Wi-Fi Protected Access (WPA)

jakie protokoły i algorytmy szyfrowania i uwierzytelniania należy wybrać podczas konfigurowania nowej sieci bezprzewodowej? Czy powinieneś używać RC4, TKIP lub AES? Jeśli chcesz użyć 802.1 X, czy powinieneś użyć PEAP lub EAP-TLS?

Wi-Fi Alliance jest organizacją non-profit, która promuje Sieci bezprzewodowe i ma na celu pomoc w tych kwestiach. Zapewniają certyfikaty branżowe Wi-Fi Protected Access (WPA).

dzisiaj są trzy wersje WPA:

• WPA (Wersja 1)
• WPA2
• WPA3

gdy dostawca sieci bezprzewodowej chce uzyskać certyfikat WPA, jego sprzęt bezprzewodowy musi przejść proces testowania w autoryzowanych laboratoriach testowych. Gdy ich sprzęt spełnia kryteria, otrzymują certyfikat WPA.

WPA obsługuje dwa tryby uwierzytelniania:

• Personal
• Enterprise

w trybie personal używamy wstępnie udostępnionego klucza. Klucz pre-shared nie jest używany bezpośrednio w powietrzu. Zamiast tego klienci bezprzewodowi i AP używają czterokierunkowego uścisku dłoni, który wykorzystuje wstępnie udostępniony klucz jako dane wejściowe do generowania kluczy szyfrowania. Po zakończeniu tego procesu klient sieci bezprzewodowej i punkt dostępu mogą wysyłać do siebie zaszyfrowane ramki.

tryb Enterprise wykorzystuje 802.1 X i serwer uwierzytelniania, Zwykle serwer RADIUS. WPA nie określa konkretnej metody EAP, dzięki czemu możesz użyć tego, co działa najlepiej dla Twojego scenariusza. Obsługiwane są wszystkie standardowe metody EAP, takie jak PEAP i EAP-TLS.

WPA

pierwsze urządzenia bezprzewodowe otrzymały certyfikat WPA (Wersja 1) w 2003 roku. WPA to odpowiedź Wi-Fi Alliance na zastąpienie WEP wszystkimi jego lukami. WEP używa RC4, który jest algorytmem niepewnym.

istnieją znacznie bezpieczniejsze algorytmy szyfrowania, takie jak AES, ale problem polega na tym, że potrzebujesz wsparcia sprzętowego. W tamtych czasach większość klientów bezprzewodowych i punktów dostępowych obsługiwała RC4 tylko sprzętowo. Potrzebowaliśmy bezpieczniejszego algorytmu oprogramowania, bez wymiany sprzętu.

WPA używa Temporal Key Integrity Protocol (TKIP), który odzyskuje niektóre elementy z WEP; nadal używa algorytmu RC4. Niektóre rzeczy są ulepszone; na przykład TKIP używa kluczy 256-bitowych zamiast kluczy 64 i 128-bitowych WEP.

niestety WPA od początku była skazana na porażkę. Był on oparty na częściach standardu 802.11 i, który nadal był szkicem. Był wystarczająco dobry, aby zastąpić WEP i użyć istniejącego sprzętu, ale na dłuższą metę potrzebne było coś innego.

WPA2

WPA2 jest zamiennikiem WPA i jest oparty na standardzie IEEE 802.11 i (ratyfikowanym). Certyfikacja rozpoczęła się w 2004 roku, a od 13 marca 2006 roku była obowiązkowa dla wszystkich urządzeń, jeśli chcesz korzystać ze znaku Wi-Fi. Najważniejszą aktualizacją jest to, że WPA2 używa szyfrowania AES-CCMP zamiast starego szyfrowania RC4, którego używają WEP i WPA.

ze względu na kompatybilność wsteczną nadal możesz używać TKIP jako mechanizmu awaryjnego dla klientów WPA.

WPA2 wprowadził również Wi-Fi Protected Setup (WPS). Jeśli chcesz połączyć się z siecią, która używa klucza wstępnie udostępnionego, musisz znać identyfikator SSID i klucz wstępnie udostępniony.

w przypadku WPS wystarczy nacisnąć przycisk lub wprowadzić kod PIN, a klient sieci bezprzewodowej automatycznie skonfiguruje identyfikator SSID i klucz wstępnie udostępniony. WPS ułatwia użytkownikom nie znającym się na technologii konfigurację sieci bezprzewodowej, zwłaszcza gdy używasz długich, złożonych kluczy wstępnie udostępnionych. Jednak naukowcy odkryli podatność na WPS w 2011 roku. Atak na WPS może brutalnie wymusić PIN WPS w ciągu kilku godzin,co skutkuje odsłoniętym kluczem pre-shared.

WPA3

Wi-Fi Alliance wprowadziło WPA3, nową generację zamiennika WPA2, w 2018 roku. WPA3 nadal używa AES, ale zastąpił CCMP protokołem Galois / Counter Mode Protocol (GCMP).

długość klucza dla AES wzrosła. WPA3-personal nadal używa 128-bitowego AES, ale opcjonalnie może używać 192-bitowego. W przypadku WPA3-enterprise wymagane jest użycie kluczy 192-bitowych.

WPA2 wprowadził chronione Ramki zarządzania (PMF), ale było opcjonalne. WPA3 sprawia, że jest to wymóg. PMF chroni:

• ramki do zarządzania Unicast przeciwko podsłuchiwaniu i kuciu.
• ramki zarządzania Multicastem przed kuciem.

są też nowe funkcje:

• jednoczesne uwierzytelnianie równości (SAE): WPA i WPA2 używają czterokierunkowego uścisku dłoni do uwierzytelniania, który jest podatny na atak offline. Atakujący może uchwycić czterodrożny uścisk dłoni, a następnie wykonać słownik offline lub atak brute force. W WPA3 klienci uwierzytelniają się za pomocą SAE zamiast czterodrożnego uścisku dłoni. SAE jest odporny na ataki offline.
• poufność przekazywania: dzięki WPA lub WPA2 możliwe jest przechwycenie ruchu bezprzewodowego i odszyfrowanie go później, gdy masz klucz wstępnie udostępniony. Z WPA3 jest to niemożliwe. Ze względu na tajność przekazywania nie można odszyfrować później ruchu bezprzewodowego, nawet jeśli masz wstępnie udostępniony klucz.
• oportunistyczne Szyfrowanie bezprzewodowe (winne): jest to zamiennik otwartego uwierzytelniania. W przypadku uwierzytelniania otwartego nie ma szyfrowania. Wise dodaje szyfrowanie. Chodzi o to, aby użyć wymiany Diffie-Hellman i zaszyfrować ruch między Klientem bezprzewodowym A AP. Klucze są różne dla każdego klienta sieci bezprzewodowej, więc inni klienci nie mogą odszyfrować Twojego Ruchu. Nadal nie ma uwierzytelniania, więc nie ma ochrony przed nieuczciwymi punktami dostępowymi.
• Device Provisioning Protocol (DPP): jest to zamiennik niepewnego rozwiązania WPS. Wiele urządzeń low-end (takich jak urządzenia IoT) nie ma interfejsu, za pomocą którego można skonfigurować wstępnie udostępniony klucz. Zamiast tego polegają na komputerze lub smartfonie, aby wykonać dla nich konfigurację. DPP umożliwia uwierzytelnianie urządzeń za pomocą kodu QR lub NFC.