Wi-Fi Protected Access

WPA to specyfikacja promowana przez stowarzyszenie producentów sprzętu Wi-Fi Alliance, która powstała jako wynik obaw związanych z protokołem WEP. Opiera się ona na wczesnej wersji standardu IEEE802.11i, w związku z czym nie uwzględnia szyfrowania AES. WPA zwiększa bezpieczeństwo dzięki kilku mechanizmom. Przede wszystkim wykorzystuje Temporal Key Integrity Protocol (TKIP), dzięki czemu poprawia zarządzanie używanymi kluczami szyfrującymi, które są tworzone na czas sesji (na podstawie liczby pseudolosowej oraz adresu MAC stacji). Drugim atutem jest sprawdzanie integralności wiadomości, które znacznie zmniejsza możliwość nieautoryzowanej transmisji. Niestety, źle skonfigurowane WPA to jeszcze gorsze rozwiązanie niż WEP.

Kiedy WPA nie współpracuje z uwierzytelnieniem wg 802.1x, używany jest tzw. system kluczy współdzielonych oferujący długotrwałe hasła, które muszą być znane użytkownikom WLAN. Naraża to punkt dostępowy na szybki atak słownikowy niewymagający dużego natężenia ruchu (jak łamanie kluczy WEP). Oczywiście przed taką napaścią można się ustrzec, stosując odpowiednio mocne hasła. Wiele produktów certyfikowanych przez Wi-Fi Alliance zawiera mechanizm konwertujący ciąg od 8 do 63 znaków na hasło w postaci 64-cyfrowej liczby szesnastkowej, na którą zezwala WPA. Komitet IEEE odpowiedzialny za prace nad standardem 802.11i stwierdził w jednym z dokumentów, że użycie ciągu krótszego od 10 znaków powoduje słabsze zabezpieczenie od standardowego WEP. Nawet przetworzenie 20 znaków może nie powstrzymać atakującego. Dlatego brak opcji pozwalającej użytkownikowi bezpośrednio wpisać wspomnianą szesnastkową liczbę należy traktować jako osłabienie bezpieczeństwa. W trakcie testów opinia IEEE została potwierdzona. Program KisMAC znalazł ośmioliterowy klucz współdzielony na podstawie kilkudniowej obserwacji.

Połączenie protokołu WPA z 802.1x - czasami nazywane WPA-Enterprise - pozwala bardzo dobrze zabezpieczyć sieć. Jest to możliwe dzięki uwierzytelnieniu zarówno stacji, jak i infrastruktury WLAN oraz generacji kluczy szyfrujących innych dla każdej sesji. Wymaga jednak nakładów związanych z implementacją serwera RADIUS oraz kart klienckich obsługujących 802.1x.

IEEE 802.11i

Zatwierdzony w lipcu tego roku przez IEEE standard jest znany pod nazwą Robust Security Networking i ma raz na zawsze rozwiać wątpliwości związane z bezpieczeństwem transmisji w sieciach WLAN. Specyfikacja liczy ponad 200 stron, na których dokładnie omówiono, jak przy użyciu 802.11i zabezpieczyć sieć przed niechcianymi użytkownikami. Trudno ją w jakikolwiek sposób porównywać z dziesięciostronicowym fragmentem dotyczącym bezpieczeństwa zawartym w standardzie 802.11.

Na rynku są już dostępne produkty zgodne z nowym standardem, mimo że od ratyfikacji minęło jedynie kilka miesięcy. Najistotniejszą różnicą pomiędzy 802.11i a specyfikacją WPA jest użycie algorytmu szyfrującego AES. Stosowany dotychczas RC4 (w WEP i WPA) nie został zaprojektowany z myślą o ruchu pakietowym, lecz z nastawieniem na dłuższe transmisje (np. video streaming). Dlatego RC4 musiał być "restartowany" przy nadawaniu każdego pakietu, co znacznie obniżało jego siłę. AES nie ma tej wady i od początku był dedykowany dla sieci podobnych do Ethernetu. We wrześniu stowarzyszenie Wi-Fi Alliance rozszerzyło swoją specyfikację bezpieczeństwa o zalecenia zawarte w 802.11i i opublikowało tzw. WPA2. Obecnie wielu znaczących producentów chipsetów (m.in. Atheros, Broadcom, Intel, Realtek) uzyskało certyfikat zgodności z WPA2. Szacuje się, że w niedługim czasie większość urządzeń będzie obsługiwała 802.11i, gdyż jego implementacja wiąże się zazwyczaj tylko z uaktualnieniem oprogramowania.