Dostęp chroniony Wi-Fi

Wi-Fi Protected Access ( WPA ), Wi-Fi Protected Access II ( WPA2 ) i Wi-Fi Protected Access 3 ( WPA3 ) to trzy programy bezpieczeństwa i certyfikacji bezpieczeństwa opracowane po 2000 roku przez Wi-Fi Alliance w celu zabezpieczenia komputera bezprzewodowego sieć. Sojusz zdefiniował je w odpowiedzi na poważne słabości, które badacze znaleźli w poprzednim systemie, Wired Equivalent Privacy (WEP).

WPA (czasami określane jako standard TKIP) stało się dostępne w 2003 roku. Wi-Fi Alliance zamierzało to jako środek pośredni w oczekiwaniu na dostępność bezpieczniejszego i bardziej złożonego WPA2, który stał się dostępny w 2004 roku i jest powszechnym skrótem dla pełnego Standard IEEE 802.11i (lub IEEE 802.11i-2004 ).

W styczniu 2018 roku Wi-Fi Alliance ogłosiło wydanie WPA3 z kilkoma ulepszeniami bezpieczeństwa w stosunku do WPA2.

Wersje

WPA

Wi-Fi Alliance zamierzało WPA jako środek pośredni, który ma zastąpić WEP do czasu udostępnienia pełnego standardu IEEE 802.11i . WPA można było zaimplementować poprzez uaktualnienia oprogramowania układowego kart interfejsu sieci bezprzewodowej zaprojektowanych dla WEP, które zaczęto sprzedawać już w 1999 r. Ponieważ jednak zmiany wymagane w bezprzewodowych punktach dostępowych (AP) były bardziej rozległe niż zmiany wymagane w kartach sieciowych, większość punktów dostępowych sprzed 2003 r. nie można było zaktualizować do obsługi WPA.

Protokół WPA implementuje protokół Temporal Key Integrity Protocol (TKIP). WEP używał 64-bitowego lub 128-bitowego klucza szyfrowania, który należy wprowadzić ręcznie w bezprzewodowych punktach dostępowych i urządzeniach i nie zmienia się. TKIP stosuje klucz pakietowy, co oznacza, że ​​dynamicznie generuje nowy 128-bitowy klucz dla każdego pakietu, zapobiegając tym samym typom ataków, które naruszyły WEP.

WPA obejmuje również sprawdzanie integralności wiadomości , które ma na celu uniemożliwienie atakującemu modyfikowania i ponownego wysyłania pakietów danych. Zastępuje to cykliczną kontrolę redundancji (CRC), która była używana w standardzie WEP. Główną wadą CRC było to, że nie zapewniało wystarczająco silnej gwarancji integralności danych dla obsługiwanych pakietów. dobrze przetestowane kody uwierzytelniania wiadomości, które rozwiązywały te problemy, ale wymagały zbyt wielu obliczeń, aby można je było stosować na starych kartach sieciowych. WPA używa algorytmu sprawdzania integralności wiadomości o nazwie TKIP w celu sprawdzenia integralności pakietów. TKIP jest znacznie silniejszy niż CRC, ale nie tak silny jak algorytm używany w WPA2. Od tego czasu badacze odkryli lukę w WPA, która opierała się na starszych słabościach WEP i ograniczeniach funkcji skrótu kodu integralności wiadomości, o nazwie Michael , do pobierania strumienia klucza z krótkich pakietów w celu ponownego wstrzyknięcia i fałszowania .

WPA2

Główny artykuł: IEEE 802.11i-2004

Ratyfikowany w 2004 r. WPA2 zastąpił WPA. WPA2, który wymaga przetestowania i certyfikacji przez Wi-Fi Alliance, implementuje obowiązkowe elementy standardu IEEE 802.11i. W szczególności zawiera obowiązkową obsługę CCMP , trybu szyfrowania opartego na AES . Certyfikacja rozpoczęła się we wrześniu 2004 r. Od 13 marca 2006 r. do 30 czerwca 2020 r. certyfikacja WPA2 była obowiązkowa dla wszystkich nowych urządzeń noszących znak towarowy Wi-Fi. Od 1 lipca 2020 roku obsługa WPA3 jest obowiązkowa.

WPA3

W styczniu 2018 r. Wi-Fi Alliance ogłosił WPA3 jako zamiennik WPA2. Certyfikacja rozpoczęła się w czerwcu 2018 r., a obsługa WPA3 jest obowiązkowa dla urządzeń z logo „Wi-Fi CERTIFIED™” od lipca 2020 r.

Nowy standard wykorzystuje równoważną 192-bitową siłę kryptograficzną w trybie WPA3-Enterprise ( AES-256 w trybie GCM z SHA-384 jako HMAC ) i nadal wymaga użycia CCMP-128 ( AES-128 w trybie CCM ) jako minimalny algorytm szyfrowania w trybie WPA3-Personal.

Standard WPA3 zastępuje również wymianę klucza wstępnego (PSK) wymianą SAE ( Simultaneous Authentication of Equals ), metodą pierwotnie wprowadzoną w standardzie IEEE 802.11s , co skutkuje bezpieczniejszą początkową wymianą klucza w trybie osobistym i poufnością przekazywania . Wi-Fi Alliance twierdzi również, że WPA3 złagodzi problemy z bezpieczeństwem wynikające ze słabych haseł i uprości proces konfigurowania urządzeń bez interfejsu wyświetlacza.

Ochrona ramek zarządzania określona w poprawce IEEE 802.11w jest również wymuszana przez specyfikacje WPA3.

Wsparcie sprzętowe

WPA został zaprojektowany specjalnie do pracy ze sprzętem bezprzewodowym wyprodukowanym przed wprowadzeniem protokołu WPA, który zapewniał niewystarczające zabezpieczenia przez WEP . Niektóre z tych urządzeń obsługują WPA dopiero po zastosowaniu uaktualnień oprogramowania układowego, które nie są dostępne dla niektórych starszych urządzeń.

Urządzenia Wi-Fi certyfikowane od 2006 roku obsługują zarówno protokoły bezpieczeństwa WPA, jak i WPA2. WPA3 jest wymagane od 1 lipca 2020 r.

Terminologia WPA

W zależności od docelowego użytkownika końcowego (według sposobu dystrybucji klucza uwierzytelniającego) oraz stosowanego protokołu szyfrowania można rozróżnić różne wersje i mechanizmy ochrony WPA.

Użytkownicy docelowi (dystrybucja kluczy uwierzytelniających)

WPA-Personal
Nazywany również trybem WPA-PSK ( pre-shared key ), jest przeznaczony dla sieci domowych i małych biur i nie wymaga serwera uwierzytelniającego. Każde urządzenie sieci bezprzewodowej szyfruje ruch sieciowy, wyprowadzając swój 128-bitowy klucz szyfrujący z 256-bitowego klucza współdzielonego . Ten klucz można wprowadzić albo jako ciąg 64 szesnastkowych , albo jako hasło o długości od 8 do 63 drukowalnych znaków ASCII . To mapowanie hasła do PSK nie jest jednak wiążące, ponieważ załącznik J ma charakter informacyjny w najnowszym standardzie 802.11. Jeśli używane są znaki ASCII, klucz 256-bitowy jest obliczany przez zastosowanie funkcji wyprowadzania klucza PBKDF2 do hasła, przy użyciu SSID jako soli i 4096 iteracji HMAC - SHA1 . Tryb WPA-Personal jest dostępny we wszystkich trzech wersjach WPA.
WPA-Enterprise
Nazywany również trybem WPA- 802.1X , a czasem po prostu WPA (w przeciwieństwie do WPA-PSK), jest przeznaczony dla sieci korporacyjnych i wymaga serwera uwierzytelniającego RADIUS . Wymaga to bardziej skomplikowanej konfiguracji, ale zapewnia dodatkowe zabezpieczenia (np. ochronę przed atakami słownikowymi na krótkie hasła). Do uwierzytelniania używane są różne rodzaje protokołu Extensible Authentication Protocol (EAP). Tryb WPA-Enterprise jest dostępny we wszystkich trzech wersjach WPA.
Bezpieczna konfiguracja Wi-Fi (WPS)
Jest to alternatywna metoda dystrybucji klucza uwierzytelniającego, mająca na celu uproszczenie i wzmocnienie procesu, ale która, w miarę jej powszechnego stosowania, stwarza poważną lukę w zabezpieczeniach poprzez odzyskiwanie kodu PIN WPS .

Protokół szyfrowania

TKIP (Temporal Key Integrity Protocol) Szyfr strumieniowy
RC4 jest używany ze 128-bitowym kluczem na pakiet, co oznacza, że ​​dynamicznie generuje nowy klucz dla każdego pakietu . Jest to używane przez WPA.
CCMP ( tryb CTR z protokołem CBC-MAC )
Protokół używany przez WPA2, oparty na szyfrze Advanced Encryption Standard (AES) wraz z silnym sprawdzaniem autentyczności i integralności wiadomości, zapewnia znacznie lepszą ochronę zarówno prywatności, jak i integralności niż RC4 oparty na TKIP, który jest używany przez WPA. Wśród nieformalnych nazw są AES i AES-CCMP . Zgodnie ze specyfikacją 802.11n ten protokół szyfrowania musi być używany do uzyskania szybkich schematów 802.11n o dużej przepływności , chociaż nie wszystkie implementacje [ niejasne ] to wymuszają. W przeciwnym razie szybkość transmisji danych nie przekroczy 54 Mbit/s.

Rozszerzenia EAP w ramach WPA i WPA2 Enterprise

Pierwotnie tylko EAP-TLS ( Extensible Authentication Protocol Transport Layer Security ) był certyfikowany przez stowarzyszenie Wi-Fi. W kwietniu 2010 Wi-Fi Alliance ogłosiło włączenie dodatkowych typów EAP do swoich programów certyfikacji WPA- i WPA2-Enterprise. Miało to na celu zapewnienie, że produkty z certyfikatem WPA-Enterprise mogą ze sobą współpracować.

Od 2010 roku program certyfikacji obejmuje następujące typy EAP:

Klienci i serwery 802.1X opracowane przez określone firmy mogą obsługiwać inne typy EAP. Ta certyfikacja jest próbą współdziałania popularnych typów EAP; ich brak tego od 2013 r. jest jednym z głównych problemów uniemożliwiających wdrożenie 802.1X w sieciach heterogenicznych.

Komercyjne serwery 802.1X obejmują Microsoft Internet Authentication Service i Juniper Networks Steelbelted RADIUS, a także serwer Aradial Radius. FreeRADIUS to serwer typu open source 802.1X.

Problemy z bezpieczeństwem

słabe hasło

Klucz wstępny WPA i WPA2 pozostają podatne na ataki polegające na łamaniu haseł , jeśli użytkownicy polegają na słabym haśle lub haśle . Skróty hasła WPA są umieszczane na podstawie nazwy SSID i jej długości; tęczowe tabele dla 1000 najpopularniejszych sieciowych identyfikatorów SSID i wielu popularnych haseł, które wymagają jedynie szybkiego wyszukiwania, aby przyspieszyć łamanie WPA-PSK.

Brutalne wymuszanie prostych haseł można podjąć za pomocą pakietu Aircrack, zaczynając od czterokierunkowego uzgadniania uwierzytelniania wymienianego podczas kojarzenia lub okresowego ponownego uwierzytelniania.

WPA3 zastępuje protokoły kryptograficzne podatne na analizę offline protokołami, które wymagają interakcji z infrastrukturą dla każdego odgadniętego hasła, rzekomo nakładając czasowe ograniczenia na liczbę domysłów. Jednak wady projektowe w WPA3 umożliwiają atakującym wiarygodne przeprowadzanie ataków siłowych (patrz Atak Dragonblood ).

Brak tajemnicy do przodu

WPA i WPA2 nie zapewniają poufności przekazywania , co oznacza, że ​​gdy przeciwnik odkryje klucz wstępny, może potencjalnie odszyfrować wszystkie pakiety zaszyfrowane przy użyciu tego klucza PSK przesłanego w przyszłości, a nawet w przeszłości, które mogą zostać biernie i po cichu zebrane przez atakującego . Oznacza to również, że osoba atakująca może po cichu przechwytywać i odszyfrowywać pakiety innych osób, jeśli punkt dostępowy chroniony za pomocą WPA jest udostępniany bezpłatnie w miejscu publicznym, ponieważ jego hasło jest zwykle udostępniane każdemu w tym miejscu. Innymi słowy, WPA chroni tylko przed atakującymi, którzy nie mają dostępu do hasła. Dzięki temu jest bezpieczniejszy w użyciu Transport Layer Security (TLS) lub podobny dodatek do przesyłania wrażliwych danych. Jednak począwszy od WPA3 problem ten został rozwiązany.

Fałszowanie i deszyfrowanie pakietów WPA

Mathy Vanhoef i Frank Piessens znacznie poprawili ataki WPA-TKIP Erika Tewsa i Martina Becka. Zademonstrowali, jak wstrzyknąć dowolną liczbę pakietów, z których każdy zawiera maksymalnie 112 bajtów ładunku. Zostało to zademonstrowane poprzez wdrożenie skanera portów , który można uruchomić na dowolnym kliencie korzystającym z WPA-TKIP . Dodatkowo pokazali, jak odszyfrować dowolne pakiety wysyłane do klienta. Wspomnieli, że można tego użyć do przejęcia połączenia TCP , umożliwiając atakującemu wstrzyknięcie złośliwego kodu JavaScript gdy ofiara odwiedza stronę internetową. W przeciwieństwie do tego, atak Beck-Tews mógł odszyfrować tylko krótkie pakiety z przeważnie znaną zawartością, taką jak ARP , i pozwolił tylko na wstrzyknięcie od 3 do 7 pakietów o maksymalnej długości 28 bajtów. Atak Beck-Tews wymaga również włączenia jakości usług (zgodnie z definicją w standardzie 802.11e ), podczas gdy atak Vanhoef-Piessens tego nie wymaga. Żaden atak nie prowadzi do odzyskania współdzielonego klucza sesji między klientem a punktem dostępowym . Autorzy twierdzą, że użycie krótkiego interwału ponownego klucza może zapobiec niektórym atakom, ale nie wszystkim, i zdecydowanie zalecają przejście z TKIP CCMP opartego na AES .

Halvorsen i inni pokazują, jak zmodyfikować atak Beck-Tews, aby umożliwić wstrzyknięcie od 3 do 7 pakietów o rozmiarze co najwyżej 596 bajtów. Wadą jest to, że ich atak wymaga znacznie więcej czasu na wykonanie: około 18 minut i 25 sekund. W innej pracy Vanhoef i Piessens wykazali, że gdy WPA jest używane do szyfrowania pakietów rozgłoszeniowych, można również przeprowadzić ich pierwotny atak. Jest to ważne rozszerzenie, ponieważ znacznie więcej sieci używa WPA do ochrony pakietów rozgłoszeniowych niż do ochrony pakietów emisji pojedynczej . Czas wykonania tego ataku wynosi średnio około 7 minut, w porównaniu do 14 minut oryginalnego ataku Vanhoef-Piessens i Beck-Tews.

Luki w zabezpieczeniach TKIP są znaczące, ponieważ WPA-TKIP uważano wcześniej za niezwykle bezpieczną kombinację; w rzeczy samej, WPA-TKIP nadal jest opcją konfiguracyjną w szerokiej gamie bezprzewodowych urządzeń rutujących dostarczanych przez wielu dostawców sprzętu. Badanie przeprowadzone w 2013 roku wykazało, że 71% nadal zezwala na korzystanie z TKIP, a 19% obsługuje wyłącznie TKIP.

Odzyskiwanie kodu PIN WPS

Poważniejsza luka w zabezpieczeniach została ujawniona w grudniu 2011 r. przez Stefana Viehböcka, która dotyczy routerów bezprzewodowych z funkcją Wi-Fi Protected Setup (WPS), niezależnie od używanej przez nie metody szyfrowania. Najnowsze modele mają tę funkcję i domyślnie ją włączają. Wielu producentów konsumenckich urządzeń Wi-Fi podjęło kroki w celu wyeliminowania możliwości wyboru słabego hasła poprzez promowanie alternatywnych metod automatycznego generowania i dystrybucji silnych kluczy, gdy użytkownicy dodają do sieci nową kartę bezprzewodową lub urządzenie. Metody te obejmują naciskanie przycisków na urządzeniach lub wprowadzanie 8-cyfrowego kodu PIN .

Wi-Fi Alliance ustandaryzowało te metody jako Wi-Fi Protected Setup; jednak szeroko stosowana funkcja kodu PIN wprowadziła nową poważną lukę w zabezpieczeniach. Luka umożliwia zdalnemu atakującemu odzyskanie kodu PIN WPS, a wraz z nim hasła WPA/WPA2 routera w ciągu kilku godzin. Użytkownicy zostali wezwani do wyłączenia funkcji WPS, chociaż może to nie być możliwe w przypadku niektórych modeli routerów. Ponadto kod PIN jest zapisany na etykiecie większości routerów Wi-Fi z WPS i nie można go zmienić, jeśli zostanie naruszony.

WPA3 wprowadza nową alternatywę dla konfiguracji urządzeń, które nie mają wystarczających możliwości interfejsu użytkownika, umożliwiając pobliskim urządzeniom służenie jako odpowiedni interfejs użytkownika do celów udostępniania sieci, zmniejszając w ten sposób potrzebę WPS.

MS-CHAPv2 i brak walidacji CN serwera AAA

MS-CHAPv 2 znaleziono kilka słabych punktów , z których niektóre znacznie zmniejszają złożoność ataków typu brute-force, czyniąc je wykonalnymi przy użyciu nowoczesnego sprzętu. W 2012 roku złożoność łamania MS-CHAPv2 została zredukowana do łamania pojedynczego klucza DES (praca Moxie Marlinspike i Marsh Ray). Moxie radzi: „Przedsiębiorstwa, które polegają na właściwościach wzajemnego uwierzytelniania MS-CHAPv2 do łączenia się ze swoimi serwerami WPA2 Radius, powinny natychmiast rozpocząć migrację do czegoś innego”.

Tunelowane metody EAP wykorzystujące TTLS lub PEAP, które szyfrują wymianę MSCHAPv2, są szeroko stosowane w celu ochrony przed wykorzystaniem tej luki. Jednak powszechne implementacje klientów WPA2 na początku XXI wieku były podatne na błędną konfigurację przez użytkowników końcowych, aw niektórych przypadkach (np. Android ) brakowało dostępnego dla użytkownika sposobu prawidłowego konfigurowania sprawdzania poprawności numerów CN certyfikatów serwera AAA. Zwiększyło to znaczenie pierwotnej słabości w MSCHAPv2 w MiTM scenariusze ataków. Zgodnie z bardziej rygorystycznymi testami zgodności z WPA2 ogłoszonymi wraz z WPA3, certyfikowane oprogramowanie klienckie będzie musiało spełniać określone zachowania związane z walidacją certyfikatu AAA.

Otwór196

Hole196 to luka w protokole WPA2, która nadużywa udostępnionego klucza grupowego (GTK). Może być używany do przeprowadzania ataków typu man-in-the-middle i typu „odmowa usługi” . Zakłada jednak, że atakujący jest już uwierzytelniony w punkcie dostępowym, a zatem posiada GTK.

Przewidywalny klucz czasowy grupy (GTK)

W 2016 roku wykazano, że standardy WPA i WPA2 zawierają niezabezpieczony ekspozycyjny generator liczb losowych (RNG). Badacze wykazali, że jeśli dostawcy wdrożą proponowane RNG, osoba atakująca jest w stanie przewidzieć klucz grupowy (GTK), który ma być losowo generowany przez punkt dostępowy ( AP). Ponadto wykazali, że posiadanie GTK umożliwia atakującemu wstrzyknięcie dowolnego ruchu do sieci i umożliwienie atakującemu odszyfrowanie ruchu internetowego emisji pojedynczej przesyłanego przez sieć bezprzewodową. Zademonstrowali swój atak na Asus RT-AC51U, który wykorzystuje MediaTek sterowniki spoza drzewa, które same generują GTK, i pokazały, że GTK można odzyskać w ciągu dwóch minut lub krócej. Podobnie wykazali, że klucze generowane przez demony dostępowe Broadcom działające na VxWorks 5 i nowszych można odzyskać w maksymalnie cztery minuty, co dotyczy na przykład niektórych wersji Linksys WRT54G i niektórych modeli Apple AirPort Extreme. Dostawcy mogą bronić się przed tym atakiem, korzystając z bezpiecznego RNG. W ten sposób Hostapd działający na jądrach Linuksa nie jest narażony na ten atak, a zatem routery z typowymi instalacjami OpenWrt lub LEDE nie wykazują tego problemu.

Atak KRACKA

Główny artykuł: KRACK

opublikowano szczegóły ataku KRACK (Key Reinstallation Attack) na WPA2. Uważa się, że atak KRACK dotyczy wszystkich wariantów WPA i WPA2; jednak konsekwencje dla bezpieczeństwa różnią się w zależności od implementacji, w zależności od tego, jak poszczególni programiści zinterpretowali słabo określoną część standardu. Poprawki oprogramowania mogą usunąć lukę, ale nie są dostępne dla wszystkich urządzeń.

Atak Smoczej Krwi

W kwietniu 2019 roku wykryto poważne wady projektowe w WPA3, które umożliwiają atakującym przeprowadzanie ataków obniżających wersję i ataków typu side-channel, umożliwiając brutalne wymuszenie hasła, a także przeprowadzanie ataków typu „odmowa usługi” na stacje bazowe Wi-Fi.

Linki zewnętrzne

Pobrano z „ https://en.wikipedia.org/w/index.php?title=Wi-Fi_Protected_Access&oldid=1142994428