Trådløst internet beskyttet adgang (apa)

hvilke krypterings-og godkendelsesprotokoller og algoritmer skal du vælge, når du konfigurerer et nyt trådløst netværk? Skal du bruge RC4, TKIP eller AES? Hvis du vil bruge 802.1, skal du bruge PEAP eller EAP-TLS?

den trådløse Alliance er en non-profit organisation, der fremmer trådløst netværk og har til formål at hjælpe med disse spørgsmål. De leverer branchecertificeringer inden for trådløs internetadgang (APV).

i dag er der tre APV-versioner:

• apa (version 1)
• apa2
• APA3

når en trådløs leverandør ønsker apa-certificering, skal dets trådløse udstyr gennemgå en testproces i autoriserede testlaboratorier. Når deres udstyr opfylder kriterierne, modtager de apa-certificering.

APV understøtter to godkendelsestilstande:

• personlig
• Enterprise

med Personlig tilstand bruger vi en foruddelt nøgle. Den foruddelte nøgle bruges ikke direkte over luften. I stedet bruger trådløse klienter og AP et firevejs håndtryk, der bruger den foruddelte nøgle som input til at generere krypteringsnøgler. Når denne proces er færdig, kan den trådløse klient og AP sende krypterede rammer til hinanden.

Enterprise-tilstand bruger 802,1 gange og en autentificeringsserver, normalt en RADIUS-server. APV angiver ikke en bestemt EAP-metode, så du kan bruge det, der fungerer bedst for dit scenarie. Alle standard EAP metoder som PEAP og EAP-TLS understøttes.

APV

de første trådløse enheder blev certificeret til APV (version 1) i 2003. APV er den trådløse Alliances svar på at erstatte APV med alle dens sårbarheder. RC4 er en usikker algoritme.

der er langt mere sikre krypteringsalgoritmer som AES, men problemet er, at du har brug for udstyrssupport. Dengang understøttede de fleste trådløse klienter og AP ‘ er kun RC4 i udstyr. Vi havde brug for en mere sikker algoritme uden at udskifte udstyr.

APV bruger Temporal Key Integrity Protocol (TKIP), som genbruger nogle elementer fra VP; den bruger stadig RC4-algoritmen. Nogle ting forbedres; for eksempel bruger TKIP 256-bit taster i stedet for 64 og 128-bit taster.

desværre var APV Dødsdømt fra starten. Det var baseret på dele af 802.11 i-standarden, som stadig var et udkast. Det var godt nok til at erstatte VP og bruge eksisterende udstyr, men i det lange løb var der brug for noget andet.

APV2

APV2 erstatter APV og er baseret på IEEE 802.11 i (ratificeret) standard. Certificering begyndte i 2004, og fra 13.marts 2006 var det obligatorisk for alle enheder, hvis du ville bruge det trådløse varemærke. Den mest betydningsfulde opgradering er, at APV2 bruger AES-CCMP-kryptering i stedet for den gamle RC4-kryptering, som APV og APV bruger.

af hensyn til bagudkompatibilitet kan du stadig bruge TKIP som en tilbagefaldsmekanisme for APV-klienter.

APV2 introducerede også trådløst internet beskyttet opsætning. Hvis du vil oprette forbindelse til et netværk, der bruger en foruddelt nøgle, skal du kende SSID ‘ et og den foruddelte nøgle.

med pinkode behøver du kun at trykke på en knap eller indtaste en pinkode, og din trådløse klient konfigurerer automatisk SSID-og pre-shared-tasten. Det gør det lettere for ikke-teknisk kyndige brugere at konfigurere et trådløst netværk, især når du bruger lange, komplekse foruddelte nøgler. Forskere opdagede imidlertid en sårbarhed for VPS i 2011. Et angreb mod VPS kan tvinge VPS-stiften på få timer, hvilket resulterer i en eksponeret foruddelt nøgle.

APV3

den trådløse Alliance introducerede APV3 som næste generations erstatning for APV2 i 2018. APPA3 bruger stadig AES, men erstattede CCMP med Galois/Counter Mode Protocol (GCMP).

nøglelængden for AES er steget. APA3-personal bruger stadig 128-bit AES, men kan eventuelt bruge 192-bit. For APV3-enterprise er det et krav at bruge 192-bit nøgler.

APV2 introducerede beskyttede styringsrammer (PMF), men det var valgfrit. APV3 gør det til et krav. PMF beskytter:

• Unicast management rammer mod aflytning og smedning.
• Multicast management rammer mod smedning.

der er også nye funktioner:

• samtidig godkendelse af ligemænd (SAE): APV og APV2 bruger et firevejs håndtryk til godkendelse, som er sårbart over for et offline angreb. En angriber kan fange fire-vejs håndtryk, og derefter udføre en offline ordbog eller brute force angreb. I APV3 godkender klienter med SAE i stedet for firevejs håndtryk. SAE er modstandsdygtig over for offline angreb.
• Videresend hemmeligholdelse: med APV eller APV2 er det muligt at fange trådløs trafik og dekryptere den senere, når du har den foruddelte nøgle. Med APV3 er det umuligt. På grund af hemmeligholdelse kan du ikke dekryptere trådløs trafik bagefter, selvom du har den foruddelte nøgle.
• opportunistisk trådløs kryptering (skylder): dette er en erstatning for åben godkendelse. Med åben godkendelse har du ingen kryptering. Skylder tilføjer kryptering. Ideen er at bruge en Diffie-Hellman-udveksling og kryptere trafik mellem den trådløse klient og AP. Tasterne er forskellige for hver trådløs klient, så andre klienter kan ikke dekryptere din trafik. Der er stadig ingen godkendelse, så der er ingen beskyttelse mod rogue APs.
• device Provisioning Protocol (DPP): dette er en erstatning for den usikre løsning. Mange avancerede enheder (som IoT-enheder) har ikke en grænseflade, du kan bruge til at konfigurere en foruddelt nøgle. I stedet stoler de på en PC eller smartphone for at udføre konfigurationen for dem. DPP giver dig mulighed for at godkende enheder ved hjælp af en kode eller NFC.