Acces protejat Wi-Fi (WPA)

când configurați o nouă rețea fără fir, ce protocoale și algoritmi de criptare și autentificare ar trebui să selectați? Ar trebui să utilizați RC4, TKIP sau AES? Dacă doriți să utilizați 802.1 x, ar trebui să utilizați PEAP sau EAP-TLS?

Wi-Fi Alliance este o organizație non-profit care promovează rețelele fără fir și își propune să ajute la aceste întrebări. Acestea oferă certificările industriei Wi-Fi Protected Access (WPA).

astăzi, există trei versiuni WPA:

• WPA (versiunea 1)
• WPA2
• WPA3

când un furnizor wireless dorește certificarea WPA, hardware-ul său wireless trebuie să treacă printr-un proces de testare în laboratoare de testare autorizate. Când hardware-ul lor îndeplinește criteriile, primesc certificare WPA.

WPA acceptă două moduri de autentificare:

• Personal
• Enterprise

cu modul personal, folosim o cheie pre-partajată. Cheia pre-partajată nu este utilizată direct prin aer. În schimb, clienții wireless și AP utilizează o strângere de mână în patru direcții care utilizează cheia pre-partajată ca intrare pentru a genera chei de criptare. Când acest proces este terminat, clientul wireless și AP pot trimite cadre criptate reciproc.

modul Enterprise utilizează 802.1 X și un server de autentificare, de obicei un server RADIUS. WPA nu specifică o metodă specifică EAP, astfel încât să puteți utiliza ceea ce funcționează cel mai bine pentru scenariul dvs. Toate metodele EAP standard, cum ar fi PEAP și EAP-TLS sunt acceptate.

WPA

primele dispozitive wireless au fost certificate pentru WPA (versiunea 1) în 2003. WPA este răspunsul Alianței Wi-Fi pentru a înlocui WEP cu toate vulnerabilitățile sale. WEP utilizează RC4, care este un algoritm nesigur.

există algoritmi de criptare mult mai sigure, cum ar fi AES, dar problema este că aveți nevoie de suport hardware. Pe atunci, majoritatea clienților wireless și AP-urile acceptau doar RC4 în hardware. Aveam nevoie de un algoritm software mai sigur, fără a înlocui hardware-ul.

WPA utilizează Temporal Key Integrity Protocol (TKIP), care a reciclat unele elemente din WEP; încă folosește algoritmul RC4. Unele lucruri sunt îmbunătățite; de exemplu, TKIP folosește chei de 256 de biți în loc de tastele de 64 și 128 de biți din WEP.

din păcate, WPA a fost condamnat de la început. S-a bazat pe părți ale standardului 802.11 i, care era încă un proiect. A fost suficient de bun pentru a înlocui WEP și de a folosi hardware-ul existent, dar pe termen lung, era nevoie de altceva.

WPA2

WPA2 este înlocuitorul pentru WPA și se bazează pe standardul IEEE 802.11 i (ratificat). Certificarea a început în 2004, iar din 13 martie 2006, a fost obligatorie pentru toate dispozitivele dacă doriți să utilizați marca Wi-Fi. Cea mai importantă actualizare este că WPA2 folosește criptarea AES-CCMP în loc de vechea criptare RC4 pe care o folosesc WEP și WPA.

din motive de compatibilitate inversă, puteți utiliza în continuare TKIP ca mecanism de rezervă pentru clienții WPA.

WPA2 a introdus, de asemenea, Wi-Fi Protected Setup (WPS). Dacă doriți să vă conectați la o rețea care utilizează o cheie pre-partajată, atunci trebuie să cunoașteți SSID-ul și cheia pre-partajată.

cu WPS, trebuie doar să apăsați un buton sau să introduceți un cod PIN, iar clientul dvs. wireless configurează automat SSID-ul și cheia pre-partajată. WPS facilitează configurarea unei rețele fără fir pentru utilizatorii non-tech savvy, mai ales atunci când utilizați chei pre-partajate lungi și complexe. Cu toate acestea, cercetătorii au descoperit o vulnerabilitate pentru WPS în 2011. Un atac împotriva WPS poate forța brute pinul WPS în câteva ore, ceea ce duce la o cheie pre-partajată expusă.

WPA3

Wi-Fi Alliance a introdus WPA3 înlocuitorul de generație următoare pentru WPA2, în 2018. WPA3 folosește în continuare AES, dar a înlocuit CCMP cu Galois/Counter Mode Protocol (Gcmp).

lungimea cheii pentru AES a crescut. WPA3-personal folosește în continuare AES pe 128 de biți, dar opțional poate utiliza 192 de biți. Pentru WPA3-enterprise, este o cerință de a utiliza tastele de 192 de biți.

WPA2 a introdus cadre de Management protejate (PMF), dar a fost opțional. WPA3 face o cerință. PMF protejează:

• rame de management Unicast împotriva trage cu urechea și forjare.
• cadre de management Multicast împotriva forjării.

există, de asemenea, noi caracteristici:

• autentificarea simultană a egalilor (SAE): WPA și WPA2 folosesc o strângere de mână în patru direcții pentru autentificare, care este vulnerabilă la un atac offline. Un atacator poate captura strângerea de mână cu patru căi și apoi poate efectua un dicționar offline sau un atac de forță brută. În WPA3, clienții se autentifică cu SAE în loc de strângerea de mână în patru direcții. SAE este rezistent la atacurile offline.
• Forward secret: cu WPA sau WPA2, este posibil să capturați traficul wireless și să îl decriptați mai târziu, odată ce aveți cheia pre-partajată. Cu WPA3, acest lucru este imposibil. Din cauza secretului înainte, nu puteți decripta traficul wireless după aceea, chiar dacă aveți cheia pre-partajată.
• oportuniste Wireless Encryption (datorez): acesta este un înlocuitor pentru autentificare deschisă. Cu autentificarea deschisă, nu aveți nicio criptare. Datorez adaugă criptare. Ideea este să folosiți un schimb Diffie-Hellman și să criptați traficul între clientul wireless și AP. Tastele sunt diferite pentru fiecare client wireless, astfel încât alți clienți nu vă pot decripta traficul. Încă nu există autentificare, deci nu există protecție împotriva AP-urilor necinstite.
• Device Provisioning Protocol (DPP): acesta este un înlocuitor pentru soluția WPS nesigură. Multe dispozitive low-end (cum ar fi dispozitivele IoT) nu au o interfață pe care o puteți utiliza pentru a configura o cheie pre-partajată. În schimb, se bazează pe un computer sau un smartphone pentru a face configurația pentru ei. DPP vă permite să autentificați dispozitivele utilizând un cod QR sau NFC.