Алгоритмы защиты информации в беспроводных сетях стандарта IEEE 802.11

C = P xor RC4(v,k).

Передача: последний этап.                                                                             Происходит передача IV и зашифрованного сообщения по сети.

Все это можно  представить таким образом:

A - B: v, (P xor RC4 (v, k)),         где P = (M, c (M)).

Введем следующие  сокращения для дальнейшего использования: сообщение (M) - исходные данные для шифрования; текст (P) - сумма сообщения и его  контрольной суммы; пакет (С) - зашифрованный  текст, передаваемый по сети.

Для декодирования  полученных данных получатель проводит обратные действия. Во-первых: генерируется keystream RC4(v,k) и с помощью операции XOR превращает пакет в текст.

P' = C xor RC4(v,k) = (P xor RC4(v,k)) xor RC4(v,k) = P.

Затем получатель проверяет  контрольную сумму декодированного  текста P', исходя из (M', c'), пересчитывает  ее c(M'), и проверяет, совпадает ли она с полученной C'. Это подразумевает то, что пользователь получает только пакеты с правильной контрольной суммой.

Стандарт WPA.

Стандарт WPA (Wi-Fi Protected Access) представляет собой подмножество спецификаций из принятого в 2004 году стандарта IEEE 802.11i. Весь же набор спецификаций стандарта IEEE 802.11i. Wi-Fi Alliance называется WPA2. Спецификации WPA были призваны дать пользователям альтернативу для WEP и стали переходной ступенью между ним и новым стандартом IEEE 802.11i, разработка которого сильно затянулась. Структуру WPA можно представить в виде формулы   WPA = IEEE 802.1Х + ЕАР + TKIP + MIC,                     т. е. WPA является суммой нескольких элементов, рассмотренных ниже.

Протоколы IEEE 802.1X и ЕАР (Extensible Authentication Protocol — наращиваемый протокол аутентификации) обеспечивают механизм аутентификации пользователей, которые должны предъявить мандат или свидетельство для доступа в сеть. В больших корпоративных сетях для аутентификации часто используют сервер RADIUS. В иерархии сети он находится выше точки доступа и содержит базу данных со списком пользователей, которым разрешен доступ к сети. Такая система сетевой безопасности называется Enterprise (корпоративная). Для небольших фирм и домашних пользователей ее применение не оправдано, для них предусмотрен режим с предварительно распределяемым ключом PSK (Preshared Key). В этом режиме на каждом устройстве беспроводной сети вводится одинаковый пароль, и аутентификация происходит средствами точки доступа без использования сервера RADIUS.

Рис. 1.3. Алгоритм шифрования по протоколу TKIP

Протокол TKIP (Temporal Key Integrity Protocol — протокол временной  целостности ключа) выполняет функции  обеспечения конфиденциальности и  целостности данных. Функционально TKIP является расширением WEP (рис. 1.3). Аналогично WEP, он использует алгоритм шифрования RC-4, но более эффективный механизм управления ключами. Протокол TKIP генерирует новый секретный ключ для каждого передаваемого пакета данных, и один статический ключ WEP заменяется на, примерно 500 миллиардов возможных ключей, которые могут использоваться для шифрования данного пакета данных. Изменен и сам механизм генерации ключа. Он получается из трех компонентов: базового ключа длиной в 128 бит (ТК), номера передаваемого пакета (TSC) и МАС-адреса устройства-передатчика (ТА). Также в TKIP используется 48-разрядный вектор инициализации, чтобы избежать повторного использования IV, на котором основана выше описанная атака FMS.                                                                                                                           Алгоритм TKIP использует сквозной счетчик пакетов (TSC) длиной 48 бит. Он постоянно увеличивается, сбрасываясь в 1 только при генерации нового ключа. Младшие 16 бит TSC включаются в новый IV (рис. 1.4). Таким образом формируется механизм, препятствующий так называемым атакам с воспроизведением.

Рис.1.4. Пакет  после шифрования по TKIP.

Атаки с воспроизведением используют специальные инструменты, которые внедряют новый трафик для  ускорения взлома или даже сканируют  порты беспроводных хостов. Такую  атаку в рамках WEP остановить невозможно, поскольку стандарт ничего не говорит  о том, как должен выбираться IV. В  большинстве случаев выбор производится (псевдо?) случайно.              Напротив, в TKIP IV увеличиваются последовательно (вместе с TSC), причем те пакеты, где порядок IV (TSC) нарушен, отбрасываются. Это смягчает остроту проблемы воспроизведения трафика, но зато вступает в некоторое противоречие с одним усовершенствованием, направленным на повышение качества обслуживания, которое было предложено группой по разработке стандарта IEEE 802.11e.                                                                                                Дело в том, что подтверждать каждый принятый кадр, как описано в алгоритме CSMA/CA, неэффективно. Поэтому было предложено улучшение, названное групповым подтверждением (burst-АСК). Смысл его в том, чтобы подтверждать не каждый отдельный кадр, а группу из 16 кадров. Если один из 16 посланных кадров не дошел до получателя, то применяется селективное подтверждение (аналогичное селективному АСК в опциях TCP), требующее повторно передать только потерянный кадр, а не все 16. Разумеется, из-за порядкового счетчика TKIP повторно переданный кадр будет отвергнут, если уже получены кадры с большими номерами IV. Чтобы решить эту проблему, в протоколе TKIP применяется окно воспроизведения (replay window), в котором хранятся последние 16 принятых IV, и проверяется, присутствует ли среди них кадр-дубль. Если это так и если этот кадр не был получен ранее, он принимается.                                                           Не менее важен механизм MIC (Message Integrity Check или Michael). Он обеспечивает проверку целостности сообщений вместо очень простого и небезопасного вектора проверки целостности ICV в WEP. Он также строится на основе CRC-32, но длина MIC — 64 бита (два 32-разрядных слова), посредством чего препятствует изменению содержимого передаваемых пакетов. В отличие от ICV, механизм MIC использует мощную хэш-функцию, которую применяют отправитель и получатель, а затем сравнивают результат. Если он не совпадает, то данные считаются ложными и пакет отбрасывается. Более того, в алгоритм заложены меры противодействия атакам. Если приемник обнаружит две ошибки в MIC в период не более 60 с, соединение будет разорвано и восстановлено не ранее чем через 60 с со сменой всех ключей.                                                                                                        Тем не менее, несмотря на все меры, в ноябре 2008 года была опубликована работа, в которой описывался алгоритм атак на протокол TKIP. Повысить степень криптозащиты призван стандарт IEEE 802.11i (WEP2).                     Несмотря на все нововведения, WPA поддерживается ранее выпущенным оборудованием спецификаций IEEE 802.Ha/b/g, и для его использования в большинстве случаев достаточно обновить драйвер и сменить прошивку программы процессора устройства. Для использования же нового стандарта IEEE 802.11i (WPA2 по обозначению комитета Wi-Fi Alliance) необходимо новое оборудование, так как в нем на смену шифрованию RC4 пришел стандарт AES. 
 
 
 
 
 
 
 
 

2. Архитектура стандарта IEEE 802.11i.

Принятый в июне 2004 года, стандарт IEEE 802.11i во многом сходен с WPA, однако предлагает более высокий уровень безопасности. В IEEE 802.11i определена концепция надежно защищенной сети — Robust Security Network (RSN). Стандарт использует протокол ССМР (Counter-Mode СВС MAC Protocol) на основе блокового шифра стандарта AES (Advanced Encryption Standard). Для протокола ССМР алгоритм AES играет ту же роль, что и RC4 для протокола TKIP. Оба протокола работают с одним и тем же механизмом управления ключами. Как и TKIP, ССМР использует 48-битные IV и несколько измененный алгоритм MIC. Благодаря использованию стойкого шифра AES отпала необходимость в генерации пакетных ключей (новый ключ для каждого пакета), и теперь один ключ, создаваемый при каждой ассоциации клиента с сервером, используется для шифрования трафика и для генерации контрольной суммы. В целом, в архитектуре IEEE 802.11i можно выделить два «рубежа»: улучшенные протоколы шифрования и протокол контроля доступа на базе портов (IEEE 802.IX).                                                                           IEEE 802.11i предусматривает наличие трех участников процесса аутентификации.                                                                                                                                                                        Это сервер аутентификации (Authentication Server, AS), точка доступа (Access Point, АР) и рабочая станция (Station, STA). В процессе шифрования данных участвуют только АР и STA (AS не используется).

Стандарт предусматривает  двустороннюю аутентификацию (в отличие от WEP, где аутентифицируется только рабочая станция, но не точка доступа). При этом, местами принятия решения о разрешении доступа являются STA и AS, а местами исполнения этого решения — STA и АР.                                                      Для работы по стандарту IEEE 802.11i создается иерархия ключей, включающая Master Key (МК), Pairwise Master Key (PMK), Pairwise Transient Key (PTK), а также групповые ключи (GTK), служащие для защиты широковещательного сетевого трафика:

МК — симметричный ключ, воплощающий решение STA и AS о  взаимной аутентификации. Для каждой сессии создается новый ключ МК.

РМК — обновляемый  симметричный ключ, владение которым  означает разрешение (авторизацию) на доступ к среде передачи данных в течение данной сессии. РМК создается на основе МК. Для каждой пары STA и АР в каждой сессии создается новый ключ РМК.

РТК — коллекция  операционных ключей, которые используются для привязки РМК к данным STA и АР, распространения GTK и для шифрования данных.

Выделяется пять фаз работы IEEE 802.11i:

1. В фазе обнаружения STA находит АР, с которой может установить связь и получает от нее параметры безопасности, используемые в данной сети. Таким образом STA узнает идентификатор сети (SSID) и методы аутентификации. Затем STA выбирает метод аутентификации и между STA и АР устанавливается соединение.
2. В фазе аутентификации IEEE 802. IX выполняется взаимная аутентификация STA и AS, создаются МК и РМК. В данной фазе STA и АР блокируют весь трафик, кроме трафика IEEE 802.IX.
3. В третьей фазе AS перемещает РМК на точку доступа. Теперь STA и АР владеют действительными ключами РМК.
4. Четвертая фаза — управление ключами IEEE 802.IX. В этой фазе происходит генерация, привязка и верификация ключа РТК.
5. Пятая фаза — шифрование и передача данных. Для шифрования используется соответствующая часть РТК.

Процесс аутентификации и доставки ключей определяется стандартом IEEE 802.IX. Он предоставляет возможность  использовать в беспроводных сетях  традиционные серверы аутентификации. Спецификация IEEE 802.11i не определяет тип сервера аутентификации, но де-факто стандартным является использование сервера RADIUS (Remote Authentication Dial-In User Server).

Стандартом IEEE 802.11i предусмотрен режим Pre-Shared Key (PSK), который позволяет обойтись без сервера доступа. При использовании этого режима на STA и на АР вручную вводится Pre-Shared Key, который используется в качестве РМК. Дальше генерация РТК происходит описанным выше порядком. Режим PSK может использоваться в небольших сетях, где нецелесообразно устанавливать AS, а также при работе в режиме ad-hoc.                               Подробнее рассмотрим перечисленные нами основные элементы стандарта WAP2.

Протокол IEEE 802. IX .

Первоначально стандарт IEEE 802.IX задумывался для обеспечения  аутентификации пользователей на уровне 2 в коммутируемых проводных локальных сетях. В беспроводных локальных сетях стандарт IEEE 802.IX имеет дополнительную функцию: динамическое распределение ключей. Для ее поддержки генерируется два набора ключей.

Первый  набор состоит из сеансовых (или попарных) ключей, уникальных для каждого соединения (ассоциации) между клиентским хостом и точкой доступа. Сеансовые ключи обеспечивают приватность канала и решают проблему «одного ключа WEP для всех».

 Второй набор состоит из групповых ключей. Групповые ключи разделяются всеми хостами в одной соте сети IEEE 802.11 и применяются для шифрования трафика, вещаемого на группу. Длина сеансовых и попарных ключей составляет 128 бит. Попарные ключи порождаются из главного попарного ключа (Pairwise Master Key — PMK) длиной 256 бит. PMK выдается RADIUS-сервером каждому устройству сети.                                                                  Аналогично, групповые ключи порождаются из главного группового ключа (Groupwise Master Key — GMK). В ходе процедуры порождения РМК и GMK используются в сочетании с четырьмя ключами квитирования EAPOL, которые в совокупности называются попарным временным ключом. Зачастую нецелесообразно применять RADIUS-сервер с базой данных конечных пользователей. В таком случае для генерирования сеансовых ключей используется только предварительно распределенный ключ РМК (вводится вручную).                                                                                                          Поскольку в локальных сетях IEEE 802.11 нет физических портов, то ассоциация между беспроводным клиентским устройством и точкой доступа считается сетевым портом доступа. Беспроводной клиент рассматривается как претендент, а точка доступа — как аутентификатор. Таким образом, в терминологии стандарта IEEE 802.IX точка доступа играет роль коммутатора в проводных сетях Ethernet. Очевидно, что проводной сегмент сети, к которому подключена точка доступа, нуждается в сервере аутентификации. Его функции обычно выполняет RADIUS-сервер, интегрированный с той или иной базой данных пользователей, в качестве которой может выступать стандартный RADIUS, LDAP, NDS или Windows Active Directory. Коммерческие беспроводные шлюзы высокого класса могут реализовывать как функции сервера аутентификации, так и аутентификатора. То же относится и к программным шлюзам на базе Linux, которые могут поддержать стандарт IEEE 802. IX с помощью Host АР и установленного RADIUS-сервера.

В стандарте IEEE 802.IX аутентификация пользователей на уровне 2 выполняется по протоколу ЕАР (Extensible Authentication Protocol) ,который был разработан Группой по проблемам проектирования Интернета (IETF). Протокол ЕАР — это замена метода CHAP, который применяется в протоколе «точка-точка» (РРР) , он предназначен для использования в локальных сетях (ЕАР over LAN). Спецификация ЕАР over LAN (EAPOL) определяет, как кадры ЕАР инкапсулируются в кадры сетей стандартов IEEE 802.3, IEEE 802.5 и IEEE 802.10.

Рис. 2.1 Обмен кадрами EAP. 

Принцип выполнения аутентификации (рис. 2.1):

после того как канал  установлен, аутентификатор посылает начальный запрос идентификации (Identity Request), за которым следует один или несколько запросов о предоставлении информации для аутентификации. Претендент посылает ответ на каждый запрос. Аутентификатор завершает процесс аутентификации отправкой пакета об успехе или неудаче аутентификации. Отметим, что структура сообщения ЕАР аналогична структуре пакета RADIUS. Детальная информация о типах пакетов ЕАР приведена в RFC 3748 .

Существует  несколько вариантов  протоколов ЕАР, разработанных  с участием различных компаний-производителей:

EAP-MD5 — это обязательный уровень ЕАР, который должен присутствовать во всех реализациях стандарта IEEE 802.IX, именно он был разработан первым. Функционально он дублирует протокол CHAP. Мы не рекомендуем пользоваться протоколом EAP-MD5 по трем причинам. EAP-MD5 не поддерживает динамическое распределение ключей. Он уязвим для атаки «человек посередине» с применением фальшивой точки доступа и для атаки на сервер аутентификации, так как аутентифицируются только клиенты. В ходе аутентификации противник может

подслушать запрос и зашифрованный ответ, после  чего провести атаку с известным  открытым или шифр-текстом. 

EAP-TLS (Transport Layer Security, RFC 2716) поддерживает взаимную аутентификацию на базе сертификатов. EAP-TLS основан на протоколе SSLv3 и требует наличия удостоверяющего центра.

EAP-LEAP (Lightweight ЕАР или EAP-Cisco Wireless) — это запатентованный компанией Cisco вариант ЕАР, реализованный в точках доступа и беспроводных клиентских картах Cisco Aironet. LEAP был первой (и на протяжении длительного времени единственной) схемой аутентификации в стандарте IEEE 802.IX, основанной на паролях. Поэтому LEAP приобрел большую популярность и поддерживается в сервере Free-RADIUS, несмотря на то, что это фирменное решение. В основе LEAP лежит прямой обмен запрос-свертка пароля. Сервер аутентификации посылает клиенту запрос, а тот должен вернуть пароль, предварительно выполнив его свертку со строкой запроса. Будучи основанным на применении паролей, EAP-LEAP аутентифицирует пользователя, а не устройство. В то же время очевидна уязвимость этого варианта для атак методом полного перебора и по словарю, не характерная для методов аутентификации с применением сертификатов.