Слабый уровень безопасности wi-fi. что это и как убрать

WPA3 Усовершенствования

Быстрое подключение устройств Wi-Fi

Как уже говорилось, простое соединение лучше в WPA3 и то, чего не хватает в протоколе WPA2. Добавление устройств IoT, таких как динамики WiFi и WiFi камеры, может быть как небезопасным, так и сложным. Это связано с тем, что эти устройства не позволяют пользователю вводить пароли и настраивать параметры безопасности. Для этого требуется сторонняя программа или приложение, что делает эти устройства уязвимыми для атак и киберпреступников. Повышенная безопасность домашних устройств с помощью QR-кодов также является одной из функций, которую WPA3 предлагает и недоступной для WPA2.

Повышенная безопасность сетей общего пользования

Использование точек доступа WiFi в общественных местах — это, как правило, рискованное занятие. Она подвержена атакам, так как является открытой и незащищенной сетью. WPA3, в свою очередь, обеспечивает более высокую безопасность данных при подключении к нему. Это означает, что данные, отправляемые и получаемые по незащищенной сети, будут оставаться зашифрованными и безопасными. Это работает, даже если в сети нет пароля для защиты.

Повышенная безопасность предприятия

WPA3, в отличие от WPA2, предоставляет 192-битный пакет безопасности, который обеспечивает более надежную систему безопасности для корпоративных сред. Более крупные ключи шифрования используются особенно на важных предприятиях, таких как оборона, промышленные предприятия и, конечно же, правительство. Чем больше размер ключа, тем выше безопасность шифрования данных. Это также затрудняет проникновение хакеров в критически важные сети.

Протокол предоставления устройства WiFi

Вместо общих паролей, WPA3 сможет регистрировать новые устройства, которые не потребуют этого в процессе. Новая система называется Протокол предоставления WiFi-устройств (WiFi DPP). Система функционирует путем передачи процедуры получения доступа по воздуху без передачи пароля. QR-коды и метки NFC используются пользователями для подключения к сети. Устройство можно аутентифицировать по сети, сделав фотографию или приняв радиосигнал от маршрутизатора.

Поскольку WPA3 еще не совместим и доступен со всеми продуктами, обновление до него займет некоторое время, поэтому клиентам все равно придется использовать оборудование и устройства WPA2. Скоро выйдет 802.11ax, что создаст спрос на WPA3 со стороны производителя. Это позволит покупателям повысить производительность, а также безопасность. В наши дни и в наше время никто не может иметь слишком много и того, и другого.

Прыжок в цифровую эпоху в значительной степени связан с развитием Интернета и технологий беспроводных сетей. Беспроводные сети постоянно совершенствуют свои услуги, повышая безопасность и производительность. Хотя у WiFi-провайдеров все еще есть свои недостатки, они делают все возможное для устранения своих уязвимостей, чтобы избежать атак со стороны всевозможных киберпреступников. Несмотря на рост и доступность защищенных беспроводных сетей, многие части мира и их организации и партнеры остаются уязвимыми. Эти уязвимости, если они не будут устранены немедленно, могут привести к выходу всей системы из строя со стороны злоумышленников. Специалисты по безопасности рекомендуют всегда поддерживать сетевую безопасность в актуальном состоянии, чтобы избежать подобных проблем.

Потребуется год-два, чтобы полностью реализовать WPA3 в некоторых странах мира. Более развитые страны приведут к этим изменениям, и мы надеемся, что остальной мир сможет добиться их.

Уязвимости

6 ноября 2008 года на конференции PacSec был представлен способ, позволяющий взломать ключ TKIP, используемый в WPA, за 12—15 минут. Этот метод позволяет прочитать данные, передаваемые от точки доступа клиентской машине, а также передавать поддельную информацию на клиентскую машину. Данные, передаваемые от клиента к маршрутизатору, пока прочитать не удалось. Ещё одним условием успешной атаки было включение QoS на маршрутизаторе.

В 2009 году сотрудниками университета Хиросимы и университета Кобе, Тосихиру Оигаси и Масакату Мории был разработан и успешно реализован на практике новый метод атаки, который позволяет взломать любое WPA соединение без ограничений, причём, в лучшем случае, время взлома составляет 1 минуту.

Соединения WPA, использующие более защищённый стандарт шифрования ключа AES, а также WPA2-соединения, не подвержены этим атакам.

23 июля 2010 года была опубликована информация об уязвимости Hole196 в протоколе WPA2. Используя эту уязвимость, авторизовавшийся в сети пользователь может расшифровывать данные других пользователей, используя свой закрытый ключ. Никакого взлома ключей или брут-форса не требуется.

Тем не менее, до 2017 года основными методами взлома WPA2 PSK являлись атака по словарю и брутфорс. Для этого в режиме мониторинга беспроводной карты сканируется эфир и записываются необходимые пакеты. Далее проводится деавторизация клиента для захвата начального обмена пакетами — «» (англ. handshake), либо нужно ждать пока клиент совершит подключение. После этого уже нет необходимости находиться недалеко от атакуемой точки доступа. Атака проводится офлайн с помощью специальной программы и файла с хэндшейком.

В октябре 2017 году была опубликована атака переустановки ключа на WPA2, названная KRACK, которая позволяет сбросить nonce, при использовании AES-CCMP воспроизводить ранее отправленные пакеты и расшифровывать их, при использовании режимов WPA TKIP и GCMP — расшифровывать и внедрять пакеты в соединение.

Защита доступа к настройкам

При получении доступа к беспроводной сети злоумышленника, он может получить возможность доступа к роутеру пользователя. В таком случае он может узнать множество данных, которые включают в себя даже настройки безопасности, которые он может изменить на свое усмотрение. Самое простое его действие — смена данных о пароле. Вернуть контроль над устройством поможет только сброс настроек.

Обратите внимание! Защита устройств передачи данных от несанкционированного доступа — самый важный пункт из списка требуемых действий. Чтобы обезопасить свое оборудование, необходимо выполнить несколько действий:

Чтобы обезопасить свое оборудование, необходимо выполнить несколько действий:

  • Подключение к роутеру можно совершить двумя способами — по проводу или беспроводной сети. Первый способ намного более безопасен. Роутер необходимо соединить с помощью LAN-порта к персональному компьютеру или ноутбуку;
  • Изначально, в меню роутера можно войти набором в адресной строке цифр 192.168.1.1 или 192.168.0.1. Эти данные зачастую указаны на корпусе самого устройства. В том случае, если эти данные менялись пользователем, то можно войти другими путями. Первый — нажатием кнопки Reset и удерживанием около 10 секунд. Это сбросит все установки до начальных. Второй способ — посмотреть адрес при помощи командной строки. Для этого нужно нажать комбинацию Win+R и ввести команду «cmd» + Enter». После чего потребуется набрать «ipconfig» и также нажать Enter. Потом необходимо найти строку основного шлюза. Это и будет искомым адресом;
  • Требуется указать пароль и логин. Зачастую это «admin» и «admin», или другие примитивные данные. Они также печатаются на корпусе устройства. В том случае, ели они менялись или забылись, также придется включить сброс;
  • Откроется web-интерфейс. Он различен для разного рода оборудования, но общий принцип пользования идентичен. В левом меню нужно нажать последовательность: Системные инструменты — Система — Администрирование — Управление. В открывшемся меню будет возможность изменить данные конфиденциальности.

Настройка защиты сети WiFi

Безопасность сети WiFi
определяется настройками точки доступа. Несколько этих настроек прямо влияют
на безопасность сети.

Режим доступа к сети WiFi

Точка доступа может работать в одном из двух режимов —
открытом или защищенном. В случае открытого доступа, подключиться к точке
досутпа может любое устройство. В случае защищенного доступа подключается
только то устройство, которое передаст правильный пароль доступа.

Существует три типа (стандарта) защиты WiFi
сетей:

  • WEP (Wired Equivalent Privacy)
    . Самый первый стандарт
    защиты. Сегодня фактически не обеспечивает защиту, поскольку взламывается
    очень легко благодаря слабости механизмов защиты.
  • WPA (Wi-Fi Protected Access)
    . Хронологически второй
    стандарт защиты. На момент создания и ввода в эксплуатацию обеспечивал
    эффективную защиту WiFi
    сетей. Но в конце нулевых годов были найдены возможности для взлома
    защиты WPA через уязвимости в механизмах
    защиты.
  • WPA2 (Wi-Fi Protected Access)
    . Последний стандарт защиты. Обеспечивает
    надежную защиту при соблюдении определенных правил. На сегодняшний день
    известны только два способа взлома защиты WPA2.
    Перебор пароля по словарю и обходной путь, через службу WPS.

Таким образом, для обеспечения безопасности сети WiFi
необходимо выбирать тип защиты WPA2.
Однако не все клиентские устройства могут его поддерживать. Например
Windows XP SP2 поддерживает только WPA.

Помимо выбора стандарта WPA2 необходимы дополнительные
условия:

Пароль для доступа к сети WiFi необходимо составлять следующим образом:

  1. Используйте
    буквы и цифры в пароле. Произвольный набор
    букв и цифр. Либо очень редкое, значимое только для вас, слово или фразу.
  2. Не
    используйте простые пароли вроде имя + дата
    рождения, или какое-то слово + несколько цифр, например
    lena1991
    или dom12345
    .
  3. Если необходимо использовать только цифровой пароль, тогда его длина должна
    быть не менее 10 символов. Потому что восьмисимвольный цифровой пароль
    подбирается методом перебора за реальное время (от нескольких часов до
    нескольких дней, в зависимости от мощности компьютера).

Если вы будете использовать сложные пароли, в
соответствии с этими правилами, то вашу WiFi сеть нельзя будет взломать
методом подбора пароля по словарю. Например, для пароля вида 5Fb9pE2a

(произвольный буквенно-цифровой), максимально возможно 218340105584896
комбинаций.
Сегодня это практически невозможно для подбора. Даже если компьютер будет
сравнивать 1 000 000 (миллион) слов в секунду, ему потребуется почти 7 лет для перебора всех значений.

WPS (Wi-Fi Protected Setup)

Если точка доступа имеет функцию WPS
(Wi-Fi Protected Setup), нужно отключить ее. Если эта функция необходима, нужно убедиться что ее
версия обновлена до следующих возможностей:

  1. Использование всех 8 символов пинкода вместо 4-х, как
    это было вначале.
  2. Включение задержки после нескольких попыток передачи
    неправильного пинкода со
    стороны клиента.

Дополнительная возможность улучшить защиту
WPS это использование цифробуквенного пинкода.

Configure in Personal Mode

The term personal mode refers to products that are tested to be interoperable in the PSK-only mode of operation for authentication. This mode requires manual configuration of a PSK on the AP and clients. PSK authenticates users via a password, or identification code, on both the client station and the AP. No authentication server is necessary. A client can gain access to the network only if the client password matches the AP password. The password also provides the keying material that TKIP or AES uses to generate an encryption key for the encryption of the data packets. Personal mode is targeted to SOHO environments and is not considered secure for enterprise environments. This section provides the configuration that you need to implement WPA 2 in the personal mode of operation.

Network Setup

In this setup, a user with a WPA 2-compatible client adapter authenticates to an Aironet 1310G AP/Bridge. Key management occurs with the use of WPA 2 PSK, with AES-CCMP encryption configured. The sections and show the configuration on the AP and the client adapter.

Configure the AP

Complete these steps:

  1. Choose Security > Encryption Manager in the menu on the left and complete these steps:

    1. From the Cipher menu, choose AES CCMP.

      This option enables AES encryption with the use of Counter Mode with CCMP.

    2. Click Apply.

  2. Choose Security > SSID Manager and create a new SSID for use with WPA 2.

    1. Check the Open Authentication check box.

    2. Scroll down the Security: SSID Manager window to the Authenticated Key Management area and complete these steps:

      1. From the Key Management menu, choose Mandatory.

      2. Check the WPA check box on the right.

    3. Enter the WPA PSK shared secret key or the WPA PSK passphrase key.

      This key must match the WPA PSK key that you configure on the client adapter.

    4. Click Apply.

The AP can now receive authentication requests from the wireless clients.

Configure the Client Adapter

Complete these steps:

  1. In the Profile Management window on the ADU, click New in order to create a new profile.

    A new window displays where you can set the configuration for WPA 2 PSK mode of operation. Under the General tab, enter the Profile Name and the SSID that the client adapter will use.

    In this example, the profile name is WPA2-PSK and the SSID is WPA2PSK:

    Note: The SSID must match the SSID that you configured on the AP for WPA 2 PSK.

  2. Click the Security tab and click WPA/WPA2 Passphrase.

    This action enables either WPA PSK or WPA 2 PSK, whichever you configure on the AP.

  3. Click Configure.

    The Define WPA/WPA2 Pre-Shared Key window displays.

  4. Obtain the WPA/WPA2 passphrase from your system administrator and enter the passphrase in the WPA/WPA2 passphrase field.

    Obtain the passphrase for the AP in an infrastructure network or the passphrase for other clients in an ad hoc network.

    Use these guidelines in order to enter a passphrase:

    • WPA/WPA2 passphrases must contain between 8 and 63 ASCII text characters or 64 hexadecimal characters.

    • Your client adapter WPA/WPA2 passphrase must match the passphrase of the AP with which you plan to communicate.

  5. Click OK in order to save the passphrase and return to the Profile Management window.

Verify

Use this section to confirm that your configuration works properly.

After the WPA 2 PSK profile is activated, the AP authenticates the client based on the WPA 2 passphrase (PSK) and provides access to the WLAN.

  1. Check the ADU Current Status in order to verify successful authentication.

    This window provides an example. The window shows that the encryption that is used is AES and that no server-based authentication is performed:

  2. Check the AP/bridge Event Log in order to verify that the client has been authenticated successfully with WPA 2 PSK mode of authentication.

Часто задаваемые вопросы

Как узнать, какой протокол безопасности используется на роутере?

Протокол безопасности роутера можно узнать через веб-интерфейс управления или приложение в разделе сетевой безопасности. Перед покупкой нового роутера не будет лишним почитать о функциях Wi-Fi безопасности на сайте производителя.

Все ли устройства Deco поддерживают HomeCare?

В настоящее время HomeCare поддерживают следующие устройства: Deco X60, Deco X20, Deco M9 Plus, Deco P7 и Deco M5. Поскольку все устройства Deco работают вместе для создания единой домашней Mesh-сети Wi-Fi, можно купить одну из перечисленных моделей на роль основного роутера для защиты всей домашней сети.

Каким образом Deco защищает IoT-устройства и устройства умного дома?

TP-Link HomeCare выявляет проникновения, блокирует потенциальные угрозы и устраняет уязвимости сети. Заражённые устройства автоматически отправляются на карантин, благодаря чему личная информация останется в безопасности и будет остановлено дальнейшее распространение вируса на другие устройства.

Характеристики беспроводных WiFi адаптеров для ноутбука и компьютера

Кроме классификации по типу встроенный/внешний, при выборе сетевого wifi адаптера необходимо обратить внимание на его технические характеристики

Во-первых, нужно выбирать такое устройство, которое поддерживает самый последний стандарт передачи данных — на частоте 2.4 ГГц со скоростью до 300 мбит в секунду — 802.11 N. Если же у вас роутер двухдиапазонный, то есть поддерживающий диапазон частот 5 ГГц, то вы можете значительно повысить скорость и стабильность соелинения — до 700 мбит/c по стандарту 802.11 АС

И хотя они стоят чуть дороже, выбирая себе такую вещь вы избавляете от возможных проблем в будущем — техника очень быстро стареет.
Во-вторых, нужно обратить внимание на мощность принимающей антенны. Самый оптимальный вариант — от 20 dBM

Эта характеристика указывается в инструкциях. Выбирая по этому параметру вы обеспечиваете себе более стабильный прием не очень сильны сигналов. Хорошей характеристикой является наличие разъема для подключения внешней антенны. В более дорогих моделях беспроводных адаптеров wifi она уже есть в комплекте, чаще всего, несъемная. В дешевых же наоборот, она спрятана внутрь корпуса устройства. Однако наличие такого разъема позволит докупить более мощную антенну отдельно. Для такого типа антенн рекомендуется усиление 3 dBi (децибел). На рисунке ниже — самый недорогой вариант со встроенной антенной. Скорость в таких моделях обычно не превышает 150 мбит/с, поэтому они подойдут только для выполнения в интернете несложных офисных задач

Больше размер — мощнее начинка Более производительный — с внешней съемной антенной И самая мощь — несколько антенн + USB удлинитель

Еще одним положительным моментом является наличие в комплекте адаптера USB удлинителя. Это удобно, когда компьютер стоит где-то под столом, вывести сам блок приемника на поверхность для улучшения качества связи. Кстати, выносной модуль с антеннами встречается и на PCI моделях
Поддержка типов шифрования WPA/WPA2 и WPA-PSK/WPA2-PSK. Это самые совершенные на сегодня стандарты обеспечения безопасности для беспроводной сети, которые позволяют надежно оградить е от злоумышленников Поддержка различных режимов соединения. Основным режимом любого wifi адаптера беспроводной сети является от точки доступа к клиенту, то есть вы получаете на него сигнал от роутера, благодаря чему на компьютере есть интернет. Но есть и еще один режим — Ad-Hoc (клиент-клиент). Он позволит напрямую связать два клиентских компьютера минуя роутер. Различные дополнительные характеристики

Не нужно трогать настройки роутера

Предполагается, что настройку оборудования лучше оставить профессионалам и ваше вмешательство способно только навредить работоспособности сети. Обычный способ представителей провайдера (и сисадминов) запугать пользователя, чтобы снизить вероятность неправильных настроек и последующих вызовов на дом.

Понятно, что если вы вообще не представляете, о чём там речь, лучше ничего не трогать, но даже непрофессионал вполне способен изменить некоторые настройки, повысив защищённость, надёжность и производительность сети. Хотя бы зайдите в веб-интерфейс и ознакомьтесь с тем, что там можно изменить — но если вы не знаете, что это даст, лучше оставьте всё как есть.

В любом случае есть смысл внести четыре поправки, если они уже не сделаны в настройках вашего роутера:

1) По возможности переключайтесь на новый стандарт — если его поддерживает как роутер, так и ваши устройства. Переход с 802.11n на 802.11ac даст существенный прирост скорости, как и переключение с более старых 802.11b/g на 802.11n.

2) Поменяйте тип шифрования. Некоторые установщики до сих пор оставляют домашние беспроводные сети либо полностью открытыми, либо с устаревшим стандартом шифрования WEP. Обязательно нужно поменять тип на WPA2 c шифрованием AES и сложным длинным паролем.

3) Измените логин и пароль по умолчанию. Практически все провайдеры при установке нового оборудования оставляют эти данные по умолчанию — если только их специально не попросить о смене. Это общеизвестная «дыра» домашних сетей, и любой хакер для начала обязательно попробует воспользоваться именно ею.

4) Отключите WPS (Wi-Fi Protected Setup). Технология WPS обычно включена в роутерах по умолчанию — она предназначена для быстрого подключения совместимых мобильных устройств к сети без ввода длинных паролей. Вместе с тем WPS делает вашу локальную сеть очень уязвимой для взлома путём метода «грубой силы» — простого подбора пин-кода WPS, состоящего из 8 цифр, после чего злоумышленник без проблем получит доступ к ключу WPA/WPA2 PSK. При этом из-за ошибки в стандарте достаточно определить всего 4 цифры, а это уже всего 11 000 сочетаний, и для взлома понадобится перебрать далеко не все из них.

Никто не станет взламывать мою домашнюю сеть

Более того, почему-то упорно циркулирует мнение, что якобы небольшие беспроводные сети взломать сложнее, чем крупные, в чём есть крупица правды, но в целом это тоже миф. Очевидно, это утверждение основано на том, что у мелких локальных сетей ограниченная дальность распространения сигнала, поэтому достаточно понизить его уровень, и хакер просто не сможет обнаружить такую сеть из припаркованного рядом автомобиля или кафе по-соседству.

Возможно, когда-то это было так, но сегодняшние взломщики оснащены высокочувствительными антеннами, способными принять даже самый слабый сигнал. И тот факт, что у вас на кухне планшет постоянно теряет связь, вовсе не означает, что хакеру, сидящему в машине за два дома от вас, не удастся покопаться в вашей беспроводной сети.

Что же касается мнения, что взлом вашей сети не стоит потраченных усилий, то это совсем не так: в ваших гаджетах хранится море всевозможной персональной информации, которая, как минимум, позволит злоумышленнику от вашего имени заказать покупки, получить кредит, или, воспользовавшись методами социальной инженерии, добиться ещё более неочевидных целей вроде проникновения в сеть вашего работодателя или даже его партнёров. При этом отношение к сетевой безопасности у простых пользователей сегодня настолько пренебрежительное, что взломать домашнюю сеть не составит особого труда даже для новичков.

Меняем ключ безопасности

Менять ключ безопасности нужно сразу после покупки роутера, при первом подключении. Позднее эта процедура выполняется через веб-интерфейс. На технике разных брендов редактирование отличается.

Перед тем, как изменить ключ безопасности сети, потребуется открыть веб-интерфейс.

Нужно перевернуть устройство. Снизу располагается наклейка с IP-адресом, именем и паролем. Если она отсутствует, нужно ввести «cmd» в строке поиска и вызвать Командную строку. Ввести «ipconfig/all», затем «Enter». Информация в строках «DHCP-сервер» и «Основной шлюз».

IP-адрес (обычно 192.168.1.1 или 192.168.0.1) нужно внести в адресную строку интернет-обозревателя и нажать «Enter». Для входа задействовать логин и пароль, размещенные снизу прибора. Часто это «admin/admin» (если владелец не редактировал параметры).

Asus

Руководство:

  1. Авторизоваться на странице управления роутером.
  2. Открыть вкладку «Беспроводная сеть».
  3. В поле «Предварительный ключ WPA» добавить новое значение.
  4. Нажать «Применить».

Далее нужно перезагрузить маршрутизатор, чтобы изменения вступили в силу.

TP-Link

На разных моделях роутеров TP-Link действия отличаются.

Первый вариант (модели со старым, зеленым веб-интерфейсом):

  1. Кликнуть «Беспроводной режим».
  2. Перейти в «Защиту беспроводного режима».
  3. Из трех типов шифрования (WEP, WPA/WPA2 – Enterprise или Personal) выбрать последний, с меткой «Рекомендуется».
  4. В поле «Пароль PSK» ввести новый ключ.
  5. Нажать «Сохранить».

Второй вариант (модели с новым, синим веб-интерфейсом):

  1. Открыть раздел «Базовая настройка».
  2. Выбрать «Беспроводной режим».
  3. Изменить значения в строке «Пароль» (если роутер функционирует в двух диапазонах, поменять комбинации нужно в обеих строках).
  4. Сохранить обновленные значения.

После установки нового значения выполнить перезагрузку роутера.

D-Link

Инструкция для эмуляторов D-Link:

  1. Кликнуть «Wi-Fi».
  2. Перейти в «Настройки безопасности».
  3. В строчку «Ключ шифрования PSK» добавить новые данные.
  4. Нажать «Применить».

Далее нужно перезапустить устройство.

ZYXEL

Роутеры ZYXEL имеют разный интерфейс, в зависимости от года выпуска и серии модели, но общий принцип одинаков.

  1. Открыть раздел «Wi-Fi», выбрать «Безопасность».
  2. В поле «Проверка подлинности» указать «WPA-PSK/WPA2-PSK».
  3. В строке «Сетевой ключ» указать пароль.
  4. Нажать «Применить».

После сохранения изменений нужна перезагрузка маршрутизатора.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий