802.11i, WPA, RSN и что все это значит для безопасности Wi-Fi
В начале: 802.11i
Долгожданная спецификация 802.11i для безопасности беспроводных локальных сетей была наконец ратифицирована IEEE в июне 2004 года. Работа над ней велась годами. В отличие от спецификаций 802.11a, b и g, каждая из которых определяет проблемы физического уровня, 802.11i определяет механизм безопасности, который работает между подуровнем управления доступом к среде (MAC) и сетевым уровнем.
Новая спецификация предлагает значительные улучшения по сравнению со старым стандартом Wired Equivalent Privacy (WEP). Спецификации были разработаны рабочей группой IEEE по TGi, возглавляемой Дэвидом Халашем из Cisco. Однако в течение очень долгого периода созревания стандарта 802.11i WPA стал промежуточным решением.
ВПА
Wi-Fi Protected Access (WPA) был создан Wi-Fi Alliance в 2002 году — отчасти из-за нетерпения по поводу медленно развивающегося стандарта 802.11i. Промышленный консорциум пришел к единому мнению, что альтернатива WEP нужна быстро, и результатом стал WPA. Чтобы впоследствии избежать множества «стандартов» и конфликтов, WPA с самого начала разрабатывался для совместимости с 802.11i и основывался на его ранних спецификациях. Это отличает WPA от ряда проприетарных решений для обеспечения безопасности беспроводных локальных сетей, разработанных Proxim, Funk и другими поставщиками.
WPA обеспечивает несколько преимуществ безопасности. Во-первых, он использует более надежную схему управления ключами, реализуя протокол целостности временного ключа (TKIP). TKIP создает значения шифрования, которые математически выводятся из главного ключа, и изменяет эти ключи шифрования и значения IV автоматически (и прозрачно для пользователя), чтобы предотвратить повторное использование потока ключей. Это важно, потому что ключи WEP приходится менять вручную, а это может быть административной проблемой, приводящей к тому, что администраторы не меняют ключи достаточно часто (или не меняют вообще). TKIP также использует код целостности сообщения, называемый Michael, который использует 64-битный ключ. Средство проверки целостности предназначено для блокировки поддельных сообщений.
Существует два метода создания главного ключа, и WPA работает в двух разных режимах, в зависимости от того, используются ли предварительно общие ключи или доступен центральный сервер аутентификации. Для домашних пользователей WPA предлагает простую настройку (одна большая проблема с WEP заключалась в том, что многие пользователи сочли его слишком сложным или запутанным в настройке и управлении, поэтому они этого не сделали). Аутентификация основана на Extensible Authentication Protocol (EAP) и может использовать общие ключи, которые упрощают настройку на WAP и клиентах в небольших сетевых настройках: вы вручную вводите пароль, а затем TKIP делает свое дело, автоматически меняя пароль. ключи периодически. Это называется режимом PSK (для PreShared Key).
Кончик:
При использовании режима PSK рекомендуется установить пароль длиной не менее 20 символов.
На уровне крупной сети, работающей в режиме Enterprise, WPA поддерживает RADIUS, чтобы пользователи могли проходить аутентификацию через централизованный сервер. Методы аутентификации WPA 802.1x включают EAP-TLS, EAP-TTLS, EAP-LEAP, EAP-PEAP и другие реализации EAP.
WPA использует тот же алгоритм шифрования для шифрования данных, что и WEP: алгоритм потока шифрования RC-4. Однако TKIP использует 48-битный вектор инициализации, в отличие от более слабого 24-битного IV, используемого WEP.
Wi-Fi Alliance начал сертификацию беспроводного оборудования с поддержкой WPA в апреле 2003 года. Список сертифицированных продуктов можно найти на веб-сайте Wi-Fi Alliance по адресу http://www.wi-fi.org/OpenSection/certified_products.asp. ?ТИД=2. Для использования WPA в старых точках доступа необходимо обновить прошивку. Некоторые точки доступа могут одновременно поддерживать клиентов WEP и WPA. Операционная система клиентского компьютера и адаптер беспроводной сети должны поддерживать WPA.
Клиент Windows WPA доступен от Microsoft для систем Windows XP (с пакетом обновления 1) и Server 2003. Обновление WPA включено в накопительный пакет обновления беспроводной сети для XP (см. http://support.microsoft.com/default.aspx?kbid=826942). Вы можете загрузить исправление WPA для XP Professional и Home по адресу http://www.microsoft.com/downloads/details.aspx?FamilyID=009D8425-CE2B-47A4-ABEC-274845DC9E91&displaylang=en.
После установки обновления и перезагрузки в окно конфигурации сети будут добавлены новые диалоговые окна для настройки WPA.
Примечание:
Если вы используете операционную систему, отличную от XP/2003, вы должны установить стороннюю клиентскую программу, называемую просителем, например, такую, которую можно приобрести в Funk Software (www.funk.com).
Возможно, вам потребуется получить обновленные драйверы для беспроводной сетевой карты у поставщика сетевой карты. Пошаговые инструкции по обновлению WAP и сетевой карты см. на странице http://www.pcmag.com/print_article/0,3048,a=107756,00.asp.
РСН
Еще одним элементом стандарта 802.11i является надежная сеть безопасности (RSN), которая динамически согласовывает алгоритмы аутентификации и шифрования, которые будут использоваться для обмена данными между точками доступа и беспроводными клиентами. Это означает, что по мере обнаружения новых угроз могут добавляться новые алгоритмы.
RSN использует Advanced Encryption Standard (AES), а также 802.1x и EAP. Протокол безопасности, который RSN строит на основе AES, называется протоколом MAC CBC режима счетчика (CCMP). AES поддерживает ключи длиной до 256 бит, но не совместим со старым оборудованием. Однако существует спецификация, позволяющая сосуществовать RSN и WEP в одной и той же беспроводной локальной сети; это называется Transitional Security Network или TSN. Однако важно отметить, что беспроводная локальная сеть, в которой некоторые устройства все еще используют WEP, не является оптимально защищенной.
Кончик:
Существующие портативные устройства (карманные компьютеры и карманные компьютеры) не обладают достаточной вычислительной мощностью для поддержки AES, поэтому WPA является лучшим выбором для обеспечения безопасности, если у вас есть пользователи, которые хранят и передают конфиденциальные данные через карманные компьютеры. Клиент WPA/802.1x для Pocket PC 2002/2003 и Palm доступен на сайте Meetinghouse (http://www.mtghouse.com/company/index.shtml).
Связывание всего вместе
802.11i продвигает WPA на шаг вперед. Во-первых, это требует использования AES. Хорошая новость заключается в том, что AES соответствует государственным критериям безопасности и обеспечивает более надежное шифрование, чем WPA/TKIP. Плохая новость заключается в том, что AES должен иметь собственный сопроцессор, а это означает, что старое существующее беспроводное оборудование нельзя просто обновить с помощью программного обеспечения, как при переходе на WPA; вместо этого его придется заменить. Аппаратное обеспечение, приобретенное в конце 2003 и 2004 гг., может быть обновлено с помощью программного или микропрограммного обеспечения для поддержки 802.11i. Теперь, когда спецификация была ратифицирована, скоро должно стать доступным новое оборудование, поддерживающее AES из коробки.
Кроме того, 802.11i будет шифровать весь кадр данных с помощью AES. В WEP и WPA шифр RC4 шифрует только полезные данные.
Wi-Fi Alliance называет новый стандарт 802.11i WPA2. Несмотря на потенциальные затраты на его внедрение, новый стандарт беспроводной безопасности приветствуется большинством представителей отрасли как следующий и необходимый шаг в защите данных, передаваемых по радиоволнам. Однако те, кто вложил большие средства в существующее оборудование, несовместимое с AES/802.11i, могут счесть более рентабельным внедрение WPA в настоящее время и более медленный переход на 802.11i.