стандарт IEEE 802.11i улучшает защиту беспроводных сетей
Сегодня беспроводные сети можно встретить где угодно. Общественные зоны доступа - хотспоты в кафе, аэропортах, и других местах - растут, как грибы после дождя. Если говорить о количестве проданных устройств, таких, как ноутбуки, сотовые телефоны и КПК с поддержкой беспроводной сети, то за год оно будет исчисляться десятками миллионов.
В настоящее время большинство ноутбуков уже имеют встроенные средства поддержки беспроводных сетей стандартов 802.11 (также известных как Wi- Fi). Так, известная технология Intel Centrino для мобильных ПК в качестве одного из компонентов предполагает именно модуль беспроводной связи 802.11b/g.
Напомним, что 802.11 представляет собой набор спецификаций, разработанных Институтом инженеров по электротехнике и электронике (Institute of Electrical and Electronics Engineers, IEEE) для создания локальных беспроводных сетей (WLAN). Сегодня 802.11 активно распространяется по всему миру. Однако работы над стандартом ведутся до сих пор. Основное направление работ - увеличение радиуса действия сетей. Сегодня наибольшее расстояние, на котором можно добиться устойчивого соединения, составляет около 100 метров. И это при условии, что на пути сигнала нет толстых стен и других существенных преград. Другая серьезная проблема - безопасность.
В 1990 году была создана новая рабочая группа IEEE, названная 802.11, которая занялась разработкой стандарта беспроводной связи. Спецификации 802.11, которые стали появляться в конце 90-х, определяли беспроводную передачу сигнала между клиентом и базовой станцией (точкой доступа) или между двумя клиентами. К 2000 году стало очевидно, что необходимо уделить внимание проблеме безопасности, и тогда IEEE создал рабочую группу 802.11i, которая занялась решением проблем защиты сетей 802.11.
фундаментальные основы безопасности беспроводных сетей
Wi-Fi/802.11 появились в результате решения, принятого в 1985 году Федеральной комиссией связи США (FCC), которое допускало открытое использование ряда частотных диапазонов. Следует отметить, что эти частоты уже в то время были "замусорены", благодаря микроволновым печам и другим устройствам. Поэтому оборудование должно было использовать технологии "расширения спектра", то есть распределения узкополосного сигнала по диапазону частот, делая его менее подверженным помехам и более устойчивым к перехвату.
О защите беспроводных сетей думали еще на заре их появления. Но и сегодня эта проблема так полностью и не решена. Частично это связано с тем, что беспроводные технологии стали использоваться в тех условиях, для которых они изначально не разрабатывались. На пути распространения беспроводных сетей стоят следующие фундаментальные проблемы.
- Интернет создавался без учета мобильной работы. Предполагалось, что все узлы сети будут фиксированными.
- Для доступа к беспроводной сети аутентификация пользователей не обязательна. В традиционных проводных сетях за аутентификацию отвечали ИТ- отделы, создавая учетные записи пользователей.
- Большинство приложений и операционных систем разрабатывались для сети статической конфигурации. Здесь отключение пользователя от сети может привести к весьма трагическим последствиям. Однако, при работе с беспроводными сетями, пользователи могут как преднамеренно, так и неожиданно отключиться от сети для того, чтобы, например, перейти в другое место.
- При беспроводной передаче сетевой трафик не замыкается инфраструктурой сети, как в случае с проводной сетью. Данные проходят сквозь стены и границы, оказываясь доступными для всех желающих, причем злоумышленник может не только принимать, но и передавать данные.
защита 802.11 была изначально слабой
Стандарт IEEE 802.11 был принят в 1999 году и с самого начала обеспечивал шифрование для передачи конфиденциальных данных. Стандарт безопасности Wired Equivalent Privacy (WEP, безопасность, эквивалентная проводной сети, иногда расшифровывается как Wireless Encryption Protocol) был призван защитить авторизованных пользователей беспроводной сети от перехвата данных. Однако, как бы громко ни звучала аббревиатура WEP, схема шифрования оказалась слабой, а защита 802.11 - ненадежной.
С ростом количества беспроводных сетей в открытом доступе появились и инструменты для их взлома. Важно отметить, что эксперты по компьютерной безопасности обнаружили брешь в защите раньше злоумышленников, и это позволило подготовиться к атакам и предупредить специалистов. Одной из положительных черт открытых стандартов и хороших протоколов безопасности является то, что их могут анализировать все желающие.
После тщательного анализа протокола экспертами компании Intel и других компаний, занимающихся безопасностью, в WEP были обнаружены четыре слабых звена:
- ошибки в реализации шифрования;
- отсутствие защиты от ложных сообщений;
- повторное использование ключей шифрования, позволяющее просматривать данные даже без ключа;
- аутентификация не работала должным образом, поскольку в открытом виде передавались все данные, необходимые для аутентификации злоумышленника в сети.
802.11i - шаг к защите
Конечно, эти проблемы были достаточно сложными, и рабочая группа затратила на поиски их решения более трех лет, создав жесткий свод правил, который был окончательно утвержден в июне 2004 года.
Огромный вклад в развитие 802.11i внесли компании Intel, RSA Labs, Hi-FN, Microsoft, Cisco, Agere, Broadcom и другие. Некоторые ключевые решения представил шифровальщик из Нидерландов.
Когда все компоненты были одобрены и приняты, потребовалось определить возможность их реализации на кремнии и провести анализ безопасности всех компонентов, чтобы определить, насколько защищенной будет система в целом. Работа комитета велась по следующим направлениям.
1. Улучшение аутентификации. Замена оригинальной схемы аутентификации протоколом IEEE 802.1X, который предполагает, что для получения авторизованного доступа к сети пользователь должен пройти аутентификацию на сервере.
2. Новый алгоритм шифрования. На замену WEP пришел полностью новый протокол шифрования. Он основан на надежных алгоритмах, которые криптографы позаимствовали из протокола Internet Protocol Security (IPsec) и других протоколов безопасности. Он носит название CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) и для шифрования использует алгоритм AES (Advanced Encryption Standard).
3. Временная заплатка для WEP. Был разработан еще один протокол шифрования, который мог быть полностью реализован программно на базе уже установленного оборудования. Протокол, носящий название TKIP (Temporal Key Integrity Protocol, протокол временной целостности ключей), внедрялся параллельно с 802.1X. Его развитием занимался альянс Wi-Fi, а решение получило название WPA (Wi-Fi Protected Access). Поначалу создание программной заплатки для WEP казалось неразрешимой проблемой. Как известно, криптография предполагает достаточно ресурсоемкие вычисления, а первое поколение оборудования WLAN было в этом отношении сильно ограниченным, из-за чего простое обновление прошивки не представлялось возможным.
Работа началась с определения ресурсов, которые потребуются для реализации заплатки WEP. Оказалось, что необходимо пять инструкций на байт, или около трех миллионов операций в секунду (MIPS). Конечно, по сегодняшним меркам это не так много, но первые точки доступа строились на базе специализированных решений на ядре, схожем с 25-МГц Intel 80386, причем около 90 процентов вычислительных ресурсов уже были заняты. Даже в таких жестких рамках группа разработала три алгоритма: для проверки целостности сообщений, для защиты подтверждений и для генерации надежных ключей шифрования. Все это реализовано в протоколе TKIP и позволяет обеспечить достаточную безопасность на период миграции к CCMP.
4. Исключение повторного использования ключей шифрования. Группа разработала схему, исключающую повторное использование ключей. Теперь для любой передачи данных требуется аутентификация. Каждый раз, когда пользователь подключается к точке доступа, создается новый сеансовый ключ, использующийся в качестве основы для шифрования.
На решение, в частности, этой задачи было затрачено много усилий - чтобы найти решение потребовалось целых девять месяцев. Группа рассматривала алгоритмы и постоянно наталкивалась на проблемы. Приходилось то и дело возвращаться назад до тех пор, пока не появилось работающее решение. Кроме всего прочего, рабочая группа, впервые в истории IEEE, решила прибегнуть к помощи независимых исследователей, не участвующих в разработке. Это было особенно важно для проверки всеобъемлющей и надежной защиты. В качестве независимых экспертов были приглашены представители Калифорнийского университета Беркли (University of California at Berkeley), Массачусетского Технологического института (Massachusetts Institute of Technology, MIT), Калифорнийского университета Дэвиса (University of California at Davis), Certicom и других. Специалист по криптографии из Дании представил математические доказательства защищенности различных компонентов протокола, что позволило определить, насколько криптостойким получится протокол.
работа продолжается
Даже сегодня перед 802.11i стоят некоторые проблемы, которые нужно разрешить. Отметим, что хотя проблемы относятся к безопасности, они ничуть не угрожают защите данных пользователей. Когда рабочая группа 802.11i приступила к деятельности, никто не думал, что в беспроводной сети необходимо защищать и контрольные сообщения. Лишь впоследствии выяснилось, что злоумышленник может передать пакет с запросом на отключение и, тем самым, отключить абонента от сети. Сегодня уже достигнут консенсус по решению данной проблемы, а для ее устранения выделена новая рабочая группа. Другой проблемой 802.11i является слишком медленная работа для служб, требовательных ко времени доставки, например, передачи голоса. На самом деле, пока пользователь находится в зоне действия одной точки доступа, все работает прекрасно, но при переходе от одной к другой происходит отключение от текущей точки доступа и подключение к следующей. Для решения этой проблемы создана рабочая группа 802.11r. В состав группы входят представители таких компаний, как Intel, Cisco и Texas Instruments.
всемирное признание
Ни для кого не секрет, что стандартизация позволяет использовать любое оборудование и не беспокоиться о проблемах совместимости. Если оборудование поддерживает стандарт, то оно сможет работать совместно с другим оборудованием, которое поддерживает тот же самый стандарт. 802.11i быстро распространяется по всему миру, и Wi-Fi Alliance занимается сертификацией оборудования с поддержкой этого протокола. Wi-Fi Alliance называет новый уровень защиты WPA2. Сегодня для получения сертификата Wi-Fi Alliance поддержки WPA2 не требуется, однако ситуация изменится в 2006 году, когда поддержка WPA2 станет обязательной.
Администрация стандартов Китая (The Standards Administration of China, SAC) разработала свой стандарт защиты беспроводных сетей, известный как WAPI (Wired Authentication and Privacy Infrastructure). WAPI несовместим с IEEE 802.11i. SAC пытается сделать стандарт WAPI международным и уже внесла его в ISO/IEC JTC1 (Joint Technical Committee 1). JTC1 - совместный комитет ISO (International Organization for Standardization) и IEC (International Electrotechnical Commission).
В ноябре 2004 года прошло совещание JTC1 SC6 (подкомитет 6 (SC6), занимается стандартами беспроводных сетей), на котором было внесено предложение о рассмотрении заявки SAC в комитете IEEE 802 по поводу включения WAPI в 802.11. В результате IEEE 802 создала комитет для рассмотрения возможностей интеграции WAPI в 802.11.
заключение
Безопасность всегда была слабым звеном беспроводных технологий; их нельзя ограничить физически, как, например, проводные сети, поэтому организовать защиту совсем не просто. В этом направлении работает рабочая группа 802.11i, а также и Wi-Fi Alliance.
Данные спецификации позволяют повысить защиту беспроводных сетей. С появлением 802.11i можно уже говорить о полной цепочке защиты: регистрация, обмен учетными данными, аутентификация и шифрование стали более надежными и эффективными, как против спланированных атак, так и против неожиданных.
Tom’s Hardware Guide.
обсуждение статьи
В настоящее время большинство ноутбуков уже имеют встроенные средства поддержки беспроводных сетей стандартов 802.11 (также известных как Wi- Fi). Так, известная технология Intel Centrino для мобильных ПК в качестве одного из компонентов предполагает именно модуль беспроводной связи 802.11b/g.
Напомним, что 802.11 представляет собой набор спецификаций, разработанных Институтом инженеров по электротехнике и электронике (Institute of Electrical and Electronics Engineers, IEEE) для создания локальных беспроводных сетей (WLAN). Сегодня 802.11 активно распространяется по всему миру. Однако работы над стандартом ведутся до сих пор. Основное направление работ - увеличение радиуса действия сетей. Сегодня наибольшее расстояние, на котором можно добиться устойчивого соединения, составляет около 100 метров. И это при условии, что на пути сигнала нет толстых стен и других существенных преград. Другая серьезная проблема - безопасность.
В 1990 году была создана новая рабочая группа IEEE, названная 802.11, которая занялась разработкой стандарта беспроводной связи. Спецификации 802.11, которые стали появляться в конце 90-х, определяли беспроводную передачу сигнала между клиентом и базовой станцией (точкой доступа) или между двумя клиентами. К 2000 году стало очевидно, что необходимо уделить внимание проблеме безопасности, и тогда IEEE создал рабочую группу 802.11i, которая занялась решением проблем защиты сетей 802.11.
фундаментальные основы безопасности беспроводных сетей
Wi-Fi/802.11 появились в результате решения, принятого в 1985 году Федеральной комиссией связи США (FCC), которое допускало открытое использование ряда частотных диапазонов. Следует отметить, что эти частоты уже в то время были "замусорены", благодаря микроволновым печам и другим устройствам. Поэтому оборудование должно было использовать технологии "расширения спектра", то есть распределения узкополосного сигнала по диапазону частот, делая его менее подверженным помехам и более устойчивым к перехвату.
О защите беспроводных сетей думали еще на заре их появления. Но и сегодня эта проблема так полностью и не решена. Частично это связано с тем, что беспроводные технологии стали использоваться в тех условиях, для которых они изначально не разрабатывались. На пути распространения беспроводных сетей стоят следующие фундаментальные проблемы.
- Интернет создавался без учета мобильной работы. Предполагалось, что все узлы сети будут фиксированными.
- Для доступа к беспроводной сети аутентификация пользователей не обязательна. В традиционных проводных сетях за аутентификацию отвечали ИТ- отделы, создавая учетные записи пользователей.
- Большинство приложений и операционных систем разрабатывались для сети статической конфигурации. Здесь отключение пользователя от сети может привести к весьма трагическим последствиям. Однако, при работе с беспроводными сетями, пользователи могут как преднамеренно, так и неожиданно отключиться от сети для того, чтобы, например, перейти в другое место.
- При беспроводной передаче сетевой трафик не замыкается инфраструктурой сети, как в случае с проводной сетью. Данные проходят сквозь стены и границы, оказываясь доступными для всех желающих, причем злоумышленник может не только принимать, но и передавать данные.
защита 802.11 была изначально слабой
Стандарт IEEE 802.11 был принят в 1999 году и с самого начала обеспечивал шифрование для передачи конфиденциальных данных. Стандарт безопасности Wired Equivalent Privacy (WEP, безопасность, эквивалентная проводной сети, иногда расшифровывается как Wireless Encryption Protocol) был призван защитить авторизованных пользователей беспроводной сети от перехвата данных. Однако, как бы громко ни звучала аббревиатура WEP, схема шифрования оказалась слабой, а защита 802.11 - ненадежной.
С ростом количества беспроводных сетей в открытом доступе появились и инструменты для их взлома. Важно отметить, что эксперты по компьютерной безопасности обнаружили брешь в защите раньше злоумышленников, и это позволило подготовиться к атакам и предупредить специалистов. Одной из положительных черт открытых стандартов и хороших протоколов безопасности является то, что их могут анализировать все желающие.
После тщательного анализа протокола экспертами компании Intel и других компаний, занимающихся безопасностью, в WEP были обнаружены четыре слабых звена:
- ошибки в реализации шифрования;
- отсутствие защиты от ложных сообщений;
- повторное использование ключей шифрования, позволяющее просматривать данные даже без ключа;
- аутентификация не работала должным образом, поскольку в открытом виде передавались все данные, необходимые для аутентификации злоумышленника в сети.
802.11i - шаг к защите
Конечно, эти проблемы были достаточно сложными, и рабочая группа затратила на поиски их решения более трех лет, создав жесткий свод правил, который был окончательно утвержден в июне 2004 года.
Огромный вклад в развитие 802.11i внесли компании Intel, RSA Labs, Hi-FN, Microsoft, Cisco, Agere, Broadcom и другие. Некоторые ключевые решения представил шифровальщик из Нидерландов.
Когда все компоненты были одобрены и приняты, потребовалось определить возможность их реализации на кремнии и провести анализ безопасности всех компонентов, чтобы определить, насколько защищенной будет система в целом. Работа комитета велась по следующим направлениям.
1. Улучшение аутентификации. Замена оригинальной схемы аутентификации протоколом IEEE 802.1X, который предполагает, что для получения авторизованного доступа к сети пользователь должен пройти аутентификацию на сервере.
2. Новый алгоритм шифрования. На замену WEP пришел полностью новый протокол шифрования. Он основан на надежных алгоритмах, которые криптографы позаимствовали из протокола Internet Protocol Security (IPsec) и других протоколов безопасности. Он носит название CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) и для шифрования использует алгоритм AES (Advanced Encryption Standard).
3. Временная заплатка для WEP. Был разработан еще один протокол шифрования, который мог быть полностью реализован программно на базе уже установленного оборудования. Протокол, носящий название TKIP (Temporal Key Integrity Protocol, протокол временной целостности ключей), внедрялся параллельно с 802.1X. Его развитием занимался альянс Wi-Fi, а решение получило название WPA (Wi-Fi Protected Access). Поначалу создание программной заплатки для WEP казалось неразрешимой проблемой. Как известно, криптография предполагает достаточно ресурсоемкие вычисления, а первое поколение оборудования WLAN было в этом отношении сильно ограниченным, из-за чего простое обновление прошивки не представлялось возможным.
Работа началась с определения ресурсов, которые потребуются для реализации заплатки WEP. Оказалось, что необходимо пять инструкций на байт, или около трех миллионов операций в секунду (MIPS). Конечно, по сегодняшним меркам это не так много, но первые точки доступа строились на базе специализированных решений на ядре, схожем с 25-МГц Intel 80386, причем около 90 процентов вычислительных ресурсов уже были заняты. Даже в таких жестких рамках группа разработала три алгоритма: для проверки целостности сообщений, для защиты подтверждений и для генерации надежных ключей шифрования. Все это реализовано в протоколе TKIP и позволяет обеспечить достаточную безопасность на период миграции к CCMP.
4. Исключение повторного использования ключей шифрования. Группа разработала схему, исключающую повторное использование ключей. Теперь для любой передачи данных требуется аутентификация. Каждый раз, когда пользователь подключается к точке доступа, создается новый сеансовый ключ, использующийся в качестве основы для шифрования.
На решение, в частности, этой задачи было затрачено много усилий - чтобы найти решение потребовалось целых девять месяцев. Группа рассматривала алгоритмы и постоянно наталкивалась на проблемы. Приходилось то и дело возвращаться назад до тех пор, пока не появилось работающее решение. Кроме всего прочего, рабочая группа, впервые в истории IEEE, решила прибегнуть к помощи независимых исследователей, не участвующих в разработке. Это было особенно важно для проверки всеобъемлющей и надежной защиты. В качестве независимых экспертов были приглашены представители Калифорнийского университета Беркли (University of California at Berkeley), Массачусетского Технологического института (Massachusetts Institute of Technology, MIT), Калифорнийского университета Дэвиса (University of California at Davis), Certicom и других. Специалист по криптографии из Дании представил математические доказательства защищенности различных компонентов протокола, что позволило определить, насколько криптостойким получится протокол.
работа продолжается
Даже сегодня перед 802.11i стоят некоторые проблемы, которые нужно разрешить. Отметим, что хотя проблемы относятся к безопасности, они ничуть не угрожают защите данных пользователей. Когда рабочая группа 802.11i приступила к деятельности, никто не думал, что в беспроводной сети необходимо защищать и контрольные сообщения. Лишь впоследствии выяснилось, что злоумышленник может передать пакет с запросом на отключение и, тем самым, отключить абонента от сети. Сегодня уже достигнут консенсус по решению данной проблемы, а для ее устранения выделена новая рабочая группа. Другой проблемой 802.11i является слишком медленная работа для служб, требовательных ко времени доставки, например, передачи голоса. На самом деле, пока пользователь находится в зоне действия одной точки доступа, все работает прекрасно, но при переходе от одной к другой происходит отключение от текущей точки доступа и подключение к следующей. Для решения этой проблемы создана рабочая группа 802.11r. В состав группы входят представители таких компаний, как Intel, Cisco и Texas Instruments.
всемирное признание
Ни для кого не секрет, что стандартизация позволяет использовать любое оборудование и не беспокоиться о проблемах совместимости. Если оборудование поддерживает стандарт, то оно сможет работать совместно с другим оборудованием, которое поддерживает тот же самый стандарт. 802.11i быстро распространяется по всему миру, и Wi-Fi Alliance занимается сертификацией оборудования с поддержкой этого протокола. Wi-Fi Alliance называет новый уровень защиты WPA2. Сегодня для получения сертификата Wi-Fi Alliance поддержки WPA2 не требуется, однако ситуация изменится в 2006 году, когда поддержка WPA2 станет обязательной.
Администрация стандартов Китая (The Standards Administration of China, SAC) разработала свой стандарт защиты беспроводных сетей, известный как WAPI (Wired Authentication and Privacy Infrastructure). WAPI несовместим с IEEE 802.11i. SAC пытается сделать стандарт WAPI международным и уже внесла его в ISO/IEC JTC1 (Joint Technical Committee 1). JTC1 - совместный комитет ISO (International Organization for Standardization) и IEC (International Electrotechnical Commission).
В ноябре 2004 года прошло совещание JTC1 SC6 (подкомитет 6 (SC6), занимается стандартами беспроводных сетей), на котором было внесено предложение о рассмотрении заявки SAC в комитете IEEE 802 по поводу включения WAPI в 802.11. В результате IEEE 802 создала комитет для рассмотрения возможностей интеграции WAPI в 802.11.
заключение
Безопасность всегда была слабым звеном беспроводных технологий; их нельзя ограничить физически, как, например, проводные сети, поэтому организовать защиту совсем не просто. В этом направлении работает рабочая группа 802.11i, а также и Wi-Fi Alliance.
Данные спецификации позволяют повысить защиту беспроводных сетей. С появлением 802.11i можно уже говорить о полной цепочке защиты: регистрация, обмен учетными данными, аутентификация и шифрование стали более надежными и эффективными, как против спланированных атак, так и против неожиданных.
Tom’s Hardware Guide.
обсуждение статьи
Сетевые решения. Статья была опубликована в номере 06 за 2005 год в рубрике save ass…
