为什么我们有多种无线安全类型?
如今,WiFi网络要么在没有保护的情况下开放,要么受到四种安全类型之一的保护:WEP、WPA、WPA2或WPA3。这些安全类型代表了在实施改进的WiFi安全性以响应已识别的漏洞和漏洞的演变。
WEP(有线等效协议)于 1997 年在最初的 IEEE 802.11 规范中定义。几年后,大约在 2001 年发现了第一个漏洞。这些漏洞非常严重,以至于许多组织停止部署WiFi网络。为了解决 WEP 的弱点,RSN(强大的安全网络)被添加到 802.11 规范中。
RSN最初包括两个机密性和完整性协议:TKIP,可以作为现有WiFi产品的固件升级来实现,以及CCMP,需要新的硬件,需要一到两年的时间才能广泛使用。TKIP有一些已知的弱点,不如CCMP安全,但具有上市时间优势。
2003年,WiFi联盟发布了WPA(WiFi保护访问)规范,支持TKIP的部署。一年后,他们发布了支持CCMP的WPA2。
自 20 年前定义 WPA2 以来,802.11 规范中添加了一些与安全相关的增强功能。WPA3 是最新的 WiFi 联盟规范,鼓励部署这些较新的安全功能。
WEP、WPA、WPA2 和 WPA3 之间的技术区别是什么?
WEP、WPA、WPA2 和 WPA3 之间的技术差异涉及三种基本安全机制:
-
加密,用于保护通过WiFi网络传输的消息的机密性。
-
消息完整性,确保通过无线方式发送的消息未被篡改。
-
身份验证,用于确定用户是否有权访问 WiFi 网络。
有哪些不同的WiFi加密选项?
最初的 802.11 规范包括加密、消息完整性和身份验证。这些机制统称为WEP(有线等效隐私)。WEP 支持 128 位的密钥长度,并使用 RSA 加密算法。WEP 使用 24 位初始化向量作为输入来生成 WEP 加密密钥。
不幸的是,黑客可能会在通过无线方式收集大约 300,000 个加密数据包后暴露 WEP 加密密钥。WEP 使用相同的密钥进行加密和身份验证。一旦黑客破解了加密密钥,他们不仅可以解密无线流量,还可以访问网络。
目前,WEP 已被弃用。但是,您仍然会发现一些遗留的 WEP 部署,尤其是在学术界和医院中。如果禁止组织更换其支持 WEP 的设备,则必须对流量进行分段,并且无法到达主企业网络。
为了解决 WEP 的问题,IEEE 802.11 工作组将 RSN(稳健安全网络)定义为 WEP 的替代方案。WiFi 联盟制定了 WPA 认证规范,以测试和鼓励实施 RSN 功能的子集。
-
水 渍 险。解决 WEP 问题的一套临时措施,例如,将初始化向量扩展到 48 位。但是,WPA 支持 RSA 加密算法。由于 WPA 是一种短期解决方案,因此您不会期望在当今的企业网络中找到 WPA。
-
WPA2 中。使用 AES 作为流密码定义了 CTR(计数器)模式。AES 密码支持更长的密钥,并且可以抵御暴力攻击。WPA2 支持使用 128 位密钥进行加密。
-
WPA3的。添加 GCM(伽罗瓦计数器模式)以使用相同的 AES 密码和 192 位加密密钥进行加密。后者是美国一些军事部署的要求。
有哪些WiFi消息完整性选择?
消息完整性通常使用哈希算法和密钥来实现,以生成固定长度的消息摘要,该摘要在传输之前附加到消息中。如果接收设备生成相同的消息摘要,则表示消息未被篡改。
WEP 使用校验和生成固定长度的字符串。消息和固定长度字符串之间的确定性关系使其容易受到位翻转攻击。
由 802.11 工作组定义的 RSN 引入了新的消息完整性机制,WiFi 联盟认证再次鼓励实施这些改进的功能。
-
水 渍 险。作为一项短期措施,WPA 引入了 Michael 哈希函数。尽管 Michael 已知弱点,但它比 WEP 校验和 CRC32 有了显着改进。
-
WPA2 中。定义用于消息身份验证和完整性的密码块链接消息身份验证代码 (CBC-MAC)。CBC-MAC使用AES分组密码和共享密钥生成固定长度的消息认证代码。
-
WPA3的。添加 GMAC(Galois 消息身份验证代码)以实现消息身份验证和完整性。CBC-MAC和GMAC都使用相同的AES分组密码。但是,GMAC 速度更快,因为它并行处理数据块,而 CBC-MAC 按顺序处理每个块。
您可能熟悉首字母缩略词 CCMP 和 GCMP。CCMP是CTR模式,用于使用CBC-MAC进行加密,以确保消息完整性。GCMP 是用于加密的 GCM,GMAC 用于消息完整性。
有哪些不同的WiFi身份验证方法?
最初的 802.11 规范定义了开放系统和共享密钥身份验证。开放系统身份验证允许任何人进行连接。共享密钥身份验证使多个用户能够使用相同的密钥连接到网络。用于 WEP 身份验证的共享密钥是 WEP 加密密钥。
RSN 增加了对几种新身份验证机制的支持,包括:
-
预共享密钥 (PSK) 身份验证。预共享密钥在用户连接到 WiFi 网络之前与用户共享。与所有用户都使用相同密钥的 WEP 不同,PSK 允许每个用户拥有唯一的密钥。
-
等价同步身份验证 (SAE) 是一种基于密码的身份验证方法,它使用密钥协议机制生成密钥。通过生成强密钥,SAE 可以保护创建弱密码的用户免受暴力攻击。
-
基于端口的 802.1X 身份验证。在完成 802.11X 身份验证过程之前,将阻止常规流量。
WPA 定义了两种模式:WPA 个人版和 WPA 企业版。 -
WPA 和 WPA2 个人使用 PSK。
-
WPA3 人员将 PSK 替换为 SAE。WPA、WPA2 和 WPA3 Enterprise 使用基于 802.1X 端口的身份验证。
什么是受保护的管理框架 (PMF)?
通过 WiFi 网络发送三种消息类型:数据帧、管理和控制帧。管理框架包括身份验证和关联消息。从历史上看,这些帧没有受到保护,这使得WiFi网络容易受到DoS攻击。PMF 添加了加密和消息完整性以保护特定的管理帧。
虽然PMF是在2009年定义的,但它并没有被业界广泛采用。为了便于采用,WiFi联盟将PMF作为WPA3认证的强制性功能。
你现在应该怎么做?
表 1 总结了本博客中讨论的 802.11 安全功能。下一步是评估您使用的WiFi网络。回答以下问题:
-
此网络上使用了哪些安全机制?
-
哪些数据会通过这个网络?
-
我们需要加强这个网络的安全性吗?
表 1:比较 WPA 版本中的 WiFi 功能