Łatanie dziur w eterze
- Marcin Suszkiewicz,
- 01.11.2003
Proponowane ulepszenia zabezpieczeń
Wysiłki zmierzające do poprawy poufności i integralności transmisji skupiły się na modelu scentralizowanym, łatwym w konfiguracji i zarządzaniu, w którym klucze szyfrujące zmieniałyby się dynamicznie. Prace nad nim, prowadzone do tej pory przez IEEE 802.11i, nie zostały jeszcze zakończone, lecz czołowi producenci (np. Cisco, 3Com) już proponują odpowiednie rozwiązania oparte na WEP oraz oferowanym przez IETF protokole Extensible Authentication Protocol (EAP). Mają one pozwolić na:
- obustronne uwierzytelnienie (klient-sieć oraz sieć-klient)
- dynamiczne dostarczanie kluczy szyfrujących po uwierzytelnieniu
- scentralizowane zarządzanie sesjami (okresowe ponowne uwierzytelnianie i zmianę klucza).
- wzajemne uwierzytelnienie zapobiega atakom polegającym na podstawieniu fałszywego punktu dostępowego i przechwyceniu haseł użytkownika
- scentralizowane zarządzanie i dystrybucja kluczy sprawiają, że w przypadku kradzieży nie jest wymagana rekonfiguracja każdego urządzenia
- możemy zdefiniować częstość zmiany kluczy szyfrujących.
- EAP-Cisco Wireless (LEAP)
- EAP-Transport Laser Security (EAP-TLS)
- EAP-Tunneled TLS (EAP-TTLS)
- Protected EAP
- EAP-Subscriber Identity Module (EAP-SIM).
Rozwiązanie Cisco
Rys. 1. Przebieg uwierzytelnienia za pomocą protokołu EAP
Standard Internet Engineering Task Force
EAP-TLS jest protokołem opracowanym przez IETF (RFC2716) i opartym na wcześniejszym standardzie TLS (RFC2246). Zasadniczą innowacją jest operacja wzajemnego uwierzytelnienia klienta i serwera RADIUS oparta na wymianie cyfrowych podpisów, po sprawdzeniu których jest wysyłany do klienta klucz WEP. Wzrost bezpieczeństwa można dodatkowo podnieść, stosując szyfrowanie kanału w trakcie wymiany certyfikatów (EAP-Tunneled TLS).
Zabezpieczony EAP
Microsoft, Cisco Systems oraz znane z algorytmów szyfrujących RSA Security przedstawiły zmodyfikowaną wersję - EAP-TTLS. Serwer RADIUS identyfikuje się za pomocą certyfikatu cyfrowego. Protected EAP (PEAP) natomiast uwierzytelnia użytkownika na dowolnej podstawie (hasło, identyfikator, podpis cyfrowy), akceptowanej i realizowanej przez protokół EAP w bezpiecznym, szyfrowanym "tunelu" TLS. Ta drobna zmiana zwiększa możliwość stosowania PEAP, gdyż stacja kliencka nie musi dysponować podpisem cyfrowym.