4. Если точка доступа
может правильно расшифровать этот фрейм и получить свой исходный вызов, клиенту
посылается сообщение об успешной аутентификации.
5. Клиент получает доступ к WLAN.
Предпосылки, на которых основана аутентификация с совместно
используемым ключом, точно такие же, как и те, которые предполагались при
открытой аутентификации, использующей WEP-ключи в качестве средства контроля доступа.
Разница между этими двумя схемами состоит в том, что клиент не может ассоциировать
себя с точкой доступа при использовании механизма аутентификации с совместно
используемым ключом, если его ключ не сконфигурирован должным образом. На рис. 9
схематично представлен процесс аутентификации с совместно используемым ключом.
|
Рис. 9. Процесс аутентификации с совместно используемым
ключом
|
Аутентификация с
использованием МАС-адресов не специфицирована стандартом 802.11. но обеспечивается
многими производителями. В ходе аутентификации с использованием МАС-адресов
проверяется соответствие МАС-адреса клиента локально сконфигурированному списку
разрешенных адресов или списку, хранящемуся на внешнем аутентификационном
сервере (рис. 10). Аутентификация с использованием МАС-адресов усиливает
действие открытой аутентификации и аутентификации с совместно используемым ключом,
обеспечиваемыми стандартом 802.11, потенциально снижая тем самым вероятность
того, что неавторизованные устройства получат доступ к сети. Например,
администратор сети может пожелать ограничить доступ к определенной точке
доступа для трех конкретных устройств. Если все станции и все точки доступа BSS используют
одинаковые WEP-ключи, при использовании открытой аутентификации и аутентификации
с совместно используемым ключом такой сценарий реализовать трудно. Чтобы
усилить действие механизма аутентификации стандарта 802.11, он может применить
аутентификацию с использованием МАС-адресов.
Рис. 10. Процесс
аутентификации с использованием МАС-адресов
|
В предыдущем разделе рассказывалось о
том, как осуществляются аутентификация и шифрование при использовании устройств
стандарта 802.11. Не секрет, что система зашиты, специфицированная в стандарте
802.11, несовершенна. Вскоре после утверждения стандарта 802.11 появились
статьи, в которых указывались слабые места механизма аутентификации стандарта
802.11 и шифрования по алгоритму WEP.
При
использовании механизма открытой аутентификации точка доступа не имеет
возможности проверить правомочность клиента. Отсутствие такой возможности является
недостатком системы защиты, если в беспроводной локальной сети не используется
WEP-шифрование. Даже при использовании и клиентом, и точкой доступа статичного
WEP механизм открытой аутентификации не предоставляет средств для определения
того, кто использует устройство WLAN. Авторизованное устройство в руках
неавторизованного пользователя — это угроза безопасности, равносильная полному
отсутствию какой-либо защиты сети!
В случае
аутентификации с совместно используемым ключом необходимо, чтобы клиент использовал заранее выделенный для совместного использования ключ и
шифровал текст вызова, полученного от точки доступа. Точка доступа аутентифицирует
клиента путем расшифровки зашифрованного с помощью совместно используемого
ключа ответа и проверки того, что полученный текст вызова полностью соответствует
отправленному.
Процесс обмена
текстом вызова осуществляется по беспроводному каналу связи и является уязвимым
для атаки, возможной при знании открытого текста. Эта уязвимость в случае
аутентификации с совместно используемым ключом обусловлена математическими
методами, лежащими в основе шифрования. Ранее в этой главе говорилось о том,
что процесс кодирования состоит в перемешивании открытого текста с ключевым
потоком и получении в результате зашифрованного текста. Процесс перемешивания
представляет собой выполнение двоичной математической операции, которая
называется "исключающее ИЛИ" (XOR). Если открытый текст перемешать с соответствующим
зашифрованным текстом, в результате выполнения этой операции будет получена
следующая пара: ключевой поток, используемый для WEP-ключа, и вектор инициализации
(рис. 11).
Злоумышленник
может захватить как открытый, так и зашифрованный текст ответа. Выполнив над
этими значениями операцию "исключающее ИЛИ", он может получить
действующий ключевой поток. Затем злоумышленник может использовать этот
ключевой поток для расшифровки фреймов, имеющих такой же размер, как и ключевой
поток, поскольку вектор инициализации, используемый для получения ключевого потока,
такой же, как и у расшифрованного фрейма. На рис. 12 показано, как атакующий
сеть злоумышленник может проследить процесс аутентификации с совместно
используемым ключом и заполучить ключевой поток.
|
Рис. 11.
Извлечение ключевого потока
|
|
Рис. 12. Уязвимость
механизма аутентификации с совместно используемым ключом
|
МАС-адреса
пересылаются с помощью незашифрованных фреймов стандарта 802.11, как и
оговорено в спецификации этого стандарта. В результате беспроводные LAN. в которых применяется аутентификация с использованием
МАС-адресов, уязвимы для атак, в ходе которых злоумышленник
"подкапывается" под аутентификацию с использованием МАС-адресов путем
имитации "законного" МАС-адреса.
Имитация МАС-адреса
возможна для сетевых карт стандарта 802.11, которые позволяют заменять
универсально-назначаемый адрес (universally administered address, UAA)
локально-назначаемым (locally administered address, LAA). Универсальный
адрес — это МАС-адрес, жестко закодированный для сетевой карты производителем.
Атакующий может использовать анализатор протокола для определения разрешенного
в BSS МАС-адреса и сетевую карту,
допускающую локальное назначение адреса, для имитации разрешенного МАС-адреса.
Наиболее серьезные
и непреодолимые проблемы защиты сетей стандарта 802.11 были выявлены криптоаналитиками
Флурером (Fluhrer), Мантином (Mantin) и Шамиром (Shamir). В своей статье они показали, что WEP-ключ может
быть получен путем пассивного накопления отдельных фреймов, распространяющихся
в беспроводной LAN.
Уязвимость
обусловлена как раз тем, как механизм WEP применяет алгоритм составления ключа (key scheduling algorithm, KSA) на основе
поточного шифра RC4. Часть векторов инициализации (их называют слабые IV — weak IV) могут раскрыть
биты ключа в результате проведения статистического анализа. Исследователи компании
AT&T и университета Rice воспользовались этой уязвимостью и выяснили, что
можно заполучить WEP-ключи длиной 40 или 104 бит после обработки 4 миллионов
фреймов. Для первых беспроводных LAN стандарта 802.11b это означает, что они должны передавать фреймы
примерно один час, после чего можно вывести 104-разрядный WEP-ключ. Подобная
уязвимость делает WEP неэффективным механизмом обеспечения защиты информации.
Атака считается
пассивной, если атакующий просто прослушивает BSS и накапливает переданные фреймы. В отличие от
уязвимости аутентификации с совместно используемым ключом, атакующий, как показали
Флурер, Мантин и Шамир, может заполучить действующий WEP-ключ, а не
только ключевой поток. Эта информация позволит атакующему получить доступ к BSS в качестве
аутентифицированного устройства без ведома администратора сети.
Если атаки такого
типа окажется недостаточно, можно, как показывает теория, провести на механизм WEP и другую
(правда, на практике атаки такого рода не проводились). Эта логически
возможная атака может быть основана на методах, применяемых для преодоления
защиты, обеспечиваемой механизмом аутентификации с совместно используемым
ключом: для получения ключевого потока используются открытый текст и
соответствующий ему зашифрованный текст.
Как уже
говорилось, выведенный ключевой поток можно использовать для дешифровки
фреймов для пары "вектор инициализации —WEP-ключ" и для определенной длины. Умозрительно
можно предположить, что атакующий будет прослушивать сеть с целью накопления
как можно большего числа таких ключевых потоков, чтобы создать базу данных ключ
поток, взломать сеть и получить возможность расшифровывать фреймы. В
беспроводной LAN, в которой не используется аутентификация с совместно
используемым ключом, атака с применением побитовой обработки фрейма позволяет
злоумышленнику вывести большое количество ключевых потоков за короткое время.
Атаки с
использованием побитовой обработки (или "жонглирования битами", bit flipping) основаны
на уязвимости контрольного признака целостности (ICV). Данный механизм
базируется на полиномиальной функции CRC-32. Но эта функция неэффективна как средство
контроля целостности сообщения. Математические свойства функции CRC-32 позволяют
подделать фрейм и модифицировать значение ICV, даже если исходное содержимое фрейма неизвестно.
Хотя размер
полезных данных может быть разным для различных фреймов, многие элементы
фреймов данных стандарта 802.11 остаются одними и теми же и на одних и тех же
позициях. Атакующий может использовать этот факт и подделать часть фрейма с
полезной информацией, чтобы модифицировать пакет более высокого уровня. Сценарий
проведения атаки с использованием побитовой обработки может быть следующим
(рис. 13).
1.
Атакующий захватывает фрейм
беспроводной LAN.
2.
Атакующий изменяет случайные
биты (flips random bits) полезной
нагрузки фрейма.
3.
Атакующий модифицирует ICV (подробнее
об этом — ниже).
4.
Атакующий передает
модифицированный фрейм.
5.
Приемник (клиент или точка
доступа) получает фрейм и вычисляет ICV по содержимому фрейма.
6.
Приемник сравнивает вычисленный
ICV
со значением, хранящимся в поле ICV фрейма.
7.
Приемник принимает
модифицированный фрейм.
8. Приемник передает модифицированный фрейм на
устройство более высокого уровня (повторитель или хост-компьютер).
9.
Поскольку в пакете уровня 3
биты изменены, контрольная сумма для уровня 3 оказывается неправильной.
10.
Протокол IP приемника
выдаст сообщение об ошибке.
11.
Атакующий получает сведения о
беспроводной LAN, анализируя незашифрованное сообщение об ошибке.
12.
Получая сообщение об ошибке,
атакующий выводит ключевой поток, как в случае атаки с повторением IV.
Основой такой
атаки является несоответствие ICV требуемому значению. Значение ICV находится в зашифрованной
с помощью WEP части фрейма; как атакующий может изменить ее, чтобы согласовать
изменения, вызванные жонглированием битами, с фреймом? На рис. 14
проиллюстрирован процесс "жонглирования битами" и изменения ICV.
1. Пусть фрейм (F1) имеет ICV, значение
которого равно С1.
2. Генерируется новый фрейм (F2) той же длины,
какую имеет набор битов фрейма F1.
Рис. 13. Атака с использованием побитовой обработки
3. С помощью операции
"исключающее ИЛИ" над F1 и F2 создается фрейм F3.
4. Вычисляется ICV для F3 (С2).
5. Посредством операции
"исключающее ИЛИ" над С1 и С2 генерируется ICV СЗ.
Рис. 14.
Модифицирование ICV за счет побитовой обработки
В спецификации
стандарта 802.11 не указан конкретный механизм управления ключами. WEP по определению
поддерживает только статические ключи, заранее предназначенные для совместного
использования. Поскольку в процессе аутентификации по стандарту 802.11
аутентифицируется устройство, а не пользователь этого устройства, утеря или
кража беспроводного адаптера немедленно приводит к возникновению проблемы,
связанной с защитой сети. Для ее решения администратору сети придется долго
вручную изменять ключи всех беспроводных устройств сети, если имеющийся ключ
"скомпрометирован" из-за утери или кражи адаптера.
Такой риск может
оказаться приемлемым для небольших сетей, когда управление пользовательскими устройствами
— несложная задача. Но подобная перспектива неприемлема для крупных сетей,
когда счет беспроводных пользовательских устройств идет на тысячи. Без механизма
распределения или генерации ключей администратору придется дневать и ночевать
там, где развернута беспроводная сеть.
Защищенные LAN стандарта 802.11
Промышленность
преодолела слабые места в механизмах аутентификации и защиты сетей стандарта
802.11. Чтобы предоставить пользователям решения, обеспечивающие защищенность,
масштабируемость и управляемость сетей, IEEE повысил защищенность сетей стандарта 802.11, разработав улучшенный
механизм аутентификации и шифрования. Эти изменения были введены в проект
стандарта 802.11i. На сегодняшний день проект
802.11i не утвержден как стандарт, поэтому Альянс
Wi-Fi (Wi-Fi Alliance)
собрал поднабор компонентов, соответствующих стандарту 802.11i, который получил название "защищенный доступ к Wi-Fi" (Wi-Fi Protected Access, WPA). В
данном разделе подробно описаны стандарт 802.11i
и компоненты WPA.
Многие
ошибочно полагают, что WEP — это единственный компонент, обеспечивающий защиту
беспроводных LAN. На самом деле защита беспроводных сетей имеет
четыре составляющие.
·
Базовая
аутентификация (authentication framework).
Представляет собой механизм, который усиливает действие алгоритма
аутентификации путем организации защищенного обмена сообщениями между
клиентом, точкой доступа и сервером аутентификации.
·
Алгоритм
аутентификации. Представляет
собой алгоритм, посредством которого подтверждаются полномочия пользователя.
·
Алгоритм
защиты данных. Обеспечивает
защиту при передаче через беспроводную среду фреймов данных.
·
Алгоритм
обеспечения целостности данных (data integrity algorithm). Обеспечивает целостность данных при
передаче их через беспроводную среду, позволяя приемнику убедиться в том, что
данные не были подменены.
Основой
аутентификации стандарта 802.11 является служебный фрейм аутентификации
стандарта 802.11. Этот служебный фрейм помогает реализовать алгоритмы открытой
аутентификации и аутентификации с совместно используемым ключом, хотя сам по
себе фрейм не обладает способностью аутентифицировать клиента. Поскольку о
недостатках аутентификации стандарта 802.11 мы уже говорили, попробуем разобраться
в том, что необходимо сделать для того, чтобы обеспечить проведение защищенной
аутентификации в беспроводных LAN.
В стандарте 802.11 не определены
основные компоненты, способные обеспечить эффективную аутентификацию (они
перечислены ниже).
- Централизованная аутентификация,
ориентированная на пользователя.
- Динамично шифруемые ключи.
- Управление зашифрованными ключами.
- Взаимная аутентификация.
Аутентификация,
ориентированная на пользователя, чрезвычайно важна для обеспечения защиты
сети. Аутентификация, ориентированная на устройства, подобная открытой
аутентификации и аутентификации с совместно используемым ключом, не способна
воспрепятствовать неавторизованным пользователям воспользоваться
авторизованным устройством. Из этого следует, что при потере или краже такого
устройства или по окончании работы по найму администратор сети будет вынужден
вручную изменять ключи всех точек доступа и клиентов сети стандарта 802.11. При
централизованном, ориентированном на пользователя управлении через сервер
аутентификации, авторизации и учета (authentication, authorization, and accounting, AAA), такой как. RADIUS, администратор может запретить доступ к сети
отдельным пользователям, а не их устройствам.
Страницы: 1, 2, 3
|