Несовершенство стандартов безопасности для WLAN поначалу отпугивало многих корпоративных пользователей. C выпуском стандарта 802.11i ситуация заметно улучшилась.
Беспроводные локальные сети, построенные в соответствии со стандартом IEEE 802.11, вот уже несколько лет используются как в корпоративной, так и в частной областях. Растущая популярность свидетельствует, что с их помощью удалось решить целый ряд проблем: например, в локальных сетях наконец-то стали возможны «мобильные вычисления» с приемлемой скоростью передачи данных, пусть все еще на порядок меньшей по сравнению с проводными сетями, но уже достаточно высокой для удовлетворения львиной доли мобильных потребностей. Организация связи между зданиями нуждается в нелицензируемой технологии, применение которой делает ненужным аренду выделенных линий. А в общественных местах WLAN выступает в качестве недорогой альтернативы для предоставления услуг Internet с высокой пропускной способностью.
Таким образом, создатели стандарта IEEE 802.11, без сомнения, приняли немало верных решений. Однако в других областях они оказались не столь удачливыми и предусмотрительными: наряду с относительно невысокой эффективностью протокола управления доступом к среде передачи (Media Access Control, MAC) — реально пользователь получает лишь половину от номинальной скорости передачи данных — главной мишенью критики стал низкий уровень безопасности.
С расширением IEEE 802.11i комитет по стандартизации взялся за устранение этого недочета. Стандарт был утвержден в июне 2004 г., а сейчас все производители оборудования WLAN предпринимают усилия по выводу на рынок новых продуктов с поддержкой 802.11i или поставляют обновления для встроенного программного обеспечения. Ниже рассматриваются преимущества 802.11i по сравнению с предыдущим механизмом безопасности WLAN — несмотря на свое громкое название «Конфиденциальность, эквивалентная проводной» (Wired Equivalent Privacy, WEP), в последние годы он стал синонимом незащищенности.
ПЛОХОЙ ОПЫТ С WEP
WEP, метод шифрования на базе алгоритма RC-4, в первоначальном стандарте 802.11 был определен как «опция». На деле, чтобы иметь право именоваться «соответствующей стандарту», карта WLAN даже не должна была поддерживать этот сравнительно простой способ. Поэтому многие карты WLAN первого поколения (со скоростью передачи данных до 2 Мбит/с) не предусматривали поддержки WEP. Лишь начиная со второго поколения аппаратного обеспечения WLAN стандарта 802.11b такая функция стала обязательной.
Критика WEP фокусируется на двух разных аспектах: административном и криптологическом. Что касается администрирования, создатели WEP задумывали этот механизм в качестве метода с использованием только общего секрета (Pre-Shared Key, PSK), при этом в стандарте не указывается, как именно ключи должны передаваться конкретным участникам WLAN. В домашнем применении распространенным и вполне допустимым является ввод пользователем ключа вручную. Однако и у него есть свои огрехи, как показывает сравнение инструментов для конфигурации от различных производителей.
Ключ WEP в стандарте IEEE определен лишь как последовательность байтов, однако способ его генерации выбирает разработчик. Довольно популярен ввод в шестнадцатеричной форме или в формате ASCII, причем использование строки ASCII хотя и понятнее для пользователя, но не задействует все имеющееся пространство ключей. Некоторые производители сочли очень удачным и поэтому предусмотрели только введение фразы-пароля, на основании которой потом вычислялся ключ WEP. Но, к сожалению, и в этом случае они ограничились каждый своими собственными вариантами: способ вычисления не был стандартизирован, и в результате устройство часто было способно обмениваться зашифрованными данными лишь с такими же устройствами.
Независимо от того, как происходит ввод ключа WEP, в крупных инсталляциях подобная конфигурация непрактична. Ключ WEP на всех клиентах одинаков, поэтому начиная с определенного количества пользователей его уже невозможно сохранить в секрете. Для каждого клиента требовались свои ключи WEP, но, хотя это и было предусмотрено в приложении к стандарту, указания о том, как должно происходить их распределение, отсутствовали.
Проблема еще более усугубилась в последние годы, после появления WEPCrack и AirSnort — используя все концептуальные слабости WEP, они позволяют выяснить реальный ключ WEP путем прослушивания трафика данных. Правда, против этих инструментов достаточно быстро было найдено эффективное средство — удаление определенных «слабых» ключей (WEPplus2). Однако по-прежнему из-за ограниченного пространства ключей из 224 вариантов один ключ WEP после отправки 16 млн пакетов считается «сгоревшим».
Если домашнему пользователю по причине небольшого числа клиентов и низкой вероятности атаки эти проблемы не доставляют особых хлопот, то в корпоративной среде подобные риски недопустимы. Довольно скоро для таких сред было предложено использование открытого протокола аутентификации (Extensible Authentication Protocol, EAP) 802.1x с ротацией ключей (см. Рисунок 1). Благодаря своей гибкой структуре EAP позволяет подключать практически любые методы, обеспечивающие авторизацию клиента в сети: с применением не только паролей, но и сертификатов, которые, к примеру, позволяют деактивировать идентификацию пользователя без внесения глобальных изменений. Кроме того, в последнем методе произошел отказ от статичных ключей: вместо этого точка доступа постоянно меняет ключ WEP и передает его клиенту по построенному во время фазы регистрации ЕАР туннелю. Причем смена происходит так часто, что пространство ключей никогда не исчерпывается, и потенциальный агрессор не получает достаточной информации для атаки на ключ.
Рисунок 1. Схематичный процесс сеанса WLAN с ЕАР/802.1х. |
Таким образом, благодаря настраиваемой инфраструктуре стандарт 802.1x действительно позволяет расширить безопасность в той мере, когда становится возможным нивелировать как математические, так и административные слабости WEP. К сожалению, ЕАР сложен по своей конфигурации: он требует наличия центрального севера RADIUS и — в случае использования сертификатов (EAP-TLS — предпочтительный метод в Windows XP) — применения инфраструктуры с открытыми ключами (Public Key Infrastructure, PKI). Кроме того, в прошлом постоянно возникали проблемы с совместимостью реализаций ЕАР от разных производителей, и потому многие администраторы предприятий среднего размера настороженно относятся к ЕАР/802.1х. К тому же опора на WEP таит определенную опасность: в Internet уже появилось новое поколение инструментов для взлома WEP, и нередко путем статистического анализа нескольких тысяч пакетов им удается отгадать ключ WEP — независимо от того, используется ли WEPplus или нет. Воспрепятствовать этому можно только частой сменой ключа, что влечет за собой резкий рост служебного трафика ЕАР.
Все перечисленное дает основание полагать, что WEP — не важно, с 802.1х или без него — уже давно уготовано место на свалке истории, и необходимы принципиально новые механизмы безопасности. Таким механизмом и является 802.11i.
WPA ПРОТИВ IEEE 802.11I
До недавнего времени царило некое замешательство, какому же варианту безопасности следует отдать предпочтение при инсталляции — давно доступному защищенному доступу Wi-Fi (Wi-Fi Protected Access, WPA) или новому 802.11i. На самом деле WPA представляет собой не что иное, как предварительную версию 802.11i, поскольку утверждение 802.11i заняло больше времени, чем рынок готов был ждать. Альянс Wi-Fi обобщил готовые пункты нового стандарта в WPA. Таким образом 802.11i представляет собой надмножеством WPA. Чтобы использовать уже известный брэнд, альянс и ввел понятие WPA2.
Самой актуальной темой стандартизации стал отказ от механизма шифрования WEP. 802.11i и WPA/WPA2 предусматривают вместо WEP два метода: протокол целостности временного ключа (Temporal Key Integrity Protocol, TKIP) и расширенный стандарт шифрования (Advanced Encryption Standard, AES).
TKIP ПРОТИВ AES
TKIP, как и WEP, базируется на шифровании RC4 и рассчитан на частичное задействование механизма WEP на «старом» аппаратном обеспечении WLAN. Старые карты WLAN часто снабжены простыми и медленными микроконтроллерами, которым новый программный алгоритм шифрования не под силу. TKIP изменят лишь способ, каким для каждого пакета на основании заданного ключа и добавляемого к пакету «вектора инициализации» (Initialization Vector, IV) вычисляется действительный для него ключ RC4 (см. Рисунок 2). С одной стороны, TKIP использует более длинный IV (48 бит вместо 24), что практически исключает повторение ключа, а с другой — в вычислениях участвует собственный МАС-адрес, и при одинаковых IV для различных станций все же будут генерироваться разные ключи RC4. Кроме того, TKIP снабжает каждый пакет контрольной суммой — специально предназначенным для этой цели хэшем кода целостности сообщения (Message Integrity Code, MIC; иногда по созвучию букв в аббревиатуре его называют хэшем Майкла), что позволяет распознавать измененные пакеты. Однако с учетом возможностей устаревшего аппаратного обеспечения контрольная сумма относительно слаба криптографически. Так, обнаружение ошибок посредством MIC может привести к тому, что точки доступа и клиенты будут вынуждены на целую минуту прервать диалог для обмена новыми ключами. Ранее этот метод критиковался за возможность использовать его для организации атак по типу DoS. Однако на практике атаки такого плана еще не встречались — вероятно, потому, что внести помехи в беспроводную связь гораздо проще другим способом.
Можно сказать, что TKIP и MIC — лучшее, что можно было извлечь из старого аппаратного обеспечения (WEP), и, как следствие, спецификация WPA большего и не требовала. 802.11i, или WPA2, ввел новый (обязательный) метод — AES (см. Рисунок 3). Расширенный стандарт шифрования известен как наследник стандарта шифрования данных (Data Encryption Standard, DES), причем его тщательное предварительное исследование не выявило каких-либо серьезных слабостей. К сожалению, принцип действия этого метода сильно отличается от предыдущих и гораздо сложнее их, поэтому эффективная реализация возможна лишь на новом аппаратном обеспечении. Впрочем, в отдельных случаях предлагаются обновления драйверов для реализации AES в программном виде. Однако, по крайней мере на стороне точки доступа, полная пропускная способность реальной беспроводной сети будет недостижима по причине издержек на вычисления.
РАСПРЕДЕЛЕНИЕ КЛЮЧЕЙ С 802.11I
По аналогии с WEP стандарт 802.11i, или WPA, имеет два режима: режим с простым заранее сообщенным ключом (режим PSK — он предназначен для домашних пользователей и небольших компаний) и режим комбинированной работы с ЕАР/802.1х. Независимо от того, какой из них используется, до начала обмена данными точка доступа и клиент должны согласовать ключи: во время этой процедуры они обмениваются случайными значениями, с помощью которых вычисляется одноразовый, действительный только для этого соединения ключ сеанса TKIP/AES (см. Рисунок 4). Это означает, что даже в простом режиме каждый клиент получает свой собственный ключ, и он уникален при каждой попытке входа в систему — в отличие от статичного WEP, когда вводимый ключ используется всеми без изменений. В связке с ЕАР/802.1х открывается возможность кэширования парного главного ключа (Pairwise Master Key, PMK): если мобильный клиент часто переходит от одной точки доступа к другой, каждый раз повторять весь процесс регистрации 802.1х заново не надо; после нового обмена ключами (шесть коротких пакетов) соединение готово к работе с новыми ключами. Эта возможность быстрого роуминга очень важна для приложений передачи голоса по IP (Voice over IP), когда даже короткие прерывания способны вызвать помехи.
Рисунок 4. Согласование ключей в случае WPA. |
Для режима PSK стандартом 802.11i предписывается использование парольной фразы и алгоритма хэширования (контрольной суммы), на основании которого вычисляется необходимый для обмена ключами «главный секрет». Проблемы с конфигурацией беспроводных компонентов от различных производителей тем самым должны отойти в прошлое. Однако при выборе парольной фразы рекомендуется проявлять осторожность, поскольку от ее сохранности в секрете зависит вся безопасность сети PSK. Использование слишком коротких (менее восьми символов) или отгадываемых при помощи словаря слов категорически не рекомендуется.
WPA И IEEE НА ПРАКТИКЕ
Безусловно, и 802.11i, и WPA означают настолько большой шаг в деле обеспечения безопасности, что в корпоративной области WEP сам по себе уже использоваться никогда не будет — слишком высок связанный с этим риск. В отдельных случаях комбинация с 802.1х и быстрой сменой ключа может представляться достаточной, однако это лишь временное решение, и забывать об этом не следует.
Если беспроводная локальная сеть на предприятии строится с нуля, то вполне резонно выбор делается не в пользу WEP. Все предлагаемые сегодня на рынке компоненты WLAN как минимум поддерживают WPA и TKIP, а некоторые — и AES. Комбинация TKIP и AES в одной инсталляции не должна повлечь за собой каких-либо проблем: IEEE предусмотрел способы взаимодействия точки доступа и клиента для достижения договоренности о наилучшем методе шифрования.
Проблемы появляются, когда уже имеется инсталляция на базе WEP. Для начала необходимо выяснить, выпускает ли производитель обновления встроенного программного обеспечения, которые предлагают хотя бы TKIP, поскольку последний был задуман специально для «усовершенствования» старого аппаратного обеспечения. К сожалению, сплошь и рядом оказывается, что производители старых компонентов больше не выпускают обновлений, даже если существующий набор микросхем теоретически в состоянии их поддерживать.
В таких случаях приходится делать выбор между безопасностью и защитой инвестиций. Конечно, уровень защиты беспроводной сети на базе WEP (или вовсе не зашифрованной) можно повысить до приемлемого уровня при помощи других методов — SSL, SSH, брандмауэров и шлюзов VPN. Однако на практике все они приводят к тому, что работа в сети становится менее удобной. Кроме того, не следует забывать, что цепь прочна настолько, насколько прочно ее самое слабое звено. Важной темой, особенно в крупных инсталляциях, является обнаружение так называемых «подставных точек доступа»; они устанавливаются сотрудниками без ведома подразделения ИТ и могут заметно снизить уровень защищенности беспроводной локальной сети. Таким образом, наличие WPA или IEEE 802.1х не освобождает от необходимости использования специализированной системы обнаружения вторжений.
Альфред Арнольд — эксперт по разработке микрокода в Lancom Systems. С ним можно связаться по адресу: pf@lanline.awi.de.
? AWi Verlag