Протокол Wi-Fi Protected Access (WPA)

Протокол Wi-Fi Protected Access (WPA) является стандартом безопасности, разработанным совместно организациями Wi-Fi Alliance и институтом Electrical and Electronics Engineers (IEEE). WPA является частью будущего стандарта безопасности IEEE 802.11i, который разрабатывается в настоящее время. (Стандарт IEEE 802.11i имеет также название "WPA2" и будет выпущен в 2004 году.)

В настоящее время режим WPA доступен только для точек доступа 802.11b/g. Для точек доступа 802.11a и 802.11b режим WPA недоступен.

Протокол WPA является заменой для метода шифрования Wired Equivalent Privacy (WEP), определенного первоначальным стандартом 802.11. WEP имеет несколько уязвимых мест, которые широко освещались в печати. WPA решает эти проблемы и обеспечивает более мощную систему безопасности для беспроводных сетей.

Технология WPA предоставляет следующие новые меры безопасности, недоступные в WEP:

· Улучшенное шифрование пакетов с использованием протокола обеспечения целостности временных ключей TKIP и функции проверки целостности сообщений MIC (Michael Message Integrity Check).

· Динамические ключи шифрования для каждого пользователя в каждом сеансе.

o При однонаправленном обмене пакетами с точкой доступа все клиенты используют различные ключи для шифрования и дешифрования.

o Для каждого сеанса используются различные ключи клиента, которые изменяются при каждом ассоциировании клиента с точкой доступа.

o Точка доступа использует один глобальный ключ для шифрования широковещательных пакетов, посылаемых всем клиентам одновременно.

o Ключи шифрования периодически меняются в соответствии с параметром Re-keying Interval.

o WPA использует 128-битные ключи шифрования.

· Динамическое распределение ключей

o Точка доступа формирует и обслуживает ключи для клиентов.

o Точка доступа безопасно доставляет соответствующие ключи клиентам.

· Совместная аутентификация клиент/сервер

o 802.1x.

o Предварительный ключ (для сетей, в которых не используется решение 802.1x).

Протокол шифрования WPA: Более стойкий протокол шифрования, чем WEP , хотя используется тот же алгоритм RC4. Более высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.

Технология WPA, призванная временно (в ожидании перехода к 802.11i) закрыть бреши WEP, состоит из нескольких компонентов:

· протокол 802.1x - универсальный протокол для аутентификации, авторизации и учета (AAA)- это протокол аутентификации пользователей. Для своей работы данный протокол требует наличия выделенного RADIUS-сервера, которого в домашней сети, естественно, нет. Поэтому воспользоваться данным протоколом в домашних условиях не удастся.

· протокол TKIP - (Temporal Key Integrity Protocol) - протокол динамических ключей сети, которые меняются довольно часто. При этом каждому устройству также присваивается ключ, который тоже меняется.( Ключи шифрования имеют длину 128 бит и генерируются по сложному алгоритму, а общее количество возможных вариантов ключей достигает сотни миллиардов, и меняются они очень часто.)

· MIC - протокол проверки целостности пакетов. Защищает от перехвата пакетов и их перенаправления. (Протокол позволяет отбрасывать пакеты, которые были «вставлены» в канал третьим лицом.)

Стандарт безопасности 802.1X, в который входят несколько протоколов:

 EAP (Extensible Authentication Protocol). Протокол расширенной аутентификации. Используется совместно с RADIUS - сервером в крупных сетях.

 TLS (Transport Layer Security). Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.

 RADIUS (Remote Authentication Dial-In User Server). Сервер аутентификации пользователей по логину и паролю.

За шифрование данных в WPA отвечает протокол TKIP, который, хотя и использует тот же алгоритм шифрования - RC4 - что и в WEP, но в отличие от последнего, использует динамические ключи (то есть ключи часто меняются). Он применяет более длинный вектор инициализации и использует криптографическую контрольную сумму (MIC) для подтверждения целостности пакетов (последняя является функцией от адреса источника и назначения, а также поля данных).

RADIUS-протокол предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS-сервер. В этом случае беспроводные точки доступа работают в enterprise-режиме.

Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа - так называемый режим WPA-PSK (pre-shared key, общий ключ).

VPN(Virtual Private Network) – Виртуальная частная сеть. Этот протокол изначально был создан для безопасного подключения клиентов к сети через общедоступные Интернет-каналы. Принцип работы VPN – создание так называемы безопасных «туннелей» от пользователя до узла доступа или сервера. Хотя VPN изначально был создан не для Wi-Fi, его можно использовать в любом типе сетей. Для шифрования трафика в VPN чаще всего используется протокол IPSec. Случаев взлома VPN на данный момент неизвестно. Мы рекомендуем использовать эту технологию для корпоративных сетей.

Помимо упомянутых протоколов, многие производители беспроводного оборудования встраивают в свои решения поддержку стандарта AES (Advanced Encryption Standard), который приходит на замену TKIP.

Точка доступа поддерживает два метода аутентификации WPA: