WLAN 7 und Sicherheit: Was Sie wissen sollten

In der sechsten Ausgabe unserer Wi-Fi 7-Blogreihe werden wir ein Thema besprechen, das in der Wi-Fi 7-Konversation viel aufzutauchen scheint, aber nicht direkt mit der 802.11be-Änderung des IEEE-Standards zusammenhängt, und das ist Sicherheit. 

Um Menschen dabei zu helfen, einige wichtige Verbesserungen von Wi-Fi 7 sowie einige Aspekte der Wi-Fi®-Sicherheit zu verstehen, hat RUCKUS Networks ein Whitepaper über Wi-Fi 7 veröffentlicht. Das Whitepaper finden Sie auf der Seite für Wi-Fi 7 auf der neuen RUCKUS Networks-Website. 

WLAN-Sicherheit mit verschiedenen WPA-Typen

Obwohl die Sicherheit nicht direkt im Wi-Fi 7-Standard angesprochen wird, sollte man immer darüber nachdenken, wenn es um neue Standards geht, insbesondere WLAN. Betrieb in einem nicht lizenzierten Spektrum mit einer Common Air Interface (CAI), die für die Welt veröffentlicht wird, um eröffnet Angreifern viele Möglichkeiten, Schwachstellen zu finden, wie KrACK und FragAttacks. In der heutigen Welt es ist fast eine Voraussetzung für Menschen, ein besseres Verständnis dafür zu haben, wie ihre Datenpakete gesichert sind, wenn sie über WLAN gesendet werden, um zu verhindern, dass Hacker Zugriff auf personenbezogene Daten wie Ihr Hypothekendarlehen erhalten, Bankkonten, und andere personenbezogene Daten, oder PII.

Das einfache Ändern Ihres Standard-Router-Passworts ist zwar immer noch eine Anforderung, aber nicht das Einzige, was Benutzer wissen müssen.

Obwohl es in Wi-Fi 7 nichts gibt, das sich auf die WLAN-Sicherheit konzentriert, gibt es ein Artefakt, das von Multi-Link Operation stammt und einen gewissen Einfluss darauf hat, wie Geräte und APs die drahtlose Verbindung sichern. Lassen Sie uns zunächst einige Grundlagen behandeln. 

WPA2-Datenverschlüsselungssicherheit  

WPA2™ wurde in 2004 mit 802.11i als „dauerhafter“ Ersatz für den WPA™-Standard (Wi-Fi Protected Access®) eingeführt, der als Stop-Gap-Maßnahme freigegeben wurde, als WEP in 2003 rissig wurde. Mit Ausnahme des neuen 6-GHz-Bands waren alle 802,11 PHY-Änderungen (802.11a/b/g/n/ac/ax/be) abwärtskompatibel mit früheren Generationen. Das bedeutet, dass Ihr iPhone 4, das Sie nicht aufgeben möchten, immer noch mit einem brandneuen Wi-Fi 7 AP verbunden werden kann. Es wird wahrscheinlich nicht gut funktionieren (aus vielen anderen Gründen), aber es wird immer noch funktionieren. Nur weil wir WPA3™ haben, kann es funktionieren, wenn die Netzwerke nicht so konfiguriert sind, dass sie etwas anderes als WPA3™ ignorieren. 

Selbst Ihr Laptop von 2001 mit 802.11b und WEP kann immer noch ein 802.11be-Netzwerk auf 2,4 GHz sehen, es kann nur eine Verbindung herstellen, wenn die Administratoren WEP auf der SSID aktiviert haben. Aber das größere Ganze ist, dass WPA2 nicht nur deshalb veraltet ist, weil wir WPA3 haben. 6 Der GHz-Betrieb hat eine Bereitstellung, die nur WPA3 unterstützt, aber das ist eine Anforderung des Spektrums, nicht einer bestimmten WLAN-Generation. 

WPA3-Datenverschlüsselungssicherheit 

Nach 14 Dienstjahren in der Technologiewelt (ein Leben lang) wurde WPA3 in 2018 eingeführt, um einige dringend benötigte Verbesserungen bei der Implementierung von drahtloser Sicherheit zu erzielen. Obwohl das in diesem Blog zu viel ist, hilft es wirklich, Angreifer daran zu hindern, einen Verschlüsselungs-Handshake, der allgemein als Offline-Wörterbuchangriff bezeichnet wird, nachträglich brute Gewalt anzugreifen. 

WPA3 hat die gleichen zwei Optionen wie WPA2, mit den gleichen zwei Methoden, aber mit einem etwas anderen Namen. WPA2-Personal, oft auch als Pre-Shared Key (PSK)-Netzwerk bezeichnet, wurde durch WPA3-SAE oder Simultaneous Authentication of Equals ersetzt. Während der Endbenutzer keinen Unterschied bemerken wird (er gibt immer noch eine Passphrase auf seinem Gerät ein, um seine WLAN-Verbindungen zu sichern), gibt es einige große Änderungen im Backend, die einige Sicherheitsprobleme mit WPA2-Personal beheben, auf die wir hier nicht eingehen werden (obwohl Sie mehr darüber in unserem Blog „Wireless Security with Passphrases“ lesen können).

WPA3-Enterprise ist WPA2-Enterprise sehr ähnlich, der Art der Sicherheit, die heute in den meisten Unternehmensnetzwerken zu sehen ist. Es gibt immer noch mehrere EAP-Typen (Extensible Authentication Protocol), wobei Transport Layer Security (oder EAP-TLS) die bevorzugte Methode ist. WPA3-Enterprise fügt zusätzliche, obligatorische Erhöhungen der kryptographischen Stärke hinzu und schreibt 802.11w (Protected Management Frames) für den Standard vor, während die vorherigen Spezifikationen 802.11w als optional hatten.

Netzwerke können mit einer sogenannten „übergehenden Sicherheitshaltung“ konfiguriert werden, die sowohl WPA2- als auch WPA3-Geräte mit derselben SSID akzeptiert (dies wäre eine 5-GHz-SSID, da WPA2 nicht in 6 GHz konfiguriert werden darf), um die Rückwärtskompatibilität für ältere Geräte zu erhalten; aber wie bei allem besteht ein Risiko damit. Während neuere Geräte abwärtskompatibel mit älteren Standards sind, können ältere Geräte die Übergangsflags in der neuen SSID sehen und nicht wissen, wie man damit umgeht, und einfach keine Verbindung herstellen.  

Das bedeutet, dass wir zwar einen sehr einfachen und unkomplizierten Service für alle Client-Geräte anbieten möchten, diese Tage jedoch begrenzt sein könnten. Eine Umgehungslösung wäre es, band- und sicherheitsspezifische SSIDs zu erstellen, um die Last und Sicherheitshaltung des Netzwerks zu verteilen. 

Bedeutet die Einführung von WPA3, dass WPA2 jetzt genauso schlimm ist wie WEP (für Internetnutzung, Passwörter usw.)?

Im Gegenteil! WEP (Wired Equivalent Privacy) wurde bei der Ankündigung von WPA wirklich gebrochen, während WPA3 ein Upgrade von WPA2 ist. WPA2, richtig konfiguriert, ist anfällig für Offline-Angriffe aus Wörterbüchern, aber die Zeit, die benötigt wird, um dieses Passwort zu knacken, wird in Jahrzehnten gemessen, nicht in Stunden.

Ordnungsgemäß konfiguriert bedeutet die Verwendung einer Passphrase, die aus mindestens 16 Zeichen besteht und nicht mit anderen geteilt wird, und die Verwendung der Advanced Encryption Standard (AES)-Verschlüsselung. WPA2-Enterprise ist nahe genug an WPA3-Enterprise, dass Sie durch die einfache Aktivierung von 802.11w für die meisten Instanzen ziemlich nahe an WPA3-Enterprise herankommen. WPA3 ist immer noch der Ort, an den wir gelangen möchten, aber WPA2 mit einigen zusätzlichen Vorsichtsmaßnahmen ist immer noch eine respektvolle Methode, um Ihre drahtlosen Netzwerke zu sichern.

Verwendung von WPA3 in 6 GHz als Konstruktionsanleitung

Dank einer Vielzahl von Variablen, die wir bei der Untersuchung der Client-Geräte sehen, die Wi-Fi-Netzwerke von heute verwenden (Android vs. iOS, alte vs. neue, mobile vs. feste Geräte), sehen viele Menschen die Notwendigkeit, WPA3 in beiden Modi (Unternehmen mit Extensible Authentication Protocol oder EAP und SAE, Simultaneous Authentication of Equals) oder OWE als Hindernis für dieses neue Spektrum zu verwenden, aber es gibt eine andere Möglichkeit, darüber nachzudenken. Anstatt zu versuchen, diese neuen Sicherheitsprotokolle zu umgehen, sollten wir sie wirklich annehmen.

Für Geräte, die uns wichtig sind (und neu sind), würden wir ihnen eine 6-GHz-SSID mit WPA3 zuweisen. Geräte wie BYOD oder andere Geräte, um die wir uns möglicherweise nicht so sorgen, bleiben bei 5 GHz mit WPA2 Personal (PSK oder DPSK); wir könnten eine zweite SSID für WPA3-Enterprise für diese Geräte hinzufügen, die uns wirklich wichtig sind, aber nicht neu genug für das neue 6Ghz-Band sind. Schließlich bleiben 2,4 GHz für IoT und andere Geräte übrig, die als „Bester Aufwand“ eingestuft werden, ohne dass Anforderungen oder Erwartungen an einen einwandfreien Service gestellt werden. Indem wir Geräte auf diese Weise trennen, kategorisieren wir Geräte und sichern sie mit der jeweils besten verfügbaren Sicherheit, was, wenn Sie auf einen unserer vorherigen Blogs verweisen, eine Best Practice ist. Weitere Best Practices zum Trennen von IoT-Geräten finden Sie auch in unserem Blog zur IoT-Gerätesicherheit.

Multi-Link-Betrieb und Sicherheit 

Wie versprochen, gibt es einen Sicherheitswinkel für diese neue Wi-Fi 7-Funktion. Multi-Link-Betrieb (MLO, Sie können mehr darüber auf unserem vorherigen WLAN 7 lesen, MLO-Blog) ist die Idee, dass mehrere Radios in einem Gerät gleichzeitig mit einem anderen Gerät sprechen, aber über verschiedene Funkbänder hinweg. Um dies zu ermöglichen, gab es ein Problem mit der Identität, das gelöst werden musste, und es ging darum, sicherzustellen, dass die Layer-2-Frames vom gleichen Gerät dieselbe MAC-Adresse haben, sodass das empfangende Ende bestätigen konnte, dass die empfangenen Frames vom gleichen Gerät stammen, und keine Frames von verschiedenen Geräten vermischen. 

Was haben Wi-Fi 7 und MLO mit der Sicherheit zu tun?

Mit MLO wird eine „höhere“ MAC-Adresse über die drei Funkgeräte in einem Wi-Fi 7-Gerät eingeführt. Diese einzelne, übergeordnete MAC-Adresse wird für die Verschlüsselungsschlüssel verwendet; anstatt drei Schlüssel zu verwenden (ein Schlüssel für jedes der möglichen verwendeten Funkbänder), müssen die Geräte nur einen Schlüsselsatz erstellen. Diese Adresse ist als MAC-SAP-Endpunkt oder MLD-Adresse (Multi-Link Device) bekannt und bleibt über dem tatsächlichen Funksendeempfänger.

Dieser einzelne Schlüssel bedeutet, dass während des Wechsels der Bänder durch das Client-Gerät während der MLO-Linkauswahl kein neuer Verschlüsselungsschlüssel erstellt werden muss. Angesichts der geringeren Latenzanforderungen von VR/AR/E-Sports ist jede auf der RF-Seite der Übertragung gespeicherte Mikrosekunde entscheidend, um die Latenzzahlen zu erreichen, die diese Anwendungen anstreben. 

MLO ist zwar keine bahnbrechende Entwicklung in der Sicherheitswelt, weist aber auf einige zukünftige Entwicklungen hin, die sich darauf auswirken könnten, wie Netzwerke und Client-Geräte sich über alle drahtlosen Kommunikationen hinweg gegenseitig sehen. Die gemeinsame Nutzung einer einzigen MAC-Adresse für jede drahtlose Verbindung hat einige Vorteile, wenn wir beginnen, einen konvergenten Funkzugang zwischen WLAN und Mobilfunk zu berücksichtigen und wie ein Gerät zwischen den beiden wechseln könnte, je nach einer Vielzahl von Faktoren. 

Für eine solche Entwicklung steht derzeit nichts am Horizont, aber ähnlich wie MLO es Geräten ermöglicht, zum Zeitpunkt der Übertragung den besten Betriebskanal auszuwählen, deutet dies darauf hin, dass unsere Client-Geräte mit unseren drahtlosen Infrastrukturen besser funktionieren und nur gute Dinge daraus kommen können. 

Was ist mit RUCKUS-Netzwerken? 

Weitere Informationen über Wi-Fi 7 finden Sie auf der Wi-Fi 7-Webseite auf der RUCKUS Networks-Website. Diese Seite ist eine Anlaufstelle für alle, die über Wi-Fi 7 auf dem Laufenden bleiben möchten, wenn wir der Änderungsratifizierung durch IEEE und der Wi-Fi 7-Zertifizierungsankündigung der Wi-Fi Alliance näher kommen. Um den Rest dieser Blog-Serie weiter zu lesen, besuchen Sie die Wi-Fi 7-Seite für zukünftige Links oder unseren Blog-Abschnitt.

Leser können auch mehr über die Produkte und Lösungen von RUCKUS Networks erfahren, indem sie diese Websites besuchen: RUCKUS Netzwerkprodukte und RUCKUS-Netzwerklösungen. Um mehr darüber zu erfahren, wie RUCKUS Ihrem Unternehmen mit der neuesten Entwicklung in der Netzwerktechnologie helfen kann, senden Sie uns eine Notiz und ein Spezialist kann sich mit Wi-Fi 7 oder anderen RUCKUS Networks-Produkten an Sie wenden.