Кристина ПарфентьеваWPA3 — усовершенствованная версия WPA2; протокол снабжен более надежным методом аутентификации и имеет повышенную криптографическую стойкость. Поскольку сети Wi-Fi различаются по назначению и требованиям безопасности, WPA3 включает дополнительные возможности специально для личных и корпоративных сетей. Пользователи WPA3-Personal получают дополнительную защиту от взлома методом подбора пароля, в то время как пользователи WPA3-Enterprise теперь могут воспользоваться преимуществами протоколов безопасности более высокого уровня для корпоративных сетей передачи данных.
Рекомендации по повышению безопасности беспроводных сетей на базе WPA3+PSK
WPA3-Personal обеспечивает защиту отдельных пользователей благодаря более надежной аутентификации на основе пароля, даже если его сложность не соответствует общим стандартам. Эта технология реализована с помощью одновременной аутентификации равных (SAE), и она устойчива к автономным атакам с подбором пароля по словарю.
1) Атаки перехвата трафика (MITM)
Атака заключается в перехвате и возможном изменении информации, передаваемой между роутером и сервером. Это значит, что хакер, находящийся в радиусе действия беспроводной сети, может перехватить трафик между пользователем и сайтом, который используется в данный момент.
Рекомендации
- Реализация принципа наименьших привилегий
K ЛВС необходимо разрешить доступ только тем устройствам, которым он необходим: корпоративным ноутбукам и передвижным рабочим местам. Мобильные телефоны должны подключаться к отдельной беспроводной сети с доступом только в интернет. Данная сеть должна быть не гостевой, и доступ к ней
2) Атака на понижение
Для поддержки старых устройств сертифицированные WPA3-устройства предлагают «переходный режим работы», который можно настроить для приема соединений с использованием как WPA3-SAE, так и WPA2. Переходный режим уязвим для атак с понижением версии. Один из способов реализации атаки основан на технике Evil Twin: если клиент подключен к роутеру через WPA3 с включенной функцией WPA3-Transition, злоумышленник может создать поддельную точку доступа WPA2, заставить клиента подключиться к ней через WPA2, захватить рукопожатие и взломать пароль сети Wi-Fi.
Рекомендации
- Отключение уязвимых функций WPA3-Transition для WPA3
Рекомендации по повышению безопасности беспроводных сетей на базе WPA3+EAP
WPA3-Enterprise основан на WPA2-Enterprise с дополнительным требованием использовать защищенные кадры управления во всех соединениях WPA3.
1) Атаки перехвата трафика (MITM)
Атака заключается в перехвате и возможном изменении информации, передаваемой между роутером и сервером. Это значит, что хакер, находящийся в радиусе действия беспроводной сети, может перехватить трафик между пользователем и сайтом, который используется в данный момент.
Рекомендации
- Использование метода EAP-TLS с применением клиентского сертификата и проверкой сертификата серверa
При реализации Enterprise-сетей использовать метод аутентификации EAP-TLS с использованием клиентского сертификата и проверкой сертификата сервера.
- Реализовать принцип наименьших привилегий
K ЛВС необходимо разрешить доступ только тем устройствам, которым он необходим: корпоративным ноутбукам и передвижным рабочим местам. Мобильные телефоны должны подключаться к отдельной беспроводной сети с доступом только в интернет. Данная сеть должна быть не гостевой, и доступ к ней должен быть только у сотрудников компании.
2) Атака на понижение
Для поддержки старых устройств сертифицированные WPA3-устройства предлагают «переходный режим работы», который можно настроить для приема соединений с использованием как WPA3-SAE, так и WPA2. Переходный режим уязвим для атак с понижением версии. Один из способов реализации атаки основан на технике Evil Twin: если клиент подключен к роутеру через WPA3 с включенной функцией WPA3-Transition, злоумышленник может создать поддельную точку доступа WPA2, заставить клиента подключиться к ней через WPA2, захватить рукопожатие и взломать пароль сети Wi-Fi.
Рекомендации
- Отключение уязвимых функций WPA3-Transition для WPA3
3) Атаки на слабые протоколы EAP
Разные протоколы EAP могут иметь разные уровни безопасности. Некоторые старые или слабые протоколы могут быть уязвимыми к атакам.
Рекомендации
- Выбор безопасного протокола EAP
Не используйте устаревшие протоколы EAP с известными уязвимостями, например EAP-MD5 или EAP-LEAP. Вместо этого выбирайте более современный и безопасный протокол, например EAP-TLS (Transport Layer Security).
4) Атаки с использованием скомпрометированных сертификатов
Если злоумышленник получит доступ к компрометированным сертификатам, он может использовать их для подделки легитимного сервера аутентификации или клиента.
Рекомендации
- Использование сертификатов с ограниченными правами
Для доступа к вашей сети выдавайте сертификаты с ограниченными правами пользователям и устройствам.
- Регулярное обновление сертификатов
Регулярно и до истечения их срока действия обновляйте сертификаты и ключ.