У цьому посібнику ми докладно розглянемо суть WPA, потенційні можливості для поширення технології в продуктах, продуктивність і ефективність захисту. Приступимо.
Все залежить від елементів в рівнянні
WPA являє собою підмножину технологій з майбутнього стандарту 802.11i. який комітет Wi-Fi Alliance називає WPA2. Комітет Wi-Fi Alliance присвятив WPA цілий розділ сайту для просування нового стандарту в життя. Так що якщо вам потрібна детальна інформація з перших рук, то ви знаєте, де її знайти.
Там же дається просте "рівняння" розрахунку WPA:
WPA = 802.1X + EAP + TKIP + MIC
Тобто WPA є сумою декількох елементів, і нижче ми розглянемо кожен з них.
Стандарт WPA використовує 802.1x і Розширений протокол аутентифікації (Extensible Authentication Protocol, EAP) в якості основи для механізму аутентифікації. Аутентифікація вимагає, щоб користувач пред'явив посвідчення / мандат (credentials) того, що йому дозволено отримувати доступ в мережу. Для цього права користувача перевіряються по базі даних зареєстрованих користувачів. Для роботи в мережі користувач повинен обов'язково пройти через механізм аутентифікації.
Цей режим називається Pre-Shared Key (WPA-PSK) - при його використанні необхідно ввести один пароль на кожен вузол бездротової мережі (точки доступу, бездротові маршрутизатори, клієнтські адаптери, мости). До тих пір, поки паролі збігаються, клієнту буде дозволений доступ в мережу. На Рис. 1 показаний весь процес.
Незважаючи на те, що попередник WPA, протокол WEP, не мав будь-яких механізмів аутентифікації взагалі, ненадійність WEP полягає в криптографічного слабкості алгоритму шифрування. Як зазначено в цьому прекрасно написаному документі від RSA Security. ключова проблема WEP криється в занадто схожих ключах для різних пакетів даних.
Частини TKIP. MIC і 802.1X рівняння WPA грають свою роль в посиленні шифрування даних мереж з WPA. У наступній витримці з документації Wi-Fi Alliance WPA дан хороший огляд того, як вони працюють разом:
TKIP збільшує розмір ключа з 40 до 128 біт і замінює один статичний ключ WEP ключами, які автоматично створюються і поширюються сервером аутентифікації. TKIP використовує ієрархію ключів і методологію управління ключами, яка прибирає передбачуваність, використовувати хакерами для зняття захисту ключа WEP.
Для цього TKIP посилює структуру 802.1X / EAP. Сервер аутентифікації, після прийняття мандата користувача (credential), використовує 802.1X для створення унікального основного ключа (двостороннього) для даного сеансу зв'язку. TKIP передає цей ключ клієнту і точки доступу, потім налаштовує ієрархію ключів і систему управління, використовуючи двосторонній ключ для динамічного створення ключів шифрування даних, які використовуються для шифрування кожного пакету даних, які передаються по бездротовій мережі під час сеансу користувача. Ієрархія ключів TKIP замінює один статичний ключ WEP на приблизно 500 мільярдів можливих ключів, які будуть використовуватися для шифрування даного пакета даних.
Перевірка цілісності повідомлень (Message Integrity Check, MIC) призначена для запобігання захоплення пакетів даних, зміни їх вмісту і повторної пересилки. MIC побудована на базі потужної математичної функції, яку застосовують відправник і одержувач, а потім порівнюють результат. Якщо він не збігається, то дані вважаються помилковими і пакет відкидається.
За допомогою значного збільшення розміру ключів і числа використовуваних ключів, а також створення механізму перевірки цілісності, TKIP примножує складність декодування даних в бездротовій мережі. TKIP значно збільшує силу і складність бездротового шифрування, роблячи процес вторгнення в бездротову мережу набагато більш складним, якщо не неможливим взагалі.
Важливо відзначити, що механізми шифрування, які використовуються для WPA і WPA-PSK, є однаковими. Єдина відмінність WPA-PSK полягає в тому, що там аутентифікація проводиться за будь-якою паролю, а не за мандатом користувача. Деякі напевно помітять, що підхід з використанням пароля робить WPA-PSK вразливою для атаки методом підбору, і в чомусь вони будуть праві. Але ми хотіли б відзначити, що WPA-PSK знімає плутанину з ключами WEP, замінюючи їх цілісної і чіткої системою на основі цифробуквене пароля. І напевно подібна система піде далі WEP, оскільки вона настільки проста, що люди будуть використовувати її насправді.
Після того, як ви дізналися теорію про роботу WPA, давайте перейдемо до практики.
Модернізація: 11g попереду всіх
Отже, вас приваблює WPA, і ви бажаєте внести підтримку цього стандарту в свою бездротову мережу якомога швидше! З чого почати?
Будь ви "корпоративним" або домашнім користувачем, вам необхідно пройти три етапи:- Дізнатися, чи підтримує ваша точка доступу або бездротовий маршрутизатор WPA, або до них з'явилося відповідне оновлення прошивки.
Кроки 1 і 2 здаються простими, однак для їх реалізації продукти повинні пройти всю еволюційну ланцюжок. Оскільки більшість виробників мережевого устаткування для OEM і ODM знаходиться на Тайвані, ці компанії повинні спочатку отримати і впровадити код від виробників бездротових чіпів, а вже потім випустити драйвери і прошивки для своїх продуктів.
Завдання аж ніяк не мізерна, враховуючи, що сьогодні за даними Wi-Fi Alliance існує понад 700 сертифікованих продуктів, не кажучи про сотні несертифікованих рішень. Оновлення спочатку необхідно вислати компаніям-виробникам мережного устаткування, які проведуть тестування і (будемо сподіватися) при успішній роботі викладуть драйвер для скачування.
В Таблиці 1 показані поновлення WPA, доступні для продуктів на базі Broadcom на момент виходу статті: