Защищенная настройка Wi-Fi - Wi-Fi Protected Setup

Кнопка WPS (в центре, синяя) на беспроводном маршрутизаторе показывает символ, определенный Wi-Fi Alliance для этой функции.

Wi-Fi Protected Setup ( WPS ; первоначально Wi-Fi Simple Config ) - это стандарт сетевой безопасности для создания безопасной беспроводной домашней сети .

Созданный Cisco и представленный в 2006 году, суть протокола заключается в том, чтобы позволить домашним пользователям, которые мало знают о безопасности беспроводных сетей и могут быть напуганы доступными параметрами безопасности, настроить защищенный доступ к Wi-Fi , а также упростить добавление новые устройства в существующей сети без ввода длинных парольных фраз. Wi-Fi Protected Setup позволяет владельцу привилегий Wi-Fi блокировать других пользователей от использования их домашнего Wi-Fi. Владелец также может разрешить людям пользоваться Wi-Fi. Это можно изменить, нажав кнопку WPS на домашнем маршрутизаторе.

В декабре 2011 года был обнаружен серьезный недостаток безопасности, который затрагивает беспроводные маршрутизаторы с функцией PIN-кода WPS, которая в последних моделях включена по умолчанию. Уязвимость позволяет удаленному злоумышленнику восстановить PIN-код WPS за несколько часов с помощью грубой силы и, с помощью PIN-кода WPS, предварительного общего ключа (PSK) сети WPA / WPA2 . Пользователям настоятельно рекомендуется отключить функцию PIN-кода WPS, хотя это может быть невозможно на некоторых моделях маршрутизаторов.

Режимы

Стандарт подчеркивает удобство использования и безопасность и допускает четыре режима в домашней сети для добавления нового устройства в сеть:

ПИН-код

В котором PIN-код должен быть прочитан либо с наклейки, либо с дисплея на новом беспроводном устройстве . Затем этот PIN-код необходимо ввести у «представителя» сети, обычно в точке доступа к сети . В качестве альтернативы, PIN-код, предоставленный точкой доступа, может быть введен в новое устройство. Этот метод является обязательным базовым режимом, и все должно его поддерживать. Спецификация Wi-Fi Direct заменяет это требование, заявляя, что все устройства с клавиатурой или дисплеем должны поддерживать метод PIN.

Метод кнопки

В котором пользователь должен нажать кнопку, реальную или виртуальную, как на точке доступа, так и на новом беспроводном клиентском устройстве. На большинстве устройств этот режим обнаружения отключается, как только соединение устанавливается или после задержки (обычно 2 минуты или меньше), в зависимости от того, что наступит раньше, тем самым сводя к минимуму его уязвимость. Поддержка этого режима обязательна для точек доступа и необязательна для подключения устройств. Спецификация Wi-Fi Direct заменяет это требование, заявляя, что все устройства должны поддерживать метод нажатия кнопки.

Метод связи ближнего поля

В котором пользователь должен приблизить нового клиента к точке доступа, чтобы обеспечить связь между устройствами в ближнем поле . Также можно использовать RFID- метки, совместимые с NFC Forum . Поддержка этого режима не обязательна.

USB-метод

В котором пользователь использует USB-накопитель для передачи данных между новым клиентским устройством и точкой доступа к сети. Поддержка этого режима не является обязательной, но считается устаревшей.

Последние два режима обычно называют внеполосными методами, поскольку передача информации осуществляется не по каналу Wi-Fi, а по другому каналу. В настоящее время сертификация WPS распространяется только на первые два режима. Метод USB устарел и не является частью сертификационных испытаний Альянса.

Некоторые точки беспроводного доступа имеют кнопку WPS с двумя функциями, и удерживание этой кнопки в течение более короткого или более длительного времени может иметь другие функции, такие как восстановление заводских настроек или переключение Wi-Fi.

Некоторые производители, такие как Netgear , используют другой логотип и / или название для Wi-Fi Protected Setup; Wi-Fi Alliance рекомендует использовать идентификационную метку Wi-Fi Protected Setup на аппаратной кнопке для этой функции.

Техническая архитектура

Протокол WPS определяет три типа устройств в сети:

Регистратор

Устройство с полномочиями выдавать и отменять доступ к сети; он может быть интегрирован в точку беспроводного доступа (AP) или предоставлен как отдельное устройство.

Абитуриент

Клиентское устройство, стремящееся присоединиться к беспроводной сети.

AP

Точка доступа, функционирующая как прокси-сервер между регистратором и подписчиком.

Стандарт WPS определяет три основных сценария, которые включают компоненты, перечисленные выше:

AP со встроенными возможностями регистратора настраивает зарегистрированную станцию ​​( STA )

В этом случае сеанс будет выполняться на беспроводной среде в виде серии сообщений запроса / ответа EAP , заканчивающихся отсоединением точки доступа от STA и ожиданием повторного подключения STA с ее новой конфигурацией (переданной ей точкой доступа непосредственно перед ).

Регистратор STA настраивает AP как зарегистрированный

Этот случай подразделяется на два аспекта: во-первых, сеанс может происходить либо в проводной, либо в беспроводной среде, а во-вторых, точка доступа уже может быть настроена к тому времени, когда регистратор обнаружит ее. В случае проводного соединения между устройствами протокол работает через Universal Plug and Play (UPnP), и для этой цели оба устройства должны поддерживать UPnP. При работе через UPnP выполняется сокращенная версия протокола (только два сообщения), поскольку не требуется никакой аутентификации, кроме аутентификации присоединенного проводного носителя. В случае беспроводной среды сеанс протокола очень похож на сценарий внутреннего регистратора, но с противоположными ролями. Что касается состояния конфигурации точки доступа, ожидается, что регистратор спросит пользователя, следует ли перенастроить точку доступа или сохранить ее текущие настройки, и может решить перенастроить ее, даже если точка доступа описывает себя как настроенную. Несколько регистраторов должны иметь возможность подключаться к AP. UPnP предназначен для применения только к проводной среде, в то время как на самом деле он применяется к любому интерфейсу, для которого может быть установлено IP-соединение. Таким образом, настроив беспроводное соединение вручную, UPnP можно использовать поверх него так же, как и с проводным соединением.

Регистратор STA настраивает зарегистрированный STA

В этом случае AP стоит посередине и действует как аутентификатор, то есть он только проксирует соответствующие сообщения из стороны в сторону.

Протокол

Протокол WPS состоит из серии обменов сообщениями EAP , которые запускаются действием пользователя, полагаясь на обмен описательной информацией, которая должна предшествовать действиям этого пользователя. Описательная информация передается через новый информационный элемент (IE), который добавляется к маяку, тест-ответу и, необязательно, в тестовый запрос и сообщения запроса / ответа ассоциации. Помимо чисто информативных значений типа-длины , эти IE также будут содержать возможные и развернутые в настоящее время методы конфигурации устройства.

После обмена данными о возможностях устройства с обеих сторон пользователь инициирует фактический сеанс протокола. Сеанс состоит из восьми сообщений, за которыми в случае успешного сеанса следует сообщение, указывающее, что протокол завершен. Точный поток сообщений может измениться при настройке различных типов устройств (AP или STA) или при использовании разных физических носителей (проводных или беспроводных).

Выбор диапазона или радио

Некоторые устройства с возможностью подключения к двухдиапазонной беспроводной сети не позволяют пользователю выбирать диапазон 2,4 ГГц или 5 ГГц (или даже конкретный радиомодуль или SSID) при использовании Wi-Fi Protected Setup, если только точка беспроводного доступа не имеет отдельной кнопки WPS для каждый диапазон или радио; однако ряд более поздних беспроводных маршрутизаторов с несколькими полосами частот и / или радио позволяет устанавливать сеанс WPS для определенного диапазона и / или радио для соединения с клиентами, которые не могут иметь SSID или диапазон (например, 2,4 / 5 ГГц) явно выбранный пользователем на клиенте для подключения к WPS (например, нажатие 5 ГГц, где поддерживается, кнопка WPS на беспроводном маршрутизаторе заставит клиентское устройство подключиться через WPS только в диапазоне 5 ГГц после того, как был установлен сеанс WPS клиентским устройством, которое не может явно разрешить выбор беспроводной сети и / или диапазона для метода подключения WPS).

Телстра 4GX Расширенный III , показывающий мобильного широкополосного устройства сопряжения WPS опции для конкретного радио / полосы.

Уязвимости

Онлайн-атака грубой силой

В декабре 2011 года исследователь Стефан Фибек сообщил об ошибке в конструкции и реализации, которая делает возможными атаки методом грубой силы на WPS на основе PIN-кода в сетях Wi-Fi с поддержкой WPS. Успешная атака на WPS позволяет неавторизованным сторонам получить доступ к сети, и единственный эффективный обходной путь - отключить WPS. Уязвимость связана с сообщениями подтверждения, отправляемыми между регистратором и зарегистрированным пользователем при попытке проверить PIN-код, который представляет собой восьмизначное число, используемое для добавления новых участников WPA в сеть. Поскольку последняя цифра является контрольной суммой предыдущих цифр, в каждом ПИН- коде есть семь неизвестных цифр, что дает 10 ⁷ = 10 000 000 возможных комбинаций.

Когда участник пытается получить доступ с помощью ПИН-кода, регистратор сообщает о действительности первой и второй половин ПИН-кода отдельно. Так как первая половина вывода состоит из четырех цифр (10 000 вариантов), а вторая половина имеет только три активных цифры (1000 вариантов), требуется не более 11 000 предположений, прежде чем PIN-код будет восстановлен. Это на три порядка меньше количества PIN-кодов, которые потребовались бы для тестирования. В результате атака может быть завершена менее чем за четыре часа. Легкость или сложность использования этой уязвимости зависит от реализации, поскольку производители маршрутизаторов Wi-Fi могут защищаться от таких атак, замедляя или отключая функцию WPS после нескольких неудачных попыток проверки PIN-кода.

Молодой разработчик из небольшого городка на востоке Нью-Мексико создал инструмент, который использует эту уязвимость, чтобы доказать возможность атаки. Затем инструмент был куплен компанией Tactical Network Solutions в Мэриленде за 1,5 миллиона долларов. Они заявляют, что знали об уязвимости с начала 2011 года и использовали ее.

На некоторых устройствах отключение WPS в пользовательском интерфейсе не приводит к фактическому отключению функции, и устройство остается уязвимым для этой атаки. Для некоторых из этих устройств были выпущены обновления прошивки, позволяющие полностью отключить WPS. Поставщики также могут исправить уязвимость, добавив период блокировки, если точка доступа Wi-Fi обнаружит атаку методом грубой силы, которая отключает метод ПИН-кода на достаточно долгое время, чтобы сделать атаку непрактичной.

Автономная атака грубой силой

Летом 2014 года Доминик Бонгард обнаружил то, что он назвал атакой Pixie Dust . Эта атака работает только на стандартной реализации WPS нескольких производителей беспроводных микросхем, включая Ralink, MediaTek, Realtek и Broadcom. Атака фокусируется на отсутствии рандомизации при генерации "секретных" одноразовых номеров E-S1 и E-S2 . Зная эти два одноразовых номера, PIN-код можно восстановить в течение нескольких минут. Был разработан инструмент под названием pixiewps, и была разработана новая версия Reaver для автоматизации этого процесса.

Поскольку и клиент, и точка доступа (зарегистрированный и регистратор, соответственно) должны доказать, что они знают PIN-код, чтобы убедиться, что клиент не подключается к несанкционированной точке доступа, у злоумышленника уже есть два хэша, которые содержат каждую половину PIN-кода, и все им нужно подобрать фактический PIN-код. Точка доступа отправляет клиенту два хэша, E-Hash1 и E-Hash2, доказывая, что он также знает PIN-код. E-Hash1 и E-Hash2 - это хэши (E-S1 | PSK1 | PKe | PKr) и (E-S2 | PSK2 | PKe | PKr) соответственно. Функция хеширования - HMAC-SHA-256 и использует «ключ аутентификации», который является ключом, используемым для хеширования данных.

Проблемы физической безопасности

Все методы WPS уязвимы для использования неавторизованным пользователем, если точка беспроводного доступа не находится в безопасной зоне. На многих точках беспроводного доступа есть информация о безопасности (если она защищена заводом-изготовителем) и напечатан PIN-код WPS; этот PIN-код также часто встречается в меню конфигурации точки беспроводного доступа. Если этот PIN-код не может быть изменен или отключен, единственное решение - получить обновление прошивки, чтобы можно было изменить PIN-код, или заменить точку беспроводного доступа.

Извлечь парольную фразу беспроводной сети можно следующими способами без использования специальных инструментов:

• Парольную фразу беспроводной сети можно извлечь с помощью WPS в Windows Vista и более новых версиях Windows, с правами администратора, подключившись с помощью этого метода, затем открыв свойства этой беспроводной сети и нажав «показать символы».
• Простой эксплойт в служебной программе беспроводного клиента Intel PROset может раскрыть кодовую фразу беспроводной сети при использовании WPS после простого перемещения диалогового окна, которое спрашивает, хотите ли вы перенастроить эту точку доступа.

• 

  Общий сервисный бюллетень, касающийся физической безопасности для точек беспроводного доступа.

• 

  Беспроводной маршрутизатор с распечатанной предустановленной информацией о безопасности, включая PIN-код защищенной настройки Wi-Fi.

использованная литература

внешние ссылки

• Центр знаний по защищенной настройке Wi-Fi при Wi-Fi Alliance
• Архитектура устройства UPnP
• US-CERT VU № 723755
• Ожидание исправления WPS
• WPS Pixie Dust Attack (Автономная атака WPS)
• Hacklu2014 Offline Bruteforce Attack на WPS