为什么说此前的 WiFi 安全方案都是小弟?

用户头像
石君
关注
发布于: 2020 年 04 月 30 日
为什么说此前的WiFi安全方案都是小弟?



随着最新一代无线局域网标准WiFi6及WiFi安全方案WPA3的问世,越来越多的移动终端、无线局域网网络已经采用或开始考虑WiFi6、WPA3作为解决方案。

WiFi6比上一代无线局域网技术更快更好自然不必多说,WPA3究竟好在哪里?何以有资格表明“我不是所你,我是说在座的所有WiFi安全方案都是弟弟?”

一、WiFi技术发展

2018年10月3日,Wi-Fi联盟(由300多家会员公司组成的非营利国际组织,旨在建立全世界通用的无线局域网标准)将基于802.11ax标准的WiFi正式纳入体系,作为第六代WiFi技术。借着这个机会,联盟又将WiFi规格重新命名,之前标准802.11n 改名 WiFi4,标准802.11ac 改名 WiFi5,新标准802.11ax 改名 WiFi 6。



上表最后一列的频段,可能心细的你也发现了问题,为什么有的WiFi同时支持2.4G、5G,有的WiFi却只支持某一中频率?

事实上,802.11工作组内部分成了好几个任务组,每个任务组根据特定路线修改、更新标准,在前一代标准基础上演进,各个组之间存在内部竞争关系,谁发展的好,能够解决当前主流的市场需求,就先用哪个组的解决方案。整体而言,可以看出来802.11工作组认可5GHz是发展方向,因为频率更高则网速和带宽更高,但仍没有放弃对2.4GHz终端、设备的兼容,有市场的考虑。

  • 比如802.11ac是802.11a的升级版,802.11b是802.11的升级版。

  • 2004年新成立了一个任务组,用于整合802.11a和802.11g,并在2009年推出了802.11n标准。

  • 802.11ac草案阶段是支持2.4GHz的,但正式推出时又去掉了。802.11ac与802.11ax的不同反映出工作组内部存在争议。

  • 802.ad是第六代WiFi的有力竞争者,但由于频率过高,穿透能力太弱最终被放弃。



二、WiFi安全技术发展

相比较于WiFi标准,WiFi安全协议的更新速度十分缓慢,多数漏洞都是通过补丁解决的,或依托信息安全意识教育加强WiFi的使用安全。直到2017年WPA2协议的核心内容4次握手被发现漏洞,WiFi联盟才决定对安全协议做一次大更新,由WPA2升级为WPA3。

1、WiFi安全协议简介

我们先来看一下各代系WiFi安全协议的产生时期、用到的主要技术和优缺点。

  • WEP

  1. 产生时期:1997年,802.11标准时期产生

  2. 主要技术:RC4+SK(共享密钥)

  3. 优缺点:(1)使用了RC4流密码算法,强度弱,易破解;(2)所有用户使用相同的共享密钥(SK),易泄露;

  • WPA

  1. 2003年,802.11g标准时期产生

  2. RC4+PSK+TKIP+WPS

  3. 优缺点:(1)对于企业用户,支持802.1x认证框架和可扩展认证协议EAP进行认证;(2)对于个人用户,使用预共享密钥(PSK)进行认证;(3)WPA引入TKIP管理密钥,为每个用户分配不同的临时密钥;但仍使用了RC4算法,易破解,存在中间人攻击风险。(4)WPA引入WPS(Wifi保护设置)用来简化设备接入操作,但WPS系统却成了新的攻击点,以至于等保2.0中专门提了WPS开启高风险检测这件事。

  • WPA2

  1. 2004年,802.11i标准时期产生

  2. AES+PSK+CCMP+WPS

  3. 优缺点:(1)对于企业用户,支持802.1x认证框架和可扩展认证协议EAP进行认证;(2)对于个人用户,仍使用PSK进行认证;(3)WPA2引入CCMP-AES管理密钥、提高加密强度,但CCMP-AES不强制启用;2017年WPA2被曝出存在协议层面的漏洞,可以导致中间人攻击、认证钓鱼。

  • WPA3

  1. 2018年,802.11s标准时期产生

  2. AES+SAE+ Enhanced Open+Easy Connect

  3. 优缺点:(1)对于企业用户,提供WPA3-Enterprise版本;(2)对于个人用户,提供WPA3-Personal版本;(3)WPA3引入SAE管理密钥,提升了WiFi安全性;(4)为物联网场景快速认证和公共开放网络的安全性设计了两个独立的协议。(5)需要无线终端和无线网络设备同时支持才能使用,目前并未全面推广,还处于进一步应用的市场阶段。



2、协议漏洞情况

  • 对于协议层面的漏洞,从近几年曝光的问题来看,多数漏洞都是通过补丁解决的,比如下表中的2、3,有的漏洞一直存在了很久,比如下表中的1,默认管理帧不加密,犯了安全设计默认安全的大忌,通过lInux Kali中的无线攻击套件就可以成功利用。



  • 下面对WPA2密钥重放重装攻击进行详细介绍:

2017年曝出的WPA2密钥重放重装攻击KRACK,攻击了十几年没有出现过问题的WPA2协议核心,问题出现在WPA2协议的四次握手中过程中。

  1. 漏洞原理:(1)WPA2通过四次握手产生会话密钥,握手过程中,中间人不能够解密数据包,但可以阻断和重放数据包的交互;(2)WPA2标准规定,首次成功安装密钥之后,就可以从内存中清除加密密钥。所以当客户端收到四次握手的重传message3时,它将重新安装现已清除的加密密钥,有效地安装了一个全为零的密钥。

  2. 这一攻击是有前提的,而且考虑到数据包加密,中间人注入攻击指令的难度可想而知,有两个前提是必须要满足的:(1)攻击者需要在正常AP信号范围内实施攻击,才能嗅探到AP MAC,以及伪造AP后吸引受害者连接。(2)正常AP不能开启管理帧保护功能,否则去关联攻击无法实施,也就是没有办法让受害者从正常AP通信里下线。



三、大哥WPA3

既然是大哥,那么WPA3究竟在什么地方可以是其他人为小弟?

1、WPA3照顾的更周到

WPA3的核心技术包括对等身份验证(SAE)、高强度默认安全能力。

  • 对等身份验证SAE:

  1. SAE(Simultaneous Authentication of Equals)本质上是一种密钥交换协议,只用密码就可以对两个对等实体进行身份验证,在两个对等实体之间产生一个共享密钥。这里的“对等”是指,SAE将WiFi中的设备视做平等,而不是将一方视为显式请求者而将另一方视为认证者(传统上分别是连接设备和路由器)。任何一方都可以发起握手,然后它们继续独立发送它们的认证信息,而不是作为来回交换的一部分。这一点与四次握手时,需要首先由认证方发起,下发一个请求的方式不一样。

  2. SAE在以往WiFi四次握手环节之前增加了一个PMK产生的环节,此前四次握手过程中用到的PMK是直接把SSID和PSK作为参数,一个函数计算出来的,但在SAE过程中,四次握手中使用的PMK是双方以函数计算结果为其中一个因素双方协商出来的,每次都不一样。全新的PMK协商方式如下图所示,通过两次Authencation交互,产生的PMK用于后续的4-way握手。双向commit/Confirm,commit用于提交计算PMK的素材,Confirm用于确认和验证双方计算正确。

  1. 一次一协商的PMK计算方式,也把SAE的安全性提高到了一个新高度,使得WPA3能够提供“前向安全”的能力,这意味着:

  • 针对WPA3的被动型攻击、主动型攻击或离线字典式攻击都不可能得到。

  • 密码恢复仅有可能通过重复进行主动型攻击实现,而且一次仅能猜测一个密码;

  • 即使攻击者拿到密钥,也无法用于破解过去截获到的加密报文。

  1. SAE要求AP和客户端支持PMF(管理帧保护),且“必须支持管理帧保护(Management Frame Protection Required)”位=1,也就是说,管理帧不再是明文传输,从而破坏了KNACK攻击的前提条件。这也意味着以“802.11去认证/去关联攻击”为代表的,通过协议缺陷伪造管理帧的一系列攻击将失去作用。

  2. SAE适用于WPA3-Personal版本,但也通过简单变形,采用现类似于PPSK的方式用于tob场景。PPSK是采用一人一密码的方式,把原本仅适用于toc场景的PSK密码模式,用在了tob场景。对于因为麻烦、成本较高而不想使用802.1x方式认证的企业,是一个不错的解决方案。



  • 高强度的默认安全能力:

  1. 准确地讲这项能力不是指某一项技术,而是众多技术能力的组合,把WPA2时期的一些可选安全选项做成了必选项,提高了最低安全标准,提高了WiFi网络的默认安全能力:例如WPA3-Enterprise强制开启数据包的保护,最低192位的加密强度,使用256位伽罗瓦/计数器模式协议(Galois/Counter Mode Protocol)进行加密,使用384位的散列消息认证模式(Hashed Message Authentication Mode)来创建和确认密钥,以及使用椭圆曲线Diffie-Hellman(Elliptic Curve Diffie-Hellman )交换和椭圆曲线数字签名算法(Elliptic Curve Digital Signature Algorithm)来认证密钥。

  2. 提供了一些配置好的高强度的配置套件,比如WPA3建议政府、金融客户、工业客户使用CNSA套件。适用于所有WiFi建设场景,只要设备支持、性能容量足够,都应该都使用最高安全级别的配置套件。



2、WPA3照顾的更全面

WPA3工作组还发布了两个相对独立的技术Enhanced Open和Easy Connect。作为WPA3的重要组成部分,这两项技术更适用于当前无线组网应用的业务场景,丰富了WiFi适应性。

  • Easy Connect

这一技术使得WiFi更适用于快速连接、简单连接的场景,如物联网设备、打印机、智能投影仪等哑终端、智能电视等类型的办公设备。用户可以通过二维码、密码、NFC、蓝牙等多种方式快速操作,该协议同时能够为认证过程提供加密,确保通信安全性。

Easy Connect中包含两个角色类型:Configurator 和 Enrollee。

Configurator:可以是手机、平板等移动设备上的应用程序,AP的Web接口或应用程序接口。

Enrollee:除Configurator外的其他都是Enrollee。

  1. 为了尽量减少交互的过程,Wi-Fi Easy Connect包含扫描二维码的方式。其中可以包括设备的安全密钥和唯一标志符等信息。任何可以扫描二维码的设备都可以轻松读取,消除了手动输入的负担。最为常见的场景是:

  • 用户使用手机扫描目标设备的二维码后,会自动尝试与其建立安全连接。

  • 连接建立后,向目标设备传递Wi-Fi网络的配置信息。

  • 目标设备使用这些信息去尝试扫描,选择,连接到目标网络。

  1. 除此之外,也可以主动显示二维码,让待联网目标设备来扫描以连上网络。在官方的文档中给出了一个例子:酒店可以在房间里的电视上显示二维码,客人只需使用手机扫描该二维码就可以连接上酒店网络。如果双方都没有扫描或展示二维码的能力,还可以使用字符串的形式来建立连接。

  2. 值得关注的是,Easy Connect是一种WPA2和WPA3网络都适用的的协议,不愧全面照顾之名。



  • Enhanced Open

该协议用于提高开放式无线网络传输安全,在一些必须使用开放WiFi的场景中使用。

  1. 协议主要利用了OWE加密技术,采用DH密钥分配技术+4次握手+AES算法,设计角度看是安全的。无需进行身份验证,为每个网络内用户提供单独的加密,且对用户是透明的。

  2. 适用于访客使用场景,无需提供任何认证,就可以为临时用户提供上网服务。

3、全村的希望

WPA3产生于2018年,两年过去了,目前主流厂商的旗舰手机都已经支持,主流厂商的商用路由器也都以WiFi6、WPA3为卖点做推广,家用路由器支持的还不多。



根据笔者自行升级的观察,有的无线终端升级完了就可以支持WPA3的个人版和企业版(比如最新版的ipad mini),老一些的型号可能会支持WPA3企业版(比如16年的ipad air),但不支持WPA3个人版。因此基本上可以确定,WPA3需要终端固件的支持,与硬件配置存在必然联系。



4、大哥也有缺点

  • 兼容模式可能引发新风险

SAE理论上是安全的,但具体到部署阶段,SAE存在过渡部署模式和全面部署模式,当然目的是为了向下兼容,一是帮助旧设备采用新的WPA3,用上WPA3中的一些技术,二是SAE本身就存在一种“转换模式”,在使用此模式时,网络系统可以使用共享密码来兼容WPA3和WPA2。目前发生的针对WPA3 SAE的攻击也都是利用了这种向下兼容性开展的“降维攻击”。

比如,攻击者可以搭建一个恶意网络,并迫使支持WPA3的客户端通过WAP2来建立连接。此时,攻击者就可以使用暴力破解攻击来恢复共享密码了。

  • 新技术必然带来新风险

  1. 从理论上讲,EasyConnect技术存在二维码钓鱼、恶意热点、恶意终端等风险发生的可能性,但考虑到改技术尚未得以大面积的推广使用,因此还没有出现过出现真实攻击案例。后续需要持续跟踪。

  2. 不管是EasyConnect协议还是Enhanced Opne协议,目前均尚未得到大面积使用,互联网上也尚未出现相关漏洞,但借鉴WPS系统的前车之鉴,新出现的技术可能会成为新的攻击点,扩大了WiFi网络的攻击面。因此其安全性还有待市场考验。

发布于: 2020 年 04 月 30 日 阅读数: 151
用户头像

石君

关注

与其更好,不如不同 2020.03.26 加入

分享孤独,成为故事,分享思考,成为思想。 做信息安全领域的探险家。

评论

发布
暂无评论
为什么说此前的WiFi安全方案都是小弟?