Co warto wiedzieć o standardzie WPA3

Zapewnienie bezpieczeństwa Wi-Fi jest ważne, bo coraz częściej są one wykorzystywane w firmach jako podstawowa sieć lokalna. Dlatego też należy poznać nowe funkcje WPA3 i rozważyć możliwość ich implementacji.

Co warto wiedzieć o standardzie WPA3

Gerd Altmann, Pixabay

Specyfikacja kolejnego standardu WPA3 (Wi-Fi Protected Access wersja 3) dotyczącego zabezpieczeń sieci bezprzewodowych Wi-Fi przed atakami została opublikowana już ponad trzy lata temu, w 2018 r. Przez blisko dwa lata obsługa WPA3 była nieobowiązkową opcją dla producentów urządzeń Wi-Fi, ale od 1 lipca 2020 r. organizacja Wi-Fi Alliance zaczęła wymagać, by wszystkie certyfikowane przez nią urządzenia były zgodne z tym standardem.

Planując modernizację lub budowę nowej infrastruktury sieci bezprzewodowej, najprawdopodobniej zgodnej z najnowszym standardem Wi-Fi 6, trzeba wybrać urządzenia zapewniające wyższy niż dotąd poziom bezpieczeństwa, a więc obsługujące WPA3. Może z tym być problem dla administratorów sieci. Na pierwszy rzut oka wydaje się to łatwe. Wystarczy po prostu sprawdzić, czy sprzęt ma logo informujące o certyfikacji zgodności z WPA3. W praktyce jednak jest to bardziej skomplikowane. Jeśli urządzenie sieciowe ma logo certyfikacji przez Wi-Fi Alliance, ale zostało wyprodukowane przed sierpniem 2020 r., to nie zawsze obsługuje funkcje WPA3. Niezbędne jest dodatkowe oznaczenie Wi-Fi Certified WPA3.

Zobacz również:

  • Cisco i Intel usprawnią jakość połączeń Wi-Fi
  • Najnowsze wydanie Computerworld

Dodatkowym problemem może być sprawna aktualizacja oprogramowania firmware przez producenta, ponieważ już po opublikowaniu standardu WPA3 specjaliści ds. bezpieczeństwa wykryli i wciąż wykrywają kolejne luki umożliwiające skuteczne ataki oraz kradzież lub przechwytywanie danych przesyłanych w sieci Wi-Fi. Wynikają one zarówno z winy twórców standardu, którzy przeoczyli niektóre luki, jak i z błędów implementacji WPA3 przez producentów sprzętu oraz oprogramowania.

W internecie można znaleźć informacje o niektórych lukach i słabościach sieci bezprzewodowych, które dotyczą różnych wersji WPA, również WPA3. W większości przypadków podatności są usuwane przez producentów sprzętu przy wykorzystaniu aktualizacji oprogramowania. Dobry przykład można znaleźć na stronie https://www.fragattacks.com/, gdzie przedstawiono zestaw metod pozwalających na skuteczne atakowanie sieci Wi-Fi przy wykorzystaniu techniki FragAttacks (Fragmentation and Aggregation Attacks), a także listę producentów, którzy już wprowadzili poprawki zapobiegające tym zagrożeniom.

Oprócz tego warto zauważyć, że niektóre przydatne mechanizmy zabezpieczeń sieci Wi-Fi nie są elementem standardu WPA3 i mogą być niezależnie implementowane (lub nie) przez producentów sprzętu. Są to przede wszystkim mechanizmy OWE (Opportunistic Wireless Encryption) oraz protokół Wi-Fi DPP (Device Provisioning Protocol) zastępujący funkcję WPS (Wi-Fi Protected Setup), których zastosowanie jest potwierdzane przez niezależne od WPA3 certyfikaty.

Dlaczego nowy standard jest potrzebny?

Wi-Fi Protected Access (WPA), który po raz pierwszy został udostępniony w 2003 r. i dość szybko, bo zaledwie rok później, poprawiony i zaktualizowany do wersji WPA2, jest naprawdę starym standardem. Dlatego też jego aktualizacja była nieunikniona.

Z badania ankietowego przeprowadzonego w 2020 r. przez Zogby Analytics na zlecenie firmy HSB wynika, że w Stanach Zjednoczonych ok. jedna czwarta użytkowników doświadczyła kradzieży tożsamości. Nastąpił ok. 5-proc. wzrost w porównaniu z podobnymi badaniami HSB prowadzonymi w roku 2018 i 2016. Jedna trzecia stwierdziła, że doświadczyła cyberataku, a wirusy lub inne złośliwe oprogramowanie były najbardziej typowymi źródłami zagrożeń. (Źródło: HSB Consumer Survey Shows Cyber Crimes Rising)

Jednocześnie rośnie popularność systemów wykorzystujących sieci bezprzewodowe Wi-Fi. Z raportu opublikowanego przez Markets and Markets wynika, że rynek usług Wi-Fi wzrośnie z 3,4 mld dol. w 2020 r. do 8,4 mld dol. w roku 2025. To oznacza skumulowaną roczną stopę wzrostu CAGR wynoszącą 20%.

Zwiększenie poziomu bezpieczeństwa systemów wykorzystujących bezprzewodowe sieci Wi-Fi ma więc kluczowe znaczenie. Stąd też wprowadzenie standardu WPA3 to dobry pomysł, a jego implementacja powinna być oczywistym kierunkiem działań w każdej firmie, zwłaszcza że urządzenia sieciowe WPA3 zapewniają wsteczną zgodność i mogą współpracować z klientami obsługującymi tylko mechanizmy WPA2. Jest to niezbędne w okresie przejściowym, bo ułatwia stopniową, ewolucyjną modernizację systemu. W przypadku firm szczególnie wrażliwych na potencjalne przechwycenie danych przez osoby nieuprawnione i dlatego wymagających wysokiego poziomu bezpieczeństwa sieci, można ograniczyć dostęp do sieci Wi-Fi tylko dla urządzeń obsługujących funkcje WPA3. Nie ulega wątpliwości, że już wkrótce będzie to standard wykorzystywany we wszystkich sieciach korporacyjnych.

Główne cechy WPA3

Wi-Fi Alliance opracowała specyfikację WPA w odpowiedzi na luki i słabości wykryte w systemie WEP (Wired Equivalent Privacy), w którym stosowano ten sam klucz do szyfrowania każdego pakietu, co pozwoliło bardzo szybko go łamać przy wykorzystaniu programów do zautomatyzowanej analizy transmisji. Warto podkreślić, że WPA3 to kolejna próba ulepszenia mechanizmów bezpieczeństwa, tym razem biorąca pod uwagę słabości i luki systematycznie wykrywane w specyfikacji oraz implementacjach standardu WPA2. Dotyczy to zwłaszcza niedoskonałej metody wymiany kluczy przy wykorzystaniu funkcji 4-Way Handshake oraz użycia klucza wstępnego PSK.

Słabością protokołu WPA2 była możliwość przechwycenia ruchu danych i ich późniejszej analizy w trybie offline w celu złamania stosowanego hasła. Zdaniem specjalistów hasła składające się z mniej niż 16 znaków alfanumerycznych można względnie łatwo i szybko złamać. Dlatego też wstępny klucz WPA2 PSK (Pre-Shared Key) został zastąpiony przez mechanizm równoczesnego uwierzytelniania równych stron SAE (Simultaneous Authentication of Equals), co pozwala uniknąć ataków polegających na ponownej instalacji klucza, takich jak KRACK. SAE zapewnia też skuteczną obronę przed atakami słownikowymi offline.

Podobnie jak dotąd nowa specyfikacja oferuje dwa różne tryby działania: WPA3-Personal przeznaczony dla użytkowników indywidualnych oraz WPA3-Enterprise – dla firm.

W trybie WPA3-Personal standardowo stosowane jest szyfrowanie 128-bitowe oraz uwierzytelnianie oparte na hasłach. Ale inaczej niż w przypadku WPA2 mechanizm ten jest odporny na ataki słownikowe offline, w których ktoś próbuje ustalić hasło sieciowe i uzyskać dostęp do przechwyconych danych bez dalszej interakcji z siecią. WPA3 stosuje bowiem nowy, bardziej bezpieczny protokół SAE (Simultaneous Authentication of Equals) do ustanawiania klucza między komunikującymi się urządzeniami. Zastępuje on stosowany wcześniej protokół PSK (Pre Shared Key).

SAE zapewnia poufność przekazywania i znacznie większe bezpieczeństwo danych przesyłanych w otwartych sieciach Wi-Fi. Techniczne szczegóły dotyczące SAE można znaleźć w internecie, np. w wideo na YouTube.

Natomiast podobnie jak wcześniej WPA2, WPA3-Enterprise wykorzystuje klucze przydzielane użytkownikom i zarządzane przez serwery RADIUS, ale dodatkowo stosuje 192-bitowy protokół szyfrowania transmisji i narzędzia kryptograficzne zgodne z algorytmem CNSA (Commercial National Security Algorithm), co zapewnia znacznie lepszą ochronę danych przesyłanych w firmowej sieci.

Warto zwrócić uwagę, że protokół WPA3 zmusza wszystkie urządzenia zarówno działające po stronie klienta, jak i stacji dostępowej do zapisywania zaszyfrowanych haseł. Dlatego też ważne jest, aby nie używać ponownie tego samego hasła Wi-Fi w innych systemach. Ponieważ obsługa WPA3 jest od lipca 2020 r. obowiązkowa dla wszystkich urządzeń certyfikowanych przez Wi-Fi Alliance i oznaczonych logiem tej organizacji, zarówno firmy, jak i konsumenci mogą oczekiwać, że nowy sprzęt oznaczony logiem Wi-Fi Alliance będzie obsługiwał najnowsze protokoły zapewniające wysoki poziom bezpieczeństwa.

Należy podkreślić, że WPA3 nie jest wersją ostateczną standardu bezpieczeństwa dla bezprzewodowych sieci Wi-Fi. Już w niecałe dwa lata od zatwierdzenia specyfikacji, w grudniu 2019 r., pojawiły się pierwsze jej poprawki. Jednocześnie, jak zapewniają przedstawiciele Wi-Fi Alliance, prace nad jego kolejnymi ulepszeniami wciąż trwają i rozwój standardu jest kontynuowany.

Dodatkowe funkcje powiązane z WPA3

Dodatkową, nie będącą elementem WPA3, ale ściśle z nim związaną jest funkcja OWE (Opportunistic Wireless Encryption) i można oczekiwać jej implementacji w większości urządzeń Wi-Fi. OWE służy do zabezpieczenia otwartych sieci publicznych, które nie wymagają od użytkowników autoryzacji, a ruch nie był dotąd szyfrowany. Powodowało to wysokie ryzyko podsłuchu transmisji i ataków. OWE (standard RFC8110) automatycznie, bez logowania, przydziela użytkownikom otwartej sieci indywidualne klucze szyfrujące. Dzięki temu ruch sieciowy jest szyfrowany i odporny na podsłuch, a także jego modyfikacje. Trzeba jednak pamiętać, że OWE nie chroni przed fałszywymi stacjami dostępowymi podszywającymi się pod legalnie działające sieci. Techniczne szczegóły dotyczące SAE można znaleźć w internecie, np. w wideo na YouTube.

Należy zaznaczyć, że standard WPA3 nie wymaga szyfrowania transmisji w otwartych sieciach. Dlatego samo logo WPA3 nie zapewnia, że OWE będzie działać. Do tego niezbędny jest dodatkowy certyfikat Wi-Fi CERTIFIED Enhanced Open.

Drugą ważną specyfikacją jest protokół udostępniania urządzeń DPP (Device Provisioning Protocol). Protokół ten zastępuje WPS (Wi-Fi Protected Setup). DPP pozwala na uwierzytelnianie urządzeń w sieci Wi-Fi za pomocą kodu QR lub tagów NFC. WPS umożliwiało przekazywanie hasła np. ze smartfona do urządzenia IoT, które następnie używało go do uwierzytelnienia w sieci Wi-Fi. Dzięki nowemu protokołowi DDP urządzenia mogą uwierzytelniać się bez przekazywania hasła.

Wi-Fi Alliance nie wymaga implementacji tej funkcji w celu uzyskania certyfikatu WPA3 i nie jest ona elementem specyfikacji tego standardu, a częścią odrębnego programu Wi-Fi CERTIFIED Easy Connect. Oznacza to, że jeśli korzystanie z DDP jest przydatne, użytkownik powinien przed zakupem sprzętu sprawdzić, czy ma on nie tylko certyfikat WPA3, ale dodatkowo również oznaczenie Wi-Fi CERTIFIED Easy Connect.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200