Pre shared key wifi

Настройка безопасности Wi-Fi маршрутизаторов и точек доступа

Сегодня у многих есть дома Wi-Fi маршрутизатор. Ведь по безпроводке куда проще подключить к интернету и ноутбук, и планшет, и смартфон, коих развелось в каждой семье больше чем людей. И он (маршрутизатор) по сути — врата в информационную вселенную. Читай входная дверь. И от этой двери зависит зайдет ли к вам незваный гость без вашего разрешения. Поэтому очень важно уделить внимание правильной настройке роутера, чтобы ваша беспроводная сеть не была уязвимой.

Думаю не нужно напоминать, что скрытие SSID точки доступа не защищает Вас. Ограничение доступа по MAC адресу не эффективно. Поэтому только современные методы шифрования и сложный пароль.

Зачем шифровать? Кому я нужен? Мне нечего скрывать

Не так страшно если украдут пин-код с кредитной карты и снимут с нее все деньги. Тем более, если кто-то будет сидеть за ваш счет в интернете, зная Wi-Fi пароль. И не так страшно если опубликуют ваши фото с корпоративных вечеринок где вы в неприглядном виде. Куда обидней когда злоумышленники проникнут в ваш компьютер и удалят фотографии как Вы забирали сына из роддома, как он сделал первые шаги и пошел в первый класс. Про бэкапы отдельная тема, их конечно нужно делать… Но репутацию со временем можно восстановить, деньги заработать, а вот дорогие для вас фотографии уже нет. Думаю у каждого есть то, что он не хочет потерять.
Ваш роутер является пограничным устройством между личным и публичным, поэтому настройте его защиту по полной. Тем более это не так сложно.

Технологии и алгоритмы шифрования

Опускаю теорию. Не важно как это работает, главное уметь этим пользоваться.
Технологии защиты беспроводных сетей развивались в следующем хронологическом порядке: WEP, WPA, WPA2. Также эволюционировали и методы шифрования RC4, TKIP, AES.
Лучшей с точки зрения безопасности на сегодняшний день является связка WPA2-AES. Именно так и нужно стараться настраивать Wi-Fi. Выглядеть это должно примерно так:

WPA2 является обязательным с 16 марта 2006 года. Но иногда еще можно встретить оборудование его не поддерживающее. В частности если у Вас на компьютере установлена Windows XP без 3-го сервис пака, то WPA2 работать не будет. Поэтому из соображений совместимости на маршрутизаторах можно встретить варианты настроек WPA2-PSK -> AES+TKIP и другой зверинец.
Но если парк девайсов у Вас современный, то лучше использовать WPA2 (WPA2-PSK) -> AES, как самый защищенный вариант на сегодняшний день.

Чем отличаются WPA(WPA2) и WPA-PSK(WPA2-PSK)

Стандартом WPA предусмотрен Расширяемый протокол аутентификации (EAP) как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства (иначе называют мандатом), подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена. База зарегистрированных пользователей и система проверки в больших сетях как правило расположены на специальном сервере (чаще всего RADIUS).
Упрощённый режим Pre-Shared Key (WPA-PSK, WPA2-PSK) позволяет использовать один пароль, который хранится непосредственно в маршрутизаторе. С одной стороны все упрощается, нет необходимости создавать и сопровождать базу пользователей, с другой стороны все заходят под одним паролем.
В домашних условиях целесообразней использовать WPA2-PSK, то есть упрощенный режим стандарта WPA. Безопасность Wi-Fi от такого упрощения не страдает.

Пароль доступа Wi-Fi

Тут все просто. Пароль к вашей беспроводной точке доступа (роутеру) должен быть более 8 символов и содержать буквы в разном регистре, цифры, знаки препинания. И он никаким боком не должен ассоциироваться с вами. А это значит, что в качестве пароля нельзя использовать даты рождения, ваши имена, номера машин, телефонов и т.п.
Так как сломать в лоб WPA2-AES практически невозможно (была лишь пара случаев смоделированных в лабораторных условиях), то основными методами взлома WPA2 являются атака по словарю и брут-форс (последовательный перебор всех вариантов паролей). Поэтому чем сложней пароль, тем меньше шансов у злоумышленников.

… в СССР на железнодорожных вокзалах получили широкое распространение автоматические камеры хранения. В качестве кодовой комбинации замка использовались одна буква и три цифры. Однако мало кто знает, что первая версия ячеек камеры хранения использовала в качестве кодовой комбинации 4 цифры. Казалось бы какая разница? Ведь количество кодовых комбинаций одинаково — 10000 (десять тысяч). Но как показала практика (особенно Московского Уголовного Розыска), когда человеку предлагалось в качестве пароля к ячейке камеры хранения использовать комбинацию из 4-х цифр, то очень много людей использовало свой год рождения (чтобы не забыть). Чем небезуспешно пользовались злоумышленники. Ведь первые две цифры в дате рождения абсолютного большинства населения страны были известны — 19. Осталось на глазок определить примерный возраст сдающего багаж, а любой из нас это может сделать с точностью +/- 3 года, и в остатке мы получаем (точнее злоумышленники) менее 10 комбинаций для подбора кода доступа к ячейке автоматической камеры хранения…

Самый популярный пароль

Человеческая лень и безответственность берут свое. Вот список самых популярных паролей:

1. 123456
2. qwerty
3. 111111
4. 123123
5. 1a2b3c
6. Дата рождения
7. Номер мобильного телефона
8. Имя

Правила безопасности при составлении пароля

1. Каждому свое. То есть пароль маршрутизатора не должен совпадать с любым другим Вашим паролем. От почты например. Возьмите себе за правило, у всех аккаунтов свои пароли и они все разные.
2. Используйте стойкие пароли, которые нельзя угадать. Например: 2Rk7-kw8Q11vlOp0

Гостевая зона Wi-Fi

Если ваш роутер позволяет организовать гостевую зону. То обязательно сделайте это. Естественно защитив ее WPA2 и надежным паролем. И теперь, когда к вам домой придут друзья и попросятся в интернет, вам не придется сообщать им основной пароль. Более того гостевая зона в маршрутизаторах изолирована от основной сети. И любые проблемы с девайсами ваших гостей не повлияют на вашу домашнюю сеть.

Источник

Private PSK (Pre-Shared Key) – особенности и возможности платформы ExtremeCloud IQ

WPA3 уже принят, и с июля 2020 обязателен для устройств которые проходят сертификацию в WiFi-Alliance, WPA2 никто не отменял и не собирается. При этом и WPA2, и WPA3 предусматривают работу в режимах PSK и Enterprise, но мы предлагаем рассмотреть в нашей статье технологию Private PSK, а также преимущества которых можно добиться с её помощью.

Проблемы WPA2-Personal давно известны и, в основном, уже были исправлены (Priority Management Frames, исправления для уязвимости KRACK и др.). Основной остающийся недостаток WPA2 c использованием PSK в том, что слабые пароли достаточно легко взламываются атакой по словарю. В случае же компрометации и смены пароля на новый, необходимо будет переконфигурировать все подключенные устройства (и точки доступа), что может оказаться весьма трудоёмким процессом (для решения проблемы «слабого пароля» WiFi-Alliance рекомендует использовать пароли длиной не менее 20 символов).

Еще одним вопросом, который порой невозможно решить с помощью WPA2-Personal это назначение различных профайлов (vlan, QoS, firewall…) на группы устройств, подключенных к одному и тому же SSID.

С помощью WPA2-Enterprise возможно решить все описанные выше проблемы, но платой за это будут:

• Необходимость наличия или развертывание PKI (Public Key Infrastructure) и сертификатов безопасности;
• Могут возникнуть сложности с установкой;
• Могут возникнуть сложности с траблшутингом;
• Не оптимальное решение для IoT устройств или гостевого доступа.

При этом еще необходимо учитывать, что более 95% существующих клиентов в настоящее время не поддерживают WPA3 и SAE, а WPA2 успешно продолжает работать на миллиардах уже выпущенных устройств.

Для того чтобы получить решение описанных выше существующих, или потенциально возможных, проблем компанией Extreme Networks была разработана технология Private Pre-Shared Key (PPSK). PPSK совместима с любым клиентом Wi-Fi, который поддерживает WPA2-PSK, и позволяет получить уровень безопасности сравнимый с уровнем который достигается при использовании WPA2-Enterprise, без необходимости построения инфраструктуры 802.1X/EAP. Private PSK — это по сути WPA2-PSK, но каждый пользователь (или группа пользователей) может иметь свой собственный динамически генерируемый пароль. Управление PPSK ничем не отличается от управления PSK, поскольку весь процесс автоматизирован. Базу данных с ключами можно хранить локально на точках доступа или в облаке.

Пароли могут генерироваться автоматически, есть возможность гибко задавать им длину/стойкость, период или срок действия, способ доставки до пользователя (на почту или SMS):

Можно также настроить максимальное количество клиентов, которые смогут подключится с помощью одного PPSK или даже настроить “MAC-binding” подключаемым устройствам. По команде администратора сети любой ключ может быть легко отозван, и доступ в сеть будет запрещен без необходимости переконфигурирования всех остальных устройств. Если в момент отзыва ключа клиент подключен, точка доступа автоматически его отключит от сети.

Из основных преимуществ PPSK отметим:

• простота использования при высоком уровне безопасности;
• отражение атаки по словарю решается с помощью длинных и устойчивых паролей, которые ExtremeCloudIQ умеет автоматически генерировать и рассылать;
• возможность назначения различных профайлов безопасности на различные устройства подключенных к одному SSID;
• отлично подходит для безопасного гостевого доступа;
• отлично подходит для безопасного доступа, когда устройства не поддерживают 802.1X / EAP (ручные сканеры или устройства IoT/VoWiFi);
• успешное использование и совершенствование на протяжении более 10 лет.

Источник