Как защитить свою wifi сеть паролем
Содержание:
- Введение — уязвимости WiFi
- Способ #2: Командная строка
- Вкладка RADIUS
- Пароль (ключ) WPA PSK
- О методах аутентификации
- Пароль для сети
- Шифрование в сетях WIFI
- Варианты защиты
- Как устранить ошибку аутентификации, или «Сохранено, защита WPA/WPA2»
- Ключ безопасности от беспроводной сети Wi-Fi
- Как изменить ключ безопасности
- Как узнать ключ безопасности
Введение — уязвимости WiFi
Главная причина уязвимости пользовательских данных, когда
эти данные передаются через сети WiFi, заключается
в том, что обмен происходит по радиоволне. А это дает возможность
перехвата сообщений в любой точке, где физически доступен сигнал WiFi. Упрощенно говоря, если сигнал точки доступа
можно уловить на дистанции 50 метров, то перехват всего сетевого трафика
этой WiFi сети возможен в радиусе 50 метров от
точки доступа. В соседнем помещении, на другом этаже здания, на улице.
Представьте такую картину. В офисе локальная сеть построена через
WiFi. Сигнал точки доступа этого офиса ловится за
пределами здания, например на автостоянке. Злоумышленник, за пределами
здания, может получить доступ к офисной сети, то есть незаметно для
владельцев этой сети. К сетям WiFi можно получить
доступ легко и незаметно. Технически значительно легче, чем к проводным
сетям.
Есть ли возможность сохранить конфиденциальность
при использовании WiFi?
Да. На
сегодняшний день разработаны и внедрены средства защиты
WiFi сетей. Такая защита основана на шифровании всего трафика между точкой доступа и
конечным устройством, которое подключено к ней. То есть радиосигнал
перехватить злоумышленник может, но для него это будет просто цифровой
«мусор».
Способ #2: Командная строка
Найти пароль от роутера на компьютере через командную строку сможет каждый – необходимо лишь запомнить пару простых комбинаций. Вот что требуется сделать:
- Запустите командную строку, одновременно нажав клавиши Win+R;
- В соответствующее поле впишите команду «cmd» и нажмите на кнопку «ОК»;
- В открывшемся окне напишите (без кавычек) «netsh wlan show profiles»;
- Вы увидите список доступных сетей, которыми пользовались на устройстве;
- Чтобы получить данные от определенной сети, нужно вписать в команду ее название «netsh wlan show profiles name=имя key=clear»;
- На скриншоте показано, как увидеть информацию по домашней сети Dom. Искомая информация находится в строке «Содержимое ключа».
Перейдем к другим доступным способам и рассмотрим, как еще можно на роутере посмотреть пароль от ВайФая.
Вкладка RADIUS
MAC Authentication — авторизация по mac-адресу. Эта настройка применяется к тем клиентам, которых нет в access-list. Сервер RADIUS будет использовать MAC-адрес клиента в качестве имени пользователя.
Галочку не ставим.
MAC Accounting — включить MAC-статистику.
Галочку не ставим.
EAP Accounting — включить EAP-статистику.
Галочку не ставим.
Interim Update — интервал времени через который точка доступа повторно запрашивает информацию об аккаунте с Radius сервера.
Параметр не изменяем.
MAC Format — формат в котором записываем MAC-адреса. Доступные форматы:
XX: XX: XX: XX: XX: XX XXXX: XXXX: XXXX XXXXXX: ХХХХХХ XX-XX-XX-XX-XX-XX XXXXXX-XXXXXX XXXXXXXXXXXX XX XX XX XX XX XX
Указывает как MAC-адрес клиента кодируется точкой доступа в атрибут User-Name RADIUS-сервера.
Параметр не изменяем.
MAC Mode — значения:
- as-username — использовать только имя при проверке подлинности в RADIUS-сервере.
- as-username-and-password — использовать имя и пароль при проверке подлинности в RADIUS-сервере (в качестве атрибута User-Name).
Параметр не изменяем.
MAC Caching Time — промежуток времени через который точка доступа будет кэшировать ответы аутентификации. Значение disabled отключает кэш, все ответы направляются напрямую в RADIUS-сервер.
Параметр не изменяем.
Пароль (ключ) WPA PSK
Какой бы тип безопасности и метод шифрования вы не выбрали, необходимо установить пароль. Он же ключ WPA, Wireless Password, ключ безопасности сети Wi-Fi и т. д.
Длина пароля от 8 до 32 символов. Можно использовать буквы латинского алфавита и цифры. Так же специальные знаки: — @ $ # ! и т. д. Без пробелов! Пароль чувствительный к регистру! Это значит, что «z» и «Z» это разные символы.
Не советую ставить простые пароли. Лучше создать надежный пароль, который точно никто не сможет подобрать, даже если хорошо постарается.
Вряд ли получится запомнить такой сложный пароль. Хорошо бы его где-то записать. Не редко пароль от Wi-Fi просто забывают. Что делать в таких ситуациях, я писал в статье: как узнать свой пароль от Wi-Fi.
Так же не забудьте установить хороший пароль, который будет защищать веб-интерфейс вашего маршрутизатора. Как это сделать, я писал здесь: как на роутере поменять пароль с admin на другой.
Если вам нужно еще больше защиты, то можно использовать привязку по MAC-адресу. Правда, не вижу в этом необходимости. WPA2 — Personal в паре с AES и сложным паролем – вполне достаточно.
96
Сергей
Настройка защиты Wi-Fi сетей
О методах аутентификации
В предыдущих статьях, в частности: Особенности защиты беспроводных и проводных сетей. Часть 1 — Прямые меры защиты, — мы рассказывали о различных методах аутентификации.
Более или менее надёжным можно считать алгоритм защиты начиная с WPA2, а самый современный протокол аутентификации — WPA3, входящий в состав новшеств от WiFi 6. Но так как не все ещё перешли на WiFi 6, то WPA2 пока остаётся актуальным.
В свою очередь технология WPA2 подразделяется на два направления: WPA2 Personal и WPA2 Enterprise.
Вариант WPA2 Personal с PSK (Pre-Shared Key), проще говоря, «один-ключ-на все-устройства» используется в небольших (обычно в домашних сетях). При этом единственный ключ (длинная символьная строка не менее 8 символов) хранится на самой точке доступа и на каждом устройстве, подключаемом к беспроводной сети. Когда просят дать «пароль от WiFi», это тот самый ключ и есть.
При увеличении числа клиентов обслуживание такой беспроводной сети превращается в кошмар для сисадмина.
Если кто-то из пользователей со скандалом уволился, умудрился потерять ноутбук или случайно переслал ключ по почте (выложил общем чате, на форуме и так далее) …
В общем, при малейшем подозрении на компрометацию ключа выход может быть только один — сгенерировать новый ключ и заменить его везде: на всех точках доступа и у всех пользователей на всех устройствах. При этом нужно обязательно проверить работает ли доступ у всех пользователей на всех корпоративных (а иногда и личных) девайсах, а ещё ответить на 1000 и 1 вопрос из разряда: «А зачем?», «А почему так произошло?», «А что, теперь постоянно менять придётся?» и так далее и тому подобное.
Поэтому для беспроводных сетей корпоративного уровня используется гораздо более совершенный вариант WPA2 Enterprise. Наиболее очевидной альтернативой общему ключу является индивидуальный ключ для каждого. Разумеется, в этом случае при подключении к сети запрашивается не только ключ, но и имя пользователя. Фактически это возврат к аутентификации на основе логин + длинный пароль. (Спасибо Капитану Очевидность за точные формулировки).
Вопрос в том, где хранить базу пользователей и паролей. Размер встроенной аппаратной флеш-памяти не «резиновый», а если точек доступа несколько, то нужно подумать, как выполнять синхронизацию учётных данных между ними.
Гораздо проще использовать внешний сервер для аутентификации. WPA2 Enterprise использует для этих целей RADIUS.
RADIUS (Remote Authentication in Dial-In User Service) — сервис AAA (Authentication, Authorization, Accounting), основанный на использовании отдельного сервера, взаимодействующего с клиентами (оборудованием) по специальным протоколам.
На сегодняшний момент наиболее популярны следующие реализации:
- Microsoft Network Policy Server (NPS), бывший IAS — для конфигурации используется встроенный инструментарий Microsoft. Соответственно, нужно купить необходимые лицензии.
- Cisco Secure Access Control Server (ACS) 4.2, 5.3 — для администрирования использует веб-интерфейс, имеет широкий набор полезных функций. Это также платный продукт.
- FreeRADIUS — распространяется бесплатно, может использоваться как в «чистом виде», так и вкупе с различными СУБД (MySQL и другие), имеются веб-интерфейсы (DaloRADIUS, Dual-In), в общем, довольно известное решение.
Существуют и другие реализации данного сервиса. Для настройки главное понять принцип взаимодействия с сервером аутентификации, всё остальное можно найти в документации.
Пароль для сети
После того, как мы выбрали режимы безопасности, нам необходимо задуматься о пароле. Каким он должен быть?
Определимся с величиной 8-32 символа. Используется только латиница, цифры и специальные символы. Обязательным условием является недопустимость пробелов. Пароль реагирует на регистр. Лучше придумать надежный и легко запоминающийся пароль, чтобы его никто не мог взломать.
Теперь вы с уверенностью можете сказать, какой способ проверки подлинности Wi-Fi лучше. Чтобы к вам не мог подключиться любой нежелательный пользователь, нужно защитить свою сеть.
Если статья была полезной, ставьте звездочки! Задавайте вопросы и делитесь опытом по теме! Всем спасибо и до новых встреч на WiFi Гид!
Шифрование в сетях WIFI
Личная информация, хранящаяся в файлах компьютера, подключённого к беспроводной сети, может быть доступной посторонним людям, не имеющим права на это. Другими словами, с плохим умыслом или нет, для развлечения или наживы, через сеть без пароля может быть получен несанкционированный доступ ко всему содержимому ПК. Для предотвращения этого и были разработаны различные методы шифрования, способные защитить пользователей. Далее о том, какие они существуют.
WEP
Данная технология (стандарт 802.11) была одной из первых систем, обеспечивающих безопасность wifi-сети
Она предоставляла слабую защиту, из-за чего часто взламывалась хакерами с целью похищения важной информации. Результатом этого стало значительное замедление внедрения wifi-сетей в компаниях и деловых организациях
У руководителей не было и малейшей уверенности в конфиденциальности передаваемых, посредством беспроводной связи, данных. Кроме того, в этой системе не было предусмотрено возможности устанавливать пароль.
Решением данной проблемы занялся институт IEEE, который организовал 802.11i – рабочую группу, начавшую создание новой модели шифрования данных, способной защитить сети wifi.
Результатом стало появление в 2004 году WPA (Wifi Protected Access или защищённого доступа). Новая система исправила недочёты старой благодаря сочетанию сразу нескольких технологий, способных решить проблему её уязвимости и поставить точку в истории лёгких взломов сетей.
WPA
Стандарт 802.1x, как уже говорилось выше, пришёл на замену 802.11. Основным отличием стала взаимная аутентификация и постоянная инкапсуляция данных, транслируемых между сервером и клиентскими точками доступа. Так же был расширен протокол аутентификации (EAP).
Предлагаем ознакомиться со схематичным изображением работы WAP и многих других систем безопасности (см.рис.)
Кроме того, в WAP были интегрированы способ временного протокола целостности ключей (TKIP) и MIC – контрольная сумма сообщения, предотвращающая любое изменение пакетов данных в процессе передачи. Работая вместе, данные технологии могут гарантированно защитить сеть, наделяя правом подключения к ней лишь владеющих паролем пользователей.
WPA2
Следующим рывком навстречу безопасности сетей стал выход программы WPA2 (802.11i). Лишь с её появлением беспроводные сети стали активно внедрять предприятия и компании, придающие конфиденциальности особую роль.
Важнейшей инновацией стало появление AES – 128-битного улучшенного алгоритма шифрования данных. Он позволяет поставить крест на работе “блокиратора” шифра, дающего возможность использовать один код как для аутентификации, так и для шифрования. Теперь стало обязательным использование разных шифров для каждой из этих операций. Так же добавили кэширование ключа и предварительную аутентификацию пользователей (для их упорядочивания по точкам доступа).
Существуют модификации стандарта 802.11i:
- 802.11r – технология, специализирующаяся на быстрой и надёжной передачи ключевых иерархий, основанных на алгоритме Handoff. Данный стандарт wifi полностью совместим с модификациями 802.11a/b/g/n.
- 802.11w – предназначен для улучшения механизма, отвечающего за безопасность, посредством повышенного внимания к защите управляющих пакетов на основе 802.11i. Оба данных стандарта принадлежат к группе 802.11n.
Таким образом, использование последнего (WPA2) стандарта при организации безопасности беспроводной сети очевидно.
Хватит теории. Следующим шагом должна стать организация защиты wifi паролем, рассмотрением которой мы сейчас и займёмся.
Варианты защиты
Чтобы быть уверенным в безопасности нашего WI-FI, нужно придумать логин и пароль и определиться с технологией защиты. Из вариантов нам предлагаются WEP, WPA и WPA2.
Одной из первых безопасных технологий была WEP. Она проверяла ключ на целостность при каждом соединении по Wi-Fi и была стандартом IEEE802.11i. Сейчас эта технология считается устаревшей и недостаточно безопасной.
WPA
Защита WPA выполняет проверку ключа доступа при использовании протокола 802.1Х, таким образом, перебирая все варианты. Это более надежный и современный тип защиты. Полное название Wi-Fi Protected Access защищенный доступ Wi-Fi.
Делится на пару видов:
- WPA-Personal (Personal Key) или сокращенно WPA PSK.
- WPA-Enterprise.
И наконец, что такое WPA2 PSK? Спросите, какая разница, чем отличается этот вариант от WPA? Она поддерживает шифрование и считается лучшим способом для защиты сетей беспроводного доступа. Еще отличие в том, что это самая современная, свежая версия.
Давайте подробнее остановимся на видах WPA2:
WPA2 PSK или персональный (Personal) ключ – это вариант аутентификации. Нам просто нужно придумать пароль, который будет ключом, и пользоваться им во время входа в сеть WI-Fi. Этот пароль будет одним для всех подключаемых девайсов и будет храниться в настройках роутера.
WPA2 Enterprise – усложненный способ аутентификации, подойдет для использования на работе. Он имеет повышенный уровень защиты и использует сервер для выдачи паролей.
Как устранить ошибку аутентификации, или «Сохранено, защита WPA/WPA2»
Давайте разбираться с решениями. Начнем как обычно, с самых простых.
1 Проверяем пароль. Так как ошибка аутентификации чаще в всего появляется из-за неправильно указанного пароля, то его нужно проверить в первую очередь. На своем телефоне, или планшете, нажмите на Wi-Fi сеть, к которой не получается подключится, и удалите ее.
Теперь, нажав на нашу сеть, снова появится запрос пароля. Укажите пароль еще раз, убедитесь, что указываете все правильно. Если снова увидите ошибку аутентификации, то удалите сеть, посмотрите пароль в настройках роутера, или на компьютере, и попробуйте подключится заново.
Лучше всего, посмотреть пароль в настройках маршрутизатора. В статье я писал как это сделать. И не забывайте, что пароль чувствителен к регистру букв. То есть, есть разница между большими и маленькими.
2 Меняем настройки безопасности Wi-Fi сети. Если вы уже уверены, что указываете правильный ключ, то нужно поэкспериментировать с настройками беспроводной сети на нашем маршрутизаторе. Особенно, с настройками безопасности.
Сначала проверьте, установлен ли у вас метод проверки подлинности WPA2 – Personal, шифрование WPA — «AES». Попробуйте на таких настройках. Если не поможет, задайте другие параметры.
Не забывайте после каждого изменения сохранять настройки, и перезагружать роутер. А на Android удалять Wi-Fi сеть, и пробовать подключаться заново.
3 Меняем пароль Wi-Fi сети. Попробуйте сменить пароль на какой-то другой. Советую попробовать поставить ключ из 8 символов, и только из цифр. В некоторых случаях, это помогает.
4 Смена канала, региона, ширины канала, и режима работы беспроводной сети. Если вышеописанные решения не помогают, то можно попробовать поэкспериментировать с настройками Wi-Fi сети. Все они находятся в панели управления маршрутизатором, на вкладке с настройками беспроводной сети.
Можно, например, попробовать поставить какой-то статический канал, вместо «Авто», сменить ширину канала, указать другой режим работы.
Не забывайте сохранять настройки, перезагружать роутер, и удалять сеть на мобильном устройстве (как это сделать, писал выше) .
5 Перезагрузите свой Андроид смартфон, или планшет. Можно так же попробовать включить, и отключить режим полета. Видел еще советы, где рекомендуют включить режим модема (точки доступа), затем отключить его. Установив настройки точки доступа и сопряжения на IPv4 и IPv6.
В итоге, наш телефон должен подключится к Wi-Fi.
Ключ безопасности от беспроводной сети Wi-Fi
Ключ безопасности сети является паролем, используя который можно подключиться к работающей сети Wi-Fi. От него напрямую зависит безопасное функционирование беспроводной сети. Основная задача его заключается в ограждении пользователя (хозяина) Wi-Fi от несанкционированного подключения к ней. Некоторым может показаться, что такое подключение, в общем-то, не сильно будет мешать работе в интернете. На самом же деле оно чревато значительным уменьшением скорости интернета
Поэтому, созданию пароля необходимо уделять самое пристальное внимание
Кроме собственно сложности создаваемого пароля, на степень безопасности беспроводной сети Wi-Fi в значительной степени влияет тип шифрования данных. Значимость типа шифрования объясняется тем, что все данные, передающиеся в рамках конкретной сети зашифрованы. Такая система позволяет оградиться от несанкционированного подключения, т. к. не зная пароля, сторонний пользователь при помощи своего устройства просто не сможет расшифровать передающиеся в рамках беспроводной сети данные.
Виды шифрования сети
В настоящее время Wi-Fi маршрутизаторы используют три разных типа шифрования.
Отличаются они друг от друга не только количеством доступных для создания пароля символов, но и другими не менее важными особенностями.
Самым ненадежным и менее популярным типом шифрования на сегодняшний день является WEP. В общем-то, этот тип шифрования использовался раньше и сейчас применяется редко. И дело тут не только в моральной старости такого типа шифрования. Он действительно достаточно ненадежный. Пользователи, использующие устройства с WEP-шифрованием имеют довольно высокие шансы на то, что их собственный ключ безопасности сети будет взломан сторонним пользователем. Данный вид шифрования не поддерживается многими современными Wi-Fi роутерами.
Последние два типа шифрования намного более надежны и гораздо чаще используются. При этом у пользователей имеется возможность выбрать уровень безопасности сети. Так, WPA и WPA2 поддерживают два вида проверки безопасности.
Один из них рассчитан на обычных пользователей и содержит один уникальный пароль для всех подключаемых устройств.
Другой используется для предприятий и значительно повышает уровень надежности сети Wi-Fi. Суть его заключается в том, что для каждого отдельного устройства создается собственный уникальный ключ безопасности.
Таким образом, становится практически невозможно без разрешения подключиться к чужой сети.
Тем не менее, выбирая свой будущий маршрутизатор, следует остановить свой выбор именно на той модели, которая поддерживает именно WPA2-шифрование. Объясняется ее большей надежностью в сравнении с WPA. Хотя, конечно же, WPA-шифрование является достаточно качественным. Большинство маршрутизаторов поддерживают оба эти вида шифрования.
Как узнать свой ключ безопасности сети Wi-Fi
Чтобы узнать свой ключ безопасности от беспроводной сети можно воспользоваться несколькими способами:
- Проще всего узнать свой ключ через настройки маршрутизатора. Для этого необходимо будет просто зайти в его веб-интерфейс, использую стандартный пароль для входа (если его не меняли). Обычно, и пароль и логин для входа – это «admin». Кроме того, эти данные можно посмотреть и на самом роутере. После этого нужно будет зайти в меню «Беспроводной режим», выбрать там пункт «Защита беспроводного режима». Там, вы и можно взять собственный ключ безопасности, найти его не составит проблем он либо так и называется «ключ безопасности», либо «пароль PSK», возможно на различных моделях роутеров различное название.
- Также узнать пароль от Wi-Fi возможно в панели управления. Для этого нужно кликнуть мышкой по значку сети, расположенному в правом нижнем углу экрана, рядом с часами. Оттуда понадобится зайти в «Центр управления сетями и общим доступом». Далее следует перейти по вкладке «Управление беспроводными сетями». Там следует найти собственную сеть и кликнуть по ней ПКМ(правой кнопкой мыши), после чего, выбрать в открывшемся окошке «Свойства». Затем, нужно будет перейти в раздел «Безопасность» и отметить галочкой графу «Отображать вводимые знаки». Такое действие покажет скрываемые ранее символы пароля.
- Узнать забытый пароль от Wi-Fi легче всего в уже подключенном к сети компьютере. Для этого нужно также нажать ЛКМ(левой кнопкой мыши) на значок и выбрать имя сети, напротив которого написано «Подключено». Затем на нее необходимо будет нажать ПКМ(правой кнопкой мыши) еще раз и зайти в «Свойства». Там нужно будет так же выбрать «Безопасность» — «Отображать вводимые знаки». После этого можно будет узнать забытый пароль от сети.
Как изменить ключ безопасности
Чтобы поменять пароль на любом маршрутизаторе, необходимо зайти через браузер в меню его настроек (по умолчанию ip-адрес обычно 192.168.1.1 либо 192.168.0.1) и ввести логин/пароль для доступа: admin/admin (если пользователь не менял данные). Далее ход процесса будет немного отличаться в зависимости от модели роутера.
Вход в меню настроек модема
D-Link
После входа в настройки роутера D-Link рекомендуется поменять язык интерфейса на русский, чтобы не запутаться в пунктах меню.
Далее следует пройти путь: «Расширенные настройки»/«Система»/«Пароль администратора».
ZYXEL
В настройках модемов ZyXEL для смены пароля необходимо перейти на вкладку «Сеть Wi-Fi» и указать новую комбинацию в строке «Ключ сети».
Как узнать ключ безопасности
Поскольку надежные вай-фай пароли состоят из случайных комбинаций символов, то зачастую может случиться так, что сам владелец сети забудет ее ключ безопасности. Если имеется возможность доступа к маршрутизатору или подключенному к данной точке доступа смартфону или ноутбуку, то узнать заветную комбинацию не составит труда.
С помощью роутера
Посмотреть пароль, сохраненный на роутере, можно только если под рукой имеется устройство, подключенное к этой же Wi-Fi сети. Для этого необходимо:
- набрать в адресной строке браузера ip-адрес устройства;
- ввести логин и пароль от маршрутизатора в соответствующие поля и зайти в меню настроек;
- открыть разделы «Сеть», затем — «Безопасность» (названия пунктов могут отличаться в зависимости от модели роутера);
- нажать кнопку или активировать галочку «Показать пароль» (Display key).
Пароль беспроводной сети на роутере TP-Link
С помощью компьютера
Узнать пароль через компьютер или ноутбук с ОС Виндовс, в котором активировано автоматическое подключение к данной точке доступа можно за несколько шагов:
- Кликнуть правой кнопкой мыши на значок подключения и выбрать строку «Открыть параметры сети и интернет».
- Перейти в раздел «Настройка параметров адаптера».
- Правым кликом по значку своего подключения активировать контекстное меню и перейти в раздел «Свойства».
- Во вкладке «Безопасность» активировать галочку «Отображать вводимые знаки».
Просмотр ключа безопасности, сохраненного в Windows
На телефоне
Найти забытый код через мобильное устройство можно только при помощи телефона или планшета под управлением Андроид, с полными правами доступа, для этого:
- переходят по пути data/misc/wifi;
- находят папку wpa_supplicant.conf;
- открывают ее при помощи текстового документа или браузера;
- в строке PSK будет находиться искомый пароль.
На корпусе маршрутизатора
Если владелец сети не менял код доступа, то узнать его можно в инструкции к маршрутизатору или посмотрев наклейку на задней стороне корпуса устройства.
Дополнительные способы
Узнать заветную комбинацию при помощи компьютера реально, даже если устройство на данный момент не подключено к «забытой» вай-фай сети, для этого можно воспользоваться специальным программным обеспечением, например, WirelessKeyView.