Sicurezza wireless WPA3, OWE e WPA Enterprise
Gli algoritmi di sicurezza Wi-Fi, ovvero WPA3-PSK, OWE, WPA/WPA2/WPA3-Enterprise e WPA3-192 Enterprise, sono stati implementati in KeeneticOS a partire dalla versione 3.1.
WPA3-PSK (Wi-Fi Protected Access, sviluppato dalla Wi-Fi Alliance e annunciato nel 2018) è un algoritmo di sicurezza che fornisce protezione dei dati nelle reti Wi-Fi. Appartiene alla modalità WPA3-Personal, inclusa nella terza versione del set di protocolli WPA3. Il nuovo protocollo sostituisce WPA2, introdotto nel 2004. L'idea principale dell'implementazione del nuovo protocollo WPA3 è quella di eliminare i difetti concettuali del protocollo WPA2, in particolare per proteggere da alcuni tipi di attacco (Key Reinstallation Attacks, KRACK). Il protocollo WPA3 ha un livello di sicurezza superiore a WPA2.
WPA3 consente due modalità di funzionamento: WPA3-Personal e WPA3-Enterprise.
WPA3-Personal (WPA3-PSK) fornisce la crittografia dei dati a 128 bit, e WPA3-Enterprise (Suite B) offre la crittografia dei dati a 192 bit.
OWE (Opportunistic Wireless Encryption) è un metodo di crittografia per migliorare la sicurezza e la privacy degli utenti che si connettono a reti Wi-Fi aperte (pubbliche).
Per maggiori informazioni sui meccanismi di sicurezza WPA3 e OWE, consultare i seguenti link: WPA3, SAE, OWE.
Suggerimento
Con le versioni di KeeneticOS precedenti alla 3.4.3, si consiglia di utilizzare il protocollo di sicurezza di rete WPA2 per una migliore compatibilità con il roaming abilitato. In caso contrario, in modalità WPA2+WPA3, i dispositivi potrebbero preferire WPA3 e perdere quindi le transizioni senza interruzioni. Il supporto FT (Fast Transition) in modalità WPA3 è implementato nella versione 3.4.3 e successive.
La configurazione di WPA3-PSK e OWE è disponibile nell'interfaccia web del router nelle impostazioni della 'Rete wireless' a 2,4 e 5 GHz nella pagina 'Le mie reti e Wi-Fi'. Individua il menu a discesa 'Protezione della rete' e seleziona l'algoritmo appropriato per la tua rete.
Importante
Per utilizzare i nuovi meccanismi di protezione della rete WPA3-PSK e OWE, il dispositivo connesso deve supportare questi algoritmi nel driver del suo modulo radio.
Quando si utilizza il tipo di crittografia mista 'WPA2+WPA3' con alcuni dispositivi mobili, si potrebbe riscontrare un degrado della velocità. Per maggiori informazioni, si prega di fare riferimento all'articolo 'Cosa può causare un degrado della velocità su alcuni client mobili quando si opera in modalità mista 'WPA2+WPA3'?'.
È consigliabile attivare la modalità mista WPA2+WPA3 solo se si è sicuri che tutti i dispositivi della rete domestica funzioneranno correttamente in questa modalità.
Di seguito sono riportati alcuni esempi di connessione su uno smartphone Oneplus 6 (Android 9).
Protezione della rete WPA3-PSK (SAE):
Protezione della rete aperta OWE:
Per utilizzare i protocolli WPA Enterprise, è necessario installare il componente di sistema 'WPA Enterprise'. È possibile farlo nella pagina 'Impostazioni generali del sistema' cliccando su 'Opzioni dei componenti'.
Successivamente, sarà possibile configurare i protocolli WPA Enterprise nelle impostazioni Wi-Fi.
Nota
WPA3 fornisce due modalità di funzionamento: WPA3-Personal e WPA3-Enterprise.
WPA3-Personal. La modifica più importante nel protocollo WPA3 è l'utilizzo di un nuovo metodo Simultaneous Authentication of Equals (SAE), che fornisce una protezione aggiuntiva contro gli attacchi brute-force. SAE ha lo scopo di sostituire il semplice metodo di scambio PSK (Pre-Shared Key) utilizzato in WPA2. L'obiettivo di SAE è proteggere il più possibile il processo di instaurazione della connessione dagli attacchi degli hacker. SAE funziona partendo dal presupposto dell'uguaglianza dei dispositivi. Entrambe le parti possono inviare una richiesta di connessione. Quindi, iniziano a inviare le proprie informazioni di autenticazione in modo indipendente, invece di scambiare semplicemente messaggi uno alla volta, come con il metodo di scambio della chiave PSK. SAE utilizza una variante speciale per stabilire la connessione (dragonfly handshake), che utilizza la crittografia per impedire a un utente malintenzionato di indovinare la password.
In aggiunta a quanto sopra, SAE utilizza perfect forward secrecy (PFS) per un ulteriore miglioramento della sicurezza che PSK non aveva. Supponiamo che un utente malintenzionato ottenga l'accesso ai dati crittografati che un router invia e riceve da Internet. In precedenza, un utente malintenzionato poteva salvare questi dati e quindi, se la password veniva indovinata con successo, decrittografarli. Con SAE, viene impostata una nuova password di crittografia a ogni nuova connessione e, se un hacker penetra nella rete a un certo punto, può rubare la password solo dai dati inviati dopo quel punto.
Il metodo di autenticazione SAE è descritto in dettaglio nello standard IEEE 802.11-2016.
WPA3-Enterprise. Questa modalità operativa è destinata all'uso in istituzioni con le massime esigenze di sicurezza e riservatezza delle informazioni. WPA3-Enterprise (Suite B) fornisce la crittografia dei dati a 192 bit.
OWE (Opportunistic Wireless Encryption) è un'estensione dello standard IEEE 802.11, simile a SAE. OWE protegge i dati trasmessi su una rete non protetta crittografandoli. Gli utenti non sono tenuti a compiere ulteriori passaggi o a inserire password per connettersi alla rete.
Molti attacchi che si verificano su una rete aperta sono classificati come passivi. Quando molti client si connettono a una rete, un utente malintenzionato può raccogliere una grande quantità di dati semplicemente filtrando le informazioni che passano.
OWE utilizza la crittografia opportunistica, definita nella RFC 8110, per proteggere dalle intercettazioni passive. Impedisce inoltre gli attacchi di packet injection, in cui un utente malintenzionato tenta di interrompere la rete creando e trasmettendo speciali pacchetti di dati che sembrano parte del normale funzionamento della rete.