WPA3, OWE ve WPA Enterprise Kablosuz Güvenliği
WPA3-PSK, OWE, WPA/WPA2/WPA3-Enterprise ve WPA3-192 Enterprise Wi-Fi güvenlik algoritmaları, KeeneticOS'te 3.1 sürümünden itibaren uygulanmıştır.
WPA3-192 Enterprise (Suite B) yapılandırması yalnızca Keenetic Giga (KN-1010) için mümkündür. Ayrıca, Kablosuz ISP bağlantıları için WPA3-PSK ve OWE protokolleri şu anda yalnızca bu model için mevcuttur.
WPA3-PSK (Wi-Fi Korumalı Erişim, Wi-Fi Alliance tarafından geliştirilmiş olup 2018 yılında duyurulmuştur), Wi-Fi ağlarda veri koruması sağlayan bir güvenlik algoritmasıdır. WPA3 protokol setinin üçüncü versiyonuna dahil edilmiş olan WPA3-Personal moduna aittir. Yeni protokol, 2004 yılında tanıtımı yapılan WPA2’nin yerine geçer. Yeni WPA3 protokolünün uygulanması ana fikrindeki amaç, WPA2 protokolündeki kusurları ortadan kaldırmak ve belirli saldırı türlerine karşı (Anahtar Yeniden Yükleme Saldırıları, KRACK) koruma sağlamaktır. WPA3 protokolü, WPA2’ya kıyasla daha yüksek güvenlik seviyesine sahiptir.
WPA3 protokolünde WPA3-Personal ve WPA3-Enterprise olmak üzere iki tür çalıştırma modu kullanılabilir.
WPA3-Personal (WPA3-PSK) modunda 128-bit veri şifreleme sağlanırken WPA3-Enterprise (Suite B) modunda 192-bit veri şifreleme sağlanmaktadır.
OWE ise açık (kamusal) Wi-Fi ağlarına bağlanan kullanıcıların güvenliğini ve gizliliğini artırmaya yönelik bir şifreleme yöntemidir.
WPA3 ve OWE güvenlik mekanizmaları ile ilgili ayrıntılı bilgi için şu bağlantılara bakınız: WPA3, SAE, OWE.
İpucu
KeeneticOS'nin 3.4.3'ten önceki sürümlerinde, dolaşım etkinken daha iyi uyumluluk için WPA2 ağ güvenlik protokolünü kullanmanızı öneririz. Aksi takdirde, WPA2+WPA3 modunda cihazlar WPA3'ü tercih edebilir ve böylece kesintisiz geçişleri kaybedebilir. WPA3 modunda FT (Hızlı Geçiş) desteği, 3.4.3 ve üzeri sürümlerde uygulanmaktadır.
WPA3-PSK ve OWE yapılandırması, Router'ın web arayüzünde, 'Ağlarım ve Wi-Fi' sayfasındaki 2,4 ve 5 GHz 'Kablosuz Ağ' ayarlarında mevcuttur. 'Ağ Koruması' açılır menüsünü bulun ve ağınız için uygun algoritmayı seçin.
Önemli
Yeni WPA3-PSK ve OWE ağ koruma mekanizmalarını kullanabilmek için kablosuz ağa bağlanacak cihazların bu algoritmaları destekliyor olması gerekir.
Bazı mobil cihazlarla karma şifreleme türü 'WPA2+WPA3' kullanıldığında hız düşüşü yaşayabilirsiniz. Daha fazla bilgi için lütfen 'Karma mod 'WPA2+WPA3' ile çalışırken bazı mobil istemcilerde hız düşüşüne ne neden olabilir?' başlıklı makaleye bakın.
WPA2+WPA3 Karma Modunu yalnızca tüm ev ağı cihazlarınızın bu modda doğru şekilde çalışacağından emin olduğunuzda etkinleştirmelisiniz.
Aşağıda bir Oneplus 6 akıllı telefonda (Android 9) bağlantı örnekleri verilmiştir.
WPA3-PSK ağ koruması (SAE):
OWE açık ağ koruması:
WPA Enterprise protokollerini kullanmak için 'WPA Enterprise' sistem bileşenini yüklemeniz gerekir. Bunu 'Genel Sistem Ayarları' sayfasında 'Bileşen Seçenekleri'ne tıklayarak yapabilirsiniz.
Sonrasında ise Wi-Fi ayarlarının bulunduğu yerde WPA Enterprise protokollerini konfigüre edebilirsiniz.
Not
WPA3 iki çalışma modu sunar: WPA3-Personal ve WPA3-Enterprise.
WPA3-Personal. WPA3 protokolündeki en önemli değişiklik, kaba kuvvet saldırılarına karşı ekstra koruma sağlayan yeni bir Eşlerin Eşzamanlı Kimlik Doğrulaması (SAE) yönteminin kullanılmasıdır. SAE, WPA2'de kullanılan basit PSK (Önceden Paylaşılmış Anahtar) değişim yönteminin yerini almayı amaçlamaktadır. SAE'nin amacı, bağlantı kurma sürecini hacker saldırılarından mümkün olduğunca korumaktır. SAE, cihazların eşitliği varsayımı altında çalışır. Her iki taraf da bir bağlantı isteği gönderebilir. Ardından, PSK anahtar değişim yönteminde olduğu gibi tek tek mesaj alışverişi yapmak yerine, kimlik doğrulama bilgilerini bağımsız olarak göndermeye başlarlar. SAE, bir saldırganın parolayı tahmin etmesini önlemek için kriptografi kullanan özel bir bağlantı kurma (dragonfly handshake) varyantı kullanır.
Yukarıdakilere ek olarak, SAE, PSK'nın sahip olmadığı ek bir güvenlik geliştirmesi için mükemmel ileri gizlilik (PFS) kullanır. Bir saldırganın, bir Router'ın İnternet'ten gönderdiği ve aldığı şifrelenmiş verilere erişim sağladığını varsayalım. Önceden, bir saldırgan bu verileri kaydedebilir ve ardından parola başarılı bir şekilde bulunursa şifresini çözebilirdi. SAE ile her yeni bağlantıda yeni bir şifreleme parolası ayarlanır ve bir hacker bir noktada ağa sızarsa, yalnızca o noktadan sonra gönderilen verilerden parolayı çalabilir.
SAE kimlik doğrulama yöntemi, IEEE 802.11-2016 standardında ayrıntılı olarak açıklanmıştır.
WPA3-Enterprise. Bu çalışma modu, bilgi güvenliği ve gizliliği konusunda en yüksek taleplere sahip kurumlarda kullanılmak üzere tasarlanmıştır. WPA3-Enterprise (Suite B), 192-bit veri şifrelemesi sağlar.
OWE (Fırsatçı Kablosuz Şifreleme), SAE'ye benzer şekilde IEEE 802.11 standardının bir uzantısıdır. OWE, güvenli olmayan bir ağ üzerinden iletilen verileri şifreleyerek güvence altına alır. Kullanıcıların ağa bağlanmak için herhangi bir ek adım atmaları veya parola girmeleri gerekmez.
Açık bir ağda meydana gelen birçok saldırı pasif olarak sınıflandırılır. Bir ağa çok sayıda istemci bağlandığında, bir saldırgan sadece geçen bilgileri filtreleyerek büyük miktarda veri toplayabilir.
OWE, pasif gizli dinlemeye karşı korunmak için RFC 8110'da tanımlanan fırsatçı şifrelemeyi kullanır. Ayrıca, bir saldırganın normal ağ çalışmasının bir parçası gibi görünen özel veri paketleri oluşturup ileterek ağı bozmaya çalıştığı paket enjeksiyonu saldırılarını da önler.