Silnejšia bezpečnosť WiFi sietí: WPA3

Marek Golha

Team Leader Infrastructure

marek.golha@alef.com

Koncom minulého roka 2017 boli zverejnené zraniteľnosti bezpečnostných metód WPA a WPA2 označené skratkou KRACK (Key Reinstallation AttaCK). Tieto udalosti mali za následok urýchlenie vytvorenia nových metód slúžiacich na  bezpečný prístup a komunikáciu vo Wi-Fi bezdrôtových sieťach. Wi-Fi aliancia ich zverejnila pod názvom Wi-Fi Protected Access 3 (WPA3).

WPA3 bol od základu navrhnutý tak, aby riešil zraniteľnosti odhalené pomocou KRACK s použitím najnovších bezpečnostných metód a zároveň pridáva niektoré zaujímavé funkcionality, ktoré neboli v predchádzajúcej verzii WPA.

Z technického hľadiska rozlišujeme dve verzie WPA3:

  • WPA3-Personal – určené pre domácnosti alebo malé Wi-Fi siete
  • WPA3-Enterprise – určené pre podnikové nasadenia v sieťach, ktoré zároveň používajú AAA (Autentifikácia, Autorizácia a Accounting) server pre overenie prístupu do podnikovej siete.

WPA3-Personal:

Stavia na rovnakých základoch ako WPA2 v tom smere, že z používateľského hľadiska sa proces pripájania užívateľov do siete nemení. Celý koncept je založený na zdieľanom hesle (nazývanom pre-shared key - PSK) medzi užívateľom a WiFi infraštruktúrou. WPA3-Personal používa Simultaneous Authentication of Equals (SAE) definovaný štandardom IEEE 802.11-2016. SAE automaticky pridáva jeden krok do prvotného “handshake“ procesu, ktorý zabezpečí odolnosť proti slovníkovým útokom a útokom silou (brute force attack). Ďalším plusom je, že WPA3 vyžaduje použitie enkrypcie na všetky manažmentové rámce (PMF – Protected Management Frames). V minulosti bolo PMF voliteľnou vlastnosťou, ktorú administrátor mohol ale nemusel spustiť na samotnej WiFi sieti. PMF podpora musí byť ako na WiFi infraštruktúre, tak aj na samotných WiFi klientoch, ktorí sa pripájajú do siete.

WPA3-Enterprise:

Vychádza zo základov WPA2-Enterprise a podobne ako pri WPA3-Personal tak aj pri WPA3-Enterprise je požiadavkou podpora enkrypcia manažment rámcov (PMF). 

WPA3 taktiež zavádza 192-bitovú kryptografickú bezpečnostnú sadu. Táto bezpečnostná sada je v súlade s odporúčaniami Commercial National Security Algorithm (CNSA), a je používaná väčšinou vo vysoko bezpečných riešeniach pre vládne, finančné a priemyselné inštitúcie. Táto bezpečnostná sada pozostáva z nasledujúcich vlastností:

  • Autentifikované šifrovanie: 256-bit Galois/Counter Mode Protocol (GCMP-256)
  • Odvodenie a potvrdenie kľúča: 384-bit Hashed Message Authentication Mode (HMAC) s Secure Hash Algorithm (HMAC-SHA384)
  • Zriadenie a overenie kľúčov: Elliptic Curve Diffie-Hellman (ECDH) exchange a Elliptic Curve Digital Signature Algorithm (ECDSA) s využitím 384-bit elliptic curve
  • Robustná ochrana manažment rámcov: 256-bit Broadcast/Multicast Integrity Protocol Galois Message Authentication Code (BIP-GMAC-256)

Ďalšie dve oblasti, na ktoré sa Wi-Fi aliancia sústredila boli:

  • Bezpečnosť v tzv. “open“ WiFi bezdrôtových sieťach – WiFi siete, ktoré na linkovej vrstve nevyžadujú žiadny druh autentifikácie pre pripojenie a zároveň nezabezpečujú užívateľské dáta prenášané WiFi sieťou
  • Jednoduché a rýchle pripojenie IoT (Internet of Things) zariadení do WiFi bezdrôtových sietí

Opportunistic Wireless Encryption (OWE)

OWE je mechanizmus, ktorý zabezpečuje vytvorenie šifrovacích kľúčov aj pre WiFi siete, ktoré nepoužívajú na linkovej vrstve žiadny autentifikačný mechanizmus. OWE vygeneruje šifrovacie kľúče medzi bezdrôtovým klientom a bezdrôtovým prístupovým bodom (WAP – Wireless Access Point) bez potreby akejkoľvek predchádzajúcej komunikácie a bez potreby nakonfigurovania zdieľaného hesla medzi klientom a WAP. To umožní pridanie šifrovania do existujúcich “open“ WiFi bezdrôtových sietí. OWE využíva Diffie Hellman výmenu kľúčov, ktorá je založená na DLC (Discrete Logarithm Cryptosystem). Útočník, ktorý odchytáva komunikáciu medzi klientom a WAP nedokáže zistiť šifrovací kľúč, ktorý si klient s WAP vygenerovali.

OWE mechanizmus pridáva prvok šifrovania komunikácie na “open“ WiFi sieťach, ale nerieši autentifikáciu prístupu do WiFi siete. Vo verejnej (“free“) WiFi sieti, v hoteloch a podobných nasadeniach bude aj naďalej používaná autentifikácia pomocou webových portálov zobrazených na zariadeniach po pripojení do WiFi siete.

Wi-Fi CERTIFIED Easy Connect - Device Provisioning Protocol (DPP)

DPP umožní už autentifikovanému WiFi užívateľovi pomocou jeho mobilného zariadenia pripojeného do WiFi siete bezpečne pripojiť aj IoT zariadenie. DPP umožňuje nakonfigurovať WiFi profil, ktorý pozostáva z mena WiFi siete (SSID – Service Set Indentifier) a bezpečnostných údajov potrebných na autentifikovanie prístupu do WiFi siete. Tento profil je nainštalovaný do IoT zariadenia pomocou out-of-band komunikácie mobilného zariadenia s IoT zariadením. Táto out-of-band komunikácia je v súčasnosti založená na technológii QR kódov a do budúcnosti sa plánuje použitie technológií Bluetooth, NFC a iných.  

 

Plne integrovateľné

WPA3 a ďalšie bezpečnostné rozšírenia spomínané v článku budú pridané do CiscoCisco Meraki zariadení pomocou aktualizácie softvéru, tak aby si noví ako aj existujúci zákazníci mohli užívať benefit bezpečnejšej WiFi siete.

Pre viac informácií ohľadom vylepšenia firemnej WiFi nás kontaktujte

SK-sales@alef.com