WPA3 在 Wi-Fi 安全方面的優勢
隨著安全漏洞的加劇,安全已成為過去幾年的必要話題,因此,當我們開始探討更多地 Wi-Fi 6/6E 和 6GHz 時,在安全性及其對我們保護網路方式的影響是很合適的,借助 Wi-Fi 6/6E,使我們有機會強制使用增強的安全協議,例如 WPA3,讓我們看看 WPA 以及我們為什麼要升級到具有 6GHz 的 WPA3。
什麼是 WPA 或 Wi-Fi 受保護的存取
Wi-Fi 受保護的存取、或 WPA 是建立安全無線連接的基礎,Wi-Fi 聯盟最初於 2003 年根據 802.11i 修正案開發它,用以取代舊有的 WEP (Wired Equivalent Privacy, 有線等效加密),無需深究,我們正在進行的過程是創造一組加密金鑰,用於透過無線電波安全地發送消息,使用 WEP,將建立一個 64 位或 128 位金鑰,並在您要連接到無線網路的所有設備之間手動共享,金鑰從未改變,它總是一樣的;因此,任何知道金鑰的人都可以連接到無線網路 a) 和解密其他設備的流量 b),想想就有點不安!
為了提高安全性,WPA 取消了共享加密金鑰的過程,並將其交換為共享密碼或已知的一組憑證,稱為個人 (PSK) 或企業。 建立的加密金鑰的強度是相同的,使用個人版或企業版並不重要。讓我們看一下關鍵層次結構,然後,我們再來審核密鑰。
CWNP – CWSP
金鑰金字塔的頂端是主會話金鑰或 MSK,MSK 用於透過預先共享金鑰 (PSK) 或 EAP 方式(RADIUS 身份驗證)派生成對主金鑰、或 PMK,安全性的強度來自 PSK 的強度、或使用 EAP 憑證,使用 8 個字元、或 32 個字元的 PSK、EAP-PEAP 用戶名稱/密碼、或 EAP-TLS 證書並不重要,它將始終成為一個 256 位元的金鑰值,並且是該過程中所有其他密鑰的基礎,建立加密金鑰稱為“四次握手 (Four Way Handshake)”。
CWNP – CWSP
這種四次握手允許我們建立一組有效的加密金鑰,而無需實際共享它們,利用在每個步驟中交換較小數據位元的過程,因為這個過程發生在空中,有人可以攔截它,但你需要知道使用於 MSK/PMK 的值;對於 WPA,使用臨時金鑰完整性協議 (TKIP) 加密,很容易被暴力破壞以破解 PSK;WPA2 使用進階加密標準 (AES) 和計數器模式密碼塊鏈訊息完整碼協定 (CCMP),雖然 WPA2 過程背後的加密更具挑戰性,但四次握手可能會受到破壞,導致對客戶端和站點的拒絕服務 (denial-of-service) 攻擊。
WPA3 加強了 Wi-Fi 的安全性
WPA3 (Wi-Fi Protected Access 3) 透過啟用更強大、但更簡單的身份驗證過程來增強 Wi-Fi 安全性,它執行此操作的方法之一,是要求所謂的受保護的訊框管理 (Protected Management Frames ,PMF),PMF 不是新技術,多年來一直是無線設備的選擇性功能,第一次使用 WPA3 它是必要的,PMF 確保其他設備無法強制客戶端取消身份驗證,例如,如果我是試圖破壞網路或設備的攻擊者,我需要捕捉四次握手過程以確定用於該會話的加密金鑰,為此,我有兩個選擇:a) 坐在那裡等待他們連接/重新連接、或者 b) 強制他們斷開連接以便他們重新連接;攻擊者將選擇選 b) 並製作一個針對客戶端設備的取消身份驗訊框,收到此訓框後,客戶必須傾聽它並按照它說的去做,沒有檢查和平衡機制來確保它來自 AP,PMF 在此之上添加了一個層,用於建立檢查和平衡機制。
WPA3 的第二個關鍵特性是它允許更強大的以密碼為基礎的身份驗證,即使我的密碼是“password”,這個過程是透過對等實體同時驗證(Simultaneous Authentication of Equals, SAE)來實現的;透過 SAE 交換,我們了解到每一方、客戶端、和網路都擁有相同的密碼,並且可以建立一個用於經過身份驗證的網狀對等交換 (AMPE) 的強金鑰來保護流量;我們不會深入探討 SAE 過程,但如果您好奇的話,您可以看看 Diffie-Hellman 密鑰交換過程 (讓雙方在完全沒有對方任何預先資訊的條件下,透過不安全頻道建立起一個金鑰);SAE 流程與 PMF 相結合,修復了強制停用身份驗證、和捕捉四次握手導致潛在不安全連線的中間人攻擊問題。
WPA3 和 6GHz
自引入 802.11a 和 5GHz 頻段以來,我們第一次有機會避免在 Wi-Fi 6/6E 上支援過時的協議,當您考慮部署 6GHz 網路時,您將必須準備支援 WPA3,因為它是 6GHz 網路所必需的,您應該為您的 6GHz 設備部署一個新的網路名稱 (SSID),如果您不在所有地方部署 6GHz 並且只在高密度區域部署它,也可以在 2.4GHz/5GHz 上啟用它;當您部署 Wi-Fi 6/6E 設備時,為新的、更快、更安全的網路配置它們,而將您的 Wi-Fi 5 網路留給舊設備。
最後的想法
如果您參加過我的課程或看過我的其他培訓教材,您會記得我們討論過太多網路導致雍塞的概念,這是寫實而且準確的,那我為什麼要提倡再增加一個網路呢?很簡單:按照您的節奏強制遷移,將數百台設備切換到 WPA3 可能會干擾它們,從而增加資訊支援服務的負擔,這不一定有意義;隨著新設備的推出,如果它們支持 WPA3,即使它們不支持 6GHz,將它們放在這個新網路上也是有意義的;Wi-Fi 6 上的管理訊框開銷最小,我認為以相同頻率(在本例中為 5GHz)在網路之間移動設備是一種浪費,隨著時間的推移,遺留 WPA2 網路將變得很像過去幾年的 WPA 網路,很少使用並準備停用。
備註:
總結來說,台灣國家通訊傳播委員會(NCC)尚未開放6GHz頻寬,相關法規還在研擬階段,因此目前台灣的商用或終端設備,仍僅支援 Wi-Fi 6 技術。
Author bio 作者簡歷
Blake Krone
Blake Krone 是一名獨立的智慧行動的顧問和開發者,主要的工作重點是為財星美國500強和初創公司提供下一代先進的設備和智慧行動的企業導入案例,頻藉著過去佈署大型的單點網路經驗,撰寫了許多訓練教材和技術簡報,來分享所獲得的知識和見解;當他不是在為客戶建置網路環境的時候,就是在建構資料分析工具並實測終端裝置和工具。
文章出處:NetAlly
文章翻譯:翔宇科技量測事業群
相關產品
EtherScope nXG 便攜式網路專業智能測試工具是一款多技術、多合一的掌上型網路分析儀,使工程師和技術人員能夠更快完成更多工作,幫助他們部署不斷變化的 Wi-Fi 和乙太網接入網路,並進行維護和文檔記錄。憑藉 EtherScope nXG 簡單的操作、深入的可見性以及遠端存取和控制功能,工程師現在可以與現場技術人員進行深度合作,加快解決問題的速度。