Протокол Wi-Fi Protected Access (WPA)

Протокол Wi-Fi Protected Access (WPA) является стандартом безопасности, разработанным совместно организациями Wi-Fi Alliance и институтом Electrical and Electronics Engineers (IEEE). WPA является частью будущего стандарта безопасности IEEE 802.11i, который разрабатывается в настоящее время. (Стандарт IEEE 802.11i имеет также название "WPA2" и будет выпущен в 2004 году.)

В настоящее время режим WPA доступен только для точек доступа 802.11b/g. Для точек доступа 802.11a и 802.11b режим WPA недоступен.

Протокол WPA является заменой для метода шифрования Wired Equivalent Privacy (WEP), определенного первоначальным стандартом 802.11. WEP имеет несколько уязвимых мест, которые широко освещались в печати. WPA решает эти проблемы и обеспечивает более мощную систему безопасности для беспроводных сетей.

Технология WPA предоставляет следующие новые меры безопасности, недоступные в WEP:

· Улучшенное шифрование пакетов с использованием протокола обеспечения целостности временных ключей TKIP и функции проверки целостности сообщений MIC (Michael Message Integrity Check).

· Динамические ключи шифрования для каждого пользователя в каждом сеансе.

o При однонаправленном обмене пакетами с точкой доступа все клиенты используют различные ключи для шифрования и дешифрования.

o Для каждого сеанса используются различные ключи клиента, которые изменяются при каждом ассоциировании клиента с точкой доступа.

o Точка доступа использует один глобальный ключ для шифрования широковещательных пакетов, посылаемых всем клиентам одновременно.

o Ключи шифрования периодически меняются в соответствии с параметром Re-keying Interval.

o WPA использует 128-битные ключи шифрования.

· Динамическое распределение ключей

o Точка доступа формирует и обслуживает ключи для клиентов.

o Точка доступа безопасно доставляет соответствующие ключи клиентам.

· Совместная аутентификация клиент/сервер

o 802.1x.

o Предварительный ключ (для сетей, в которых не используется решение 802.1x).

Протокол шифрования WPA: Более стойкий протокол шифрования, чем WEP , хотя используется тот же алгоритм RC4. Более высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.

Технология WPA, призванная временно (в ожидании перехода к 802.11i) закрыть бреши WEP, состоит из нескольких компонентов:

· протокол 802.1x - универсальный протокол для аутентификации, авторизации и учета (AAA)- это протокол аутентификации пользователей. Для своей работы данный протокол требует наличия выделенного RADIUS-сервера, которого в домашней сети, естественно, нет. Поэтому воспользоваться данным протоколом в домашних условиях не удастся.

· протокол TKIP - (Temporal Key Integrity Protocol) - протокол динамических ключей сети, которые меняются довольно часто. При этом каждому устройству также присваивается ключ, который тоже меняется.( Ключи шифрования имеют длину 128 бит и генерируются по сложному алгоритму, а общее количество возможных вариантов ключей достигает сотни миллиардов, и меняются они очень часто.)

· MIC - протокол проверки целостности пакетов. Защищает от перехвата пакетов и их перенаправления. (Протокол позволяет отбрасывать пакеты, которые были «вставлены» в канал третьим лицом.)

Стандарт безопасности 802.1X, в который входят несколько протоколов:

 EAP (Extensible Authentication Protocol). Протокол расширенной аутентификации. Используется совместно с RADIUS - сервером в крупных сетях.

 TLS (Transport Layer Security). Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.

 RADIUS (Remote Authentication Dial-In User Server). Сервер аутентификации пользователей по логину и паролю.

За шифрование данных в WPA отвечает протокол TKIP, который, хотя и использует тот же алгоритм шифрования - RC4 - что и в WEP, но в отличие от последнего, использует динамические ключи (то есть ключи часто меняются). Он применяет более длинный вектор инициализации и использует криптографическую контрольную сумму (MIC) для подтверждения целостности пакетов (последняя является функцией от адреса источника и назначения, а также поля данных).

RADIUS-протокол предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS-сервер. В этом случае беспроводные точки доступа работают в enterprise-режиме.

Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа - так называемый режим WPA-PSK (pre-shared key, общий ключ).

VPN(Virtual Private Network) – Виртуальная частная сеть. Этот протокол изначально был создан для безопасного подключения клиентов к сети через общедоступные Интернет-каналы. Принцип работы VPN – создание так называемы безопасных «туннелей» от пользователя до узла доступа или сервера. Хотя VPN изначально был создан не для Wi-Fi, его можно использовать в любом типе сетей. Для шифрования трафика в VPN чаще всего используется протокол IPSec. Случаев взлома VPN на данный момент неизвестно. Мы рекомендуем использовать эту технологию для корпоративных сетей.

Помимо упомянутых протоколов, многие производители беспроводного оборудования встраивают в свои решения поддержку стандарта AES (Advanced Encryption Standard), который приходит на замену TKIP.

Точка доступа поддерживает два метода аутентификации WPA:

Существует два типа WPA-шифрования: стандартный режим WPA (иногда встречается название WPA — Enterprise) и WPA Pre-shared key или WPA — персональный.

Режим WPA — Enterprise используется в корпоративных сетях, поскольку требует наличия RADIUS-сервера.Точка доступа использует стандарт 802.1x для аутентификации клиентов. Необходимо только использовать протокол EAPЕстественно, что в домашних условиях воспользоваться данным режимом не удастся.

А вот режим WPA Pre-shared key предназначен для персонального использования.Для сетей, не поддерживающих стандарт 802.1x, можно настроить точку доступа для аутентификации клиентов с помощью предварительного ключа. Этот режим предусматривает использование заранее заданных ключей шифрования (пароль доступа), одинаковых для всех сетевых устройств, а первичная аутентификация пользователей осуществляется с использованием данного ключа.

Существует также алгоритм WPA 2 (следующая версия протокола WPA), который отличается от WPA поддержкой более современного алгоритма шифрования с 256-битным ключом.

Дополнительные меры защиты:

 Фильтрация по МАС адресу: MAC адрес – это уникальный идентификатор устройства (сетевого адаптера), «зашитый» в него производителем. На некотором оборудовании возможно задействовать данную функцию и разрешить доступ в сеть необходимым адресам. Это создаст дополнительную преграду взломщику, хотя не очень серьезную – MAC адрес можно подменить.

 Скрытие SSID: SSID – это идентификатор вашей беспроводной сети. Большинство оборудования позволяет его скрыть, таким образом при сканировании вашей сети видно не будет. Но опять же, это не слишком серьезная преграда если взломщик использует более продвинутый сканер сетей, чем стандартная утилита в Windows.

 Запрет доступа к настройкам точки доступа или роутера через беспроводную сеть: Активировав эту функцию можно запретить доступ к настройкам точки доступа через Wi-Fi сеть, однако это не защитит вас от перехвата трафика или от проникновения в вашу сеть.

Несмотря на самые современные технологии, всегда следует помнить о том, что качественная передача данных и надежный уровень безопасности обеспечиваются только правильной настройкой оборудования и программного обеспечения, выполненными опытными профессионалами.

WPA – это замена устаревшему WEP протоколу, протоколы WPA/WPA2 являются в некоторой степени надстройками над WEP, в том смысле, что основной формат пакета и алгоритм шифрования (для WPA) не поменялись. Основные уязвимости WEP связаны с малой длиной IV —пакетов, примитивном алгоритме получения per-packet key, уязвимостями самого RC4 алгоритма и его потоковой природой. В WPA/WPA2протоколах проблемы WEP практически решены, на данный момент нет методов взлома WPA ключей, кроме подбора ключей «в лоб»(brute-force). Это означает, что для поиска WPA-ключа нам надо его подбирать, например по словарю (радует, что не вручную, но дажена мощных компьютерах этот процесс занимает много времени). Минимальная длина WPA ключа 8 символов, поэтому в словаре должны быть слова, состоящие минимум из восьми символов.

Лекція 1.2.6 Аутентифікація в бездротових мережах.

План