Wyższa Szkoła Biznesu w Dąbrowie Górniczej Wydział Zarządzania, Informatyki i Nauk Społecznych PRACA DYPLOMOWA INŻYNIERSKA Łukasz Szczeciński Porównanie technologii zabezpieczeń w sieciach bezprzewodowych Praca inżynierska napisana pod kierunkiem: dr inż. Marcin Blachnik w Katedrze Informatyki Dąbrowa Górnicza 2010 r.
1
Spis treści 1. Wstęp... 4 1.1 Cel pracy... 8 1.2 Zakres pracy... 8 2. Metody zabezpieczeń sieci bezprzewodowych... 10 2.1 Wired Equivalent Privacy (WEP)... 11 2.2 WiFi Protected Access (WPA)... 23 2.3 WiFi Protected Access 2 (WPA2)... 29 2.4 Uwierzytelnianie z wykorzystaniem serwera RADIUS... 32 2.5 Uwierzytelnianie na podstawie adresu MAC... 35 2.6 Ukrywanie rozgłaszania SSID... 39 3. Porównanie protokołów WEP, WPA i WPA2... 44 4. Projekt sieci bezprzewodowej... 46 4.1 Opis dostępnych technologii... 46 4.2 Wymagania... 47 4.2.1 Wymagania funkcjonalne urządzeń:... 48 4.3 Sposób połączenia i integracji z istniejącą siecią.... 49 4.4 Konfiguracja urządzeń... 50 4.4.1 Konfiguracja urządzenia AP1... 51 4.4.2 Konfiguracja urządzenia AP2... 60 5. Podsumowanie... 64 Wykaz tabel... 66 Wykaz rysunków... 67 Bibliografia... 69
3
1. Wstęp Sieci bezprzewodowe WLAN (od ang. Wireless Local Area Network) to sieci lokalne, w których połączenia pomiędzy urządzeniami sieciowymi realizowane są bez użycia przewodów (np. tzw. skrętki, czy światłowodów). Projektowane są w oparciu o standard IEEE 802.11, a do transmisji wykorzystują najczęściej fale radiowe RF (ang. Radio Freąuency) o częstotliwości 2,4 GHz (w standardzie 802.11b/g oraz 802.11n) lub też 5 GHz (w standardzie 802.11a i 802.11n). Zestaw standardów stworzonych do budowy bezprzewodowych sieci komputerowych, potocznie określony został jako Wi- Fi (ang. Wireless Fidelity, czyli bezprzewodowa dokładność). Stąd też sieci bezprzewodowe często nazywane są również sieciami Wi-Fi. Sieci bezprzewodowe stają się coraz popularniejsze, a co za tym idzie wykorzystywane są przez coraz większą liczbę użytkowników. Wydawało się, że technologię tą będą wykorzystywać głównie firmy, które instalowały bezprzewodową infrastrukturę sieciową, po to by zapewnić swoim pracownikom mobilność i elastyczność w swoich biurach. Tymczasem wciąż malejące ceny urządzeń sieciowych (routerów i bezprzewodowych kart sieciowych) powodują, że zwykli użytkownicy coraz chętniej spoglądają w kierunku bezprzewodowych sieci Wi-Fi [34]. Na taki stan rzeczy duży wpływ ma również upowszechnienie się komputerów przenośnych i zaawansowanych telefonów komórkowych korzystających z połączeń Wi-Fi. Coraz częściej można się również spotkać z takimi urządzeniami jak np. bezprzewodowa kamera internetowa czy też drukarka. W sprzętach tych, technologia Wi-Fi posłużyła do bezprzewodowego przesyłu danch (np. zdjęć lub obrazu). Korzystając z technologii Wi-Fi, można łatwo i raczej bezproblemowo zbudować sieć lokalną w biurze lub w domu. Sieci takie zbudowane są najczęściej z nadajników czyli Access Pointów, oraz odbiorników czyli bezprzewodowych kart sieciowych. Użytkownicy komputerów decydując się na zbudowanie domowej sieci bezprzewodowej, często dokonują zakupu tanich urządzeń przeznaczonych do użytku domowego (klasy SOHO ang. Small Office Home Office). Chcąc jak najszybciej uruchomić sieć bezprzewodową po prostu wyciągają urządzenia z pudełka i podłączają, bez zapewniającego odpowiedni poziom bezpieczeństwa procesu konfiguracji. Wiele Access Pointów i routerów w chwili uruchomienia ma już zastosowane domyślne ustawienia, czyli najczęściej otwarta sieć, domyślny identyfikator SSID (np. default,
linksys, dlink, netgear, itp), oraz standardowe hasło administratora (admin). Większość z tych urządzeń wystarczy jedynie podłączyć by uruchomić sieć. A tymczasem konfiguracja takiego urządzenia za pomocą przeglądarki WWW zajmuje tylko parę minut. Producenci coraz częściej dołączają również do swoich produktów specjalne kreatory, które ułatwiają jeszcze bardziej proces konfiguracji. Taka forma konfiguracji sieci jest bardzo szybka, wygodna i bezstresowa, lecz niestety, mimo tego i tak nadal wielu użytkowników stosuje tylko podstawowe zabezpieczenia. Sieci bezprzewodowe można już znaleźć w coraz większej ilości miejsc. W miastach oraz na wsiach ludzie korzystają z przeróżnego rodzaju sieci w tym także bezprzewodowych, które powoli zastępują tradycyjne sieci wykorzystujące do połaczenia przewody elektryczne. Mimo tego sieci bezprzewodowe często są jeszcze uzupełnieniem istniejącej infrastruktury przewodowej. Coraz bardziej popularne stają się również punkty oferujące dostęp do Internetu w miejscach publicznych (lotniska, hotele, kawiarnie, restauracje, centra handlowe, itp). W miejscach tych dostawcy usług internetowych ISP (ang. Internet Service Provider) umożliwiają użytkownikom wyposażonym w przenośne urządzenia zgodne z Wi-Fi na bezprzewodowy dostęp do sieci. Urządzenia do komunikacji bezprzewodowej, dzięki rozmieszczeniu ich w ruchliwych częściach miast, posłużyły do stworzenia tak zwanych hotspotów. W wielu dużych miastach na świecie znajdują się już setki miejsc, gdzie można uzyskać dostęp do Internetu w ten sposób. Sieci WLAN znajdują również zastosowanie na uczelniach i w szkołach, gdzie studenci używają sieci bezprzewodowych do uzyskania informacji. Łączność bezprzewodowa pomiędzy komputerami jest bardzo użytecznym i wygodnym rozwiązaniem. Dużą zaletą sieci bezprzewodowych jest możliwość połączenia sieci kablowej bezpośrednio do Access Pointa (punktu dostępowego), przez co tworzy się własną sieć WLAN. Dzięki temu można uwolnić się od przynajmniej jednego z kabli, czyli przewodu sieciowego. Sieci bezprzewodowe są interesującym rozwiązaniem jeszcze z kilku innych powodów. Przede wszystkim są dziś bardzo powszechne ze względu na dostępność, prostotę połączenia i łatwość instalacji. Sieci te nie wymagają również tworzenia infrastruktury przewodowej, co jest bardzo ważne w przypadku starych, zabytkowych budynków, w których czasami nie można zastosować tradycyjnej instalacji kablowej, a także w miejscach takich jak np. hale wystawowe, gdzie ze względu na tymczasową instalację nie opłaca się inwestować w okablowanie. Ważną cechą sieci bezprzewodowych jest również możliwość dołączenia sąsiednich budynków, oraz 5
współdzielenia łącza internetowego na kilku komputerach. Ułatwia to pracę w małych i średnich firmach. Dodatkową zaletą bezprzewodowości jest mobilność. Elementy do rozbudowy sieci bezprzewodowych są coraz tańsze, a z komputerami pracującymi w takiej sieci można dowolnie przemieszczać się po całym mieszkaniu lub biurze i nadal ma się dostęp do zasobów sieciowych. Nie trzeba więc ograniczać się długością kabla i dostępnością gniazdek sieciowych, dlatego też z zalet tych sieci korzysta coraz więcej ludzi i organizacji. [34] Obecnie wykorzystywane sieci bezprzewodowe są coraz szybsze. Prędkość przesyłania danych w dużej mierze zależna jest jednak od użytego standardu. Jest ich kilka, a maksymalne teoretyczne prędkości transmisji danych, które można uzyskać w komunikacji urządzeń dostepnych dla konkretnego standardu przedstawia tabela 1. Standard 802.11 802.11b 802.11g 802.11n Prędkość transmisji do 2 Mb/s do 11 Mb/s do 54 Mb/s 100-300 Mb/s Tabela 1. Maksymalne teoretyczne prędkości transmisji dla poszczególnych standardów Dzięki oficjalnemu wprowadzeniu w 2009 ruku standardu 802.11n, sieci bezprzewodowe pozwalają na bezprzewodowe łączenie urządzeń z dość dużą teoretyczną przepustowością przesyłu danych (nawet do 300 Mb/s.). Trwają również prace nad nowszym standardem, dzięki któremu prędkość ta może wzrosnąć do 1 Gb/s. Bezprzewodowe sieci komputerowe ograniczone są właściwie tylko zasięgiem. Mogą mieć one zasięg od kilkunastu do kilkudziesięciu metrów, a w otwartej przestrzeni nawet więcej. Na takie odległości nie ma potrzeby stosowania skomplikowanych urządzeń, ponieważ standardowe anteny, które montowane są w urządzeniach w zupełności wystarczają do pokrycia zasięgiem wspomnianego obszaru. Jeżeli jednak potrzeba będzie pokryć zasięgiem większy obszar i odległości te nie wystarczą, to poprzez zastosowanie odpowiednich anten dookulnych (promieniujących we wszystkie strony) lub kierunkowych (działających w konkretnym kierunku) można powiększyć jeszcze zasięg sieci i dokonać połączenia między punktami oddalonymi od siebie nawet o kilka kilometrów. Wybór konkretnej anteny zależy od przeznaczenia sieci. Można pomyśleć, że sieci bezprzewodowe mają tylko same zalety. Niestety, nie jest aż tak dobrze jak się może wydawać. Pomimo prostej budowy, stosunkowo niskich
cen urządzeń dostępowych oraz wygody użytkowania takiej sieci, to niestety ma ona też swoje wady. Jedną z nich może być wolniejsza transmisja danych od tej, którą uzyskuje się w sieciach kablowych. Nawet, jeżeli zastosuje się najnowsze dostępne standardy bezprzewodowe to i tak w dalszym ciągu sieci kablowe teoretycznie będą pozwalały na transmisję z dużo większą prędkością niż sieci bezprzewodowe. Transmisja radiowa jest też bardziej podatna na tłumienie oraz zakłócenia sygnału, przez co korzystanie z sieci bezprzewodowych często może być utrudnione. Zakłócenia mogą być powodowane np. przez dużą ilość sieci pracujących na tym samym kanale, lub też przez inne sprzęty elektroniczne pracujące na tej samej częstotliwości co sieci Wi-Fi. Nie to jednak stanowi największą wadę sieci bezprzewodowych. Głównym problemem jest bezpieczeństwo sieci, które w przypadku WLAN-ów jest nieco trudniejsze do zapewnienia. Coraz większa popularność komputerów przenośnych, łączy bezprzewodowych i małych sieci domowych sprawia, że są one podatne na podsłuch i inne ataki. Z tego właśnie powodu należy zwrócić szczególną uwagę na ich bezpieczeństwo, przede wszystkim nie należy zostawiać sieci bez zabezpieczenia. W dzisiejszych czasach trudno sobie wyobrazić funkcjonowanie sieci bez jakich kolwiek zabezpieczeń. Niezabezpieczona sieć mogłaby być przyczyną wielu problemów. Najmniejszym z nich było by wykorzystanie przepustowości łącza przez osoby niepowołane, innym problemem jest możliwość podsłuchiwania ruchu w sieci gdzie szereg informacji przesyłanych jest niezaszyfrowanymi protokołami, w końcu fale radiowe są dostępne dla każdego, kto znajdzie się w ich zasięgu. Każda osoba, która zechce włamać się do sieci, może ustawić się w dogodnym miejscu i nie zwracając na siebie uwagi podejmować próby nasłuchiwania sieci. Jeżeli osoba ta dodatkowo będzie posiadała odpowiednią wiedzę, a sieć nie będzie wystarczająco dobrze zabezpieczona, może uzyskać do niej dostęp. Możliwe jest przechwycenie sygnału radiowego nawet o bardzo małej mocy. Aby zmniejszyć ryzyko nieautoryzowanego dostępu do sieci, można wykorzystać specjalne farby lub anteny kierunkowe, które ograniczą rozprzestrzenianie się sygnału w niechcianych kierunkach. Niektóre urządzenia posiadają dodatkowo możliwość regulacji mocy. Jeżeli sieć bezprzewodowa ma działać w obrębie jednego pomieszczenia lub małego mieszkania nie ma potrzeby wykorzystywania pełnej mocy nadajnika. Im mniejszy sygnał tym mniejsze prawdopodobieństwo wykrycia sieci. Dzięki redukcji mocy zmniejszy się ryzyko podsłuchu transmisji z ulicy lub mieszkania obok. 7
Bezpieczeństwo w domowych sieciach bezprzewodowych jest kwestią często niedocenianą przez użytkowników. W przypadku firm sprawa ma się inaczej i w większości zdają one sobie sprawę z konsekwencji, jakie niesie ze sobą stosowanie słabych zabezpieczeń, dlatego często stosuje się tam zabezpieczenia oparte o uwierzytelnianie z wykorzystaniem serwera RADIUS. 1.1 Cel pracy Można sprawić, że sieć bezprzewodowa będzie dysponowała wystarczającym poziomem bezpieczeństwa. Należy jednak uświadomić sobie jak łatwe do złamania są niektóre ze stosowanych powszechnie zabezpieczeń, dlatego też pisząc tą pracę chciałem przedstawić najczęściej stosowane metody zabezpieczeń wykorzystywane w sieciach bezprzewodowych, oraz to jak wiele luk posiadają poszczególne starsze metody zabezpieczeń. Głównym przesłaniem tej pracy jest konieczność zastanowienia się nad sensownością stosowania niektórych standardów bezpieczeństwa. W pracy dokonano analizy szeroko rozumianego bezpieczeństwa informatycznego sieci bezprzewodowych, czyli głównie protokołów zabezpieczeń. Jej celem jest analiza bezpieczeństwa w sieciach bezprzewodowych. Pod koniec zaprezentowany zostanie również projekt utworzenia bezpiecznej sieci bezprzewodowej na potrzeby firmy IZOTERMY TIM SP.J. z Piekar Śląskich. Celem jest zapewnienie łączności bezprzewodowej oraz umożliwienie dostępu do Internetu poprzez komputery i urządzenia przenośne w pomieszczeniach biurowych i korytarzach budynku firmy. 1.2 Zakres pracy Praca podzielona jest na dwie części. Pierwsza część pracy dotyczy analizy i porównania najczęściej wykorzystywanych mechanizmów zabezpieczeń, stosowanych w sieciach bezprzewodowych. Skupiono się w niej głównie na przedstawieniu najważniejszych wad poszczególnych protokołów zabezpieczeń. Uwypuklono również fakt, iż bezpieczeństwo sieci, w której wykorzystano pierwsze mechanizmy zabezpieczeń jest niewystarczające.
W drugiej części przedstawiono projekt sieci bezprzewodowej, pracującej w standardzie 802.11b, 802.11g lub 802.11n, która będzie dostarczać Internet jej użytkownikom. Aby pokryć zasięgiem jak największy obszar, zostaną wykorzystane 2 punkty dostępowe, które połączone będą ze sobą kablem. Ukazana będzie konfiguracja takiego połączenia oraz zastosowane protokoły. 9
2. Metody zabezpieczeń sieci bezprzewodowych W zależności od tego, jak bardzo istotne jest zabezpieczenie sieci bezprzewodowej, administratorzy muszą decydować się na wdrożenie odpowiednich mechanizmów zabezpieczających. Za bezpieczeństwo sieci WiFi jest odpowiedzialny Access Point, czyli mechanizmy i filtry w nim zastosowane. Zabezpieczenia sieci bezprzewodowych obejmują zarówno mechanizmy kontroli dostępu, jak i szyfrowania przesyłanych danych. Konieczne jest zastosowanie choćby najprostszej formy szyfrowania pakietów, aby dane nie były przesyłane w postaci jawnego tekstu. Przy projektowaniu sieci bezprzewodowej powinno się zadbać o poufność i integralność przesyłanych w niej danych, jak również wdrożyć skuteczne metody uwierzytelniania użytkowników w sieci tak, aby mogły z niej korzystać jedynie osoby do tego uprawnione, dlatego też administratorzy sieci zwykle zabezpieczają sieć WiFi co najmniej jednym z poniższych środków: szyfrowanie WEP, szyfrowanie WPA WPA2, serwer autoryzacyjny RADIUS, wyłączenie rozgłaszania SSID, filtrowanie adresów MAC. Według badań KasperskyLab z 2009 roku [40], blisko połowa z przeskanowanych sieci pracowała z zabezpieczeniem WPA lub WPA2. Biorąc jednak pod uwagę fakt, że jedna ze słabszych metod zabezpieczeń, czyli WEP i sieci bez żadnego szyfrowania stanowiły większość to można stwierdzić, że ogólnie nie wygląda to najlepiej. Na rysunku 1 przedstawiony został diagram, prezentujący jak kształtowało się wykorzystanie poszczególnych mechanizmów zabezpieczeń.
Rysunek 1. Wykorzystywane mechanizmy zabezpieczeń Źródło: http://www.viruslist.pl/analysis.html?newsid=577 Chcąc uniknąć ataków na sieć bezprzewodową, należy stosować najnowsze dostępne mechanizmy bezpieczeństwa. W kolejnych podrozdziałach omówione zostaną pokrótce najczęściej stosowane metody zabezpieczeń sieci bezprzewodowych. Również te, których nie powinno się już stosować oddzielnie. 2.1 Wired Equivalent Privacy (WEP) Ze względu na to, że fale radiowe są ogólno dostępne dla każdego i rozprzestrzeniają się w nieograniczony sposób na dosyć duże odległości, transmisja bezprzewodowa jest łatwiejsza do przechwycenia niż transmisja w sieci przewodowej, dlatego też w sieciach bezprzewodowych ważnym pojęciem jest rozgłaszanie. Zagadnienia bezpieczeństwa w sieciach bezprzewodowych były brane pod uwagę już podczas trwania prac standaryzacyjnych technologii 802.11. Próby IEEE (ang. Institute of Electrical and Electronics Engineers) mające na celu znalezienie sposobu, który utrudniłby przechwytywanie transmitowanej informacji doprowadziły do powstania standardu WEP (ang. Wired Equivalent Privacy). [16] Oryginalna specyfikacja 802.11 definiowała jeden standard bezpieczeństwa w sieciach bezprzewodowych. Tym, co miało zapewnić bezpieczeństwo w tych sieciach był właśnie protokół łącza danych WEP. Powstał on w 1997 roku, a wprowadzony został w roku 1999, wraz z drugim standardem IEEE 802.11b. Protokół WEP jest wykorzystywany w punktach dostępu i bezprzewodowych kartach sieciowych, należących do WLAN. Jest to jedno z zabezpieczeń, które na obecną chwilę dostępne jest w każdym AP. WEP był jednym z pierwszych mechanizmów zabezpieczeń, 11
wprowadzonych wraz z sieciami bezprzewodowymi w celu zastosowania kontroli dostępu oraz szyfrowania danych przesyłanych drogą bezprzewodową. Szyfrowanie WEP to pierwsze poważne spojrzenie na kwestie bezpieczeństwa sieci oraz danych krążących w eterze. Projekt algorytmu WEP zakładał realizację trzech celów: uniemożliwienia ujawniania zawartości transmitowanych pakietów, uniemożliwienia modyfikacji transmitowanych pakietów, zapewnienia kontroli dostępu do sieci. Tak więc głównymi funkcjami protokołu WEP miały być m.in. ochrona transmisji danych przed wszelkiego rodzaju nieautoryzowanym podsłuchem oraz blokowanie możliwości nielegalnego podłączenia się do sieci przez osoby nieupoważnione. Można więc powiedzieć, że protokół WEP miał być prostym w zastosowaniu, ustandaryzowanym sposobem odstraszania przed nieupoważnionym dostępem do sieci. Już sama jego nazwa mówiła wiele o przeznaczeniu tego protokołu. Miał on zapewnienić bezpieczeństwo transmisji na poziomie porównywalnym z bezpieczeństwem w sieciach przewodowych. [13] Do ochrony danych w standardzie WEP stosuje się algorytm szyfrujący RC4 (ang. Rivest Cipher 4), który jest tu podstawowym algorytmem szyfrowania. RC4 to symetryczny szyfr strumieniowym (z kluczem poufnym), co oznacza, że ten sam klucz służy do szyfrowania i deszyfrowania. Klucz jest strumieniem, przy użyciu którego otwarty tekst przekształcany jest w tekst zaszyfrowany. Dla pełniejszego zrozumienia działania WEP oraz poznania jego słabości, konieczne staje się więc omówienie algorytmu RC4, który jest jego fundamentem. Interesujaca jest historia powstania tego algorytmu. Został opracowany przez Rona Rivesta z RSA Security Inc. w 1987 roku i pozostawał tajemnicą handlową aż do roku 1994. W tym właśnie czasie, z niewiadomych przyczyn najpierw na listy dyskusyjne, a następnie do Internetu wyciekł anonimowo program do szyfrowania i deszyfrowania przy użyciu RC4. Mimo tego, aż do dziś nazwa RC4 jest wciąż zarejestrowaną nazwą handlową, należącą do RSA i dlatego każdy, kto chce wykorzystać ją w swoim produkcie musi zdobyć licencję. Dla większości użytkowników nie ma to jednak większego znaczenia, ponieważ wymagania licencyjne dotyczą producentów sprzętu sieciowego, którzy stosują RC4 w swoich rozwiązaniach. Niektórzy próbują obejść to ograniczenie poprzez zastosowanie innej nazwy, np. ARCFOUR lub ARC4.
Protokół WEP został opisany jako standard po to, aby można go było stosować na całym świecie. Niestety przepisy obowiązujące dawniej w USA uniemożliwiały eksport aplikacji i rozwiązań, w których wykorzystywano klucze szyfrujące o długości większej niż 40 bitów. Dlatego długość klucza WEP wiązała się na początku z tymi właśnie ograniczeniami. Od tego czasu ograniczenia stały się trochę luźniejsze i dozwolono eksport dłuższych kluczy. Niestety produkty wykorzystujące dłuższe klucze nie zostały oficjalnie ustandaryzowane, co mogło się objawiać brakiem zgodności urządzeń różnych producentów. [16] Algorytm RC4 posiada kilka cech charakterystycznych, które odziedziczył po innych algorytmach tego typu. Jest on symetrycznym szyfrem strumieniowym, więc korzysta z pewnego ciągu bitów zwanych strumieniem klucza (key-stream). Szyfry strumieniowe w celu wygenerowania strumienia klucza o tej samej długości co dane, wykorzystują stosunkowo krótki klucz do pobudzenia generatora liczb pseudolosowych. Klucz generowany jest losowo, dlatego niezawodność generatora jest tu bardzo ważna. Od niego zależy moc uzyskanego klucza. Typowe szyfry strumieniowe są najczęściej kompromisem między praktycznością a wysokim poziomem bezpieczeństwa. Tak naprawdę bezpieczeństwo szyfru strumieniowego zależy w głównej mierze od losowości strumienia klucza, dlatego ważne jest, aby klucz strumieniowy nigdy nie był używany ponownie, czyli był przypadkowy i jednorazowy. Z losowością strumienia klucza niestety różnie bywa. Całkowicie przypadkowy (losowy) szyfr strumieniowy to szyfr z kluczem jednorazowym (one-time pad). Klucze jednorazowe nie są powszechnie stosowane, ponieważ strumień klucza musi mieć taką samą długość jak kodowana wiadomość, a raz użyty, nie może być zastosowany ponownie. W szyfrach strumieniowych, strumienie kluczy mogą nie być całkowicie losowe ze względu na sposób generowania oraz rozprowadzania kluczy. Poziom ich losowości jest jednak wystarczający w przypadku większości zastosowań i aplikacji, a zależny jest też od zastosowania. [16] W przypadku szyfrowania strumieniowego przy użyciu algorytmu RC4, każda strona biorąca udział w transmisji musi posiadać kopię tego samego klucza, który służy zarówno do szyfrowania, jak i deszyfrowania komunikatów. Mając dane oraz strumień klucza, poddaje się je operacji różnicy symetrycznej XOR (ang. exclusive OR) w wyniku czego powstaje tekst zaszyfrowany. Aby odbiorca mógł poznać treść oryginalnej wiadomości, musi odkodować szyfrogram za pomocą identycznego strumienia, jak ten, który został użyty do szyfrowania. Dysponując poufnym kluczem, 13
oraz identycznym generatorem jest on w stanie uzyskać identyczny strumień klucza. Następnie poddając tekst zaszyfrowany operacji różnicy symetrycznej, czyli ponownej operacji XOR ze strumieniem klucza, może on uzyskać postać jawną tekstu. Kiedy grupa robocza pracująca nad standardem 802.11 wybierała algorytm RC4, wydawał się on stosunkowo bezpieczny. Można powiedzieć, że tak jest pod warunkiem, że użytkownik stosuje się do tego, by nigdy nie używać ponownie tego samego klucza i nie ujawniać żadnej jego części. Zastosowanie RC4 w protokole WEP stało się jednak powodem do dokładnejszej analizy jego bezpieczeństwa, co doprowadziło do odkrycia słabości tego algorytmu. [16] Algorytm WEP uwzględnia trzy główne elementy bezpieczeństwa: wiarygodność, integralność oraz poufność. Bezpieczeństwo danych w głównej mierze polega na spełnieniu tych trzech podstawowych założeń. Można mówić, że dane są poufne, kiedy osoby niepożądane nie mogą ich przechwycić. Integralność z kolei oznacza, że przesyłane dane nie zostały zmodyfikowane przez kogoś nieupoważnionego. Wiarygodność występuje, kiedy nie ma wątpliwości, co do autentyczności źródła otrzymanych danych. Ponadto WEP pozwala na użycie uwierzytelnienia użytkowników przez punkty dostępowe, korzystając w tym celu ze wspólnych kluczy. [16] Metodę uwierzytelniania użytkowników wykorzystuje się, jeżeli chce się właściwie ochraniać przesyłane dane. W specyfikacji 802.11 przewidziano dwa typy uwierzytelniania użytkowników, uwierzytelnianie otwarte (ang. Open System Authentication) oraz uwierzytelnianie ze współdzielonym kluczem (ang. Shared Key Authentication). Żadna z metod uwierzytelniania nadawcy, zarówno open system jak i shared key, nie jest jednak wystarczająco bezpieczna i pewna. W pierwszej metodzie praktycznie w ogóle nie ma uwierzytelniania, ponieważ autoryzacja jest otwarta i punkty dostępowe pozytywnie akceptują każde żądanie uwierzytelnienia. Wszyscy mają dostęp do sieci, w dowolnej chwili mogą się połączyć i zacząć wysyłać oraz odbierać dane. Zaletą uwierzytelniania otwartego jest możliwość uzyskania przez urządzenia szybkiego dostępu do sieci. Implementację taką można spotkać wszędzie tam, gdzie łatwość użycia stanowi ważną cechę, dlatego taki rodzaj uwierzytelniania często jest stosowany w publicznie dostępnych miejscach (są to tzw. hotspoty). [7, 29] Druga metoda opiera się na ręcznej dystrybucji klucza, która ma też i swoje wady. Przede wszystkim standard 802.11 nie określa sposobu dystrybucji kluczy, dlatego klucze najczęściej dystrybuowane są ręcznie i przyjmuje się, że w przypadku WEP
może ich być kilka (zazwyczaj cztery). Tak więc uwierzytelnianie ze współdzielonym kluczem opiera się na założeniu, że klucze WEP są środkami kontroli dostępu, czyli inaczej mówiąc do połączenia wymagane jest wpisanie klucza. Dopóki nie zostanie podany prawidłowy klucz, nie będzie można się połączyć z punktem dostępu. Uwierzytelnianie z kluczem tajnym (sekretnym) jest lepsze od zerowego, ponieważ w jakimś stopiu chroni przed niepowołanym dostepem. [7, 29] Uwierzytelnianie związane jest również z autoryzacją i kontrolą dostępu, ponieważ przed przyznaniem dostępu należy rozpoznać użytkownika, oraz sprawdzić, czy dostęp do określonych danych jest dla niego dozwolony. [16] W standardowej implementacji WEP używane są 64-bitowe klucze RC4, w których 40 bitów z 64 bitów klucza to współdzielona część poufna. Pozostałe 24 bity przeznaczone są na wektor inicjujący IV (ang. Initialization Vector), który jest wysyłany w każdej ramce. Otrzymana sekwencja jest używana do szyfrowania transmitowanych danych. Większość producentów zaczęła również stosować w swoich produktach 128-bitowy klucz wspólny RC4, w którym po odjęciu 24 bitów części wspólnej klucza RC4, tylko 104 bity są komponentem poufnym. Spotyka się także rozwiązania, w których znaleźć można klucze poufne o długości 232 bitów, co z IV daje 256 bitów klucza wspólnego. Liczba zawierająca więcej bitów często wydaje się klientowi bezpieczniejsza, więc producenci, informując o długości klucza, chętniej posługują się większymi liczbami. Niestety klucze dłuższe niż 64 bity to rozwiązania firmowe, a przez to niestandardowe, i mogą uniemożliwiać współpracę urządzeń pochodzących od różnych producentów. Z tego powodu nie ma gwarancji, że implementacje korzystające z dłuższych kluczy będą zgodne ze starszymi wersjami sprzętu, ponieważ w przypadku WEP nie istnieje żaden standard odnoszący się do takich długości kluczy. Ważniejszą sprawą jest jednak to, że z uwagi na słabości w doborze IV, dłuższe klucze WEP (z większą liczbą bitów) nie przekładają się na dużo większe bezpieczeństwo. [13, 16] Algorytm WEP określa sposób zaszyfrowania danych. Wykorzystuje się w tym celu 40 bitowy klucz prywatny i 24 bitowy wektor inicjalizacyjny IV, oraz kod CRC-32 (ang. Cycling Redundancy Check) w celu zapewnienia integralności przesyłanych danych. Pierwsze 40-bitów to klucz prywatny WEP, kolejne 24 bity klucza RC4 to wektor IV. Klucz wraz z wektorem inicjującym tworzą 64-bitową sekwencję szyfrującą, która w wyniku przetwarzania algorytmu RC4 tworzy strumień klucza. 24 bitowy wektor inicjujący IV jest przesyłany otwartym tekstem i stanowi część przekształcenia 15
szyfrującego. Aby zapobiec szyfrowaniu pakietów algorytmem RC4 generowanym na podstawie tego samego klucza, używane są różne wektory inicjalizacji. Przed wysłaniem pakietu danych i zaszyfrowaniem wiadomości przesyłanej w pakiecie, ramka jest najpierw przetwarzana za pomocą algorytmu kontroli integralności. Obliczane są bity cyklicznej kontroli nadmiarowości CRC-32. W wyniku czego powstaje suma kontrolna oryginalnej wiadomości, określana skrótem ICV (ang. Integrity Check Vałue), która pozwala skontrolować integralność pakietu. Następnie treść wiadomości wraz z sumą kontrolną ICV, jest poddawana szyfrowaniu poprzez wykonanie operacji różnicy symetrycznej XOR ze strumieniem klucza. Wektor IV jest umieszczany w nagłówku ramki, a następnie wysyłany razem z wiadomością, aby umożliwić odbiorcy odszyfrowanie treści ramki i odtworzenie całego klucza pobudzającego generator. Tak więc ICV chroni zawartość ramki przed jej modyfikacją podczas transmisji. Do tego ramka oraz ICV są zaszyfrowane, więc liczba kontrolna danych nie jest dostępna dla przypadkowych napastników. Schemat prezentujący omawiany algorytm WEP przedstawiony został na rysunku 2. Rysunek 2. Schemat algorytmu WEP. Jedną ze słabości systemów kryptograficznych wykorzystujących szyfry strumieniowe, jest ponowne użycie tych samych strumieni klucza. Aby zmniejszyć ryzyko zastosowania tego samego strumienia klucza, w standardzie WEP wykorzystuje się wektory inicjalizujące, dzięki czemu różne pakiety szyfrowane są przy użyciu różnych kluczy RC4. Można więc powiedzieć, że wektor IV wprowadza do mechanizmu szyfrowania element losowy. Bez użycia IV ten sam tekst otwarty i klucz dawałyby w rezultacie ten sam tekst szyfru. IV modyfikuje strumień klucza, nawet jeżeli wykorzystywany jest ten sam klucz. Sam wektor IV stanowi część nagłówka pakietu i nie jest szyfrowany, jest przesyłany otwartym tekstem, więc potencjalne
osoby, podsłuchujące ruch sieciowy, mogły by uzyskać dzięki niemu informację o pakietach zaszyfrowanych za pomocą tego samego klucza RC4. [16] W standardzie WEP wbudowana jest również funkcja kontroli integralności. W celu wykrywania błędów transmisji stosuje się algorytm CRC-32, czyli cykliczny kod nadmiarowy (ang. Cycling Redundancy Check). Można powiedzieć, że zastosowanie CRC-32 jako środka do kontroli integralności to kolejna wada protokołu WEP, ponieważ jest on mechanizmem sumy kontrolnej, a nie mechanizmem, którego zadaniem byłoby integralność tę zapewniać. Algorytm CRC-32 nie zaprojektowano jako algorytm dbający o integralność danych, jest on wprawdzie często używany do wykrywania błędów transmisji i pozwala z dużym prawdopodobieństwem wykryć zmiany nawet w jednym bicie, ale niestety ze względu na liniowość przetwarzania nigdy nie był uważany za algorytm kryptograficznie bezpieczny. Kontrola integralności danych nie obejmuje całości ramki (np. nagłówka), co przyczynia się do umożliwienia łatwej modyfikacji danych, bez konieczności rozszyfrowywania ramki czy odtworzenia wcześniej zapisanego ruchu sieciowego. Dzieje się tak, dlatego że jest to właściwie tylko funkcja matematyczna i łatwo przewidzieć, jak zmiana jednego bitu może wpłynąć na wynik kontroli integralności CRC-32. Jak widać wybór liniowej sumy kontrolnej (CRC-32) i powiązanie jej z szyfrem strumieniowym (RC4) dało mizerne wyniki. Użycie słabego systemu analizy integralności nie uchroni ramek danych przed ich modyfikacją przez zdeterminowanego napastnika. Szyfry strumieniowe pozwalają na modyfikację dowolnych, pojedynczych bitów, bez wpływu na pozostałe fragmenty komunikatu. Możliwa jest zmiana zawartości zaszyfrowanego pakietu oraz wstrzyknięcia dodatkowych informacji. To z kolei może pozwolić na fałszywą autoryzację. [16, 28, 30] Algorytm WEP w postaci zdefiniowanej w specyfikacji 802.11, został uznany za niedostatecznie bezpieczny z powodu wielu słabości. Niektóre wady powstały już na etapie projektowania WEP, ale pełną dyskredytację zawdzięcza on wykryciu pod koniec 2001 roku słabości w algorytmie kryptograficznym RC4, który jest wykorzystywany przez WEP. Projektanci WEP zaufali RC4, który był stosunkowo mocnym szyfrem kryptograficznym. Problem jednak w tym, że napastnicy nie ograniczali się tylko do ataku na sam algorytm, mogli wykorzystać każdy słaby punkt systemu kryptograficznego jako całości. 17
Obecnie istnieje wiele różnych sposobów na obejście zabezpieczeń stosowanych w WEP, głównie ze względu na znalezione w nim wady. Niektóre wady zostały już poruszone wcześniej, przy okazji omawiania tej metody zabezpieczenia. Słabości WEP wynikają głównie z tego, iż nie gwarantuje on trzech podstawowych założeń (poufności, integralności, uwierzytelniania), wymaganych do zapewnienia bezpieczeństwa. Wszystkim trzem funkcjom WEP można zarzucić pewne wady, co zostało przedstawione w tabeli 2. Mówiąc w skrócie dane nie są w pełni poufne, bo algorytm RC4 jest słaby, kontrola integralności została niewłaściwie zaprojektowana, a metoda uwierzytelniania nie jest bezpieczna i pewna, przez co również nie spełnia założonych zadań. Niedoskonałość protokołu WEP jako całości dowiodły poszczególne słabe elementy, które sładały się m.in. z wyboru wektora IV, jego transmisji, mechanizmu ICV, słabych wektorów, słabych kluczy RC4 oraz braku skalowalności dystrybucji kluczy. Jednym z tych słabych punktów jest szyfr strumieniowy RC4, który nie został przystosowany do ponownego wykorzystywania tych samych kluczy. W związku z tym projektanci dodali wektor początkowy (IV), czyli wartość zmieniającą się w każdym pakiecie. Dzieki temu wektor IV zmienia się okresowo, a klucz sekretny pozostaje niezmieniony. Aby odbiorca mógł odszyfrować pakiet, musi znać IV. W związku z tym IV musi być transmitowany w postaci jawnej (czystego tekstu). Przez to potencjalny intruz może bez większego trudu określić sekwencję kluczową generowaną przez parę: klucz i wektor IV, jeśli ta para zostanie użyta przy następnej wiadomości. Dwie ramki, gdzie IV jest identyczny, prawie na pewno dzielą też ten sam klucz poufny i strumień klucza. Ta wada staje się uciążliwa w przypadku niewłaściwej implementacji, kiedy wektory IV nie są generowane losowo. Specyfikacja WEP nie określa, w jaki sposób wektor IV powinien być wybrany ani jak często powinien być zmieniany. Dodatkową niedogodnoącią jest mała liczba możliwych wektorów inicjujących, co może prowadzić do kolizji. Okazuje się, że długość wektora IV jest niewystarczająca (24 bity), dlatego istnieje duże prawdopodobieństwo, że w sieci pojawią się pakiety z tym samym wektorem. Protokół WEP dostarcza tylko 16777216 różnych strumieni szyfrujacych RC4 dla danego klucza WEP. Oznacza to, że ten sam klucz strumieniowy może zostać ponownie użyty po stosunkowo krótkim czasie. Brak mechanizmu zapobiegania powtórzeniom oznacza, że atakujący mogą powielać pakiety lub wybierać wektory dogodne dla ataku. Podczas ataku na strumień RC4 możliwe jest występowanie niezamierzonych kolizji IV. Przy stosowaniu 40 bitowego klucza WEP
prawdopodobieństwo wystąpienia kolizji, czyli powtórzenia IV wynosi 50%, wystarczy zgromadzić w tym celu około 4826 ramek, natomiast po zgromadzeniu 12430 ramek prawdopodobieństwo to rośnie do 99%. Tak, więc na kolizję IV nie trzeba zbyt długo czekać. Sposobem ich zapobiegnięcia może być częsta zmiana klucza WEP. Jest to jednak rozwiązanie niewygodne i czasochłonne. Klucze WEP nie są zmieniane automatycznie, ponieważ specyfikacja protokołu WEP nie przewidywała użycia mechanizmu zarządzania kluczami. Zabezpieczenie realizowane było przy użyciu pojedynczego klucza współdzielonego pomiędzy użytkowników. Klucz szyfrujący musiał być taki sam na bezprzewodowej karcie sieciowej oraz punkcie dostępu. Manualne ustawianie klucza jest kłopotliwe, zwłaszcza w przypadku większej liczby użytkowników sieci. Gdy klucze zostaną skonfigurowane dla każdego użytkownika, trudno je wszystkie zmienić. Administratorzy niechętnie modyfikowali klucze WEP, ponieważ wiązało się to z koniecznością dokonania zmian u końcowego użytkownika. Atrybuty bezpieczeństwa Poufność Poufność Poufność Poufność Poufność Poufność Poufność Integralność danych Integralność danych Integralność danych Uwierzytelnianie Słabości protokołu WEP Strumień RC4 jest niedostosowany do transmisji pakietowej. Dla każdej ramki należy generować strumień szyfrujący od nowa. Stały klucz specyfikacja protokołu WEP nie przewiduje użycia mechanizmu zarządzania kluczami; zabezpieczenie realizowane jest przy uzyciu pojedynczego klucza współdzielonego pomiędzy użytkowników. Zbyt krótki wektor początkowy IV (ang. Initial Vector) 24-bitowy wektor IV protokołu WEP dostarcza tylko 16777216 różnych strumieni szyfrujacych RC4 dla danego klucza WEP. Dodatkowo specyfikacja WEP nie określa, w jaki sposób wektor IV powinien być wybrany ani jak często powinien być zmieniany. Dopuszczenie powtórnego wykorzystania tego samego IV (brak ochrony przed atakami z powtórzeniem wiadomości), 24 bit IV oferuje zbyt małą przestrzeń co prowadzi do kolizji, Ze względu na sposób tworzenia klucza oraz jego długość pojawiają się słabe klucze, które dodatkowo są rozpoznawalne po zawartości wektora IV Ze względu na metodę generowania klucza, dłuższe klucze zwiększają tylko liniowo czas potrzebny na ich złamanie Brak wbudowanej metody aktualizacji kluczy. Klucz zdefiniowany w standardzie 802.11 jest dosyć któtki: 40-bitowy, dodatkowo brakuje bezpiecznego zarządzania kluczami Niekryptograficzna kontrola integralności: funkcja CRC-32 (ang. Cyclic Redundancy Check-32) Kontrola integralności danych nie obejmuje całości ramki (np. nagłówka), co przyczynia się do umożliwienia łatwej modyfikacji danych, bez konieczności rozszyfrowywania ramki czy odtworzenia wcześniej zapisanego ruchu sieciowego. Dodatkowo protokół WEP nie przewiduje użycia innych mechanizmów zabezpieczajacych przeciwko atakom powtórzeniowym. Brak przyzwoitego sprawdzania integralności (algorytm CRC32 nadaje się do wykrywania błędów, ale nie jest kryptograficznie bezpieczny ze względu na swą liniowość), Niedostateczna ochrona integralności, słabość obliczania CRC. Brak wzajemnego uwierzytelniania źródła danych. Tabela 2. Słabości protokołu WEP 19
Protokół WEP nie został stworzony przez specjalistów w dziedzinie bezpieczeństwa i kryptografii, dlatego po jego wprowadzeniu okazało się, że niektóre słabości algorytmu RC4 występują i tutaj. W chwili obecnej poznanych słabości WEP jest znacznie więcej, ponieważ zaczęły się pojawiać coraz to nowsze techniki ataków. [22] Najbardziej niebezpieczne skutki ataku na WEP zostały opisane w 2001 roku przez trzech krytografów: Scotta Fluhrera, Itsika Matnina oraz Adiego Shamira. Opublikowali oni wspólnie pracę zatytułowaną Słabości algorytmu generacji kluczy RC4". Na jej końcu opisali teoretyczny atak na WEP, który określany został nazwą pochodzącą od ich inicjałów, czyli FMS. Atak ten opierał się na wykorzystaniu słabości, jaką jest metoda generowania strumienia kluczy przez algorytm RC4. Wystarczała znajomość pierwszego bajta zaszyfrowanej treści. Należało jedynie zebrać dużą ilość zaszyfrowanych danych i odszukać pakiety z kluczem o słabej strukturze. Liczba słabych kluczy częściowo zależy od długości użytego klucza RC4. Gdy atakujący zgromadzi odpowiednią liczbę pakietów, dzięki luce w WEP może odkrywać wartości kolejnych bajtów klucza. Zyskuje w ten sposób dużą pewność, że wartości bajtów o najczęstszym występowaniu są rzeczywistymi bajtami klucza. Im liczniejszy zbiór pakietów zgromadzi atakujący, tym jego pewność co do złamania klucza wzrasta. Jeśli rozmiar klucza WEP został zwiększony w celu wzmocnienia bezpieczeństwa, słaby klucz pozwoli napastnikowi zgromadzić większą ilość danych do wykorzystania podczas ataku. Przy korzystaniu ze 128-bitowego klucza współdzielonego, jest to dwa razy więcej słabych wektorów IV niż w 64 bitowym kluczu. Wówczas do złamania hasła potrzeba było przechwycić od 4 do 6 milionów pakietów danych. [16, 28] W 2002 roku David Hulton (h1kari) opracował zoptymalizowaną wersję ataku FMS, która uwzględniała w wyliczeniach nie tylko pierwszy bajt wyniku RC4, ale również kolejne bajty. Pozwoliło to nieco zmniejszyć ilość danych niezbędnych do odtworzenia klucza. [22] W 2004 roku, haker KoReK udoskonalił atak na WEP, zmniejszając liczbę wymaganych pakietów do wartości z przedziału od 500 tysięcy do 2 milionów. Pojawiły się ataki KoreKa (uogólnione ataki FMS korzystające z optymalizacji h1kariego), które pozwalały na deszyfrowanie dowolnych pakietów bez znajomości klucza, wykorzystując do tego celu tzw. technikę wstrzykiwania pakietów. Dodanie wstrzykiwania pakietów pozwoliło znacznie skrócić czas potrzebny do złamania zabezpieczeń WEP, ponieważ odtworzenie klucza nie wymagało już milionów, a
zaledwie tysięcy pakietów o różnych IV. Technika wstrzykiwania pozwala zebrać potrzebne dane dosłownie w kilkanaście minut. [22] W roku 2005 Andreas Klein z politechniki w Darmstadt, opublikował własną analizę algorytmu RC4, w której opisał teoretyczną możliwość złamania hasła. Na jej podstawie w 2007 r. trzem naukowcom z tej samej politechniki co Klein, udało się pobić rekord w szybkości łamania zabezpieczenia WEP. Andrei Pychkine, Erik Tews oraz Ralf-Philipp Weinmann, dokonali ataku przechwytując pakiety i jednocześnie wykonując wstrzykiwanie pakietów ARP w celu zwiększenia wydajności i szybkości ataku, przez co zredukowali liczbę przechwyconych pakietów wymaganych do skutecznego przeprowadzenia ataku. Od pierwszych liter ich nazwisk powstała nazwa ataku PTW. W nowej metodzie złamanie 104-bitowego klucza zajmowało w 50% mniej niż minutę, ponieważ należało przeanalizować zaledwie 40 tysięcy pakietów. Po przeanalizowaniu 85 tysięcy pakietów, szansa na złamanie klucza w tak krótkim czasie wynosiła już nie 50, a aż 95%. [1] Jednym z najważniejszych celów dla atakującego sieć WLAN zabezpieczoną przy użyciu WEP jest odkrycie klucza WEP. Opracowano wiele technik ataku, wykorzystujących nieszczelności protokołu WEP i błędów w niektórych implementacjach, mających na celu złamanie owego klucza. Łamanie zabezpieczenia WEP opiera się przede wszystkim na analizie ruchu występującego w sieci. Dlatego też w niektórych przypadkach może się zdarzyć, że ruch ten wcale nie będzie taki duży i zebranie odpowiedniej ilości danych może zająć sporo czasu. Ale i na to jest sposób. Osoba wyposażona w odpowiednie narzędzia (i wiedzę) może spróbować wygenerować w sieci dodatkowy zaszyfrowany ruch. Opisane powyzej podatności na ataki zostały wykorzystane w praktyce. Istnieją już narzędzia, które dzięki licznym wadom protokołu WEP bez większych problemów radzą sobie z łamaniem kluczy w nim wykorzystywanych. Słabości te dotyczą zarówno kluczy o długości 40 bitów, jak i tych o długości 104 bitów. Przy odpowiednim ruchu w sieci i wprawie włamywacza ich obejście nie stanowi większego problemu, a czas potrzebny na złamanie klucza WEP to w większości przypadków zaledwie kilka sekund. W 2001 roku, tuż po opublikowaniu słabości WEP, zaczęły się pojawiać pierwsze programy umożliwiające złamanie klucza, takie jak AirSnort (http://airsnort.shmoo.com/) autorstwa Jeremyego Bruestlea i Blakea Hegerlea, oraz Wepcrack (http://sourceforge.net/project/wepcrack) autorstwa Tima Newshama. Na 21
podstawie analizy dostatecznie dużej ilości zebranych pakietów, potrafiły one odtworzyć zastosowany klucz WEP. Programy te opierając się na słabościach wektorów inicjujących, gromadzą zaszyfrowane pakiety, które zawierają wektor IV, a następnie przeprowadzają atak FMS. Atak ten dzięki analizie statystycznej wektorów IV i pierwszych bajtów zaszyfrowanego wyjścia RC4 pozwala otrzymać informację o wartości poszczególnych bajtów sekretnego klucza WEP. Wykorzystują one również błędy w algorytmie szyfrowania ramki danych. Ze względu na błędy związane z generowaniem klucza oraz wykorzystywaniem krótkich i stałych wektorów inicjujących, złamanie klucza wymaga jedynie zebrania wymaganej liczby pakietów. Następnie z wykorzystaniem zebranych informacji i oprogramowania dostępnego w Internecie można złamać klucz. Przez kolejne 3 lata od czasu opublikowania pierwszych programów łamiących zabezpieczenia WEP, metody ataków były dopracowywane a efektem tych prac było pojawienie się dwóch nowych programów umożliwiających poznanie klucza WEP na podstawie analizy zebranych pakietów. Programami tymi były WepLab autorstwa José Ignacia Sáncheza (http://weplab.sourceforge.net), oraz Aircrack (http://www.aircrackng.org) autorstwa Christophe a Devine a. Wszystkie te narzędzia dostępne są nieodpłatnie i swobodnie w Internecie. Dzięki nim, na komputerze z nowoczesnym dwurdzeniowym procesorem, przy dużym ruchu sieciowym i odrobinie szczęścia, możliwe stało się złamanie klucza WEP w zaledwie kilka sekund. Potrzebne do tego zasoby determinacji, wiedzy i talentu są niewielkie. Zadanie ułatwia też coraz większa dostępność poradników, typu jak złamać zabezpieczenie WEP. Każdy, kogo zainteresuje ten temat napewno znajdzie dosyć przystępnie napisany poradnik lub nawet filmik instruktażowy. Na szczęście, w dalszym ciągu przeciętni amatorzy grzebania w sieciach i mający do wyboru punkt dostępu pracujący w trybie otwartym przy użyciu domyślnych ustawień oraz punkt dostępu chroniony protokołem WEP, z pewnością zawsze zajmą się tym pierwszym. Dlatego zabezpieczenie WEP jest o wiele lepsze od jego braku, ale nie jest barierą do wykonania włamania ponieważ nawet dobrze dobrany klucz WEP nie stanowi już przeszkody dla przeciętnego łowcy sieci. Jak widać protokół WEP daje jedynie złudne poczucie bezpieczeństwa a złamanie klucza WEP nie stanowi problemu, dużo bardziej problematyczne jest zebranie wymaganych danych do przeprowadzenia skutecznego ataku. W tym miejscu powinno być już dla każdego całkowicie jasne, że WEP ma poważne luki, które mogą być bez trudu wykorzystane przy użyciu łatwo dostępnych narzędzi. Podsumowując, protokół
WEP nie powinien być brany pod uwagę przy projektowaniu zabezpieczeń w sieciach WLAN. 2.2 WiFi Protected Access (WPA) WPA (ang. WiFi Protected Access) to standard zabezpieczeń stosowany w sieciach bezprzewodowych standardu IEEE 802.11. Zaprojektowany został przez zrzeszenie Wi-Fi Alliance we współpracy z IEEE (ang. Institute of Electrical and Electronics Engineers). WPA jest następcą mniej bezpiecznego standardu WEP. [36] Z uwagi na słabości odkryte w WEP, organizacja IEEE opracowała najpierw szkielet protokołów uwierzytelniających 802.1x, a następnie 802.11i, w którym określono między innymi szyfrowanie ramek algorytmem AES i dodanie mechanizmów TKIP, MIC oraz autoryzacji 802.1x. Ze względu na to, że szkielet 802.11i nie był jeszcze standardem, organizacja WiFi Alliance zdecydowała się zebrać podzbiór większości jego elementów, tworząc tym samym nowy standard o marketingowej nazywie WPA. [6] Pierwsza wersja standardu WPA została wprowadzona w kwietniu 2003 roku. Wykorzystano w nim koncepcje 802.11i, w postaci, jaką standard miał w danej chwili. Opierano się na projekcie 802.11i z roku 2003. Celem było opracowanie standardu pośredniego, z zachowaniem możliwie jak najpełniejszej zgodności z 802.11i. Rozwiązanie to miało być również w pełni kompatybilne z dotychczas używanym standardem WEP. Istotą WPA było więc okrojenie 802.11i do takich fragmentów, które mogły zostać zaimplementowane na działającym w tamtych czasach sprzęcie. Wi-Fi Alliance zakładało wprowadzenie pełnego standardu 802.11i dopiero po jego całkowitym ukończeniu. Powstanie standardu WPA, było więc głównie spowodowane przedłużającymi się pracami nad standardem 802.11i przy nierozwiązanym problemie bezpieczeństwa sieci bezprzewodowych. WPA został opublikowany jako rozwiązanie tymczasowe. W zamierzeniach miał być wprowadzony jako standard przejściowy pomiędzy WEP a zabezpieczeniem 802.11i czyli WPA2, w celu zwiększenia bezpieczeństwa użytkowników. [20] WPA miał nie tylko usuwać problemy związane z WEP, ale także współpracować ze starszym, obecnym na rynku sprzętem. Choć istniały już wydajne schematy 23
szyfrowania, projektanci musieli opracować metodę, która nie powodowałaby, że wiele starszych kart sieciowych i punktów dostępowych nie wspierałoby nowego standardu. Wiele urządzeń nie posiadało wtedy na tyle dużej mocy obliczeniowej, aby zastosować bardziej skomplikowany algorytm szyfrowania, dlatego w WPA nie zawarto obsługi szyfrowania AES, które miało być częścią standardu WPA2. Dzięki temu wyposażenie systemu lub urządzenia w standard WPA było możliwe bez zmiany sprzętu. W wielu przypadkach, aby urządzenie zaczęło wspierać WPA wystarczyło jedynie zmienić oprogramowanie (sterownik w przypadku kart sieciowych, a w przypadku punktów dostępowych firmware). Dodatkowo sieć mogła pracować w trybie mieszanym, obsługując zarówno WPA, jak i starsze WEP. [28] W standardzie WPA poprawione zostało większość błędów, jakie zawierał jego poprzednik. Problemy związane z WEP wynikały głównie z wielokrotnego wykorzystywania kluczy RC4 oraz stosowania słabych kluczy RC4. W protokole WPA, podobnie jak w WEP wykorzystuje się algorytm RC4, ale otrzymał on nowe mechanizmy, które chronią przed atakami, na jakie narażony był WEP. Dodatkowo zwiększona została długość klucza do 128 bitów, a 24-bitowy wektor IV zmieniono na 48-bitowy. Głównymi elementami WPA są m.in. protokół TKIP (ang. Temporal Key Integrity Protocol), uwierzytelnianie 802.lx oraz zarządzanie kluczami. Jednym z istotniejszych elementów, był protokoł TKIP, który w znacznym stopniu wzmacniał bezpieczeństwo transmisji. Protokół TKIP miał za zadanie współpracę z podstawowymi mechanizmami algorytmu WEP, w tym z wektorem początkowym, szyfrowaniem RC4 i wektorem kontroli integralności. W protokole TKIP, zastosowano wiele funkcji WEP, ale jednocześnie naprawiono kilka problemów, zapewniając efektywne szyfrowanie ramek danych. Do szyfrowania danych w standardzie WPA stosowało się algorytm TKIP, który był pochodną WEP. Tak więc w dalszym ciągu używany jest RC4, ale każda ramka szyfrowana jest za pomocą nowego klucza. Najlepszym rozwiązaniem w zakresie szyfrowania okazało się tu modyfikowanie podstawowego klucza dla każdego pakietu danych. Klucze używane do transmisji danych tworzone są z jednego klucza głównego, a proces ten nosi nazwę mieszania kluczy (ang. key mixing). Kryptograficzna funkcja mieszania zapobiega modyfikacjom pakietów. Protokół TKIP zabezpiecza klucz przed przechwyceniem, generując inny klucz dla każdego pakietu. Dzięki temu nie możliwe jest złamanie klucza metodą FMS, ponieważ za każdym razem jest on inny. Znacznie utrudniono również odczytanie wektora inicjującego (IV) poprzez
opracowanie dokładnych reguł jego generacji. TKIP zastępuje IV dłuższym licznikiem pakietu oraz zabezpieczeniem przed powtórzeniami, co ma uodparniać cały standard przed atakami z wykorzystaniem kolizji wektora inicjalizacji. Licznik został zaprojektowany w taki sposób, aby unikał wykorzystywania znanych słabych kluczy RC4. Dodatkowo poprawiono kontrolę integralności przesyłanych pakietów, CRC-32 został tu zastąpiony przez nowy mechanizm kontroli integralności MIC (Message Integrity Check) nazywany Michael, który miał za zadanie poprawę nieefektywnej funkcji sumy kontrolnej ICV ze standardu 802.11. MIC wykonuje algorytm hashujacy, aby wykryć modyfikacje informacji w przesyłanych ramkach, przez co rozwiązuje problemy takie jak podrabianie i odtwarzanie ramek danych oraz zapobiega atakom poprzez odwrócenie bitów. Dużą uwagę poświęcono na wychwytywanie zmian w transmisji. Każda ramka posiada unikalny numer sekwencji. Jeśli numeracja przestaje być spójna oznacza to próbę podłożenia fałszywych danych przez osobę trzecią. Mechanizmowi zliczania ramek zabezpiecza przed atakami typu replay of data. W sieciach bezprzewodowych niezbędne są jakieś mechanizmy kontroli dostępu. Autoryzacja w sieciach 802.11 była słaba lub w ogóle nie istniała, jako autoryzację często uznawało się jedynie znajomość współdzielonego klucza tajnego protokołu WEP. Jednym z celów WPA było więc rozwiązanie problemu braku mechanizmów wymiany klucza szyfrowania. Wprowadzono w tym celu nowy mechanizm zarządzania kluczami i ich wymianą, był to standard IEEE 802.Ix (Port-Based Network Access Control). Protokół 802.1x został opracowany przez IEEE i wprowadzony jako integralna część WPA, co stanowiło kolejną warstwę zabezpieczeń tego standardu. Domyślnie powstał on dla sieci przewodowych, ale wykorzystano go również jako standard kontroli dostępu do sieci bezprzewodowych. Jest często używany przy połączeniach do punktu dostępowego. Protokół 802.1x w sieciach bezprzewodowych zaczęto wykorzystywać, gdy na jaw wyszły wszystkie słabości WEP. Wtedy to wielu dostawców zaimplementowało ten standard w bezprzewodowych punktach dostępu, aby ominąć zagrożenia wynikające ze słabości protokołu WEP oraz zapewnić bezpieczeństwo sieci przynajmniej na poziomie autoryzacji. Zastosowanie uwierzytelnienia 802.1x eliminowało niebezpieczeństwo nieautoryzowanego dostępu do sieci już na poziomie warstwy dostępu do sieci. Protokół 802.1x gwarantuje mechanizmy uwierzytelniania, autoryzacji, dystrybucji klucza i kontroli dostępu użytkowników dołączających do sieci. Dzięki temu umożliwia on uwierzytelnienie urządzeń podłączonych do sieci, ustanowienie połączenia punkt-punkt i uniemożliwia 25