什么是 Wi-Fi 保护访问 (WPA)?
已发表: 2023-04-19在无线通信现已成为常态的世界中,安全具有完全不同的维度。 为了提供充分的保护,我们必须将重点从企业网络转移到云和无线安全标准上。 无线通常会损害安全性。 例如,5G 网络切片使管理员容易受到攻击。
WPA 是保护无线设备免受攻击的最基本和经过时间考验的方法之一。 从 2000 年代初期开始,WPA 的几种变体已集成到网络中以保护传输中的数据。 让我们检查一下 WPA 的定义和功能。
WPA 的含义是什么?
Wi-Fi 保护访问 (WPA) 是一种用于保护连接到 Wi-Fi 网络的设备的标准。 其目标是弥补现有有线等效保密 (WEP) 标准中的主要弱点。
电气和电子工程师协会 (IEEE) 创建了有线等效保密 (WEP) 加密技术,为 802.11 网络用户提供无线安全。 在这种情况下,无线数据是使用无线电波传输的。 WEP 用于避免窃听、防止不必要的访问以及保护数据的完整性。 数据使用 RC4 流密码加密。
然而,人们发现这种加密技术存在重大安全漏洞。 在十五分钟内,经验丰富的黑客就可以提取活动网络的 WEP 密钥。 取而代之的是,建议使用 Wi-Fi 保护访问 (WPA)。
在 21 世纪初,安全专家发现他们可以轻松破解 WEP,而 FBI 也揭露了 WEP 的脆弱性。 2004 年,Wi-Fi 联盟正式弃用 WEP,取而代之的是 WPA,同年,WPA2 被引入作为更安全的替代品。 2018 年,Wi-Fi 联盟宣布推出最新版本的 WPA,即 WPA3。
Wi-Fi 保护访问 (WPA) 如何工作?
WEP 使用 64 位和 128 位密钥,而 WPA 使用 256 位密钥。 黑客破解更长的密钥变得更加困难。 无论计算机多么强大,解码 WPA 密钥至少需要几个小时,因此大多数黑客不会尝试,除非他们迫切希望进入网络。
尽管安全性有所提高,但 WPA 被发现包含一个安全漏洞:它使用了临时密钥完整性协议或 TKIP。 仍然有大量 Wi-Fi 设备使用 WEP,因此 TKIP 旨在促进其固件升级到 WPA。 不幸的是,TKIP 被证明同样容易破解。
为此,需要一种新的加密协议,WPA2 取代了 WPA。 最显着的区别是它采用 AES 或高级加密标准。 CCMP,或计数器模式密码块链接消息认证代码协议,用于实现 AES。 AES 的加入使得 WPA2 的加密更加难以破解。
(另请阅读:什么是网络安全?)
WPA 的主要特点是什么?
到目前为止,您已经了解了第一代 WPA、它们的主要功能(身份验证和加密)以及它们的工作原理。 然而,网络罪犯总是变得越来越聪明——寻找新的方法来规避安全机制。 同样,称为密钥重新安装攻击 (KRACK) 的新威胁的发生率也在上升。 它通过要求在 Wi-Fi 加密技术中重用随机数来破坏 WPA2 协议。 这就是为什么需要更高级的安全标准——WPA3。
在引入 WPA2 之后的 14 年,它的替代品才被引入。 然而,在 2018 年,WPA3 推出了。 一般而言,WPA3 加密和实施更加稳健。 其主要特点如下:
1.不再共享密码
WPA3 使用通用密码以外的程序在公共网络上注册新设备。 这使得个性化数据加密成为可能。 WPA3 采用 Wi-Fi 设备配置协议 (DPP) 协议,允许用户通过近场通信 (NFC) 标签和二维码将设备添加到网络。 此外,WPA3 安全性采用 GCMP-256 加密而不是 128 位加密。
2. 等同同步认证(SAE)协议的使用
这用于创建安全握手,其中网络设备连接到无线接入点,并且两个设备都验证身份验证和连接性。 使用 Wi-Fi DPP,WPA3 提供更安全的握手,即使用户的密码不安全且易受攻击。
4. 防止暴力攻击
蛮力攻击是一种使用自动试错来破解密码、登录信息和加密密钥的黑客攻击。 WPA3 通过将尝试次数限制为一次来保护系统免受离线密码猜测,要求用户直接使用 Wi-Fi 设备。 每次他们试图找出密码时,都需要他们亲自在场。
WPA2 在开放的公共连接上缺乏加密和隐私,使暴力攻击成为一个严重的风险。
如何实施 WPA?
WPA 可以在两种模式之一中实施——家庭 Wi-Fi 网络的预共享密钥 (PSK) 模式和企业模式。 对于后者,您需要使用 Wi-Fi Protected Access 2 Enterprise (WPA2-Enterprise)。 这是因为,尽管 WPA3 已经存在多年,但并非在所有地区或设备变体中都可用,尤其是对于企业用例。
WPA2 企业实施包括:
- 安装RADIUS服务器:认证服务器是RADIUS(远程认证拨入用户服务)网关,进行认证。 身份验证器是接入点层的仪器,如笔记本电脑或智能手机。 有多种商业和开源 RADIUS 服务器选项可用,例如 Windows Server 和 FreeRadius。
- 使用加密和 RADIUS 服务器信息配置接入点:当连接到网络时,用户必须输入他们的登录凭据。 他们无法访问真正的加密密钥,也不会保留在设备上。 这可以保护无线网络免受离开员工和放错地方的小工具的影响。
- 使用加密和 IEEE 802.1x 设置配置操作系统:使用 IEEE 802.1x 配置操作系统所需的步骤取决于服务器和客户端规范。 请咨询设备和软件的制造商以获取指导。
- 然后,连接到您的安全无线企业:网络现在已准备好供员工使用。 您还可以保护企业无线网络中的大量设备。
WPA3 是万无一失的吗? IT 决策者的注意事项
尽管 WPA3 是一项重大进步,但它在问世的头几年就显示出缺陷。 例如,WPA3 的握手过程容易受到密码分区攻击,这可能允许网络入侵者在某些情况下使用侧信道攻击获取密码和短语。
某些技术即使有修复也无法实施 WPA3 标准,除非它们相关的通信和网络基础设施也支持此增强协议。 缺乏当前的互连性和兼容性会导致安全漏洞,并最大限度地减少企业对支持 WPA3 的技术的广泛采用。
管理人员应使用最新和最复杂的安全补丁更新所有网络组件,以确保可以发现和处理任何弱点。 最终,您必须跟上新技术发展的步伐,这些发展将继续影响整个 Wi-Fi 领域。 而且,不要忘记探索自动化安全系统为您的组织带来的好处。