Wi -Fi -beskyttet adgang - Wi-Fi Protected Access

Wi-Fi Protected Access ( WPA ), Wi-Fi Protected Access II ( WPA2 ) og Wi-Fi Protected Access 3 ( WPA3 ) er de tre sikkerheds- og sikkerhedscertificeringsprogrammer, der er udviklet af Wi-Fi Alliance til sikring af trådløse computernetværk. Alliance definerede disse som reaktion på alvorlige svagheder, forskere havde fundet i det tidligere system, Wired Equivalent Privacy (WEP).

WPA (undertiden henvist til TKIP-standarden) blev tilgængelig i 2003. Wi-Fi Alliance havde til hensigt at gøre det som en mellemliggende foranstaltning i forventning om tilgængeligheden af ​​den mere sikre og komplekse WPA2, som blev tilgængelig i 2004 og er en fælles stenografi for hele IEEE 802.11i (eller IEEE 802.11i-2004 ) standard.

I januar 2018 annoncerede Wi-Fi Alliance udgivelsen af ​​WPA3 med flere sikkerhedsforbedringer i forhold til WPA2.

Versioner

WPA

Wi-Fi Alliance havde til hensigt at WPA som en mellemliggende foranstaltning skulle træde i stedet for WEP, i afventning af tilgængeligheden af ​​den fulde IEEE 802.11i- standard. WPA kunne implementeres gennem firmwareopgraderingertrådløse netværksinterfacekort designet til WEP, der begyndte at blive sendt helt tilbage til 1999. Men da de nødvendige ændringer i de trådløse adgangspunkter (AP'er) var mere omfattende end dem, der var nødvendige på netværkskortene, var de fleste AP'er før 2003 kunne ikke opgraderes til at understøtte WPA.

WPA -protokollen implementerer Temporal Key Integrity Protocol (TKIP). WEP brugte en 64-bit eller 128-bit krypteringsnøgle, der skal indtastes manuelt på trådløse adgangspunkter og enheder og ikke ændres. TKIP anvender en per-pakke-nøgle, hvilket betyder, at den dynamisk genererer en ny 128-bit nøgle til hver pakke og dermed forhindrer de typer angreb, der kompromitterede WEP.

WPA indeholder også en Message Integrity Check , som er designet til at forhindre en hacker i at ændre og videresende datapakker. Dette erstatter den cykliske redundanscheck (CRC), der blev brugt af WEP -standarden. CRC's største fejl var, at den ikke gav en tilstrækkelig stærk dataintegritetsgaranti for de pakker, den håndterede. Godt testede meddelelsesgodkendelseskoder eksisterede for at løse disse problemer, men de krævede for meget beregning til at blive brugt på gamle netværkskort. WPA bruger en algoritme til kontrol af meddelelsesintegritet kaldet TKIP til at verificere pakkernes integritet. TKIP er meget stærkere end en CRC, men ikke så stærk som algoritmen, der bruges i WPA2. Forskere har siden opdaget en fejl i WPA, der var afhængig af ældre svagheder i WEP og begrænsningerne ved beskedintegritetskoden hash-funktion, ved navn Michael , for at hente nøglestrømmen fra korte pakker til brug for genindsprøjtning og spoofing .

WPA2

Hovedartikel: IEEE 802.11i-2004

Ratificeret i 2004 erstattede WPA2 WPA. WPA2, som kræver test og certificering af Wi-Fi Alliance, implementerer de obligatoriske elementer i IEEE 802.11i. Det inkluderer især obligatorisk support til CCMP , en AES -baseret krypteringstilstand. Certificeringen begyndte i september 2004. Fra den 13. marts 2006 til den 30. juni 2020 var WPA2-certificering obligatorisk for alle nye enheder til at bære Wi-Fi-varemærket.

WPA3

I januar 2018 annoncerede Wi-Fi Alliance WPA3 som en erstatning for WPA2. Certificeringen begyndte i juni 2018.

Den nye standard bruger en tilsvarende 192-bit krypteringsstyrke i WPA3-Enterprise-tilstand ( AES-256 i GCM-tilstand med SHA-384 som HMAC ), og kræver stadig brug af CCMP-128 ( AES-128 i CCM-tilstand ) som minimum krypteringsalgoritme i WPA3-personlig tilstand.

WPA3-standarden erstatter også den foruddelte nøgleudveksling (PSK) med Simultaneous Authentication of Equals (SAE) -udveksling, en metode, der oprindeligt blev introduceret med IEEE 802.11s , hvilket resulterede i en mere sikker indledende nøgleudveksling i personlig tilstand og fremadrettet hemmeligholdelse . Wi-Fi Alliance hævder også, at WPA3 vil afbøde sikkerhedsproblemer som følge af svage adgangskoder og forenkle processen med at konfigurere enheder uden skærmgrænseflade.

Beskyttelse af ledelsesrammer som specificeret i IEEE 802.11w -ændringen håndhæves også af WPA3 -specifikationerne.

Hardware support

WPA er designet specielt til at arbejde med trådløs hardware produceret før indførelsen af ​​WPA -protokollen, som giver utilstrækkelig sikkerhed gennem WEP . Nogle af disse enheder understøtter kun WPA efter anvendelse af firmwareopgraderinger , som ikke er tilgængelige for nogle ældre enheder.

Wi-Fi-enheder, der er certificeret siden 2006, understøtter både WPA- og WPA2-sikkerhedsprotokoller. WPA3 er påkrævet siden 1. juli 2020. De nyere versioner fungerer muligvis ikke med nogle ældre netværkskort.

WPA -terminologi

Der kan skelnes mellem forskellige WPA-versioner og beskyttelsesmekanismer baseret på mål slutbrugeren (i henhold til metoden til godkendelse af nøgledistribution) og den anvendte krypteringsprotokol.

Målrettede brugere (godkendelse af godkendelsesnøgle)

WPA-Personligt
Også omtalt som WPA-PSK ( præ-delt nøgle ) -tilstand, dette er designet til hjemmenetværk og små kontornetværk og kræver ikke en godkendelsesserver. Hver trådløs netværksenhed krypterer netværkstrafikken ved at udlede dens 128-bit krypteringsnøgle fra en 256-bit delt nøgle . Denne nøgle kan enten indtastes som en streng på 64 hexadecimale cifre eller som en adgangssætning på 8 til 63 udskrivbare ASCII -tegn . Hvis der bruges ASCII -tegn, beregnes 256 -bit nøglen ved at anvende PBKDF2 -nøglederiveringsfunktionen til adgangssætningen ved hjælp af SSID som salt og 4096 iterationer af HMAC - SHA1 . WPA-Personal-tilstand er tilgængelig på alle tre WPA-versioner.
WPA-Enterprise
Også omtalt som WPA- 802.1X- tilstand , og nogle gange bare WPA (i modsætning til WPA-PSK), er dette designet til virksomhedsnetværk og kræver en RADIUS- godkendelsesserver. Dette kræver en mere kompliceret opsætning, men giver ekstra sikkerhed (f.eks. Beskyttelse mod ordbogsangreb på korte adgangskoder). Forskellige former for Extensible Authentication Protocol (EAP) bruges til godkendelse. WPA-Enterprise-tilstand er tilgængelig på alle tre WPA-versioner.
Wi-Fi Protected Setup (WPS)
Dette er en alternativ godkendelsesdistributionsmetode, der er beregnet til at forenkle og styrke processen, men som, som bredt implementeret, skaber et stort sikkerhedshul via WPS PIN -gendannelse .

Krypteringsprotokol

TKIP (Temporal Key Integrity Protocol)
Den RC4 cipher bruges med en 128-bit per-packet nøgle, hvilket betyder, at det dynamisk genererer en ny nøgle for hver pakke. Dette bruges af WPA.
CCMP ( CTR-tilstand med CBC-MAC- protokol)
Den protokol, der bruges af WPA2, baseret på Advanced Encryption Standard (AES) -koderen sammen med stærk beskedautenticitet og integritetskontrol, er betydeligt stærkere i beskyttelse af både privatliv og integritet end RC4 -baseret TKIP, der bruges af WPA. Blandt uformelle navne er "AES" og "AES-CCMP". Ifølge 802.11n -specifikationen skal denne krypteringsprotokol bruges til at opnå hurtige 802.11n -bithastighedsordninger , selvom ikke alle implementeringer håndhæver dette. Ellers vil datahastigheden ikke overstige 54 Mbit/s.

EAP -udvidelser under WPA og WPA2 Enterprise

Oprindeligt var kun EAP-TLS ( Extensible Authentication Protocol - Transport Layer Security ) certificeret af Wi-Fi-alliancen. I april 2010 annoncerede Wi-Fi Alliance inkluderingen af ​​yderligere EAP-typer til sine WPA- og WPA2-Enterprise-certificeringsprogrammer. Dette var for at sikre, at WPA-Enterprise-certificerede produkter kan arbejde sammen med hinanden.

Fra 2010 omfatter certificeringsprogrammet følgende EAP -typer:

802.1X -klienter og servere udviklet af bestemte virksomheder understøtter muligvis andre EAP -typer. Denne certificering er et forsøg på, at populære EAP -typer interopererer; deres undladelse af at gøre det fra 2013 er et af de store spørgsmål, der forhindrer udrulning af 802.1X på heterogene netværk.

Kommercielle 802.1X -servere inkluderer Microsoft Internet Authentication Service og Juniper Networks Steelbelted RADIUS samt Aradial Radius -server. FreeRADIUS er en open source 802.1X -server.

Sikkerhedsspørgsmål

Svagt kodeord

Foruddelt WPA og WPA2-nøgle er fortsat sårbare over for angreb på adgangskoder , hvis brugere er afhængige af en svag adgangskode eller en adgangssætning . WPA -passfrase -hash er seedet fra SSID -navnet og dets længde; regnbue-tabeller findes for de 1.000 netværks-SSID'er og et væld af almindelige adgangskoder, der kun kræver et hurtigt opslag for at fremskynde krakning af WPA-PSK.

Brutisk tvang af enkle adgangskoder kan forsøges ved hjælp af Aircrack Suite fra det fire-vejs godkendelseshåndtryk, der udveksles under tilknytning eller periodisk re-godkendelse.

WPA3 erstatter kryptografiske protokoller, der er modtagelige for off-line analyse, med protokoller, der kræver interaktion med infrastrukturen for hver gættet adgangskode, og angiveligt placerer tidsmæssige grænser for antallet af gæt. Designfejl i WPA3 gør imidlertid, at angribere sandsynligvis kan starte brute-force-angreb (se Dragonblood-angreb ).

Manglende fremadrettet hemmeligholdelse

WPA og WPA2 giver ikke hemmeligholdelse fremad , hvilket betyder, at når en ugunstig person opdager den forhåndsdelte nøgle, kan de potentielt dekryptere alle pakker, der er krypteret ved hjælp af den PSK, der sendes i fremtiden og endda fortid, som kunne indsamles passivt og lydløst af angriber. Dette betyder også, at en angriber lydløst kan fange og dekryptere andres pakker, hvis et WPA-beskyttet adgangspunkt leveres gratis på et offentligt sted, fordi dets adgangskode normalt deles med alle på det sted. Med andre ord beskytter WPA kun mod angribere, der ikke har adgang til adgangskoden. På grund af det er det mere sikkert at bruge Transport Layer Security (TLS) eller lignende oveni det til overførsel af følsomme data. Fra og med WPA3 er dette problem imidlertid blevet behandlet.

WPA -pakkeforfalskning og dekryptering

Mathy Vanhoef og Frank Piessens forbedrede betydeligt WPA-TKIP- angrebene fra Erik Tews og Martin Beck. De demonstrerede, hvordan man injicerede et vilkårligt antal pakker, hvor hver pakke indeholdt højst 112 bytes nyttelast. Dette blev demonstreret ved at implementere en portscanner , som kan udføres mod enhver klient ved hjælp af WPA-TKIP . Derudover viste de, hvordan man dekrypterer vilkårlige pakker, der sendes til en klient. De nævnte, at dette kan bruges til at kapre en TCP -forbindelse , så en hacker kan injicere ondsindet JavaScript, når offeret besøger et websted. I modsætning hertil kunne Beck-Tews-angrebet kun dekryptere korte pakker med hovedsageligt kendt indhold, såsom ARP- meddelelser, og kun tillade injektion af 3 til 7 pakker på højst 28 bytes. Beck-Tews-angrebet kræver også servicekvalitet (som defineret i 802.11e ) for at blive aktiveret, mens Vanhoef-Piessens-angrebet ikke gør det. Intet angreb fører til gendannelse af den delte sessionsnøgle mellem klienten og adgangspunktet . Forfatterne siger, at brug af et kort genindkoblingsinterval kan forhindre nogle angreb, men ikke alle, og anbefaler kraftigt at skifte fra TKIP til AES-baseret CCMP .

Halvorsen og andre viser, hvordan man ændrer Beck-Tews-angrebet for at tillade injektion af 3 til 7 pakker med en størrelse på højst 596 bytes. Bagsiden er, at deres angreb kræver betydeligt mere tid til at udføre: cirka 18 minutter og 25 sekunder. I andre arbejder viste Vanhoef og Piessens, at når WPA bruges til at kryptere broadcast -pakker, kan deres originale angreb også udføres. Dette er en vigtig udvidelse, da væsentligt flere netværk bruger WPA til at beskytte broadcast -pakker end til at beskytte unicast -pakker . Henførelsestiden for dette angreb er i gennemsnit omkring 7 minutter sammenlignet med de 14 minutter af det originale Vanhoef-Piessens og Beck-Tews-angreb.

Sårbarhederne ved TKIP er betydelige, fordi WPA-TKIP tidligere var blevet afholdt for at være en yderst sikker kombination; WPA-TKIP er faktisk stadig en konfigurationsmulighed på en lang række trådløse routingsenheder, der leveres af mange hardwareleverandører. En undersøgelse i 2013 viste, at 71% stadig tillader brug af TKIP, og 19% udelukkende understøtter TKIP.

WPS PIN -gendannelse

En mere alvorlig sikkerhedsfejl blev afsløret i december 2011 af Stefan Viehböck, der påvirker trådløse routere med funktionen Wi-Fi Protected Setup (WPS), uanset hvilken krypteringsmetode de bruger. De nyeste modeller har denne funktion og aktiverer den som standard. Mange producenter af Wi-Fi-enhedsproducenter havde taget skridt til at eliminere potentialet i svage valg af adgangssætninger ved at fremme alternative metoder til automatisk at generere og distribuere stærke nøgler, når brugere tilføjer en ny trådløs adapter eller et nyt apparat til et netværk. Disse metoder omfatter tryk på knapper på enhederne eller indtastning af en 8-cifret PIN - kode .

Wi-Fi Alliance standardiserede disse metoder som Wi-Fi Protected Setup; PIN -funktionen, som blev implementeret bredt, introducerede imidlertid en større ny sikkerhedsfejl. Fejlen tillader en fjernangriber at gendanne WPS -pinkoden og dermed routerens WPA/WPA2 -adgangskode på få timer. Brugere er blevet opfordret til at deaktivere WPS -funktionen, selvom det muligvis ikke er muligt på nogle routermodeller. PIN-koden er også skrevet på en etiket på de fleste Wi-Fi-routere med WPS og kan ikke ændres, hvis den kompromitteres.

WPA3 introducerer et nyt alternativ til konfiguration af enheder, der mangler tilstrækkelige brugergrænsefladefunktioner ved at lade nærliggende enheder tjene som et passende UI til netværksleveringsformål, hvilket reducerer behovet for WPS.

MS-CHAPv2 og mangel på AAA-server-CN-validering

Der er fundet flere svagheder i MS-CHAPv 2, hvoraf nogle reducerer kompleksiteten af ​​brutale kraftangreb alvorligt, hvilket gør dem mulige med moderne hardware. I 2012 blev kompleksiteten ved at bryde MS-CHAPv2 reduceret til at bryde en enkelt DES-nøgle, arbejde af Moxie Marlinspike og Marsh Ray. Moxie anbefalede: "Virksomheder, der er afhængige af MS-CHAPv2's gensidige autentificeringsegenskaber for forbindelse til deres WPA2 Radius-servere, bør straks begynde at migrere til noget andet."

Tunneled EAP -metoder ved hjælp af TTLS eller PEAP, som krypterer MSCHAPv2 -udvekslingen, er bredt udbredt for at beskytte mod udnyttelse af denne sårbarhed. Imidlertid var fremherskende WPA2-klientimplementeringer i begyndelsen af ​​2000'erne tilbøjelige til fejlkonfiguration af slutbrugere, eller i nogle tilfælde (f.eks. Android ) manglede enhver brugervenlig måde til korrekt konfiguration af validering af AAA-servercertifikat-CN'er. Dette udvidede relevansen af ​​den oprindelige svaghed i MSCHAPv2 inden for MiTM -angrebsscenarier . Under strengere WPA2 -overensstemmelsestest, der annonceres sammen med WPA3, skal certificeret klientsoftware være i overensstemmelse med visse adfærd omkring AAA -certifikatvalidering.

Hul196

Hole196 er en sårbarhed i WPA2 -protokollen, der misbruger den delte Group Temporal Key (GTK). Det kan bruges til at udføre mand-i-midten og denial-of-service angreb. Det forudsætter imidlertid, at angriberen allerede er godkendt mod Access Point og dermed i besiddelse af GTK.

Forudsigelig gruppe midlertidig nøgle (GTK)

I 2016 blev det vist, at WPA- og WPA2 -standarderne indeholder en usikker tilfældig talgenerator (RNG). Forskere viste, at hvis leverandører implementerer det foreslåede RNG, er en angriber i stand til at forudsige den gruppenøgle (GTK), der formodes at blive tilfældigt genereret af adgangspunktet (AP). Derudover viste de, at besiddelse af GTK gør det muligt for angriberen at injicere al trafik i netværket og tillod angriberen at dekryptere unicast -internettrafik, der blev sendt over det trådløse netværk. De demonstrerede deres angreb mod en Asus RT-AC51U-router, der bruger MediaTek -træerne uden for træet, som selv genererer GTK, og viste, at GTK'en kan gendannes inden for to minutter eller mindre. På samme måde demonstrerede de nøglerne, der genereres af Broadcom -adgangsdæmoner, der kører på VxWorks 5 og senere, kan gendannes på fire minutter eller mindre, hvilket f.eks. Påvirker visse versioner af Linksys WRT54G og visse Apple AirPort Extreme -modeller. Leverandører kan forsvare sig mod dette angreb ved at bruge en sikker RNG. Ved at gøre dette, hostapd kører på Linux kerner er ikke sårbare over for dette angreb, og dermed routere kører typiske OpenWrt eller Lede installationer ikke udviser dette spørgsmål.

KRACK angreb

Hovedartikel: KRACK

I oktober 2017 blev detaljer om KRACK -angrebet (Key Reinstallation Attack) på WPA2 offentliggjort. KRACK -angrebet menes at påvirke alle varianter af WPA og WPA2; sikkerhedsimplikationerne varierer imidlertid mellem implementeringerne, afhængigt af hvordan de enkelte udviklere tolker en dårligt specificeret del af standarden. Softwarepatches kan løse sårbarheden, men er ikke tilgængelige for alle enheder.

Dragonblood angreb

I april 2019 blev der fundet alvorlige designfejl i WPA3, som gør det muligt for angriberne at udføre nedgraderingsangreb og sidekanalangreb, hvilket muliggør brutal tvang af adgangssætningen samt iværksættelse af denial-of-service-angreb på Wi-Fi-basestationer.

Referencer

eksterne links