20T18 Co to jest WPA3

W tym odcinku pokazuję najważniejsze różnice między WPA3 w stosunku do WPA2.

Chcesz więcej informacji?

Dołącz do naszych strony fanów na Facebook:

Grupa na facebooku

#netadminpro_pl #sdwan

Więcej miejsc do posłuchania:

 

Transkrypcja filmu:

0:00:01.560,0:00:03.560
Cześć. Witam Cię w dzisiejszym odcinku.
0:00:03.560,0:00:05.860
Dzisiaj opowiem o WPA3.
0:00:06.200,0:00:07.900
Co to jest za standard.
0:00:08.080,0:00:11.560
Jakie nowe funkcjonalności są
0:00:11.560,0:00:15.540
dostarczane w ramach tego nowego sposobu łączenia.
0:00:16.000,0:00:20.000
Jeżeli jesteś zainteresowany tym tematem, to to jest odcinek dla Ciebie.

Co to jest WPA3

0:00:20.000,0:00:24.600
Zacznijmy od tego, dlaczego WPA3 zostało stworzone
0:00:24.920,0:00:29.060
i jakie problemy to WPA3 ma rozwiązywać.
0:00:29.060,0:00:31.820
Jeżeli chodzi o problem, to
0:00:31.820,0:00:33.940
przede wszystkim pogarsza się
0:00:33.940,0:00:36.720
poziom bezpieczeństwa dla WPA2.
0:00:37.280,0:00:39.280
To pogarszanie się jest związane
0:00:39.280,0:00:43.600
obecnie głównie z rosnącą mocą obliczeniową
0:00:43.600,0:00:46.260
komputerów, czyli ataki,
0:00:46.260,0:00:48.260
które można dzisiaj wykonać,
0:00:48.260,0:00:50.880
po prostu można je wykonać szybciej.
0:00:51.460,0:00:53.340
Kolejnym elementem, to jest
0:00:53.340,0:00:55.340
brak zabezpieczeń w sieciach publicznych.
0:00:55.340,0:00:58.300
To jest znany problem od lat
0:00:58.300,0:01:02.480
i stosuje się dzisiaj różnego rodzaju
0:01:02.480,0:01:05.540
takie obejścia, dotyczące najlepszych praktyk,
0:01:05.540,0:01:09.000
czyli jeżeli mamy sieć jakąś otwartą, hotelową
0:01:09.000,0:01:12.240
lub sieć otwartą lotniskową,
0:01:12.640,0:01:15.860
No to możemy wykorzystać VPN-y,
0:01:15.860,0:01:18.780
żeby szyfrować ten ruch, który idzie w sieci otwartej.
0:01:18.780,0:01:22.640
Lub możemy używać szyfrowania na poziomie
0:01:22.640,0:01:24.800
protokołu na przykład TLS.
0:01:25.340,0:01:27.680
Więc tego typu mechanizmy dzisiaj stosujemy,
0:01:27.680,0:01:30.080
Nie zmienia to faktu, że jest to jednak
0:01:30.080,0:01:33.320
pewien rodzaj obejścia problemu
0:01:33.400,0:01:35.180
i jest mnóstwo ataków,
0:01:35.180,0:01:38.580
które dzisiaj są do wykonania relatywnie łatwo.
0:01:38.580,0:01:40.740
Właśnie w takich sieciach otwartych.
0:01:40.920,0:01:43.740
Kolejny element, to jest w WPA2
0:01:43.740,0:01:45.300
i we wcześniejszych standardach,
0:01:45.300,0:01:49.140
brak możliwości ochrony ruchu zarządzania.
0:01:49.140,0:01:51.580
Czyli tutaj mówimy o takich elementach
0:01:51.800,0:01:54.800
związanych z wysyłaniem ramek
0:01:55.020,0:01:59.060
nieautoryzowanych, jeżeli chodzi o ruch kontrolny.
0:01:59.460,0:02:01.460
Czyli możemy dzisiaj wykonywać takie akcje
0:02:01.460,0:02:05.580
w ramach WPA2, że ze stacji zupełnie nieznanej
0:02:05.580,0:02:07.580
możemy rozłączyć komuś telefon
0:02:07.580,0:02:09.580
czy komputer z sieci bezprzewodowej.
0:02:09.580,0:02:13.600
Co ciekawe, tego typu funkcjonalności są stosowane dzisiaj
0:02:13.600,0:02:15.980
powszechnie w systemach IDS-owych,
0:02:15.980,0:02:19.000
czyli w systemach chroniących sieci bezprzewodowe,
0:02:19.000,0:02:22.840
jeżeli są na przykład wykrywane zdarzenia dotyczące ataków.
0:02:22.840,0:02:26.400
Czyli taki punkt dostępowy, w ramach ochrony sieci swojej,
0:02:26.560,0:02:28.560
może wysyłać takie ramki rozłączeń
0:02:28.560,0:02:32.000
do użytkowników, którzy się próbują na przykład podłączyć
0:02:32.000,0:02:34.740
do punktu dostępowego, który się
0:02:34.740,0:02:38.060
podszywa, czyli bierze udział w jakimś ataku
0:02:38.120,0:02:39.240
na naszą infrastrukturę.
0:02:39.240,0:02:41.240
Jeżeli popatrzymy sobie na to,
0:02:41.240,0:02:44.780
jak WPA3 traktuje tego typu ruch,
0:02:44.780,0:02:46.660
to tutaj jest duża zmiana
0:02:46.660,0:02:48.780
i o tym bardziej szczegółowo jeszcze powiem później.
0:02:48.780,0:02:53.180
Kolejna rzecz to jest ten nowy trend podłączenia urządzeń IoT.
0:02:53.780,0:02:56.500
Czyli to, co widzimy dzisiaj w sieciach
0:02:56.520,0:02:58.520
naszych bezprzewodowych również
0:02:58.520,0:03:00.520
to jest taki element,
0:03:00.520,0:03:03.560
że tych połączeń urządzeń IoT
0:03:03.560,0:03:05.400
zaczyna się robić co raz więcej,
0:03:05.400,0:03:07.400
Te urządzenia nie wysyłają dużej ilości danych,
0:03:07.400,0:03:09.400
ale jest tych urządzeń więcej
0:03:09.400,0:03:11.400
i będzie ich zdecydowanie więcej
0:03:11.400,0:03:14.620
w najbliższych latach u każdego z nas.
0:03:14.900,0:03:17.960
Bo po prostu nowe rozwiązania techniczne
0:03:18.080,0:03:21.040
zupełnie nie z IT związane, będą dostarczane
0:03:21.220,0:03:23.940
z tymi sensorami, z tymi urządzeniami.
0:03:23.940,0:03:26.980
I trzeba jakoś te urządzenia móc podłączyć
0:03:26.980,0:03:29.380
Czyli to są takie najważniejsze problemy,
0:03:29.540,0:03:31.540
które WPA3 rozwiązuje
0:03:31.540,0:03:33.540
i teraz pokażę jak
0:03:33.540,0:03:35.960
poszczególny element jest realizowany
0:03:35.960,0:03:37.460
właśnie w tym nowym standardzie.
0:03:37.460,0:03:41.080
Zacznijmy od tego tematu, związanego
0:03:41.080,0:03:43.440
ze słabym zabezpieczeniem WPA2.
0:03:43.440,0:03:46.220
Pojawia się tu taki nowy protokół SAE
0:03:46.260,0:03:48.920
i jest to protokół lepszego zabezpieczenia
0:03:48.920,0:03:51.340
informacji o kluczach szyfrujących.
0:03:51.460,0:03:55.080
Co ciekawe, jest to protokół, który został wcześniej już
0:03:55.080,0:03:59.660
opisany i miał zastosowanie przede wszystkim do sieci typu mesh.
0:03:59.820,0:04:02.300
Tutaj wzięto już gotowy ten protokół,
0:04:02.300,0:04:05.020
skoro zaczęto się zastanawiać, w jaki sposób polepszyć
0:04:05.020,0:04:08.460
ten poziom bezpieczeństwa w przypadku WPA2.
0:04:08.940,0:04:11.860
To wzięto po prostu gotowy protokół wymiany kluczy
0:04:11.860,0:04:14.580
i zastosowano tutaj właśnie
0:04:14.580,0:04:16.160
w tym nowym standardzie.
0:04:16.160,0:04:18.480
Jaki jest problem? Problem przede wszystkim dotyczy
0:04:18.480,0:04:21.700
słabych haseł w przypadku WPA2
0:04:21.700,0:04:24.560
i stosowania tego WPA2
0:04:24.560,0:04:26.920
w trybie współdzielonego hasła.
0:04:26.920,0:04:29.480
Czyli jak sobie popatrzycie dzisiaj
0:04:29.480,0:04:31.480
jakie mamy możliwości
0:04:31.480,0:04:33.480
skonfigurowania w takim trybie,
0:04:33.480,0:04:35.480
domowym można by powiedzieć,
0:04:35.480,0:04:38.140
sieci bezprzewodowej WPA2.
0:04:38.140,0:04:40.600
No to oczywiście wpisujemy tam współdzielone hasło.
0:04:40.920,0:04:42.920
Ale co się tam dalej dzieje.
0:04:42.920,0:04:46.560
Tam pod spodem, na podstawie tego współdzielonego hasła,
0:04:46.560,0:04:48.740
jest tworzony hash,
0:04:48.740,0:04:50.740
który bazuje na dwóch elementach.
0:04:50.740,0:04:52.740
Bazuje na SSID
0:04:52.740,0:04:55.940
i bazuje na tym haśle właśnie, które
0:04:56.120,0:04:57.840
stworzyliśmy, to współdzielone.
0:04:57.840,0:04:59.980
Atak polega na tym, że
0:04:59.980,0:05:03.240
można taki ruch w przypadku WPA2 podsłuchać,
0:05:03.960,0:05:12.300
zapisać, a następnie wziąć gdzieś w swoje miejsce bezpiecznego przetwarzania
0:05:12.660,0:05:17.260
i po prostu metodą bruteforce, czyli zgadywaniem haseł słownikowych
0:05:17.260,0:05:20.160
podstawiać kolejne hasła.
0:05:20.240,0:05:25.920
Czy w to pole z hasła współdzielonego, tam podstawiać konkretne frazy
0:05:25.920,0:05:27.920
i jeżeli trafimy daną frazę,
0:05:27.920,0:05:31.640
w tym momencie jesteśmy w stanie odszyfrować całą komunikację.
0:05:31.640,0:05:33.640
I co ciekawe, było pisane,
0:05:33.640,0:05:38.940
taki tryb ataku, pozwalający na łatwiejsze zgadnięcie tego hasła,
0:05:39.120,0:05:41.020
wysyłając jedną ramkę
0:05:41.020,0:05:43.220
nawet bez konieczności słuchania
0:05:43.340,0:05:45.600
czterokierunkowej transmisji WPA2.
0:05:46.200,0:05:49.400
Tak czy inaczej, ta metoda jest znana i jest możliwe
0:05:49.400,0:05:52.060
do złamania takie hasło,
0:05:52.060,0:05:55.920
które jest słabe, użyte w trybie WPA2
0:05:56.000,0:05:58.640
w zakresie hasła współdzielonego.
0:05:59.000,0:06:02.580
Jak zostało to wzmocnione na poziomie protokołu SAE
0:06:02.780,0:06:06.840
i tego naszego nowego standardu WPA3.
0:06:07.040,0:06:09.840
Przede wszystkim pozbyto się elementu, który jest
0:06:09.840,0:06:11.840
uzależniony od hasła współdzielonego.
0:06:12.060,0:06:15.620
Czyli jeżeli patrzymy sobie, jak wymieniane są informacje pomiędzy
0:06:15.620,0:06:18.300
uczestnikami, czyli tutaj mamy
0:06:18.300,0:06:20.500
taki przykład, że generowane są
0:06:20.500,0:06:23.120
od strony każdego użytkownika
0:06:23.120,0:06:27.220
takie dwie losowe liczby.
0:06:27.800,0:06:29.800
Tutaj nazwano je a i duże A.
0:06:30.100,0:06:33.360
Następnie jest generowany hash
0:06:33.700,0:06:36.500
z tych dwóch liczb. To jest ten element.
0:06:37.000,0:06:40.180
Czyli mamy dowolne dwie liczby, które ze sobą
0:06:40.180,0:06:42.960
dodane i poddane funkcji hashującej,
0:06:42.960,0:06:45.220
dają po prostu jakąś liczbę.
0:06:45.220,0:06:48.380
I ta liczba jest do odtworzenia tylko jednokierunkowo,
0:06:48.380,0:06:50.820
czyli łatwe jest do zgadnięcia, jeżeli znamy
0:06:50.820,0:06:53.020
hasła, czy w tym przypadku te
0:06:53.020,0:06:55.020
litery a i A.
0:06:55.020,0:06:58.700
Wtedy jesteśmy w stanie określić to sA, czyli tą funkcję hashującą.
0:06:58.700,0:07:00.700
Następnie jest liczony taki
0:07:00.700,0:07:03.000
element, bazujący na A.
0:07:03.380,0:07:05.380
To jest funkcja kolejna matematyczna.
0:07:05.380,0:07:07.200
Nie ma wcale potrzeby
0:07:07.200,0:07:10.140
szczegółowo wiedzieć, jak te funkcje działają
0:07:10.140,0:07:11.320
To nie jest istotne.
0:07:11.320,0:07:13.320
Natomiast ważne jest, żeby
0:07:13.320,0:07:14.560
rozumiejąc ten temat
0:07:14.560,0:07:17.160
wiedzieć, że są generowane dwie
0:07:17.160,0:07:20.240
ostatecznie takie liczby, które wynikają z dwóch różnych funkcji.
0:07:20.340,0:07:23.880
Jedna funkcja to jest hashująca, druga funkcja to jest ten element A,
0:07:23.880,0:07:26.020
czyli funkcja potęgowa.
0:07:26.020,0:07:30.380
I te dwie wartości są wysyłane przez sieć bezprzewodową
0:07:30.600,0:07:32.600
do drugiego uczestnika tej konwersacji.
0:07:32.600,0:07:35.880
Czyli w naszym przypadku 'Alice’ będzie punktem
0:07:35.880,0:07:41.760
dostępowym, a 'Bob’ będzie na przykład telefonem komórkowym lub odwrotnie.
0:07:42.240,0:07:44.240
To nie ma większego znaczenia, kto jest kim.
0:07:44.240,0:07:46.240
Bo zobaczcie, że z drugiej strony
0:07:46.240,0:07:47.680
ten 'Bob’ robi dokładnie to samo,
0:07:47.680,0:07:51.440
generuje dwie losowe liczby, małe 'b’ i duże 'B’,
0:07:51.760,0:07:54.240
następnie z dwóch funkcji tworzy
0:07:54.240,0:07:57.100
sB, czyli wynik funkcji hashującej
0:07:57.100,0:08:00.740
i wynik funkcji potęgowej, czyli PE.
0:08:00.740,0:08:03.060
I tutaj nie ma żadnego elementu,
0:08:03.060,0:08:05.380
który jest związany z hasłem współdzielonym,
0:08:05.380,0:08:06.960
który byłby wysyłany
0:08:06.960,0:08:09.440
przez tą naszą sieć bezprzewodową
0:08:09.440,0:08:11.720
lub byłby używany bezpośrednio
0:08:11.720,0:08:16.580
w funkcji hashującej, która jest potem wysyłana przez tą naszą sieć bezprzewodową.
0:08:16.740,0:08:19.220
I tutaj ciekawa rzecz się dzieje w kolejnym kroku.
0:08:19.220,0:08:22.460
Zobaczcie, że mamy kolejne funkcje matematyczne,
0:08:22.460,0:08:25.500
które nam pozwalają wyliczyć
0:08:25.500,0:08:29.700
bazując na danych, które mamy, czyli przede wszystkim na danej
0:08:29.700,0:08:34.000
duże 'A’ i PE, które mamy po stronie 'Alice’
0:08:34.000,0:08:35.720
ze swojego wyliczenia.
0:08:35.720,0:08:41.600
Po stronie 'Boba’ mamy te dwie dane sB i PE do -B
0:08:41.760,0:08:46.240
I z tych dwóch rzeczy jesteśmy w stanie na końcu wyliczyć coś takiego PE do ab.
0:08:46.580,0:08:48.580
To jest liczba. To jest po prostu liczba.
0:08:48.580,0:08:51.120
Ale co jest istotne, zobaczcie po drugiej stronie,
0:08:51.120,0:08:53.960
wyliczając z innych danych,
0:08:53.960,0:08:56.640
możemy dokładnie tą samą liczbę uzyskać.
0:08:56.640,0:09:00.560
Czyli wysyłając przez sieć bezprzewodową
0:09:00.560,0:09:05.360
informacje, które nie są bezpośrednio informacją o tych losowych liczbach
0:09:05.360,0:09:08.800
’a’ małe, duże 'A’ i 'b’ małe, duże 'B’.
0:09:08.800,0:09:11.440
Jesteśmy w stanie wyliczyć wspólną liczbę,
0:09:11.440,0:09:14.480
która już jest kluczem współdzielonym
0:09:14.480,0:09:18.500
umożliwiającym wykonywanie dalszych czynności
0:09:18.500,0:09:20.500
uzgadniania klucza sesyjnego.
0:09:20.500,0:09:22.500
Mamy tutaj element, który jest
0:09:22.500,0:09:25.960
możliwy do przesłania przez sieć bezprzewodową
0:09:25.960,0:09:29.420
w sposób zupełnie niejawny.
0:09:29.420,0:09:34.700
Zawierający elementy, które są niezwiązane bezpośrednio z hasłem współdzielonym
0:09:34.700,0:09:36.700
Czyli w WPA3, jeżeli
0:09:36.700,0:09:39.840
nawet użytkownik użyje sobie słabego hasła,
0:09:39.840,0:09:43.460
współdzielonego, typowo 'sieć wifi’ na przykład
0:09:43.460,0:09:47.780
albo 'dupa’, albo cokolwiek innego, co jest typowe słownikowe.
0:09:47.780,0:09:50.640
To na tej podstawie nie jest tworzony hash,
0:09:50.640,0:09:53.840
który byłby łatwiejszy do zgadnięcia, tylko jest
0:09:53.840,0:09:58.400
wykorzystywana informacja zupełnie niezależna oprócz tego hasła,
0:09:58.400,0:10:01.260
która jest możliwa do
0:10:01.260,0:10:03.260
zaszyfrowania tego ruchu,
0:10:03.260,0:10:05.900
a to oznacza wyższy poziom bezpieczeństwa.
0:10:05.900,0:10:10.320
Miejcie na uwadze, że tutaj cały czas mówimy o trybie współdzielonego hasła.
0:10:10.320,0:10:13.420
Czyli to się dotyczy również często sieci
0:10:13.560,0:10:16.440
takich korporacyjnych, w zakresie na przykład dostępu dla gościa.
0:10:16.440,0:10:19.740
Jeżeli ktoś tego typu tryb wykonuje.
0:10:19.740,0:10:22.460
Więc ten protokół SAE wzmacnia nam
0:10:22.460,0:10:24.460
tak systemowo
0:10:24.460,0:10:26.460
sposób szyfrowania
0:10:26.460,0:10:29.260
w zakresie sieci WPA3,
0:10:29.260,0:10:31.560
w trybie hasła współdzielonego.
0:10:31.560,0:10:36.400
No dobrze, ale co w takim razie z kwestiami sieci korporacyjnych.
0:10:36.520,0:10:41.140
Czyli jak tutaj WPA3 zwiększa poziom bezpieczeństwa,
0:10:41.240,0:10:43.780
jeżeli mamy RADIUS-a, jeżeli mamy IP-a,
0:10:43.780,0:10:45.620
i wykorzystujemy metody
0:10:45.620,0:10:48.960
uwierzytelnienia w opraciu o schemat korporacyjny.
0:10:49.400,0:10:52.180
Tutaj w tym przypadku jest sytuacja całkiem dobra,
0:10:52.180,0:10:55.480
ponieważ w  WPA2 nawet to
0:10:56.160,0:10:58.160
hasło, które jest wymieniane
0:10:58.160,0:11:00.860
pomiędzy uczestnikami tego połączenia bezprzewodowego,
0:11:00.860,0:11:04.780
jest to hasło, które bazuje nie tylko na
0:11:04.980,0:11:08.720
parametrach typu, co to jest za użytkownik,
0:11:08.720,0:11:12.100
ale również na parametrach, związanych z IP-em.
0:11:12.660,0:11:16.520
A to oznacza, że hash, który jest tworzony w ramach połączeń
0:11:16.520,0:11:19.540
korporacyjnych, jest dużo silniejszy,
0:11:19.540,0:11:21.860
czyli trudniejszy jest do zgadnięcia niż
0:11:21.860,0:11:25.500
te hashe, które są generowane w ramach
0:11:25.500,0:11:28.960
hasła współdzielonego, w takim trybie prostszym.
0:11:29.460,0:11:31.280
I co z tego dla nas wynika.
0:11:31.280,0:11:33.660
To znaczy, że w WPA3 nie ma potrzeby zmieniania
0:11:33.660,0:11:37.280
systemowego podejścia do szyfrowania tego typu ruchu.
0:11:37.280,0:11:39.280
Wystarczy, że zwiększymy
0:11:39.280,0:11:42.960
poziom algorytmu, który jest wykorzystywany.
0:11:43.140,0:11:45.360
I to, co zostało zaproponowane
0:11:45.360,0:11:48.120
w ramach WPA3, czy będzie wymagane
0:11:48.120,0:11:50.980
to możliwość w trybie enterprise,
0:11:50.980,0:11:52.980
czyli tym korporacyjnym, wykorzystanie
0:11:53.360,0:11:55.560
minimum algorytmów, które są związane
0:11:55.560,0:11:58.260
z kryptografią eliptyczną.
0:11:58.660,0:12:00.660
I jest to inny po prostu rodzaj funkcji.
0:12:01.080,0:12:05.340
I tutaj chciałem Wam pokazać w dużym skrócie, jaka jest różnica pomiędzy
0:12:05.340,0:12:08.360
tą funkcją eliptycznej kryptografii
0:12:08.580,0:12:13.820
a standardową funkcją hasha, który jest do tej pory używany.
0:12:14.280,0:12:16.740
Przede wszystkim stwierdzono, że
0:12:17.140,0:12:18.680
w tym rodzaju funkcji
0:12:18.680,0:12:22.220
jest wyższy poziom skomplikowania.
0:12:22.360,0:12:24.200
To jest ten rodzaj funkcji.
0:12:24.200,0:12:27.420
Wyższy poziom skomplikowania tego hasha,
0:12:27.420,0:12:29.420
a to oznacza, że mogą być
0:12:29.780,0:12:33.480
krótsze ciągi znaków jako wynik funkcji.
0:12:33.480,0:12:36.840
i będą silniej chronić tą naszą sieć bezprzewodową.
0:12:36.840,0:12:40.540
W stosunku do typowych funkcji hashujących,
0:12:40.540,0:12:43.520
czyli na przykład Diffiego-Hellmana w grupie czwartej.
0:12:43.520,0:12:46.840
Czy innych nie krzywych elpitycznych.
0:12:47.060,0:12:49.060
To ma jeden duży plus.
0:12:49.060,0:12:52.300
Mianowicie, jeżeli możemy sobie tworzyć krótsze hashe,
0:12:52.300,0:12:55.940
które są tak samo silne jak te dłuższe w WPA2,
0:12:55.940,0:12:59.420
to możemy mniej procesora zużyć
0:12:59.420,0:13:02.720
na obliczanie szyfrowania i deszyfrowania ruchu,
0:13:02.720,0:13:05.540
żeby móc ten ruch odpowiednio zabezpieczyć.
0:13:05.840,0:13:08.860
I cała kryptografia, nie tylko w zakresie Wi-Fi
0:13:08.860,0:13:11.120
idzie w tą stronę, że używane są
0:13:11.120,0:13:15.280
funkcje hashujące, które się opierają na kryptografii eliptycznej.
0:13:15.420,0:13:18.340
Wracając tutaj do naszego obrazka,
0:13:18.340,0:13:20.340
to po prostu zamieniamy
0:13:20.340,0:13:23.400
funkcję, która tutaj wcześniej była wymieniona jako sA
0:13:23.400,0:13:25.880
Ją zamieniamy po prostu na tą funkcję eliptyczną,
0:13:25.880,0:13:27.800
czyli jak tu widzicie w tym przykładzie
0:13:27.800,0:13:31.300
y^2=x^3+2x+3
0:13:31.560,0:13:35.260
I tak samo z drugiej strony, tworzymy taką samą zamianę
0:13:35.540,0:13:38.920
Czyli mamy funkcję eliptyczną,
0:13:38.920,0:13:41.560
która jest zastępowana
0:13:41.740,0:13:43.180
w tym całym schemacie.
0:13:43.180,0:13:46.420
Cały schemat się nie zmienia.
0:13:46.420,0:13:49.880
Czyli my tylko w inny sposób tworzymy tego hasha
0:13:49.880,0:13:54.860
i jest on trudniejszy do zgadnięcia, jeżeli chodzi o samą funkcję matematyczną.
0:13:55.240,0:13:59.220
I to w zasadzie nie trzeba nic więcej wiedzieć niż, że tak jest.
0:13:59.540,0:14:03.140
Dla tych, którzy chcieliby więcej sobie poczytać na ten temat,
0:14:03.140,0:14:06.480
to jest możliwość zobaczenia, nawet w formie graficznej,
0:14:06.740,0:14:11.220
że taka funkcja ma po prostu pewne swoje właściwości, które
0:14:11.220,0:14:15.220
są wykorzystywane do tworzenia tych silniejszych hashy.
0:14:15.220,0:14:20.340
I pewne punkty, które są zaznaczone w takiej prostej wersji tej funkcji
0:14:20.340,0:14:24.560
umożliwiają wyliczenie po prostu innych punktów tej funkcji.
0:14:24.560,0:14:26.940
Nie zamierzam pogłębiać tego jakoś szczególnie.
0:14:26.940,0:14:29.960
Jeżeli ktoś będzie ciekaw, to może napisać w komentarzu.
0:14:29.960,0:14:35.620
Jeżeli będzie taka potrzeba, to mogę bardziej szcegółowo wytłumaczyć te funkcje hashujące.
0:14:35.980,0:14:39.060
To co jest istotne, jeżeli chodzi o podwyższenie zabezpieczenia
0:14:39.060,0:14:42.500
w sieciach WPA3, to to, że po prostu funkcje matematyczne
0:14:42.500,0:14:46.200
w całym schemacie przekazywania niejawnie
0:14:46.200,0:14:49.280
informacji o kluczu szyfrującym, sesję bezprzewodową,
0:14:49.280,0:14:53.500
są po prostu realizowane w sposób efektywniejszy.
0:14:53.500,0:14:56.500
Mniej wymagający obliczeniowo, a jednocześnie
0:14:56.500,0:15:00.080
trudniejszy w zgadnięciu tego całego procesu.
0:15:00.080,0:15:05.200
Przejdźmy teraz do tematu, związanego z problemem sieci otwartych.
0:15:05.200,0:15:08.220
Czyli jak WPA3, sieć otwarta
0:15:08.220,0:15:10.900
będzie zabezpieczona, tak żeby
0:15:10.900,0:15:15.260
ataki, które dzisiaj są znane nie były do wykonania.
0:15:15.260,0:15:19.220
Przynajmniej nie w taki prosty sposób, jak to jest dzisiaj możliwe.
0:15:19.220,0:15:22.260
Jeżeli spojrzysz na to, jak dzisiaj sieć otwarta działa,
0:15:22.260,0:15:25.340
to patrząc nawet na te dwa urządzenia,
0:15:25.340,0:15:27.340
które mam tutaj pokazane.
0:15:27.340,0:15:30.060
Czyli mamy telefon bezprzewodowy w sieci otwartej
0:15:30.060,0:15:33.100
On będzie działał w ten sposób, że
0:15:33.100,0:15:37.520
będzie się łączył po prostu do punktu dostępowego w sieci open
0:15:37.800,0:15:42.760
i podobnie będzie mógł zrobić ten laptop, który jest z tej samej sieci.
0:15:42.760,0:15:48.440
I tutaj nie ma żadnych dodatkowych ograniczeń tego procesu.
0:15:48.660,0:15:51.840
Co jest obecnie w tej sieci mało bezpieczne,
0:15:51.840,0:15:54.560
to to, że komunikacja pomiędzy
0:15:55.580,0:15:58.840
tymi urządzeniami w sieci open,
0:15:58.840,0:16:02.440
czyli jak oba się podłączą do tego punktu dostępowego
0:16:02.560,0:16:04.560
w hotelu, na lotnisku.
0:16:04.560,0:16:09.700
To one między sobą mogą wysyłać i odbierać bezpośrednio dane.
0:16:09.700,0:16:12.800
I jeden z takich typowych schematów
0:16:13.000,0:16:15.000
ataku polega na tym, że
0:16:15.000,0:16:18.000
że ten laptop oszuka komórkę
0:16:18.300,0:16:22.480
w taki sposób, że do tej komórki wyśle pakiet ARP,
0:16:22.480,0:16:24.240
odpowiednio przygotowany.
0:16:24.240,0:16:26.240
I ten pakiet będzie mówił, że
0:16:26.240,0:16:28.480
ta komórka ma już nie wysyłać
0:16:28.920,0:16:30.920
do punktu dostępowego
0:16:30.920,0:16:32.920
pakietów, czyli że brama nie jest
0:16:32.920,0:16:34.920
na punkcie dostępowym.
0:16:34.920,0:16:37.460
Tylko mówi, że ten laptop powinien,
0:16:37.460,0:16:40.480
jeżeli chce bramę osiągnąć swoją, wysyłać pakiety
0:16:40.480,0:16:43.640
tutaj na interfejs tego laptopa.
0:16:44.280,0:16:48.000
A ten laptop oczywiście najczęściej wysyła dalej te pakiety tutaj
0:16:48.000,0:16:49.900
do punktu dostępowego.
0:16:49.900,0:16:52.380
Czyli to jest typowy atak 'man in the middle’.
0:16:52.380,0:16:56.700
Czyli atak polegający na tym, że my przekierowujemy sobie ruch
0:16:57.020,0:16:59.100
od takiego telefonu komórkowego
0:16:59.100,0:17:01.460
przez naszego laptopa, dalej do sieci.
0:17:01.820,0:17:03.420
I w tym momencie widzimy
0:17:03.420,0:17:05.420
cały ruch, który przechodzi nam
0:17:05.640,0:17:07.640
tą siecią bezprzewodową
0:17:07.640,0:17:10.860
przez nasz laptop i idzie do Internetu.
0:17:10.860,0:17:13.280
Dlaczego to wysyłanie do Internetu jest istotne.
0:17:13.280,0:17:15.400
Dlatego, że wtedy ten użytkownik
0:17:15.400,0:17:18.580
komórki nie orientuje się, że jest
0:17:18.580,0:17:21.300
podsłuchiwany, w związku z tym więcej danych wysyła
0:17:21.300,0:17:24.920
a my możemy sobie te dane odsłuchiwać i zapisywać.
0:17:25.100,0:17:28.760
Głównie najczęściej ludzie to robią pod kątem pozyskania haseł.
0:17:28.760,0:17:33.400
Czyli jeżeli mamy jakieś portale nieszyfrowane, to jesteśmy w stanie
0:17:33.400,0:17:34.960
to hasło zapisać.
0:17:35.100,0:17:40.100
I to jest między innymi jeden z elementów, dlaczego większość tych portali,
0:17:40.400,0:17:44.480
czyli na przykład wyszukiwarek, facebook-ów i innych portali
0:17:44.480,0:17:51.380
ma ten element pozyskiwania loginu i hasła w takiej fazie zaszyfrowanej,
0:17:51.380,0:17:52.960
czyli idzie po prostu TLS-em.
0:17:53.340,0:17:56.880
Wtedy nie widzimy na poziomie tego laptopa oczywiście tych
0:17:56.880,0:18:00.520
danych, związanych z tym ruchem.
0:18:00.520,0:18:03.920
Jak zabezpiecza teraz, taki scenariusz WPA3.
0:18:03.920,0:18:05.920
WPA3 dostarcza
0:18:05.920,0:18:08.060
mechanizm, który się nazywa OWE
0:18:08.060,0:18:10.060
i on polega na tym, że
0:18:10.060,0:18:12.060
każde urządzenie, które się podłączy
0:18:12.060,0:18:13.400
w takiej sieci otwartej,
0:18:13.400,0:18:17.480
będzie miało wygenerowany swój klucz
0:18:17.480,0:18:20.400
i będzie to połączenie zaszyfrowane.
0:18:20.820,0:18:24.140
Czyli tutaj nie trzeba będzie żadnego hasła wpisywać.
0:18:24.140,0:18:27.200
Z punktu widzenia użytkownika będzie to
0:18:27.200,0:18:29.200
przezroczyste. Będzie działało dokładnie
0:18:29.200,0:18:31.200
w taki sam sposób, jak do tej pory działa.
0:18:31.200,0:18:32.900
Natomiast będzie
0:18:32.900,0:18:35.400
cały ruch zaszyfrowany
0:18:35.400,0:18:38.440
jeżeli chodzi o uczestników danej sieci.
0:18:38.440,0:18:40.440
Czyli w tym przypadku
0:18:40.440,0:18:42.640
jeżeli chciałby ten laptop
0:18:43.120,0:18:44.800
wysłać jakiś pakiet
0:18:45.080,0:18:47.080
do tego telefonu komórkowego,
0:18:47.300,0:18:50.540
to to po prostu nie będzie możliwe bezpośrednio.
0:18:50.920,0:18:54.540
Jeżeli by chciał to zrobić, to jedyna opcja jest
0:18:54.540,0:18:56.020
przesłania przez ten punkt dostępowy.
0:18:56.020,0:18:59.180
A my jako administratorzy już tego punktu dostępowego
0:18:59.180,0:19:02.140
możemy na taką akcję zezwolić lub ją zablokować.
0:19:02.320,0:19:03.860
Mamy wtedy taką kontrolę.
0:19:04.440,0:19:06.440
Więc w ten sposób działa to OWE.
0:19:06.840,0:19:09.900
Tutaj jest jeszcze jeden element, który warto mieć na uwadze.
0:19:10.180,0:19:13.200
Mianowicie OWE jest
0:19:13.200,0:19:15.520
dostęne w WPA3, ale co
0:19:15.760,0:19:18.620
w przypadku, kiedy nie mamy WPA3
0:19:18.620,0:19:22.580
na urządzeniu końcowym, czyli większość urządzeń jest w standardzie WPA2.
0:19:23.180,0:19:25.940
I na tę okoliczność Wi-Fi Alliance
0:19:25.960,0:19:29.020
wprowadziło taki tryb transition, czyli taki przejściowy,
0:19:29.020,0:19:31.440
pozwalający wprowadzić taki scenariusz,
0:19:31.440,0:19:34.020
który polega na tym, że mamy jednocześnie
0:19:34.020,0:19:36.520
dwa BSSID ogłaszane
0:19:36.520,0:19:40.500
i mamy widoczną jedną sieć dla gościa.
0:19:40.500,0:19:43.680
Czyli SSID, to które widzi użytkownik końcowy, jest jedno
0:19:43.680,0:19:48.660
ale BSSID, które jest rozgłaszane przez dany punkt dostępowy
0:19:48.660,0:19:50.000
jest jakby podwójne.
0:19:50.000,0:19:53.720
Jedno z tych BSSID jest po prostu otwartym
0:19:53.720,0:19:55.640
typowo, tak jak do tej pory,
0:19:55.640,0:19:58.080
a drugie jest już w trybie OWE.
0:19:58.080,0:20:00.680
I teraz, jeżeli są urządzenia, które
0:20:00.680,0:20:02.680
wspierają WPA3, to zostaną
0:20:02.680,0:20:06.060
przekierowane do BSSID tego OWE,
0:20:06.280,0:20:09.340
a te urządzenia, które są w trybie WPA2,
0:20:09.340,0:20:14.480
będą miały po prostu dalej otwartą sieć, tak jak to działało do tej pory.
0:20:14.740,0:20:19.420
Przynajmniej tych użytkowników, którzy będą już w WPA3, będziemy w stanie lepiej chronić
0:20:19.820,0:20:23.920
w tej samej, z punktu widzenia użytkownika końcowego sieci bezprzewodowej,
0:20:23.920,0:20:26.740
o tej samej nazwie i w ten sam sposób podłączanej.
0:20:26.760,0:20:27.720
Tak to ma zadziałać.
0:20:27.720,0:20:30.720
Kolejnym elementem, to jest zabezpieczenie
0:20:30.720,0:20:33.580
ruchu managementowego, czyli takiego kontrolnego.
0:20:33.580,0:20:35.580
Dzisiaj, tak jak wspomniałem już wcześniej,
0:20:35.580,0:20:38.160
jest możliwość wysyłania ramek
0:20:38.160,0:20:42.200
z dowolnego urządzenia, które jest w danej sieci Wi-Fi
0:20:42.840,0:20:44.840
i urządzenie końcowe
0:20:45.120,0:20:50.040
telefon, laptop będzie po prostu taką ramkę, na przykład rozłączenia honorowało.
0:20:50.120,0:20:52.440
To, co zostaje tutaj zmienione w WPA3,
0:20:52.440,0:20:55.400
to to, że to stowarzyszenie
0:20:55.400,0:20:58.280
między punktem dostępowym a klientem
0:20:58.560,0:21:00.560
będzie uwierzytelnione.
0:21:00.640,0:21:02.980
Czyli jeżeli wysłane zostanie
0:21:02.980,0:21:06.000
tak jak w tym przypadku, od strony trzeciego urządzenia,
0:21:06.040,0:21:09.060
czyli jakiegoś atakującego, ramka rozłączenia
0:21:09.200,0:21:11.200
do klienta bezprzewodowego,
0:21:11.200,0:21:13.560
to klient bezprzewodowy będzie w stanie zweryfikować,
0:21:13.560,0:21:15.860
że ta ramka przyszła od urządzenia
0:21:16.080,0:21:18.440
trzeciego, a nie od punktu dostępowego,
0:21:18.440,0:21:20.400
do którego jest podłączony.
0:21:20.400,0:21:22.400
W związku z tym, zostanie
0:21:22.400,0:21:24.400
zignorowana po prostu
0:21:24.400,0:21:28.380
ta komunikacja i żądanie rozłączenia się z siecią bezprzewodową.
0:21:28.380,0:21:30.520
Tak ma zadziałać PMF.
0:21:30.520,0:21:33.660
I dzięki temu będzie możliwość
0:21:33.660,0:21:36.160
lepszego zabezpieczenia ruchu kontrolnego
0:21:36.160,0:21:39.020
niż to miało miejsce do tej pory, między innymi w WPA2.
0:21:39.020,0:21:42.820
No i na koniec temat związany z urządzeniami IoT.
0:21:42.820,0:21:46.660
Urządzeń IoT robi się co raz więcej, ale co ważniejsze
0:21:46.660,0:21:49.060
one zaczynają mieć inny trochę profil
0:21:49.060,0:21:51.780
i możliwości podłączenia się do naszej sieci.
0:21:52.160,0:21:54.160
Czyli, jeżeli mamy laptopa
0:21:54.160,0:21:56.160
albo telefon komórkowy, no to możemy
0:21:56.160,0:21:58.160
wpisać po prostu mu hasło współdzielone,
0:21:58.160,0:21:59.820
tak to się najczęściej dzisiaj robi.
0:21:59.820,0:22:03.080
I podłączyć do naszej sieci bezprzewodowej.
0:22:03.340,0:22:05.660
Nawet niektórzy producenci udostępniają dzisiaj
0:22:05.660,0:22:07.220
taką możliwość, że
0:22:07.220,0:22:10.740
tworzone są hasła współdzielone, dedykowane poszczególnym urządzeniom
0:22:10.740,0:22:12.740
lub poszczególnym grupom urządzeń.
0:22:12.740,0:22:15.100
Nie jest to częścią standardu WPA3,
0:22:15.100,0:22:19.240
ale jest to implementowane przez niektórych producentów rozwiązań RADIUS-owych.
0:22:19.900,0:22:22.740
No i teraz, jeżeli popatrzymy sobie na urządzenie, które
0:22:22.740,0:22:27.040
będzie na przykład sensorem takim temperatury.
0:22:27.160,0:22:31.560
Ono nie ma nawet możliwości wpisania z klawiatury jakiegoś hasła.
0:22:31.560,0:22:34.880
Często te urządzenia nie będą miały nawet wyświetlacza.
0:22:34.880,0:22:39.400
No i jak podłączyć tego typu rozwiązania IoT, które
0:22:39.520,0:22:41.960
nie mają żadnej możliwości wprowadzenia
0:22:42.080,0:22:45.000
danych, bezpośrednio z jakiegoś
0:22:45.000,0:22:49.400
elementu, który nam typowo służy, czyli klawiatura, monitorek.
0:22:49.600,0:22:51.600
W ramach Wi-Fi Alliance
0:22:51.600,0:22:53.600
zdefiniowano taki tryb
0:22:53.600,0:22:55.600
łaczenia tego typu urządzeń IoT,
0:22:55.600,0:22:58.700
który polega na tym, że wykorzystujemy QR kody.
0:22:59.120,0:23:02.480
Czyli w tym przypadku scenariusz polegałby na tym, że mamy
0:23:02.480,0:23:04.480
na telefonie komórkowym
0:23:04.480,0:23:07.560
aplikację, która jest konfiguratorem.
0:23:07.560,0:23:11.200
Zczytujemy sobie taki QR kod z punktu dostępowego.
0:23:11.200,0:23:13.200
Następnie w drugim kroku
0:23:13.200,0:23:15.200
zczytujemy podobne QR kody
0:23:15.200,0:23:16.820
z urządzeń IoT.
0:23:16.820,0:23:18.820
No i w trzecim kroku
0:23:18.820,0:23:21.800
ta aplikacja, którą mamy na swoim telefonie komórkowym
0:23:21.800,0:23:24.320
jest w stanie powiązać te dwa elementy.
0:23:24.320,0:23:26.800
Czyli wiemy już do jakiego punktu dostępowego
0:23:26.900,0:23:30.720
i wiemy jakie urządzenia IoT chcemy łączyć.
0:23:30.820,0:23:33.120
I tą informację wysyłamy po prostu do
0:23:33.120,0:23:36.440
naszego punktu dostępowego lub systemu,
0:23:36.440,0:23:40.040
który zarządza dostępem do naszej sieci bezprzewodowej.
0:23:40.320,0:23:43.140
I jest ten proces w pełni zautomatyzowany.
0:23:43.340,0:23:47.100
Czyli mamy możliwość wysłania informacji jakie urządzenia,
0:23:47.100,0:23:49.360
do jakiej sieci mają być podpięte.
0:23:49.500,0:23:53.260
I możemy to zrobić z telefonu komórkowego w łatwy sposób.
0:23:53.260,0:23:55.260
Więc jest to
0:23:55.260,0:23:58.260
sposób, procedura bardzo przyjemna.
0:23:58.640,0:24:01.260
W ramach WPA3 nazywa się to 'easy connect’.
0:24:01.260,0:24:03.820
I będzie opisane to na urządzeniach,
0:24:03.960,0:24:06.780
które to wspierają, czyli będzie po prostu taka informacja.
0:24:07.100,0:24:10.160
Tak jak to się dzisiaj dzieje w przypadku sposobu podłączenia
0:24:10.160,0:24:13.640
urządzeń w trybie WPS do punktu dostępowego.
0:24:13.860,0:24:16.180
Na dzisiaj to wszystko. Jeżeli masz jakieś pytania
0:24:16.180,0:24:18.320
co do tematów, które dzisiaj omówiłem,
0:24:18.320,0:24:20.320
to oczywiście pisz w komentarzu.
0:24:20.700,0:24:22.700
Jeżeli masz jakieś inne propozycje tematów
0:24:22.700,0:24:25.020
to też chętnie zapoznam si
0:24:25.020,0:24:27.480
z Waszymi rekomendacjami.
0:24:27.480,0:24:29.940
Na dzisiaj to wszystko. Dziękuję Ci za uwagę.
0:24:29.940,0:24:31.940
I do usłyszenia w kolejnym odcinku.

%MCEPASTEBIN%