Новые механизмы защиты беспроводной сети WPA3-PSK и OWE

В интернет-центрах Keenetic была добавлена поддержка новых алгоритмов безопасности WPA3-PSK и OWE для беспроводной сети Wi-Fi.

Данная возможность реализована с версии KeeneticOS 3.00.B0 для моделей Giga (KN-1010), Ultra (KN-1810), Viva (KN-1910) и с версии 3.1 Beta 5 для моделей Start (KN-1110), Lite (KN-1310), Air (KN-1610), Extra (KN-1710), DSL (KN-2010), Duo (KN-2110), ZyXEL Keenetic Air, Extra II, Giga III, Ultra II.

Для установки последней бета-версии KeeneticOS воспользуйтесь инструкцией "Обновление ПО интернет-центра до бета-версии".

WPA3-PSK (Wi-Fi Protected Access) алгоритм безопасности, обеспечивающий защиту данных в беспроводных сетях Wi-Fi. Относится к режиму WPA3-Personal, который входит в состав третьей версии набора протоколов WPA3. Разработан WPA3 организацией Wi-Fi Alliance и объявлен о выпуске в 2018 году. Новый протокол пришел на смену WPA2, представленного ещё в 2004 году. Основная идея внедрения нового протокола WPA3  устранение концептуальных недоработок протокола WPA2, и в частности, защита от атак с переустановкой ключа (Key Reinstallation Attacks, KRACK). Протокол WPA3 обладает более высоким уровнем безопасности, в сравнении с WPA2.
WPA3 предусматривает два режима работы WPA3-Personal и WPA3-Enterprise.

NOTE: Важно! Воспользоваться WPA3-PSK и OWE можно только с мобильного устройства, которое имеет поддержку указанных протоколов.
На данный момент в интернет-центрах Keenetic реализована поддержка WPA3-Personal (WPA3-PSK) со 128-битным шифрованием. Поддержка WPA3-Enterprise будет добавлена в последующих версиях операционной системы KeeneticOS.

OWE (Opportunistic Wireless Encryption) метод шифрования для усиления защиты и конфиденциальности пользователей при подключении к открытым (публичным) сетям Wi-Fi.

TIP: Дополнительную информацию о механизмах защиты WPA3 и OWE вы найдете в разделе "Примечание" в конце статьи.

Настройка WPA3-PSK и OWE доступна в веб-конфигураторе Кинетика на странице "Домашняя сеть" в настройках беспроводной сети Wi-Fi.

wpa3-01.png

NOTE: Важно! Для использования новых механизмов защиты сети WPA3-PSK и OWE, подключаемое устройство должно иметь поддержку данных алгоритмов в драйвере своего радиомодуля.

Ниже представлены примеры подключения на смартфоне Oneplus 6 с ОС Android 9.

Защита сети WPA3-PSK (SAE):

SAE.png

Защита сети OWE: 

OWE.png

 

TIP: Примечание

WPA3 предусматривает два режима работы WPA3-Personal и WPA3-Enterprise.

WPA3-Personal. Самое важное изменение в протоколе WPA3, это использование нового метода одновременной равноправной аутентификации SAE (Simultaneous Authentication of Equals), предоставляющего дополнительную защиту от брутфорс-атак. SAE должен заменить простой метод обмена общими ключами PSK (Pre-Shared Key), используемый в WPA2. Задача SAE  максимально защитить процесс установки соединения от хакерских атак. SAE работает на основании предположения о равноправности устройств. Любая из сторон может отправить запрос на соединение, и потом они начинают независимо отправлять удостоверяющую их информацию, вместо простого обмена сообщениями по очереди, как в случае с методом обмена ключами PSK. В SAE применяется специальный вариант установления связи (dragonfly handshake), использующий криптографию для предотвращения угадывания пароля злоумышленником.
Кроме вышесказанного, SAE использует метод прямой секретности (perfect forward secrecy, PFS) для дополнительного усиления безопасности, которого не было в PSK. Предположим, злоумышленник получает доступ к зашифрованным данным, которые маршрутизатор отправляет и получает из Интернета. Раньше атакующий мог сохранить эти данные, а потом, в случае успешного подбора пароля, расшифровать их. С использованием SAE при каждом новом соединении устанавливается новый шифрующий пароль, и если хакер в какой-то момент проникнет в сеть, он сможет украсть только пароль от данных, переданных после этого момента.
Подробно метод аутентификации SAE описан в стандарте IEEE 802.11-2016.

WPA3-Enterprise. Данный режим работы предназначен для использования в учреждениях, в которых предъявляются самые высокие требования к безопасности и конфиденциальности информации. Обеспечивает 192-битное шифрование данных.

OWE (Opportunistic Wireless Encryption) является расширением стандарта IEEE 802.11, схожим с SAE. OWE обеспечивает безопасность данных, передаваемых по незащищенной сети, за счет их шифрования. При этом, от пользователей не требуется каких-то дополнительных действий и ввода паролей для подключения к сети.
Многие атаки, происходящие в открытой сети, относятся к пассивным. Когда к сети подключается много клиентов, злоумышленник может собрать очень много данных, просто фильтруя проходящую мимо информацию.
OWE использует оппортунистическое шифрование, определенное в стандарте RFC 8110, чтобы защищаться от пассивного подслушивания. Оно также предотвращает атаки с инъекцией пакетов, когда злоумышленник пытается нарушить работу сети, создавая и передавая особые пакеты данных, выглядящие, как часть нормальной работы сети.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 12 из 12

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.