Was ist WPA3, ist es sicher und sollte ich es verwenden?
Was ist WPA3? Wi-Fi Protected Access (WPA) wird oft als Sicherheitsstandard oder -protokoll bezeichnet, das zum Verschlüsseln und Schützen von Wi-Fi-Netzwerken verwendet wird, wie Sie es wahrscheinlich zu Hause oder am Arbeitsplatz verwenden. Tatsächlich handelt es sich jedoch um ein vom Unternehmen entwickeltes Sicherheitszertifizierungsprogramm Wi-Fi Alliance zur Sicherung drahtloser Computernetzwerke.
WPA3 wurde im Juni 2018 veröffentlicht und ist der Nachfolger von WPA2, das Sicherheitsexperten als „kaputt“ bezeichnen. Das Ziel der Entwicklung von WPA3 bestand darin, WPA hinsichtlich der Benutzerfreundlichkeit und der Erhöhung der kryptografischen Stärke zu verbessern. Wie sein Vorgänger ist es in den Editionen Personal und Enterprise erhältlich, aber diese Version verbessert WPA2 mit robusteren Authentifizierungs- und Verschlüsselungsfunktionen und einer Lösung für den integrierten Fehler in WPA2, KRACK. Es enthält auch Funktionen zur Vereinfachung und besseren Sicherung der Verbindung von IoT-WLAN-Geräten.
Inhalt [ verstecken ]
- Wie sicher sind aktuelle WLAN-Verschlüsselungsstandards?
- Pre-Shared Key (PSK)
- Vier-Wege-Handschlag
- Ist WPA3 sicher? Sicher, aber es gibt auch Verbesserungen bei WPA2
- WPA3-Personal
- WPA3-Enterprise
- Vier Verbesserungsbereiche
- Simultaneous Authentication of Equals (SAE) gegen Brute-Force-Angriffe
- Device Provisioning Protocol (DPP) zur Verwaltung von Netzwerken und IoT-Geräten
- Opportunistic Wireless Encryption (OWE) für sichereres Hotspot-Surfen
- Welche Software und Geräte sind für KRACK anfällig?
- Welche Angriffslücken bergen unzureichend gesicherte Netzwerke?
- Warnende Worte der Entdecker des KRACK-Fehlers
- Was sagen die Zyniker, darunter auch IT-Entwickler, zu WPA3?
- Wie können sich Unternehmen schützen? (Gelöst)
- WLAN-Sicherheitstipps für Heimnetzwerke und IoT-Geräte (Gelöst)
Das Problem
Der KRACK (Schlüssel-Neuinstallations-Angriff) Der Fehler kann als schwerwiegend eingestuft werden Wiederholungsangriff , und ist eine Form eines Man-in-the-Middle-Angriffs. Das grundlegende Problem mit WPA2, das durch die KRACK-Entdeckung hervorgehoben wurde, ist ein Fehler im WPA2-Zertifizierungsstandard selbst und keine Schwachstelle, die durch eine schlechte Produktkonfiguration oder Serviceimplementierung verursacht wird.
Wir werden später tiefer auf KRACK eingehen, aber im Endeffekt ist jede korrekte Implementierung von WPA2 wahrscheinlich angreifbar; Die Sicherheitslücke liegt im WPA2-Protokoll begründet.
Die Lösung
Als Reaktion auf dieses Debakel im Juni 2018 Wi-Fi Alliance® gab die Einführung von Wi-Fi CERTIFIED WPA3™ bekannt Sicherheit, ein WLAN-Zertifizierungsstandard, der:
- Behebt die KRACK-Schwachstelle
- Verbessert WPA2 mit zusätzlicher Sicherheitsfunktion S. Dies ist wichtig, da es mehrere WLAN-Sicherheitslücken gibt, die für Hacker attraktiver und viel einfacher zu durchbrechen sind als KRACK.
Was ist WPA3? Die WPA3-Zertifizierung für WLAN-Geräte kann grob mit einem Verkehrstauglichkeitszertifikat für Ihr Auto verglichen werden. Ohne Zertifizierung können Hardware-Anbieter nicht behaupten, dass sie die Sicherheitsstandards der Wi-Fi Alliance einhalten.
Es kann sein Es wird einige Zeit dauern, bis WPA3 von WLAN-Benutzern vollständig akzeptiert wird ; In der Zwischenzeit werden „WPA2-Geräte weiterhin zusammenarbeiten und anerkannte Sicherheit bieten“, so die Wi-Fi Alliance. Während der Übergangszeit bleibt WPA2 für alle WLAN-zertifizierten Geräte verpflichtend.
Was ist WPA3 und ist es sicher?
In diesem Artikel wird untersucht, wie WPA3 die WPA2-Sicherheit verbessert, und KRACK ins rechte Licht gerückt. Während WPA3 definitiv der richtige Sicherheitsweg für die Zukunft ist, sollten Benutzer sicherstellen, dass sie einen implementieren vielschichtige, mehrschichtige Sicherheitsstrategie um alle Aspekte ihres WLAN-Netzwerks zu schützen. WPA3 reicht nicht aus, um WLAN-Netzwerke vollständig zu schützen, obwohl andere Verbesserungen als der KRACK-Patch einen großen Beitrag zur Schließung anderer WLAN-Sicherheitslücken leisten. Wir werden auch einige der Kritikpunkte besprechen, die an WPA3 geäußert wurden. Abschließend gehen wir auf einige Möglichkeiten ein, wie Heimanwender und Unternehmen sicheres WLAN nutzen können. Ist WPA3 sicher? Finden wir es heraus.
Das Ausmaß der KRACK-Schwachstelle
Die Entdeckung von KRACK sorgte für einige Beunruhigung in der IT-Community. Der Grund dafür ist, dass so viele WLAN-Geräte WPA2 verwenden und immer mehr Menschen diese Geräte verwenden, um eine Verbindung zum Internet herzustellen. Entsprechend Wackeln Im Januar 2018 gab es weltweit mehr als 400 Millionen drahtlose Verbindungen. KRACK könnte einen großen Prozentsatz von ihnen angreifbar machen. (Übrigens gab es bisher keine dokumentierten KRACK-Angriffe in freier Wildbahn.)
Drahtloser Internetzugang nach Internetnutzern weltweit im Juni 2015, nach Gerät (Quelle: Staatsmann )
Wie sicher sind aktuelle WLAN-Verschlüsselungsstandards?
- Wired Equivalent Privacy (WEP) – Sehr unzuverlässig, aber immer noch im Einsatz. Laut Kaspersky Labs würden Hacker nur wenige Minuten brauchen, um WEP-geschützte Netzwerke zu knacken.
- Offene Netzwerke – Überhaupt keine Sicherheit.
- Wi-Fi Protected Access (WPA) – Im Jahr 2002 war WPA nur als Zwischenmaßnahme zum Ersatz von WEP gedacht und wurde 2004 durch WPA2 abgelöst. Das Problem bei WPA war die Verwendung des Unwirksamen TKIP Verschlüsselungsprotokoll, das nicht sicher ist.
- Wi-Fi Protected Access 2 (WPA2)
- DerpersönlichDie Version ist einigermaßen sicher, aber anfällig für Brute-Force- und Wörterbuchangriffe. Es kann das Abfangen der Kommunikation (Handshakes) zwischen dem Zugangspunkt und dem Gerät zu Beginn einer WLAN-Sitzung ermöglichen.
- DerUnternehmenDie Version ist bis zu einem gewissen Grad vor dem Abfangen von Handshakes geschützt, da sie zusätzliche Autorisierungsverfahren des Unternehmens verwendet.
- Wi-Fi Protected Access 3 (WPA3) – Ersetzt WPA2 ab Januar 2018, die Einführung wird jedoch einige Zeit dauern. Es bietet derzeit die beste WLAN-Sicherheit.
Bedenken Sie, dass NUR WPA2-geschützte Geräte speziell für einen KRACK-Angriff anfällig sind. Ein offenes, ungesichertes Netzwerk ist nicht verschlüsselt und anfällig für so ziemlich jede Art von Angriff, allerdings nicht im Hinblick auf KRACK, da es kein WPA2 verwendet.
Verschlüsselungstypen, die in verwendet werden öffentliche WLAN-Hotspots weltweit (Quelle: Kaspersky Security Network (KSN) )
Eine KRACKing-Analogie
Fehler bei Handshaking-Verhandlungen – dem Punkt, an dem sich Access Point (AP) und Router treffen und begrüßen, um die Anmeldeinformationen eines Clients zu bestätigen – sind der Kern der WPA2-Schwachstelle. Wir werden uns im nächsten Abschnitt genauer mit den Gründen dafür befassen und untersuchen, was WPA3 ist.
Um die Szene in Szene zu setzen, hier eine Analogie für den Händedruck Prozess (wenn Sie der Fantasie einen kleinen Spielraum lassen.)
Abbildung eines Drei-Wege-Handshakes, wie in der folgenden Analogie beschrieben (Quelle: Wikipedia , mit Änderungen)
- Stellen wir uns vor, Sie wären bei der Bank und der Kassierer fragt Sie nach Ihrem Namen, Passwort und Ihrer Telefonnummer, bevor er Ihnen Geld gibt. Sie und die Bank haben dieses Sicherheitsverfahren vereinbart, um zu beweisen, dass Sie die Person sind, für die Sie sich ausgeben, wenn Sie Geld abheben.
- Sie geben dem Kassierer Ihren Namen, Ihr Passwort und Ihre Handynummer. Bei dieser Bank besteht der nächste Schritt im Prozess darin, dass die Bank eine an Ihr Telefon sendet Geheim Code mit dem Sie Ihre Identität bestätigen.
- In der Zwischenzeit lauscht jemand hinter Ihnen in der Warteschlange, ohne dass Sie es merken, und hat Ihren Namen, Ihr Passwort und vor allem Ihr Passwort gehört Geheim Code .
- Nachdem Sie die Bank verlassen haben, eilt der Lauscher zum Kassierer und hebt, während Ihr Geheimcode noch gültig ist, mit Ihrem gestohlenen Namen, Passwort und Ihrem gestohlenen Passwort das letzte Geld von Ihnen ab Geheim Code .
Sie haben wahrscheinlich die Schwachstelle im obigen Szenario erkannt; Die Sicherheit wurde irgendwann bei der Feststellung Ihrer Zugangsdaten gefährdet; Nicht, wenn Ihre Anmeldeinformationen über Kopf lagen, sondern weil Als Sie die Bank verließen, war Ihr Geheimcode noch gültig . Andernfalls wären Ihr Name, Ihr Passwort, Ihre Handynummer und Ihr Geheimcode für den Lauscher nutzlos gewesen.
Es gibt eine Wendung in dieser Geschichte: Kassierer und Lauscher stecken unter einer Decke. Dieser falsche Kassierer hat tatsächlich den echten Kassierer (der zum Mittagessen unterwegs ist) gefälscht, und das ist ein Man-in-the-Middle-Angriff . Beide Kriminellen haben jetzt Ihre Referenzen.
Wie wir sehen werden, löst WPA3 dieses Problem.
Wie ist WPA2 anfällig?
Die Hauptschwachstelle in WPA2 ist die Vier-Wege-Handschlag Es dient zur Sicherung von WLAN-Verbindungen mithilfe eines Pre-Shared Key (PSK) . (In WPA3 wird der PSK durch einen SAE-Handshake (Simultaneous Authentication of Equals) ersetzt.)
In diesem Abschnitt verwenden wir die Analogie aus dem vorherigen Abschnitt, um das Problem zu veranschaulichen.
Pre-Shared Key (PSK)
Der erste Teil der Sicherheitsüberprüfung, den Sie in der oben genannten Analogie bei der Bank durchlaufen haben, kann grob damit verglichen werden WPA2-PSK , Authentifizierung Dazu muss sich eine Person mithilfe einer Passphrase mit einem WLAN-Netzwerk verbinden (in unserer Metapher bei der Bank um Geld bitten). Ein PSK bezeichnet ein „ geteiltes Geheimnis “, in diesem Fall ein Passwort.
Anmerkungen:
- WPA2 ohne PSK ist eine Option, die verwendet wird, wenn Sie einen Authentifizierungsserver verwenden möchten. Ein Unternehmen sollte diese Option wählen, wenn es den Geräten seiner Mitarbeiter eindeutige Schlüssel zuweisen möchte. Wenn ein Schlüssel kompromittiert wird, müsste das Unternehmen nur noch einen neuen Schlüssel für ein Gerät generieren. Dadurch würde auch verhindert, dass andere Geräte durch einen verlorenen oder gestohlenen Schlüssel gefährdet werden, was der Fall sein könnte, wenn alle Geräte denselben Schlüssel verwenden.
- Was ist der Unterschied zwischen WPA2-PSK Und WPA2-Personal ? Die Begriffe werden synonym verwendet, obwohl WPA2-Personal impliziert die Verwendung von AES, während WPA2-PSK impliziert eine Wahl zwischen dem älteren TKIP und AES. Wie in a erklärt Cisco-Blog Einige Geräte erlauben WPA mit AES und WPA2 mit TKIP. AES ist in WPA optional, aber in WPA2 ist AES obligatorisch und TKIP optional. Beide Begriffe beziehen sich auf die Verwendung von PSK, was WPA2-Personal von WPA2-Enterprise unterscheidet.
Vier-Wege-Handschlag
Als Credential-Authentifizierung wird in der Telekommunikation bezeichnet Händeschütteln . In der Bank tauschten Sie und der Kassierer einen dreistufigen Handschlag aus, um Ihre Anmeldedaten zu ermitteln, wobei der Geheimcode der letzte Handschlag im Prozess war.
Alle WLAN-Netzwerke verwenden a Vier-Wege-Handschlag .
In der Abbildung unten handelt es sich bei dem gefälschten WLAN-Zugangspunkt um den falschen Bankangestellten, mit dem Sie bei der Bank zu tun hatten.
Illustration, wie ein KRACK-Angriff einen Vier-Wege-Handshake abfängt (Quelle: Enis )
Dionysos Rowell , schreiben für Paket6 , erklärt: „Der Angreifer wird einen echten Zugangspunkt fälschen und Verleiten Sie einen Client dazu, sich dem betrügerischen Zugangspunkt anzuschließen, ermöglichen Sie jedoch den Abschluss der Wi-Fi-Authentifizierung . Um den KRACK-Angriff durchzuführen, spielt der Angreifer eine Nachricht innerhalb des 4-Wege-Handshakes ab. Der Fehler besteht darin, dass das Gerät des Opfers die Wiedergabe einer dieser Nachrichten akzeptiert, obwohl dies nicht der Fall sein sollte. Daher Erlauben Sie dem Angreifer, einen zuvor verwendeten Schlüssel zu verwenden . Ein Schlüssel sollte nur einmal verwendet werden und das ist der Fehler, den KRACK angreift.“
Dionicio fährt fort: „Die technische Lösung eines KRACK-Angriffs besteht darin, die Wiederverwendung von Nonce-Werten zu verhindern. Geräte dürfen keine zuvor verwendeten Schlüssel akzeptieren .“
Lesen Sie eine technischere Erklärung von Wiederverwendung des Nuntius von Mathy Vanhoef, KRACK-Forscher.
Ist WPA3 sicher? Sicher, aber es gibt auch Verbesserungen bei WPA2
Die WPA3-Ankündigung hat einige Wellen geschlagen, aber die Einführung wird einige Zeit dauern. In der Zwischenzeit werden auch einige WPA2-Verbesserungen implementiert:
- Einführung der Einführung von Protected Management Frames (PMF) auf allen „Wi-Fi-ZERTIFIZIERTEN“ Geräten
- Sicherstellen, dass Anbieter zertifizierte Geräte regelmäßig überprüfen (QuelleUnd: Engagiert )
- Standardisierung der 128-Bit-Kryptografiesuite (QuelleUnd: Engagiert )
Was sind die beiden WPA3-Versionen?
WPA gibt es in zwei Versionen, die auf den Anforderungen des Endbenutzers (private oder geschäftliche Nutzung) basieren. Auf den ersten Blick gibt es keinen großen Unterschied zwischen WPA3-Personal und WPA3-Enterprise, obwohl letzteres ohnehin sicherer ist Entwickelt, um hochsensible Daten und große Unternehmen zu schützen.
Fassen wir die beiden Versionen, wie sie beschrieben werden, kurz zusammen Wi-Fi-Allianz . Zunächst einmal beide Versionen:
- Nutzen Sie die neuesten Sicherheitsmethoden
- Verhindern Sie veraltete Legacy-Protokolle
- Erfordern die Verwendung von Protected Management Frames (PMF). „Unicast-Verwaltungsaktionsrahmen sind sowohl vor Abhören als auch vor Fälschung geschützt, und Multicast-Verwaltungsaktionsrahmen sind vor Fälschung geschützt“, heißt es Wi-Fi-Allianz . Kurzgesagt, Wikipedia beschreibt Management-Frames als „Mechanismen, die Datenintegrität, Datenursprungs-Authentizität und Wiedergabeschutz ermöglichen.“ Eine technische Beschreibung ihrer Funktionsweise finden Sie auf der Cisco Webseite.
WPA3-Personal
Diese Version bietet eine passwortbasierte Authentifizierung mit guter Sicherheit, selbst wenn Benutzer kurze oder schwache Passwörter wählen. Es erfordert keinen Authentifizierungsserver und ist das Basisprotokoll, das Privatanwender und kleine Unternehmen verwenden.
- Verwendet 128-Bit-Verschlüsselung
- Nutzt einen SAE-Handshake (Simultaneous Authentication of Equals), der vor Brute-Force-Angriffen schützt
- Integriert Forward Secrecy bedeutet, dass jedes Mal, wenn eine WPA3-Verbindung hergestellt wird, ein neuer Satz von Verschlüsselungsschlüsseln generiert wird. Wenn also das ursprüngliche Passwort kompromittiert wird, spielt dies keine Rolle
- Erhöht die Sicherheit in öffentlichen Netzwerken
- Verwaltet problemlos angeschlossene Geräte
- Ermöglicht die Auswahl natürlicher Passwörter, was laut Angaben der Wi-Fi Alliance Benutzern das Merken von Passphrasen erleichtert
WPA3-Enterprise
Bietet zusätzlichen Schutz für Unternehmensnetzwerke, die sensible Daten übertragen, beispielsweise Regierungen, Gesundheitsorganisationen und Finanzinstitute. Enthält einen optionalen 192-Bit-Sicherheitsmodus mit minimaler Stärke, abgestimmt auf die Commercial National Security Algorithm (CNSA) Suite des Committee on National Security Systems. Dies war eine Anfrage der US-Regierung.
Der Hauptunterschied zwischen WPA3-Personal und WPA3-Enterprise liegt auf der Authentifizierungsebene. Die Personal-Version nutzt PSK und die Enterprise-Version einen Funktionscocktail, der IEEE 802.1X von WPA2-Enterprise ersetzt. Besuchen Wi-Fi-Allianz für die technische Spezifikation.
Für mehr Eric Geier , schreiben für Cisco Press erklärt, wie Unternehmen auf WPA3-Enterprise umsteigen können.
Neue WPA3-Funktionen
Vier Verbesserungsbereiche
Vier neue Funktionen in WPA3 sollen WPA2 verbessern. Jedoch, Für die WPA3-Zertifizierung ist nur eines davon obligatorisch: der Drachenhandschlag. Nachfolgend finden Sie eine kurze Zusammenfassung der Hauptfunktionen. Wir werden später in diesem Abschnitt näher darauf eingehen.
- Sichererer Händedruck – Das Simultaneous Authentication of Equals (SAE)-Protokoll (auch bekannt als Dragonfly-Handshake) erfordert jedes Mal, wenn ein Gerät einen Verschlüsselungsschlüssel anfordert, eine neue Interaktion mit dem Netzwerk, wodurch die Geschwindigkeit eines Angriffsversuchs verlangsamt und ein Passwort widerstandsfähiger gegen Wörterbücher und Brute-Force wird Anschläge. Es verhindert auch die Offline-Entschlüsselung von Daten.
- Austausch des Wi-Fi Protected Setup (WPS) – eine einfachere Möglichkeit, neue Geräte mithilfe des Wi-Fi Device Provisioning Protocol (DPP) sicher zu einem Netzwerk hinzuzufügen, wodurch Sie neue Geräte mithilfe eines QR-Codes oder eines Passworts sicher zu einem Netzwerk hinzufügen können.Einfache Verbindungmacht die Einrichtung für vernetzte Heim- und IoT-Geräte besonders einfach.
- Nicht authentifizierte Verschlüsselung – Besserer Schutz bei der Nutzung öffentlicher HotspotsWi-Fi Enhanced Opender eine nicht authentifizierte Verschlüsselung bereitstellt, ein Standard namens Opportunistic Wireless Encryption (OWE).
- Größere Sitzungsschlüsselgrößen – WPA3-Enterprise unterstützt Schlüsselgrößen, die der 192-Bit-Sicherheit während der Authentifizierungsphase entsprechen und schwieriger zu knacken sind.
Werfen wir einen genaueren Blick auf die oben erwähnte Litanei der Akronyme.
Simultaneous Authentication of Equals (SAE) gegen Brute-Force-Angriffe
SAE ist ein sicherer, passwortbasierter Schlüsselaustausch Wird von der WPA3-Personal-Version verwendet, um Benutzer vor Brute-Force-Angriffen zu schützen . Es eignet sich gut für Mesh-Netzwerke, die ihren Namen von der Art und Weise haben, wie sie eine WLAN-Abdeckung herstellen. Comparitech beschreibt die Einrichtung einfach: „Indem Sie mehrere Geräte in Ihrem Zuhause platzieren, von denen jedes ein drahtloses Signal sendet, erstellen Sie ein „Maschennetz“ oder ein Netzwerk mit drahtloser Abdeckung rund um Ihr Zuhause. Dies hilft, tote oder schwache Stellen zu beseitigen.“
Die Vorteile von SAE:
- Basierend auf IEFT Dragonfly-Schlüsselaustausch , ein kryptografisches Modell zur Authentifizierung mithilfe eines Kennworts oder einer Passphrase, das sowohl gegen aktive als auch passive Angriffe sowie Offline-Wörterbuchangriffe resistent ist.
- Aktiviert Vorwärtsgeheimnis welche verhindert, dass ein Angreifer eine verschlüsselte Übertragung aufzeichnet, die möglicherweise später entschlüsselt werden könnte, falls das WLAN-Passwort in Zukunft kompromittiert werden sollte
- Nur erlaubt ein Passwortversuch pro Sitzung . Selbst wenn Angreifer Daten stehlen, in der Hoffnung, das Passwort in ihrer Freizeit offline zu knacken, werden sie durch die One-Rate-Funktion behindert, da sie den WLAN-Router jedes Mal „fragen“ müssen, ob ihre Vermutung richtig war. Dies schränkt einen Angreifer im Wesentlichen auf Echtzeitangriffe ein. Es gab einige Fragen, ob diese Funktion auch legitime Benutzer einschränken könnte. In der realen Welt ist es unwahrscheinlich, dass legitime Benutzer innerhalb einer Sekunde 100 automatische, aufeinanderfolgende Vermutungen anstellen, wie es bei Hackern der Fall ist, und eine Anwendung kann so programmiert werden, dass sie eine begrenzte Anzahl von Vermutungen zulässt, bevor sie beginnt, den Dienst zu verlangsamen. Diese Funktion erhöht auch die Sicherheit schwacher Passwörter.
Device Provisioning Protocol (DPP) zur Verwaltung von Netzwerken und IoT-Geräten
Wi-Fi-zertifiziertes Easy Connect™(ersetzt den WiFi Provisioning Service von WPA2) hilft Ihnen, alle Ihre Geräte über ein einziges Zwischengerät zu verbinden, auch solche, die nicht über eine benutzerfreundliche Oberfläche zur Eingabe Ihres Passworts verfügen (z. B. Google Home oder Ihr intelligenter Kühlschrank).
Wi-Fi-Allianz beschreibt, wie es funktioniert: Ein Netzwerkbesitzer wählt ein Gerät als zentralen Konfigurationspunkt. Während ein Gerät mit einer schönen GUI am einfachsten ist, können Sie jedes Gerät verwenden, das einen QR-Code (Quick Response) scannen kann, oder NFC als Konfiguratorgerät verwenden. Ausführen der DPP – ein einheitliches Registrierungsverfahren – von diesem Gerät aus werden alle gescannten Geräte verbunden und ihnen die für den Zugriff auf das Netzwerk erforderlichen Anmeldeinformationen zugewiesen. Notiz: Dies ist eine optionale Funktion und nur auf Geräten mit verfügbarEinfache Verbindung.
Nachdem ein Wi-Fi-Gerät registriert wurde, nutzt es seine Konfiguration, um das Netzwerk über einen Zugangspunkt (Quelle: Wi-Fi-Allianz )
Opportunistic Wireless Encryption (OWE) für sichereres Hotspot-Surfen
OWE ist der Treiber dahinterWiFi Enhanced OpenFunktion, implementiert zu Schützen Sie Benutzer in öffentlichen Hotspots/Gast-Hotspots und verhindern Sie Abhören . Es ersetzt das Alte 802.11 „offener“ Authentifizierungsstandard. Bei OWE werden Ihre Daten auch dann verschlüsselt, wenn Sie kein Passwort eingegeben haben. Es wurde entwickelt, um eine verschlüsselte Datenübertragung und Kommunikation in Netzwerken zu ermöglichen, die keine Passwörter verwenden (oder ein gemeinsames Passwort verwenden), und zwar mithilfe von Individualized Data Protection (IDP). im Wesentlichen, Jede autorisierte Sitzung verfügt über ein eigenes Verschlüsselungstoken . Das bedeutet, dass die Daten jedes Benutzers in einem eigenen Tresor geschützt sind. Es funktioniert jedoch auch in passwortgeschützten Netzwerken und stellt sicher, dass ein Angreifer, wenn er an das Netzwerkpasswort gelangt, dennoch keinen Zugriff auf verschlüsselte Daten auf den Geräten des Netzwerks hat (siehe SAE oben).
Sind Sie anfällig für KRACK?
Nicht alles ist Untergang und Finsternis. Jeder, der WLAN nutzt, ist gefährdet, aber lassen Sie uns das Problem ins rechte Licht rücken. Ein Hacker kann nur unverschlüsselten Datenverkehr zwischen Ihrem Gerät und Ihrem Router abfangen. Wenn Daten ordnungsgemäß mit HTTPS verschlüsselt wurden, kann ein Angreifer sie nicht lesen.
Einige Zusicherungen von Brendan Fitzpatrick, Vizepräsident für Cyber Risk Engineering, der für Axio schreibt:
- Ein Angriff kann nicht aus der Ferne gestartet werden, ein Angreifer muss sich in physischer Reichweite eines bestimmten WLAN-Netzwerks befinden.
- Ein Angriff findet nur während des Vier-Wege-Handshakes statt.
- Die WLAN-Passphrase wird während des Angriffs nicht preisgegeben und der Angreifer hat keine Möglichkeit, sich dem Netzwerk anzuschließen.
- Nur wenn der Angriff erfolgreich ist, kann der Angreifer möglicherweise den Datenverkehr zwischen dem Opfer und seinem Zugangspunkt entschlüsseln.
- Derzeit konzentriert sich der Angriff nur auf die Client-Seite des Handshakes.
In einem Blogeintrag , Robert Graham Anmerkungen, KRACK „kann SSL/TLS oder VPNs nicht besiegen.“ Er fügt hinzu: „Ihr Heimnetzwerk ist anfällig. Viele Geräte verwenden SSL/TLS und sind daher in Ordnung, wie z. B. Ihr Amazon-Echo, das Sie weiterhin verwenden können, ohne sich über diesen Angriff Sorgen machen zu müssen. Andere Geräte, wie Ihre Phillips-Glühbirnen, sind möglicherweise nicht so geschützt.“ Die Lösung? Patch mit Updates von Ihrem Anbieter.
Welche Software und Geräte sind für KRACK anfällig?
Entsprechend Matty Vanhoef , Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys und andere könnten alle von einer Variante der Angriffe betroffen sein. Besonders anfällig sind Linux- und Android-Versionen 6.0 und höher.
Eine Liste der betroffenen Anbieter finden Sie auf der Webseite des Cert Software Engineering Institute. Datenbank mit Schwachstellenhinweisen . Die Website bietet Links zu Anbieterinformationen zu Patches und Fixes.
Welche Angriffslücken bergen unzureichend gesicherte Netzwerke?
Es besteht nicht nur die Gefahr, KRACK-fähig zu sein. Ein ungesichertes WLAN-Netzwerk schreit geradezu danach, angegriffen zu werden, und WPA3 hilft dabei, diese Risiken zu mindern. US-Zertifikat skizziert die möglichen Angriffsszenarien:
- Huckepack – Die typische WLAN-Reichweite in Innenräumen beträgt 150 – 300 Fuß. Wenn Sie in der Nähe Ihres Nachbarn wohnen, könnte Ihre Verbindung für Angreifer offen sein … oder sogar für den Geek-Sohn von nebenan, der Ihr WLAN nutzt, um seine Filme herunterzuladen.
- Kriegsfahren – Eine Art Huckepack, bei dem potenzielle Angreifer mit einer Antenne durch Nachbarschaften fahren und nach ungesicherten drahtlosen Netzwerken suchen.
- Böse Zwillingsangriffe – Bei einem Evil-Twin-Angriff ahmt ein Angreifer einen öffentlichen Netzwerkzugangspunkt nach und stellt sein Broadcast-Signal so ein, dass es stärker ist als das vom legitimen Zugangspunkt erzeugte. Natürlich verbinden sich Benutzer mit dem stärkeren Signal, dem des Kriminellen. Die Daten des Opfers können dann leicht vom Hacker gelesen werden. Überprüfen Sie immer den Namen und das Passwort eines WLAN-Hotspots, bevor Sie eine Verbindung herstellen.
- Drahtloses Schnüffeln – Vermeiden Sie öffentliche Zugangspunkte, die nicht gesichert sind und an denen Daten nicht verschlüsselt sind. Kriminelle nutzen „ Schnüffler ” um sensible Informationen wie Passwörter oder Kreditkartennummern zu finden.
- Unbefugter Computerzugriff – Ein ungesicherter Hotspot könnte es einem Angreifer ermöglichen, auf alle Verzeichnisse und Dateien zuzugreifen, die Sie unbeabsichtigt zur Freigabe bereitgestellt haben. Blockieren Sie immer die öffentliche Dateifreigabe.
- Schulter-Surfen – Achten Sie in öffentlichen Bereichen auf Lauerer und Angreifer, die Ihnen beim Vorbeigehen beim Tippen zuschauen oder Ihre Sitzung auf Video aufzeichnen. Um dies zu vermeiden, können Sie eine Displayschutzfolie kaufen.
Diebstahl mobiler Geräte – Nicht nur das Netzwerk stellt ein Risiko für Ihre Daten dar. Wenn Ihr Gerät gestohlen wird, während Sie an einem Hotspot arbeiten, ist das ein Hochgenuss für Kriminelle. Stellen Sie sicher, dass Ihre Daten immer passwortgeschützt und vertrauliche Informationen verschlüsselt sind. Dazu gehören auch Daten auf tragbaren Speichergeräten.
Einige Vorsichtsmaßnahmen
Warnende Worte der Entdecker des KRACK-Fehlers
Mathy Vanhoef, Postdoktorand für Computersicherheit an der KU Leuven und einer der Forscher, die KRACK entdeckt haben, auf seinem Webseite hat einige warnende Bemerkungen zu WPA3, über die man nachdenken sollte.
- SAE-Handschlag – Wenn der SAE-Handshake nicht sorgfältig implementiert wird, kann er anfällig sein Zu Seitenkanalangriffe , die Wikipedia als Angriffe beschreibt, die auf Informationen über eine Softwareimplementierung basieren. Es scheint, dass ausnutzbare Schwachstellen, die durch falsche Konfigurationen entstehen, selbst durch WPA3 nicht vermieden werden können.
- Nicht authentifizierte Verschlüsselung – Während der Einsatz von Opportunistic Wireless Encryption (OWE) die Privatsphäre der Benutzer in offenen Netzwerken stärkt, schlägt Vanhoef vor, dass nur passive Angriffe (bei denen Hacker den Datenverkehr ausspionieren) verhindert werden können. Aktive Angriffe (also solche, die Scheinzugangspunkte verwenden, um Benutzer auszutricksen) ermöglichen es einem Angreifer weiterhin, den Datenverkehr abzufangen. Vanhoef erklärt:
Ein Nachteil von OWE besteht darin, dass es keinen Mechanismus gibt, um einem Access Point bei der ersten Verwendung zu vertrauen . Vergleichen Sie dies beispielsweise mit SSH: Wenn Sie sich zum ersten Mal mit einem SSH-Server verbinden, können Sie dem öffentlichen Schlüssel des Servers vertrauen. Dadurch wird verhindert, dass ein Gegner in Zukunft den Datenverkehr abfängt. Allerdings gibt es bei OWE keine Möglichkeit, einem bestimmten AP bei der ersten Verwendung zu vertrauen. Selbst wenn Sie also zuvor eine Verbindung zu einem bestimmten AP hergestellt haben, kann ein Angreifer dennoch einen gefälschten AP einrichten und Sie in Zukunft dazu bringen, sich damit zu verbinden.
- Verpasste Gelegenheit – Nur eine der vier von der Wi-Fi Alliance im Vorfeld von WPA3 angepriesenen Funktionen ist für WPA3 tatsächlich obligatorisch. „Leider schreibt das WPA3-Zertifizierungsprogramm nur die Unterstützung des neuen Dragonfly-Handshakes vor. Das ist es. Die anderen Funktionen sind entweder optional oder Teil anderer Zertifizierungsprogramme. Ich befürchte, dass dies in der Praxis bedeutet, dass die Hersteller einfach den neuen Handschlag umsetzen, ein „WPA3-zertifiziertes“ Etikett darauf kleben und fertig sind“, sagt Vanhoef. Das Endergebnis wird sein, dass der Endbenutzer nicht wirklich weiß, welche Funktionen enthalten sind und wie sicher sie sind.
Was sagen die Zyniker, darunter auch IT-Entwickler, zu WPA3?
Nehmen Sie an den Gesprächen teil Bruce Schneiner's blog , DD-WRT , Sicherheits-Stack-Austausch , oder Community Spiceworks für einige interessante Beiträge dazu, ob WPA3 wirklich das ultimative Allheilmittel für WLAN-Sicherheitslücken ist. Und ob es sich lohnt, über die Verwundbarkeit zu lange zu schlafen. Einige Beiträge:
- „Ich vermute, dass WPA3 helfen wird. Für eine Weile - bis die bösen Jungs ein weiteres Loch finden .“
- 'A große Einnahmequelle für Hardware-Anbieter Wer wird aufhören, aktuelle Geräte zu patchen und darauf bestehen, dass Sie die neuen WAPs kaufen, wenn Sie WPA3 wollen?
- „Der enttäuschendste Aspekt von WPA3 ist, dass dies wie alle vorherigen WLAN-Standards (WEP, WPA, WPA2, sogar WPS) der Fall war entwickelt von einem geschlossenen, nur Mitgliedern vorbehaltenen Konsortium […] Alles, was die WPA3-Ankündigung verspricht, ist, dass der geschlossene Prozess für WPA4 jetzt beginnen kann.“
- „ Der Angriffsvektor mit KRACK ist einfach zu klein (und wird weiter abnehmen), um diese Angriffe weit verbreitet zu machen.“ Offene Netzwerke beispielsweise sind nicht anfällig für KRACK, aber viel stärker anfällig für böswillige Angriffe als WPA2-Netzwerke. Zum Zeitpunkt des Verfassens dieses Artikels wurden tatsächlich keine KRACK-Angriffe dokumentiert; Experten argumentieren, das liege daran, dass der Aufwand für Cyberkriminelle zu groß sei, wenn es so viele weichere Angriffsziele gebe.
In diesem zynischen Sinne: Üben Sie sicheres WLAN, bleiben Sie auf dem Laufenden und Beginnen Sie mit dem Sparen für einen neuen Router . Entsprechend Dion Phillips , schreiben für InfiniGate , „… es ist zweifelhaft, ob aktuelle drahtlose Geräte aktualisiert werden, um WPA3 zu unterstützen, und es ist weitaus wahrscheinlicher, dass die nächste Welle von Geräten den Zertifizierungsprozess durchlaufen wird.“ Allerdings müssen auch Client-Geräte auf die gleiche Weise zertifiziert werden, um von der neuen Zertifizierung profitieren zu können.“
Experten Wir sind uns einig, dass die Einführung erst Ende 2019 erfolgen wird. Sie müssen einen neuen Router kaufen, aber WPA3 ist abwärtskompatibel, sodass Sie möglicherweise nicht alle angeschlossenen Geräte aktualisieren müssen, es sei denn, sie sind wirklich alt.
Wie können Sie sich schützen?
Wie können sich Unternehmen schützen? (Gelöst)
Mathew Hughes hat ein paar praktische Vorschläge, gemildert mit ein paar warnenden Worten.
- Installieren Sie einen abwärtskompatiblen Patch – Leider, sagt Hughes, sind nicht nur viele Leute langsam bei der Installation Patches s, viele Hersteller sind bei der Herausgabe langsam.
- Installieren Sie a VPN , ein verschlüsselter Tunnel zwischen Geräten, der das Abhören durch Außenstehende verhindert – für manche Menschen, sagt er, könnte dies unpraktisch sein, da sie dann nicht auf andere verbundene Geräte in ihrem Netzwerk zugreifen können.
- Verwenden SSL/TLS – Dies bietet eine zusätzliche Verschlüsselungsebene, um Diebe und Abhörer abzuwehren, da Pakete auf der Sitzungsebene und nicht auf der Netzwerkebene (die von KRACK-Angreifern ins Visier genommen werden könnte) verschlüsselt werden.
- Aktualisieren Sie Geräte und Software – Stellen Sie sicher, dass Ihre IT-Abteilung regelmäßig Software-Updates und Patches für alle Unternehmensgeräte, einschließlich BYODs, bereitstellt. Wenden Sie sich an die Hersteller, um sicherzustellen, dass sie tatsächlich Patches herausgegeben haben, die den KRACK-Fehler beheben.
Zusätzlich, Sichern Sie Ihren Router – Stellen Sie sicher, dass Ihr Router abgesperrt ist und vor internen Bedrohungen oder dem Besuch des Gebäudes durch Außenstehende geschützt ist. Es gibt auch eine Reihe von Standardeinstellungen auf Ihrem Router, die Sie ändern können, um die Sicherheit zu erhöhen, z. B. Einschränken des eingehenden Datenverkehrs, Deaktivieren ungenutzter Dienste, Ändern der Standard-Anmeldeinformationen und Ändern der SSID auf älteren Geräten. Überprüfen Sie, ob die Firewall Ihres Routers aktiviert ist (dies geschieht nicht immer automatisch). Verwenden Sie SSID, um separate Zugangspunkte für Ihre Mitarbeiter und Kunden zu erstellen. Deaktivieren Sie WiFi Protected Setup (WPS), das zur Unterstützung beim Koppeln von Geräten verwendet wird.
Lesen Sie außerdem weiter unten die entsprechenden Tipps für Heimnetzwerke.
WLAN-Sicherheitstipps für Heimnetzwerke und IoT-Geräte (Gelöst)
- Üben Sie den grundlegenden Sinn für WLAN-Sicherheit – Lesen Sie den Leitfaden von Comparitech Sichern Sie Ihr Heim-WLAN-Netzwerk .
- Hören Sie auf, WLAN zu nutzen – Stellen Sie zu Hause über eine Ethernet- oder Datenverbindung (3/4G) eine Verbindung zum Internet her oder nutzen Sie mobile Daten, insbesondere für sensible Transaktionen.
- Aktualisieren Sie Geräte und Software – Dazu gehören alle Ihre Geräte sowie Ihr Router. Wenden Sie sich an die Hersteller, um sicherzustellen, dass sie tatsächlich Patches herausgegeben haben, die den KRACK-Fehler beheben.
- Dateifreigabe deaktivieren – Obwohl es verlockend ist, Fotos mit Freunden und Familie zu teilen, sollten Sie dies an einem öffentlichen Ort vermeiden. Sie sollten außerdem ein Verzeichnis für die Dateifreigabe erstellen und den Zugriff auf andere Verzeichnisse beschränken. Schützen Sie alles, was Sie teilen, immer mit einem Passwort.
- Führen Sie keine sensiblen Transaktionen an öffentlichen Orten durch – Erledigen Sie Ihr Online-Banking zu Hause.
- Installieren Sie HTTPS überall – HTTPS überall von der Electronic Frontier Foundation (EFF) ist eine Open-Source-Erweiterung für Firefox, Chrome und Opera, die die Kommunikation mit den meisten Websites verschlüsselt. Die Erweiterung ist keine ausfallsichere Option, wenn eine Website keine HTTPS-Verschlüsselung anbietet. Wenn diese jedoch verfügbar ist, stellt HTTPS Everywhere sicher, dass dies der Inhalt ist, den sie liefert.
- Benutze einen VPN – Während VPNs eine große Sicherheit für Ihre Daten bieten, stellen Sie sicher, dass Ihr Anbieter genauso sicherheitsbewusst ist wie Sie und Ihr Recht auf Privatsphäre anerkennt. Berichtet von Bryan Clark In Der nächste Webartikel PureVPN, das behauptete, keine Protokolle oder identifizierenden Informationen seiner Benutzer zu führen, schien auf mysteriöse Weise genug protokollierte Informationen gesammelt zu haben, um dem FBI die Verfolgung und Verhaftung eines Stalkers zu ermöglichen. Führt Ihr VPN Protokolle? In einer ausführlichen Studie enthüllt Comparitech die Wahrheit über 123 VPN-Protokollierungsrichtlinien.
- Richten Sie einen WLAN-Router für zu Hause ein – Mit einem virtuellen Router können Sie Ihre Internetverbindung mit anderen Geräten in der Nähe teilen. Es ist einfacher als Sie denken, ähnlich wie das Einrichten eines WLAN-Hotspots auf Ihrem Smartphone.
- Sichern Sie Ihren Router – Es gibt eine Reihe von Standardeinstellungen auf Ihrem Router, die Sie ändern können, um die Sicherheit zu erhöhen, z. B. Einschränken des eingehenden Datenverkehrs, Deaktivieren ungenutzter Dienste und Ändern der SSID auf älteren Geräten.
- Bestätigen Sie, dass Ihr ISP auf dem neuesten Stand ist – Viele Heim-WLAN-Benutzer verwenden den von ihrem ISP bereitgestellten Router. Wenn Sie dies tun, bestätigen Sie, dass Ihr ISP alle seine Geräte gepatcht hat.
- Vermeiden Sie öffentliche WLAN-Hotspots – Oder lernen Sie zumindest, wie Sie die Risiken der Nutzung von öffentlichem WLAN minimieren können.
- Überprüfen Sie manuell, ob URLs sicher sind – HTTP-URLs verwenden SSL-Verschlüsselung, um Besucher ihrer Website zu schützen. Bei HTTP-URLs ist dies nicht der Fall. Ob eine URL sicher ist, können Sie in der Adressleiste erkennen. Aktivieren Sie außerdem dieVerwenden Sie immer eine sichere Verbindung(HTTPS)-Option auf Ihrem Gerät.
- Verwenden Sie sichere Passwörter – Comparitech hat einige Vorschläge dazu Erstellen starker Passwörter . Ändern Sie immer die Standardkennwörter, z. B. „Admin“ oder „123“.
- Halten Sie die Antivirensoftware auf dem neuesten Stand – Wählen Sie eine seriöse Antivirensoftware und sorgen Sie dafür, dass diese immer aktuell ist. Es gibt auch viele kostenlose Antiviren-Anwendungen.
- Schalte es aus - Schalten Sie Ihre WLAN-Verbindung aus wenn Sie es nicht verwenden, und deaktivieren Sie die automatische Wiederverbindung.
- Nutzen Sie mehrschichtige Sicherheit – Halten Sie die Firewall Ihres Betriebssystems auf dem neuesten Stand und verwenden Sie sie Zwei-Faktor-Authentifizierung um auf Ihre Internetkonten zuzugreifen.
- Verwenden Sie die AES-Verschlüsselung (Advanced Encryption Standard). – Überprüfen Sie, ob Ihr Heimnetzwerk WPA2 mit AES-Verschlüsselung verwendet , nicht TKIP. Beide Verschlüsselungsoptionen sind anfällig für die Datenverkehrsentschlüsselung über KRACK, AES ist jedoch nicht anfällig für Paketeinschleusung.
Brauche ich WPA3?
Es ist besser, auf Nummer sicher zu gehen, also ja, das tun Sie. Aber während der Übergangszeit (der Zeit, in der Anbieter ihre Geräte zertifizieren) können Sie WPA2 patchen.
Das Ändern Ihres WPA2-Passworts schützt Sie nicht gegen einen KRACK-Angriff, der sich auf die Schlüsselverwaltung konzentriert. Aus Sicherheitsgründen ist es jedoch sinnvoll, immer sichere Passwörter zu wählen.
Aber ist es genug?
John Wu , in einem (n Artikel auf LinkedIn , sagt, dass WPA3 nicht ausreicht, um die vollständige WLAN-Sicherheit zu gewährleisten, da Hacker andere Methoden verwenden, um WLAN-Methoden anzugreifen. 'Das Kürzliche VPNFilter-Virus nutzt keinen der WPA2-Mängel aus. Stattdessen zielt der Angriff auf bekannte Schwachstellen in der Webschnittstelle der WLAN-Router, mit hartcodierten Passwörtern geöffnete Remote-Ports, nicht aktualisierte Software und anfällige verbundene IoT-Geräte ab.“
Die Lösung? Verwenden Sie die Checklisten oben zum Schutz Ihrer WLAN-Verbindungen als Leitfaden für die Erstellung einer mehrschichtiger Ansatz zur WLAN-Sicherheit . Oben auf der Liste? Bleiben Sie mit Patches auf dem Laufenden.