WPA usuwa nieszczelności WEP

Bezpieczeństwo bezprzewodowych sieci LAN opartych na standardzie 802.11 Wired Equivalent Privacy (WEP) jest ostatnio powszechnie kwestionowane. Nie ma się czemu dziwić, ponieważ WEP nie chroni sieci WLAN w stu procentach. Sieć jest wtedy zabezpieczona przed włamywaczami tak jak dom z drzwiami, na które właściciel założył plastikową kłódkę.

Chociaż standard WEP chroni bezprzewodowe sieci LAN przed intruzami, to nie jest to pełna ochrona i bardziej doświadczeni włamywacze wiedzą, jak obejść zabezpieczenia. Dlatego przedsiębiorstwa chciałyby dysponować lepszym systemem zabezpieczeń.

Istnieją rozwiązania, które pracują efektywnie. Przykład - protokół Lightweight Extensible Authentication Protocol (LEAP) opracowany przez Cisco. Szkopuł w tym, że jest to rozwiązanie firmowe. A każde rozwiązanie firmowe ma jedną wadę - chodzi o ograniczoną zgodność z produktami oferowanymi przez innych producentów. W większości przypadków bezprzewodowe karty sieciowe i punkty dostępu muszą wtedy pochodzić od tego samego producenta. Wymóg taki jest trudny do spełnienia przez niektóre przedsiębiorstwa nie mówiąc już o tym, że trudno sobie wyobrazić sytuację, w której wszystkie ogólnodostępne punkty dostępu (hot spot) są kupowane w tej samej firmie.

Zobacz również:

Pod koniec 2002 roku przymierze Wireless Fidelity Alliance zaprezentowało nowe rozwiązanie noszące nazwę Wi-Fi Protected Access (WPA). Jest to oprogramowanie oparte na uznanych standardach, które eliminuje większość słabych punktów obecnych w bezprzewodowych sieciach LAN 802.11.

Podstawowe informacje o WPA

Oprogramowanie WPA jest oparte na rozwiązaniach stosowanych w ramach standardu 802.11i, który jest zresztą cały czas udoskonalany. Ratyfikacja tego standardu przez IEEE może nastąpić najwcześniej pod koniec 2003 r. Przymierze Wi-Fi Alliance zdaje sobie sprawę, że tak odległy termin hamuje rozwój sieci WLAN. IEEE zdecydowała się więc zaprezentować standard WPA, mając nadzieję, że pierwsze produkty oparte na nim pojawią się już niedługo w ofertach producentów sprzętu WLAN.

Oprogramowanie WPA ma jedną podstawową zaletę. Pozwala szybko implementować otwarte mechanizmy bezpieczeństwa w domenie publicznej (punkty dostępu hot spot i uniwersytety), gdzie zabezpieczenia WEP nie są stosowane.

Wadą oprogramowania WEP jest to, że klucze szyfrowania są tworzone statycznie a nie dynamicznie. Co to oznacza - aby uaktualnić klucze, administrator musi odwiedzić każde stanowisko, co jest oczywiście pracochłonne i wymaga czasu. Można oczywiście nie zmieniać kluczy, ale jest to woda na młyn włamywaczy wszelkiej maści.

Bezprzewodowe sieci LAN pracujące w domenie publicznej nie mogą korzystać z silniejszych, ale firmowych zabezpieczeń (takich jak LEAP), ponieważ pojawiają się wtedy problemy ze zgodnością (a raczej z jej brakiem).

Oprogramowanie WPA pozwala natomiast efektywnie dystrybuować klucze szyfrowania, tak aby mogły z nich korzystać urządzenia produkowany przez różne firmy.

Celem wzmocnienia pozycji oprogramowania WPA, przymierze Wi-Fi Alliance postanowiło, że pod koniec roku mechanizm zabezpieczeń WPA będzie musiał stanowić integralną część wszystkich certyfikatów przyznawanych nowym urządzeniom Wi-Fi. Bardzo możliwe, że oprogramowanie WPA będzie domyślną opcją konfigurowaną na urządzeniach WLAN, co ułatwi życie użytkownikom kupującym sprzęt klasy SOHO (małe i domowe biura). Starsze produkty nie muszą być zgodne z oprogramowaniem WPA, ale nie ulega wątpliwości, że producenci opracują mechanizmy migracji na ten system.

Jak pracuje WPA?

Standard WPA zawiera zarówno mechanizm Temporal Key Integrity Protocol (TKIP), jak i 802.1x, które pracując razem zarządzają dynamicznie kluczami szyfrowania i potwierdzają tożsamości mobilnych klientów. Oprogramowanie WPA utrudnia życie włamywaczom, ponieważ generuje dla każdego klienta w określonych odstępach czasu niepowtarzalne klucze szyfrowania.

Mechanizm TKIP wprowadza do standardu WEP nowy algorytm, który zawiera rozszerzone 48-bitowe wektory inicjalizacji i powiązane z nimi rozwiązania (zasady sekwencjonowania, budowanie kluczy dla konkretnych pakietów, funkcje odzyskujące i rozpowszechniające klucze czy kod sprawdzający integralność wiadomości, znany jako Michael.

Oprogramowanie WPA może współpracować z serwerami uwierzytelniania, takimi jak Remote Authentication Dial-In User Service, używając standardu 802.1x w połączeniu z protokołem EAP (Extensible Authentication Protocol). Serwer uwierzytelniania pełni funkcję bazy danych, która zawiera informacje o użytkownikach. Funkcja ta pozwala potwierdzać tożsamość użytkowników i chroni system informatyczny przed włamaniami.

Jednak w przypadku implementowania standardu WPA w sprzęcie klasy SOHO, obecność serwera uwierzytelniania nie jest obligatoryjna, ponieważ standard ten może zarządzać kluczami w trybie preshared. Podobnie jak w standardzie WEP, klucz wstępny klienta (klucz preshared, znany też pod nazwą pass phrase) musi odpowiadać kluczowi przechowywanemu przez punkt dostępu. Punkt dostępu używa do uwierzytelnienia klienta frazy pass phrase (fraza przekazywania). Jeśli fraza odpowiada oczekiwaniu, klient uzyskuje dostęp do tej części punktu dostępu, do której jest dołączona normalna sieć LAN (kablowa).

WPA usuwa wszystkie znane problemy obecne w standardzie WEP, oprócz problemu dotyczącego ataków DoS (Denial-of-Service; odmowa świadczenia usług).

Ataki DoS stanowią poważne zagrożenie dla tych aplikacji, które muszą mieć stały dostęp do bezprzewodowej sieci LAN. Włamywacz może łatwo unieruchomić sieć chronioną przez oprogramowanie WPA, wysyłając do niej co kilka sekund co najmniej dwa pakiety zawierające błędny klucz.

W takiej sytuacji punkt dostępu domniema, że to włamywacz (lub nieupoważniony do tego użytkownik) próbuje uzyskać dostęp do sieci. Dlatego punkt dostępu zamyka wtedy wszystkie połączenia na jedną minutę, po to aby chronić zasoby sieci. Wysyłając więc bez przerwy dane zawierające niewłaściwe informacje, nieuczciwy użytkownik może skutecznie unieruchomić sieć, tak iż aplikacje korzystające z jej usług przestają pracować.

Implementowanie WPA

Standard WPA można z powodzeniem stosować w sieciach opartych na starszych urządzeniach, ponieważ administrator może modyfikować punkty dostępu Wi-Fi, instalując w nich oprogramowanie WPA. W ten sposób systemem WPA mogą być objęci klienci stosujący różne , zakładając że uwzględniają one też standard WPA. Ważne jest to, że punkty dostępu WPA mogą współpracować zarówno z tymi klientami, które uwzględniają ten standard, jak i z tymi, które go nie obsługują.

Oprogramowanie WPA pracuje zgodnie z nowo opracowywanym standardem 802.11i . Zawiera on opcję Advanced Encryption Standard (AES), która zapewnia silniejszą ochronę niż opcja RC4. Jednak problem polega na tym, że w przypadku stosowania opcji AES starsze punkty dostępu będą musiały być wymienione na nowsze, dysponujące dużo wydajniejszymi procesorami. Dlatego standard 802.11i będzie stosowany w urządzeniach WLAN nowej generacji.

WPA - rozwiązanie przejściowe czy perspektywiczne?

Standard WPA zapewnia sieciom WLAN efektywną ochronę. Promowanie tego standardu przez przymierze Wi-Fi Alliance może oznaczać, że doczekamy się wreszcie rozwiązania plug-and-play, które przyczyni się do szybszego rozwoju sieci WLAN.

Użytkownicy mogą wdrażać standard WPA, modyfikując eksploatowany już sprzęt (aktualizacja oprogramowania), względnie kupując nowe urządzenia pracujące w tym standardzie. Ponieważ standard 802.11i wymaga stosowania dużo wydajniejszych urządzeń, WPA będzie prawdopodobnie stosowany do czasu, gdy sprzęt starszego typu zostanie wyparty przez sprzęt nowej generacji.


TOP 200