Протоколы безопасности беспроводных сетей

Уязвимость шифрования WEP

Атаки на зашифрованные данные с помощью технологии WEP можно подразделить на два метода: пассивные и активные.

Пассивные сетевые атаки

В августе 2001 года криптоаналитики Флурер С, Мантин И. и Шамир А. (Fluhrer S., Mantin I., Shamir A.) установили, что секретный ключ шифрования WEP может быть вычислен с использованием определенных фреймов, пассивно собранных в беспроводной локальной сети. Причиной уязвимости послужила реализация в WEP метода планирования ключей (Key Scheduling Algorithm - KSA) алгоритма потокового шифрования RC4. Некоторые векторы инициализации (так называемые "слабые" векторы) дают возможность установить побайтовый состав секретного ключа, применяя статистический анализ.

Рис. 8.4. Шифрование с обратной связью

Исследователями из AT&T/Rice University и авторами программы AirSnort была продемонстрирована возможность определения секретного ключа длиной 40 и 104 битов после анализа всего лишь 4 миллионов фреймов. Для загруженной беспроводной локальной сети это эквивалентно приблизительно 4 часам работы, после чего ключ шифрования станет известен пассивному наблюдателю.

Подобная уязвимость делает шифрование с использованием WEP неэффективным. Использование динамических секретных ключей шифрования WEP решает проблему лишь частично, для полного устранения уязвимости требуется усиление самого ключа.

Активные сетевые атаки

Индуктивное вычисление секретного ключа шифрования WEP представляет собой процесс воздействия на беспроводную локальную сеть для получения определенной информации и относится к классу активных сетевых атак. Как было сказано ранее, при потоковом шифровании выполняется двоичное сложение по модулю 2 ( XOR ) исходного сообщения с ключевой последовательностью с целью получения шифрованного сообщения. Этот факт лег в основу данной атаки.

Высокая эффективность атаки индуктивного вычисления ключа, предпринимаемой в беспроводной локальной сети IEEE 802.11, объясняется отсутствием действенных средств контроля целостности сообщений (Message Integrity Check, MIC). Принимающая сторона не в состоянии распознать факт модификации содержимого фрейма в процессе передачи по общедоступному радиоканалу. Более того, значение ICV (Integrity Check Value), предусмотренное стандартом для контроля целостности сообщений, вычисляется с помощью функции CRC32 (32-bit Cyclical Redundancy Check, контроль с помощью циклического 32-битного избыточного кода), которая подвержена атакам с манипуляцией битами. Таким образом, в отсутствии механизмов контроля целостности сообщений беспроводные локальные сети подвержены активным атакам: повторному использованию вектора инициализации (IV Replay) и манипуляции битами (Bit-Flipping).

1) Повторное использование вектора инициализации (Initialization Vector Replay Attacks), представляет собой разработанную теоретически и реализованную практически активную сетевую атаку в беспроводной локальной сети, существующую в нескольких разновидностях, одна из которых описана ниже и проиллюстрирована рис. 8.5.

1. Хакер многократно отправляет абоненту беспроводной локальной сети по проводной сети сообщение известного содержания (например, IP-пакет, письмо по электронной почте и т. п.).
2. Хакер пассивно прослушивает радиоканал связи абонента с точкой радиодоступа и собирает фреймы, предположительно содержащие шифрованное сообщение.
3. Хакер вычисляет ключевую последовательность, применяя функцию XOR к предполагаемому шифрованному и известному нешифрованному сообщениям.
4. Хакер "выращивает" ключевую последовательность для пары вектора инициализации и секретного ключа, породившей ключевую последовательность, вычисленную на предыдущем шаге.

Атакующий знает, что пара вектора инициализации и секретного ключа шифрования, а значит и порождаемая ими ключевая последовательность, может быть повторно использована для воссоздания ключевой последовательности достаточной длины для нарушения конфиденциальности в беспроводной локальной сети в условиях использования шифрования WEP.

увеличить изображение
Рис. 8.5. Повторное использование вектора инициализации

После того, как ключевая последовательность вычислена для фреймов некоторой длины, ее можно "вырастить" до любого размера, как описано ниже и показано на рис. 8.6.

1. Хакер создает фрейм на один байт длиннее, чем длина уже известной ключевой последовательности. Пакеты ICMP (Internet Control Message Protocol - протокол управляющих сообщений Internet), посылаемые командой ping, идеальны для этих целей, ибо точка радиодоступа вынуждена на них отвечать.
2. Хакер увеличивает длину ключевой последовательности на один байт.
3. Значение дополнительного байта выбирается случайным образом из 256 возможных ASCII-символов.
   

   
   увеличить изображение
   Рис. 8.6. "Выращивание" ключевой последовательности
4. Если предполагаемое значение дополнительного байта ключевой последовательности верно, то будет получен ожидаемый ответ от точки радиодоступа, в данном примере это ICMP
5. Процесс повторяется до тех пор, пока не будет подобрана ключевая последовательность нужной длины.