Личный кабинет
kparfenteva.JPGКристина Парфентьева

WPA3 — усовершенствованная версия WPA2; протокол снабжен более надежным методом аутентификации и имеет повышенную криптографическую стойкость. Поскольку сети Wi-Fi различаются по назначению и требованиям безопасности, WPA3 включает дополнительные возможности специально для личных и корпоративных сетей. Пользователи WPA3-Personal получают дополнительную защиту от взлома методом подбора пароля, в то время как пользователи WPA3-Enterprise теперь могут воспользоваться преимуществами протоколов безопасности более высокого уровня для корпоративных сетей передачи данных.

Рекомендации по повышению безопасности беспроводных сетей на базе WPA3+PSK

WPA3-Personal обеспечивает защиту отдельных пользователей благодаря более надежной аутентификации на основе пароля, даже если его сложность не соответствует общим стандартам. Эта технология реализована с помощью одновременной аутентификации равных (SAE), и она устойчива к автономным атакам с подбором пароля по словарю.

1) Атаки перехвата трафика (MITM)

Атака заключается в перехвате и возможном изменении информации, передаваемой между роутером и сервером. Это значит, что хакер, находящийся в радиусе действия беспроводной сети, может перехватить трафик между пользователем и сайтом, который используется в данный момент.

Рекомендации

  • Реализация принципа наименьших привилегий

K ЛВС необходимо разрешить доступ только тем устройствам, которым он необходим: корпоративным ноутбукам и передвижным рабочим местам. Мобильные телефоны должны подключаться к отдельной беспроводной сети с доступом только в интернет. Данная сеть должна быть не гостевой, и доступ к ней

2) Атака на понижение

Для поддержки старых устройств сертифицированные WPA3-устройства предлагают «переходный режим работы», который можно настроить для приема соединений с использованием как WPA3-SAE, так и WPA2. Переходный режим уязвим для атак с понижением версии. Один из способов реализации атаки основан на технике Evil Twin: если клиент подключен к роутеру через WPA3 с включенной функцией WPA3-Transition, злоумышленник может создать поддельную точку доступа WPA2, заставить клиента подключиться к ней через WPA2, захватить рукопожатие и взломать пароль сети Wi-Fi.

Рекомендации

  • Отключение уязвимых функций WPA3-Transition для WPA3

Рекомендации по повышению безопасности беспроводных сетей на базе WPA3+EAP

WPA3-Enterprise основан на WPA2-Enterprise с дополнительным требованием использовать защищенные кадры управления во всех соединениях WPA3.

1) Атаки перехвата трафика (MITM)

Атака заключается в перехвате и возможном изменении информации, передаваемой между роутером и сервером. Это значит, что хакер, находящийся в радиусе действия беспроводной сети, может перехватить трафик между пользователем и сайтом, который используется в данный момент.

Рекомендации

  • Использование метода EAP-TLS с применением клиентского сертификата и проверкой сертификата серверa

При реализации Enterprise-сетей использовать метод аутентификации EAP-TLS с использованием клиентского сертификата и проверкой сертификата сервера.

  • Реализовать принцип наименьших привилегий

K ЛВС необходимо разрешить доступ только тем устройствам, которым он необходим: корпоративным ноутбукам и передвижным рабочим местам. Мобильные телефоны должны подключаться к отдельной беспроводной сети с доступом только в интернет. Данная сеть должна быть не гостевой, и доступ к ней должен быть только у сотрудников компании.

2) Атака на понижение

Для поддержки старых устройств сертифицированные WPA3-устройства предлагают «переходный режим работы», который можно настроить для приема соединений с использованием как WPA3-SAE, так и WPA2. Переходный режим уязвим для атак с понижением версии. Один из способов реализации атаки основан на технике Evil Twin: если клиент подключен к роутеру через WPA3 с включенной функцией WPA3-Transition, злоумышленник может создать поддельную точку доступа WPA2, заставить клиента подключиться к ней через WPA2, захватить рукопожатие и взломать пароль сети Wi-Fi.

Рекомендации

  • Отключение уязвимых функций WPA3-Transition для WPA3

3) Атаки на слабые протоколы EAP

Разные протоколы EAP могут иметь разные уровни безопасности. Некоторые старые или слабые протоколы могут быть уязвимыми к атакам.

Рекомендации

  • Выбор безопасного протокола EAP

Не используйте устаревшие протоколы EAP с известными уязвимостями, например EAP-MD5 или EAP-LEAP. Вместо этого выбирайте более современный и безопасный протокол, например EAP-TLS (Transport Layer Security).

4) Атаки с использованием скомпрометированных сертификатов

Если злоумышленник получит доступ к компрометированным сертификатам, он может использовать их для подделки легитимного сервера аутентификации или клиента.

Рекомендации

  • Использование сертификатов с ограниченными правами

Для доступа к вашей сети выдавайте сертификаты с ограниченными правами пользователям и устройствам.

  • Регулярное обновление сертификатов

Регулярно и до истечения их срока действия обновляйте сертификаты и ключ.