Zabezpečení bezdrátových sítí IEEE 802.11. Tomáš Vaněk

Zabezpečení bezdrátových sítí IEEE 802.11 Tomáš Vaněk

Autor: Tomáš Vaněk Název díla: Zabezpečení bezdrátových sítí IEEE 802.11 Zpracoval(a): České vysoké učení technické v Praze Fakulta elektrotechnická Kontaktní adresa: Technická 2, Praha 6 Inovace předmětů a studijních materiálů pro e-learningovou výuku v prezenční a kombinované formě studia Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti

VYSVĚTLIVKY Definice Zajímavost Poznámka Příklad Shrnutí Výhody Nevýhody

ANOTACE Tento modul poskytuje přehled bezpečnostních mechanismů používaných v bezdrátových sítích. Podrobně jsou probrány způsoby zajištění utajení, integrity a autentizace v sítích IEEE 802.11 pomocí protokolů WEP, WPA a WPA2. CÍLE Student získá přehled v oblasti bezdrátových sítí. Seznámí se s funkcí protokolů pro zabezpečení bezdrátových sítí, nejčastějšími útoky a způsoby obrany proti nim. LITERATURA [1] Chandra, Praphul, Bulletproof Wireless Security.: Elsevier, 2005, 240 str. ISBN 0-7506-7746-5 [2] Brown Edwin, 802.1x Port-Based Authentication, Auerbach Publications, 2007, 238 str., ISBN 1-4200-4464-8 [3] Nakhjiri Madjid, Nakhjiri Mahsa. AAA and Network Security for Mobile Access; Radius, Diameter, EAP, PKI and IP mobility: WILEY, 2006, 280 str., ISBN 978-0-470-01194-7 [4] Pužmanová Rita, Bezpečnost bezdrátové komunikace, CP Books, 2005, 180 stran, ISBN: 80-251-0791-4

Obsah 1 Zabezpečení bezdrátových sítí obecně... 6 1.1 Úvod... 6 1.2 Proč bezdrátové sítě zabezpečovat?... 7 2 Protokol WEP... 8 2.1 Základní informace o protokolu WEP... 8 2.2 Utajení dat pomocí protokolu WEP... 9 2.3 Autentizace u protokolu WEP... 11 2.4 Zajištění integrity pomocí protokolu WEP... 12 2.5 Shrnutí informací o protokolu WEP... 13 3 Protokol WPA... 14 3.1 Základní informace o WPA... 14 3.2 Utajení pomocí protokolu TKIP... 15 3.3 WPA Integrita WPA Integrita... 17 3.4 WPA autentizace pomocí PSK... 18 3.5 WPA autentizace pomocí IEEE 802.1x... 21 3.6 Shrnutí informací o protokolu WPA... 24 4 Protokol WPA2 neboli IEEE 802.11i... 25 4.1 Základní informace o 802.11i... 25 4.2 RSN Robust Security Network... 27 4.3 WPS WiFi Protected Setup... 31 4.4 Alternativní možnosti zabezpečení bezdrátové sítě... 33

1 Zabezpečení bezdrátových sítí obecně 1.1 Úvod Bezdrátové sítě patří do kategorie počítačových sítí. V bezdrátových sítích je signál přenášen volným prostorem nejčastěji pomocí elektromagnetického vlnění, výjimečně pomocí světla v oblasti infračervené části spektra. Stejně jako se počítačové sítě dělí dle dosahu na LAN (Local Area Network), MAN (Metropolitan Area Network) WAN (Wide Area Network), lze i bezdrátové technologie rozdělit na WPAN (Wireless Personal Area Network), WLAN (Wireless Local Area Network), WMAN (Wireless Metropolitan Area Network), WWAN (Wireless Wide Area Network). V dnešní době asi nejrozšířenější WLAN technologií je IEEE (Institute of Electrical and Electronics Engineers) 802.11 známá pod komerční zkratkou WiFi (Wireless Fidelity). Existuje řada rozšíření původní normy 802.11, které zvyšují přenosové rychlosti, přidávají podporu v nových frekvenčních pásmech, či jiné funkcionality, které v době schválení standardu nebyly požadovány. Jednou z nich je i doporučení IEEE 802.11i, které se komplexně zabývá zabezpečením ve WiFi, které budu v tomto modulu probráno.

1.2 Proč bezdrátové sítě zabezpečovat? Problematika zabezpečení bezdrátových je velmi důležitá a od počátku jejich praktického nasazení aktuální. U klasických kabelových sítí a je zcela jedno jestli jsou realizované pomocí optických vláken, koaxiálních párů nebo UTP (Unshielded Twisted Pair), je vždy zřejmé, kudy se šíří signál s přenášenou informací. To bohužel neplatí pro bezdrátové sítě. V bezdrátových sítích nelze dostatečně omezit přístup k fyzickému médiu. Tuto negativní vlastnost je u bezdrátových technologií potřeba vykompenzovat externími bezpečnostními mechanismy. Některé moderní systémy (např. BeamFlex od Ruckus Wireless nebo AutoCell od firmy Netgear) umožňují částečně potlačit nemožnost omezení přístupu k médiu. Tyto systémy využívají více antén, u kterých dokáží dynamicky měnit své vyzařovací charakteristiky. Tyto techniky byly primárně vyvinuty pro potlačování interferencí a zvyšování propustnosti bezdrátových sítí, ale dynamickým tvarováním laloků, také přispívají k tomu, že AP (Access Point) nevyzařuje kontinuálně signál do míst, kde se nenachází žádný klient (na rozdíl od v běžných AP se všesměrovou anténou). V tomto modulu se těmito systémy nebudeme zaobírat, ale pokud byste se o nich chtěli dozvědět více, klíčová slova jsou beamforming, smart antennas, spatial multiplexing a MIMO (Multiple-Input and Multiple-Output). Pojem bezpečnost resp. přesněji informační bezpečnost, protože nám jde o ochranu přenášených informací je komplexní pojem. Cílem informační bezpečnosti je dosažení několika základních dílčích cílů: Autentizace Integrita Utajení Kromě těchto základních cílů, kterých budeme chtít dosáhnout vždy, se v některých případech můžeme setkat i s dalšími jako je nepopiratelnost. 7

2 Protokol WEP 2.1 Základní informace o protokolu WEP Protokol WEP byl prvním volitelným způsobem zabezpečení přítomným již v původním doporučení IEEE 802.11. Zkratka WEP( Wired Equivalent Privacy), měla už podle svého názvu běžným uživatelům naznačovat, že jejich data jsou chráněna na stejné úrovni, jako je tomu v případě technologií využívajících metalické (či optické) vedení. Nicméně realita byla poněkud jiná. Kvůli nevhodné implementaci šifrovacího algoritmu, chybějícímu managementu klíčů a částečné předvídatelnosti obsahu zašifrovaných dat (některá pole záhlaví protokolů) byly velmi rychle popsány metody vedoucí k prolomení protokolu WEP a odhalení klíče. 8

2.2 Utajení dat pomocí protokolu WEP Způsob, jakým jsou u protokolu WEP utajena přenášená data vidíte na obrázku. Utajení přenášených pomocí protokolu WEP. Obrázek má tři základní části. V první části je znázorněn generátor proudu klíče založený na proudové šifře RC4. Autorem algoritmu RC4 je Ron Rivest z RSA Laboratories, který se asi nejvíce proslavil jako spoluautor systému RSA (Rivest-Shamir-Adleman). Zkratka RC4 tak znamená Rivest Cipher č.4 (někdy označované jako Ron's Code) kde číslo udává, o kolikátý algoritmus tohoto autora jde. Mezi další známé kryptografické algoritmy Rona Rivesta patří blokové šifry RCR5 a její nástupce RC6, který byl jedním z pěti finalistů výběrového řízení na standard AES, který posléze vyhrál algoritmus Rijndael. RC4 je původně proprietární (neveřejný) algoritmus RSA Laboratories, který byl později zveřejněn a následně uvolněn pod licencí Public Domain. Název RC4 je nicméně stále ochrannou známkou RSA Laboratories. Jedná se o proudovou šifru s velmi jednoduchou strukturou, kterou lze velmi efektivně implementovat jak softwarově, tak hardwarově. Algoritmus je inicializován tajným klíčem a inicializačním vektorem (IV), který se mění pro každý paket. IV je jednoduše připojen před tajný klíč a výsledný řetězec inicializuje vlastní kryptografické jádro algoritmu RC4. Užitečná data, ke kterým byl předtím spočítán kontrolní součet (pomocí CRC- 32) jsou operací XOR přičtena k proudu klíče, který vystupuje z generátoru. 9

Před takto zašifrovaná data je dále připojen IV v otevřeném tvaru. Protože jednotlivé MPDU (Message Protocol Data Unit) mohou být doručeny v různém pořadí, IV se musí přenášet v otevřeném tvaru, aby příjemce mohl paket dešifrovat. Příjemce totiž neví, jaký IV byl použit při šifrování. Struktura rámce protokolu WEP je znázorněna na následujícím obrázku. Struktura rámce protokolu WEP. Původní norma IEEE 802.11 definovala pouze WEP s klíčem délky 64 bitů, s efektivní délkou 40bitů, protože úvodních 24 bitů tvoří IV. Později se objevili varianty s klíčem délky 128 nebo 256 bitů (resp. efektivní délkou 104 a 232 bitů). 10

2.3 Autentizace u protokolu WEP Protokol WEP podporuje dvě možnosti autentizace. První z nich se označuje jako Open System a druhá nazvaná Shared-key. V případě prvního způsobu jde o dvoucestnou výměnu (2-way handshake), kdy je autentizován každý uživatel, který pošle požadavek na autentizaci se správně vyplněným identifikátorem sítě (SSID). Ve druhém případě se jedná o čtyřcestnou výměnu(4-way handshake). Zde účastník odešle požadavek na autentizaci. AP mu v odpovědi odešle náhodně vygenerovaný řetězec, který účastník zašifruje sdíleným WEP klíčem a odešle zpět na AP. AP (které zná sdílený klíč) dešifruje přijatý řetězec a porovná ho s odeslaným. V případě shody je stanice autentizována. Shared-key autentizace je kupodivu z bezpečnostního hlediska horší než Open System. Nebezpečnost tohoto způsobu autentizace spočívá v tom, že potencionální útočník, který od počátku monitoruje komunikaci, může zachytit jak výzvu, tak zašifrovanou výzvu odeslanou jako odpověď. Má tedy k dispozici pár OT-ŠT, ví jakým algoritmem byl OT zašifrován a to mu ještě víc usnadní kryptoanalýzu a získání WEP klíče. Protokol WEP neposkytuje žádný bezpečný způsob autentizace klienta a AP. 11

2.4 Zajištění integrity pomocí protokolu WEP Ochranu přenášených dat z hlediska datové integrity je zajištěno polem ICV (Integrity Check Value). Protože je použito pouze zabezpečení pomocí CRC-32 (Cyclic Reduntant Check), data ve skutečnosti nejsou nijak chráněna proti úmyslné modifikaci. Cyklické kódy slouží pouze k detekci chyb vzniklých během přenosu či zpracování dat, ale nedokáže ochránit data proti úmyslným změnám. Útočník totiž po případné modifikaci dokáže jednoduše spočítat novou hodnotu CRC a celý datový paket se tak příjemci jeví jako neporušený. Ochrana proti Replay útokům a DoS útokům také chybí, což znamená, že útočník dokáže zaznamenat probíhající komunikaci a později znovu vložit do komunikačního řetězce, aniž by to příjemce dokázal odhalit. Protokol WEP neobsahuje žádné mechanismy zajišťující integritu přenášených dat mezi klient a AP proti aktivnímu útočníkovi. 12

2.5 Shrnutí informací o protokolu WEP Výhody: nejméně výpočetně náročný Nevýhody: krátký šifrovací klíč klíče jsou statické (nemění se v čase) neexistuje mechanismus pro automatickou výměnu klíčů (nutná manuální změna na všech zařízeních koncové stanice i AP) existence slabých klíčů chybějící ochrana proti DoS a replay útokům zajištění integrity pouze pomocí CRC-32 náchylnost RC4 na útok typu related-key (toto je obecná vlastnost RC4, která je ve WEPu zesílena způsobem práce s IV a celkovým designem protokolu) slabá a pouze jednostranná autentizace pomocí metody Shared-key 13

3 Protokol WPA 3.1 Základní informace o WPA WPA (WiFi Protected Access) představoval mezikrok mezi starým a nebezpečným protokolem WEP a zcela novým komplexním doporučením IEEE 802.11i. Vývoj a schvalování standardu trvá obvykle řadu let, a protože bezpečnostní rizika WEPu byla dobře známa a současně docházelo na přelomu 20. a 21. století k masivnímu rozšiřování technologie IEEE 802.11, nebylo možné čekat na schválení konečného standardu. Přibližně v poločase celého procesu (říjen 2002) tedy došlo k publikování vybraných (a již hotových částí budoucího standardu) pod hlavičkou organizace WiFi Alliance (http://www.wi-fi.org). Tato organizace sdružující výrobce zařízení pracujících ve standardu IEEE 802.11 a certifikující jejich výrobky označením WiFi certified tak vydala popis zabezpečení bezdrátových sítí nazvaný WPA. Ten vycházel ze 3. pracovního návrhu standardu IEEE 802.11i a řešil nejpalčivější problémy WEP při současném zachování zpětné kompatibility s již existujícími zařízeními. Základními vlastnostmi WPA jsou: autentizace pomocí IEEE 802.1x nebo pomocí PSK (Pre-Shared Key) šifrování pomocí protokolu TKIP (Temporal Key Integrity Protocol) zajištění integrity dat pomocí algoritmu MIC (Message Integrity Code) kompatibilita se stávajícími zařízeními (podporu WPA lze přidat pouhou změnou ve firmwaru zařízení) 14

3.2 Utajení pomocí protokolu TKIP Způsob, jakým jsou u protokolu TKIP utajena přenášená data vidíte na obrázku. Utajení přenášených pomocí protokolu TKIP. Obrázek má tři základní části a vychází z obrázku popisujícího protokol WEP. Černě jsou vyznačeny ty části protokolu, která zůstaly v zásadě stejná jako u WEPu. Červeně a zeleně jsou znázorněny nové funkční bloky. Červený blok představuje inovovaný proces přípravy klíče pro lepší inicializaci proudové šifry RC4. Protokol TKIP používá stejný šifrovací algoritmus RC4 jako WEP, ale na rozdíl od WEP podporuje TKIP dynamické klíče, které se mění automaticky každých 10000 paketů. Dále používá delší klíče, a důkladnější (a tím pádem i bezpečnější) způsob inicializace šifry RC4. V neposlední řadě došlo k prodloužení IV na 48 bitů. U protokolu WEP probíhala inicializace šifrovacího algoritmu RC4 tak, že za 24bitový IV byl připojen krátký 40bitový klíč. U protokolu TKIP je celý proces složitější, složený ze dvou fází, ve kterých dochází k promíchání jednotlivých vstupů. V prvním kroku je nejprve promíchán 128bitový TKIP klíč s 48bitovou MAC adresou zařízení a 32 bity IV (pole TSC2..5). Poté následuje druhá fáze, kdy je k výsledku předchozí operace přimíchán opět 128bitový TKIP klíč a dále ještě zbývajících 16 bitů IV (pole TSC0 a TSC1). Promíchání je technicky vyřešeno jako nelineární subsituce realizovaná pomocí S-boxu. Výstup má délku 128 bitů a je dále použit k inicializaci proudové šifry RC4. 15

Struktura rámce protokolu TKIP. Na obrázku jsou záhlaví protokolu TKIP s vyznačením šifrované části paketu. Pole WEPSeed se nepoužívá a obsahuje vždy hodnotu (TSC1 0x20) &&0x7f. Bity označené RSVD se nepoužívají (ReSeRVeD), ExtIV má hodnotu 1 a bit KeyID obsahuje hodnotu indexu klíče tak, jak jí poskytla metoda MLME.SETKEYS.request. Struktura rámce protokolu TKIP. Kromě datové části paketu je šifrován i kryptografický kontrolní součet MIC a také ICV původního protokolu WEP. 16

3.3 WPA Integrita WPA Integrita V zeleném bloku je znázorněn nový protokol MIC pro zajištění integrity přenášených dat. Ten je vypočten z užitečných da, zdrojové adresy, cílové adresy a hodnoty pole priorita. MIC slouží k ochraně dat proti úmyslné modifikaci a vícenásobnému použití zpráv (replay attack). Základem protokolu MIC je rychlý algoritmus Michael, který kromě vstupu, kterým je vlastní datový rámec používá ještě 64bitový tajný klíč k získání výstupní 64bitové hodnoty uložené v poli MIC. Algoritmus Michael využívá Feistelovo schéma s operacemi XOR, sčítání mod 2 32 a rotace vlevo a vpravo v jednotlivých krocích. MIC byl vyvinut s cílem kompatibility se staršími zařízeními, což se projevilo v jeho nižší bezpečnosti. Odolnost proti aktivním útokům je slabá. Pokud je v přijatém rámci detekován chybný MIC (a současně nebyla detekována chyba v CRC), jedná se zřejmě o pokus o aktivní útok. Úspěšný útok by útočníkovi umožnil injekci zfalšovaných rámců do sítě a další útoky na šifrovací klíč protokol TKIP. Proto obsahuje MIC další administrativní opatření omezující možnost těchto útoků. Pokud jsou za jednu minutu detekovány dvě chyby v MIC, dojde na 60 sekund k přerušení komunikace mezi AP a koncovou stanicí a poté k dojednání nových TKIP klíčů. To platí i pro skupinové klíče GTK (Group Transient Key). WPA používá k zajištění integrity nový protokol MIC, čímž je zajištěna ochrana proti úmyslným modifikacím přenášených zpráv. 17

3.4 WPA autentizace pomocí PSK WPA definuje dva způsoby autentizace. Jednak pomocí předsdílených klíčů PSK, což je způsob vhodný pro malé (domácí) sítě a poté pomocí mechanismu IEEE 802.1x a protokolu EAP (Extensible Authentication Protocol). V případě PSK je jak na AP, tak i na klientech umístěn 256bitový klíč, který v průběhu další výměny plní funkci PMK (Pairwise Master Key). PMK se obvykle nezadává přímo, ale místo něj se zadá heslo (passphrase) délky 8-63 znaků, které se převádí na PMK pomocí vztahu PMK = PBKDF2(HMAC-SHA1, passphrase, ssid, 4096, 256) kde PBKDF2 (Password-Based Key Derivation Function) je funkce definovaná v PKCS#5 2.0 a RFC2898. Protože kromě hesla je dalším parametrem i SSID sítě, je z bezpečnostního hlediska vhodné zvolit si pokud možno unikátní SSID, aby byla omezena možnost využití předpočítaných slovníků na útoky typu rainbow attack. Číslo 4096 zde udává počet iterací funkce HMAC-SHA1 a 256 je délka výstupu. Z klíče PMK je v průběhu čtyřcestné výměny (4-way handshake) odvozen PTK. Celý proces je znázorněn na obrázku. Stanice i AP vygenerují náhodná čísla ANonce a SNonce, která jsou spolu s PMK a MAC adresami obou zařízení použita k odvození PTK. PTK=PRF-512(PMK, Pairwise Key Expansion, MIN(MACadresa-stanice, MACadresa-AP) MAX(MACadresa-stanice, MACadresa-AP) MIN(ANonce, SNonce) MAX(ANOnce, SNonce)) Odvození klíčů pro multicastovou/broadcastovu komunikaci je provedeno analogicky s tím rozdílem, že se na něm nepodílí stanice, ale pouze AP. Klíče PTK jsou unikátní pro každou stanici, klíče GTK jsou společné pro všechna zařízení komunikující v rámci daného AP. GTK=PRF-256(GMK, "Group key expansion", MACadresa-AP GNonce) Řetězce Pairwise Key Expansion a Group Key Expansion jsou textové řetězce daného tvaru. Většina zpráv je podepsána pomocí algoritmu MIC. Klíče pro MIC jsou součástí PTK a jsou tím pádem odvozeny v průběhu odvozování PTK. PRF-256 a PRF-512 jsou pseudonáhodné funkce založené na HMAC-SHA1 produkující výstup délky 256 resp. 512 bitů. 18

Odvození šifrovacích klíčů u WPA-PSK Klíče PTK a GTK jsou použity pro zabezpečení vlastní komunikace mezi stanicí a APOD. Tyto klíče se mění každých 10 000 paketů. Postupné odvození klíčů pro unicastovou a multicastovou komunikaci je znázorněno na následujících dvou obrázcích. 19

Odvození klíčů používaných pro zabezpečení unicastové komunikace protokoly TKIP a MIC. Odvození klíčů používaných pro zabezpečení multicastové komunikace protokoly TKIP a MIC. Pokud se nepoužívá PSK, ale autentizace pomocí 802.1x, pak je PMK odvozený z MSK (Master Session Key). PMK je dále využit ve čtyřcestné výměně (4-way handshake) k ustanovení dočasných šifrovacích klíčů (PTK Pairwise Transient Key) zcela stejným způsobem, jako v případě předsdílených klíčů. Autentizace pomocí předsdílených klíčů je vhodná pro menší sítě, kde se nevyplatí provozovat autentizaci podle doporučení IEEE 802.1x. 20

3.5 WPA autentizace pomocí IEEE 802.1x IEEE 802.1X je obecný bezpečnostní rámec bezpečnou autentizaci v LAN. Nejčastěji se dnes používá v bezdrátových sítích WiFi, ale stejně tak je možné ho použít i v klasických LAN realizovaných pomocí metalických nebo optických kabelů. Architekturu IEEE 802.1x tvoří tři funkční entity: suplikant - koncové zařízením resp. program, který je spuštěn na koncovém zařízení, které se chce připojit do sítě autentizátor aktivní síťový prvek, se kterým komunikuje suplikant. V praxi se jedná nejčastěji o bezdrátový přístupový bod (AP) nebo přepínač autentizační server zařízení rozhodující o autentizaci suplikantů. Komunikuje s autentizátory nejčastěji pomocí protokolu RADIUS (Remote Access Dial In Users Service). Pro komunikaci mezi suplikantem a autentizátorem se používá autentizační protokol EAP. RADIUS je aplikační protokol typu klient/server využívající na transportní vrstvě UDP. Obvykle je implementován jako služba běžící na počítači s unixovým OS nebo MS Windows Server. RADIUS plní funkce: 1. autentizace zařízení nebo uživatelů před jejich přístupem do sítě 2. autorizace těchto uživatelů nebo zařízení pro konkrétní služby 3. účtování použití těchto služeb, a patří tedy do kategorie AAA (Authentication, Authorization, Accounting) protokolů. Na následujících obrázcích je znázorněn proces autentizace pomocí 802.1x. Před autentizací může koncová stanice komunikovat s autentizátorem pouze protokolem EAP. Jiný typ komunikace je zahozen. Autentizátor vysílá periodické žádosti o autentizaci, na které stanice (pokud daný způsob autentizace podporuje) odpoví. Přihlašovací údaje jsou předány na autentizační server, který je vyhodnotí a v případě oprávněného požadavku povolí přístup stanice do sítě. Kromě tohoto pokynu dodá ještě na autentizátor i MSK, který je dále použit k 4-way handshaku mezi koncovou stanicí a autentizátorem. 21

Autentizace pomocí IEEE 802.1x stav před autentizací. Autentizace pomocí IEEE 802.1x stav po autentizaci klienta. 22

Odvození šifrovacích klíčů v případě autentizace pomocí IEEE 802.1x V bezdrátových sítích Wi-Fi se při 802.1x autentizaci mezi suplikantem a autentizátorem používá jedna z následujících variant protokolu EAP: EAP-TLS EAP-TTLS/MSCHAPv2 PEAPv0/EAP-MSCHAPv2 PEAPv1/EAP-GTC EAP-AKA Protokol EAPOL, který byl použit u WPA-PSK je použit až při následném 4-way handshaku. Autentizace pomocí 802.1x je vhodná všude tam, kde přínos z vyššího stupně zabezpečení vynahradí náklady a obtíže spojené s vybudováním 802.1x infrastruktury. 23

3.6 Shrnutí informací o protokolu WPA Výhody: dynamické klíče autentizace pomocí IEEE 802.1x nebo PSK odolné proti replay útokům nevyžadoval změny v HW Nevýhody: lze prolomit slovníkovým útokem v případě nekvalitního klíče a PSK jsou publikovány útoky umožňující dešifrování krátkých paketů se víceméně známým obsahem (ARP requesty) s následnou možností ho až sedmkrát znovu použít k zašifrování a injekci krátkého zfalšovaného paketu do sítě (do velikosti cca 550B). Útok vyžaduje podporu QoS (802.11e) na straně AP, kvůli existenci oddělených prioritních front. používá starší algoritmus RC4 24

4 Protokol WPA2 neboli IEEE 802.11i 4.1 Základní informace o 802.11i Cílem doporučení IEEE 802.11i je komplexní zajištění informační bezpečnosti pro bezdrátové sítě založené na standardu IEEE 802.11b/g/a/h/n. Protože rozšiřuje existující metodu WPA, bývá v praxi často označováno jako WPA2. Varianta s ověřováním pomocí PSK (ať již jde o WPA-PSK nebo WPA2-PSK) se často v konfiguračních programech síťových karet a AP označuje jako WPA- Personal, zatímco WPA/WPA2 s autentizací pomocí EAP se označuje jako WPA- Enterprise Základním rozdíl WPA2 oproti WPA tkví ve změně šifrovacího algoritmu v celém bezpečnostním postupu. Algoritmus RC4 byl nahrazen algoritmem AES (Advanced Encryption Standard). V souvislosti s tím došlo i k vypuštění algoritmu MIC, který nebyl příliš bezpečný a zajištění integrity je u WPA2 řešeno pomocí speciálního režimu činnosti šifrovacího algoritmu AES. Tento režim se jmenuje CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), ve kterém je možné současně zrealizovat utajení přenášené informace i zajištění její integrity. Podporu algoritmu AES (a tím i celého standardu 802.11i) nebylo možné přidat pouhou změnou firmwaru, protože samotné šifrovací algoritmy jsou v AP a síťových kartách z důvodu minimalizace zpoždění v průběhu zpracování implementovány přímo v hardware. Od března 2006 musí být každé zařízení, které chce být certifikováno označením WiFi podporovat algoritmus AES resp. standard IEEE 802.11i. Také na straně koncových stanic je podpora WPA2 přítomna ve všech moderních operačních systémech. Seznam OS podporujících standard IEEE 802.11i: Windows XP od aktualizace SP3 Windows Vista od aktualizace SP2 Windows 7 Linux pomocí wpa_supplicant od verze 0.2.1 Mac OS X od verze 10.4 ios od verze 3.2 pro iphone ios od verze 4.1 pro iphone Android od verze 2.1 Symbian S60 25

Maemo5 Z následujících dvou obrázků je vidět, že použití AES v režimu CCMP je kromě vyšší bezpečnosti (AES vs. RC4) i efektivnější, protože již není potřeba algoritmus MIC pro zajištění integrity. Odvození klíčů používaných pro zabezpečení unicastové komunikace protokolem AES-CCMP. Odvození klíčů používaných pro zabezpečení multicastové komunikace protokolem AES-CCMP. Doporučení IEEE 802.11i neboli WPA2 obsahuje vše, co bylo ve WPA a navíc přidává podporu šifrovacího algoritmu AES v režimu CCMP. WPA2 je nejlepším možným způsobem zabezpečení bezdrátové sítě Wi-Fi. 26

4.2 RSN Robust Security Network V souvislosti s IEEE 802.11 se můžeme někdy setkat se zkratkou RSN (Robust Security Network). Jedná se o komplexní pojem označující protokol řešící zabezpečení komunikace v bezdrátových sítích IEEE 802.11. Pod pojmem zabezpečení se zde myslí nejenom autentizace komunikujících entit, ale i výměna šifrovacích klíčů (jak pro unicastovou tak pro broadcastovou komunikaci), zajištění integrity přenášených dat a ochrana proti různým druhům aktivních útoků. RSN je součástí standardu IEEE 802.11i. Pro bezdrátové sítě, které používají RSN ale umožňují použití TKIP se v této souvislosti používá označení TSN (Transient Security Network). TSN jsou nutné, protože starší bezdrátová zařízení nemají potřebný hardware a/nebo výpočetní výkon pro podporu AES-CCMP. Protokol RSN pracuje v následujících krocích: 1. Bezdrátová síťová karta (NIC Network Interface Card) vyšle zprávu ProbeRequest 2. Bezdrátový přístupový bod (AP Access Point) vyšle jako odpověď zprávu ProbeResponse s rámcem RSN IE (Information Exchange). V RSN IE jsou uloženy všechny podporované 1. autentizační sady 2. unicastové šifrovací sady 3. multicastové šifrovací sady 3. NIC si vyžádá autentizaci pomocí jedné z nabídnutých metod. 4. AP pro NIC zprostředkuje autentizaci. NIC se autentizuje vůči autentizačnímu serveru (pokud se nejedná o PSK variantu). 5. NIC pošle zprávu Association Request s rámcem RSN IE. 6. AP pošle Association Response. Slovem sada (suite) se rozumí ve standardu pevně definovaná kombinace různých kryptografických nástrojů (symetrické, asymetrické šifrovací algoritmy, hashovací funkce, režimy činnosti pro blokové šifry, ) eznam autentizačních sad Hodnota Význam 00:00:00:1 autentizace a správa klíčů pomocí 802.1x 00:00:00:2 žádná autentizace, správa klíčů pomocí 802.1x (PSK) 27

Seznam RSN šifrovacích sad Hodnota Význam 00:00:00:1 WEP 00:00:00:2 TKIP 00:00:00:3 WRAP 00:00:00:4 CCMP 00:00:00:5 WEP-104 WRAP (Wireless Robust Authenticated Protocol) je protokol založený na AES v režimu OCB (Offset Code Book). WRAP je volitelná komponenta RSN. Kvůli patentové ochraně se v praxi nepoužívá a je nahrazen protokolem CCMP. Stavy protokolu IEEE 802.11i z pohledu stanice 28

Standard IEEE 802.11i definuje tři různé způsoby komunikace v rámci ESS (Extended Service Set): obousměrnou komunikaci 1:1 mezi bezdrátovými klienty a pevnou sítí realizovanou prostřednictvím AP jednosměrnou komunikaci 1:n mezi AP a stanicemi asociovanými s AP obousměrnou přímo komunikaci 1:1 mezi dvěma bezdrátovými stanicemi asociovanými ke stejnému AP Nejvíce se používá první metoda. Všechny zmiňované způsoby komunikace používají stejný způsob autentizace klienta vůči AP. V síti podporující 802.11i se mezi klientem a AP vytvoří tzv. RSNA (Robust Security Network Association). RSNA používá autentizaci založenou na IEEE 802.1x a EAP. Pro autentizaci AP vůči klientovi jsou podporovány varianty protokolu EAP s certifikáty, konkrétně profily označené EAP-TLS, EAP-TTLS a PEAP. Pro autentizaci klienta připadají v úvahu kromě již zmiňovaných profilů ještě EAP-PSK nebo EAP-AKA. RSNA definuje čtyři typy bezpečnostních asociací (SA Security Association) mezi AP a klientem. Jedná se o PMKSA, PTKSA, které jsou přítomné vždy a volitelné GTKSA a STAKeySA. SA definuje technické prostředky, kterými je dosažena bezpečná komunikace, konkrétně: bezpečnou transformaci přenášených dat šifrovací klíče šifrovací a autentizační procedury sekvenční čítače metody ošetření výjimek běžného chování. Jak je vidět na obrázku, zatímco PMKSA a PTKSA jsou dojednávány mezi AP a STA, GTKSA a STAKeySA jsou pouze staženy z AP. Výměna bezpečnostních asociací mezi suplikantem a autentizátorem. 29

Dojednání konkrétních parametrů SA je prvním krokem pro ustanovení RSNA. Podpora bezpečnostních procedur ze strany AP je ohlašována buď v beacon rámcích, nebo v odpovědích na zprávu probe-request (tj. probe-response). Na počátku výměny je PMK (Pairwise Master Key), který musí být znám jak AP, tak i klientovi, aby bylo možné odvodit PMKSA. Existují dvě základní metody, jak odvodit PMKSA. V prvním případě má AP a klient předsdílený klíč (PSK), který plní roli PMK. AP a STA si prokáží držení PSK v průběhu 4-way handshaku. Ve druhém (preferovaném) případě se klient (suplikant) účastní procesu vzájemné autentizace s autentizačním serverem pomocí IEEE 802.1X a EAP. Pak je nutné PMK do AP dopravit nějakým zabezpečeným způsobem z použitého autentizačního serveru (RADISU, Diameter). PTSKA slouží k ochraně komunikace mezi klientem a jinými stanicemi ať již v rámci nebo mimo ESS, kdy komunikace probíhá přes AP. Jedná se o nejběžnější způsob komunikace. Po úspěšné autentizaci STA, získá AP od AS PMK. Poté AP iniciuje s klientem 4- way handshake a dojde k ustanovení PTKSA. Poté je možná zabezpečená komunikace mezi AP a klientem. GTSKA může probíhat v rámci 4-way handshaku nebo samostatně jako "group handshake". GTKSA slouží k multicastové/broadcastové komunikaci a STAKeySA slouží k zabezpečení přímé komunikace mezi dvěma STA. STAKeySA slouží k zabezpečení přímé komunikace dvou klientů bez účasti AP. AP pošle STAKeySA oběma klienty podobně jako je distribuován GTKSA. V praxi se tento typ SA používá pouze minimálně. RSN je označení pro protokol komplexně řešící otázku zabezpečení v bezdrátových sítích standardu IEEE 802.11. Je součástí IEEE 802.11i. 30

4.3 WPS WiFi Protected Setup WPS (Wi-Fi Protected Setup) je volitelný certifikační program Wi-Fi aliance, určený k jednoduchému nastavení a konfiguraci zabezpečení bezdrátové sítě. WPS bylo představeno v roce 2007 a je určeno pro SOHO (Small Office Home Office) prostředí. WPS je určeno pro uživatele s nízkou úrovní znalostí konfigurace Wi-Fi sítě a umožňuje automatickou konfiguraci bezdrátové sítě spolu s jejím zabezpečením. Logo zařízení podporujících WPS Protokol WPS definuje tři základní entity: 1. Registrátor (Registrar) zařízení s právem udělit/odmítnout přístup do sítě. Může být buď integrován do AP, nebo se může jednat o nezávislé zařízení oddělené od AP. Registrátorem může být i koncová stanice. 2. Žadatel (Enrollee) zařízení, které se chce připojit do sítě (koncová stanice nebo přístupový bod). 3. AP přístupový bod fungující jako proxy mezi Registrátorem a Žadatelem WPS definuje tři možné varianty komunikace: 1. AP obsahující registrátor nakonfiguruje Žadatele (koncovou stanici). V tomto případě proběhne relace skrz bezdrátovou síť pomocí zpráv EAP, kdy na konci AP deasocijuje stanici a počká, až se stanici znovu připojí s novou konfigurací, která byla předtím dohodnuta. 2. Registrátor na koncové stanici konfiguruje AP, který je v roli Žadatele. Tento případ se dále dělí podle toho, na jakém médiu proběhne kom komunikace (metalické nebo bezdrátové) a jestli již byl AP před konfigurací s Registrátorem nakonfigurován. V případě metalického spojení je použit protokol UPnP (Universal Plug and Play), který musí být podporován oběma komunikujícími stranami. V tom případě je provedena zkrácená verze protokolu s pouze dvěma zprávami bez požadavku na autentizaci. V případě bezdrátového média se jedná o situaci stejnou jako v bodě 1. s tím rozdílem, že se prohodí role komunikujících stran. Co se týká konfigurace AP, od Registrátora se očekává, že se dotáže uživatele, zda-li má provést rekonfiguraci AP, nebo ponechat existující konfiguraci (pokud již byl AP předtím nakonfigurován). 3. Registrátor na koncové stanici konfiguruje Žadatele, kterým je také koncová stanice. V tomto případě se AP chová jako proxy a pouze předává zprávy mezi Registrátorem a Žadatelem 31