WPA

vezeték nélküli rendszerek egyik protokollja
Ez a közzétett változat, ellenőrizve: 2022. március 23.

A Wi-Fi Protected Access (WPA és WPA2) a vezeték nélküli rendszereknek egy a WEP-nél biztonságosabb protokollja. A létrehozása azért volt indokolt, mert a kutatók több fontos hiányosságot és hibát találtak az előző rendszerben (Wired Equivalent Privacy – vezetékessel egyenértékű biztonságú hálózat – WEP). A WPA tartalmazza az IEEE 802.11i szabvány főbb szabályait, és egy átmeneti megoldásnak szánták, amíg a 802.11i szabványt véglegesítik. A WPA úgy lett kialakítva, hogy együttműködjön az összes vezeték nélküli hálózati illesztővel, de az első generációs vezeték nélküli elérési pontokkal nem minden esetben működik. A WPA2 a teljes szabványt tartalmazza, de emiatt nem működik néhány régebbi hálózat kártyával sem. Mindkét megoldás megfelelő biztonságot nyújt, két jelentős problémával:

  • Vagy a WPA-nak, vagy WPA2-nek engedélyezettnek kell lennie a WEP-en kívül. De a telepítések és beállítások során inkább a WEP van bekapcsolva alapértelmezettként, mint az elsődleges biztonsági protokoll.
  • A „Personal” (WPA-PSK) módban, amit valószínűleg a legtöbben választanak otthon és kishivatali környezetben, a megadandó jelszónak hosszabbnak kell lennie, mint a jellegzetes 6-8 karakter, amit az átlagfelhasználók általában még elfogadhatónak tartanak.

Történet

szerkesztés

A WPA-t a Wi-fi Szövetség, egy ipari-kereskedelmi csoport hozta létre, amely a „Wi-Fi” védjegy tulajdonosa és az ilyen védjegyet viselő eszközök hitelesítője.

A WPA az IEEE 802.1x-hitelesített kiszolgálókkal való együttműködésre lett kialakítva, amely különböző kulcsot rendel mindegyik felhasználóhoz; annak ellenére, hogy használható a kevésbé biztonságos "osztott kulcs” – pre-shared key (PSK) – módban is, ahol minden felhasználónak ugyanaz a kulcsa a hálózati hozzáféréshez. A WPA tervezésének alapja az IEEE 802.11i szabvány 3. számú vázlata volt.

A Wi-fi Szövetség által létrehozott WPA tette lehetővé a biztonságos vezeték nélküli hálózati eszközök fejlesztésének megkezdését, amíg az IEEE 802.11i-csoport befejezi a szabvány elkészítését. A Wi-fi Szövetség ekkora már előkészítette a WPA2 szabványt is, ami már az IEEE 802.11i szabvány végleges vázlatára épült, ezért az alkalmazott jelölések a keret mezőkben (Információ Alapfogalmak vagy IE-k) szándékosan különböznek a 802.11i szabványban alkalmazottaktól, hogy elkerüljék az inkompatibilitásokat az egyesített WPA/WPA2 elkészítésekor.

Az adat titkosítás az RC4 adatfolyam-titkosítóval történik, 128-bit kulcs használatával és egy 48 bites induló vektorral (initialization vector – IV). A legfontosabb fejlesztés a WPA belül a WEP-hez képest a TKIP bevezetése, amely dinamikusan változtatja az alkalmazott kulcsokat. Ezzel hidalva át a jól ismert kulcs-megszerzéses támadás-t – key recovery attack – a WEP-ben.

A hitelesítésben és titkosításban történt fejlesztéseknek köszönhetően a WPA-ban nagymértékben javult a letöltött adatcsomagok integritása. A WEP-ben lévő kevéssé biztonságos ellenőrzőszám (cyclic redundancy check – CRC) lehetővé teszi a letöltött csomagok módosítását és a CRC-összeg átírását a WEP kulcs ismerete nélkül is. A jóval biztonságosabb üzenet hitelesítési kód (Message Authentication Code, ismertebb nevén MAC, de itt MIC "Üzenet Sértetlenség Kód") a WPA-ban, egy "Michael-algoritmus"-nak nevezett eljárás, amely tartalmaz egy keret számlálót, mellyel megelőzi a „replay attacks” (visszajátszásos támadás) végrehajtását.

A kulcsok és az IV-k méretének növekedésével, a jól ismert kulcsokkal küldött csomagok számának csökkentésével, és a biztonságosabb üzenet ellenőrzési rendszer hozzáadásával, a WPA-val védett vezeték nélküli hálózatokba sokkal nehezebb a behatolás. A Michael-algoritmus volt a legerősebb védelem amit a WPA tervezői be tudtak építeni a szabványba úgy, hogy az működjön a régebbi hálózat illesztőkkel is. Ám a Michael-algoritmus viszonylagos gyengesége miatt a WPA tartalmaz egy különleges számláló-mechanizmust (CCMP – (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), amely érzékeli a TKIP-törési kísérleteket, és ilyen esetben ideiglenesen blokkolja a kommunikációt a támadó gépével.

WPA2-be tehát beépítették a 802.11i. szabvány főbb jellemzőit, főleg a TKIP-t és a Michael algoritmust, továbbá egy új AES-alapú algoritmust, a CCMP-t, mellyel teljesen biztonságossá tették. Így 2006. március 13-ától kezdődően gyártott minden vezetéknélküli eszköz kötelezően a WPA2 szabvány szerint készült, tehát „Wi-Fi”-jelöléssel ellátott.

Támogatási információk:

  • A Microsoft Windows XP WPA2 támogatása hivatalosan 2005. május 1-jétől kezdve létezik. A meghajtó-programok frissítése szükséges lehet.
  • Az Apple támogatja a WPA2-t az összes AirPort Extreme Macintoshban, az AirPort Extreme Base Station-ökben, és a AirPort Expressz-ekben. A szükséges Firmware-frissítést tartalmazza az AirPort 4.2, 2005. július 14-én kibocsátott változata.

Biztonság osztott kulcs módban

szerkesztés

Az osztott (Pre-shared) kulcs módot (PSK, más néven „Personal” mód) azon otthoni és kisirodai felhasználóknak fejlesztették ki, akik nem tudnak megengedni (ára és bonyolultsága miatt) egy dedikált 802.1x kiszolgálót. Mindegyik felhasználónak kell egy „passphrase” (jelmondat – azaz egy összetett jelszó) a hálózat eléréséhez. A jelszónak 8-63 darab nyomtatható ASCII karakterből vagy 64 darab hexadecimális számjegyből (256 bit) kell állnia. (IEEE Std. 802.11i-2004, Annex H.4.1) Ha csak ASCII karaktereket használunk, egy hash-függvény (amely ehhez az SSID-t is használja) csökkenti az 504 bites hosszúságot (63 karakter * 8 bit/karakter) 256 bites hosszra. A jelszó a felhasználó számítógépén tárolódik, amivel a legtöbb operációs rendszer alatt elkerülhető az ismételt begépelés. A jelszót a Wi-fi elérési pontban is tárolni kell.

Megnövelhető a biztonság egy PBKDF2 kulcsgenerálási függvény használatával. Természetesen a legtöbb felhasználó tipikusan gyenge jelszót ad meg, kitéve a hálózatot a jelszótöréses támadásnak. Ez legjobban úgy kerülhető el, ha a használt jelszó legalább „5-dobásos”, 14 teljesen véletlenszerű karakterből áll WPA és WPA2 alkalmazása mellett.

A maximális WPA-PSK védelemhez (256 bit) olyan kulcs kell, ami 54 véletlenszerű karaktert, vagy 39 véletlenszerű ASCII karaktert tartalmaz.

Néhány lapkagyártó úgy próbálja meg kiküszöbölni a gyenge jelszavak megadását, hogy egy új Wi-fi illesztő vagy hálózati eszköz telepítése során egy program vagy hardver interfész által automatikusan létrehoz egy megfelelő erősségű jelszót. Ez a módszer úgy működik, hogy a felhasználó által lenyomott billentyűhöz (Broadcom SecureEasySetup és Buffalo AirStation One-Touch Secure System) hozzáadódik a program által (például Atheros JumpStart) generált kifejezés. Az Wi-fi Szövetség most dolgozik az eljárás szabványosításán, hogy a védett beállítás (Protected Setup, régebben Easy Config) részévé válhasson.

EAP típusok WPA és WPA2 alatt

szerkesztés

A Wi-fi szövetség bejelentette, hogy a szabványba illeszti az alább felsorolt EAP (Extensible Authentication Protocol – bővíthető hitelesítési protokoll) típusokat a WPA- és WPA2-Enterprise hitelesítési programjának keretében. Ez igazolja, hogy a WPA-Enterprise-ként jelölt eszközök biztosan együttműködnek egymással. Azelőtt csak az EAP-TLS-t (Transport Layer Security – vivőréteg biztonság) hitelesítette a Wi-fi szövetség.

A hitelesítési programba kapcsolt EAP típusok:

  • EAP-TLS (azelőtt tesztelt)
  • EAP-TTLS/Mschapv2
  • Peapv0/Eap-mschapv2
  • Peapv1/EAP-GTC
  • EAP-SIM
  • EAP-LEAP

Az egyéb, céges rendszerek számára készített speciális 802.1x kliens és szerver Wi-Fi eszközök ezektől eltérő EAP típusokat is támogathatnak.

Ez a hitelesítési program még csak egy kísérlet a népszerű EAP típusok együttműködésének megteremtésére, ezek vélhető inkompatibilitása jelenleg egy azon problémák között, amiért sok esetben tartózkodnak a 802.1x bevezetésétől heterogén hálózatokban.

Lásd még

szerkesztés
  • WPS – Egy szabvány, a vezetéknélküli hálózatokhoz történő könnyű és biztonságos kapcsolódáshoz WPA(2)-val
  • WAPI – Kínai Nemzeti vezeték nélküli LAN biztonsági Szabvány.
  • tinyPEAP – Egy kisméretű vezetéknélküli hozzáférési pontba tölthető RADIUS szerver
  • FreeRADIUSNyílt forráskódú, szabadon terjeszthető RADIUS szerver
  • Radiuzradiuz.com Egy WiFi-hálózatokat összefogó (a FON-hoz hasonló) rendszer, amely szabad RADIUS-szerver szolgáltatást nyújt a WPA-Enterprise kompatibilis routerek számára
  • SES – Egy a Broadcom által készített technológia, amellyel könnyen beállíthatóak a WPA-t használó LAN-ok
  • IAS (IAS) A Microsoft Radius-szervere, amely része a Windows 2000 Server- és Windows 2003 Server-nek
  • Wardriving – titkosítatlan hálózatok után való kutatás

Hivatkozások

szerkesztés

Külső hivatkozások

szerkesztés