حافظ على خصوصية وأمان الشبكة وإعلم طرق حماية الوايرليس

من المهم معرفة بعض امور حماية الشبكات اللاسلكية (الوايرليس) حتى لايتم اختراق او استغلال الشبكة بدون معرفتك، وقد يكون الموضوع صعبا ومعقدا على اغلب المستخدمين، لكن لنحاول تبسيطه قدر الامكان، ومع ذلك ننوه ان الموضوع متخصص بشكل كبير.

نظرا لضعف تقنية التشفير (Wired Equivalent Privacy (WEP فقد قامت مؤسسة Wi-Fi و جمعية مهندسي الكهرباء و الإلكترونيات IEEE بالعمل سويا لاستبداله بمعيار أكثر أمانا و خرج الي النور جيلين الأول يخص Wi-Fi و هو (Wi-Fi Protected Access (WPA و الثاني يخص IEEE و يسمي IEEE 802.11i/WPA2

فأما (Wi-Fi Protected Access (WPA فقد قامت منظمة الواي فاي بإطلاقه في 2003  بغرض سرعة استبدال المعيار القديم WEP و هو النسخة الأولية draft للمعيار الأحدث Wi-Fi Protected Access II (WPA2) و الذي يسمي أيضا IEEE 802.11i

و أما IEEE 802.11i/WPA2 فهو كما ذكرنا المعيار الأحدث و الأعقد و قد أطلق في 2004 و لهذا فإنه يسمي أيضا  IEEE 802.11i-2004 و كل أكسس بوينت التي أنتجت بعد 2003 تستطيع أن تتعامل مع WPA مباشرة أو بترقية برامج تصنيعها firmware

مميزات WPA

تكمن فكرة WPA في استخدام (Temporal Key Integrity Protocol (TKIP و ذلك لتغيير مفاتيح تشفير بطول 128-bit  بشكل اوتوماتيكي لكل Packet علي عكس WEP الذي يستخدم مفاتيح تشفير بطول 40-bit أو 104-bit  تدخلها في الأكسس بوينت و الجهاز الذي سيستخدم الشبكة و الذي يستخدم تقنية RC4 و تم بعدها تعديل بنيته ليعتمد علي AES encryption

يحتوي أيضا WPA علي تقنية تسمي Micheal و هي تقنية فحص للرزم message integrity check MIC و هي البديلة لتقنية cyclic redundancy check CRC المستخدمة في WEP و هذه التقنية هي التي مكنت WPA من منع إختراقه بحجب عملية capturing التي تستخدم في أخذ نسخ من الرزم المرسلة و تحليلها لإختراق الشبكة و رغم قوة MIC الا أنه استبدل ايضا في WPA2 بوسيلة أكثر قوة

WPA Authentication Modes

لدينا نوعان للتوثيق هما (WPA Personal) و (WPA Enterprise)

WPA Personal

في WPA Personal يتم بإستخدام مفتاح متفق عليه بين الجهاز و الأكسس بوينت (pre-shared keys (WPA-PSK و هو المستخدم غالبا في الشبكات الخفيفة SOHO مثل المنازل حيث يعتبر استخدام RADIUS server خيار غير عملي و لهذا فإن WPA يشبه WEP في كونه يسمح بإستخدام (pre-shared key (PSK كمفتاح مشترك بين client و access point

WPA Enterprise

و أما (WPA Enterprise) فيتم بإستخدام سيرفر مركزي ببروتوكولات توثيق 802.1X/EAP أو بأي نوع EAP مثل EAP-TLS) Transport Layer Security) أو (EAP-TTLS PEAP (Protected EAP أو MS-CHAP v2) Microsoft Challenge Handshake Authentication Protocol) أو غيرها

كما هو الحال مع بروتوكلات التوثيق يتم استخدام فريمات التراسل (probe request ،probe response) بين الجهاز و الأكسس بوينت الا أن الإختلاف يكمن في أنه لابد أن يتوافق الأكسس بوينت و الجهاز علي هذه العملية أمنيا ثم يستكمل خطوات توثيق 802.1X و عند استكمالها يقوم السيرفر بإرسال master key الي الأكسس بوينت و التي أخذها مسبقا من الجهاز الطالب للإتصال و لهذا يسمي المفتاح Pairwise Master Key- PMK

ثم يتم بعدها عملية تراسل رباعي four-way handshake و التي يتم منها توليد مفتاح آخر يسمي Pairwise Transient Key -PTK

ثم يبدأ بعدها مرحلة جديدة من التراسل تسمي two-way group key handshake يحدث تراسل مشفر بواسطة (Group Transient Key (GTK بين client و authenticator

Unicast Keys: Four-Way Handshake

يتم التراسل بين الأكسس بوينت عبر أربع خطوات تسمي four-way handshake ينتج بعدها مفتاح جديد (Pairwise Transient Key (PTK يؤكد عملية الإتصال و التي بدأت عبر مفتاح Pairwise Master Key PMK

لعملية التراسل WPA four-way الرباعي عدة فوائد أهمها

  • تأكيد مفاتيح PMK بين Supplicant و Authenticator
  • توليد المفاتيح المؤقتة pairwise temporal keys
  • توثيق معاملات التأمين المتبادلة

قبل أن تحدث عملية التراسل الرباعي WPA four-way handshake لابد أن يتم توليد pairwise master key كنتيجة لعملية توثيق 802.1X بين client و authentication server ثم تتوالي الخطوات التالية

أولا يقوم AP بإرسال رقم عشوائي Nonce الي Client يستخدم لجلسة واحدة فقط one session

ثانيا بهذا الرقم العشوائي و باستخدام أيضا PMK يقوم Client بتوليد مفتاح لتشفير البيانات التي سترسل الي AP و يتم استخدام دالة تسمي pseudo-random function  PRF و ذلك لحساب PTK كدالة في الأرقام العشوائية المتولدة في Client و AP و في MAC و في PMK أو المفتاح المشترك و يتم حماية الفريم المرسل بواسطة frame check sequence بواسطة تقنية MIC) message integrity check) و ذلك للتأكد من أن الفريم لم يتم اعتراضه

ثالثا يقوم الأكسس بوينت بعد تلقيه nonce بإرساله مرة اخري الي Client بنفس السياسة الأمنية المستقبل بها و يقوم أيضا الأكسس بوينت بإرسال group key وبهذا يكون هناك توثيق بين الأكسس بيونت و الجهاز

رابعا يتم تأكيد أن المفاتيح قد تم ارسالها و العملية جاهزة للتراسل

بمجرد الحصول علي المفتاح المؤقت PTK بطول 64 bit فإنه يتم تقسيمه الي خمس مفاتيح

الأول بطول 16-byte و يسمي EAP over LAN-Key Encryption Key و يختصر لـ EAPOL-KEK و يستخدم في تشفير أي بيانات إضافية مرسلة الي Client

الثاني بطول 16 byte و يسمي EAPOL-Key Confirmation Key و يختصر لـ KCK و يستخدم لحساب MIC

الثالث بطول 16 byte و هو Temporal Key TK و يستخدم لتشفير و فك تشفير  unicast data

الرابع و الخامس كل منهما بطول 8 byte و هما Michael MIC Authenticator و احدهما يستخدم لحساب MIC المرسل مع البيانات المرسلة مع الأكسس بوينت و الآخر مع Client

Group Key Handshake

يستخدم GTK) Groupwise Transient Key) لمنع الجهاز من استقبال أي رسائل من الأكسس بوينت و يتم ذلك عبر التراسل الثنائي two-way handshake بهذا السيناريو

أولا يقوم الأكسس بوينت بإرسال GTK جديد لكل الأجهزة في الشبكة و يتم تشفيرها بإستخدام KEK و حمايتها باستخدام MIC

ثانيا تقوم هذه الأجهزة بالإستجابة لـ GTK و الرد علي الأكسس بوينت

و يكون GTK بطول 32 bytes مقسمة الي ثلاث مفاتيح

الأول بطول 16 byte و هو Temporal Key TK و يستخدم لتشفير و فك تشفير unicast data

Packets

و الثاني و الثالث كل منهما بطول 8 byte و هما Michael MIC Authenticator و احدهما يستخدم لحساب MIC المرسل مع البيانات المرسلة مع الأكسس بوينت و الآخر مع Client

WPA Encryption

كما أن WPA قد دعم عملية التوثيق authentication بشكل كبير فإنه أيضا فد قام بتحسين التشفير encryption أيضا بشكل رائع حسن و ذلك عبر نظامين هما AES و TKIP أما AES فهو نظام جديد أقوي من نظام التشفير RC4 المستخدم مع WEP و لكنه يحتاج الي الكثير من الطاقة بالإضافة الي ضرورة دعم الجهاز لهذا النوع من التشفير و أما TKIP و هو اختصار Temporal Key Integrity Protocol فهو بروتوكول لا زال يستخدم تقنية RC4 و هي الخيار الإفتراضي للـ WPA الا أن به تحسينات عن الذي يستخدم مع WEP حيث أنه يستخدم مفاتيح بطول 128 bit بعد أن كان يستخدم مفاتيح بطول 40-bit مع WEP

أما العيب الثاني الذي تخطاه WPA هو IV initialization vector فمن المعروف أن المفتاح يتم مزجه مع المفتاح الرئيسي بواسطة عملية XOR كما بالشكل السابق و لأن IV في WEP قيمة محددة لا تتغير و غير مشفرة فإنه و باستخدام بعض برامج بتحليل Packets تستطيع أن تكشف قيمة IV و من ثم تكسر هذا التشفير و ذلك في غضون ساعات قليلة أما في WPA فتغيرت هذه العملية كذلك أصبح IV بطول 48 bit و ليس بطول 24 bit كما كان في WEP و هذا يحتاج 280 تريليون محاولة لكسره أي ما يساوي محاولات تتم في 645 سنة كذلك يتم عمل عملية مزج mixerلكل مفتاح PTK مع عنوان الجهاز MAC مع رقم كل باكت مخرجا لنا مفتاح متغير لكل باكت ثم مزج ذلك مع IV ليتم تشفير البيانات المرسلة بها و بهذا فإنه بالإضافة لصعوبة كسر هذا التشفير فإنه الأكسس بوينت يستطيع اكتشاف عملية الإختراق بواسطة عنوان الجهاز المرسل مع مفتاح التشفير

Message Integrity Check

التعديل الآخر في WPA هو استخدام تقنية تسمي Message Integrity Code تختصر الي MIC أو Michael حيث يتم وضع بعص bits القليلة الي الباكت قبل تشفيرها و ذلك لمراقبة مدي سلامة ارسال الباكت WPA2 / 802.11i

الآن لدينا في WPA مفاتيح أطول و IV أطول و مزج فعال و كذلك تقنية MIC للتأكد من سلامة وصول الباكت الا أن عملية التراسل الرباعي الموجودة في WPA PSK المدعوم افتراضيا في شبكات SOHO تغري بلإختراق و ذلك عبر عمل عملية فك الإرتباط deauthentication و من ثم انتحال شخصية أحد أجهزة الشبكة , و ان كان هذا الأمر أصعب بكثير مما يتم في WEP الا أنه يحدث و هذا ما دعا الخبراء الي الإنتقال الي WPA2

WPA2 مبني علي 802.11i و انتهي منه في 2004 و يدعم بروتوكولات التوثيق المركزي 802.1X و يستبدل تقنية تشفير RC4 بالجيل الثاني من طرق التشفير AES الذي أطلق من قبل (National Institute of Standards and Technology (NIST والذي يستخدم عمليات مزج تسمي Rijndael algorithm و يعلو بالتأمين بإستخدام IV لكل بلوك مرسل و يستخدم أيضا للتأكد من وصول الباكت MIC مثلما يفعل WPA

و هذه مقارنة بين WPA, WPA2, 802.11i

تطوير سيسكو الخاص بـ WPA

دائما سيسكو لها لمساتها في أي تقنية ومن هذه اللمسات الرائعة key caching حيث يتم حفظ مفاتيح الولوج عند خروج الأجهزة من الشبكة وذلك عبر تثبيت قيمة SA لكل جهاز وعند رجوعه الي حيز الشبكة يستطيع الدخول مرة أخري بدون الحاجة الي إعادة التوثيق

كذلك قامت سيسكو بتطوير WPA بعمل مركزية لمفاتيح الولوج تسمي Cisco Centralized Key Management حيث يقوم الكنترولر بإدارة عمليات الربط association كما يحدث في 802.1X حيث يقوم الكنترولر بدور الموثق authenticator و ليس الأكسس بوينت فبمجرد ارتباط الأكسس بيونت بالكنترولر يتم توثيقه في أقل من 100 مللي ثانية و يحدث نفس الأمر عند رجوعه مرة أخري في حال ابتعاده حيث يحدث تخزين caching لمفتاح PMK