битным шифрованием». В любом случае схема шифрования остается той же самой, поэтому адаптер, использующий 40-битное шифрование, полностью совместим с точкой доступа или адаптером, использующим 64-битное шифрование.

Многие сетевые адаптеры и точки доступа также содержат функцию «сильное шифрование», использующую 128-битный ключ (который на самом деле является секретным 104-битным ключом с 24-битным вектором инициализации).

Сильное шифрование односторонне совместимо с 64-битным шифрованием, но не является автоматическим, поэтому все составляющие смешанной сети из устройств со 128-битным и 64-битным ключом будут работать с 64-битным шифрованием. Если точка доступа и все адаптеры допускают 128-битное шифрование, используйте 128-битный ключ. Но если вы хотите, чтобы ваша сеть была совместима с адаптерами и точками доступа, которые распознают только 64-битное шифрование, настройте всю сеть на использование 64-битных ключей.

ASCII или шестнадцатеричный ключ?

Но только длина ключа сбивает с толку при настройке WEP-шифрования. Некоторые программы требуют ключа в виде строки из текстовых символов, а другие - в виде шестнадцатеричных чисел. Остальные могут генерировать ключ из опциональной идентификационной фразы.

Каждый ASCII-символ состоит из 8 битов, поэтому 40-битный (или 64-битный) WEP-ключ содержит 5 символов, а 104-битный (или 128-битный) ключ состоит из 13 символов. В шестнадцатеричной системе каждое число состоит из 4 битов, поэтому 40-битный ключ содержит 10 шестнадцатеричных символов, а 128-битный имеет 26 символов.

На рис. 14.2, где показано окно Wireless Setting (Настройка беспроводной сети) для точки доступа D-Link, поле 40-bit Shared Key Security (Защита с 40-битным ключом доступа) использует шестнадцатеричные символы и имеет пространство для десяти символов. Программа D-Link содержит все десять символов в одной строке, но некоторые другие разделяют их на пять групп по два числа или на две группы из пяти чисел.

Рис. 14.2

Для компьютера ключ выглядит одинаково в любом случае, но проще копировать строку, когда она разделена на части.

Многие утилиты клиентов, такие как диалоговое окно Wireless Network Properties (Свойства беспроводной сети) в Windows ХР (изображенное на рис. 14.3), предлагают на выбор либо шестнадцатеричный код, либо текст, поэтому вы можете использовать формат, соответствующий определенному, для точки доступа.

Идентификационная фраза представляет собой текстовую строку, которую адаптеры и точки доступа автоматически преобразуют в строку из шестнадцатеричных символов. Так как люди обычно легче запоминают осмысленные слова или фразы, чем абракадабру из шестнадцатеричных символов, идентификационную фразу легче передавать, чем шестнадцатеричную строку. Тем не менее идентификационная фраза полезна только тогда, когда все адаптеры и точки доступа в сети сделаны одним производителем.

Рис. 14.3

Какие функции присутствуют

Аналогично практически всем настройкам в конфигурационной утилите 802.11Ь-названия WEP-функций не являются постоянными от одной программы к другой.

Некоторые используют открытый набор таких функций, как «включить WEP-шифрование», а другие используют техническую терминологию, взятую из официальной спецификации 802.11. Открытая системная аутентификация - это второй вариант названия «WEP-шифрование отключено».

Некоторые точки доступа также предоставляют опциональную функцию аутентификации с открытым ключом, использующей WEP-шифрование, когда сетевой клиент имеет ключ, но нешифрованные данные принимаются с других сетевых узлов.

Комбинирование шестнадцатеричных и текстовых ключей

Настройка смешанной сети усложняется, когда некоторые сетевые узлы используют только шестнадцатеричные ключи, а другие требуют текстовых. Если такая ситуация возникла в вашей сети, нужно следовать нижеперечисленным правилам для их настройки WEP:

Преобразуйте все текстовые ключи в шестнадцатеричные. Если конфигурационная программа требует текстового ключа, введите символы Ох (ноль с последующей строчной буквой х) перед шестнадцатеричной строкой. Если вы используете программное обеспечение AirPort от Apple, вместо Ох в начале шсстнадцатеричного ключа необходимо ввести символ доллара ($ );

Удостоверьтесь, что все ваши ключи шифрования имеют правильное количество символов;

Если все по-прежнему не работает, прочтите разделы, посвященные защите, в руководствах для ваших сетевых адаптеров и точек доступа. Возможно, что одно или более из этих устройств в сети имеет некую скрытую индивидуальную особенность, о которой вы не знаете.

Смена WEP-ключей

Многие точки доступа и адаптеры сетевых клиентов могут поддерживать до четырех разных 64-битных WEP-ключей, но только один является активным в отдельный момент времени, как показано на рис. 14.4. Другие ключи являются запасными, что может позволить сетевому администратору корректировать защиту сети с помощью короткого уведомления. Адаптеры и точки доступа, поддерживающие 128-битное шифрование, используют только один 128-битный WEP-ключ в отдельный момент времени.

Рис. 14.4

В сети, где WEP-шифрование организовано серьезно. WEP-ключи должны меняться регулярно, по расписанию. Срок в месяц достаточен для сети, по которой не передаются важные данные, но для более серьезной сети новый ключ необходимо устанавливать раз или два в неделю. Не забывайте записывать свои текущие WEP-ключи в безопасном месте.

Существует множество опасных рисков, связанных с беспроводными протоколами и методами шифрования. Таким образом, для их минимизации используется надежная структура различных протоколов беспроводной безопасности. Эти протоколы беспроводной безопасности обеспечивают предотвращение несанкционированного доступа к компьютерам путем шифрования передаваемых данных в беспроводной сети.

Разница между WPA2, WPA, WEP протоколами Wi-Fi

Большинство точек беспроводного доступа имеют возможность включить один из трех стандартов беспроводного шифрования:

1. WEP (Wired Equivalent Privacy)
2. WPA2

WEP или Wired Equivalent Privacy

Первой беспроводной сетью безопасности был WEP или Wired Equivalent Privacy протокол. Он начался с 64-битного шифрования (слабый) и в итоге прошел весь путь до 256-битного шифрования (сильный). Наиболее популярной реализацией в маршрутизаторах по-прежнему является 128-битное шифрование (промежуточное). Это было рассмотрено как возможное решение, пока исследователи безопасности не обнаружили несколько уязвимостей в нем, что позволило хакерам взломать ключ WEP в течение нескольких минут. Он использовал CRC или Cyclic Redundancy Check .

WPA или защищенный доступ Wi-Fi

Чтобы устранить недостатки WEP, WPA был разработан как новый стандарт безопасности для беспроводных протоколов. Для обеспечения целостности сообщений он использовал протокол целостности TKIP или Temporal Key Integrity . Это было отличным от WEP в некотором смысле, который использовал CRC или Cyclic Redundancy Check. Считалось, что TKIP намного сильнее, чем CRC. Его использование обеспечивало передачу каждого пакета данных с помощью уникального ключа шифрования. Комбинация клавиш увеличила сложность декодирования ключей и тем самым уменьшила количество вторжений из вне. Однако, как и WEP, WPA тоже имел недостаток. Таким образом, WPA был расширен в WPA 2.

WPA2

WPA 2 в настоящее время признан самым безопасным протоколом. Одним из наиболее важных изменений, видимых между WPA и WPA2, является обязательное использование алгоритмов AES (Advanced Encryption Standard ) и введение CCMP (режим Counter Cipher Mode с протоколом кода проверки подлинности с цепочкой блоков) в качестве замены TKIP. Режим CCM сочетает в себе режим конфиденциальности (CTR) и аутентификацию кода цепочки (CBC-MAC) для проверки подлинности. Эти режимы широко изучены и, как оказалось, имеют хорошо понятные криптографические свойства, которые обеспечивают хорошую безопасность и производительность в программном или аппаратном обеспечении на сегодняшний день.

Беспроводная сеть Wi-Fi – это не только удобное подключение устройства к сети Интернет, но и опасность. Часто злоумышленники используют Wi-Fi для заражения компьютера вирусом. Поэтому для минимизации рисков инфицирования ПК используется надежная структура различных протоколов беспроводной безопасности. Именно они предотвращают несанкционированный доступ к компьютерам путем шифрования передаваемых данных. О таких протоколах сегодня и пойдет речь.

Что такое WEP или Wired Equivalent Privacy?

Большинство точек беспроводного доступа имеют возможность включить один из трех стандартов беспроводного шифрования. Это:

• WEP или Wired Equivalent Privacy;
• WPA2.

Первый протокол WEP или Wired Equivalent Privacy берет свои истоки с 64-битного шифрования (слабый) и в итоге прошел весь путь до 256-битного шифрования (сильный).

Сегодня наиболее популярной реализацией данного протокола в маршрутизаторах является 128-битное шифрование или более известное, как промежуточное.

Существует две разновидности WEP:

• WEP-40;
• WEP-104.

Их отличия заключаются только в длине ключа.

Принцип работы такого протокола наглядно показан на картинке.

В настоящее время данная технология является устаревшей. Такой протокол безопасности мошенники могут взломать за несколько минут.

Что собой представляет протокол WPA или защищенный доступ Wi-Fi?

Для того, чтобы избавиться от недостатков WEP, был разработан новый стандарт безопасности WPA. Он использовал протокол целостности TKIP (Temporal Key Integrity), чем отличался от WEP, который использовал CRC или Cyclic Redundancy Check.

Считалось, что TKIP намного сильнее, чем CRC, так как его применение гарантировало передачу каждого пакета данных с помощью уникального ключа шифрования. Комбинация клавиш увеличила сложность декодирования ключей и тем самым уменьшила количество вторжений из вне.

Однако, как и WEP, протокол WPA также имел недостатки и вскоре был усовершенствован, получил название WPA 2.

Отличия протокола WPA2

Протокол WPA 2 считается самым безопасным протоколом. Разница между WPA и WPA2 заключается в обязательном использовании алгоритмов AES (Advanced Encryption Standard) и введение режима CCMP (Counter Cipher Mode) с протоколом кода проверки подлинности с цепочкой блоков в качестве замены TKIP. Режим CCM сочетает в себе режим конфиденциальности (CTR) и аутентификацию кода цепочки (CBC-MAC) для проверки подлинности. Применение данных режимов обеспечивают хорошую безопасность и производительность в программном или аппаратном обеспечении.

Сегодня мы чуть глубже копнем тему защиты беспроводного соединения. Разберемся, что такое — его еще называют «аутентификацией» — и какой лучше выбрать. Наверняка при вам попадались на глаза такие аббревиатуры, как WEP, WPA, WPA2, WPA2/PSK. А также их некоторые разновидности — Personal или Enterprice и TKIP или AES. Что ж, давайте более подробно изучим их все и разберемся, какой тип шифрования выбрать для обеспечения максимальной без потери скорости.

Отмечу, что защищать свой WiFi паролем нужно обязательно, не важно, какой тип шифрования вы при этом выберете. Даже самая простая аутентификация позволит избежать в будущем довольно серьезных проблем.

Почему я так говорю? Тут даже дело не в том, что подключение множества левых клиентов будет тормозить вашу сеть — это только цветочки. Главная причина в том, что если ваша сеть незапаролена, то к ней может присосаться злоумышленник, который из-под вашего роутера будет производить противоправные действия, а потом за его действия придется отвечать вам, так что отнеситесь к защите wifi со всей серьезностью.

Шифрование WiFi данных и типы аутентификации

Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:

Что такое WEP защита wifi?

WEP (Wired Equivalent Privacy) — это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.

Что такое ключ WPA или пароль?

WPA (Wi-Fi Protected Access) — более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.

Что такое WPA2-PSK — Personal или Enterprise?

WPA2 — усовершенствованный вариант предыдущего типа. Взлом WPA2 практически невозможен, он обеспечивает максимальную степень безопасности, поэтому в своих статьях я всегда без объяснений говорю о том, что нужно устанавливать именно его — теперь вы знаете, почему.

У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:

• Personal , обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев — и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
• Enterprise — более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу , то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.

Типы шифрования WPA — TKIP или AES?

Итак, мы определились, что оптимальным выбором для обеспечения безопасности сети будет WPA2/PSK (Personal), однако у него есть еще два типа шифрования данных для аутентификации.

• TKIP — сегодня это уже устаревший тип, однако он все еще широко употребляется, поскольку многие девайсы энное количество лет выпуска поддерживают только его. Не работает с технологией WPA2/PSK и не поддерживает WiFi стандарта 802.11n.
• AES — последний на данный момент и самый надежный тип шифрования WiFi.

Какой выбрать тип шифрования и поставить ключ WPA на WiFi роутере?

С теорией разобрались — переходим к практике. Поскольку стандартами WiFi 802.11 «B» и «G», у которых максимальная скорость до 54 мбит/с, уже давно никто не пользуется — сегодня нормой является 802.11 «N» или «AC», которые поддерживают скорость до 300 мбит/с и выше, то рассматривать вариант использования защиты WPA/PSK с типом шифрования TKIP нет смысла. Поэтому когда вы настраиваете беспроводную сеть, то выставляйте по умолчанию

WPA2/PSK — AES

Либо, на крайний случай, в качестве типа шифрования указывайте «Авто», чтобы предусмотреть все-таки подключение устройств с устаревшим WiFi модулем.

При этом ключ WPA, или попросту говоря, пароль для подключения к сети, должен иметь от 8 до 32 символов, включая английские строчные и заглавные буквы, а также различные спецсимволы.

Защита беспроводного режима на маршрутизаторе TP-Link

На приведенных выше скринах показана панель управления современным роутером TP-Link в новой версии прошивки. Настройка шифрования сети здесь находится в разделе «Дополнительные настройки — Беспроводной режим».

В старой «зеленой» версии интересующие нас конфигурации WiFi сети расположены в меню «Беспроводной режим — Защита «. Сделаете все, как на изображении — будет супер!

Если заметили, здесь еще есть такой пункт, как «Период обновления группового ключа WPA». Дело в том, что для обеспечения большей защиты реальный цифровой ключ WPA для шифрования подключения динамически меняется. Здесь задается значение в секундах, после которого происходит смена. Я рекомендую не трогать его и оставлять по умолчанию — в разных моделях интервал обновления отличается.

Метод проверки подлинности на роутере ASUS

На маршрутизаторах ASUS все параметры WiFi расположены на одной странице «Беспроводная сеть»

Защита сети через руотер Zyxel Keenetic

Аналогично и у Zyxel Keenetic — раздел «Сеть WiFi — Точка доступа»

В роутерах Keenetic без приставки «Zyxel» смена типа шифрования производится в разделе «Домашняя сеть».

Настройка безопасности роутера D-Link

На D-Link ищем раздел «Wi-Fi — Безопасность »

Что ж, сегодня мы разобрались типами шифрования WiFi и с такими терминами, как WEP, WPA, WPA2-PSK, TKIP и AES и узнали, какой из них лучше выбрать. О других возможностях обеспечения безопасности сети читайте также в одной из прошлых статей, в которых я рассказываю о по MAC и IP адресам и других способах защиты.

Видео по настройке типа шифрования на маршрутизаторе