Личные данные и файлы в беспроводной сети иногда могут быть доступны посторонним людям, перехватывающим сетевой сигнал. Это может привести к краже личных данных и другим злонамеренным действиям. Ключ безопасности сети или парольная фраза могут помочь защитить беспроводную сеть от подобного несанкционированного доступа.
Следуйте инструкциям мастера настройки сети, чтобы настроить ключ безопасности.
На сегодняшний день имеется три типа шифрования беспроводных сетей: Защищенный доступ Wi-Fi (WPA и WPA2), Wired Equivalent Privacy (WEP) и 802.1x. Первые два метода подробно описаны в следующих разделах. Протокол 802.1x используется, как правило, в корпоративных сетях и не рассматривается здесь.
WPA и WPA2 требуют от пользователя предоставления ключа безопасности для подключения. После проверки ключа шифруются все данные, передаваемые между компьютером или устройством и точкой доступа.
Существует два типа проверки подлинности WPA: WPA и WPA2. По возможности используйте WPA2, так как он обеспечивает наибольшую безопасность. Почти все новые адаптеры беспроводной сети поддерживают WPA и WPA2, но некоторые старые модели не поддерживают. В WPA-личное и WPA2-личное всем пользователям назначается одинаковая парольная фраза. Этот режим рекомендуется для домашних сетей. WPA-предприятие и WPA2-предприятие разработаны для использования с сервером проверки подлинности стандарта 802.1x, который предоставляет всем пользователям разные ключи. Этот режим используется главным образом в рабочих сетях.
WEP - более старый метод обеспечения безопасности сети. Он все еще доступен для поддержки устаревших устройств, но использовать его не рекомендуется. При включении протокола WEP выполняется настройка ключа безопасности сети. Этот ключ осуществляет шифрование информации, которую компьютер передает через сеть другим компьютерам. Однако защиту WEP относительно легко взломать.
Существует два типа методов защиты WEP: проверка подлинности в открытой системе и проверка подлинности с использованием общих ключей. Ни один из них не обеспечивает высокий уровень безопасности, но метод проверки подлинности с использованием общих ключей является менее безопасным. Для большинства компьютеров и точек доступа беспроводной сети, ключ проверки подлинности с использованием общих ключей совпадает со статическим ключом шифрования WEP, который используется для обеспечения безопасности сети. Злоумышленник, перехвативший сообщения для успешной проверки подлинности с использованием общих ключей, может, используя средства анализа, определить ключ проверки подлинности с использованием общих ключей, а затем статический ключ шифрования WEP. После определения статического ключа шифрования WEP злоумышленник может получить полный доступ к сети. По этой причине эта версия Windows автоматически не поддерживает настройку сети через проверку подлинности с использованием общих ключей WEP.
Если, несмотря на эти предупреждения, требуется проверка подлинности с использованием общих ключей WEP, выполните следующие действия.
Ключ безопасности сети является паролем, используя который можно подключиться к работающей сети Wi-Fi. От него напрямую зависит безопасное функционирование беспроводной сети. Основная задача его заключается в ограждении пользователя (хозяина) Wi-Fi от несанкционированного подключения к ней. Некоторым может показаться, что такое подключение, в общем-то, не сильно будет мешать работе в интернете. На самом же деле оно чревато значительным уменьшением скорости интернета. Поэтому, созданию пароля необходимо уделять самое пристальное внимание.
Кроме собственно сложности создаваемого пароля, на степень безопасности беспроводной сети Wi-Fi в значительной степени влияет тип шифрования данных. Значимость типа шифрования объясняется тем, что все данные, передающиеся в рамках конкретной сети зашифрованы. Такая система позволяет оградиться от несанкционированного подключения, т. к. не зная пароля, сторонний пользователь при помощи своего устройства просто не сможет расшифровать передающиеся в рамках беспроводной сети данные.
В настоящее время Wi-Fi маршрутизаторы используют три разных типа шифрования.
Отличаются они друг от друга не только количеством доступных для создания пароля символов, но и другими не менее важными особенностями.
Самым ненадежным и менее популярным типом шифрования на сегодняшний день является WEP. В общем-то, этот тип шифрования использовался раньше и сейчас применяется редко. И дело тут не только в моральной старости такого типа шифрования. Он действительно достаточно ненадежный. Пользователи, использующие устройства с WEP-шифрованием имеют довольно высокие шансы на то, что их собственный ключ безопасности сети будет взломан сторонним пользователем. Данный вид шифрования не поддерживается многими современными Wi-Fi роутерами.
Последние два типа шифрования намного более надежны и гораздо чаще используются. При этом у пользователей имеется возможность выбрать уровень безопасности сети. Так, WPA и WPA2 поддерживают два вида проверки безопасности.
Один из них рассчитан на обычных пользователей и содержит один уникальный пароль для всех подключаемых устройств.
Другой используется для предприятий и значительно повышает уровень надежности сети Wi-Fi. Суть его заключается в том, что для каждого отдельного устройства создается собственный уникальный ключ безопасности.
Таким образом, становится практически невозможно без разрешения подключиться к чужой сети.
Тем не менее, выбирая свой будущий маршрутизатор, следует остановить свой выбор именно на той модели, которая поддерживает именно WPA2-шифрование. Объясняется ее большей надежностью в сравнении с WPA. Хотя, конечно же, WPA-шифрование является достаточно качественным. Большинство маршрутизаторов поддерживают оба эти вида шифрования.
Чтобы узнать свой ключ безопасности от беспроводной сети можно воспользоваться несколькими способами.
В последнее время появилось много «разоблачающих» публикаций о взломе какого-либо очередного протокола или технологии, компрометирующего безопасность беспроводных сетей. Так ли это на самом деле, чего стоит бояться, и как сделать, чтобы доступ в вашу сеть был максимально защищен? Слова WEP, WPA, 802.1x, EAP, PKI для вас мало что значат? Этот небольшой обзор поможет свести воедино все применяющиеся технологии шифрования и авторизации радио-доступа. Я попробую показать, что правильно настроенная беспроводная сеть представляет собой непреодолимый барьер для злоумышленника (до известного предела, конечно).
Параметры беспроводной сети, в первую очередь ее имя (SSID), регулярно анонсируются точкой доступа в широковещательных beacon пакетах. Помимо ожидаемых настроек безопасности, передаются пожелания по QoS, по параметрам 802.11n, поддерживаемых скорости, сведения о других соседях и прочее. Аутентификация определяет, как клиент представляется точке. Возможные варианты:
Комбинация Open Authentication, No Encryption широко используется в системах гостевого доступа вроде предоставления Интернета в кафе или гостинице. Для подключения нужно знать только имя беспроводной сети. Зачастую такое подключение комбинируется с дополнительной проверкой на Captive Portal путем редиректа пользовательского HTTP-запроса на дополнительную страницу, на которой можно запросить подтверждение (логин-пароль, согласие с правилами и т.п).
Шифрование WEP скомпрометировано, и использовать его нельзя (даже в случае динамических ключей).
Широко встречающиеся термины WPA и WPA2 определяют, фактически, алгоритм шифрования (TKIP либо AES). В силу того, что уже довольно давно клиентские адаптеры поддерживают WPA2 (AES), применять шифрование по алгоритму TKIP нет смысла.
Разница между WPA2 Personal и WPA2 Enterprise состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES. Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым. Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа. Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент - сервер авторизации, и почти всегда это RADIUS-сервер.
Все возможные параметры безопасности сведены в этой табличке:
Свойство | Статический WEP | Динамический WEP | WPA | WPA 2 (Enterprise) |
Идентификация | Пользователь, компьютер, карта WLAN | Пользователь, компьютер |
Пользователь, компьютер |
Пользователь, компьютер |
Авторизация |
Общий ключ |
EAP |
EAP или общий ключ |
EAP или общий ключ |
Целостность |
32-bit Integrity Check Value (ICV) |
32-bit ICV |
64-bit Message Integrity Code (MIC) |
CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code - CCM) Part of AES |
Шифрование |
Статический ключ |
Сессионный ключ |
Попакетный ключ через TKIP |
CCMP (AES) |
РАспределение ключей |
Однократное, вручную |
Сегмент Pair-wise Master Key (PMK) |
Производное от PMK |
Производное от PMK |
Вектор инициализации |
Текст, 24 бита |
Текст, 24 бита |
Расширенный вектор, 65 бит |
48-бит номер пакета (PN) |
Алгоритм |
RC4 |
RC4 |
RC4 |
AES |
Длина ключа, бит |
64/128 |
64/128 |
128 |
до 256 |
Требуемая инфраструктура |
Нет |
RADIUS |
RADIUS |
RADIUS |
Если с WPA2 Personal (WPA2 PSK) всё ясно, корпоративное решение требует дополнительного рассмотрения.
Применение механизма авторизации EAP в вашей сети приводит к тому, что после успешной (почти наверняка открытой) аутентификации клиента точкой доступа (совместно с контроллером, если он есть) последняя просит клиента авторизоваться (подтвердить свои полномочия) у инфраструктурного RADIUS-сервера:
Использование WPA2 Enterprise требует наличия в вашей сети RADIUS-сервера. На сегодняшний момент наиболее работоспособными являются следующие продукты:
При этом контроллер внимательно наблюдает за происходящим обменом информацией, и дожидается успешной авторизации, либо отказа в ней. При успехе RADIUS-сервер способен передать точке доступа дополнительные параметры (например, в какой VLAN поместить абонента, какой ему присвоить IP-адрес, QoS профиль и т.п.). В завершении обмена RADIUS-сервер дает возможность клиенту и точке доступа сгенерировать и обменяться ключами шифрования (индивидуальными, валидными только для данной сеcсии):
Все эти методы (кроме EAP-FAST) требуют наличия сертификата сервера (на RADIUS-сервере), выписанного удостоверяющим центром (CA). При этом сам сертификат CA должен присутствовать на устройстве клиента в группе доверенных (что нетрудно реализовать средствами групповой политики в Windows). Дополнительно, EAP-TLS требует индивидуального клиентского сертификата. Проверка подлинности клиента осуществляется как по цифровой подписи, так (опционально) по сравнению предоставленного клиентом RADIUS-серверу сертификата с тем, что сервер извлек из PKI-инфраструктуры (Active Directory).
Поддержка любого из EAP методов должна обеспечиваться суппликантом на стороне клиента. Стандартный, встроенный в Windows XP/Vista/7, iOS, Android обеспечивает как минимум EAP-TLS, и EAP-MSCHAPv2, что обуславливает популярность этих методов. С клиентскими адаптерами Intel под Windows поставляется утилита ProSet, расширяющая доступный список. Это же делает Cisco AnyConnect Client.
Для Open Authentication, No Encryption - ничего. Подключился к сети, и всё. Поскольку радиосреда открыта, сигнал распространяется в разные стороны, заблокировать его непросто. При наличии соответствующих клиентских адаптеров, позволяющих прослушивать эфир, сетевой трафик виден так же, будто атакующий подключился в провод, в хаб, в SPAN-порт коммутатора.
Для шифрования, основанного на WEP, требуется только время на перебор IV, и одна из многих свободно доступных утилит сканирования.
Для шифрования, основанного на TKIP либо AES прямое дешифрование возможно в теории, но на практике случаи взлома не встречались.
Конечно, можно попробовать подобрать ключ PSK, либо пароль к одному из EAP-методов. Распространенные атаки на данные методы не известны. Можно пробовать применить методы социальной инженерии, либо
Чтобы защитить свою Wi-Fi сеть и установить пароль, необходимо обязательно выбрать тип безопасности беспроводной сети и метод шифрования. И на данном этапе у многих возникает вопрос: а какой выбрать? WEP, WPA, или WPA2? Personal или Enterprise? AES, или TKIP? Какие настройки безопасности лучше всего защитят Wi-Fi сеть? На все эти вопросы я постараюсь ответить в рамках этой статьи. Рассмотрим все возможные методы аутентификации и шифрования. Выясним, какие параметры безопасности Wi-Fi сети лучше установить в настройках маршрутизатора.
Обратите внимание, что тип безопасности, или аутентификации, сетевая аутентификация, защита, метод проверки подлинности – это все одно и то же.
Тип аутентификации и шифрование – это основные настройки защиты беспроводной Wi-Fi сети. Думаю, для начала нужно разобраться, какие они бывают, какие есть версии, их возможности и т. д. После чего уже выясним, какой тип защиты и шифрования выбрать. Покажу на примере нескольких популярных роутеров.
Я настоятельно рекомендую настраивать пароль и защищать свою беспроводную сеть. Устанавливать максимальный уровень защиты. Если вы оставите сеть открытой, без защиты, то к ней смогут подключится все кто угодно. Это в первую очередь небезопасно. А так же лишняя нагрузка на ваш маршрутизатор, падение скорости соединения и всевозможные проблемы с подключением разных устройств.
Есть три варианта защиты. Разумеется, не считая "Open" (Нет защиты) .
WPA/WPA2 может быть двух видов:
Думаю, со способом аутентификации мы разобрались. Лучшие всего использовать WPA2 - Personal (PSK). Для лучшей совместимости, чтобы не было проблем с подключением старых устройств, можно установить смешанный режим WPA/WPA2. На многих маршрутизаторах этот способ установлен по умолчанию. Или помечен как "Рекомендуется".
Есть два способа TKIP и AES .
Рекомендуется использовать AES. Если у вас в сети есть старые устройства, которые не поддерживают шифрование AES (а только TKIP) и будут проблемы с их подключением к беспроводной сети, то установите "Авто". Тип шифрования TKIP не поддерживается в режиме 802.11n.
В любом случае, если вы устанавливаете строго WPA2 - Personal (рекомендуется) , то будет доступно только шифрование по AES.
Используйте WPA2 - Personal с шифрованием AES . На сегодняшний день, это лучший и самый безопасный способ. Вот так настройки защиты беспроводной сети выглядит на маршрутизаторах ASUS:
А вот так эти настройки безопасности выглядят на роутерах от TP-Link (со старой прошивкой) .
Более подробную инструкцию для TP-Link можете посмотреть .
Инструкции для других маршрутизаторов:
Если вы не знаете где найти все эти настройки на своем маршрутизаторе, то напишите в комментариях, постараюсь подсказать. Только не забудьте указать модель.
Так как WPA2 - Personal (AES) старые устройства (Wi-Fi адаптеры, телефоны, планшеты и т. д.) могут не поддерживать, то в случае проблем с подключением устанавливайте смешанный режим (Авто).
Не редко замечаю, что после смены пароля, или других параметров защиты, устройства не хотят подключаться к сети. На компьютерах может быть ошибка "Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети". Попробуйте удалить (забыть) сеть на устройстве и подключится заново. Как это сделать на Windows 7, я писал . А в Windows 10 нужно .
Какой бы тип безопасности и метод шифрования вы не выбрали, необходимо установить пароль. Он же ключ WPA, Wireless Password, ключ безопасности сети Wi-Fi и т. д.
Длина пароля от 8 до 32 символов. Можно использовать буквы латинского алфавита и цифры. Так же специальные знаки: - @ $ # ! и т. д. Без пробелов! Пароль чувствительный к регистру! Это значит, что "z" и "Z" это разные символы.
Не советую ставить простые пароли. Лучше создать надежный пароль, который точно никто не сможет подобрать, даже если хорошо постарается.
Вряд ли получится запомнить такой сложный пароль. Хорошо бы его где-то записать. Не редко пароль от Wi-Fi просто забывают. Что делать в таких ситуациях, я писал в статье: .
Если вам нужно еще больше защиты, то можно использовать привязку по MAC-адресу. Правда, не вижу в этом необходимости. WPA2 - Personal в паре с AES и сложным паролем – вполне достаточно.
А как вы защищаете свою Wi-Fi сеть? Напишите в комментариях. Ну и вопросы задавайте 🙂
Пользователи планшетных компьютеров и телефонов Android часто сталкиваются с такой проблемой: устройство не подключается к Wi-Fi, хотя Вы ввели правильный пароль. Появляется сообщение: « «. Что же делать в таких случаях?
Сначала убедитесь в том, что точка доступа, к которой Вы в данный момент подключаетесь, действительно раздаёт интернет. Для этого попробуйте подключиться с ней, используя другие устройства (ноутбук, планшет и т.п.). В случае если интернет на этих устройствах есть, значит, точка доступа работает и причина отсутствия интернета другая.
Причин может быть несколько (например, неправильно введённый пароль или слабый сигнал интернета), но мы рассмотрим самые распространенные из них.
Меняем канал Wi-Fi роутера:
Часто такая несложная операция решает проблему с вай-фай подключением. Если подключения не происходит, попробуйте следующее.
По умолчанию большинство роутеров выставляют в настройках режим 802.11 b/g/n mixed. Выберите другой режим: 802.11 n, 802.11 b, 802.11 g. После каждой смены режима нажимайте кнопку » Применить» и проверяйте наличие подключения Wi-Fi.
Если это не помогает и устройство на Андроид по-прежнему не ловит Wi- Fi и не работает Интернет, Вам придётся «поработать» с настройками вашего смартфона (планшета).
Алгоритм для действий настройки Wi-Fi и Интернет соединения на Android:
Если эти методы не помогают, отсутствие подключения может быть обусловлено техническими причинами. Слабый смартфон, планшет, старая версия ОС Андроид или очень слабый сигнал Интернета — всё это может сказаться на стабильности работы Wi-Fi и Интернета.