Курс лекций «Проблемы безопасности в информационных технологиях»



бет36/44
Дата13.09.2017
өлшемі4.51 Mb.
#839
түріКурс лекций
1   ...   32   33   34   35   36   37   38   39   ...   44

Протоколы WPA, WPA2, 802.11i


Осознавая серьёзность проблем с безопасностью WEP, разработчики занялись созданием новых, более безопасных алгоритмов и протоколов для беспроводных сетей. Решения требовалось принимать незамедлительно, т.к. связка Wi-Fi + WEP не обеспечивала сколь-нибудь приемлемого уровня безопасности, и всё большее количество стремительно набирающих популярность беспроводных сетей были уязвимыми. Ассоциация производителей беспроводного оборудования действовала достаточно оперативно и выпустила стандарт WPA (Wi-Fi Protected Access), существенно улучивший характеристики безопасности беспроводных сетей по сравнению с WEP. Некоторое время спустя была выпущена вторая версия WPA23, со значительно усиленными алгоритмами, которая на сегодня считается имеющей вполне адекватный уровень безопасности.


Возможность

WEP

WPA

WPA2

802.11i (RSN)

Access Control

Framework

Нет

802.1x

802.1x

802.1x

Authentication

Framework

Нет

EAP

EAP

EAP

Алгоритм шифрования

RC4

RC4

AES

AES

Размер ключа

40/104 бита

128 бит для шифрования, 64 бита для аутентификации

128 бит

128 бит

Packet Key

Конкатенация

Mixing Function

Не требуется

Не требуется

Управление ключами

Статические

802.1X + TKIP

802.1X + CCMP

802.1X + CCMP

Lifetime ключа

24 бит IV

48 бит IV

48 бит IV

48 бит IV

Методы аутентификации

Shared Key

Shared Key,

методы, базирующиеся на EAP



Shared Key,

методы, базирующиеся на EAP



Shared Key,

методы, базирующиеся на EAP



Целостность заголовка

None

Michael (MIC)

Michael (MIC)

CBC-MAC

Целостность данных

CRC32

Michael (MIC)

Michael (MIC)

CBC-MAC

Пре-аутентификация

Нет

Нет

Нет

Да

Роуминг

Ограничено(AP одного производителя)

Ограничено(AP одного производителя)

Ограничено(AP одного производителя)

Да



WPA и WPA2 — представляет собой обновленную программу сертификации устройств беспроводной связи. Технология WPA пришла на замену технологии защиты беспроводных сетей WEP. Плюсами WPA являются усиленная безопасность данных и ужесточённый контроль доступа к беспроводным сетям. Немаловажной характеристикой является совместимость между множеством беспроводных устройств как на аппаратном, так и на программном уровнях. На данный момент WPA и WPA2 разрабатываются и продвигаются организацией Wi-Fi Alliance.

В WPA обеспечена поддержка стандартов 802.1X (framework), а также протокола EAP (Extensible Authentication Protocol, расширяемый протокол аутентификации). В WPA2 поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет существенные преимущества перед используемым в WEP RC4. Большим плюсом при внедрении WPA является возможность работы технологии на существующем аппаратном обеспечении Wi-Fi. Условием аутентификации в беспроводной сети является предъявление пользователем свидетельства (иначе называемого мандатом), подтверждающего его право на доступ в сеть. Для этого пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена. База зарегистрированных пользователей и система проверки в больших сетях, как правило, расположены на специальном сервере (чаще всего RADIUS).

Ассоциация производителей беспроводного оборудования (Wi-Fi Alliance) дает следующую формулу для определения сути WPA:
WPA = 802.1X + EAP + TKIP + MIC – т.е., по сути WPA – это сумма нескольких технологий.
WPA также имеет упрощённый режим, подобный тому, что поддерживался в WEP – Pre-Shared Key (WPA-PSK), длиной до 64 символов.

Даже не принимая во внимания тот факт что WEP, предшественник WPA, не обладает какими-либо механизмами аутентификации пользователей как таковой, его ненадёжность состоит, прежде всего, в криптографической слабости алгоритма шифрования. Ключевая проблема WEP заключается в использовании слишком похожих ключей для различных пакетов данных.

Технологии TKIP (протокол целостности временного ключа, Temporal Key Integrity Protocol), MIC и 802.1X (части WPA) внесли свою лепту в усиление шифрования данных сетей, использующих WPA.

TKIP отвечает за увеличение размера ключа с 40 до 128 бит, а также за замену одного статического ключа WEP ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того, в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость, которая использовалась для несанкционированного снятия защиты WEP ключей.

Сервер аутентификации, после получения сертификата от пользователя, использует 802.1X для генерации уникального базового ключа для сеанса связи. TKIP осуществляет передачу сгенерированного ключа пользователю и точке доступа, после чего выстраивает иерархию ключей плюс систему управления. Для этого используется двусторонний ключ, для динамической генерации ключей шифрования данных, которые в свою очередь используются для шифрования каждого пакета данных. Подобная иерархия ключей TKIP заменяет один ключ WEP (статический) на 500 миллиардов возможных ключей, которые будут использованы для шифрования пакетов данных.



Рис.117 EAP аутентификация клиента с использование RADIUS-сервера по протоколу IEEE 802.1X
Другим важным механизмом является проверка целостности сообщений (Message Integrity Check, MIC). Её используют для предотвращения перехвата пакетов данных, содержание которых может быть изменено, а модифицированный пакет вновь передан в сеть. MIC построена на основе математической функции, которая применяется на стороне отправителя и получателя, после чего сравнивается результат. Если проверка показывает несовпадение результатов вычислений, данные считаются ложными и пакет отбрасывается.

При этом механизмы шифрования, которые используются для WPA и WPA-PSK, являются идентичными. Единственное отличие WPA-PSK состоит в том, что аутентификация производится с использованием пароля, а не по сертификату пользователя.

Протокол EAP использует центральный сервер аутентификации и реализует в работе несколько вариантов: EAP-MD5, PEAPv0, PEAPv1, EAP-MSCHAPv2, LEAP, EAP-FAST, EAP-TLS, EAP-TTLS, MSCHAv2, EAP-SIM.

WPA2 определяется стандартом IEEE 802.11i, принятым в июне 2004 года, и был призван заменить WPA. В нём реализовано CCMP и шифрование AES, за счет чего WPA2 стал более защищённым, чем его предшественник. С 13 марта 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных Wi-Fi устройств.





Достарыңызбен бөлісу:
1   ...   32   33   34   35   36   37   38   39   ...   44




©kzref.org 2022
әкімшілігінің қараңыз

    Басты бет