Podkast 22T2 Sieć Wi-Fi z hasłem współdzielonym (WPA3-SAE) [Konfiguracja]

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu – temat WPA3-Personal, czyli co nowego daje nam ten standard. Jeżeli chodzi o ideę wprowadzenia nowego standardu, to przede wszystkim chodziło o odświeżenie poziomu bezpieczeństwa i nowych założeń dla współpracy pomiędzy urządzeniami bezprzewodowymi. Zarówno końcowymi jak i infrastrukturą, czyli punktami dostępowymi, kontrolerami.

Przede wszystkim w WPA3-Personal został zmieniony sposób przetwarzania hasła na klucze sesyjne i klucze wymiany szyfrowania pomiędzy urządzeniem końcowym a Access Pointem. Tutaj mamy nowy algorytm SAE, który pomaga na tym, że nawet jeżeli znamy lub spróbujemy odgadnąć hasło, coś co było możliwe w przypadku WPA2, to nie jesteśmy w stanie poznać czy odszyfrować nagranej już sesji. Hasło składa się jakby z takich dwóch części, gdzie nie ma pełnej informacji z obu stron na temat danego hasła. W przypadku gdy nawet słownikowo spróbujemy odzyskać czy odgadnąć dane hasło, to ono nie przetworzy się właściwie na klucze sesyjne i szyfrowanie pomiędzy punktem dostępowym a klientem. Nawet jeśli zapiszemy taki ruch offline, to nic nam to nie da.

Szyfrowanie, które w ramach WPA2-Personal było możliwe, czyli wszystkie urządzenia podłączone do danego Akcess Pointa posługiwały się jednym hasłem i jego odgadnięcie umożliwiało odgadnięcie kluczy szyfrujących a tym samym odszyfrowanie wszystkich innych transmisji dla tego punktu dostępowego. W przypadku WPA3 jest to poprawione i każda sesja jest szyfrowana innymi kluczami, czyli nie ma możliwości, nawet jeśli bylibyśmy w stanie aktywnie się podłączyć i zapisalibyśmy ruch radiowy na naszym komputerze, to mimo odszyfrowania tej naszej jednej sesji z jakimiś narzędziami, nie moglibyśmy odszyfrować innych sesji. Klucze sesyjne i PMK (Master Key) również są inne dla każdego użytkownika i każdej sesji w trybie Personal, bo mówimy tylko o tym trybie pracy.

Jeśli chodzi o tryb Enterprise to tutaj mamy mniej zmian i działa on nieco inaczej, ale jest tam wymagany Radius, w związku z tym cały mechanizm uwierzytelniania jest nieco inny. Wróćmy jednak do WPA3-Personal, kolejna rzecz, którą wprowadzono w ramach nowego standardu to wymaganie na szyfrowanie i uwierzytelnianie ramek managementowych. Oznacza to, że takie funkcjonalności IDS-owe, które do tej pory też były stosowane, czyli żeby rozłączać np wrogie Akcess Pointy, czy podszywające się Akcess Pointy lub klientów, którzy są zidentyfikowani jako wrodzy, tzw. bezprzewodowe IDS-y. Nie będzie to już działało przy WPA3, dlatego, że punkt dostępowy nie będzie z zewnątrz ufał takim ramkom, które będą wysyłały RS-y takich sesji.

Z jednej strony powiększany jest poziom bezpieczeństwa ramek zarządzających, z drugiej strony pewne funkcjonalności, które do tej pory działały, nie będą działać. Zawsze jest coś za coś, ale jeśli mamy większą kontrolę nad naszymi ramkami zarządzającymi, w naszej sieci, to też jesteśmy mniej podatni na ataki zewnętrzne, które tego typu mechanizmy mogłyby wykorzystywać. Są to takie dwie najważniejsze rzeczy, które się zmieniły w WPA3. Z hasłem mógłbyś sobie wyobrazić, że jedna strona tego połączenia zapisuje sobie swoją część hasła, druga strona tego połączenia, czyli urządzenie końcowe, drugą część tego hasła. Obie części tego hasła są przetwarzane, jednak żadna ze stron, czyli Akcess Point nie wie, jakie to było hasło pierwotne ze strony urządzenia końcowego a urządzenie końcowe nie wie, jaka to była część hasła na Akcess Point-cie. W związku z tym, nie ma możliwości wprost odgadnięcia tego współdzielonego klucza, który jest dla wszystkich użytkowników taki sam. Jest on później przetwarzany na inne PMK oraz inne klucze sesyjne. Tak najkrócej można to zobrazować.

Sama konfiguracja się w zasadzie nie różni od WPA2, dlatego, że konfiguracja z punktu widzenia pól w których wpisujesz hasło i całego mechanizmu konfigurowania administracyjnego, to mamy dokładnie to samo. Jeśli jesteś zainteresowany w jaki sposób konfigurować WPA3 na kontrolerach ARUBY to zapraszam Cię na odcinek poniedziałkowy. Pytania pisz w komentarzu, dziękuję Ci za dziś i do usłyszenia za tydzień.