Введение
Когда мы рассматривали WPA в последний раз (в нашем Руководстве “сетевика” за ноябрь 2002 года), у комитета Wi-Fi Alliance вряд ли были лёгкие времена. Он решил не ждать, пока группа IEEE Task Force закончит свою работу. Вместо этого комитет решил взять подмножество разработанных технологий и вынести их на рынок в максимально короткий срок.
В апреле на выставке Networld+Interop в Лас-Вегасе комитет Wi-Fi Alliance с гордостью представил стандарт WPA и объявил о запуске процесса сертификации, что можно трактовать как начало новой эпохи в безопасности беспроводных сетей.
В данном руководстве мы подробно рассмотрим суть WPA, потенциальные возможности для распространения технологии в продуктах, производительность и эффективность защиты. Приступим.
Всё зависит от элементов в уравнении
WPA представляет собой подмножество технологий из грядущего стандарта 802.11i, который комитет Wi-Fi Alliance называет WPA2. Комитет Wi-Fi Alliance посвятил WPA целый раздел сайта для продвижения нового стандарта в жизнь. Так что если вам нужна подробная информация из первых рук, то вы знаете, где её найти.
Достаточно полезным документом можно назвать презентацию для средств массовой информации, показанную на последней выставке Networld+Interop в апреле. Презентация даёт как подноготную WPA, так и информацию о составляющих элементах технологии.
Там же даётся простое “уравнение” расчёта WPA:
WPA = 802.1X + EAP + TKIP + MIC
То есть WPA является суммой нескольких элементов, и ниже мы рассмотрим каждый из них.
Аутентификация пользователя
Стандарт WPA использует 802.1x и Расширенный протокол аутентификации (Extensible Authentication Protocol, EAP) в качестве основы для механизма аутентификации. Аутентификация требует, чтобы пользователь предъявил свидетельства/ мандат (credentials) того, что ему позволено получать доступ в сеть. Для этого права пользователя проверяются по базе данных зарегистрированных пользователей. Для работы в сети пользователь должен обязательно пройти через механизм аутентификации.
База данных и система проверки в больших сетях обычно принадлежат специальному серверу – чаще всего RADIUS. Однако, поскольку применение WPA подразумевается всеми категориями пользователей беспроводных сетей, стандарт имеет упрощённый режим, который не требует использования сложных механизмов.
Этот режим называется Pre-Shared Key (WPA-PSK) – при его использовании необходимо ввести один пароль на каждый узел беспроводной сети (точки доступа, беспроводные маршрутизаторы, клиентские адаптеры, мосты). До тех пор, пока пароли совпадают, клиенту будет разрешён доступ в сеть. На Рис. 1 показан весь процесс.
Рис. 1: WPA – аутентификация PSK.
(Диаграмма взята с презентации Wi-Fi Alliance Networld+Interop 2003 по разрешению.)
Шифрование
Несмотря на то, что предшественник WPA, протокол WEP, не имел каких-либо механизмов аутентификации вообще, ненадёжность WEP заключается в криптографической слабости алгоритма шифрования. Как указано в этом прекрасно написанном документе от RSA Security, ключевая проблема WEP кроется в слишком похожих ключах для различных пакетов данных.
Части TKIP, MIC и 802.1X уравнения WPA играют свою роль в усилении шифрования данных сетей с WPA. В следующей выдержке из документации Wi-Fi Alliance WPA дан хороший обзор того, как они работают вместе:
TKIP увеличивает размер ключа с 40 до 128 бит и заменяет один статический ключ WEP ключами, которые автоматически создаются и распространяются сервером аутентификации. TKIP использует иерархию ключей и методологию управления ключами, которая убирает предсказуемость, использовавшеюся взломщиками для снятия защиты ключа WEP.
Для этого TKIP усиливает структуру 802.1X/ EAP. Сервер аутентификации, после принятия мандата пользователя (credential), использует 802.1X для создания уникального основного ключа (двустороннего) для данного сеанса связи. TKIP передаёт этот ключ клиенту и точке доступа, затем настраивает иерархию ключей и систему управления, используя двусторонний ключ для динамического создания ключей шифрования данных, которые используются для шифрования каждого пакета данных, которые передаются по беспроводной сети во время сеанса пользователя. Иерархия ключей TKIP заменяет один статический ключ WEP на примерно 500 миллиардов возможных ключей, которые будут использоваться для шифрования данного пакета данных.
Проверка целостности сообщений (Message Integrity Check, MIC) предназначена для предотвращения захвата пакетов данных, изменения их содержимого и повторной пересылки. MIC построена на базе мощной математической функции, которую применяют отправитель и получатель, а затем сравнивают результат. Если он не совпадает, то данные считаются ложными и пакет отбрасывается.
С помощью значительного увеличения размера ключей и числа используемых ключей, а также создания механизма проверки целостности, TKIP преумножает сложность декодирования данных в беспроводной сети. TKIP значительно увеличивает силу и сложность беспроводного шифрования, делая процесс вторжения в беспроводную сеть намного более сложным, если не невозможным вообще.
Важно отметить, что механизмы шифрования, используемые для WPA и WPA-PSK, являются одинаковыми. Единственное отличие WPA-PSK заключается в том, что там аутентификация производится по какому-либо паролю, а не по мандату пользователя. Некоторые наверняка заметят, что подход с использованием пароля делает WPA-PSK уязвимой для атаки методом подбора, и в чём-то они будут правы. Но мы хотели бы отметить, что WPA-PSK снимает путаницу с ключами WEP, заменяя их целостной и чёткой системой на основе цифробуквенного пароля. И наверняка подобная система пойдёт дальше WEP, поскольку она настолько проста, что люди будут использовать её на самом деле.
После того, как вы узнали теорию о работе WPA, давайте перейдём к практике.
Модернизация: 11g впереди всех
Итак, вас привлекает WPA, и вы желаете внести поддержку этого стандарта в свою беспроводную сеть как можно быстрее! С чего начать?
Будь вы “корпоративным” или домашним пользователем, вам необходимо пройти три шага:
- Узнать, поддерживает ли ваша точка доступа или беспроводный маршрутизатор WPA, либо к ним появилось соответствующее обновление прошивки.
- Узнать, поддерживает ли ваши клиентские адаптеры WPA, либо к ним появились новые драйверы.
- Понять, нужно ли вам покупать дополнительное приложение поддержки для вашего беспроводного клиента.
Шаги 1 и 2 кажутся простыми, однако для их реализации продукты должны пройти всю эволюционную цепочку. Поскольку большинство производителей сетевого оборудования для OEM и ODM находится на Тайване, эти компании должны первоначально получить и внедрить код от производителей беспроводных чипов, а уже затем выпустить драйверы и прошивки для своих продуктов.
Задача отнюдь не мизерная, учитывая, что сегодня по данным Wi-Fi Alliance существует более 700 сертифицированных продуктов, не говоря о сотнях несертифицированных решений. Обновления сначала необходимо выслать компаниям-производителям сетевого оборудования, которые проведут тестирование и (будем надеяться) при успешной работе выложат драйвер для скачивания.
По всей видимости, первыми обновление прошивки получат продукты на базе 802.11g. Вряд ли производители будут медлить с выпуском этих продуктов, поскольку они заинтересованы в появлении на полках магазинов последних версий устройств со своей торговой маркой. Однако нам показался удивительным тот факт, что продукты на базе Broadcom, похоже, первыми получат обновление WPA, несмотря на то, что Intersil уже выпустила код WPA своим клиентам в январе для чипсета 11b PRISM 2.5 и в марте для чипсетов 11g GT и 11a/b/g Duette.
Модернизация: 11g впереди всех, продолжение [обновлено]
В Таблице 1 показаны обновления WPA, доступные для продуктов на базе Broadcom на момент выхода статьи:
Производитель | Модель |
Belkin | Точка доступа F5D7130 Маршрутизатор F5D7230-4 Клиент CardBus F5D7010 Клиент PCI F5D7000 |
Buffalo Technology | Маршрутизатор WBRG54 Клиент CardBus WLI-CB-G54 Клиент CardBus WLI-CB-G54A |
Linksys | Клиент CardBus WPC54G Маршрутизатор WRT54G |
Таблица 1. Продукты 802.11g на базе Broadcom с поддержкой WPA.
В Таблице 2 показана аналогичная информация для продуктов на базе Intersil. Имейте в виду, что на момент выхода статьи на рынке не было клиентов 11g на базе Intersil с поддержкой WPA.
Обновлено 27 августа, 2003
Изначально в таблице продукты NETGEAR были указаны как имеющие обновление WPA, но поскольку до сих пор ни один из их продуктов не поддерживает WPA, мы удалили их.
Производитель | Модель |
SMC | Маршрутизатор SMC2804WBR Беспроводный адаптер PCI SMC2802W EZ Connect 2.4-GHz 54-Mbps Беспроводный адаптер CardBus SMC2835W EZ Connect 2.4-GHz 54-Mbps |
Таблица 2: продукты 802.11g на базе Intersil с поддержкой WPA.
Если обратиться к другим крупнейших производителям чипсетов, то Atheros сообщила нам, что она выпустила код WPA своим клиентам 31 мая. Однако президент Atheros Крейг Бэррэт (Craig Barratt) на апрельской выставке Networld+Interop уверял, что Atheros не будет поддерживать WPA на первом поколении чипсетов 11a, которые уже сняты с производства.
SMC сообщила нам о скором выпуске обновлений WPA для карт a/b и a/b/g на базе Atheros, что отражено в Таблице 3 ниже.
Производитель | Модель |
SMC | Универсальный беспроводный адаптер CardBus SMC2335W EZ Connect 2.4-GHz/ 5-GHz Универсальный беспроводный адаптер CardBus SMC2336W-AG EZ Connect 2.4-GHz/ 5-GHz 802.11a/g |
Таблица 3: продукты 802.11g на базе Atheros с поддержкой WPA.
Компания Agere Systems уже выслала код WPA своим клиентам в мае, причём бета-версия кода была разослана ещё раньше. Как утверждает Agere, сертифицированные под поддержку WPA продукты Wi-Fi будут доступны в конце июня.
Мы также запросили информацию о WPA у TI, но так и не получили ответа.
Модернизация: 11b и прочее…
Если первые предложения можно считать каким-либо показателем, то владельцам продуктов 802.11b и a/b следует набраться терпения и ждать появления обновлений WPA. Насколько мы знаем, на данный момент единственными устройствами 11b с обновлением до WPA являются Cisco 802.11b Aironet 1100 и 11a/b Aironet 1200, клиентская карта Linksys WPC11 Ver3 и линейка 3Com AP8000
Cisco выпустила обновления в начале июня, обогнав другие компании. Однако обновление WPA для клиента Aironet 350 пока ещё не вышло, поэтому решение от Cisco нельзя считать полным.
Можно приветствовать старания Linksys по модернизации своих карт, которые широко распространены. Однако до появления обновлений WPA для точек доступа или беспроводных маршрутизаторов 11b ещё пройдёт некоторое время. Linksys говорит лишь одно слово по этому поводу – “скоро”.
Опрос производителей на тему выпуска продуктов 11b с поддержкой WPA дал следующие ответы:
SMC – 1 мая компания объявила, что “линейка беспроводных сетевых продуктов будет поддерживать новый стандарт WPA к концу квартала” (конец июня).
U.S. Robotics – сообщила нам, что компания начнёт поддерживать WPA во всех продуктах 802.11b+ (22 Мбит/с) на базе чипсета TI в начале августа и только под WinXP. Предполагается, что обновления для адаптеров PC Card и PCI появятся в конце июня, а поддержка точек доступа/ маршрутизаторов – “через несколько недель”.
ZyXEL – “Поддержка WPA появится в линейке ZyAIR в середине июля. Мы также планируем провести сертификацию WPA в июле.”
А что насчёт продуктов типа беспроводных мостов Linksys WET11 и WET54G? Похоже, что задержка связана с сапликантом (более подробно сапликанты будут рассмотрены в следующем разделе).
Код, необходимый для внедрения каждой вариации EAP (EAP-MD5, EAP-TLS и т.д.) довольно громоздок, особенно если учитывать ограниченный объём флэш-памяти устройств. То есть разработчикам мостов приходится быть весьма избирательными при выборе метода аутентификации WPA, при этом реализовать поддержку WPA будет отнюдь не просто. Если уйти от отдельных пресс-релизов, электронных писем и разговоров, то можно выделить два основных факта:
- Производители прикладывают основные усилия по внедрению WPA в текущее поколение продуктов 802.11g и a/b/g.
- Модернизация старых продуктов до поддержки WPA не гарантируется. Обещания производителей по поводу модернизации сильно разнятся, причём тенденция такова, что “позже” вероятнее, чем “раньше”.
Заключение 1: С учётом ограниченных ресурсов по разработке, производители беспроводных продуктов направляют свои основные усилия на линейку 11g в надежде того, что высокая пропуская способность 11g заставит пользователей оставить продукты 11b, снимая необходимость в их модернизации до поддержки WPA.
Нужны сапликанты
Если вернуться к трёхэтапному процессу модернизации WPA, то третий шаг кажется грязным маленьким секретом WPA – по крайней мере, изначально. Получается что одного драйвера с поддержкой WPA для вашего беспроводного адаптера ещё мало. Хотя драйвер с поддержкой WPA добавляет код “элементов” в уравнении (TKIP, 802.1x и т.д.), это отнюдь не означает, что клиент автоматически приобретёт интеллект, необходимый для использования новых возможностей.
Этот интеллект содержится в программном обеспечении, известным как “сапликант” (supplicant), причём, как оказывается, внедрять его труднее, чем думали поначалу производители сетевого оборудования (и поставщики чипов WLAN). На данный момент наиболее широко распространены следующие сапликанты: патч WPA для Windows XP, клиент Odyssey от Funk Software и клиент AEGIS от Meetinghouse Data Communications.
Выделим преимущества и недостатки:
- Патч WPA для Windows XP добавляет поддержку технологии во встроенный беспроводный клиент “нулевой конфигурации” (Zero Configuration). Как вы увидите ниже, он прекрасно справляется со своими задачами. Хорошая новость – патч можно свободно скачать. Плохая – для его использования вам понадобится Windows XP.
- Клиент Funk имеет демо-версию, тоже свободную для скачивания. Клиент работает под Windows XP, 2000, 98, Me и Pocket PC, при этом он поддерживает более широкий ассортимент протоколов аутентификации, чем патч WinXP. Однако вам придётся выложить около $50 за полную версию клиента, если вы его всё же будете покупать.
- Клиент AEGIS тоже имеет период бесплатной эксплуатации, при этом он поддерживает ещё большее число ОС, включая Linux, Mac OS X, Windows XP, NT, 2000, 98, ME и Pocket PC 2002. Отрицательной стороной клиента является его платная основа, хотя $40 за клиента всё же меньше, чем в случае Funk.
Нужны сапликанты, продолжение
Поэтому на данный момент сапликанты WPA под другие системы, отличные от WinXP, могут и не прилагаться к обновлению WPA для вашего беспроводного адаптера. Мы связались с несколькими производителями оборудования и беспроводных чипов по поводу этого вопроса и запросили их планы по обеспечению сапликантов для операционных систем, отличных от WinXP. Вот что нам ответили:
3Com – существуют планы по включению саппликанта WPA только для клиентских карт 802.11g, которые будут поддерживать WPA-PSK под Win98SE/ ME/ 2000/ XP. Пользователям, которым необходимо использовать WPA с аутентификацией RADIUS (“Enterprise mode”) смогут использовать патч WPA для Win XP и утилиту нулевой конфигурации Win XP, однако для других ОС придётся приобрести сапликанты от третьих компаний.
Agere Systems – Agere поставляет полнофункциональную версию клиента Odyssey от Funk вместе с приложением по управлению.
Apple – поддержка WPA с сапликантом будет включена в Mac OS X версия 10.3 (“Panther”), которая будет выпущена к концу 2003 года.
Atheros – имеет встроенный в клиентское программное сапликант WPA обеспечение.
Belkin – “Что касается ОС, отличных от XP, то мы надеемся встроить поддержку WPA в программное обеспечение, поставляемое нами в данный момент”. Сегодня поддержка WPA осуществляется под WinXP с патчем WPA.
Buffalo Tech – На данный момент, модернизация до поддержки WPA требует от пользователей XP скачивание патча Microsoft WPA. Пользователям других ОС мы рекомендуем скачать демо-версию клиента Odyssey от Funk Software (полная версия стоит примерно $50 за клиента). Представитель Buffalo сообщил нам, что компания работает над клиентом с поддержкой WPA, который также захватит и 802.11i (WPA2), однако он не сказал, когда клиент будет готов.
Linksys – Ссылается на патч WPA для XP. Для остальных ОС рекомендуется использовать клиент Odyssey от Funk Software.
Netgear – “Мы намерены сертифицировать наши продукты под совместную работу с Meetinghouse и Funk, и сегодня мы работаем с этими компаниями, чтобы найти способ осуществления этого с нашими клиентскими продуктами.”
SMC – “Все наши беспроводные продукты линейки EliteConnect будут поставляться с сапликантами WPA и для ОС, отличных от XP.” Позиция SMC по поводу других беспроводных продуктов была не слишком ясна, хотя компания уже поставляет вместе с некоторыми адаптерами раннюю версию Meetinghouse AEGIS, которая не умеет работать с WPA.
TI – Без ответа.
USR – “Мы планируем ввести экспериментальную поддержку для адаптеров PC Card/PCI к концу августа, за чем последует поддержка точек доступа/ маршрутизаторов к концу сентября. Однако эта поддержка экспериментальна и зависит от обновлений TI”.
ZyXEL – “ZyXEL сегодня поставляет свободную копию клиента Meetinghouse AEGIS с беспроводными адаптерами ZyXEL. В результате этого клиенты, работающие не под операционными системами XP или Win2000 SP3 получат преимущество от аутентификации IEEE802.1x. ZyXEL включит дополнительные спецификации WPA TKIP через сходное программное обновление как для существующих клиентских адаптеров ZyAIR, так и для будущих адаптеров ZyAIR, которые будут выпущены в ближайшие месяцы. ZyXEL будет включать сапликант на CD с продуктами.”
Заключение 2. Судя по всей переписке, которую мы провели с компаниями при подготовке этой статьи, мы полагаем, что производители беспроводных продуктов вполне осознают: существующая ситуация “принеси сам” для пользователей ОС, отличных от XP, никуда не исчезнет. Однако достаточное число компаний работает над исправлением этой проблемы, ведь любой производитель, пустивший ситуацию на самотёк, когда-нибудь (к частью, скорее раньше, чем позже), окажется в минусах по отношению к конкурирующим решениям.
Заключение 2a. В ближайшей перспективе, если вы желаете избежать головных болей и дополнительных издержек с WPA, лучше работать под WinXP.
WPA в действии: ТД в режиме “SOHO”
Как только вы получите обновления до поддержки WPA для вашей клиентской карты, а также для точки доступа или беспроводного маршрутизатора, следуйте инструкциям производителя и установите обновления. Пока что все ТД, которые попали к нам в руки, обновлялись через установку новой версии прошивки. Клиентским адаптерам обновление прошивки не нужно – они начинают поддерживать WPA сразу после обновления драйверов.
На Рис. 2 показан экран безопасности точки доступа Belkin F5D7130 54G которая была обновлена до поддержки WPA и установлена в режим WPA-PSK (Pre-Shared Key).
Рис. 2. Аутентификация WPA – PSK.
Скриншот наглядно показывает, что настройка WPA-PSK очень легка. Всё, что вам нужно – включить режим и ввести буквенно-цифровой пароль длиной от 8 до 63 символов. Пароль может даже включать символы и пробелы!
А что же делать с выбором Способа шифрования/ Encryption Technique? Похоже, что реализация Broadcom для продуктов 54g включает опциональный выбор шифрования AES помимо требуемого TKIP.
Поскольку шифрование AES требует значительно большей вычислительной мощности, чем WEP, оно не было включено в спецификации WPA по причине боязни производителей слишком сильно уменьшить пропускную способность для “наследственных” устройств. Однако поскольку Broadcom внедрила аппаратное ускорение AES в чипсет 54g AirForce, похоже, что этот способ шифрования был внедрён в качестве опции. (Вы увидите ниже, почему…)
Ну а как насчёт поддержки AES другими производителями чипсетов?
Чипсеты Atheros 11g и a/b/g также содержат аппаратное ускорение AES, и будут поддерживать AES для WPA в качестве опции.
Хотя Intersil также встроила аппаратную поддержку AES в чипсеты GT и Duette, эталонный дизайн 11g, предоставленный нам для тестирования, не предлагает AES в качестве опции шифрования WPA.
Наконец, TI вообще не ответила на наш запрос, поэтому мы не можем сказать, будет ли чипсет 11g компании (который имеет аппаратную поддержку AES) предлагать опцию шифрования AES.
Итак, на этом настройка ТД при WPA-PSK закончена. Сейчас мы рассмотрим немного более сложный “Корпоративный/ Enterprise” режим ТД.
WPA в действии: ТД в режиме “Корпоративный/ Enterprise”
На Рис. 3 показан экран ТД Belkin при выборе опции WPA с сервером RADIUS/ WPA (with RADIUS server).
Рис. 3: аутентификация WPA (Radius).
Как видим, настройка режима “Корпоративный/ Enterprise” WPA не настолько и сложнее. Всё, что вам необходимо – ввести IP-адрес сервера RADUIS, номер порта (по умолчанию указан 1812) и ключ RADIUS (аналогичен паролю WPA).
Belkin также позволяет указывать интервал Re-Key, который указывает промежуток времени, через который ТД или сервер RADIUS раздают новый групповой ключ всем своим клиентам. Процесс смены ключа является частью улучшений безопасности WPA: эквивалентом WPA автоматической смены ключа WEP для ТД и всех станций в беспроводной сети на периодической основе. Установка интервала Re-Key также поддерживается некоторыми ТД в режиме WPA-PSK, в то время как другие ТД, типа решений Belkin, поддерживают только фиксированный интервал Re-Key.
Конфигурация сервера RADIUS выходит за рамки нашего руководства, однако, по сути, сервер заменяет один пароль аутентификацией на уровне пользователей. Данный режим проиллюстрирован Рис. 4, где ТД просто передаёт запрос на аутентификацию к серверу RADIUS вместо осуществления её самостоятельно. Сервер проверяет мандат пользователя, а затем в соответствии с базой данных учётных записей, разрешает или запрещает доступ в сеть клиенту, при этом распространяя групповой ключ на все станции, чтобы они смогли начать шифрование и процесс обмена данными.
Рис. 4. Аутентификация режима WPA “Корпоративный/ Enterprise”.
(Диаграмма взята из презентации Wi-Fi Alliance на Networld+Interop 2003, используется по разрешению.)
С самим сервером RADIUS для поддержки WPA не требуется осуществлять каких-либо операций, поскольку аутентификация клиента WPA с точки зрения сервера ничем не отличается от других клиентов. Однако при этом подразумевается, что сервер поддерживает аутентификацию 802.1X и требуемый EAP типа 1 (расширенный протокол аутентификации, Extensible Authentication Protocol). Мы более подробно поговорим об этом в следующем разделе, где описывается клиентская часть WPA.
WPA в действии: клиент в режиме “SOHO”
Поскольку ранние применения WPA опираются на WinXP и патч WPA, то мы будем использовать эту операционную систему для описания клиентской стороны WPA. Сначала мы рассмотрим режим WPA-PSK или “SOHO”.
На Рис. 5 показаны экран беспроводных свойств сети Wireless Network Properties после установки патча XP WPA со стороны клиента. Как видим, там доступен выбор режимов аутентификации.
Рис. 5. Выбор аутентификации со стороны клиента.
Для WEP используются опции аутентификации Открытый/ Open и Общий/ Shared, причём вы наверняка встречались с ними и раньше. Среди других опций присутствуют WPA и WPA-PSK, где последняя обозначает простой режим WPA “SOHO”.
Совет: Обратитесь к данному FAQ, если вам нужна более подробная информация о режимах аутентификации Open и Shared (на английском).
Закладка Ассоциация/ Association позволяет ввести сетевой ключ размером от 8 до 63 символов, причём вам придётся ввести его два раза. Впрочем, если вы не введёте ключ самостоятельно на закладке, то XP все равно запросит ключ при выборе беспроводного соединения.
Как только вы выберите способ аутентификации, вам необходимо выбрать метод шифрования данных из списка опций, показанных на Рис. 6.
Рис. 6. Выбор метода шифрования данных со стороны клиента под XP.
WPA в действии: клиент в режиме “SOHO”, продолжение
Как мы уже упоминали выше, обязательным методом шифрования в соответствие со спецификацией WPA является TKIP (Temporal Key Integrity Protocol). Однако, в зависимости от вашего клиентского адаптера, вы можете обнаружить также опцию AES. Вы можете выбирать любой метод, конечно, если ваша ТД или беспроводный маршрутизатор тоже его поддерживает.
Если вы всё сделали правильно, то всё, что вам нужно – поместить клиента в зону действия сети и выбрать окно просмотра доступных беспроводных сетей View Available Wireless Networks под Windows XP. Информация в окне зависит от того, определит ли адаптер клиента точку доступа с поддержкой WPA. На Рис. 7 показано окно при выборе подключения к ТД с поддержкой WPA, а на Рис. 8 – при подключении к ТД без WPA.
Рис. 7. Выбор WLAN с поддержкой WPA.
Рис. 8. Выбор WLAN без поддержки WPA.
Если вы уже подключались к ТД до этого и сетевой ключ правильный, то XP, скорее всего, не выдаст никакого окна вообще и просто осуществит подключение автоматически. Однако если вы подключаетесь впервые к сети с WPA, и ваши прочие настройки WPA корректны, то вам все придётся ввести сетевой ключ два раза. Намного легче, чем ввод 26-символьного шестнадцатеричного ключа WEP, не правда ли?
WPA в действии: клиент в режиме “Корпоративный/ Enterprise”
Как мы уже описывали выше, единственное отличие между WPA-PSK и “нормальным” WPA кроется в аутентификации и в используемом мандате. В режиме WPA-PSK аутентификация происходит в ТД или беспроводном маршрутизаторе, при этом в качестве мандата используется введённый вручную в ТД ключ PSK.
В “Корпоративном/ Enterprise” режиме WPA аутентификация осуществляется через сервер аутентификации, используя различные типы мандатов: цифровые сертификаты, имена пользователей и пароли, смарт-карты или другие формы ID. ТД или беспроводный маршрутизатор в данном случае лишь передают трафик аутентификации между беспроводным клиентом и проводной сетью.
WPA использует EAP (расширенный протокол аутентификации, Extensible Authentication Protocol), чтобы усилить аутентификацию на уровне пользователя стандартом управления доступом к сети на основе портов 802.1x. Протокол EAP с самого начала разрабатывался с учётом возможности расширения для поддержки различных способов аутентификации и протоколов. Точный способ аутентификации зависит от сапликанта клиента и используемого сервера аутентификации. Конечно же, выбранный способ должен поддерживаться как клиентом и сервером!
Как мы уже отмечали раньше, внедрение сапликантов для клиентов WPA оказалось более трудоёмким, чем поначалу думали производители оборудования WLAN. Сапликанты к тому же представляют собой довольно объёмные приложения, поскольку они содержат большую часть “интеллекта”, необходимого для процесса аутентификации. Так что именно на клиентской части сети, скорее всего, придётся выбирать используемый метод аутентификации.
Как показано на Рис. 9, патч WPA для Windows XP поддерживает только безопасность EAP-Transport Level Security (EAP-TLS) для сертификата, а также аутентификацию на базе смарт-карт и протокол Protected EAP-Microsoft Challenge Handshake Authentication Protocol version 2 (PEAP-MS-CHAP v2) для аутентификации на базе пароля.
Рис. 9. Опции аутентификации клиента под XP.
Сапликанты Funk Odyssey и Meetinghouse AEGIS, которые поставляют некоторые производители оборудования или ссылаются на них, содержат более широкий набор опций, включая EAP-TTLS, EAP-PEAP, EAP-TLS, Cisco LEAP и EAP-MD5.
На этом мы закончим обсуждения этого способа WPA, поскольку настройка клиента очень сильно зависит от конфигурации и способа. Будем надеяться, что при настройке клиента в режиме WPA “Корпоративный/ Enterprise” вам будет помогать сетевой администратор.
Сейчас, когда вы имеете всю необходимую информацию для установки WPA, давайте посмотрим, приведёт ли новый способ защиты к уменьшению пропускной способности.
WPA в действии: производительность Broadcom
Сразу же скажем – использование WPA не приведёт к ощутимому падению пропускной способности. Однако, по крайней мере на ранних этапах, не все реализации WPA одинаковы. Поскольку, как нам кажется, Broadcom лидирует по выпуску WPA, мы начнём с примеров работы продуктов на базе чипсетов этой компании.
Примечания:
- Как и в случае со стандартом draft-802.11g после его появления, WPA сегодня находится на ранних этапах развития. Даже если финальные спецификации WPA уже утверждены, производители все равно проходят эволюционный путь и настраивают свои реализации. Так что ваши результаты могут отличаться, если вы будете проводить свои собственные эксперименты с более поздними драйверами.
- Всё тестирование осуществлялось при условиях хорошего сигнала и близкого расстояния – клиент и ТД были удалены друг от друга примерно на полтора метра, а данные передавались от клиента на ТД. Все клиенты тестировались на ноутбуке Dell Inspiron 4100 под WinXP Home SP1 с патчем WPA.
Поскольку Belkin оказалась первой компанией, выпустившей клиент и ТД на основе финальной спецификации 11g и с поддержкой WPA, то наше первое тестирование будет построено именно на базе этих продуктов. На Рис. 10 показано сравнение пропускной способности тестовой пары клиента Belkin F5D7010 11g и точки доступа Belkin F5D7130 11g при следующих вариантах условий:
- Не включено никаких опций по безопасности;
- Включено 128-битное шифрование WEP;
- WPA-PSK TKIP;
- WPA-PSK AES.
Рис. 10. Пара клиент Belkin F5D7010 11g и ТД Belkin F5D7130 11g.
Условие 1, пропускная способность в различных режимах безопасности
По графикам довольно сложно определить результат, в связи с периодическими изменениями пропускной способности, которые, похоже, характерны для этих продуктов 11g от Belkin. Однако, как демонстрируют числа на скриншоте, единственное падение пропускной способности составляет примерно 15% в режиме WPA-PSK TKIP. А теперь догадайтесь, почему Broadcom решила включить опциональную поддержку AES!
Чтобы посмотреть, существует ли разница в клиентах Broadcom от разных производителей, мы протестировали Linksys WPC54G с первым выпущенным драйвером, содержащим поддержку WPA (но не финальную спецификацию 11g).
Рис. 11. Пара клиент Linksys WPC54G 11g и ТД Belkin F5D7130 11g.
Условие 1, пропускная способность в различных режимах безопасности
Рис. 11 демонстрирует более стабильную пропускную способность во всех режимах, однако мы продолжаем наблюдать примерно 15% падение в режиме WPA-PSK/ TKIP.
WPA в действии: производительность Intersil 11g
Теперь, когда мы посмотрели на результат Broadcom, давайте обратим взгляд в сторону Intersil. Поскольку производители оборудования WLAN ещё не выпустили драйверы WPA для продуктов на базе Intersil, нам пришлось обратиться напрямую к Intersil.
Компания выслала нам оборудование, которое позволило проверить производительность WPA у её чипсетов. Поначалу мы протестировали карту CardBus на эталонном дизайне PRISM Duette (a/b/g) с точкой доступа тоже на эталонном дизайне, построенной на базе интернет-процессора Ubicom IP2022 и радиочасти Intersil PRISM GT CardBus. Рис. 12 отображает результат.
Рис. 12. Клиент Intersil Duette CardBus на эталонном дизайне и ТД Ubicom IP2022/ Intersil GT на эталонном дизайне
Условие 1, пропускная способность в различных режимах безопасности
По разнице пропускной способности довольно сложно отличить влияние WEP от WPA, однако поскольку самая худшая разница в пропускной способности между случаем с отсутствием какой-либо безопасности и WPA-PSK/ TKIP составляет всего около 4%, мы можем сделать следующий вывод: при включении безопасности WPA TKIP или WEP на данном дизайне не происходит заметного падения пропускной способности (с учётом погрешности измерении).
Обратите внимание на отсутствие графика для WPA – AES. Это связано с тем, что если даже AES и поддерживается аппаратно, Intersil решила придерживаться спецификаций WPA и не включать эту возможность в данный момент. Да и вообще, вряд ли Intersil так уж нужен режим AES при столь низком падении пропускной способности.
WPA в действии: производительность Intersil 11b
Среди пользователей широко распространены ранние продукты 11b на базе Intersil PRISM, поэтому мы не преминули возможностью протестировать WPA на ранних устройствах 11b. Мы рады сообщить, что включение WPA не приводит к падению пропускной способности – по крайней мере, в наших случаях.
Рис. 13. Пара клиент Linksys WPC11v3 11b и ТД эталонного дизайна с поддержкой WPA Intersil 11b
Условие 1, пропускная способность в различных режимах безопасности
На Рис. 13 показаны результаты тестирования клиента Linksys WPC11v3 11b и ТД эталонного дизайна с поддержкой WPA Intersil 11b. ТД имеет тот же дизайн, что и решение, используемое Wi-Fi Alliance для тестирования WPA, а используемый нами драйвер WPA является первой такой версией, выпущенной несколько недель назад.
Мы были приятно удивлены результатами тестирования, но, возможно, наша радость оказалась преждевременна, ведь WPC11v3 использует последнюю версию только-11b чипсета PRISM 3. Поэтому мы решили провести тесты и с картой эталонного дизайна на базе PRISM 2.5, которую нам выслала Intersil, причём эта карта является второй половиной тестовой платформы Wi-Fi Alliance. Возможно, на старом чипсете будет наблюдаться падение производительности?
Рис. 14. Пара клиент эталонного дизайна Intersil PRISM 2.5 11b и ТД эталонного дизайна с поддержкой WPA Intersil 11b
Условие 1, пропускная способность в различных режимах безопасности
На Рис. 14 вновь наблюдается разница в пределах погрешности измерения. Мы не смогли протестировать решение на базе PRISM 2, поскольку у нас нет для него драйверов WPA (хотя Intersil выпустила драйверы для корпоративных клиентов).
Похоже, Intersil неплохо поработала над включением WPA в чипсеты 11b. Сейчас всё что требуется – дождаться, пока производители оборудования проведут качественную работу по выпуску драйверов WPA.
WPA в действии: смешиваем производителей
После индивидуального тестирования мы решили провести несколько тестов смеси из продуктов Broadcom и Intersil. Мы извиняемся за отсутствие тестов режима WEP128 в некоторых прогонах, но, судя по нашему опыту, все проблемы дизайнов 11g при включении WEP уже давно решены, так что мы не стали терять время впустую.
Рис. 15. Пара клиент Belkin F5D7010 11g и ТД эталонного дизайна Ubicom IP2022/ Intersil GT
Условие 1, пропускная способность в различных режимах безопасности EAP
На Рис. 15 мы видим тестирование пары из клиента Belking 11g на базе чипсета Broadcom и ТД эталонного дизайна Ubicom/ Intersil. Все наблюдаемые пиковые падения пропускной способности относятся к прогону WPA/ TKIP.
Но даже без учёта пиковых падений разница в пропускной способности между вариантом без включения WPA и вариантом с включением WPA слишком велика. Вывод таков: на данный момент при указанной комбинации устройств с поддержкой WPA наблюдается существенное падение (почти 40%) при включении WPA.
Рис. 16. Пара клиент Belkin F5D7010 11g и ТД эталонного дизайна с поддержкой WPA Intersil 11b
Условие 1, пропускная способность в различных режимах безопасности
Поскольку в наших руках оказалось достаточное количество оборудования, мы решили посмотреть, как скажется включение WPA на паре из клиента 11g и ТД 11b. На Рис. 16 показаны результаты тестирования пары из клиента Belkin и ТД эталонного дизайна с поддержкой WPA Intersil 11b. Как видим, подобная комбинация не приводит к падению пропускной способности.
На этом мы закончим с успешными экспериментами и перейдём к неудачным.
Неудачные эксперименты
Мир не идеален – или, по крайней мере, не всегда работоспособен по отношению к “землям” WPA. Клиент на базе Intersil и ТД Belkin на базе Broadcom не смогли эффективно работать вместе, к примеру. Когда мы попытались заставить Linksys WPC11v3 связаться с ТД Belkin в режиме WPA-PSK, то ТД повисла, и нам пришлось её аппаратно сбрасывать.
При использовании эталонной карты Intersil Duette, присланной нам Intersil, и включении WPA ситуация оказалась несколько лучшей. Ассоциации так и не произошло, но, по крайней мере, ТД Belkin не повисла!
Незадолго до публикации этого руководства мы получили драйверы с поддержкой WPA от Atheros и постарались установить их с адаптером Netgear WAG511, основанном на чипсете Atheros AR5001X+ a/b/g. К сожалению, мы так и не смогли заставить работать клиента Atheros при включении WPA. . При выключенном WPA пара с ТД эталонного дизайна Intersil/ Ubicom работала превосходно. Однако как только мы включали WPA-PSK, мы не смогли ассоциировать клиента с ТД или передавать трафик.
Когда мы постарались связать клиента с ТД Belkin, он тоже не смог ассоциироваться при включении WPA-PSK, хотя до этого всё работало прекрасно. К сожалению, мы не смогли найти ТД на базе 11g чипсета Atheros, поэтому мы не можем сказать, будет ли работать пара, собранная полностью на Atheros.
Ещё несколько замечаний [обновлено]
Когда мы просматривали это руководство, мы обнаружили, что некоторые важные замечания так и не прозвучали в разделах. Поэтому мы приведём их в конце.
- Не надо смешивать!
Судя по точкам доступам, попавшим к нам в руки, они не поддерживают клиентов с включенными WEP и WPA одновременно. Подобный режим не входит в спецификацию WPA, поскольку любой клиент с WEP будет ослаблять цепочку безопасности. Смешанная сеть WPA/ WPA2 будет содержаться в спецификации WPA2, но пока ещё рано об этом говорить. Сегодня вы можете использовать следующие комбинации безопасности в вашей сети: отсутствие, WEP (с ключами различной длины, в зависимости от изготовителя чипсета) и WPA.- Смешанный режим WPA (одновременная работа клиентов WEP и WPA на одном BSS/ESS) не одобряется Wi-Fi Alliance, поскольку данный режим работы не является безопасным.
- Сертификация WPA подразумевает, что тестируемое устройство не поддерживает смешанный режим в конфигурации по умолчанию.
- Однако любой производитель волен добавлять любую функциональность помимо опций Wi-Fi. Наверно, самым известным примером является LEAP. Продукты с поддержкой LEAP по-прежнему могут получить сертификацию Wi-Fi, если их функция LEAP не является частью теста сертификации Wi-FI. Точно так же, если производитель реализовал смешанный режим, не входящий в конфигурацию продукта по умолчанию, то Альянс не одобрит подобную опцию, однако продукт всё же получит сертификацию WPA и Wi-Fi.
Обновлено 27 августа 2003
После того, как наши читатели указали, что маршрутизатор SMC2804WBR 802.11g может одновременно поддерживать WEP и WPA, мы послали запрос в Wi-Fi Alliance для прояснения этого вопроса. Ниже приведён ответ от Брайана Грима (Brian Grimm), директора по маркетингу Альянса:
WPA на данный момент поддерживается только в режиме Инфраструктура/ Infrastructure, причём вряд ли поддержка AdHoc появится раньше появления WPA2. Подобная особенность тяжелее всего скажется на беспроводных мостах Ethernet типа Linksys WET11 и WET54G, которые осуществляют некоторые свои трюки только в режиме AdHoc.
Заключение
Приходится признать, что производительность при включении WPA, особенно на старых клиентах 11b с чипсетом Intersil оказалась лучше ожидаемой. Мы также были приятно удивлены опциональной поддержкой шифрования AES чипсетами Broadcom, хотя эту особенность можно легко объяснить, учитывая падение производительности режима по умолчанию WPA TKIP.
Хорошая новость заключается ещё и в том, что WPA является намного более безопасным режимом, чем WEP, и его значительно легче использовать, особенно в дружественном к пользователю режиме Pre-Shared Key (WPA-PSK). Плохая новость состоит в том, что многим владельцам оборудования WLAN придётся выкинуть старые устройства и купить новые решения, чтобы в полной мере насладиться преимуществами WPA.
За более подробной информацией рекомендуем обратиться к:
- сайту Wi-Fi Alliance, посвящённому WPA
- документу по защищённому доступу Wi-Fi
Он содержит хорошее объяснение технической основы WPA (PDF). - презентации по защищённому доступу Wi-Fi
В презентации содержится хорошая подноготная информация и обзор WPA (PDF).