12.7 Secure WLANs
Этот раздел важен для exam, потому что здесь сравниваются старые слабые подходы и более правильные современные security methods.
SSID Cloaking и MAC Filtering
Два старых метода:
SSID cloakingMAC address filtering
SSID cloaking — отключение broadcast beacon с именем сети, чтобы SSID не был явно виден. networkterm MAC address filtering — разрешение/запрет доступа по списку MAC addresses. networkterm
Идея у них понятная, но защита слабая:
- hidden SSID всё равно можно обнаружить;
- MAC address можно spoof’нуть.
Exam trap
SSID cloakingиMAC filteringне считаются сильной защитой. Это только слабый deterrent, а не полноценная security strategy.
Original Authentication Methods
Ранний 802.11 предлагал простые методы authentication:
Open authenticationShared key authentication
open authentication — клиенту почти не мешают подключиться; реальная защита минимальна. networkterm shared key authentication — ранний механизм аутентификации через общий ключ, сегодня считается слабым. networkterm
Home User Security
Для домашнего сценария модуль подводит к идее:
- старые методы вроде
WEPиWPAуже не годятся; WPA2-Personalдолго был базовым нормальным выбором;WPA3-Personalстал ещё лучше.
WEP (Wired Equivalent Privacy) — старый и небезопасный wireless security protocol. abbreviation WPA (Wi-Fi Protected Access) — промежуточное улучшение по сравнению с WEP, но уже устаревшее. abbreviation WPA2 — долгое время основной современный стандарт защиты WLAN. abbreviation WPA3 — более новый и более сильный стандарт защиты WLAN. abbreviation PSK (Pre-Shared Key) — общий пароль, который знают client и AP/router. abbreviation
Encryption Methods
TKIP (Temporal Key Integrity Protocol) — старый encryption mechanism, связанный с WPA, сейчас нежелателен. abbreviation AES (Advanced Encryption Standard) — современный и сильный encryption algorithm, широко используемый в WLAN security. abbreviation
Для exam:
| Method | Статус |
|---|---|
| WEP | broken / obsolete |
| WPA + TKIP | устарело |
| WPA2 + AES | долгое время стандартный выбор |
| WPA3 | лучший современный выбор |
Enterprise Authentication
В enterprise среде важен не только общий пароль.
802.1X — framework для port-based / network access control с централизованной аутентификацией. networkterm EAP (Extensible Authentication Protocol) — framework для authentication methods, часто используется вместе с 802.1X. abbreviation
Логика такая:
- home user часто использует
PSK; - enterprise чаще использует
802.1X/EAP.
WPA3 Improvements
Из модуля нужно вынести три вещи:
WPA3-PersonalиспользуетSAE;- open networks в WPA3 получают
OWE; WPSне рекомендуется, а для IoT появляетсяDPP.
SAE (Simultaneous Authentication of Equals) — механизм в WPA3-Personal, который лучше защищает от password guessing по handshake. abbreviation OWE (Opportunistic Wireless Encryption) — шифрование open Wi-Fi traffic в WPA3 даже без традиционной аутентификации. abbreviation WPS (Wi-Fi Protected Setup) — упрощённый onboarding method, который считается небезопасным. abbreviation DPP (Device Provisioning Protocol) — более современный способ onboarding, особенно полезный для IoT devices. abbreviation
Что реально надо помнить
WEP bad
WPA/TKIP old
WPA2/AES good
WPA3 better
Если понял тему
Ты можешь объяснить, почему hidden SSID и MAC filtering не спасают сеть, чем
WPA2отличается отWPA3, и почему enterprise WLAN опирается на802.1X/EAP.