4.2.3 Wpa2

Основная информация.

WPA2 определяется стандартом IEEE 802.11i, принятым в июне 2004 года, и призван заменить WPA. В нём реализовано CCMP и шифрование AES, за счет чего WPA2 стал более защищённым, чем свой предшественник. С 13 марта 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных Wi-Fi устройств.

Уязвимости.

В 2010 году была опубликована информация об уязвимости Hole196 в протоколе WPA2. Используя эту уязвимость, авторизовавшийся в сети злонамеренный пользователь может расшифровывать данные других пользователей, используя свой закрытый ключ. Никакого взлома ключей или брут-форса не требуется.

Тем не менее, на данный момент основными методами взлома WPA2 PSK являются атака по словарю и брут-форс. Для этого в режиме мониторинга беспроводной карты сканируется эфир и записываются необходимые пакеты. Далее проводится деавторизация клиента для захвата начального обмена пакетами (handshake), либо нужно ждать пока клиент совершит подключение. После этого уже нет необходимости находиться недалеко от атакуемой точки доступа. Атака проводится оффлайн с помощью специальной программы и файла с хэндшейком.

4.3 Практическое применение

В качестве исследуемого объекта взята общественная wi-fi сеть общежития ТУСУР.

Используемое оборудование – унифицированный коммутатор для управления точками доступа D-LINK DWS 3160 Series.

Задача – установить такие настройки, чтобы использование её для провайдера и пользователей было максимально безопасно.

Настройка проводится через веб-интерфейс устройства.

Вкладка WLAN -> Administration -> Basic Setup -> SSID.

Рисунок 1 – окно Basic Setup SSID.

После нажатия кнопки Edit (Редактировать) доступно редактирование параметров безопасности сети.

Рисунок 2 – окно Wireless Network Configuration.

По умолчанию в строке Security Options (Параметры безопасности) выбрано None, то есть шифрование данных не используется. В рамках изучения вопросов безопасности важно ознакомиться с опциями двух других радио-кнопок.

Рисунок 3 – параметры WEP.

• Authentication (Аутентификация) – Open System and Shared Key.

При аутентификации Open System к беспроводной сети может подключиться любое устройство с соответствующим значением SSID. Ключи WEP в процессе аутентификации не проверяются.

Аутентификация типа Shared Key требует, чтобы точка доступа и беспроводной адаптер имели одинаковый ключ WEP. Процесс аутентификации в режиме Shared Key выглядит следующим образом. В ответ на запрос клиентского устройства на подключение к сети Wi-Fi точка доступа посылает незашифрованное тестовое сообщение (challenge text). Клиент зашифровывает это сообщение своим ключом WEP и возвращает точке доступа. Точка доступа расшифровывает сообщение с помощью своего ключа WEP и, если результат совпадает с исходным сообщением, разрешает доступ.

Тип аутентификации Shared Key значительно безопаснее, чем Open System, поэтому, если нет специальных противопоказаний, следует использовать именно Shared Key Authentication.

• WEP Key Type (Тип ключа) – ASCII and HEX.

ASCII key включает в себя строчные и прописные буквы, цифры и специальные символы, такие как @ and #.

HEX key включает цифры 0 to 9 и буквы A to F.

• WEP Key Length (bits) (Длина ключа в битах) – 64 или 28 бит.

• WEP Keys (Ключи) – возможность выбрать один из 4 введенных ключей.

Рисунок 4 – параметры WPA/WPA-2, WPA Personal.

WPA Personal – cтатическое управление ключами.

• WPA Versions (версии) – типы поддерживаемых клиентских станций. Доступны WPA и WPA-2.

• WPA Ciphers (шифры) – выбор шифров. Доступны TKIP и CCMP (AES).

• WPA Key Type (тип ключа) – ASCII.

• WPA Key (ключ) – секретный ключ для WPA Personal. Строка от 8 до 63 символов.

• Bcast Key Refresh Rate (частота обновления ключа) – интервал.

Рисунок 5 – параметры WPA/WPA-2, WPA Enterprise.

WPA Enterprise – использование RADIUS-сервера.

• WPA Versions (версии) – WPA и WPA2.

• WPA Ciphers (шифры) – TKIP и CCMP (AES).

• Pre-Authentication (предварительная аутентификация) – разрешение слиентам WPA-2 слать предварительные аутентификационные пакеты. Информация транслируется с точки доступа. Включение этой функции может помочь ускорить проверку подлинности для клиентов, которые подключаются к нескольким точкам доступа. Только клиенты, которые подключаются с помощью WPA2, могут использовать эту функцию. Это не поддерживается оригинальным WPA.

• Pre-Authentication Limit – число предварительных аутентификаций, которые могут просходить одновременно.

• Key Caching Hold Time – количество минут, когда мастер-ключ будет проводиться AP. Это относится и к парам мастер-ключей (PMKs), порожденных RADIUS, те, которые приходят от предварительной аутентификации, и те, которые направлены к точке доступа. Обратите внимание, что этот срок может быть отменен, если RADIUS сервер возвращает больше времени в SessionTimeout атрибуте для конкретного пользователя. Допустимые значения этого являются от 1-1440 минут. Если не введено значение, точки доступа не будут пересылать ПМК для беспроводного клиента к другим точками доступа в случае, если клиент будет подключен к другой AP.

• Bcast Key Refresh Rate – интервал, в котором изменяются ключи для клиентов, связанных с этой VAP.

• Session Key Refresh Rate –интервал, в котором изменяется сеансовый ключ.