Перейти к содержимому
Калькуляторы

WPA3 – Крупнейшее обновление безопасности Wi-Fi за последние 14 лет

Материал: В 2017 году в протоколе WPA2 была обнаружена серьезная уязвимость, получившая название KRACK (Key Reinstallation Attack) – атака с переустановкой ключа. Этот факт, наряду со всеми ранее известными недостатками WPA2, подтолкнул Wi-Fi Alliance к разработке нового стандарта безопасности - WPA3. Полный текст

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Цитата

то его без труда можно было подобрать с помощью автоматизированных атак с использованием словарей, таких как Dictionary и Brute-Force.

 

Проблема не в подборе. А в возможности перебора по записи фазы соединенеия. Т.е. вообще без физ подключения к АП.

 

Цитата

Протокол WPA2 никогда не предлагал вариантов для решения этой проблемы.

 

IDS решает проблему перебора в лоб. Да и просто даже без IDS это будет мегадолго если делать на живой сети. Не замеченым остаться тут было бы без шансов.

 

Проблема в том, что можно записать handshake затем уже локально брутфорсом подобрать пароль будучи вообще хоть на краю вселенной. И даже коммерческие сервисы для этого нынче имеются.

 

И WPA3 решает именно ту самую проблему, да да, подбора паролей по зарание записанному хэндшейку.

 

В общем как обычно, слушал звон... Тоже самое касается и остальной части статьи. Ребят, поднатужтесь, осильте перед публикацией номинально разобраться в теме.

 

Не не удержусь.

 

Цитата

Предыдущая версия протокола WPA2 была введена в 2004 году и за последние несколько лет неоднократно была дискредитирована.
 

 

Правда чтоль? WPA CRACK? Это атака на косяк даже не в WPA по сути, а FT. Косвенно коснулась WPA за счёт pmk cache и омерзительной архитектурой вообще организации взаимодействитя АП и клиента в WiFi вне собсно самой передачи данных.

 

Для кого-то секрет что managment фрэймы в wifi вообще в открытом виде все бегают? Нет ну да, PMF спустя 12 лет решили таки натянуть, и даже 1,5 реализации как-то работающих даже среди своих клиентских железок вижу. =))

 

Чем там ещё дискредитировали WPA2? 

 

Тут скорее следует говорить, о абсолютно безолаберном подходе к безопасности внутри 802.11 в принципе. Особенно в купе с WPS и прочими прелестями.

 

Не зря у китайцев на этот счёт есть своя нахлобучка по имени WAPI (кстати вом вам тема для новой статьи).

 

P.S. Поддержка WPA3 с вероятностью 99,99% (поддержка на самом деле уже есть, вопрос в отладке, клиентов нет) будет доступна в маршрутизаторах работающих под управлением Wive-NG начиная с SNR-CPE-ME2. Более ранние, к сожалению поддержки оного не получат, в силу чисто апаратных ограничений криптомодуля.

 

PP.S. Прошу меня простить за очередную грусть-печаль =) Но блин надо рассматривать архитектуру 802.11 в сумме, что бы понять, что в текущем виде о безопасности на уровне доступа говорить не приходиться. А уж DOS в 802.11 возможен сразу по нескольким векторам, многие из которых вообще не требуют взаимодействия с АП (да да, работаем с клиентами).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Была уже статья. Писали, что wpa3 на старое оборудование не впишешь. Он будет на железе реализован.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да требуется криптоблок умеющий это дело (в радиомодулях свой криптоблок который щёлкает шифрование аппаратно, вот он какой есть такой уже и останется в старых и обучить чему-то новому его не выйдет). Нет ну стадию аутентификации можно и WPA3 в софте реализовать, но там изменения и в методе шифрования потока данных тоже имеются, так что облом.

 

В ME2 (который сейчас прямо готовиться к запуску в серию) стоит MT7615 в который уже заложено всё необходимое (ждём клиентов дабы включить проверить и оформить в удобоваримом виде).

 

А предыдущие наши железки увы останутся без WPA3. Так что использование человеческих паролей в wifi must have.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я правильно понимаю, что фразу:

Quote

Пользователь устанавливает безопасное соединение с дочерним устройством, сканируя его QR-код.

нужно читать так:

- в большинстве случаев юзер не осилил не то что установку каких-то сложных паролей на WiFi, но даже банальный WPS, поэтому теперь мы сделали "WPS для чайников". Достаточно мимоходом сделать скриншот и подключайся сколько хочешь...

Изменено пользователем kaeskat

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, прошу прощения за оффтопик. А сейчас можно сделать так, чтобы клиент подключался по qr коду? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так это же никакого отношения к WiFi не имеет. Это вопрос умений исключительно софта клиента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, ayf сказал:

А сейчас можно сделать так, чтобы клиент подключался по qr коду? 

https://qifi.org/

Работает только в ведроиде, скорее всего, придется еще и приложение отдельно ставить. Но работает, проверил только что.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ИМХО тема интересна полутора специалистам, но для маркетолухов и продаванов будет лишний повод вешать лапшу об острой необходимости купить новую железку.

Для себя лично не вижу ни одной причины хотеть железки с этим настолько, чтобы купить.

Буду обновляться по мере помирания старого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас