Какую сетевую аутентификацию выбрать на роутере?

Содержание

Wifi шифрование — какое бывает и как выбрать — Заметки Сис.Админа

Какую сетевую аутентификацию выбрать на роутере?

Доброго времени суток, дорогие друзья, знакомые и прочие личности. Сегодня поговорим про WiFi шифрование, что логично из заголовка.

Думаю, что многие из Вас пользуются такой штукой как роутеры, а значит, скорее всего, еще и Wi-Fi на них для Ваших ноутбуков, планшетов и прочих мобильных устройств.

Само собой, что этот самый вай-фай должен быть закрыт паролем, иначе вредные соседи будут безвозмездно пользоваться Вашим интернетом, а то и того хуже, — Вашим компьютером 🙂

Само собой, что помимо пароля есть еще и всякие разные типы шифрования этого самого пароля, точнее говоря, Вашего Wi-Fi протокола, чтобы им не просто не пользовались, но и не могли взломать.

В общем, сегодня хотелось бы немного поговорить с Вами о такой вещи как WiFi шифрование, а точнее этих самых WPE, WPA, WPA2, WPS и иже с ними.

Готовы? Давайте приступим.

Для начала сильно упрощенно поговорим о том как выглядит аутентификация с роутером (сервером), т.е как выглядит процесс шифрования и обмена данными. Вот такая вот у нас получается картинка:

Т.е, сначала, будучи клиентом мы говорим, что мы, — это мы, т.е знаем пароль (стрелочка зелененькая сверху). Сервер, тобишь допустим роутер, радуется и отдаёт нам случайную строку (она же является ключом с помощью которого мы шифруем данные), ну и далее происходит обмен данными, зашифрованными этим самым ключом.

Теперь же поговорим о типах шифрования, их уязвимостях и прочем прочем. Начнем по порядку, а именно с OPEN, т.е с отсутствия всякого шифра, а далее перейдем ко всему остальному.

Тип 1 — OPEN

Как Вы уже поняли (и я говорил только что), собственно, OPEN — это отсутствие всякой защиты, т.е. Wifi шифрование отсутствует как класс, и Вы и Ваш роутер абсолютно не занимаются защитой канала и передаваемых данных.

Именно по такому принципу работают проводные сети — в них нет встроенной защиты и «врезавшись» в неё или просто подключившись к хабу/свичу/роутеру сетевой адаптер будет получать пакеты всех находящихся в этом сегменте сети устройств в открытом виде.

Однако с беспроводной сетью «врезаться» можно из любого места — 10-20-50 метров и больше, причём расстояние зависит не только от мощности вашего передатчика, но и от длины антенны хакера. Поэтому открытая передача данных по беспроводной сети гораздо более опасна, ибо фактически Ваш канал доступен всем и каждому.

Один из самых первых типов Wifi шифрования это WEP. Вышел еще в конце 90-х и является, на данный момент, одним из самых слабых типов шифрования.

Во многих современных роутерах этот тип шифрования вовсе исключен из списка возможных для выбора:

Его нужно избегать почти так же, как и открытых сетей — безопасность он обеспечивает только на короткое время, спустя которое любую передачу можно полностью раскрыть вне зависимости от сложности пароля.

Ситуация усугубляется тем, что пароли в WEP — это либо 40, либо 104 бита, что есть крайне короткая комбинация и подобрать её можно за секунды (это без учёта ошибок в самом шифровании).

Основная проблема WEP — в фундаментальной ошибке проектирования. WEP фактически передаёт несколько байт этого самого ключа вместе с каждым пакетом данных.

Таким образом, вне зависимости от сложности ключа раскрыть любую передачу можно просто имея достаточное число перехваченных пакетов (несколько десятков тысяч, что довольно мало для активно использующейся сети).

Тип 3 — WPA и WPA2 (Wi-Fi Protected Access)

Это одни из самых современных на данный момент типов такой штуки, как Wifi шифрование и новых пока, по сути, почти не придумали.

Собственно, поколение этих типов шифрования пришло на смену многострадальному WEP. Длина пароля — произвольная, от 8 до 63 байт, что сильно затрудняет его подбор (сравните с 3, 6 и 15 байтами в WEP).

Стандарт поддерживает различные алгоритмы шифрования передаваемых данных после рукопожатия: TKIP и CCMP.

Первый — нечто вроде мостика между WEP и WPA, который был придуман на то время, пока IEEE были заняты созданием полноценного алгоритма CCMP. TKIP так же, как и WEP, страдает от некоторых типов атак, и в целом не сильно безопасен.

Сейчас используется редко (хотя почему вообще ещё применяется — мне не понятно) и в целом использование WPA с TKIP почти то же, что и использование простого WEP.

Кроме разных алгоритмов шифрования, WPA(2) поддерживают два разных режима начальной аутентификации (проверки пароля для доступа клиента к сети) — PSK и Enterprise. PSK (иногда его называют WPA Personal) — вход по единому паролю, который вводит клиент при подключении.

Это просто и удобно, но в случае больших компаний может быть проблемой — допустим, у вас ушёл сотрудник и чтобы он не мог больше получить доступ к сети приходится менять пароль для всей сети и уведомлять об этом других сотрудников. Enterprise снимает эту проблему благодаря наличию множества ключей, хранящихся на отдельном сервере — RADIUS.

Кроме того, Enterprise стандартизирует сам процесс аутентификации в протоколе EAP (Extensible Authentication Protocol), что позволяет написать собственный алгоритм.

Wifi шифрование WPS, он же QSS — интересная технология, которая позволяет нам вообще не думать о пароле, а просто нажать на кнопку и тут же подключиться к сети. По сути это «легальный» метод обхода защиты по паролю вообще, но удивительно то, что он получил широкое распространение при очень серьёзном просчёте в самой системе допуска — это спустя годы после печального опыта с WEP.

WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр (PIN). Однако из-за ошибки в стандарте нужно угадать лишь 4 из них. Таким образом, достаточно всего-навсего 10000 попыток подбора и вне зависимости от сложности пароля для доступа к беспроводной сети вы автоматически получаете этот доступ, а с ним в придачу — и этот самый пароль как он есть.

Учитывая, что это взаимодействие происходит до любых проверок безопасности, в секунду можно отправлять по 10-50 запросов на вход через WPS, и через 3-15 часов (иногда больше, иногда меньше) вы получите ключи от рая.

Когда данная уязвимость была раскрыта производители стали внедрять ограничение на число попыток входа (rate limit), после превышения которого точка доступа автоматически на какое-то время отключает WPS — однако до сих пор таких устройств не больше половины от уже выпущенных без этой защиты.

Даже больше — временное отключение кардинально ничего не меняет, так как при одной попытке входа в минуту нам понадобится всего 10000/60/24 = 6,94 дней. А PIN обычно отыскивается раньше, чем проходится весь цикл.

Хочу ещё раз обратить ваше внимание, что при включенном WPS ваш пароль будет неминуемо раскрыт вне зависимости от своей сложности. Поэтому если вам вообще нужен WPS — включайте его только когда производится подключение к сети, а в остальное время держите выключенным.

Послесловие

Выводы, собственно, можете сделать сами, а вообще, само собой разумеется, что стоит использовать как минимум WPA, а лучше WPA2.

В следующем материале по Wi-Fi мы поговорим о том как влияют различные типы шифрования на производительность канала и роутера, а так же рассмотрим некоторые другие нюансы.

Как и всегда, если есть какие-то вопросы, дополнения и всё такое прочее, то добро пожаловать в комментарии к теме про Wifi шифрование.

PS: За существование этого материала спасибо автору Хабра под ником ProgerXP. По сути вся текстовка взята из его материала, чтобы не изобретать велосипед своими словами.

Источник: https://sonikelf.ru/neskolko-slov-o-shifrovanii-wi-fi-protokola-chto-k-chemu-i-zachem/

Сетевая аутентификация какую выбрать dir 300?

Какую сетевую аутентификацию выбрать на роутере?

10.03.2013  безопасность | настройка роутера

Несмотря на то, что в своих инструкциях я подробно описываю то, как поставить пароль на Wi-Fi, в том числе и на роутерах D-Link, судя по некоторому анализу, есть и те, кому требуется отдельная статья на эту тему — именно про настройку пароля для беспроводной сети. Эта инструкция будет дана на примере наиболее распространенного в России роутера — D-Link DIR-300 NRU.См. также: как поменять пароль на WiFi (разные модели роутеров)

Настроен ли роутер?

Для начала давайте определимся: был ли настроен Ваш Wi-Fi роутер? Если нет, и в настоящий момент он не раздает интернет даже без пароля, то Вы можете воспользоваться инструкциями на этом сайте.

Второй вариант — настроить роутер Вам кто-то помог, но не установил пароль, либо для Вашего интернет-провайдера не требуется какая-то специальная настройка, а достаточно просто правильно подключить роутер проводами, чтобы на всех подключенных компьютерах был доступ в интернет.

Именно о защите нашей беспроводной Wi-Fi сети во втором случае и пойдет речь.

Заходим в настройки роутера

Поставить пароль на Wi-Fi роутере D-Link DIR-300 можно как с компьютера или ноутбука, подключенного по проводам или с помощью беспроводного соединения, так и с планшета или смартфона. Сам процесс одинаков во всех этих случаях.

  1. Запустите любой браузер на Вашем устройстве, как-либо соединенном с роутером
  2. В адресную строку введите следующее: 192.168.0.1 и перейдите на этот адрес. Если не открылась страница с запросом логина и пароля, попробуйте вместо указанных выше цифр ввести 192.168.1.1

Запрос пароля для входа в настройки

При запросе логина и пароля Вам следует ввести стандартные для роутеров D-Link значения: admin в обоих полях. Может оказаться, что пара admin/admin не подойдет, особенно это вероятно в случае, если Вы вызывали мастера для настройки роутера.

Если у Вас есть какая-то связь с человеком, который настраивал беспроводный маршрутизатор, можете спросить у него, какой пароль для доступа к настройкам роутера он установил.

В противном случае Вы можете сбросить роутер на заводские настройки кнопкой reset на обратной стороне (нажать и удерживать 5-10 секунд, затем отпустить и подождать минуту), но тогда сбросятся и настройки соединения, если таковые имелись.

Далее будем рассматривать ситуацию, когда авторизация прошла успешно, и мы вошли на страницу настроек роутера, которая в D-Link DIR-300 разных версий может выглядеть следующим образом:

Установка пароля на Wi-Fi

Чтобы поставить пароль на Wi-Fi на прошивке DIR-300 NRU 1.3.0 и других 1.3 (голубой интерфейс), нажмите «Настроить вручную», затем выберите вкладку «Wi-Fi», а уже в ней — вкладку «Настройки безопасности».

Установка пароля на Wi-Fi D-Link DIR-300

В поле «Сетевая аутентификация» рекомендуется остановить свой выбор на WPA2-PSK — данный алгоритм аутентификации является наиболее стойким для взлома и скорее всего, никому не удастся взломать Ваш пароль даже при большом желании.

В поле «Ключ шифрования PSK» следует указать желаемый пароль на Wi-Fi. Он должен состоять из латинских символов и цифр, причем их количество должно быть не менее 8. Нажмите «Изменить». После этого должно появиться уведомление о том, что настройки были изменены и предложение нажать «Сохранить». Сделайте это.

Для новых прошивок D-Link DIR-300 NRU 1.4.x (в темных тонах) процесс установки пароля почти не отличается: внизу страницы администрирования роутера нажмите «Расширенные настройки», после чего на вкладке Wi-Fi выберите пункт «Настройки безопасности».

Установка пароля на новой прошивке

В графе «Сетевая аутентификация» указываем «WPA2-PSK», в поле «Ключ шифрования PSK» пишем желаемый пароль, который должен состоять не менее чем из 8 латинских символов и цифр. После нажатия «Изменить» Вы окажетесь на следующей странице настроек, на которой вверху справа будет предложено сохранить изменения. Нажмите «Сохранить». Пароль на Wi-Fi установлен.

Читайте также  Как подключить IP камеру к роутеру?

Особенности при установке пароля через Wi-Fi подключение

Если Вы производили настройку пароля, подключившись по Wi-Fi, то в момент внесения изменения связь может быть разорвана и доступ к роутеру и интернету прерван. А при попытке подключения будет выдаваться сообщение о том, что «параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети». В этом случае Вам следует зайти в Центр управления сетями и общим доступом, затем в управлении беспроводными сетями удалить Вашу точку доступа. После повторного ее нахождения все, что Вам нужно будет сделать — указать установленный пароль для подключения.

Источник: https://center-vertical.com/setevaya-autentifikatsiya-kakuyu-vybrat-dir-300/

WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети

Какую сетевую аутентификацию выбрать на роутере?

В последнее время появилось много «разоблачающих» публикаций о взломе какого-либо очередного протокола или технологии, компрометирующего безопасность беспроводных сетей. Так ли это на самом деле, чего стоит бояться, и как сделать, чтобы доступ в вашу сеть был максимально защищен? Слова WEP, WPA, 802.1x, EAP, PKI для вас мало что значат? Этот небольшой обзор поможет свести воедино все применяющиеся технологии шифрования и авторизации радио-доступа. Я попробую показать, что правильно настроенная беспроводная сеть представляет собой непреодолимый барьер для злоумышленника (до известного предела, конечно).

Основы

Любое взаимодействие точки доступа (сети), и беспроводного клиента, построено на:

  • Аутентификации — как клиент и точка доступа представляются друг другу и подтверждают, что у них есть право общаться между собой;
  • Шифровании — какой алгоритм скремблирования передаваемых данных применяется, как генерируется ключ шифрования, и когда он меняется.

Параметры беспроводной сети, в первую очередь ее имя (SSID), регулярно анонсируются точкой доступа в широковещательных beacon пакетах.

Помимо ожидаемых настроек безопасности, передаются пожелания по QoS, по параметрам 802.11n, поддерживаемых скорости, сведения о других соседях и прочее. Аутентификация определяет, как клиент представляется точке.

Возможные варианты:

  • Open — так называемая открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared — подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP — подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Открытость сети не означает, что любой желающий сможет безнаказанно с ней работать.

Чтобы передавать в такой сети данные, необходимо совпадение применяющегося алгоритма шифрования, и соответственно ему корректное установление шифрованного соединения.

Алгоритмы шифрования таковы:

  • None — отсутствие шифрования, данные передаются в открытом виде
  • WEP — основанный на алгоритме RC4 шифр с разной длиной статического или динамического ключа (64 или 128 бит)
  • CKIP — проприетарная замена WEP от Cisco, ранний вариант TKIP
  • TKIP — улучшенная замена WEP с дополнительными проверками и защитой
  • AES/CCMP — наиболее совершенный алгоритм, основанный на AES256 с дополнительными проверками и защитой

Комбинация Open Authentication, No Encryption широко используется в системах гостевого доступа вроде предоставления Интернета в кафе или гостинице. Для подключения нужно знать только имя беспроводной сети. Зачастую такое подключение комбинируется с дополнительной проверкой на Captive Portal путем редиректа пользовательского HTTP-запроса на дополнительную страницу, на которой можно запросить подтверждение (логин-пароль, согласие с правилами и т.п).

Шифрование WEP скомпрометировано, и использовать его нельзя (даже в случае динамических ключей).

Широко встречающиеся термины WPA и WPA2 определяют, фактически, алгоритм шифрования (TKIP либо AES). В силу того, что уже довольно давно клиентские адаптеры поддерживают WPA2 (AES), применять шифрование по алгоритму TKIP нет смысла.

Разница между WPA2 Personal и WPA2 Enterprise состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES. Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым.

Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа. Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент.

Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент — сервер авторизации, и почти всегда это RADIUS-сервер.

Все возможные параметры безопасности сведены в этой табличке:

Свойство Статический WEP Динамический WEP WPA WPA 2 (Enterprise)
Идентификация Пользователь, компьютер, карта WLAN Пользователь, компьютер Пользователь, компьютер Пользователь, компьютер
Авторизация Общий ключ EAP EAP или общий ключ EAP или общий ключ
Целостность 32-bit Integrity Check Value (ICV) 32-bit ICV 64-bit Message Integrity Code (MIC) CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code — CCM) Part of AES
Шифрование Статический ключ Сессионный ключ Попакетный ключ через TKIP CCMP (AES)
РАспределение ключей Однократное, вручную Сегмент Pair-wise Master Key (PMK) Производное от PMK Производное от PMK
Вектор инициализации Текст, 24 бита Текст, 24 бита Расширенный вектор, 65 бит 48-бит номер пакета (PN)
Алгоритм RC4 RC4 RC4 AES
Длина ключа, бит 64/128 64/128 128 до 256
Требуемая инфраструктура Нет RADIUS RADIUS RADIUS

Если с WPA2 Personal (WPA2 PSK) всё ясно, корпоративное решение требует дополнительного рассмотрения.

WPA2 Enterprise

Здесь мы имеем дело с дополнительным набором различных протоколов. На стороне клиента специальный компонент программного обеспечения, supplicant (обычно часть ОС) взаимодействует с авторизующей частью, AAA сервером. В данном примере отображена работа унифицированной радиосети, построенной на легковесных точках доступа и контроллере. В случае использования точек доступа «с мозгами» всю роль посредника между клиентов и сервером может на себя взять сама точка.

При этом данные клиентского суппликанта по радио передаются сформированными в протокол 802.1x (EAPOL), а на стороне контроллера они оборачиваются в RADIUS-пакеты. Применение механизма авторизации EAP в вашей сети приводит к тому, что после успешной (почти наверняка открытой) аутентификации клиента точкой доступа (совместно с контроллером, если он есть) последняя просит клиента авторизоваться (подтвердить свои полномочия) у инфраструктурного RADIUS-сервера:

Использование WPA2 Enterprise требует наличия в вашей сети RADIUS-сервера.

На сегодняшний момент наиболее работоспособными являются следующие продукты:

  • Microsoft Network Policy Server (NPS), бывший IAS — конфигурируется через MMC, бесплатен, но надо купить винду
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3 — конфигурируется через веб-интерфейс, наворочен по функционалу, позволяет создавать распределенные и отказоустойчивые системы, стоит дорого
  • FreeRADIUS — бесплатен, конфигурируется текстовыми конфигами, в управлении и мониторинге не удобен

При этом контроллер внимательно наблюдает за происходящим обменом информацией, и дожидается успешной авторизации, либо отказа в ней. При успехе RADIUS-сервер способен передать точке доступа дополнительные параметры (например, в какой VLAN поместить абонента, какой ему присвоить IP-адрес, QoS профиль и т.п.). В завершении обмена RADIUS-сервер дает возможность клиенту и точке доступа сгенерировать и обменяться ключами шифрования (индивидуальными, валидными только для данной сеcсии):

EAP

Сам протокол EAP является контейнерным, то есть фактический механизм авторизации дается на откуп внутренних протоколов. На настоящий момент сколько-нибудь значимое распространение получили следующие:

  • EAP-FAST (Flexible Authentication via Secure Tunneling) — разработан фирмой Cisco; позволяет проводить авторизацию по логину-паролю, передаваемому внутри TLS туннеля между суппликантом и RADIUS-сервером
  • EAP-TLS (Transport Layer Security). Использует инфраструктуру открытых ключей (PKI) для авторизации клиента и сервера (суппликанта и RADIUS-сервера) через сертификаты, выписанные доверенным удостоверяющим центром (CA). Требует выписывания и установки клиентских сертификатов на каждое беспроводное устройство, поэтому подходит только для управляемой корпоративной среды. Сервер сертификатов Windows имеет средства, позволяющие клиенту самостоятельно генерировать себе сертификат, если клиент — член домена. Блокирование клиента легко производится отзывом его сертификата (либо через учетные записи).
  • EAP-TTLS (Tunneled Transport Layer Security) аналогичен EAP-TLS, но при создании туннеля не требуется клиентский сертификат. В таком туннеле, аналогичном SSL-соединению браузера, производится дополнительная авторизация (по паролю или как-то ещё).
  • PEAP-MSCHAPv2 (Protected EAP) — схож с EAP-TTLS в плане изначального установления шифрованного TLS туннеля между клиентом и сервером, требующего серверного сертификата. В дальнейшем в таком туннеле происходит авторизация по известному протоколу MSCHAPv2
  • PEAP-GTC (Generic Token Card) — аналогично предыдущему, но требует карт одноразовых паролей (и соответствующей инфраструктуры)

Все эти методы (кроме EAP-FAST) требуют наличия сертификата сервера (на RADIUS-сервере), выписанного удостоверяющим центром (CA). При этом сам сертификат CA должен присутствовать на устройстве клиента в группе доверенных (что нетрудно реализовать средствами групповой политики в Windows).

Дополнительно, EAP-TLS требует индивидуального клиентского сертификата. Проверка подлинности клиента осуществляется как по цифровой подписи, так (опционально) по сравнению предоставленного клиентом RADIUS-серверу сертификата с тем, что сервер извлек из PKI-инфраструктуры (Active Directory). Поддержка любого из EAP методов должна обеспечиваться суппликантом на стороне клиента. Стандартный, встроенный в Windows XP/Vista/7, iOS, Android обеспечивает как минимум EAP-TLS, и EAP-MSCHAPv2, что обуславливает популярность этих методов. С клиентскими адаптерами Intel под Windows поставляется утилита ProSet, расширяющая доступный список. Это же делает Cisco AnyConnect Client.

Насколько это надежно

В конце концов, что нужно злоумышленнику, чтобы взломать вашу сеть? Для Open Authentication, No Encryption — ничего. Подключился к сети, и всё. Поскольку радиосреда открыта, сигнал распространяется в разные стороны, заблокировать его непросто. При наличии соответствующих клиентских адаптеров, позволяющих прослушивать эфир, сетевой трафик виден так же, будто атакующий подключился в провод, в хаб, в SPAN-порт коммутатора.

Для шифрования, основанного на WEP, требуется только время на перебор IV, и одна из многих свободно доступных утилит сканирования. Для шифрования, основанного на TKIP либо AES прямое дешифрование возможно в теории, но на практике случаи взлома не встречались.

Конечно, можно попробовать подобрать ключ PSK, либо пароль к одному из EAP-методов. Распространенные атаки на данные методы не известны.

Можно пробовать применить методы социальной инженерии, либо терморектальный криптоанализ.

Получить доступ к сети, защищенной EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 можно, только зная логин-пароль пользователя (взлом как таковой невозможен). Атаки типа перебора пароля, или направленные на уязвимости в MSCHAP также не возможны либо затруднены из-за того, что EAP-канал «клиент-сервер» защищен шифрованным туннелем. Доступ к сети, закрытой PEAP-GTC возможен либо при взломе сервера токенов, либо при краже токена вместе с его паролем. Доступ к сети, закрытой EAP-TLS возможен при краже пользовательского сертификата (вместе с его приватным ключом, конечно), либо при выписывании валидного, но подставного сертификата. Такое возможно только при компрометации удостоверяющего центра, который в нормальных компаниях берегут как самый ценный IT-ресурс. Поскольку все вышеозначенные методы (кроме PEAP-GTC) допускают сохранение (кэширование) паролей/сертификатов, то при краже мобильного устройства атакующий получает полный доступ без лишних вопросов со стороны сети. В качестве меры предотвращения может служить полное шифрование жесткого диска с запросом пароля при включении устройства.

Запомните: при грамотном проектировании беспроводную сеть можно очень хорошо защитить; средств взлома такой сети не существует (до известного предела)

  • wi-fi
  • 802.1x
  • RADIUS
  • EAP
  • PEAP
  • PKI
  • безопасность в сети

Хабы:

  • Информационная безопасность

Источник: https://habr.com/post/150179/

Сетевая аутентификация какую выбрать dir 300

Какую сетевую аутентификацию выбрать на роутере?

Сетевая аутентификация — это то, с чем ежедневно сталкивается большое количество пользователей интернета. Некоторые люди не знают о том, что означает данный термин, а многие даже не подозревают о его существовании. Практически все юзеры всемирной паутины начинают рабочий день с того, что проходят процесс аутентификации. Она нужна при посещении почты, социальных сетей, форумов и прочего.

Пользователи сталкиваются с аутентификацией каждый день, сами того не подозревая.

Что означает слово аутентификация и принцип работы

Аутентификация — это процедура, с помощью которой происходит проверка пользовательских данных, например, при посещении того или иного ресурса глобальной сети. Она производит сверку данных, хранящихся на веб-портале, с теми, которые указывает юзер.

После того как аутентификация будет пройдена, вы получите доступ к той или иной информации (например, своему почтовому ящику). Это основа любой системы, которая реализована на программном уровне.

Зачастую указанный термин утилизирует более простые значения, такие как:

  • авторизация;
  • проверка подлинности.

Чтобы пройти аутентификацию, необходимо ввести логин и пароль для вашей учётной записи. В зависимости от ресурса, они могут иметь существенные отличия друг от друга. Если эксплуатировать идентичные данные на различных сайтах, то вы подвергнете себя опасности кражи вашей персональной информации злоумышленниками. В некоторых случаях указанные сведения могут выдаваться автоматически для каждого пользователя.

Чтобы ввести нужные данные, как правило, используется специальная форма на ресурсе глобальной сети или в определённом приложении. После введения нужной информации, они будут отправлены на сервер для сравнения с теми, которые имеются в базе. Если они совпали, то вы получите доступ к закрытой части сайта. Введя неправильные данные, веб-ресурс сообщит об ошибке. Проверьте их правильность и введите ещё раз.

Какую сетевую идентификацию выбрать

Многие задумываются над тем, какую сетевую идентификацию выбрать, ведь их существует несколько типов. Для начала нужно определиться с любой из них. На основе полученных сведений каждый решает самостоятельно, на каком варианте остановиться. Одним из самых новых стандартов сетевой аутентификации является IEEE 802.1х.

Читайте также  Как распределить скорость интернета на роутере?

Он получил широкую поддержку практически у всех девелоперов оборудования и разработчиков программного обеспечения. Этот стандарт поддерживает 2 метода аутентификации: открытую и с использованием пароля (ключа). В случае с открытым методом одна станция может подключиться к другой без необходимости авторизации.

Если вас не устраивает это, то необходимо утилизировать метод с использованием ключа. В случае с последним вариантом пароль шифруется одним из методов:

  • WEP;
  • WPA-персональная;
  • WPA2-персональная.

Наиболее подходящий вариант можно установить на любом роутере.

Переходим к настройкам маршрутизатора

Даже неподготовленный пользователь без проблем произведёт все необходимые конфигурации. Чтобы начать настройку прибора, необходимо подключить его к персональному компьютеру при помощи кабеля. Если это действие выполнено, то откройте любой веб-обозреватель и в адресной строке наберите http://192.168.0.1, затем нажмите Enter. Указанный адрес подходит практически для любого девайса, но более точную информацию можно прочитать в инструкции.

Кстати, это действие как раз и является аутентификацией, после прохождения которой вы получаете доступ к закрытой информации вашего роутера. Вы увидите запрос на вход в интерфейс, который поможет выполнить необходимые настройки. Если логин и пароль никто не менял, то по умолчанию практически во всех моделях от различных компоновщиков используется слово admin в обоих полях. Купленный маршрутизатор имеет открытую беспроводную сеть, так что к ней могут подключиться все желающие.

В том случае, если вас это не устраивает, её необходимо защитить.

Защищаем беспроводную сеть

В различных моделях названия меню и подменю могут отличаться. Для начала нужно зайти в меню роутера и выбрать настройку беспроводной сети Wi-Fi. Указываем имя сети. Его будут видеть все беспроводные устройства, которые необходимо подключить к прибору. Далее нам необходимо выбрать один из методов шифрования, список которых приведён выше. Мы рекомендуем эксплуатировать WPA2-PSK.

Указанный режим является одним из самых надёжных и универсальных. В соответствующем поле нужно вписать придуманный вами ключ. Он будет использоваться для подключения к беспроводной сети девайса вашими устройствами (смартфонами, ноутбуками, планшетами и другими гаджетами). После того как все вышеперечисленные действия будут выполнены, беспроводная сеть будет полностью защищена от несанкционированного подключения к ней.

Никто не сможет пользоваться вашим трафиком, не зная пароля аутентификации.

Чтобы устанавливаемый пароль смог максимально защитить вашу сеть от несанкционированного подключения, он должен состоять из достаточно большого количества символов. Рекомендуется использовать не только цифры, но и буквы верхнего и нижнего регистров.

Источник: http://NastroyVse.ru/devices/ruter/setevaya-autentifikaciya-nastrojka.html

Настройка WiFi на D-Link DIR-300

Роутер D-Link DIR-300 имеет на борту точку доступа Wi-Fi 802.11n и позволяет организовать дома беспроводную сеть, через которую мобильные гаджеты смогут выходить в интернет и получать доступ к файлам друг друга.  Правильная настройка роутера не только помогает избежать взлома домашней сети «умельцами», но и позволяет заметно повысить скорость вай-фай и увеличить зону покрытия D-Link DIR-300.

3 способа настройки Wi-Fi

После того как подключение роутера D-Link DIR-300 к сети провайдера выполнено, можно настраивать вай-фай, устанавливать пароль и раздавать интернет на беспроводные устройства. Конфигурирование точки доступа можно выполнить тремя способами:

  1. С помощью «Мастера настройки беспроводной сети»;
  2. Ручной установкой параметров;
  3. Автоматически, через протокол WPS.

Быстрая настройка

В DIR-300 предусмотрена настройка с помощью «Мастера». Этот способ требует минимальных усилий и позволяет настроить сеть Wi-Fi за считаные секунды без погружения в технические подробности.

Для установки соединения нужно войти в веб-интерфейс роутера и выбрать раздел «Мастер настройки беспроводной сети». В зависимости от прошивки, «Мастер» может располагаться в разных местах интерфейса, но все опции и пункты меню в различных версиях ПО имеют одинаковое название. Порядок действий при работе «Мастера»:

Установить режим сети «Точка доступа».

Ввести имя точки доступа – название вай-фай сети, которое отобразится на всех подключаемых устройствах. Из соображений безопасности не рекомендуется оставлять стандартное имя «DIR-300».

Выбрать пункт «Защищенная сеть» и придумать пароль, который роутер будет запрашивать у подключаемых устройств.

После выполнения этих простых шагов и применения изменений, настройка Wi-Fi с помощью «Мастера» будет завершена и D-Link DIR-300 будет полностью готов к работе.

Ручная настройка

В отличие от быстрой настройки, ручное конфигурирование позволяет учесть особенности подключаемых устройств и соседних сетей, что позволяет улучшить показатели пропускной способности и качества приема.

Базовая ручная настройка Wi-Fi-сети для домашнего использования на DIR-300 выполняется в 2 этапа:

  1. Установка основных параметров сети;
  2. Настройка параметров безопасности.

Основные настройки

Главные параметры беспроводной сети расположены в панели управления роутером на вкладке «Wi-Fi – Основные настройки». Для перехода к данному пункту в «темно-сером» интерфейсе потребуется переключиться в расширенный режим.

Описание функций:

  • Опция «Включить беспроводное соединение» управляет питанием точки доступа. Для того чтобы устройства могли использовать WiFi-подключение, галочка должна быть установлена.
  • Отключение вещания вай-фай сети без деактивации радиомодуля может понадобиться при использовании DIR-300 в режиме клиента. Если убрать эту галочку в стандартном режиме, то беспроводная связь между роутером и всеми устройствами будет прервана.
  • Параметры MBSSID и BSSID настраиваются, когда роутер используется для одновременного обслуживания нескольких беспроводных сетей. В домашних условиях такой сценарий маловероятен, а при наличии единственной сети данные параметры не могут быть изменены.
  • Если установить галочку «Скрыть точку доступа», то имя WiFi-сети перестанет отображаться как на чужих устройствах, так и на доверенных. При этом роутер не прекратит вещание. Чтобы установить подключение нового клиента, потребуется ввести имя SSID вручную. Данная функция реализована в D-Link DIR-300 для обеспечения безопасности.
  • Подбор канала можно доверить прошивке маршрутизатора, оставив значение «авто», но автоматическая настройка не всегда адекватна, что часто приводит к падению беспроводной скорости роутера. Чтобы выбрать вручную правильный канал, необходимо оценить работу соседских Wi-Fi-сетей. В «светлом» air-интерфейсе D-Link DIR-300 при выборе выпадает гистограмма, показывающая загруженность каналов.

Чем меньше загружен канал, тем выше пропускная способность, а значит, и беспроводная скорость передачи. Для более подробного изучения ситуации можно воспользоваться одной из бесплатных программ, например, WiFi-Analyzer.

  • Наличие опции выбора региона связано с различным набором каналов, разрешенных к использованию в разных странах. Если роутер и принимающий вай-фай адаптер будут иметь разные региональные настройки, то устройства могут не увидеть друг друга.
  • Беспроводной режим. Теоретически, предустановленный режим «802.11bgn mixed» хорош тем, что обеспечивает совместимость и одновременную работу как современных, так и устаревших устройств. Однако подключение к роутеру девайса, работающего по старому стандарту 802.11g, вызовет снижение пропускной способности и для остальных WiFi-устройств. Таким образом, чтобы предотвратить урезание скорости из-за обратной совместимости, нужно настроить режим N, а оборудование, которое не поддерживают новую спецификацию N – подключать к D-Link DIR-300 через Ethernet.
  • Параметр «Максимальное количество клиентов» позволяет ограничить количество одновременных беспроводных подключений.

Источник: https://ichudoru.com/setevaya-autentifikatsiya-kakuyu-vybrat-dir-300/

Метод проверки подлинности Wifi: какой лучше выбрать для роутера Asus

Какую сетевую аутентификацию выбрать на роутере?

В условиях современного развития науки и технических изобретений скоростной интернет перестает быть редкостью. Развитие мобильной техники вызвало неподдельный интерес в вопросах использования домашнего интернета между отдельными пользователями. С этой целью было создано устройство, называемое Wi-Fi роутером, целью которого является распределение интернета в условиях беспроводного соединения среди подключенных устройств.

Методы проверки подлинности

В последнее время раздачу интернет-соединения с телефона при подключенной мобильной передаче данных используют крайне редко. Информацию о факте использования интернета на телефоне операторы получают посредством показателей TTL. Для каждого устройства он свой, и после его указания происходит уменьшение каждого пакета трафика на единицу при переходе через маршрутизатор. Чтобы сделать трафик читаемым, необходимо использовать специальную утилиту или обратиться к оператору.

Чтобы роутер приступил к выполнению заявленных производителем функций, необходимо его предварительно настроить. Для этих целей с ним поставляется специальный диск с установочной программой. Легче всего справиться с настройкой можно, воспользовавшись услугами компетентных людей, поскольку вероятность возникновения неполадок в разделе безопасности сети вырастает.

При загрузке диска устройство предоставляет выбор метода проверки подлинности, состоящий из более четырех вариантов. Отдельно взятый вариант обладает как достоинствами, так и недостатками. Поэтому выбор стоит делать в пользу наиболее безопасного.

Пользователи часто задаются вопросом о том, какое шифрование выбрать для Wi-Fi.

Для большинства модулей, используемых в домашних условиях, характерна поддержка ряда способов, проверяющих подлинность сети, в частности:

  • без использования шифровальных кодов (шифра);
  • WEP тип шифрования Wi-Fi;
  • WPA/WPA2-Enterprise;
  • WPA/WPA2-Personal (WPA/WPA2-PSK).

При отсутствии защиты соединение (без шифрования Wi-Fi) считается полностью доступным. Это означает, что подключиться к сети может каждый желающий пользователь. Подобный тип разрешения нашел широкое применение в местах повышенного потока людей, то есть в общественных местах (кафе, ресторанах, метро, автобусах и так далее).

Сомнительным преимуществом сети без шифровальных кодов является отсутствие ввода пароля. Недостатком способа в отсутствии защиты соединения является тот факт, что пользователи могут занимать нужный канал собственника, тем самым уменьшая максимально возможную скорость. Однако зачастую, этого практически не заметно.

Большим минусом незащищенной сети может служить потеря конфиденциальных данных, которые поступают на устройства мошенников и злоумышленников.

Использование WEP-проверки подлинности сети характеризуется передачей данных посредством защищающего секретного ключа (кода). Его относят к типу открытой системы или открытого ключа. Для первого характерна аутентификация через фильтрацию по Mac адресу без применения еще одного ключа. Это самая минимальная защита, поэтому считать ее безопасной нельзя.

Для второго типа необходимо создать некий секретный набор символов (64, 128-битный), предназначение которого — ключ безопасности. Длину кода подсказывает сама система в зависимости от того, какая кодировка — шестнадцатеричная или ASCII. Допустимо создание нескольких комбинаций. Таким образом для данного типа проверки сети защита считается относительной и давно устаревшей.

Хорошей надежностью отличаются:

  • WPA/WPA2 — Enterprise (Wi-Fi enterprise настройка);
  • WPA/WPA2-Personal.

Первый из них широко используется во внутренней структуре предприятий, а увидеть второй можно в мелких офисах или дома. Единственным отличием между ними считается тот факт, что домашний вариант требует постоянный ключ, настраиваемый в точке доступа. Наряду с последовательностью шифрования и SSID происходит образование безопасного соединения. Для подключения к данной сети следует помнить пароль. Если его не знают посторонние, а также если он составлен с высокой долей сложности, для домашних условий — это наиболее удачный вариант.

Обратите внимание! Вышеуказанные способы проверки подлинности сети отмечаются производителями как рекомендованные.

Тип WPA/WPA2-Personal характеризуется использованием индивидуального динамического ключа с присвоением его каждому подключившемуся. Для использования в домашних условиях он не подходит по понятным причинам, поэтому основное его распространение — крупные предприятия, в которых важным условиям является организация безопасности корпоративной информации.

Дополнительную надежность создают алгоритмы шифрования. Их классифицируют на две группы:

Большее доверие проявляется к первому из них, поскольку TKIP считается производной от WEP и доказывает свою неспособность к организации высокой степени защиты соединения. Проверять соединение стоит перед подключением к интернету.

Таким образом, прочтение вышеуказанной информации позволит ответить на вопрос о том, какой тип шифрования выбрать для используемого Wi-Fi.

Какой выбрать метод проверки подлинности для Wi-Fi сети

Чтобы выбирать наилучший способ проверки подлинности для вай-фай сети, необходимо учесть, что существуют способы, которые давно потерявшие актуальность. К таковым относятся:

  • Wi-Fi 802.11 «B»;
  • Wi-Fi 802.11 «G», которые характеризуются максимальной скоростью — 54 Мегабит/сек.

Обзор и настройка модема D-Link Dir-320

В настоящий период времени на смену вышеуказанным методам пришли следующие нормы протокола:

  • 802.11 «N»;
  • 802.11 «АС», способные к скоростям более 300 Мегабит/сек.

Обратите внимание! В связи с вышеуказанной информацией, использовать защиту WPA/PSK при типе шифрования TKIP не представляется разумным.

При настраивании беспроводной сети, следует оставлять по умолчанию следующее: WPA2/PSK — AES. Также допускается в разделе, предназначенном для указания типа шифрования, указывать «Автоматически», поскольку в таком случае появляется возможность подключения устаревших вай-фай модулей.

Относительно пароля следует предусмотреть тот факт, чтобы количество символов попадало в промежуток 8-32, а также состояло из букв английской клавиатуры с использованием клавиши CapsLock и различных символов за пределами алфавита.

Таким образом, максимальная длина пароля Wi-Fi составляет 32 знака.

Метод проверки подлинности Wi-Fi какой лучше ASUS

В чем отличия между сетями 3G и 4G: особенности, преимущества и недостатки

Как узнать о типе безопасности Wi-Fi? В случаях неоднократного выполнения настроек по организации проверки подлинности сети при возникновении сомнений в защите соединения стоит выполнить следующие последовательные действия:

  • зайти в раздел настроек маршрутизатора;
  • ввести в используемом web-браузере IP-адрес роутера;
  • ввести в используемом web-браузере логин и пароль;
  • перейти по вкладке, отражающей настройки сетевой безопасности.

В зависимости от модели роутера, сетевые настройки безопасности располагаются в различных местах:

  • выбрать метод, проверяющий подлинность сети;
  • придумать надежный код безопасности (пароль);
  • завершить изменения нажатием кнопки сохранения;
  • произвести перезагрузку маршрутизатора;
  • Произвести переподключение всех устройств.

Какую защиту ставить на Wi-Fi роутере

Важным вопросом считается защита сети Wi-Fi, в частности — какую выбрать.

Приложения для контроля вай фай сетей и мониторинга трафика на Андроди

На вай-фай роутер обязательно необходимо ставить защиту. Ввиду вышеуказанной информации, сделать правильное решение будет несложно.

Для настройки способа защиты, в частности, метода шифрования, необходимо обратиться в раздел дополнительных настроек на панели управления роутером (например, TP-Link с актуальной версией прошивки).

Во вкладке дополнительных настроек следует проверить беспроводной режим.

Обратите внимание! При использовании старой версии вай-фай роутера, необходимые для защиты конфигурации, находятся в разделе безопасной защиты.

В открывшейся вкладке можно увидеть пункт периода обновления группового ключа WPA. В условиях повышенной безопасности происходит динамическое изменение реального цифрового шифровального ключа WPA. Обычно промежуток изменения задается в секундах. Если таковой пункт в конкретной версии роутера имеется, то трогать указанное по умолчанию значение нежелательно.

На маршрутизаторах «Асус» все параметры Wi-Fi расположены на одной странице «Беспроводная сеть». Аналогично и у Zyxel Keenetic — раздел «Сеть Wi-Fi — Точка доступа — Wi-Fi шифрование»

Читайте также  Как сменить логин и пароль на роутере?

В роутерах Keenetic без приставки «Zyxel» смена типа шифрования производится в разделе «Домашняя сеть».

Настройка безопасности роутера D-Link На D-Link надо найти раздел «Wi-Fi — Безопасность».

Таким образом, на основании представленной в статье информации можно узнать, какой метод проверки подлинности Wi-Fi лучше, каким образом осуществить надежную защиту домашней, а также корпоративной сетей.

Подгорнов Илья ВладимировичВсё статьи нашего сайта проходят аудит технического консультанта. Если у Вас остались вопросы, Вы всегда их можете задать на его странице.

Источник: https://Vpautinu.com/wifi/metod-proverki-podlinnosti-wifi-kakoy-luchshe-asus

Настройка WiFi на D-Link DIR-300

Какую сетевую аутентификацию выбрать на роутере?

Роутер D-Link DIR-300 имеет на борту точку доступа Wi-Fi 802.11n и позволяет организовать дома беспроводную сеть, через которую мобильные гаджеты смогут выходить в интернет и получать доступ к файлам друг друга.  Правильная настройка роутера не только помогает избежать взлома домашней сети «умельцами», но и позволяет заметно повысить скорость вай-фай и увеличить зону покрытия D-Link DIR-300.

Настройка безопасности

Профессиональные хакеры охотятся за корпоративными секретами и им вряд ли будет интересно взламывать чью-либо домашнюю точку доступа. Но существуют любители, которые могут «безобидно» подобрать пароль, чтобы воспользоваться «халявным» интернетом или подключиться к веб-камере чужого компьютера. Поэтому пренебрегать элементарными правилами безопасности все же не стоит.

Параметры защиты беспроводной сети расположены в панели управления роутером на вкладке «WiFi – Настройка безопасности». Для перехода к данному пункту в «темно-сером» интерфейсе потребуется переключиться в расширенный режим.

Описание функций:

  • Метод сетевой аутентификации, исключающий объективную возможность взлома – WPA2. В корпоративных вай-фай сетях используется доступ через сервер RADIUS, а для домашней сети подойдет предустановленный пароль-ключ PSK. Таким образом, максимальную защиту обеспечит режим WPA2-PSK.
  • Ключ шифрования – это тот самый пароль, который нужно ввести на WiFi-устройстве, чтобы выполнить подключение к D-Link DIR-300. Сложный пароль и корректная настройка – важнейшие условия безопасности сети. В качестве пароля нельзя устанавливать простые цифровые или словарные комбинации, а также дату рождения. Хороший пароль содержит более 8 знаков: цифр, спецсимволов и букв с учетом регистра. Независимо от сложности, подбор ключа – лишь вопрос времени, поэтому рекомендуется ежемесячно менять пароль на новый.
  • AES – технология шифрования данных. Обеспечивает криптостойкость ключа, не понижая при этом скорость беспроводной передачи, поэтому хорошо подходит для использования в стандарте 802.11n. Значение периода обновления следует оставить по умолчанию – 3600 секунд.
  • Предварительная аутентификация через смежные точки доступа используется только в сложных сетях с несколькими маршрутизаторами.

После выполнения этих действий и применения изменений настройка защиты Wi-Fi будет завершена и D-Link D-300 будет готов к безопасной работе.

Подключение с помощью WPS

Протокол WPS был разработан для упрощения настройки вай-фай сети. Для пользователя суть технологии заключается в том, что сопряжение роутера с любым WPS-совместимым телевизором, смартфоном или планшетом происходит без необходимости вводить пароль: при нажатии кнопки на корпусе роутера, устройства обмениваются цифровым кодом доступа и соединяются автоматически.

В зависимости от аппаратной ревизии роутера, кнопка может располагаться на боковой или тыльной части корпуса.

Краткая инструкция по подключению к D-Link DIR-300 через WPS на примере Android-устройства:

В окне «настройка WiFi» выбрать пункт «Дополнительные функции».

Выбрать опцию «Кнопка WPS».

Нажать кнопку WPS на корпусе DIR-300.

Через несколько секунд появится сообщение об успешном подключении.

Таким образом, всего за 4 простых шага можно подключить к роутеру любое WPS- совместимое устройство и никакой пароль вводить при этом не потребуется.

Несмотря на удобство данного способа сопряжения, протокол WPS обладает самой низкой защищенностью: при обмене идентификационными пакетами между устройствами, используется цифровой код, который легко может быть подобран шпионскими программами.

Дополнительные возможности

  • MAC-фильтр в D-Link DIR-300 – вспомогательное средство защиты от несанкционированного подключения по вай-фай. Позволяет настроить как черный, так и белый списки MAC-адресов.
  • «Список WiFi-клиентов» отображает актуальную информацию о подключенных устройствах. Функция позволяет принудительно отключить любого пользователя от домашней сети.
  • Вкладка «WPS» открывает доступ к параметрам упрощенного сопряжения устройств.
  • На вкладке «Дополнительные настройки» нужно обратить внимание на 2 важных параметра: «TX мощность» и «Ширина канала».

Мощность передатчика выражена в процентах. Чем она выше, тем шире зона покрытия вай-фай сети.

Ширина канала может быть выбрана автоматически – 20/40, или настраиваться вручную. Чем шире канал, тем больше пропускная способность, т. е. скорость.

Канал 40 МГц дает ощутимый прирост скорости, но является менее устойчивым к помехам от соседних сетей, чем 20 МГц. Кроме того, с приближением к границе зоны покрытия, пропускная способность 40 МГц канала сильно уменьшается.

Чтобы улучшить прием, потребуется настроить передатчик D-Link DIR-300 на максимальную мощность, но тогда роутер начнет излучать слишком сильный поток радиоволн, который будет «забивать» слабые волны от антенн мобильных гаджетов. Это существенно снизит скорость беспроводной передачи на устройствах, работающих в непосредственной близости от маршрутизатора.

Таким образом, подобрать оптимальные значения мощности и ширины канала можно только путем измерения скорости и покрытия непосредственно на месте установки DIR-300.

  • Значения остальных параметров на вкладке «Дополнительные настройки» не рекомендуется менять пользователям, не обладающим специальными знаниями.
  • Технология WMM – WiFi-Multimedia оптимизирует беспроводной трафик мультимедийных приложений. Для улучшения скоростных показателей во время просмотра онлайн-видео или звонков по скайпу, опция должна быть включена. Менять значения параметров не рекомендуется.
  • В режиме «Клиент» DIR-300 может осуществлять подключение к другому роутеру для организации сложной инфраструктуры в больших домах или офисах, а также при подключении к провайдерской вай-фай сети.

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Источник: https://ZnaiWifi.com/nastroika-routera/d-link-dir-300.html

Типы шифрования сетевого оборудования: особенности и характеристики

Какую сетевую аутентификацию выбрать на роутере?

Количество людей, которые активно пользуются интернетом растет, как на дрожжах: на работе для решения корпоративных целей и администрирования, дома, в общественных местах. Распространение получают Wi-Fi сети и оборудование, позволяющее беспрепятственно получать доступ к интернету.

Вай фай сеть обладает зашитой в виде пароля, не зная который, подключиться к конкретной сети будет практически невозможно, кроме общественных сетей (кафе, рестораны, торговые центры, точки доступа на улицах) . «Практически» не стоит понимать в буквальном смысле: умельцев, способных «вскрыть» сеть и получить доступ не только к ресурсу роутера, но и к передаваемым внутри конкретной сети данным, достаточно.

Но в этом вступительном слове мы поговорили о подключении к wi-fi — аутентификации пользователя (клиента),  когда клиентское устройство и точка доступа обнаруживают друг друга и подтверждают, что могут общаться между собой.

Варианты аутентификации:

  • Open — открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared — подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP — подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Шифрование роутера: методы и их характеристики

Шифрование — это алгоритм скремблирования (scramble — шифровать, перемешивать) передаваемых данных, изменение и генерация ключа шифрования

Для оборудования wifi были разработаны различные типы шифрования, дающие возможность защищать сеть от взлома, а данные от общего доступа.

На сегодняшний день выделяются несколько вариантов шифрования. Рассмотрим каждый из них подробнее.

Выделяются и являются самыми распространенными следующие типы:

  • OPEN;
  • WEP;
  • WPA, WPA2;
  • WPS.

Первый тип, именуемый не иначе, как OPEN, все требуемую для познания информацию содержит в названии. Зашифровать данные или защитить сетевое оборудование такой режим не позволит, потому как точка доступа будет являться при условии выбора такого типа постоянно открытой и доступной для всех устройств, которыми она будет обнаружена. Минусы и уязвимости такого типа «шифрования» очевидны.

Если сеть открыта, это не значит, что любой может с ней работать. Чтобы пользоваться такой сетью и передавать в ней данные, нужно  совпадение используемого метода шифрования. И еще одно условие пользования такой сетью отсутствие MAC-фильтра, который определяет MAC-адреса пользователей, для того, что бы распознать каким устройствам запрещено или разрешено пользоваться данной сетью

WEP

Второй тип, он же WEP, уходит корнями в 90-е годы прошлого века, являясь родоначальником всех последующих типов шифрования. Wep шифрование сегодня – слабейший из всех существующих вариантов организации защиты. Большинство современных роутеров, создаваемых специалистами и учитывающих интересы конфиденциальности пользователей, не поддерживают шифрование wep.

Среди минусов, вопреки факту наличия хоть какой-то защиты (в сравнении с OPEN), выделяется ненадежность: она обусловлена кратковременной защитой, которая активируется на определенные интервалы времени. По истечении этого промежутка, пароль к вашей сети можно будет легко подобрать, а ключ wep будет взломан за время до 1 минуты. Это обусловлено битностью wep ключа, которая составляет в зависимости от характеристик сетевого оборудования от 40 до 100 бит.

Уязвимость wep ключа заключается в факте передачи частей пароля в совокупности с пакетами данных. Перехват пакетов для специалиста – хакера или взломщика – задача, легкая для осуществления. Важно понимать и тот факт, что современные программные средства способны перехватывать пакеты данных и созданы специально для этого.

Таким образом, шифрование wep – самый ненадежный способ защиты вашей сети и сетевого оборудования.

WPA, WPA2

Такие разновидности – самые современные и совершенными с точки зрения организации зашиты на данный момент. Аналогов им не существует. Возможность задать любую удобную пользователю длину и цифробуквенную комбинацию wpa ключа довольно затрудняет жизнь желающим несанкционированно воспользоваться конкретной сетью или перехватить данные этой сети.

Данные стандарты поддерживают различные алгоритмы шифрования, которые могут передаваться после взаимодействия протоколов TKIP и AES. Тип шифрования aes является более совершенным протоколом, чем tkip, и большинством современных роутеров поддерживается и активно используется.

Шифрование wpa или wpa2 – предпочтительный тип как для домашнего использования, так и для корпоративного. Последний дает возможность применения двух режимов аутентификации: проверка паролей для доступа определенных пользователей к общей сети осуществляется, в зависимости от заданных настроек, по режиму PSK или Enterprise.

PSK предполагает доступ к сетевому оборудованию и ресурсам интернета при использовании единого пароля, который требуется ввести при подключении к роутеру. Это предпочтительный вариант для домашней сети, подключение которой осуществляется в рамках небольших площадей определенными устройствами, например: мобильным, персональным компьютером и ноутбуком.

Для компаний, имеющих солидные штаты сотрудников, PSK является недостаточно удобным режимом аутентификации, потому был разработан второй режим – Enterprise. Его использование дает возможность применения множества ключей, который будут храниться на особом выделенном сервере.

WPS

По-настоящему современная и уникальная технология – WPS, делает возможным подключение к беспроводной сети при помощи одного нажатия на кнопку. Задумываться о паролях или ключах бессмысленно, но стоит выделить и учитывать ряд серьезных недостатков, касающихся допуска к сетям с WPS.

Подключение посредством такой технологии осуществляется при использовании ключа, включающего в себя 8 символов. Уязвимость типа шифрования заключается в следующем: он обладает серьезной ошибкой, которая взломщикам или хакерам позволяет получить доступ к сети, если им доступны хотя бы 4 цифры из восьмизначной комбинации. Количество попыток подбора пароля при этом составляет порядка нескольких тысяч, однако для современных программных средств это число – смешное. Если измерять процесс форсирования WPS во времени, то процесс займет не более суток.

Стоит отметить и тот факт, что данная уязвимость находиться на стадии совершенствования и поддается исправлению, потому в последующих моделях оборудования с режимом WPS стали внедряться ограничения на количество попыток входа, что существенно затруднило задачу несанкционированного доступа для заинтересованных в этом лиц.

И тем не менее, чтобы повысить общий уровень безопасности, опытные пользователи рекомендуют принципиально отказываться от рассмотренной технологии.

Подводя итоги

Самой современной и по-настоящему надежной методикой организации защиты сети и данных, передаваемых внутри нее, является WPA или ее аналог WPA2.

Первый вариант предпочтителен для домашнего использования определенным числом устройств и пользователей.

Второй, обладающий функцией аутентификации по двум режимам, больше подходит для крупных компаний. Применение его оправдано тем, что при увольнении сотрудников нет необходимости в смене паролей и ключей, потому как определенное количество динамических паролей хранятся на специально выделенном сервере, доступ к которому имеют лишь текущие сотрудники компании.

Следует отметить, что большинство продвинутых пользователей отдают предпочтение WPA2 даже для домашнего использования. С точки зрения организации защиты оборудования и данных, такой метод шифрования является самым совершенным из существующих на сегодняшний день.

Что касается набирающего популярность WPS, то отказаться от него – значит в определенной мере обезопасить сетевое оборудование и информационные данные, передаваемые с его помощью. Пока технология не развита достаточно и не обладает всеми преимуществами, например, WPA2, от ее применения рекомендуется воздержаться вопреки кажущейся простоте применения и удобству. Ведь безопасность сети и передаваемых внутри нее информационных массивов – приоритет для большинства пользователей.

Предыдущая

Источник: https://wifiget.ru/bezopasnost-setei/shifrovanie-wi-fi-seti