В отличие от открытой аутентификации, при аутентификации с совместно исполь­зуемым ключом требуется, чтобы клиентская станция и точка доступа были способны поддерживать WEP и имели одинаковые WEP-ключи. Процесс аутентификации с со­вместно используемым ключом осуществляется следующим образом.

1.  Клиент посылает точке доступа запрос на аутентификацию с совместно исполь­зуемым ключом.

2. Точка доступа отвечает фреймом вызова (challenge frame), содержащим откры­тый текст.

3.  Клиент шифрует вызов и посылает его обратно точке доступа.

4.  Если точка доступа может правильно расшифровать этот фрейм и получить свой исходный вызов, клиенту посылается сообщение об успешной аутентификации.

5.  Клиент получает доступ к WLAN.

Предпосылки, на которых основана аутентификация с совместно используе­мым ключом, точно такие же, как и те, которые предполагались при открытой ау­тентификации, использующей WEP-ключи в качестве средства контроля доступа. Разница между этими двумя схемами состоит в том, что клиент не может ассо­циировать себя с точкой доступа при использовании механизма аутентификации с совместно используемым ключом, если его ключ не сконфигурирован должным образом. На рис. 9 схематично представлен процесс аутентификации с совместно используемым ключом.

Аутентификация с использованием МАС-адресов

Аутентификация с использованием МАС-адресов не специфицирована стан­дартом 802.11. но обеспечивается многими производителями. В ходе аутентифи­кации с использованием МАС-адресов проверяется соответствие МАС-адреса клиента локально сконфигурированному списку разрешенных адресов или спи­ску, хранящемуся на внешнем аутентификационном сервере (рис. 10). Аутенти­фикация с использованием МАС-адресов усиливает действие открытой аутенти­фикации и аутентификации с совместно используемым ключом, обеспечиваемы­ми стандартом 802.11, потенциально снижая тем самым вероятность того, что неавторизованные устройства получат доступ к сети. Например, администратор сети может пожелать ограничить доступ к определенной точке доступа для трех конкретных устройств. Если все станции и все точки доступа BSS используют одинаковые WEP-ключи, при использовании открытой аутентификации и аутен­тификации с совместно используемым ключом такой сценарий реализовать труд­но. Чтобы усилить действие механизма аутентификации стандарта 802.11, он мо­жет применить аутентификацию с использованием МАС-адресов.

Уязвимость системы защиты стандарта 802.11

В предыдущем разделе рассказывалось о том, как осуществляются аутентификация и шифрование при использовании устройств стандарта 802.11. Не секрет, что система зашиты, специфицированная в стандарте 802.11, несовершенна. Вскоре после утвер­ждения стандарта 802.11 появились статьи, в которых указывались слабые места меха­низма аутентификации стандарта 802.11 и шифрования по алгоритму WEP.

Уязвимость открытой аутентификации

При использовании механизма открытой аутентификации точка доступа не имеет возможности проверить правомочность клиента. Отсутствие такой возможности явля­ется недостатком системы защиты, если в беспроводной локальной сети не использу­ется WEP-шифрование. Даже при использовании и клиентом, и точкой доступа ста­тичного WEP механизм открытой аутентификации не предоставляет средств для опре­деления того, кто использует устройство WLAN. Авторизованное устройство в руках неавторизованного пользователя — это угроза безопасности, равносильная полному отсутствию какой-либо защиты сети!

Уязвимость аутентификации с совместно используемым ключом

В случае аутентификации с совместно используемым ключом необходимо, чтобы клиент использовал заранее выделенный для совместного использования ключ и шифровал текст вызова, полученного от точки доступа. Точка доступа аутентифици­рует клиента путем расшифровки зашифрованного с помощью совместно используе­мого ключа ответа и проверки того, что полученный текст вызова полностью соответ­ствует отправленному.

Процесс обмена текстом вызова осуществляется по беспроводному каналу связи и является уязвимым для атаки, возможной при знании открытого текста. Эта уязви­мость в случае аутентификации с совместно используемым ключом обусловлена мате­матическими методами, лежащими в основе шифрования. Ранее в этой главе говори­лось о том, что процесс кодирования состоит в перемешивании открытого текста с ключевым потоком и получении в результате зашифрованного текста. Процесс пе­ремешивания представляет собой выполнение двоичной математической операции, которая называется "исключающее ИЛИ" (XOR). Если открытый текст перемешать с соответствующим зашифрованным текстом, в результате выполнения этой операции будет получена следующая пара: ключевой поток, используемый для WEP-ключа, и вектор инициализации (рис. 11).

Злоумышленник может захватить как открытый, так и зашифрованный текст отве­та. Выполнив над этими значениями операцию "исключающее ИЛИ", он может по­лучить действующий ключевой поток. Затем злоумышленник может использовать этот ключевой поток для расшифровки фреймов, имеющих такой же размер, как и ключе­вой поток, поскольку вектор инициализации, используемый для получения ключевого потока, такой же, как и у расшифрованного фрейма. На рис. 12 показано, как атакующий сеть злоумышленник может проследить процесс аутентификации с совместно используемым ключом и заполучить ключевой поток.

Уязвимость аутентификации с использованием МАС-адресов

МАС-адреса пересылаются с помощью незашифрованных фреймов стандарта 802.11, как и оговорено в спецификации этого стандарта. В результате беспроводные LAN. в которых применяется аутентификация с использованием МАС-адресов, уяз­вимы для атак, в ходе которых злоумышленник "подкапывается" под аутентификацию с использованием МАС-адресов путем имитации "законного" МАС-адреса.

Имитация МАС-адреса возможна для сетевых карт стандарта 802.11, которые по­зволяют заменять универсально-назначаемый адрес (universally administered address, UAA) локально-назначаемым (locally administered address, LAA). Универсальный ад­рес — это МАС-адрес, жестко закодированный для сетевой карты производителем. Атакующий может использовать анализатор протокола для определения разрешенного в BSS МАС-адреса и сетевую карту, допускающую локальное назначение адреса, для имитации разрешенного МАС-адреса.

Уязвимость WEP-шифрования

Наиболее серьезные и непреодолимые проблемы защиты сетей стандарта 802.11 бы­ли выявлены криптоаналитиками Флурером (Fluhrer), Мантином (Mantin) и Шамиром (Shamir). В своей статье они показали, что WEP-ключ может быть получен путем пас­сивного накопления отдельных фреймов, распространяющихся в беспроводной LAN.

Уязвимость обусловлена как раз тем, как механизм WEP применяет алгоритм со­ставления ключа (key scheduling algorithm, KSA) на основе поточного шифра RC4. Часть векторов инициализации (их называют слабые IV — weak IV) могут раскрыть биты ключа в результате проведения статистического анализа. Исследователи компа­нии AT&T и университета Rice восполь­зовались этой уязвимостью и выяснили, что можно заполучить WEP-ключи длиной 40 или 104 бит после обработки 4 миллионов фреймов. Для первых беспроводных LAN стандарта 802.11b это означает, что они должны передавать фреймы примерно один час, после чего можно вывести 104-разрядный WEP-ключ. Подобная уязвимость дела­ет WEP неэффективным механизмом обеспечения защиты информации.

Атака считается пассивной, если атакующий просто прослушивает BSS и накапли­вает переданные фреймы. В отличие от уязвимости аутентификации с совместно ис­пользуемым ключом, атакующий, как показали Флурер, Мантин и Шамир, может за­получить действующий WEP-ключ, а не только ключевой поток. Эта информация по­зволит атакующему получить доступ к BSS в качестве аутентифицированного устройства без ведома администратора сети.

Если атаки такого типа окажется недостаточно, можно, как показывает теория, провести на механизм WEP и другую (правда, на практике атаки такого рода не про­водились). Эта логически возможная атака может быть основана на методах, приме­няемых для преодоления защиты, обеспечиваемой механизмом аутентификации с со­вместно используемым ключом: для получения ключевого потока используются от­крытый текст и соответствующий ему зашифрованный текст.

Как уже говорилось, выведенный ключевой поток можно использовать для дешиф­ровки фреймов для пары "вектор инициализации —WEP-ключ" и для определенной длины. Умозрительно можно предположить, что атакующий будет прослушивать сеть с целью накопления как можно большего числа таких ключевых потоков, чтобы создать базу данных ключ поток, взломать сеть и получить возможность расшифровывать фреймы. В беспроводной LAN, в которой не используется аутентификация с совместно используемым ключом, атака с применением побитовой обработки фрейма позволяет злоумышленнику вывести большое количество ключевых потоков за короткое время.

Атаки с использованием побитовой обработки (или "жонглирования битами", bit flipping) основаны на уязвимости контрольного признака целостности (ICV). Данный механизм базируется на полиномиальной функции CRC-32. Но эта функция неэф­фективна как средство контроля целостности сообщения. Математические свойства функции CRC-32 позволяют подделать фрейм и модифицировать значение ICV, даже если исходное содержимое фрейма неизвестно.

Хотя размер полезных данных может быть разным для различных фреймов, многие элементы фреймов данных стандарта 802.11 остаются одними и теми же и на одних и тех же позициях. Атакующий может использовать этот факт и подделать часть фрейма с полезной информацией, чтобы модифицировать пакет более высокого уровня. Сце­нарий проведения атаки с использованием побитовой обработки может быть следую­щим (рис. 13).

1.      Атакующий захватывает фрейм беспроводной LAN.

2.      Атакующий  изменяет случайные биты  (flips random bits)  полезной  нагрузки фрейма.

3.      Атакующий модифицирует ICV (подробнее об этом — ниже).

4.      Атакующий передает модифицированный фрейм.

5.      Приемник (клиент или точка доступа) получает фрейм и вычисляет ICV по со­держимому фрейма.

6.      Приемник сравнивает вычисленный ICV со значением, хранящимся в поле ICV фрейма.

7.      Приемник принимает модифицированный фрейм.

8.      Приемник передает модифицированный фрейм на устройство более высокого уровня (повторитель или хост-компьютер).

9.      Поскольку в пакете уровня 3 биты изменены, контрольная сумма для уровня 3 оказывается неправильной.

10.  Протокол IP приемника выдаст сообщение об ошибке.

11.  Атакующий получает сведения о беспроводной LAN, анализируя незашифро­ванное сообщение об ошибке.

12.  Получая сообщение об ошибке, атакующий выводит ключевой поток, как в слу­чае атаки с повторением IV.

Основой такой атаки является несоответствие ICV требуемому значению. Значение ICV находится в зашифрованной с помощью WEP части фрейма; как атакующий мо­жет изменить ее, чтобы согласовать изменения, вызванные жонглированием битами, с фреймом? На рис. 14 проиллюстрирован процесс "жонглирования битами" и из­менения ICV.

1.  Пусть фрейм (F1) имеет ICV, значение которого равно С1.

2.  Генерируется новый фрейм (F2) той же длины, какую имеет набор битов фрей­ма F1.

Рис. 13. Атака с использованием побитовой обработки

3.  С помощью операции "исключающее ИЛИ" над F1 и F2 создается фрейм F3.

4.  Вычисляется ICV для F3 (С2).

5.  Посредством операции "исключающее ИЛИ" над С1 и С2 генерируется ICV СЗ.

Рис. 14. Модифицирование ICV за счет побитовой обработки

Проблемы управления статическими WEP-ключами

В спецификации стандарта 802.11 не указан конкретный механизм управления ключами. WEP по определению поддерживает только статические ключи, заранее предназначенные для совместного использования. Поскольку в процессе аутентифи­кации по стандарту 802.11 аутентифицируется устройство, а не пользователь этого устройства, утеря или кража беспроводного адаптера немедленно приводит к возникновению проблемы, связанной с защитой сети. Для ее решения администратору сети придется долго вручную изменять ключи всех беспроводных устройств сети, если имеющийся ключ "скомпрометирован" из-за утери или кражи адаптера.

Такой риск может оказаться приемлемым для небольших сетей, когда управление пользовательскими устройствами — несложная задача. Но подобная перспектива не­приемлема для крупных сетей, когда счет беспроводных пользовательских устройств идет на тысячи. Без механизма распределения или генерации ключей администратору придется дневать и ночевать там, где развернута беспроводная сеть.

Защищенные LAN стандарта 802.11

Промышленность преодолела слабые места в механизмах аутентификации и защи­ты сетей стандарта 802.11. Чтобы предоставить пользователям решения, обеспечи­вающие защищенность, масштабируемость и управляемость сетей, IEEE повысил за­щищенность сетей стандарта 802.11, разработав улучшенный механизм аутентифика­ции и шифрования. Эти изменения были введены в проект стандарта 802.11i. На сегодняшний день проект 802.11i не утвержден как стандарт, поэтому Альянс Wi-Fi (Wi-Fi Alliance) собрал поднабор компонентов, соответствующих стандарту 802.11i, который получил название "защищенный доступ к Wi-Fi" (Wi-Fi Protected Access, WPA). В данном разделе подробно описаны стандарт 802.11i и компоненты WPA.

Многие ошибочно полагают, что WEP — это единственный компонент, обеспечивающий защиту беспроводных LAN. На самом деле защита беспроводных сетей имеет четыре составляющие.

·        Базовая аутентификация (authentication framework). Представляет собой меха­низм, который усиливает действие алгоритма аутентификации путем организации   защищенного  обмена  сообщениями   между  клиентом,  точкой  доступа и сервером аутентификации.

·        Алгоритм аутентификации. Представляет собой алгоритм, посредством которого подтверждаются полномочия пользователя.

·        Алгоритм защиты данных. Обеспечивает защиту при передаче через беспровод­ную среду фреймов данных.

Страницы: 1, 2, 3