środa,
Wi-Fi Protected Access
Wi-Fi Protected Access (WPA) to system zabezpieczeń sieci bezprzewodowej, który ma na celu zapewnienie lepszej ochrony danych przesyłanych przez sieci Wi-Fi. WPA został wprowadzony jako odpowiedź na słabości protokołu WEP (Wired Equivalent Privacy), który był wcześniej standardem w zabezpieczaniu sieci bezprzewodowych. Standard WPA był rozwijany i zastępowany przez WPA2, a następnie przez WPA3, które wprowadziły kolejne usprawnienia w zakresie bezpieczeństwa sieci Wi-Fi. WPA3, będący najnowszym standardem, oferuje jeszcze lepsze metody szyfrowania i autentykacji, znacznie zwiększając bezpieczeństwo sieci bezprzewodowych.
Ulepszenia w stosunku do WEP
- Ulepszona autentykacja – WPA używa protokołu 802.1X, który zapewnia lepszą kontrolę dostępu do sieci niż WEP. Dzięki temu można skuteczniej zarządzać użytkownikami i urządzeniami, które mają dostęp do sieci.
- Szyfrowanie TKIP (Temporal Key Integrity Protocol) – TKIP to mechanizm szyfrowania, który był używany w WPA do poprawy bezpieczeństwa danych przesyłanych w sieci. Jest bardziej zaawansowany niż szyfrowanie stosowane w WEP, choć w późniejszym czasie w standardzie WPA2 został zastąpiony przez AES (Advanced Encryption Standard).
- Integracja z systemami zarządzania kluczami – WPA umożliwia lepsze zarządzanie kluczami szyfrującymi, co zwiększa bezpieczeństwo sieci.
Wersje WPA
WPA ewoluował przez kilka wersji, z których każda wprowadzała usprawnienia w zakresie bezpieczeństwa sieci bezprzewodowych. Każda kolejna wersja wnosiła istotne ulepszenia w zakresie bezpieczeństwa i odporności na ataki hakerskie. Obecnie najbezpieczniejszą opcją, oferującą zaawansowane technologie szyfrowania i autentykacji jest WPA3.
WPA (Wi-Fi Protected Access)
- Wprowadził Temporal Key Integrity Protocol (TKIP), który był ulepszeniem w stosunku do szyfrowania WEP.
- Wspiera IEEE 802.1X, co umożliwia lepszą kontrolę nad dostępem do sieci.
WPA2 (Wi-Fi Protected Access 2)
- Wprowadził Advanced Encryption Standard (AES), który zastąpił TKIP, zapewniając znacznie wyższy poziom bezpieczeństwa.
- Autentykacja pozostała zgodna z IEEE 802.1X.
- Dla wszystkich nowych urządzeń Wi-Fi od 2006 roku obowiązkowa stała się certyfikacja.
WPA3 (Wi-Fi Protected Access 3)
- Wprowadził nowe metody szyfrowania, jeszcze bardziej odporne na próby włamania, jak SAE (Simultaneous Authentication of Equals), znane również jako Dragonfly Key Exchange.
- Ulepszenia w zakresie ochrony prywatności na otwartych sieciach publicznych dzięki indywidualnemu szyfrowaniu danych.
- Uproszczony proces łączenia się z siecią dla urządzeń bez interfejsu wyświetlacza.
- Ochrona przed atakami brute-force – mechanizmy, które chronią przed atakami próbującymi odgadnąć hasło przez wielokrotne próby.
Tryby pracy
WPA (Wi-Fi Protected Access) oferuje dwa główne tryby pracy: WPA-Personal i WPA-Enterprise. Oba tryby zapewniają zwiększone bezpieczeństwo sieci Wi-Fi w porównaniu do starszego standardu WEP, ale są przeznaczone dla różnych środowisk i mają różne metody autentykacji. Tryb Personal jest prostszy w użyciu i konfiguracji, ale oferuje niższy poziom bezpieczeństwa. Tryb Enterprise jest bardziej skomplikowany, wymaga dodatkowej infrastruktury, ale zapewnia znacznie wyższy poziom bezpieczeństwa. Wybór między nimi zależy głównie od wymagań dotyczących bezpieczeństwa i skali środowiska, w którym ma być używany.
WPA-Personal (znany również jako WPA-PSK, gdzie PSK oznacza Pre-Shared Key)
Zastosowanie
- Idealny dla użytku domowego oraz małych firm, gdzie nie jest wymagana zaawansowana infrastruktura zarządzania siecią.
- Łatwy do skonfigurowania i używania.
Autentykacja
- Wymaga wstępnie współdzielonego klucza (PSK), który jest wspólny dla wszystkich użytkowników sieci.
- Użytkownicy, aby uzyskać dostęp do sieci, muszą znać hasło, które jest kluczem PSK.
Bezpieczeństwo
- Bezpieczeństwo zależy od siły i poufności klucza PSK.
- Mniej bezpieczny niż tryb Enterprise, ponieważ współdzielony klucz może być potencjalnie skompromitowany, szczególnie jeśli jest słaby lub jest szeroko znany.
WPA-Enterprise
Zastosowanie
- Zaprojektowany dla przedsiębiorstw i dużych organizacji, które potrzebują zaawansowanego zarządzania bezpieczeństwem i autentykacją użytkowników.
- Wymaga serwera RADIUS (Remote Authentication Dial-In User Service) do zarządzania autentykacją.
Autentykacja
- Używa protokołu 802.1X, który zapewnia indywidualną autentykację każdego użytkownika przy użyciu unikalnych poświadczeń.
- Poświadczenia mogą być zarządzane centralnie, co ułatwia zarządzanie dostępem i zabezpieczeniami.
Bezpieczeństwo
- Znacznie większe bezpieczeństwo niż w trybie Personal, ponieważ każdy użytkownik ma swoje własne poświadczenia.
- Oferuje lepszą ochronę przed różnymi rodzajami ataków, w tym atakami typu man-in-the-middle.
WPA2 i WPA3
Obie te wersje WPA również oferują tryby Personal i Enterprise, z tym że wprowadzają dodatkowe usprawnienia bezpieczeństwa, takie jak lepsze szyfrowanie (AES w WPA2 i ulepszone protokoły w WPA3) oraz dodatkowe funkcje ochrony (np. ochrona przed atakami brute-force w WPA3).
Podatność WPA na ataki
WPA (Wi-Fi Protected Access) znacznie zwiększył bezpieczeństwo sieci Wi-Fi w porównaniu do swojego poprzednika, WEP, ale nadal posiada pewne podatności, które mogą być wykorzystane przez atakujących. W odpowiedzi na te zagrożenia opracowano WPA3, który wprowadza ulepszenia takie jak lepsze szyfrowanie i metody autentykacji, które mają na celu zniwelowanie tych słabości. Jednak, jak każda technologia, również WPA3 może posiadać swoje własne, jeszcze nieodkryte podatności, dlatego ważne jest, aby systemy były regularnie aktualizowane i monitorowane pod kątem bezpieczeństwa.
Ataki na WPA z TKIP (Temporal Key Integrity Protocol)
- Wczesne wersje WPA używające TKIP były podatne na ataki replikacyjne, które pozwalały atakującemu na ponowne wykorzystanie pewnych pakietów danych.
- TKIP zawiera pewne słabości kryptograficzne, które teoretycznie mogą być wykorzystane do złamania szyfrowania, choć w praktyce jest to trudne.
Ataki słownikowe na WPA-PSK (Pre-Shared Key)
- WPA-PSK może być podatny na ataki słownikowe, jeśli używany klucz współdzielony (PSK) jest słaby (np. krótki, łatwy do odgadnięcia, zawierający tylko słowa ze słownika).
- Atakujący może przechwytywać ruch sieciowy i używać potężnych komputerów lub kart graficznych do próby odgadnięcia klucza.
Ataki na WPA2 z użyciem WPS (Wi-Fi Protected Setup)
WPS, funkcja mająca ułatwić konfigurację bezpiecznej sieci Wi-Fi, zawierała poważne luki bezpieczeństwa, szczególnie w początkowych wersjach. Atakujący mógł wykorzystać słabości WPS do uzyskania dostępu do sieci chronionej przez WPA2.
KRACK (Key Reinstallation Attacks)
- W 2017 roku odkryto poważną podatność w protokole WPA2 znana jako KRACK, która pozwalała atakującym na przechwycenie i czasem manipulację danymi przesyłanymi przez sieć Wi-Fi.
- Ten atak wykorzystywał proces renegocjacji klucza, który jest normalną częścią protokołu WPA2.
Podatności sprzętowe i konfiguracyjne
Niektóre urządzenia mogą mieć wady w firmware lub konfiguracji, które mogą być wykorzystane do obejścia zabezpieczeń WPA.