If-Koubou

Wi-Fi aizsargātā iestatīšana (WPS) ir nedroša: lūk, kāpēc to vajadzētu atspējot

Wi-Fi aizsargātā iestatīšana (WPS) ir nedroša: lūk, kāpēc to vajadzētu atspējot (Kā)

WPA2 ar spēcīgu paroli ir droša, kamēr jūs atspējojat WPS. Šis ieteikums ir atrodams rokasgrāmatās par Wi-Fi nodrošināšanu visā tīmeklī. Wi-Fi aizsargātā iestatīšana bija jauka ideja, taču, izmantojot to, tā ir kļūda.

Iespējams, ka jūsu maršrutētājs atbalsta WPS, un tas, iespējams, ir iespējots pēc noklusējuma. Tāpat kā UPnP, tas ir nedrošs līdzeklis, kas padara jūsu bezvadu tīklu neaizsargātāku pret uzbrukumu.

Kas ir Wi-Fi aizsargātā iestatīšana?

Lielākajai daļai mājas lietotāju ir jāizmanto WPA2-Personal, pazīstams arī kā WPA2-PSK. "PSK" nozīmē "koplietojamo atslēgu". Jūs savā maršrutētājā iestatāt bezvadu pieslēgšanās frāzi un pēc tam norādiet to pašu ieejas frāzi katrā ierīcē, kuru savienojat ar WI-Fi tīklu. Tas būtībā sniedz jums paroli, kas aizsargā jūsu Wi-FI tīklu no nesankcionētas piekļuves. Routers iegūst šifrēšanas atslēgu no jūsu ieejas frāzes, kuru tā izmanto, lai šifrētu bezvadu tīkla trafiku, lai nodrošinātu, ka cilvēki bez atslēgas nevar tos pārtvert.

Tas var būt mazliet neērti, jo jums ir jāievada sava ieejas frāze katrā jaunajā savienotajā ierīcē. Lai atrisinātu šo problēmu, tika izveidots Wi-FI aizsargāts iestatījums (WPS). Kad izveidojat savienojumu ar maršrutētāju, kuram ir iespējota WPS, jūs redzēsit ziņojumu, kurā teikts, ka varat izmantot vieglāku savienojuma veidu, nekā ievadīt Wi-Fi patentvārdu.

Kāpēc Wi-Fi aizsargātā iestatīšana ir nedroša?

Wi-Fi aizsargāta iestatījuma ieviešanai ir vairāki veidi:

PIN: Maršrutētājam ir astoņu ciparu PIN, kas jāievada jūsu ierīcēs, lai izveidotu savienojumu. Tā vietā, lai pārbaudītu visu astoņu ciparu PIN vienu reizi, router pārbauda pirmos četrus ciparus atsevišķi no pēdējiem četriem cipariem. Tas WPS PIN kodus padara par vieglu "brutālu spēku", uzlaužot dažādas kombinācijas. Ir tikai 11000 iespējamie četrciparu kodi, un, kad brutālu spēku programmatūra iegūst pirmos četrus ciparus pa labi, uzbrucējs var pāriet uz pārējiem cipariem. Daudzi patērētāju maršrutētāji neizmanto laiku pēc nepareiza WPS PIN piešķiršanas, ļaujot uzbrucējiem atkal un atkal domāt. WPS PIN var būt brutāli piespiests apmēram dienā. [Avots] Ikviens var izmantot programmatūru ar nosaukumu "Reaver", lai ielauztu WPS PIN.

Push-Button-Connect: Tā vietā, lai ievadītu PIN vai paroļu frāzi, pēc pieslēgšanās mēģināt vienkārši nospiest fizisko pogu maršrutētājā. (Poga var būt arī programmatūras poga iestatīšanas ekrānā.) Tas ir drošāk, jo ierīces ar šo metodi var savienot tikai dažas minūtes pēc pogas nospiešanas vai pēc tam, kad ir izveidota viena ierīce. Tas nebūs aktīvs un pieejams visu laiku, jo tas ir WPS PIN kods. Piespiedu pogas savienojums šķiet lielā mērā drošs, jo vienīgā ievainojamība ir tāda, ka ikvienam, kuram ir fiziska piekļuve maršrutētājam, varētu nospiest pogu un pieslēgties, pat ja viņi nezina Wi-Fi frāzes.

PIN ir obligāts

Kaut arī spiedpogu pieslēgšana droši vien ir droša, PIN autentifikācijas metode ir obligāta bāzes metode, kas jāatbalsta visām sertificētajām WPS ierīcēm. Tas ir pareizi - WPS specifikācija pilnvaro, lai ierīcēm būtu jāīsteno visneaizsargātākā autentifikācijas metode.

Router ražotāji nevar novērst šo drošības problēmu, jo WPS specifikācija prasa nedrošu PIN pārbaudes veidu. Ikviena ierīce, kas ievieš Wi-FI aizsargātu iestatījumu saskaņā ar specifikāciju, būs neaizsargāta. Pati specifikācija nav laba.

Vai jūs varat atspējot WPS?

Tur ir vairāki dažādi maršrutētāju veidi.

  • Daži maršrutētāji neļauj jums atspējot WPS, neparedzot iespēju to konfigurācijas saskarnēs.
  • Daži maršrutētāji piedāvā iespēju atspējot WPS, taču šī opcija neko nedara, un WPS joprojām tiek aktivizēts bez jūsu zināšanām. 2012. gadā šis trūkums tika atrasts uz "katru Linksys un Cisco Valet bezvadu piekļuves punktu ... pārbaudīja." [Avots]
  • Daži maršrutētāji ļaus jums atspējot vai iespējot WPS, nepiedāvājot autentifikācijas metožu izvēli.
  • Daži maršrutētāji ļaus jums atspējot PIN-pamatotu WPS autentifikāciju, vienlaikus izmantojot spiedpogu autentifikāciju.
  • Daži maršrutētāji neatbalsta WPS. Iespējams, ka tie ir drošākie.

Kā atspējot WPS

Ja jūsu maršrutētājs ļauj atspējot WPS, šī iespēja, iespējams, tiks atrasta Web konfigurācijas saskarnē sadaļā Wi-FI Protected Setup vai WPS.

Jums vismaz vajadzētu atspējot PIN-autentifikācijas iespēju. Daudzās ierīcēs varēsit izvēlēties tikai to, vai iespējot vai atspējot WPS. Izvēlieties, lai atspējotu WPS, ja tā ir vienīgā izvēle, kuru varat veikt.

Mēs būtu mazliet noraizējušies par to, ka WPS ir iespējots, pat ja šķiet, ka PIN opcija ir atspējota. Ņemot vērā router ražotāju briesmīgo uzskaiti, kad runa ir par WPS un citām nedrošām funkcijām, piemēram, UPnP, vai nav iespējams, ka daži WPS ieviešanas līdzekļi turpinātu padarīt pieejamu PIN-balstītu autentifikāciju pat tad, ja šķiet, ka tā ir atspējota?

Protams, teorētiski varēja būt drošs ar WPS iespējošanu tik ilgi, kamēr PIN bāzes autentifikācija tika atspējota, bet kāpēc uzņemties risku? Visi WPS patiešām padara vieglāku savienojumu ar Wi-Fi. Ja izveidojat ieejas frāzi, kuru jūs viegli varat atcerēties, jums vajadzētu būt iespējai izveidot savienojumu tikpat ātri. Un tas ir tikai jautājums pirmo reizi - kad ierīce ir vienlaikus pievienota, jums vairs nevajadzēs to darīt vēlreiz. WPS ir ārkārtīgi riskants līdzeklis, kas piedāvā tik mazu labumu.

Attēlu kredīts: Jeff Keyzer par Flickr