Вот мы и дожили до того момента, когда появились публикации о взломе, хоть и ограниченном, WPA. Лично мне, в тот момент, когда появился TKIP казалось, что это невозможно, но нет я ошибся...
Атака, частично базируется на старом понятии о том, что различного рода оповещения об ошибках дают возможность атакующему интерактивно проверять свои предположения, а также на том, что ввиду специфики некоторых сетевых протоколов (например, ARP), бОльшая часть открытого текста известна, что помогает успешно атаковать оставшиеся байты.
Самой разумной контрмерой, как мне кажется является отказ от использования WPA (TKIP) и планировать переход на WPA2 (AES-CCMP).
Если нет возможности за короткое время мигрировать на WPA2, можно обезопаситься следующими временными контрмерами, могущими, по крайней мере противостоять данной атаке:
- сократить время жизни ключа TKIP; в документе говорится о 120 секундах или меньше,
- отключить оповещение клиента о неправильной сумме Michael MIC (MIC failure report frame).
- начать планировать миграцию на WPA2/802.11i, ибо данный взлом показывает, что TKIP невольно наследует проблемы WEP и стоит ожидать что горячие головы будут развивать эту тему.
Дополнительная информация:
3 comments:
Большое количество условий сильно уменьшают ценность уязвимости:
1. должен быть заранее известен диапазон адресов;
2. достаточно большой интервал смены ключа (помоему, 3600 в варианте авторов);
3. наличие QoS.
У меня дома стоит старенькая точка доступа с WPA. Пусть стоит...
1. Как правило, адреса узнать несложно. В любом случае RFC 1918 предлагает не так много вариантов.
2. Интервал - стандартный, а вот 120 сек. - нет, маловат.
3. QoS сейчас много где есть. Например, если у нас используются wi-fi-телефоны...
Дома - пусть стоит, с одной твоей сети вряд ли можно будет наловить много пакетов, а вот в условиях Компании, как мне кажется, - это важно.
1. 17621775 вариантов - помоему достаточно :). Даже с вычищением крайних получается многовато.
2. действительно стандартный.
3. не соглашусь. не часто его используют. обычно лишь при оказании коммерческих услуг.
Post a Comment