WPA (Wi-Fi Protected Access)

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 15:06, 3 июня 2017.
B.jpg

Для создания ключа безопасности беспроводной сети Wi-Fi пользователю необходимо придумать уникальный код, который будет открывать или закрывать доступ к его личной сети. В этом случае главным является не сам ключ, а тип шифрования информации, протекающей между роутером и ПК. Данная процедура создана для повышения безопасности передаваемой информации и предусматривает, что если введён неправильный ключ, то устройство не сможет её раскодировать.[Источник 1]

На сегодняшний день существуют следующие типы шифрования Wi-Fi подключений:

  1. WPA (Wi-Fi Protected Access);
  2. WPA2 (Wi-Fi Protected Access II);
  3. WEP (Wired Equivalent Privacy).

В данной статье будет рассматриваться тип шифрования Wi-Fi подключений с помощью протокола WPA.

WPA (англ. Wi-Fi Protected Access) - это спецификация шифрования данных для беспроводной сети, являющаяся стандартом безопасности Wi-Fi. Преимущества стандарта WPA являются[Источник 2] :

  • защита доступа к сети за счет обязательной аутентификации с использованием протокола EAP (Extensible Authentication Protocol, расширяемый протокол аутентификации) и поддержки стандартов 802.1X;
  • совместимость между множеством беспроводных устройств, как на аппаратном, так и на программном уровнях (т.к. WPA и WPA2 разрабатываются и продвигаются организацией Wi-Fi Alliance);
  • возможность работы технологии на существующем аппаратном обеспечении Wi-Fi;
  • усовершенствованная схема шифрования RC4;
  • наличие системы централизованного управления безопасностью с возможностью использования в действующих корпоративных политиках безопасности;
  • ужесточённый контроль доступа к беспроводным сетям и усиленная безопасность при передаче данных за счет шифрования по алгоритму TKIP (Temporal Key Integrity Protocol), т.е. по усовершенствованному стандарту шифрования, который отличается более стойким криптоалгоритмом, чем в протоколах WEP.

Виды WPA-шифрования

Для выполнения подключения от пользователя требуется введение уникального пароля. После проверки ключа все данные, которые передаются между участниками сети, шифруются. В таком случае существуют два типа проверки безопасности: WPA-личное и WPA-предприятие. Стоит отметить, что современные роутеры поддерживают обе эти технологии. [Источник 3]

WPA-Personal

Протокол WPA-Personal используется на основе общих ключей WPA-PSK (Pre Shared Key) и считается менее безопасным режимом. Ключ PSK предназначен для домашних сетей, сетей небольших офисов или частных групп, где всем участникам группы предоставляется один ключ безопасности беспроводной сети Wi-Fi, т.е. всем абонентам выдается одна парольная фраза, которая открывает доступ.

При использовании WPA-PSK в настройках точки доступа и профилях беспроводного соединения клиентов указывается общий ключ (PSK)- пароль- длиной от 8 до 63 символов. Протокол WPA-PSK позволяет беспроводному устройству Brother обмениваться данными с точками доступа при помощи способа шифрования TKIP или AES.

WPA-Enterprise

В этом случае каждый пользователь получает уникальный пароль, который работает только для одного компьютера, т.к. авторизация пользователей проводится на отдельном RADIUS-сервере. Именно сервер проверки подлинности 802.1X распределяет различные ключи каждому отдельному пользователю.

Такой метод считается более безопасным, поэтому используется исключительно на предприятиях, требующих повышенный уровень безопасности, или в корпоративных сетях.

Шифрование данных

Технология WPA состоит из следующих компонентов[1]:

  1. протокол 802.1x — универсальный протокол для аутентификации, авторизации и учета (AAA)
  2. протокол EAP — расширяемый протокол аутентификации (Extensible Authentication Protocol)
  3. протокол TKIP — протокол временнОй целостности ключей, другой вариант перевода — протокол целостности ключей во времени (Temporal Key Integrity Protocol)
  4. MIC — криптографическая проверка целостности пакетов (Message Integrity Code)
  5. протокол RADIUS
работа протокола 802.1x

После получения сертификата от пользователя сервер аутентификации для генерации уникального базового ключа для данного сеанса связи использует протокол 802.1х, одной из главных функций которого является аутентификация пользователя и распределение ключей шифрования, а также проверка их подлинности. Необходимо отметить, что аутентификация происходит «на уровне порта» — то есть пока пользователь не будет аутентифицирован, ему разрешено посылать/принимать пакеты, касающиеся только процесса его аутентификации (учетных данных) и не более того. И только после успешной аутентификации порт устройства будет открыт и пользователь получит доступ к ресурсам сети.

После запроса пользователя на получение ключа протокол TKIP осуществляет передачу сгенерированного ключа пользователю и точке доступа. TKIP позволяет изменить длину ключа шифрования до 128 бит (вместо предыдущих 40). Поэтому для управления ключами существует специальная иерархия, которая призвана предотвратить предсказуемость ключа шифрования для каждого кадра. Благодаря TKIP двусторонний ключ шифрования для каждого кадра данных генерируется динамически так, что они не повторяют друг друга, пусть даже частично. Для достижения этого применяется более длинный вектор инициализации и используется криптографическая контрольная сумма (MIC) для подтверждения целостности пакетов, а также используется шифрование каждого пакета данных. Подобная иерархия ключей TKIP заменяет один ключ для протокола WEP на 500 миллиардов возможных ключей, которые будут использованы для шифрования данного пакета данных.[2]

После произведения данной процедуры происходит проверка целостности сообщений (Message Integrity Code, MIC). данный контрольной суммы позволяет предотвратить перехват пакетов данных, содержание которых может быть изменено, а модифицированный пакет вновь передан по сети. MIC построена на основе мощной математической функции, которая применяется на стороне отправителя и получателя, после чего сравнивается результат. Если проверка показывает на несовпадение результатов вычислений, данные считаются ложными и пакет отбрасывается.

Также проверка подлинности может осуществляться благодаря протоколу EAP (Extensible Authentication Protocol), который используется для аутентификации в проводных сетях, что позволяет WPA легко интегрироваться в уже имеющуюся инфраструктуру. Обязательным условием аутентификации является предъявление пользователем маркера доступа, подтверждающего его право на доступ в сеть. Для получения маркера выполняется запрос к специальной базе данных, а без аутентификации работа в сети для пользователя будет запрещена. Система проверки расположена на специальном RADIUS-сервере, а в качестве базы данных используется Active DirectoryWindows-системах).

Таким образом, WPA-сети полностью защищены от атак replay (повторение ключей) и forgery (подмена содержимого пакетов), что значительно повысило качество шифрования по сравнению с протоколом WEP.

Как обойти шифрование WPA

Этапы взлопа протокола WAP [Источник 4]:

  1. На первом этапе используется сниффер airodump. Однако в качестве выходного файла необходимо использовать именно cap-файл, а в cap-файл необходимо захватить саму процедуру инициализации клиента в сети. Если используется Linux-система, то можно провести атаку, которая заставит произвести процедуру переинициализации клиентов сети, а вот под Windows такая программка не предусмотрена.
  2. После того, как в cap-файл захвачена процедура инициализации клиента сети, можно остановить программу airodump и приступить к процессу расшифровки. Для анализа полученной информации используется утилита aircrack,для который необходимо установить специальный элемент – словарь.
  3. После этого запускается из командной строки программу aircrack, указывая в качестве выходного файла cap-файл и название словаря. На рисунке показан пример запуска программы aircrack.exe из командной строки:
    Рис 6.gif
  4. Программа перебора ключей из словаря даёт очень интенсивную нагрузку на процессор, так что если для этого используется маломощный ПК, то на эту процедуру потребуется много времени. Если же для этого используется мощный многопроцессорный сервер или ПК на базе двухъядерного процессора, то в качестве опции можно указать количество используемых процессоров, что позволит сократить время анализа и получить следующий результат:
    Рис 7.gif
  5. Таким образом, ключ был найден. Причём результат взлома секретного ключа никак не связан с тем, какой алгоритм шифрования (TKIP или AES) используется в сети.

Параметры безопасности WPA

Свойство WPA
Идентификация Пользователь, компьютер
Авторизация EAP или общий ключ
Целостность 64-bit Message Integrity Code (MIC)
Шифрование Попакетный ключ через TKIP
Распределение ключей Производное от PMK
Вектор инициализации Расширенный вектор, 65 бит
Алгоритм RC4
Длина ключа, бит 128
Требуемая инфраструктура RADIUS

Примечания

  1. Компоненты протокола WAP, необходимые для удаления недостатков протокола WEP
  2. http://mgupi-it.ru/Tech/wireless/wifisecurity_part2.html] Тем не менее, TKIP защита была взломана частично, в 2008 году. Для ее успешного обхода необходимо, чтобы в беспроводном маршрутизаторе использовался QoS. Злоумышленник может получить возможность перехватывать и расшифровывать данные, передаваемые в сети, а также подделывать пакеты, передаваемые в сети. Поэтому был разработан механизм WPA2, представляющий собой усовершенствованный WPA.

Источники

  1. Что такое ключ безопасности беспроводной сети Wi-Fi и для чего он необходим // bezprovodoff. [2017]. URL: http://bezprovodoff.com/wi-fi1/bezopastnost/klyuch-bezopasnosti-besprovodnoj-seti-wifi.html (дата обращения: 01.05.2017)
  2. Как ломаются беспроводные сети // citforum. [2001-2015]. Дата обновления: 2016. URL: http://citforum.ru/nets/wireless/crack/ (дата обращения: 01.05.2017).
  3. Часто задаваемые вопросы и устранение неполадок // support.brother. [2001-2017]. URL: http://support.brother.com/g/b/faqendbranchprintable.aspx?c=ru&lang=ru&prod=dcp7070dwr_eu&faqid=faq00002197_001&printable=true (дата обращения: 01.05.2017).
  4. Как ломаются беспроводные сети // citforum. [2001-2015]. Дата обновления: 2016. URL: http://citforum.ru/nets/wireless/crack/ (дата обращения: 01.05.2017).