Что такое Wi-Fi

Обновлено: 20.11.2024

Добро пожаловать во вторую часть этой серии статей, посвященную улучшениям безопасности Wi-Fi! В первой статье мы рассмотрели WPA3-Personal, который использует одновременную аутентификацию равных для защиты процесса аутентификации. Теперь мы рассмотрим Wi-Fi CERTIFIED Enhanced Open, который представляет собой новый вариант открытых сетей WLAN, обычно используемых для гостевых сетей и сетей с точками доступа.

Enhanced Open использует оппортунистическое беспроводное шифрование (OWE), указанное в IETF RFC 8110, по существу обеспечивает конфиденциальность данных с шифрованием по радиоканалу между точкой доступа и беспроводным клиентом — потрясающе! OWE также не требует подготовки запрашивающих устройств или устройств, как сегодня работают открытые сети. Однако OWE не обеспечивает никакой аутентификации и, следовательно, не защищает от атак «человек посередине» или использования точек доступа-приманок, подделывающих идентификаторы точек доступа вашей инфраструктуры.

Ответ проверки OWE

Чтобы беспроводной клиент знал, что WLAN поддерживает OWE, он должен получить ответ зонда от точки доступа в ответ на свой запрос зонда. Здесь мы видим ответ зонда, указывающий, что OWE поддерживается для AKM по SSID:

Ассоциация OWE

OWE по-прежнему использует аутентификацию открытой системы 802.11, затем в процессе ассоциации происходит обмен ECDHE (эллиптическая кривая Диффи-Хеллмана). После успешной ассоциации может произойти 4-стороннее рукопожатие (обратите внимание, что устаревшие открытые сети не используют 4-стороннее рукопожатие, поскольку нет шифрования и, следовательно, нет возможностей RSN), и с этого момента кадры данных шифруются.

Клиент (Samsung Galaxy S10e) отправляет запрос на ассоциацию, и мы видим, что он использует OWE, и в нижней части декодирования есть расширенный тег, содержащий ключевые элементы Диффи-Хеллмана:

Точка доступа отправляет ответ об ассоциации со своей собственной информацией ECDHE и кодом состояния Successful:

Затем, как и ожидалось, происходит четырехэтапное рукопожатие, после чего фреймы данных шифруются:

Режим перехода OWE

Как и в случае с WPA3-Personal, существует переходный режим для Enhanced Open, который позволяет устаревшим клиентам подключаться к беспроводной локальной сети, поддерживающей OWE. Но есть загвоздка! Для этого режима перехода требуется отдельный скрытый SSID с аналогичными свойствами — не идеальный вариант!

Ваш стандартный открытый SSID настраивается на стороне инфраструктуры с помощью идентификатора WLAN расширенного открытого SSID. Также существует скрытая версия того же SSID с включенным Enhanced Open/OWE. Стандартный открытый SSID имеет элемент OWE Transition Mode Element OTME для направления соответствующих STA на скрытый Enhanced Open BSS.

Вот конфигурация Cisco Catalyst 9800 WLC. Ниже приведена сводка WLAN:

Скрытый идентификатор SSID

На следующих трех снимках экрана показана необходимая конфигурация для скрытого OWE/Enhanced Open SSID (примечание: конфигурация такая же, если вы не хотите использовать переходный режим, просто включите широковещательный SSID и не создавайте стандартный открытый SSID). SSID в следующем разделе):

Требуется PMF, и обратите внимание, что вам необходимо указать номер идентификатора WLAN стандартного открытого SSID, который будет содержать OTME (элемент режима перехода OWE).

Вот конфигурация CLI:

Открыть SSID в режиме перехода

Эта конфигурация SSID во многом аналогична стандартной открытой SSID, за исключением того, что для объявления OTME требуется ссылка на номер OWE WLAN ID. SSID должны совпадать:

Вот конфигурация CLI:

Конфигурация AireOS

Вот пример конфигурации на AireOS WLC под управлением 8.10, взятый из BRKEWN-2006 Advances in Wireless Security from Cisco Live San Diego, представленный уважаемым SE Стивеном Орром (@StephenMOrr) и TSA Бобом Сэйлом (@Bob_In_IT) :

Маяки режима перехода OWE

Теперь, когда мы настроили Transition Mode и Enhanced Open SSID, мы можем взглянуть на их маяки.

Открыть SSID

Мы видим, что здесь нет элементов RSN, но для Wi-Fi Alliance есть специальный тег поставщика: OWE Transition Mode. Клиент с поддержкой Enhanced Open распознает это и будет искать скрытый маяк с тем же SSID, рекламирующим возможности OWE.

Скрытый SSID OWE

Здесь скрытый/замаскированный SSID рекламирует возможности OWE, а также имеет специфичный для поставщика тег для режима перехода OWE с именем SSID. Вы также увидите оба идентификатора SSID при пассивном сканировании Wi-Fi Explorer и сможете увидеть информационные элементы на панели «Дополнительные сведения».

Теперь Galaxy S10e знает, что может отправить запрос аутентификации открытой системы на этот скрытый SSID. Другие устройства, такие как мой iPad (с бета-версией iPadOS, которая поддерживает WPA3-Personal, но не OWE!) легко подключаются к стандартному открытому SSID.

Ассоциация режима перехода OWE

Ассоциация происходит почти так же, как и раньше, но вот запрос на ассоциацию для скрытого SSID OWE для справки:

Статус беспроводного клиента

Вот посмотрите на клиент с поддержкой OWE (S10e) и устаревший клиент (iPad), подключенный к SSID переходного режима (к сведению, команда CLI — «показать сведения о MAC-адресе беспроводного клиента»).

Вот iPad более подробно о стандартном открытом SSID, обратите внимание, что нет шифровального шифра или PMF.

Вот S10e более подробно о скрытом SSID OWE и обратите внимание на шифрование, AKM и PMF.

Enhanced Open, безусловно, является большим шагом вперед в области безопасности беспроводных сетей для открытых сетей или сетей с точками доступа. Однако мы должны помнить, что при Enhanced Open не выполняется аутентификация точки доступа или пользователя/устройства. По-прежнему рекомендуется защищать свои данные с помощью VPN в общедоступной или открытой сети Wi-Fi.

Режим перехода удобен для поддержки устаревших клиентов, однако имейте в виду, что требуется дополнительный SSID. Несмотря на то, что этот дополнительный SSID скрыт, он приводит к дополнительным затратам на кадры управления в вашей среде.

В следующей части этой серии я расскажу о том, что нового и улучшенного в WPA3-Enterprise.

OWE — это режим аутентификации Wi-Fi Enhanced Open, являющийся частью Wi-Fi Protected Access 3 (WPA3), который разрешает доступ к сети без пароля. В режиме OWE алгоритм обмена ключами Диффи-Хеллмана используется для шифрования данных в сети Wi-Fi, тем самым защищая обмен данными между STA и сетью Wi-Fi.

Дополнительно

Свернуть

Какие проблемы решает OWE?

Риски традиционных открытых сетей Wi-Fi

В настоящее время общедоступные сети Wi-Fi доступны в различных общественных местах, таких как аэропорты, вокзалы, отели и стадионы. В большинстве этих сетей Wi-Fi используется открытый режим аутентификации, позволяющий пользователям получать доступ в любое время и в любом месте без ввода пароля. Однако такие открытые сети Wi-Fi уязвимы для несанкционированного доступа злоумышленников. Кроме того, поскольку данные, которыми обмениваются STA и сети Wi-Fi, прозрачны и не зашифрованы, злоумышленники могут прослушивать процесс передачи данных и перехватывать пользовательские данные.

Расширенные открытые сети Wi-Fi с использованием аутентификации OWE

В 2018 году Wi-Fi Alliance выпустил WPA3 — протокол шифрования Wi-Fi нового поколения, призванный решить проблему небезопасной передачи данных, вызванную открытой аутентификацией в сетях Wi-Fi. WPA3 обеспечивает режим расширенной открытой сетевой аутентификации — аутентификацию OWE — на основе аутентификации открытой системы.

Аутентификация OWE делает доступ к сети Wi-Fi таким же удобным, как и в режиме открытой аутентификации, позволяя пользователям получать доступ к сети Wi-Fi без ввода пароля. В режиме аутентификации OWE STA и AP выполняют обмен ключами Диффи-Хеллмана для шифрования данных, передаваемых между STA и сетью Wi-Fi, тем самым защищая безопасность пользовательских данных.

Процесс аутентификации OWE

Основываясь на открытом процессе аутентификации, аутентификация OWE добавляет процесс обмена ключами Диффи-Хеллмана. Ниже сравниваются эти два режима аутентификации.

Открыть процесс аутентификации

Когда точка доступа использует открытую аутентификацию, она разрешает все запросы аутентификации от STA. На следующем рисунке показан конкретный процесс аутентификации.

  1. Запрос аутентификации: STA отправляет запрос аутентификации на точку доступа.
  2. Ответ аутентификации: AP использует открытую аутентификацию, которая разрешает все запросы аутентификации и, следовательно, возвращает результат успешной аутентификации на STA.

Процесс аутентификации OWE

Когда точка доступа использует аутентификацию OWE, задействованы две фазы: обнаружение OWE и ассоциация OWE. На следующем рисунке показан конкретный процесс аутентификации.

Этап обнаружения OWE:

  1. Запрос аутентификации: STA отправляет запрос аутентификации на точку доступа.
  2. Ответ аутентификации: после того, как STA успешно прошла аутентификацию OWE, AP возвращает результат аутентификации STA. Результат аутентификации содержит поле аутентификации и управления ключами (AKM), уведомляющее STA о возможности аутентификации OWE. После получения результата аутентификации STA переходит в фазу ассоциации OWE, если она поддерживает аутентификацию OWE, или получает доступ к сети в режиме открытой аутентификации, если она не поддерживает аутентификацию OWE.

Этап ассоциации OWE:

  1. Запрос на ассоциацию: STA отправляет AP запрос на ассоциацию, который содержит открытый ключ STA в элементе параметра Диффи-Хеллмана.
  2. Ответ ассоциации: AP возвращает результат ассоциации в STA, который содержит открытый ключ AP в элементе Diffie-Hellman Parameter. После завершения обмена открытыми ключами между STA и AP генерируется парный главный ключ (PMK).
  3. 4-стороннее рукопожатие: STA и AP выполняют 4-стороннее рукопожатие, чтобы определить ключ, используемый для связи.

Режим перехода OWE

Миграция с открытой сети Wi-Fi на усовершенствованную открытую сеть Wi-Fi выполняется поэтапно, при этом пользовательские устройства также постепенно обновляются. Для STA, которые не поддерживают аутентификацию OWE, доступен режим перехода OWE, чтобы такие STA могли получить доступ к сети в режиме открытой аутентификации. Между тем, режим перехода OWE позволяет STA с поддержкой OWE получать доступ к сети в режиме аутентификации OWE. Режим перехода OWE реализован следующим образом:

Аруба

Вы уже слышали множество историй о том, что незащищенные общедоступные сети Wi-Fi в кафе, барах и крупных заведениях могут быть слишком опасны для пользователей: вредоносное ПО может заражать персональные устройства, хакеры могут получать имена пользователей и пароли, а также программы-вымогатели. может держать в заложниках личные данные.

В таких местах, как аэропорты, потенциально миллионы путешественников подвергаются риску таких кибератак из-за открытых сетей. Согласно оценке Coronet в статье CNBC, вы можете положить конец этим проблемам, вообще не присоединяясь к открытой общедоступной сети Wi-Fi, или, если вы это сделаете, обновите программное обеспечение вашего устройства и используйте разные пароли для разных учетных записей в событие, когда вас взломают.

Хотя некоторые из этих рекомендаций могут быть разумными с точки зрения устройства, реальность такова, что вы подключаетесь к открытым сетям, ожидая, что компании позаботятся о таких вещах, как безопасность. Вы ожидаете, что крупные бренды будут рисковать своим имиджем? гостевой Wi-Fi, который может быть скомпрометирован? Как правило, нет. Такой менталитет характерен для многих пользователей, и вам, как ИТ-специалисту, необходимо установить определенный уровень.

Тогда ясно, что бремя безопасности лежит не только на пользователе. Предприятия сталкиваются с этими проблемами — все чаще из-за новых бизнес-кейсов по внедрению гостевых сетей, например, для улучшения обслуживания пациентов, чтобы получить более высокие оценки в опросах об удовлетворенности, для розничных клиентов, чтобы ориентироваться на рекламные акции в магазине, или особенно для гостей отеля, которые рассчитывать на все удобства в доме. Эти варианты использования показывают, как компании могут стимулировать рост, извлекая выгоду из понимания поведения пользователей, что затем ставит их под юрисдикцию соответствия и риска, если открытые сети остаются незащищенными.

Чтобы снизить риски, присущие открытым сетям, организации могут использовать шифрование, аналогичное технологии SAE WPA3, чтобы согласовать тот же уровень шифрования для открытых сетей, что и для защищенных. Это касается вопроса, который я задал в заголовке блога. Организации могут внедрить технологию Opportunistic Wireless Encryption (OWE) в рамках программы сертификации Wi-Fi CERTIFIED Enhanced Open, программы сертификации Wi-Fi Alliance, чтобы защитить своих пользователей в общедоступных сетях.

Аруба

СЕРТИФИКАТ Wi-Fi Enhanced Open"

Недавно, 14 сентября 2018 г., компания Aruba провела мероприятие Mobility Field Day 3, на котором была представлена ​​возможность ознакомиться с тем, как развивается архитектура безопасности Wi-Fi с помощью технологий Wi-Fi CERTIFIED WPA3 и Wi-Fi CERTIFIED Enhanced Open. Сертифицированные программы Fi Alliance. Компания Aruba была инициатором обсуждений WPA3 в отрасли в течение прошлого года, поэтому давайте рассмотрим обещание Enhanced Open раз и навсегда устранить открытые сети.

Согласно Wi-Fi Alliance, Wi-Fi CERTIFIED Enhanced Open" "обеспечивает защиту в сценариях, когда аутентификация пользователя нежелательна или распространение учетных данных нецелесообразно", например, в таких местах, как кафе. , аэропорты, отели и спортивные арены. Основанный на OWE, который был определен в спецификации Internet Engineering Task Force (IETF) RFC8110, этот стандарт эффективно шифрует индивидуальные подключения каждого пользователя к общедоступной сети Wi-Fi. с использованием установленных механизмов шифрования. Другими словами, пока сеть и клиентское устройство поддерживают OWE, пользовательскому устройству не требуется аутентификация или пароль для защиты от пассивного прослушивания. Если сеть поддерживает OWE, но клиентское устройство не поддерживает нет, пользователи будут просто подключаться к открытой сети, как обычно, чтобы обеспечить бесперебойную работу пользователей.

Аруба

Теперь возникает дополнительный вопрос: что вам нужно сделать, чтобы иметь клиентское устройство с поддержкой OWE? Суть в том, что ваше устройство и операционная система должны поддерживать его и быть сертифицированы. Поскольку WPA3 и OWE классифицируются как отдельные стандарты, убедитесь, что ваше следующее устройство поддерживает оба, или лоббируйте производителей устройств, пока они этого не сделают.

С точки зрения сетевых операций, поскольку это стандарт, организации могут развертывать OWE поверх существующей сетевой инфраструктуры, если она поддерживает последние обновления сетевой операционной системы. Они могут продолжать управлять своей сетью с помощью существующих инструментов управления и внедрять авторизованные порталы и гостевые или общедоступные сети, как обычно, без каких-либо общедоступных парольных фраз, которые нужно поддерживать, делиться или управлять ими. К моему предыдущему замечанию об ожиданиях пользователей в отношении безопасности, OWE помогает подтвердить, что пользовательские сеансы на самом деле зашифрованы и защищены, даже если символ блокировки не отображается в раскрывающемся списке при выборе сети Wi-Fi.

Следующее поколение безопасных мобильных устройств

Стандарты могут быть ратифицированы комитетом, но имеют значение только в том случае, если ведущие поставщики — от поставщиков инфраструктуры, таких как Aruba, поставщиков клиентских устройств, таких как Samsung или Apple, и производителей чипсетов, таких как Marvell и Broadcom, — предоставляют технологии, которые делают их актуальными для массового рынка. . Поэтому неудивительно, когда мы отвечаем на такие вопросы, как «Что такое ДОЛЖЕН?» от MFD3 или клиентов, партнеров и поставщиков, потому что это совершенно новое пространство с технологиями, которые продолжают развиваться, чтобы сделать вещи лучше и безопаснее.

Aruba выведет на рынок эти новые стандарты безопасности беспроводной сети, чтобы улучшить защиту, которую наши решения уже предоставляют нашим клиентам — как в Instant, так и в ArubaOS. Посмотрите нашу краткую демонстрацию OWE на Mobility Field Day 3 и предложите своим любимым поставщикам интегрировать OWE.

Аруба

Дэйв Чен, автор блога

Дэйв Чен (Dave Chen) — менеджер по маркетингу продуктов в Aruba, компании Hewlett Packard Enterprise, специализирующейся на решениях WLAN и SD-WAN. На протяжении своей карьеры Дэйв занимал различные должности.

Это еще один стандарт безопасности Wi-Fi, который был введен для предотвращения пассивного прослушивания, особенно в общественных местах, где используется открытая аутентификация. Клиентское устройство с поддержкой OWE не знает о процедуре безопасности, реализованной в фоновом режиме.

OWE использует встроенный обмен ключами DF во время ассоциации для создания PMK, за которым следует четырехэтапное рукопожатие. Сквозная безопасность не реализована в OWE, где личность конечных пользователей не проверяется. Он предписывает использовать PMF для предотвращения атак MITM, поскольку конечные пользователи не проверяются.

Режим перехода OWE позволяет всем устройствам, поддерживающим или не поддерживающим OWE, подключаться к одному SSID. Если клиент, не поддерживающий OWE, подключается к OWE SSID, то он продолжается как обычная открытая аутентификация. Однако беспроводной клиент с поддержкой OWE будет подключен к скрытому BSSID, который был автоматически создан для того же essid, чтобы продолжить встроенный процесс ассоциации DH.

В приведенном ниже примере фактическим SSID, созданным для OWE, является «OWE_Access», который автоматически создает скрытый SSID: «_owetm_OWE_Access_7d65aa84».

Захваты пакетов показывают дополнительный режим IE : Wi-Fi Alliance OWE Transition в маяке и параметр OWE Diffie-Hellmann в обменах Assoc для клиентского устройства OWE.

Приведенный ниже тест был выполнен с Android-устройством с поддержкой OWE. Клиентское устройство: 98:f6:21:2d:57:81 подключено к точке доступа OWE Aruba в канале 48E.

Маяк OWE


Маяк OWE

OWE Probe Proq/Resp

Запрос/ответ OWE-зонда

Запрос ассоциированной компании OWE

Требование к OWE Assoc

Ответ помощника OWE – не удалось

OWE Неудачный ответ Assoc

Ответ помощника OWE – успех

ОБЯЗАН успешный ответ помощника

Читайте также: