Рекомендуємо, 2022

Вибір Редакції

TKIP проти AES: Пояснено протоколи безпеки Wi-Fi

Під час налаштування маршрутизатора вдома або на роботі, ви повинні мати декілька варіантів, коли йдеться про вибір стандартів безпеки для з'єднання Wi-Fi. WEP, WPA, WPA2, CCMP, EMP, TKIP, AES… список є таким, наскільки це заплутано. Хоча варіанти (майже) завжди добре, для звичайного користувача Інтернету важко вибрати один, особливо коли більшість з нас не знає, як один стандарт відрізняється від іншого. Добре, ті, хто не знає, повинні дотримуватися протоколу WPA2, оскільки це найчастіше використовується стандартний протокол безпеки WiFi. Проте WPA2 використовує два різні типи шифрування; AES і TKIP. У цій статті ми дізнаємося трохи більше про кожну з них, щоб допомогти вам вирішити, який з них слід вибрати.

Що таке TKIP?

Протокол TKIP, або Тимчасовий ключовий інтегрований протокол, був введений в перші роки цього тисячоліття як запобіжний захід безпеки, який замінить старий і по суті небезпечний WEP (Wired Equivalent Privacy) стандарт шифрування, який широко використовувався на ранній Wi-Fi обладнання. наприкінці 1990-х і на початку 2000-х років. Незважаючи на те, що TKIP має бути принаймні відносно більш захищеним, ніж WEP, стандарт з тих пір був відхилений у перегляді Wi-Fi 802.11 у 2012 році після того, як було встановлено, що вони мають яскраві лазівки в безпеці, які можуть бути використані хакерами без особливих проблем . Це пов'язано з тим, що TKIP використовує той самий основний механізм, що й WEP, і, отже, однаково вразливий до атак. Сказавши це, деякі нові функції безпеки, реалізовані за допомогою стандарту WPA-PSK (TKIP), як, наприклад, хешування ключів за пакетами, поворот клавіш мовлення та лічильник послідовностей, означали, що вона вдалося усунути деякі слабкі місця WEP, подібно до сумнозвісних атак відновлення ключів, до яких піддався старий стандарт, хоча протокол має значні вразливості.

Що таке AES?

Для розширеного стандарту шифрування AES - це набір шифрів, розмір яких становить 128 біт, а довжина ключа - 128, 192 або 256 біт залежно від апаратного забезпечення. Незважаючи на те, що він поставляється з власним багажем, це набагато більш захищений протокол, який замінює той протокол DES (Data Encryption Standard), який був виданий ще в 1970-х роках. На відміну від свого попередника, AES не використовує мережу Fiestel, а замість цього використовує основну конструкцію, відому як мережа заміщення-перестановки, як основу для свого алгоритму блокового шифрування. Це стандарт шифрування вибору для федерального уряду США і є єдиним загальнодоступним шифром, затвердженим Агентством національної безпеки країни (NSA). Хоча деякі криптографи час від часу представляли докази припущених уразливостей в AES, всі вони виявилися непрактичними або неефективними щодо повної реалізації AES-128.

Зображення надано: D-Link

WPA, WPA2, WEP: Що про ці скорочення?

Ви отримуєте можливість використовувати або TKIP або AES з більшістю маршрутизаторів, доступних сьогодні на ринку, але те, що щодо всіх інших примхливих скорочень, як WPA, WPA2, WEP, PSK, Enterprise, Personal і т.д. тощо? Щоб почати, одна річ, яку ви повинні абсолютно пам'ятати, це те, що WEP, або Wired Equivalent Privacy, є багаторічним протоколом, який виявився надзвичайно вразливим, тому його слід передавати в історію, коли вона належить. WPA (захищений доступ Wi-Fi), який замінив WEP, є більш новим протоколом, який є відносно більш безпечним, хоча, як виявилося, він також є неефективним проти компетентних хакерів.

Зображення надано: LinkSys

Найновіший і найбезпечніший протокол WPA2, який став промисловим стандартом в середині останнього десятиліття, повинен бути стандартним алгоритмом безпеки для практично всіх пристроїв Wi-Fi, запущених у 2006 році, коли стандарт став обов'язковим для всіх нових пристроїв Wi-Fi . Хоча старий WPA був створений для зворотної сумісності зі старим обладнанням Wi-Fi, захищеним WEP, WPA2 не працює зі старими мережевими картами та застарілими пристроями.

Різниця між персоналом, підприємством та WPS

Деякі з вас можуть здивуватися про ще кілька заплутаних скорочень, з якими ви повинні мати справу під час налаштування маршрутизатора. Таким чином, особистий і корпоративний режими - це не стільки різні протоколи шифрування, скільки механізми розподілу ключів аутентифікації для розрізнення кінцевих користувачів. Режим "Особистий", який також називається PSK або попередньо розділений ключ, призначений в основному для мереж домашнього та малого офісу і не вимагає сервера аутентифікації. Здебільшого, все, що вам потрібно, це в основному пароль для входу в ці мережі.

Режим підприємства, з іншого боку, призначений в основному для корпоративних мереж, і хоча він забезпечує додаткову безпеку, він також вимагає набагато складнішого налаштування. Для перевірки автентичності на сервері вимагається сервер аутентифікації RADIUS, який використовує EAP (протокол розширеної автентифікації) для автентифікації. Особисті та корпоративні режими доступні як з WPA, так і з WPA2, як це видно з наведеного зображення на сторінці налаштування LinkSys EA7300.

Зображення надано: D-Link

Також існує інший механізм розподілу ключів автентифікації, який називається WPS (Wi-Fi Protected Setup), але було доведено, що він має кілька проблем безпеки, включаючи те, що відомо як уразливість Wi-Fi Pin Recovery, яка потенційно може дозволити віддаленим зловмисникам відновити WPS PIN-код, що дозволяє досить легко розшифрувати пароль Wi-Fi маршрутизатора.

TKIP проти AES проти TKIP / AES: як вибрати правильний варіант?

Ви вже знаєте, що між стандартами TKIP та AES немає реальних суперечок. Це відбувається тому, що, на відміну від старого, застарілого протоколу, не існує жодного документованого практичного зламу, який би дозволив віддаленому зловмисникові читати дані, зашифровані AES. Однак, враховуючи, що деякі маршрутизатори дійсно пропонують вам заплутану опцію "TKIP / AES", багато хто з вас, можливо, здивуються, чи є якісь переваги при виборі цієї програми. Так ось угода. Змішаний режим TKIP / AES призначений лише для зворотної сумісності з застарілим обладнанням Wi-Fi з минулої ери, тому, якщо ви не використовуєте жодного такого пристрою, експерти з кібербезпеки рекомендують використовувати WPA2-PSK / Personal (AES) раз . У випадку, якщо ви отримали старе - і я маю на увазі дійсно старе - обладнання Wi-Fi, яке було запущено без AES, змішана конфігурація WPA / WPA2 (TKIP / AES) може бути необхідним злом, до якого вам потрібно звернутися, але пам'ятаєте це може також зробити вас вразливими до порушень безпеки, завдяки всім дірам з безпеки, знайденим у протоколах WPA та TKIP.

Якщо підвищеної безпеки не вистачить, щоб переконати вас у перевазі дотримання стандарту WPA2 (AES), можливо, наступний фрагмент інформації переконує вас у цьому. Використання WPA / TKIP для сумісності також означає, що ви отримаєте відносно повільніший зв'язок . Ви дійсно не помітите, якщо ви все ще залишилися на повільних з'єднаннях, але багато сучасних ультрашвидких маршрутизаторів, які підтримують 802.11n / ac, підтримуватимуть швидкість до 54Mbps зі змішаним режимом, так що дорогий Gigabit Ваше з'єднання все ще буде знижено до 54Mbps, якщо ви використовуєте шифрування змішаного режиму. Хоча 802.11n підтримує до 300 Мбіт / с WPA2 (AES), 802.11ac може підтримувати теоретичні максимальні швидкості до 3, 46 Гбіт / с на діапазоні 5 ГГц, хоча практичні швидкості швидше за все будуть набагато нижчими.

TKIP VS AES: найкраща безпека для вашої мережі Wi-Fi

Як кінцевий користувач, потрібно пам'ятати, що якщо на сторінці налаштування маршрутизатора просто написано WPA2, це майже неминуче означає WPA2-PSK (AES). Аналогічно, WPA без будь-яких інших скорочень означає WPA-PSK (TKIP). Деякі маршрутизатори пропонують WPA2 як з TKIP, так і з AES, і в цьому випадку, якщо ви дійсно не збираєтеся використовувати старий пристрій в мережі, ви знаєте краще, ніж використовувати TKIP. Майже все ваше обладнання Wi-Fi за останнє десятиліття, безумовно, буде працювати з WPA2 (AES), і ви отримаєте більш швидку і безпечну мережу для неї. Як це за угоду? Отже, якщо у вас є якісь подальші сумніви з цього приводу або у вас є опція на сторінці налаштування маршрутизатора, про яку ми тут не згадували, залиште примітку в розділі коментарів нижче, і ми зробимо все можливе, щоб відповісти вам.

Top