Acesso Wi-Fi protegido (WPA)

quando você configura uma nova rede sem fio, quais protocolos e algoritmos de criptografia e autenticação você deve selecionar? Você deve usar RC4, TKIP ou AES? Se você quiser usar 802.1 X, você deve usar PEAP ou EAP-TLS?

a Wi-Fi Alliance é uma organização sem fins lucrativos que promove redes sem fio e visa ajudar com essas questões. Eles fornecem as certificações do setor de acesso protegido por Wi-Fi (WPA).

hoje, existem três versões WPA:

• WPA (versão 1)
• WPA2
• WPA3

Quando um fornecedor sem fio deseja WPA certificação, o seu hardware sem fio tem que ir através de um processo de teste autorizado em laboratórios de testes. Quando seu hardware atende aos critérios, eles recebem a certificação WPA.

WPA suporta dois modos de autenticação:

• Pessoal
• Empresa

Com o modo pessoal, usamos uma chave pré-partilhada. A chave pré-compartilhada não é usada diretamente no ar. Em vez disso, os clientes sem fio e o AP usam um handshake de quatro vias que usa a chave pré-compartilhada como entrada para gerar chaves de criptografia. Quando esse processo é concluído, o cliente sem fio e o AP podem enviar quadros criptografados um para o outro.O modo Enterprise usa 802.1 X e um servidor de autenticação, geralmente um servidor RADIUS. O WPA não especifica um método EAP específico para que você possa usar o que funciona melhor para o seu cenário. Todos os métodos EAP padrão como PEAP e EAP-TLS são suportados.

WPA

os primeiros dispositivos sem fio foram certificados para WPA (versão 1) em 2003. O WPA é a resposta da Wi-Fi Alliance para substituir o WEP por todas as suas vulnerabilidades. WEP usa RC4, que é um algoritmo inseguro.

existem algoritmos de criptografia muito mais seguros como o AES, mas o problema é que você precisa de suporte de hardware. Naquela época, a maioria dos clientes sem fio e APs só suportavam RC4 em hardware. Precisávamos de um algoritmo de software mais seguro, sem substituir o hardware.

o WPA usa o protocolo de integridade de Chave Temporal (TKIP), que reciclou alguns itens do WEP; ele ainda usa o algoritmo RC4. Algumas coisas são melhoradas; por exemplo, o TKIP usa chaves de 256 bits em vez das chaves de 64 e 128 bits no WEP.

Infelizmente, o WPA estava condenado desde o início. Foi baseado em partes do padrão 802.11 i, que ainda era um rascunho. Foi bom o suficiente para substituir o WEP e usar o hardware existente, mas a longo prazo, outra coisa era necessária.

WPA2

WPA2 é a substituição para WPA e é baseado no padrão IEEE 802.11 i (ratificado). A certificação começou em 2004 e, a partir de 13 de Março de 2006, era obrigatória para todos os dispositivos se você quisesse usar a marca Wi-Fi. A atualização mais significativa é que o WPA2 usa criptografia AES-CCMP em vez da criptografia RC4 antiga que o WEP e o WPA usam.

por motivos de compatibilidade com versões anteriores, você ainda pode usar o TKIP como um mecanismo de fallback para clientes WPA.

WPA2 também introduziu Wi-Fi Protected Setup (WPS). Se você deseja se conectar a uma rede que usa uma chave pré-compartilhada, é necessário conhecer o SSID e a chave pré-compartilhada.

com WPS, você só precisa apertar um botão ou inserir um código PIN, e seu cliente sem fio configura automaticamente o SSID e a chave pré-compartilhada. O WPS torna mais fácil para usuários não experientes em tecnologia configurar uma rede sem fio, especialmente quando você usa chaves pré-compartilhadas longas e complexas. No entanto, os pesquisadores descobriram uma vulnerabilidade para WPS em 2011. Um ataque contra WPS pode forçar o pino WPS em poucas horas, o que resulta em uma chave pré-compartilhada exposta.

WPA3

a Wi-Fi Alliance introduziu WPA3 a substituição de próxima geração para WPA2, em 2018. WPA3 ainda usa AES, mas substituiu CCMP com o Galois / Counter Mode Protocol (GCMP).

o comprimento da chave para AES aumentou. WPA3-personal ainda usa AES de 128 bits, mas opcionalmente pode usar 192 bits. Para WPA3-enterprise, é um requisito usar chaves de 192 bits.

WPA2 introduziu quadros de gerenciamento protegidos (PMF), mas era opcional. WPA3 torna um requisito. PMF protege:

• quadros de gerenciamento Unicast contra espionagem e forjamento.
• quadros de gerenciamento Multicast contra forjamento.

também existem novos recursos:

• autenticação simultânea de iguais (SAE): WPA e WPA2 usam um handshake de quatro vias para autenticação, que é vulnerável a um ataque offline. Um invasor pode capturar o handshake de quatro vias e, em seguida, executar um dicionário offline ou ataque de Força bruta. No WPA3, os clientes se autenticam com o SAE em vez do handshake de quatro vias. SAE é resistente a ataques offline.
• sigilo de Encaminhamento: com WPA ou WPA2, é possível capturar o tráfego sem fio e descriptografá-lo mais tarde, uma vez que você tenha a chave pré-compartilhada. Com o WPA3, isso é impossível. Por causa do sigilo antecipado, você não pode descriptografar o tráfego sem fio depois, mesmo se tiver a chave pré-compartilhada.
• criptografia sem fio oportunista (OWE): este é um substituto para a autenticação aberta. Com a autenticação aberta, você não tem nenhuma criptografia. Deve adiciona criptografia. A ideia é usar uma troca Diffie-Hellman e criptografar o tráfego entre o cliente sem fio e o AP. As chaves são diferentes para cada cliente sem fio, portanto, outros clientes não podem descriptografar seu tráfego. Ainda não há autenticação, portanto, não há proteção contra APs desonestos.
• Device Provisioning Protocol( DPP): este é um substituto para a solução WPS insegura. Muitos dispositivos low-end (como dispositivos IoT) não têm uma interface que você pode usar para configurar uma chave pré-compartilhada. Em vez disso, eles dependem de um PC ou smartphone para fazer a configuração para eles. DPP permite autenticar dispositivos usando um código QR ou NFC.