作者戴夫·陈和丹·哈金斯
Wi-Fi联盟最近宣布无线通讯的新标准,无线认证WPA3TM.WPA3 (Wi-Fi Protected Access)是作为广泛使用的WPA2的继承者而设计的,它带来了许多核心增强功能,以改进个人、公共和企业网络的安全保护和入职程序。
网络上的安全问题对IT和个人用户来说都很广泛——从恶意攻击者和未知设备到错误配置的网络所带来的风险。物联网设备的兴起加剧了这些问题,尤其是在企业网络中。在家庭和小型商业空间中,开放和轻度保护的网络对攻击者来说是有吸引力的目标,攻击者希望获得对网络的访问权或嗅出在透明环境中发送的潜在敏感信息。WPA2-Personal特别容易受到离线字典攻击,而WPA2-Enterprise则很难做到这一点,因为它有如此多的选项。
这就是基于标准的设计,很像api兼容的多供应商网络体系结构,使新特性和技术得到高度采用,以改进最终用户保护和IT能力。
在介绍WPA3的功能时,请注意,WPA3并没有取代您现有的企业级安全解决方案。必须从整体上考虑安全性,并集成从用户、设备和应用程序级别粒度的各种功能。
在此基础上,WPA3旨在解决以下关键问题:
问题:无线通信通过在透明(开放网络)
解决方案:有了WPA3,就没有更多的开放网络了!机会式无线加密技术对以前开放网络上的所有无线通信进行加密。
最有可能关联的场景通常涉及您在小型企业中通常连接的网络,比如咖啡店、私人汽车商店和餐馆,在这些地方Wi-Fi不是一种门禁资产。如果这些是开放网络,或者即使它们使用共享和公共的PSK(例如写在黑板上或餐馆的菜单上),您的Wi-Fi流量可能会被网络上的攻击者解密。OWE提高了安全性,并防止了这些被动攻击。
OWE网络为用户提供了无缝的体验。它看起来像是可用网络列表中的一个Open网络,但在幕后,OWE提供了改进的安全性。
问题:PSK可以被一个离线字典攻击系统地攻击
解决方案:PSK模式被SAE(即Equals的同时认证)取代,它可以抵抗主动、被动和字典攻击。
离线字典攻击观察单个WPA2-PSK交换,然后循环使用Wi-Fi密码的所有可能组合,看看猜出来的密码是否在交换中使用,直到找到正确的密码。你的密码越复杂越好,但复杂的密码很难管理,输入错误的概率也低。把网络安全的负担放在用户身上从来不是个好主意。有了WPA3-SAE,协议就得到了保护,即使与被认为对WPA2-PSK来说太弱的psk一起使用,协议也能保持其安全性。
使用WPA3-SAE,用户不需要了解新的安全过程(或知道什么是字典攻击)。SAE的UI与PSK网络相同。当提示时,用户可以轻松地输入密码,从他们的角度来看,没有任何变化,但在幕后,他们获得了一个真正安全的连接。
问题:WPA2-Enterprise的混合匹配特性可能导致安全性不理想
解决方案:WPA3引入了256位加密、CNSA (Suite B)安全功能和基线规则,以确保一致的安全性。
虽然企业使用WPA2-Enterprise配置部署高度安全的网络,但在实现过程中仍然有太多的选项可能导致部署不那么安全。例如,您是否应该使用RSA密钥交换?1024位2048位进行身份验证?TLS 1.0 ?SHA1吗?通过新的WPA3-CNSA, EAP-TLS采用了Suite B TLS加密套件,并引入了192位安全性,这些安全性通常部署在政府、国防和工业垂直领域的高安全性Wi-Fi网络中。这些密码套件将所有不同的选项(密码模式、散列算法、密钥交换、身份验证方法)组合成一个单独的套件,为每个用户连接提供一致的安全性。不再混合和匹配选项,也不再担心客户端“协商降低”EAP-TLS连接的安全性,无论是有意还是无意。
问题:有太多WPA2-Enterprise认证的设备没有正确地检查证书链
解决方案:WPA3建立了强制性的证书链测试,以确保终端设备对网络进行正确的验证。WPA3还引入了强制性的管理框架保护,这有助于保护设备免受将自身屏蔽为接入点的攻击。
问题:设备需要时间
解决方案:DPP (Device Provisioning Protocol),即设备配置协议(Device Provisioning Protocol),使得车载无头设备(可能有也可能没有带有二维码的触摸屏或键盘)更容易使用。
并不是严格意义上的WPA3本身,但DPP是在WPA3的保护伞下销售的。想象你拥有一个全新的WeMo或亚马逊Alexa。典型的过程是连接到物联网设备,手动输入网络SSID和密码。当你连接越来越多的设备,特别是在企业环境中,你可能需要连接大量的智能电视、苹果HomePods和连接照明,规模成为一个大问题。
DPP提供给这些设备一个类似证书的凭证,并允许受信任的设备使用以下任何安全/不安全的方法引导另一个设备进入网络:
- 扫描背面打印的二维码
- 使用简单的代码或短语
- 用NFC触摸设备
我什么时候能看到WPA3?
全面采用将需要几年的时间来过渡。WPA3打包了对安全性的改进,并添加了易于使用的特性,这些特性将在未来几个月或几年内被业界所采用。这些新的安全特性是以不影响用户的方式添加的。没有新的程序需要学习,没有复杂的密码构造规则,即使提高了网络的安全级别,用户体验也不会改变。
Aruba正忙于将WPA3特性集成到网络基础设施中,以便现有客户和新客户能够尽快利用这些功能。我们会随时更新我们的固件。
与任何软件功能或标准更新一样,诸如手机,平板电脑,笔记本电脑和其他设备的终端设备也必须支持WPA3以利用WPA3提供的新安全功能。诸如欠款和SAE等功能将需要最低的软件升级或补丁,而其他功能(如可选CNSA(B)加密)可能需要新的硬件支持,以利用256位加密。
从WPA2到WPA3的转换将取决于您的IT安全需求以及有多少设备支持WPA3。虽然这可能需要至少几年的时间才能完全淘汰,但是使用WPA2的终端用户在连接到WPA3网络时不会遇到任何问题。支持wpa3的设备将能够连接到网络上的OWE BSS,而仅支持wpa2的设备将像往常一样连接到Open BSS。
如果你对这些功能有任何疑问,请在下面的聊天框中询问他们,如果你想了解更多关于WPA3的信息,可以看看这里的一些公共新闻发布和文章!哦,把这些问题问给Aruba Atmosphere的Wi-Fi专家吧!
额外的资源:
对于正在阅读本文的聪明人,你也可以参考这些作为WPA3基础的技术出版物:
-Harkins, D.和W. Kumari,“机会主义无线加密”,RFC 8110, 2017年3月
ieee -2016 - 802.11
-Harkins, D.,“蜻蜓密钥交换”,RFC 7664, 2015年11月
——美国国家安全局,“NSA套件B密码学”,2009年1月
-Wi-Fi联盟,“设备供应协议技术规范”v0.2.8, 2017年12月
哈金斯,D。“公钥交换”,draft-harkin -pkex-05, 2018年1月
——stejano, F,和A. Ross,“复活的鸭子”,《计算机科学课堂笔记》,1796卷施普林格,柏林,海德堡,1999年
-IEEE 802.11ai-2016,“修正1:快速初始链接设置”,2016
