Блог и Новости is*hosting - Хостинг-провайдер Нового Поколения

Протоколы безопасности Wi-Fi: WEP, WPA, WPA2 и WPA3

Written by Команда is*hosting | 18.01.2024 11:00:00

Первые беспроводные сети были разработаны в 1990-х годах. В этих сетях использовалась технология, называемая spread spectrum, которая распространяла сигнал данных в широком диапазоне частот. Благодаря этому неавторизованным пользователям было сложно перехватить данные.

В начале 2000-х годов была представлена новая технология беспроводной связи - Wi-Fi, основанный на стандарте IEEE 802.11, что делало новые сети гораздо быстрее сетей с распределенным спектром, а также более безопасными.

Сегодня существует несколько различных стандартов Wi-Fi, включая 802.11a, 802.11b, 802.11g, 802.11n и 802.11ac. Каждый стандарт предлагает различные скорости и функции безопасности.

Безопасность беспроводных сетей

Беспроводные сети уже давно стали популярными и не сдают своих позиций, поскольку они предлагают удобный способ подключения к Интернету без использования кабелей. Однако беспроводные сети также более уязвимы с точки зрения безопасности, по сравнению с проводными, так как доступ к ним может получить любой человек, находящийся в радиусе действия сети.

Все протоколы безопасности Wi-Fi сертифицированы Wi-Fi Alliance, некоммерческой организацией, владеющей торговой маркой Wi-Fi. Наиболее распространенными являются следующие протоколы:

  1. WEP (Wired Equivalent Privacy) - один из старейших протоколов безопасности беспроводных сетей. Он не очень надежен и легко взламывается.
  2. WPA (Wi-Fi Protected Access)- более безопасный протокол, чем WEP. В нем используется улучшенный алгоритм шифрования, и его сложнее взломать.
  3. WPA2 (Wi-Fi Protected Access 2) - самый надежный протокол безопасности беспроводных сетей в данный момент.

Протоколы безопасности Wi-Fi используют криптографические ключи для рандомизации данных, чтобы сделать их не поддающимися расшифровке. Поскольку системы Wi-Fi используют симметричное шифрование, для шифрования и расшифровки данных используется один и тот же ключ.

Что такое WEP (Wired Equivalent Privacy)?

WEP (Wired Equivalent Privacy) был разработан в конце 1990-х годов как способ защиты беспроводных сетей. В то время беспроводные сети становились популярными, но не отличались особой безопасностью. WEP был призван обеспечить уровень безопасности, эквивалентный проводным сетям.

WEP основан на алгоритме шифрования RC4. В то время RC4 считался стойким алгоритмом шифрования, и считалось, что злоумышленникам будет сложно его взломать. Протокол был стандартизирован в 1999 году IEEE как часть стандарта 802.11b. Стандарт 802.11b был первым широко распространенным стандартом Wi-Fi, а WEP был протоколом безопасности по умолчанию для сетей 802.11b.

Когда беспроводное устройство отправляет данные, они шифруются с помощью ключа шифрования. Затем зашифрованные данные передаются по беспроводной сети. Когда точка беспроводного доступа получает зашифрованные данные, она расшифровывает их с помощью того же ключа шифрования.

Изначально WEP использовал 64-битный ключ с алгоритмом потокового шифрования RC4 для шифрования данных, передаваемых по беспроводной сети. В более поздних версиях протокола была добавлена поддержка 128- и 256-битных ключей для повышения уровня безопасности. В WEP используется 24-битный вектор инициализации, что позволило получить эффективную длину ключа 40, 104 и 232 бита.

Одна из уязвимостей WEP заключается в том, что ключ шифрования является общим для всех устройств, подключенных к беспроводной сети. При этом данный ключ не меняется с течением времени.

WEP также ограничен в объеме данных, которые он может зашифровать. Протокол может обеспечить шифрование только данных размером до 1500 байт, что ставит под угрозу пакеты данных большего размера, например видео- и аудиофайлы.

Переход к WPA (Wi-Fi Protected Access)

WEP был быстро признан небезопасным, и в 2003 году ему на смену пришел WPA (Wi-Fi Protected Access). WPA значительно превосходит WEP по уровню безопасности. В WPA используются более мощные алгоритмы шифрования, более надежный протокол аутентификации и более широкий набор функций безопасности. В нем появился ряд новых функций безопасности, в том числе:

  • Новый алгоритм шифрования TKIP (Temporal Key Integrity Protocol).
  • Инструмент по проверке данных MIC (Message Integrity Check).
  • Новый протокол аутентификации с более широким спектром методов EAP (Extensible Authentication Protocol).

В WPA используется централизованная архитектура с единым сервером аутентификации, который обрабатывает все запросы. Это усложняет задачу злоумышленников по получению доступа к сети, поскольку для этого им необходимо скомпрометировать сервер аутентификации.

Особенностью WPA также стало поддержание других методов обеспечения безопасности, включая PSK (Pre-Shared Key), 802.1X и RADIUS.

Тем не менее, WPA не стал эталоном защищенности. WPA использует предварительный ключ, который знают все устройства в сети. Этот ключ иногда может быть угадан или взломан, что ставит под угрозу всю сеть. Временной ключ, используемый для шифрования данных, иногда может быть обнаружен путем перехвата векторов инициализации, передаваемых в открытом виде. Это позволяет расшифровать трафик. Некоторые фреймы управления не шифруются в WPA, что позволяет некоторым атакам нарушать соединение.

WPA позволяет вообще не шифровать трафик с помощью параметра "WPA None", что противоречит цели протокола и требует правильной настройки.

WPA2: улучшения и исправления

WPA2 был представлен в 2004 году как преемник WPA и остается самым распространенным стандартом безопасности WiFi. Его целью является устранить недостатки шифрования WEP и повысить безопасность аутентификации устройств и шифрования трафика.

Техническое особенности WPA2:

  • Используется алгоритм шифрования AES для надежного симметричного шифрования трафика.
  • Технология поддерживает протоколы 802.1X/EAP для аутентификации устройств с помощью внутреннего сервера аутентификации.
  • Генерируются случайные ключи PMK и PTK на каждую сессию для шифрования, а не общий ключ.
  • Реализует протоколы передачи ключей, такие как 4-стороннее рукопожатие, для безопасной установки и изменения ключей шифрования.

Стоит различать WPA2-Enterprise и WPA2-Personal - это два разных протокола безопасности для сетей Wi-Fi. В обоих протоколах используется один и тот же алгоритм шифрования AES, но они отличаются способом аутентификации пользователей.

WPA2-Enterprise использует централизованный сервер аутентификации для проверки подлинности пользователей. Когда пользователь подключается к сети WPA2-Enterprise, его учетные данные отправляются на сервер аутентификации. Затем сервер проверки подлинности сверяет учетные данные пользователя с базой данных авторизованных пользователей. Если учетные данные действительны, сервер аутентификации отправляет сообщение на беспроводную точку доступа, разрешая пользователю подключиться к сети.

WPA2-Personal использует предварительный ключ (PSK) для аутентификации пользователей. PSK - это общий секрет, который известен всем устройствам, подключающимся к сети. Когда пользователь подключается к сети WPA2-Personal, ему предлагается ввести PSK. Если PSK введен правильно, пользователю разрешается подключиться к сети.

WPA2-Enterprise более безопасен, чем WPA2-Personal, поскольку использует централизованный сервер аутентификации. Даже если злоумышленник скомпрометирует точку беспроводного доступа, он не сможет получить доступ к учетным данным пользователя. В случае с WPA2-Personal, где используется ключ с предварительным разделением, если злоумышленник сможет получить PSK, он сможет получить доступ к сети.

Сравнение WEP, WPA и WPA2

Особенность

WEP

WPA

WPA2-Enterprise

WPA2-Personal

Алгоритм шифрования

RC4

TKIP

AES-CCMP

AES-CCMP

Аутентификация

Открытая система или общий ключ

EAP/802.1X

EAP/802.1X

PSK

Размер ключа сеанса

64-bit/128-bit

256-bit

256-bit

256-bit

Ключ шифрования

Статический общий ключ

Динамические ключи, созданные с помощью RC4

Динамические ключи, созданные с помощью AES

Динамические ключи, созданные с помощью AES

Уязвимости

Слабые ключи шифрования, отсутствие ротации ключей

Уязвимость к атакам на TKIP

Возможна модификация 4-стороннего рукопожатия

Общий PSK может быть взломан

Безопасность

Очень слабая

Умеренная, но недостаточная

Сильная с сервером аутентификации

Сильная, но с рисками из-за PSK

Что будет после WPA2?

Устройства WPA3 стали широко доступны в 2019 году и имеют обратную совместимость с устройствами, использующими протокол WPA2.

WPA3 призван полностью заменить WPA2, усилив методы аутентификации на основе пароля и потребовав более надежных шифров, таких как AES-GCMP. WPA3 Personal использует случайно генерируемые ключи вместо статических паролей, а Enterprise интегрирует аутентификацию 802.1X. Некоторые новые функции WPA3 также устраняют известные уязвимости предыдущих стандартов.

При входе в сеть общего пользования WPA3 регистрирует новое устройство не с помощью общего пароля, а с помощью процесса. WPA3 использует протокол Wi-Fi Device Provisioning Protocol (DPP), который позволяет пользователям использовать метки Near Field Communication (NFC) или QR-коды, чтобы разрешить устройствам войти в сеть. Кроме того, в системе безопасности WPA3 используется шифрование GCMP-256 вместо ранее применявшегося 128-битного шифрования.

Wi-Fi 6 и 6E обеспечивают мультигигабитные скорости, но при этом увеличивают потенциальный объем уязвимостей. Новые протоколы могут интегрировать блокчейн или машинное обучение для улучшения идентификации, обнаружения угроз и динамического контроля доступа.

Непрерывная аутентификация и контекстная политика авторизации будут играть ключевую роль в обеспечении безопасности по мере распространения беспроводной связи на новые отрасли, такие как промышленный IoT, телемедицина и автономные транспортные средства.

Протоколы безопасности Wi-Fi, такие как WPA2, стали стандартом для защиты беспроводных сетей. Однако не стоит останавливаться на стандартных методах защиты. Существует множество инструментов для защиты сети, включая VPN, прокси и Tor.

Виртуальная частная сеть (VPN) усиливают стандартную защиту, обеспечиваемую обычными протоколами безопасности Wi-Fi. При использовании VPN ваш трафик сначала направляется и шифруется через удаленный сервер. Ваша онлайн-активность остается скрытой от вашего интернет-провайдера, правительства, хакеров и других злоумышленников. Кроме того, VPN позволяет безопасно пользоваться общественным Wi-Fi, а также помогает избежать гео-блокировок.