Wi-Fi Alliance, organizatia care se ocupa de validarea interoperabilitatii intre produsele wireless, impune ca toate dispozitivele care vor sa fie aprobate ca Wi-Fi CERTIFIED sa fie capabile de noul standard de securitate WPA3 (Wi-Fi Protected Access 3).

Din ce in ce mai multi vendori includ capabilitati WPA3 in produsele lor, fie ca este vorba de endpointuri (laptopuri, telefoane smart sau tablete) sau de echipamente de infrastructura (routere wireless, access point-uri si controllere wireless). De asemenea, din ce in ce mai multe organizatii adopta WPA3 datorita securitatii imbunatatite pe care acest standard o ofera, mai ales organiizatiile din mediul guvernamental sau cel financiar.

Numarul de dispozitive care se vor conecta la Internet pana in 2025, incluzand sensori, dispozitive smart pentru acasa, si multe altele de tipul IoT, este estimat la 41,6 miliarde. Avand in vedere acest numar extraordinar de mare, insa si varietatea de dispozitive, securitatea retelelor wireless devine din ce in ce mai importanta. In contextul actual, este absolut normal folosirea laptopului, a tabletei sau a telefonului atat acasa, cat si la birou. Insa metodele de securitate si de control al accesului la retea este diferit. Acasa, utilizatorul foloseste o parola pentru a se conecta la wifi, pe cand la birou sunt necesare metode mai robuste de securitate, ca introducerea unui nume de utilizator si o parola sau folosirea certificatelor digitale.

In 2018 Wi-Fi Alliance a anuntat noile feature-uri de securitate sub termenul colectiv de WPA3. WPA3 specifica noi algoritmi de criptare si de autentificare, atat pentru retele personale, cat si pentru retele enterprise, care sa rezolve neajunsurile si slabiciunile fostului standard de securitate WPA2.

Solutiile de securitate legacy dispun de multe optiuni de configurare si pot conduce la alegerea unor combinatii suboptime, ceea ce sporeste riscul ca reteaua sa fie susceptibila unor brese de securitate.

WPA3 vine si elimina WEP si TKIP, algoritmi de criptare considerati astazi ca fiind slabi. Totodata, WPA3 face ca suportul pentru PMF (Protected Management Frames) sa fie obligatoriu. PMF ajuta reteaua sa reziste la unele atacuri de tip DoS (frame-uri de de-autentificare si de deasociere).

WPA3 Personal

Pentru modul Personal WPA3 introduce autentificarea de tip SAE – Simultaneous Authentication of Equals care fata de WPA2 PSK ofera avantajul de a crea un shared secret diferit pentru fiecare sesiune wireless, protectie impotriva atacurilor de tip “brute force” si a atacurilor pasive si ofera un al doilea schimb de chei de criptare prin perfect forward secrecy.

WPA3 Enterprise

 Pentru modul Enterprise WPA3 ofera suport pentru criptarea AES pe 192 de biti, important mai ales pentru mediile cu cerinte stricte de securitate – institutii de stat, financiare sau guvernamentale. WPA3 elimina suportul pentru SHA-1, si specifica folosirea minim a lui SHA256 pentru o mai buna integritate a frame-urilor wireless.

Modul Enhanced Open

In locurile publice precum cafenele, mall-uri sau aeroporturi retelele wireless sunt de obicei Open, insemnand ca nu se impune nicio forma de verificare a celui care se conecteaza. Implicit, traficul wireless nu este securizat, oricine dorind putand sa intercepteze frame-urile wireless. In astfel de medii, se doreste mentinerea usurintei de conectare a utilizatorului, dar se impune criptarea traficului wireless pentru a face o captura a traficului inutila. Pentru astfel de situatii, Wi-Fi Alliance a dezvoltat standardul Enhanced Open care introduce OWE – Opportunistic Wireless Encryption, un proces prin care sunt derivate chei de criptare printr-un schimb Diffie-Hellman in faza de asociere a clientului wireless.

Coexistenta si migrare

Intrucat cele mai multe dispozitive wifi inca nu ofera suport pentru WPA3 este necesar si un mod de tranzitie de la WPA2 la WPA3. Dispozitivele WPA2 exista pe piata inca din 2004 si nu vor disparea prea curand. Access point-urile trebuie sa ofere conectivitate si pentru aceste device-uri. De aceea, Wi-Fi Alliance a introdus mecansime de coexistenta atat in modul WPA3 Personal, cat si in cel Enterprise. Orice retea poate fi astfel pregatita pentru migrarea completa catre WPA3.

Wi-Fi 6E

Wi-Fi 6E extinde conexiunea wireless in banda de 6GHz, unde vor fi disponibile 7 canale super-late de 160 Mhz care pot fi folosite pentru aplicatii bandwidth-intensive, precum telemedicina, AR/VR, teleprezenta sau video holografic. Spectrul de frecvente mai larg si continuu, canalele mai late si interferentele reduse duc la rate de transfer de ordinul gigabitilor pe secunda, la latente extrem de mici si la capacitatea de a transporta mai multa informatie. WPA3 va fi standardul de securitate care va oferi protectie acestei extensii a generatiei 6 de tehnologie wifi.

Cisco ofera o solutie wireless full stack pentru adoptia si migrarea catre WPA3 compusa din:

• Access point-uri Catalyst C9100
• Controller-e wireless C9800 cu suport pentru WPA3 Personal si Enterprise si OWE
• Senzorul activ Cisco Aironet folosit pentru monitorizarea si testarea calitatii conexiunilor din perspectiva unui client wireless
• Cisco DNA Center – ca solutie de monitorizare, management si automatizare a intregului ecosistem wireless

WPA3 aduce cu sine imbunatiri semnificative pentru securitatea retelelor wireless si pentru o organizatie este critic sa faca pasul spre acest nou standard. Wi-Fi Alliance face eforturi deosebite pentru a incuraja adoptia lui WPA3, iar noile dispozitive produse de vendorii din industrie trebuie sa aiba suport pentru WPA3 pentru a primi certificarea de interoperabilitate. Astfel, usor, dar sigur, vechille dispozitive WPA2 vor disparea, si o data cu ele si vulnerabiltatile protocoalelor legacy, facand mediul enterprise unul mult mai sigur, din punct de vedere wireless.

Mihai Dumitrascu, Sr Systems Engineer