WPA2 staat voor Wireless Fidelity Protected Access 2 – Pre-Shared Key. Hiermee kunnen thuisgebruikers of kleine kantoren hun netwerk beveiligen zonder een authenticatieserver voor bedrijven te gebruiken.
Hoe werkt WPA2-PSK?
WPA2-PSK vereist een router met een wachtwoordzin met een lengte van 8 tot 63 tekens om de gegevens in het netwerk te versleutelen. Het maakt gebruik van een technologie genaamd TKIP (Temporal Key Integrity Protocol), dat de netwerk-SSID en de wachtwoordzin vereist om unieke encryptiesleutels voor elke draadloze client te genereren.
WPA2-PSK (AES) is veiliger dan WPA2-PSK (TKIP), maar WPA2-PSK (TKIP) kan worden gebruikt met oudere apparaten die geen WPA2-PSK (AES) ondersteunen.
Wanneer een gebruiker verbinding maakt met de router, voert hij of zij een wachtwoord in om zijn of haar identiteit te verifiëren. Zolang het wachtwoord overeenkomt, wordt de gebruiker verbonden met het WLAN.
Met WPA2-PSK kunnen gebruikers hun gegevens beveiligen die via het draadloze kanaal tussen een router en andere netwerkapparaten worden verzonden. Het is de nieuwste generatie wifi-beveiliging waarbij de sleutel wordt gedeeld tussen verbonden apparaten. WPA2-PSK staat ook bekend als WPA2 Personal.
Is WPA2-PSK kwetsbaar?
WPA2-PSK is ontworpen voor kleine kantoren en thuisnetwerken, zodat gebruikers het netwerk waarmee ze verbonden zijn, kunnen vertrouwen. WPA2-PSK is veilig, maar deelt een wachtwoord met alle gebruikers die met het netwerk verbonden zijn, waardoor aanvallers het netwerk kunnen bespioneren.
WPA2-PSK wordt ook gebruikt op luchthavens, openbare hotspots en universiteiten, omdat het eenvoudig te implementeren is en slechts één wachtwoord vereist. Maar als uw WPA2-PSK gehackt wordt, kan een aanvaller gemakkelijk toegang krijgen tot uw netwerk en de volgende schadelijke activiteiten uitvoeren:
- Schakel spoofing
- Spanning Tree Protocol (STP)-aanvallen
- Dynamische hostconfiguratie (DHCP)-spoofing
- Media Access Control (MAC)-spoofing
- Dubbele tagging
- Spoofing van Address Resolution Protocol (ARP).
Het gebruik van één wachtwoord voor netwerktoegang vereist dat het wachtwoord op elk apparaat van elke gebruiker geheim wordt gehouden. De reden hiervoor is dat als één gebruiker wordt gehackt, alle andere gebruikers gehackt kunnen worden.
Brute force-aanvallen zoals woordenboekaanvallen kunnen worden uitgevoerd en een aanvaller kan al het apparaatverkeer ontsleutelen als hij de vooraf gedeelde sleutel bemachtigt en de sleutelhandshake vastlegt terwijl een gebruiker zich aansluit bij het netwerk.
Alternatieven voor WPA2-PSK
WPA2-PSK is veilig genoeg voor een thuisnetwerk, omdat gebruikers hun wachtwoord kunnen wijzigen als ze twijfelen of een onbedoelde persoon het wachtwoord gebruikt.
Als gebruikers de beveiliging echter niet in gevaar willen brengen, kan WPA2-Enterprise worden gebruikt om elke deelnemer een ander wachtwoord te geven en toegang tot het netwerk als geheel te blokkeren. Het isoleert het netwerk per gebruiker. De vereiste van RADIUS in de 802.1x-implementatie maakt het complex, maar voor meer veiligheid kan 802.1x worden gebruikt, dat authenticatie via certificaten in plaats van inloggegevens mogelijk maakt.
Beveilig uw 802.1x-netwerk met WPA2 EAP-TLS-authenticatie
De grotere organisatie kan WPA2 Extensible Authentication Protocol over Transport Layer Security gebruiken. Dit protocol maakt gebruik van AES-encryptie, maar voegt gebruikersnaam- en wachtwoordauthenticatie toe. Een gebruiker zonder geregistreerd account of wiens account is uitgeschakeld, heeft geen toegang tot het draadloze netwerk. Het draadloze netwerk kan ondoordringbaar zijn voor over-the-air-aanvallen door certificaatgebaseerde authenticatie die afhankelijk is van EAP-TLS met servercertificaatvalidatie. De ongeautoriseerde gebruiker heeft geen toegang tot de informatie die voor authenticatie wordt verzonden via een versleutelde EAP-tunnel en de identificatiegegevens worden alleen naar de juiste RADIUS verzonden via het servercertificaatvalidatieproces.
De implementatie van WPA2 EAP-TLS kan een probleem zijn vanwege de complexiteit van het initiële ontwerp en de configuratie. Het kan ook resource-intensief zijn, omdat het de installatie en het beheer van een Public Key Infrastructure vereist.
Beveilig uw netwerk met WPA3
WPA3 lost het beveiligingsprobleem op door gebruik te maken van gepersonaliseerde gegevensversleuteling. Als WPA3 is ingeschakeld en de gebruiker verbinding maakt met een open wifi-netwerk, worden de gegevens die tussen het apparaat en het wifi-toegangspunt worden verzonden, versleuteld. Zelfs tijdens het verbinden hoeft de gebruiker geen wachtwoord in te voeren.
Conclusie
Beveiliging is essentieel in deze verbonden wereld. Onze gegevens moeten beveiligd zijn en alleen toegankelijk zijn voor de beoogde persoon. In de huidige wereld van draadloze netwerken moeten we onze netwerkbeveiliging zo actueel mogelijk instellen, zodat niemand ons netwerk kan binnendringen. Gebruikers moeten WPA3 gebruiken om de authenticatie te verbeteren en encryptie terwijl de verbinding eenvoudiger wordt gemaakt. WPA3-SAE (Simultaneous Authentication of Equals) verving het WPA2-PSK-authenticatieproces. WPA3-SAE gebruikt een 128-bits encryptiesleutel en het Forward Secrecy-protocol om offline woordenboekaanvallen te weerstaan en tegelijkertijd de beveiliging van de sleuteluitwisseling te verbeteren zonder extra complexiteit. WPA2-Enterprise daarentegen is vervangen door WPA3-Enterprise, dat een 192-bits encryptiesleutel en een 48-bits initialisatievector gebruikt, zoals vereist door gevoelige organisaties.
