Drahtlose Sicherheit mit Passphrasen

Die Verwendung einer Passphrase, um Zugriff auf ein drahtloses Netzwerk zu erhalten und dann die Verschlüsselungsschlüssel zu erstellen, um diese Verbindung zu sichern, ist etwa so alt wie 802,11 selbst. Ursprünglich als Wired Equivalency Protocol oder WEP eingeführt, ist die neueste Version WPA3-SAE oder Simultaneous Authentication of Equals. Während sich viele der Hintergrundprozesse und -technologien geändert haben, haben sich die Methode und die Benutzerfreundlichkeit für den Endbenutzer nicht viel geändert; dies macht es leicht zur am häufigsten verwendeten Methode aller verwendeten Techniken, um eine WLAN-Verbindung zu sichern.

Die Passphrase

Die Verwendung einer Passphrase oder eines Passworts, um auf etwas zuzugreifen, ist fast so alt wie der Mensch selbst. Sagen Sie der richtigen Person das geheime Wort oder die geheime Wortfolge und der Zugriff wird gewährt. Daher ist es sehr einfach, die Passwortversion der Sicherheit zu erfassen und zu verwenden, wenn diese Arten von Netzwerken in freier Wildbahn entdeckt werden.

Wirklich schnelle Seitenleiste hier.... Die hier besprochene Passphrase ist nicht die gleiche wie alles, was in ein unverlierbares Portal eingegeben wird. Captive-Portale sind kein Sicherheitstool. Sie waren und werden es nie sein. Was hier diskutiert wird, sind Passphrasen, die verwendet werden, um die Verbindung zwischen dem Client und dem AP zu verschlüsseln, und keine Barriere für den Zugriff auf das Internet.

Die ursprünglich im WLAN verwendete Verschlüsselung war WEP. Hoffentlich weiß und versteht jeder, dass WEP in den frühen 2000er Jahren mit Tools wie aircrack.ng und John the Ripper kompromittiert wurde. WEP enthält einige tödliche Fehler, die es ermöglichen, innerhalb weniger Sekunden brute Gewalt angegriffen zu werden, was dazu führte, dass es in 2004 „offiziell zurückgezogen“ wurde. Ich sage „offiziell zurückgezogen“, weil es, obwohl die Probleme mit WEP noch bestehen, Netzwerke gibt, die heute genutzt werden können, die WEP dank Client-Geräten, die keine neuere Verschlüsselung unterstützen, immer noch nutzen.

2003, nachdem WEP kompromittiert wurde, aber bevor die IEEE offiziell die Änderung 802.11i einführen konnte, veröffentlichte die Wi-Fi Alliance WPA als Stop-Gap-Lösung für Netzwerke, die von WEP migriert werden mussten, bevor 802.11i ratifiziert und WPA2 veröffentlicht wurde. Es war zwar ein kritischer Zwischenraum, aber als 802.11i in 2004 ratifiziert wurde, wurde es durch Wi-Fi Protected Access 2 oder das WPA2-Protokoll „ersetzt“, mit dem wir alle jetzt vertraut sind.

WPA2-Personal

WEP wurde leicht zerkleinert, da es während des Verschlüsselungsprozesses nur einen Schlüssel verwendete. Wenn dieser Schlüssel erfasst wurde, war es ein einfacher Prozess, diesen Schlüssel einfach wiederzuverwenden. WEP war auch in der Anzahl der bei der Verschlüsselung verwendeten Bits sehr begrenzt. In der Regel sind weniger Bits = weniger Komplexität zu knacken = schnellere Zeiten, um die Verschlüsselung zu knacken.

Glücklicherweise haben wir mit 802.11i WPA2 mit AES-CCMP-Verschlüsselung erhalten. AES-CCMP verbesserte den gesamten Verschlüsselungsalgorithmus, einschließlich der Anzahl der in der Verschlüsselung verwendeten Bits. Mehr Bits = mehr Komplexität zu knacken = längere Zeiten, um die Verschlüsselung zu knacken.

Aber wie bei allem gibt es einen Balanceakt im WLAN. Wir bekommen nichts gratis. Ältere Geräte schätzen Robustheit und Stabilität, während neuere Geräte nach Geschwindigkeit und Flexibilität suchen. In der Mitte steckt der Wunsch, sicherzustellen, dass unsere Verbindungen und Daten sicher sind, obwohl einige der wichtigsten Geräte in unserem Netzwerk nicht immer die neueste und höchste Sicherheit unterstützen.

Der Versuch, diese alten und neuen Geräte mit derselben SSID zu betreiben, kann jeden Administrator verrückt machen, sodass alles, was sie tun können, um den Balanceakt zu erreichen, sowohl alte als auch neue Funktionen beizubehalten, wahrscheinlich passieren wird, einschließlich verschiedener SSIDs auf demselben Funkgerät, um die verschiedenen Sicherheitsfunktionen zu unterstützen.

Jetzt ist WPA2 seit 2004 unser vertrauenswürdiger Freund und hat uns zum größten Teil gut bedient. Sicher, es gab hier und da einen Schluckauf (erinnern Sie sich an KRACK?), aber wenn es verantwortungsvoll eingesetzt und verwaltet wurde, war und ist es sehr sicher. Als die Forscher WPA2-PSK jedoch im Detail untersuchten, entdeckten sie einige Probleme mit dem Aufbau der Verschlüsselungsschlüssel.

Es war auch um diese Zeit, dass die Leute erkannten, dass WPA2 14 Jahre lang draußen war und es wahrscheinlich Zeit für eine Auffrischung war. Diese Aktualisierung erfolgte in 2018 in Form von WPA3.

Wir stellen vor: WPA3-SAE

Wie bei allen technologischen Aspekten unterstützen Innovationen die Angreifer eines Netzwerks genauso sehr, wenn nicht sogar mehr als die legitimen Netzbetreiber und Nutzer. Da die Prozessorgeschwindigkeiten und -fähigkeiten zunahmen, um Menschen dabei zu helfen, mehr auf ihren Mobilgeräten zu tun, konnten Angreifer Passwörter und Anmeldedaten schneller brute erzwingen, die in freier Wildbahn erfasst wurden. Cloud Computing und allgegenwärtige Internetverbindungen machten es für Unternehmen schneller und einfacher, ihre Arbeitslast zu verteilen, genauso wie es für Angreifer der Fall war.

Was früher Monate bis zum Brute-Force-Angriff gedauert hat, kann jetzt in Tagen erledigt werden; was früher Wochen gedauert hat, kann jetzt in Stunden, wenn nicht Minuten, zerbrochen werden. Mit der Fähigkeit der Angreifer, Verschlüsselungsschlüssel von überall zu sammeln und sie dann entweder an eine Cloud-Computing-Instanz oder zurück an einen zentralen Cracking-Server zu senden, um daran zu arbeiten, sind die Kosten für das Knacken eines Verschlüsselungsschlüssels viel günstiger als früher.

WPA3-SAE (Simultaneous Authentication of Equals) führte neue Verschlüsselungsmethoden ein, die den in 802.1X verwendeten Verschlüsselungsmethoden ähnlich sind, was es viel schwieriger macht, entweder in der Wildnis oder offline zu knacken, indem ein Brute-Force-Verschlüsselungs-Cracker-Server verwendet wird, der speziell für die vorliegende Aufgabe entwickelt wurde. Eine Sache, die nicht geändert wurde, ist, dass WPA3-SAE immer noch ein Passwort verwendet, das die Netzbetreiber dem Endbenutzer zur Verfügung stellen, genau wie WPA2-Personal, WPA und sogar WEP. Obwohl die Backend-Verschlüsselung völlig anders ist, ist der Prozess für Endbenutzer immer noch der gleiche, einfach sicherer aufgrund einiger wirklich technischer Prozesse, die wir hier nicht abdecken werden.

Wir möchten dieses Passwort immer noch nicht an alle weitergeben, die wir auf der Straße treffen, aber vorerst verwendet WPA3-SAE etwas, das als Elliptical Curve Cryptography bekannt ist, um die Verschlüsselungsschlüssel zu generieren, ohne dass Teile der Schlüssel über die Luft gesendet werden müssen, die Angreifer erfassen und dann zurückentwickeln können. Und vorerst ist dies etwas, das Angreifern nicht zerbrechen können. Genau wie bei früheren Generationen unterstützt jedoch nicht jedes Gerät heute WPA3, so dass wir von vornherein noch unseren Balanceakt haben.

Fazit

In einer Welt, in der wir uns unter Druck gesetzt fühlen, immer die „neuesten und größten“ zu haben, können einige der Details im Shuffle verloren gehen. WPA2/3-Enterprise ist zwar der Ort, an dem wir uns orientieren sollten, aber es ist in Ordnung, wenn nicht jedes Gerät in diesem Netzwerk landet. Mit WPA3-SAE verfügen wir über eine passwortbasierte Sicherheits-/Verschlüsselungsmethode, die mit der Enterprise-Version vergleichbar ist, vorausgesetzt, dass Personen diese Informationen nicht versehentlich oder absichtlich in sozialen Medien weitergeben.

Obwohl WPA2-Personal möglicherweise nicht das „Beste“ ist, denken Sie daran, dass die kombinierte Lösung mit einigen bewährten Verfahren (wie der Verwendung von RUCKUS DPSK) immer noch wirklich sicher ist. Während WEP von einem kompetenten Angreifer in Sekundenschnelle zerbrochen werden kann, wird es zur Anforderung, wenn das alle kritischen Geräte im Netzwerk unterstützen, obwohl ich dringend empfehlen würde, auf fast alles aufzurüsten, um WEP zu verlassen. Aber das ist ein Gespräch für einen anderen Tag.

Während Sicherheit manchmal überwältigend sein kann, um darüber nachzudenken und sie zu verstehen, können Sie sicher sein, dass RUCKUS Networks hart daran arbeitet, Ihrem Unternehmen zu ermöglichen, die Grenze zwischen dem Halten der erforderlichen Geräte im Netzwerk zu überschreiten, unerwünschte Geräte daran zu hindern, sich anzumelden, und Administratoren zu ermöglichen, das Netzwerk gleichzeitig zu überwachen und zu verwalten. Weitere Informationen darüber, wie RUCKUS helfen kann, finden Sie in anderen Sicherheitsblogs, den Netzwerksegmentierungsfunktionen von RUCKUS, den Funktionen für sicheres Onboarding und Authentifizierung sowie dem RUCKUS WAN Gateway (RWG).