Рейтинг@Mail.ru

Протокол WPA3: новое поколение или плановая модернизация WiFi?

Протокол WPA3: новое поколение или плановая модернизация WiFi?

Летом 2018 г. произошло важное событие: организация WiFi Alliance представила новый протокол безопасности WPA3. Он приходит на смену протоколу WPA2, который более 14 лет защищал сети WiFi от взлома. Новый протокол имеет большое значение, так как существующий уже не обеспечивает прежний уровень защиты.

Организация WiFi Alliance, занимающаяся разработкой стандартов для сетей WiFi, называет протокол WPA3 новым поколением защиты WiFi. Действительно, в ней применены новые подходы для более надежной аутентификации и повышения криптографической стойкости. При этом радикально повышен уровень защищенности не только корпоративных сетей WiFi с чувствительными данными, но и открытых сетей, и сетей интернета вещей (IoT).

В то же время, у WPA3 есть особенности, которые необходимо учитывать при плановом переходе к новым сетям, который произойдет в ближайшие два года в процессе массового внедрения стандарта WiFi 6 (802.11ax) и протокола WPA3.

Совместимость протоколов WPA3 и WPA2

Протокол WPA3 сохраняет два режима работы: WPA3-Enterprise для корпоративного использования и WPA3-Personal для остальных случаев. При этом все сети, использующие WPA3, запрещают применение устаревших протоколов и одновременно требуют использование защищенных фреймов управления (PMF). Проще говоря, WPA3 «очищает поле» от менее надежных решений, и в будущем все новые устройства WiFi будут иметь защиту не ниже WPA3.

Однако в ближайшие «переходные» годы совместимость WPA3 и WPA2 сохранится, так как WPA2 по-прежнему является обязательным для всех устройств WiFi. Таким образом, устройства с WPA3 смогут подключаться к сетям с WPA2. Но защита по стандартам WPA3 обеспечивается, только если сеть и устройства поддерживают протокол WPA3.

В дополнение к протоколу WPA3 есть две отдельные функции: Easy Connect для подключения IoT и устройств с ограниченным интерфейсом или вовсе без дисплея, а также Enhanced Open для открытых сетей (аэропорты, рестораны, гостевые зоны и т. д.). Важно иметь в виду, что это отдельные программы сертификации WPA3, и они не включены в структуру протокола WPA3. 
Смысл такого разделения в том, чтобы в каждом сценарии использовался наиболее надежный и наименее ресурсоемкий подход к защите данных. При этом разделение уменьшает путаницу. Так, например, пользователи Enhanced Open не проходят строгую аутентификацию по протоколу сети WPA3 и поэтому более уязвимы. Поэтому открытые сети вынесены отдельно, за рамки WPA3. 

К Enhanced Open необходимо особое внимание. Будущие маршрутизаторы и точки доступа с WPA3 в большинстве случаев будут иметь опцию Enhanced Open и включать ее в случае, когда WPA3 не используется. Большинство современных устройств не указывают пользователям на тип защиты сети WiFi, поэтому могут возникнуть ошибки при оценке безопасности. Вероятно, в будущем производители оборудования и софта решат эту проблему с помощью соответствующей индикации и оповещений. Надо отметить, что несмотря на меньшую защищенность, Enhanced Open все же не позволяет пользователям открытых сетей перехватывать чужой трафик, сеансы и выполнять другие атаки.

Решение главных проблем

За последнее десятилетие протокол WPA2 был неоднократно взломан и в целом уже недостаточно эффективен для защиты конфиденциальных данных. В частности, WPA2 очень зависим от сложности выбранного пароля, который может быть взломан путем перебора множества вариантов (брутфорса). После получения необходимых данных из сети злоумышленники могут осуществлять подбор пароля оффлайн, оставаясь незамеченными. В корпоративных сетях особенно рискованно использовать режим WPA2-Personal, так как злоумышленники могут получить доступ к отслеживанию сетевого трафика и атаковать пользователей, имеющих доступ к конфиденциальной информации.

Режим WPA2-Enterprise более надежен, но требует правильной настройки сервера RADIUS и соответствующих дополнительных инструментов. 
Наиболее уязвим протокол WPA2 для открытых сетей, поскольку у него нет какой-либо встроенной системы шифрования, и существует риск утечки паролей от учетных записей, аккаунтов в интернет-сервисах и т. д. 

Протокол WPA3 устраняет эти главные уязвимости WPA2, делая невозможным оффлайн-брутфорс и устраняя зависимость уровня безопасности от сложности пароля к сети WiFi. Однако надо помнить, что по-прежнему будет недопустимо использование легко угадываемых паролей, таких как «admin», «1234» и т. п.
Возможности и технологии
WPA3 использует новый метод аутентификации Simultaneous Authentication of Equals (SAE) вместо старого Pre-Shared Key (PSK). Новый метод одновременной аутентификации SAE не использует предварительный общий ключ PSK. Поэтому нельзя взломать сети с WPA3 простым перебором вариантов пароля в оффлайне, то есть, не привлекая внимания. 
Кроме того, и в режиме WPA3-Personal обеспечивается индивидуальное шифрование, что не позволяет пользователям отслеживать чужой трафик, даже при наличии пароля и успешном подключении к сети WiFi.
У WPA3-Enterprise есть ​​дополнительная защита с 192-битным шифрованием, что делает этот режим пригодным для работы с конфиденциальными данными коммерческих и государственных организаций.

Недавно для WPA3 была анонсирована новая функция WiFi Easy Connect для подключения простых устройств, таких как датчики IoT, носимая электроника и устройства без дисплея. Вероятно, в большинстве случаев подключение будет реализовано с помощью кнопки, как у современной функции WPS. Также возможно применение дополнительных методов, например сканирования QR-кодов, и другие взаимодействия со смартфоном. 

Пример этапов подключения с помощью Easy Connect
Пример этапов подключения с помощью Easy Connect

С помощью WiFi Easy Connect можно запустить новые сервисы и с минимумом усилий организовать крупные сети WiFi.

Подготовка к внедрению WPA3

Массовое внедрение протокола WPA3 произойдет в течение нескольких лет, поскольку в ближайшие два года устройства не обязательно должны быть сертифицированы для WPA3, по правилам WiFi Alliance. В этот период новый протокол будет дополнительной функцией в устройствах с поддержкой WPA2.

Скорее всего, в ближайшее время получат обновления ведущие решения для настройки и мониторинга безопасности сетей WiFi. В частности, профессиональное программное обеспечение NETSCOUT AirMagnet WiFi Analyzer для наблюдения за устройствами в сети, а также NETSCOUT AirMagnet Enterprise для оценки уровня безопасности и производительности сетей WiFi.

В 2019 г. данные инструменты будут иметь особое значение, так как начинается переход к внедрению сетей стандарта WiFi 6 (802.11ax) и протокола WPA3. В этот период предприятия будут создавать высокопроизводительные сети следующего поколения со множеством новых возможностей.

 

Смотрите также:

Типовые решения Wi-Fi для разных отраслей

Большой офис, бизнес-центр, корпоративная сеть.

Wi-Fi сеть - полноценная альтернатива / замена проводной сети (беспроводной доступ для сотрудников)
Гостевой беспроводной доступ в интернет для гостей
Стабильное функционирование голосовых (VoIP) и видео сервисов (поддержка QoS и реализация бесшовного роуминга)
Интеграция корпоративных политик безопасности

Беспроводная корпоративная сеть должна отвечать двум основным критериям: безопасность и стабильная работы. Профессиональное Wi-Fi оборудование должным образом обеспечивает работоспособность надёжной и производительной Wi-Fi сети, а максимального уровня защищённости сети позволит добиться параллельно развёрнутая система безопасности Fluke AirMagnet Enterprise.

Узнать больше

Cеть видеонаблюдения

Расширение покрытия Wi-Fi сети организации вне пределов зданий для организации видеонаблюдения по периметру территории.

Для оперативного развертывания системы видеонаблюдения на уличной территории выгоднее, как экономически, так и с точки зрения сроков реализации проекта, использовать беспроводное покрытие для обеспечение связи между камерами и сервером видеонаблюдения.

Узнать больше

Банки, госструктуры.

Максимальный уровень защиты WI-Fi сети организации
Надёжная и производительная Wi-Fi сеть - полноценная альтернатива / замена проводной сети (беспроводной доступ для сотрудников)
Гостевой беспроводной доступ в интернет для гостей

До недавнего времени, развертывание полноценной Wi-Fi сети на объектах, требующих высокого уровня безопасности, было под запретом, так как считалось, что беспроводная среда будет слабым местом системы безопасности. Сейчас же, благодаря развитию технологий, можно построить надёжную и производительную Wi-Fi сеть, которая не будет уступать по степени защищённости сетевой кабельной инфраструктуре. Это возможно при использовании профессионального Wi-Fi оборудования совместно с системой безопасности Fluke AirMagnet Enterprise.

Узнать больше

Беспроводной мост

Объединение в одну сеть удалённых объектов с помощью беспроводного канала связи.

Часто возникают задачи по объединению нескольких корпусов компаний в единую сеть, подключению удалённых посёлков и объектов к общей сети провайдера или, например, выносе камеры видеонаблюдения на отдалённый пункт охраны. В этом может помочь оборудование для построения беспроводных мостов.

Узнать больше

Больницы, поликлиники.

Предоставление Wi-Fi доступа в интернет для клиентов
Обеспечение устойчивого соединения с персональными Wi-Fi устройствами сотрудников больницы
Мониторинг местоположения персонала / аппаратуры

К беспроводным сетям больниц и клиник предъявляются самые высокие требования. Такие параметры как надёжность, качество покрытия и отказоустойчивость выходят на первый план. На базе основной сети можно так же реализовать сервисы гостевого доступа и отслеживания местоположения сотрудников.

Узнать больше