WPA3 a bezpečnost přihlašování k Wi-Fi sítím

25.03.2019
Štítky: 

V souvislosti s nedávnými diskutabilními výroky paní ministryně Marty Novákové z MPO bylo zmíněno i nebezpečí připojování se k WiFi sítím. Pojďme se dozvědět, jak je to vlastně se zabezpečením při přenosu dat od vaší domácí WiFi sítě. 

Nejprve o zabezpečení při přenosu dat mezi domácností zákazníka a routery poskytovatele. Operátoři, kteří používají WiFi jako přístupovou vrstvu sítě, kde pro poslední úsek mezi optickým backhaulem a klientem slouží bezdrátová přístupová vrstva, používají několikanásobnou ochranu proti odposlechu přenášených dat.

Kromě samotného kryptování na bezdrátové vrstvě, jsou dodatečnou ochranou virtuální tunely, kterými data protékají mezi přístupovým bodem AP a zařízením klienta. 

Samotná data jako taková jsou obvykle chráněná proti přečtení dalším kryptováním. Slovo obvykle je na místě, jedná se o uživatelskou volbu. 

Pokud chcete mát jistotu, posílejte data pouze prostřednictvím stránek, která mají před www.kvalitni-internet.cz v adresním řádku prohlížeče https://. Znamená to totiž, že stránky data zpracovávají zabezpečeně a jejich dekódování je mimořádně obtížné i pro nejnovější superpočítače. 

 

I v dalších vrstvách sítě, přes optická vlákna, po routery, DNS servery a peeringové uzly mezi sítěmi, jsou data přenášena zabezpečeně. Pro operátora jsou dostupné informace důležité pro směrování provozu v DNS serverech a době trvání spojení. Samotná data si přečíst nemůže, pokud používáte zabezpečená spojení https. Pro ještě vyšší jistotu například ve firemním provozu je doporučené používat zabezpečené VPN služby. U operátora jsou data v dokonalém bezpečí. 

Tak kde je vlastně to riziko při připojování k WiFi sítím? 

Doma, nebo na veřejném hotspotu. Protože v okamžiku, kdy sdílíte jeden adresní rozsah s mnoha dalšími uživateli, při určitém neopatrném nastavení může útočník vidět obsah vašich souborů. Případně se přihlásit jako vzdálený správce a volně procházet obsahem zařízení, které síť sdílí. Na veřejných hotspotech je třeba zvýšené opatrnosti a zakázat viditelnost souborů v síti. Ostatně tuto volbu dávají automaticky na výběr nejpoužívanější operační systémy. Je také možné uzavřít VPN na nějaký server v internetu. Váš počítač přestane být pro případného vetřelce ve veřejném hotspotu viditelný. 

V domácí, anebo firemní síti je pohodlné sdílení souborů naopak povolit. Obsah z jednoho počítače vidíme v jiném zařízení, můžeme jej kopírovat či spouštět, automaticky zálohovat či využívat další služby vzdálené správy. Existuje mnoho důvodů, proč počítačům ve své síti umožnit se vzájemně kontaktovat. Proto je důležitá ochrana samotné bezdrátové sítě v domácnosti či na pracovišti.

Standardizaci protokolů WiFi má na starosti organizace jménem WiFi Alliance. Ta zabezpečuje vývoj dalších generací bezdrátového přenosu, stejně tak jak to znáte z mobilních sítí. U mobilních telefonů znáte GSM, EDGE, 3G, LTE, 5G. Pro bezdrátové sítě ve volných pásmech jsou to generace standardů 802.11, které pro snadnější orientaci označujeme číslovkami. Aktuálně je používaná WiFi 5, a nastupuje generace šestá. Mimochodem, ta přinese další zvýšení propustnosti WiFi sítí až na stovky megabit, s velkou odolností proti vzájemnému rušení. 

WiFi Alliance také vydává metody zabezpečení přenosu ve WiFi sítích. S posledními generacemi bezdrátového přenosu se zásadně zlepšila také ochrana proti prolomení vašeho hesla pro vstup do sítě. Většina z nás používá poslední typ zabezpečení, WPA2. Existují ještě další typy šifrování přístupu k WiFi routeru, například WEP, ale ty jsou neperspektivní a nedoporučujeme je používat. Vždyť za určitých, i když ne příliš pravděpodobných okolností lze prolomit i zatím poslední typ zabezpečení. Pro snížení bezpečnostního rizika provozu sítí domácích WiFi doporučujeme provést upgrade firmwaru. Anebo začít používat novější typ zabezpečení, WPA 3. 

WPA 3 nabízí pokročilé možnosti šifrování vysoce citlivých dat, bezpečnost přenosu zajišťuje za pomoci nejnovějších bezpečnostních metod a zároveň neumožňuje používání zastaralých protokolů. Ke svému fungování naopak vyžaduje používání chráněných rámců správy (Protected Management Frames - PMF). Je dokonce možné je nahrát na starší zařízení, pokud na ně výrobce myslí při sestavování bezpečnostních záplat. Musí jej však podporovat i zařízení účastníka sítě, což by ale neměl být tak zásadní problém. WPA3 bez problémů spolupracuje se zařízeními, kompatibilními s protokolem WPA2. V současné chvíli je zavedení tohoto protokolu u zařízení volitelné, postupem času se stane povinným. 

U malých routerů bude standardem WPA3-Personal, který nabízí ochranu proti snahám o uhádnutí hesel, pro podniková zařízení přibyde WPA3-Enterprise, který umožňuje uživatelům využít výhod vyššího stupně zabezpečení sítí. Ochrana vysoce citlivých dat ještě vyšší šifrou je náročná na výpočetní výkon procesoru, a tím i na cenu zařízení. 

WPA3-Personal

WPA3-Personal nabízí jednotlivcům lepší ochranu za pomoci pokročilých způsobů autentifikace a doporučení co nejsilnějších hesel. Tuto schopnost umožňuje funkce s názvem Simultaneous Authentification of Equals (SAE), která u protokolu WPA3 na hradila funkci Pre-shared Key (PSK), kterou disponoval WPA2. Tato technologie je odolná vůči offline slovníkovým útokům, hojně využívaným ke krádežím hesel. WPA3 navíc poskytuje ochranu toku dat i v případě, kdy došlo ke zneužití hesla. 

WPA3 dokáže vygenerovat sice velmi odolná, ale zároveň přirozeně zapamatovatelná hesla. Navzdory lepším funkcím a vyššímu zabezpečení se způsob připojení k síti nemění, takže protokol WPA3 není nijak náročný na používání.

WPA3-Enterprise

Jiné požadavky na zabezpečení Wi-Fi připojení mají běžné domácnosti a jiné zase podniky nebo vládní či finanční instituce. Právě jim je určeno zabezpečení typu WPA3-Enterprise, zajišťující uplatňování bezpečnostních protokolů napříč sítí. 

WPA3-Enterprise nabízí také volitelný režim s použitím 192bitových protokolů s kryptografickými nástroji pro ještě lepší zabezpečení citlivých dat. Tento režim zajišťuje správnou kombinaci kryptografických nástrojů a nastavuje konzistentní základní úroveň zabezpečení v rámci sítě WPA3.

Bezdrátové sítě WiFi Alliance rozvíjí, včetně zabezpečení, pro stovky průmyslových podniků a vývojářských týmů. Je krajně nepravděpodobné, že by s takovou silou prostředků do vývoje WiFi jakkoliv zastaralo v porovnání se standardy mobilních telefonů. I u nich je možnost napadení a odklonění přenášených dat či odposlechů. To se již dostáváme do působnosti tajných služeb, které nám, jako serveru o internetu, nepřísluší komentovat.