ieee 802 11 802 11i wireless lan
Dubinski pogled na poboljšane značajke mrežnih sigurnosnih protokola: 802.11 i 802.11i bežični LAN i 802.1x standardi provjere autentičnosti
U našem prethodnom vodiču istražili smo mrežni sigurnosni protokoli temeljeni na AAA arhitekturi i IEEE standardni 802.1x protokoli za provjeru autentičnosti.
hp alm intervju pitanja i odgovori
U ovom sekvencijalnom dijelu zaronit ćemo duboko u još neke mrežne sigurnosne protokole zajedno s njihovim poboljšanim značajkama.
Predloženo čitanje => Serija lekcija o osnovama računalnih mreža
Istražimo !!
Što ćete naučiti:
802.11 Autentifikacija i pridruživanje
Potreban je bežični uređaj poput mobilne stanice nazvane STA i pristupna točka (AP).
Koncept autentifikacije 802.11 leži između stvaranja identifikacije i autentifikacije između STA i AP. AP može biti usmjerivač ili prekidač. Ne postoji šifriranje poruke koja je uključena u ovaj postupak.
Ovjera
Postoje dvije vrste provjere autentičnosti kao što je spomenuto u nastavku:
- Sustav otvorenih ključeva
- Dijeljeni sustav ključeva
Autentifikacija otvorenim ključem:
Zahtjev za provjeru autentičnosti šalje se od klijentskog korisnika na pristupnu točku koja sadrži ožičeni ekvivalentni ključ privatnosti (WEP) za provjeru autentičnosti. Kao odgovor, pristupna točka (AP) šalje poruku o uspjehu samo ako se WEP ključ i klijenta i AP međusobno podudaraju, ako ne cirkulira poruku o neuspjehu.
U ovoj metodi, AP pluta nešifriranu tekstualnu poruku klijentu koji pokušava komunicirati s pristupnom točkom. Klijentski uređaj koji je privlačan za provjeru autentičnosti šifrira poruku i šalje je natrag u AP.
Ako je tada pronađeno šifriranje poruke, AP dopušta klijentskom uređaju autentifikaciju. Kako koristi WEP ključ u ovoj metodi, AP je otvoren za napade virusa samo procjenom WEP ključa i stoga je manje osiguran za postupak provjere autentičnosti.
WPA (Wi-Fi zaštićeni pristup) ključna metoda: Ova metoda omogućuje poboljšanu razinu sigurnosnih značajki podataka za bežične uređaje. To je ujedno i metoda 802.11i. U WPA-PSK unaprijed podijeljeni ključ generira se prije početka postupka provjere autentičnosti.
I klijent, kao i AP, koriste PSK kao PMK, glavni ključ u paru za provjeru autentičnosti korištenjem EAP metode provjere autentičnosti.
Udruživanje
Nakon završetka postupka provjere autentičnosti, bežični klijent može se pridružiti i registrirati s pristupnom točkom koja može biti usmjerivač ili preklopnik. Nakon povezivanja, AP sprema sve potrebne informacije u vezi s uređajem s kojim je povezan kako bi se paketi podataka mogli točno odrediti.
Proces pridruživanja:
- Kada se autentifikacija završi, STA šalje zahtjev za pridruživanje AP-u ili usmjerivaču.
- Tada će AP obraditi zahtjev za pridruživanje i odobriti ga na temelju vrste zahtjeva.
- Kada AP dozvoli pridruživanje, vraća se natrag na STA sa statusnim kodom 0, što znači uspješno i s AID-om (ID pridruživanja).
- Ako povezivanje ne uspije, AP se vraća s završetkom odgovora na postupak i sa kodom statusa kvara.
802.11i protokol
802.11i koristi protokol provjere autentičnosti koji je korišten u 802.1x s nekim poboljšanim značajkama poput četverosmjernog rukovanja i rukovanja grupnim ključem s prikladnim kriptografskim ključevima.
Ovaj protokol također pruža značajke integriteta i povjerljivosti podataka. Početak operacije protokola odvija se s postupkom provjere autentičnosti koji je obavljen putem EAP razmjene s tvrtkom poslužitelja za provjeru autentičnosti slijedeći pravila protokola 802.1x.
Ovdje se, kada se vrši autentifikacija 802.1x, razvija tajni ključ koji je poznat kao upareni glavni ključ (PMK).
Četverosmjerno rukovanje
Ovdje je autentifikator poznat kao pristupna točka, a molitelj je bežični klijent.
U ovom rukovanju, i pristupna točka i bežični klijent moraju potvrditi da su upoznati s PMK-om, bez otkrivanja. Poruke između njih dvije dijele se u šifriranom obliku i samo one imaju ključ za dešifriranje poruka.
U procesu provjere autentičnosti koristi se još jedan ključ poznat kao prijelazni ključ u paru (PTK).
Sastoji se od sljedećih atributa:
- PMK
- Pristupna točka nonce
- Klijentska stanica nonce (STA nonce)
- MAC adresa pristupne točke
- STA MAC adresa
Izlaz se zatim postavlja u pseudo-slučajnu funkciju. Rukovanje također kapitulira vremenski ključ grupe (GTK) za dešifriranje na kraju prijamnika.
gdje se danas koristi c ++
Postupak rukovanja je sljedeći:
- AP cirkulira pristupnu točku odn. STA u suradnji s brojačem ključeva, broj u potpunosti koristi poslanu poruku i odbija duplicirani unos. STA je sada spreman s atributima potrebnim za izgradnju PTK-a.
- Sada STA šalje AP-u nikakav AP, zajedno s kodom integriteta poruke (MIC), uključujući autentifikaciju i brojač ključeva, koji je isti kao i AP koji se podudara.
- AP potvrđuje poruku ispitivanjem MIC-a, AP Noncea i brojača ključeva. Ako je sve pronađeno u redu, tada kruži GTK s drugim MIC-om.
- STA potvrđuje primljenu poruku ispitivanjem svih brojača i na kraju šalje potvrdu AP-u na potvrdu.
Rukovanje ključem grupe
GTK se koristi svaki put kada određena sesija istekne i potrebno je ažuriranje za početak s novom sesijom u mreži. GTK se koristi za zaštitu uređaja od primanja vrsta poruka s drugih izvora drugih AP-a.
Rukovanje s ključem grupe sastoji se od dvosmjernog postupka rukovanja:
- Pristupna točka cirkulira novi GTK svakoj klijentskoj stanici prisutnoj u mreži. GTK se šifrira pomoću 16 bajtova ključa za šifriranje EAPOL ključa (KEK) dodijeljenog toj određenoj klijentskoj stanici. Također sprječava manipulaciju podacima korištenjem MIC-a.
- Klijentska stanica potvrđuje primljeni novi GTK, a zatim prosljeđuje odgovor na pristupnu točku.
Dvosmjerno rukovanje odvija se na gore spomenuti način.
802,1X
To je lučki standard za kontrolu pristupa mreži. Omogućuje postupak provjere autentičnosti uređajima koji žele komunicirati u LAN ili WLAN arhitekturi.
Autentifikacija 802.1X uključuje tri sudionika, tj. Podnositelja zahtjeva, autentifikatora i poslužitelja za autentifikaciju. Podnositelj zahtjeva bit će krajnji uređaj poput prijenosnog računala, računala ili tableta koji želi započeti komunikaciju putem mreže. Podnositelj zahtjeva također može biti aplikacija zasnovana na softveru koja se izvodi na računalu klijenta klijenta.
Molitelj također predaje vjerodajnice vjerodostojniku. Autentifikator je stroj poput Ethernet prekidača ili WAP-a, a poslužitelj za provjeru autentičnosti udaljeni je krajnji host uređaj koji pokreće softver i podržava protokole provjere autentičnosti.
Autentifikator se ponaša kao zaštitni štit zaštićene mreže. Klijentu domaćinu koji je pokrenuo komunikaciju nije dopušten pristup zaštićenoj strani mreže putem autentifikatora, osim ako njegov identitet nije provjeren i potvrđen.
Korištenjem 802.1X, podnositelj zahtjeva vjerodajnice poput digitalnog potpisa ili korisničkog imena i lozinke za prijavu isporučuje autentifikatoru, a autentifikator ih preusmjerava na autentifikacijski poslužitelj radi provjere autentičnosti.
Ako se utvrdi da su vjerodajnice vjerodostojne, tada je glavnom uređaju dopušten pristup resursima koji se nalaze na zaštićenoj strani mreže.
Koraci uključeni u postupak provjere autentičnosti:
- Inicijalizacija: Ovo je prvi korak. Kad stigne novi podnositelj zahtjeva, port na autentifikatoru se postavlja i stavlja u 'neovlašteno' stanje.
- Inicijacija: Da bi pokrenuo postupak provjere autentičnosti, autentifikator će redovito emitirati okvire identiteta EAP zahtjeva na MAC adresu podatkovnog segmenta mreže. Podnositelj zahtjeva analizira adresu i vraća je i šalje okvir identiteta EAP odgovora koji se sastoji od identifikatora podnositelja zahtjeva poput tajnog ključa.
- Pregovaranje: U ovoj se fazi poslužitelj vraća s odgovorom autentifikatoru, imajući EAP zahtjev u kojem se navodi EAP shema. EAP zahtjev autentifikator enkapsulira u EAPOL okvir i šalje ga natrag podnositelju zahtjeva.
- Ovjera: Ako se poslužitelj za provjeru autentičnosti i podnositelj zahtjeva slažu s istom EAP metodom, tada će se EAP zahtjev i razmjena poruka odgovora na EAP odvijati između podnositelja zahtjeva i poslužitelja za provjeru autentičnosti sve dok poslužitelj za provjeru autentičnosti ne odgovori s porukom o uspješnom EAP-u ili porukom o neuspjehu u EAP-u. .
- Nakon uspješne autentifikacije, autentifikator stavlja port u 'ovlašteno' stanje. Stoga su dopuštene sve vrste prometnih tokova. Ako autorizacija ne uspije, luka će se zadržati u 'neovlaštenom' stanju. Kad god se klijent domaćina odjavi, pluta poruku za odjavu EAPOL-a u autentifikator, što opet dovodi port u „neovlašteno“ stanje.
802.1x postupak provjere autentičnosti
Zaključak
Ovdje smo u ovom vodiču istražili rad protokola provjere autentičnosti 802.11, 802.11i i 802.1x.
Mrežni sustav postaje sigurniji, primjenom EAP metode za provjeru autentičnosti i korištenjem međusobne provjere autentičnosti na klijentu i na pristupnoj točki, koristeći različite vrste metoda ključa za šifriranje.
Preporučena literatura
- IPv4 vs IPv6: Koja je točna razlika
- Što je mrežni sigurnosni ključ: kako ga pronaći za usmjerivač, Windows ili Android
- Što je virtualizacija? Primjeri virtualizacije mreže, podataka, aplikacija i pohrane
- Osnovni koraci i alati za rješavanje problema s mrežom
- Što je mrežna sigurnost: njezine vrste i upravljanje
- Što su IP sigurnosni protokoli (IPSec), TACACS i AAA
- Što su HTTP (Hypertext Transfer Protocol) i DHCP protokoli?
- Važni protokoli aplikacijskog sloja: DNS, FTP, SMTP i MIME protokoli