Jan Kończak

Zabezpieczenia sieci bezprzewodowych:

• WEP – nie zapewnia bezpieczeństwa
• WPA (Wi-Fi Protected Access) – implementacja 802.11i zanim powstało 802.11i, w tym szyfrowanie używając:
  • TKIP
  • opcjonalnie CCMP AES
• 802.11i – standard opisujący skuteczne zabezpieczanie sieci bezprzewodowych
• WPA2 – "handlowa" nazwa implementacji 802.11i, w tym szyfrowanie używając:
  • opcjonalnie TKIP
  • CCMP (AES)
• WPA3 - ogłoszony w czerwcu 2018 standard, jego obsługa jest wymagana w nowych urządzeniach [1] [2] [3]
  • uniemożliwia znane ataki na WPA2 (m. inn. KRACK, lista innych na Wikipedii)
  • uniemożliwia słownikowe ataki offline na sieci zabezpieczone hasłem (SAE, RFC 7664)
  • umożliwia użycie silniejszej kryptografii (dłuższe klucze i silniejsze protokoły – GCMP i oparte na krzywych eliptycznych)
  • wymaga zabezpieczania ramkek typu management (802.11w)
  • w WPA3 odkryto już podatności na inne rodzaje ataków (dragonblood)
  • wraz z WPA3 próbowano wprowadzić rozwiązanie pozwalające tworzyć bezpieczne sieci nie wymagające hasła do połączenia (Wi-Fi Enhanced-Open, RFC 8110)
• Uwierzytelnianie:
  • WPA-Personal
    • w WPA i WPA2 – PSK (Pre-shared Key)
      znając PSK i słuchając pełnej komunikacji (od nawiązania połączenia) można deszyfrować transmisję
    • w WPA3 – SAE (Simultaneous Authentication of Equals)
  • WPA-Enterprise – EAP, EAPOL
    • PSK
    • TLS
    • PEAP, TTLS, FAST
  • Scentralizowane uwierzytelnianie – RADIUS konfiguracja przykładowego serwera
    Otwarta dokumentacja dla sieci Eduroam – przykład wdrożenia sfederalizowanego uwierzytelniania: en, pl
• WPS – rozwiązania mające ułatwić osobom nietechnicznym korzystanie z zabezpieczeń WPA-PSK
  część implementacji WPS (np. pin) nie zapewnia bezpieczeństwa sieci

WEP, WPA{,2,3} dobrze opisuje artykuł: https://www.nastykusieci.pl/wpa3/ i https://www.cyberbajt.pl/raport/377/0/378/