Kablosuz Ağ (Wi-Fi) güvenliği: WPA3 ve OWE kurulumu
En yeni Wi-Fi güvenlik algoritmaları olan WPA3-PSK, OWE, WPA/WPA2/WPA3-Enterprise ve WPA3-192 Enterprise; 3.1. versiyondan itibaren KeeneticOS’larda kullanılmaktadır.
Bütün Keenetic ürünleri bu özelliği desteklemektedir.
WPA3-192 Enterprise (Suite B) konfigürasyonu sadece Keenetic Titan (KN-1810) modellerde mümkündür. Kablosuz Servis Sağlayıcı bağlantılarda WPA3-PSK ve OWE protokolleri yine sadece bu üç modelde kullanılabilmektedir.
WPA3-PSK (Wi-Fi Korumalı Erişim, Wi-Fi Alliance tarafından geliştirilmiş olup 2018 yılında duyurulmuştur), Wi-Fi ağlarda veri koruması sağlayan bir güvenlik algoritmasıdır. WPA3 protokol setinin üçüncü versiyonuna dahil edilmiş olan WPA3-Personal moduna aittir. Yeni protokol, 2004 yılında tanıtımı yapılan WPA2’nin yerine geçer. Yeni WPA3 protokolünün uygulanması ana fikrindeki amaç, WPA2 protokolündeki kusurları ortadan kaldırmak ve belirli saldırı türlerine karşı (Anahtar Yeniden Yükleme Saldırıları, KRACK) koruma sağlamaktır. WPA3 protokolü, WPA2’ya kıyasla daha yüksek güvenlik seviyesine sahiptir.
WPA3 protokolünde WPA3-Personal ve WPA3-Enterprise olmak üzere iki tür çalıştırma modu kullanılabilir.
WPA3-Personal (WPA3-PSK) modunda 128-bit veri şifreleme sağlanırken WPA3-Enterprise (Suite B) modunda 192-bit veri şifreleme sağlanmaktadır.
OWE ise açık (kamusal) Wi-Fi ağlarına bağlanan kullanıcıların güvenliğini ve gizliliğini artırmaya yönelik bir şifreleme yöntemidir.
WPA3 ve OWE güvenlik mekanizmaları ile ilgili ayrıntılı bilgi için şu bağlantılara bakınız: WPA3, SAE, OWE.
İpucu
With KeeneticOS versions before 3.4.3, we recommend using the WPA2 network security protocol for better compatibility with roaming enabled. Otherwise, in WPA2+WPA3 mode, devices may prefer WPA3 and thus lose seamless transitions. FT (Fast Transition) support in WPA3 mode is implemented in version 3.4.3 and higher.
WPA3-PSK ve OWE konfigürasyonu ‘Ana sayfa’da (‘Ağlarım ve Wi-Fi menüsü) bulunan ‘Kablosuz Ağ’ ayarlarından Keenetic web yapılandırıcısından yapılabilir. Burada ‘Ağ korumasıNetwork protection’ açılır menüsünü bulun ve ağınız için uygun olan algoritmayı seçin.
Önemli
Yeni WPA3-PSK ve OWE ağ koruma mekanizmalarını kullanabilmek için kablosuz ağa bağlanacak cihazların bu algoritmaları destekliyor olması gerekir.
When using mixed encryption type 'WPA2+WPA3' with some mobile devices, you may experience speed degradation. For more information, please refer to the article 'What can cause speed degradation on some mobile clients when operating in mixed mode 'WPA2+WPA3'?'
You should only enable WPA2+WPA3 Mixed Mode if you are sure that all your home network devices will operate correctly in this mode.
Below are some examples of connection on a Oneplus 6 smartphone (Android 9).
WPA3-PSK network protection (SAE):
OWE open network protection:
WPA Enterprise protokollerini kullanmak için, 'WPA Enterprise' sistem bileşeni kurulumu gerekmektedir. Kurulumu, ‘Bileşen seçenekleri’ne tıklayarak ‘Sistem ayarları’ sayfasından yapabilirsiniz.
Sonrasında ise Wi-Fi ayarlarının bulunduğu yerde WPA Enterprise protokollerini konfigüre edebilirsiniz.
Not
WPA3 provides two modes of operation: WPA3-Personal and WPA3-Enterprise.
WPA3-Personal. The most important change in the WPA3 protocol is using a new Simultaneous Authentication of Equals (SAE) method, which provides extra protection against brute-force attacks. SAE is intended to replace the simple PSK (Pre-Shared Key) exchange method used in WPA2. The goal of SAE is to protect the connection establishment process as much as possible from hacker attacks. SAE works under the assumption of device equality. Either side can send a connection request. Then, they start sending their authentication information independently, instead of just exchanging messages one at a time, as with the PSK key exchange method. SAE uses a special variant of establishing the connection (dragonfly handshake), which uses cryptography to prevent an attacker from guessing the password.
In addition to the above, SAE uses perfect forward secrecy (PFS) for an additional security enhancement that the PSK did not have. Let's say an attacker gets access to encrypted data that a router sends and receives from the Internet. Previously, an attacker could save this data and then, if the password was successfully picked, decrypt it. With SAE, a new encryption password is set with each new connection, and if a hacker penetrates the network at some point, he can only steal the password from the data sent after that point.
The SAE authentication method is described in detail in the IEEE 802.11-2016 standard.
WPA3-Enterprise. This operating mode is intended for use in institutions with the highest demands on information security and confidentiality. WPA3-Enterprise (Suite B) provides 192-bit data encryption.
OWE (Opportunistic Wireless Encryption) is an extension of the IEEE 802.11 standard, similar to SAE. OWE secures data transmitted over an unsecured network by encrypting it. Users are not required to take any extra steps or enter passwords to connect to the network.
Many attacks that occur on an open network are classified as passive. When many clients connect to a network, an attacker can collect a great deal of data simply by filtering the information that passes by.
OWE uses opportunistic encryption, defined in RFC 8110, to protect against passive eavesdropping. It also prevents packet injection attacks, where an attacker tries to disrupt the network by creating and transmitting special data packets that look like part of regular network operation.