В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Илья КИЖВАТОВ, Российский государственный гуманитарный университет
Последним словом в безопасности беспроводных сетей стандарта 802.11 остается вторая версия набора технологий Wireless Protected Access (WPA2), принятая в стандарте 802.11 i в 2004 г. WPA2 обеспечивает надежные схемы аутентификации, распределения ключей и стойкое симметричное шифрование AES. Тем не менее сегодня во многих беспроводных сетях по-прежнему используется небезопасная технология WEP.
Взломать WEP за 60 секунд
В апреле 2004 г. исследователи из Технического университета Дармштадта Эрик Тьюс, Ральф-Филипп Вайнманн и Андрей Пышкин опубликовали практическую атаку на протокол WEP со 104-битным ключом [2]. Атака позволяет успешно восстановить полный 104-битный ключ шифрования WEP в сети 802.11g, причем в половине случаев за время чуть менее 1 минуты. При увеличении времени до нескольких минут ключ успешно восстанавливается практически во всех случаях. Для проведения атаки достаточно вычислительной мощности обычного ПК или ноутбука.
В основе новой атаки лежит известная атака 2001 г. [2] и ее недавняя модификация [3], использующие недостатки схемы установки ключа в алгоритме шифрования RC4. Исследователям из Дармштадта удалось модифицировать эти атаки таким образом, что требуемое для успешного восстановления ключа количество фреймов протокола 802.11 сократилось с 4 млн до 40 тыс. Кроме того, был найден способ быстрого получения такого количества нужных фреймов.
Напомним, что в протоколе WEP 128-битный пакетный ключ шифрования для алгоритма RC4 формируется из 104-битного мастер-ключа, общего для всех станций, и 24-битной синхропосылки (IV), генерируемой для каждого фрейма и передаваемой в открытом виде в заголовке фрейма. Фрейм шифруется гаммированием - побитовым сложением по модулю 2 выходной последовательности (гаммы) RC4, генерируемой на пакетном ключе, с телом фрейма. Ядром атаки является алгоритм, позволяющий по множеству пар IV и соответствующих им начальным отрезкам гаммы восстановить мастер-ключ с некоторой вероятностью, зависящей от числа пар. Следовательно, для запуска собственно вычислительной части атаки необходимо получить достаточное количество байтов гаммы.
Извлечь байты гаммы возможно из фреймов, часть содержимого которых известна и содержит, например, фиксированный или предсказуемый заголовок. Авторы атаки используют фреймы, содержащие пакеты протокола ARP. Формат пакета ARP показан на рис. 1. Ключевым критерием выбора протокола ARP является, однако, не фиксированный заголовок, а возможность вызвать появление в сети большого количества пакетов ARP методом ре-инжекции ARP-запросов.
Как отмечают авторы атаки, ее недостаток - возможность эффективного обнаружения с помощью IDS из-за активного сбора фреймов. Дальнейшим направлением развития является разработка эффективного извлечения гаммы при пассивном сборе фреймов, который сделает атаку полностью необ-наруживаемой.
Используйте WPA2
Итак, все механизмы защиты WEP сегодня можно преодолеть за несколько минут. Для этого потребуется лишь ноутбук с адаптером Wi-Fi и специальным ПО. Пусть пользователи сами оценят стоимость такой атаки и соотнесут ее с ценностью данных, циркулирующих в их офисной или домашней беспроводной сети.
Практика показывает, что включение WPA2 в некоторых устройствах Wi-Fi значительно снижает их производительность. Это связано с отсутствием аппаратной поддержки AES в ряде устройств, выпущенных в период перехода от WEP к 802.11 i. Решить проблему может использование промежуточной технологии WPA с шифрованием по схеме TKIP. Однако следует учитывать, что TKIP уязвима в режиме предварительно распределенного ключа (TKIP - PSK) [4], который чаще всего используется в малых сетях. В режиме уровня предприятия, использующего технологии 802.1x и RADIUS для распределения ключей TKIP, WPA пока еще не взломана.
Источники
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2007