WPA3 и PMF на MikroTik — безопасность Wi-Fi
Стандарт WPA3 и механизм PMF (Protected Management Frames) существенно повышают безопасность беспроводных сетей. WPA3 заменяет уязвимый механизм обмена ключами PSK на более стойкий SAE, а PMF защищает управляющие фреймы от подделки, предотвращая атаки деаутентификации. MikroTik поддерживает WPA3 в RouterOS 7 на устройствах с чипсетами Qualcomm (wifi-qcom) и IPQ. В этой статье разберём теорию, настройку WPA3/PMF на MikroTik, переходный режим для совместимости со старыми устройствами и типичные проблемы.
Описание
Что такое WPA3
WPA3 (Wi-Fi Protected Access 3) — третье поколение протокола защиты беспроводных сетей, утверждённое Wi-Fi Alliance в 2018 году. Ключевые улучшения по сравнению с WPA2:
SAE (Simultaneous Authentication of Equals) — новый протокол обмена ключами, заменяющий PSK (Pre-Shared Key). В WPA2 злоумышленник мог перехватить 4-way handshake и офлайн подбирать пароль. В WPA3 используется протокол Dragonfly (основан на эллиптических кривых), который делает офлайн-перебор невозможным. Каждая сессия аутентификации независима — даже если злоумышленник узнает пароль позже, он не сможет расшифровать ранее захваченный трафик (forward secrecy).
WPA3-Personal — для домашних и малых офисных сетей. Использует SAE вместо PSK. Пароль может быть проще (SAE устойчив к словарным атакам), но рекомендуется всё равно использовать сложные пароли.
WPA3-Enterprise — для корпоративных сетей. Добавляет режим 192-bit security suite, использующий CNSA (Commercial National Security Algorithm) с AES-256-GCM и SHA-384. Требует RADIUS-сервер.
OWE (Opportunistic Wireless Encryption) — шифрование открытых сетей. Гостевые сети без пароля получают индивидуальное шифрование для каждого клиента. Замена открытых сетей в кафе, аэропортах и т.д.
Что такое PMF (Protected Management Frames, 802.11w)
PMF — стандарт IEEE 802.11w, защищающий управляющие фреймы Wi-Fi от подделки. Без PMF атакующий может отправлять поддельные фреймы деаутентификации (deauth) и диссоциации (disassoc), принудительно отключая клиентов от точки доступа. Это используется для:
- Атак деаутентификации — постоянное отключение клиентов (DoS)
- Evil Twin — отключение клиента от легитимной AP и подключение к фальшивой
- Захвата handshake — принудительная реаутентификация для перехвата WPA2 handshake
PMF шифрует и подписывает управляющие фреймы, делая их подделку невозможной. WPA3 требует PMF, но PMF можно включить и с WPA2 для повышения безопасности.
Режимы PMF:
| Режим | Описание |
|---|---|
| disabled | PMF выключен (по умолчанию в WPA2) |
| allowed | PMF поддерживается, но не обязателен |
| required | PMF обязателен, устройства без PMF не подключатся |
Поддержка устройствами
Не все клиентские устройства поддерживают WPA3 и PMF. Совместимость:
| Устройство/ОС | WPA3 | PMF |
|---|---|---|
| iPhone 7 и новее | Да | Да |
| iPad (2018+) | Да | Да |
| Android 10+ | Да | Да |
| Android 6-9 | Нет | Частично |
| Windows 10 (1903+) | Да | Да |
| Windows 11 | Да | Да |
| macOS Catalina (10.15+) | Да | Да |
| Linux (iwd/wpa_supplicant 2.10+) | Да | Да |
| IoT устройства (ESP32, камеры) | Обычно нет | Обычно нет |
| Принтеры Wi-Fi | Редко | Редко |
| Smart TV (2020+) | Частично | Частично |
Поддержка на MikroTik
WPA3 поддерживается на устройствах MikroTik с новым Wi-Fi-стеком wifi-qcom (RouterOS 7.13+):
- hAP ax² (C52iG-5HaxD2HaxD)
- hAP ax³ (C53UiG+5HPaxD2HPaxD)
- Audience (RBD25G-5HPacQD2HPnD)
- cAP ax
- wAP ax
Устройства со старым стеком wireless (hAP ac², hAP ac³, и т.д.) не поддерживают WPA3. Проверьте, какой стек используется:
[admin@MikroTik] >/interface/wifi/print
Если команда возвращает результат — у вас новый стек wifi-qcom. Если ошибка — проверьте:
[admin@MikroTik] >/interface/wireless/print
Это старый стек, WPA3 недоступен.
Настройка
Базовая настройка WPA3-Personal
Создайте профиль безопасности с WPA3-PSK (SAE):
[admin@MikroTik] >/interface/wifi/security add name=sec-wpa3 \ authentication-types=wpa3-psk \ passphrase="MyStr0ngP@ssw0rd2024!" \ ft=yes \ ft-over-ds=yes
Параметры:
authentication-types=wpa3-psk— только WPA3 (SAE)passphrase— пароль (рекомендуется 12+ символов)ft=yes— Fast Transition (802.11r) для быстрого роумингаft-over-ds=yes— Fast Transition через Distribution System
Примените профиль к интерфейсу:
[admin@MikroTik] >/interface/wifi/set [find where name=wifi1] \ security=sec-wpa3 \ security.connect-priority=0
Или при создании конфигурации с нуля:
[admin@MikroTik] >/interface/wifi/configuration add name=cfg-home \ ssid="HomeNetwork" \ country="Russia" \ security=sec-wpa3 \ channel.frequency=5180,5220,5260,5300,5500,5540,5580,5620,5660,5700 \ channel.width=20/40/80 /interface/wifi/set wifi1 configuration=cfg-home /interface/wifi/set wifi2 configuration=cfg-home
Переходный режим WPA2/WPA3 (Transition Mode)
Если в сети есть устройства, не поддерживающие WPA3 (принтеры, IoT, старые телефоны), используйте переходный режим:
[admin@MikroTik] >/interface/wifi/security add name=sec-wpa2-wpa3-transition \ authentication-types=wpa2-psk,wpa3-psk \ passphrase="MyStr0ngP@ssw0rd2024!" \ ft=yes \ ft-over-ds=yes
В этом режиме:
- Устройства с WPA3 подключаются по SAE
- Устройства без WPA3 подключаются по WPA2-PSK
- PMF автоматически устанавливается в
allowed(не required)
Проверим применение:
[admin@MikroTik] >/interface/wifi/security/print detail
Настройка PMF
PMF настраивается в профиле безопасности через параметр management-protection:
PMF Required (максимальная безопасность):
[admin@MikroTik] >/interface/wifi/security add name=sec-wpa3-pmf-required \ authentication-types=wpa3-psk \ passphrase="MyStr0ngP@ssw0rd2024!" \ management-protection=required
PMF Allowed (совместимость):
[admin@MikroTik] >/interface/wifi/security add name=sec-wpa2-pmf-allowed \ authentication-types=wpa2-psk,wpa3-psk \ passphrase="MyStr0ngP@ssw0rd2024!" \ management-protection=allowed
Рекомендации по выбору режима PMF:
| Сценарий | PMF | Authentication |
|---|---|---|
| Только новые устройства | required | wpa3-psk |
| Смешанная сеть (новые + старые) | allowed | wpa2-psk,wpa3-psk |
| Корпоративная сеть (BYOD) | allowed | wpa2-psk,wpa3-psk |
| IoT/принтеры в отдельном VLAN | disabled | wpa2-psk |
| Гостевая сеть (открытая с OWE) | required | owe |
Настройка WPA3-Enterprise
Для корпоративных сетей с RADIUS:
[admin@MikroTik] >/interface/wifi/security add name=sec-wpa3-enterprise \ authentication-types=wpa3-eap \ eap-accounting=yes \ management-protection=required /interface/wifi/configuration add name=cfg-corporate \ ssid="CorpNet" \ country="Russia" \ security=sec-wpa3-enterprise \ security.eap-radius-accounting=yes
Настройте RADIUS-сервер:
[admin@MikroTik] >/radius/add service=wireless address=10.0.0.10 secret="RadiusSecret123" \ authentication-port=1812 accounting-port=1813
Разделение сетей по уровню безопасности
Рекомендуемая архитектура — создать отдельные SSID для разных типов устройств:
[admin@MikroTik] ># Основная сеть — WPA3 only /interface/wifi/security add name=sec-main-wpa3 \ authentication-types=wpa3-psk \ passphrase="MainNetwork2024!Secure" \ management-protection=required # Совместимая сеть — WPA2/WPA3 transition /interface/wifi/security add name=sec-compat \ authentication-types=wpa2-psk,wpa3-psk \ passphrase="CompatNetwork2024" \ management-protection=allowed # IoT сеть — WPA2 (изолированный VLAN) /interface/wifi/security add name=sec-iot \ authentication-types=wpa2-psk \ passphrase="IoTdevices2024" \ management-protection=disabled
Создайте конфигурации:
[admin@MikroTik] >/interface/wifi/configuration add name=cfg-main ssid="Home-Secure" security=sec-main-wpa3 \ country="Russia" add name=cfg-compat ssid="Home" security=sec-compat \ country="Russia" add name=cfg-iot ssid="Home-IoT" security=sec-iot \ country="Russia"
Назначьте на виртуальные интерфейсы с разными VLAN:
[admin@MikroTik] ># Основной интерфейс — WPA3 /interface/wifi/set wifi1 configuration=cfg-main # Виртуальный интерфейс — совместимый /interface/wifi/add master-interface=wifi1 configuration=cfg-compat \ name=wifi-compat # Виртуальный интерфейс — IoT /interface/wifi/add master-interface=wifi1 configuration=cfg-iot \ name=wifi-iot
Настройка OWE (Opportunistic Wireless Encryption)
OWE шифрует открытые сети без пароля. Идеально для гостевых сетей:
[admin@MikroTik] >/interface/wifi/security add name=sec-guest-owe \ authentication-types=owe \ management-protection=required /interface/wifi/configuration add name=cfg-guest ssid="Guest-Encrypted" security=sec-guest-owe \ country="Russia" /interface/wifi/add master-interface=wifi1 configuration=cfg-guest \ name=wifi-guest
Клиенты без поддержки OWE не увидят эту сеть как открытую. Для полной совместимости можно создать параллельную открытую сеть для старых устройств.
Проверка
Проверка текущих подключений
Посмотрите, какой протокол аутентификации и PMF использует каждый клиент:
[admin@MikroTik] >/interface/wifi/registration-table/print detail
В выводе обратите внимание на поля:
authentication— показываетwpa3-pskилиwpa2-pskencryption—ccmp(AES) для WPA2,ccmpилиgcmp-256для WPA3management-protection—yesилиno
Для краткой сводки:
[admin@MikroTik] >/interface/wifi/registration-table/print proplist=interface,mac-address,authentication,management-protection
Проверка настроек безопасности
[admin@MikroTik] >/interface/wifi/security/print detail
[admin@MikroTik] >/interface/wifi/print detail where name=wifi1
Проверка с клиентского устройства
Windows: откройте PowerShell и выполните:
codenetsh wlan show interfaces
В строке Authentication должно быть WPA3-Personal.
macOS: удерживая Option, нажмите на иконку Wi-Fi в строке меню. В расширенной информации будет показан тип аутентификации.
Android: Настройки → Wi-Fi → подключённая сеть → «Тип безопасности» должен показывать WPA3.
Linux: выполните:
codeiw dev wlan0 link
Мониторинг попыток деаутентификации
С PMF=required атаки деаутентификации не будут работать. Проверьте логи:
[admin@MikroTik] >/log/print where topics~"wireless"
Если вы видите множественные сообщения о деаутентификации при включённом PMF — это может быть попытка атаки, которую PMF успешно блокирует.
Тест совместимости
Перед переключением production-сети на WPA3 рекомендуется провести тест:
- Создайте тестовый SSID с WPA3-only
- Подключите все типы устройств из вашей сети
- Проверьте стабильность подключения в течение суток
- Зафиксируйте устройства, которые не смогли подключиться
[admin@MikroTik] ># Создаём тестовый SSID /interface/wifi/security add name=sec-wpa3-test authentication-types=wpa3-psk \ passphrase="TestWPA3network!" management-protection=required /interface/wifi/configuration add name=cfg-wpa3-test ssid="WPA3-Test" security=sec-wpa3-test \ country="Russia" /interface/wifi/add master-interface=wifi1 configuration=cfg-wpa3-test \ name=wifi-wpa3-test disabled=no
После тестирования удалите тестовый интерфейс:
[admin@MikroTik] >/interface/wifi/remove [find where name=wifi-wpa3-test] /interface/wifi/configuration/remove [find where name=cfg-wpa3-test] /interface/wifi/security/remove [find where name=sec-wpa3-test]
Типичные ошибки
1. Старые устройства не могут подключиться
Самая частая проблема при включении WPA3. Устройства с Android 9 и ниже, старые ноутбуки, принтеры, IP-камеры, Smart TV и IoT-устройства обычно не поддерживают WPA3 и PMF.
Решение: используйте переходный режим wpa2-psk,wpa3-psk с management-protection=allowed. Это позволяет старым устройствам подключаться по WPA2, а новым — по WPA3.
Альтернативное решение: создайте отдельный SSID с WPA2 в изолированном VLAN для legacy-устройств.
2. PMF required отключает IoT-устройства
Многие IoT-устройства (умные лампочки, розетки, датчики) не поддерживают PMF. При management-protection=required они не смогут подключиться.
Решение: выделите IoT-устройства в отдельный VLAN и SSID с management-protection=disabled и authentication-types=wpa2-psk. Изолируйте этот VLAN от основной сети через firewall.
3. Нестабильное подключение в transition mode
Некоторые клиенты могут «прыгать» между WPA2 и WPA3, вызывая переподключения.
Решение: обновите драйверы Wi-Fi на клиентских устройствах. На Windows проверьте свойства адаптера: Device Manager → Network adapters → Wi-Fi adapter → Properties → Advanced → 802.11w Management Protection. Убедитесь, что параметр не в состоянии Disabled.
4. WPA3 не работает — нет опции authentication-types=wpa3-psk
Ваше устройство MikroTik использует старый Wi-Fi-стек wireless вместо wifi-qcom. WPA3 доступен только на новом стеке.
Проверьте:
[admin@MikroTik] ># Новый стек (поддерживает WPA3) /interface/wifi/print # Старый стек (НЕ поддерживает WPA3) /interface/wireless/print
Если ваше устройство на старом стеке, единственный вариант — обновить оборудование на модели с поддержкой wifi-qcom.
5. Забыли включить PMF при WPA3
WPA3 по стандарту требует PMF. Если вы настроили authentication-types=wpa3-psk, но management-protection=disabled, RouterOS 7 автоматически установит PMF в required. Однако в переходном режиме wpa2-psk,wpa3-psk PMF может остаться в allowed. Проверьте фактическое состояние:
[admin@MikroTik] >/interface/wifi/security/print detail
6. Fast Transition (802.11r) конфликтует с WPA3 на некоторых клиентах
Некоторые клиенты (особенно на Android) могут иметь проблемы с одновременным использованием FT и WPA3-SAE. Если наблюдаются проблемы с подключением:
[admin@MikroTik] >/interface/wifi/security/set [find where name=sec-wpa3] ft=no ft-over-ds=no
После обновления прошивки клиентов попробуйте вернуть FT.
7. Клиент подключается по WPA2 вместо WPA3 в transition mode
В переходном режиме клиент сам выбирает протокол. Windows и macOS обычно предпочитают WPA3, но Android может выбрать WPA2. Проверьте через registration-table:
[admin@MikroTik] >/interface/wifi/registration-table/print proplist=mac-address,authentication
Если критично использование WPA3 — настройте WPA3-only и создайте отдельный WPA2 SSID для несовместимых устройств.
8. Не обновлена RouterOS
WPA3 в стеке wifi-qcom стабильно работает начиная с RouterOS 7.13. Более ранние версии могут иметь баги. Обновитесь до актуальной версии:
[admin@MikroTik] >/system/package/update/check-for-updates /system/package/update/install
Рекомендации по внедрению
- Новые сети — сразу настраивайте WPA3-only с
management-protection=required - Существующие сети — переходите через transition mode (
wpa2-psk,wpa3-psk), мониторьте клиентов в течение месяца - Корпоративные сети — используйте WPA3-Enterprise с RADIUS и PMF required
- Гостевые сети — OWE вместо открытых сетей (если устройства поддерживают)
- IoT — отдельный VLAN с WPA2, изолированный через firewall
- Обновляйте RouterOS — каждая версия улучшает поддержку WPA3
- Документируйте — составьте список устройств в сети и их совместимость с WPA3/PMF
WPA3 и PMF — это не просто «галочка» в настройках, а реальное повышение безопасности беспроводной сети. Атаки деаутентификации и офлайн-перебор паролей становятся невозможными, что особенно важно для корпоративных и публичных сетей.
/interface/wifi/print
/interface/wireless/print
/interface/wifi/security
add name=sec-wpa3 \
authentication-types=wpa3-psk \
passphrase="MyStr0ngP@ssw0rd2024!" \
ft=yes \
ft-over-ds=yes
/interface/wifi/set [find where name=wifi1] \
security=sec-wpa3 \
security.connect-priority=0
/interface/wifi/configuration
add name=cfg-home \
ssid="HomeNetwork" \
country="Russia" \
security=sec-wpa3 \
channel.frequency=5180,5220,5260,5300,5500,5540,5580,5620,5660,5700 \
channel.width=20/40/80
/interface/wifi/set wifi1 configuration=cfg-home
/interface/wifi/set wifi2 configuration=cfg-home
/interface/wifi/security
add name=sec-wpa2-wpa3-transition \
authentication-types=wpa2-psk,wpa3-psk \
passphrase="MyStr0ngP@ssw0rd2024!" \
ft=yes \
ft-over-ds=yes
/interface/wifi/security/print detail
/interface/wifi/security
add name=sec-wpa3-pmf-required \
authentication-types=wpa3-psk \
passphrase="MyStr0ngP@ssw0rd2024!" \
management-protection=required
/interface/wifi/security
add name=sec-wpa2-pmf-allowed \
authentication-types=wpa2-psk,wpa3-psk \
passphrase="MyStr0ngP@ssw0rd2024!" \
management-protection=allowed
/interface/wifi/security
add name=sec-wpa3-enterprise \
authentication-types=wpa3-eap \
eap-accounting=yes \
management-protection=required
/interface/wifi/configuration
add name=cfg-corporate \
ssid="CorpNet" \
country="Russia" \
security=sec-wpa3-enterprise \
security.eap-radius-accounting=yes
/radius/add service=wireless address=10.0.0.10 secret="RadiusSecret123" \
authentication-port=1812 accounting-port=1813
# Основная сеть — WPA3 only
/interface/wifi/security
add name=sec-main-wpa3 \
authentication-types=wpa3-psk \
passphrase="MainNetwork2024!Secure" \
management-protection=required
# Совместимая сеть — WPA2/WPA3 transition
/interface/wifi/security
add name=sec-compat \
authentication-types=wpa2-psk,wpa3-psk \
passphrase="CompatNetwork2024" \
management-protection=allowed
# IoT сеть — WPA2 (изолированный VLAN)
/interface/wifi/security
add name=sec-iot \
authentication-types=wpa2-psk \
passphrase="IoTdevices2024" \
management-protection=disabled
/interface/wifi/configuration
add name=cfg-main ssid="Home-Secure" security=sec-main-wpa3 \
country="Russia"
add name=cfg-compat ssid="Home" security=sec-compat \
country="Russia"
add name=cfg-iot ssid="Home-IoT" security=sec-iot \
country="Russia"
# Основной интерфейс — WPA3
/interface/wifi/set wifi1 configuration=cfg-main
# Виртуальный интерфейс — совместимый
/interface/wifi/add master-interface=wifi1 configuration=cfg-compat \
name=wifi-compat
# Виртуальный интерфейс — IoT
/interface/wifi/add master-interface=wifi1 configuration=cfg-iot \
name=wifi-iot
/interface/wifi/security
add name=sec-guest-owe \
authentication-types=owe \
management-protection=required
/interface/wifi/configuration
add name=cfg-guest ssid="Guest-Encrypted" security=sec-guest-owe \
country="Russia"
/interface/wifi/add master-interface=wifi1 configuration=cfg-guest \
name=wifi-guest
/interface/wifi/registration-table/print detail
/interface/wifi/registration-table/print proplist=interface,mac-address,authentication,management-protection
/interface/wifi/security/print detail
/interface/wifi/print detail where name=wifi1
netsh wlan show interfaces
iw dev wlan0 link
/log/print where topics~"wireless"
# Создаём тестовый SSID
/interface/wifi/security
add name=sec-wpa3-test authentication-types=wpa3-psk \
passphrase="TestWPA3network!" management-protection=required
/interface/wifi/configuration
add name=cfg-wpa3-test ssid="WPA3-Test" security=sec-wpa3-test \
country="Russia"
/interface/wifi/add master-interface=wifi1 configuration=cfg-wpa3-test \
name=wifi-wpa3-test disabled=no
/interface/wifi/remove [find where name=wifi-wpa3-test]
/interface/wifi/configuration/remove [find where name=cfg-wpa3-test]
/interface/wifi/security/remove [find where name=sec-wpa3-test]
# Новый стек (поддерживает WPA3)
/interface/wifi/print
# Старый стек (НЕ поддерживает WPA3)
/interface/wireless/print
/interface/wifi/security/print detail
/interface/wifi/security/set [find where name=sec-wpa3] ft=no ft-over-ds=no
/interface/wifi/registration-table/print proplist=mac-address,authentication
/system/package/update/check-for-updates
/system/package/update/install