WPA-EAP и WPA-PSK – Стандарт шифрования WPA

DSC Обзоры

Aes vs. tkip

TKIP и AES представляют собой два различных стандарта шифрования, которые могут использоваться в сетях Wi-Fi. TKIP – более старый протокол шифрования, введенный в свое время стандартом WPA взамен крайне ненадежного алгоритма WEP. На самом деле TKIP во многом подобен алгоритму шифрования WEP.

AES – более надежный протокол шифрования, введенный стандартом WPA2. AES – это не какой-нибудь унылый, тот или другой стандарт, разработанный специально для сетей Wi-Fi. Это серьезный мировой стандарт шифрования, взятый на вооружение даже правительством США.

Например, когда вы зашифровываете жесткий диск с помощью программы TrueCrypt, она может использовать для этого алгоритм шифрования AES. AES является общепризнанным стандартом, обеспечивающим практически полную безопасность, а его возможные слабые места – потенциальная восприимчивость к атакам методом «грубой силы» (для противодействия которым применяются достаточно сложные кодовые фразы) и недостатки защиты, связанные с другими аспектами WPA2.

Усеченный вариант защиты – TKIP, более старый протокол шифрования, используемый стандартом WPA. AES для Wi-Fi – более новое решение в части шифрования, применяемое в новом и безопасном стандарте WPA2. В теории на этом можно было бы закончить. Но на практике, в зависимости от вашего роутера, простого выбора WPA2 может оказаться недостаточно.

Хотя стандарт WPA2 для оптимальной защиты предполагает использование AES, он может использовать и TKIP – там, где требуется обратная совместимость с устройствами предыдущих поколений. При таком раскладе устройства, поддерживающие WPA2, будут подключаться в соответствии с WPA2, а устройства, поддерживающие WPA, будут подключаться в соответствии с WPA.

То есть «WPA2» не всегда означает WPA2-AES. Тем не менее, на устройствах без явного указания опций «TKIP» или «AES» WPA2 обычно является синонимом WPA2-AES.
Аббревиатура «PSK» в полном наименовании этих опций расшифровывается как «pre-shared key» – ваша кодовая фраза (ключ шифра).

What is the difference between wpa2-psk and wpa-psk wpa2-psk security types?

Something went wrong. Wait a moment and try again.

Заходим в панель управления D-LINK, переходим на вкладку “Wi-Fi” – “WPS”. Кстати, как оказалось, на маршрутизаторах D-LINK эта технология по умолчанию отключена. Поэтому, ее нужно включить.

Ну и не забывайте сохранять настройки.

Wpa и tkip замедляют сеть wi-fi

Выбираемые в целях совместимости опции WPA и TKIP могут еще и замедлить работу сети Wi-Fi. Многие современные роутеры Wi-Fi, поддерживающие 802.11n или более новые и быстрые стандарты, будут снижать скорость до 54 Мбит/с, если вы установите на них опцию WPA или TKIP, – для обеспечения гарантированной совместимости с гипотетическими старыми устройствами.

Для сравнения, при использовании WPA2 с AES даже стандарт 802.11n поддерживает скорость до 300 Мбит/с, а стандарт 802.11ac предлагает теоретическую максимальную скорость 3,46 Гбит/с при оптимальных (читай: идеальных) условиях.
В большинстве роутеров, как мы уже убедились, список опций обычно включает в себя WEP, WPA (TKIP) и WPA2 (AES) – и, возможно, смешанную опцию режима максимальной совместимости WPA (TKIP) WPA2 (AES), добавленную с лучшими намерениями.

Wpa-eap и wpa-psk

При развёртывании беспроводных сетей в домашних условиях или небольших офисах обычно используется вариант протокола безопасности WPA на основе общих ключей – WPA-PSK (Pre Shared Key), который также называют режимом WPA-Personal. Он использует статический ключ аналогично WEP. При использовании WPA-PSK в настройках точки доступа и профилях беспроводного соединения клиентов указывается пароль длиной от 8 до 63 печатных символов ASCII. При подключении пользователь должен будет ввести этот пароль и, если пароли совпадают с записями в базе, он получит разрешение на доступ в сеть.

В режиме WPA-EAP (Extensible Authentication Protocol), который также называется режимом WPA-предприятие (WPA-Enterprise), запросы проверки подлинности пересылаются на внутренний сервер с протоколом RADIUS. Служба Сервер сетевой политики (Network Policy Server, NPS) обеспечивает проверку подлинности RADUIS на серверах. NPS-сервер может передавать запросы проверки подлинности на контроллер домена, позволяя защищенным беспроводным сетям WPA-EAP выполнять проверку подлинности контроллеров домена без ввода ключа пользователями.

Режим WPA-EAP обеспечивает очень гибкую проверку подлинности. Например, можно настроить, чтобы пользователь подключался к защищенной производственной сети WPA-Enterprise с помощью смарт-карты. Поскольку WPA-EAP не использует статический ключ, этим режимом безопасности легче управлять, потому что не требуется изменять ключ в случае его определения хакером. Для поверки подлинности множество точек беспроводного доступа могут использовать один центральный сервер. Кроме того, этот режим безопасности взломать намного сложнее, чем WEP или WPA-PSK. беспроводный сеть шифрование криптографический

Механизмы шифрования, которые используются для WPA-EAP и WPA-PSK, являются идентичными. Единственное отличие WPA-PSK состоит в том, что аутентификация производится с использованием пароля, а не по сертификату пользователя.

Достоинства и недостатки

Достоинствами WPA, по сравнению с WEP, являются:

  • 1. усовершенствованная схема шифрования данных RC4 на основе TKIP (Temporal Key Integrity Protocol – протокол краткосрочной целостности ключей).
  • 2. улучшенные механизмы контроля доступа – обязательная аутентификация 802.1x посредством протокола EAP.
  • 3. модель централизованного управления безопасностью и возможность интеграции с действующими схемами корпоративной аутентификации.
  • 4. возможность облегчения установки для домашних пользователей, которые могут применить специальный режим, автоматизирующий функции настройки безопасности WPA.

Из недостатков можно выделить:

  • 1. защищенность WPA меньше, чем у WPA2.
  • 2. существования уязвимостей (описаны ниже),
  • 3. сюда можно отнести и то, что для работы с протоколом безопасности WPA необходимо, чтобы все устройства, подключенные к сети, располагали его поддержкой.

Недостатки WPA-PSK – статический ключ можно взломать с помощью технологий полного перебора значений. Кроме того, статическими ключами очень сложно управлять в производственной среде. В случае взлома отдельного компьютера, отконфигурированного с таким ключом, потребуется изменить ключ на каждой точке беспроводного доступа.

Источник: Башмаков А.В., Конспект лекция “Безопасность беспроводных сетей”

Известные уязвимости

Метод Бека-Тевса

6 ноября 2008 года на конференции PacSec двумя немецкими студентами, Мартином Беком из Дрездена и Эриком Тевсом из Дармштадта, был представлен способ, позволяющий взломать ключ TKIP, используемый в WPA, за 12-15 минут.

У TKIP было несколько особенностей, делавших его на тот момент самой надежной защитой. В частности, был предусмотрен контроль последовательности, в рамках которого точка доступа отвергала все пакеты, поступавшие вне очереди. Это защищало от так называемой “replay attack”, при которой передача одних и тех же данных повторяется со злым умыслом и совсем не полезным “вложением”. Также TKIP отличался 64-битным контролем целостности пакетов MIC, имевшим кодовое название MICHAEL. TKIP, помимо всего прочего, подразумевал передачу каждого пакета с уникальным ключом шифрования.

Поскольку TKIP создавался с учетом возможности программного апгрейда оборудования, ранее поддерживавшего только WEP, то шифр RC4 использовался и в нем, как и 4 байта для контроля целостности (ICV). Предложенный Беком и Тевсом в докладе метод атаки действует с учетом некоторых предположений, приводимых авторами: атакуемая сеть использует TKIP для шифрования трафика между точкой доступа и клиентами; в сети для адресации используется IPv4 c заранее известным диапазоном адресов вроде 192.168.0.X; длинным интервалом между сменами ключа (3600 секунд в примере авторов метода); QoS (Quality of Service, качество обслуживания) активирован.

Злоумышленник “прослушивает” трафик до тех пор, пока не найдет в нем ARP-запрос или ответ (ARP-протокол используется для сопоставления IP- и MAC-адресов в сети), такие пакеты легко вычисляются по характерной длине. Большая часть содержимого такого пакета хакеру известна, кроме последнего байта адреса, 8 байт MICHAEL и 4 байт контрольной суммы ICV. MICHAEL и ICV вместе образуют последние 12 байт. После этого хакер использует методы (chopchop), чтобы расшифровать оставшиеся байты. В TKIP есть два способа борьбы с такими атаками:

  • 1. Если клиент получает пакет с битым ICV, это считается ошибкой передачи данных, и пакет тихо “отменяется”. Если ICV в порядке, но не проходит верификация по MIC, то точка доступа получает соответствующее уведомление, так называемый MIC failure report frame. Если таких уведомлений приходит более двух в течение минуты, связь прерывается, а все ключи обновляются после 60-секундного перерыва.
  • 2. Если пакет получен верно, то на канале, по которому он был получен, обновляется счетчик. Если входящий пакет получен с неверным порядковым номером, то есть вне очередности, такой пакет просто не принимается.

Тем не менее, обходной путь был найден: хакеру просто нужно запустить атаку по другому каналу QoS, отличному от того, по которому прошел пакет. Если последний байт адреса в ходе атаки был угадан неверно, пакет просто “сбросится”, если же он был угадан верно, клиент пошлет уведомление MIC failure, но счетчик при этом не сработает. Хакеру нужно выжидать по крайней мере 60 секунд между отсылкой пакетов, чтобы не спровоцировать 1-й вариант защиты. 12 с небольшим минут – и в распоряжении атакующего значения MIC и ICV. Осталось угадать только IP-адреса точки и клиента.

Далее открывается широкое поле для экспериментов. Можно перенаправлять трафик, используя поддельные ARP-ответы. Если файрволл клиента не контролирует исходящий трафик, можно попытаться установить двустороннее соединение с клиентом, получая “ответы” не напрямую, а перенаправляя их через Интернет.

В качестве мер противодействия Бек и Тевс предлагали три варианта:

  • 1. Установить интервал смены ключей 120 секунд и менее. За этот промежуток хакер успеет расшифровать лишь часть ICV;
  • 2. Отключить отсылку уведомления MIC failure;
  • 3. Отбросить TKIP и перейти на AES-CCMP.

Метод Охигаси-Мории

Метод, разработанный сотрудником университета Хиросимы Тосихиро Охигаси (Toshihiro Ohigashi) и профессором университета Кобе Масакату Мории (Masakatu Morii), создан на базе технологии Бека-Тевса (Beck-Tews). Данная технология предусматривает незначительную модификацию пакетов, зашифрованных по временному протоколу целостности ключа (Temporal Key Integrity Protocol, TKIP) в рамках механизма безопасности WPA, и отправку измененных пакетов обратно на точку доступа. Недостаток метода Бека-Тьюза заключается в том, что на его выполнение требуется от 10 до 15 минут.

Метод, предложенный Охигаси и Мории, как и технология Бека-Тьюза, использует принцип атаки “человек посередине” (man-in-the-middle), который предусматривает вмешательство в коммуникацию между пользователями. Риск обнаружения атаки при таком подходе весьма высок, поэтому возможность сократить продолжительность атаки до 60 секунд является огромным преимуществом – по крайней мере, для хакеров.

Необходимо заметить, что соединения WPA, использующие более защищённый стандарт шифрования ключа AES, а также WPA2-соединения, не подвержены этим атакам.

Немного о WPA 2

23 июля 2022 года была опубликована информация об уязвимости Hole196 в протоколе WPA2. Используя эту уязвимость, авторизовавшийся в сети злонамеренный пользователь может расшифровывать данные других пользователей, используя свой закрытый ключ. Никакого взлома ключей или брут-форса (полный перебор) не требуется.

Более правильно было бы сказать, что протокол защиты WPA2 взломан, настолько обширную уязвимость нашли специалисты по сетевой безопасности из компании AirTight Networks. Они доказали, что протокол защиты данных WPA2, наиболее распространенный сейчас в сетях WiFi, можно взломать с целью получения любой информации из такой сети. Кроме того, специалисты утверждают, что уязвимость может помогать хакерам атаковать различные ресурсы, используя возможности взломанной сети.

Обнаруженная уязвимость оказалась применимой ко всем беспроводным сетям, которые совместимы со стандартом IEEE802.11 Standard (Revision, 2007). Уязвимость получила и собственное название – Hole 196.

Уязвимость была найдена при использовании атаки типа Man-in-the-middle. Человек, авторизовавшийся в такой сети, и воспользовавшийся эксплоитом, сможет перехватывать и расшифровывать данные, передаваемые внутри сети. Кроме того, при использовании этой “дыры” становится возможным подмена MAC-адресов. Таким образом, информацию можно передавать поддельным клиентским системам, и это же позволяет использовать ресурсы взломанной сети для атак на различные веб-ресурсы, без особого опасения быть обнаруженным.

Способы взлома беспроводных сетей, защищенных WPA

WPA-TKIP

Уязвимость в протоколе WPA-TKIP, обнаруженной исследователями и членами команды aircrack-ng Мартином Бэком и Эриком Тюзом.

В результате эксплуатации уязвимости основной ключ невозможно восстановить, можно лишь узнать ключ, используемый для проверки целостности и ключевой поток. На основании этого, не зная основного ключа, появляется возможность передавать пакеты в сеть. Получаются обратно пакеты по схеме, подобной easside-ng.

Эту уязвимость можно проверить, используя тестовую программу tkiptun-ng добавленную в aircrack-ng. Известно, что для проведения атаки необходимо сменить MAC своего адаптера на MAC клиента, который атакуется. Также атакуемая точка доступа должна поддерживать QoS или WMM, использовать WPA TKIP (не AES), и время смены временного ключа должно быть больше 3600 секунд. Если все это присутствует, то можно запускать: #tkiptun-ng -h <MAC адаптера> -a <MAC точки доступа> -m 80 -n 100 <интерфейс>.

После успешного исполнения можно получить поток ключа, с помощью которого можно создавать пакеты и запускать их в сеть.

Протокол WPA2 не подвержен этой уязвимости.

Классический взлом WPA. Перехват handshake.

Суть атаки – в переборе всех возможных комбинаций ключа до его определения. Метод гарантирует успех, но если ключ достаточно длинный и не находиться в словарях, то можно считать себя защищенным от этой атаки. Таким образом, взламываются как WPA так и WPA2 сети, но лишь в PSK режиме.

Шифрования WPA/WPA2 PSK уязвимы к атакам по словарю. Для осуществления этой атаки, необходимо получить 4-way WPA handshake между wifi-клиентом и точкой доступа (АР), а также словарь содержащий парольную фразу.

WPA/WPA2 PSK работает следующим образом: он вытекает из ключа предварительной сессии, которая называется Pairwise Transient Key (PTK). PTK, в свою очередь использует Pre-Shared Key и пять других параметров – SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), Authenticator MAC-address (MAC-адрес точки доступа) и Suppliant MAC-address (МАС-адрес wifi-клиента). Этот ключ в дальнейшем использует шифрование между точкой доступа (АР) и wifi-клиентом. Злоумышленник, который в этот момент времени прослушивает эфир, может перехватить все пять параметров. Единственной вещью, которой не владеет злодей это – Pre-Shared key. Pre-Shared key получается (создается) благодаря использованию парольной фразы WPA-PSK, которую отправляет пользователь, вместе с SSID. Комбинация этих двух параметров пересылается через Password Based Key Derivation Function (PBKDF2), которая выводит 256-bit’овый общий ключ.

В обычной/типичной WPA/WPA2 PSK атаке по словарю, злоумышленник будет использовать словарь с программой (инструментом). Программа будет выводить 256-bit’овый Pre-Shared Key для каждой парольной фразы и будет использовать ее с другими параметрами, которые были описаны в создании PTK. PTK будет использоваться для проверки Message Integrity Check (MIC) в одном из пакетов handshake. Если они совпадут, то парольная фраза в словаре будет верной, в противном случае наоборот (неверной).

Эта атака встроена в пакет aircrack-ng. Сначала нужно словить аутентификацию клиента, чтобы на основании ее уже восстанавливать основной ключ. Это проще всего сделать, запустив #airodump-ng и дождавшись аутентификации, либо запустив атаку деаутентификации #aireplay-ng -0 <количество деаутентификаций>. Через некоторое время, airodump-ng покажет, что аутентификация уловлена и записана в файл. После этого, нужно лишь запустить aircrack-ng <файл аутентификации> и ждать.

Ускорить процесс можно используя большой словарь с часто используемыми словами. Еще поможет использование специализированных микроконтроллеров или видеокарт. Без этого перебор всех возможных ключей займет слишком много времени.

Для противостояния такой атаке можно использовать достаточно длинные и необычные ключи.

Wi-Fi Protected Setup

Wi-Fi Protected Setup (WPS) – стандарт, предназначенный для полуавтоматического создания беспроводной домашней сети, созданный Wi-Fi Alliance. Официально запущен 8 января 2007 года.

Большинство современных роутеров поддерживают механизм WPS. Целью протокола WPS является упрощение процесса настройки беспроводной сети, поэтому изначально он назывался Wi-Fi Simple Config. Протокол призван оказать помощь пользователям, которые не обладают широкими знаниями о безопасности в беспроводных сетях, и как следствие, имеют сложности при осуществлении настроек. WPS автоматически обозначает имя сети и задает шифрование, для защиты от несанкционированного доступа в сеть, при этом нет необходимости вручную задавать все параметры.

Существует три варианта использования WPS:

  • 1. Push-Button-Connect (PBC). Пользователь нажимает специальную кнопку на роутере и на компьютере (программная), тем самым активируя процесс настройки.
  • 2. Ввод PIN-кода в веб-интерфейсе. Пользователь заходит через браузер в административный интерфейс роутера и вводит там PIN-код из восьми цифр, написанный на корпусе устройства, после чего происходит процесс настройки.
  • 3. При соединении с роутером можно открыть специальную сессию WPS, в рамках которой настроить роутер или получить уже имеющиеся настройки, если правильно ввести PIN-код. Для открытия подобной сессии не нужна никакая аутентификация. Получается, что PIN-код уже потенциально подвержен атаке типа bruteforce.

Здесь PIN-код состоит из восьми цифр – следовательно, существует 10^8 (100 000 000) вариантов для подбора. Но дело в том, что последняя цифра PIN-кода представляет собой контрольную сумму, которая высчитывается на основании семи первых цифр. В итоге получаем уже 10^7 (10 000 000) вариантов. К тому же, проверка PIN-кода осуществляется в два этапа – каждая часть проверяется отдельно. Получаем 10^4 (10 000) вариантов для первой половины и 10^3 (1 000) для второй. Итого, всего лишь 11 000 вариантов для полного перебора. Но здесь стоит отметить один важный момент – возможная скорость перебора. Она ограничена скоростью обработки роутером WPS-запросов: одни точки доступа будут выдавать результат каждую секунду, другие – каждые десять секунд.

Реализацию брутфорса можно выполнить с помощью утилиты wpscrack, а так же с помощью утилиты Reaver. Reaver будет предпочтительней в виду своей большей функциональности и поддержкой намного большего количества беспроводных адаптеров.

Как и для любой другой атаки на беспроводную сеть, понадобится Linux. Для использования Reaver необходимо проделать следующие вещи:

  • § узнать имя беспроводного интерфейса – $ iwconfig;
  • § перевести беспроводной адаптер в режим мониторинга – $ airmon-ng start *** (обычно это wlan0);
  • § узнать MAC-адрес точки доступа (BSSID) с шифрованием WPA/WPA2 и аутентификацией по ключу PSK – $ airodump-ng *** (обычно mon0);
  • § убедиться, что на точке активирован WPS – $ ./wash -i mon0.

После можно приступать непосредственно к перебору PIN’а. Необходимо указать имя интерфейса (переведенного ранее в режим мониторинга) и BSSID точки доступа:

$ reaver -i mon0 -b 00:21:29:74:67:50 -vv

Ключ “-vv” включает расширенный вывод программы, чтобы можно было убедиться, что все работает как надо. Если программа последовательно отправляет PIN’ы точке доступа, значит, все работает хорошо, и остается только ждать. Процесс может затянуться – примерно время может варьироваться от четырех до десяти часов. Как только он будет подобран, программа об этом сообщит и выдаст. Найденный ключ WPA-PSK, можно сразу же использовать для подключения.

Также стоит отметить то, что существует более быстрый вариант. Дело в том, что у некоторых одинаковых моделей роутеров обычно оказывается одинаковый PIN. И, если, PIN модели выбранного роутера уже известен, то время взлома составляет буквально несколько секунд.

Защититься от атаки можно пока одним способом – отключить WPS в настройках роутера. Правда, сделать это возможно далеко не всегда. Или, чтобы максимально противодействовать брутфорсу, можно блокировать WPS на неопределенное время после нескольких неудачных попыток ввода PIN-кода. То перебор может затянуться на очень и очень долгое время, в зависимости от выставленного значения периода блокировки.

Немного о WPA/WPA2-Enterprise. Взлом MS-CHAPv2.

В Enterprise, MS-CHAPv2 является только одним из возможных методов EAP. Популярность MS-CHAPv2 вызвана тем, что это наиболее простой метод для интеграции с продуктами Microsoft (IAS, AD, и т.д.).

Утверждается, что MS-CHAPv2 взламывается с результативностью 100%. Для этого нужно перехватить обмен по протоколу MS-CHAPv2, после чего, используя уязвимости в шифровании можно вычислить реквизиты пользователя. Утверждается, что MS-CHAPv2 используется в системах VPN и WPA2-Enterprise. При этом и VPN и WPA2 упоминаются в контексте AAA-серверов (Authentication, Authorization, Accounting), что весьма логично, так как именно там и ловится нешифрованный MS-CHAP. Т.е., если перехватить MS-CHAPv2 обмен между клиентом и AAA-сервером – можно вычислить реквизиты пользователя.

Но так как при наличии туннеля перехват сессии MS-CHAPv2 уже невозможен (вначале надо взломать шифрование туннеля), такой способ взлома действителен только, если сымитировать точку доступа. Тогда можно спокойно заполучить и клиента, и его MS-CHAPv2 сессию, при условии, что отсутствуют сертификаты на точке доступа и выключена проверка сертификатов на клиентах.

Таким образом, для грамотно построенной беспроводной сети с WPA2-Enterprise на основе PEAP/MS-CHAPv2 такая атака не страшна. Разве что, вклиниться в канал между аутентификатором (точкой доступа, контроллером) и AAA-сервером, но это уже не относится к WPA.

Быстрая настройка wi-fi (wps) на zyxel keenetic

Достаточно в настройках открыть вкладку “Wi-Fi сеть”. Там вы увидите необходимые настройки.

Для чего нужна кнопка wps на роутере и как ей пользоваться?

Кнопка нужна для активации технологии WPS. Есть такая кнопка практически на всех маршрутизаторах. Подписана она как правило WPS. Выглядит примерно вот так (на роутере ASUS):

Не редко, кнопка совмещена с функцией сброса настроек маршрутизатора. Очень часто такое встречается на маршрутизаторах от TP-LINK.

Будьте осторожны, не держите долго нажатой кнопку “WPS/RESET”. Подержав ее примерно 5 секунд, настройки вашего роутера будут сброшены к заводским.

А на новых роутерах от компании ZyXel, кнопка включения функции WPS выглядит вот так:

В любом случае, найти такую кнопку на корпусе своего маршрутизатора совсем не сложно. Ну а если ее нет, то заходите в настройки роутера, и ищите соответствующий пункт в панели управления (ниже в статье, покажу как это сделать).

Активируется функция одним нажатием на кнопку. В случае с моим роутером ASUS, нужно кнопку подержать 1 секунду. Когда функция WPS активируется, то на маршрутизаторе скорее всего начнет мигать индикатор. На роутере ASUS мигает индикатор питания. На некоторых маршрутизаторах есть отдельный индикатор, как правило, в виде замка.

Как включить, отключить и настроить wps (qss) на роутере?

Давайте рассмотрим основные настройки технологии Wi-Fi Protected Setup на маршрутизаторах разных производителей. Настроек там практически нет. В основном, это отключение технологии (так как она включена по умолчанию), и смена PIN кода.

Как подключится к wi-fi без ввода пароля по wps (qss)?

С активацией технологии на маршрутизаторе мы разобрались, давайте теперь рассмотрим процесс подключения разных устройств.

Способы подключения к Wi-Fi сети без ввода пароля (по WPS):

  • Когда кнопка WPS есть на маршрутизаторе, и на устройстве, которое подключаете. Например, внешний USB Wi-Fi приемник, то достаточно нажать кнопку на обоих устройствах, и соединение будет установлено.
  • Если на устройстве, которые вы хотите подключить к Wi-Fi нет механической кнопки, а ее нет на ноутбуках, смартфонах, планшетах и т. д., то WPS активируется кнопкой на роутере, а на компьютере, например, подключение происходит автоматически. На мобильных устройствах, в настройках просто выбираем подключение с помощью WPS. Все зависит от конкретного устройства.
  • Бывают такие модели маршрутизаторов, на которых нет кнопки WPS. Но, это не значит, что технология не поддерживается. В любом случае, активировать эту технологию можно через настройки роутера.
  • Подключение с использование PIN кода. В настройках функции WPS задается специальный PIN код, с помощью которого так же можно подключать устройства. Просто выбрав соответствующий способ подключения, и указав код.

Для подключения к Wi-Fi описанными ниже способами, на вашем маршрутизаторе должна быть включена функция WPS. Она включена по умолчанию, но на моем D-LINK была выключена. Так что, если вы ничего не отключали, то все будет работать. Если же что-то не получается, то нужно проверить настройки. Как это сделать, я напишу ниже в статье.

Заходим в настройки маршрутизатора, и переходим на вкладку “WPS”. Если не знаете как зайти в панель управления, то смотрите эту инструкцию.

Немного из истории

Сертификация WPA2 стала доступной в 2004 году, десять лет назад. В 2006 году сертификация WPA2 стала обязательной. Любое устройство, изготовленное после 2006 года с логотипом «Wi-Fi», должно поддерживать шифрование WPA2.

Поскольку ваши устройства с поддержкой Wi-Fi, скорее всего, новее 8-10 лет, все должно быть в порядке, просто выбирайте WPA2-PSK (AES). Если устройство перестает работать, вы всегда можете его изменить. Хотя, если безопасность вызывает беспокойство, вы можете просто купить новое устройство, выпущенное после 2006 года.

Опции безопасности для сети wi-fi

    Еще более сложно? Ничего удивительного. Но всё, что вам на самом деле нужно сделать – это найти в рабочем списке вашего устройства одну, обеспечивающую наибольшую защиту опцию. Вот наиболее вероятный список опций вашего роутера:

  • Open (risky): в открытых сетях Wi-Fi нет кодовых фраз. Вам не следует устанавливать эту опцию – серьезно, вы можете дать повод полиции нагрянуть к вам в гости.
  • WEP 64 (risky): старый стандарт протокола WEP легко уязвим, и вам не следует его использовать.
  • WEP 128 (risky): это тот же WEP, но с увеличенной длиной шифровального ключа. По факту уязвим не менее, чем WEP 64.
  • WPA-PSK (TKIP): здесь используется оригинальная версия протокола WPA (по сути – WPA1). Он не вполне безопасен и был заменен на WPA2.
  • WPA-PSK (AES): здесь используется оригинальный протокол WPA, где TKIP заменен на более современный стандарт шифрования AES. Этот вариант предлагается как временная мера, но устройства, поддерживающие AES, почти всегда будут поддерживать WPA2, в то время как устройства, которым требуется WPA, почти никогда не будут поддерживать AES. Таким образом, эта опция не имеет большого смысла.
  • WPA2-PSK (TKIP): здесь используется современный стандарт WPA2 со старым алгоритмом шифрования TKIP. Этот вариант не безопасен, и его достоинство заключается только в том, что он подходит для старых устройств, которые не поддерживают опцию WPA2-PSK (AES).
  • WPA2-PSK (AES): это наиболее употребительная опция безопасности. Здесь используется WPA2, новейший стандарт шифрования для сетей Wi-Fi, и новейший протокол шифрования AES. Вам следует использовать эту опцию. На некоторых устройствах вы увидите опцию под названием просто «WPA2» или «WPA2-PSK», что в большинстве случаев подразумевает использование AES.
  • WPAWPA2-PSK (TKIP/AES): некоторые устройства предлагают – и даже рекомендуют – такую смешанную опцию. Данная опция позволяет использовать и WPA, и WPA2 – как с TKIP, так и с AES. Это обеспечивает максимальную совместимость с любыми древними устройствами, которые у вас могут быть, но также дает хакерам возможность проникнуть в вашу сеть путем взлома более уязвимых протоколов WPA и TKIP.
  • Сертификация WPA2 действительна с 2004 г., в 2006 г. она стала обязательной. Любое устройство с логотипом «Wi-Fi», произведенное после 2006 г., должно поддерживать стандарт шифрования WPA2.

        Поскольку ваше устройство с возможностью подключения к сети Wi-Fi скорее всего моложе 11 лет, вы можете чувствовать себя спокойно, просто выбирая опцию WPA2-PSK (AES). Установив эту опцию, вы также сможете проверить работоспособность вашего устройства. Если устройство перестает работать, вы всегда сможете вернуть или обменять его. Хотя, если безопасность имеет для вас большое значение, вы можете просто купить новое устройство, произведенное не ранее 2006 г.

    Wpa и tkip замедляют сеть wi-fi

        Выбираемые в целях совместимости опции WPA и TKIP могут еще и замедлить работу сети Wi-Fi. Многие современные роутеры Wi-Fi, поддерживающие 802.11n или более новые и быстрые стандарты, будут снижать скорость до 54 Мбит/с, если вы установите на них опцию WPA или TKIP, – для обеспечения гарантированной совместимости с гипотетическими старыми устройствами.

        Для сравнения, при использовании WPA2 с AES даже стандарт 802.11n поддерживает скорость до 300 Мбит/с, а стандарт 802.11ac предлагает теоретическую максимальную скорость 3,46 Гбит/с при оптимальных (читай: идеальных) условиях.

    В большинстве роутеров, как мы уже убедились, список опций обычно включает в себя WEP, WPA (TKIP) и WPA2 (AES) – и, возможно, смешанную опцию режима максимальной совместимости WPA (TKIP) WPA2 (AES), добавленную с лучшими намерениями.

    Если у вас роутер необычного типа, который предлагает WPA2 или вместе с TKIP, или вместе с AES, выбирайте AES. Почти все ваши устройства точно будут с ним работать, к тому же более быстро и более безопасно. AES – простой и рациональный выбор.

Подключаем к wi-fi компьютер (ноутбук) на windows 7, 8, 10 по wps

Обновление:подробная инструкция по подключению к Wi-Fi с помощью WPS в Windows 11.

Здесь все очень просто. Открываем на компьютере список доступных для подключения сетей, выбираем необходимую сеть, и нажимаем на кнопку “Подключение”.

Появится окно с вводом пароля. А ниже, должно быть сообщение “Можно так же подключиться, нажав кнопку на маршрутизаторе”. Возможно, придется подождать пару секунд, пока это сообщение появится.

Теперь, нажимаем кнопку WPS на роутере, и компьютер подключится к Wi-Fi без ввода пароля.

Вот и все, можно пользоваться беспроводным подключением к интернету. На роутере ничего отключать не нужно.

Если у вас адаптер с кнопкой WPS (QSS)

Например, у меня на роутере ASUS есть кнопка WPS, а на USB Wi-Fi адаптере TP-LINK кнопка QSS.

Подключение по wps смартфонов и планшетов на android

Что бы подключится к Wi-Fi без ввода пароля на Android, нужно зайти в настройки Wi-Fi, выбрать расширенные настройки, затем выбрать подключение с использованием WPS, и нажать кнопку на роутере. Смартфон, или планшет автоматически подключится к Wi-Fi сети.

На разных устройствах, эти настройки могут выглядеть по разному. Но порядок действий будет такой же. Там еще можно выбрать подключение по WPS с использованием PIN кода.

Даже при подключении к Wi-Fi телевизора Philips (Android TV), можно использовать технологию WPS.

Что касается iOS (iPhone, iPad и т. д.), то насколько я понял, там нет поддержки WPS. Если я ошибаюсь, если вы знаете, то напишите мне в комментариях.

Управление wps на маршрутизаторах asus

Если у вас роутер ASUS, то заходим в настройки по адресу 192.168.1.1, переходим на вкладку “Беспроводная сеть” – “WPS”.

Выводы

С помощью WPS (QSS), можно действительно быстро подключить устройство к Wi-Fi без ввода пароля. Технология работает, и очень простая в использовании. Лично я, только несколько раз пользовался этой фишкой. Нет необходимости часто подключать новые устройства, да и пароль ввести не сложно.

Кстати, если вы не пользуетесь функцией WPS, то ее желательно отключить. Честно говоря, не знаю почему, но уже несколько раз встречал информацию, что отключать ее желательно в целях безопасности. Хотя, думаю, что это полная ерунда. Главное, что бы вам было удобно пользоваться беспроводной сетью, подключать новые устройства и т. д.

Оцените статью
Huawei Devices
Добавить комментарий