Для совместимых со стандартом 802.11 беспроводных локальных сетей появляются все новые стандарты. Некоторые, например 802.11a и 802.11g, отражают естественное развитие системы, иные, напротив, появились не от хорошей жизни. Труды рабочей группы Task Group i, сокращенно TGi, относятся ко второй категории, они должны составить стандарт 802.11i и заметно поднять уровень безопасности WLAN. Что же представляет собой этот стандарт?

K сожалению, предусмотренные стандартом IEEE 802.11 криптографические средства оказались совершенно недостаточными. Система шифрования была довольно быстро взломана — проникновение в чужие сети WLAN с помощью доступных всем инструментов, видимо, превратилось в народную забаву. В ответ на это отчаявшиеся поставщики оборудования для WLAN были вынуждены оснащать свои системы собственными оригинальными средствами безопасности. Это заставило рабочую группу IEEE 802.11 снова заняться усовершенствованием стандарта. Так на свет появилась группа TGi, призванная поднять уровень безопасности сетей WLAN на должный уровень. Хотя стандарт 802.11i еще не принят, уже можно проследить, в каком направлении он будет развиваться.

МЕХАНИЗМЫ БЕЗОПАСНОСТИ В 802.11

Описанный в 802.11 метод шифрования для обеспечения безопасности на уровне проводных сетей (Wired Equivalent Privacy, WEP) использует алгоритм RC4, симметричный способ шифрования, относящийся к так называемым методам поточного шифрования. При этом псевдогенератор случайных чисел задает начальное значение (Seed). Система создает для каждого байта сообщения новое случайное число, в результате применения к которым операции XOR возникает шифрованный байт. Декодирование происходит аналогично: для инициализации генератора случайных чисел получателем берется то же самое начальное значение. Для каждого принятого байта информации адресат создает новое число, проводит с зашифрованным байтом операцию XOR и получает расшифрованный текст. Секретный ключ служит для расчета общего начального значения, им должны располагать оба пользователя. Если генератор случайных чисел достаточно качественный в статистическом отношении, то операция XOR обеспечивает шумоподобный характер передаваемой информации, в результате взломщик не может с легкостью восстановить ее первоначальное содержание.

Интересная картина наблюдается, когда при последующей передаче то же самое начальное значение применяется еще раз. Операция XOR к двум текстам, зашифрованным RC4 с идентичным начальным значением, представляет собой не что иное, как операцию XOR к соответствующим начальным текстам. В результате сами тексты легко могут быть восстановлены. Поэтому главное правило работы с алгоритмом RC4 состоит в том, что нельзя несколько раз применять одну и ту же последовательность ключей. Таким образом, искусство использования этого алгоритма заключается в умелом выборе конструкции начального значения на основании секретного ключа.

В отношении шифрования WEP прослеживается следующий эффект: стандарт 802.11 предусматривает две длины ключей — 40 бит и 104 бит. Однако стандарт ничего не говорит о способе, которым эти ключи распределяются между точками доступа и клиентами и как общающиеся между собой партнеры договариваются об общем секретном ключе. Шифрование выполняется пакетами. Система шифрует полезную нагрузку MAC посредством RC4 вместе с полем CRC для проверки целостности (Integrity Check Value, ICV). Вектор инициализации (Initialization Vector, IV) длиной 24 бит обеспечивает использование для каждого пакета различных значений инициализации для RC4. Ключ и IV вместе образуют значение инициализации алгоритма RC4 для передаваемого пакета. Чтобы получатель знал, какое значение он должен задать для IV, вектор инициализации передается тоже открытым текстом в заголовке пакета MAC. Для следующего передаваемого пакета процесс повторяется с новым выбранным значением для IV. При достаточной загрузке точек доступа вектор инициализации повторяется через несколько часов. Для отправленного затем пакета снова применяется ранее использованная последовательность ключей, после чего дешифрование уже не представляет проблемы. Собственно, к этому моменту между клиентом и точками доступа следовало бы согласовать новый секретный ключ. Впрочем, в стандарте о такой возможности ничего не говорится. К тому же остается непонятным, как создавать векторы инициализации.

В общем случае даже столь простых соображений достаточно, чтобы полностью разувериться в безопасности передачи данных по IEEE 802.11. Однако происходит нечто еще более худшее: вследствие особенностей использования RC4 в WEP существует даже возможность определения секретного ключа. Хотя математически это не совсем просто, на практике же получается блестяще, как наглядно показывает инструмент Airsnort. Если ключ однажды определен, все двери открываются.

ПОПЫТКИ СПАСЕНИЯ

Рабочая группа TGi работает над очередным решением проблемы безопасности сетей WLAN под названием «Усовершенствование MAC для укрепления защиты» (MAC Enhancements for Enhanced Security). Поиск лучшего решения осложнялся главным образом необходимостью достижения обратной совместимости. Если бы уже существующую систему WLAN, построенную в соответствии с действующим стандартом, удалось дополнительно вооружить новым стандартом, то, в крайнем случае, достаточно было бы обновить микропрограммное обеспечение. Отсюда вывод: метод шифрования WEP сохраняется. Поэтому разработчики приняли два метода: первый, как временное решение, по-прежнему базируется на WEP, однако способен устранить его наиболее слабые места, а второй, хотя и требует нового аппаратного обеспечения, обеспечивает надежность на долгий срок.

Решение, гарантирующее обратную совместимость, называется «временный протокол целостности ключей» (Temporary Key Integrity Protocol, TKIP). Он ценен тем, что решает проблему статического до сих пор ключа WEP посредством создания нового ключа с применением функции хэширования к секретному симметричному ключу, вектору инициализации и порядковому номеру пакета. Дополнительная проверка целостности сообщения (Message Integrity Check, MIC), при которой наряду с полезными данными учитываются адрес источника и получателя пакета MAC и передача которой происходит в закодированной форме, аутентифицирует пакет. Кроме того, имеющийся механизм обеспечивает динамическое предоставление новых ключей во избежание повтора значений инициализации для RC4.

Для такого управления ключами и их распределения стандарт 802.11i обращается к другому стандарту — IEEE 802.1x. Последний первоначально служил для контроля доступа в сеть на базе портов в кабельных сетях. В его основе лежит принципиальная идея, что деблокировка сетевого порта происходит только тогда, когда пользователь успешно аутентифицировал себя по сети. Иначе говоря, аутентификация осуществляется на втором уровне модели OSI. Чтобы этот метод работал, стандарт 802.1x должен описывать интерфейс между клиентом, сетевым элементом и системой аутентификации. Рука об руку с этим идет функция управления ключами и их распределения.

Для аутентификации клиента и точки доступа 802.11i ссылается на аутентификацию 802.1x, которая заменяет прежнюю аутентификацию стандарта 802.11. Тем самым вопрос аутентификации доступа во WLAN отделяется от вопроса стандартизации передачи данных в сети WLAN. Передача данных? Смотри стандарт 802.11. Аутентификация? За это отвечает стандарт 802.1x. На Рисунке 1 упрощенно изображено выполнение протокола.

Неприятно только то, что 802.1x, со своей стороны, представляет собой не что иное, как унифицированный интерфейс для услуг в области аутентификации, авторизации и учета (Authentication, Authorization, Accountion, AAA), используя для этого расширяемый протокол аутентификации (Extensible Authentication Protocol, EAP). В качестве аутентифицирующей инстанции обычно служит сервер RADIUS. Протокол EAP нельзя назвать методом аутентификации. Он определяет исключительно протокольную основу, на базе которой происходят аутентификация и распределение ключей. Преимущество состоит в том, что производителям коммутаторов требуется внедрить исключительно протокол EAP, независимо от того, каким образом регулируется сама аутентификация между пользователем или клиентом и сервером аутентификации. Таким образом, разработчики могут выбирать между различными методами EAP, что представляется очевидным преимуществом. В качестве примера можно назвать EAP-MD5 и EAP-TLS.

EAP-MD5 применяет хэш MD5 имени пользователя и пароля как подтверждение для сервера RADIUS и не поддерживает ни управление ключами, ни создание динамических ключей. Тем самым исключается его использование в стандарте 802.11i. Более подходящей является организация защиты на транспортном уровне (Transport Layer Security, TLS) в EAP-TLS (см. RFC 2716). В таком случае для аутентификации берутся сертификаты X.509 в рамках инфраструктуры открытых ключей (Public Key Infrastructure, PKI). EAP-TLS поддерживает динамическое создание ключей для WEP и аутентификацию в обоих направлениях (в частности, аутентификацию клиентом точки доступа).

Современная тенденция указывает на то, что стандарт 802.11i не будет предписывать какой-либо метод аутентификации как обязательный. Но кем же тогда станет определяться этот метод? Владельцем сети WLAN? Даже в случае частной сети WLAN такое осуществить непросто. Стоит ли говорить о необычайной сложности введения единых правил безопасности для целого предприятия, подразделения которого разбросаны по всему миру? Еще неприятнее окажется ситуация в «горячих точках» общего доступа, само назначение которых предполагает, что каждый клиент получает по возможности легкий и простой доступ в сеть. Остается ждать, что же будет содержать окончательная редакция стандарта 802.11i.

По общему мнению, TKIP — всего лишь временная мера. В качестве долговременного решения стандарт 802.11i предусматривает применение усовершенствованного стандарта шифрования (Advanced Encryption Standard, AES). Для управления ключами и их распределения для AES стандарт 802.11i опять же опирается на 802.1x. AES является официальным преемником DES и основан на алгоритме Rijndael, предложенном бельгийцами Джоаном Дэменом и Винсентом Рийменом. Впрочем, и в этом случае администраторы не должны поддаваться иллюзии безопасности: криптоаналитики недавно открыли поразительные алгебраические особенности AES и родственных ему методов. Хотя до реальной атаки на AES еще очень далеко, однако теоретически добраться до него можно.

Независимо от того, что используется — TKIP или AES, криптографический сеанс между клиентом и точкой доступа открывает ввод зашифрованного порядкового номера. В конечном итоге это сказывается на мобильности. Что, например, происходит, когда клиент перемещается от одной точки доступа к другой? Действующий стандарт 802.11 предусматривает в таких случаях создание новой ассоциации и проведение аутентификации WEP в новой точке доступа. Как правило, процесс выполняется достаточно быстро, без негативного воздействия на протоколы более высоких уровней и без коммуникаций между различными точками доступа. При использовании стандарта 802.11i издержки выше, а потому представляется естественным передать сеанс от одной точки доступа к другой, для чего специальный протокол должен обеспечить коммуникацию между различными точками доступа. Речь идет о расширении протокола взаимодействия между точками доступа (Inter Access Point Protocol, IAPP). Таким образом обеспечивается эстафетная передача от одной точки к другой, аналогично принципу действия мобильных телефонных сетей, наподобие GSM.

Расширение 802.11i также повлияет на способность коммуникации с устройствами по действующему стандарту 802.11. Он включает общепринятые в настоящий момент правила безопасности, а стандарт 802.11i только дополняет его. Считается, что совместимая с 802.11i точка доступа может одновременно взаимодействовать со всеми устройствами, работающими по какому-либо из этих двух стандартов. Напротив, для клиентов имеет место либо одно, либо другое, но не то и другое вместе. Дополнительно в стандарт 802.11i будет включен механизм, предусматриваемая которым клиентская конфигурация будет разрешать применение исключительно расширенных механизмов безопасности и строго запрещать коммуникацию с точкой доступа по стандарту 802.11. Это позволяет, с одной стороны, постепенно мигрировать к расширенным или новым механизмам безопасности, а с другой — использовать строгую политику безопасности.

ПОЧЕМУ СРАЗУ ЖЕ НЕ IP VPN?

Даже если вначале стандарт 802.11i будет использоваться с TKIP, с учетом современного уровня техники он будет предоставлять вполне приемлемый уровень безопасности. Но против некоторых атак сеть WLAN никогда не может быть защищена. Например, атака по типу «отказ в обслуживании» всегда может быть реализована в беспроводных сетях с удивительно низкими затратами. В нелицензируемом диапазоне частот, в котором параллельно друг другу работают несколько систем, в частности ISM при 2,4 ГГц, где также оперирует и стандарт 802.11b, приходится ожидать проблем.

Итак, для чего нужно тратить силы и средства на 802.11i? Почему бы не вычеркнуть последовательно всяческие механизмы безопасности из стандарта 802.11 и не рассматривать WLAN как чистую передающую среду, наподобие беспроводного Ethernet или Token Ring, полностью сконцентрировавшись на задаче оптимизации передачи данных средствами беспроводной связи? Тем самым сеть WLAN автоматически была бы отнесена к классу ненадежных сред. В таком случае не было бы разницы, осуществляется ли доступ к внутренним ресурсам через сеть WLAN или Internet. Защита передачи данных обеспечивалась бы тогда с помощью IP VPN с IPSec. Принципиальная схема сравнительно проста, протоколы стандартизированы, методика хорошо зарекомендовала себя на практике, и на рынке имеется достаточное количество продуктов. В простейшем случае для защиты сети WLAN можно воспользоваться тем же решением IP VPN, которое на предприятии, например, уже применяется для обеспечения безопасности связи с мобильными сотрудниками.

Наряду со специфическими для каждого производителя расширениями WLAN, в настоящее время это единственная возможность построения безопасной сети WLAN. Бесспорно к тому же, что стандарт 802.11i имеет такой уровень сложности, при котором обычно применяются IP VPN для защиты сети WLAN.

Однако и решение IP VPN с IPSec имеет свои подвохи. IPSec предусматривает исключительно взаимную аутентификацию партнеров на уровне системы — он не включает проверку идентичности. Проблема может решаться посредством самых различных подходов, которые уже частично используются производителями продуктов VPN. Впрочем, отсутствие стандарта привело только к новым несовместимостям. Существующий спектр решений простирается от идентификации на базе смарт-карт системы с пользователем, расширений протокола обмена ключами (Internet-Key-Exchange, IKE), применения механизмов вложенных друг в друга туннелей до последующей аутентификации с другой стороны туннеля VPN, к примеру на брандмауэре, причем все эти подходы имеют как преимущества, так и недостатки.

Использование IP VPN обсуждалось при разработке стандарта 802.11i и было отвергнуто в пользу уже представленного расширения. Решение основывалось на том, что аутентификация на втором уровне осуществляется быстрее, проще и дешевле, а пользователю не нужен доступ на сетевом уровне, чтобы себя аутентифицировать.

ВЫВОДЫ

Сети WLAN на базе действующего в настоящее время стандарта IEEE 802.11 лишь в редчайших случаях отвечают политике безопасности без дополнительных защитных механизмов. Пока только IP-VPN с IPSec помогают пользователю надежно защитить сеть WLAN, но никто не хочет связывать себя с одним-единственным поставщиком оборудования WLAN. Благодаря IEEE 802.11i, сеть WLAN может быть достаточно хорошо защищена стандартизированными методами, однако ценой значительно более сложной инфраструктуры, по стоимости сравнимой с затратами на IP VPN. Таким образом, безопасность можно обеспечить ценой отказа от простоты.

Однако именно простота схемы и конфигурации сети WLAN, построенной по существовавшему до сих пор стандарту, является движущей силой успеха подобных сетей. Остается ожидать, какие затраты на приобретение и эксплуатацию потребует сеть WLAN, построенная в соответствии с IEEE 802.11i, — в любом случае дешевле она не будет.

Вопреки стандарту IEEE 802.11i станут создаваться гетерогенные инфраструктуры безопасности для частных сетей WLAN, так как стандарт допускает определенную свободу в существенных пунктах. Таким образом, крупным и даже средним предприятиям не обойтись без составления правил, где точно описывалось бы, как следует поступать при отсутствии тех ли иных четких указаний в стандарте IEEE 802.11i или же в качестве альтернативы заранее принять корпоративный стандарт на базе IP VPN. Как видим, на этом глава «Безопасность в сетях WLAN» еще не заканчивается.

Симон Хофф и Ханс Петер Мон — независимые авторы. С ними можно связаться по адресу: redaktion@lanline.awi.de.


Глоссарий
AAAAuthentication, Authorization, Accounting
AESAdvanced Encryption Standard
CRCCyclic Redundancy Code
DESData Encryption Standard
EAPExtensible Authentication Protocol
EAPOLEAP over LAN
GSMGlobal System for Mobile Communications
IAPPInter Access Point Protocol
ICVIntegrity Check Value
IEEEInstitute of Electrical and Electronics Engineers
IKEInternet Key Exchange
ISMIndustrial, Scientific and Medical
IVInitialization Vector
MAC Medium Access Control
MICMessage Integrity Check
PKIPublic Key Infrastructure
RADIUSRemote Authentication Dial-in User Service
TLSTransport Layer Security
TKIPTemporary Key Integrity Protocol
VPNVirtual Private Network
WEPWired Equivalent Privacy
Ресурсы Internet

Домашняя страница Airsnort расположена по адресу: http://airsnort.shmoo.com/

Статья «А беспроводная сеть-то 802.11 голая!» У. А. Арбау, Н. Шанкара и И. К. Дж. Уана из Мэрилендского университета (W.A.Arbaugh, N.Shankar, Y.C.J.Wan, «Your 802.11 Wireless Network has No Clothes») опубликована на http://www.drizzle.com/ ~aboba/IEEE/.

Статья «Слабости алгоритма назначения ключей в RC4» С. Флурера, И. Мантина, А. Шамира (S.Fluhrer, I.Mantin, A.Shamir, «Weaknesses in the Key Scheduling Algorithm of RC4») расположена по адресу: http://www. drizzle.com/~aboba/IEEE/.

Домашняя страница IEEE 802.11 находится на http://grouper.ieee.org/groups/802/11/ index.html.

Статью «Предварительный анализ защиты стандарта IEEE 802.1x А. Мишра, У. А. Аблау (A.Mishra, W.A.Arbaugh, «An Initial Security Analysis of the IEEE 802.1x Standard») можно найти на http://www.drizzle.com/~aboba/IEEE/.

Статья «Криптоанализ блочных шифраторов с переопределенными системами уравнений» Н.Т. Куртуа и Дж. Пипржика (N.T. Courtois, J. Pieprzyk, «Cryptanalysis of Block Ciphers with Overdefined Systems of Equations») помещена по адресу: http://eprint. iacr.org/2002/044/.