WPA (Wi-Fi Protected Access)

WPA (Wi-Fi Protected Access)

Odata ce vulnerabilitatile WEP-ului devin evidente IEEE incepe lucrul la un standard de securitate care sa serveasca inlocuirii pentru WEP. Noul standard avea sa fie denumit ca 802.11i . Se dorea ca sa se implementeze o solutie rapida pentru echipamentele existente (AP s adaptoarele clientilor) pe care clientii sa le poata implementa cu upgrade de software si firmware. Arhitectii 802.11i-ului vor fi dezvoltat de asemenea o solutie puternica, bazata pe standarde de criptare care vor necesita un nou hardware, dar care va putea fi incorporata in produsele WLAN viitoare.

In 2003 , WECA (Wireless Ethernet Compatibility Alliance) standardizat pe o solutie interimara de securitate bazata pe o munca a grupului 802.11i si se refera la ea ca acces protejat Wi-Fi : WPA (Wi-Fi Protected Access). WPA a fost un subset al capabilitatilor care aveau sa fie o parte finala a standardului 802.11i care putea fi adus pe piata pana cand versiunea finala a standardului avea sa fie finalizata.

Pentru a se adresa acestor probleme, WPA a incorporat doua protocoale ale standardului 802.11i:

a) Temporal Key Integrity Protocol (TKIP): acest protocol rezolva problemele cu criptarea cadrelor si integritatea WEP-ului. Protocolul TKIP utilizeaza algoritmul initial de criptare RC4 care a fost deasemenea utilizat de WEP, dar foloseste o functie de amestecare care creeaza chei per cadru pentru a evita atacul asupra WEP. Deasemenea adauga un cod de integritate al mesajului (MIC- message integrity code ) care activeaza in echipamente solicitarea de autentificare pentru pachetele receptionate. TKIP a fost creat pentru a rula in majoritatea statiilor WLAN existente si echipamentelor AP doar cu upgrade de software/firmware.

b 802.1x Port Based Authentication: acest protocol a fost un standard IEEE existent adaptat de 802.11i si incorporat in solutiile interimare ale WPA. Este prezentat ca autentificare bazata pe port deoarece a fost creat sa furnizeze cadrul care permite unui echipament ce doreste sa se conecteze la o retea (cablata sau fara fir) sa fie autentificata inainte de a i se garanta accesul. 802.1x permite autentificare mutuala, insemnand caci atat statia client se poate autentifica inainte de a se garanta admisia la o WLAN cat si clientul se poate autentifica la WLAN inainte de alaturare. 802.1x furnizeaza deasemenea mecanismul de distribuire al cheii din moment ce furnizeaza un cadru pentru livrarea securizata a "materialului" cheii odata ce un client a fost autentificat.

Cele doua componente ale cheii WPA, TKIP si 802.1x, se adreseaza problemelor primare cu modelul de securitate 802.11 original bazat pe WEP. Au fost solutii bazate pe software, primele componente ale standardului 802.11i care se dezvolta pentru a furniza o puternica criptare a cadrelor si inlocuirea autentificarii pentru WEP.

Autentificarea utilizeaza protocolul 802.1X impreuna cu protocolul EAP (Extensible Authentication Protocol ) disponibil astazi. EAP manevreaza prezentarea credibilitatii userilor, in forma certificatelor digitale (deja des intalnite in securitatea Internet), nume unice de utilizator si parole, carduri "inteligente", ID-uri securizate, sau orice alta metoda de identificare o cere administratorul IT. Un numar mare de standarde bazate pe implementari EAP sunt disponibile utilizarii, inclusiv: EAP Transport Layer Security (EAP-TLS), EAP-Tunneled Transport Layer Security (EAP-TTLS), si Protected Extensible Authentication Protocol (PEAP).

Figura 3.2 Autentificare in LAN

Securitate pentru locuinte si birouri mici -SOHO

Utilizatorii in SOHO si locuinte nu dispun de buget si angajati IT care sa instaleze si sa intretina un server de autentificare RADIUS. WPA are cunostinta de acesta si ofera acestor useri beneficiile securitatii WPA prin folosirea PSK "pre-shared key" sau a parolei. PSK furnizeaza acestor utilizatori, cu aceeasi criptare puternica TKIP, constructia cheii per pachet, si acelasi management al cheii pe care il furnizeaza WPA si intreprinderilor mari. Diferenta este ca aici o parola este manual introdusa pe un echipament al clientului si pe un AP sau pasarela (gateway) wireless si folosita pentru autentificare. Nu atat de robust ca si RADIUS, autentificarile EAP si 802.1X , PSK furnizeaza alternative utile penru retele mai mici.

Figura 3.3 Autentificare in retele mici