WPA zamiast dziurawego WEP

Nowy system zabezpieczeń dla sieci bezprzewodowych eliminuje potrzebę stosowania niekonwencjonalnych rozwiązań firmowych.

Nowy system zabezpieczeń dla sieci bezprzewodowych eliminuje potrzebę stosowania niekonwencjonalnych rozwiązań firmowych.

Wciąż trwają prace nad zdefiniowaniem standardu sieci bezprzewodowych 802.11 i wykorzystującego zaawansowane metody zabezpieczania dostępu, identyfikacji użytkowników i szyfrowania danych. Specyfikacja zostanie opublikowana prawdopodobnie dopiero pod koniec 2003 r., a jej implementacja będzie wymagała sprzętowej modyfikacji współcześnie używanej infrastruktury Wi-Fi.

Odległy termin pojawienia się bezpiecznego standardu skłonił organizację Wi-Fi Alliance do wprowadzenia ulepszonej, przejściowej wersji WEP, tzw. WPA (Wi-Fi Protected Access), wykorzystującej tylko niektóre elementy zabezpieczeń, które mają się znaleźć w 802.11i. Zaletą WPA jest możliwość stosowania w obecnie wykorzystywanym sprzęcie, po aktualizacji oprogramowania sterującego pracą urządzeń.

Krótka historia WEP

Błędy w standardowym systemie WEP zabezpieczającym przed nieuprawnionym dostępem do sieci bezprzewodowych IEEE 802.11b spowodowały pojawienie się powszechnej opinii o niedoskonałości zabezpieczeń sieci bezprzewodowych.

Specyfikacja IEEE 802.11b powstała w 1997 r. Wtedy szyfrowanie za pomocą 40-bitowego klucza było uważane za względnie bezpieczne. Uzasadnieniem jego zastosowania była możliwość eksportu urządzeń poza USA (obowiązywały wówczas ograniczenia eksportu urządzeń wykorzystujących bardziej zaawansowane mechanizmy szyfrowania).

WEP, mimo poważnych wad, może dobrze spełniać swoją rolę w niektórych zastosowaniach - tam, gdzie nie jest wymagana ochrona dostępu do danych o znaczeniu krytycznym, a ruch w sieci jest niewielki. Złamanie statycznych kluczy szyfrujących wymaga przechwycenia odpowiedniej liczby pakietów. W sieciach o niewielkim natężeniu transmisji może to wymagać zbierania informacji przez kilka tygodni lub miesięcy.

WEP umożliwia szyfrowanie transmisji przy użyciu stałego klucza SSID (Service Set Identifier) o faktycznej długości 40 bitów lub 104 bitów (określanej czasem jako wersje: WEP 64-bitowy i WEP 128-bitowy). Choć tryb pracy stosujący klucz 104-bitowy jest obecnie powszechnie dostępny w urządzeniach Wi-Fi, jest to tylko standard de facto nie opisany w oryginalnej specyfikacji IEEE 802.11b. Ponieważ producenci sprzętu od dawna zdawali sobie sprawę, że słabe mechanizmy zabezpieczeń są poważną barierą dla masowych zastosowań sieci bezprzewodowych, zwłaszcza w dużych firmach, dlatego większość z nich wprowadziła do oferty modele urządzeń wyposażone w firmowe, niestandardowe funkcje umożliwiające ochronę przed nieuprawnionym dostępem do sieci lub przechwyceniem transmitowanych informacji. Kosztem podniesienia poziomu bezpieczeństwa jest mniejsza uniwersalność i wymóg korzystania ze sprzętu jednego producenta.

WPA - upgrade dla WEP

Opracowana przez Wi-Fi Alliance ulepszona wersja systemu zabezpieczeń sieci bezprzewodowych IEEE 802.11a/b jest już dostępna. Jej zastosowanie zależy obecnie od dostarczenia przez producentów sprzętu zaktualizowanych sterowników.

WPA wykorzystuje zmienny (a nie statyczny, jak WEP) klucz szyfrujący, tzw. protokół TKIP (Temporal Key Integrity Protocol). Zawiera mechanizmy kontroli integralności przesyłanych pakietów oraz pełne wsparcie dla protokołów EAP (Extensible Authetication Protocol) i 802.11x (wykorzystanie serwera obsługującego proces identyfikacji użytkowników).

Implementacja mechanizmów WPA jest możliwa w systemach korporacyjnych (gdzie są zainstalowane serwery autentyfikacyjne), małych firmach lub instalacjach domowych (aby nawiązać komunikację, wystarczy, że użytkownik wprowadzi odpowiedni klucz/hasło). WPA wymaga sieci zawierającej stacje dostępowe lub bezprzewodowe bramki. Nie jest możliwe wykorzystanie tego mechanizmu do ochrony połączeń między pojedynczymi komputerami (peer-to-peer). Zdaniem większości specjalistów wprowadzenie standardów WPA, a w przyszłości 802.11i znacznie ułatwi i uprości zabezpieczanie dostępu do sieci bezprzewodowych oraz spowoduje, że w praktyce problem bezpieczeństwa przestanie istnieć.

Pierwsze upgrade'y sterowników dla urządzeń sieciowych IEEE 802.11b/a umożliwiające włączenie funkcji WPA pojawiają się od lutego br. Należy jednak zwrócić uwagę, że implementacja WPA wymaga modyfikacji wszystkich elementów sieci bezprzewodowej, co może być trudne, jeśli jest w niej wykorzystywany sprzęt pochodzący od różnych producentów. Jeżeli w sieci pozostanie choć jeden element WEP, system zabezpieczeń nie będzie funkcjonował poprawnie.


TOP 200