WPA3: A próxima geração em mobilidade segura

A Wi-Fi Alliance anunciou recentemente um novo padrão em wireless, Wi-Fi CERTIFIED WPA3 TM . O WPA3 (Wi-Fi Protected Access) foi projetado como o sucessor do WPA2 amplamente utilizado e traz uma série de aprimoramentos essenciais para melhorar as proteções de segurança e os procedimentos de integração em redes pessoais, públicas e corporativas.

 

Compartilhe esta notícia

Os problemas de segurança na rede variam amplamente tanto para usuários de TI quanto para usuários pessoais - de invasores mal-intencionados e dispositivos desconhecidos a riscos representados por uma rede mal configurada. O aumento dos dispositivos de IoT agrava esses problemas, especialmente em redes corporativas. No espaço doméstico e de pequenas empresas, as redes abertas e pouco protegidas são alvos atraentes para que invasores acessem a rede ou detectem informações potencialmente confidenciais enviadas de forma clara. O WPA2-Personal é particularmente suscetível a ataques de dicionário off-line, enquanto o WPA2-Enterprise é muito difícil de provisionar porque tem muitas opções.

 

É aí que os projetos baseados em padrões, bem como uma arquitetura de rede de vários fornecedores compatível com API, são implementados para permitir um alto grau de adoção de novos recursos e tecnologias para melhorar as proteções do usuário final e os recursos de TI.

 

Enquanto examinamos o que o WPA3 faz, observe que o WPA3 não substitui sua solução de segurança de nível corporativo existente. A segurança deve ser tomada de maneira holística e integrar recursos que variam de granularidade no nível do aplicativo, do usuário e do dispositivo.

 

Com isso, o WPA3 visa resolver esses problemas principais:

  • Problema: o tráfego sem fio é passado em redes abertas
  • Solução: Com o WPA3, não há mais redes abertas! OWE, ou Criptografia sem fio oportunista, criptografa todo o tráfego sem fio em redes anteriormente abertas.

 

O cenário mais provável de relacionar geralmente envolve redes às quais você geralmente se conecta em pequenas empresas, como lanchonetes, lojas de automóveis particulares e restaurantes, onde o Wi-Fi não é um ativo fechado. Se forem redes abertas ou se usarem uma PSK pública e compartilhada (como por exemplo, em uma lousa ou no menu de um restaurante), o tráfego de Wi-Fi pode ser descriptografado por invasores na rede. OWE eleva o nível de segurança e protege contra esses ataques passivos.

 

Uma rede OWE oferece aos usuários uma experiência perfeita. Parece uma rede aberta na lista de redes disponíveis, mas sob as capas, o OWE oferece segurança aprimorada.

 

  • Problema: PSK pode ser hackeado metodicamente com um ataque de dicionário offline
  • Solução: O modo PSK é substituído por SAE, ou Autenticação Simultânea de Igual, que é resistente a ataques ativos, passivos e de dicionário.

Ataques de dicionário offline observam uma única troca WPA2-PSK e, em seguida, percorrem todas as combinações possíveis de uma senha de Wi-Fi, verificando se a adivinhada foi usada na troca, até que a senha correta seja encontrada. Quanto mais complexa a senha for melhor, senhas complexas são difíceis de serem gerenciadas e inseridas por pessoas com baixa probabilidade de erro. Colocar a carga de segurança de rede nos usuários nunca é uma boa ideia. Com o WPA3-SAE, o protocolo é protegido e mantém sua segurança mesmo quando usado com PSKs que seriam considerados muito fracos para o WPA2-PSK.

Com o WPA3-SAE, os usuários não precisam aprender sobre novos procedimentos de segurança (ou saber o que é um ataque de dicionário). A interface do usuário para SAE é idêntica a uma rede PSK. Os usuários ficam confortáveis ​​ao digitar uma senha quando solicitados e nada muda do ponto de vista deles, mas sob as capas eles obtêm uma conexão realmente segura.

 

  • Problema: A natureza de combinação e correspondência do WPA2-Enterprise pode resultar em segurança abaixo do ideal
  • Solução: o WPA3 introduz criptografia de 256 bits, recursos de segurança do CNSA (Suite B) e regras de linha de base para garantir segurança consistente.

 

Enquanto as empresas implantam redes altamente seguras usando as configurações do WPA2-Enterprise, ainda há muitas opções durante a implementação que podem resultar em implantações menos seguras. Por exemplo, você deve usar trocas de chaves RSA? Autenticação de 1024 bits de 2048 bits? TLS 1.0? SHA1? Com o novo WPA3-CNSA, o EAP-TLS usa ciphersuites do Suite B TLS e também apresenta segurança de 192 bits comumente implantada em redes Wi-Fi de alta segurança em verticais governamentais, de defesa e industriais. Esses ciphersuites combinam todas as várias opções - modo de codificação, algoritmo de hash, troca de chaves, método de autenticação - em um único conjunto que fornece segurança consistente para cada conexão de usuário. Não é mais necessário misturar e combinar opções e não se preocupar mais com clientes “negociando” a segurança de uma conexão EAP-TLS, intencionalmente ou não.

 

  • Problema: Existem muitos dispositivos certificados pela WPA2-Enterprise que não verificam corretamente as cadeias de certificados.
  • Solução: o WPA3 estabelece testes de cadeia de certificação obrigatórios para garantir a verificação adequada da rede pelo dispositivo final. O WPA3 também introduz a proteção de quadro de gerenciamento obrigatório, que ajuda a proteger os dispositivos contra um ataque que se mascara como um ponto de acesso.

 

  • Problema: os dispositivos levam tempo para serem embarcados
  • Solução: O DPP, ou Device Provisioning Protocol, facilita o acesso a dispositivos sem cabeça integrados, que podem ou não ter uma tela sensível ao toque ou um teclado com, digamos, um código QR.

 

Não estritamente WPA3 per se, mas DPP é comercializado sob o guarda-chuva de WPA3. Imagine-se com um novo WeMo ou Amazon Alexa. O procedimento típico é conectar-se ao dispositivo IoT e inserir manualmente o SSID e a senha da rede. À medida que você conecta cada vez mais dispositivos, especialmente em uma configuração corporativa, em que é necessário conectar uma infinidade de Smart TVs, Apple HomePods e iluminação conectada, a escala se torna um grande problema.

O provisionamento DPP fornece uma credencial semelhante a um certificado para esses dispositivos e permite que um dispositivo confiável inicialize outro dispositivo em uma rede com qualquer um dos seguintes métodos seguros / não seguros:

  1. Digitalização de um código QR impresso na parte de trás
  2. Usando um código ou frase simples
  3. tocar no dispositivo com NFC

 

Quando vou ver o WPA3?

A adoção geral levará alguns anos para a transição. O WPA3 agrega melhorias à segurança e adiciona recursos fáceis de usar que serão adotados pela indústria nos próximos meses e anos. Esses novos recursos de segurança são adicionados de uma maneira que não afeta os usuários. Não há novos procedimentos para aprender, nenhuma regra complexa para a construção de senhas e a experiência do usuário não muda, mesmo que o nível de segurança da rede seja aumentado.

Como acontece com qualquer recurso de software ou atualização padrão, os dispositivos finais, como telefones, tablets, laptops e outros dispositivos também devem oferecer suporte ao WPA3 para fazer uso dos novos recursos de segurança oferecidos pelo WPA3. Alguns recursos, como o OWE e o SAE, exigirão uma atualização ou correção mínima de software, enquanto outros recursos, como a criptografia opcional CNSA (Suite B), podem exigir novo suporte de hardware para aproveitar a criptografia de 256 bits.

Sua transição do WPA2 para o WPA3 dependerá dos seus requisitos de segurança de TI e de quantos dispositivos suportam o WPA3. Embora isso possa exigir pelo menos os próximos anos para a eliminação completa, seus usuários finais com o WPA2 não terão problemas ao se conectarem a uma rede WPA3. Um dispositivo compatível com WPA3 poderá se conectar a um OWE BSS em sua rede, enquanto um dispositivo somente com WPA2 se conectará como de costume a um Open BSS.

Avalie o artigo:

WPA3: A próxima geração em mobilidade segura
  • 5,00 de 5

  • 2 Avaliações
0

Deixe um comentário


0 Comentários