Wirtualizacja sposobem na lukę w zabezpieczeniach WPA2

Sieci bezprzewodowe, tworzone w oparciu o rozwiązania Meru Networks, są odporne na zagrożenia związane z niedawno wykrytą "Luką 196" w protokole szyfrowania WPA2.

Istnienie błędu w protokole WPA2, używanym do ochrony informacji w sieciach WiFi, ujawniła firma AirTight. Błędowi nadano nazwę „Luki 196”, ze względu na numer strony dokumentacji WPA2, na której znajduje się opis wykorzystywanych w tym protokole kluczy: PTK (Pairwise Transient Key) oraz GTK (Group Temporal Key). To właśnie błędne zdefiniowanie właściwości drugiego z tych kluczy umożliwia przeprowadzenie ataku w sieci bezprzewodowej.

– Klucz PTK jest unikalny dla każdego klienta sieci WLAN i służy do zabezpieczania transmisji unicastowych. Z kolei klucz GTK jest wspólny dla wszystkich urządzeń przypisanych do konkretnego BSSID i służy do zabezpieczania danych w transmisjach broadcastowych, czyli do wielu klientów w sieci. O ile klucz PTK jest w stanie wykryć fałszowanie danych i podszywanie się pod adresy MAC, to już klucz GTK tego nie potrafi – wyjaśnia Łukasz Naumowicz, Technical Support Unit Manager z Konsorcjum FEN.

– Korzystając z tej ułomności, osoba podłączona i uwierzytelniona w ramach określonej sieci bezprzewodowej może stworzyć zainfekowany pakiet rozgłoszeniowy, na który inne urządzenia będą odpowiadały wysyłając własny adres MAC z informacjami o kluczu prywatnym. Ta wiedza umożliwia przejęcie całkowitej kontroli nad urządzeniami z zaatakowanej sieci, przechwytywanie i deszyfrowywanie ruchu, a nawet całkowite zniszczenie sieci, np. za pomocą ataków denial-of-service. Problem ten nie występuje jednak w sieciach bezprzewodowych, które zostały zbudowane w oparciu o technologię Virtual Port dostępną w rozwiązaniach Meru Networks – dodaje.

Odporność sieci bezprzewodowych Meru na zagrożenia związane z Luką 196 wynika z faktu, że połączenia w tych sieciach są kontrolowane przez technologię Virtual Port. Dzięki niej, każde urządzenie w sieci WLAN posiada swój unikalny identyfikator BSSID, który jest indywidualnie generowany dla klienta i kontrolowany przez oprogramowanie Meru System Director. To z kolei powoduje, że każde urządzenie posiada też swój unikalny klucz broadcastowy dla WPA2.

Close

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.