Wi-Fi Protected Setup

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку
Push-кнопка WPS (посередині, синя) на бездротовому маршрутизаторі, що показує символ, визначений Wi-Fi Alliance для цієї функції. Це твердження працює для користувачів WPS.

Wi-Fi Protected Setup (WPS, укр. Захищене налаштування Wi-Fi; спочатку англ. Wi-Fi Simple Config — Проста конфігурація Wi-Fi) — стандарт мережевої безпеки для створення захищеної бездротової домашньої мережі.

Створений Wi-Fi Alliance і впроваджений 2006 року, протокол має на меті дозволити домашнім користувачам, які мало знають про бездротову безпеку і можуть бути залякані доступними параметрами безпеки, встановити Wi-Fi Protected Access, а також спрощення додавання нових пристроїв до наявної мережі без введення довгих парольних фраз. До стандарту деякі конкуруючі рішення було розроблено різними постачальниками для задоволення тієї ж потреби[1].

Основний недолік безпеки було виявлено у грудні 2011 року, що впливає на бездротові маршрутизатори з можливістю WPS PIN, яка в найостанніших моделях увімкнена за замовчуванням. Недолік дозволяє віддаленому нападникові відновити PIN-код WPS за кілька годин за допомогою атаки грубою силою, а з WPS PIN і WPA / WPA2 попередньо розділений ключ[en] мережі[2]. Користувачів закликали вимкнути можливість WPS PIN[3], хоча це може бути неможливо на деяких моделях маршрутизаторів[4].

Режими[ред. | ред. код]

Стандарт наголошує на зручності і безпеці, та дозволяє використовувати чотири режими для додавання нового пристрою до домашньої мережі:

Спосіб PIN
В якому PIN слід читати з наклейки чи дисплея на новому бездротовому пристрої[en]. Цей PIN повинен потім вводитися на «представнику» мережі, зазвичай точці доступу мережі. Альтернативно, точку доступу може бути введено в новий пристрій. Цей спосіб є обов'язковим базовим режимом й усі повинні підтримувати його. Специфікація Wi-Fi Direct[en] витісняє цю вимогу, заявляючи, що всі пристрої з клавіатурою чи дисплеєм повинні підтримувати спосіб PIN[5].
Спосіб push-кнопки
В якому користувач має натиснути кнопку, дійсну чи віртуальну, і на точці доступу, і на новому бездротовому клієнтському пристрої. На більшості пристроїв цей режим виявлення самовимикається, щойно з'єднання встановлено чи після затримки (типово дві хвилини чи менше), що станеться першим, тим самим мінімізуючи свою вразливість. Підтримка цього режиму є обов'язковою для точок доступу й опційною для сполучних пристроїв. Специфікація Wi-Fi Direct витісняє цю вимогу, заявляючи, що всі пристрої повинні підтримувати спосіб push-кнопки[6].
Спосіб «Зв'язку на невеликих відстанях»
В якому користувач має піднести новий клієнт близько до точки доступу, щоб дозволити зв'язок на невеликих відстанях між пристроями. NFC Форум-сумісні RFID теги також можуть використовуватися. Підтримка цього режиму є опційною.
Спосіб USB
В якому користувач використовує USB-флеш-накопичувач для передачі даних між новим клієнтським пристроєм і точкою доступу мережі. Підтримка цього режиму є опційною, але застарілою.

Останні два режими зазвичай називають позасмуговими[en] способами, адже вони передають інформацію каналом, відмінним від самого каналу Wi-Fi. Лише перші два режими наразі[коли?] покриті сертифікацією WPS. Спосіб USB є застарілим і не є частиною сертифікаційного випробування Альянсу.

Деякі бездротові точки доступу мають кнопку WPS подвійної функції, й утримання цієї кнопки натиснутою протягом коротшого чи тривалішого часу може мати інші функції, як-от фабричне скидання чи перемикання Wi-Fi[7].

Деякі виробники, такі як Netgear, використовують інший логотип і / або назву для Wi-Fi Protected Setup[8]; Wi-Fi Alliance рекомендує використання Wi-Fi Protected Setup Identifier Mark на апаратній кнопці для цієї функції[9].

Технічна архітектура[ред. | ред. код]

Протокол WPS визначає три типи пристроїв у мережі:

Реєстратор
Пристрій із повноваженням видавати та відкликати доступ до мережі; він може інтегруватися в бездротову точку доступу чи надаватися як окремий пристрій.
Абітурієнт
Клієнтський пристрій, який прагне приєднатися до бездротової мережі.
Точка доступу
Точка доступу, що функціює як проксі між реєстратором і абітурієнтом.

Стандарт WPS визначає три базові сценарії, що залучають компоненти, перелічені вище:

Точка доступу з можливостями вбудованого реєстратора налаштовує абітурієнтську станцію[en]
У цьому випадку сеанс працюватиме на бездротовому посереднику як серія повідомлень EAP запит-відповідь, завершуючись роз'єднанням точки доступу від станції й очікуючи перез'єднання станції з цією новою конфігурацією (наданою їй точкою доступу просто перед роз'єднанням).
Станція-реєстратор налаштовує точку доступу як абітурієнта
Цей випадок поділяється на два аспекти: перший, коли сеанс може відбутися на дротовому чи бездротовому посереднику, та другий, коли точка доступу вже може бути налаштована до того, як реєстратор знайшов її. У випадку дротового з'єднання між пристроми протокол працює по UPnP, й обидва пристрої повинні підтримувати UPnP із цією метою. Працюючи по UPnP, запускається скорочена версія протоколу (лише два повідомлення), адже автентифікація не вимагається, крім як із підключеним дротовим посередником. У випадку бездротового посередника сеанс протоколу дуже подібний до сценарію внутрішнього реєстратора, але з протилежними ролями. Щодо конфігураційного стану точки доступу, реєстратор очікує запитати користувача, чи переналаштувати точку доступу, чи зберегти її поточні налаштування, і може вирішити переналаштувати її, навіть якщо точка доступу описується як налаштована. Кілька реєстраторів повинні мати можливість підключатися до точки доступу. UPnP призначений для застосування лише до дротового посередника, тоді як насправді він застосовується до будь-якого інтерфейсу, до якого може бути встановлено IP-з'єднання. Тому, маючи вручну налаштоване бездротове з'єднання, UPnP може використовуватися по ньому так само, як і з дротовим з'єднанням.
Станція-реєстратор налаштовує станцію-абітурієнта
У цьому випадку точка доступу стоїть посередині та діє як автентифікатор, тобто вона лише проксіює відповідні повідомлення зі сторони до сторони.

Протокол[ред. | ред. код]

Протокол WPS складається з серії обмінів повідомленнями EAP, викликаними користувацькою дією, спираючись на обмін описовою інформацією, що повинна передувати цій дії користувача. Описова інформація передається через новий Інформаційний Елемент, доданий до маяка, пробної відповіді й опційно до пробного запиту та повідомлень запит / відповідь асоціації. Крім суто інформативних тип-довжина-значення[en], такі інформаційні елементи також міститимуть можливі й уже розгорнуті способи конфігурації пристрою.

Після цього спілкування можливостей пристроїв з обох кінців, користувач ініціює дійсний сеанс протоколу. Сеанс складається з восьми повідомлень із подальшим, у випадку успішного сеансу, повідомленням на позначення того, що протокол виконано. Точний потік повідомлень може змінюватися при конфігурації різних видів пристроїв (точка доступу чи станція) або при використанні різних фізичних носіїв (дротових або бездротових).

Вибір смуги чи радіо[ред. | ред. код]

Мобільний широкосмуговий пристрій Telstra 4GX Advanced III, що показує варіанти сполучення WPS для конкретного радіо чи смуги.

Деякі пристрої з дводіапазонними підключеннями до бездротових мереж не дозволяють користувачеві вибирати смуги 2,4 ГГц або 5 ГГц (або навіть конкретно радіо чи SSID) при використанні Wi-Fi Protected Setup, якщо бездротова точка доступу має окремої кнопку WPS для кожної смуги чи радіо; проте, пізніші бездротові маршрутизатори з багатьма смугами частот і / або радіо дозволяє встановлення сеансу WPS для певної смуги чи / або радіо для з'єднання з клієнтами, що не можуть мати SSID або смугу (наприклад, 2,4 / 5 ГГц), явно вибрану користувачем на клієнті для з'єднання з WPS (наприклад, натискання 5 ГГц, де підтримується, кнопки WPS на бездротовому маршрутизаторі змусить клієнтський пристрій з'єднатися через WPS лише на 5 ГГц смузі після встановлення сеансу WPS клієнтським пристроєм, який не може явно дозволити вибір бездротової мережі та / або смуги для способу з'єднання WPS)[10][11].

Вразливості[ред. | ред. код]

Онлайн-атака грубою силою[ред. | ред. код]

У грудні 2011 року дослідник Стефан Віхбок повідомив про недолік проектування та реалізації, що робить атаки грубою силою проти WPS на основі PIN здійснимими на Wi-Fi мережах з увімкненим WPS. Успішна атака на WPS дозволяє неавторизованим сторонам отримати доступ до мережі, а ефективним обхідним шляхом є лише вимкнути WPS. Вразливість зосереджується навколо повідомлень про підтвердження, що надсилаються між реєстратором і абітурієнтом при спробі перевірити PIN, який є восьмицифровим числом і використовується для додавання нових WPA-абітурієнтів до мережі. Оскільки остання цифра є контрольною сумою попередніх[12], у кожному PIN сім невідомих цифр, що породжує млн. можливих комбінацій.

Коли абітурієнт намагається отримати доступ, використовуючи PIN, реєстратор повідомляє про дійсність першої та другої половин PIN окремо. Оскільки перша половина PIN складається з чотирьох цифр (10 тис. можливостей), а друга має лише три активні цифри (1 тис. можливостей), потрібно щонайбільше 11 тис. спроб для підбору PIN. Це на три порядки менше від кількості PIN-кодів, які потрібно буде перевірити. Як наслідок, атака може бути завершена менш як за чотири години. Простота чи складність експлуатації цього недоліку залежить від реалізації, оскільки виробники Wi-Fi маршрутизаторів можуть захистити проти таких атак сповільненням або вимкненням можливості WPS після декількох невдалих спроб перевірки PIN.

Молодий розробник, який походить із малого містечка на сході Нью-Мексико, створив інструмент, який експлуатує цю вразливість для доведення здійсненності атаки[13][14]. Тоді інструмент придбали Tactical Network Solutions[en] у Меріленді за 1,5 млн. $. Вони заявили, що знали про вразливість із початку 2011 року та використовували її[15].

В деяких пристроях вимкнення WPS у користувацькому інтерфейсі не спричинює дійсного вимкнення можливості, і пристрій залишається вразливим до цієї атаки. Для деяких таких пристроїв були випущені оновлення вбудованої програми, що дозволяло повністю вимкнути WPS. Постачальники могли також виправити вразливість додаванням періоду блокування, якщо точка доступу Wi-Fi виявляє атаку грубою силою в процесі, який вимикає спосіб PIN на час, достатній для того, щоби зробити атаку непрактичною[16].

Офлайн-атака грубою силою[ред. | ред. код]

Влітку 2014 року Домінік Бонгард відкрив те, що він назвав атакою Pixie Dust. Ця атака працює лише для реалізацій WPS декількох виробників бездротових чипів за замовчуванням, включаючи Ralink[en], MediaTek, Realtek[en] і Broadcom. Атака зосереджується на нестачі рандомізації при генеруванні «таємних» нонсів E-S1 і E-S2. Знаючи ці два нонси, PIN може бути відновлено протягом кількох хвилин. Інструмент під назвою pixiewps[17], а також нову версію Reaver було розроблено для автоматизації цього процесу[18].

Оскільки і точка доступу, і клієнт (абітурієнт і реєстратор відповідно) повинні довести знання PIN для впевненості, що клієнт не з'єднується з шахрайською точкою доступу, то нападник уже має два геші, що містять кожну половину PIN, і все, що лишається, це підібрати дійсний PIN. Точка доступу надсилає два геші, E-Hash1 і E-Hash2, клієнтові, доводячи, що вона також знає PIN. E-Hash1 і E-Hash2 є гешами (E-S1 | PSK1 | PKe | PKr) і (E-S2 | PSK2 | PKe | PKr) відповідно. Геш-функцією є HMAC-SHA-256 і використовує «authkey», який є ключем, що використовувався для гешування даних.

Фізичні проблеми безпеки[ред. | ред. код]

Всі способи WPS уразливі до використання неавторизованим користувачем, якщо бездротова точка доступу не зберігається в захищеній зоні[19][20][21]. Багато бездротових точок доступу мають інформацію безпеки (якщо вона забезпечена заводом) і WPS PIN надрукований на них; цей PIN також часто знаходиться у конфігураційних меню бездротової точки доступу. Якщо цей PIN не може бути змінений або вимкнений, єдиним зараджуванням є отримання оновлення вбудованої програми для зміни PIN, чи заміни бездротової точки доступу.

Можливо видобути бездротову парольну фразу наступними способами, не використовуючи особливих інструментів[22]:

  • Бездротова парольна фраза може бути видобута з використанням WPS під Windows Vista та новішими версіями Windows і адміністративними привілеями, шляхом з'єднання цим способом, а потім отримавши властивості даної бездротової мережі й обравши «показати символи».
  • Проста експлуатація в бездротовій клієнтській утиліті Intel PROset може розкрити бездротову парольну фразу при використанні WPS після простого переміщення діалогового вікна, яке запитує, чи хочете ви переналаштувати цю точку доступу.

Примітки[ред. | ред. код]

  1. Хіггінс, Тім (13 березня 2008). How is WPS supposed to work? [Як WPS повинен працювати?] (англійською). Pudai LLC. Процитовано 2 січня 2012. 
  2. Віхбок, Стефан (26 грудня 2011). Brute forcing Wi-Fi Protected Setup (PDF) (англійською). Процитовано 30 грудня 2011. 
  3. Аллар, Джаред (27 грудня 2011). Vulnerability Note VU#723755 — WiFi Protected Setup PIN brute force vulnerability. Vulnerability Notes Database (англійською). US CERT[en]. Процитовано 31 грудня 2011. 
  4. Галлагер, Шон (4 січня 2012). Hands-on: hacking WiFi Protected Setup with Reaver (англійською). Condé Nast Digital. Процитовано 20 січня 2012. 
  5. P2P Spec 1.2, clause 3.1.4.3
  6. P2P Spec 1.2
  7. Tenda W311R+ product page: long press causes factory reset; Draytek: Vigor 2820 Series manual: short press toggles WiFi (англійською). Процитовано 18 січня 2016. 
  8. Netgear N600 Wireless Dual Band Gigabit ADS2+ Modem Router DGND3700 User Manual. Netgear (англійською). Процитовано 16 січня 2016. 
  9. Wi-Fi Alliance Brand Style Guide 2014. wi-fi.org (англійською). Wi-Fi Alliance. квітень 2014. Процитовано 16 січня 2016. 
  10. D-Link DSL-2544N Dual Band Wireless N600 Gigabit ADSL2+ Modem Router User Manual, Version 1.0 (PDF). с. 11. Процитовано 26 січня 2016. 
  11. NetComm NF8AC User Guide (PDF). с. 11. Процитовано 16 жовтня 2016. 
  12. Windows Connect Now–NET (WCN-NET) Specifications (англійською). Microsoft. 8 грудня 2006. Процитовано 30 грудня 2011. 
  13. reaver-wps. Процитовано 30 грудня 2011. 
  14. Reaver demonstration on WPS — proof of concept [Демонстрація Reaver на WPS — доказ концепції] (англійською). 
  15. Dennis Fisher (29 грудня 2011). Attack Tool Released for WPS PIN Vulnerability (англійською). Архів оригіналу за 10 березень 2013. Процитовано 31 грудня 2011. «This is a capability that we at TNS have been testing, perfecting and using for nearly a year.» 
  16. Слевін, Бред (18 січня 2013). Wi-Fi Security — The Rise and Fall of WPS [Безпека Wi-Fi — Зліт і падіння WPS]. Netstumbler.com (англійською). Процитовано 17 грудня 2013. 
  17. pixiewps. GitHub. Процитовано 5 травня 2015. 
  18. Modified Reaver. GitHub. Процитовано 5 травня 2015. 
  19. WPS — Advantages and Vulnerability [WPS — Переваги та недоліки]. ComputerHowToGuide.com (англійською). 4 вересня 2014. Процитовано 16 жовтня 2016. 
  20. Wi-Fi Protected Setup (WPS) is Insecure: Here's Why You Should Disable It (англійською). How-To-Geek. 24 листопада 2013. Процитовано 16 листопада 2016. 
  21. Роса, Томаш (23 травня 2013). Wi-Fi Protected Setup: Friend or Foe [Wi-Fi Protected Setup: Друг чи ворог] (PDF) (англійською). Прага: Smart Cards & Devices Forum. Процитовано 16 жовтня 2016. 
  22. Черрі, Брюс. An Emphasis On Physical Security for Wireless Networks AKA The Dangers Of Wi-Fi Protected Setup. YouTube. Процитовано 14 липня 2014. 

Посилання[ред. | ред. код]