Стандарт безпеки WPA

WPA (Wi-Fi Protected Access) — програма сертифікації, впроваджена Альянсом Wi-Fi для усування проблем з захистом WEP, зокрема проблем з криптографічною слабкістю заголовків векторів ініціалізації, про які ми згадували вище. У домашніх мережах ця технології набуває форми WPA-PSK, оскільки у домашніх мережах використовують попередньо розповсюджені ключі (Pre-Shared Key або PSK), щоб уникнути спеціалізованих механізмів розпізнавання, які використовуються у корпоративних та ділових середовищах.

WPA-PSK є удосконаленим варіантом WEP. Передбачено такі нові механізми захисту:

Розмірність вектора ініціалізації — у WPA включено 48-бітовий вектор ініціалізації, що збільшу криптографічну складність зашифрованих даних.

Спеціалізовані способи розпізнавання — у WPA передбачено можливість використання серверів 802.1x. На цих серверах використовуються спеціальні механізми розпізнавання користувачів, зокрема RADIUS.

(Слайд 14) WPA — це тимчасовий стандарт, про який домовилися виробники обладнання, доки набрав чинності IEEE 802.11i. Власне, WPA =802.1X +EAP +TKIP +MIC,

де: WPA — технологія захищеного доступу до бездротових мереж (Wi-Fi Protected Access),

EAP — протокол аутентифікації, що розширюється (Extensible Authentication Protocol),

TKIP — протокол тимчасової цілісності ключів, інший варіант перекладу - протокол цілісності ключів у часі (Temporal Key Integrity Protocol),

MIC — технологія криптографічної перевірка цілісності пакетів (Message Integrity Code).

Протокол RADIUS. RADIUS- призначений до роботи у поєднанні з сервером аутентифікації, як правило це RADIUS-сервер. І тут бездротові точки доступу працюють у enter prise-режиме.

Якщо RADIUS-сервер у мережі відсутній, то роль серверу аутентифікації виконує сама точка доступу - так званий режим WPA-PSK (pre-shared key, загальний ключ). У цьому режимі в настроюваннях всіх точок доступу заздалегідь прописується загальний ключ. Він також прописується і в клієнтських бездротових пристроях. Такий метод захисту теж досить безпечний (щодо WEP), але не зручний з погляду управління. PSK-ключ потрібно прописувати усім бездротовим пристроям, користувачів бездротових пристроїв. Якщо потрібно заблокувати доступ якомусь клієнту до мережі, доведеться наново прописувати новий PSK усім пристроям мережі і таке інше. Інакше кажучи, режим WPA-PSK може бути використаний в домашньої мережі та, можливо, у невеликому офісу, але не більше.

Ключовою тут є технологія MIC.

За шифрування даних в WPA відповідає протокол TKIP, який, хоч і використовує шифрування - RC4 WEP, та на відміну від нього, використовує автоматично підібрані 128-бітні ключі, які створюються непередбачуваним способом і має майже 500 мільярдів варіантів. Він застосовує довший вектор ініціалізації і є криптографічною контрольною сумою (MIC). Складна ієрархічна система алгоритму добору ключів і динамічна їх заміна через кожні 10 Кбайт (10 тис. переданих пакетів) роблять систему максимально захищеною.

Щоправда, TKIP нині більш різноманітніший і є найкращим для реалізації шифрування тому, що у він застосовує нові алгоритми, засновані на технології Advanced Encryption Standard (AES), яка, до речі, використовуєються у VPN.

Технологія перевірки цілісності повідомлень MIC (Message Integrity Check) захищає від зовнішнього проникнення до інформації. Досить складний математичний алгоритм дозволяє звіряти відправлені й отримані дані лише на другій точці. Якщо виявлені зміни і результати порівняння не сходяться, такі дані вважаються хибними і відкидаються.

Фильтрация MAC-адресів, підтримується усіма сучасними точками доступу і бездротовими маршрутизаторами, хоча і є складовою стандарту 802.11, проте, як вважають, дозволяє підвищити рівень безпеки бездротової мережі. Задля реалізації даної функції в настроюваннях точки доступу створюється таблиця MAC-адресів бездротових адаптерів клієнтів, авторизованих до роботи в даній мережі.

(Слайд 15) Ще один захід безпеки, який часто використовують у бездротових мереж, — режим прихованого ідентифікатора мережі. Кожній бездротовій мережі призначається свій унікальний ідентифікатор (SSID), це і є назва мережі. Коли користувач намагається ввійти у мережу, драйвер бездротового адаптера передусім сканує ефір щодо наявності у ній бездротових мереж. При застосуванні режиму прихованого ідентифікатора (зазвичай, цей режим називається Hide SSID) мережа не відображається у списку доступних і підключитися до неї можливо лише в тому разі, якщо: по-перше, точно відомий її SSID, а по-друге, заздалегідь створено профіль підключення до цієї мережі.