Podkast 22T3 Sieć Wi-Fi z loginem i hasłem (WPA3-Enterprise) [Konfiguracja]

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Dzisiaj temat WPA3- Enterprise. Co się zmienia, jeśli chodzi o implementację WPA3 w wersji korporacyjnej? Mianowicie sam proces jest dużo bezpieczniejszy niż w przypadku WPA2 i klucza współdzielonego. Tzn., że nawet w przypadku WPA2 klucza współdzielonego i w przypadku WPA2-Enterprise jest olbrzymia różnica. WPA2 Enterprise, jeśli stosujemy Radiusa, to jest pomiędzy użytkownikiem a Radiusem wykonywany protokół EAP over LAN (EAPoL). Oznacza to, że nie ma możliwości podsłuchania bezpośrednio transmisji i porównywania hash-y tak jak jest to możliwe do wykonania w WPA2-Personal. Dzięki temu ten protokół wymiany informacji czy uwierzytelnienia pomiędzy Radiusem a użytkownikiem WPA2 jest dużo bezpieczniejszy.

Co zatem poprawiono w przypadku WPA3-Enterprise? Cały schemat 802.1x EAPoL został taki sam, jedyne co ustandaryzowano to schemat algorytmów szyfrujących i minimalne wymagania na długość kluczy. W przypadku gdy urządzenie jest zgodne z WPA3-Enterprise to oznacza, że musi wspierać AES-GCM z kluczem nie krótszym niż 256 bitów, jak również długość klucza PMK, żyli klucza szyfrującego Master Key dla połączenia bezprzewodowego, nie może być mniejsza niż 384. Wartości te zostały ustanowione na sztywno co podwyższa znacznie poziom bezpieczeństwa dla połączeń bezprzewodowych, z tego powodu, że nie będzie możliwe połączenie się w trybie WPA3-Enterprise z urządzeniem bezprzewodowym (punktem dostępowym), jeżeli od strony klienta te minimalne wymagania nie będą spełnione.

Jeżeli chodzi o implementację, to głównie poprawiono w ramach WPA3-Enterprise jednorodność. Wykluczono pewne błędy w implementacji i miksowania pewnych algorytmów szyfrujących w uwierzytelnieniu. Należy pamiętać, że zawsze jest to negocjowane w przypadku połączeń bezprzewodowych i najwyższy możliwy wynegocjowany format szyfrowania pomiędzy klientem końcowym a punktem dostępowym jest wykorzystywany. Jeśli ktoś chce wykonać atak na infrastrukturę, to oczywiście przygotowuje klienta w taki sposób, żeby maksymalnie słabe zabezpieczenia wykorzystać w przypadku podłączenia się do sieci. Tak jak wspomniałem tryb Enterprise, czyli w oparciu o Radiusa, nawet w przypadku WPA2 nie jest podatny na znane z passphrase, czyli z klucza współdzielonego ataki. W związku z tym nawet wykonanie takiego ataku z podstawionym klientem i słabymi algorytmami nie wiele więcej daje, bo daje możliwość tylko ewentualnie odszyfrowania własnej sesji. Co nie przekłada się na korzyść odszyfrowania ruchu sąsiadów.

Tak więc jeśli chodzi o WPA3 to nie ma dużych zmian w zakresie korporacyjnym, ale jest pewne uporządkowanie i ograniczenie do aktualnie silnych algorytmów. W przypadku AES-a to tutaj też wybrano wersję GCM, dlatego, że jest ona wydajna, jeżeli chodzi o procesory, nie muszą to być jakieś silne urządzenia, które miałyby ten ruch szyfrować, co jest niewątpliwie istotne i jest argumentem branym pod uwagę. Z drugiej strony jest to poziom szyfrowania wystarczający dla zastosowań krytycznych, czyli np amerykańskich Agencji Rządowych, czy sektora komercyjnego. To zapewne będzie się też zmieniało z czasem, jak będą się pojawiały silniejsze formy ataku lub silniejsze urządzenia końcowe. To tyle w tym zakresie tematycznym, nie ma tutaj dużo więcej do dodania. W przypadku gdy włączymy w WPA3 tryb Enterprise tzn. że co najmniej takie wymagane algorytmy i długości klucza będą stosowane.

W Arubie w trybie instant WPA3 jest wspierane od wersji 8.4, więc jeśli używamy takiego trybu w wersji co najmniej 8.4, to możemy sobie zapewnić taki poziom bezpieczeństwa. Pamiętać oczywiście trzeba o tym, że ze strony klienta również taki tryb, wsparcie dla WPA3 powinien być dostępny. To tyle na dziś, dziękuję Ci za uwagę i do usłyszenia już za tydzień.