Co to jest chroniony dostęp Wi-Fi (WPA)?

W świecie, w którym komunikacja bezprzewodowa staje się normą, bezpieczeństwo nabiera zupełnie innego wymiaru. Aby zapewnić odpowiednią ochronę, musimy przenieść punkt ciężkości z sieci korporacyjnych na chmury i standardy bezpieczeństwa sieci bezprzewodowych. Łączność bezprzewodowa może często zagrażać bezpieczeństwu. Na przykład podział sieci 5G naraża administratorów na ataki.

WPA to jedna z najbardziej podstawowych i sprawdzonych metod ochrony urządzeń bezprzewodowych przed atakami. Od początku XXI wieku kilka wariantów WPA zostało zintegrowanych z sieciami w celu ochrony przesyłanych danych. Przyjrzyjmy się definicji i działaniu WPA.

Jakie jest znaczenie WPA?

Wi-Fi Protected Access (WPA) to standard zabezpieczania urządzeń podłączonych do sieci Wi-Fi. Jego celem jest zaradzenie głównym słabościom istniejącego standardu Wired Equivalent Privacy (WEP).

Instytut Inżynierów Elektryków i Elektroników (IEEE) stworzył technikę szyfrowania równoważnej prywatności przewodowej (WEP), aby zapewnić bezpieczeństwo użytkowników sieci bezprzewodowej 802.11. W tym przypadku dane bezprzewodowe były przesyłane za pomocą fal radiowych. Zastosowano WEP, aby uniknąć podsłuchu, uniemożliwić niepożądany dostęp i zabezpieczyć integralność danych. Dane zostały zaszyfrowane szyfrem strumieniowym RC4.

Odkryto jednak, że ta technika szyfrowania miała poważne luki w zabezpieczeniach. W ciągu piętnastu minut doświadczeni hakerzy mogli wyodrębnić klucze WEP aktywnej sieci. W jego miejsce zaproponowano Wi-Fi Protected Access (WPA).

Na początku XXI wieku eksperci ds. bezpieczeństwa odkryli, że mogą z łatwością złamać szyfrowanie WEP, a FBI ujawniło, jak bardzo jest podatny na ataki WEP. W 2004 roku organizacja Wi-Fi Alliance formalnie zrezygnowała z WEP na rzecz WPA, aw tym samym roku wprowadzono WPA2 jako bezpieczniejszy zamiennik. W 2018 roku Wi-Fi Alliance ogłosiło uruchomienie najnowszej wersji WPA, WPA3.

Jak działa chroniony dostęp Wi-Fi (WPA)?

WEP wykorzystuje klucze 64-bitowe i 128-bitowe, podczas gdy WPA używa kluczy 256-bitowych. Hakerowi trudniej jest złamać dłuższy klucz. Bez względu na to, jak potężny jest komputer, zdekodowanie klucza WPA wymaga co najmniej kilku godzin, więc większość hakerów nie spróbuje, chyba że desperacko chcą dostać się do sieci.

Pomimo zwiększonego bezpieczeństwa stwierdzono, że WPA zawiera lukę w zabezpieczeniach: wykorzystuje protokół Temporal Key Integrity Protocol lub TKIP. Nadal istniała znaczna liczba urządzeń Wi-Fi wykorzystujących WEP, więc TKIP miał ułatwić aktualizację ich oprogramowania układowego do WPA. Niestety TKIP okazał się równie prosty do złamania.

Z tego powodu potrzebny był nowy protokół szyfrowania, a WPA2 zastąpił WPA. Najbardziej zauważalną różnicą jest to, że wykorzystuje AES lub Advanced Encryption Standard. Do implementacji algorytmu AES używany jest protokół CCMP, czyli protokół szyfrowania łańcuchów bloków szyfrowania wiadomości w trybie licznika. Dodatek AES sprawia, że ​​szyfrowanie WPA2 jest znacznie trudniejsze do złamania.

( Przeczytaj także: Co to jest bezpieczeństwo sieci?)

Jakie są kluczowe cechy WPA?

Wiesz już wszystko o pierwszych generacjach WPA, ich kluczowych funkcjach (uwierzytelnianie i szyfrowanie) oraz o tym, jak działają. Jednak cyberprzestępcy są coraz sprytniejsi – szukają nowych sposobów na obejście mechanizmów bezpieczeństwa. Podobnie wzrosła częstość występowania nowego zagrożenia o nazwie Key Reinstallation Attacks (KRACK). Naraża protokół WPA2, wymagając ponownego użycia nonce w technikach szyfrowania Wi-Fi. Dlatego potrzebny był bardziej zaawansowany standard bezpieczeństwa – WPA3.

Minęło 14 lat od wprowadzenia WPA2 do wprowadzenia jego zamiennika. Jednak w 2018 roku uruchomiono WPA3. Ogólnie rzecz biorąc, szyfrowanie i implementacja WPA3 są znacznie bardziej niezawodne. Jego kluczowe cechy są następujące:

1. Nigdy więcej wspólnych haseł

WPA3 rejestruje nowe urządzenie w sieci publicznej przy użyciu procedury innej niż wspólne hasło. Umożliwia to spersonalizowane szyfrowanie danych. WPA3 wykorzystuje protokół Wi-Fi Device Provisioning Protocol (DPP), który umożliwia użytkownikom dodawanie urządzeń do sieci za pomocą tagów Near Field Communication (NFC) i kodów QR. Ponadto zabezpieczenia WPA3 wykorzystują szyfrowanie GCMP-256 w przeciwieństwie do szyfrowania 128-bitowego.

2. Wykorzystanie protokołu SAE (Simultaneous Authentication of Equals).

Jest to wykorzystywane do utworzenia bezpiecznego uzgadniania, w którym urządzenie sieciowe łączy się z bezprzewodowym punktem dostępowym, a oba urządzenia weryfikują uwierzytelnianie i łączność. Korzystając z Wi-Fi DPP, WPA3 zapewnia znacznie bezpieczniejsze uzgadnianie, nawet jeśli hasło użytkownika jest niepewne i podatne na ataki.

4. Ochrona przed atakami siłowymi

Atak brute force to rodzaj hakowania, w którym wykorzystuje się zautomatyzowane metody prób i błędów w celu złamania haseł, danych logowania i kluczy szyfrujących. WPA3 chroni systemy przed zgadywaniem hasła w trybie offline, ograniczając liczbę prób do jednej, wymagając od użytkownika bezpośredniego kontaktu ze sprzętem Wi-Fi. Wymagałoby to ich osobistej obecności za każdym razem, gdy próbują odgadnąć hasło.

WPA2 nie ma szyfrowania i prywatności w otwartych połączeniach publicznych, co sprawia, że ​​ataki siłowe stanowią poważne ryzyko.

Jak zabrać się za wdrażanie WPA?

WPA można zaimplementować w jednym z dwóch trybów — w trybie klucza wstępnego (PSK) dla domowych sieci Wi-Fi oraz w trybie korporacyjnym. W tym drugim przypadku będziesz chciał użyć Wi-Fi Protected Access 2 Enterprise (WPA2-Enterprise). Dzieje się tak dlatego, że mimo istnienia od kilku lat WPA3 nie jest dostępny we wszystkich regionach lub wariantach urządzeń, szczególnie w zastosowaniach korporacyjnych.

Implementacja WPA2 Enterprise obejmuje:

• Instalowanie serwera RADIUS : Serwerem uwierzytelniania jest brama RADIUS (usługa zdalnego uwierzytelniania użytkownika wdzwanianego) przeprowadzająca uwierzytelnianie. Autentyfikator jest instrumentem w warstwie punktu dostępowego, takim jak laptop lub smartfon. Dostępnych jest kilka komercyjnych i otwartych serwerów RADIUS, takich jak Windows Server i FreeRadius.

• Konfigurowanie punktów dostępu z szyfrowaniem i informacjami o serwerze RADIUS : Podczas łączenia się z siecią użytkownicy muszą wprowadzić swoje dane logowania. Prawdziwe klucze szyfrowania nie są dla nich dostępne ani nie są przechowywane na urządzeniu. Zabezpiecza to sieć bezprzewodową przed wychodzącymi pracownikami i zagubionymi gadżetami.

• Konfigurowanie systemu operacyjnego z szyfrowaniem i ustawieniami IEEE 802.1x : Czynności wymagane do skonfigurowania systemu operacyjnego z IEEE 802.1x zależą od specyfikacji serwera i klienta. Aby uzyskać wskazówki, skonsultuj się z producentami sprzętu i oprogramowania.

• Następnie połączenie z bezpiecznym bezprzewodowym przedsiębiorstwem : Sieć jest teraz przygotowana do użytku przez personel. Możesz także masowo zabezpieczać urządzenia w sieci bezprzewodowej przedsiębiorstwa.

Czy WPA3 jest niezawodny? Uwagi dla decydentów IT

Chociaż WPA3 jest dużym postępem, wykazywał wady w pierwszych latach swojego istnienia. Na przykład procedura uzgadniania WPA3 jest podatna na ataki polegające na partycjonowaniu haseł, które w niektórych scenariuszach mogą umożliwić intruzom sieciowym uzyskanie kodów dostępu i fraz przy użyciu ataków typu side-channel.

Niektóre technologie nie mogą implementować standardów WPA3 nawet z poprawkami, chyba że powiązana z nimi infrastruktura komunikacyjna i sieciowa również obsługuje ten ulepszony protokół. Ten brak obecnych wzajemnych połączeń i kompatybilności może powodować luki w zabezpieczeniach i minimalizować powszechne wdrażanie technologii obsługującej WPA3 przez przedsiębiorstwa.

Menedżerowie powinni na bieżąco aktualizować wszystkie komponenty sieci za pomocą najnowszych i zaawansowanych poprawek zabezpieczeń, aby zapewnić wykrywanie i usuwanie wszelkich słabych punktów. Ostatecznie musisz być na bieżąco z nowymi osiągnięciami technologicznymi, które będą nadal wpływać na ogólny krajobraz Wi-Fi. Nie zapomnij też zapoznać się z zaletami zautomatyzowanego systemu bezpieczeństwa dla Twojej organizacji.