WPA被破解后的对策

WPA被破解后的对策 摘要:本文介绍了Wi-Fi网络安全机制的演变和WPA如何被攻破以及可能产生的危害，并由此应采取的对策。 关键词:Chopchop，TKIP，WPA，MIC，ICV，TSC，接入点，客户端 2008年11月8日，两位德国的研究人员Martin Beck 和 Erik Tews宣布，他们可在15分钟之内攻破Wi-Fi网络的安全保护标准WPA的防护，从而撼动了Wi-Fi网络安全过渡性标准的牢固根基。这个消息的传出，在业界引起短时间的恐慌。WPA是否彻底失去防护作用，Wi-Fi网络中进行的通讯是否还安全，应采取什么样的对策才能保障无线网络的安全,这样的疑问会在许多人心目中产生。本文想就笔者对此事的了解和在实际中采取的相应做一简要介绍。 一、理解WPA破解详情 为了搞清WPA安全标准是否彻底失效，失效后应采取什么样的对策，从而保证无线通讯的安全性，应首先了解WPA是如何被攻破的。国外安全专家透露对WPA实施的攻击，本质上说就是对WEP安全保护的网络进行Chopchop攻击的变种。为此，我们要从无线网络的安全机制谈起。 [1]安全机制的演变 Wi-Fi无线网络从初建到目前出现了三种安全保护机制:WEP(Wired Equivalent Privacy有线等效保密)、WPA(Wi-Fi Protected Access无线保护接入)和符合IEEE802.11i标准的WPA2，即WPA的第二代。WEP是IEEE802.11标准的初期版本，存在较大的缺陷，2001年就已被攻破。而此时新一代安全标准尚未正式出台，于是暂时性标准WPA作为WEP标准的一个替代品，部署在无线网络设备中。直到2004年，新一代安全标准WPA2才正式通过，所有经过认证的设备中，使用这个新标准。 我们知道，保证网络安全传输的几个关键性部分是:认证、加密和数据完整性。WEP作为早期标准，只包含有限的认证和脆弱的加密功能。他通过使用一个静态密钥与RC4算法加上24位初始向量IV产生密钥流，加密无线接入点和客户端的交换数据;通过使用32位循环冗余校验(CRC-32)来计算一个32位的消息完整性值(ICV)。他的主要问题是:1、加密密钥的生成过程过于简单，IV向量过短，攻击者可以通过截取大量的数据包，计算出给每个数据包加密的密钥。攻击者一旦获取密钥，WEP安全防护如同虚设。2、CRC-32传输时足以用来错误检测，但不能很好地保证消息的完整性和防止基于伪造包的攻击。因为修改消息和重新计算ICV来掩盖伪造时的变化是相对容易的。 面对WEP的缺陷，WPA中两个新的MAC层特性解决了它的问题:暂时密钥完整性协议TKIP(Temporal Key Integrity Protocol)，和消息完整性检验MIC(Message Integrity Check)。 TKIP的引入，首先增加了密钥生成管理功能。它通过认证过程中由认证服务器或是从手动输入一个密码短语，生成成对主密钥(PMK)。这个PMK不直接用于任何加密操作，而是用它导出一组临时密钥，经过密钥混合后，用于每个数据包的加密，保护两个设备之间(如接入点和移动设备之间)的连接通讯。这样的加密保证不同设备的每一个不同的包的加密密钥都是不一样的，而且可以通过设置密钥更新周期，定期自动更换。这样攻击者无法在较短时间内获得足够的样本，攻击确定的密钥。 1 在消息完整性计校验上，为了兼容较早的设备(老接入点、老Wi-Fi卡)，使用一个叫作MICHAEL协议来计算校验值MIC，弥补了WEP中对消息被篡改而没有有效的消息完整性检验方法。由于顾及老设备不至过快淘汰，这是个简化的计算方法，简化的代价是易受到暴力破解攻击。为了防止这种攻击，通过引入一个反措施，来补救这个缺陷。反措施的功能是:当检测到正在进行的攻击时，将整个网路关闭一分钟，重新开启时，所有加密密钥重新生成。 为了阻止重放攻击，增加了一个序列号计数器(TSC)，在接收端对到达的数据包计数。如果包的值比当前计数器上的值低，认为这个包不合格而丢弃。所以可以说，直到引入TKIP，无线网络安全通讯在有效性、机密性、完整性方面才得到相当的保证。2008年底前，它阻止了我们所知的和密钥有关联的所有攻击。但由于TKIP是为了用于(几年前的)现有设备开发的，不可避免的受到种种的环境限制。由此，围绕AES建立的CCMP安全协议，被使用在WPA2中。WPA2是在设计之初就独立创造的一种模式，没有像TKIP设计时受到现有WEP硬件的羁绊，所以安全性更为强大。 [2]撼动WPA 近几年，攻击者攻击方式和使用的工具也发展较快，继早先FMS攻击WEP成功之后，又有KoreK，PTW, chopchop等一些较新型攻击产生。 是指攻击者可以以交互方式解密一个在网路中加密包的明文Chopchop攻击 的最后若干字节。德国的研究人员是在如下的网络环境中实现的攻击:遭到攻击的访问点正在使用TKIP协议和IP协议;TKIP正使用一个长时间间隔的密钥V4 更换设定，例如3600秒。这个网络支持IEEE802.11e标准，即有服务质量Qos保证，可允许8个不同频道的不同数据同时存在于网络中。 步骤是首先从业务信息中捕获一个加密的ARP请求或应答数据包。这样的包可以很容易从其长度特征被辨别出来。由于以太网的源地址和目的地址不被TKIP保护，而且，ARP的请求总是用广播地址发送的，所以攻击者掌握未加密的部分。包的尾部12字节是8字节的MIC和4字节的ICV值。 猜测包的尾部的最末字节，然后重放这个包。其目的是猜出ICV和MIC。如果ICV错，这个包就会被丢弃;如果ICV正确，而MIC核实失败，接入点会发送一个错误报告帧给网络，但此时TSC计数器没有增加。如果在60秒内攻击者发送了两个或两个以上的错误包，就会引发TKIP的防御攻击机制，关闭一分钟，再重新开启，并重新为网络生成新的密钥。为了不触发防御机制，攻击者需将发送错误包的时间掌控在每60秒内1个。重复前面的过程，12分钟之内，攻击者就可以解密包的尾部12字节(MIC和ICV)。然后确定剩余的未知的字节(猜测发送人和接收人的IP地址)，攻击者可以猜这个值并通过对照被解密的ICV验证是否猜对。 上面的工作完成后，攻击者就通过对MICHEAL运算法则的逆运算恢复接入点到客户端的包的MIC密钥。 作为一次实际的攻击，由于支持WMM(Wi-Fi多媒体)或Qos的接入点上，允许有8个频道传输不同级别讯息，攻击者就可在一分钟内发送7个包而不致引发TKIP的保护机制动作。这样就缩短了攻击时间。当完成这些发送后，攻击者可以在4-5分钟内获得一个密钥流，因为仅需要使用Chopchop解密4字节的ICV就行了。 由以上的攻击来看，攻击者实现了一个篡改攻击。它只在单方向上实现，即接入点到客户端方向。通过这样的攻击，他可以恢复一个截获包的MIC密钥和 2 一个密钥流，并且构造一个新包在网中传播，从而获取另外的密钥流。而对数据加密密钥并没有破解。它所能产生的实际危害目前所看到的至少有: 1、攻击者可以发送信息触发工作在IP层的IDS(Intrusion Detection System) 入侵监测系统，导致损坏; 2、伪造ARP应答包，改变了正常传输行程; 3、很容易产生一个Dos(拒绝服务攻击)攻击; 4、使重放攻击保护部分失效等。 然而，仅从这些来看，似乎并不能给攻击者带来什么辉煌的战绩，但从安全性角度看，重发捕获的消息、改变包的正常传输行程等已是安全性原则决不能允许的，而由此形成的潜在问题更不可忽视。 我们知道前面攻击者已获得ARP包的密文、加密算法和部分明文样本。由于攻击者可以有很多种方法推测或获取明文样本，一旦掌握了这3种东西，就有可能展开更深入的攻击。正如研究人员所说，如果攻击者设法在Qos频道中恢复一个仍然有效的密钥流和两个方向的MIC密钥(前面展现的攻击仅仅是恢复一个密钥流和访问点到客户之间通讯的MIC密钥)，就能够使用这个密钥恢复另外的密钥流，还能发送无限的带有客户明文的包。甚至在不支持IEEE 802.11e QoS特性的网络中实施攻击，仍然可能使攻击奏效。 由此看来，这只是个开始。虽然这个攻击不是一个完整的密钥恢复攻击，但作为安全性的考量，应该认为原有的较为稳固的WPA安全防护体系已被撼动。 二、应有的对策 避免遭受上述这种攻击的最好办法是使用更高级的安全防护机制，即配置你的设备，使用WPA2安全标准，并在选择无线安全参数时，选择AES-CCMP项，而停止使用TKIP。当然，这会带来一个更新成本问题，有些旧设备可能不支持WPA2标准。如果不能立即安排旧设备退役，可以暂将新旧设备分别设置。 [1]陈旧设备的补救措施 1、缩短密钥更新周期，使攻击者没有足够的时间从容开展攻击工作。一般接入点中有密钥更新时间设置，两位研究人员建议可将其设置为120秒或更少。因为120秒内，攻击者只能来的及解密包的尾部ICV的部分值。 2、禁用MIC失败报告帧的发送，也可以使客户阻止攻击，将攻击包废弃。接入点中有选项可禁止MIC发送失败报告，从而影响攻击者以此做出的判断，挫败攻击。 [2]支持WPA2的设备配置实例 无线网络设备中有多项设置虽不能起到起到绝对阻止攻击的作用，但正确的设置后可增加攻击者攻击难度。如: 1、更改无线路由器默认设置 2、禁止SSID广播 3、防止被扫描搜索 4、MAC地址过滤等。 由于这些设置有关刊介绍较多，在此不再重复。只就支持WPA2的设备在接入点和无线网卡中的设置重点简略描述。 在没有配备认证服务器的情况下，我们使用了WPA2-PSK 类型，接入点配置过程: 进入无线接入点的配置界面，无线安全设置?无线网络的安全认证选项中 3 选择:WPA-PSK/WPA2-PSK; “认证类型”中选择:WPA2-PSK; “加密算法”中选择:AES; 注意“PSK”密码填入时，应尽量填满字符。因为每增加一字节，会使针对密钥攻击的计算量成倍增加。另外应尽量选择大小写字母与特殊字符，混合使用，这样可以加大攻击者破解的时间和难度。 “组密钥更新周期”中:设置单播和组播密钥的定时更新周期，此值越大，给欲破译密钥的行为留下的时间间隔越长。参照专家建议，设置为120秒。 无线网卡上的设置以Windows XP SP2为例: 如果无线网卡是USB接口的必须先安装驱动程序，然后在右下角任务栏上右键单击无线网络图标?打开网络连接?右键单击无线网络连接?属性?无线网络配置中选中“用Windows配置我的无线网络设置”复选框，在“首选网络”中选择“添加”按钮，弹出“无线网络属性”对话窗口，在“关联”标签中的SSID中输入欲接入的接入点标示符;“无线网络密钥”的“网络验证”中选择与接入点中相一致的验证方式即WPA2-PSK;“数据加密”中填入AES加密方式;“网络密钥”中填入与接入点中相一致的密码;再按“连接” 标签，选中“当此网络在区域内时连接” 复选框，按“确定”即可。稍许，就会自动连接上无线网络。 注意:如果在上面配置“网络验证”过程中，没有呈现WPA2-PSK选项，而仅有WPA-PSK选项，如图所示，可能是你的Windows XP系统需要安装WPA2补丁，这可以从厂家或相应网站下载得到。 :用AES-CCMP代替TKIP，系统安全性得以提高。但随着条件、环境的变化，攻防双方状况也许还会发生改变。所以说，安全是相对的。作为网络安全的管理人员，只有提高警惕，密切关注攻击者的动向，制定出相应的对策，才可立于不败之地。这也是本文的目的。 参考文献: 1、《Practical attacks against WEP and WPA》 Martin Beck and Erik Tews 2008、11、8 PacSec2008会议论文 2、《无线局域网安全实务—WPA与802.11i》 乔恩•爱德尼 威廉•阿尔保 著 周正等 译 人民邮电出版社 2006、2 4