WPA güvenliğinin özellikleri
WPA standardında aşağıdaki güvenlik özellikleri bulunmaktadır:
WPA kimlik doğrulaması
WPA'da 802.1x kimlik doğrulaması gerekmektedir. 802.11 standardında, 802.1x kimlik doğrulaması isteğe bağlıydı.
İçeri Arayan Kullanıcının Kimliğini Doğrulama Hizmeti (RADIUS) altyapısı olmayan ortamlarda, WPA önceden paylaşılan anahtar kullanımını destekler. RADIUS altyapısı olan ortamlarda, Genişletilebilir Kimlik Doğrulama Protokolü (EAP) ve RADIUS desteklenir.
WPA anahtarı yönetimi
802.1x ile, tek noktaya şifreleme anahtarlarının yeniden oluşturulması isteğe bağlıdır. Ayrıca 802.11 ve 802.1x, çok noktaya yayın ve yayın trafiği için kullanılan genel şifreleme anahtarını değiştirmek amacıyla kullanılabilen bir mekanizma sağlamaz. WPA ile, tek noktaya ve genel şifreleme anahtarlarının yeniden oluşturulması gerekir. Tek noktaya şifreleme anahtarı için, Geçici Anahtar Bütünlüğü Protokolü (TKIP) anahtarı her çerçeve için değiştirir ve bu değişiklik kablosuz istemci ile kablosuz erişim noktası (AP) arasında eşitlenir. Genel şifreleme anahtarı için, WPA, kablosuz AP'nin değiştirilmiş anahtarı bağlantılı kablosuz istemciye duyurmasını sağlayan bir araç içerir.
Geçici Anahtar Bütünlüğü Protokolü (TKIP)
802.11 için, Kabloluya Eşdeğer Gizlilik (WEP) şifrelemesi isteğe bağlıdır. WPA için, TKIP kullanarak şifreleme gerekir. TKIP, WEP yerine WEP algoritmasından daha güçlü, ancak şifreleme işlemlerini gerçekleştirmek için varolan kablosuz aygıtların hesaplama olanaklarını kullanan yeni bir şifreleme algoritması kullanır. TKIP ayrıca şunları da sağlar: • Şifreleme anahtarları belirlendikten sonra güvenlik yapılandırmasının doğrulanması.
• Her çerçeve için tek noktaya yayın şifreleme anahtarının eşzamanlı olarak değiştirilmesi.
• Önceden paylaşılan her anahtar kimlik doğrulamasının benzersiz olarak başlatılmasının belirlenmesi.
Michael
802.11 ve WEP ile, veri bütünlüğü 802.11 yüküne eklenen ve WEP ile şifrelenen bir 32 bit bütünlük denetim değeri (ICV) ile sağlanır. ICV şifrelenmiş olsa da, şifrelenmiş yüklerdeki bit değerlerini şifreleme incelemesi kullanarak değiştirebilir ve şifrelenmiş ICV'yi alıcı algılamadan güncelleştirebilirsiniz.
WPA ile, Michael olarak bilinen bir yöntem, varolan kablosuz aygıtlarda kullanılan hesaplama olanakları yardımıyla 8 baytlık bir ileti bütünlüğü kodu (MIC) hesaplayan yeni bir algoritma tanımlamaktadır. MIC, IEEE 802.11 çerçevesinin veri bölümü ile 4 baytlık ICV arasına yerleştirilir. MIC alanı, çerçeve verileri ve ICV ile birlikte şifrelenir.
Michael ayrıca yeniden gönderme koruması sağlar. Yeniden gönderme saldırılarını engellemek amacıyla, IEEE 802.11 çerçevesinde yeni bir çerçeve sayacı kullanılır.
AES desteği
WPA, WEP şifrelemesinin yerini alan ek bir şifreleme olarak Gelişmiş Şifreleme Standardı'nın (AES) kullanımını tanımlar. Varolan kablosuz donanıma bir üretici yazılımı güncelleştirmesi aracılığıyla AES desteği ekleyemeyebileceğiniz için, AES desteği isteğe bağlıdır ve satıcı sürücü desteğine bağımlıdır.
WPA ve WEP kablosuz istemciler karışımını destekleme
WEP tabanlı kablosuz ağların zaman içinde WPA'ya geçişini desteklemek için, bir kablosuz AP aynı anda hem WEP hem de WPA istemcilerini destekleyebilir. İlişkilendirme sırasında, kablosuz AP hangi istemcilerin WEP, hangilerinin de WPA kullanacağını belirler. WEP ve WPA istemciler karışımının desteklenmesi sorunlara neden olmaktadır. Genel şifreleme anahtarı, Web tabanlı istemciler tarafından desteklenmediğinden dinamik değildir. WPA istemcilerin bütünlük de dahil tüm diğer avantajları korunur.
|
