GIỚI THIỆU: - Tiêu chuẩn Wi-Fi Proteced Access (WPA) dùng để bảo vệ truy cập WiFi ban đầu được ra mắt vào năm 2003 để thay thế thuật toán bảo mật WEP, sau đó được thay thể bởi WPA2 vào 2004. WPA3, được công bố bởi Liên minh Wi-Fi vào 2018, giới thiệu các tính năng mới để đơn giản hóa bảo mật WiFi, bao gồm cho phép xác thực tốt hơn, tăng cường độ mạnh mã hóa, và yêu cầu sửdungj khung quản lý - Protected Management Frames (PMFs) để tăng bảo vệ mạng. - Bài viết này cung cấp thông tin chi tiết về WPA3 để giúp người dùng có kiến thức để đưa ra các quyết định bảo vệ mạng. - WPA3 được bật lên mặc định trên cấu hình mạng không dây từ firmware MR 27.X. - Những Meraki Legacy Access Point (802.11ac Wave-1 hoặc cũ hơn) sẽ không hỗ trợ WPA3/MR 27+; nếu cấu hình SSID mà sử dụng WPA3, AP sẽ mã hóa sử dụng WPA2. MÃ HÓA BẢO MẬT: - Cisco Meraki MR AP hỗ trợ 2 mode WPA3: WPA3-Personal WPA3-Enterprise - WPA3-Personal cho phép xác thực dựa trên mật khẩu tốt hơn khi ngay cả khi sử dụng các tổ hợp không phức tạp. WPA3 sử dụng xác thực Simultaneous Authentication of Equals (SAE) để cung cấp khả năng phòng vệ mạnh mẽ hơn để chống lại dò đoán mật khẩu. SAE là giao thức thiết lập khóa bảo mật. - WPA3-Enterprise cung cấp bảo mật truyền thống cho mạng truyền tải dữ liệu nhạy cảm bằng cách cung cấp mật mã mạnh tương đương 192-bit. WPA3-PERSONAL: - WPA3-Personal sử dụng SAE được xây dựng trên WPA2 PSK, nơi user có thể xác thực chỉ cần sử dụng mật khẩu. - SAE thêm một lớp bảo mật bằng cách xác thực cả STA và Meraki AP ngay cả trước khi có Yêu cầu/Phản hồi liên kết. Việc này cung cấp một lợi thế khi sử dụng mật khẩu không phức tạp. SAE là một biến thể của RFC 7664, Dragonfly Key Exchange. - WPA3-Personal có 2 dạng: WPA3 Only WPA3 Transition Mode WPA3 Only: - Khi sử dụng WPA3 Only, AP sẽ truyền đến thông báo khả năng chỉ cấp nhận STA sử dụng WPA3 SAE. Khi sử dụng Transition Mode, AP sẽ quảng bá đến thông báo khả năng để chấp nhận STA sử dụng cả hai WPA2 và WPA3. Trong cấu hình này, STA đó không hỗ trợ WPA3 có thể vẫn kết nối đến SSID. - WPA3 SAE theo quá trình sau: 1. Probe Request: Yêu cầu thăm dò • Gửi yêu cầu tới AP sau khi thấy có tín hiệu. 2. Probe Response: Phản hồi thăm dò • Gửi phản hồi tới STA. 3. Authentication (Commit): Xác thực STA (Cam kết) từ STA tới AP • Gói tin là một frame xác thực 802.11. • Cam kết bao gồm xác thực SAE Seq. 1 với một đại lượng vô hướng và một phần từ không liên quan đến mật khẩu được sử dụng. • Điều này được sử dụng để tạo PMK (Pairwise Master Key) trên STA. 4. Authentication (Commit) : Trả lơif Xác thực (Cam kết) từ AP tới STA. • Gói tin là một frame xác thực 802.11. • Cam kết sẽ bao gồm xác thực SAE Seq 1 với một đại lượng vô hướng và một phần từ không liên quan đến mật khẩu được sử dụng. • Điều này được sử dụng để tạo PMK (Pairwise Master Key) trên AP. 5. Xác thực (Xác nhận) từ STA tới AP • Gói tin là một frame xác thực 802.11. • Xác nhận bao gồm Seq 2 với thông tin xác nhận với key đã được tạo cho AP để xác nhận. 6. Xác thực (Xác nhận) từ AP tới STA • Gói tin là một frame xác thực 802.11. • Xác nhận bao gồm Seq 2 với thông tin xác nhận với key đã được tạo để STA biết được key giống hoặc từ chối xác thực. 7. Regular Association Request : Gửi yêu cầu liên kết định kỳ 8. Regular Association Response : Gửi phản hồi liên kết định kỳ 9. Bắt tay 4 bước khởi tạo PMK ngẫu nhiên với phương pháp SAE. Sau bước này dữ liệu có thể được truyền đi. Cấu hình: - Để bật WPA-SAE lên, chuyển hướng đến Wireless > Configure > Access control > Security và thay đổi lựa chọn WPA encryption thành WPA3 only. WPA Transition Mode: - WPA SAE có chế độ chuyển đổi (cũng được gọi là chế độ hỗn hợp) được tạo ra để cho phép các WPA2 client cùng có trong cùng SSID được sử dụng cho WPA3. Mặc dù WPA3 cần phải có MFP/802.11w phải chọn Required, Dasboard cũng có thể cài đặt thành Enabled, do đó STA không tương thích với MPA3 hoặc MFP vẫn có thể kết nối liên tục được. - 802.11w có thể cài đặt thành Required, tuy nhiên các WPA2 client không hỗ trợ MFP sẽ không thể kết nối thành công. Cấu hình: - Để bật WPA Transition Mode, chuyển hướng tới Wireless > Configure > Access Control > Security và chọn cài đặt tùy chọn WPA encryption thành WPA3 Transition Mode. Biểu đồ hành vi của Client cho WPA3 Personal: - Biểu đồ dưới đây miêu tả các hành vì kết nối khác nhau của STA dựa vào cấu hình Dashboard: WPA3-ENTERPRISE: - WPA3 Enterprise được xây dựng trên WPA2 và mang mục đích nhằm thay thay thế nó trong tương lai. Bảo mật cao với 192-bit trong khi vẫn sử dụng chuẩn xác thực 802.1X để cung cấp một bảo vệ mạng không dây dành cho doanh nghiệp. Mang đến một phương pháp mã hóa cấp cao để bảo vệ tốt hơn nữa cho mọi loại dữ liệu. Bộ bảo mật này phù hợp với mạng WiFi phải được đặt trong bảo mật cao như: chính phủ, quân sự, tài chính, và các đơn vị công nghiệp. - Để sử dụng WPA3 enterprise, RADIUS server phải sử dụng một trong các mã EAP được phép: • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - Để sử dụng xác thực này, RADIUS server phải hỗ trợ các loại mật mã như trên. Ngoài ra, bảo mật WPA3 192-bit sẽ được dành riêng cho EAP-TLS, yêu cầu chứng chỉ trên cả máy chủ hỗ trợ và RADIUS server. - WPA3-Enterprise cũng tương tự như ở WPA2, tuy nhiên sẽ được tăng cường thêm các mật mã như đã nói ở trên. - Tiến trìnhWPA3-Enterprise như sau: 1. Yêu cầu thăm dò từ STA tới AP 2. Phản hồi thằm dò sẽ kèm theo RSN SHA384 Suite-b để cho biết đây là WPA3 enterprise với bảo mật 192-bit 3. Gửi 802.11 Authentication với phiên SEQ 1 từ STA tới AP 4. Trả lời 802.11 Authentication với phiên SEQ 2 từ AP tới STA 5. Gửi yêu cầu tham gia kèm khả năng RSN từ STA tới AP 6. Phản hồi yêu cầu tham gia từ AP tới STA 7. Quá trình EAP này sẽ bao gồm cả Yêu cầu/Trả lời xác thực và thông tin đăng nhập mở rộng với RADIUS server sử dụng giao thức EAP-TLS 8. Nếu xác thực hoàn tất với RADIUS server, thông báo Access-Accept (Trup cập - Đã được xác nhận) sẽ được truyền gửi tới STA từ AP như là thông báo thành công. 9. Cuối cùng, dựa trên quá trình EAP một PMK sẽ được tạo và bắt tay 4-bước sẽ tạo tự động các valid key để đảm bảo mã hóa. Sau bước này, thường dữ liệu có thể được truyền đi Cấu hình: - Để bật WPA3-Enterprise trên Dashboard, thực hiện theo các bước sau: 1. Đi đến Wireless > Access control > Security 2. Chọn Enterprise with my RADIUS server 3. Chọn WPA encryption selection là WPA3 only. 4. Cấu hình RADIUS server. - WPA3 enterprise không được hỗ trợ với xác thực bằng Meraki Cloud Authentication. OPPORTUNISTIC WIRELESS ENCRYPTION (OWE): - Cấu hình Opportunistic wireless encryption (OWE) cung cấp một tích hợp bảo mật dành cho các client mà không yêu cầu user phải nhập xác thực hoặc mật khẩu. - Chi tiết có trong RFC 8110, OWE giúp bảo vệ client tương tự với SAE. - Để cấu hình vào theo đường dẫn: Wireless > Configure > Access control > Security và chọn Opportunistic Wireless Encryption (OWE) - OWE transition vẫn chưa được hỗ trợ các dòng Meraki Access Point MR. - OWE được hiển thị trong trang Access Control từ Meraki MR27.1 trở lên. - Client không hỗ trợ OWE sẽ thất bại khi thử truy cập vào SSID. WPA3 VÀ 6 GHZ: - SSID 6 GHz chỉ hỗ trợ sử dụng WPA3, có nghĩa rằng chế độ Transition sẽ không được hỗ trợ. Do đó, nếu cấu hình mà không được hỗ trợ trên SSID được thực hiện, 6 GHz sẽ bị tắt ở mặc định. - Bạn nên sử dụng các tên SSID khác nhau nếu mã hóa không khớp (WPA2 trên 2.4 / 5 GHz so với WPA3 trên 6 GHz). -Tương thích với cấu hình: * OWE hiện mới có trên trang Access Control. - Bên dưới là ba loại WLAN đặc trưng và lựa chọn thường thấy nhất của giao thức bảo mật cho từng loại: - Theo thời gian, các driver trên client mới dần hỗ trợ cho chế độ WPA3-Enterprise và WPA3-SAE-H2E trên cả hai băng tần 2.4 & 5 GHz cũng như 6 GHz. Sau đó, điều này sẽ cho phép client roaming liền mạch giữa băng tần 2.4/5 GHZ và 6GHz sử dụng WPA3-SAE-H2E.
