Који је најбољи начин заштите ВПА2: АЕС, ТКИП или оба?

ВПА2 ТКИП АЕС


Заштићени Ви-Фи приступ 2 (ВПА2) је а програм сертификовања безбедности развијен од стране Ви-Фи савеза за заштиту бежичних рачунарских мрежа. У зависности од врсте и старости бежичног рутера, имаћете на располагању неколико опција шифровања. Две главне за ВПА2-Персонал (издање које користе кућни или мали пословни корисници) јесу Напредни стандард шифрирања (АЕС) и старији Протокол временског кључа интегритета (ТКИП), или а комбинација оба.

У овом чланку ћемо објаснити шта су АЕС и ТКИП и предложите коју опцију треба да одаберете за своје уређаје који подржавају ВПА2. Морате одабрати најбољи начин шифровања, не само из безбедносних разлога, већ и због тога погрешан режим може да успори ваш уређај. Ако одаберете старији режим шифровања, чак и ако ваш вифи рутер подржава бржи тип шифрирања, пренос података ће се аутоматски успорити да би био компатибилан са старијим уређајима са којима се повезује..

Неке ћемо такође објаснити Вифи безбедносни услови који се односе на ВПА2, на пример. они наведени у доњем дијаграму, фокусирани су пре свега на ВПА2-Персонал. На пример, термини сертификације, стандарди, протоколи и програми се понекад (збуњујуће) употребљавају наизменично, а често погрешно. Да ли је АЕС протокол или врста шифровања? Да ли је ВПА2 протокол или стандард? (Упозорење за спојлер: АЕС је стандард, а ВПА2 сертификат.) У реду је бити мало попустљив према вифи терминологији, све док знате шта ови појмови заиста значе. Овај чланак поставља равно тако. И да, користимо израз „мод“ врло лагано да опишемо поставке шифрирања и аутентификације ВПА2.

ВПА2 101 - кратак преглед

Постоје две верзије ВПА2: лична (за кућну и канцеларијску употребу) и Ентерприсе (за корпоративну употребу) издања. У овом чланку ћемо се фокусирати на прву, али ћемо је упоредити са Ентерприсе верзијом, што ће вам помоћи да илуструјете шта ВПА2-Персонал не ради.

ВПА2 ТКИП АЕС

Колико су поуздане уобичајене вифи безбедносне потврде?

„Бежичне мреже су саме по себи несигурне. У раним данима бежичног умрежавања, произвођачи су покушали да то учине што једноставнијим за крајње кориснике. Изванмрежна конфигурација за већину опреме за бежично умрежавање пружала је лак (али несигуран) приступ бежичној мрежи. "(Извор: Думмиес)

Колико је безбедан ВПА2 у поређењу с другим најчешће коришћеним вифи сертификатима? Док ВПА3 није дошао дуго, ВПА2 се сматрао, КРАЦК-овима и свима, најсигурнијом опцијом. Тренутна рањивост ВПА2-а може се ефикасно закрпати, али још увек морате да одаберете најбољу врсту шифрирања за свој вифи уређај и захтеве за коришћење. Ако сте, на пример, мали посао са старијим уређајима, можда ћете морати да жртвујете брзину ради сигурности или надоградите своје уређаје. Ако сте велика организација, можда ћете се одлучити за избацивање ВПА2 и почети планирати што пре открити ВПА3.

ВПА2 АЕС ТКИП

Стандарди за повезивање Вифи шифрирања који се користе у јавним жаришним местима широм света (Извор: Касперски Сецурити Нетворк (КСН))

Колико су сигурни примарни вифи цертификати који се данас користе?

  • Отвори - Нема сигурности уопште
  • Жична еквивалентна приватност (ВЕП) - Веома је непоуздан и користи РЦ4 шифру, у почетку прихваћену због тога што је веома брза и једноставна за имплементацију. Некада популарна - према ВаиБацк Мацхине, Скипе је користио модификовану верзију око 2010. године - од тада се сматра веома несигурном. ВЕП користи методу аутентификације где сви корисници деле исти кључ, па ако је један клијент угрожен, сви у мрежи су у ризику. ВПА-ПСК (пре-дељени кључ) има исти проблем. Према Вебопедији, ВЕП је несигуран јер, као и други вифи програми, шаље поруке користећи радио таласе који су подложни прислушкивању, чиме се ефикасно обезбеђује ожичена веза. Шифрирање не спречава хакере да пресрећу поруке, а проблем са ВЕП-ом је то што користи статичку енкрипцију (један кључ за све пакете за све уређаје на мрежи), што све уређаје доводи у опасност, што је потенцијално велико привлачење хакера. Крадљивци могу ван мреже покушати да дешифрују податке у слободно време. Једна од ствари коју ВПА ради је генерисање јединственог кључа за сваки уређај, ограничавање ризика за друге клијенте када је један уређај у мрежи угрожен..
  • ВПА - Користи неефикасне ТКИП протокол шифрирања, који није сигуран. Сам ТКИП користи РЦ4 шифру, а АЕС није обавезан за ВПА. Добра метафора за рад ВПА долази из поста Супер корисника: „Ако страни језик сматрате неком врстом шифрирања, ВПА је помало слична ситуацији када све машине повезане у ову ВПА мрежу говоре истим језиком, али то је језик који је страни осталим машинама. Наравно, машине које су повезане на ову мрежу могу се међусобно нападати и чути / видети све пакете које су сви / остали послали / примили. Заштита је само од хостова који нису повезани на мрежу (нпр. Зато што не знају тајну лозинку). "
  • ВПА2 - Разумно сигуран, али осетљив на бруталне нападе и нападе из речника. Користи АЕС шифрирање и уводи начин рада бројача са шифром блокаде шифрирања ланца за провјеру идентитета поруке (ЦЦМП), јака енкрипција заснована на АЕС-у. Компатибилно је са ТКИП-ом уназад. Продавци су објавили закрпе за многе његове рањивости, нпр. КРАЦК. Један од главних сигурносних недостатака верзије ВПА2 је Вифи заштићено подешавање (ВПС), који омогућава корисницима да брзо поставе сигурну бежичну мрежу. Према УС-Церт-у, „слободно доступни алати за напад могу да поврате ВПС ПИН за 4-10 сати.“ Саветује корисницима да провере да ли су ажурирани фирмвер од њиховог добављача како би прикључили ову рањивост. ВПА2-Ентерприсе је сигурнији, али постоје и неки недостаци.
  • ВПА3 - Још увек је превише ново за добијање смислених података о употреби, али се тренутно оглашава као најсигурнија опција

АЕС, ТКИП или обоје и како функционишу?

ТКИП

Према Википедији, ТКИП је дизајниран тако да "замени" тада рањиви ВЕП "стандард" без потребе за изменама хардвера који је водио стандард ВЕП еквивалентне приватности (ВЕП). Користи РЦ4 шифру.

Нетворк Ворлд објашњава да ТКИП заправо не замењује ВЕП; то је "Омот". Нажалост, он је омотан око фундаментално несигурног ВЕП-а, а разлог је био замишљен као привремена мера, јер нико није хтео да одбаци све хардверске инвестиције које је уложио, и био је у могућности да се брзо имплементира. Последњи разлог био је довољан да га продавци и пословни менаџери одушевљено прихвате. ТКИП је увећао ВЕП сигурност:

  • Мешање основног кључа, МАЦ адресе приступне тачке (АП) и серијског броја пакета - "Операција мешања дизајнирана је тако да захтева минималну потражњу на станицама и приступним тачкама, а опет има довољно криптографске снаге да је не могу лако сломити."
  • Повећање дужине кључа на 128 бита - „Ово решава први проблем ВЕП-а: прекратка дужина кључа.“
  • Стварање а јединствени 48-битни серијски број која се увећава за сваки послати пакет тако да два кључа нису иста - „Ово решава још један проблем ВЕП-а, назван "напади судара",“До којих може доћи када се исти кључ користи за два различита пакета.
  • Смањење ризика од поновног напада са горе споменутим проширљеним вектором иницијализације (ИВ) - „Јер ће се 48-битном низу понављати требати хиљаде година, нико не може поново репродуковати старе пакете са бежичне везе—Де ће бити откривени као да нису у реду јер редни бројеви неће бити тачни. “

Колико је ТКИП заиста рањив? Према Цисцовим подацима, ТКИП је рањив на дешифровање пакета од стране нападача. Међутим, нападач може украсти само кључ за потврду идентитета, а не кључ за шифровање.

„Са обновљеним кључем, само заробљени пакети могу се фалсификовати у ограниченом прозору од највише 7 покушаја. Нападач може дешифровати само један пакет истовремено, тренутно брзином једног пакета у 12-15 минута. Поред тога, пакети се могу дешифровати само када се са бежичне приступне тачке (АП) пошаљу клијенту (једносмерно). "

Проблем је у томе што ако се открију бели шешири открију већи вектори за уметање напада, као и црни шешири.

Има Доле, када се ТКИП користи са ПСК-ом. „Са 802.1Кс аутентификацијом, тајна сесије је јединствена и сигурно је пренесена на станицу од стране сервера за потврду идентитета; када користите ТКИП са унапред дељеним кључевима, тајна сесије је иста за све и никада се не мења - отуда је рањивост коришћења ТКИП са унапред дељеним кључевима. "

АЕС

АЕС (заснован на алгоритму Рјиандаел) је шифра блока („С“ заправо значи стандард и представља још један случај збуњујуће терминологије) који се користи протоколом званим ЦЦМП. Претвара обични текст у шифрични текст и долази у дужини кључа од 28, 192 или 256 бита. Што је дужина кључа већа, хакери ће непрописљиво криптирати податке.

Сигурносни стручњаци се углавном слажу да АЕС нема значајних слабости. Истраживачи су само неколико пута успешно нападали АЕС, а ти напади су углавном били бочни.

АЕС је шифрирање избора за савезну владу САД и НАСА. За више уверења посетите Црипто форум Стацк Екцханге-а. За добро објашњене техничке детаље о томе како функционише АЕС, што је ван оквира овог чланка, посетите еТуториалс.

Вифи термини и акроними које бисте требали знати

Цертификати и стандарди

Иако је ВПА2 програм сертификације, често се назива стандардом, а понекад и протоколом. „Стандард“ и „протокол“ су описи који често користе новинари, па чак и програмери ових цертификата (и уз ризик да буду педантни), али услови могу бити мало погрешни када је у питању разумевање како се стандарди и протоколи односе на вифи цертификат, ако не сасвим нетачан.

Можемо користити аналогију возила које је сертификовано као сервисно. Произвођач ће имати смернице које прецизирају сигурност стандардима. Када купите аутомобил, биће сертификована као безбедна за вожњу од стране организације која утврђује стандарде за сигурност возила.

Дакле, иако би ВПА2 требало да се назове сертификатом, он би се лако могао назвати стандардом. Али, да би га назвали протоколом, збуњује значење стварних протокола - ТКИП, ЦЦМП и ЕАП - у ВиФи безбедности.

Протоколи и шифре

Још један слој забуне: АЕС је акроним за Адванцед Енцриптион Стандардно. А према мишљењу корисника Стацк Екцханге-а, ТКИП заправо није алгоритам за шифровање; користи се за осигуравање слања пакета података помоћу јединствених кључева за шифровање. Корисник, Луцас Кауффман, каже, „ТКИП имплементира софистициранију функцију мешања кључева за мешање сесијског кључа са иницијалним вектором за сваки пакет.“ Узгред, Кауффман дефинише ЕАП као „оквир за потврду идентитета“. Тачан је у томе што ЕАП одређује начин на који се поруке преносе; само их не шифрира. О томе ћемо поново у следећем одељку.

Користите ВПА2 и друге вифи цертификате протоколи за шифровање да осигурате ВиФи податке. ВПА2-Персонал подржава више типова шифрирања. ВПА и ВПА2 су компатибилни са ВЕП-ом уназад, који подржава само ТКИП.

Јунипер се односи на протоколе шифрирања попут АЕС и ТКИП као шифрирајуће шифре. Шифра је једноставно алгоритам који одређује како се проводи поступак шифровања.

Према АирХеадс заједници:

„Често видите ТКИП и АЕС на које се позива када обезбеђујете ВиФи клијент. Заиста, требало би га навести као ТКИП и ЦЦМП, а не АЕС. ТКИП и ЦЦМП су протоколи за шифровање. АЕС и РЦ4 су шифре, ЦЦМП / АЕС и ТКИП / РЦ4. Можете видети да продавци мешају шифру са протоколом за шифровање. Ако је полазак на испит једноставан начин да се запамтите разлика је упамтити ТКИП и ЦЦМП крај у 'П' за протокол шифрирања. [сиц] ”

Иако ЕАП, иако је аутентификација, а не протокол шифрирања.

Доња граница:

  • ВПА2-лично - Подржава ЦЦМП (који већина људи назива АЕС) и ТКИП.
  • ВПА2-Ентерприсе - Подржава ЦЦМП и прошириви протокол аутентификације (Ектенсибле Аутхентицатион Протоцол (ЕАП)).

ВПА2 шифрирање и аутентификација

Аутентификација - ПСК наспрам 802.1Кс

Као и ВПА, ВПА2 подржава ИЕЕЕ 802.1Кс / ЕАП и ПСК провјеру идентитета.

ВПА2-лично - ПСК је механизам за потврду идентитета који се користи за проверавање ВПА2-личних корисника који успостављају вифи везу. Дизајниран је пре свега за кућну и канцеларијску употребу. ПСК не треба да се постави сервер за потврду идентитета. Корисници се пријављују помоћу унапред дељеног кључа, а не помоћу корисничког имена и лозинке као у издању Ентерприсе.

ВПА2-Ентерприсе - Оригинални ИЕЕЕ 802.11 стандард („технички потребан“ стандард за вифи сертификат) објављен је 1997. Касније верзије често су развијене да би побољшале брзину преноса података и дохватиле нове безбедносне технологије. Најновија верзија ВПА2-Ентерприсе у складу је са 802.11 ја. Његов основни протокол за аутентификацију је 802.1Кс, који омогућава да се Вифи уређаји потврде аутентификацијом корисничким именом и лозинком или коришћењем безбедносног сертификата. Аутентификација 802.1Кс је распоређена на ан ААА сервер (обично РАДИУС) која пружа централизовану провјеру аутентичности и функционалност управљања корисницима. ЕАП је стандард који се користи за преношење порука и потврђивање аутентификата клијента и сервера пре испоруке. Ове поруке су осигуране преко протокола као што су ССЛ, ТЛС и ПЕАП.

Шифровање - „семенке“ и ПМК

ВПА2-лично - ПСК комбинује лозинку (претходно дељени кључ) и ССИД (који се користи као "Семе" и видљив свима у домету) за генерисање кључева за шифровање. Генерирани кључ - а Паирвисе Мастер тастер (ПМК) - користи се за шифрирање података помоћу ТКИП / ЦЦМП. ПМК се заснива на познатој вредности (лозинка), тако да свако са том вредношћу (укључујући запосленика који напушта компанију) могао би да ухвати кључ и потенцијално користи грубу силу за дешифровање саобраћаја.

Неколико речи о семенима и ССИД-овима.

  • ССИД-ови - Сва мрежна имена која се појављују на листи Ви-Фи жаришних места вашег уређаја су ССИД-ови. Софтвер за анализу мрежа може скенирати ССИД-ове, чак и оне који су наводно скривени. Према Мицрософтовом Стевеу Рилеију, „ССИД је мрежно име, а не - понављам не - лозинка. Бежична мрежа има ССИД за разликовање од осталих бежичних мрежа у близини. ССИД никада није дизајниран тако да буде скривен и зато нећете пружити вашој мрежи било какву заштиту ако то покушате да сакријете. Кршење је спецификације 802.11 због чувања вашег ССИД-а скривеним; амандман у спецификацији 802.11и (који дефинише ВПА2, расправљен касније) чак наводи да рачунар може одбити да комуницира са приступном тачком која не емитује свој ССИД. "
  • Семе - Дужине ССИД и ССИД се манипулишу пре него што се уже постану део генерисаног ПМК-а. Дужине ССИД и ССИД користе се као семенке, које иницијализирају генератор псеудо случајних бројева који се користи за слање пропусне фразе, стварајући исправан кључ. То значи да се лозинке разликују у шифри на мрежама са различитим ССИД-овима, чак и ако деле исту лозинку.

Добра лозинка може умањити потенцијални ризик повезан са коришћењем ССИД-а као семена. Лозинка би требало да се генерише насумично и често мења, посебно након коришћења ВиФи жаришта и када запослени напусти компанију.

ВПА2-Ентерприсе - Након што РАДИУС сервер потврди клијента, враћа случајне случајеве 256-битни ПМК који ЦЦМП користи за шифрирање података само за тренутну сесију. „Сјеме“ је непознато, а свака сесија захтијева нови ПМК, тако да су напади грубих сила губљење времена. ВПА2 Ентерприсе може, али обично не користи ПСК.

Који је облик шифрирања најбољи за вас, АЕС, ТКИП или обоје? (Решено)

Првобитно питање постављено у овом чланку било је да ли користите АЕС, ТКИП или обоје за ВПА2?

Одабир врсте шифрирања на вашем усмјеривачу

Ваши избори (зависно од вашег уређаја) могу да укључују:

  • ВПА2 са ТКИП-ом - Ову опцију треба да одаберете само ако су ваши уређаји престар да би се повезали са новијим АЕС типом шифровања
  • ВПА2 са АЕС - Ово је најбољи (и задани) избор за новије рутере који подржавају АЕС. Понекад ћете само видети ВПА2-ПСК, што обично значи да ваш уређај подразумевано подржава ПСК.
  • ВПА2 са АЕС и ТКИП - Ово је алтернатива за наслијеђене клијенте који не подржавају АЕС. Када користите ВПА2 са АЕС и ТКИП (што бисте можда желели да урадите ако комуницирате са наслијеђеним уређајима), могли бисте осјетити спорије брзине пријеноса. АирХеад заједница објашњава да је то зато што ће „групни шифри увек падати на најнижу шифру“. АЕС користи више рачунарске снаге, тако да ако имате много уређаја, могли бисте да смањите продуктивност у канцеларији. Максимална брзина преноса за мреже које користе лозинке ВЕП или ВПА (ТКИП) је 54 Мбпс (Извор: ЦНет).
  • ВПА / ВПА2 - Слично опцији директно изнад, ово можете одабрати ако имате неке старије уређаје, али није тако безбедан као опција која има само ВПА2

На уређају ће вам, уместо ВПА2, бити приказана опција „ВПА2-ПСК“. Можете то третирати као исту ствар.

Савети за јачање сигурности ПСК-а

Коментари Терренцеа Коемана о Стацк Екцханге-у представљају просветљујуће читање о томе зашто је ВПА2-Ентерприсе безбеднији од ВПА2-Персонал. Он такође пружа следеће савете:

  • Подесите свој ССИД („семе“ ПМК-а) на случајни низ онолико цифара колико вам је дозвољено, што ће ПМК учинити мање рањивим на нападе бруталним силама.
  • Креирајте дугачки случајни ПСК и мењајте га редовно
  • Јединствени ССИД може вас учинити рањивим на лопове који вас могу лакше гледати на Вигле. Ако сте стварно параноични, умјесто тога размислите о употреби ВПН-а.

Шта је следеће? ВПА3 је пуштен

Према НетСпот-у, „вероватно је једина мана ВПА2 колико снаге процесора потребно да би заштитио вашу мрежу. То значи да је потребан снажнији хардвер како би се избегле слабије перформансе мреже. Ово се питање односи на старије приступне тачке које су имплементиране прије ВПА2 и подржавају само ВПА2 путем надоградње управљачког софтвера. Већина тренутних приступних тачака испоручена је са способнијим хардвером. "И, већина произвођача и даље испоручује ВПА2 закрпе.

ВПА2 ће постепено бити обустављен од стране ВПА3, објављеног у јуну 2018. године након идентификације сигурносне рањивости под називом КРАЦК у ВПА2 претходне године. Очекује се да ће представљање потрајати неко време (вероватно до 2019. године) док продавци сертификују и испоруче нове уређаје. Иако су закрпе за КРАЦК рањивост издате, ВПА2 није ни приближно тако сигуран као ВПА3. За почетак бисте требали осигурати да одаберете најсигурнији начин шифрирања. Скептиц Дион Пхиллипс, пишући за ИнфиниГате, мисли, "... сумњиво је да ће се тренутни бежични уређаји ажурирати како би подржали ВПА3 и далеко вероватније да ће се наредни талас уређаја ставити кроз процес сертификације."

Договорено; на крају, вероватно ћете морати да купите нови рутер. У међувремену, да бисте остали безбедни, можете закрпати и осигурати ВПА2.

Још нема документованих извештаја о КРАЦК нападима, али ВПА3 сертификат пружа много више сигурности него само укључивање рањивости КРАЦК-а. Тренутно опционални програм сертификације, временом ће постати обавезан јер га више добављача усвоји. Сазнајте више о ВПА2 и 3 помоћу Цомпаритецх-овог чланка о томе шта је ВПА3 и колико је безбедан?

Сазнајте више о безбедности вифи-ја

  • Одличан технички увод у ТКИП, АЕС и проблематичну употребу погрешне терминологије је Тхе ТКИП Хацк
  • Ако сте забринути за ВПА2 и ваши уређаји подржавају само ТКИП, изаберите поуздану ВПН
  • Схватите основе криптографије
  • Научите како да заштитите свој вифи рутер - наговештаје за типичног корисника и свакога ко има осетљиве податке за заштиту

Такође видети:
Водич за ресурсе за шифровање
Побољшајте своју цибер сигурност

Слика прве странице за ВПА протокол Марцо Верцх. Лиценцирано под ЦЦ БИ 2.0

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 73 = 75