Encryption wifi là gì
Bảo mật thông tin / Show
Chế độ bảo mật WPA2 tốt nhất là gì: AES, TKIP hoặc cả hai?Truy cập được bảo vệ Wi-Fi 2 (WPA2) là một chương trình chứng nhận bảo mật được phát triển bởi Liên minh Wi-Fi để bảo mật mạng máy tính không dây. Tùy thuộc vào loại và tuổi của bộ định tuyến không dây, bạn sẽ có sẵn một vài tùy chọn mã hóa. Hai cái chính cho WPA2-Personal (phiên bản được sử dụng bởi người dùng gia đình hoặc doanh nghiệp nhỏ) là Tiêu chuẩn mã hóa nâng cao (AES) và người già Giao thức toàn vẹn khóa tạm thời (TKIP), hoặc một kết hợp của cả hai. Trong bài viết này, chúng tôi sẽ giải thích AES và TKIP là gì và đề xuất tùy chọn nào bạn nên chọn cho các thiết bị hỗ trợ WPA2 của mình. Bạn cần chọn chế độ mã hóa tốt nhất không chỉ vì lý do bảo mật mà vì Chế độ sai có thể làm chậm thiết bị của bạn. Nếu bạn chọn chế độ mã hóa cũ hơn, ngay cả khi bộ định tuyến wifi của bạn hỗ trợ loại mã hóa nhanh hơn, việc truyền dữ liệu sẽ tự động chậm lại để tương thích với các thiết bị cũ hơn mà nó kết nối với. Chúng tôi cũng sẽ giải thích một số điều khoản bảo mật wifi liên quan đến WPA2, ví dụ. những người được đề cập trong sơ đồ dưới đây, tập trung chủ yếu vào WPA2-Personal. Ví dụ, các điều khoản chứng nhận, tiêu chuẩn, giao thức và chương trình đôi khi (gây nhầm lẫn) được sử dụng thay thế cho nhau và thường không chính xác. AES là một giao thức hoặc một loại mã hóa? WPA2 là một giao thức hay một tiêu chuẩn? (Cảnh báo spoiler: AES là một tiêu chuẩn và WPA2 là chứng nhận.) Bạn có thể khoan dung một chút về thuật ngữ wifi, miễn là bạn biết những thuật ngữ này thực sự có nghĩa gì. Bài viết này thiết lập kỷ lục thẳng. Và vâng, chúng tôi sử dụng thuật ngữ Chế độ trực tuyến, rất lỏng lẻo để mô tả cài đặt xác thực và mã hóa WPA2. Contents
WPA2 101 một tổng quan ngắn gọn (rất)Có hai phiên bản WPA2: Phiên bản cá nhân (dành cho gia đình và văn phòng) và phiên bản Enterprise (dành cho doanh nghiệp). Trong bài viết này, chúng tôi sẽ tập trung vào phiên bản trước nhưng sẽ so sánh nó với phiên bản Enterprise, điều này sẽ giúp minh họa những gì WPA2-Personal không làm. Làm thế nào đáng tin cậy là các chứng chỉ bảo mật wifi phổ biến?Các mạng không dây của bản quyền là không an toàn. Trong những ngày đầu của mạng không dây, các nhà sản xuất đã cố gắng làm cho nó dễ dàng nhất có thể cho người dùng cuối. Cấu hình bên ngoài cho hầu hết các thiết bị mạng không dây cung cấp quyền truy cập dễ dàng (nhưng không an toàn) vào mạng không dây. (Nguồn: Người giả) WPA2 an toàn như thế nào so với các chứng chỉ wifi thường được sử dụng khác? Cho đến khi WPA3 ra đời, WPA2 đã được xem xét, KRACK và tất cả, tùy chọn an toàn nhất. Lỗ hổng hiện tại của WPA2 có thể được vá một cách hiệu quả, nhưng bạn vẫn cần chọn loại mã hóa tốt nhất cho thiết bị wifi và yêu cầu sử dụng của mình. Ví dụ: nếu bạn là một doanh nghiệp nhỏ với các thiết bị cũ hơn, bạn có thể cần phải hy sinh tốc độ để bảo mật hoặc nâng cấp thiết bị của mình. Nếu bạn là một tổ chức lớn, bạn có thể quyết định bỏ WPA2 hoàn toàn và bắt đầu lên kế hoạch tung ra WPA3 càng sớm càng tốt. Các chuẩn kết nối mã hóa wifi được sử dụng trong các điểm truy cập wifi công cộng trên toàn cầu (Nguồn: Kaspersky Security Network (KSN)) Làm thế nào an toàn là các chứng chỉ wifi chính được sử dụng ngày hôm nay?
AES, TKIP hoặc cả hai và cách chúng hoạt động?TKIPTheo Wikipedia, TKIP được thiết kế để thay thế tiêu chuẩn WEP, dễ bị tổn thương của WEP, mà không phải thay đổi phần cứng đang chạy theo tiêu chuẩn Bảo mật tương đương có dây (WEP). Nó sử dụng mật mã RC4. Thế giới mạng giải thích TKIP không thực sự thay thế WEP; nó là một vỏ bánh. Thật không may, nó được bao bọc xung quanh WEP không an toàn về cơ bản, lý do nó được coi là một biện pháp tạm thời, bởi vì không ai muốn vứt bỏ tất cả các khoản đầu tư phần cứng mà họ đã thực hiện và nó có thể được triển khai nhanh chóng. Lý do cuối cùng là đủ để các nhà cung cấp và quản lý doanh nghiệp đón nhận nó một cách nhiệt tình. Vào thời của nó, TKIP đã tăng cường bảo mật WEP bằng cách:
TKIP thực sự dễ bị tổn thương như thế nào? Theo Cisco, TKIP dễ bị giải mã gói bởi kẻ tấn công. Tuy nhiên, chỉ kẻ trộm mới có thể bị đánh cắp, chứ không phải khóa mã hóa. Với khóa được khôi phục, chỉ các gói bị bắt có thể được giả mạo trong một cửa sổ giới hạn tối đa 7 lần thử. Kẻ tấn công chỉ có thể giải mã một gói tại một thời điểm, hiện tại với tốc độ một gói trong mỗi 12-15 phút. Ngoài ra, các gói chỉ có thể được giải mã khi được gửi từ điểm truy cập không dây (AP) đến máy khách (một chiều). Vấn đề là, nếu những chiếc mũ trắng đang phát hiện ra những vectơ lớn hơn để chèn các cuộc tấn công, thì những chiếc mũ đen cũng vậy. Đây là một Nhược điểm khi TKIP được sử dụng với PSK. Với máy chủ xác thực 802.1X, bí mật phiên là duy nhất và được truyền an toàn đến trạm bởi máy chủ xác thực; Khi sử dụng TKIP với các khóa được chia sẻ trước, bí mật phiên là giống nhau đối với mọi người và không bao giờ thay đổi, do đó lỗ hổng của việc sử dụng TKIP với các khóa được chia sẻ trước. AESAES (dựa trên thuật toán Rjiandael) là một thuật toán mã hóa khối (thực tế là Sọ là viết tắt của tiêu chuẩn và là một ví dụ khác của thuật ngữ khó hiểu) được sử dụng bởi giao thức có tên CCMP. Nó chuyển đổi văn bản gốc thành bản mã và có độ dài khóa là 28, 192 hoặc 256 bit. Độ dài khóa càng dài, dữ liệu được mã hóa càng khó hiểu bởi tin tặc. Các chuyên gia bảo mật thường đồng ý AES không có điểm yếu đáng kể. AES chỉ bị tấn công thành công một vài lần bởi các nhà nghiên cứu và những cuộc tấn công này chủ yếu là tấn công bên lề. AES là mã hóa của sự lựa chọn cho chính phủ Liên bang Hoa Kỳ và NASA. Để yên tâm hơn, hãy truy cập diễn đàn Stack Exchange từ Crypto. Để biết chi tiết kỹ thuật được giải thích rõ về cách AES hoạt động, nằm ngoài phạm vi của bài viết này, hãy truy cập eTutorials. Các thuật ngữ và từ viết tắt của Wifi bạn nên biếtChứng chỉ và tiêu chuẩnMặc dù WPA2 là một chương trình chứng nhận, nó thường được gọi là một tiêu chuẩn và đôi khi là một giao thức. Giao thức tiêu chuẩn và giao thức trực tuyến là các mô tả được sử dụng thường xuyên bởi các nhà báo và thậm chí các nhà phát triển của các chứng chỉ này (và có nguy cơ bị phạm tội), nhưng các thuật ngữ có thể gây hiểu nhầm một chút khi hiểu về các tiêu chuẩn và giao thức liên quan đến wifi như thế nào chứng nhận, nếu không hoàn toàn sai. Chúng ta có thể sử dụng sự tương tự của một chiếc xe được chứng nhận là có thể đi được. Nhà sản xuất sẽ có hướng dẫn chỉ định an toàn tiêu chuẩn. Khi bạn mua xe, nó sẽ được chứng nhận an toàn khi lái xe bởi một tổ chức chỉ định các tiêu chuẩn về an toàn cho xe. Vì vậy, trong khi WPA2 nên được gọi là chứng nhận, nó có thể được gọi là tiêu chuẩn. Nhưng, để gọi nó là một giao thức nhầm lẫn giữa ý nghĩa của các giao thức thực tế TKIP, CCMP và EAP trong bảo mật wifi. Giao thức và mật mãMột lớp nhầm lẫn khác: AES là từ viết tắt của Advanced Encoding Tiêu chuẩn. Và, theo một người dùng Stack Exchange, TKIP thực sự không phải là một thuật toán mã hóa; nó được sử dụng để đảm bảo các gói dữ liệu được gửi với các khóa mã hóa duy nhất. Người dùng, Lucas Kauffman, nói, TK TKIP thực hiện chức năng trộn khóa phức tạp hơn để trộn khóa phiên với một vectơ khởi tạo cho mỗi gói. Ngẫu nhiên, Kauffman định nghĩa EAP là một khung xác thực xác thực. Anh ta đúng trong đó EAP chỉ định cách truyền thông điệp; nó không tự mã hóa chúng. Chúng ta sẽ chạm vào điều này một lần nữa trong phần tiếp theo. WPA2 và các chứng nhận wifi khác, sử dụng giao thức mã hóa để bảo mật dữ liệu wifi. WPA2-Personal hỗ trợ nhiều loại mã hóa. WPA và WPA2 tương thích ngược với WEP, chỉ hỗ trợ TKIP. Juniper gọi các giao thức mã hóa như AES và TKIP là mật mã mã hóa. Mật mã chỉ đơn giản là một thuật toán xác định cách thực hiện quy trình mã hóa. Theo Cộng đồng AirHead: Bạn thường thấy TKIP và AES được tham chiếu khi bảo vệ máy khách WiFi. Thực sự, nó nên được gọi là TKIP và CCMP, không phải AES. TKIP và CCMP là các giao thức mã hóa. AES và RC4 là mật mã, CCMP / AES và TKIP / RC4. Bạn có thể thấy các nhà cung cấp đang trộn một mật mã với một giao thức mã hóa. Nếu làm bài kiểm tra một cách dễ dàng để ghi nhớ sự khác biệt là hãy nhớ kết thúc TKIP và CCMP trong P, cho giao thức mã hóa. [sic] EAP cũng vậy, mặc dù nó là một xác thực, không phải là một giao thức mã hóa. Điểm mấu chốt:
Mã hóa và xác thực WPA2Xác thực PSK so với 802.1XGiống như WPA, WPA2 hỗ trợ xác thực IEEE 802.1X / EAP và PSK. WPA2-Cá nhân PSK là cơ chế xác thực được sử dụng để xác thực người dùng WPA2-Personal thực hiện kết nối wifi. Nó được thiết kế chủ yếu cho sử dụng nhà và văn phòng nói chung. PSK không cần thiết lập máy chủ xác thực. Người dùng đăng nhập bằng khóa chia sẻ trước thay vì tên người dùng và mật khẩu như với phiên bản Enterprise. WPA2-Doanh nghiệp Tiêu chuẩn IEEE 802.11 ban đầu (tiêu chuẩn của IEEE Roadworthy cho chứng nhận wifi) được phát hành vào năm 1997. Các phiên bản sau này thường được phát triển để cải thiện tốc độ truyền dữ liệu và bắt kịp các công nghệ bảo mật mới. Các phiên bản WPA2- Enterprise mới nhất phù hợp với 802.11 Tôi. Giao thức xác thực cơ bản của nó là 802.1X, cho phép các thiết bị wifi được xác thực bằng tên người dùng và mật khẩu hoặc sử dụng chứng chỉ bảo mật. Xác thực 802.1X được triển khai trên một Máy chủ AAA (thường là RADIUS) cung cấp xác thực tập trung và chức năng quản lý người dùng. EAP là tiêu chuẩn được sử dụng để truyền tin nhắn và xác thực trình xác thực máy khách và máy chủ trước khi gửi. Các tin nhắn này được bảo mật thông qua các giao thức như SSL, TLS và PEAP. Mã hóa Hạt giống và các PMKWPA2-Cá nhân PSK kết hợp cụm mật khẩu (khóa chia sẻ trước) và SSID (được sử dụng làm cụm từ Hạt giống và hiển thị cho mọi người trong phạm vi) để tạo khóa mã hóa. Khóa được tạo a Khóa cặp chính (PMK) được sử dụng để mã hóa dữ liệu bằng TKIP / CCMP. PMK dựa trên một giá trị đã biết (cụm mật khẩu), vì vậy bất kỳ ai có giá trị đó (bao gồm cả nhân viên rời khỏi công ty) đều có thể nắm bắt khóa và có khả năng sử dụng vũ lực để giải mã lưu lượng. Một vài từ về hạt giống và SSID.
Một cụm mật khẩu tốt có thể giảm thiểu rủi ro tiềm ẩn liên quan đến việc sử dụng SSID làm hạt giống. Một cụm mật khẩu nên được tạo ngẫu nhiên và thay đổi thường xuyên, đặc biệt là sau khi sử dụng điểm phát wifi và khi nhân viên rời khỏi công ty. WPA2-Doanh nghiệp Sau khi máy chủ RADIUS xác thực ứng dụng khách, nó sẽ trả về ngẫu nhiên PMK 256-bit CCMP chỉ sử dụng để mã hóa dữ liệu cho phiên hiện tại. Không thể biết được hạt giống của người nghèo, và mỗi phiên đều yêu cầu một PMK mới, vì vậy các cuộc tấn công vũ phu là một sự lãng phí thời gian. WPA2 Enterprise có thể, nhưng thông thường, không sử dụng PSK. Loại mã hóa nào là tốt nhất cho bạn, AES, TKIP hoặc cả hai? (Đã giải quyết)Câu hỏi ban đầu được đặt ra trong bài viết này là bạn nên sử dụng AES, TKIP hoặc cả hai cho WPA2? Chọn loại mã hóa trên bộ định tuyến của bạnLựa chọn của bạn (tùy thuộc vào thiết bị của bạn) có thể bao gồm:
Trên thiết bị của bạn, thay vì WPA2, bạn có thể được hiển thị tùy chọn Ecl WPA2-PSK . Bạn có thể coi điều này là điều tương tự. Mẹo để tăng cường bảo mật PSKNhận xét của Terrence Koeman, về Stack Exchange giúp cho việc đọc hiểu về lý do tại sao WPA2-Enterprise an toàn hơn WPA2-Personal. Ông cũng cung cấp các mẹo dưới đây:
Cái gì tiếp theo? WPA3 đã được phát hànhTheo NetSpot, có lẽ nhược điểm duy nhất của WPA2 là cần bao nhiêu sức mạnh xử lý để bảo vệ mạng của bạn. Điều này có nghĩa là phần cứng mạnh hơn là cần thiết để tránh hiệu suất mạng thấp hơn. Vấn đề này liên quan đến các điểm truy cập cũ hơn đã được triển khai trước WPA2 và chỉ hỗ trợ WPA2 thông qua nâng cấp firmware. Hầu hết các điểm truy cập hiện tại đã được cung cấp phần cứng có khả năng cao hơn. Và, hầu hết các nhà cung cấp tiếp tục cung cấp các bản vá WPA2. WPA2 sẽ dần bị loại bỏ bởi WPA3, được phát hành vào tháng 6 năm 2018 sau khi xác định lỗ hổng bảo mật có tên KRACK trong WPA2 vào năm trước. Việc triển khai dự kiến sẽ mất một thời gian (có thể đến cuối năm 2019) trong khi các nhà cung cấp chứng nhận và giao các thiết bị mới. Mặc dù các bản vá cho lỗ hổng KRACK đã được phát hành, WPA2 gần như không an toàn về tổng thể như WPA3. Để bắt đầu, bạn nên đảm bảo bạn chọn phương thức mã hóa an toàn nhất. Skeptic Dion Phillips, viết cho InfiniGate, nghĩ rằng, hiện tại, nghi ngờ rằng các thiết bị không dây hiện tại sẽ được cập nhật để hỗ trợ WPA3 và nhiều khả năng làn sóng thiết bị tiếp theo sẽ được đưa vào quá trình chứng nhận. Bạn đã nhận nó; Cuối cùng, có khả năng bạn sẽ phải mua một bộ định tuyến mới. Trong khi đó, để giữ an toàn, bạn có thể vá và bảo mật WPA2. Chưa có báo cáo tài liệu nào về các cuộc tấn công KRACK nhưng chứng nhận WPA3 cung cấp bảo mật hơn nhiều so với việc chỉ cắm lỗ hổng KRACK. Hiện tại là một chương trình chứng nhận tùy chọn, nó sẽ trở thành bắt buộc khi nhiều nhà cung cấp chấp nhận nó. Tìm hiểu thêm về WPA2 và 3 với bài viết so sánh về WPA3 về WPA3 là gì và mức độ an toàn của nó? Tìm hiểu thêm về bảo mật wifi
Xem thêm: Hình ảnh trang đầu tiên cho Giao thức WPA của Marco Verch. Được cấp phép theo CC BY 2.0 Kim Martin Administrator Sorry! The Author has not filled his profile. follow me |