چه نوع امنیت شبکه بی سیم را انتخاب کنید. WPA2-PSK - چیست؟ نوع امنیتی WPA2-PSK

رمزگذاری وای فای- چه پروتکلی را انتخاب کنیم؟

من خودم خریدم روتر جدیدو تصمیم گرفتم خودم آن را راه اندازی کنم. همه چیز تنظیم شده است - اینترنت و شبکه بی سیم کار می کنند. این سوال مطرح شد، زیرا امواج رادیویی (در مورد من Wi-Fi) نه تنها در چارچوب آپارتمان من توزیع می شود. بر این اساس، می توان آنها را رهگیری کرد. در تئوری. روتر دارای تنظیمات رمزگذاری است شبکه بی سیم. من فرض می کنم که برای حذف شنود و "شنود" است. سوال این است که کدام یک از پروتکل های رمزگذاری موجود در روتر خود را انتخاب کنم؟ موجود: WPE، WPA-Personal، WPA-Enterprise، WPA2-Personal، WPA2-Enterprise، WPS. از چه رمزگذاری Wi-Fi باید در موردم استفاده کنم؟

نوریک | 16 فوریه 2015، 10:14 صبح
من توضیحات مربوط به پروتکل های رمزگذاری Wi-Fi قدیمی را حذف می کنم. بنابراین، من فقط مواردی را توضیح خواهم داد که استفاده از آنها منطقی است. اگر پروتکل در اینجا توضیح داده نشده است، یا عجیب و غریب است، یا شما به آن نیاز ندارید.

WPA و WPA2 (دسترسی محافظت شده از Wi-Fi) - در همه روترها موجود است. محبوب ترین و پرکاربردترین پروتکل. همچنین یکی از مدرن ترین هاست. IMHO - بهترین انتخاببرای خانه و دفتر کوچک با این حال، برای دفاتر بزرگ نیز کاملاً مناسب است، با این تفاوت که دشوارتر کردن مجوز منطقی است. طول رمز عبور تا 63 بایت است، بنابراین می توانید با انتخاب آن را شکست دهید - می توانید زودتر خاکستری شوید. البته، شما باید WPA2 را انتخاب کنید اگر توسط همه دستگاه های موجود در شبکه پشتیبانی می شود (فقط گجت های بسیار قدیمی آن را درک نمی کنند).

آنچه واقعاً با ارزش است، چیزی است که درون آن است این سرویسمی توان از چندین الگوریتم رمزگذاری استفاده کرد. از جمله: 1. TKIP - من آن را توصیه نمی کنم، زیرا پیدا کردن یک سوراخ کاملاً امکان پذیر است.
2. CCMP خیلی بهتر است.
3. AES - من آن را بیشتر دوست دارم، اما توسط همه دستگاه ها پشتیبانی نمی شود، اگرچه در مشخصات WPA2 موجود است.

WPA2 همچنین دو حالت احراز هویت اولیه را ارائه می دهد. این حالت ها PSK و Enterprise هستند. WPA Personal که با نام WPA PSK نیز شناخته می‌شود، به این معنی است که همه کاربران با یک رمز عبور وارد شده در سمت مشتری در زمان اتصال به شبکه وارد شبکه بی‌سیم می‌شوند. ایده آل برای یک خانه، اما کمی مشکل برای یک دفتر بزرگ. زمانی که کارمند دیگری که او را می شناسد، هر بار که کارش را ترک می کند، تغییر رمز عبور برای همه دشوار خواهد بود.

WPA Enterprise به یک سرور جداگانه با مجموعه ای از کلیدها نیاز دارد. برای یک خانه یا دفتر با 6 ماشین، این کار دست و پا گیر است، اما اگر 3 دوجین دستگاه بی سیم در دفتر وجود دارد، می توانید مراقبت کنید.

در واقع، این پایان انتخاب رمزگذاری Wi-Fi است این لحظه. بقیه پروتکل ها یا اصلاً رمزگذاری یا رمز عبور ندارند یا حفره هایی در الگوریتم ها دارند که فقط افراد کاملاً تنبل وارد آن نمی شوند. من ترکیبی از WPA2 Personal AES را برای خانه توصیه می کنم. برای دفاتر بزرگ - WPA2 Enterprise AES. اگر AES وجود نداشته باشد، می توان از TKIP صرف نظر کرد، اما احتمال خواندن بسته ها باقی می ماند. توسط یک خارجی. این عقیده وجود دارد که WPA2 TKIP برخلاف WPA TKIP هرگز هک نشده است، اما با دقت ...

) که به شما امکان می دهد از اتصالات غیرمجاز مانند همسایگان مضر محافظت کنید. رمز عبور یک رمز عبور است، اما می توان آن را نیز شکست، مگر اینکه، البته، در بین همسایگان شما "هکرها-کرکرها" وجود داشته باشد. بنابراین، پروتکل Wi-Fi انواع مختلفی از رمزگذاری را نیز دارد، که فقط به شما امکان می دهد از Wi-Fi در برابر هک محافظت کنید، البته نه همیشه.

در حال حاضر، انواع مختلفی از رمزگذاری وجود دارد باز کن, وب, WPA, WPA2که امروز در مورد آن صحبت خواهیم کرد.

باز کن

رمزگذاری OPEN اساساً بدون رمزگذاری است و به عبارت دیگر - هیچ حفاظتی ندارد. بنابراین، هر کسی که هات اسپات شما را پیدا کند می تواند به راحتی به آن متصل شود. بهتر است رمزگذاری WPA2 را قرار دهید و نوعی رمز عبور پیچیده ایجاد کنید.

وب

این نوعرمزگذاری در اواخر دهه 90 ظاهر شد و اولین مورد است. در حال حاضر لحظه وب (حریم خصوصی معادل سیمی) ضعیف ترین نوع رمزگذاری است. برخی از روترها و سایر دستگاه هایی که از Wi-Fi پشتیبانی می کنند، پشتیبانی WEB را حذف نمی کنند.

همانطور که گفتم، رمزگذاری WEB بسیار ناامن است و باید از آن اجتناب شود، درست مانند OPEN، زیرا محافظت برای موارد بسیار زیادی ایجاد می کند. مدت کوتاهی، پس از آن می توانید به راحتی رمز عبور هر پیچیدگی را پیدا کنید. معمولا پسوردهای وب دارای 40 یا 103 بیت هستند که به شما امکان می دهد در چند ثانیه یک ترکیب را حدس بزنید.

واقعیت این است که WEB قسمت هایی از همین رمز عبور (کلید) را به همراه بسته های داده ارسال می کند و این بسته ها به راحتی قابل رهگیری هستند. در حال حاضر، چندین برنامه وجود دارد که فقط به رهگیری همین بسته ها مشغول هستند، اما من در این مقاله در مورد این موضوع صحبت نمی کنم.

WPA/WPA2

این نوع مدرن ترین است و هنوز هیچ نوع جدیدی وجود ندارد. قابل تنظیم است طول دلخواهرمز عبور از 8 تا 64 بایت است و این امر شکستن آن را بسیار دشوار می کند.

در همین حال، استاندارد WPA از بسیاری از الگوریتم‌های رمزگذاری که پس از برقراری ارتباط منتقل می‌شوند، پشتیبانی می‌کند. TKIPبا CCMP. TKIP چیزی شبیه به پل بین این دو بود وبو WPA، و وجود داشت تا زمانی IEEE ( موسسه مهندسان برق و الکترونیک) یک الگوریتم کامل ایجاد کرد CCMP. در همین حال، TKIP نیز از انواع حملات رنج می برد، بنابراین آن را نیز چندان امن نمی دانند.

همچنین رمزگذاری WPA2 از دو حالت احراز هویت اولیه و به عبارت دیگر تأیید رمز عبور برای دسترسی کاربر (کارفرما) به شبکه استفاده می کند. نامیده می شوند PSKو شرکت، پروژه. حالت اول یعنی ورود با یک رمز عبور که در هنگام اتصال وارد می کنیم. برای شرکت های بزرگ، این کار خیلی راحت نیست، زیرا پس از خروج برخی از کارمندان، باید هر بار رمز عبور را تغییر دهید تا او به شبکه دسترسی پیدا نکند و به بقیه کارمندان متصل به این شبکه اطلاع دهید. این. بنابراین، برای راحت‌تر کردن همه چیز، یک حالت ارائه کردیم شرکت، پروژه، که به شما امکان می دهد از کلیدهای زیادی که روی سرور ذخیره شده است استفاده کنید شعاع.

WPS

فن آوری WPSیا به روشی دیگر QSSبه شما این امکان را می دهد که با فشار دادن یک دکمه به شبکه متصل شوید. در اصل، شما حتی نمی توانید در مورد رمز عبور فکر کنید. اما در اینجا نیز ایراداتی وجود دارد که در سیستم پذیرش اشتباه محاسباتی جدی دارد.

با با استفاده از WPSما می توانیم با استفاده از یک کد متشکل از 8 کاراکتر به روشی متفاوت به شبکه متصل شویم پین. ولی در این استانداردخطایی وجود دارد که به دلیل یادگیری تنها 4 رقم از این پین کد، می توانید کل کلید را پیدا کنید، برای این کار کافی است 10 هزار تلاش. بنابراین، شما می توانید یک رمز عبور، مهم نیست که چقدر پیچیده است، دریافت کنید.

شما می توانید 10-50 درخواست در ثانیه برای ورود از طریق WPS ارسال کنید و بعد از 4-16 ساعت کلید مورد انتظار را دریافت خواهید کرد.

البته، همه چیز به پایان می رسد، این آسیب پذیری کشف شد و در حال حاضر در فناوری های آینده آنها شروع به ایجاد محدودیت در تعداد تلاش برای ورود به سیستم کردند، پس از انقضای این مدت، نقطه دسترسی به طور موقت WPS را غیرفعال می کند. تا به امروز، بیش از نیمی از کاربران هنوز دستگاه هایی بدون این محافظ دارند.

اینگونه بود که با آن آشنا شدیم انواع مختلف x رمزگذاری شبکه Wi-Fi، کدام یک بهتر و کدام یک بدتر هستند. البته بهتر است از رمزگذاری با WPA شروع شود، اما WPA2 بسیار بهتر است.

برای هر گونه سوال یا چیزی برای اضافه کردن، حتما اشتراک را در نظرات لغو کنید.

در عین حال، می توانید ویدیویی در مورد آن تماشا کنید چگونه اتصال وای فای را تقویت کنیم، و مودم usb را تقویت کنید.

که در اخیراانتشارات "آشکارکننده" زیادی در مورد هک کردن برخی از پروتکل ها یا فناوری های بعدی که امنیت شبکه های بی سیم را به خطر می اندازد، منتشر شده است. آیا واقعاً چنین است، از چه چیزی باید ترسید و چگونه دسترسی به شبکه خود را تا حد امکان ایمن کنید؟ آیا کلمات WEP، WPA، 802.1x، EAP، PKI برای شما معنای کمی دارند؟ این بررسی اجمالی به گردآوری تمام فناوری‌های مورد استفاده برای رمزگذاری و مجوز دسترسی رادیویی کمک می‌کند. من سعی خواهم کرد نشان دهم که یک شبکه بی سیم به درستی پیکربندی شده یک مانع غیرقابل عبور برای مهاجم است (البته تا حد معینی).

مبانی

• احراز هویت- چگونه مشتری و نقطه دسترسی خود را به یکدیگر معرفی می کنند و تأیید می کنند که حق برقراری ارتباط با یکدیگر را دارند.
• رمزگذاری- از کدام الگوریتم درهم‌سازی داده‌های ارسالی استفاده می‌شود، کلید رمزگذاری چگونه تولید می‌شود و چه زمانی تغییر می‌کند.

پارامترهای شبکه بی‌سیم، در درجه اول نام آن (SSID)، به طور مرتب توسط نقطه دسترسی در بسته‌های بیکن پخش اعلام می‌شود. علاوه بر تنظیمات امنیتی مورد انتظار، آرزوها برای QoS، برای پارامترهای 802.11n، سرعت های پشتیبانی شده، اطلاعات مربوط به سایر همسایگان و غیره ارسال می شوند. احراز هویت تعیین می کند که مشتری چگونه در نقطه ظاهر شود. گزینه های ممکن:

• باز کن- به اصطلاح شبکه باز، که در آن همه دستگاه های متصل به یکباره مجاز هستند
• به اشتراک گذاشته شده است- اصالت دستگاه متصل باید با یک کلید / رمز عبور تأیید شود
• EAP- اصالت دستگاه متصل باید از طریق پروتکل EAP توسط یک سرور خارجی تایید شود

• هیچ یک- بدون رمزگذاری، داده ها به صورت شفاف منتقل می شوند
• WEP- رمز مبتنی بر RC4 با طول های مختلف کلید استاتیک یا پویا (64 یا 128 بیت)
• CKIP- جایگزین اختصاصی سیسکو برای WEP، نسخه اولیه TKIP
• TKIP- جایگزینی بهبود یافته برای WEP با بررسی و حفاظت اضافی
• AES/CCMP- پیشرفته ترین الگوریتم مبتنی بر AES256 با بررسی و حفاظت اضافی

ترکیبی احراز هویت را باز کنید، بدون رمزگذاریبه طور گسترده در سیستم ها استفاده می شود دسترسی مهمانمانند ارائه اینترنت در یک کافه یا هتل. برای اتصال، فقط باید نام شبکه بی سیم را بدانید. این ارتباط اغلب با بررسی اضافیبا هدایت درخواست سفارشی HTTP به پورتال Captive صفحه اضافی، که در آن می توانید درخواست تأیید (ورود - رمز عبور، توافق با قوانین و غیره) کنید.

رمزگذاری WEPبه خطر افتاده و قابل استفاده نیست (حتی در مورد کلیدهای پویا).

اصطلاحات رایج WPAو WPA2در واقع الگوریتم رمزگذاری (TKIP یا AES) را تعیین کنید. با توجه به اینکه آداپتورهای سرویس گیرنده مدت زیادی است که از WPA2 (AES) پشتیبانی می کنند، استفاده از رمزگذاری با استفاده از الگوریتم TKIP منطقی نیست.

تفاوت بین WPA2 شخصیو WPA2 Enterpriseکلیدهای رمزگذاری مورد استفاده در مکانیک الگوریتم AES از آنجا می آیند. برای برنامه های خصوصی (خانه، کوچک) از یک کلید استاتیک استفاده می شود (رمز عبور، یک کلمه رمز، PSK (Pre-Shared Key)) با حداقل طول 8 کاراکتر که در تنظیمات اکسس پوینت تنظیم شده است و برای تمامی کلاینت های این شبکه بی سیم یکسان است. به خطر انداختن چنین کلیدی (به همسایه، یک کارمند اخراج شد، یک لپ تاپ دزدیده شد) نیاز به تغییر فوری رمز عبور برای همه کاربران باقی مانده دارد، که تنها در مورد تعداد کمی از آنها واقع بینانه است. برای برنامه های شرکتی، همانطور که از نام آن پیداست، از یک کلید پویا استفاده می شود که در حال حاضر برای هر مشتری کار جداگانه است. این کلید می تواند به صورت دوره ای در حین کار بدون قطع اتصال به روز شود و وظیفه تولید آن را بر عهده دارد. جزء اضافییک سرور مجوز و تقریباً همیشه یک سرور RADIUS است.

تمام پارامترهای امنیتی ممکن در این صفحه خلاصه شده است:

اگر همه چیز با WPA2 Personal (WPA2 PSK) روشن است، راه حل شرکتینیاز به بررسی اضافی دارد.

WPA2 Enterprise

استفاده از مکانیسم مجوز EAP در شبکه شما منجر به این واقعیت می شود که پس از تأیید اعتبار مشتری موفق (تقریباً مطمئناً باز) توسط نقطه دسترسی (به همراه کنترل کننده، در صورت وجود)، دومی از مشتری می خواهد مجوز (تأیید اعتبار آن) را انجام دهد. از سرور RADIUS زیرساخت:

استفاده WPA2 Enterpriseبه یک سرور RADIUS در شبکه شما نیاز دارد. تا به امروز، کارآمدترین محصولات زیر هستند:

• سرور خط مشی شبکه مایکروسافت (NPS)، سابقاً IAS- قابل تنظیم از طریق MMC، رایگان است، اما باید ویندوز بخرید
• سرور کنترل دسترسی ایمن سیسکو (ACS) 4.2، 5.3- قابل تنظیم از طریق یک رابط وب، دارای ویژگی های غنی، به شما امکان ایجاد سیستم های توزیع شده و مقاوم به خطا، گران است
• رادیوس آزاد- رایگان، پیکربندی شده توسط تنظیمات متن، برای مدیریت و نظارت راحت نیست

در عین حال، کنترل کننده با دقت بر تبادل مداوم اطلاعات نظارت می کند و منتظر مجوز موفقیت آمیز یا رد آن است. در صورت موفقیت، سرور RADIUS می تواند نقطه دسترسی را ارسال کند گزینه های اضافی(به عنوان مثال، در کدام VLAN مشترک را قرار دهید، کدام آدرس IP را به او اختصاص دهید، نمایه QoS و غیره). در پایان تبادل، سرور RADIUS به کلاینت و نقطه دسترسی اجازه می دهد تا کلیدهای رمزگذاری (تفردی، فقط برای این جلسه معتبر) را تولید و مبادله کنند.

EAP

• EAP-FAST(احراز هویت انعطاف پذیر از طریق تونل زنی امن) - توسعه یافته توسط Cisco. اجازه می دهد تا از طریق رمز عبور ورود به سیستم که در داخل تونل TLS بین درخواست کننده و سرور RADIUS ارسال می شود، مجوز دریافت کنید.
• EAP-TLS(امنیت لایه حمل و نقل). از زیرساخت استفاده می کند کلیدهای عمومی(PKI) برای مجوز کلاینت و سرور (سرور فرعی و RADIUS) از طریق گواهی‌های صادر شده توسط یک مرجع معتبر صدور گواهینامه (CA). برای هر کدام نیاز به صدور و نصب گواهی مشتری دارد دستگاه بدون سیم، بنابراین فقط برای یک محیط سازمانی مدیریت شده مناسب است. سرور گواهی ویندوز دارای امکاناتی است که به کلاینت اجازه می دهد در صورتی که مشتری عضو یک دامنه باشد گواهینامه خود را تولید کند. مسدود کردن یک مشتری به راحتی با لغو گواهی آن (یا از طریق حساب) انجام می شود.
• EAP-TTLS(Tunneled Transport Layer Security) مشابه EAP-TLS است، اما هنگام ایجاد تونل نیازی به گواهی مشتری نیست. در چنین تونلی، مشابه اتصال SSL مرورگر، مجوز اضافی (با استفاده از رمز عبور یا چیز دیگری) انجام می شود.
• PEAP-MSCHAPv2(EAP محافظت شده) - مشابه EAP-TTLS از نظر ایجاد اولیه یک تونل TLS رمزگذاری شده بین مشتری و سرور، که نیاز به گواهی سرور دارد. پس از آن، مجوز در چنین تونلی با استفاده از پروتکل معروف MSCHAPv2 انجام می شود.
• PEAP-GTC(Generic Token Card) - شبیه به قبلی، اما به کارت های رمز عبور یک بار مصرف (و زیرساخت های مرتبط) نیاز دارد.

همه این روش ها (به جز EAP-FAST) به گواهی سرور (در سرور RADIUS) نیاز دارند که توسط یک مرجع صدور گواهی (CA) صادر شده باشد. در عین حال، خود گواهی CA باید در دستگاه مشتری در گروه مورد اعتماد موجود باشد (که به راحتی با استفاده از آن پیاده سازی می شود. خط مشی گروهدر ویندوز). علاوه بر این، EAP-TLS به گواهی مشتری فردی نیاز دارد. احراز هویت مشتری مطابق با انجام می شود امضای دیجیتالی، و (اختیاری) با مقایسه گواهی ارائه شده توسط مشتری به سرور RADIUS با آنچه سرور از زیرساخت PKI (اکتیو دایرکتوری) بازیابی کرده است.

پشتیبانی از هر یک از روش های EAP باید توسط درخواست کننده در سمت مشتری ارائه شود. استاندارد داخلی Windows XP/Vista/7، iOS، Android حداقل EAP-TLS و EAP-MSCHAPv2 را ارائه می دهد که این روش ها را محبوب می کند. آداپتورهای Intel Client برای ویندوز با ابزار ProSet ارائه می شوند که گسترش یافته است لیست موجود. Cisco AnyConnect Client هم همین کار را می کند.

چقدر قابل اعتماد است

برای احراز هویت باز، بدون رمزگذاری چیزی نیست. متصل به شبکه و همه چیز. از آنجایی که محیط رادیویی باز است، سیگنال در داخل منتشر می شود طرف های مختلفمسدود کردن آن آسان نیست. اگر آداپتورهای مشتری مناسبی دارید که به شما امکان می دهد به هوا گوش دهید، ترافیک شبکهبه همان شکلی قابل مشاهده است که اگر مهاجم به سیم، به هاب، به پورت SPAN سوئیچ متصل باشد.
رمزگذاری مبتنی بر WEP فقط به زمان IV brute-force و یکی از بسیاری از ابزارهای اسکن آزادانه در دسترس نیاز دارد.
برای رمزگذاری بر اساس TKIP یا AES، رمزگشایی مستقیم در تئوری امکان پذیر است، اما در عمل هیچ موردی از هک وجود نداشته است.

البته می‌توانید کلید PSK یا رمز عبور یکی از روش‌های EAP را حدس بزنید. حملات متداول به این روش ها مشخص نیست. می توانید روش ها را امتحان کنید مهندسی اجتماعی، یا

اخیراً، انتشارات "آشکارکننده" زیادی در مورد هک کردن برخی از پروتکل ها یا فناوری های بعدی که امنیت شبکه های بی سیم را به خطر می اندازد، منتشر شده است. آیا واقعاً چنین است، از چه چیزی باید ترسید و چگونه دسترسی به شبکه خود را تا حد امکان ایمن کنید؟ آیا کلمات WEP، WPA، 802.1x، EAP، PKI برای شما معنای کمی دارند؟ این بررسی اجمالی به گردآوری تمام فناوری‌های مورد استفاده برای رمزگذاری و مجوز دسترسی رادیویی کمک می‌کند. من سعی خواهم کرد نشان دهم که یک شبکه بی سیم به درستی پیکربندی شده یک مانع غیرقابل عبور برای مهاجم است (البته تا حد معینی).

مبانی

• احراز هویت- چگونه مشتری و نقطه دسترسی خود را به یکدیگر معرفی می کنند و تأیید می کنند که حق برقراری ارتباط با یکدیگر را دارند.
• رمزگذاری- از کدام الگوریتم درهم‌سازی داده‌های ارسالی استفاده می‌شود، کلید رمزگذاری چگونه تولید می‌شود و چه زمانی تغییر می‌کند.

پارامترهای شبکه بی‌سیم، در درجه اول نام آن (SSID)، به طور مرتب توسط نقطه دسترسی در بسته‌های بیکن پخش اعلام می‌شود. علاوه بر تنظیمات امنیتی مورد انتظار، آرزوها برای QoS، برای پارامترهای 802.11n، سرعت های پشتیبانی شده، اطلاعات مربوط به سایر همسایگان و غیره ارسال می شوند. احراز هویت تعیین می کند که مشتری چگونه در نقطه ظاهر شود. گزینه های ممکن:

• باز کن- به اصطلاح شبکه باز، که در آن همه دستگاه های متصل به یکباره مجاز هستند
• به اشتراک گذاشته شده است- اصالت دستگاه متصل باید با یک کلید / رمز عبور تأیید شود
• EAP- اصالت دستگاه متصل باید از طریق پروتکل EAP توسط یک سرور خارجی تایید شود

• هیچ یک- بدون رمزگذاری، داده ها به صورت شفاف منتقل می شوند
• WEP- رمز مبتنی بر RC4 با طول های مختلف کلید استاتیک یا پویا (64 یا 128 بیت)
• CKIP- جایگزین اختصاصی سیسکو برای WEP، نسخه اولیه TKIP
• TKIP- جایگزینی بهبود یافته برای WEP با بررسی و حفاظت اضافی
• AES/CCMP- پیشرفته ترین الگوریتم مبتنی بر AES256 با بررسی و حفاظت اضافی

ترکیبی احراز هویت را باز کنید، بدون رمزگذاریبه طور گسترده در سیستم های دسترسی مهمان مانند ارائه دسترسی به اینترنت در یک کافه یا هتل استفاده می شود. برای اتصال، فقط باید نام شبکه بی سیم را بدانید. اغلب، چنین ارتباطی با تأیید اضافی در پورتال Captive با هدایت درخواست HTTP کاربر به یک صفحه اضافی که در آن می‌توانید درخواست تأیید کنید (ورود به سیستم، گذرواژه، توافق با قوانین و غیره) ترکیب می‌شود.

رمزگذاری WEPبه خطر افتاده و قابل استفاده نیست (حتی در مورد کلیدهای پویا).

اصطلاحات رایج WPAو WPA2در واقع الگوریتم رمزگذاری (TKIP یا AES) را تعیین کنید. با توجه به اینکه آداپتورهای سرویس گیرنده مدت زیادی است که از WPA2 (AES) پشتیبانی می کنند، استفاده از رمزگذاری با استفاده از الگوریتم TKIP منطقی نیست.

تفاوت بین WPA2 شخصیو WPA2 Enterpriseکلیدهای رمزگذاری مورد استفاده در مکانیک الگوریتم AES از آنجا می آیند. برای برنامه های خصوصی (خانه، کوچک) از یک کلید ثابت (رمز عبور، کلمه رمز، PSK (کلید پیش اشتراک گذاری شده)) با حداقل طول 8 کاراکتر استفاده می شود که در تنظیمات نقطه دسترسی تنظیم شده است و برای همه مشتریان این شبکه بی سیم به خطر انداختن چنین کلیدی (به همسایه، یک کارمند اخراج شد، یک لپ تاپ دزدیده شد) نیاز به تغییر فوری رمز عبور برای همه کاربران باقی مانده دارد، که تنها در مورد تعداد کمی از آنها واقع بینانه است. برای برنامه های شرکتی، همانطور که از نام آن پیداست، از یک کلید پویا استفاده می شود که در حال حاضر برای هر مشتری کار جداگانه است. این کلید می تواند به طور دوره ای در طول کار بدون قطع اتصال به روز شود و یک مؤلفه اضافی مسئول تولید آن است - سرور مجوز و تقریباً همیشه این سرور RADIUS است.

تمام پارامترهای امنیتی ممکن در این صفحه خلاصه شده است:

اگر همه چیز با WPA2 Personal (WPA2 PSK) روشن است، راه حل شرکتی نیاز به بررسی بیشتری دارد.

WPA2 Enterprise

استفاده از مکانیسم مجوز EAP در شبکه شما منجر به این واقعیت می شود که پس از تأیید اعتبار مشتری موفق (تقریباً مطمئناً باز) توسط نقطه دسترسی (به همراه کنترل کننده، در صورت وجود)، دومی از مشتری می خواهد مجوز (تأیید اعتبار آن) را انجام دهد. از سرور RADIUS زیرساخت:

استفاده WPA2 Enterpriseبه یک سرور RADIUS در شبکه شما نیاز دارد. تا به امروز، کارآمدترین محصولات زیر هستند:

• سرور خط مشی شبکه مایکروسافت (NPS)، سابقاً IAS- قابل تنظیم از طریق MMC، رایگان است، اما باید ویندوز بخرید
• سرور کنترل دسترسی ایمن سیسکو (ACS) 4.2، 5.3- قابل تنظیم از طریق یک رابط وب، دارای ویژگی های غنی، به شما امکان ایجاد سیستم های توزیع شده و مقاوم به خطا، گران است
• رادیوس آزاد- رایگان، پیکربندی شده توسط تنظیمات متن، برای مدیریت و نظارت راحت نیست

در عین حال، کنترل کننده با دقت بر تبادل مداوم اطلاعات نظارت می کند و منتظر مجوز موفقیت آمیز یا رد آن است. در صورت موفقیت آمیز بودن، سرور RADIUS می تواند پارامترهای اضافی را به نقطه دسترسی ارسال کند (به عنوان مثال، کدام VLAN مشترک را در آن قرار دهد، کدام آدرس IP را به او اختصاص دهد، نمایه QoS و غیره). در پایان تبادل، سرور RADIUS به کلاینت و نقطه دسترسی اجازه می دهد تا کلیدهای رمزگذاری (تفردی، فقط برای این جلسه معتبر) را تولید و مبادله کنند.

EAP

• EAP-FAST(احراز هویت انعطاف پذیر از طریق تونل زنی امن) - توسعه یافته توسط Cisco. اجازه می دهد تا از طریق رمز عبور ورود به سیستم که در داخل تونل TLS بین درخواست کننده و سرور RADIUS ارسال می شود، مجوز دریافت کنید.
• EAP-TLS(امنیت لایه حمل و نقل). از یک زیرساخت کلید عمومی (PKI) برای مجوز دادن به مشتری و سرور (درخواست کننده و سرور RADIUS) از طریق گواهی‌های صادر شده توسط یک مرجع گواهی معتبر (CA) استفاده می‌کند. نیاز به صدور و نصب گواهی مشتری برای هر دستگاه بی سیم دارد، بنابراین فقط برای یک محیط سازمانی مدیریت شده مناسب است. سرور گواهی ویندوز دارای امکاناتی است که به کلاینت اجازه می دهد در صورتی که مشتری عضو یک دامنه باشد گواهینامه خود را تولید کند. مسدود کردن یک مشتری به راحتی با لغو گواهی آن (یا از طریق حساب) انجام می شود.
• EAP-TTLS(Tunneled Transport Layer Security) مشابه EAP-TLS است، اما هنگام ایجاد تونل نیازی به گواهی مشتری نیست. در چنین تونلی، مشابه اتصال SSL مرورگر، مجوز اضافی (با استفاده از رمز عبور یا چیز دیگری) انجام می شود.
• PEAP-MSCHAPv2(EAP محافظت شده) - مشابه EAP-TTLS از نظر ایجاد اولیه یک تونل TLS رمزگذاری شده بین مشتری و سرور، که نیاز به گواهی سرور دارد. پس از آن، مجوز در چنین تونلی با استفاده از پروتکل معروف MSCHAPv2 انجام می شود.
• PEAP-GTC(Generic Token Card) - شبیه به قبلی، اما به کارت های رمز عبور یک بار مصرف (و زیرساخت های مرتبط) نیاز دارد.

همه این روش ها (به جز EAP-FAST) به گواهی سرور (در سرور RADIUS) نیاز دارند که توسط یک مرجع صدور گواهی (CA) صادر شده باشد. در این حالت، خود گواهینامه CA باید در دستگاه سرویس گیرنده در گروه مورد اعتماد (که با استفاده از ابزارهای Group Policy در ویندوز به راحتی قابل پیاده سازی است) وجود داشته باشد. علاوه بر این، EAP-TLS به گواهی مشتری فردی نیاز دارد. احراز هویت مشتری هم با امضای دیجیتال و هم (اختیاری) با مقایسه گواهی ارائه شده توسط مشتری به سرور RADIUS با گواهی که سرور از زیرساخت PKI (اکتیو دایرکتوری) بازیابی کرده است، انجام می شود.

پشتیبانی از هر یک از روش های EAP باید توسط درخواست کننده در سمت مشتری ارائه شود. استاندارد داخلی Windows XP/Vista/7، iOS، Android حداقل EAP-TLS و EAP-MSCHAPv2 را ارائه می دهد که این روش ها را محبوب می کند. Intel Client Adapters برای ویندوز با ابزار ProSet همراه است که لیست موجود را گسترش می دهد. Cisco AnyConnect Client هم همین کار را می کند.

چقدر قابل اعتماد است

برای احراز هویت باز، بدون رمزگذاری چیزی نیست. متصل به شبکه و همه چیز. از آنجایی که محیط رادیویی باز است، سیگنال در جهات مختلف منتشر می شود، مسدود کردن آن آسان نیست. اگر آداپتورهای کلاینت مناسبی دارید که به شما امکان می دهد به هوا گوش دهید، ترافیک شبکه به همان شکلی قابل مشاهده است که اگر مهاجم به سیم، به هاب، و به پورت SPAN سوئیچ متصل باشد.
رمزگذاری مبتنی بر WEP فقط به زمان IV brute-force و یکی از بسیاری از ابزارهای اسکن آزادانه در دسترس نیاز دارد.
برای رمزگذاری بر اساس TKIP یا AES، رمزگشایی مستقیم در تئوری امکان پذیر است، اما در عمل هیچ موردی از هک وجود نداشته است.

البته می‌توانید کلید PSK یا رمز عبور یکی از روش‌های EAP را حدس بزنید. حملات متداول به این روش ها مشخص نیست. می توانید سعی کنید از روش های مهندسی اجتماعی استفاده کنید، یا

استانداردهای WEP (Wired Equivalent Privacy)، WPA (Wi-Fi Protected Access) و WPA2 (Wi-Fi Protected Access II) که به شما پیشنهاد می شود هنگام پیکربندی تنظیمات امنیتی شبکه بی سیم، الگوریتم های اصلی امنیت اطلاعات را انتخاب کنید. WEP قدیمی ترین و آسیب پذیرترین آنهاست، زیرا در طول استفاده از آن نقاط ضعف زیادی در آن کشف شده است. WPA محافظت پیشرفته تری را ارائه می دهد، اما همچنین به عنوان مستعد هک شدن شناخته شده است. WPA2 در حال حاضر یک استاندارد در حال تکامل است و تا حد زیادی رایج ترین گزینه امنیتی است. TKIP (Temporal Key Integrity Protocol) و AES (Advanced Encryption Standard) دو نوع مختلف رمزگذاری هستند که می توانند در استاندارد WPA2 استفاده شوند. بیایید ببینیم آنها چگونه متفاوت هستند و کدام یک برای شما مناسب تر است.

AES در مقابل TKIP

TKIP و AES دو تا هستند استاندارد متفاوترمزگذاری که می تواند در شبکه های Wi-Fi استفاده شود. TKIP یک پروتکل رمزگذاری قدیمی است که توسط استاندارد WPA برای جایگزینی الگوریتم بسیار نامطمئن WEP معرفی شده است. در واقع، TKIP از بسیاری جهات شبیه به الگوریتم است رمزگذاری WEP. TKIP دیگر روش قابل اعتمادی برای محافظت در نظر گرفته نمی شود و در حال حاضر توصیه نمی شود. به عبارت دیگر، شما نباید از آن استفاده کنید.

AES یک پروتکل رمزگذاری قوی تری است که توسط استاندارد WPA2 معرفی شده است. AES یک یا آن استاندارد کسل کننده نیست که به طور خاص برای شبکه های Wi-Fi طراحی شده است. این یک استاندارد جهانی رمزگذاری جدی است که حتی توسط دولت ایالات متحده نیز پذیرفته شده است. به عنوان مثال، زمانی که شما رمزگذاری می کنید HDDبا استفاده از برنامه های TrueCrypt، می تواند برای این کار از الگوریتم استفاده کند رمزگذاری AES. AES یک استاندارد شناخته شده جهانی است که به صورت مجازی ارائه می کند امنیت کاملو نقاط ضعف احتمالی آن، حساسیت احتمالی آن به حملات brute-force (که با عبارات عبور نسبتاً پیچیده مقابله می‌شوند) و نقص‌های امنیتی مرتبط با سایر جنبه‌های WPA2 است.

یک گزینه امنیتی کوتاه TKIP است، یک پروتکل رمزگذاری قدیمی که توسط استاندارد WPA استفاده می شود. AES برای Wi-Fi یک راه حل رمزگذاری جدیدتر است که در جدید و استاندارد ایمن WPA2. در تئوری، این می تواند پایان کار باشد. اما در عمل، بسته به روتر شما، انتخاب ساده WPA2 ممکن است کافی نباشد.

در حالی که استاندارد WPA2 از AES برای امنیت بهینه استفاده می کند، همچنین می تواند از TKIP در مواردی که سازگاری عقب با دستگاه های نسل قبلی مورد نیاز است استفاده کند. در این ترتیب، دستگاه هایی که از WPA2 پشتیبانی می کنند مطابق WPA2 و دستگاه هایی که از WPA پشتیبانی می کنند مطابق WPA متصل می شوند. یعنی "WPA2" همیشه به معنای WPA2-AES نیست. با این حال، در دستگاه‌هایی که به صراحت گزینه‌های «TKIP» یا «AES» را مشخص نکرده‌اند، WPA2 معمولاً مترادف با WPA2-AES است.
مخفف "PSK" در نام کامل این گزینه ها مخفف "pre-shared key" است - عبارت عبور شما (کلید رمز). این استانداردهای شخصی را از WPA-Enterprise متمایز می کند، که از یک سرور RADIUS برای صدور کلیدهای منحصر به فرد بر روی شبکه های Wi-Fi بزرگ شرکتی یا دولتی استفاده می کند.

گزینه های امنیتی Wi-Fi

حتی سخت تر؟ هیچ چیز تعجب آور نیست. اما تنها کاری که واقعاً باید انجام دهید این است که یکی از گزینه‌ها را در لیست کاری دستگاه خود پیدا کنید که بیشترین محافظت را ارائه می‌کند. در اینجا محتمل ترین لیست گزینه ها برای روتر شما آمده است:

• باز (خطرناک): V شبکه های بازبدون وای فای عبارات رمزی. شما نباید این گزینه را تنظیم کنید - به طور جدی، می توانید پلیس را بهانه ای برای ملاقات با شما بیاورید.
• WEP 64 (خطرناک): پروتکل WEP قدیمی به راحتی آسیب پذیر است و نباید از آن استفاده کنید.
• WEP 128 (خطرناک): این همان WEP است، اما با افزایش طول کلید رمزگذاری. در واقع آسیب پذیری آن کمتر از WEP 64 نیست.
• WPA-PSK (TKIP): این از نسخه اصلی پروتکل WPA (در اصل WPA1) استفاده می کند. کاملا امن نیست و با WPA2 جایگزین شده است.
• WPA-PSK (AES): این از پروتکل اصلی WPA استفاده می کند، جایی که TKIP با استاندارد رمزگذاری مدرن AES جایگزین شده است. این گزینه به عنوان یک اقدام موقت ارائه می شود، اما دستگاه هایی که از AES پشتیبانی می کنند تقریباً همیشه از WPA2 پشتیبانی می کنند، در حالی که دستگاه هایی که به WPA نیاز دارند تقریباً هرگز از AES پشتیبانی نمی کنند. بنابراین این گزینه چندان منطقی نیست.
• WPA2-PSK (TKIP): این از استاندارد WPA2 مدرن با الگوریتم قدیمی استفاده می کند رمزگذاری TKIP. این گزینه امن نیست و تنها مزیت آن این است که برای دستگاه های قدیمی که از گزینه WPA2-PSK (AES) پشتیبانی نمی کنند مناسب است.
• WPA2-PSK (AES): این پرکاربردترین گزینه امنیتی است. از WPA2، آخرین استاندارد رمزگذاری Wi-Fi و آخرین پروتکل رمزگذاری AES استفاده می کند. باید از این گزینه استفاده کنید. در برخی از دستگاه‌ها، گزینه‌ای به نام «WPA2» یا «WPA2-PSK» را مشاهده می‌کنید که در بیشتر موارد به معنای استفاده از AES است.
• WPAWPA2-PSK (TKIP/AES): برخی از دستگاه ها این گزینه ترکیبی را ارائه می دهند - و حتی توصیه می کنند. این گزینه به شما امکان می دهد از هر دو WPA و WPA2 با TKIP و AES استفاده کنید. این امر حداکثر سازگاری را با هر دستگاه قدیمی که ممکن است داشته باشید تضمین می کند، اما همچنین به هکرها این فرصت را می دهد که با نفوذ به پروتکل های آسیب پذیرتر WPA و TKIP به شبکه شما نفوذ کنند.

گواهینامه WPA2 از سال 2004 معتبر بوده و در سال 2006 اجباری شد. هر دستگاهی با آرم Wi-Fi که پس از سال 2006 ساخته شده است باید از استاندارد رمزگذاری WPA2 پشتیبانی کند.

زیرا دستگاه شما متصل است شبکه های وای فایبه احتمال زیاد در سنین زیر 11 سال، تنها با انتخاب گزینه WPA2-PSK (AES) می توانید احساس راحتی کنید. با تنظیم این گزینه می توانید سلامت دستگاه خود را نیز بررسی کنید. اگر دستگاه از کار افتاد، همیشه می توانید آن را برگردانید یا تعویض کنید. اگر چه امنیت برای شما مهم است پراهمیت، می توانید به سادگی یک دستگاه جدید را خریداری کنید که زودتر از سال 2006 تولید نشده است.

WPA و TKIP سرعت شبکه Wi-Fi را کاهش می دهند

گزینه های WPA و TKIP انتخاب شده برای سازگاری نیز ممکن است شبکه Wi-Fi را کند کند. بسیاری از مدرن روترهای وای فایآنهایی که از استانداردهای 802.11n یا جدیدتر و سریع‌تر پشتیبانی می‌کنند، اگر گزینه WPA یا TKIP را برای اطمینان از سازگاری با دستگاه‌های فرضی قدیمی‌تر تنظیم کنید، سرعتشان تا 54 مگابیت در ثانیه کاهش می‌یابد.

در مقایسه، هنگام استفاده از WPA2 با AES، حتی 802.11n از سرعت تا 300 مگابیت در ثانیه پشتیبانی می کند، در حالی که 802.11ac یک سرعت تئوری ارائه می دهد. حداکثر سرعت 3.46 گیگابیت بر ثانیه در شرایط بهینه (بخوانید: ایده آل).
در اکثر روترها، همانطور که قبلاً دیدیم، لیست گزینه ها معمولاً شامل WEP، WPA (TKIP) و WPA2 (AES) است - و شاید یک گزینه حالت حداکثر سازگاری ترکیبی WPA (TKIP) + WPA2 (AES) با بهترین حالت اضافه شده است. نیات .
اگر نوع غیرعادی روتر دارید که WPA2 را همراه با TKIP یا همراه با AES ارائه می دهد، AES را انتخاب کنید. تقریباً تمام دستگاه‌های شما قطعاً با آن کار می‌کنند، علاوه بر این، سریع‌تر و ایمن‌تر هستند. AES یک انتخاب ساده و منطقی است.