Шифрование в роутере aes

WPA2 или WPA3, а может WEP? Что такое шифрование WiFi

В этой статье разберём, что обозначают странные аббревиатуры в настройках роутера и как устроена безопасность беспроводной сети.

Любой роутер даёт выбрать тип безопасности сети: WEP, WPA (TKIP), WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP/AES). Однако выбор несовместимого параметра приведёт к снижению скорости и создаст дополнительные бреши в безопасности. Чтобы этого не случилось, рассмотрим, как всё работает изнутри.

WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) и WPA2 (Wi-Fi Protected Access II) — основные алгоритмы безопасности беспроводных сетей. WEP является самым старым и «дырявым» протоколом из всех, его взлом не вызывает труда, а количество обнаруженных уязвимостей только растёт.

Ему на смену пришёл WPA , но и он считается уязвимым. WPA2 не идеален, но именно он является самым распространенным алгоритмом. В 2018 году был утверждён стандарт WPA3 и это самый безопасный стандарт, но пока не распространенный достаточно широко.

AES или TKIP

Это два разных типа шифрования, используемые в WiFi сетях.
TKIP — это старый протокол, представленный вместе с WPA для замены опасного WEP и очень на него похожий. Его поддержку прекратили, он больше не считается безопасным и был полностью заменён AES .

AES — безопасный протокол шифрования, представленный вместе с WPA2. Этот стандарт не является сугубо «сетевым» изобретением, он успешно используется в аналоговом шифровании (например, в стандартной утилите шифрования диска Windows 10). AES считается наиболее безопасным алгоритмом, проблемы могут возникнуть только при брутфорсе (решается сложным паролем) и при эксплуатации уязвимостей самого стандарта WPA2.

Стандарт WPA2 по умолчанию использует шифрование AES , но иногда можно встретить в настройках TKIP . Это делается для обратной совместимости с устаревшими устройствами: поддерживающие WPA2 будут подключаться по новому протоколу, а устаревшие по WPA.

Если в настройках указано просто WPA2, то это означает, что устройство использует шифрование AES.

Если интересно, что же такое PSK в названии, то это «предварительный общий ключ» . Общим ключом является ваш пароль для подключения к WiFi сети.
Это главное отличие от WPA-Enterprise , в котором используется сервер для выдачи уникальных ключей. Такая конфигурация используется в корпоративных сетях.

Режимы безопасности WiFi

• Открытая сеть (Open) — сеть без пароля.
  Пожалуйста, не нужно оставлять свою сеть незапароленной, это почти то же самое, что оставить открытой входную дверь в квартире.
• WEP 64 — старый и небезопасный протокол.
• WEP 128 — такой же WEP, но с длинным ключом. На самом деле уязвим не меньше, чем WEP 64.
• WPA-PSK (TKIP) — использует стандартный WPA протокол. Небезопасен и был заменён на WPA2.
• WPA-PSK (AES) — всё ещё используется стандартный WPA, но с более продвинутым шифрованием AES.
  Данная конфигурация имеет мало смысла: устройства, поддерживающие AES, почти всегда поддерживают WPA2, в то время как устройства, требующие WPA, почти никогда не будут поддерживать шифрование AES.
• WPA2-PSK (TKIP) — используется современный WPA2, но с устаревшим шифрование TKIP. Это не самый безопасный вариант, но он хорошо совместим с устаревшими устройствами.
• WPA2-PSK (AES) — самое безопасное сочетание среди широко распространенных. Используйте его.
  В настройках некоторых роутеров может называться WPA2 или WPA2-PSK, обычно, это говорит об использовании шифрования AES.
• WPAWPA2-PSK (TKIP/AES) — многие роутеры предлагают, а некоторые устанавливают такой тип подключения автоматически.
  С одной стороны это самый совместимый режим работы: устаревшие устройства смогут подключиться через WPA, а современные через WPA2 с AES. Но этот тип подключения оставляет брешь в безопасности, все уязвимости WPA никуда не делись.

WPA2 сертифицировали в 2004 году, в 2006 он стал обязательным стандартом. Любое устройство с наклейкой WiFi на корпусе обязано его поддерживать.
Если ваши устройства (телефоны, ноутбуки, планшеты) куплены после 2008-2010 года — выбирайте в настройках WPA2-PSK (AES) и никакие проблемы совместимости вам не страшны.

А что там с WPA3?

В 2018 году Wi-Fi Alliance обнародовали самое крупное обновление стандартов за 14 лет. WPA3 очень скоро заменит WPA2, закроет его уязвимости и привнесёт ещё два дополнительных протокола. Но давайте по порядку.

Что за уязвимости в WPA2?

До 2016 года WPA2-PSK считался безопасным, но потом была открыта атака с переустановкой ключа (Key Reinstallation Attacks, KRACK ). Атака происходит в момент подключения к роутеру: используется повторяющаяся возможность соединения для анализа «рукопожатий», до тех пор, пока не будет подобран пароль.

Так же WPA2 подвержен брутфорсу и перебору пароля по словарю. Злоумышленник может перехватить часть трафика и попытаться узнать пароль простым перебором по списку самых популярных паролей.

Что будет в WPA3?

Добавили новый метод аутентификации — SAE , одновременная аутентификация равных . Метод использует предположение о равноправии устройств, вместо того, чтобы делить на устройство главное, отправляющее запросы и устройство принимающее. Теперь любая из сторон может отправить запрос на соединение и начать обмен удостоверяющими данными, а значит атака KRACK теряет смысл.

В SAE будет включен метод прямой секретности : смена шифрующего пароля при каждом новом подключении и выходе в сеть. А это значит, что перехват и расшифровка трафика раскроют только часть данных, которые были отправлены после подключения.

Дополнительные протоколы

В WPA3 будут добавлены два дополнительных протокола, не включенных в основной WPA3 и реализуемых по желанию производителей оборудования.

Easy Connect

Протокол позволяет подключать к WiFi сети устройства без экрана, в основном, это устройства умного дома. Достаточно будет отсканировать QR-код на умной лампочке с телефона, который уже подключен к нужной сети, и подключение произойдёт автоматически.

Enhanced Open

Протокол предназначен для защиты пользователей в открытой (незапароленной) сети. Все отправляемые и получаемые данные будут зашифрованы и защищены от пассивного прослушивания, так же в этой сети нельзя будет провести простую инъекцию пакетов. Это атака, во время которой отправляют пакеты неотличимые от обычного трафика, но способные привести к раскрытию ключа безопасности.

Эти протоколы будут доступны только после обновления оборудования. Для работы необходимо, чтобы они поддерживались не только роутером, но и телефоном или ноутбуком.

Но с WPA3 существуют и проблемы , из известных нам: ломается работа Chromcast , нарушается работа AirPlay , AirDrop и функция Continuity .

Замедление WiFi из-за WPA и TKIP

Современные роутеры могут снизить скорость передачи данных в беспроводной сети до 54 Мбит/с , если установить шифрование WPA и протокол TKIP . Делается это для максимальной совместимости со старыми устройствами.

Если ваше устройство предлагает на выбор AES или TKIP, устанавливайте AES . Все ваши устройства будут работать без проблем, а WiFi сеть будет безопасной и быстрой.

Подключайтесь к SkyNet, наша техническая поддержка всегда поможет настроить оборудование и охотно расскажет, как всё работает. С промокодом 345534 — 5 месяцев интернета за 1000 рублей.

Источник

TKIP или AES

TKIP и AES — это два альтернативных типа шифрования, которые применяются в режимах безопасности WPA и WPA2. В настройках безопасности беспроводной сети в роутерах и точках доступа можно выбирать один из трёх вариантов шифрования:

При выборе последнего (комбинированного) варианта клиенты смогут подключаться к точке доступа, используя любой из двух алгоритмов.

TKIP или AES? Что лучше?

Ответ: для современных устройств, однозначно больше подходит алгоритм AES.

Используйте TKIP только в том случае, если при выборе первого у вас возникают проблемы (такое иногда бывает, что при использовании шифрования AES связь с точкой доступа обрывается или не устанавливается вообще. Обычно, это называют несовместимостью оборудования).

В чём разница

AES — это современный и более безопасный алгоритм. Он совместим со стандартом 802.11n и обеспечивает высокую скорость передачи данных.

TKIP является устаревшим. Он обладает более низким уровнем безопасности и поддерживает скорость передачи данных вплоть до 54 МБит/сек.

Как перейти с TKIP на AES

Случай 1. Точка доступа работает в режиме TKIP+AES

В этом случае вам достаточно изменить тип шифрования на клиентских устройствах. Проще всего это сделать, удалив профиль сети и подключившись к ней заново.

Случай 2. Точка доступа использует только TKIP

1. Сперва зайдите на веб-интерфейс точки доступа (или роутера соответственно). Смените шифрование на AES и сохраните настройки (подробнее читайте ниже).

2. Измените шифрование на клиентских устройствах (подробнее — в следующем параграфе). И опять же, проще забыть сеть и подключиться к ней заново, введя ключ безопасности.

Включение AES-шифрования на роутере

На примере D-Link

Зайдите в раздел Wireless Setup.

Нажмите кнопку Manual Wireless Connection Setup.

Установите режим безопасности WPA2-PSK.

Найдите пункт Cipher Type и установите значение AES.

Нажмите Save Settings.

На примере TP-Link

Откройте раздел Wireless.

Выберите пункт Wireless Security.

В поле Version выберите WPA2-PSK.

В поле Encryption выберите AES.

Нажмите кнопку Save:

Изменение типа шифрования беспроводной сети в Windows

Windows 10 и Windows 8.1

В этих версиях ОС отсутствует раздел Управление беспроводными сетями. Поэтому, здесь три варианта смены шифрования.

Вариант 1. Windows сама обнаружит несовпадение параметров сети и предложит заново ввести ключ безопасности. При этом правильный алгоритм шифрования будет установлен автоматически.

Вариант 2. Windows не сможет подключиться и предложит забыть сеть, отобразив соответствующую кнопку:

После этого вы сможете подключиться к своей сети без проблем, т.к. её профиль будет удалён.

Вариант 3. Вам придётся удалять профиль сети вручную через командную строку и лишь потом подключаться к сети заново.

Выполните следующие действия:

1 Запустите командную строку.

для вывода списка сохранённых профилей беспроводных сетей.

netsh wlan delete profile "имя вашей сети"

для удаления выбранного профиля.

Если имя сети содержит пробел (например «wifi 2»), возьмите его в кавычки.

На картинке показаны все описанные действия:

4 Теперь нажмите на иконку беспроводной сети в панели задач:

6 Нажмите Подключиться:

7 Введите ключ безопасности.

8 Нажмите Далее:

Windows 7

Здесь всё проще и нагляднее.

1 Нажмите по иконке беспроводной сети в панели задач.

2 Нажмите на ссылку Центр управления сетями и общим доступом:

3 Нажмите на ссылку Управление беспроводными сетями:

4 Нажмите правой кнопкой мыши по профилю нужной сети.

5 Выберите Свойства:

Внимание! На этом шаге можно также нажать Удалить сеть и просто подключиться к ней заново! Если вы решите сделать так, то далее читать не нужно.

6 Перейдите на вкладку Безопасность.

7 В поле Тип шифрования выберите AES.

8 Нажмите OK:

Windows XP

Сделайте двойной щелчок по значку беспроводной сети в панели задач:

В открывшемся окне нажмите кнопку Беспроводные сети:

Нажмите на ссылку Изменить порядок предпочтения сетей:

В следующем окне на вкладке Беспроводные сети выделите имя нужной беспроводной сети и нажмите кнопку Свойства:

На этом этапе, как и в Windows 7, можно просто удалить профиль и затем подключиться к wifi заново. При этом верные параметры шифрования установятся автоматически.

Если же вы просто решили отредактировать настройки, то на вкладке Связи измените тип шифрования и нажмите OK:

Статьи по теме:

Источник