Какую защиту сети выбрать для роутера keenetic

Обновление до стандарта WPA3 для всей линейки устройств

В 2019 году стандарт WPA3 приходит на множество устройств как программное обновление. По сравнению со служащим почти 15 лет предшественником WPA2, он обладает более высоким уровнем безопасности и устраняет концептуальные недоработки, в частности, предусмотрена дополнительная защита от атак с перебором (брутфорс) и переустановкой ключа (Key Reinstallation Attacks, KRACK). При этом в использовании настолько же прост и не влечет снижения скорости или удобства.

3 сентября вышла операционная система Android 10, и получившие ее смартфоны теперь поддерживают WPA3. Среди них, например, Samsung Galaxy S10, S10+ и S10e, а также Google Pixel 3a. А 19 сентября официально выйдет iOS 13, с обновлением на которую поддержку WPA3 получат все популярные модели iPhone последних лет, включая iPhone XS и XS Max, XR и X, 8 и 8 Plus, 7 и 7 Plus. Аналогичное обновление ожидается и для планшетов под управлением iPadOS 13.

В то время как большинство производителей сетевого оборудования предлагает покупать для WPA3 новые отдельные и ограниченно совместимые между собой дорогие устройства следующего поколения, Keenetic предлагает обновление операционной системы KeeneticOS 3.1 с алгоритмами WPA3, WPA3 Enterprise и OWE для всех моделей Wi-Fi 4 (802.11n) и Wi-Fi 5 (802.11ac). Ни один другой производитель не предложил эту новую функцию для всей активной линейки, а Keenetic защищает ваши инвестиции в уже построенные сети и Wi-Fi-системы.

Для удобства и совместимости с текущими устройствами также предусмотрен смешанный режим WPA2/WPA3. Новые протоколы защиты работают не только на отдельных интернет-центрах, но и в рамках Wi-Fi-системы с бесшовным роумингом, чем особенно гордятся наши разработчики. Уже сейчас в журналах интернет-центров можно видеть, по какому стандарту подключаются клиенты (сами они показывают это далеко не всегда), а в ближайшем будущем мы собираемся сделать эту информацию видимой в веб-интерфейсе и мобильном приложении.

Тип Шифрования WiFi — Какой Выбрать, WEP, WPA2-PSK, WPA3 Personal-Enterprise Для Защиты Безопасности Сети?

Сегодня мы чуть глубже копнем тему защиты беспроводного соединения. Разберемся, что такое тип шифрования WiFi — его еще называют «аутентификацией» — и какой лучше выбрать. Наверняка при настройке роутера вам попадались на глаза такие аббревиатуры, как WEP, WPA, WPA2, WPA2/PSK, WPA3-PSK. А также их некоторые разновидности — Personal или Enterprice и TKIP или AES. Что ж, давайте более подробно изучим их все и разберемся, какой тип шифрования выбрать для обеспечения максимальной безопасности WiFi сети без потери скорости.

Для чего нужно шифровать WiFi?

Отмечу, что защищать свой WiFi паролем нужно обязательно, не важно, какой тип шифрования вы при этом выберете. Даже самая простая аутентификация позволит избежать в будущем довольно серьезных проблем.

Почему я так говорю? Тут даже дело не в том, что подключение множества левых клиентов будет тормозить вашу сеть — это только цветочки. Главная причина в том, что если ваша сеть незапаролена, то к ней может присосаться злоумышленник, который из-под вашего роутера будет производить противоправные действия, а потом за его действия придется отвечать вам, так что отнеситесь к защите wifi со всей серьезностью.

Шифрование WiFi данных и типы аутентификации

Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:

• WEP
• WPA
• WPA2
• WPA3

Что такое WEP защита wifi?

WEP (Wired Equivalent Privacy) — это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.

Что такое ключ WPA или пароль?

WPA (Wi-Fi Protected Access) — более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.

Что такое WPA2-PSK — Personal или Enterprise?

У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:

• Personal, обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев — и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
• Enterprise — более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу DHCP сервера, то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.

Что такое WPA3-PSK?

Стандарт шифрования WPA3-PSK появился совсем недавно и пришел на смену WPA2. И хоть последний отличается очень высокой степенью надежности, WPA3 вообще не подвержен взлому. Все современные устройства уже имеют поддержку данного типа — роутеры, точки доступа, wifi адаптеры и другие.

Типы шифрования WPA — TKIP или AES?

Итак, мы определились, что оптимальным выбором для обеспечения безопасности сети будет WPA2/PSK (Personal), однако у него есть еще два типа шифрования данных для аутентификации.

• TKIP — сегодня это уже устаревший тип, однако он все еще широко употребляется, поскольку многие девайсы энное количество лет выпуска поддерживают только его. Не работает с технологией WPA2/PSK и не поддерживает WiFi стандарта 802.11n.
• AES — последний на данный момент и самый надежный тип шифрования WiFi.

Какой выбрать тип шифрования и поставить ключ WPA на WiFi роутере?

С теорией разобрались — переходим к практике. Поскольку стандартами WiFi 802.11 «B» и «G», у которых максимальная скорость до 54 мбит/с, уже давно никто не пользуется — сегодня нормой является 802.11 «N» или «AC», которые поддерживают скорость до 300 мбит/с и выше, то рассматривать вариант использования защиты WPA/PSK с типом шифрования TKIP нет смысла. Поэтому когда вы настраиваете беспроводную сеть, то выставляйте по умолчанию

Либо, на крайний случай, в качестве типа шифрования указывайте «Авто», чтобы предусмотреть все-таки подключение устройств с устаревшим WiFi модулем.

При этом ключ WPA, или попросту говоря, пароль для подключения к сети, должен иметь от 8 до 32 символов, включая английские строчные и заглавные буквы, а также различные спецсимволы.

Защита беспроводного режима на маршрутизаторе TP-Link

На приведенных выше скринах показана панель управления современным роутером TP-Link в новой версии прошивки. Настройка шифрования сети здесь находится в разделе «Дополнительные настройки — Беспроводной режим».

В старой «зеленой» версии интересующие нас конфигурации WiFi сети расположены в меню «Беспроводной режим — Защита». Сделаете все, как на изображении — будет супер!

Если заметили, здесь еще есть такой пункт, как «Период обновления группового ключа WPA». Дело в том, что для обеспечения большей защиты реальный цифровой ключ WPA для шифрования подключения динамически меняется. Здесь задается значение в секундах, после которого происходит смена. Я рекомендую не трогать его и оставлять по умолчанию — в разных моделях интервал обновления отличается.

Метод проверки подлинности на роутере ASUS

На маршрутизаторах ASUS все параметры WiFi расположены на одной странице «Беспроводная сеть»

Защита сети через руотер Zyxel Keenetic

Аналогично и у Zyxel Keenetic — раздел «Сеть WiFi — Точка доступа»

В роутерах Keenetic без приставки «Zyxel» смена типа шифрования производится в разделе «Домашняя сеть».

Настройка безопасности роутера D-Link

На D-Link ищем раздел «Wi-Fi — Безопасность»

Что ж, сегодня мы разобрались типами шифрования WiFi и с такими терминами, как WEP, WPA, WPA2-PSK, TKIP и AES и узнали, какой из них лучше выбрать. О других возможностях обеспечения безопасности сети читайте также в одной из прошлых статей, в которых я рассказываю о фильтрации контента на роутере по MAC и IP адресам и других способах защиты.

Тип безопасности и шифрования беспроводной сети. Какой выбрать?

Чтобы защитить свою Wi-Fi сеть и установить пароль, необходимо обязательно выбрать тип безопасности беспроводной сети и метод шифрования. И на данном этапе у многих возникает вопрос: а какой выбрать? WEP, WPA, WPA2, или WPA3? Personal или Enterprise? AES, или TKIP? Какие настройки безопасности лучше всего защитят Wi-Fi сеть? На все эти вопросы я постараюсь ответить в рамках этой статьи. Рассмотрим все возможные методы аутентификации и шифрования. Выясним, какие параметры безопасности Wi-Fi сети лучше установить в настройках маршрутизатора.

Обратите внимание, что тип безопасности, или аутентификации, сетевая аутентификация, защита, метод проверки подлинности – это все одно и то же.

Тип аутентификации и шифрование – это основные настройки защиты беспроводной Wi-Fi сети. Думаю, для начала нужно разобраться, какие они бывают, какие есть версии, их возможности и т. д. После чего уже выясним, какой тип защиты и шифрования выбрать. Покажу на примере нескольких популярных роутеров.

Я настоятельно рекомендую настраивать пароль и защищать свою беспроводную сеть. Устанавливать максимальный уровень защиты. Если вы оставите сеть открытой, без защиты, то к ней смогут подключится все кто угодно. Это в первую очередь небезопасно. А так же лишняя нагрузка на ваш маршрутизатор, падение скорости соединения и всевозможные проблемы с подключением разных устройств.

Защита Wi-Fi сети: WPA3, WPA2, WEP, WPA

Есть три варианта защиты. Разумеется, не считая «Open» (Нет защиты) .

• WEP (Wired Equivalent Privacy) – устаревший и небезопасный метод проверки подлинности. Это первый и не очень удачный метод защиты. Злоумышленники без проблем получают доступ к беспроводным сетям, которые защищены с помощью WEP. Не нужно устанавливать этот режим в настройках своего роутера, хоть он там и присутствует (не всегда) .
• WPA (Wi-Fi Protected Access) – надежный и современный тип безопасности. Максимальная совместимость со всеми устройствами и операционными системами.
• WPA2 – доработанная и более надежная версия WPA. Есть поддержка шифрования AES CCMP. Это актуальная версия протокола, которая все еще используется на большинстве домашних маршрутизаторов.
• WPA3 – это новый стандарт, который позволяет обеспечить более высокую степень защиты от атак и обеспечить более надежное шифрование по сравнению с предыдущей версией. Так же благодаря шифрованию OWE повышается безопасность общественных открытых сетей. Был представлен в 2018 и уже активно используется практически на всех современных роутерах и клиентах. Если ваши устройства поддерживают эту версию – используйте ее.

WPA/WPA2 может быть двух видов:

• WPA/WPA2 — Personal (PSK) – это обычный способ аутентификации. Когда нужно задать только пароль (ключ) и потом использовать его для подключения к Wi-Fi сети. Используется один пароль для всех устройств. Сам пароль хранится на устройствах. Где его при необходимости можно посмотреть, или сменить. Рекомендуется использовать именно этот вариант.
• WPA/WPA2 — Enterprise – более сложный метод, который используется в основном для защиты беспроводных сетей в офисах и разных заведениях. Позволяет обеспечить более высокий уровень защиты. Используется только в том случае, когда для авторизации устройств установлен RADIUS-сервер (который выдает пароли) .

Думаю, со способом аутентификации мы разобрались. Лучшие всего использовать WPA3. Для лучшей совместимости, чтобы не было проблем с подключением старых устройств, можно установить смешанный режим WPA2/WPA3 — Personal. На многих маршрутизаторах по умолчанию все еще установлен WPA2. Или помечен как «Рекомендуется».

Шифрование беспроводной сети

Есть два способа TKIP и AES.

Рекомендуется использовать AES. Если у вас в сети есть старые устройства, которые не поддерживают шифрование AES (а только TKIP) и будут проблемы с их подключением к беспроводной сети, то установите «Авто». Тип шифрования TKIP не поддерживается в режиме 802.11n.

В любом случае, если вы устанавливаете строго WPA2 — Personal (рекомендуется) , то будет доступно только шифрование по AES.

Какую защиту ставить на Wi-Fi роутере?

Используйте WPA2/WPA3 — Personal, или WPA2 — Personal с шифрованием AES. На сегодняшний день, это лучший и самый безопасный способ. Вот так настройки защиты беспроводной сети выглядит на маршрутизаторах ASUS:

А вот так эти настройки безопасности выглядят на роутерах от TP-Link (со старой прошивкой) .

Более подробную инструкцию для TP-Link можете посмотреть здесь.

Инструкции для других маршрутизаторов:

Если вы не знаете где найти все эти настройки на своем маршрутизаторе, то напишите в комментариях, постараюсь подсказать. Только не забудьте указать модель.

Не редко замечаю, что после смены пароля, или других параметров защиты, устройства не хотят подключаться к сети. На компьютерах может быть ошибка «Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети». Попробуйте удалить (забыть) сеть на устройстве и подключится заново. Как это сделать на Windows 7, я писал здесь. А в Windows 10 нужно забыть сеть.

Пароль (ключ) WPA PSK

Какой бы тип безопасности и метод шифрования вы не выбрали, необходимо установить пароль. Он же ключ WPA, Wireless Password, ключ безопасности сети Wi-Fi и т. д.

Длина пароля от 8 до 32 символов. Можно использовать буквы латинского алфавита и цифры. Так же специальные знаки: — @ $ # ! и т. д. Без пробелов! Пароль чувствительный к регистру! Это значит, что «z» и «Z» это разные символы.

Не советую ставить простые пароли. Лучше создать надежный пароль, который точно никто не сможет подобрать, даже если хорошо постарается.

Вряд ли получится запомнить такой сложный пароль. Хорошо бы его где-то записать. Не редко пароль от Wi-Fi просто забывают. Что делать в таких ситуациях, я писал в статье: как узнать свой пароль от Wi-Fi.

Так же не забудьте установить хороший пароль, который будет защищать веб-интерфейс вашего маршрутизатора. Как это сделать, я писал здесь: как на роутере поменять пароль с admin на другой.

Если вам нужно еще больше защиты, то можно использовать привязку по MAC-адресу. Правда, не вижу в этом необходимости. Новый WPA3, или даже уже устаревший WPA2 — Personal в паре с AES и сложным паролем – вполне достаточно.

А как вы защищаете свою Wi-Fi сеть? Напишите в комментариях. Ну и вопросы задавайте ��

Обновление до стандарта WPA3 для всей линейки устройств

В 2019 году стандарт WPA3 приходит на множество устройств как программное обновление. По сравнению со служащим почти 15 лет предшественником WPA2, он обладает более высоким уровнем безопасности и устраняет концептуальные недоработки, в частности, предусмотрена дополнительная защита от атак с перебором (брутфорс) и переустановкой ключа (Key Reinstallation Attacks, KRACK). При этом в использовании настолько же прост и не влечет снижения скорости или удобства.

3 сентября вышла операционная система Android 10, и получившие ее смартфоны теперь поддерживают WPA3. Среди них, например, Samsung Galaxy S10, S10+ и S10e, а также Google Pixel 3a. А 19 сентября официально выйдет iOS 13, с обновлением на которую поддержку WPA3 получат все популярные модели iPhone последних лет, включая iPhone XS и XS Max, XR и X, 8 и 8 Plus, 7 и 7 Plus. Аналогичное обновление ожидается и для планшетов под управлением iPadOS 13.

В то время как большинство производителей сетевого оборудования предлагает покупать для WPA3 новые отдельные и ограниченно совместимые между собой дорогие устройства следующего поколения, Keenetic предлагает обновление операционной системы KeeneticOS 3.1 с алгоритмами WPA3, WPA3 Enterprise и OWE для всех моделей Wi-Fi 4 (802.11n) и Wi-Fi 5 (802.11ac). Ни один другой производитель не предложил эту новую функцию для всей активной линейки, а Keenetic защищает ваши инвестиции в уже построенные сети и Wi-Fi-системы.

Для удобства и совместимости с текущими устройствами также предусмотрен смешанный режим WPA2/WPA3. Новые протоколы защиты работают не только на отдельных интернет-центрах, но и в рамках Wi-Fi-системы с бесшовным роумингом, чем особенно гордятся наши разработчики. Уже сейчас в журналах интернет-центров можно видеть, по какому стандарту подключаются клиенты (сами они показывают это далеко не всегда), а в ближайшем будущем мы собираемся сделать эту информацию видимой в веб-интерфейсе и мобильном приложении.

Ключ безопасности сети wi-fi: как определить и правильно выбрать

Для защиты беспроводного режима Интернета с помощью установки пароля, следует определиться с мерами по безопасности сети и вариантами выставления кода. Часто пользователи задумываются, какой лучше предпочесть метод шифрования, чтобы предохранить Wi-Fi от сторонних посягательств — AES или TKIP, wpa2 enterprise, wep, wpa2 personal или wpa.

Для чего нужна защита Wi-Fi

Обезопасить свою сеть Wi-Fi надо в обязательном порядке любым видом шифрования. Даже самый несложный способ проверки подлинности данных, даст возможность не столкнуться в будущем с негативными факторами.

Вопрос стоит даже не в подсоединении сторонних абонентов, за счет которых замедляется скорость подачи интернета.

Основная проблема заключается в том, что если доступ в сеть осуществляется без пароля, неизвестный посетитель может выполнить незаконные действия с помощью вашего проводника Интернета. В последующем может возникнуть неприятная ситуация, при которой вам нужно будет нести ответственность за чужого человека. Поэтому, требуется ответственно отнестись к защите своей системы связи.

Способы защиты Wi-Fi

Типы wireless security:

WEP (Wired Equivalent Privacy). Является неактуальным и сопряженным с риском вариантом аутентификации. Он считается не совсем эффективным видом безопасности. Правонарушители легко проникают в беспроводную систему связи, где имеется такая защита. Не стоит выполнять установку этого режима в меню настроек маршрутизатора, даже если он там находится.

WPA (Wi-Fi Protected Access) — что это такое? Данный протокол относится к новому и более надежному защитному варианту. Он отличается поддержкой всех ОС и различного технического оборудования.

WPA2 является современным, модифицированным типом WPA. Он характеризуется максимальной производительностью, за счет наличия режима AES CCMP. Сегодня он широко применяется пользователями, благодаря эффективному функционированию в качестве защиты сети интернета.

Существует два вида — WPA и WPA2:

1. WPA/WPA2 — Personal (PSK). Считается простым вариантом проверки подлинности данных абонента. Его применяют в ситуации, когда надо ввести ключ безопасности при подсоединении к сети Wi-Fi. Все приборы имеют одни и те же параметры пароля. Его данные сохраняются на устройствах. В случае необходимости, их можно уточнить или заменить новыми значениями. Специалисты в IT сфере советуют применять этот способ безопасности беспроводного канала связи.
2. WPA/WPA2 — Enterprise. Является наиболее сложным видом. Он обычно реализуется для защиты сети интернета в различных организациях и офисах. Такой режим отличается максимально высоким уровнем безопасности. Он используется только тогда, если для авторизации оборудования установлен RADIUS-сервер, выдающий параметры паролей.

Варианты шифрования беспроводной сети

Бывает 2 метода — AES и TKIP.

Оптимальным вариантом считается применение технологии AES. В случае, когда у вас имеются устаревшие устройства, не поддерживающие шифрование AES, могут начаться сложности с подсоединением к сети Wi-Fi. Тогда необходимо установить режим «Авто». В версии 802.11n нет поддержки шифрования TKIP.

Стоит запомнить, что при установке WPA2 — Personal (рекомендуется), поддерживаться будет исключительно шифрование по режиму AES.

Как получить сведения о ключе безопасности сети

В Windows 10

1. В панели задач отыскать символ подключения к Wi-Fi и отметить его.
2. После этого, найти графу «Текущие подключения Wi-Fi» и кликнуть вкладку «Свойства».
3. Войти в поле «Сведения о подключении Wi-Fi».
4. Далее — в отдел «Тип безопасности». В нем располагается информация о беспроводной сети.

В MacOS

1. Нажать на «Option».
2. В панели инструментов отметить символ «Wi-Fi».
3. После этого, появятся сведения о беспроводной сети, которую вы используете, в том числе и вариант ее защитного режима.

В Android

1. Войти в «Настройки» на смартфоне.
2. Отыскать вкладку «Wi-Fi».
3. Перейти в строку, где указан ваш маршрутизатор, и изучить все его параметры.
4. Там же можно узнать тип режима защиты сети Wi-Fi.

Принцип действий к доступу этого окна может иметь отличия в различных устройствах.

В iPhone

В iOS невозможно выполнить проверку режима безопасности Wi-Fi. Чтобы это осуществить, придется задействовать ПК или выполнить вход в настройки маршрутизатора посредством другого телефона.

Каждая отдельная модель роутера имеет определенные отличия. Следовательно, надо будет изучить сопутствующие документы к аппарату. В случае, когда настройка маршрутизатора производилась компанией, предоставляющей коммуникационные услуги (провайдер), то следует обратиться к ней за консультацией.

Типы безопасности на роутере

В настоящее время версии Wi-Fi 802.11 «B» и «G», с параметрами максимальной скорости до 54 Мегабит в секунду, являются устаревшими. По этой причине, они практически не применяются. К современным технологиям относятся 802.11 «N» и «AC» со скоростным режимом более трехсот мегабит в секунду. Применение защитного способа WPA/PSK с установкой версии TKIP, является неэффективным и бессмысленным.

Выполняя конфигурирование беспроводного канала, нужно настраивать тип безопасности сети на ноутбуках и остальных приспособлениях в режиме заводских параметров настройки: WPA2/PSK — AES.

Еще выставляется режим «Авто» в формате варианта шифрования, для попытки подсоединения аппарата, у которого имеется устаревший адаптер Wi-Fi. Ключ сети WPA (ключ безопасности для входа в беспроводную систему связи) обязан насчитывать не менее 8 и не более 32 знаков, в том числе заглавных, строчных букв английского алфавита и других специальных обозначений.

Настройка защиты Wi-Fi роутера TP-Link

В обновленных версиях программного обеспечения моделей TP-Link меню конфигурирования шифрования сетевой системы располагается во вкладке «Дополнительные настройки» — «Беспроводной режим». В устаревших аппаратах меню конфигурирования Wi-Fi размещается в окне «Беспроводной режим» — «Защита».

Безопасность на маршрутизаторе Zyxel Keenetic

Необходимо найти пункт «Сеть Wi-Fi» — «Точка доступа».

В приборах Keenetic изменить параметры варианта шифрования wireless security можно в ссылке «Домашняя сеть», отыскав ее в панели настроек.

Конфигурирование защиты маршрутизатора D Link

Нужно отыскать вкладку «Wi-Fi» и перейти в графу «Безопасность». В ней выставить выбранный тип режима.

Из этого описания становится ясно, что такое WPA2, WEP, WPA, WPA2-PSK, AES и TKIP. Еще понятно, что при установке типа шифрования для защиты беспроводной сети Wi-Fi, необходимо выбрать вариант, характеризующийся наибольшей эффективностью и надежностью.

Мы кратко описали типы безопасности и шифрования, какой тип нужно выбирать. Если вам нужна дополнительная информация можете написать в комментариях, либо на электронную почту перейдя в Контакты. Мы вам оперативно ответим.

Keenetic: улучшить ситуацию с Wi-Fi в многоквартирном доме

На страницах своего блога, я уже обращал внимание на проблему с доступом к сети Wi-Fi в многоквартирных домах. Суть ее в том, что эфир частот, на которых работает традиционная сеть Wi-Fi, катастрофически перегружен. Он перегружен до практически полной неработоспособности сети. В этой статье хочу попробовать разобраться в чем именно заключается проблема и как с ней бороться.

Из-за чего происходит перегрузка эфира на частотах Wi-Fi

Начнем с того, что сама технология Wi-Fi была разработана еще в 90-х года прошлого века. С тех пор успело вырасти целое поколение, а требования к компьютерным сетям, задержкам на передачу в этих сетях и объемам прокачиваемых данных, выросли многократно.

Как видели себе будущее разработчики Wi-Fi спецификаций первого поколения? Они трезво оценивали ситуацию и понимали, что высокой плотности и больших объемов данных не будет. По началу не будет. Да и технологическая база на которой можно построить сеть здесь и сейчас не позволяет дешево получить хоть какие-то выдающиеся результаты по производительности. И в действительности, чем можно было загрузить сеть Wi-Fi в 90-х? Просмотром web-страничек оптимизированных под Dial-Up с минимум картинок, без видео и множества подгружаемых библиотек, да перекачкой пары документов с локального файлового сервера к себе на лэптоп. Именно под такие запросы спроектировали технологию Wi-Fi работающую на частотах 2.4 ГГц позволяющую сразу покрыть значительную область пространства, и которая не будет стоить космически дорого для конечного потребителя. К слову сказать, в то же время был разработан стандарт и на 5 ГГц сеть, но ее решили отложить на будущее.

Радиосигнал на такой частоте (2.4 ГГц) относительно хорошо проходит через препятствия. Пара бетонных стен или перекрытий его не останавливают, поэтому одной точкой доступа Wi-Fi можно покрыть сразу существенную площадь (квартиру в панельном доме вместе с соседями — легко). Дешево и сердито. Не нужно тянуть кабеля, делать розетки. Данные сами приходят клиентам по воздуху.

Кстати, о клиентах. Радиочастотные диапазоны во всех странах, за исключением совсем отсталых, прибирали к рукам силовые и государственные структуры. Забирали широкие диапазоны самых удобных и практичных для работы частот. А гражданским доставались крохи, в которых они вынуждены ютиться. Да еще до кучи надо ограничить мощность передающего устройства, а то мало ли что, вдруг это шпионы транслируют разведданные. Исходя из технологических возможностей и регуляторных ограничений инженеры нарезали выделенный им диапазон на отдельные каналы. А поскольку в разных странах разные ограничения, то и каналов у кого-то больше, у кого-то меньше. Самое большое количество каналов в Wi-Fi 2.4 ГГц есть в Японии, целых 14, в большинстве стран мира их всего 13, а в Северной Америке власти зажали диапазоны и каналов американцам доступно всего 11. Но и это еще не все.

Несмотря на заявляемое солидное количество каналов в действительности их куда меньше. Дело в том, что радиоволны в выбранном частотном диапазоне могут интерферировать (накладываться) друг с другом и тем самым возникают ошибки, которые приводят к снижению скорости передачи. По факту при ширине канала в 20 МГц (чем шире канал, тем большую канальную скорость можно получить) в стандартном 13-ти канальном диапазоне умещается всего 4 рабочих канала. Работая на этих каналах устройства не будут мешать друг другу. Но если нужна скорость выше, то нужна и большая ширина канала. На частоте 2.4 ГГц в Wi-Fi можно задействовать ширину канала в 40 МГц. Но тогда таких не мешающих друг другу каналов в диапазоне поместится всего 2.

По данным Wi-Fi Monitor эфир на 2.4 ГГц загружен полностью. Все SSID не помещаются на экране, поэтому они периодически обновляются. Метки расстояния приложение ставит не самые точные.

Другая проблема заключается в возникновении коллизий. Когда эфир на одном канале используется одной точкой доступа, то она (точка доступа) распределяет эфирное время между своими клиентами позволяя наиболее эффективным образом использовать диапазон, обеспечивая наименьшие задержки и максимальную пропускную способность. Но, если на этом же или смежном (тот который интерферирует) канале работает другая точка доступа, то у нее нет нормальной возможности распределять время своих клиентов и согласовывать его с временем передачи на другой точке доступа. Получается, что данные, передаваемые одной точкой доступа, могут быть повреждены (заглушены) данными с другой точки доступа. Так возникают ошибки, которые требуют повторной передачи данных. А теперь представьте, что в зоне «видимости» не одна точка доступа, а порядка 40 и две сотни потребителей. И все это на 13 неполноценных каналах. В пиковое время, когда все школьники приходят с работы, работоспособность всей Wi-Fi 2.4 ГГц сети находится примерно на нулевом уровне. Весь эфир занят попытками повторной передачи неполученных данных.

Подавляющее большинство проблем, возникающих с Wi-Fi в многоквартирных домах, возникает как раз по причине использования чрезмерного количества точек доступа Wi-Fi, работающих в диапазоне 2.4 ГГц и сосредоточенных в относительно небольшом объеме. Но перебои в работе могут происходить и из-за других факторов. Например, из-за использования специального оборудования спецслужбами или просто эксплуатации неисправных бытовых приборов. Мифы про облучатели КГБ, которые глушат все и вся, не лишены под собой почвы, но населению проживающему в спальных районах они не угрожают. А вот неисправная дверца микроволновки способна заглушить эфир не только в рамках одной, конкретно взятой, кухни. Бытовые микроволновые печи работают как раз в диапазоне 2.4 ГГц, поэтому они могут влиять как на Wi-Fi, так и на Bluetooth связь, в случае если у такой печи нарушена радиоизоляция.

Но основным источником проблем все же является именно излишняя плотность Wi-Fi точек доступа с частотой 2.4 ГГц в жилых домах. Как правило, провайдер, который окучивает жилой массив, действует не слишком активно используя серое вещество. Каждому подключенному устанавливается роутер с точкой доступа. Оборудование используется подешевле, поэтому в нем только один диапазон Wi-Fi (т.е. 2.4 ГГц). Монтажники устанавливает роутеры и включает Wi-Fi на полную мощность. Затем довольный клиент подключает к беспроводной сети телевизор, смартфон, планшет, игровую приставку, ноутбук наконец. И наслаждается… Нет, не наслаждается, а с удивлением обнаруживает, что заявленных 80 Мбит тарифа ему явно не хватает. Странички на ноутбуке грузятся медленно, сетевая игра лагает, а со смартфона и вовсе «Кинопоиск» не открывается. Разумный вывод — скорости мало, надо докупить более дорогой тариф. И тут сосед запускает скачку торрентов на своем ноутбуке по Wi-Fi и сеть перестает работать принципиально. Вот за запуск торрентов по Wi-Fi вообще следует лишать доступа в сеть, так как технология BitTorrent и аналогичные способны утилизировать канал (и заглушить все вокруг) на 100%.

При перегрузке сети первыми сдаются смартфоны. У них небольшие антенны и самые худшие условия для приема.

У меня, в месте моего городского проживания, периодически даже переставала работать беспроводная мышка, использующая диапазон 2.4 ГГц. Курсор по экрану начинал двигаться рыками, периодически залипая. И приходилось искать решения с частотой в 5 ГГц или же использовать варианты с подключением по Bluetooth. Последний постоянно меняет каналы, чем нивелирует загруженность на некоторых из нах.

И вот что с этим делать, расскажу дальше.

Самый надежный способ исправить ситуацию с Wi-Fi

Самый надежный способ исправить ситуацию с Wi-Fi — не использовать Wi-Fi. И это серьезно. Все что можно подключить по кабелю, следует подключить именно кабелем. Подключение кабелем компьютера, ноутбука, игровой консоли и телевизора надежно решает проблемы с передачей данных. Более того, использование медиасервисов по кабелю работает куда лучше, чем по Wi-Fi, даже в сельской местности, где плотность точек доступа практически нулевая.

Переход на 5 ГГц диапазон Wi-Fi

Вторым способом решить проблему с плохим качеством доступа в сеть по воздуху является переход на использование Wi-Fi в диапазоне 5 ГГц. Большинство, если не все, современные устройства и роутеры с точками доступа двухдиапазонные. Они поддерживают работу как на частотах 2.4 ГГц, так и на 5 ГГц. На подходе устройства, работающие на больших частотах, но их применение скорее для сверхвысоких скоростей внутри одного помещения, например, комнаты. А 5 ГГц Wi-Fi способен обеспечить связью целую квартиру.

В чем преимущества 5 ГГц Wi-Fi? Во-первых, весь диапазон, отданный под беспроводную связь в этом случае заметно шире, чем у 2.4 ГГц. Соответственно удалось разместить в нем больше каналов. Во-вторых, радиоволны на частотах в районе 5 ГГц не так хорошо проходят сквозь материальные объекты, соответственно точку доступа 5 ГГц, установленную на 10-м этаже, на 8-м уже не видно и не слышно. Не будет коллизий, можно отдавать более широкие диапазоны одному потребителю. Тут уже не просто 20 и 40 МГц, а 20, 40, 80 и 160 МГц. Что, соответственно, позволяет установить существенно большую канальную скорость, нежели на 2.4 ГГц.

Вот такая вот картинка открывается на частоте 5 ГГц

Конечно, низкая пробивная способность с одной стороны не позволит покрыть одной точкой доступа большие площади, придется ставить «репитеры», но с другой — никакого вредного влияния соседей и практически свободный эфир.

Если все оборудование (смартфоны, умные лампы, лэптопы, телевизоры) используемые в вашем домохозяйстве современное и поддерживает как минимум протокол ax (это Wi-Fi 6), то имеет смысл использовать уже его. Так как Wi-Fi 6 работает на частотах 6 ГГц, где сейчас практически нет никого из соседей и эфир будет максимально чистым.

Мощность сигнала

Говорят, что если дать побольше мощность сигнала на Wi-Fi, то будет работать все намного лучше и интереснее. Но по факту получается далеко не всегда так. Излишне мощный сигнал может навредить. Переотражения сигнала могут усиливать интерференцию и вызывать дополнительные ошибки. А еще мешать соседям.

Проблема с Wi-Fi 2.4 ГГц в многоквартирных домах была бы куда менее выраженной, если монтажники устанавливали достаточную мощность сигнала, а не лепили везде максимальную. В любом случае, стоит поэкспериментировать с мощностью, снизить ее до необходимого предела. В современных роутерах, например, поддерживающих Wi-Fi 6 (протокол ax) обычно уже используется отдельный механизм автоматической регулировки мощности передатчика наравне с выделенным анализатором спектра, позволяющим выбирать наиболее оптимальные каналы и мощность для обеспечения максимальной скорости при высокой стабильности.

В некоторых роутерах, не будем показывать пальцами, есть специальные режимы повышенной мощности передатчика. Применяются они только для связи двух удаленных точек по воздуху между собой и с применением направленных антенн. Если применить повышенную мощность к обычным антеннам и рядовому использованию, то работать все будет хуже, чем на существенно более низкой мощности.

Ширина канала

Выше я уже упоминал, что на 2.4 ГГц может быть использована ширина канала в 20 или 40 МГц. Чем больше ширина, тем большую канальную скорость можно получить. Но в плотном эфире реальная скорость будет ниже, чем на менее широком канале из-за ошибок, вызванных коллизиями с другими точками доступа.

Поэтому, в многоквартирном доме лучше использовать ширину в 20 МГц на Wi-Fi 2.4 ГГц, так как результирующая пропускная способность будет выше, чем с более скоростным и широким каналом. Иными словами, лучше медленнее и надежнее, чем быстро, но без результата.

Канал

Выбор наименее загруженного канала позволяет существенно облегчить проблематику связи. Но если в 12 часов дня загруженность одного канала минимальна, то вечером, когда сосед Коля возвращается с работы и врубает свой ноут, ситуация может поменяться кардинально.

Во многих современных роутерах есть возможность автоматического выбора канала, как по расписанию, так и вообще динамически по мере загрязнения эфира. Подстройка канала под эфир не панацея, но в некоторых случаях может помочь. Тут важно помнить, что далеко не всегда клиентское оборудование сможет адекватно отрабатывать смену канала на роутере. Возможны кратковременные обрывы связи.

Канал, на котором работает Wi-Fi можно выбрать и вручную. Опять же стоит помнить об интерференции и то, что каналов на самом деле не так много. В случае переполненного эфира имеет смысл рассматривать крайние каналы, 1-й или 13-й, тогда хотя бы часть их диапазона не будет затронута соседскими точками доступа.

Некоторые исследователи по жизни умудряются задействовать 14-й канал из 2.4 ГГц диапазона Wi-Fi и работать на нем. Меняют страну настроек, возможно еще и применяют протокол b. Но при этом нужно помнить, что незаконное (без разрешения) использование частоты может привести к правовым последствиям, особенно для юридических лиц. Частника на 18-м этаже многоэтажки в спальном районе и искать никто не будет, а вот контору с окнами на Маросейку и не особо грамотным системным администратором могут поставить на колени. Но при использовании 14-го канала нужно быть уверенным, что все остальное оборудование умеет на нем работать. Особо стоит обратить внимание на оборудование и гаджеты, выпущенные исключительно для североамериканского рынка, там того и гляди все, что выше 11-го канала будет уже недоступно, а тут 14-й.

При использовании Wi-Fi 5 ГГц тоже есть особенности. Частотный диапазон под использование выделен не весь. Например, в России доступны каналы с 32 до 68 и с 132 до 169. Чем ниже канал, тем на меньшей частоте он работает и тем лучшую «пробивную» способность имеет. Поэтому имеет смысл пробиваться в зону верхних каналов, где сосед Коля не сможет светить своим Wi-Fi на весь многоэтажный дом.

Протокол

По большому счету от смены протокола Wi-Fi больших изменений ожидать не стоит. Так задумано, чем современнее протокол, тем большую скорость он может показать. Но при этом нужно учитывать еще и загруженность эфира и канала в целом. В одной ситуации скорость может повыситься, передача одного набора данных будет занимать меньше времени и будет меньше коллизий. И ровно нам же, из-за помех в канале, более мелкие фреймы данных окажутся менее помехозащищенными. В общем нужно пробовать и желательно в самый час пик, когда сосед Николай вошел в раж и старается выжать из беспроводной сети последние остатки разума.

Протокол b (11 Мбит) стал первым массовым протоколом Wi-Fi, и он открывает дорогу семейству протоколов для частоты 2.4 ГГц. Дальнейшее его развитие выражается в более скоростном протоколе g (54 Мбит), а затем и n (450 Мбит). На этом развитие частотного диапазона 2.4 ГГц фактически завершается. Указанные скорости в скобках являются канальными скоростями, которые можно получить при хороших внешних условиях. Поэтому не стоит ожидать того, что переключившись на протокол b получится надежно, хоть и медленно, выкачивать интернет на скорости в 11 Мбит/сек. Реальная скорость, разумеется, будет меньше.

Только рабочие протоколы, узкий диапазон, пониженная мощность сигнала и крайний канал на Keenetic для 2.4 ГГц

Со стороны 5 ГГц диапазона первенцем стал протокол a (он увидел свет даже чуть раньше, чем b, но в то время приоритет отдали именно b). Затем последовал ac, обеспечивающий доступ на скоростях свыше 1 Гбит и именно его мы знаем как 5 ГГц протокол. А в последствии появился и ax, работающий на еще большей частоте. В природе существуют и другие протоколы, например, ah, работающий на частоте в 900 МГц, но устройства с его поддержкой еще поискать нужно.

Правду говоря, некоторые протоколы, например n, могут работать сразу на двух частотах. Но хорошо ли это? Не думаю. Так как не все роутеры могут работать одновременно сразу с несколькими протоколами на одной частоте. И если у вас в сети вдруг завелся древний ноутбук, у которого на борту только b, то есть вероятность, что все остальные устройства точно также будут переведены на протокол b, со всеми вытекающими отсюда последствиями в виде максимальной канальной скорости в 11 Мбит. И аналогично с протоколами n и ac при использовании их на частоте 5 ГГц. Что же тут делать? Придется обновлять парк оборудования до современных стандартов.

Репитер vs экстендер vs Mesh

Для покрытия надежной беспроводной сетью загородного дома даже средних размеров, как правило приходится прибегать к расширению зоны покрытия путем добавления дополнительных точек доступа. В условиях одноуровневой городской квартиры применение дополнительной точки доступа, как правило, не принесет облегчения в работе. Соседи эфир не очистят, а дополнительный источник радиосигнала ситуацию только усугубит. Лучше постараться установить единственную точку доступа (считай роутер с Wi-Fi) максимально по центру всех помещений. Тогда сигнал будет добираться в приемлемом качестве до всех уголков квартиры. Единственным исключением тут может служить конфигурация квартиры, с хитрыми изгибами и лабиринтом из комнат. Тут уже можно говорить о дополнительном источнике Wi-Fi на другом конце жилплощади.

Работающая система Mesh на Keenetic с исключительно проводным подключением

Добавлять дополнительные точки доступа можно разными способами. Самый правильный — использование проводных точек доступа. Такой способ подключения присутствует во всех современных роутерах нормальных производителей. Беспроводной вариант объединения точек доступа в одну сеть в условиях перегруженного эфира скорее даст отрицательный эффект, эфир окажется еще более загруженным, а максимальная скорость ниже, так как один канал будет задействован дважды (от клиента к точке и от точки к корневому роутеру). Хотя и тут есть исключение. В протоколе ax уже реализована возможность объединения точек доступа без проводов на канале отличном от рабочего. А реализация столь полезной функции зависит от производителя устройства.

В роутерах Keenetic, можно организовать Mesh систему Wi-Fi с работой как проводному каналу, так и по беспроводному. Лучше везде, где возможно, стараться использовать проводной вариант, соответственно желательно работать именно по проводу при построении Mesh сети.

Band Steering

Многие современные устройства поддерживают сразу несколько Wi-Fi диапазонов. Другими словами, могут работать как с Wi-Fi 2.4 ГГц, так и с Wi-Fi 5 ГГц. А самые современные устройства уже работают и с Wi-Fi 6 ГГц. Понятно, что для того, чтобы работать на Wi-Fi 5 ГГц нужно чтобы и клиентское устройство, например, смартфон, и роутер поддерживали этот стандарт. Иначе они просто не смогут соединиться.

Для максимальной поддержки всех возможных устройств, роутеры конфигурируются сразу для работы на частотах 2.4 и 5 ГГц. Аналогично и клиентские устройства, если уж и оснащены 5ГГц Wi-Fi, то не обделены и 2.4 ГГц версией. Соответственно одно и тоже устройство в одной и той же физической инфраструктуре способно работать как на частоте 2.4, так и 5 ГГц (не говоря уже о 6 ГГц и других диапазонах).

Настройки Band Steering в Keenetic

Как мы уже выяснили диапазон 2.4 ГГц загружен точками доступа и клиентами до невозможности. Работать в таком режиме практически невозможно. Но в таком случае на помощь должен прийти механизм Band Steering, который, при правильной настройке, предложит двухдиапазонному беспроводному устройству подключиться к 5 ГГц сети, где намного свободнее, а скорости выше.

Так должно происходить в теории, но на практике получается несколько иначе. Возвращаясь с улицы, я еду на лифте и мой смартфон успешно подключается к моей 2.4 ГГц сети. Лифт скоростной, Wi-Fi мощный, подключается уверенно и сразу на большой канальной скорости.

Далее я вхожу в квартиру, попадаю в зону действия 5 ГГц сети. Роутер предлагает телефону подключится к 5 ГГц сети, но мой смартфон отказывается переключаться (на врезке ниже). Переключение диапазона — дело добровольное. Хочешь переключайся, хочешь нет. Причина нежелания закодирована в лаконичном ответе bndstrg-демона на стороне Keenetic. Телефон так и остается подключенным к 2.4 ГГц сети, а я начинаю страдать, так как работать в диапазоне 2.4 ГГц решительно невозможно.

Телефон еще некоторое время сопротивляется, но потом все же, по решению своей правой задней пятки решается на переключение и интернет наконец-то начинает работать так как должен. Ведь 5 ГГц большой и он практически свободен. К счастью, не каждый сосед дорос до использования современных технологий, ну и железобетон решает.

И что же в такой ситуации делать? У меня выработалось целых два варианта.

Сегрегация точки доступа

В этом варианте вместо двух сетей (2.4 и 5 ГГц) с одним и тем же названием (SSID) я организую две сети: MyNet и MyNet5G. В телефоне отключаю автоматический вход в сеть MyNet и подключаюсь к сети MyNet5G.

В этом варианте телефон не будет вообще подключаться к моей сети в диапазоне 2.4 ГГц, а будет работать только и исключительно с 5 ГГц вариантом. Благо он отлично покрывает всю жилую площадь.

Отключение доступа устройства на стороне роутера

Разделение на две сети хоть и максимально простое, но не самое удачное решение если используется Mesh или другая агрегация точек доступа. В этом случае часть функций работать не будет.

Отключение доступа к 2.4 ГГц сети в настройках конкретного устройства на Keenetic

К счастью, в Keenetic присутствует возможность определить для каждого из отдельных устройств сеть, к которой он может подключиться. В этой настройке я оставляю только подключение к сети с диапазоном 5 ГГц и смартфон уже не может подключиться к 2.4 ГГц варианту. Название (SSID) обоих сетей при этом остается единым.

Выводы

Мир беспроводных сетей загадочен и пугающе многообразен, но он стал незаменимым атрибутом каждого дома. У нас слишком много устройств, требующих беспроводной доступ к глобальной сети. И зачастую Wi-Fi приносит не радость от доступа к информации и комфорт, а разочарование и недовольство. Дабы снизить уровень недовольства и повысить довольства можно попробовать выполнить следующие простые рекомендации:

• Перейти на подключение кабелем там, где это только возможно.
• Использовать только 5 ГГц (ac) и выше (ax). При необходимости применить принудительное подключение к сетям 5 ГГц и выше через разделение сетей на разные SSID или ограничение доступа к диапазону 2.4 ГГц со стороны роутера.
• Отключить старые протоколы (b, g) если их не использует никакое оборудование или обновить сетевые карты там, где это возможно до современных стандартов.
• Попробовать понизить мощность передатчика на роутере/точке доступа.
• Не использовать репитеры, экстендеры, Mesh там, где достаточно одной точки доступа.
• На частотах 2.4 ГГц использовать только 20 МГц ширину канала.
• Использовать каналы на границах диапазона, например, 13 или 1.
• На 5 ГГц частотах, если позволяют площади, использовать каналы свыше 132-го для лучшей изоляции от соседей.

В моем случае, я использую проводное подключение везде, где возможно. А для лучшего доступа с мобильных устройств разделил сети по частотам и разрешил подключаться только к 5 ГГц сетям.

Update.01.01.23: В версиях прошивки 3.9 для Keenetic появился крайне удобный инструмент мониторинга за Wo-Fi сетями.

Данные мониторинга присутствия Wi-Fi сетей на частотах 2.4 ГГц

Циферки в синих столбиках отображают количество присутствия сетей на том или ином канале. Нет, мой роутер не ловит 260 сетей, просто при использовании 40 МГц занимается сразу несколько каналов. Всего сетей в зоне видимости 40 штук.

Загруженность эфира на диапазоне 5 ГГц

А вот на гистограмме 5 ГГц диапазона все куда более прозаичнее. Есть свободные каналы, а сетей обнаружено всего 12 штук. Что позволяет вполне комфортно существовать в эфире.

Опубликовано 20.09.2022 автором kvv213 в следующих категориях:
не только лишь все статья

Каков наилучший режим безопасности WPA2: AES, TKIP или оба?

Wi-Fi Protected Access 2 (WPA2) является программа сертификации безопасности разработанный Wi-Fi Alliance для обеспечения безопасности беспроводных компьютерных сетей. В зависимости от типа и возраста вашего беспроводного маршрутизатора у вас будет несколько вариантов шифрования. Два основных из них для WPA2-Personal (версия, используемая домашними пользователями или пользователями малого бизнеса): Расширенный стандарт шифрования (AES) и старше Протокол целостности временного ключа (TKIP), или сочетание обоих.

В этой статье мы объясним что такое AES и TKIP и предложите, какой вариант выбрать для своих устройств с поддержкой WPA2. Вы должны выбрать лучший режим шифрования не только по соображениям безопасности, но и потому, что неправильный режим может замедлить работу вашего устройства. Если вы выберете более старый режим шифрования, даже если ваш Wi-Fi-маршрутизатор поддерживает более быстрый тип шифрования, передача данных автоматически замедлится, чтобы быть совместимой со старыми устройствами, с которыми он соединяется.

Мы также объясним некоторые условия безопасности wifi, связанные с WPA2, например те, что упомянуты на диаграмме ниже, ориентированы в основном на WPA2-Personal Например, термины «сертификаты», «стандарты», «протоколы» и «программы» иногда (смешанно) используются взаимозаменяемо, а зачастую и неправильно. Является ли AES протоколом или типом шифрования? WPA2 — это протокол или стандарт? (Оповещение спойлера: AES — это стандарт, а WPA2 — сертификация.) Можно быть немного снисходительным к терминологии Wi-Fi, если вы знаете, что на самом деле означают эти термины. Эта статья устанавливает рекорд прямо. И да, мы используем термин «режим» очень свободно для описания настроек шифрования и аутентификации WPA2.

WPA2 101 — (очень) краткий обзор

Существует две версии WPA2: персональная (для дома и офиса) и корпоративная (для корпоративного использования). В этой статье мы сосредоточимся на первом, но сравним его с версией Enterprise, которая поможет проиллюстрировать, что не делает WPA2-Personal.

Насколько надежны обычные сертификаты безопасности Wi-Fi?

«Беспроводные сети по своей природе небезопасны. В первые дни беспроводных сетей производители старались сделать его максимально простым для конечных пользователей. Стандартная конфигурация для большинства беспроводных сетевых устройств обеспечивала простой (но небезопасный) доступ к беспроводной сети ». (Источник: Dummies)

Насколько безопасен WPA2 по сравнению с другими распространенными сертификатами Wi-Fi? До тех пор, пока не появился WPA3, WPA2 считался KRACK и всем самым безопасным вариантом. Текущие уязвимости WPA2 могут быть эффективно исправлены, но вам все равно нужно выбрать лучший тип шифрования для вашего устройства Wi-Fi и ваших требований к использованию. Например, если у вас небольшой бизнес со старыми устройствами, вам, возможно, придется пожертвовать скоростью ради безопасности или обновить свои устройства. Если вы большая организация, вы можете решить отказаться от WPA2 и начать планировать развертывание WPA3 как можно скорее..

Стандарты шифрования Wi-Fi, используемые в общественных точках доступа по всему миру (Источник: Kaspersky Security Network (KSN))

Насколько безопасны основные сертификаты Wi-Fi, используемые сегодня??

• открыто — Нет безопасности вообще
• Wired Equivalent Privacy (WEP) — Очень ненадежный и использует шифр RC4, изначально принятый за быструю и простую реализацию. Когда-то популярный — согласно WayBack Machine, Skype использовал модифицированную версию около 2010 года — с тех пор он считался очень небезопасным. WEP использует метод аутентификации, при котором все пользователи используют один и тот же ключ, поэтому, если один клиент скомпрометирован, все в сети подвергаются риску. WPA-PSK (Pre-Shared Key) имеет ту же проблему. Согласно Webopedia, WEP небезопасен, так как, как и другие трансляции Wi-Fi, он отправляет сообщения с использованием радиоволн, которые подвержены прослушиванию, эффективно обеспечивая безопасность, равную проводному соединению. Шифрование не останавливает хакеров от перехвата сообщений, и проблема с WEP заключается в том, что он использует статическое шифрование (один ключ для всех пакетов для всех устройств в сети), подвергая риску все устройства, что потенциально является хорошим уловом для хакеров. Воры могут затем попытаться расшифровать данные на досуге в автономном режиме. WPA генерирует уникальный ключ для каждого устройства, ограничивая риск для других клиентов при взломе одного устройства в сети..
• WPA — Использует неэффективные TKIP протокол шифрования, который не является безопасным. Сам TKIP использует шифр RC4, а AES не является обязательным для WPA. Хорошая метафора о том, как работает WPA, взята из поста суперпользователя: «Если вы считаете иностранный язык своего рода шифрованием, WPA немного напоминает ситуацию, когда все машины, подключенные к этой сети WPA, говорят на одном языке, но язык, чуждый другим машинам. Поэтому, конечно, машины, которые подключены к этой сети, могут атаковать друг друга и слышать / видеть все пакеты, отправленные / полученные всеми остальными. Защита только от хостов, которые не подключены к сети (например, потому что они не знают секретного пароля) ».
• WPA2 — Достаточно безопасный, но уязвимый для атак методом перебора и словаря. Пользы AES шифрование и вводит режим счетчика с кодом аутентификации цепочки сообщений шифровального блока (CCMP), надежное шифрование на основе AES. Он обратно совместим с TKIP. Производители выпустили исправления для многих из своих уязвимостей, например, Krack. Одним из основных недостатков безопасности WPA2-версии является Wifi Protected Setup (WPS), что позволяет пользователям быстро настроить безопасную беспроводную домашнюю сеть. Согласно US-Cert, «бесплатные инструменты атаки могут восстановить WPS-PIN за 4-10 часов». Он советует пользователям проверять наличие обновлений прошивки у своего поставщика, чтобы устранить эту уязвимость. WPA2-Enterprise более безопасен, но есть некоторые недостатки.
• WPA3 — По-прежнему слишком нова, чтобы получать значимые данные об использовании, но в настоящее время рекламируется как наиболее безопасный вариант

AES, TKIP или оба, и как они работают?

TKIP

Согласно Википедии, TKIP был разработан, чтобы «заменить» тогдашний уязвимый «стандарт WEP» без необходимости вносить изменения в аппаратное обеспечение, на котором выполнялся стандарт Wired Equivalent Privacy (WEP). Он использует шифр RC4.

Сеть World объясняет, что TKIP фактически не заменяет WEP; это «Обертка». К сожалению, он обернут вокруг принципиально небезопасного WEP, причина в том, что он был задуман как временная мера, потому что никто не хотел отбрасывать все вложенные в оборудование средства, и его можно было быстро развернуть. Последней причины было достаточно для поставщиков и руководителей предприятий, чтобы с энтузиазмом принять ее. В свое время TKIP усилил безопасность WEP:

• Смешивание базового ключа, MAC-адреса точки доступа (AP) и серийного номера пакета — «Операция микширования разработана таким образом, чтобы предъявлять минимальные требования к станциям и точкам доступа, но при этом иметь достаточную криптографическую стойкость, чтобы ее нельзя было легко взломать».
• Увеличение длины ключа до 128 бит — «Это решает первую проблему WEP: слишком короткая длина ключа».
• Создание уникальный 48-битный серийный номер который увеличивается для каждого отправляемого пакета, поэтому нет двух одинаковых ключей — «Это решает еще одну проблему WEP, называемую «коллизионные атаки»,”, Который может произойти, когда один и тот же ключ используется для двух разных пакетов.
• Снижение риска повторных атак с расширенным вектором инициализации (IV), упомянутым выше — «потому что 48-битный порядковый номер будет повторяться тысячи лет, никто не может воспроизвести старые пакеты из беспроводного соединения— они будут обнаружены как вышедшие из строя, потому что порядковые номера не будут правильными ».

Насколько уязвим TKIP на самом деле? По словам Cisco, TKIP уязвим для расшифровки пакетов злоумышленником. Однако злоумышленник может украсть только ключ аутентификации, но не ключ шифрования..

«С восстановленным ключом только перехваченные пакеты могут быть подделаны в ограниченном окне максимум из 7 попыток. Злоумышленник может дешифровать только один пакет за раз, в настоящее время со скоростью один пакет за 12-15 минут. Кроме того, пакеты могут быть расшифрованы только при отправке от точки беспроводного доступа (AP) к клиенту (однонаправленный) ».

Проблема в том, что если белые шляпы обнаруживают большие векторы для вставки атак, то же самое можно сказать и о черных шляпах..

Существует недостаток при использовании TKIP с PSK. «При аутентификации 802.1X секрет сеанса уникален и надежно передается на станцию ​​сервером аутентификации; при использовании TKIP с общими ключами секрет сеанса одинаков для всех и никогда не меняется — отсюда и уязвимость использования TKIP с общими ключами ».

AES

AES (основанный на алгоритме Rjiandael) — это блочный шифр («S» фактически обозначает стандарт и является еще одним примером запутанной терминологии), используемый протоколом, называемым CCMP. Он преобразует открытый текст в зашифрованный и имеет длину ключа 28, 192 или 256 бит. Чем длиннее длина ключа, тем больше хакеров зашифровать зашифрованные данные.

Эксперты по безопасности в целом согласны с тем, что у AES нет существенных недостатков. Исследователи только несколько раз успешно атаковали AES, и эти атаки были в основном побочными.

AES является лучшим выбором для федерального правительства США и НАСА. Для большей уверенности посетите Crypto форум Stack Exchange. Для получения подробных технических подробностей о том, как работает AES, которые выходят за рамки данной статьи, посетите eTutorials.

Wifi условия и сокращения, которые вы должны знать

Сертификаты и стандарты

Хотя WPA2 является программой сертификации, ее часто называют стандартом, а иногда и протоколом. «Стандарт» и «протокол» — это описания, которые часто используют журналисты и даже разработчики этих сертификатов (и рискуют быть педантичными), но эти термины могут вводить в заблуждение, когда речь идет о понимании того, как стандарты и протоколы связаны с Wi-Fi. сертификация, если не прямо неверно.

Мы можем использовать аналогию транспортного средства, сертифицированного как пригодное к эксплуатации. У производителя будут инструкции, которые определяют безопасность стандарты. Когда вы купите машину, она будет проверенный как безопасно управлять организацией, которая устанавливает стандарты безопасности транспортных средств.

Таким образом, хотя WPA2 следует называть сертификацией, его можно условно назвать стандартом. Но, называя это протоколом, путается значение реальных протоколов — TKIP, CCMP и EAP — в безопасности Wi-Fi..

Протоколы и шифры

Еще один слой путаницы: AES является аббревиатурой от Advanced Encryption стандарт. И, по словам пользователя Stack Exchange, TKIP на самом деле не является алгоритмом шифрования; он используется для обеспечения отправки пакетов данных с уникальными ключами шифрования. Пользователь, Лукас Кауфман, говорит: «TKIP реализует более сложную функцию микширования ключей для смешивания сеансового ключа с вектором инициализации для каждого пакета». Кстати, Кауфман определяет EAP как «структуру аутентификации». Он прав в том, что EAP определяет способ передачи сообщений; он сам не шифрует их. Мы коснемся этого снова в следующем разделе..

WPA2 и другие сертификаты Wi-Fi, использование протоколы шифрования для защиты данных Wi-Fi. WPA2-Personal поддерживает несколько типов шифрования. WPA и WPA2 обратно совместимы с WEP, который поддерживает только TKIP.

Juniper называет протоколы шифрования, такие как AES и TKIP, шифрами шифрования. Шифр — это просто алгоритм, который определяет, как выполняется процесс шифрования..

Согласно Сообществу AirHeads:

«Вы часто видите ссылки на TKIP и AES при защите WiFi-клиента. Действительно, на него следует ссылаться как на TKIP и CCMP, а не на AES. TKIP и CCMP являются протоколами шифрования. AES и RC4 — это шифры, CCMP / AES и TKIP / RC4. Вы можете видеть, что поставщики смешивают шифр с протоколом шифрования. Если вы сдаете экзамен, то простой способ запомнить разницу — помнить, что TKIP и CCMP заканчиваются на «P» для протокола шифрования. [Так в оригинале]»

Как и EAP, хотя это протокол аутентификации, а не протокол шифрования.

• WPA2-Personal — Поддерживает CCMP (который большинство людей называют AES) и TKIP.
• WPA2-Enterprise — Поддерживает CCMP и Extensible Authentication Protocol (расширяемый протокол аутентификации (EAP).

WPA2 шифрование и аутентификация

Аутентификация — PSK против 802.1X

Как и WPA, WPA2 поддерживает аутентификацию IEEE 802.1X / EAP и PSK..

WPA2-Personal — PSK — это механизм аутентификации, используемый для проверки пользователей WPA2-Personal, устанавливающих соединение Wi-Fi. Это было разработано прежде всего для общего домашнего и офисного использования. PSK не требует настройки сервера аутентификации. Пользователи входят в систему с предварительным общим ключом, а не с именем пользователя и паролем, как в версии Enterprise.

WPA2-Enterprise — Оригинальный стандарт IEEE 802.11 («пригодный к эксплуатации» стандарт для сертификации WiFi) был выпущен в 1997 году. Более поздние версии часто разрабатывались для повышения скорости передачи данных и соответствия новым технологиям безопасности. Последние версии WPA2-Enterprise соответствуют стандарту 802.11 я. Основной протокол аутентификации 802.1X, что позволяет устройствам Wi-Fi проходить проверку подлинности по имени пользователя и паролю или с использованием сертификата безопасности. Аутентификация 802.1X развернута на AAA-сервер (обычно RADIUS) обеспечивает централизованную аутентификацию и функциональность управления пользователями. EAP является стандартом, используемым для передачи сообщений и проверки подлинности клиента и сервера проверки подлинности перед доставкой. Эти сообщения защищены с помощью протоколов, таких как SSL, TLS и PEAP.

Шифрование — «семена» и ПМК

WPA2-Personal — PSK объединяет парольную фразу (предварительный общий ключ) и SSID (который используется в качестве «Семя» и виден всем в радиусе действия) для генерации ключей шифрования. Сгенерированный ключ — это Парный мастер-ключ (PMK) — используется для шифрования данных с использованием TKIP / CCMP. PMK основан на известном значении (ключевой фразе), поэтому любой, у кого есть это значение (включая сотрудника, покидающего компанию), может получить ключ и потенциально использовать грубую силу для расшифровки трафика..

Несколько слов о семенах и SSID.

• SSIDs — Все имена сетей, которые отображаются в списке точек доступа Wi-Fi на вашем устройстве, являются SSID. Программное обеспечение для анализа сети может сканировать SSID, даже те, которые предположительно скрыты. По словам Стива Райли из Microsoft, «SSID — это имя сети, а не, повторяю, не пароль. Беспроводная сеть имеет SSID, чтобы отличать его от других беспроводных сетей поблизости. SSID никогда не был спроектирован так, чтобы быть скрытым, и поэтому не обеспечит вашей сети никакой защиты, если вы попытаетесь его скрыть. Нарушение спецификации SSID является нарушением спецификации 802.11; поправка к спецификации 802.11i (которая определяет WPA2, обсуждается позже) даже гласит, что компьютер может отказаться от связи с точкой доступа, которая не передает свой SSID ».
• Семена — Длина SSID и SSID манипулируется перед тем, как стать частью генерируемого PMK. SSID и длина SSID используются в качестве начальных чисел, которые инициализируют генератор псевдослучайных чисел, используемый для подсчета парольной фразы, создавая хешированный ключ. Это означает, что пароли хэшируются по-разному в сетях с разными SSID, даже если они используют один и тот же пароль.

Хорошая парольная фраза может снизить потенциальный риск, связанный с использованием SSID в качестве начального числа. Парольную фразу следует генерировать случайным образом и часто менять, особенно после использования точки доступа Wi-Fi и когда сотрудник покидает компанию.

WPA2-Enterprise — После того как сервер RADIUS аутентифицировал клиента, он возвращает случайный 256-битный PMK что CCMP использует для шифрования данных только для текущего сеанса. «Семя» неизвестно, и каждый сеанс требует нового PMK, поэтому атаки методом «грубой силы» — пустая трата времени. WPA2 Enterprise может, но не всегда, использовать PSK.

Какой тип шифрования лучше для вас, AES, TKIP или обоих? (Раскрыты)

Первоначальный вопрос, заданный в этой статье, был, если вы используете AES, TKIP или оба для WPA2?

Выбор типа шифрования на вашем роутере

Ваш выбор (в зависимости от вашего устройства) может включать в себя:

• WPA2 с TKIP — Вы должны выбрать эту опцию, только если ваши устройства слишком старые, чтобы подключиться к более новому типу шифрования AES
• WPA2 с AES — Это лучший (и используемый по умолчанию) выбор для новых маршрутизаторов, поддерживающих AES. Иногда вы увидите только WPA2-PSK, что обычно означает, что ваше устройство поддерживает PSK по умолчанию.
• WPA2 с AES и TKIP — Это альтернатива для устаревших клиентов, которые не поддерживают AES. Когда вы используете WPA2 с AES и TKIP (что может потребоваться при связи с устаревшими устройствами), вы можете столкнуться с более медленными скоростями передачи. Сообщество AirHead объясняет это тем, что «групповые шифры всегда будут использовать самый низкий шифр». AES использует больше вычислительной мощности, поэтому, если у вас много устройств, вы можете увидеть снижение производительности в офисе. Максимальная скорость передачи для сетей, использующих пароли WEP или WPA (TKIP), составляет 54 Мбит / с (Источник: CNet)..
• WPA / WPA2 — Подобно варианту, приведенному выше, вы можете выбрать его, если у вас есть несколько старых устройств, но он не так безопасен, как опция только для WPA2.

На вашем устройстве вместо WPA2 может отображаться опция «WPA2-PSK». Вы можете относиться к этому как к тому же.

Советы по усилению безопасности PSK

Комментарии Терренса Кумана о Stack Exchange позволяют лучше понять, почему WPA2-Enterprise более безопасен, чем WPA2-Personal. Он также предоставляет следующие советы:

• Установите для своего SSID («семя» PMK) произвольную строку из максимально возможного числа цифр, что сделает PMK менее уязвимым для атак методом перебора.
• Создайте длинный случайный PSK и регулярно меняйте его
• Уникальный SSID может сделать вас уязвимым для воров, которые могут легче найти вас на Wigle. Если вы действительно параноик, вы должны рассмотреть возможность использования VPN вместо.

Что дальше? WPA3 был выпущен

По словам NetSpot, «вероятно, единственным недостатком WPA2 является то, сколько вычислительной мощности ему нужно для защиты вашей сети. Это означает, что для предотвращения снижения производительности сети требуется более мощное оборудование. Эта проблема касается более старых точек доступа, которые были реализованы до WPA2 и поддерживают WPA2 только через обновление прошивки. Большинство текущих точек доступа были оснащены более мощным оборудованием ». И большинство поставщиков продолжают поставлять исправления WPA2..

WPA2 будет постепенно выведен из эксплуатации WPA3, выпущенным в июне 2018 года после выявления уязвимости безопасности под названием KRACK в WPA2 в предыдущем году. Ожидается, что развертывание займет некоторое время (возможно, до 2019 года), пока поставщики сертифицируют и отправляют новые устройства. Хотя были выпущены исправления для уязвимости KRACK, WPA2 в целом не так безопасен, как WPA3. Для начала вам следует убедиться, что вы выбрали наиболее безопасный метод шифрования. Скептик Дион Филлипс, пишущий для InfiniGate, считает: «… сомнительно, что текущие беспроводные устройства будут обновлены для поддержки WPA3, и гораздо более вероятно, что следующая волна устройств пройдет через процесс сертификации».

Ты понял; в конце концов, скорее всего, вам придется купить новый маршрутизатор. Тем временем, чтобы оставаться в безопасности, вы можете исправлять и защищать WPA2.

До сих пор не было документированных сообщений о атаках KRACK, но сертификация WPA3 обеспечивает гораздо большую безопасность, чем простое включение уязвимости KRACK. В настоящее время это необязательная программа сертификации, которая со временем станет обязательной, поскольку все больше поставщиков ее принимают Узнайте больше о WPA2 и 3 со статьей Comparitech о том, что такое WPA3 и насколько он безопасен?

Узнайте больше о безопасности Wi-Fi

• Отличным, хотя и многословным, техническим введением в TKIP, AES и проблематичным использованием вводящей в заблуждение терминологии является TKIP Hack
• Если вас беспокоит WPA2 и ваши устройства поддерживают только TKIP, выберите надежный VPN
• Понимать основы криптографии
• Узнайте, как обезопасить свой Wi-Fi роутер — советы для обычного пользователя и тех, кто имеет конфиденциальные данные для защиты

Смотрите также:
Руководство по ресурсам шифрования
Улучшить вашу собственную кибербезопасность

Изображение первой страницы для протокола WPA Марко Верча. Лицензировано под CC BY 2.0