Wi-Fi 7 e segurança: O que você precisa saber agora

Na sexta parcela da nossa série de blogs do Wi-Fi 7, vamos discutir um tema que parece ter surgido muito na conversa do Wi-Fi 7, mas que não está diretamente relacionado com a alteração da norma IEEE 802.11, e isso é segurança. 

Para ajudar as pessoas a compreender algumas das principais melhorias que vêm com o Wi-Fi 7, bem como alguns aspetos da segurança Wi-Fi®, a RUCKUS Networks publicou um artigo técnico sobre o Wi-Fi 7. O white paper pode ser encontrado na página dedicada ao Wi-Fi 7 no novo website da RUCKUS Networks. 

Segurança Wi-Fi com diferentes tipos WPA

Embora não seja abordado diretamente na norma Wi-Fi 7, a segurança é sempre algo em que as pessoas devem estar a pensar quando se trata de qualquer nova norma, especialmente Wi-Fi. Operar num espectro não licenciado com uma interface de ar comum (CAI) que é publicada para o mundo estar em conformidade, abre muitas oportunidades para os atacantes encontrarem vulnerabilidades, como KrACK e FragAttacks. No mundo atual, é quase um requisito que as pessoas tenham uma melhor compreensão de como os seus pacotes de dados são protegidos quando são enviados através de Wi-Fi, num esforço para evitar que os hackers obtenham acesso a dados pessoais como o seu empréstimo hipotecário, contas bancárias e outras informações pessoalmente identificáveis ou PII.

Alterar simplesmente a sua palavra-passe de router predefinida, embora ainda seja um requisito, não é a única coisa de que os utilizadores precisam de estar cientes.

Embora não haja nada focado na segurança Wi-Fi no Wi-Fi 7, há um artefacto que deriva da Operação Multi-Link que terá algum impacto na forma como os dispositivos e APs protegem a ligação sem fios. Mas primeiro, vamos abordar algumas noções básicas. 

Segurança de encriptação de dados WPA2  

O WPA2™ foi introduzido em 2004 com o 802.11i como uma substituição "permanente" do padrão WPA™ (Wi-Fi Protected Access®) que foi lançado como uma medida de intervalo de paragem quando o WEP foi rachado em 2003. Exceto para a nova banda de 6 GHz, todas as 802,11 alterações PHY (802.11a/b/g/n/ac/ax/be) foram retrocompatíveis com as gerações anteriores. Isto significa que o seu iPhone 4 que se recusa a desistir ainda pode ligar-se a um novo Wi-Fi 7 AP. Provavelmente não vai funcionar muito bem (por muitos outros motivos), mas vai funcionar. Só porque temos WPA3™, a menos que as redes estejam configuradas para ignorar especificamente qualquer outra coisa que não seja WPA3™, ainda pode funcionar. 

Mesmo o seu portátil a partir de 2001 com 802.11b e WEP ainda poderá ver uma rede 802.11 em 2,4 GHz, apenas não poderá ligar-se a menos que os administradores tenham ativado WEP no SSID. Mas o panorama geral é WPA2 não é depreciado apenas porque temos WPA3. 6 A operação GHz tem uma disposição para suportar apenas WPA3, mas esse é um requisito do espectro, não de qualquer geração de Wi-Fi específica. 

Segurança de encriptação de dados WPA3 

Após 14 anos de serviço no mundo da tecnologia (uma vida útil, na verdade) WPA3 foi introduzido em 2018 para trazer algumas melhorias muito necessárias à forma como a segurança sem fios é implementada. Embora isso seja demasiado para entrar neste blogue, em suma, ajuda realmente a impedir que os atacantes ataquem uma força bruta após o facto de terem sido, normalmente referidos como um ataque offline ao dicionário. 

WPA3 tem as mesmas duas opções que WPA2, com os mesmos dois métodos, mas com um nome ligeiramente diferente. WPA2-Personal, muitas vezes referido como uma rede de Chave Pré-Partilhada (PSK), foi substituído por WPA3-SAE, ou Autenticação Simultânea de Iguais. Embora o utilizador final não repare em nenhuma diferença (ainda introduza uma frase-passe no seu dispositivo para proteger as suas ligações Wi-Fi), existem algumas grandes alterações no backend que corrigem alguns problemas de segurança com WPA2-Personal que não entraremos aqui (embora possa ler mais sobre isso no nosso blogue Segurança sem fios com frases-passe).

WPA3-Enterprise é muito semelhante ao WPA2-Enterprise, o tipo de segurança visto na maioria das redes empresariais atualmente. Ainda existem vários tipos EAP (Protocolo de Autenticação Extensível) sendo o método preferido o Transport Layer Security (ou EAP-TLS). WPA3-Enterprise adiciona aumentos obrigatórios adicionais na força criptográfica, bem como a obrigatoriedade de 802.11w (Frames de Gestão Protegidos) para a norma, enquanto as especificações anteriores tinham 802.11w como opcional.

As redes podem ser configuradas com o que é conhecido como uma “postura de segurança transitória” que aceitará dispositivos WPA2 e WPA3 no mesmo SSID (isto seria um SSID de 5 GHz, uma vez que WPA2 não pode ser configurado em 6 GHz) para preservar a compatibilidade traseira para dispositivos mais antigos; mas, como com tudo, há um risco com isso. Embora os dispositivos mais recentes sejam compatíveis com padrões mais antigos, os dispositivos mais antigos podem ver os sinalizadores de transição no novo SSID e não saber como lidar com isso, e simplesmente não se conectar.  

Isto significa que, embora queiramos poder oferecer um serviço muito simples e direto a todos os dispositivos do cliente, esses dias podem ser limitados. Uma alternativa seria criar SSIDs específicos de banda e segurança para espalhar a carga e a postura de segurança da rede. 

A introdução de WPA3 significa que WPA2 é agora tão mau como WEP (para utilização na Internet, palavras-passe, etc.)?

Pelo contrário! WEP (Privacidade equivalente com fios) foi verdadeiramente quebrado quando WPA foi anunciado, enquanto WPA3 é uma atualização de WPA2. WPA2, configurado corretamente, é suscetível a ataques de dicionário offline, mas o tempo necessário para quebrar essa palavra-passe é medido em décadas, não em horas.

Configurado corretamente significa usar uma frase de acesso com pelo menos 16 caracteres, não partilhada com mais ninguém e usar encriptação Advanced Encryption Standard (AES). WPA2-Enterprise é suficientemente próximo do WPA3-Enterprise que simplesmente sendo capaz de ativar o 802.11w aproxima-o bastante do WPA3-Enterprise para a “maioria” das instâncias. WPA3 ainda está onde queremos chegar, mas WPA2, com algumas precauções adicionais, ainda é um método respeitável para proteger as suas redes sem fios.

Utilizar WPA3 em 6 GHz como guia de design

Graças a uma miríade de variáveis que vemos ao examinar os dispositivos do cliente que usam redes Wi-Fi de hoje (Android vs. iOS, dispositivos antigos vs. novos, móveis vs. dispositivos fixos), muitas pessoas veem a necessidade de usar WPA3 em qualquer modo (Enterprise usando Protocolo de Autenticação Extensível ou EAP, e SAE, Autenticação Simultânea de Igualdade) ou OWE como um obstáculo a este novo espectro, mas há outra forma de pensar sobre isto. Em vez de tentar contornar estes novos protocolos de segurança, devemos realmente aceitá-los.

Para dispositivos com os quais nos preocupamos (e que são novos), atribuir-lhes-íamos um SSID de 6 GHz com WPA3. Dispositivos como BYOD ou outros dispositivos com os quais podemos não estar tão preocupados permanecerão a 5 GHz com WPA2 Personal (PSK ou DPSK); podemos adicionar um segundo SSID para WPA3-Enterprise para os dispositivos com os quais realmente nos preocupamos, mas não são novos o suficiente para a nova banda de 6Ghz. Por fim, isto deixa 2,4 GHz para IoT e outros dispositivos que são categorizados como “Melhor Esforço” sem requisitos ou expectativas de serviço perfeito. Aliás, ao separar os dispositivos desta forma, estamos a categorizar os dispositivos e a protegê-los com a “melhor” segurança disponível para cada um, o que, se consultar um dos nossos blogues anteriores, é uma boa prática.  Para ainda mais práticas sobre como separar os dispositivos IoT, certifique-se de que consulta também o nosso blogue de Segurança de Dispositivos IoT.

Operações e segurança multi-link 

Como prometido, existe um ângulo de segurança para esta nova funcionalidade Wi-Fi 7. Multi-Link Operation (MLO, pode ler mais sobre isso no nosso anterior Wi-Fi 7, blog MLO) é a ideia de que vários rádios dentro de um dispositivo estarão a falar com outro dispositivo ao mesmo tempo, mas em diferentes bandas de rádio.  Para fazer isto funcionar, houve um problema com a identidade que precisou de ser resolvido, e foi sobre garantir que os frames da Camada 2 do mesmo dispositivo teriam o mesmo endereço MAC para que a extremidade recetora pudesse confirmar que os frames recebidos eram do mesmo dispositivo e não confundir frames de dispositivos diferentes. 

O que tem o Wi-Fi 7 e o MLO a ver com a segurança?

Com o MLO, há uma introdução de um endereço MAC de “nível superior” nos três rádios em um dispositivo Wi-Fi 7. Este endereço MAC simples e de alto nível é usado para as chaves de criptografia; em vez de três chaves serem usadas(uma chave para cada uma das possíveis bandas de rádio usadas), os dispositivos precisam apenas construir um conjunto de chaves. Conhecido como um endpoint MAC-SAP ou endereço MLD (Multi-Link Device), este endereço vive acima do transceptor de rádio real.

Esta chave única significa que, à medida que o dispositivo do cliente muda de banda durante a selecção da ligação MLO, não é necessário criar uma nova chave de encriptação. Com os requisitos de latência mais baixos de VR/AR/desportos, qualquer microssegundo guardado no lado RF da transmissão é fundamental para alcançar os números de latência que estas aplicações procuram. 

Embora não seja um desenvolvimento inovador no mundo da segurança, a MLO aponta para alguns desenvolvimentos futuros que podem afetar a forma como as redes e os dispositivos do cliente se veem em todas as comunicações sem fios. Partilhar um único endereço MAC para cada ligação sem fios tem algumas vantagens quando começamos a considerar o acesso de rádio convergente entre Wi-Fi e telemóvel e como um dispositivo poderia alternar entre os dois, dependendo de uma miríade de fatores. 

Não há nada no horizonte agora para qualquer desenvolvimento como esse, mas, tal como o MLO está a permitir que os dispositivos selecionem o melhor canal operacional no momento da transmissão, sugere que os nossos dispositivos clientes estão a começar a funcionar melhor com as nossas infraestruturas sem fios, e apenas coisas boas podem vir disso. 

E as redes RUCKUS? 

Pode saber mais sobre o Wi-Fi 7 visitando a página web do Wi-Fi 7 no website da RUCKUS Networks. Esta página será um recurso essencial para qualquer pessoa que pretenda manter-se atualizado sobre o Wi-Fi 7 à medida que nos aproximamos da ratificação da alteração pelo IEEE e do anúncio de certificação Wi-Fi 7 da Wi-Fi Alliance. Para continuar a ler o resto desta série de blogues, volte a consultar a página Wi-Fi 7 para ligações futuras ou a nossa secção de blogues.

Os leitores também podem saber mais sobre os produtos e soluções da RUCKUS Networks visitando estes websites: RUCKUS Produtos de Redes e Soluções de Redes RUCKUS. Para saber mais sobre como a RUCKUS pode ajudar a sua organização com a mais recente evolução em tecnologia de rede, envie-nos uma nota e um especialista pode entrar em contacto consigo, com Wi-Fi 7 ou quaisquer produtos da RUCKUS Networks.