WPA3 – это новейший протокол безопасности беспроводных сетей, появившийся в 2018 году. Он не привносит в WPA2 ничего радикально нового, а скорее является логическим продолжением, исправляя проблемы безопасности своего предшественника.
Самые значительные изменения коснулись WPA3-Personal. В WPA2 использовался метод предварительно розданного ключа (PSK) в Personal-сетях. PSK уязвим к атаке подбора пароля по дампу трафика и атаке с переустановкой ключа (KRACK). В случае успешной эксплуатации уязвимости KRACK нарушитель получает возможность выполнять ряд атак типа «человек посредине». Например, перехватывать и подменять TCP-пакеты. Для устранения обеих уязвимостей в WPA3-Personal был добавлен новый алгоритм SAE. SAE гарантирует, что обмен ключами нельзя прервать, а также устанавливает новый шифрующий пароль для каждого нового соединения. В случае успешного подбора пароля нарушителем, пароль будет подобран только для конкретного соединения, а не для любых соединений, как это было в WPA2.
В WPA3-Enterprise используется всё те же фреймворк аутентификации EAP, что и в WPA2. На смену CCMP пришёл GCMP, его усовершенствованная версия, также основанная на алгоритме AES. GCMP шифрует блоки параллельно, а не последовательно, что позволяет сократить время аутентификации. Кроме того, длина ключа была увеличена до 256 битов, против 128 битов в WPA2, что значительно повышает криптографическую стойкость, в частности, против атаки квантовым алгоритмом Гровера.
При этом WPA3 сохраняет обратную совместимость с WPA2, что позволяет устройствам, использующим WPA2, подключаться к новой сети, если точка доступа поддерживает смешанный режим работы.
Атаки на WPA3-Enterprise
Хотя WPA3 исправляет проблемы безопасности WPA2, он всё же не лишён недостатков. В 2019 году исследователи безопасности Мэти Ванхоф и Эйал Ронен опубликовали исследование недостатков в дизайне WPA3. В исследовании были описаны атаки понижения версии до WPA2, понижения групп безопасности, DoS, а также атаки на рукопожатие SAE. Однако все эти атаки применимы только к WPA3-Personal.
В отношении WPA3-Enterprise наиболее актуальными являются атаки перебора паролей пользователей при подключении к точке доступа, а также атаки на клиентские устройства с участием поддельной точки доступа (rogue AP), которые были актуальны ещё в WPA2-Enterprise. Хотя увеличение длины ключей улучшает безопасность в целом, при подключении клиента к поддельной точке доступа вся дальнейшая коммуникация будет проходить уже внутри защищенного канала, установленного в результате первого этапа аутентификации EAP.
Атака rogue AP на клиентов WPA-Enterprise заключается в создании нарушителем поддельной точки доступа, имитирующей легитимную точку доступа. Успешная атака может привести к компрометации учетных данных пользователя, используемых для подключения к легитимной точке доступа. Очень часто клиентские устройства соглашаются на передачу учетных данных в виде хэша, а иногда и открытым текстом. Как правило это доменные логин и пароль. При этом для успешной эксплуатации даже не требуется участие пользователя, его устройство может подключиться к поддельной точке доступа самостоятельно.
Обнаружения rogue AP
Выявить rogue AP в эфире вне зависимости от используемого протокола, WPA2 или WPA3, можно при помощи WIDS или WIPS-систем. WIDS-системы позволяют в режиме реального времени пассивно выявлять потенциальные атаки на беспроводные сети, в том числе, развернутую поддельную точку доступа. WIPS кроме обнаружения атак также автоматически применяет меры по их предотвращению.
Поддельные точки доступа могут быть выявлены по нескольким косвенным признакам:

Новая точка доступа в эфире. Корпоративные точки доступа неподвижны, и, при длительном мониторинге радиоэфира, новая точка доступа уже повод насторожиться.

MAC-адрес. Если атакующий не сменил MAC-адрес своего устройства, то MAC-адрес точки доступа будет отличаться от известных MAC-адресов точек доступа организации.

Timestamp. В Beacon Frame содержится поле timestamp. Данное поле хранит время беспрерывной работы точки доступа в микросекундах. Как правило, поддельные точки доступа существуют от нескольких минут до нескольких часов, тогда как время работы легитимных точек доступа измеряется неделями.

Порядок методов аутентификации. Можно выявить при попытке подключения к точке доступа. Легитимная точка доступа будет предлагать методы аутентификации от самого стойкого к самому слабому. Поддельная же точка может предлагать клиенту методы аутентификации в обратном порядке: от самого слабого до самого сильного.

При желании можно выявить поддельные точки доступа по перечисленным признакам и вручную, при мониторинге эфира, но WIDS/WIPS-системы позволяют автоматизировать эту работу.
Несмотря на то, что в классическом исполнении rogue AP разворачивается относительно недалеко от легитимной точки доступа организации и переманивает клиентов на себя за счет лучшего сигнала или атак деаутентификации, на деле поддельная точка доступа может находиться далеко за пределами физического периметра организации, в любом подходящем месте скопления людей, например, на станции метро или в столовой. Такие точки выходят за радиус действия WIDS/WIPS и отследить их практически невозможно.
При этом сама атака строится на предположении, что клиентское устройство на первом этапе аутентификации EAP не проверяет подлинность точки доступа, к которой подключается, а на втором этапе аутентифицируется по логину и паролю.
Аутентификация по сертификату
Единственный надежный способ установить подлинность точки доступа — это проверка ее сертификата и цепочки доверия. Методы PEAP, TTLS первого этапа предполагают проверку подлинности сервера клиентом. Тем не менее, клиентские устройства часто ориентируются только на ESSID (имя) и, возможно, BSSID (физический адрес) точки доступа. Оба этих параметра нарушитель способен подделать, в результате чего клиентское устройство может самостоятельно подключиться к поддельной точке доступа.
Избежать утечки логина и пароля с клиентского устройства можно, если не использовать их вовсе, обеспечив вместо этого аутентификацию по сертификатам TLS. Метод EAP-TLS обеспечивает взаимную проверку подлинности между клиентом и сервером, что позволяет клиенту установить соединение без ввода пароля пользователя сети.
Таким образом, аутентификация по сертификату обеспечивает существенное повышение безопасности беспроводных сетей, однако этот метод аутентификации может вызвать сложности в реализации, поскольку предполагает наличие инфраструктуры открытых ключей, а также выпуска и распространения сертификатов на каждом клиентском устройстве.
Автор: Анастасия Прядко, старший специалист по анализу защищенности, УЦСБ