← ARP-спуфинг и MITM: как раб…Межсетевые экраны: iptables… →

Защита Wi-Fi: WPA2/WPA3 и почему WEP мёртв

Урок про то, как защитить беспроводную сеть: какой протокол выбрать и как изолировать гостей.

WPA3 — современный стандарт защиты Wi-Fi, пришедший на смену WPA2 и устаревшему, небезопасному WEP.

Зачем это нужно

Беспроводной сигнал не остановить стеной — он доступен всем в радиусе. Поэтому шифрование эфира критично: иначе перехват трафика становится тривиальным. Выбор протокола напрямую определяет, насколько сложно злоумышленнику.

Эволюция протоколов

ПротоколСтатусПочему
WEPмёртв, не использоватькриптографически сломан, ключ восстанавливается за минуты
WPAустарелвременное решение, есть известные слабости
WPA2приемлемоAES-CCMP; уязвим к ряду атак на рукопожатие
WPA3рекомендуетсяSAE-рукопожатие, защита от офлайн-перебора, forward secrecy

Почему WEP мёртв

WEP использует слабый алгоритм и повторяющиеся векторы инициализации. Достаточно собрать определённый объём трафика, чтобы восстановить ключ — это давно автоматизировано. WEP нельзя считать защитой ни при каких условиях.

Почему WPA3 лучше WPA2

Главное улучшение — рукопожатие SAE (Simultaneous Authentication of Equals). В WPA2 нарушитель мог перехватить рукопожатие и затем офлайн перебирать пароль сколько угодно. SAE делает офлайн-перебор практически бесполезным: каждая попытка требует живого взаимодействия с точкой. Плюс forward secrecy — старый перехваченный трафик нельзя расшифровать, даже узнав пароль позже.

Как работает под капотом

SAE — это парольно-аутентифицированный обмен ключами. Стороны доказывают знание пароля, не передавая его и не давая offline-материала для перебора. Итоговый сеансовый ключ уникален для сессии, поэтому компрометация одного ключа не раскрывает прошлый трафик.

Гостевые сети

Отдельная гостевая сеть — пример минимума привилегий: гости получают интернет, но изолированы от внутренних устройств (принтеры, NAS, рабочие машины). Реализуется отдельным SSID на своей VLAN с запретом доступа во внутренний сегмент.

SSID "Office"  -> VLAN 10 (внутренняя сеть)
SSID "Guest"  -> VLAN 20 (только интернет, изоляция)

Частые ошибки

  • Оставлять WEP или открытую сеть «для удобства».
  • Слабый или общеизвестный пароль PSK — никакой WPA3 не спасёт от пароля «12345678».
  • Гости в той же сети, что и серверы и принтеры.
  • Не обновлять прошивку точки доступа — старые уязвимости остаются открытыми.

Итоги

  • WEP сломан, WPA2 приемлем, WPA3 — рекомендуемый выбор.
  • SAE в WPA3 убивает офлайн-перебор пароля и даёт forward secrecy.
  • Гостевую сеть изолируйте на отдельной VLAN.
Проверьте себя
1. Почему WEP нельзя использовать?
AОн слишком медленный
BОн криптографически сломан, ключ восстанавливается за минуты
CОн не поддерживает пароли
DОн работает только на 5 ГГц
2. Главное преимущество WPA3 над WPA2?
AБолее быстрый Wi-Fi
BРукопожатие SAE, делающее офлайн-перебор пароля бесполезным
CОтсутствие пароля
DПоддержка WEP-совместимости
3. Зачем выделять гостям отдельную сеть на своей VLAN?
AДля ускорения интернета
BЧтобы изолировать гостей от внутренних устройств (минимум привилегий)
CЧтобы экономить пароли
DЭто требование закона о связи