نظرا لضعف تقنية التشفير Wired Equivalent Privacy (WEP) فقد قامت مؤسسة Wi-Fi و جمعية مهندسي الكهرباء و الإلكترونيات IEEE بالعمل سويا لاستبداله بمعيار أكثر أمانا و خرج الي النور جيلين الأول يخص Wi-Fi و هو Wi-Fi Protected Access (WPA) و الثاني يخص IEEE و يسمي IEEE 802.11i/WPA2
فأما Wi-Fi Protected Access (WPA) فقد قامت منظمة الواي فاي بإطلاقه في 2003بغرض سرعة استبدال المعيار القديم WEP و هو النسخة الأولية draft للمعيار الأحدث Wi-Fi Protected Access II (WPA2) و الذي يسمي أيضا IEEE 802.11i
و أما IEEE 802.11i/WPA2 فهو كما ذكرنا المعيار الأحدث و الأعقد و قد أطلق في2004 و لهذا فإنه يسمي أيضا IEEE 802.11i-2004 و كل أكسس بوينت التي أنتجت بعد 2003 تستطيع أن تتعامل مع WPA مباشرة أو بترقية برامج تصنيعها firmware
مميزات WPA
تكمن فكرة WPA في استخدام Temporal Key Integrity Protocol (TKIP) و ذلك لتغيير مفاتيح تشفير بطول 128-bit بشكل اوتوماتيكي لكل Packet علي عكس WEPالذي يستخدم مفاتيح تشفير بطول 40-bit أو 104-bit تدخلها في الأكسس بوينت و الجهاز الذي سيستخدم الشبكة و الذي يستخدم تقنية RC4 و تم بعدها تعديل بنيته ليعتمد علي AES encryption
يحتوي أيضا WPA علي تقنية تسمي Micheal و هي تقنية فحص للرزم message integrity check MIC و هي البديلة لتقنية cyclic redundancy check CRCالمستخدمة في WEP و هذه التقنية هي التي مكنت WPA من منع إختراقه بحجب عمليةcapturing التي تستخدم في أخذ نسخ من الرزم المرسلة و تحليلها لإختراق الشبكة و رغم قوة MIC الا أنه استبدل ايضا في WPA2 بوسيلة أكثر قوة
فأما Wi-Fi Protected Access (WPA) فقد قامت منظمة الواي فاي بإطلاقه في 2003بغرض سرعة استبدال المعيار القديم WEP و هو النسخة الأولية draft للمعيار الأحدث Wi-Fi Protected Access II (WPA2) و الذي يسمي أيضا IEEE 802.11i
و أما IEEE 802.11i/WPA2 فهو كما ذكرنا المعيار الأحدث و الأعقد و قد أطلق في2004 و لهذا فإنه يسمي أيضا IEEE 802.11i-2004 و كل أكسس بوينت التي أنتجت بعد 2003 تستطيع أن تتعامل مع WPA مباشرة أو بترقية برامج تصنيعها firmware
مميزات WPA
تكمن فكرة WPA في استخدام Temporal Key Integrity Protocol (TKIP) و ذلك لتغيير مفاتيح تشفير بطول 128-bit بشكل اوتوماتيكي لكل Packet علي عكس WEPالذي يستخدم مفاتيح تشفير بطول 40-bit أو 104-bit تدخلها في الأكسس بوينت و الجهاز الذي سيستخدم الشبكة و الذي يستخدم تقنية RC4 و تم بعدها تعديل بنيته ليعتمد علي AES encryption
يحتوي أيضا WPA علي تقنية تسمي Micheal و هي تقنية فحص للرزم message integrity check MIC و هي البديلة لتقنية cyclic redundancy check CRCالمستخدمة في WEP و هذه التقنية هي التي مكنت WPA من منع إختراقه بحجب عمليةcapturing التي تستخدم في أخذ نسخ من الرزم المرسلة و تحليلها لإختراق الشبكة و رغم قوة MIC الا أنه استبدل ايضا في WPA2 بوسيلة أكثر قوة
WPA Authentication Modes
لدينا نوعان للتوثيق هما (WPA Personal) و (WPA Enterprise)
WPA Personal
في WPA Personal يتم بإستخدام مفتاح متفق عليه بين الجهاز و الأكسس بوينت pre-shared keys (WPA-PSK) و هو المستخدم غالبا في الشبكات الخفيفة SOHO مثل المنازل حيث يعتبر استخدام RADIUS server خيار غير عملي و لهذا فإن WPA يشبهWEP في كونه يسمح بإستخدام pre-shared key (PSK) كمفتاح مشترك بين client وaccess point
WPA Enterprise
و أما (WPA Enterprise) فيتم بإستخدام سيرفر مركزي ببروتوكولات توثيق802.1X/EAP أو بأي نوع EAP مثل EAP-TLS (Transport Layer Security) أو EAP-TTLS PEAP (Protected EAP أو MS-CHAP v2 [Microsoft Challenge Handshake Authentication Protocol] أو غيرها
كما هو الحال مع بروتوكلات التوثيق يتم استخدام فريمات التراسل (probe request, probe response) بين الجهاز و الأكسس بوينت الا أن الإختلاف يكمن في أنه لابد أن يتوافق الأكسس بوينت و الجهاز علي هذه العملية أمنيا ثم يستكمل خطوات توثيق 802.1X و عند استكمالها يقوم السيرفر بإرسال master key الي الأكسس بوينت و التي أخذها مسبقا من الجهاز الطالب للإتصال و لهذا يسمي المفتاحPairwise Master Key (PMK)
ثم يتم بعدها عملية تراسل رباعي four-way handshake و التي يتم منها توليد مفتاح آخر يسمي Pairwise Transient Key (PTK)
ثم يبدأ بعدها مرحلة جديدة من التراسل تسمي two-way group key handshake يحدث تراسل مشفر بواسطة Group Transient Key (GTK), بين client و authenticator
Unicast Keys: Four-Way Handshake
يتم التراسل بين الأكسس بوينت عبر أربع خطوات تسمي four-way handshake ينتج بعدها مفتاح جديد Pairwise Transient Key (PTK) يؤكد عملية الإتصال و التي بدأت عبر مفتاح Pairwise Master Key (PMK)
لعملية التراسل WPA four-way الرباعي عدة فوائد أهمها
- تأكيد مفاتيح PMK بين Supplicant و Authenticator
- توليد المفاتيح المؤقتة pairwise temporal keys
- توثيق معاملات التأمين المتبادلة
قبل أن تحدث عملية التراسل الرباعي WPA four-way handshake لابد أن يتم توليدpairwise master key كنتيجة لعملية توثيق 802.1X بين client و authentication server ثم تتوالي الخطوات التالية
أولا يقوم AP بإرسال رقم عشوائي Nonce الي Client يستخدم لجلسة واحدة فقط one session
ثانيا بهذا الرقم العشوائي و باستخدام أيضا PMK يقوم Client بتوليد مفتاح لتشفير البيانات التي سترسل الي AP و يتم استخدام دالة تسمي pseudo-random function (PRF) و ذلك لحساب PTK كدالة في الأرقام العشوائية المتولدة فيClient و AP و في MAC و في PMK أو المفتاح المشترك و يتم حماية الفريم المرسل بواسطة frame check sequence (FCS) بواسطة تقنية MIC (message integrity check) و ذلك للتأكد من أن الفريم لم يتم اعتراضه
ثالثا يقوم الأكسس بوينت بعد تلقيه nonce بإرساله مرة اخري الي Client بنفس السياسة الأمنية المستقبل بها و يقوم أيضا الأكسس بوينت بإرسال group key و بهذا يكون هناك توثيق بين الأكسس بيونت و الجهاز
رابعا يتم تأكيد أن المفاتيح قد تم ارسالها و العملية جاهزة للتراسل
بمجرد الحصول علي المفتاح المؤقت PTK بطول 64 bit فإنه يتم تقسيمه الي خمس مفاتيح
الأول بطول 16-byte و يسمي EAP over LAN-Key Encryption Key و يختصر لـ EAPOL-KEK و يستخدم في تشفير أي بيانات إضافية مرسلة الي Client
الثاني بطول 16 byte و يسمي EAPOL-Key Confirmation Key و يختصر لـ KCK و يستخدم لحساب MIC
الثالث بطول 16 byte و هو Temporal Key TK و يستخدم لتشفير و فك تشفيرunicast data
Packets
الرابع و الخامس كل منهما بطول 8 byte و هما Michael MIC Authenticator و احدهما يستخدم لحساب MIC المرسل مع البيانات المرسلة مع الأكسس بوينت و الآخر مع Client
Group Key Handshake
يستخدم GTK (Groupwise Transient Key ) لمنع الجهاز من استقبال أي رسائل من الأكسس بوينت و يتم ذلك عبر التراسل الثنائي two-way handshake بهذا السيناريو
أولا يقوم الأكسس بوينت بإرسال GTK جديد لكل الأجهزة في الشبكة و يتم تشفيرها بإستخدام KEK و حمايتها باستخدام MIC
ثانيا تقوم هذه الأجهزة بالإستجابة لـ GTK و الرد علي الأكسس بوينت
و يكون GTK (Groupwise Transient Key ) بطول 32 bytes مقسمة الي ثلاث مفاتيح
الأول بطول 16 byte و هو Temporal Key TK و يستخدم لتشفير و فك تشفير unicast data
Packets
و الثاني و الثالث كل منهما بطول 8 byte و هما Michael MIC Authenticator و احدهما يستخدم لحساب MIC المرسل مع البيانات المرسلة مع الأكسس بوينت و الآخر مع Client
WPA Encryption
أولا يقوم AP بإرسال رقم عشوائي Nonce الي Client يستخدم لجلسة واحدة فقط one session
ثانيا بهذا الرقم العشوائي و باستخدام أيضا PMK يقوم Client بتوليد مفتاح لتشفير البيانات التي سترسل الي AP و يتم استخدام دالة تسمي pseudo-random function (PRF) و ذلك لحساب PTK كدالة في الأرقام العشوائية المتولدة فيClient و AP و في MAC و في PMK أو المفتاح المشترك و يتم حماية الفريم المرسل بواسطة frame check sequence (FCS) بواسطة تقنية MIC (message integrity check) و ذلك للتأكد من أن الفريم لم يتم اعتراضه
ثالثا يقوم الأكسس بوينت بعد تلقيه nonce بإرساله مرة اخري الي Client بنفس السياسة الأمنية المستقبل بها و يقوم أيضا الأكسس بوينت بإرسال group key و بهذا يكون هناك توثيق بين الأكسس بيونت و الجهاز
رابعا يتم تأكيد أن المفاتيح قد تم ارسالها و العملية جاهزة للتراسل
بمجرد الحصول علي المفتاح المؤقت PTK بطول 64 bit فإنه يتم تقسيمه الي خمس مفاتيح
الأول بطول 16-byte و يسمي EAP over LAN-Key Encryption Key و يختصر لـ EAPOL-KEK و يستخدم في تشفير أي بيانات إضافية مرسلة الي Client
الثاني بطول 16 byte و يسمي EAPOL-Key Confirmation Key و يختصر لـ KCK و يستخدم لحساب MIC
الثالث بطول 16 byte و هو Temporal Key TK و يستخدم لتشفير و فك تشفيرunicast data
Packets
الرابع و الخامس كل منهما بطول 8 byte و هما Michael MIC Authenticator و احدهما يستخدم لحساب MIC المرسل مع البيانات المرسلة مع الأكسس بوينت و الآخر مع Client
Group Key Handshake
يستخدم GTK (Groupwise Transient Key ) لمنع الجهاز من استقبال أي رسائل من الأكسس بوينت و يتم ذلك عبر التراسل الثنائي two-way handshake بهذا السيناريو
أولا يقوم الأكسس بوينت بإرسال GTK جديد لكل الأجهزة في الشبكة و يتم تشفيرها بإستخدام KEK و حمايتها باستخدام MIC
ثانيا تقوم هذه الأجهزة بالإستجابة لـ GTK و الرد علي الأكسس بوينت
و يكون GTK (Groupwise Transient Key ) بطول 32 bytes مقسمة الي ثلاث مفاتيح
الأول بطول 16 byte و هو Temporal Key TK و يستخدم لتشفير و فك تشفير unicast data
Packets
و الثاني و الثالث كل منهما بطول 8 byte و هما Michael MIC Authenticator و احدهما يستخدم لحساب MIC المرسل مع البيانات المرسلة مع الأكسس بوينت و الآخر مع Client
WPA Encryption
كما أن WPA قد دعم عملية التوثيق authentication بشكل كبير فإنه أيضا فد قام بتحسين التشفير encryption أيضا بشكل رائع حسن و ذلك عبر نظامين هما AES وTKIP أما AES فهو نظام جديد أقوي من نظام التشفير RC4 المستخدم مع WEP و لكنه يحتاج الي الكثير من الطاقة بالإضافة الي ضرورة دعم الجهاز لهذا النوع من التشفير و أما TKIP و هو اختصار Temporal Key Integrity Protocol فهو بروتوكول لا زال يستخدم تقنية RC4 و هي الخيار الإفتراضي للـ WPA الا أن به تحسينات عن الذي يستخدم مع WEP حيث أنه يستخدم مفاتيح بطول 128 bit بعد أن كان يستخدم مفاتيح بطول 40-bit مع WEP أما العيب الثاني الذي تخطاه WPA هو IVinitialization vector فمن المعروف أن المفتاح يتم مزجه مع المفتاح الرئيسي بواسطة عملية XOR كما بالشكل السابق و لأن IV في WEP قيمة محددة لا تتغير و غير مشفرة فإنه و باستخدام بعض برامج بتحليل Packets تستطيع أن تكشف قيمة IV و من ثم تكسر هذا التشفير و ذلك في غضون ساعات قليلة أما في WPA فتغيرت هذه العملية كذلك أصبح IV بطول 48 bit و ليس بطول 24 bit كما كان في WEP و هذا يحتاج 280 تريليون محاولة لكسره أي ما يساوي محاولات تتم في 645 سنة كذلك يتم عمل عملية مزج mixer لكل مفتاح PTK مع عنوان الجهاز MAC مع رقم كل باكت مخرجا لنا مفتاح متغير لكل باكت ثم مزج ذلك مع IV ليتم تشفير البيانات المرسلة بها و بهذا فإنه بالإضافة لصعوبة كسر هذا التشفير فإنه الأكسس بوينت يستطيع اكتشاف عملية الإختراق بواسطة عنوان الجهاز المرسل مع مفتاح التشفير Message Integrity Check
التعديل الآخر في WPA هو استخدام تقنية تسمي Message Integrity Code تختصر اليMIC أو Michael حيث يتم وضع بعص bits القليلة الي الباكت قبل تشفيرها و ذلك لمراقبة مدي سلامة ارسال الباكت
WPA2 / 802.11i
الآن لدينا في WPA مفاتيح أطول و IV أطول و مزج فعال و كذلك تقنية MIC للتأكد من سلامة وصول الباكت الا أن عملية التراسل الرباعي الموجودة في WPA PSKالمدعوم افتراضيا في شبكات SOHO تغري بلإختراق و ذلك عبر عمل عملية فك الإرتباطdeauthentication و من ثم انتحال شخصية أحد أجهزة الشبكة , و ان كان هذا الأمر أصعب بكثير مما يتم في WEP الا أنه يحدث و هذا ما دعا الخبراء الي الإنتقال اليWPA2
WPA2 مبني علي 802.11i و انتهي منه في 2004 و يدعم بروتوكولات التوثيق المركزي802.1X و يستبدل تقنية تشفير RC4 بالجيل الثاني من طرق التشفير AES الذي أطلق من قبل National Institute of Standards and Technology (NIST) والذي يستخدم عمليات مزج تسمي Rijndael algorithm و يعلو بالتأمين بإستخدام IV لكل بلوك مرسل و يستخدم أيضا طلايقة التأكد من وصول الباكت MIC مثلما يفعل WPA
و هذه مقارنة بين WPA, WPA2, 802.11i
تطوير سيسكو الخاص بـ WPA
دائما سيسكو لها لمساتها في أي تقنية ومن هذه اللمسات الرائعة key cachingحيث يتم حفظ مفاتيح الولوج عند خروج الأجهزة من الشبكة وذلك عبر تثبيت قيمة SAلكل جهاز وعند رجوعه الي حيز الشبكة يستطيع الدخول مرة أخري بدون الحاجة الي إعادة التوثيق
كذلك قامت سيسكو بتطوير WPA بعمل مركزية لمفاتيح الولوج تسمي Cisco Centralized Key Management حيث يقوم الكنترولر بإدارة عمليات الربطassociation كما يحدث في 802.1X حيث يقوم الكنترولر بدور الموثقauthenticator و ليس الأكسس بوينت فبمجرد ارتباط الأكسس بيونت بالكنترولر يتم توثيقه في أقل من 100 مللي ثانية و يحدث نفس الأمر عند رجوعه مرة أخري في حال ابتعاده حيث يحدث تخزين caching لمفتاح PMK
Aucun commentaire:
Enregistrer un commentaire