Adesea apare întrebarea: ce tip de criptare Wi-Fi să alegeți pentru un router de acasă. S-ar părea un fleac, dar cu parametri incorecți, la rețea și chiar și cu transferul de informații printr-un cablu Ethernet, pot apărea probleme.

Prin urmare, aici vom analiza ce tipuri de criptare a datelor sunt acceptate de routerele WiFi moderne și cum diferă tipul de criptare aes de popularele wpa și wpa2.

Tip de criptare a rețelei fără fir: cum să alegeți o metodă de protecție?

Deci, există 3 tipuri de criptare în total:

1. 1. Criptare WEP

Tipul de criptare WEP a apărut încă din anii 90 și a fost prima opțiune pentru protejarea rețelelor Wi-Fi: a fost poziționat ca un analog al criptării în rețelele cu fir și a folosit cifrul RC4. Au existat trei algoritmi obișnuiți de criptare a datelor - Neesus, Apple și MD5 - dar fiecare dintre ei nu a oferit nivelul necesar de securitate. În 2004, IEEE a declarat standardul învechit din cauza faptului că în cele din urmă a încetat să asigure securitatea conectării la rețea. Momentan, acest tip de criptare pentru wifi nu este recomandat, deoarece. nu este sigur din punct de vedere criptografic.

1. 2.WPS este un standard care nu necesită utilizarea . Pentru a vă conecta la router, trebuie doar să faceți clic pe butonul corespunzător, pe care l-am descris în detaliu în articol.

Teoretic, WPS vă permite să vă conectați la un punct de acces folosind un cod din opt cifre, dar în practică, doar patru sunt adesea suficiente.

Acest fapt este folosit în liniște de numeroși hackeri care pirata rapid (în 3 - 15 ore) rețelele wifi, așa că nici folosirea acestei conexiuni nu este recomandată.

1. 3.Tip de criptare WPA/WPA2

Lucrurile sunt mult mai bune cu criptarea WPA. În locul cifrului vulnerabil RC4, aici este folosită criptarea AES, unde lungimea parolei este o valoare arbitrară (8 - 63 de biți). Acest tip de criptare oferă un nivel normal de securitate și este destul de potrivit pentru routerele wifi simple. În acest caz, există două soiuri ale acestuia:

Tip PSK (Pre-Shared Key) - conexiunea la punctul de acces se realizează folosind o parolă predefinită.
- Enterprise - parola pentru fiecare nod este generata automat cu verificare pe serverele RADIUS.

Tipul de criptare WPA2 este o extensie a WPA cu îmbunătățiri de securitate. Acest protocol folosește RSN, care se bazează pe criptarea AES.

Ca și criptarea WPA, tipul WPA2 are două moduri de funcționare: PSK și Enterprise.

Din 2006, tipul de criptare WPA2 este acceptat de toate echipamentele Wi-Fi, iar geo-ul corespunzător poate fi selectat pentru orice router.

Avantajele criptării WPA2 față de WPA:

Cheile de criptare sunt generate în timpul conexiunii la router (în loc de cele statice);
- Utilizarea algoritmului Michael pentru a controla integritatea mesajelor transmise
- Utilizarea unui vector de inițializare de lungime semnificativ mai mare.
În plus, tipul de criptare Wi-Fi ar trebui să fie ales în funcție de locul în care este utilizat routerul:

Criptarea WEP, TKIP și CKIP nu trebuie folosită deloc;

Pentru un punct de acces acasă, WPA / WPA2 PSK este bine;

Pentru că merită să alegi WPA / WPA2 Enterprise.

Cheia de securitate a rețelei este o parolă pe care o puteți utiliza pentru a vă conecta la o rețea Wi-Fi funcțională. Funcționarea sigură a rețelei wireless depinde direct de aceasta. Sarcina sa principală este de a proteja utilizatorul (proprietarul) de Wi-Fi de conexiunea neautorizată la acesta. Unora li se poate părea că o astfel de conexiune, în general, nu va interfera foarte mult cu munca pe Internet. De fapt, este plin de o scădere semnificativă a vitezei Internetului. Prin urmare, creării unei parole trebuie acordată cea mai mare atenție.

Pe lângă complexitatea reală a parolei generate, gradul de securitate al rețelei wireless Wi-Fi este în mare măsură afectat de tipul de criptare a datelor. Semnificația tipului de criptare se explică prin faptul că toate datele transmise într-o anumită rețea sunt criptate. Un astfel de sistem vă permite să vă protejați de conexiunile neautorizate, deoarece fără a cunoaște parola, un utilizator terță parte care își folosește dispozitivul pur și simplu nu va putea decripta datele transmise în rețeaua wireless.

Tipuri de criptare a rețelei

Routerele Wi-Fi folosesc în prezent trei tipuri diferite de criptare.

Ele diferă unele de altele nu numai prin numărul de caractere disponibile pentru crearea unei parole, ci și prin alte caracteristici la fel de importante.

Cel mai nesigur și mai puțin popular tip de criptare astăzi este WEP. În general, acest tip de criptare a fost folosit înainte și acum este rar folosit. Iar ideea aici nu este doar bătrânețea morală a acestui tip de criptare. Este cu adevărat nesigur. Utilizatorii care folosesc dispozitive cu criptare WEP au șanse destul de mari ca propria cheie de securitate a rețelei să fie compromisă de o terță parte. Acest tip de criptare nu este acceptat de multe routere Wi-Fi moderne.

Ultimele două tipuri de criptare sunt mult mai sigure și mult mai frecvent utilizate. În acest caz, utilizatorii au posibilitatea de a alege nivelul de securitate al rețelei. De exemplu, WPA și WPA2 acceptă două tipuri de verificări de securitate.

Unul dintre ele este conceput pentru utilizatorii obișnuiți și conține o singură parolă unică pentru toate dispozitivele conectate.

Celălalt este folosit pentru întreprinderi și îmbunătățește foarte mult fiabilitatea rețelei Wi-Fi. Esența sa constă în faptul că pentru fiecare dispozitiv individual este creată propria sa cheie de securitate unică.

Astfel, devine aproape imposibil să te conectezi la rețeaua altcuiva fără permisiune.

Cu toate acestea, atunci când alegeți viitorul router, ar trebui să optați pentru modelul care acceptă criptarea WPA2. Acest lucru se explică prin fiabilitatea sa mai mare în comparație cu WPA. Deși, desigur, criptarea WPA este de o calitate suficientă. Majoritatea routerelor acceptă ambele tipuri de criptare.

Cum să vă găsiți cheia de securitate Wi-Fi

Există mai multe moduri de a afla cheia de securitate dintr-o rețea fără fir.

Securitatea în rețelele Wi-Fi a fost îmbunătățită constant de la apariția acestei tehnologii wireless. Recent, a evoluat atât de mult încât aproape toate routerele moderne sunt protejate de posibile atacuri cu parole puternice, metode complexe de criptare, firewall-uri încorporate și multe alte mijloace de protecție împotriva intrușilor. Dar ce se întâmplă dacă algoritmii de criptare care au făcut din Wi-Fi unul dintre cele mai sigure protocoale de până acum sunt piratați?

Este exact ceea ce s-a întâmplat în toamna lui 2017, când cercetătorii belgieni de la Universitatea din Leuven au descoperit mai multe vulnerabilități critice în protocolul WPA2 și au publicat un raport detaliat despre acesta. Protocolul WPA2 este folosit pentru a securiza majoritatea rețelelor Wi-Fi din lume și este considerat cel mai puternic instrument de securitate disponibil pentru mase.

Conţinut

Cum vă puteți proteja datele atunci când Wi-Fi nu mai garantează securitatea?

Faptul că WPA a fost piratat este o veste tulburătoare care afectează multe dispozitive electronice, dar nu există niciun motiv de alarmă.

În esență, cercetătorii au descoperit o vulnerabilitate în protocolul Wi-Fi care face ca traficul fără fir să fie interceptat. Cu alte cuvinte, oricine poate folosi acest defect în securitatea rețelei pentru a spiona activitățile altor persoane pe Internet, a fura numere de card de credit, parole, a intercepta mesaje în mesagerie instant etc.

Din fericire, producătorii multor gadgeturi au reușit deja să-și îmbunătățească și să-și rafineze dispozitivele eliminând vulnerabilitatea găsită. Și în plus, WPA2 este departe de singurul zid de protecție dintre un hacker și datele personale ale utilizatorilor.

Pentru a pirata Wi-Fi-ul altcuiva, un atacator trebuie, în primul rând, să-și plaseze antena de recepție în raza de acțiune a canalului radio și, în al doilea rând, majoritatea informațiilor de pe Internet sunt deja criptate, iar hackerul nu va putea citi oricum.


Protocolul https, pe care rulează majoritatea serverelor web, adaugă un nivel suplimentar de securitate conexiunii, la fel ca și utilizarea serviciilor VPN.

De aceea, ar trebui să vă amintiți întotdeauna despre pictograma lacăt din bara de adrese a browserului. Dacă nu vedeți un mic lacăt acolo, înseamnă că site-ul nu folosește protocolul https, iar toate informațiile introduse în formulare, inclusiv parolele, pot fi disponibile terților.

De aceea, înainte de a trimite undeva adresa de domiciliu sau datele de plată, trebuie să vă asigurați întotdeauna că există un lacăt în bara de adrese.

Aproape imediat după știrile despre vulnerabilitatea protocolului Wi-Fi, toți dezvoltatorii de software de top au lansat patch-uri adecvate pentru produsele lor. De exemplu, Microsoft a lansat o actualizare pentru Windows în octombrie 2017. Apple și-a corectat și sistemele de operare macOS și iOS cam în același timp.

Google a lansat o actualizare pentru Android în noiembrie, așa că fiecare proprietar de dispozitive cu această platformă ar trebui să verifice secțiunea Despre din setările telefonului sau tabletei pentru a afla când a fost ultima actualizare de securitate. Dacă a fost efectuat înainte de noiembrie și telefonul rulează Android 6 sau o versiune anterioară a sistemului de operare, atunci trebuie să actualizați.

Ce standard de securitate wireless ar trebui să fie preferat?

Routerele wireless pot folosi o mare varietate de protocoale pentru a cripta datele. Iată cele trei standarde principale cu care lucrează majoritatea routerelor de acasă și de birou:

1.Confidențialitate echivalentă prin cablu (WEP): acest protocol a fost introdus în 1997 imediat după dezvoltarea standardului Wi-Fi 802.11; În prezent, WEP este considerat nesigur și din 2003 a fost înlocuit cu tehnologia de securitate a informațiilor WPA cu metoda de criptare TKIP.

2. Protocolul cheii temporale a cheii de integritate (TKIP). Acest standard este, de asemenea, învechit și este eliminat treptat. Dar, spre deosebire de WEP, acesta poate fi încă găsit în firmware-ul multor modele de echipamente moderne.

3.Standard avansat de criptare (AES). Acest standard a fost introdus imediat după TKIP în 2004, împreună cu un sistem de certificare a conexiunii WPA2 actualizat și îmbunătățit. Routerele care funcționează cu această tehnologie ar trebui să aibă preferință atunci când aleg echipamente de rețea noi. Gadget-urile care se conectează la o rețea wireless trebuie să accepte și AES pentru a interacționa corect cu astfel de routere. În ciuda vulnerabilității menționate mai sus, WPA2 este în continuare considerată cea mai bună metodă de securitate Wi-Fi. În prezent, producătorii de routere și ISP-ii folosesc de obicei WPA2 ca standard; unele dintre ele folosesc o combinație de WPA2 și WPA pentru a face posibilă lucrarea cu cea mai largă gamă de gadgeturi wireless.

În documentația tehnică pentru routere, uneori puteți vedea și literele PSK, care înseamnă Pre-Shared-Key sau Personal Shared Key. Când aveți posibilitatea de a alege, este întotdeauna mai bine să optați pentru modele cu WPA2-PSK (AES) în detrimentul WPA2-PSK (TKIP), dar dacă unele gadget-uri mai vechi nu se pot conecta la router, atunci WPA2-PSK (TKIP) ar putea fi drum de urmat. Tehnologia TKIP folosește metoda modernă de criptare WPA2, lăsând dispozitivele mai vechi dependente de TKIP capabile să se conecteze la routere wireless.

Cum să vă securizați Wi-Fi-ul

Dezactivează WPS

WPS înseamnă Wi-Fi Protected Setup și este un standard și un protocol care a fost creat pentru a facilita configurarea conexiunilor fără fir. În ciuda caracterului practic și funcționalității sale, această soluție are un defect grav: un cod PIN de opt cifre format doar din numere poate fi spart cu ușurință prin ghicire primitivă, iar acest lucru creează un punct de plecare convenabil pentru hackeri care doresc să preia Wi-Fi-ul altcuiva. .

Pentru a afla dacă un router wireless folosește sau nu protocolul WPS, trebuie să aruncați o privire mai atentă la caseta în care vine: suportul WPS este marcat de o siglă specială pe pachet și de un buton fizic separat pe carcasa dispozitivului. Din punct de vedere al protecției împotriva hackingului, este mai bine să dezactivați acest protocol și să nu îl utilizați niciodată.

O preocupare majoră pentru toate rețelele LAN fără fir (și, de altfel, pentru toate rețelele LAN cu fir) este securitatea. Securitatea este la fel de importantă aici ca și pentru orice utilizator de internet. Securitatea este o problemă complexă și necesită o atenție constantă. I se poate face un rău uriaș utilizatorului din cauza faptului că folosește hot-spot-uri aleatorii (hot-spot) sau puncte de acces WI-FI deschise acasă sau la birou și nu folosește criptare sau VPN (Virtual Private Network - virtual private reţea). Acest lucru este periculos deoarece utilizatorul își introduce datele personale sau profesionale, iar rețeaua nu este protejată de intruziunile din exterior.

WEP

Inițial, a fost dificil să se asigure o securitate adecvată pentru rețelele LAN fără fir.

Hackerii au facilitat conectarea la aproape orice rețea WiFi prin spargerea versiunilor timpurii ale sistemelor de securitate, cum ar fi Wired Equivalent Privacy (WEP). Aceste evenimente și-au pus amprenta, iar pentru o lungă perioadă de timp unele companii au fost reticente să implementeze sau să nu implementeze deloc rețele wireless, temându-se că datele transmise între dispozitivele wireless WiFi și punctele de acces WiFi ar putea fi interceptate și decriptate. Astfel, acest model de securitate a încetinit procesul de integrare a rețelelor wireless în afaceri și a făcut nervoși utilizatorii care folosesc rețelele WiFi acasă. Apoi IEEE a înființat Grupul de lucru 802.11i, care a lucrat pentru a crea un model de securitate cuprinzător care să ofere criptare AES pe 128 de biți și autentificare pentru a proteja datele. Wi-Fi Alliance a introdus propria versiune intermediară a acestei specificații de securitate 802.11i: Wi-Fi Protected Access (WPA). Modulul WPA combină mai multe tehnologii pentru a rezolva vulnerabilitățile sistemului 802.11 WEP. Astfel, WPA oferă o autentificare puternică a utilizatorilor folosind standardul 802.1x (autentificare reciprocă și încapsulare a datelor transmise între dispozitivele client wireless, puncte de acces și server) și Extensible Authentication Protocol (EAP).

Principiul de funcționare a sistemelor de securitate este prezentat schematic în Fig. 1

De asemenea, WPA este echipat cu un modul temporar pentru a cripta motorul WEP cu criptare cheie pe 128 de biți și utilizează Protocolul de integritate a cheii temporale (TKIP). Și suma de verificare a mesajelor (MIC) împiedică modificarea sau formatarea pachetelor de date. Această combinație de tehnologii protejează confidențialitatea și integritatea comunicațiilor de date și asigură securitatea prin controlul accesului astfel încât doar utilizatorii autorizați să aibă acces la rețea.

WPA

O altă îmbunătățire a securității și controlului accesului WPA este crearea unei noi chei master unice pentru a comunica între echipamentele fără fir și punctele de acces ale fiecărui utilizator și pentru a oferi o sesiune de autentificare. Și, de asemenea, în crearea unui generator de chei aleatorii și în procesul de generare a unei chei pentru fiecare pachet.

Standardul IEEE 802.11i a fost ratificat în iunie 2004, extinzând foarte mult multe dintre capabilitățile sale datorită tehnologiei WPA. Alianța Wi-Fi și-a consolidat modulul de securitate în programul WPA2. Astfel, nivelul de securitate a transmisiei de date a standardului WiFi 802.11 a atins nivelul necesar pentru implementarea soluțiilor și tehnologiilor wireless în întreprinderi. Una dintre modificările semnificative la 802.11i (WPA2) de la WPA este utilizarea standardului de criptare avansată (AES) pe 128 de biți. WPA2 AES utilizează modul CBC-MAC (un mod de operare pentru un bloc de criptare care permite utilizarea aceleiași chei atât pentru criptare, cât și pentru autentificare) pentru a oferi confidențialitatea datelor, autentificare, integritate și protecție la redare. 802.11i oferă, de asemenea, cheie și pre-autentificare cache pentru a organiza utilizatorii după punctul de acces.

WPA2

Cu standardul 802.11i, întregul lanț de module de securitate (autentificare, schimb de autorități, autentificare și criptare a datelor) devine o protecție mai fiabilă și mai eficientă împotriva atacurilor nedirecționate și direcționate. Sistemul WPA2 permite administratorului rețelei Wi-Fi să treacă de la problemele de securitate la operarea și gestionarea dispozitivului.

Standardul 802.11r este o modificare a standardului 802.11i. Acest standard a fost ratificat în iulie 2008. Tehnologia standard transferă mai rapid și mai fiabil ierarhiile cheie bazate pe tehnologia Handoff (transferul controlului) în timpul deplasării utilizatorului între punctele de acces. Standardul 802.11r este pe deplin compatibil cu standardele WiFi 802.11a/b/g/n.

Există și standardul 802.11w, care este conceput pentru a îmbunătăți mecanismul de securitate bazat pe standardul 802.11i. Acest standard este conceput pentru a proteja pachetele de control.

802.11i și 802.11w sunt mecanismele de securitate pentru rețelele WiFi 802.11n.

Criptarea fișierelor și folderelor în Windows 7

Caracteristica de criptare vă permite să criptați fișiere și foldere care ulterior vor fi ilizibile pe alt dispozitiv fără o cheie specială. Această caracteristică este prezentă în versiuni de Windows 7 precum Professional, Enterprise sau Ultimate. Următoarele vor acoperi modalități de a activa criptarea fișierelor și folderelor.

Activați criptarea fișierelor:

Start -> Computer (selectați fișierul de criptat)-> faceți clic dreapta pe fișier->Proprietăți->Avansat (fila General)->Atribute suplimentare->Puneți un marcator în Criptare conținut pentru a proteja datele->OK->Aplicați -> Ok (Alegeți se aplica numai la fișier)->

Activați criptarea folderului:

Start -> Computer (selectați folderul de criptat)-> clic dreapta pe folder-> Proprietăți->Avansat (fila General)->Atribute suplimentare->Puneți un marcator în Criptare conținut pentru a proteja datele->OK->Aplicați- > Ok (Selectați aplicați numai fișierului)->Închide caseta de dialog Proprietăți (faceți clic pe Ok sau Închidere).

Recent, au apărut multe publicații „dezvăluitoare” despre piratarea unui alt protocol sau tehnologie care compromite securitatea rețelelor wireless. Este într-adevăr așa, de ce ar trebui să vă fie teamă și cum să faceți accesul la rețea cât mai sigur posibil? Cuvintele WEP, WPA, 802.1x, EAP, PKI înseamnă puțin pentru tine? Această scurtă prezentare generală va ajuta la reunirea tuturor tehnologiilor utilizate pentru criptarea și autorizarea accesului radio. Voi încerca să arăt că o rețea wireless configurată corespunzător este o barieră de netrecut pentru un atacator (până la o anumită limită, desigur).

Bazele

• Autentificare- cum clientul și punctul de acces se prezintă unul față de celălalt și confirmă că au dreptul de a comunica unul cu celălalt;
• criptare- ce algoritm de codificare al datelor transmise este utilizat, cum este generată cheia de criptare și când este schimbată.

Parametrii rețelei fără fir, în primul rând numele acesteia (SSID), sunt anunțați în mod regulat de către punctul de acces în pachete de semnalizare. Pe lângă setările de securitate așteptate, se transmit dorințe pentru QoS, pentru parametrii 802.11n, viteze acceptate, informații despre alți vecini și așa mai departe. Autentificarea determină modul în care clientul apare la obiect. Opțiuni posibile:

• deschis- așa-numita rețea deschisă, în care toate dispozitivele conectate sunt autorizate simultan
• impartit- autenticitatea dispozitivului conectat trebuie verificată cu o cheie/parolă
• EAP- autenticitatea dispozitivului conectat trebuie verificată prin protocolul EAP de către un server extern

• Nici unul- fără criptare, datele sunt transmise în clar
• WEP- Cifrare bazată pe RC4 cu diferite lungimi de chei statice sau dinamice (64 sau 128 de biți)
• CKIP- Înlocuirea proprietății Cisco pentru WEP, o versiune timpurie a TKIP
• TKIP- înlocuire îmbunătățită pentru WEP cu verificări și protecție suplimentare
• AES/CCMP- cel mai avansat algoritm bazat pe AES256 cu verificări și protecție suplimentare

Combinaţie Deschideți autentificare, fără criptare utilizat pe scară largă în sistemele de acces pentru oaspeți, cum ar fi furnizarea de acces la Internet într-o cafenea sau un hotel. Pentru a vă conecta, trebuie doar să știți numele rețelei wireless. Adesea, o astfel de conexiune este combinată cu verificarea suplimentară pe Portalul Captiv prin redirecționarea cererii HTTP a utilizatorului către o pagină suplimentară unde puteți solicita confirmarea (login-parolă, acord cu regulile etc.).

Criptare WEP compromis și nu poate fi folosit (chiar și în cazul tastelor dinamice).

Termeni folosiți în mod obișnuit WPAși WPA2 determina, de fapt, algoritmul de criptare (TKIP sau AES). Datorită faptului că adaptoarele client acceptă WPA2 (AES) de destul de mult timp, nu are sens să folosești criptarea folosind algoritmul TKIP.

Diferență între WPA2 Personalși WPA2 Enterprise de unde provin cheile de criptare utilizate în mecanica algoritmului AES. Pentru aplicațiile private (acasă, mici), se utilizează o cheie statică (parolă, cuvânt cod, PSK (Pre-Shared Key)) cu o lungime minimă de 8 caractere, care este setată în setările punctului de acces și este aceeași pentru toți clienții acestei rețele fără fir. Compromisul cu o astfel de cheie (placută unui vecin, un angajat a fost concediat, un laptop a fost furat) necesită o schimbare imediată a parolei pentru toți utilizatorii rămași, ceea ce este realist doar în cazul unui număr mic dintre ei. Pentru aplicațiile corporative, după cum sugerează și numele, este utilizată o cheie dinamică, care este individuală pentru fiecare client care lucrează în acest moment. Această cheie poate fi actualizată periodic în timpul lucrului fără întreruperea conexiunii, iar o componentă suplimentară este responsabilă pentru generarea acesteia - serverul de autorizare și aproape întotdeauna acesta este serverul RADIUS.

Toți parametrii de securitate posibili sunt rezumați în această placă:

Dacă totul este clar cu WPA2 Personal (WPA2 PSK), soluția corporativă necesită o atenție suplimentară.

WPA2 Enterprise

Utilizarea mecanismului de autorizare EAP în rețeaua dvs. duce la faptul că, după autentificarea cu succes (aproape sigur deschisă) a clientului de către punctul de acces (împreună cu controlerul, dacă există), acesta din urmă cere clientului să autorizeze (verificarea acreditărilor sale) de pe serverul de infrastructură RADIUS:

Utilizare WPA2 Enterprise necesită un server RADIUS în rețeaua dvs. Până în prezent, cele mai eficiente sunt următoarele produse:

• Microsoft Network Policy Server (NPS), fost IAS- configurabil prin MMC, gratuit, dar trebuie să cumpărați Windows
• Cisco Secure Access Control Server (ACS) 4.2, 5.3- configurabil printr-o interfață web, bogat în funcții, vă permite să creați sisteme distribuite și tolerante la erori, este costisitor
• FreeRADIUS- gratuit, configurat prin configurații text, nu este convenabil de gestionat și monitorizat

În același timp, controlorul monitorizează cu atenție schimbul de informații în curs și așteaptă autorizarea cu succes sau refuzul acestuia. Dacă are succes, serverul RADIUS poate trimite parametri suplimentari punctului de acces (de exemplu, în ce VLAN să plaseze abonatul, ce adresă IP să îi atribuie, profilul QoS etc.). La sfârșitul schimbului, serverul RADIUS permite clientului și punctului de acces să genereze și să schimbe chei de criptare (individuale, valabile doar pentru această sesiune):

EAP

• EAP-RAPID(Flexible Authentication via Secure Tunneling) - dezvoltat de Cisco; permite autorizarea prin login-parola transmisă în interiorul tunelului TLS între solicitant și serverul RADIUS
• EAP-TLS(Transport Layer Security). Utilizează o infrastructură de cheie publică (PKI) pentru a autoriza clientul și serverul (solicitantul și serverul RADIUS) prin certificate emise de o autoritate de certificare (CA) de încredere. Necesită emiterea și instalarea de certificate de client pentru fiecare dispozitiv wireless, deci este potrivit doar pentru un mediu corporativ administrat. Windows Certificate Server are facilități care permit unui client să-și genereze propriul certificat dacă clientul este membru al unui domeniu. Blocarea unui client se face cu ușurință prin revocarea certificatului acestuia (sau prin conturi).
• EAP-TTLS(Tunneled Transport Layer Security) este similar cu EAP-TLS, dar nu este necesar niciun certificat de client la crearea unui tunel. Într-un astfel de tunel, similar conexiunii SSL a browserului, se efectuează o autorizare suplimentară (folosind o parolă sau altceva).
• PEAP-MSCHAPv2(EAP protejat) - similar cu EAP-TTLS în ceea ce privește stabilirea inițială a unui tunel TLS criptat între client și server, necesitând un certificat de server. Ulterior, autorizarea are loc într-un astfel de tunel folosind binecunoscutul protocol MSCHAPv2.
• PEAP-GTC(Generic Token Card) - similar cu cel precedent, dar necesită carduri cu parolă unică (și infrastructura aferentă)

Toate aceste metode (cu excepția EAP-FAST) necesită un certificat de server (pe serverul RADIUS) emis de o Autoritate de Certificare (CA). În acest caz, certificatul CA în sine trebuie să fie prezent pe dispozitivul client din grupul de încredere (care este ușor de implementat folosind instrumentele de politică de grup din Windows). În plus, EAP-TLS necesită un certificat de client individual. Autentificarea clientului se realizează atât prin semnătură digitală, cât și (opțional) prin compararea certificatului furnizat de client către serverul RADIUS cu cel pe care serverul l-a preluat din infrastructura PKI (Active Directory).

Suportul pentru oricare dintre metodele EAP trebuie să fie furnizat de către solicitant din partea clientului. Standardul încorporat Windows XP/Vista/7, iOS, Android oferă cel puțin EAP-TLS și EAP-MSCHAPv2, ceea ce face ca aceste metode să fie populare. Adaptoarele Intel Client pentru Windows vin cu un utilitar ProSet care extinde lista disponibilă. Clientul Cisco AnyConnect face același lucru.

Cât de fiabil este

Pentru autentificarea deschisă, Fără criptare nu este nimic. Conectat la rețea și tot. Deoarece mediul radio este deschis, semnalul se propagă în direcții diferite, nu este ușor să îl blocați. Dacă aveți adaptoarele client adecvate care vă permit să ascultați aerul, traficul de rețea este vizibil în același mod ca și în cazul în care atacatorul s-ar fi conectat la fir, la hub, la portul SPAN al switch-ului.
Criptarea bazată pe WEP necesită doar timp de forță brută IV și unul dintre multele utilitare de scanare disponibile gratuit.
Pentru criptarea bazată pe TKIP sau AES, decriptarea directă este posibilă în teorie, dar în practică nu au existat cazuri de hacking.

Desigur, puteți încerca să ghiciți cheia PSK sau parola pentru una dintre metodele EAP. Atacurile comune asupra acestor metode nu sunt cunoscute. Puteți încerca să aplicați metode de inginerie socială sau