E-mailTen adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. telefon: +48226466873

Nadchodzi WPA3

.

Obecnie obowiązującym standardem bezpieczeństwa w sieciach Wi-Fi jest WPA2. Certyfikacja WPA2 "Wi-Fi Protected Access 2" wprowadzona przez Wi-Fi Alliance w 2004  bazuje na standardzie IEEE 802.11i (zob. b. dobry artykuł na portalu Sekurak). Określa on wymagania bezpieczeństwa odnośnie transmisji, danych w sieci Wi-Fi tj. jej poufności i integralności. Poufność zapewniona jest przez stosowanie symetrycznego algorytmu enkrypcji CCMP/AES, zaś integralność i autentyczność przez podpisy CBC-MAC. Wprowadzenie WPA2 było milowym krokiem dla bezpieczeństwa sieci bezprzewodowych i przez wiele lat stanowiło bazę dla budowy bezpiecznych rozwiązań znanych jako RSN - "robust security network". WPA2 posiada jednak szereg wad i ograniczeń, które mogą powodować naruszenie bezpieczeństwa, dlatego też 8 stycznia 2018 Wi-Fi Alliance ogłosiło nową certyfikację o nazwie  "Wi-Fi Protected Access 3" - czyli WPA3.

WPA3 rozwiązuje szereg problemów, z którymi z powodu samej konstrukcji protokołu WPA2 nie była sobie w stanie poradzić. Jednocześnie oznacza to, że nowy standard nie może być traktowany jako "łatka" na WPA2, jest to w znacznej mierze szereg zupełnie nowych rozwiązań. Omówimy je pokrótce poniżej:

Simultaneous Authentication of Equals

SAE -  "Simultaneous Authentication of Equals" - to protokół kryptograficzny oparty na koncepcji dowodu z wiedzą zerową, której prekursorem był protokół Diffiego-Hellman-a. Wprowadzenie SAE usuwa słabość WPA2 w odniesieniu do stosowania kluczy PSK. Autoryzacja w sieciach Wi-Fi przebiega kilku etapowo. W uproszeniu - w etapie pierwszym klient autoryzuje się współdzielonym hasłem (tryb WPA2 Personal) lub poprzez serwer autoryzacyjny - zgodnie ze standardem 802.1X (WPA2 Enterprise - stosowany w praktyce wyłącznie w większych organizacjach). WPA2 w trybie Personal wymaga znajomości skonfigurowania hasła po stronie klienta oraz AP, hasło nie jest nigdy przekazywane bezpośrednio, ale w przypadku jego odgadnięcia cały ruch sieciowy klienta może zostać odczytany). SAE rozwiązuje  ten problem - nawet w przypadku skompromitowania hasła (np. przy pomocy metody słownikowej - brute force) atakujący nie będzie w stanie podsluchać transmisji użytkownika, ani też odczytać transmisji archiwalnych.

CNSA

CNSA (Commercial National Security Algorithm) to zestaw 192-o bitowych algorytmów kryptograficznych, które mogą być użyte opcjonalnie. Ich zastosowanie przewidziano do środowisk rządowych, wojskowych i przemysłowych. CNSA obejmuje nastepujące algorytmy:

  • Algorytm uwierzytelniania: Galois/Counter Mode Protocol (GCMP-256)
  • Algorytm integralności Robust management frame protection: Broadcast/Multicast Integrity Protocol Galois Message Authentication Code (BIP-GMAC-256)
  • Advanced Encryption Standard (AES) z kluczami od 128 do 256 bitów.     
  • Kryptografię ECDSA  wykorzystującą 384-o bitowe krzywe eliptyczne  do realizacji podpisów cyfrowych (Elliptic Curve Digital Signature Algorithm)
  • Kryptografię  ECDH(Elliptic Curve Diffie-Hellman ) wykorzystującą 384-o bitowe krzywe eliptyczne do wymiany kluczy
  • Algorytm podpisu Secure Hash Algorithm 2 (SHA-256 i SHA-384)

 

Enhanced Open - OWE

Certyfikacja Enhanced Open służy do zabezpieczenia otwartych sieci publicznych (tzw. hotspotów). Obecnie w otwartej sieci Wi-Fi pozbawionej autoryzacji ruch nie jest szyfrowany, co oczywiście naraża jej użytkownikow na ryzyko podsłuchu oraz inne różnego rodzaju ataki. Nowy protokół Opportunistic Wireless Encryption (OWE) zdefiniowany jako standard RFC8110 nadaje użytkownikom otwartych sieci indywidualne klucze szyfrujące nie wymagające uprzedniego podania hasła. Dzięki tem ruch sieciowy w sieci hotspot jest szyfrowany i odporny na podsłuch oraz modyfikacje. Technicznie OWA nie wchodzi w skład WPA3, jednak należy założyć, że będzie wdrażane do nowych systemów równolegle z WPA3.

MFP

MFP - Mandatory support for Frame Protection oznacza obilgatoryjność stosowania zabezpieczenia ramek zarządzających (obecnie jest to opcja zdefiniowana w standardzie 802.11w). Mechanizm ten zabezpiecza m.in. przed atakami DoS na poziomie MAC.

Easy Connect i DPP

Device Provisioning Protocol (DPP) służy do bezpiecznego podłączania do sieci bezprzewodowej urządzeń z ograniczonym lub całkowicie pozbawionych interfejsu użytkownika. Obejmuje to np. różnego rodzaju sensory, układy wykonawcze, itp. coraz częściej stosowane zarówno w domu jak i środowisku biznesowym.

 

Podsumowując, WPA3 faktycznie oferuje zwiększony poziom bzpieczeństwa sieci Wi-Fi. Na uwagę zasługuje zwłaszcza SAE, dzięki której nawet slabe hasła PSK nie niosą ryzyka skompromitowania transmisji oraz OWA pozwalajace na realizację bezpiecznych otwartych hotspotów. Należy jednak nadmienic, że WPA3 nie zagości od razu w naszych sieciach bzprzewodowych - będzie pojawiać się stopniowo wraz z adaptacją nowych klientów oraz punktów dostepowych. Infrastruktura bazujaca na WPA2 przetrwa zapewne jeszcze wiele lat.

Więcej informacji:

 (c) CC & GB

Tags: wifi bezpieczeństwo Enterprise autoryzacja wpa3 wpa2

Kontakt

sprzedaż:

e-mail: sales@cc.com.pl

 


pomoc techniczna:

e-mail: support@cc.com.pl

 

CC Otwarte Systemy Komputerowe Sp. z o.o.

Dostarczamy bezpieczne rozwiązania sieciowe oraz oprogramowanie od 2001 roku. Projektujemy i wdrażamy infrastrukturę bezpieczeństwa sieciowego: systemy firewall, content security oraz systemy autoryzacji; wdrażamy infrastrukturę sieci LAN, WAN i WiFi. Nasi inżynierowie posiadają certyfikację producentów takich jak: Check Point, HPE / Aruba Networks, Juniper Networks, Palo Alto Networks, Ruckus Networks (Arris), Arista, Fortinet, Flowmon, Fudo Security, Gemalto, Sophos, Vasco, i innych a także certyfikaty CISSP i PRINCE2.

Oferta

  • Dostawa i wdrożenia sieci WiFi
  • Dostawa i wdrożenia sieci LAN i WAN
  • Dostawa i wdrożenie systemów bezpieczeństwa
  • Wsparcie techniczne
  • Outsouring w zakresie administracji systemów IT
  • Oprogramowanie na zamówienie: portale internetowe, aplikacje biznesowe, aplikacje naukowe, aplikacje specjalizowane

Lokalizacja

world-map

Rakowiecka 36, 02-532 Warszawa

tel. +48 22 646-68-73

faks. +48 22 6063780

sprzedaż - e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

pomoc techniczna - e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.