WPA

A WPA ( Wi-Fi Protected Access ), a  WPA2 és a WPA3 a Wi-Fi Alliance által kifejlesztett vezeték nélküli eszközök tanúsító programok, amelyek célja a vezeték nélküli Wi-Fi hálózat védelme . Az első verzió WPA technológiája váltotta fel a WEP technológiát . A WPA előnyei a fokozott adatbiztonság és a vezeték nélküli hálózatok szigorúbb hozzáférés-ellenőrzése . Fontos jellemző a sok vezeték nélküli eszköz kompatibilitása mind hardver , mind szoftver szinten.

Alapfogalmak

A WPA támogatja a 802.1X szabványokat , valamint az EAP -t (Extensible Authentication Protocol, Extensible Authentication Protocol).

Érdemes megjegyezni, hogy a WPA2 támogatja az AES (Advanced Encryption Standard) titkosítást, aminek számos előnye van a WEP RC4 -hez képest , például egy sokkal erősebb kriptográfiai algoritmus.

A WPA megvalósításának nagy előnye, hogy a technológia képes működni a meglévő Wi-Fi hardveren .

A WPA néhány jellegzetessége:

• fejlett RC4 titkosítási séma
• kötelező hitelesítés EAP használatával .
• központosított biztonsági menedzsment rendszer, a meglévő vállalati biztonsági szabályzatokban való használat lehetősége .

Felhasználó hitelesítés

A Wi-Fi Alliance a következő képletet adja a WPA meghatározásához:

Látható, hogy a WPA valójában több technológia összessége.

Mint fentebb említettük, a WPA szabvány az Extensible Authentication Protocol-t (EAP) használja a felhasználói hitelesítési mechanizmus alapjaként. A hitelesítés elengedhetetlen feltétele, hogy a felhasználó felmutassa a hálózathoz való hozzáférési jogát igazoló tanúsítványt (más néven jegyet). Ennek a jogának a megszerzéséhez a felhasználót a regisztrált felhasználók egy speciális adatbázisában ellenőrzik. Hitelesítés nélkül a felhasználó hálózatba kapcsolása tilos. A regisztrált felhasználók adatbázisa és a nagy hálózatok ellenőrző rendszere általában egy speciális szerveren található (leggyakrabban RADIUS ).

Meg kell jegyezni, hogy a WPA egyszerűsített móddal rendelkezik. Előre megosztott kulcsnak (WPA-PSK) hívják. A PSK mód használatakor meg kell adnia egy jelszót minden egyes vezeték nélküli hálózati csomóponthoz (vezeték nélküli útválasztók , hozzáférési pontok, hidak, kliens adapterek). Ha a jelszavak megegyeznek az adatbázisban szereplő bejegyzésekkel, a felhasználó engedélyt kap a hálózat elérésére.

Titkosítás

Még ha figyelmen kívül hagyjuk is, hogy a WEP, a WPA elődje önmagában nem rendelkezik felhasználói hitelesítési mechanizmusokkal, megbízhatatlansága elsősorban a titkosítási algoritmus kriptográfiai gyengeségében rejlik. A WEP fő problémája az, hogy túlságosan hasonló kulcsokat használnak a különböző adatcsomagokhoz.

A TKIP , MIC és 802.1X (a WPA-egyenlet részei) megerősítették a továbbított adatok titkosítását a WPA-t használó hálózatokon.

A TKIP feladata a kulcsméret 40 bitről 128 bitre történő növelése , valamint egy statikus WEP-kulcs lecserélése kulcsokkal, amelyeket a hitelesítési szerver automatikusan generál és terjeszt. Ezenkívül a TKIP speciális kulcshierarchiát és kulcskezelési módszertant használ, amely megszünteti a WEP-kulcsok manipulálására használt kiszámíthatóságot.

A hitelesítési szerver, miután megkapta a tanúsítványt a felhasználótól, a 802.1X használatával egyedi alapkulcsot állít elő a munkamenethez. A TKIP továbbítja a generált kulcsot a felhasználónak és a hozzáférési pontnak, majd felállítja a kulcsok hierarchiáját és egy vezérlőrendszert. Ehhez egy kétirányú kulcsot használnak az adattitkosítási kulcsok dinamikus generálására, amelyek viszont az egyes adatcsomagok titkosítására szolgálnak. Ez a TKIP-kulcshierarchia egy WEP (statikus) kulcsot 500 milliárd lehetséges kulccsal helyettesít, amelyeket egy adott adatcsomag titkosításához használnak majd.

Egy másik fontos mechanizmus a Message Integrity Check (MIC). Az adatcsomagok elfogásának megakadályozására szolgál, amelyek tartalma változtatható, és a módosított csomag újraküldésre kerül a hálózaton keresztül. A MIC egy erőteljes matematikai függvényen alapul, amelyet a küldő és a fogadó oldalon alkalmaznak, majd összehasonlítják az eredményt. Ha az ellenőrzés azt mutatja, hogy a számítási eredmények nem egyeznek, az adatok hamisnak minősülnek, és a csomag eldobásra kerül.

Ugyanakkor a WPA és a WPA-PSK titkosítási mechanizmusai azonosak. Az egyetlen különbség a WPA-PSK között az, hogy a hitelesítés jelszóval történik, nem pedig felhasználói tanúsítvánnyal.

WPA2

A WPA2-t a 2004 júniusában elfogadott IEEE 802.11i szabvány határozza meg, és célja a WPA helyettesítése. CCMP és AES titkosítást valósít meg , így a WPA2 biztonságosabb, mint elődje. 2006. március 13-tól a WPA2 támogatása minden tanúsított Wi-Fi eszköz esetében előírás [1] .

WPA3

2018 elején a Wi-Fi Alliance bejelentette a legújabb vezeték nélküli biztonsági protokollt, a WPA3-at [2] . A protokollban végrehajtott fő kiegészítések a következők: beépített védelem a nyers erők elleni támadások ellen ; egyéni adattitkosítás a felhasználók magánéletének javítása érdekében nyílt Wi-Fi hálózatokon; az IoT - eszközök egyszerűsített konfigurálása ; továbbfejlesztett kriptográfiai szabvány a Wi-Fi hálózatokhoz – „192 bites biztonsági csomag” [3] [4] .

Sebezhetőségek

2008. november 6-án a PacSec konferencián egy olyan módszert mutattak be, amely lehetővé teszi a WPA-ban használt TKIP kulcs 12-15 perc alatt történő feltörését [5] . Ez a módszer lehetővé teszi a hozzáférési pontról a kliensgépre továbbított adatok beolvasását, valamint hamis információk továbbítását a kliensgépre. A klienstől a routerhez továbbított adatok még nem lettek beolvasva. A sikeres támadás másik feltétele a QoS engedélyezése volt az útválasztón .

2009-ben Toshihiro Oigashi és Masakatu Moriya, a Hiroshima Egyetem és a Kobe Egyetem alkalmazottai kifejlesztettek és sikeresen bevezettek egy új támadási módszert, amely lehetővé teszi bármilyen WPA-kapcsolat korlátozás nélküli feltörését, és a legjobb esetben a feltörési idő 1 perc [ 6] .

A biztonságosabb AES kulcs titkosítási szabványt használó WPA kapcsolatok , valamint a WPA2 kapcsolatok nem érzékenyek ezekre a támadásokra.

2010. július 23-án közzétették a WPA2 protokoll Hole196 biztonsági résével kapcsolatos információkat. A biztonsági rés segítségével a hálózatba bejelentkezett felhasználó visszafejtheti más felhasználók adatait a saját privát kulcsával. Nincs szükség kulcsrepedésre vagy nyers erőre [7] .

2017-ig azonban a WPA2 PSK feltörésének fő módja a szótári támadás és a nyers erő volt . Ehhez vezeték nélküli kártyafigyelő módban a levegőt pásztázzák és rögzítik a szükséges csomagokat. Ezután a kliens jogosultsága megszűnik a kezdeti csomagcsere rögzítésére – " handshake " ( angol  handshake ), vagy meg kell várnia, amíg a kliens kapcsolatot létesít. Ezt követően már nem kell a megtámadott hozzáférési pont közelében tartózkodni. A támadást offline módon hajtják végre egy speciális program és egy kézfogással ellátott fájl segítségével.

2017 októberében egy kulcs újratelepítési támadást tettek közzé a WPA2- n KRACK néven , amely lehetővé teszi a nonce visszaállítását AES-CCMP használatakor, a korábban elküldött csomagok lejátszását és visszafejtését, WPA TKIP és GCMP módok használatakor a visszafejtést és az injektálást. csomagokat a kapcsolatba [8] [9] .

Lásd még

• WEP

Jegyzetek

1. ↑ „A WPA2-biztonság mostantól kötelező a Wi-Fi-TANÚSÍTVÁNYÚ termékekhez” A WPA2-biztonság mostantól kötelező a Wi-Fi-TANÚSÍTVÁNYÚ termékekhez . WiFi Alliance . Az eredetiből archiválva : 2011. augusztus 25. (határozatlan)
2. ↑ A Wi-Fi Alliance® biztonsági  fejlesztéseket vezet be . WiFi Alliance . www.wi-fi.org (2018. január 8.). Letöltve: 2018. március 23. Az eredetiből archiválva : 2018. március 23.
3. ↑ Bejelentették a WPA3 szabványt, a Wi-Fi biztonságosabbnak ígérkezik - "Hacker"  (orosz) , "Hacker"  (2018. január 9.). Az eredetiből archiválva : 2018. március 23. Letöltve: 2018. március 23.
4. ↑ A Wi-Fi Alliance bejelentette a WPA3-at . iXBT.com (2018. január 9.). Letöltve: 2018. március 23. Az eredetiből archiválva : 2018. március 23. (határozatlan)
5. ↑ Miután biztonságosnak gondolták, a WPA Wi-Fi titkosítás feltörik | ITworld . Letöltve: 2008. november 7. Az eredetiből archiválva : 2008. november 9.. (határozatlan)
6. ↑ A WPA protokoll feltörése, a JWIS2009 konferencia cikke.  (angol)  (elérhetetlen link)
7. ↑ Az AirTight Networks blogbejegyzése, amelynek szakemberei megtalálták a sebezhetőséget  (angolul) (elérhetetlen link) . Hozzáférés dátuma: 2010. július 26. Az eredetiből archiválva : 2010. július 26. (határozatlan) 
8. ↑ http://papers.mathyvanhoef.com/ccs2017.pdf Archiválva : 2017. október 16., a Wayback Machine Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2
9. ↑ KRACK támadások: WPA2 feltörése . www.krackattacks.com. Letöltve: 2017. október 16. Az eredetiből archiválva : 2020. február 28.. (határozatlan)

Linkek

• A Wi-Fi Alliance webhely WPA2 része
• A Wi-Fi Alliance interoperabilitási tanúsítványa
• Védett Wi-Fi hozzáférés: Erős, szabványokon alapuló, interoperábilis biztonság a mai Wi-Fi hálózatokhoz.
• Sajtóközlemény a WPA által támogatott új EAP-típusokról  (hivatkozás nem érhető el)
• IEEE 802.11i-2004 szabvány
• A wpasupplicant csomag kézikönyvoldalainak fordítása: wpa_background(8) , wpa_supplicant(8) , wpa_supplicant.conf(5) , wpa_cli (8) , wpa_action(8) , wpa_passphrase(8)