În acest ghid, vom examina mai atent esența WPA, potențialul de răspândire a tehnologiei în produse, performanța și eficacitatea protecției. Să începem.
Totul depinde de elementele din ecuație
WPA este un subset de tehnologii de la standardul viitoare 802.11i. pe care Comitetul Alianței Wi-Fi le numește WPA2. Comitetul Alianței Wi-Fi dedicat WPA o întreagă secțiune a site-ului pentru a promova noul standard. Deci, dacă aveți nevoie de informații detaliate din prima mana, atunci știți unde să găsiți.
Există, de asemenea, o simplă "ecuație" pentru calculul WPA:
WPA = 802.1X + EAP + TKIP + MIC
Adică WPA este suma mai multor elemente, iar mai jos vom analiza fiecare dintre ele.
Standardul WPA utilizează 802.1x și Protocolul de autentificare extensibilă (EAP) ca bază pentru mecanismul de autentificare. Autentificarea necesită ca utilizatorul să producă certificate / acreditări privind ceea ce i se permite accesul la rețea. Pentru a face acest lucru, drepturile utilizatorilor sunt verificate în baza bazei de date a utilizatorilor înregistrați. Pentru a lucra în rețea, utilizatorul trebuie să treacă în mod necesar prin mecanismul de autentificare.
Acest mod se numește Cheia Pre-partajată (WPA-PSK) - atunci când o utilizați, trebuie să introduceți o parolă pentru fiecare nod de rețea wireless (puncte de acces, routere wireless, adaptoare clienți, poduri). Atâta timp cât se potrivesc parolele, clientul va avea acces la rețea. În Fig. 1 arată întregul proces.
În ciuda faptului că predecesorul WPA, protocolul WEP, nu avea deloc mecanisme de autentificare, lipsa de fiabilitate a WEP constă în slăbiciunea criptografică a algoritmului de criptare. După cum este indicat în acest document frumos scris de la RSA Security. Problema cheie a WEP este în chei prea similare pentru diferite pachete de date.
Părți ale TKIP. Ecuațiile MIC și 802.1X WPA joacă un rol în consolidarea cripării acestor rețele cu WPA. Următorul fragment din documentația Wi-Fi Alliance WPA oferă o imagine de ansamblu asupra modului în care acestea lucrează împreună:
TKIP mărește dimensiunea cheii de la 40 la 128 de biți și înlocuiește o cheie WEP statică cu chei care sunt create automat și distribuite de serverul de autentificare. TKIP utilizează o ierarhie cheie și o metodă de gestionare a cheilor care elimină predictibilitatea utilizată de crackere pentru a dezactiva protecția cheii WEP.
Pentru a face acest lucru, TKIP îmbunătățește cadrul 802.1X / EAP. Serverul de autentificare, după ce a acceptat o acreditare, utilizează 802.1X pentru a crea o cheie primară unică (în ambele sensuri) pentru această sesiune. TKIP transmite această cheie pentru client și punctul de acces, și apoi stabilește un sistem cheie ierarhie și de management, folosind o cheie cu două sensuri pentru a genera dinamic chei de criptare a datelor care sunt folosite pentru a cripta fiecare pachet de date care sunt transmise prin rețeaua fără fir în timpul unei sesiuni de utilizator. Ierarhia cheie TKIP înlocuiește o cheie WEP statică cu aproximativ 500 de miliarde de chei posibile care vor fi folosite pentru a cripta acest pachet de date.
Verificarea integrității mesajelor (MIC) este concepută pentru a împiedica captarea de pachete de date, modificarea conținutului acestora și respingerea acestora. MIC este construit pe baza unei funcții matematice puternice, care este utilizată de expeditor și receptor și apoi se compară rezultatul. Dacă nu se potrivește, datele sunt considerate false și pachetul este eliminat.
Cu creșterea semnificativă a dimensiunii cheilor și a numărului de chei utilizate și crearea unui mecanism de verificare a integrității, TKIP multiplică complexitatea decodificării datelor într-o rețea fără fir. TKIP mareste puterea si complexitatea criptarii wireless, facand ca invazia retelei wireless sa fie mult mai complexa, daca nu chiar imposibila.
Este important să rețineți că mecanismele de criptare utilizate pentru WPA și WPA-PSK sunt aceleași. Singura diferență dintre WPA-PSK este că autentificarea se face printr-o parolă, nu prin acreditările utilizatorului. Unii vor observa, probabil, că o abordare bazată pe parolă face ca WPA-PSK să fie vulnerabil la atac prin selecție și, în anumite moduri, vor avea dreptate. Dar am dori să subliniem faptul că WPA-PSK elimină confuzia cu cheile WEP, înlocuindu-le cu un sistem complet și precis bazat pe parola alfanumerică. Și sigur că sistemul similar va merge dincolo de WEP, pentru că este atât de simplu încât oamenii o vor folosi de fapt.
După ce ați învățat teoria despre munca WPA, să mergem mai departe la practică.
Modernizare: 11g înaintea tuturor
Deci, sunteți atras de WPA și doriți să acceptați acest standard în rețeaua wireless cât mai repede posibil! De unde să încep?
Fie că sunteți un utilizator "corporativ" sau de origine, trebuie să parcurgeți trei pași:- Aflați dacă punctul de acces sau ruterul wireless acceptă WPA sau dacă au o actualizare de firmware corespunzătoare.
Etapele 1 și 2 par a fi simple, dar pentru implementarea lor, produsele trebuie să treacă prin întregul lanț evolutiv. Deoarece majoritatea producătorilor de echipamente originale pentru OEM și ODM se află în Taiwan, aceste companii trebuie să obțină și să implementeze inițial codul de la producătorii de cipuri fără fir și apoi să elibereze driverele și firmware-ul pentru produsele lor.
Sarcina nu este deloc clară, având în vedere că astăzi, potrivit Wi-Fi Alliance, există peste 700 de produse certificate, fără a menționa sute de soluții necertificate. Actualizările trebuie trimise mai întâi companiilor producătoare de echipamente de rețea care vor încerca și (sperăm), cu succes de lucru va posta un driver pentru descărcare.
Tabelul 1 prezintă actualizările WPA disponibile pentru produsele Broadcom la momentul lansării articolului: