Standardy e a i

Transkript

1 Standardy e a i Bc. Martin Dařílek, dar022 1 Úvod Účelem tohoto dokumentu je poskytnout ucelené informace o standardech e a i. Jedná se o části z celkového standardu IEEE pro bezdrátová zařízení a sítě (Wi-Fi) vyvíjeného pracovní skupinou č. 11 v rámci schvalovací komise IEEE (Institute of Electrical and Electronics Engineers). 1.1 Základní pojmy Přenosové médium jelikož tento dokument obsahuje informace o principech přenosů v rámci bezdrátové komunikace, je přenosovým médiem míněno frekvenční pásmo (kanál), ve kterém učastníci přenosu komunikují. 2 Standard e IEEE e byl odsouhlasen ke konci roku 2005 jako standard definující množinu rozšíření pro zajištění kvality služeb (QoS Quality of Service) pro síťové komunikace (aplikace) na bázi bezdrátového spojení. Existence takového standardu je nesmírně důležitá pro aplikace citlivé na zpoždění dodání nebo ztráty požadovaných dat. Jako příklad lze uvést IP telefonii nebo přenos multimediálních dat. Standard e rozšiřuje možnosti MAC (Media Access Control) vrstvy v původní definici standardu MAC je nižší podvrstva spojové vrstvy v modelu ISO OSI, která přímo sousedí s vrstvou fyzikou a poskytuje služby a funkce specifické pro dané přenosové médium (viz obrázek). Pro popis rozšíření původních přístupových metod následuje jejich krátké shrnutí. Síťová vrstva Spojová vrstva LLC (Logica Link Control) MAC (Media Access Control) Fyzická vrstva 2.1 Základní (původní) metody přístupu k médiu podle Všechny popisované metody definují chování při sdílení přenosového média (u bezdrátového přenosu je tím míněno frekvenční pásmo kanál) mezi více koncovými uzly a přístupovým bodem (Access Point AP) DCF (Distributed Coordination Function) Jedná se o základní přístupovou metodu, kterou implementují všechny stanice. Je postavena na CSMA/CA (Carrier Sence Multiple Access/Collision Avoidance mnohonásobný přístup s nasloucháním nosné a vyvarováním se kolizím), což je systém, podobný metodě přístupu

2 k médiu u Ethernetu (stanice naslouchají, zda je přenosové médium volné, a okamžiku kdy se tak stane, začnou vysílat). V režimu DCF stanice hlídá stav přenosového média. Je-li po uplynutí definovaného časového úseku (tzv. DIFS Distributed Interframe Space) médium volné, vyšle stanice paket. V opačném případě odloží přenos a nadále monitoruje médium. V okamžiku kdy dojde k uvolnění média, stanice vyčká po dobu definovanou jako DIFS + T random, kde T random je náhodný časový interval. Po uplynutí této doby se opět snaží vyslat paket. Detekce volného média se provádí měřením signálu na anténě (je definována prahová hodnota, od které je médium považováno za volné). Detekce kolizí v případech, kdy dvě stanice začnou vysílat současně, se řesí potvrzováním (resp. výpadkem potvrzení) přijetí dat a příslušná stanice se tak okamžitě dozví o chybě v přenosu. Pokud totiž odesílatel po odeslání paketu neobdrží po definovaném intervalu (tzv SIFS Short Interframe Space) potvrzení o přijetí, vyhodnotí tento stav jako kolizi. V případech, kdy se vysílající stanice navzájem nevidí ( vidí pouze na přístupvý bod - AP), musí AP řešit mnohem více kolizí, protože okolní stanice si myslí, že jsou v prostoru samy. Proto umožňuje většina stanic zapnout mód RTS/CTS (Request To Send / Clear To Send), ve kterém stanice zahajuje vysílání požadavkem (paket RTS) a pokud je médium volné, dostává stanice potvrzení od AP (paket CTS), že může po stanovenou dobu vysílat. Ostatní stanice v okolí si na základě intervalu uvedeného v paketu CTS upraví tzv. alokační vektor (NAV Network Allocation Vector), což je interval, ve kterém se stanice nesnaží o přístup k médiu. Využití RTS/CTS má ale velmi negativní dopad na celkovou propustnost systému (propustnost může klesnout až na 20 % deklarované kapacity). Princip metody DCF (s použitím módu RTS/CTS) ukazuje Obrázek 1 Obrázek 1: Princip metody DCF Z pohledu poskytování služeb QoS je metoda DCF nevýhodná zejména z následujících důvodů: U většího počtu stanic prudce stoupá pravděpodobnost kolizí a jejich řešením (defacto odkládání vysílání) klesá celková přenosová šířka pásma Neexistuje žádný systém nastavení priorit přenosů

3 2.1.2 PCF (Port Coordination Function) Jedná se o funkci, kterou norma definuje jako dodatečnou a mezi stávajícími zařízeními není moc podporována. Využití nachází v případech, kdy jsou stanice připojovány do sítě skrz přístupový bod (AP). AP v tomto režimu funguje jako arbitr a centrálně přiděluje přenosové médium registrovaným žadatelům. Přidělování média funguje buď na principu cyklické obsluhy (round robin) nebo na základě priorit. V režimu PCF je přenos dat synchronizován pomocí super-rámců (Super Frame nebo též Contetion Free Repetition Interval). Tento rámec (interval) je rozdělen na dva menší intervaly: Contention Free Period (CFP) interval kdy nedochází k soupeření o přístup k médiu. Přístup určuje arbitr (AP) Contention Period (CP) v tomto intervalu je pro přístup k přenosovému médiu využita klasická DCF metoda Na počátku intervalu CFP čeká AP po definovanou dobu (PIFS Point Inter-frame Space), a pokud je médium volné, rozešle speciální signální rámec (beacon frame) všem registrovaným žadatelům. Pro délku doby PIFS platí vztah: SIFS < PIFS < DIFS (norma IEEE definuje různé doby trvání pro rozdílné fyzické vrstvy). Signální rámec obsahuje i další informace, jako: Identifikátor arbitra (AP) Délku trvání CFP intervalu Dobu do příchodu dalšího signálního rámce Všechny stanice, které obdrží tento signální rámec, nastaví svůj NAV a po dobu trvání CFP se nesnaží o přístup k médiu. Nastínění principu komunikace v CFP intervalu (viz Obrázek 2): Během CFP intervalu AP postupně rozesílá tzv. ContentionFree-Poll (CFPoll) rámec jednotlivým stanicím, které má ve svém seznamu a přiděluje jim tak právo transferu dat. Zároveň s CF-Poll rámcem mohou (ale nemusí) být stanici poslána i data ( DATA + CFPoll rámec). Na rámec s daty stanice odpoví potvrzovacím rámcem (CFAck), popř. k němu připojí svoje data ( DATA + CFAck rámec). Pokud AP obdrží DATA + CFAck, odpoví buď CFAck + CFPoll nebo opět připojí data (DATA + CFAck + CFPoll). Pokud stanice obdrží pouze CFPoll rámec, odpoví rámcem s daty (DATA) nebo pošle prázdný rámec (NULL), kterým naznačí, že již nemá potřebu komunikovat a AP tak může přejít k obsluze další stanice v seznamu. Takto AP obsluhuje do doby, než vyprší interval CFP nebo než zašle speciální CFEnd rámec.

4 Obrázek 2 Princip metody PCF Metoda PCF sice umožňuje lepší využití QoS, nicméně je (zatím) málo podporována bezdrátovými zařízeními a má i svá omezení (např. nedefinuje třídy provozu Traffic classes). 2.2 Rozšíření MAC podle e Standard e rozšiřuje původní metody DCF a PCF a zavádí tak dvě nové přístupové metody: EDCF (Enhanced DCF) HCF (Hybrid Coordination Function), někdy též nazývaná Enhanced PCF U obou nových metod standard e definuje třídy provozu (Traffic classes). Lze tak rozlišovat možnost zatížení přenosového kanálu na základě typu použití (typu aplikace). Např. ová služba může mít přiřazenu nižší třídu priority než třeba VoWIP (Voice over Wireless IP), u kterého požadujeme minimální výpadky a zpoždění, tudíž bude mít přiřazenu prioritu vyšší EDCF EDCF rozlišuje provoz do osmi kategorií, které odpovídají požadavkům každého typu zátěže. Kategorie jsou navrženy v rozsahu od nejnižší priority, která deklaruje pouze 'Best effort' QoS, až po nejvyšší prioritu, která se využívá u aplikací extrémně závislých na jakémkoliv zpoždění. Každá kategorie definuje jistou dobu (AIFS - Arbitration Inter-Frame Space), po kterou žadatel o přenos dat musí čekat, než vlastní přenos zahájí. Zátěž s vyšší prioritou má menší AIFS, která tak umožňuje volnější přístup k médiu než u je tomu u kategorií s nižší prioritou. Doba určená kategorií AIFS se připočítává k náhodnému intervalu, který stanice generuje při detekci kolize během pokusu při přístupu k médiu. Docílí se tak omezení kolizí s jinými stanicemi, které provozují EDCF ve stejné kategorii.

5 EDCF tedy že poskytuje velmi vysokou pravděpodobnost přidělení vyšších hodnot šířky pásma pro kategorie s vyšší prioritou při boji o sdílené médium. Navíc je jednoduše implementovatelná a často používaná HCF HCF definuje dotazovací mechanismus, podobně jako u PCF. Opět jsou definovány intervaly ohraničené beacon rámci, které se rozdělují na dvě periody CFP a CP. Během CFP, tzv. hybridní koordinátor (Hybrid Coordinator - typicky je to AP) ovládá přístup k médiu. Během doby CP pracují všechny stanice v režimu EDCF. Hlavní rozdíl mezi HCF a PCF jsou následující: Jsou definované již zmiňované třídy provozu (Traffic Classes). Koordinátor může řídit provoz na základě jiné metody než cyklické obsluhy stanic používané u původní PCF. Stanice poskytují informace o délkách jejich front požadavků pro každou třídu provozu. Koordinátor tyto informace využívá pro upřednostňování určitých stanic před ostatními. Stanice mají možnost využít Transmit Opportunity (TXOP), čímž se rozumí možnost zasílat několik paketů najednou, v časovém intervalu určeném koordinátorem. Během průběhu intervalu CP může koordinátor kdykoliv převzít kontrolu nad přenosovým médiem (zasláním CF-Poll paketu všem stanicím). HCF je nejpokročilejší (a také komplexní) koordinační metoda. Při použití HCF lze požadovanou kvalitu přenosu nakonfigurovat s velkou precizností.

6 3 Standard i IEEE i je dodatek standardu specifikující bezpečnostní mechanismy pro bezdrátové sítě (Wi-Fi). Návrh normy byl potvrzen v červnu 2004 a nahradil předchozí bezpečnostní specifikaci WEP (Wired Equivalent Privacy), u které se projevila nízká zabezpečovací schopnost. Ještě před schválením normy i byl Wi-Fi Alliancí (sdružení komerčních subjektů) dodatečně uveden standard WPA (Wi-Fi Protected Access), který zavedl dočasné řešení vůči bezpečnostním problémům u WEP. V rámci WPA byla implementována podmnožina později schváleného standardu i. Plná implementace WPA podle i je nazývána WPA2. Konečná verze normy i se sestává z několika částí, z nichž nejdůležitější jsou dva nové zabezpečovací protokoly TKIP a CCMP. Dále také využívá systém kontroly přístupu k síti, definovaného podle normy 802.1X (v rámci nívrhu normy i se tedy počítá s využitím normy 802.1X viz kapitola 3.3). Jelikož u standardu jsou rozdílně spravovány unicastové a broadcastové přenosy, je pro každý typ přenosu definován proces vyjednávání vhodného zabezpečovacího protokolu a systému výměny klíčů. 3.1 TKIP (Temporal Key Integrity Protocol) TKIP je zabezpečovací protokol navržený pro zlepšení zabezpečení starších produktů, které implementují původní WEP protokol. Zásadní vadou WEP je totiž nepřítomnost silného kontrolního kódu (WEP používá pouze CRC32, který je možno celkem jednoduše obejít). TKIP zavádí implementaci kontrolního součtu pod kódovým názvem Michael, který zařízením umožňuje ověřit fakt, že příchozí pakety skutečně pocházejí od toho, kdo se prezentuje jako odesílatel. Zároveň umožňuje kontrolu, zda obsah paketu nebyl po cestě změnen. U původního WEP protokolu se konfigurací stanovil pevný šifrovací klíč (popř. se získal pomocí EAP - Extensible Authentication Protocol, definovaného v rámci 802.1X), nazývaný též PMT Pairwise Master Key. Tento sdílený klíč se používal po celou dobu přenosu mezi AP a všemi klienty. TKIP s využitím tzv. mixovací funkce zajišťuje ochranu před útoky na získání klíče. S pomocí této funkce vytváří jedinečný klíč pro každý přenosový rámec a odstraňuje tak slabé místo v algoritmu RC4, využívaného původním WEP protokolem. 3.2 CCMP (Counter-Mode/CBC-MAC Protocol) Jelikož TKIP byl vytvořen pouze jako rozšíření pro stávající zařízení (funguje jako nadstavba nad WEP), CCMP je definován jako silnější verze pro novější zařízení. Jedná se o protokol který zajišťuje jak autentikaci paketů tak jejich šifrování. Pro zajištění důvěrnosti používá šifrování AES (Advanced Encryption Standadart náhrada za starší DES). Pro zajištění

7 autentikace a integrity dat používá CBC-MAC (Cipher Block Chaining Message Authentication Code). Podle i používá CCMP 128-bitový klíč a velikost šifrovaného bloku je 128 bitů. Výsledný CCMP paket je potom o 16 oktetů delší než standardní nešifrovaný paket (8 oktetů CBC-MAC, 6 oktetů náhodné číslo a dva oktety pro další režii). CCMP chrání ta pole rámce, která nejsou standardně šifrována. Jedná se zejména od adresu zdroje a cíle paketu. Takto zabezpečená části se nazývají AAD (Additional Authentication Data). 3.3 IEEE 802.1X Norma 802.1X poskytuje nástroje pro autentikaci a autorizaci zařízení pro připojení do sítě. Zakáže tak přístup zařízením do sítě do doby, než splní podmínky autentikace. Norma zároveň poskytuje nástroje pro přenos důležitých informací mezi ověřovatelem a žadatelem. Obrázek 3 použití IEEE 802.1X podle IEEE i V IEEE i přebírá AP roli ověřovatele a klient roli žadatele. Ověřování žadatele k přístupu do sítě se ale provádí skrz AP, protože ten je připojen k ověřovacímu serveru a zná seznam žadatelů (viz Obrázek 3). Mezi žadatelem a AP, je použit protokol z normy IEEE 802.1X. Mezi AP (ověřovatelem) a vlastním ověřovacím serverem není žadný standardní protokol definován, ale většinou se používá protokol RADIUS (Remote Authentication Dial In User Service). Proces ověření probíhá na nekontrolovaném portu. Jakmile autentikační server potvrdí oprávněnost přístupu žadatele, předá ověřovateli (AP) potřebné informace (klíče pro kryptování) pro další komunikaci se žadatelem. Dodané informace si AP a žadatel vymění skrz EAPOL (Extensible Authentication Protocol over LANs). EAPOL je definován v 802.1X a jedná se zobecněný mechanismus autentikace. Zahrnuje v sobě několik konkrétních autentikačních metod (např. EAP-TLS, EAP-MD5 a další). Pokud vše proběhne v pořádku, povolí AP provoz na kontrolovaném portu a umožní tak žadateli zabezpečený přístup do sítě.

8 3.4 Vyjednávání o použití vhodného protokolu Protože v rámci i je definováno více zabezpečovacích protokolů, poskytuje norma klientovi a AP prostředky, pomocí kterých se mohou dohodnout se na použití konkrétního protokolu. Volba se odvíjí např. podle vyžadovaného typu přenosu nebo od dodatečně zjištěných bezpečnostních parametrů AP nebo klienta. Informace o bezpečnostních parametrech v síti zasílá AP ve svých signálních (beacon) rámcích, popřípadě je sděluje zájemcům (probe request probe response). Informace, které AP pro tyto účely poskytuje jsou následující: group ciphersuite sada protokolů, kterou lze použít při zasílání broadcast zpráv pairwise ciphersuite list seznam protokolů které lze použít při párové komunikaci klient AP (unicast) authentication and key management suite jedná se o informace dostupné v případě, že je znám sdílený klíč nebo je používán 802.1X Pokud si klient zjistí parametry sítě, zvolí vhodnou kombinaci a svůj výběr zašle v požadavku k AP. Výběr se musí shodovat s některými z položek dostupných v nabídce AP. V opačném případě AP zašle zamítavou odpověď. Až do této chvíle není proces vyjednávání zabezpečený. Zabezpečeným se stává v okamžiku úspěšné výměny klíčů podle některé metody použité z EAPOL Hierarchie klíčů V procesu výměny klíčů se podle IEEE i vyžívá více druhů klíčů v závislosti na typu komunikace. Daný druh klíče rozděluje na sadu podklíčů využitelnou pro další potřeby. Jsou definovány dva základní druhy: Pairwise key pro unicastové přenosy, viz Obrázek 4 Group key pro multicast a broadcast přenosy, viz Obrázek 5 Původní norma X definuje speciální rámec určený pro výměnu klíčů. V normě i jsou ale definovány jiné metody výměny klíčů. Pro unicast je použit tzv. 4-way handshake (viz 3.5.1) a pro multicast/broadcast je použit tzv. group key handshake (viz 3.5.2) Pairwise key Výchozím bodem této hierarchie je PMK (Pairwise Master Key). Pokud je použit 802.1X protokol (EAP), potom tento klíč dodá autentikační server. V případě použití sdíleného klíče se PMK přiřazuje na základě předaného hesla. Následně se s využitím pseudonáhodné funkce vytvoří z PMK a několika dalších parametrů (viz dále) nový klíč PTK (Pairwise Transient Key). Výsledný PTK klíč se dále rozděluje na 3 klíče (viz Obrázek 4): Potvrzovací klíč KCK (EAPOL-key Confirmation Key) využívá se pro ověření původu dat Šifrovací klíč KEK (EAPOL-key encryption key) využívá se pro šifrování dat Dočasný klíč (Temporal Key) ten využívají zabezpečovací protokoly (kontrolní součty) Při tvorbě PTK se berou v úvahu tyto parametry: MAC adresa žadatele (klient) MAC adresa ověřovatele (Access Point) Náhodné číslo určené žadatelem Náhodné číslo určené ověřovatelem

9 Obrázek 4 Pairwise key hierarchie Group key Výchozím bodem této hierarchie je klíč GMK (Group Master Key). GMK je vlastně náhodné číslo. Pomocí pseudonáhodné funkce se z GMK a dalších parametrů vytvoří klíč GTK (Group Temporary Key) viz Obrázek 5. Parametry pro vytvoření GTK jsou: MAC adresa ověřovatele (Access Point) Náhodné číslo určené ověřovatelem Obrázek 5 Group key hierarchie 3.5 Výměna klíčů V rámci IEEE i jsou definovány dvě základní metody výměny klíčů. 4-way handshake pro unicast přenosy a group key handshake pro multicast a broadcast přenosy way handshake Tato metoda slouží pro sestavení PTK klíče a vyžaduje zaslání 4 paketů mezi žadatelem a ověřovatelem (viz Obrázek 6).

10 Obrázek 6 4-way handshake (STA = stanice, AP = access point) Postup sestavení PTK: 1. Ověřovatel (AP) zašle klientovi náhodné číslo (ANonce). 2. Klient vygeneruje své náhodné číslo. Tím je schopen z MAC adresy AP, zaslaného náhodného čísla a jím vygenerovaného čísla sestavit PTK klíč. Klient zašle své vygenerované číslo a také seznam bezpečnostních parametrů zjištěných na počátku žádosti o připojení do sítě. Celou zprávu opatří kontrolním součtem (MIC Message Integration Code) za použití KCK klíče. AP tak může zjistit, zda jsou informace a připojené bezpečnostní parametry validní (SNonce + MIC). 3. AP zašle klientovi bezpečnostní parametry, které normálně vysílá v beacon rámcích nebo probe response packetech. Zároveň pošle GTK klíč šifrovaný KEK klíčem a celou zprávu opatří kontrolním součtem, aby si klient mohl ověřit validitu zaslaných informací a parametrů (GTK + MIC). 4. Potvrzovací zpráva indikuje, že dočasné klíče byly korektně sestaveny a jsou připraveny k použití v rámci bezpečnostních protokolů (ACK) Group key handshake Tato metoda slouží pro aktualizaci GTK klíče. Dříve než je možné tuto metodu použít je nutné provést výměnu klíčů pomocí 4-way handshake. Nicméně v rámci 4-way handshake je tato metoda interně použita (krok 3). Postup při výměně EAPOL-key je shodný s koncovou sekvencí předchozí metody: 1. AP pošle klientovi GTK klíč šifrovaný KEK klíčem a celou zprávu opatří integritním kódem. 2. Potvrzovací zpráva indikuje, že dočasné klíče byly korektně sestaveny a jsou připraveny k použití v rámci bezpečnostních protokolů Ukázka procesu kryptování komunikace

11 Vysvětlivky: IV inicializační vektor SA adresa zdroje DA adresa cíle DataEncryptionKey = KEK DataIntegrityKey = KCK MIC Message Integration Code Obrázek 7 Princip šifrování dat v rámci Princip: Z IV, DA a KEK se vytvoří klíč, který se použije k dalšímu šifrování paketu. Tento se prožene generátorem náhodných čísel a výstupní proud se sloučí pomocí funkce XOR s kontrolním součtem. Kontrolní součet se vytváří z dat obsažených v paketu, adres zdroje a cíle (SA a DA) a KCK. 3.6 Závěr Standard i je velkým posunem v oblasti zabezpečení bezdrátových přenosů. Přidáním silnějších šifrovacích metod, autentikačních procesů a strategií pro správu klíčů vytváří dostatečně bezpečné prostředí pro přenos dat. 3.7 Odkazy a použité zdroje [1] IEEE i and wireless security ( [2] Microsoft TechNet - Wi-Fi Protected Access Data Encryption and Integrity ( [3] Wikipedia (