WPA2 (Wi-Fi Protected Access II)

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 18:30, 1 июня 2017.
WPA 2
Communications protocol
WPA2.png
Purpose WPA improvement
Developer(s) Wi-Fi Alliance
Introduced 12 June 2004 года; 15 years ago (2004-06-12)
Based on WPA
OSI layer Data Link layer
Port(s) 1812,1813
RFC(s) 3748 , 2865-2869


WPA2 (Wireless Protected Access ver. 2.0) – это вторая версия набора алгоритмов и протоколов обеспечивающих защиту данных в беспроводных сетях Wi-Fi. Новый стандарт предусматривает, в частности, обязательное использование более мощного алгоритма шифрования AES (Advanced Encryption Standard) и аутентификации 802.1X. [Источник 1]

На сегодняшний день для обеспечения надежного механизма безопасности в корпоративной беспроводной сети необходимо (и обязательно) использование устройств и программного обеспечения с поддержкой WPA2.

Предыдущие поколения протоколов - WEP и WPA содержат элементы с недостаточно сильными защитой и алгоритмами шифрования. Более того, для взлома сетей с защитой на основе WEP уже разработаны программы и методики, которые могут быть легко скачаны из сети Интернет.






AES

AES1.png

Advanced Encryption Standard (AES), также известный как Rijndael — симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит), принятый в качестве стандарта шифрования правительством США по результатам конкурса AES. Этот алгоритм хорошо проанализирован и сейчас широко используется, как это было с его предшественником DES.

Национальный институт стандартов и технологий США (англ. National Institute of Standards and Technology, NIST) опубликовал спецификацию AES 26 ноября 2001 года после пятилетнего периода, в ходе которого были созданы и оценены 15 кандидатур. 26 мая 2002 года AES был объявлен стандартом шифрования. По состоянию на 2009 год AES является одним из самых распространённых алгоритмов симметричного шифрования. Поддержка AES (и только его) введена фирмой Intel в семейство процессоров x86 начиная с Intel Core i7-980X Extreme Edition, а затем на процессорах Sandy Bridge.[Источник 2]


802.1X

802.1X.png

Стандарт IEEE 802.1X определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к коммутатору. Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, которые предоставляет ему коммутатор. До тех пор, пока компьютер не аутентифицировался, он может использовать только протокол EAPOL (англ. extensible authentication protocol over LAN) и только после успешной аутентификации весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер.

Когда компьютер подключается к порту, коммутатор определяет, разрешён ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты IEEE 802.1X. Состояние порта в этом случае остается помеченным как не авторизованное . Если клиент успешно проходит проверку, то порт переходит в авторизованное состояние . [Источник 3]




Разница между WPA и WPA2

На сегодняшний день ситуация такова, что все устройства, работающие в сетях Wi-Fi, обязаны поддерживать WPA2, так что выбор WPA обусловлен может быть только нестандартными ситуациями. К примеру, операционные системы старше Windows XP SP3 не поддерживают работу с WPA2 без применения патчей, так что машины и устройства, управляемые такими системами, требуют внимания администратора сети. Даже некоторые современные смартфоны могут не поддерживать новый протокол шифрования, преимущественно это касается внебрендовых азиатских гаджетов. С другой стороны, некоторые версии Windows старше XP не поддерживают работу с WPA2 на уровне объектов групповой политики, поэтому требуют в этом случае более тонкой настройки сетевых подключений.

Техническое отличие WPA от WPA2 состоит в технологии шифрования, в частности, в используемых протоколах. В WPA используется протокол TKIP, в WPA2 — проткол AES. На практике это означает, что более современный WPA2 обеспечивает более высокую степень защиты сети. К примеру, протокол TKIP позволяет создавать ключ аутентификации размером до 128 бит, AES — до 256 бит.

Отличие:

  • WPA2 представляет собой улучшенный WPA
  • WPA2 использует протокол AES, WPA — протокол TKIP
  • WPA2 поддерживается всеми современными беспроводными устройствами
  • WPA2 может не поддерживаться устаревшими операционными системами
  • Степень защиты WPA2 выше, чем WPA[Источник 4]

Разница между WPA2 Personal и WPA2 Enterprise

Разница между WPA2 Personal и WPA2 Enterprise состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES. Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым. Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа. Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент — сервер авторизации, и почти всегда это RADIUS-сервер.

Все возможные параметры безопасности сведены в этой табличке[Источник 5]:

Свойство Статический WEP Динамический WEP WPA WPA 2 (Enterprise)
Идентификация Пользователь, компьютер, карта WLAN Пользователь, компьютер Пользователь, компьютер Пользователь, компьютер
Авторизация Общий ключ EAP EAP или общий ключ EAP или общий ключ
Целостность 32-bit Integrity Check Value (ICV) 32-bit ICV 64-bit Message Integrity Code (MIC) CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code — CCM) Part of AES
Шифрование Статический ключ Сессионный ключ Попакетный ключ через TKIP CCMP (AES)
Распределение ключей Однократное, вручную Сегмент Pair-wise Master Key (PMK) Производное от PMK Производное от PMK
Вектор инициализации Текст, 24 бита Текст, 24 бита Расширенный вектор, 65 бит 48-бит номер пакета (PN)
Алгоритм RC4 RC4 RC4 AES
Длина ключа, бит 64/128 64/128 128 до 256
Требуемая инфраструктура Нет RADIUS RADIUS RADIUS

Уязвимость

23 июля 2010 года была опубликована информация об уязвимости Hole196 в протоколе WPA2. Используя эту уязвимость, авторизовавшийся в сети злонамеренный пользователь может расшифровывать данные других пользователей, используя свой закрытый ключ. Никакого взлома ключей или брут-форса не требуется[Источник 6].

Тем не менее, на данный момент основными методами взлома WPA2 PSK являются атака по словарю и брутфорс. Для этого в режиме мониторинга беспроводной карты сканируется эфир и записываются необходимые пакеты. Далее проводится деавторизация клиента для захвата начального обмена пакетами (handshake), либо нужно ждать пока клиент совершит подключение. После этого уже нет необходимости находиться недалеко от атакуемой точки доступа. Атака проводится офлайн с помощью специальной программы и файла с хэндшейком.

Примечания

Источники

  1. WPA2 // Technorium. [2017—2017]. Дата обновления: 05.03.2017. URL: http://www.technorium.ru/cisco/wireless/wpa2.shtml (дата обращения: 05.03.2017).
  2. Алгоритм шифрования AES для самых маленьких //Tер-Box. [2017—2017]. Дата обновления: 05.03.2017. URL: http://teh-box.ru/programming/algoritm-shifrovaniya-aes-dlya-samyx-malenkix.html (дата обращения: 05.03.2017).
  3. IEEE_802.1X //Википедия. [2017—2017]. Дата обновления: 05.03.2017. URL: https://en.wikipedia.org/wiki/IEEE_802.1X (дата обращения: 05.03.2017).
  4. Чем отличается WPA от WPA2? //The Difference. [2017—2017]. Дата обновления: 05.03.2017. URL: http://thedifference.ru/chem-otlichaetsya-wpa-ot-wpa2/ (дата обращения: 05.03.2017).
  5. WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети // Habrahabr. [2017—2017]. Дата обновления: 05.03.2017. URL: https://habrahabr.ru/post/150179/ (дата обращения: 05.03.2017).
  6. WPA2 finds itself in a "hole"! Vulnerable to insider attacks!// Mojonetworks. [2017—2017]. Дата обновления: 05.03.2017. URL: http://blog.mojonetworks.com/wpa2-finds-itself-in-a-hole-vulnerable-to-insider-attacks/ (дата обращения: 05.03.2017).