Bezpieczeństwo transmisji bezprzewodowej stanowi jeden z najważniejszych aspektów projektowania współczesnych sieci WLAN. W sieciach przewodowych fizyczny dostęp do medium jest ograniczony. W przypadku WiFi każda ramka radiowa rozchodzi się w przestrzeni publicznej. Może być przechwycona przez każdego znajdującego się w zasięgu. Dlatego mechanizmy kryptograficzne odgrywają kluczową rolę w zapewnieniu poufności transmisji.

Omawiane w tej prezentacji standardy zabezpieczeń ewoluowały na przestrzeni blisko trzech dekad. Zaczęliśmy od całkowicie niebezpiecznego WEP. Dzisiaj mamy nowoczesny WPA3 z odpornym na ataki słownikowe protokołem SAE. Każda kolejna generacja łatała luki poprzedników. Żaden system nie jest jednak w pełni odporny na wszystkie wektory ataku. Zrozumienie tych mechanizmów jest niezbędne dla każdego inżyniera sieciowego.

Przedstawiona w skróconej formie ewolucja zabezpieczeń WiFi obrazuje dynamiczny rozwój kryptografii w sieciach bezprzewodowych. Proces ten trwa już od ponad dwudziestu pięciu lat. Każdy z omawianych standardów był odpowiedzią na konkretne zagrożenia. Ataki wykryte w poprzednich wersjach wymuszały opracowanie nowych mechanizmów obrony. Doskonale ilustruje to spiralę walki pomiędzy twórcami zabezpieczeń a atakującymi.

Warto zwrócić uwagę, że samo wprowadzenie silniejszego algorytmu szyfrowania nie wystarczy. Istotna jest również poprawna implementacja protokołu. Liczą się także dobre praktyki konfiguracyjne. Wiele podatności, takich jak KRACK czy PMKID, wynikało nie ze słabości kryptografii. Były to raczej błędy w implementacji standardu. Dlatego tak ważne jest kompleksowe podejście do bezpieczeństwa sieci.

WEP był pierwszym standardem zabezpieczeń wprowadzonym w specyfikacji IEEE 802.11. Miało to miejsce w 1999 roku. Przez kilka lat stanowił jedyną dostępną formę ochrony sieci bezprzewodowych. Jego twórcy zakładali zapewnienie poziomu bezpieczeństwa porównywalnego z sieciami przewodowymi. Już wkrótce po wprowadzeniu zaczęto dostrzegać poważne ułomności konstrukcyjne. Nazwa WEP okazała się w praktyce mocno na wyrost.

Podstawowym problemem było użycie algorytmu RC4. Połączono go z bardzo krótkim, zaledwie 24-bitowym wektorem inicjującym. Prowadziło to do szybkiego wyczerpania puli dostępnych IV. Atakujący mógł zebrać wystarczającą liczbę pakietów do odtworzenia klucza. Mechanizm kontroli integralności CRC-32 nie zapobiegał modyfikacji ramek. Protokół był podatny na ataki typu bit-flip. W połączeniu z brakiem wzajemnego uwierzytelniania WEP stanowił jedynie pozorne zabezpieczenie.

Słabości WEP miały charakter systemowy i wynikały z fundamentalnych błędów projektowych. Nie chodziło tylko o niewystarczającą długość klucza. Algorytm RC4 używany w WEP był podatny na ataki statystyczne. Część klucza była znana atakującemu. Chodzi o 24-bitowy wektor IV przesyłany jawnym tekstem. Sposób generowania klucza sesji z IV i klucza głównego powodował dodatkowe problemy. Pewne sekwencje IV prowadziły do przewidywalnych strumieni klucza.

W praktyce narzędzia takie jak aircrack-ng mogą odzyskać klucz WEP w ciągu kilku minut. Nie ma znaczenia, czy użyto klucza 64-bitowego, czy 128-bitowego. Brak mechanizmu wzajemnego uwierzytelniania pozwalał na podszywanie się pod legalny punkt dostępowy. Atakujący mógł przechwytywać sesje użytkowników. WEP należy dziś traktować wyłącznie jako historyczny przykład. Pokazuje on, jak nie należy projektować systemów kryptograficznych.

Praktyczny atak na sieć zabezpieczoną WEP jest doskonałym przykładem testów penetracyjnych sieci bezprzewodowych. Cały proces można podzielić na trzy zasadnicze etapy. Najpierw następuje przechwytywanie ramek. Potem wymusza się ruch w sieci. Na końcu następuje właściwe łamanie klucza. Każdy z tych etapów wykorzystuje inne narzędzia z pakietu aircrack-ng.

W pierwszym kroku atakujący używa narzędzia airodump-ng do monitorowania ruchu w paśmie 2,4 GHz. Przechwytuje pakiety z wybranego punktu dostępowego. Jeśli ruch w sieci jest zbyt mały, stosuje się atak deauth. Polecenie aireplay-ng -0 wymusza na kliencie ponowne uwierzytelnienie. Generuje to nowe ramki z IV. Po zebraniu 20-40 tysięcy pakietów uruchamiane jest narzędzie aircrack-ng. Analizuje ono pakiety z duplikującymi się IV i odtwarza klucz WEP. Cały proces trwa zazwyczaj od 3 do 5 minut.

WPA zostało zaprojektowane jako tymczasowe rozwiązanie. Miało wypełnić lukę pomiędzy całkowicie zdyskredytowanym WEP a dopiero powstającym standardem IEEE 802.11i. Ten ostatni ostatecznie stał się znany jako WPA2. Twórcy WPA postanowili zachować zgodność ze starszym sprzętem. Pozostawili algorytm RC4, ale znacząco poprawili mechanizmy zarządzania kluczami. Było to rozwiązanie pragmatyczne, które pozwoliło na szybkie wdrożenie ulepszonych zabezpieczeń.

Wprowadzony w WPA protokół TKIP rozwiązywał najpoważniejsze problemy WEP. Dodano mechanizm zmiany klucza co 10 000 pakietów. Wprowadzono mieszanie klucza z adresem MAC. Zastosowano 64-bitowy kod integralności MIC o nazwie Michael. Niestety, TKIP w dalszym ciągu korzystał z algorytmu RC4. Ograniczenia narzucone przez zgodność wsteczną doprowadziły do wykrycia poważnych podatności. WPA/TKIP należy dziś uznać za standard przestarzały i niebezpieczny.

Pomimo znaczących ulepszeń w stosunku do WEP, protokół TKIP również doczekał się skutecznych ataków kryptograficznych. Najbardziej znane są ataki Beck-Tewsa z 2008 roku. Drugi to atak Ohigashi-Morii z 2009 roku. Pokazały one, że algorytm RC4, nawet z usprawnionym zarządzaniem kluczami, jest obarczony ryzykiem. Odkrycia te dowiodły, że łatanie przestarzałego algorytmu nie zastąpi całkowitej wymiany szyfru.

Atak Beck-Tewsa wykorzystywał ramki QoS do odzyskania kodu MIC. Pozwalało to na modyfikację przesyłanych danych. Atak Ohigashi-Morii umożliwiał odzyskanie klucza TKIP w ciągu około minuty. Wykorzystywał słabości w procesie mieszania kluczy. Współcześnie nie zaleca się stosowania WPA/TKIP w żadnych sieciach. Jedynym uzasadnieniem jego użycia może być zgodność wsteczna z bardzo starymi klientami. Urządzenia te nie obsługują AES i wymagają TKIP do działania.

WPA2, oparty na końcowej wersji standardu IEEE 802.11i, stanowił prawdziwy przełom. Zastąpienie algorytmu RC4 przez AES-128 w trybie CCM usunęło podstawową słabość kryptograficzną poprzedników. Zapewniło to solidne podstawy bezpieczeństwa na kolejne kilkanaście lat. Wybór AES nie był przypadkowy. Jest to algorytm zatwierdzony przez amerykański Narodowy Instytut Standardów i Technologii. Został poddany szczegółowej analizie kryptograficznej przed zatwierdzeniem.

Protokół CCMP łączy szyfrowanie blokowe AES z mechanizmem uwierzytelniania wiadomości. Zapewnia to zarówno poufność, jak i integralność przesyłanych danych. W odróżnieniu od WPA/TKIP, każda ramka jest szyfrowana z użyciem tego samego klucza sesji PTK, ale z unikalnym 48-bitowym numerem sekwencji (PN). Kod MIC jest obliczany z użyciem tego samego algorytmu AES. Eliminuje to możliwość ataków na integralność danych. Dzięki tym właściwościom WPA2 pozostawał przez wiele lat standardem bezpieczeństwa. Był stosowany w sieciach WiFi na całym świecie.

Czterofazowe uzgadnianie kluczy w WPA2 nazywane jest 4-way handshake. Jest to jeden z najważniejszych mechanizmów w całym standardzie bezpieczeństwa WiFi. Proces ten zachodzi pomiędzy klientem a punktem dostępowym. Dzieje się to po pomyślnym uwierzytelnieniu. Służy do wygenerowania tymczasowych kluczy sesyjnych. Zrozumienie tego mechanizmu jest kluczowe dla analizy podatności. Dotyczy to zwłaszcza ataku KRACK.

W pierwszym kroku punkt dostępowy wysyła do klienta losową wartość ANonce. Klient na tej podstawie oblicza PTK. Używa do tego swojej wartości SNonce, adresów MAC obu stron oraz klucza PMK. W drugim komunikacie zwraca MIC potwierdzający poprawność obliczeń. Punkt dostępowy weryfikuje MIC i w trzeciej wiadomości przesyła zaszyfrowany klucz grupowy GTK. Czwarty komunikat jest potwierdzeniem zakończenia procesu. Atak KRACK wykorzystywał retransmisję trzeciego komunikatu do resetowania już zainstalowanego klucza. Prowadziło to do wielokrotnego użycia tego samego wektora inicjującego.

Atak KRACK został opublikowany w 2017 roku przez Mathy'ego Vanhoefa. Pracował on na belgijskim uniwersytecie KU Leuven. Było to jedno z najpoważniejszych odkryć w dziedzinie bezpieczeństwa sieci bezprzewodowych. Luka dotyczyła konstrukcji protokołu 4-way handshake. Nie była to wina konkretnej implementacji. Oznaczało to, że podatne były wszystkie urządzenia obsługujące WPA2. Było to tym bardziej niepokojące, że WPA2 uchodził dotąd za bezpieczny.

Mechanizm ataku polega na przechwyceniu i retransmisji trzeciego komunikatu handshake. Klient przyjmuje retransmitowany komunikat i resetuje licznik sekwencji. Ponownie instaluje ten sam klucz sesji. Prowadzi to do wielokrotnego użycia tego samego wektora inicjującego. Atakujący może następnie odszyfrować część ruchu. Nie jest jednak w stanie odzyskać samego hasła PSK. Aktualizacje wydane przez producentów zapobiegały reinstalacji klucza. Zdarzenie to pokazało, że nawet dobrze zaprojektowany standard może zawierać krytyczne luki na poziomie protokołu.

Atak PMKID został odkryty w 2018 roku przez badacza Jensena Stegera. Stanowi alternatywną metodę łamania haseł WPA2. W pewnych sytuacjach okazuje się wydajniejszy od tradycyjnego ataku na 4-way handshake. Kluczową zaletą jest brak wymogu posiadania klienta podłączonego do sieci. Wystarczy sama ramka Association Request wysłana przez punkt dostępowy. Atak można przeprowadzić nawet na sieć bez aktywnych użytkowników.

PMKID to pole opcjonalnie dołączane do ramki Association Request. Robią to punkty dostępowe obsługujące roaming 802.11r. Wartość PMKID jest obliczana jako HMAC-SHA1 z użyciem PMK. Używa się do tego konkatenacji prefiksu "PMK Name", adresu BSSID i adresu MAC stacji. Złapanie tego hasha pozwala na atak offline z użyciem narzędzi takich jak hashcat. Tryb -m 16800 umożliwia przetestowanie milionów haseł na sekundę. Do tego potrzebna jest nowoczesna karta graficzna. Aby się bronić, warto rozważyć wyłączenie 802.11r w konfiguracji punktu dostępowego.

Tabela porównawcza WEP, WPA i WPA2 obrazuje spektakularną ewolucję zabezpieczeń. Zmiana z szyfru strumieniowego RC4 na blokowy AES była fundamentalnym krokiem naprzód. AES przeszedł znacznie bardziej rygorystyczną weryfikację społeczności kryptograficznej. W momencie wprowadzenia WPA2 uważano go za standard praktycznie nie do złamania. Dostępna wówczas moc obliczeniowa nie pozwalała na jego skuteczny atak.

Równie ważną zmianą było zastąpienie kontroli integralności CRC-32. Nie zapewniała ona żadnej ochrony przed modyfikacją danych. Nowy mechanizm MIC oparto na szyfrowaniu blokowym. W przypadku WPA2 modyfikacja zaszyfrowanej ramki zostanie natychmiast wykryta przez odbiorcę. W WEP atak typu bit-flip był całkowicie niewykrywalny dla protokołu. Te różnice pokazują, jak istotne jest stosowanie kompleksowych mechanizmów bezpieczeństwa. Powinny one obejmować zarówno poufność, jak i integralność transmisji.

Mimo że WPA2 przez ponad dekadę stanowił podstawę bezpieczeństwa WiFi, zaczęto dostrzegać jego ograniczenia. Nie można było ich usunąć prostymi łatami. Mechanizm uwierzytelniania oparty na wspólnym haśle PSK jest z natury podatny na ataki słownikowe offline. Cała informacja potrzebna do weryfikacji hasła jest dostępna w przechwyconej sesji 4-way handshake. Każdy, kto przechwyci jedną sesję uwierzytelniania, może w trybie offline testować miliony haseł na sekundę.

Kolejnym ograniczeniem był brak ochrony ramek zarządzających. W WPA2 MFP był jedynie opcjonalny. Ataki deauth i disassociate były więc możliwe nawet w sieciach z włączonym WPA2. Stanowiło to poważny problem operacyjny. Brak mechanizmu forward secrecy oznaczał, że przechwycenie klucza PMK umożliwiało odszyfrowanie całego ruchu. Dotyczyło to zarówno przeszłych, jak i przyszłych sesji. Te ograniczenia sprawiły, że niezbędne stało się opracowanie nowego standardu bezpieczeństwa.

WPA3 został zaprezentowany przez Wi-Fi Alliance w 2018 roku. Stanowi kompleksową odpowiedź na ograniczenia WPA2. Wprowadza szereg istotnych ulepszeń architektonicznych. Najważniejszą zmianą jest zastąpienie mechanizmu PSK protokołem SAE. Wykorzystuje on kryptografię krzywych eliptycznych do odpornej na ataki słownikowe wymiany kluczy. Dzięki temu atak offline na hasło staje się praktycznie niemożliwy.

Nowy standard wprowadza także obowiązkowe szyfrowanie ramek zarządzających. Realizuje to zgodnie z IEEE 802.11w. Eliminuje to całą klasę ataków polegających na fałszowaniu ramek deauth i disassociate. Dla sieci otwartych WPA3 oferuje mechanizm OWE. Zapewnia on szyfrowanie Diffie-Hellmana nawet bez podawania hasła. W trybie Enterprise o podwyższonym bezpieczeństwie standard umożliwia użycie 192-bitowych kluczy CNSA (Suite B), natomiast podstawowy tryb Enterprise używa 128-bitowych kluczy. Spełnia to najbardziej restrykcyjne wymagania instytucji rządowych i sektora finansowego. WPA3 jest obowiązkowy dla certyfikacji WiFi 6 i nowszych standardów.

SAE zdefiniowany w RFC 7664 jako Dragonfly Key Exchange to protokół uwierzytelniania. Opiera się na kryptografii krzywych eliptycznych. Stanowi fundament bezpieczeństwa WPA3-Personal. W przeciwieństwie do PSK w WPA2, gdzie hasło było używane bezpośrednio do wyliczenia PMK, SAE działa inaczej. Hasło może być łamane offline w przypadku WPA2. SAE wymaga aktywnego udziału obu stron w każdej próbie uwierzytelnienia. Jest to fundamentalna zmiana paradygmatu w podejściu do uwierzytelniania.

Protokół działa w następujący sposób. Obie strony uzgadniają wspólny element na krzywej eliptycznej. Jest on zależny od hasła. Następnie wymieniają się wartościami publicznymi. Są one wygenerowane z losowych kluczy prywatnych. Po potwierdzeniu tożsamości obliczają wspólny sekret. Ten proces uniemożliwia atak offline. Każda próba odgadnięcia hasła wymaga interakcji z drugą stroną. Ogranicza to szybkość ataku do około 10 prób na sekundę. SAE zapewnia także forward secrecy, czyli ochronę przeszłych sesji.

Proces uwierzytelniania SAE można podzielić na kilka precyzyjnie zdefiniowanych etapów. Zapewniają one wysoki poziom bezpieczeństwa przy jednoczesnej odporności na ataki offline. W pierwszej fazie następuje wygenerowanie wartości prywatnych i publicznych. Obie strony działają w oparciu o wspólne hasło i uzgodnioną krzywą eliptyczną. Każda strona losuje swoją wartość prywatną. Następnie oblicza odpowiadającą jej wartość publiczną. Jest ona przesyłana do drugiej strony.

Po wymianie wartości publicznych każda ze stron samodzielnie oblicza wspólny sekret. Służy on do wygenerowania klucza potwierdzającego Confirm Key. Wymiana komunikatów Confirm pozwala zweryfikować, że obie strony mają to samo hasło. Po pomyślnym zakończeniu tego etapu generowany jest PMK. Przechodzi on przez standardowy 4-way handshake znany z WPA2. PMK w WPA3 jest unikalny dla każdej sesji. Zapewnia to właśnie pożądaną forward secrecy. Wbudowany mechanizm anti-clogging chroni przed atakami DoS.

OWE zdefiniowany w RFC 8110 to jeden z ważniejszych elementów WPA3. Adresuje problem braku szyfrowania w publicznych sieciach otwartych. W tradycyjnych hotspotach bez hasła cały ruch przesyłany jest jawnym tekstem. Każdy w zasięgu może przechwycić przesyłane dane. Dotyczy to haseł do stron WWW i treści komunikatorów. Problem ten narastał wraz z upowszechnieniem się publicznych hotspotów.

OWE rozwiązuje ten problem przez automatyczne ustanowienie szyfrowanego tunelu Diffie-Hellmana. Dzieje się to pomiędzy klientem a punktem dostępowym. Nie wymaga podawania jakiegokolwiek hasła. Klient i AP uzgadniają wspólny klucz sesji za pomocą protokołu DH. Zapewnia to poufność transmisji. Nie daje jednak gwarancji co do tożsamości drugiej strony. Brak uwierzytelnienia jest świadomym kompromisem. Mimo to OWE stanowi ogromny postęp w porównaniu z całkowicie jawnym ruchem w tradycyjnych sieciach otwartych.

Tryb WPA3-Enterprise 192-bit reprezentuje najwyższy poziom bezpieczeństwa w standardzie WiFi. Jest zaprojektowany dla instytucji o szczególnych wymaganiach. Dotyczy to agencji rządowych, instytucji finansowych i placówek służby zdrowia. Wymagania są zdefiniowane przez CNSA. Jest to zestaw algorytmów kryptograficznych zalecanych przez amerykańską NSA. Spełnienie tych wymagań jest często warunkiem uzyskania certyfikatów w sektorach regulowanych.

W trybie 192-bitowym wszystkie komponenty kryptograficzne są wzmocnione. Szyfrowanie odbywa się za pomocą GCMP-256. Jest to AES w trybie GCM z 256-bitowym kluczem. Uwierzytelnianie wykorzystuje HMAC-SHA384. Wymiana kluczy ECDH opiera się na krzywej eliptycznej P-384. W praktyce oznacza to większy margines bezpieczeństwa kosztem wyższego obciążenia obliczeniowego. Wdrożenie wymaga infrastruktury PKI obsługującej certyfikaty z kluczami 192-bitowymi. Potrzebny jest także serwer RADIUS skonfigurowany pod kątem CNSA.

Tryb mieszany Transition Mode w WPA3 został zaprojektowany do stopniowej migracji z WPA2. W istniejących sieciach pracują zarówno nowe, jak i starsze urządzenia. Punkt dostępowy emituje dwie sieci wirtualne na tym samym interfejsie fizycznym. Pierwsza obsługuje WPA3-SAE dla nowoczesnych klientów. Druga działa jako WPA2-PSK dla urządzeń niekompatybilnych z WPA3. Administrator może stopniowo wymieniać sprzęt bez przerywania ciągłości działania sieci.

Z punktu widzenia bezpieczeństwa tryb ten nie jest idealny. Obecność słabszego WPA2 naraża sieć na ataki charakterystyczne dla tego standardu. Dotyczy to PMKID i KRACK. Mimo to Transition Mode jest uznawany za akceptowalne rozwiązanie przejściowe. Pozwala stopniowo wycofywać stare urządzenia. Nie wymaga natychmiastowej wymiany całej infrastruktury. Docelowo po wyeliminowaniu klientów WPA2 warto wyłączyć tryb mieszany. Należy przejść wyłącznie na WPA3-SAE dla pełnego bezpieczeństwa.

Konfiguracja WPA3 na urządzeniach MikroTik z systemem RouterOS wymaga odpowiedniego profilu zabezpieczeń. RouterOS wspiera WPA3 począwszy od wersji 7.x. Konfiguracja odbywa się za pomocą polecenia /interface wireless security-profiles add. Należy użyć parametru authentication-types=wpa3-sae. Warto sprawdzić aktualną wersję RouterOS przed przystąpieniem do konfiguracji. Starsze wersje mogą nie obsługiwać wszystkich funkcji WPA3.

Przy konfiguracji warto zwrócić uwagę na parametr management-protection. Powinien być ustawiony na required. Wymusi to ochronę ramek zarządzających zgodnie z IEEE 802.11w. Starszy klient nieobsługujący MFP nie będzie mógł się połączyć. Jest to właściwe zachowanie z punktu widzenia bezpieczeństwa. RouterOS umożliwia także konfigurację trybu mieszanego. Ustawia się go przez odpowiednie flagi w authentication-types. Ułatwia to stopniową migrację w istniejących sieciach.

Konfiguracja WPA3 na kontrolerach Cisco wymaga systemu IOS XE w wersji 17.x lub nowszej. Wprowadzono w nim pełne wsparcie dla Wi-Fi Certified WPA3. W starszych wersjach używano poleceń takich jak wpa-psk ascii. W przypadku WPA3-Personal konieczne jest jawne wskazanie zarządzania kluczami przez wpa3-sae. Trzeba także użyć odpowiedniego szyfru AES-CCMP. Starsze kontrolery Cisco mogą wymagać aktualizacji licencji lub wymiany sprzętu.

W przykładzie na slajdzie skonfigurowano podstawowy profil WPA3-Personal. Użyto uwierzytelniania open i zarządzania kluczami wpa3-sae. W konfiguracji produkcyjnej należy rozważyć włączenie MFP. Trzeba także ustawić odpowiednie polityki bezpieczeństwa na poziomie WLC. Dla sieci korporacyjnych zalecane jest przejście na WPA3-Enterprise. Używa się wtedy serwera RADIUS do scentralizowanego zarządzania użytkownikami. Cisco udostępnia szczegółowe przewodniki konfiguracji WPA3. Różnią się one w zależności od modelu kontrolera.

Standard IEEE 802.11w jest powszechnie znany jako Management Frame Protection. Został wprowadzony w celu ochrony ramek zarządzających przed fałszowaniem. Ramki takie jak Deauthentication, Disassociation czy Beacon nie są domyślnie szyfrowane. Stanowi to poważną lukę w zabezpieczeniach. Atakujący może łatwo podszyć się pod punkt dostępowy. Luka ta przez lata była wykorzystywana w różnego rodzaju atakach.

MFP rozwiązuje ten problem przez dodanie kodu uwierzytelniającego MIC. Jest on obliczany z użyciem klucza PTK (dla transmisji unicast) lub IGTK (dla broadcast/multicast). Odbiorca może zweryfikować, że ramka pochodzi od autoryzowanego nadawcy. Może też sprawdzić, czy nie została zmodyfikowana. W WPA3 ochrona ramek zarządzających jest obowiązkowa. W WPA2 była opcjonalna i rzadko implementowana. Włączenie MFP skutecznie eliminuje ataki deauth i disassociate. Stanowią one jedno z najpowszechniejszych zagrożeń w sieciach WiFi.

W systemie RouterOS konfiguracja ochrony ramek zarządzających odbywa się w profilu zabezpieczeń. Używa się do tego parametru management-protection. Dostępne są trzy wartości do wyboru. Disabled oznacza wyłączenie ochrony. Optional oznacza wsparcie bez wymagania. Required wymusza ochronę u wszystkich klientów. Wybór zależy od polityki bezpieczeństwa organizacji i posiadanego sprzętu.

Ustawienie management-protection=required gwarantuje ochronę wszystkich użytkowników przed atakami deauth. Klienci nieobsługujący MFP nie będą mogli się połączyć. W praktyce warto zacząć od trybu optional podczas migracji. Pozwala to zidentyfikować klientów niekompatybilnych z MFP. Po ich wyeliminowaniu można przejść na required. RouterOS pozwala monitorować status MFP dla podłączonych klientów. Używa się do tego polecenia /interface wireless registration-table print.

Różnica w odporności na ataki słownikowe offline pomiędzy WPA2 a WPA3 jest dramatyczna. Stanowi jeden z najważniejszych argumentów za migracją do nowszego standardu. W przypadku WPA2 atakujący po przechwyceniu sesji 4-way handshake może testować hasła offline. Nowoczesne karty graficzne pozwalają na setki tysięcy haseł na sekundę. Nawet złożone hasło ośmioznakowe może zostać złamane w ciągu kilku dni. Słabe hasła są łatwym celem dla atakującego.

W WPA3 dzięki mechanizmowi SAE każda próba odgadnięcia hasła wymaga interakcji online. Punkt dostępowy ogranicza szybkość ataku do kilkunastu prób na sekundę. Nawet przy słabym haśle potrzebne byłyby lata na wypróbowanie wszystkich możliwości. Protokół Dragonfly implementuje mechanizm anti-clogging. Utrudnia on ataki typu DoS na proces uwierzytelniania. Klient musi udowodnić nakład pracy obliczeniowej przed uwierzytelnieniem. Te cechy czynią WPA3-SAE o kilka rzędów wielkości bezpieczniejszym od WPA2.

War Driving to praktyka skanowania sieci bezprzewodowych podczas przemieszczania się. Nazwa pochodzi od połączenia słowa "war" z filmu WarGames (1983) oraz angielskiego słowa driving, czyli jazdy pojazdem. Celem może być badanie zasięgu i zagęszczenia sieci w danym obszarze. Ma to uzasadnienie w planowaniu sieci. Innym celem jest identyfikacja słabo zabezpieczonych sieci w celach nieetycznych. Nazwa nawiązuje do filmu WarGames z 1983 roku.

Do war drivingu wystarczy laptop z kartą WiFi w trybie monitorowania. Potrzebna jest też antena dookólna lub kierunkowa. Oprogramowanie takie jak Kismet czy Airodump-ng jest niezbędne. Współczesne smartfony również mogą służyć do tego celu. Mają jednak ograniczone możliwości analizy ramek. Legalność war drivingu różni się w zależności od jurysdykcji. W wielu krajach skanowanie sieci bez zgody właściciela jest nielegalne. Dotyczy to nawet sytuacji bez faktycznego włamania do sieci.

Atak Evil Twin polega na utworzeniu fałszywego punktu dostępowego. Imituje on legalną sieć WiFi przez użycie tej samej nazwy SSID. Atakujący umieszcza w pobliżu ofiary swój punkt dostępowy. Może to być zwykły laptop z odpowiednim oprogramowaniem. Emituje on sygnał o większej mocy niż legalny punkt dostępowy. Klienci automatycznie łączą się z silniejszym sygnałem. Jest to szczególnie niebezpieczne w miejscach publicznych.

Po przejęciu klienta atakujący może przeprowadzać ataki typu man-in-the-middle. Przechwytuje dane logowania i treści przeglądanych stron. Może także modyfikować przesyłane informacje. Obrona przed Evil Twin jest trudna. Standardowe mechanizmy WPA2-PSK nie weryfikują tożsamości punktu dostępowego. Rozwiązaniem jest stosowanie WPA3-SAE. Protokół Dragonfly utrudnia podszycie się pod AP. Inną opcją jest wdrożenie 802.1X z certyfikatami serwera.

Atak Deauthentication jest jednym z najprostszych ataków na sieci WiFi. Jest jednocześnie jednym z najskuteczniejszych. Wykorzystuje fakt, że ramki zarządzające Deauthentication nie są domyślnie szyfrowane. Atakujący musi jedynie znać adres MAC punktu dostępowego i klienta. Nie wymaga to znajomości hasła sieci. Nie potrzeba też przeprowadzać uwierzytelnienia w sieci.

Konsekwencje ataku deauth są różnorodne. Może to być zwykłe rozłączenie klienta z siecią. Jest to uciążliwe, ale nie stanowi bezpośredniego zagrożenia dla danych. Atak może być też elementem bardziej złożonego ataku. W ataku na WEP deauth wymusza ponowne uwierzytelnienie i generację nowych pakietów z IV. W ataku KRACK retransmisja ramek umożliwiała reset klucza. Jedyną skuteczną obroną jest włączenie MFP. Standard 802.11w uwierzytelnia ramki zarządzające i uniemożliwia ich fałszowanie.

Polecenie aireplay-ng -0 5 -a BSSID -c STA MAC to klasyczny przykład ataku deauth. Wykorzystuje ono pakiet aircrack-ng do testów penetracyjnych. Parametr -0 oznacza atak deauthentication. Liczba 5 określa liczbę wysłanych ramek deauth. To podstawowe polecenie, które każdy adept bezpieczeństwa sieciowego powinien znać. Należy go używać wyłącznie w kontrolowanych środowiskach laboratoryjnych.

Do przeprowadzenia ataku nie jest wymagane uwierzytelnienie w sieci. Karta WiFi musi działać w trybie monitorowania. Tryb ten umożliwia wysyłanie własnych ramek bez łączenia się z punktem dostępowym. To właśnie ten fakt czyni atak deauth tak niebezpiecznym. Każdy w zasięgu sieci może go przeprowadzić. Nie potrzebuje do tego znajomości hasła. Włączenie MFP powoduje, że ramki deauth bez ważnego MIC są ignorowane przez klienta. Całkowicie neutralizuje to ten wektor ataku.

Analiza podatności KRACK ujawnia, że problem leżał w protokole 4-way handshake. Nie chodziło o sam algorytm szyfrujący. Klient WPA2 po otrzymaniu retransmitowanego trzeciego komunikatu reinstalował już używany klucz. Resetował przy tym licznik pakietów i wektor inicjujący do zera. Był to klasyczny błąd na poziomie maszyny stanów protokołu. Dotyczył on wszystkich implementacji WPA2.

Atak dotyczył nie tylko podstawowego 4-way handshake. Obejmował także Fast BSS Transition handshake i Group Key handshake. W przypadku FT handshake podatność była szczególnie niebezpieczna. Umożliwiała atak na szyfrowanie bez znajomości hasła PSK. Producenci wydali łaty zapobiegające reinstalacji klucza. Rozwiązywało to problem na poziomie implementacji. Sama konstrukcja protokołu pozostała jednak podatna na ten typ ataku. Odkrycie to miało ogromny wpływ na rozwój kolejnych standardów bezpieczeństwa.

Atak PMKID wykorzystuje pole o długości 8 bajtów. Jest ono opcjonalnie dołączane do ramki Association Request. Robią to punkty dostępowe obsługujące roaming 802.11r. Pole PMKID służy do identyfikacji odpowiedniego PMK podczas szybkiego przełączania między AP. Jest to szczególnie przydatne w sieciach korporacyjnych z wieloma punktami dostępowymi. Pozwala na płynny roaming bez przerywania sesji.

Wartość PMKID oblicza się według wzoru z użyciem HMAC-SHA1. Używa się do tego PMK, prefiksu "PMK Name", adresu BSSID i adresu MAC stacji. Atak działa tylko przy włączonym roamingu 802.11r. Wiele współczesnych punktów dostępowych ma go domyślnie włączone. Hashcat w trybie -m 16800 potrafi testować miliony haseł na sekundę. Wykorzystuje do tego karty graficzne. Czyni to słabe hasła łatwym celem dla atakującego. Warto rozważyć wyłączenie 802.11r, jeśli nie jest niezbędny.

Rogue Access Point to nieautoryzowany punkt dostępowy w sieci LAN. Stanowi poważne zagrożenie bezpieczeństwa. Może być wykorzystany do ominięcia zabezpieczeń obwodowych sieci. Pracownik może nieświadomie podłączyć tani router domowy do firmowej sieci. Tworzy to niekontrolowaną furtkę dla atakującego. Nie musi on już przechodzić przez firewall firmowy. Problem jest szczególnie istotny w dużych organizacjach.

Zaawansowane systemy zarządzania WiFi oferują automatyczne wykrywanie rogue AP. Cisco WLC i MikroTik CAPsMAN skanują pasmo radiowe w poszukiwaniu nieautoryzowanych AP. Po wykryciu administrator może podjąć różne działania. Może to być zwykły alarm i powiadomienie. Możliwe jest automatyczne wysyłanie ramek deauth do klientów rogue AP. Inną opcją jest zawieszenie portu przełącznika. Kluczowe jest szybkie reagowanie na takie incydenty. Rogue AP może być pierwszym krokiem w zaawansowanym ataku na sieć.

Filtrowanie adresów MAC jest często błędnie uznawane za skuteczne zabezpieczenie. W rzeczywistości stanowi jedynie pozorne utrudnienie. Adres MAC to 48-bitowy identyfikator interfejsu sieciowego. Może zostać łatwo zmieniony programowo w każdym systemie operacyjnym. Wielu początkujących administratorów popełnia błąd, polegając wyłącznie na tym mechanizmie. Nie zdają sobie sprawy z jego łatwego obejścia.

Proces obejścia filtra MAC jest trywialnie prosty. Atakujący nasłuchuje ruchu w sieci. Przechwytuje ramkę z adresem MAC legalnego klienta. Adres źródła w ramce jest zawsze widoczny. Dotyczy to nawet sieci szyfrowanych. Następnie zmienia adres MAC swojego interfejsu na przechwycony. W systemie Linux wystarczy do tego jedno polecenie. MAC Filter nie powinien być traktowany jako zabezpieczenie, a co najwyżej jako uzupełnienie silniejszych mechanizmów.

Sekwencja poleceń na slajdzie demonstruje zmianę adresu MAC w systemie Linux. Najpierw trzeba wyłączyć interfejs poleceniem ip link set dev wlan0 down. Następnie zmienia się adres MAC przez ip link set dev wlan0 address nowy-adres. Na końcu włącza się interfejs poleceniem ip link set dev wlan0 up. Cała operacja zajmuje dosłownie kilka sekund. Jest to niezwykle proste do wykonania.

Zmiana adresu MAC jest całkowicie legalna. Ma uzasadnione zastosowania, jak ochrona prywatności w sieciach publicznych. Służy także do testowania infrastruktury sieciowej. Atakujący wykorzystują te same możliwości do omijania zabezpieczeń. Aby skutecznie chronić sieć, trzeba stosować silne mechanizmy kryptograficzne. WPA3 z SAE lub WPA2-Enterprise z 802.1X są odpowiednimi rozwiązaniami. Nie należy polegać na filtrowaniu warstwy łącza danych jako jedynej linii obrony.

Oś czasu bezpieczeństwa doskonale ilustruje utratę skuteczności kolejnych standardów. WEP był powszechnie stosowany jeszcze w połowie lat 2000. Dziś można go złamać w ciągu kilku minut. Wystarczą do tego darmowe narzędzia dostępne w systemie Linux. Historia ta pokazuje, że projektowanie bezpiecznych systemów kryptograficznych jest niezwykle trudne. Wymaga wieloletnich analiz i testów.

Podobny los spotkał WPA/TKIP po atakach Beck-Tewsa i Ohigashi-Morii. Został uznany za całkowicie niebezpieczny. WPA2/CCMP pozostaje stosunkowo bezpieczny po załataniu KRACK. Jego głównym ograniczeniem jest podatność na ataki słownikowe offline. Brakuje mu także obowiązkowej ochrony ramek zarządzających. WPA3/SAE jest jak dotąd uznawany za bezpieczny. Historia uczy jednak, że żaden system nie gwarantuje wiecznej odporności. Regularne aktualizacje firmware i monitorowanie podatności są kluczowe.

Publiczne hotspoty WiFi stanowią jedno z największych wyzwań dla bezpieczeństwa. Są dostępne w kawiarniach, na lotniskach i w hotelach. Większość działa w trybie otwartym lub z WPA2-PSK. Każdy klient w sieci może nasłuchiwać ruchu innych. Stanowi to poważne zagrożenie dla prywatności. Poufność danych użytkowników jest w takich sieciach ograniczona.

Najlepszą ochroną jest stosowanie sieci VPN. Szyfruje ona cały ruch od klienta do serwera VPN. Nawet kompromitacja lokalnej sieci WiFi nie ujawnia wtedy danych. Protokół HTTPS zapewnia dodatkowe szyfrowanie na poziomie aplikacji. Chroni treści przeglądanych stron przed przechwyceniem. WPA3 z OWE stanowi poprawę w stosunku do otwartych sieci. Nie chroni jednak przed atakami Evil Twin. Nie uwierzytelnia on tożsamości punktu dostępowego.

Standard IEEE 802.1X to framework uwierzytelniania portów. W sieciach WLAN umożliwia scentralizowane zarządzanie dostępem. Bazuje na indywidualnych poświadczeniach użytkownika. Nie używa się wspólnego hasła dla wszystkich. Architektura opiera się na trzech komponentach. Supplicant to oprogramowanie klienckie. Authenticator to punkt dostępowy lub przełącznik. Authentication Server to serwer RADIUS.

Proces uwierzytelniania zaczyna się od próby połączenia klienta. Authenticator odpowiada żądaniem uwierzytelnienia. Klient i serwer RADIUS wymieniają się komunikatami EAP. Authenticator pełni rolę proxy w tej wymianie. Po pomyślnym uwierzytelnieniu serwer RADIUS przekazuje klucz sesji PMK. Jest on używany w standardowym 4-way handshake. 802.1X umożliwia przypisywanie użytkowników do VLAN na podstawie atrybutów RADIUS. Pozwala to na elastyczne zarządzanie politykami dostępu.

EAP to framework uwierzytelniania definiujący ogólny format wymiany komunikatów. Konkretne metody uwierzytelniania są wybierane osobno. Zależą od potrzeb bezpieczeństwa i możliwości infrastruktury. W sieciach WLAN najczęściej spotyka się cztery typy EAP. Są to EAP-TLS, EAP-PEAP, EAP-TTLS oraz EAP-FAST. Wybór odpowiedniej metody ma kluczowe znaczenie dla bezpieczeństwa sieci.

EAP-TLS jest uważany za najbezpieczniejszy. Wymaga certyfikatów zarówno po stronie serwera, jak i klienta. Zapewnia to obustronne uwierzytelnienie. EAP-PEAP i EAP-TTLS są popularne przy utrudnionym zarządzaniu certyfikatami klienckimi. Wykorzystują tunel TLS do ochrony transmisji hasła. Używają MSCHAPv2 lub PAP do uwierzytelniania. EAP-FAST to rozwiązanie firmy Cisco. Używa Protected Access Credential zamiast certyfikatów, co upraszcza wdrożenie.

RADIUS to protokół AAA szeroko stosowany w sieciach korporacyjnych. Służy do scentralizowanego zarządzania uwierzytelnianiem użytkowników WiFi. Serwer RADIUS pełni rolę Authentication Server w architekturze 802.1X. Przechowuje bazę użytkowników i przypisane im polityki dostępu. Administrator może zarządzać dostępem z jednego centralnego punktu. Znacznie upraszcza to administrację w dużych sieciach.

Komunikacja między Authenticatorem a serwerem RADIUS używa protokołu RADIUS. Działa on na porcie UDP 1812 dla uwierzytelniania. Port 1813 służy do księgowania. Serwer przesyła atrybuty takie jak przypisanie do VLAN. Może też przekazywać limity przepustowości i godziny dostępu. Umożliwia to elastyczne zarządzanie politykami bezpieczeństwa. Najpopularniejsze implementacje to FreeRADIUS, Microsoft NPS i Cisco ISE. Każde z tych rozwiązań ma swoje zalety i wady.

Konfiguracja 802.1X w RouterOS wymaga utworzenia profilu zabezpieczeń. Używa się parametru authentication-types=wpa2-eap. Następnie dodaje się serwer RADIUS do obsługi uwierzytelniania. RouterOS pełni rolę Authenticatora w tym modelu. Jest pośrednikiem między klientem a serwerem RADIUS. Przed konfiguracją trzeba upewnić się, że serwer RADIUS jest uruchomiony.

Przykładowa konfiguracja używa profilu enterprise z dynamicznymi kluczami. Włącza uwierzytelnianie EAP. Należy wyłączyć uwierzytelnianie MAC, jeśli każdy klient ma przechodzić pełny proces 802.1X. RouterOS obsługuje wiele serwerów RADIUS dla redundancji. Współpracuje z FreeRADIUS, Microsoft NPS i Cisco ISE. Warto skonfigurować dodatkowe atrybuty RADIUS dla zaawansowanego zarządzania dostępem. Pozwala to na elastyczne polityki bezpieczeństwa.

Konfiguracja 802.1X na Cisco WLC wymaga kilku kroków. Najpierw tworzy się sieć WLAN. Potem włącza się odpowiedni mechanizm bezpieczeństwa AKM dot1x. Na końcu dodaje się serwer RADIUS. Cisco WLC obsługuje WPA2-Enterprise i WPA3-Enterprise. Wsparcie zależy od wersji oprogramowania i modelu kontrolera. Warto sprawdzić kompatybilność przed wdrożeniem.

Przykład CLI na slajdzie pokazuje podstawową konfigurację. Sieć WLAN ma numer 10. Włączono uwierzytelnianie 802.1X. Dodano serwer RADIUS do obsługi uwierzytelniania. W zaawansowanych konfiguracjach warto użyć interfejsu graficznego WLC. Oferuje on więcej opcji, takich jak wybór metody EAP. Możliwa jest konfiguracja fallbacku do lokalnej bazy użytkowników. Cisco WLC integruje się także z Cisco ISE dla zaawansowanych polityk dostępu.

Wybór między PSK a Enterprise to jedna z najważniejszych decyzji projektowych. Ma bezpośredni wpływ na bezpieczeństwo sieci. Wpływa także na skalowalność i koszty operacyjne. Każde rozwiązanie ma uzasadnione zastosowanie. Zależy to od wielkości organizacji i budżetu. Istotny jest też wymagany poziom bezpieczeństwa.

PSK jest rozwiązaniem prostszym i tańszym. Użytkownicy logują się wspólnym hasłem. Jest ono łatwe do udostępnienia, ale trudne do zmiany. Wyciek hasła wymaga zmiany na wszystkich urządzeniach. Jest to uciążliwe w większych sieciach. Enterprise oferuje indywidualne poświadczenia dla każdego użytkownika. Centralne zarządzanie odbywa się przez serwer RADIUS. Możliwe jest przypisywanie użytkowników do różnych VLAN z różnymi politykami. Koszty wdrożenia są wyższe, ale korzyści w zakresie bezpieczeństwa przewyższają nakłady w większych sieciach.

Lista ośmiu zasad bezpiecznej sieci WLAN to praktyczny przewodnik dla administratorów. Każda zasada adresuje konkretne zagrożenie. Jest poparta wieloletnim doświadczeniem w bezpieczeństwie sieciowym. Stosowanie tych zasad buduje wielowarstwową ochronę. Jest ona znacznie skuteczniejsza niż pojedyncze mechanizmy zabezpieczeń. Administratorzy powinni traktować je jako minimum wymagań.

Wyłączenie WPS jest często pomijanym, ale ważnym krokiem. Atak na PIN WPS narzędziem Reaver może złamać WPA2 w kilka godzin. Nie ma przy tym znaczenia złożoność hasła. Regularne aktualizacje firmware AP są kluczowe. Łaty bezpieczeństwa usuwają nowo odkryte podatności. Stosowanie sieci gościnnej z izolacją od sieci wewnętrznej to podstawa. Nawet zaufany gość może nieświadomie wprowadzić zagrożenie do sieci firmowej. Izolacja ruchu gościnnego zapobiega takim incydentom.

Polecenia na slajdzie służą do diagnostyki zabezpieczeń w RouterOS. Komenda /interface wireless security-profiles print wyświetla profile zabezpieczeń. Pokazuje typ uwierzytelniania, używany szyfr i stan MFP. Jest to pierwsze polecenie podczas audytu bezpieczeństwa. Pozwala szybko ocenić stan konfiguracji.

Drugie polecenie /interface wireless registration-table print pokazuje podłączonych klientów. Widoczne są informacje o protokole uwierzytelniania i szyfrowania. Można sprawdzić status MFP dla każdego klienta. Jest to przydatne do weryfikacji, czy klienci używają oczekiwanych zabezpieczeń. W przypadku podejrzenia rogue AP warto użyć /interface wireless scan. Narzędzie to skanuje otoczenie i wyświetla wykryte sieci. Pokazuje także informacje o stosowanych przez nie zabezpieczeniach.

Podsumowując, bezpieczeństwo sieci WLAN nie jest stanem, ale procesem. Wymaga ciągłej uwagi i aktualizacji. Ewolucja od WEP do WPA3 pokazuje, że żaden standard nie jest ostateczny. Nowe odkrycia kryptograficzne mogą podważyć każdy system. Błędy implementacyjne również stanowią zagrożenie. Dlatego tak ważne jest śledzenie nowo odkrywanych podatności.

Kluczowymi wnioskami są: stosowanie najnowszego standardu, czyli WPA3. Należy włączyć MFP we wszystkich urządzeniach, które go obsługują. W sieciach korporacyjnych trzeba przejść na uwierzytelnianie 802.1X. Regularne aktualizowanie oprogramowania jest obowiązkowe. Monitorowanie nowo wykrywanych podatności pozwala szybko reagować. Świadomość zagrożeń i znajomość mechanizmów obrony to podstawowe narzędzia administratora. Tylko kompleksowe podejście gwarantuje bezpieczną i niezawodną łączność.

Literatura na slajdzie obejmuje klasyczne podręczniki akademickie. Są też specjalistyczne publikacje o bezpieczeństwie sieci bezprzewodowych. Książka Tanenbauma i Wetheralla to obowiązkowa pozycja dla studentów informatyki. Oferuje szerokie wprowadzenie do sieci komputerowych. Obejmuje także aspekty bezpieczeństwa. Każda z wymienionych pozycji wnosi unikalną perspektywę.

Poza wymienionymi pozycjami warto sięgnąć do dokumentacji producentów. Whitepapery Cisco, MikroTik i Aruba zawierają najnowsze informacje. Dotyczą one konfiguracji zabezpieczeń w konkretnych implementacjach. Źródła internetowe Wi-Fi Alliance i IEEE są niezastąpione przy poszukiwaniu szczegółów technicznych. Dla zainteresowanych praktyczną stroną polecane są kursy i certyfikacje. PWK lub OSCP to przykłady wartościowych szkoleń. Specjalistyczne szkolenia z bezpieczeństwa sieci bezprzewodowych również są dostępne na rynku.

Mam nadzieję, że materiał był interesujący i pomocny. Wiedza o ewolucji standardów zabezpieczeń jest niezbędna. Znajomość słabości protokołów pozwala unikać błędów. Praktyczne metody ochrony są kluczowe w codziennej pracy inżyniera sieciowego. Prezentacja stanowi jedynie wprowadzenie do szerokiej dziedziny bezpieczeństwa WLAN. Zachęcam do dalszego zgłębiania tematu.

Samodzielne eksperymenty w środowisku laboratoryjnym są bezcenne. Można w nim bezpiecznie testować różne mechanizmy zabezpieczeń. Nie ma ryzyka naruszenia produkcyjnej infrastruktury. Praktyczne doświadczenie pozwala lepiej zrozumieć działanie mechanizmów. Pomaga także poznać potencjalne wektory ataku. Życzę sukcesów w dalszym zgłębianiu wiedzy o sieciach komputerowych. Zachęcam do śledzenia nowości w dziedzinie bezpieczeństwa sieci bezprzewodowych. Dziedzina ta wciąż dynamicznie ewoluuje i wymaga ciągłego dokształcania się.