Протокол WPA3: новое поколение или плановая модернизация WiFi?

Летом 2018 г. произошло важное событие: организация WiFi Alliance представила новый протокол безопасности WPA3. Он приходит на смену протоколу WPA2, который более 14 лет защищал сети WiFi от взлома. Новый протокол имеет большое значение, так как существующий уже не обеспечивает прежний уровень защиты.

Организация WiFi Alliance, занимающаяся разработкой стандартов для сетей WiFi, называет протокол WPA3 новым поколением защиты WiFi. Действительно, в ней применены новые подходы для более надежной аутентификации и повышения криптографической стойкости. При этом радикально повышен уровень защищенности не только корпоративных сетей WiFi с чувствительными данными, но и открытых сетей, и сетей интернета вещей (IoT).

В то же время, у WPA3 есть особенности, которые необходимо учитывать при плановом переходе к новым сетям, который произойдет в ближайшие два года в процессе массового внедрения стандарта WiFi 6 (802.11ax) и протокола WPA3.

Совместимость протоколов WPA3 и WPA2

Протокол WPA3 сохраняет два режима работы: WPA3-Enterprise для корпоративного использования и WPA3-Personal для остальных случаев. При этом все сети, использующие WPA3, запрещают применение устаревших протоколов и одновременно требуют использование защищенных фреймов управления (PMF). Проще говоря, WPA3 «очищает поле» от менее надежных решений, и в будущем все новые устройства WiFi будут иметь защиту не ниже WPA3.

Однако в ближайшие «переходные» годы совместимость WPA3 и WPA2 сохранится, так как WPA2 по-прежнему является обязательным для всех устройств WiFi. Таким образом, устройства с WPA3 смогут подключаться к сетям с WPA2. Но защита по стандартам WPA3 обеспечивается, только если сеть и устройства поддерживают протокол WPA3.

В дополнение к протоколу WPA3 есть две отдельные функции: Easy Connect для подключения IoT и устройств с ограниченным интерфейсом или вовсе без дисплея, а также Enhanced Open для открытых сетей (аэропорты, рестораны, гостевые зоны и т. д.). Важно иметь в виду, что это отдельные программы сертификации WPA3, и они не включены в структуру протокола WPA3. 
Смысл такого разделения в том, чтобы в каждом сценарии использовался наиболее надежный и наименее ресурсоемкий подход к защите данных. При этом разделение уменьшает путаницу. Так, например, пользователи Enhanced Open не проходят строгую аутентификацию по протоколу сети WPA3 и поэтому более уязвимы. Поэтому открытые сети вынесены отдельно, за рамки WPA3. 

К Enhanced Open необходимо особое внимание. Будущие маршрутизаторы и точки доступа с WPA3 в большинстве случаев будут иметь опцию Enhanced Open и включать ее в случае, когда WPA3 не используется. Большинство современных устройств не указывают пользователям на тип защиты сети WiFi, поэтому могут возникнуть ошибки при оценке безопасности. Вероятно, в будущем производители оборудования и софта решат эту проблему с помощью соответствующей индикации и оповещений. Надо отметить, что несмотря на меньшую защищенность, Enhanced Open все же не позволяет пользователям открытых сетей перехватывать чужой трафик, сеансы и выполнять другие атаки.

Решение главных проблем

За последнее десятилетие протокол WPA2 был неоднократно взломан и в целом уже недостаточно эффективен для защиты конфиденциальных данных. В частности, WPA2 очень зависим от сложности выбранного пароля, который может быть взломан путем перебора множества вариантов (брутфорса). После получения необходимых данных из сети злоумышленники могут осуществлять подбор пароля оффлайн, оставаясь незамеченными. В корпоративных сетях особенно рискованно использовать режим WPA2-Personal, так как злоумышленники могут получить доступ к отслеживанию сетевого трафика и атаковать пользователей, имеющих доступ к конфиденциальной информации.

Режим WPA2-Enterprise более надежен, но требует правильной настройки сервера RADIUS и соответствующих дополнительных инструментов. 
Наиболее уязвим протокол WPA2 для открытых сетей, поскольку у него нет какой-либо встроенной системы шифрования, и существует риск утечки паролей от учетных записей, аккаунтов в интернет-сервисах и т. д. 

Протокол WPA3 устраняет эти главные уязвимости WPA2, делая невозможным оффлайн-брутфорс и устраняя зависимость уровня безопасности от сложности пароля к сети WiFi. Однако надо помнить, что по-прежнему будет недопустимо использование легко угадываемых паролей, таких как «admin», «1234» и т. п.
Возможности и технологии
WPA3 использует новый метод аутентификации Simultaneous Authentication of Equals (SAE) вместо старого Pre-Shared Key (PSK). Новый метод одновременной аутентификации SAE не использует предварительный общий ключ PSK. Поэтому нельзя взломать сети с WPA3 простым перебором вариантов пароля в оффлайне, то есть, не привлекая внимания. 
Кроме того, и в режиме WPA3-Personal обеспечивается индивидуальное шифрование, что не позволяет пользователям отслеживать чужой трафик, даже при наличии пароля и успешном подключении к сети WiFi.
У WPA3-Enterprise есть ​​дополнительная защита с 192-битным шифрованием, что делает этот режим пригодным для работы с конфиденциальными данными коммерческих и государственных организаций.

Недавно для WPA3 была анонсирована новая функция WiFi Easy Connect для подключения простых устройств, таких как датчики IoT, носимая электроника и устройства без дисплея. Вероятно, в большинстве случаев подключение будет реализовано с помощью кнопки, как у современной функции WPS. Также возможно применение дополнительных методов, например сканирования QR-кодов, и другие взаимодействия со смартфоном. 

Пример этапов подключения с помощью Easy Connect

С помощью WiFi Easy Connect можно запустить новые сервисы и с минимумом усилий организовать крупные сети WiFi.

Подготовка к внедрению WPA3

Массовое внедрение протокола WPA3 произойдет в течение нескольких лет, поскольку в ближайшие два года устройства не обязательно должны быть сертифицированы для WPA3, по правилам WiFi Alliance. В этот период новый протокол будет дополнительной функцией в устройствах с поддержкой WPA2.

Скорее всего, в ближайшее время получат обновления ведущие решения для настройки и мониторинга безопасности сетей WiFi. В частности, профессиональное программное обеспечение NETSCOUT AirMagnet WiFi Analyzer для наблюдения за устройствами в сети, а также NETSCOUT AirMagnet Enterprise для оценки уровня безопасности и производительности сетей WiFi.

В 2019 г. данные инструменты будут иметь особое значение, так как начинается переход к внедрению сетей стандарта WiFi 6 (802.11ax) и протокола WPA3. В этот период предприятия будут создавать высокопроизводительные сети следующего поколения со множеством новых возможностей.

Смотрите также:

• Уязвимость протокола WPA2. Как защитить Wi-Fi от взлома?
• Защита корпоративной сети с помощью WPA2-Enterprise. Как сделать ее надежной
• Как защитить WiFi: 10 советов для безопасности беспроводной сети