Podkast 22T4 Sieć Wi-Fi gościnna z Captive Portalem (WPA3-OWE) [Konfiguracja]

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Dziś temat OWE – Opportunistic Wireless Encryption. Zacznijmy od tego, jaki problem rozwiązuje to rozszerzenie. Jest to odpowiedź na typowe ataki passive w sieciach bezprzewodowych nieszyfrowanych, czyli jeśli mamy sieć gościnną typowo WPA2 to cały ruch pomiędzy Access Pointem a klientem końcowym jest nieszyfrowany a dostęp do Internetu ograniczamy przez Captive Portal – tak jest najczęściej. W przypadku implementacji prostszych np w kafejkach, kawiarniach i innych miejscach, w których jest jeden klucz współdzielony, nie ma nawet Captive Portal-u. Nie zmienia to jednak faktu, że cały ruch w takich miejscach jest dostępny dla wszystkich chętnych, czyli niezależnie od tego, czy podłączamy się do sieci gościnnej w hotelu, czy w kawiarni, to osoba, która siedzi obok, może podsłuchać naszą rozmowę z Access Pointem. Jeżeli nasz ruch nie jest szyfrowany na innym poziomie, czyli np w przeglądarce, nie jest przepuszczany przez tunel VPN-owy, to wszystkie pakiety, które nie są szyfrowane, mogą zostać przechwycone i odsłuchane, jak to ma miejsce w medium radiowym.

W przypadku rozszerzenia 802.11 jest ono powiązane, ale nie jest integralną częścią WPA3, jest możliwość szyfrowania ruchu per sesje. Działa to w ten sposób, że jest to rozszerzenie RSN, czyli Robust Security Network, takiej części dotyczącej rozszerzeń bezpieczeństwa w 802.11. W ramach tego rozszerzenia jest możliwość stosowania wspomnianego OWE, dzięki temu punkt dostępowy wraz z klientem negocjują hasło dla połączenia sieci bezprzewodowej. Mamy podobną sytuację – generowany Pairwise Master Key dla takiego połączenia i każdy klient gościnny ma inny klucz, tzn na warstwie radiowej, pomiędzy różnymi klientami w danej kawiarni nie będzie możliwości podsłuchania transmisji, nawet jeśli idą tam pakiety nieszyfrowane SSL czy TLS. Jest to podwyższenie poziomu bezpieczeństwa, jedyne wymaganie jakie musi spełniać infrastruktura i klient końcowy, to muszą spełniać rozszerzenie OWE i jest to negocjowane pomiędzy urządzeniami. Punkt dostępowy wysyła taki identyfikator w swoim pakiecie Beacon-owym i klient musi odpowiednio odpowiedzieć na ten pakiet, że wspiera również rozszerzenie OWE. Dzięki temu mamy możliwość zaszyfrowania indywidualnie każdej sesji, każdego klienta w tej sieci bezprzewodowej.

Jeżeli masz do tego jakieś pytania to oczywiście pisz w komentarzu. Jeśli chciałbyś zobaczyć konfigurację, będzie ona prosta, ponieważ od strony administratora, również użytkownika, nie jest wymagany żaden dodatkowy mechanizm, oprócz tego, że ewentualnie może zaznaczyć taki poziom wsparcia. Jest to już zależne od implementacji na urządzeniu końcowym, jak dany producent implementuje to rozszerzenie, czy ono zawsze jest włączone, czy jest alternatywą. W każdym razie z punktu widzenia administratora punktu dostępowego wystarczy zaznaczyć odpowiednią opcję. Możesz zobaczyć jak to zrobić na rozwiązaniu Aruba w najbliższym poniedziałkowym odcinku. Dziękuję Ci za dziś i do usłyszenia już za tydzień.