Защищенный доступ Wi-Fi - Wi-Fi Protected Access

Защищенный доступ Wi-Fi ( WPA ), Защищенный доступ Wi-Fi II ( WPA2 ) и Защищенный доступ Wi-Fi 3 ( WPA3 ) - это три программы сертификации безопасности, разработанные Wi-Fi Alliance для защиты беспроводных компьютерных сетей. Альянс определил их в ответ на серьезные недостатки, обнаруженные исследователями в предыдущей системе Wired Equivalent Privacy (WEP).

WPA (иногда называемый стандартом TKIP) стал доступен в 2003 году. Wi-Fi Alliance задумал его как промежуточную меру в ожидании доступности более безопасного и сложного WPA2, который стал доступен в 2004 году и является общепринятым сокращением для полной версии. Стандарт IEEE 802.11i (или IEEE 802.11i-2004 ).

В январе 2018 года Wi-Fi Alliance объявил о выпуске WPA3 с несколькими улучшениями безопасности по сравнению с WPA2.

Версии

WPA

Wi-Fi Alliance планировал использовать WPA в качестве промежуточной меры вместо WEP в ожидании доступности полного стандарта IEEE 802.11i . WPA может быть реализован посредством обновлений прошивки на беспроводных сетевых интерфейсных картах, разработанных для WEP, поставки которых начались еще в 1999 году. Однако, поскольку изменения, необходимые в точках беспроводного доступа (AP), были более обширными, чем те, которые требовались на сетевых картах, большинство AP до 2003 не могли быть обновлены для поддержки WPA.

Протокол WPA реализует протокол целостности временного ключа (TKIP). WEP использует 64-битный или 128-битный ключ шифрования, который необходимо вводить вручную на беспроводных точках доступа и устройствах и который не изменяется. TKIP использует ключ для каждого пакета, что означает, что он динамически генерирует новый 128-битный ключ для каждого пакета и, таким образом, предотвращает типы атак, которые скомпрометировали WEP.

WPA также включает проверку целостности сообщений , которая предназначена для предотвращения изменения злоумышленником и повторной отправки пакетов данных. Это заменяет циклический контроль избыточности (CRC), который использовался стандартом WEP. Главный недостаток CRC состоял в том, что он не давал достаточно надежной гарантии целостности данных для обрабатываемых пакетов. Для решения этих проблем существовали хорошо протестированные коды аутентификации сообщений , но они требовали слишком большого объема вычислений для использования на старых сетевых картах. WPA использует алгоритм проверки целостности сообщения, называемый TKIP, для проверки целостности пакетов. TKIP намного сильнее CRC, но не так силен, как алгоритм, используемый в WPA2. С тех пор исследователи обнаружили недостаток в WPA, основанный на старых недостатках WEP и ограничениях хэш-функции кода целостности сообщения, названной Michael , для извлечения ключевого потока из коротких пакетов для использования для повторной инъекции и спуфинга .

WPA2

Ратифицированный в 2004 г., WPA2 заменил WPA. WPA2, требующий тестирования и сертификации Wi-Fi Alliance, реализует обязательные элементы IEEE 802.11i. В частности, он включает обязательную поддержку CCMP , режима шифрования на основе AES . Сертификация началась в сентябре 2004 года. С 13 марта 2006 года по 30 июня 2020 года сертификация WPA2 была обязательной для всех новых устройств с товарным знаком Wi-Fi.

WPA3

В январе 2018 года Wi-Fi Alliance анонсировал WPA3 в качестве замены WPA2. Сертификация началась в июне 2018 года.

Новый стандарт использует эквивалентную 192-битную криптографическую стойкость в режиме WPA3-Enterprise ( AES-256 в режиме GCM с SHA-384 в качестве HMAC ) и по-прежнему требует использования CCMP-128 ( AES-128 в режиме CCM ) в качестве минимальный алгоритм шифрования в режиме WPA3-Personal.

Стандарт WPA3 также заменяет обмен предварительным общим ключом (PSK) обменом с одновременной аутентификацией равных (SAE), методом, первоначально представленным в IEEE 802.11s , что приводит к более безопасному начальному обмену ключами в персональном режиме и прямой секретности . Wi-Fi Alliance также утверждает, что WPA3 смягчит проблемы безопасности, вызванные слабыми паролями, и упростит процесс настройки устройств без интерфейса дисплея.

Защита кадров управления, как указано в поправке IEEE 802.11w, также обеспечивается спецификациями WPA3.

Аппаратная поддержка

WPA был разработан специально для работы с беспроводным оборудованием, выпущенным до введения протокола WPA, который обеспечивает недостаточную безопасность через WEP . Некоторые из этих устройств поддерживают WPA только после применения обновлений прошивки , которые недоступны для некоторых устаревших устройств.

Устройства Wi-Fi, сертифицированные с 2006 года, поддерживают протоколы безопасности WPA и WPA2. WPA3 требуется с 1 июля 2020 года. Новые версии могут не работать с некоторыми старыми сетевыми картами.

Терминология WPA

Различные версии WPA и механизмы защиты можно различать в зависимости от целевого конечного пользователя (в соответствии с методом распределения ключей аутентификации) и используемого протокола шифрования.

Целевые пользователи (распространение ключей аутентификации)

WPA-Personal
Также называемый режимом WPA-PSK ( pre-shared key ), он разработан для домашних сетей и сетей малого офиса и не требует сервера аутентификации. Каждое беспроводное сетевое устройство шифрует сетевой трафик, получая свой 128-битный ключ шифрования из 256-битного общего ключа . Этот ключ можно ввести либо как строку из 64 шестнадцатеричных цифр, либо как парольную фразу из 8–63 печатаемых символов ASCII . Если используются символы ASCII, 256-битный ключ вычисляется путем применения функции деривации ключа PBKDF2 к парольной фразе с использованием SSID в качестве соли и 4096 итераций HMAC - SHA1 . Режим WPA-Personal доступен во всех трех версиях WPA.
WPA-предприятие
Также называемый режимом WPA- 802.1X , а иногда и просто WPA (в отличие от WPA-PSK), он разработан для корпоративных сетей и требует сервера аутентификации RADIUS . Это требует более сложной настройки, но обеспечивает дополнительную безопасность (например, защиту от словарных атак на короткие пароли). Для аутентификации используются различные виды расширяемого протокола аутентификации (EAP). Режим WPA-Enterprise доступен во всех трех версиях WPA.
Wi-Fi Protected Setup (WPS)
Это альтернативный метод распространения ключей аутентификации, предназначенный для упрощения и усиления процесса, но при широкой реализации он создает серьезную дыру в безопасности за счет восстановления PIN-кода WPS .

Протокол шифрования

TKIP (протокол целостности временного ключа)
RC4 потоковый шифр используется с ключом 128-бит каждого пакета, а это означает , что он динамически генерирует новый ключ для каждого пакета. Это используется WPA.
CCMP ( режим CTR с протоколом CBC-MAC )
Протокол, используемый WPA2, основанный на шифре Advanced Encryption Standard (AES), а также строгая проверка подлинности и целостности сообщений, значительно сильнее защищает как конфиденциальность, так и целостность, чем протокол TKIP на основе RC4, который используется WPA. Среди неофициальных названий - «AES» и «AES-CCMP». Согласно спецификации 802.11n, этот протокол шифрования должен использоваться для достижения быстрых схем 802.11n с высокой скоростью передачи данных , хотя не все реализации это обеспечивают. В противном случае скорость передачи данных не превысит 54 Мбит / с.

Расширения EAP под WPA и WPA2 Enterprise

Первоначально только EAP-TLS ( Extensible Authentication Protocol - Transport Layer Security ) был сертифицирован альянсом Wi-Fi. В апреле 2010 года Wi-Fi Alliance объявил о включении дополнительных типов EAP в свои программы сертификации WPA- и WPA2-Enterprise. Это было сделано для того, чтобы продукты, сертифицированные WPA-Enterprise, могли взаимодействовать друг с другом.

По состоянию на 2010 год программа сертификации включает следующие типы EAP:

  • EAP-TLS (ранее протестировано)
  • EAP-TTLS / MSCHAPv2 (апрель 2005 г.)
  • PEAP v0 / EAP-MSCHAPv2 (апрель 2005 г.)
  • PEAPv1 / EAP-GTC (апрель 2005 г.)
  • PEAP-TLS
  • EAP-SIM (апрель 2005 г.)
  • EAP-AKA (апрель 2009 г.)
  • EAP-FAST (апрель 2009 г.)

Клиенты и серверы 802.1X, разработанные определенными компаниями, могут поддерживать другие типы EAP. Эта сертификация является попыткой взаимодействия популярных типов EAP; их неспособность сделать это по состоянию на 2013 год является одной из основных проблем, препятствующих развертыванию 802.1X в гетерогенных сетях.

Коммерческие серверы 802.1X включают Microsoft Internet Authentication Service и Juniper Networks Steelbelted RADIUS, а также сервер Aradial Radius. FreeRADIUS - это сервер 802.1X с открытым исходным кодом.

Проблемы с безопасностью

слабый пароль

Предварительно общий ключ WPA и WPA2 остаются уязвимыми для атак со взломом паролей, если пользователи полагаются на слабый пароль или парольную фразу . Хэши парольной фразы WPA формируются из имени SSID и его длины; радужные таблицы существуют для 1000 самых популярных сетевых SSID и множества общих паролей, требуя только быстрого поиска для ускорения взлома WPA-PSK.

Подбор простых паролей можно предпринять с помощью Aircrack Suite, начиная с четырехстороннего рукопожатия аутентификации, которым обмениваются во время ассоциации или периодической повторной аутентификации.

WPA3 заменяет криптографические протоколы, восприимчивые к автономному анализу, протоколами, которые требуют взаимодействия с инфраструктурой для каждого угаданного пароля, предположительно устанавливая временные ограничения на количество угадываний. Однако недостатки конструкции в WPA3 позволяют злоумышленникам запускать атаки методом грубой силы (см. « Атака драконьей крови» ).

Отсутствие прямой секретности

WPA и WPA2 не обеспечивают прямой секретности , а это означает, что как только злоумышленник обнаруживает предварительный общий ключ, он потенциально может расшифровать все пакеты, зашифрованные с использованием этого PSK, переданного в будущем и даже в прошлом, которые могут быть пассивно и тихо собраны злоумышленник. Это также означает, что злоумышленник может незаметно перехватывать и расшифровывать чужие пакеты, если точка доступа с защитой WPA предоставляется бесплатно в публичном месте, поскольку ее пароль обычно передается всем в этом месте. Другими словами, WPA защищает только от злоумышленников, не имеющих доступа к паролю. По этой причине безопаснее использовать Transport Layer Security (TLS) или что-то подобное в дополнение к этому для передачи любых конфиденциальных данных. Однако, начиная с WPA3, эта проблема решена.

Подмена и расшифровка пакетов WPA

Мэти Ванхуф и Фрэнк Писсенс значительно улучшили атаки WPA-TKIP Эрика Тьюса и Мартина Бека. Они продемонстрировали, как вводить произвольное количество пакетов, каждый из которых содержит не более 112 байтов полезной нагрузки. Это было продемонстрировано путем реализации сканера портов , который может быть запущен против любого клиента, использующего WPA-TKIP . Кроме того, они показали, как расшифровывать произвольные пакеты, отправленные клиенту. Они упомянули, что это может быть использовано для перехвата TCP-соединения , позволяя злоумышленнику внедрить вредоносный JavaScript, когда жертва посещает веб-сайт. Напротив, атака Beck-Tews могла расшифровать только короткие пакеты с наиболее известным содержимым, например сообщения ARP , и позволила вводить только от 3 до 7 пакетов размером не более 28 байтов. Атака Beck-Tews также требует включения качества обслуживания (как определено в 802.11e ), в то время как атака Vanhoef-Piessens этого не делает. Ни одна из атак не приводит к восстановлению общего сеансового ключа между клиентом и точкой доступа . Авторы говорят, что использование короткого интервала смены ключей может предотвратить некоторые атаки, но не все, и настоятельно рекомендуют переключиться с TKIP на CCMP на основе AES .

Халворсен и другие показывают, как модифицировать атаку Beck-Tews, чтобы можно было вводить от 3 до 7 пакетов размером не более 596 байт. Обратной стороной является то, что для их атаки требуется значительно больше времени: примерно 18 минут 25 секунд. В другой работе Ванхуф и Писсенс показали, что, когда WPA используется для шифрования широковещательных пакетов, их исходная атака также может быть выполнена. Это важное расширение, поскольку значительно больше сетей используют WPA для защиты широковещательных пакетов , чем для защиты одноадресных пакетов . Время выполнения этой атаки в среднем составляет около 7 минут по сравнению с 14 минутами оригинальной атаки Ванхёфа-Писсенса и Бек-Тьюса.

Уязвимости TKIP значительны, потому что WPA-TKIP раньше считался чрезвычайно безопасной комбинацией; действительно, WPA-TKIP по-прежнему является вариантом конфигурации для широкого спектра устройств беспроводной маршрутизации, предоставляемых многими поставщиками оборудования. Опрос 2013 года показал, что 71% по-прежнему разрешают использование TKIP, а 19% поддерживают исключительно TKIP.

Восстановление PIN-кода WPS

Более серьезная уязвимость безопасности была обнаружена в декабре 2011 года Стефаном Вибёком, которая затрагивает беспроводные маршрутизаторы с функцией Wi-Fi Protected Setup (WPS), независимо от того, какой метод шифрования они используют. В самых последних моделях есть эта функция, и она включена по умолчанию. Многие производители потребительских устройств Wi-Fi предприняли шаги для устранения возможности выбора слабых парольных фраз, продвигая альтернативные методы автоматической генерации и распространения надежных ключей, когда пользователи добавляют в сеть новый беспроводной адаптер или устройство. Эти методы включают нажатие кнопок на устройствах или ввод 8-значного PIN - кода .

Wi-Fi Alliance стандартизировал эти методы как Wi-Fi Protected Setup; однако широко распространенная функция PIN привнесла новый серьезный недостаток в безопасность. Уязвимость позволяет удаленному злоумышленнику восстановить PIN-код WPS, а вместе с ним и пароль WPA / WPA2 маршрутизатора за несколько часов. Пользователям настоятельно рекомендуется отключить функцию WPS, хотя это может быть невозможно на некоторых моделях маршрутизаторов. Кроме того, PIN-код написан на этикетке на большинстве маршрутизаторов Wi-Fi с WPS и не может быть изменен в случае взлома.

WPA3 представляет новую альтернативу конфигурации устройств, у которых отсутствуют достаточные возможности пользовательского интерфейса, позволяя расположенным поблизости устройствам служить адекватным пользовательским интерфейсом для целей обеспечения сети, тем самым уменьшая потребность в WPS.

MS-CHAPv2 и отсутствие проверки CN сервера AAA

В MS-CHAPv 2 было обнаружено несколько слабых мест , некоторые из которых значительно снижают сложность атак методом перебора, делая их выполнимыми на современном оборудовании. В 2012 году сложность взлома MS-CHAPv2 была уменьшена до взлома одного ключа DES, работа Мокси Марлинспайк и Марш Рэй. Мокси посоветовал: «Предприятиям, которые зависят от свойств взаимной аутентификации MS-CHAPv2 для подключения к своим WPA2 Radius-серверам, следует немедленно начать переход на что-то другое».

Методы туннелирования EAP с использованием TTLS или PEAP, которые шифруют обмен MSCHAPv2, широко используются для защиты от использования этой уязвимости. Однако распространенные реализации клиентов WPA2 в начале 2000-х годов были подвержены неправильной настройке конечными пользователями или, в некоторых случаях (например, Android ), не имели доступного для пользователя способа правильной настройки проверки CN сертификатов сервера AAA. Это расширило актуальность исходной уязвимости MSCHAPv2 в сценариях атаки MiTM . В соответствии с более строгими тестами на соответствие WPA2, объявленными вместе с WPA3, сертифицированное клиентское программное обеспечение должно будет соответствовать определенным правилам, связанным с проверкой сертификата AAA.

Отверстие196

Hole196 - это уязвимость в протоколе WPA2, которая злоупотребляет общим групповым временным ключом (GTK). Его можно использовать для проведения атак типа «злоумышленник в середине» и « отказ в обслуживании» . Однако предполагается, что злоумышленник уже аутентифицирован в точке доступа и, следовательно, владеет GTK.

Предсказуемый групповой временный ключ (GTK)

В 2016 году было показано, что стандарты WPA и WPA2 содержат незащищенный генератор случайных чисел (ГСЧ). Исследователи показали, что, если производители реализуют предложенный ГСЧ, злоумышленник сможет предсказать групповой ключ (GTK), который должен быть случайным образом сгенерирован точкой доступа (AP). Кроме того, они показали, что обладание GTK позволяет злоумышленнику вводить любой трафик в сеть и позволяет злоумышленнику расшифровывать одноадресный интернет-трафик, передаваемый по беспроводной сети. Они продемонстрировали свою атаку против маршрутизатора Asus RT-AC51U, который использует драйверы вне дерева MediaTek , которые сами генерируют GTK, и показали, что GTK можно восстановить в течение двух минут или меньше. Точно так же они продемонстрировали, что ключи, сгенерированные демонами доступа Broadcom, работающими на VxWorks 5 и более поздних версиях, могут быть восстановлены за четыре минуты или меньше, что влияет, например, на определенные версии Linksys WRT54G и определенные модели Apple AirPort Extreme. Продавцы могут защититься от этой атаки, используя безопасный ГСЧ. Таким образом, Hostapd, работающий на ядрах Linux, не будет уязвим для этой атаки, и, следовательно, маршрутизаторы, работающие с типичными установками OpenWrt или LEDE , не проявляют этой проблемы.

KRACK атака

В октябре 2017 года были опубликованы подробности атаки KRACK (Key Reinstallation Attack) на WPA2. Считается, что атака KRACK затрагивает все варианты WPA и WPA2; однако последствия для безопасности различаются между реализациями, в зависимости от того, как отдельные разработчики интерпретируют плохо определенную часть стандарта. Программные исправления могут устранить уязвимость, но доступны не для всех устройств.

Атака драконьей крови

В апреле 2019 года были обнаружены серьезные недостатки в конструкции WPA3, которые позволяют злоумышленникам выполнять атаки на более раннюю версию и атаки по побочным каналам, позволяя подбирать парольную фразу, а также запускать атаки отказа в обслуживании на базовые станции Wi-Fi.

использованная литература

внешние ссылки