Как работает WPA2

Да, сейчас основной стандарт безопасности WPA3. Но переход к нему проходит постепенно. В мире ещё миллионы устройств раздачи беспроводной сети работают по этому протоколу. Поэтому важно знать, как он работает, что умеет, какие у него есть уязвимости. Об этом и статья.

Что такое WPA2

Wi-Fi Protected Access 2 — протокол безопасности, разработанная Wi-Fi Alliance для безопасности беспроводных сетей в 2004 году.

WPA2 использует AES, один из самых надежных методов шифрования. Вся информация здесь проходит блоками по 128 бит за раз. Независимо от размера данных, AES разбивает всё на 128 бит на блок и шифрует каждый из них отдельно. То есть: «Сообщение 1» состоит из одного блока → 128 бит «Сообщение 2» состоит состоит из трёх блоков → 128 бит (шифрование 1) + 128 бит (шифрование 2) + 128 бит (шифрование 3) Кроме того, в зависимости от объема данных, AES использует разное количество раундов шифрования. Каждый раунд — сложные математические операции по замене и преобразованию битов. Здесь углубляться не будем. WPA2 также использует принцип целостности данных. Это постоянная проверка пакетов на предмет изменений. Ещё из интересного можно обозначить систему управления доступом 802.1X. Её чаще используют в корпоративных сетях, где требуются более сложные механизмы аутентификации, чем обычный пароль. В чём суть 802.1X. Эта система проверяет, действительно ли у человека или устройства есть право доступа к ресурсам сети, прежде чем разрешить им вход. У 802.1X есть определенные компоненты. Их можно представить в метафоре. Давайте представим, что 802.1X — служба фэйсконтроля в клубе.

• Супликант — это визитер, который хочет войти в клуб.

• Аутентификатор — это фэйсконтрольщик у двери, который решает, пускать ли этого визитера внутрь.

• Сервер аутентификации — это база данных с информацией обо всех, кто имеет право находиться в здании. То есть список тех, кто приглашен на вечеринку.

Когда визитер хочет войти в здание, он показывает свое лицо фэйсеру (ID). Фэйсер не знает всех, поэтому связывается со списком приглашенных (сервером аутентификации), чтобы проверить ID визитера. Если ID визитера есть в базе данных и он имеет право находиться в здании, то охранник открывает дверь и пускает его внутрь. Если ID нет в списке или он недействителен, фэйсер разворачивает его.

Какие уязвимости есть у WPA2

Их на самом деле много. Мы перечислим самые популярные

1. Атака KRACK (Key Reinstallation Attacks), о которой мы писали

2. Слабые пароли могут быть подвержены cловарным атакам.

3. Атаки на фрагментацию и агрегацию пакетов: эти уязвимости могут позволить злоумышленникам изменить пакеты данных без знания ключа шифрования.

4. Hole196. Описанная уязвимость, которая позволяет злоумышленнику, уже подключённому к сети WPA2 с использованием корпоративного режима аутентификации 802.1X, перехватывать и манипулировать трафиком, предназначенным для других пользователей сети.

Как защитить сеть с WPA2

1. Выбирайте сложный и длинный пароль, в котором есть цифры, символы, а также заглавные и строчные буквы.

2. Меняйте имя сети (SSID) с заводского значения на уникальное и неочевидное, чтобы злоумышленники не могли легко определить используемое оборудование или конфигурацию.

3. Отключайте WPS (Wi-Fi Protected Setup). Она имеет уязвимости, которые могут быть использованы для подбора PIN-кода и получения доступа к сети.

4. Обновляйте прошивки маршрутизатора.

5. Отключайте удаленное управление маршрутизатором.

6. Используйте список контроля доступа по MAC-адресу.

7. Используйте изолированные подсети (VLAN). Они разделяют трафик различных типов пользователей (например, гостевой трафик и трафик сотрудников).

8. Используйте AES. Некоторые устройства еще поддерживают TKIP, которые более подвержен взлому.

Ещё есть регулярная проверка устройств, подключенных к сети и сетевой мониторинг. Это тоже база, но можно начать с первых 8 пунктов, они забирают меньше ресурсов.