EN
A 2018-as CES kiállításon a vezeték nélküli gyártókat tömörítő Wi-Fi Alliance szervezet már belengette a WPA2 biztonsági szabvány leváltását célzó, rengeteg újítást tartalmazó WPA3 megjelenését. A napokban viszont hivatalossá is vált: így várhatóan hamarosan alkalmazásra kerül az új szabvány!
Minden, amit a WPA-ról alapból tudnod érdemes!
A WPA, a Wi-Fi Protected Access, azaz a vezeték nélküli védett hozzáférés rövidítése. Amennyiben az otthoni routeredben jelszavas authentikáció van, akkor elég nagy valószínűséggel a régebbi-, WPA2 típust használod te is.
Létezik egy még régebbi verzió, a WPA, illetve egy WEP-nek titulált szabvány is, ezek azonban nem minősülnek biztonságosnak egy jó ideje már. Talán már te is találkoztál vele, hogy sok esetben azt ajánlják a WIFi-t felhasználóknak, hogy vagy ne használják lehetőség szerint az elavult készülékek WiFi-jét, vagy a csatlakozást követően építsenek ki egy VPN-t és azon keresztül kommunikáljanak.
A WPA2 egy olyan biztonsági rendszer része, amely azt a protokollt írja le, amellyel a Wi-Fi kliens és a router/AP egy ún. 4 utas kézfogásos (handshake) módszerrel kapcsolódnak, illetve kommunikálnak.
A sima WPA-tól eltérően, az új szabvány, az AES titkosítási algoritmust használja, amelyet sokkal körülményesebb feltörni. Ennek ellenére, az immár 10 éve piacon lévő WPA2 feltörésére is számos módszer látott napvilágot, sőt komplett Linux disztribúciók állnak rendelkezésre ahhoz, hogy egy lehallgatásos módszerrel, illetve az elfogott csomagok elleni brute-force támadással feltörjék a titkosításhoz használt jelszót.
Ezek közül kiemelhető az Aircrack-ng szótáras támadással kombinálva, az Airgeddon Pixie-dust módszer és az anno Krack-módszerként elhíresült, kulcs-manipulációs támadás is. Az előbbi lényege az, hogy az említett 4 utas handshake-ben átküldésre kerülő jelszót a megfelelő számú frame-mel megszerzik, majd azt feltörik egy szótáras támadással.
A Krack-módszer sikeresnek bizonyult a WPA és WPA2, a personal és enterprise (802.1x-es RADIUS) illetve a WPA-TKIP, AES-CCMP és GCMP titkosítások esetében is. Jelentősége pedig leginkább abban mutatkozik meg, hogy alkalmazásával nem a jelszavak kinyerése az elsődleges cél, hanem sokkal inkább az felhasználók kommunikációjának visszafejtésére használják, anélkül, hogy a többi módszer segítségével kinyerésre került jelszót egyáltalán megismernék.
Épp itt az ideje a WPA3-ra való átállásnak!
Látszik tehát, hogy a 10-13 éve kiadott szabvány fölött igencsak eljárt az idő. Ugyan léteznek ökölszabályok arra, miként védekezhetünk az esetleges támadások ellen (pl. minimum 16-30 karakteres jelszóval), de bőven időszerű volt már a WPA rendszer frissítését kiadni és új módszereket beleépíteni, amelyek ellehetetlenítik a rosszindulatú támadásokat.
Az új biztonsági szabvány okos lesz és kell nekünk. Hogy miért? Mert a WPA3 lényege egy négyes pilléren alapul. Ahhoz, hogy a gyártók tanúsíttassák készülékeiket és elhelyezhessék rajtuk a Wi-Fi CERTIFIED™ WPA3™ feliratot, mindegyik követelményt implementálniuk kell.
Annak ellenére, hogy a WPA3 komplett kompatibilitást ígér a régi WPA2 szabvánnyal, nem várható tömeges elterjedése a jelenlegi hardware infrastruktúrákon. Ennek részint üzleti okai lesznek, hiszen gyártói szemmel egy ilyen biztonsági rendszer bevezetése szoftverfrissítésként nem generál bevételt, míg ezt új eszközökben implementálva nyilván sokkal profitábilisabb.
Természetesen lesznek majd új firmwarek, de az igazi térnyerést a kliens eszközök megjelenése fogja magával rántani, ugyanis mindkettő megléte fontos a WPA3 alkalmazásához. Ezen túlmenően az új 802.11ax Wi-Fi szabvány szerinti eszközök megjelenése is küszöbön áll, így valószínű, hogy ezek tömeges elterjedése kedvezni fog majd a WPA3-nak is.
Néhány WPA3 vonzerő, ami rád is hatással lehet
-
Biztonság a nyilvános hálózatokon
A jelenlegi rendszerek, a szállodák, kávézók nyilvános vezeték nélküli hálózatai egyáltalán nem védettek, a rajtuk folyó forgalom nem titkosított, így nagyon egyszerű adatokat megszerezni, mivel minden „plain text” formátumban kerül átküldésre, mint pl. a weboldalak böngészése stb. Ezen sokat segített a HTTPS térnyerése, de sok esetben még a POP3 e-mail forgalomban sincs semmiféle titkosítás, így komplett levelezések szerezhetők meg.
A WPA3 Enhanced Open™ ez ellen úgy véd, hogy egyéni adattitkosítást alkalmaz, titkosítva a két pont közti forgalmat, akkor is, ha nem kell jelszót beütni a csatlakozáshoz. Így azért elég nehéz lesz a snooping (lehallgatás) módszerrel történő adathoz jutás.
-
Brute-force támadások elleni védelem
A fentiekben ecsetelt támadások, amelyek a 4 utas handshake feltörésére irányulnak, (mondjuk a 2017-ben napvilágot látot KRACK sérülékenységre sok gyártó kiadott egy – a protokollt kijavító patch-et) a jövőben nem alkalmazhatóak majd, mivel a WPA3 egy új módszerrel akkor is védelmet nyújt majd, amikor a felhasználó egy gyenge jelszóval védte hálózatát. Lássuk csak!
- A WPA3-Personal esetében bevezetésre kerül egy Simultaneous Authentication of Equals-nek, vagy Dragonfly Key Exchange-nek hívott rendszer, ami a hálózat interakcióját is igényli ahhoz, hogy szótár alapú támadást indítsanak a jelszó feltörésére. Így minden egyes próbálkozást követően a másik féllel való kapcsolatfelvételt kell elővenni, és ez ellehetetleníti a sorozatos próbálkozásokon alapuló jelszótörést.
- A másik újítás, hogy bevezetésre kerül az ún Forward Secrecy, azaz hiába került begyűjtésre egy adag frame, az adat titkosított marad, a jelszó kinyerésével is csak a jövőbeni adatok feloldására nyílik lehetőség, a WPA2 esetében működő visszafejtés itt nem működik.
-
Egyszerűbb csatlakozás a kijelző nélküli eszközök esetében
Mindennapossá váltak életünkben az olyan IoT és okosotthon rendszerek elemei, mint a Google Home, Amazon Echo, okos izzók és egyéb eszközök, amelyeken nincs kijelző, ami az interaktivitást segítené, ellenben WiFi-re csatlakoznak legtöbbször egy okostelefonos applikációval.
A WPA3 bevezet egy Easy Connect-nek hívott módszert ennek megkönnyítésére, így az ilyen eszközök csatlakozási műveletét jelentősen egyszerűbbé teszi. Ugyan még nem világos, hogy pontosan miként néz majd ki ez a gyakorlatban, de egy, a WPS-hez (Wi-Fi Protected Setup-hoz) hasonló rendszert kell elképzelni, sőt az is lehet, hogy a már sok gyártónál látott – az eszközön lévő QR-kód leolvasásával fog működni.
-
Nagyobb biztonság a kormányzati, védelmi és ipari alkalmazásokban
Az otthoni felhasználók mellett más szektorokban is égető újításokat hoz az új szabvány, mert egy olyan, valós, komoly védelmi láb, ami a 192 bites titkosításra épül a CNSS (Committee on National Security Systems) ajánlásai alapján, illetve az Egyesült Államok kormánya kéréseinek megfelelően, egy fokozottabb titkosítással védi a kritikus WiFi hálózatokat.
- A WPA3-Enterprise ezt a 192 bites titkosítást fogja használni arra, hogy a hálózat egészén egy konzisztens kriptográfiai rendszert tartson fenn.
Ugye már te is akarod a WPA3-at?
Hogy mikor jut el az új szabvány mindenkihez? Némi időre biztosan szükség lesz. Ugyanúgy, mint a WPA2 esetében, várhatóan lesz egy hosszabb átmeneti időszak, mert a teljes rendszer minden elemének támogatnia kell majd az új mechanizmust. Kellenek az új routerek/AP-k, kellenek a régiekhez esetlegesen kiadandó firmware-frissítések, kellenek a kliens eszközök új szoftverei, esetleg az új kliensek, amelyek ezt kezelni tudják.
A Wi-Fi Alliance idáig a fejlesztéseket titokban tartotta és a világ csak a bejelentéseket követően ismerhette meg a színfalak mögötti munka eredményeit. A rengeteg kritika, ami emiatt érte őket, azért volt, mert sokszor rövid időn belül derültek ki óriási hiányosságok, melyeket később foltozgatni kényszerültek a gyártók. Most, ezzel a gyakorlattal szakítva, széles körben alkalmazott protokollokat és szabványokat vesznek alapul a fejlesztéseknél, amelyekben mindenki megbízik.