Wi-Fi сигурност трябва да използвате WPA2-AES, WPA2-TKIP или и двете?
Много маршрутизатори предоставят WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP / AES) като опции. Избери грешната и ще имаш по-бавна, по-малко сигурна мрежа.
WEP, Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access II (WPA2) са основните алгоритми за защита, които ще видите при настройката на безжична мрежа. WEP е най-старата и е доказано, че е уязвима, тъй като все повече и повече пропуски в сигурността са открити. WPA подобри сигурността, но сега също се счита за уязвима за проникване. WPA2, макар и да не е перфектен, в момента е най-сигурният избор. Протокол за временна ключова цялост (TKIP) и разширен стандарт за шифроване (AES) са двата различни вида криптиране, които ще се използват в мрежи, обезопасени с WPA2. Нека разгледаме как те се различават и кое е най-доброто за вас.
AES срещу TKIP
TKIP и AES са два различни вида криптиране, които могат да се използват от Wi-Fi мрежа. TKIP всъщност е по-стар протокол за криптиране, въведен с WPA, който замества много несигурното WEP криптиране по това време. TKIP е доста сходен с WEP кодирането. TKIP вече не се счита за сигурна и вече е отхвърлена. С други думи, не трябва да го използвате.
AES е по-сигурен протокол за кодиране, въведен с WPA2. Освен това AES не е някакъв скрип стандарт, разработен специално за Wi-Fi мрежи. Това е сериозен световен стандарт за криптиране, който дори е приет от правителството на САЩ. Например, когато шифровате твърд диск с TrueCrypt, той може да използва AES криптиране за това. AES обикновено се счита за доста сигурна и основните слабости ще бъдат атаки с груба сила (предотвратени чрез използване на силна парола) и слабости в сигурността в други аспекти на WPA2.
Кратката версия е, че TKIP е по-стар стандарт за криптиране, използван от стандарта WPA. AES е по-ново решение за Wi-Fi криптиране, използвано от новия и сигурен WPA2 стандарт. На теория това е краят му. Но, в зависимост от вашия рутер, просто изборът на WPA2 може да не е достатъчно добър.
WPA2 трябва да използва AES за оптимална сигурност, но може да използва и TKIP, където е необходима обратна съвместимост със стари устройства. В такова състояние устройствата, които поддържат WPA2, ще се свържат с WPA2 и устройствата, които поддържат WPA, ще се свържат с WPA. Така че "WPA2" не винаги означава WPA2-AES. Въпреки това, на устройства без видима опция „TKIP“ или „AES“, WPA2 обикновено е синоним на WPA2-AES.
И в случай, че се чудите, "PSK" в тези имена означава "предварително споделен ключ" - предварително споделеният ключ обикновено е парола за криптиране. Това го отличава от WPA-Enterprise, който използва RADIUS сървър, за да раздава уникални ключове на по-големи корпоративни или правителствени Wi-Fi мрежи..
Обяснени са режимите за защита на Wi-Fi
Объркани ли още? Ние не сме изненадани. Но всичко, което наистина трябва да направите, е да уловите най-сигурната опция в списъка, който работи с вашите устройства. Ето опциите, които вероятно ще видите на маршрутизатора си:
- Отваряне (рисковано): Отворените Wi-Fi мрежи нямат пропуск. Не бива да създавате отворена Wi-Fi мрежа - сериозно, можете да откажете вратата от полицията.
- WEP 64 (рисковано): Старият стандарт на WEP протокол е уязвим и наистина не трябва да го използвате.
- WEP 128 (рисковано): Това е WEP, но с по-голям размер на ключа за криптиране. Тя не е по-малко уязвима от WEP 64.
- WPA-PSK (TKIP): Използва се оригиналната версия на протокола WPA (по същество WPA1). Той е заменен от WPA2 и не е защитен.
- WPA-PSK (AES): Използва оригиналния WPA протокол, но замества TKIP с по-модерното AES криптиране. Той се предлага като временно копие, но устройствата, които поддържат AES, почти винаги поддържат WPA2, докато устройствата, които изискват WPA, почти никога не поддържат AES криптиране. Така че, тази опция няма смисъл.
- WPA2-PSK (TKIP): Използва модерен стандарт WPA2 с по-старо TKIP криптиране. Това не е защитено и е добра идея, ако имате по-стари устройства, които не могат да се свържат към мрежа WPA2-PSK (AES).
- WPA2-PSK (AES): Това е най-сигурният вариант. Той използва WPA2, най-новия стандарт за Wi-Fi криптиране и най-новия AES шифриращ протокол. Трябва да използвате тази опция. На някои устройства ще видите опцията “WPA2” или “WPA2-PSK”. Ако го направите, вероятно ще използвате само AES, тъй като това е обикновен избор..
- WPAWPA2-PSK (TKIP / AES): Някои устройства предлагат и дори препоръчват тази опция със смесен режим. Тази опция позволява WPA и WPA2, както с TKIP, така и с AES. Това осигурява максимална съвместимост с древни устройства, които може да имате, но също така позволява на атакуващия да наруши мрежата ви, като разбие по-уязвимите WPA и TKIP протоколи..
Сертификацията WPA2 стана достъпна през 2004 г., преди десет години. През 2006 г. сертифицирането по WPA2 стана задължително. Всяко устройство, произведено след 2006 г. с логото "Wi-Fi", трябва да поддържа WPA2 криптиране.
Тъй като устройствата, поддържащи Wi-Fi, най-вероятно са по-нови от 8-10 години, трябва да се справяте само с избор на WPA2-PSK (AES). Изберете тази опция и след това можете да видите дали нещо не работи. Ако устройството спре да работи, винаги можете да го промените обратно. Въпреки че, ако сигурността е проблем, може би искате да закупите ново устройство, произведено от 2006 г. насам.
WPA и TKIP ще забавят Wi-Fi надолу
Опциите за съвместимост с WPA и TKIP също могат да забавят вашата Wi-Fi мрежа. Много модерни Wi-Fi рутери, които поддържат 802.11n и по-нови стандарти, ще се забавят до 54 Mbps, ако активирате WPA или TKIP в техните опции. Те правят това, за да гарантират, че са съвместими с тези по-стари устройства.
За сравнение дори 802.11n поддържа до 300mbps, ако използвате WPA2 с AES. Теоретично 802.11ac предлага максимални скорости от 3.46 Gbps при оптимални условия (read: perfect).
На повечето маршрутизатори, които сме виждали, опциите обикновено са WEP, WPA (TKIP) и WPA2 (AES) - с възможност за WPA (TKIP) + WPA2 (AES) съвместимост режим за добра мярка.
Ако имате странен вид рутер, който предлага WPA2 в TKIP или AES, изберете AES. Почти всичките ви устройства със сигурност ще работят с него и това е по-бързо и по-сигурно. Това е лесен избор, стига да си спомняш, че AES е добрата.
Кредит за снимката: miniyo73 на Flickr