Foro Wifi-libre.com

WPA3 sin dolores de cabeza en OpenWRT

  Para empezar 2022 como se debe les propongo un viaje hacía el futuro en un mundo cifrado con WPA3. Por el 2034 o algo así...

Broma a parte, a pesar de un plan de comunicación triunfalista por parte de la Wifi Alliance, el WPA3 no acaba de llegar en el mundo real.   
Los proveedores de servicios de Internet no dan el paso aunque existe un modo de compatibilidad WPA2-WPA3.
  En 2022 aún cuesta mucho "cruzarse" con una red WPA3,
El ataque KRACK y el lanzamiento del WPA3 cómo contra-medida son historias del... 2018.
Poco "proactivo" (es la palabra de moda para decir reactivo, pero suena mejor porque es más "pro")   

  Para no quedarse atrapados en el tiempo vamos a ver lo fácil que es dotar su red de lo último en seguridad wifi.
Y veremos de paso algunos casos prácticos en configuración mixta (WPA2-WPA3) y estricta (WPA3)

Soporte por defecto con Open WRT 21.02.0

  _______                     ________        __
 |       |.-----.-----.-----.|  |  |  |.----.|  |_
 |   -   ||  _  |  -__|     ||  |  |  ||   _||   _|
 |_______||   __|_____|__|__||________||__|  |____|
          |__| W I R E L E S S   F R E E D O M
 -----------------------------------------------------
 OpenWrt 21.02.0, r16279-5cc0535800
 -----------------------------------------------------

El WPA3 llegó con la versión estable anterior (19.07) pero no estaba incluido por defecto ya que aún en fase de desarrollo,
Está presente de serie en la ultima versión del firmware (Era de hecho el mayor propósito de esta nueva versión).
Para actualizar tu sistema - si no está echo - debes descargar el firmware en la página oficial descargas OpenWRT
Consulta la lista de compatibilidad para saber si tu router tiene soporte para la ultima versión
Entras en el portal y vas a system > Backup & Flash firmware > Flash new firmware image (última opción en pie de página)

  La configuración se hace dónde siempre se hace: Network > Wireless y haciendo clic en el botón edit de muestra red wifi

  Luego hacemos clic en  advanced settings y vamos abajo del todo, pinchamos en "Wireless Security" y podremos habilitar el WPA3,

  Podríamos de paso habilitar la ultima opción, las medidas anti-KRACK (es de todo modo una droga muy mala ), pero no son una panacea,
  Volviendo al WPA3, podéis ver que tenemos a las dos opciones:

1. WPA3·SAE y su famoso handshake "dragonfly" con curva elíptica de la muerte, WPA3 estricto

2. WPA2-PSK & WPA3-SAE, el modo mixto 

Caso practico WPA3-SAE

• 1. Tengo a un teléfono con Android 8.0 y no tiene soporte para WPA3.
     Para WPA3 necesitaría comprar uno nuevo, compatible por lo menos con Android 9.0
     El resultado es lo esperado: La conexión es imposible

  2. Con el sobremesa Linux hay soporte y la conexión se establece sin problemas
     Capturando el handshake podemos comprobar que la conexión está correctamente cifrada: Aircrack-ng simplemente no arranca.

  No hay tampoco PMKID: La red no se puede crackear con un ataque por diccionario convencional.

Caso practico WPA2-PSK & WPA3·-SAE

• 1. El teléfono no compatible cpn WPA3 se conecta a la red.
     El cifrado anunciado por el router es WPA3 pero no hay milagros: Tenemos a un handshake "clásico" y la llave se rompe con aircrack-ng:
     

  2. Con el PC pasa una cosa rara durante la primera conexión: Capturamos una PMKID...
     
     ...Pero no sirve de nada: Es una PMKID hecha de 0, lo normal si está deshabilitada

  3. Pillando un handshake con una DoS pasa lo esperado
     
     aircrack-ng no puede con el cifrado SAE.

  Sobre el funcionamiento del protocolo no hay ninguna buena o mala sorpresa.
Los clientes compatibles WPA3 gozan del cifrado SAE.
Sus handshake no son crackeable con las herramientas para WPA2,
  En modo mixto los clientes que no son compatibles con WPA3 se conectan, lógicamente en WPA2.
Siguen vulnerables a los ataques por diccionario,
  Si tus clientes no son compatibles (es mi caso) tampoco hay que ponerse de los nervios: WPA2 es seguro si se usa una llave personal robusta,

Fuentes

• OpenWrt 21.02 Comes with WPA3 Support Included by Default @ linuxniac by Bobby Borisov

• OpenWrt 21.02.0 - First Stable Release - 4 September 2021 by OpenWRT