21Jul
WPA2 se silným heslem je bezpečný, pokud zakážete službu WPS.Tuto radu najdete v příručkách k zabezpečení Wi-Fi po celém webu. Nastavení Wi-Fi Protected Setup bylo hezké, ale je to chyba.
Router pravděpodobně podporuje službu WPS a je pravděpodobně povoleno ve výchozím nastavení.Stejně jako UPnP je to nejistá funkce, díky které je bezdrátová síť zranitelnější vůči útoku.
Co je nastavení Wi-Fi Protected Setup?
Většina domácích uživatelů by měla používat WPA2-Personal, známou také jako WPA2-PSK."PSK" znamená "sdílený klíč". Nastavili jste na routeru bezdrátovou přístupovou frázi a pak jste na každé zařízení, které jste připojili k síti WI-Fi, zadali stejnou přístupovou frázi. To v podstatě poskytuje heslo, které chrání vaši síť Wi-FI před neoprávněným přístupem. Router odvozuje šifrovací klíč z vaší přístupové fráze, kterou používá pro šifrování vaší bezdrátové síťové komunikace, aby lidem bez klíče nemohl odposlouchávat.
To může být trochu nepohodlné, protože musíte zadat přístupovou frázi na každé nové zařízení, které se připojíte. Služba Wi-Fi Protected Setup( WPS) byla vytvořena k vyřešení tohoto problému. Když se připojíte k routeru s povoleným protokolem WPS, uvidíte zprávu, že můžete použít snadnější způsob připojení než zadání přístupové fráze Wi-Fi.
Proč instalace chráněná proti Wi-Fi není zajištěna
Existuje několik různých způsobů, jak implementovat nastavení chráněné proti Wi-Fi:
PIN : Směrovač má osmimístný kód PIN, který je třeba připojit k zařízení.Spíše než kontrolovat celý osmimístný kód PIN najednou, router zkontroluje první čtyři číslice odděleně od posledních čtyř číslic. Díky tomu jsou WPS PIN velmi snadné "hrubé síly" hádat různé kombinace. Existuje pouze 11 000 možných čtyřmístných kódů a poté, co software brutální síly dostane první čtyři číslice vpravo, může útočník přejít na zbytek číslic. Mnoho spotřebitelských směrovačů nevyprchá čas poté, co je poskytnut špatný kód WPS, což umožňuje útočníkům hádat znovu a znovu. Kód PIN WPS může být brutálně vynucený zhruba za jeden den.[Zdroj] Každý může pomocí softwaru s názvem "Reaver" spustit kód WPS.Tlačítko
: Místo zadání kódu PIN nebo hesla můžete jednoduše stisknout fyzické tlačítko na směrovači po pokusu o připojení.(Tlačítko může být také softwarové tlačítko na obrazovce nastavení.) Je to bezpečnější, protože zařízení se mohou připojit k této metodě pouze několik minut po stisknutí tlačítka nebo po připojení jednotlivých zařízení.Nebude aktivní a bude k dispozici stále, protože je to kód WPS.Push-button-connect se zdá být do značné míry bezpečné, s jediným ohrožením, že někdo s fyzickým přístupem ke směrovači může stisknout tlačítko a připojit se, i kdyby nepoznal přístupovou frázi Wi-Fi. Kód
je povinný
Zatímco tlačítko push-connect je pravděpodobně bezpečné, metoda ověřování pomocí PIN je povinnou základní metodou, kterou musí podporovat všechna certifikovaná zařízení WPS.To je správné - specifikace WPS určuje, že zařízení musí implementovat nejnebezpečnější metodu autentizace.
Výrobci směrovačů nemohou tento problém zabezpečení vyřešit, protože specifikace WPS vyžadují nezabezpečenou metodu kontroly PIN.Jakákoli zařízení, která implementuje Wi-FI Protected Setup v souladu se specifikacemi, bude zranitelná.Samotná specifikace není dobrá.
Můžete zakázat službu WPS?
Existuje několik různých typů směrovačů.
- Některé směrovače neumožňují zakázat službu WPS a neposkytují v konfiguračním rozhraní žádnou volbu.
- Některé směrovače poskytují možnost zakázat protokol WPS, ale tato volba nic neudělá a služba WPS je stále povolena bez vašeho vědomí.V roce 2012 byla tato chyba nalezena na "každém bezdrátovém přístupovém bodě Linksys a Cisco Valet. .. testován." [Source]
- Některé směrovače vám umožní zakázat nebo povolit službu WPS, která nenabízí žádný výběr autentizačních metod.
- Některé směrovače vám umožňují zakázat autentizaci WPS pomocí PIN, zatímco stále používáte ověření pomocí tlačítka.
- Některé směrovače vůbec nepodporují službu WPS.Ty jsou pravděpodobně nejbezpečnější.
Jak zakázat protokol WPS
Pokud váš směrovač umožňuje zakázat službu WPS, pravděpodobně tuto možnost najdete v rámci konfiguračního rozhraní založeného na protokolu Wi-Fi Protected Setup nebo WPS.
Měli byste alespoň zakázat autentizaci na základě PIN.V mnoha zařízeních budete moci zvolit, zda povolíte nebo zakážete službu WPS.Vyberte, zda chcete službu WPS deaktivovat, pokud je to jediná možnost, kterou můžete provést.
Byli bychom trochu znepokojeni tím, že WPS necháme zapnuto, i když se zdá, že je volba PIN zakázána. Vzhledem k hrozným záznamům výrobců směrovačů, pokud jde o WPS a jiné nejisté funkce, jako je UPnP, není možné, že některé implementace WPS budou nadále umožňovat autentizaci založenou na PINu, i když se zdá, že je zakázáno?
Jistě, teoreticky byste mohli být zabezpečeni pomocí funkce WPS, pokud byla zakázána autentizace založená na PINu, ale proč riskovat? Veškerá služba WPS skutečně umožňuje snadnější připojení k síti Wi-Fi. Pokud vytvoříte přístupovou frázi, kterou si snadno pamatujete, měli byste se připojit stejně rychle. A to je jen otázka poprvé - jakmile jednou připojíte zařízení, nemusíte to znovu dělat. WPS je hrozivě riskantní pro funkci, která nabízí tak malou výhodu.
Image Credit: Jeff Keyzer na Flickr