Ви-ФИ заштићено подешавање (ВПС) је несигурно
ВПА2 са снажном лозинком је сигуран док год онемогућавате ВПС. Овај савет ћете наћи у водичима за обезбеђивање Ви-Фи мреже на целом Вебу. Ви-Фи Протецтед Сетуп је била добра идеја, али употреба је грешка.
Ваш рутер вероватно подржава ВПС и вероватно је омогућен по подразумеваној вредности. Као и УПнП, ово је несигурна карактеристика која чини вашу бежичну мрежу рањивијом за напад.
Шта је Ви-Фи Протецтед Сетуп?
Већина кућних корисника би требало да користи ВПА2-Персонал, познат и као ВПА2-ПСК. „ПСК“ значи „пре-схаред кеи“. На рутеру поставите бежичну фразу за пролаз, а затим обезбедите исту лозинку за сваки уређај који повезујете са ВИ-Фи мрежом. Ово вам у суштини даје лозинку која штити вашу Ви-Фи мрежу од неовлаштеног приступа. Рутер добија шифру за шифровање из ваше лозинке, коју користи за шифровање вашег бежичног мрежног саобраћаја да би се обезбедило да људи без кључа не могу да га прислушкују.
Ово може бити мало незгодно, јер морате унијети своју лозинку за сваки нови уређај који повезујете. Ви-ФИ заштићено подешавање (ВПС) је направљено да би се решио овај проблем. Када се повежете на рутер са омогућеним ВПС-ом, видећете поруку у којој кажете да можете да користите лакши начин за повезивање, а не да уносите своју запорку за Ви-Фи.
Зашто је Ви-Фи заштићено подешавање несигурно
Постоји неколико различитих начина за имплементацију Ви-Фи заштићеног подешавања:
ПИН: Рутер има ПИН од осам цифара који морате да унесете на уређајима за повезивање. Уместо да одједном проверите цео осмоцифрени ПИН, рутер ће проверити прве четири цифре одвојено од последње четири цифре. Ово чини ВПС ПИН-ове веома лако „бруталном силом“ погађањем различитих комбинација. Постоји само 11.000 могућих четвороцифрених кодова, а када софтвер за грубу силу добије прве четири цифре, нападач може да пређе на остале цифре. Многи потрошачки рутери не истичу након што се обезбеди погрешан ВПС ПИН, што нападачима омогућава да поново и поново погађају. ВПС ПИН може бити брутално присиљен за отприлике један дан. [Извор] Свако може да користи софтвер назван “Реавер” да испуни ВПС ПИН.
Пусх-Буттон-Цоннецт: Уместо уноса ПИН-а или приступне фразе, можете једноставно да притиснете физичко дугме на рутеру након покушаја повезивања. (Дугме може бити и софтверско дугме на екрану за подешавање.) Ово је безбедније јер се уређаји могу повезати са овом методом само неколико минута након притиска на дугме или након повезивања једног уређаја. Неће бити активан и доступан за коришћење све време, као што је ВПС ПИН. Пусх-буттон-цоннецт изгледа прилично сигуран, а једина рањивост је да би било ко са физичким приступом рутеру могао да притисне дугме и повеже се, чак и ако није знао за Ви-Фи лозинку.
ПИН је обавезан
Док је пусх-буттон-цоннецт вероватно сигуран, метод аутентикације ПИН-а је обавезан, основни метод који морају да подржавају сви сертификовани ВПС уређаји. То је тачно - ВПС спецификација налаже да уређаји морају да имплементирају најбезбеднији метод аутентикације.
Произвођачи рутера не могу да реше овај безбедносни проблем јер ВПС спецификација позива на несигуран начин провере ПИН-ова. Сваки уређај који имплементира Ви-Фи заштићено подешавање у складу са спецификацијом ће бити рањив. Сама спецификација није добра.
Можете да онемогућите ВПС?
Постоји неколико различитих типова рутера.
- Неки рутери вам не дозвољавају да онемогућите ВПС, не обезбеђујући никакву опцију у њиховим конфигурационим интерфејсима да то ураде.
- Неки рутери пружају опцију за онемогућавање ВПС-а, али ова опција не ради ништа и ВПС је и даље омогућен без вашег знања. У 2012. години, ова грешка је пронађена на “свакој Линксис и Цисцо Валет бежичној приступној тачки… тестирана”.
- Неки рутери ће вам омогућити да онемогућите или омогућите ВПС, без избора метода аутентикације.
- Неки рутери ће вам омогућити да онемогућите ВПС аутентификацију засновану на ПИН-у док још увек користите аутентификацију помоћу тастера.
- Неки рутери уопште не подржавају ВПС. Ово су вероватно најсигурније.
Како онемогућити ВПС
Ако вам рутер омогућава да онемогућите ВПС, вероватно ћете ову опцију пронаћи под Ви-ФИ заштићеним подешавањима или ВПС-ом у његовом веб-базираном конфигурационом интерфејсу.
Требали бисте барем онемогућити опцију аутентификације засновану на ПИН-у. На многим уређајима моћи ћете да изаберете да ли желите да омогућите или онемогућите ВПС. Изаберите да онемогућите ВПС ако је то једини избор који можете направити.
Мало бисмо се забринули да оставимо ВПС омогућен, чак и ако је опција ПИН-а онемогућена. Узимајући у обзир ужасан рекорд произвођача рутера када су у питању ВПС и друге несигурне функције као што је УПнП, није ли могуће да неке ВПС имплементације наставе да омогућавају аутентификацију засновану на ПИН-у чак и када се чини да је онемогућена?
Наравно, теоретски можете бити сигурни да је ВПС омогућен све док је аутентификација заснована на ПИН-у онемогућена, али зашто рискирати? Све што ВПС заиста има јесте омогућавање лакшег повезивања на Ви-Фи. Ако креирате лозинку коју можете лако запамтити, требате бити у могућности да се повежете једнако брзо. И ово је само проблем први пут - када једном једном повежете уређај, не би требало да то поново радите. ВПС је страшно ризичан за карактеристику која нуди тако малу корист.
Имаге Цредит: Јефф Кеизер на Флицкр-у