Chráněný přístup Wi -Fi - Wi-Fi Protected Access

Wi-Fi Protected Access ( WPA ), Wi-Fi Protected Access II ( WPA2 ) a Wi-Fi Protected Access 3 ( WPA3 ) jsou tři programy certifikace zabezpečení a zabezpečení vyvinuté Aliancí Wi-Fi pro zabezpečení bezdrátových počítačových sítí. Aliance je definovala v reakci na závažné nedostatky, které výzkumníci zjistili v předchozím systému WEP ( Wired Equivalent Privacy ).

WPA (někdy označovaný jako standard TKIP) byl k dispozici v roce 2003. Wi-Fi Alliance jej zamýšlela jako přechodné opatření v očekávání dostupnosti bezpečnějšího a komplexnějšího WPA2, který byl k dispozici v roce 2004 a je běžnou zkratkou pro úplné Standard IEEE 802.11i (nebo IEEE 802.11i-2004 ).

V lednu 2018 oznámila Wi-Fi Alliance vydání WPA3 s několika vylepšeními zabezpečení oproti WPA2.

Verze

WPA

Wi-Fi Alliance zamýšlela WPA jako přechodné opatření, které nahradí WEP, dokud nebude k dispozici úplný standard IEEE 802.11i . WPA bylo možné implementovat prostřednictvím upgradů firmwaru na bezdrátových síťových rozhraních navržených pro WEP, které se začaly dodávat již v roce 1999. Protože však změny požadované v bezdrátových přístupových bodech (AP) byly rozsáhlejší než změny potřebné na síťových kartách, většina AP před rokem 2003 nebylo možné upgradovat, aby podporovaly WPA.

Protokol WPA implementuje protokol TKIP ( Temporal Key Integrity Protocol ). WEP používal 64bitový nebo 128bitový šifrovací klíč, který musí být ručně zadán na bezdrátových přístupových bodech a zařízeních a nemění se. TKIP využívá klíč na paket, což znamená, že dynamicky generuje nový 128bitový klíč pro každý paket, a tím předchází typům útoků, které kompromitovaly WEP.

WPA také obsahuje kontrolu integrity zpráv , která má zabránit útočníkovi ve změně a opětovném odeslání datových paketů. Toto nahrazuje kontrolu cyklické redundance (CRC), která byla použita standardem WEP. Hlavní chybou CRC bylo, že neposkytovala dostatečně silnou záruku integrity dat pro pakety, s nimiž manipulovala. K vyřešení těchto problémů existovaly osvědčené ověřovací kódy zpráv , ale pro použití na starých síťových kartách vyžadovaly příliš mnoho výpočtů. WPA používá k ověření integrity paketů algoritmus kontroly integrity zprávy s názvem TKIP . TKIP je mnohem silnější než CRC, ale není tak silný jako algoritmus použitý v WPA2. Vědci od té doby objevili chybu WPA, která se spoléhala na starší slabiny v WEP a omezení funkce hash kódu integrity zprávy, pojmenované Michael , k získání klíčového proudu z krátkých paketů, které se používají pro opětovné vkládání a falšování .

WPA2

Hlavní článek: IEEE 802.11i-2004

Ratifikován v roce 2004, WPA2 nahradil WPA. WPA2, který vyžaduje testování a certifikaci Wi-Fi Alliance, implementuje povinné prvky IEEE 802.11i. Zejména obsahuje povinnou podporu pro CCMP , režim šifrování na bázi AES . Certifikace začala v září 2004. Od 13. března 2006 do 30. června 2020 byla certifikace WPA2 povinná pro všechna nová zařízení s ochrannou známkou Wi-Fi.

WPA3

V lednu 2018 oznámila Wi-Fi Alliance WPA3 jako náhradu za WPA2. Certifikace začala v červnu 2018.

Nový standard používá ekvivalentní 192bitovou kryptografickou sílu v režimu WPA3-Enterprise ( AES-256 v režimu GCM s SHA-384 jako HMAC ) a stále požaduje použití CCMP-128 ( AES-128 v režimu CCM ) jako minimální šifrovací algoritmus v osobním režimu WPA3.

Standard WPA3 také nahrazuje výměnu předem sdíleného klíče (PSK) výměnou za simultánní autentizaci ekvivalentů (SAE), což je metoda původně zavedená u IEEE 802.11s , což má za následek bezpečnější počáteční výměnu klíčů v osobním režimu a dopředné utajení . Aliance Wi-Fi také tvrdí, že WPA3 zmírní bezpečnostní problémy způsobené slabými hesly a zjednoduší proces nastavení zařízení bez rozhraní pro zobrazení.

Ochrana rámců pro správu, jak je uvedeno v dodatku IEEE 802.11w, je vynucena také specifikacemi WPA3.

Hardwarová podpora

WPA byl navržen speciálně pro práci s bezdrátovým hardwarem vytvořeným před zavedením protokolu WPA, který poskytuje nedostatečné zabezpečení prostřednictvím WEP . Některá z těchto zařízení podporují WPA pouze po provedení upgradu firmwaru , který u některých starších zařízení není k dispozici.

Zařízení Wi-Fi certifikovaná od roku 2006 podporují bezpečnostní protokoly WPA i WPA2. WPA3 je vyžadován od 1. července 2020. Novější verze nemusí s některými staršími síťovými kartami fungovat.

Terminologie WPA

Různé verze WPA a mechanismy ochrany lze rozlišit na základě cílového koncového uživatele (podle způsobu distribuce ověřovacího klíče) a použitého šifrovacího protokolu.

Cíloví uživatelé (distribuce ověřovacího klíče)

WPA-osobní
Také označovaný jako režim WPA-PSK ( předem sdílený klíč ) je určen pro domácí a malé kancelářské sítě a nevyžaduje ověřovací server. Každé zařízení bezdrátové sítě šifruje síťový provoz odvozením svého 128bitového šifrovacího klíče z 256bitového sdíleného klíče . Tento klíč lze zadat buď jako řetězec 64 hexadecimálních číslic, nebo jako heslo 8 až 63 tisknutelných znaků ASCII . Pokud jsou použity znaky ASCII, 256bitový klíč se vypočítá použitím funkce odvození klíče PBKDF2 na přístupové heslo, přičemž jako sůl se použije SSID a 4096 iterací HMAC - SHA1 . Osobní režim WPA je k dispozici pro všechny tři verze WPA.
WPA-Enterprise
Také označovaný jako režim WPA- 802.1X a někdy jen WPA (na rozdíl od WPA-PSK) je určen pro podnikové sítě a vyžaduje ověřovací server RADIUS . To vyžaduje složitější nastavení, ale poskytuje dodatečné zabezpečení (např. Ochrana proti slovníkovým útokům na krátká hesla). K ověřování se používají různé druhy protokolu EAP ( Extensible Authentication Protocol ). Režim WPA-Enterprise je k dispozici pro všechny tři verze WPA.
Chráněné nastavení Wi-Fi (WPS)
Toto je alternativní metoda distribuce ověřovacích klíčů, jejímž cílem je zjednodušit a posílit proces, ale která, jak je široce implementována, vytváří hlavní bezpečnostní díru prostřednictvím obnovy PIN WPS .

Šifrovací protokol

TKIP (Temporal Key Integrity Protocol)
RC4 proudová šifra se používá s klíčem 128 bitů za paketem, což znamená, že dynamicky vytváří nový klíč pro každý paket. Toto používá WPA.
CCMP ( režim CTR s protokolem CBC-MAC )
Protokol používaný WPA2, založený na šifře Advanced Encryption Standard (AES) spolu se silnou autenticitou zpráv a kontrolou integrity, je v ochraně soukromí a integrity výrazně silnější než TKIP na bázi RC4 , který používá WPA. Mezi neformálními názvy jsou „AES“ a „AES-CCMP“. Podle specifikace 802.11n musí být tento šifrovací protokol použit k dosažení rychlých schémat vysoké přenosové rychlosti 802.11n , ačkoli ne všechny implementace to vynucují. V opačném případě přenosová rychlost nepřekročí 54 Mbit/s.

Rozšíření EAP pod WPA a WPA2 Enterprise

Aliance Wi-Fi původně certifikovala pouze EAP-TLS ( Extensible Authentication Protocol - Transport Layer Security ). V dubnu 2010 oznámila Wi-Fi Alliance zahrnutí dalších typů EAP do svých certifikačních programů WPA a WPA2-Enterprise. To mělo zajistit, aby produkty certifikované WPA-Enterprise mohly vzájemně spolupracovat.

Od roku 2010 obsahuje certifikační program následující typy EAP:

Klienti a servery 802.1X vyvinuté konkrétními firmami mohou podporovat jiné typy EAP. Tato certifikace je pokusem o vzájemnou spolupráci populárních typů EAP; jejich selhání v roce 2013 je jedním z hlavních problémů, které brání zavedení 802.1X v heterogenních sítích.

Mezi komerční servery 802.1X patří Microsoft Internet Authentication Service a Juniper Networks Steelbelted RADIUS a také server Aradial Radius. FreeRADIUS je open source server 802.1X.

Bezpečnostní problémy

slabé heslo

Předem sdílený klíč WPA a WPA2 zůstávají zranitelné vůči útokům prolomení hesla, pokud uživatelé spoléhají na slabé heslo nebo přístupové heslo . Hašovací hesla WPA jsou naočkována z názvu SSID a jeho délky; duhové tabulky existují pro 1 000 nejlepších SSID sítí a velké množství běžných hesel, což vyžaduje pouze rychlé vyhledávání, aby se urychlilo prolomení WPA-PSK.

O hrubé vynucení jednoduchých hesel se můžete pokusit pomocí sady Aircrack, počínaje handshake čtyřcestného ověřování vyměňovaným během přidružení nebo pravidelného opětovného ověřování.

WPA3 nahrazuje kryptografické protokoly náchylné k off-line analýze protokoly, které vyžadují interakci s infrastrukturou pro každé uhodnuté heslo, přičemž údajně stanoví časové limity počtu odhadů. Chyby designu v WPA3 však umožňují útočníkům hodnověrně zahájit útoky hrubou silou (viz útok Dragonblood ).

Nedostatek utajení dopředu

WPA a WPA2 neposkytují dopředné utajení , což znamená, že jakmile nepřátelská osoba objeví předem sdílený klíč, může potenciálně dešifrovat všechny pakety šifrované pomocí tohoto PSK přenášeného v budoucnosti a dokonce i minulosti, které by pasivně a potichu mohly být shromažďovány útočník. To také znamená, že útočník může tiše zachytit a dešifrovat pakety ostatních, pokud je přístupový bod chráněný WPA poskytován zdarma na veřejném místě, protože jeho heslo je obvykle sdíleno komukoli na tomto místě. Jinými slovy, WPA chrání pouze před útočníky, kteří nemají přístup k heslu. Z tohoto důvodu je bezpečnější použít pro přenos citlivých dat navíc Transport Layer Security (TLS) nebo podobný. Počínaje WPA3 byl tento problém vyřešen.

Spoofing a dešifrování paketů WPA

Mathy Vanhoef a Frank Piessens se výrazně zlepšili po útocích Erika Tewse a Martina Becka na WPA-TKIP . Ukázali, jak vložit libovolný počet paketů, přičemž každý paket obsahuje nejvýše 112 bajtů užitečného zatížení. To bylo prokázáno implementací skeneru portů , který lze spustit proti jakémukoli klientovi pomocí WPA-TKIP . Kromě toho ukázali, jak dešifrovat libovolné pakety odeslané klientovi. Zmínili, že to lze použít k únosu připojení TCP , což útočníkovi umožní vložit škodlivý JavaScript, když oběť navštíví web. Naproti tomu útok Beck-Tews mohl dešifrovat pouze krátké pakety s většinou známým obsahem, jako jsou zprávy ARP , a umožňoval pouze injekci 3 až 7 paketů o maximálně 28 bajtech. Útok Beck-Tews také vyžaduje, aby byla povolena kvalita služeb (definovaná v 802.11e ), zatímco útok Vanhoef-Piessens nikoli. Žádný útok nevede k obnovení sdíleného klíče relace mezi klientem a přístupovým bodem . Autoři uvádějí, že použití krátkého intervalu rekeying může zabránit některým útokům, ale ne všem, a důrazně doporučují přechod z TKIP na CCMP na bázi AES .

Halvorsen a další ukazují, jak upravit útok Beck-Tews tak, aby umožňoval injekci 3 až 7 paketů o velikosti nejvýše 596 bajtů. Temnější stránkou je, že jejich útok vyžaduje podstatně více času na provedení: přibližně 18 minut a 25 sekund. V jiné práci Vanhoef a Piessens ukázali, že když je k šifrování vysílaných paketů používáno WPA, lze také provést jejich původní útok. Toto je důležité rozšíření, protože podstatně více sítí používá WPA k ochraně vysílaných paketů než k ochraně paketů unicast . Doba provedení tohoto útoku je v průměru kolem 7 minut, ve srovnání se 14 minutami původního útoku Vanhoef-Piessens a Beck-Tews.

Zranitelnosti TKIP jsou významné, protože WPA-TKIP byla dříve považována za extrémně bezpečnou kombinaci; ve skutečnosti je WPA-TKIP stále možností konfigurace pro širokou škálu bezdrátových směrovacích zařízení poskytovaných mnoha prodejci hardwaru. Průzkum v roce 2013 ukázal, že 71% stále umožňuje používání TKIP a 19% výhradně podporuje TKIP.

Obnovení WPS PIN

Vážnější bezpečnostní chybu odhalil v prosinci 2011 Stefan Viehböck, která ovlivňuje bezdrátové směrovače pomocí funkce WPS ( Wi-Fi Protected Setup ), bez ohledu na to, jakou metodu šifrování používají. Většina nejnovějších modelů má tuto funkci a ve výchozím nastavení ji povoluje. Mnoho spotřebitelů, kteří vyrábějí zařízení Wi-Fi, podnikli kroky k eliminaci potenciálu slabých přístupových frází podporou alternativních metod automatického generování a distribuce silných klíčů, když uživatelé přidají do sítě nový bezdrátový adaptér nebo zařízení. Mezi tyto metody patří stisknutí tlačítek na zařízeních nebo zadání 8místného kódu PIN .

Wi-Fi Alliance standardizovala tyto metody jako Wi-Fi Protected Setup; široce implementovaná funkce PIN však zavedla zásadní novou bezpečnostní chybu. Tato chyba umožňuje vzdálenému útočníkovi během několika hodin obnovit PIN WPS a tím i heslo WPA/WPA2 routeru. Uživatelé byli vyzváni, aby vypnuli funkci WPS, i když to u některých modelů routerů nemusí být možné. PIN je také napsán na štítku u většiny směrovačů Wi-Fi s WPS a v případě kompromitace jej nelze změnit.

WPA3 zavádí novou alternativu pro konfiguraci zařízení, která postrádají dostatečné možnosti uživatelského rozhraní, tím, že umožňuje blízkým zařízením sloužit jako adekvátní uživatelské rozhraní pro účely zajišťování sítě, čímž se zmenšuje potřeba WPS.

MS-CHAPv2 a chybějící ověření CN serveru AAA

V MS-CHAPv 2 bylo nalezeno několik slabin , z nichž některé výrazně snižují složitost útoků hrubou silou, díky čemuž jsou proveditelné s moderním hardwarem. V roce 2012 byla složitost prolomení MS-CHAPv2 snížena na prolomení jediného klíče DES, práce Moxie Marlinspike a Marsh Ray. Moxie doporučil: „Podniky, které jsou závislé na vlastnostech vzájemné autentizace MS-CHAPv2 pro připojení ke svým serverům WPA2 Radius, by měly okamžitě začít migrovat na něco jiného.“

Tunelované metody EAP využívající TTLS nebo PEAP, které šifrují výměnu MSCHAPv2, jsou široce využívány k ochraně před zneužitím této zranitelnosti. Převládající implementace klientů WPA2 na počátku roku 2000 však byla náchylná k nesprávné konfiguraci koncovými uživateli nebo v některých případech (např. Android ) postrádala jakýkoli uživatelsky přístupný způsob, jak správně konfigurovat validaci CN certifikátů serveru AAA. To rozšířilo relevanci původní slabosti v MSCHAPv2 v rámci scénářů útoku MiTM . V rámci přísnějších testů shody WPA2 vyhlášených společně s WPA3 bude vyžadován certifikovaný klientský software, aby vyhovoval určitému chování kolem ověřování certifikátů AAA.

Díra196

Hole196 je chyba zabezpečení v protokolu WPA2, která zneužívá sdílený dočasný klíč skupiny (GTK). Lze jej použít k provádění útoků typu man-in-the-middle a denial-of-service . Předpokládá však, že útočník je již ověřen proti přístupovému bodu, a tedy v držení GTK.

Předvídatelný dočasný klíč skupiny (GTK)

V roce 2016 se ukázalo, že standardy WPA a WPA2 obsahují nezabezpečený generátor náhodných čísel (RNG). Výzkumníci ukázali, že pokud prodejci implementují navrhovanou RNG, útočník je schopen předpovědět klíč skupiny (GTK), který by měl být náhodně generován přístupovým bodem (AP). Navíc ukázali, že držení GTK umožňuje útočníkovi vnést jakýkoli provoz do sítě a umožnilo útočníkovi dešifrovat unicastový internetový přenos přenášený přes bezdrátovou síť. Prokázali jejich útok proti Asus RT-AC51U směrovač, který používá Mediatek out-of-stromu ovladače, které generují GTK sebe, a bylo zjištěno, že GTK může být získána během dvou minut nebo méně. Podobně předvedli klíče generované démony přístupu Broadcom běžícími na VxWorks 5 a novějších lze obnovit za čtyři minuty nebo méně, což ovlivňuje například určité verze Linksys WRT54G a některé modely Apple AirPort Extreme. Dodavatelé se mohou tomuto útoku bránit pomocí zabezpečeného RNG. Tím Hostapd běžící na linuxových jádrech není zranitelný vůči tomuto útoku, a tedy routery běží typické OPENWRT nebo ledě zařízení nevykazují tento problém.

KRACKův útok

Hlavní článek: KRACK

V říjnu 2017 byly zveřejněny podrobnosti o útoku KRACK (Key Reinstallation Attack) na WPA2. Útok KRACK údajně ovlivňuje všechny varianty WPA a WPA2; implikace zabezpečení se však mezi implementacemi liší, podle toho, jak jednotliví vývojáři interpretovali špatně specifikovanou část standardu. Softwarové opravy mohou tuto chybu zabezpečení vyřešit, ale nejsou k dispozici pro všechna zařízení.

Útok dračí krve

V dubnu 2019 byly nalezeny závažné konstrukční nedostatky WPA3, které útočníkům umožňují provádět útoky na nižší verzi a útoky na vedlejší kanály, což umožňuje hrubé vynucení přístupové fráze a také spouštění útoků odmítnutí služby na základnových stanicích Wi-Fi.

Reference

externí odkazy