在之前的帖子中,我介绍了如何保护有线网络。虽然有线网络可能不像无线网络那样“有趣”,但当我们考虑保护整个网络时,它们对于思考地址至关重要,而不仅仅是人们看到并与之交互的一两个部分。因此,我们将转向谈论保护无线网络。
介绍 802.11i
早在Wi-Fi联盟创建了Wi-Fi 5,Wi-Fi 6和Wi-Fi 6E的营销条款之前,他们就向我们推出了另一个营销术语,即使当时大多数人都没有意识到这一点。此营销术语为 WPA 或 Wi-Fi 保护访问。WPA 不是官方的 IEEE 标准;它是 Wi-Fi 联盟认证。虽然WPA是无线安全的基石,但它不是IEEE标准或修订,但它在很大程度上依赖于IEEE来工作。
Wi-Fi 中使用的原始加密是有线等效隐私 (WEP),希望每个人都知道并理解 WEP 在 2000 世纪初就被 aircrack.ng 和 John the Ripper 等工具所破坏。WEP包含了一些致命的缺陷,允许它在几秒钟内被暴力黑客攻击,导致它在2004年“正式退休”。我说“正式退役”是因为虽然WEP的问题仍然存在,但由于客户端设备不支持任何更新的加密,仍然可以使用WEP。
2003年,在WEP受到损害之后,但在IEEE能够正式引入802.11i修正案之前,Wi-Fi联盟发布了WPA作为需要从WEP迁移的网络的停止间隙解决方案,但没有802.11i得到正式批准,它总是注定只是一种停止间隙解决方案。
当然,这是一个关键的停滞,但是当802.11i在2004年获得批准时,它被Wi-Fi Protected Access 2或基于我们所有人都熟悉的802.11i修正案的WPA2协议“取代”。WEP正式退休。WPA2引入了一些增强功能,使其能够在14WPA33于2018年推出替换服务之前为Wi-Fi世界提供令人钦佩的两年服务。
在后面的文章中,我们将更深入地了解这些协议如何工作以及使它们正常运行所需的内容,但现在,在这次介绍中,我想介绍一些基本信息,以便我们以后可以参考它。
前几代人的局限性
WEP 可破解,因为它在加密过程中只使用一个密钥,如果捕获了该密钥,则只需重复使用同一密钥即可。它在加密中使用的位数方面也非常有限。
记住!更少的位 = 较低的开裂复杂性 = 更快的开裂加密时间。
WPA引入了一个称为时间密钥完整性协议(TKIP)的概念,该概念阻止攻击者简单地复制他们看到通过空中传输的密钥。TKIP有一个缺点,直到2007年推出802.11n才真正发挥作用。你看,TKIP有一个限制,将Wi-Fi速度限制在54 Mbps。在 802.11n 之前,54 Mbps 是您可以达到的最快速度,因此 TKIP 限制与 PHY 速率限制相匹配。没有问题。
幸运的是,对于容易超过54 Mbps的802.11n,具有AES-CCMP加密的WPA2已经消失。AES-CCMP 消除了这种速度限制,并改进了整体加密算法。
我们为什么要覆盖旧的安全加密,你问吗?在Wi-Fi世界中,我们被要求支持太多次,从技术角度来看,这些设备远远超过了他们的黄金水平,但从功能角度来看,仍然按预期执行工作。
一个完美的例子是仓库环境中使用的条形码扫描仪。这些设备需要坚固,电池寿命长,扫描条形码并输入相对简单的数字,然后将该信息传输到服务器。即使人类每秒可以扫描1个标签,该设备的吞吐量要求甚至没有以每秒兆比特为单位进行测量;从速度的角度来看,即使是802.11b也是可以的。
网络设计师和管理员被迫疯狂地试图维持对这些传统客户的支持,同时支持经理及其最新的平板电脑和应用程序要求。一台设备重视耐用性和稳定性,而另一台设备则追求速度和灵活性。更重要的是,对于这次讨论,一个人使用非常旧的安全性,而另一个更有可能接近最新的加密功能。
已试用并测试 WPA2
WPA2自2004年以来一直是我们值得信赖的朋友,在很大程度上,它为我们服务得很好。当然,这里和那里都出现了嗝(记住KRACK?),但是当以负责任的方式部署和管理时,它仍然非常安全。当我们比较WPA2的两个版本 - 个人和企业 - 并查看WPA2-Enterprise时尤其如此。WPA2-Enterprise 使用稳健的 EAP 类型(EAP 是可扩展验证协议),仍然是保护无线网络的可靠方法。WPA2-Enterprise with EAP-TLS 基于 802.1X 协议构建,即使在今天也非常安全。
当我们使用预共享密钥 (PSK) 查看 WPA2-Personal时,我们开始看到一些导致引入 WPA3-SAE 的问题。WPA2-Personal是住宅部署和咖啡店等公共区域常见的网络类型,他们在公共区域的标志上张贴Wi-Fi密码。WAP2-Personal如何构建加密密钥固有的问题需要转向WPA3-SAE等标准,我们将在后面的文章中更详细地介绍。
如果WPA2很好,为什么我们需要WPA3?
就像技术上的所有东西一样,进步也同样有助于网络的攻击者,甚至不超过合法的网络运营商和用户。随着处理器速度和能力的提高,帮助人们在移动设备上做更多的事情,攻击者也更快地强行使用在野外捕获的密码和凭据。云计算和无处不在的互联网连接使组织能够更快、更轻松地分散工作负载,就像攻击者一样。
过去需要几个月才能破碎的东西现在可以在几天内完成;过去需要几周的时间现在可以在几小时内破碎,如果不是几分钟。由于攻击者能够在野外收集加密密钥,然后将其发送到云计算实例或返回到中央破解服务器进行处理,破解加密密钥的成本比以前便宜得多。
WPA3-SAE (Simultaneous Authentication of Equals) 引入了与 802.1X 标准更相似的新加密方法,使得使用专为手头任务定制的暴力加密破解器服务器在野外或离线情况下破解变得更加困难。
在随后的帖子中,我将介绍更多内容,以帮助人们了解确切的漏洞是什么,您可能面临的风险,以及可能阻碍您升级到新标准的任何障碍。
结论
在一个我们似乎感到压力的世界里,总是有“最新和最伟大的”,一些细节可能会迷失在洗牌中。虽然WPA3-Enterprise是我们应该瞄准的目标,但如果不是每个设备最终都在该网络上,这是可以的。虽然WPA2-Personal可能不是“最好的”,但请记住,通过一些最佳实践,它就足够了。虽然WEP可以在几秒钟内被合格的攻击者破解,但如果这是所有设备都将支持的话,它可能就足够了。我会强烈推荐升级到几乎任何东西来消除WEP,但这是另一天的谈话。
请继续关注接下来的几期,我将更详细地介绍当今保护无线网络的两个主要方法——个人/SAE 和企业。
