Что такое защищенный доступ Wi-Fi (WPA)?
Опубликовано: 2023-04-19В мире, где беспроводная связь становится нормой, безопасность приобретает совершенно другое измерение. Чтобы обеспечить адекватную защиту, мы должны сместить акцент с корпоративных сетей на облачные и беспроводные стандарты безопасности. Беспроводная связь часто может поставить под угрозу безопасность. Например, нарезка сети 5G делает администраторов уязвимыми для атак.
WPA — один из самых фундаментальных и проверенных временем методов защиты беспроводных устройств от атак. Начиная с начала 2000-х годов, несколько вариантов WPA были интегрированы в сети для защиты передаваемых данных. Давайте рассмотрим определение и функционирование WPA.
В чем смысл WPA?
Wi-Fi Protected Access (WPA) — это стандарт защиты устройств, подключенных к сетям Wi-Fi. Его цель — устранить основные недостатки существующего стандарта Wired Equivalent Privacy (WEP).
Институт инженеров по электротехнике и электронике (IEEE) разработал метод шифрования, эквивалентный проводной конфиденциальности (WEP), чтобы обеспечить безопасность беспроводной сети для пользователей сети 802.11. Беспроводные данные в этом случае передавались с помощью радиоволн. WEP использовался для предотвращения прослушивания, предотвращения нежелательного доступа и защиты целостности данных. Данные были зашифрованы потоковым шифром RC4.
Однако было обнаружено, что этот метод шифрования имеет серьезные недостатки в безопасности. В течение пятнадцати минут опытные хакеры могли извлечь WEP-ключи активной сети. Вместо него был предложен защищенный доступ Wi-Fi (WPA).
В начале двадцать первого века эксперты по безопасности обнаружили, что они могут легко взломать WEP, а ФБР показало, насколько уязвим WEP. В 2004 году Wi-Fi Alliance официально отказался от WEP в пользу WPA, и в том же году WPA2 был представлен как более безопасная замена. В 2018 году Wi-Fi Alliance объявил о запуске самой последней версии WPA, WPA3.
Как работает защищенный доступ Wi-Fi (WPA)?
WEP использует 64-битные и 128-битные ключи, тогда как WPA использует 256-битные ключи. Хакеру становится сложнее взломать более длинный ключ. Независимо от того, насколько мощный компьютер, для декодирования ключа WPA требуется как минимум несколько часов, поэтому большинство хакеров не будут пытаться, если только они не отчаянно хотят проникнуть в сеть.
Несмотря на повышенную безопасность, было обнаружено, что WPA содержит недостаток безопасности: он использует протокол целостности временного ключа или TKIP. По-прежнему существовало значительное количество устройств Wi-Fi, использующих WEP, поэтому TKIP предназначался для облегчения обновления их прошивки до WPA. TKIP, к сожалению, так же легко взломать.
По этой причине был необходим новый протокол шифрования, и WPA2 заменил WPA. Наиболее заметным отличием является то, что он использует AES или Advanced Encryption Standard. CCMP, или протокол кодов аутентификации сообщений цепочки шифров в режиме счетчика, используется для реализации AES. Добавление AES значительно усложняет взлом шифрования WPA2.
( Также читайте: Что такое сетевая безопасность?)
Каковы ключевые особенности WPA?
К настоящему моменту вы знаете все о первых поколениях WPA, их ключевых функциях (аутентификация и шифрование) и о том, как они работают. Однако киберпреступники постоянно умнеют — ищут новые способы обхода механизмов безопасности. Точно так же увеличилось количество случаев новой угрозы, называемой Key Reinstallation Attacks (KRACK). Он компрометирует протокол WPA2, требуя повторного использования одноразового номера в методах шифрования Wi-Fi. Вот почему понадобился более продвинутый стандарт безопасности — WPA3.
Потребовалось 14 лет после появления WPA2, прежде чем была представлена его замена. Однако в 2018 году был запущен WPA3. В целом, шифрование и реализация WPA3 намного надежнее. Его ключевые особенности заключаются в следующем:
1. Больше никаких общих паролей
WPA3 регистрирует новое устройство в общедоступной сети, используя процедуру, отличную от обычного пароля. Это позволяет персонализировать шифрование данных. WPA3 использует протокол Wi-Fi Device Provisioning Protocol (DPP), который позволяет пользователям добавлять устройства в сеть с помощью тегов Near Field Communication (NFC) и QR-кодов. Кроме того, безопасность WPA3 использует шифрование GCMP-256, а не 128-битное шифрование.
2. Использование протокола одновременной аутентификации равных (SAE)
Это используется для создания безопасного рукопожатия, при котором сетевое устройство подключается к беспроводной точке доступа, и оба устройства проверяют аутентификацию и подключение. Используя Wi-Fi DPP, WPA3 обеспечивает гораздо более безопасное рукопожатие, даже если пароль пользователя ненадежен и уязвим.
4. Защита от брутфорса
Атака грубой силы — это тип взлома, при котором используются автоматизированные методы проб и ошибок для взлома паролей, данных для входа и ключей шифрования. WPA3 защищает системы от подбора пароля в автономном режиме, ограничивая количество попыток до одной, требуя от пользователя непосредственного взаимодействия с оборудованием Wi-Fi. Это потребует их личного присутствия каждый раз, когда они пытаются выяснить пароль.
В WPA2 отсутствует шифрование и конфиденциальность при открытых общедоступных соединениях, что делает атаки с использованием грубой силы серьезным риском.
Как приступить к реализации WPA?
WPA может быть реализован в одном из двух режимов — в режиме предварительного общего ключа (PSK) для домашних сетей Wi-Fi и в корпоративном режиме. Для последнего вам понадобится Wi-Fi Protected Access 2 Enterprise (WPA2-Enterprise). Это связано с тем, что, несмотря на то, что WPA3 существует уже несколько лет, он доступен не во всех регионах и вариантах устройств, особенно для случаев корпоративного использования.
Реализация WPA2 Enterprise включает в себя:
- Установка сервера RADIUS : Сервер аутентификации представляет собой шлюз RADIUS (служба удаленной аутентификации пользователей с телефонным подключением), выполняющий аутентификацию. Аутентификатор — это инструмент на уровне точки доступа, такой как ноутбук или смартфон. Доступно несколько коммерческих и открытых серверов RADIUS, таких как Windows Server и FreeRadius.
- Настройка точек доступа с шифрованием и информацией о сервере RADIUS : при подключении к сети пользователи должны вводить свои учетные данные для входа. Настоящие ключи шифрования им недоступны и не сохраняются на устройстве. Это защищает беспроводную сеть от выхода персонала и неуместных гаджетов.
- Настройка операционной системы с шифрованием и настройками IEEE 802.1x . Действия, необходимые для настройки операционной системы с использованием IEEE 802.1x, зависят от технических характеристик сервера и клиента. Обратитесь за инструкциями к производителям вашего оборудования и программного обеспечения.
- Затем подключитесь к защищенному беспроводному предприятию . Теперь сеть готова для использования персоналом. Вы также можете защитить устройства в массовом порядке в беспроводной сети предприятия.
Является ли WPA3 надежным? Рекомендации для лиц, принимающих решения в области ИТ
Хотя WPA3 является крупным достижением, в первые годы своего существования он обнаружил недостатки. Например, процедура рукопожатия WPA3 подвержена атакам с разделением паролей, что может позволить злоумышленникам получить пароли и фразы, используя атаки по сторонним каналам в определенных сценариях.
Некоторые технологии не могут реализовать стандарты WPA3 даже с исправлениями, если связанные с ними средства связи и сетевая инфраструктура также не поддерживают этот расширенный протокол. Это отсутствие современных взаимосвязей и совместимости может привести к уязвимостям в системе безопасности и свести к минимуму широкое внедрение корпоративными технологиями, поддерживающими WPA3.
Менеджеры должны поддерживать все сетевые компоненты в актуальном состоянии с использованием самых последних и сложных исправлений безопасности, чтобы гарантировать, что любые слабые места могут быть обнаружены и устранены. В конечном счете, вы должны быть в курсе новых технологических разработок, которые будут продолжать влиять на общий ландшафт Wi-Fi. И не забудьте изучить преимущества автоматизированной системы безопасности для вашей организации.