Proponowane ulepszenia zabezpieczeń

Wysiłki zmierzające do poprawy poufności i integralności transmisji skupiły się na modelu scentralizowanym, łatwym w konfiguracji i zarządzaniu, w którym klucze szyfrujące zmieniałyby się dynamicznie. Prace nad nim, prowadzone do tej pory przez IEEE 802.11i, nie zostały jeszcze zakończone, lecz czołowi producenci (np. Cisco, 3Com) już proponują odpowiednie rozwiązania oparte na WEP oraz oferowanym przez IETF protokole Extensible Authentication Protocol (EAP). Mają one pozwolić na:

• obustronne uwierzytelnienie (klient-sieć oraz sieć-klient)

• dynamiczne dostarczanie kluczy szyfrujących po uwierzytelnieniu

• scentralizowane zarządzanie sesjami (okresowe ponowne uwierzytelnianie i zmianę klucza).

W prosty sposób, pokazany na rys. 1, wykorzystując znane już metody (serwer RADIUS), otrzymujemy znaczący wzrost bezpieczeństwa, gdyż:

• wzajemne uwierzytelnienie zapobiega atakom polegającym na podstawieniu fałszywego punktu dostępowego i przechwyceniu haseł użytkownika

• scentralizowane zarządzanie i dystrybucja kluczy sprawiają, że w przypadku kradzieży nie jest wymagana rekonfiguracja każdego urządzenia

• możemy zdefiniować częstość zmiany kluczy szyfrujących.

Oczywiście, dostępnych jest kilka wariantów opisanego protokołu EAP różniących się sposobem uwierzytelniania użytkownika. Do najczęściej spotykanych należą:

• EAP-Cisco Wireless (LEAP)

• EAP-Transport Laser Security (EAP-TLS)

• EAP-Tunneled TLS (EAP-TTLS)

• Protected EAP

• EAP-Subscriber Identity Module (EAP-SIM).

Rozwiązanie Cisco

Uwierzytelnienie Cisco LEAP przebiegiem przypomina odrobinę uwierzytelnianie ze wspólnym kluczem, opisane wcześniej. Bezprzewodowy terminal otrzymuje partię danych, którą przetwarza odpowiednio, w zależności od swojego hasła, i odsyła. Serwer RADIUS, który dysponuje bazą wszystkich użytkowników (haseł), jest w stanie zweryfikować poprawność odpowiedzi. Wówczas proces może się odwrócić i serwer analogicznie uwierzytelnia się wobec klienta. Rezultatem pozytywnie przeprowadzonej procedury jest dostarczenie do klienta wiadomości EAP-Success oraz dynamicznie generowanego klucza WEP. Zasadniczą różnicą wobec standaryzowanego procesu jest niemożność złamania hasła na podstawie przechwyconych z eteru informacji dzięki zastosowaniu bardziej złożonego algorytmu.

Standard Internet Engineering Task Force

EAP-TLS jest protokołem opracowanym przez IETF (RFC2716) i opartym na wcześniejszym standardzie TLS (RFC2246). Zasadniczą innowacją jest operacja wzajemnego uwierzytelnienia klienta i serwera RADIUS oparta na wymianie cyfrowych podpisów, po sprawdzeniu których jest wysyłany do klienta klucz WEP. Wzrost bezpieczeństwa można dodatkowo podnieść, stosując szyfrowanie kanału w trakcie wymiany certyfikatów (EAP-Tunneled TLS).

Zabezpieczony EAP

Microsoft, Cisco Systems oraz znane z algorytmów szyfrujących RSA Security przedstawiły zmodyfikowaną wersję - EAP-TTLS. Serwer RADIUS identyfikuje się za pomocą certyfikatu cyfrowego. Protected EAP (PEAP) natomiast uwierzytelnia użytkownika na dowolnej podstawie (hasło, identyfikator, podpis cyfrowy), akceptowanej i realizowanej przez protokół EAP w bezpiecznym, szyfrowanym "tunelu" TLS. Ta drobna zmiana zwiększa możliwość stosowania PEAP, gdyż stacja kliencka nie musi dysponować podpisem cyfrowym.