Содержание
ВВЕДЕНИЕ…………………………………………………………………....3
1 Азы протокола WPA2………………………………………………...……4
2 Шифрование WPA2………………………………………………………..8
3 Стандарт безопасности WPA2………………………………………..….11
4 Ответы на вопросы..…………...………….………………………………14
ЗАКЛЮЧЕНИЕ………………………………………..…………………..…21
СПИСОК ЛИТЕРАТУРЫ…………………………………………………....22
Введение
Серьезной проблемой для всех беспроводных локальных сетей (и, если уж на то пошло, то и всех проводных локальных сетей) является безопасность. Безопасность здесь так же важна, как и для любого пользователя сети Интернет. Безопасность является сложным вопросом и требует постоянного внимания. Огромный вред может быть нанесен пользователю из-за того, что он использует случайные хот-споты (hot-spot) или открытые точки доступа WI-FI дома или в офисе и не использует шифрование или VPN (VirtualPrivateNetwork - виртуальная частная сеть). Опасно это тем, что пользователь вводит свои личные или профессиональные данные, а сеть при этом не защищена от постороннего вторжения.
Изначально было сложно обеспечить надлежащую безопасность для беспроводных локальных сетей.
Хакеры легко осуществляли подключение практически к любой WiFi сети взламывая такие первоначальные версии систем безопасности, как WiredEquivalentPrivacy (WEP). Эти события оставили свой след, и долгое время некоторые компании неохотно внедряли или вовсе не внедряли у себя беспроводные сети, опасаясь, что данные, передаваемые между беспроводными WiFi устройствами и Wi-Fi точками доступа могут быть перехвачены и расшифрованы. Таким образом, эта модель безопасности замедляла процесс интеграции беспроводных сетей в бизнес и заставляла нервничать пользователей, использующих WiFi сети дома. Тогда институт IEEE, создал рабочую группу 802.11i, которая работала над созданием всеобъемлющей модели безопасности для обеспечения 128-битного AES шифрования и аутентификации для защиты данных. Wi-Fi Альянс представил свой собственный промежуточный вариант этого спецификации безопасности 802.11i: Wi-Fi защищенный доступ (WPA – Wi-FiProtectedAccess). Модуль WPA сочетает несколько технологий для решения проблем уязвимости 802.11 WEP системы. Таким образом, WPA обеспечивает надежную аутентификацию пользователей с использованием стандарта 802.1x (взаимная аутентификация и инкапсуляция данных передаваемых между беспроводными клиентскими устройствами, точками доступа и сервером) и расширяемый протокол аутентификации (EAP).
1 Азы протокола WPA2 ( Франк Балк)
Ищете путь к более безопаснымWi-Fi-коммуникациям? Протокол WPA2 (Wi-FiProtectedAccess 2) обеспечит вашим данным конфиденциальность и целостность. Последние два термина прежде никак не ассоциировались с сетями Wi-Fi.
Низкий уровень безопасности, несомненно, долго оставался одним из главных недостатков сетей Wi-Fi. Будучи основанными на технологии VPN, первые БЛВС обеспечивали безопасность данных на уровне 3, что (помимо дополнительных накладных расходов на инкапсулирование, проблем с роумингом, гарантированным качеством обслуживания, поддержкой клиентов и масштабируемостью) сохраняло уязвимость сети IP для атак. Реализованный на уровне 2 протокол WPA2 защищает беспроводную сеть значительно лучше. Однако лишь он один не способен обеспечить должную безопасность корпоративной сети. Управление же доступом по этому протоколу в сочетании с основанным на портах протоколом аутентификации IEEE 802.1X позволяет исключить возникновение большинства проблем безопасности. Применение этой пары протоколов не защитит вас от “нелегальных” устройств, атак типа “отказ в обслуживании” (denial-of-service) или какого-либо другого вмешательства извне, но обеспечит безопасность беспроводных коммуникаций.
Спецификация WPA2 организации Wi-FiAlliance является значительным усовершенствованием механизма безопасности WEP (WiredEquivalentPrivacy) исходного стандарта 802.11 (более подробную информацию по протоколу WEP можно найти по адресу www.nwc.com/go/1702rd7.jhtml). Протокол WEP был уязвимым для атак и скверно реализовывался производителями, поэтому он так и не нашел применения в корпоративных сетях. Слабые места WEP и то, что их весьма просто использовать в вероломных целях, стимулировали разработку стандарта 802.11i, который был утвержден и опубликован в 2004 г. В рамках проекта стандарта 802.11i организация Wi-FiAlliance разработала протокол WPA, а позднее — WPA2, обеспечивающий более высокий уровень безопасности, чем первая версия WPA.
WPA поддерживает использующий метод шифрования RC4 протокол TKIP (TemporalKeyIntegrityProtocol) и может быть программно реализован путем обновления драйвера или встроенного ПО. Ча-стая ротация ключей и наличие счетчика пакетов предотвращают атаки с воспроизведением пакетов (packetreplay) или их повторным вводом (packetre-injection). Протокол WPA обеспечивает контроль целостности данных, используя метод контрольной суммы MIC (MessageIntegrityCode), иногда называемый “Michael”. Данный метод подвержен атакам “грубой силы” (brute-forceattacks), но при этом передача сетевого трафика на минуту автоматически приостанавливается и, если основанная на WPA точка доступа детектирует в течение 60 с более одной ошибки MIC протокола TKIP, сеансовые ключи переустанавливаются, снижая, таким образом, риск атак до минимума.
Между тем протокол WPA2 задействует новый метод шифрования (получивший название CCMP — Counter-ModewithCBC-MACProtocol), основанный на более мощном, чем RC4, алгоритме шифрования AES (AdvancedEncryptionStandard).
Как WPA, так и WPA2 работают в двух режимах аутентификации: персональном (Personal) и корпоративном (Enterprise). В режиме WPA2-Personal из введенной открытым текстом парольной фразы генерируется 256-разрядный ключ, иногда именуемый предварительно распределяемым ключом (PreSharedKey — PSK). Ключ PSK, а также идентификатор SSID (ServiceSetIdentifier) и длина последнего вместе образуют математический базис для формирования главного парного ключа (PairwiseMasterKey — PMK), который используется для инициализации четырехстороннего квитирования связи и генерации временного парного или сеансового ключа (PairwiseTransientKey — PTK), для взаимодействия беспроводного пользовательского устройства с точкой доступа. Как и статическому протоколу WEP, протоколу WPA2-Personal присуще наличие проблем распределения и поддержки ключей, что делает его более подходящим для применения в небольших офисах, нежели на предприятиях.
Зато в протоколе WPA2-Enterprise успешно решаемы проблемы, касающиеся распределения статических ключей и управления ими, а его интеграция с большинством корпоративных сервисов аутентификации обеспечивает контроль доступа на основе учетных записей. Для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль; аутентификация же осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг соединения и направляют аутентификационные пакеты на соответствующий сервер аутентификации (как правило, это сервер RADIUS). Базой для режима WPA2-Enterprise служит стандарт 802.1X, поддерживающий основанную на контроле портов аутентификацию пользователей и машин, пригодную как для проводных коммутаторов, так и для беспроводных точек доступа.
К основным компонентам аутентификации 802.1X относятся клиентский “запросчик” (supplicant), аутентификатор и сервер аутентификации.
Согласно спецификации 802.1X, клиентский запросчик — это устройство, запрашивающее доступ к сети. Хотя обычно под ним подразумевается ноутбук или какое-либо другое мобильное устройство, на поверку клиентским запросчиком в конечном счете оказывается установленное на этом устройстве ПО, инициализирующее и отвечающее на команды 802.1X (см. www.nwc.com/go/1702rd4.jhtml).
Аутентификатор (обычно это точка доступа, хотя в централизованной архитектуре доступа он может размещаться на коммутаторе/контроллере) аутентифицирует клиент для доступа к сети. Это устройство обрабатывает запросы от клиентского запросчика, сохраняя сетевой интерфейс заблокированным до тех пор, пока не получит от сервера аутентификации указание на его разблокирование. В свою очередь, последний принимает и обрабатывает запрос на аутентификацию. Хотя обычно в качестве сервера аутентификации используется сервер RADIUS, в данной ситуации можно использовать не всякий такой сервер, а лишь тот, что совместим с методами аутентификации EAP (ExtensibleAuthenticationProtocol; дополнительную информацию по протоколу EAP можно найти по адресу https://nwc.com/go/1702rd8.jhtml) клиентского запросчика.
Клиент (клиентский запросчик) и точка доступа (аутентификатор) обмениваются трафиком EAP по протоколу уровня 2 EAPoL (EAP over LAN). Клиентский запросчик не способен взаимодействовать с сервером RADIUS посредством протокола уровня 3: когда точка доступа получает трафик EAP от клиента, она преобразует его в соответствующий запрос RADIUS и передает серверу RADIUS на обработку. Если клиентский запросчик шифрует данные, то аутентификатор не может проверить содержимое запроса, но способен извлекать из ответа такие атрибуты, как назначенная клиенту виртуальная сеть VLAN.
Выполнив процедуру аутентификации 802.1X, клиент получает от сервера аутентификации главный ключ (MasterKey — MK), который “привязывается” к данному сеансу аутентификации. На основе этого ключа на клиенте и на сервере аутентификации генерируется один и тот же парный главный ключ (PairwiseMasterKey — PMK). Аутентификатор (в данном случае точка доступа) получает ключ PMK от сервера аутентификации посредством предварительно определенного атрибута RADIUS. Обладая ключом PMK, клиент и точка доступа генерируют парный временный ключ (PairwiseTransientKey — PTK), фактически не обмениваясь им. Такая процедура генерации ключей становится возможной благодаря использованию четырехстороннего квитирования связи, предотвращающего развертывание атак типа man-in-the-middle, нацеленных на перехват служебной информации.
В WPA2 имеется три типа ключей PTK: ключ подтверждения ключа (KeyConfirmationKey — KCK), применяющийся для проверки целостности кадра EAPOL-Key (используется в контрольной сумме MIC); ключ шифрования ключа (KeyEncryptionKey — KEK), используемый для шифрования группового временного ключа (GroupTransientKey — GTK) и временные ключи (TemporalKeys — TK) — для шифрования трафика.
Все “привязанные” к точке доступа беспроводные устройства должны “уметь” расшифровывать широковещательный и многоадресный трафик. Они выполняют это посредством одного и того же временного группового ключа GTK. Если точка доступа изменяет ключ GTK — например, по причине его компрометации, то она генерирует новый ключ, используя простое двухстороннее квитирование связи и ключ KEK для шифрования ключа GTK.
При осуществлении клиентским устройством роуминга между двумя точками доступа полный процесс его аутентификации сервером RADIUS может занимать сотни миллисекунд (а то и несколько секунд), что является неприемлемым для телефонов Wi-Fi или потоковых видеоприложений ноутбуков. Поэтому большинство корпоративных беспроводных устройств оснащаются такими предусмотренными спецификацией 802.11i возможностями, как предварительная аутентификация и кэширование ключа PMK, позволяющими минимизировать связанную с роумингом задержку.
Предварительная аутентификация позволяет мобильному клиенту аутентифицироваться на другой, расположенной поблизости точке доступа, оставаясь “привязанным” к своей первичной точке доступа. При применении кэширования PMK клиенту, вернувшемуся с обслуживаемой роумингом территории “домой”, не нужно выполнять полную процедуру повторной аутентификации 802.1X.[1]
Шифрование WPA2
В основе стандарта WPA2 лежит метод шифрования AES, пришедший на смену стандартам DES и 3DES в качестве отраслевого стандарта де-факто. Требующий большого объема вычислений, стандарт AES нуждается в аппаратной поддержке, которая не всегда имеется в старом оборудовании БЛВС.
Для аутентификации и обеспечения целостности данных WPA2 использует протокол CBC-MAC (CipherBlockChainingMessageAuthenticationCode), а для шифрования данных и контрольной суммы MIC — режим счетчика (CounterMode — CTR). Код целостности сообщения (MIC) протокола WPA2 представляет собой не что иное, как контрольную сумму и в отличие от WEP и WPA обеспечивает целостность данных для неизменных полей заголовка 802.11. Это предотвращает атаки типа packetreplay с целью расшифровки пакетов или компрометации криптографической информации.
Для расчета MIC используется 128-разрядный вектор инициализации (InitializationVector — IV), для шифрования IV — метод AES и временный ключ, а в итоге получается 128-разрядный результат. Далее над этим результатом и следующими 128 бит данных выполняется операция “исключающее ИЛИ”. Результат ее шифруется посредством AES и TK, а затем над последним результатом и следующими 128 бит данных снова выполняется операция “исключающее ИЛИ”. Процедура повторяется до тех пор, пока не будет исчерпана вся полезная нагрузка. Первые 64 разряда полученного на самом последнем шаге результата используются для вычисления значения MIC.
Для шифрования данных и MIC используется основанный на режиме счетчика алгоритм. Как и при шифровании вектора инициализации MIC, выполнение этого алгоритма начинается с предварительной загрузки 128-разрядного счетчика, где в поле счетчика вместо значения, соответствующего длине данных, берется значение счетчика, установленное на единицу. Таким образом, для шифрования каждого пакета используется свой счетчик.
С применением AES и TK шифруются первые 128 бит данных, а затем над 128-бит результатом этого шифрования выполняется операция “исключающее ИЛИ”. Первые 128 бит данных дают первый 128-разрядный зашифрованный блок. Предварительно загруженное значение счетчика инкрементально увеличивается и шифруется посредством AES и ключа шифрования данных. Затем над результатом этого шифрования и следующими 128 бит данных снова выполняется операция “исключающее ИЛИ”.
Процедура повторяется до тех пор, пока не зашифруются все 128-разрядные блоки данных. После этого окончательное значение в поле счетчика сбрасывается в ноль, счетчик шифруется с использованием алгоритма AES, а затем над результатом шифрования и MIC выполняется операция “исключающее ИЛИ”. Результат последней операции пристыковывается к зашифрованному кадру.
После подсчета MIC с использованием протокола CBC-MAC производится шифрование данных и MIC. Затем к этой информации спереди добавляется заголовок 802.11 и поле номера пакета CCMP, пристыковывается концевик 802.11 и все это вместе отправляется по адресу назначения.
Расшифровка данных выполняется в обратном шифрованию порядке. Для извлечения счетчика задействуется тот же алгоритм, что и при его шифровании. Для дешифрации счетчика и зашифрованной части полезной нагрузки применяются основанный на режиме счетчика алгоритм расшифровки и ключ TK. Результатом этого процесса являются расшифрованные данные и контрольная сумма MIC. После этого, посредством алгоритма CBC-MAC, осуществляется перерасчет MIC для расшифрованных данных. Если значения MIC не совпадают, то пакет сбрасывается. При совпадении указанных значений расшифрованные данные отправляются в сетевой стек, а затем клиенту.
Большинство новейших корпоративных беспроводных систем либо поддерживают стандарт WPA2, либо допускают их модернизацию до WPA2. Однако, если у вас нет сервера аутентификации или сервера RADIUS, который обслуживал бы необходимые методы аутентификации EAP, вам придется реализовать это обслуживание. Кроме того, у вас, вероятно, имеются ноутбуки и PC-карты, не поддерживающие WPA2 ввиду отсутствия у них необходимых аппаратных средств шифрования AES. Иногда эту функциональность позволяет активизировать модернизация встроенного ПО или драйвера.
Еще одной проблемой является наделение возможностями WPA2 встроенных или малогабаритных устройств, таких, как карманные компьютеры, телефоны Wi-Fi, считыватели штрихкода и беспроводные принт-серверы. Эти решения обычно отстают по своим возможностям безопасно-сти из-за проблем с интеграцией и относительно продолжительного цикла их замены.
С помощью протокола WEP или WPA вы можете создать отдельный идентификатор SSID в рамках отдельной виртуальной ЛВС с ограниченным, контролируемым доступом к вашей сети. Примером могут служить телефоны Wi-Fi, которые поддерживают только WEP или WPA-PSK: учитывая тот факт, что эти телефоны должны взаимодействовать только с инфраструктурой VoIP, вам следует запретить их доступ ко всей корпоративной сети. Конечно, голосовые вызовы по-прежнему остаются чувствительными к дешифрации, поэтому имеет смысл дождаться появления радиотелефонов, поддерживающих тот или иной метод аутентификации 802.1X.
Внедрение протокола WPA2 на ваших настольных системах и ноутбуках не всегда оказывается простой задачей. Если применяемый вами метод аутентификации EAP не поддерживается операционной системой беспроводной станции, то вы можете задействовать клиентское ПО, имеющееся на компакт-диске вашей беспроводной карты, или инсталлировать и сконфигурировать клиентское ПО сторонней фирмы и управлять им. При отсутствии возможности разом перевести на протокол WPA2 всех своих пользователей наложите на вашу систему новый идентификатор SSID, использующий WPA2 или смешанное шифрование. После этого вы сумеете перевести свои устройства на WPA2, например, по территориальному принципу.
Так или иначе, с точки зрения корпоративной безопасности технология Wi-Fi готова к повсеместному внедрению. Протокол WPA2 обеспечивает шифрование и целостность данных, а будучи использованным с механизмами аутентификации 802.1X, — полную безопасность передачи данных по беспроводным каналам связи.[2]
Стандарт безопасности WPA2
WPA2 (WirelessProtectedAccessver. 2.0) – это вторая версия набора алгоритмов и протоколов обеспечивающих защиту данных в беспроводных сетях Wi-Fi. Как предполагается, WPA2 должен существенно повысить защищенность беспроводных сетей Wi-Fi по сравнению с прежними технологиями. Новый стандарт предусматривает, в частности, обязательное использование более мощного алгоритма шифрования AES (AdvancedEncryptionStandard) и аутентификации 802.1X.
На сегодняшний день для обеспечения надежного механизма безопасности в корпоративной беспроводной сети необходимо (и обязательно) использование устройств и программного обеспечения с поддержкой WPA2. Предыдущие поколения протоколов - WEP и WPA содержат элементы с недостаточно сильными защитой и алгоритмами шифрования. Более того, для взлома сетей с защитой на основе WEP уже разработаны программы и методики, которые могут быть легко скачаны из сети Интернет и с успехом использованы даже неподготовленными хакерами-новичками.
Протоколы WPA2 работают в двух режимах аутентификации: персональном (Personal) и корпоративном (Enterprise). В режиме WPA2-Personal из введенной открытым текстом парольной фразы генерируется 256-разрядный ключ PSK (PreSharedKey). Ключ PSK совместно с идентификатором SSID (ServiceSetIdentifier) используются для генерации временных сеансовых ключей PTK (PairwiseTransientKey), для взаимодействия беспроводных устройств. Как и статическому протоколу WEP, протоколу WPA2-Personal присуще определенные проблемы, связанные с необходимостью распределения и поддержки ключей на беспроводных устройствах сети, что делает его более подходящим для применения в небольших сетях из десятка устройств, в то время как для к орпоративных сетей оптимален WPA2-Enterprise.
В режиме WPA2-Enterprise решаются проблемы, касающиеся распределения статических ключей и управления ими, а его интеграция с большинством корпоративных сервисов аутентификации обеспечивает контроль доступа на основе учетных записей. Для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль, аутентификация же осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг подключений и направляют аутентификационные запросы на соответствующий сервер аутентификации (как правило, это сервер RADIUS, например Cisco ACS). Базой для режима WPA2-Enterprise служит стандарт 802.1X, поддерживающий аутентификацию пользователей и устройств, пригодную как для проводных коммутаторов, так и для беспроводных точек доступа.
В отличие от WPA, используется более стойкий алгоритм шифрования AES. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.
Предусматривает новые, более надежные механизмы обеспечения целостности и конфиденциальности данных:
Протокол CCMP (Counter-Mode-CBC-MAC Protocol), основанный на режиме CounterCipher-BlockChainingMode (CCM) алгоритма шифрования AdvancedEncryptionStandard (AES). CCM объединяет два механизма: Counter (CTR) для обеспечения конфиденциальности и CipherBlockChainingMessageAuthenticationCode (CBC-MAC) для аутентификации.
Протокол WRAP (WirelessRobustAuthenticationProtocol), основанный на режиме OffsetCodebook (OCB) алгоритма шифрования AES.
Протокол TKIP для обеспечения обратной совместимости с ранее выпускавшимся оборудованием. Взаимная аутентификация и доставка ключей на основе протоколов IEEE 802.1x/EAP. БезопасныйIndependentBasicServiceSet (IBSS) для повышения безопасности в сетях Ad-Hoc. Поддержка роуминга.
Вклад в обеспечение безопасности беспроводных сетей механизм CCMP и стандарт IEEE 802.11i. Последний вводит понятие надежно защищенной сети (RobustSecurityNetwork, RSN) и надежно защищенного сетевого соединения (RobustSecurityNetworkAssociation, RSNA), после чего делит все алгоритмы на:
RSNA-алгоритмы (для создания и использования RSNA);
Pre-RSNA-алгоритмы.
К Pre-RSNA-алгоритмам относятся:
WEP;
существующая аутентификация IEEE 802.11 (имеется в виду аутентификация, определенная в стандарте редакции 1999 г.).
То есть к данным типам алгоритмов относятся аутентификация OpenSystem с WEP-шифрованием или без (точнее, отсутствие аутентификации) и SharedKey.
К RSNA-алгоритмам относятся: TKIP; CCMP; процедура установления и терминации RSNA (включая использование IEEE 802.1x аутентификации); процедура обмена ключами.
При этом алгоритм CCMP является обязательным, а TKIP – опциональным и предназначен для обеспечения совместимости со старыми устройствами.
Стандартом предусмотрены две функциональные модели: с аутентификацией по IEEE 802.1x, т. е. с применением протокола EAP, и с помощью заранее предопределенного ключа, прописанного на аутентификаторе и клиенте (такой режим называется PresharedKey, PSK). В данном случае ключ PSK выполняет роль ключа PMK, и дальнейшая процедура их аутентификации и генерации ничем не отличается.
Так как алгоритмы шифрования, использующие процедуру TKIP, уже принято называть WPA, а процедуру CCMP – WPA2, то можно сказать, что способами шифрования, удовлетворяющими RSNA, являются: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-PresharedKey, WPA-Personal), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-Preshared Key, WPA2-Personal).
Процедура установления соединения и обмена ключами для алгоритмов TKIP и CCMP одинакова. Сам CCMP (Countermode (CTR) with CBC-MAC (Cipher-BlockChaining (CBC) withMessageAuthenticationCode (MAC) Protocol) так же, как и TKIP, призван обеспечить конфиденциальность, аутентификацию, целостность и защиту от атак воспроизведения. Данный алгоритм основан на методе CCM-алгоритма шифрования AES, который определен в спецификации FIPS PUB 197. Все AES-процессы, применяемые в CCMP, используют AES со 128-битовым ключом и 128-битовым размером блока.
Последним нововведением стандарта является поддержка технологии быстрого роуминга между точками доступа с использованием процедуры кэширования ключа PMK и преаутентификации.
Процедура кэширования PMK заключается в том, что если клиент один раз прошел полную аутентификацию при подключении к какой-то точке доступа, то он сохраняет полученный от нее ключ PMK, и при следующем подключении к данной точке в ответ на запрос о подтверждении подлинности клиент пошлет ранее полученный ключ PMK. На этом аутентификация закончится, т. е. 4-стороннее рукопожатие (4-Way Handshake) выполняться не будет.
Процедура преаутентификации заключается в том, что после того, как клиент подключился и прошел аутентификацию на точке доступа, он может параллельно (заранее) пройти аутентификацию на остальных точках доступа (которые он «слышит») с таким же SSID, т. е. заранее получить от них ключ PMK. И если в дальнейшем точка доступа, к которой он подключен, выйдет из строя или ее сигнал окажется слабее, чем какой-то другой точки с таким же именем сети, то клиент произведет переподключение по быстрой схеме с закэшированным ключом PMK.
Появившаяся в 2001 г. спецификация WEP2, которая увеличила длину ключа до 104 бит, не решила проблемы, так как длина вектора инициализации и способ проверки целостности данных остались прежними. Большинство типов атак реализовывались так же просто, как и раньше.[3]
4 Ответы на вопросы: