Wi-Fi сигурност: Трябва ли да използвате WPA2-AES, WPA2-TKIP или и двете?

Много маршрутизатори предлагат опции WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP / AES). Изберете неправилната, но ще имате по-бавна, по-малко сигурна мрежа.

Услугата WEP (Wired Equivalent Privacy), Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access II (WPA2) са основните алгоритми за сигурност, които ще видите при настройването на безжична мрежа. WEP е най-старият и се е доказал, че е уязвим, тъй като са открити все повече и повече недостатъци в сигурността. WPA подобри сигурността, но сега също се счита за уязвима от проникване. WPA2, макар и не перфектен, понастоящем е най-сигурният избор. Протоколът за времева интегралност на ключовете (TKIP) и разширеният стандарт за шифроване (Advanced Encryption Standard - AES) са двата вида криптиране, които ще видите в мрежи, защитени с WPA2. Нека да разгледаме как те се различават и кое е най-доброто за вас.

AES срещу TKIP

TKIP и AES са два различни типа криптиране, които могат да се използват от Wi-Fi мрежа. TKIP е всъщност по-стар протокол за шифроване, въведен с WPA, за да замени много несигурно WEP криптиране по това време. TKIP всъщност е доста подобно на WEP криптиране. TKIP вече не се счита за сигурна и вече е отхвърлена. С други думи, не трябва да го използвате.

AES е по-сигурен протокол за шифроване, въведен с WPA2. AES не е някакъв странен стандарт, разработен специално за Wi-Fi мрежи. Това е сериозен световен стандарт за кодиране, който дори е приет от американското правителство. Например, когато шифровате твърд диск с TrueCrypt, той може да използва криптиране AES за това. AES обикновено се счита за напълно сигурна и основните слабости са атаките на груба сила (възпрепятствани чрез използването на силен пропуск) и слабостите в сигурността в други аспекти на WPA2.

Кратката версия е, че TKIP е по-стар стандарт за шифроване, използван от стандарта WPA. AES е по-ново решение за шифроване на Wi-Fi, което се използва от новия и сигурен стандарт WPA2. На теория това е краят на това. Но, в зависимост от вашия маршрутизатор, просто да изберете WPA2 може да не е достатъчно добър.

Въпреки че WPA2 трябва да използва AES за оптимална защита, той може да използва и TKIP, където е необходима обратна съвместимост с наследените устройства. В такова състояние устройствата, които поддържат WPA2, ще се свързват с WPA2, а устройствата, които поддържат WPA, ще се свързват с WPA. Така че "WPA2" не винаги означава WPA2-AES. Въпреки това, на устройства без видима опция "TKIP" или "AES", WPA2 обикновено е синоним на WPA2-AES.

И в случай, че се чудите, "PSK" в тези имена означава "предварително споделен ключ" - предварително споделеният ключ обикновено е вашият пропуск за шифроване. Това го отличава от WPA-Enterprise, който използва RADIUS сървър, за да раздава уникални ключове на по-големи корпоративни или правителствени Wi-Fi мрежи.

Моделите за защита на Wi-Fi са обяснени

Още сме объркани? Не сме изненадани. Но всичко, което наистина трябва да направите, е да преследвате най-сигурната опция в списъка, който работи с вашите устройства. Ето опциите, които вероятно ще видите в маршрутизатора:

• Отворено (рисково): Отворените Wi-Fi мрежи нямат пропуск. Не бива да създавате отворена Wi-Fi мрежа - сериозно, може да си разбиете вратата от полицията.
• WEP 64 (рисковано): Старият стандарт WEP протокол е уязвим и наистина не трябва да го използвате.
• WEP 128 (рисковано): Това е WEP, но с по-голям размер на ключа за шифроване. Всъщност не е по-малко уязвим от WEP 64.
• WPA-PSK (TKIP): Това използва оригиналната версия на протокола WPA (по същество WPA1). Тя е заменена от WPA2 и не е сигурна.
• WPA-PSK (AES): Това използва оригиналния протокол WPA, но замества TKIP с по-модерното AES криптиране. Предлага се като спирка, но устройствата, поддържащи AES, почти винаги ще поддържат WPA2, докато устройствата, които изискват WPA, почти никога няма да поддържат AES криптиране. Така че, този вариант няма смисъл.
• WPA2-PSK (TKIP): Това използва съвременния стандарт WPA2 с по-старо криптиране TKIP. Това не е сигурно и е добра идея, ако имате по-стари устройства, които не могат да се свържат с WPA2-PSK (AES) мрежа.
• WPA2-PSK (AES): Това е най-сигурният вариант. Той използва WPA2, най-новият стандарт за шифроване на Wi-Fi и най-новият протокол за шифроване на AES.Трябва да използвате тази опция. На някои устройства просто ще видите опцията "WPA2" или "WPA2-PSK". Ако го направите, вероятно ще използва само AES, тъй като това е съвсем нормален избор.
• WPAWPA2-PSK (TKIP / AES): Някои устройства предлагат и дори препоръчват тази опция за смесен режим. Тази опция позволява както WPA, така и WPA2, както с TKIP, така и с AES. Това осигурява максимална съвместимост с всички стари устройства, които може да имате, но също така позволява на нападателя да наруши вашата мрежа, като претърпи по-уязвимите протоколи WPA и TKIP.

WPA2 сертификацията стана достъпна през 2004 г., преди десет години. През 2006 г. сертифицирането по WPA2 стана задължително. Всяко устройство, произведено след 2006 г. с логото "Wi-Fi", трябва да поддържа WPA2 шифроване.

Тъй като вашите Wi-Fi устройства са най-вероятно на възраст между 8 и 10 години, трябва да изберете само WPA2-PSK (AES). Изберете тази опция и след това можете да видите дали нещо не работи. Ако устройството спре да работи, винаги можете да го промените обратно. Въпреки че, ако сигурността е проблем, може би ще искате да купите ново устройство, произведено от 2006 г. насам.

WPA и TKIP ще забавят вашето Wi-Fi надолу

Опциите за съвместимост на WPA и TKIP също могат да забавят вашата Wi-Fi мрежа. Много модерни Wi-Fi рутери, които поддържат 802.11n и по-нови, по-бързи стандарти, ще забавят до 54mbps, ако активирате WPA или TKIP в техните опции. Те правят това, за да се уверят, че са съвместими с тези по-стари устройства.

За сравнение, дори 802.11n поддържа до 300mbps, ако използвате WPA2 с AES.Теоретично, 802.11ac предлага максимална скорост от 3.46 Gbps при оптимални (прочетени: идеални) условия.

На повечето маршрутизатори, които сме виждали, опциите обикновено са WEP, WPA (TKIP) и WPA2 (AES) - може би с WPA (TKIP) + WPA2 (AES) режим на съвместимост.

Ако имате някакъв странен маршрутизатор, който предлага WPA2 в TKIP или AES аромати, изберете AES. Почти всички ваши устройства със сигурност ще работят с него, а това е по-бързо и по-сигурно. Това е лесен избор, стига да си спомните, че AES е доброто.

Image Credit: miniyo73 на Flickr