|

Podkast 22T4 Sie膰 Wi-Fi go艣cinna z Captive Portalem (WPA3-OWE) [Konfiguracja]

Wi臋cej miejsc do pos艂uchania:

Spotify

WERSJA TEKSTOWA

Cze艣膰, witam Ci臋 w dzisiejszym odcinku mojego podkastu. Dzi艣 temat OWE – Opportunistic Wireless Encryption. Zacznijmy od tego, jaki problem rozwi膮zuje to rozszerzenie. Jest to odpowied藕 na typowe ataki passive w sieciach bezprzewodowych nieszyfrowanych, czyli je艣li mamy sie膰 go艣cinn膮 typowo WPA2 to ca艂y ruch pomi臋dzy Access Pointem a klientem ko艅cowym jest nieszyfrowany a dost臋p do Internetu ograniczamy przez Captive Portal – tak jest najcz臋艣ciej. W przypadku implementacji prostszych np w kafejkach, kawiarniach i innych miejscach, w kt贸rych jest jeden klucz wsp贸艂dzielony, nie ma nawet Captive Portal-u. Nie zmienia to jednak faktu, 偶e ca艂y ruch w takich miejscach jest dost臋pny dla wszystkich ch臋tnych, czyli niezale偶nie od tego, czy pod艂膮czamy si臋 do sieci go艣cinnej w hotelu, czy w kawiarni, to osoba, kt贸ra siedzi obok, mo偶e pods艂ucha膰 nasz膮 rozmow臋 z Access Pointem. Je偶eli nasz ruch nie jest szyfrowany na innym poziomie, czyli np w przegl膮darce, nie jest przepuszczany przez tunel VPN-owy, to wszystkie pakiety, kt贸re nie s膮 szyfrowane, mog膮 zosta膰 przechwycone i ods艂uchane, jak to ma miejsce w medium radiowym.

W przypadku rozszerzenia 802.11 jest ono powi膮zane, ale nie jest integraln膮 cz臋艣ci膮 WPA3, jest mo偶liwo艣膰 szyfrowania ruchu per sesje. Dzia艂a to w ten spos贸b, 偶e jest to rozszerzenie RSN, czyli Robust Security Network, takiej cz臋艣ci dotycz膮cej rozszerze艅 bezpiecze艅stwa w 802.11. W ramach tego rozszerzenia jest mo偶liwo艣膰 stosowania wspomnianego OWE, dzi臋ki temu punkt dost臋powy wraz z klientem negocjuj膮 has艂o dla po艂膮czenia sieci bezprzewodowej. Mamy podobn膮 sytuacj臋 – generowany Pairwise Master Key dla takiego po艂膮czenia i ka偶dy klient go艣cinny ma inny klucz, tzn na warstwie radiowej, pomi臋dzy r贸偶nymi klientami w danej kawiarni nie b臋dzie mo偶liwo艣ci pods艂uchania transmisji, nawet je艣li id膮 tam pakiety nieszyfrowane SSL czy TLS. Jest to podwy偶szenie poziomu bezpiecze艅stwa, jedyne wymaganie jakie musi spe艂nia膰 infrastruktura i klient ko艅cowy, to musz膮 spe艂nia膰 rozszerzenie OWE i jest to negocjowane pomi臋dzy urz膮dzeniami. Punkt dost臋powy wysy艂a taki identyfikator w swoim pakiecie Beacon-owym i klient musi odpowiednio odpowiedzie膰 na ten pakiet, 偶e wspiera r贸wnie偶 rozszerzenie OWE. Dzi臋ki temu mamy mo偶liwo艣膰 zaszyfrowania indywidualnie ka偶dej sesji, ka偶dego klienta w tej sieci bezprzewodowej.

Je偶eli masz do tego jakie艣 pytania to oczywi艣cie pisz w komentarzu. Je艣li chcia艂by艣 zobaczy膰 konfiguracj臋, b臋dzie ona prosta, poniewa偶 od strony administratora, r贸wnie偶 u偶ytkownika, nie jest wymagany 偶aden dodatkowy mechanizm, opr贸cz tego, 偶e ewentualnie mo偶e zaznaczy膰 taki poziom wsparcia. Jest to ju偶 zale偶ne od implementacji na urz膮dzeniu ko艅cowym, jak dany producent implementuje to rozszerzenie, czy ono zawsze jest w艂膮czone, czy jest alternatyw膮. W ka偶dym razie z punktu widzenia administratora punktu dost臋powego wystarczy zaznaczy膰 odpowiedni膮 opcj臋. Mo偶esz zobaczy膰 jak to zrobi膰 na rozwi膮zaniu Aruba w najbli偶szym poniedzia艂kowym odcinku. Dzi臋kuj臋 Ci za dzi艣 i do us艂yszenia ju偶 za tydzie艅.


Podobne wpisy

Dodaj komentarz

Tw贸j adres e-mail nie zostanie opublikowany. Wymagane pola s膮 oznaczone *