Меню

Бездротова локальна мережа IEEE 802.11 та 802.11i та стандарти автентифікації 802.1x

  • Головна
  • Інший
  • Бездротова локальна мережа IEEE 802.11 та 802.11i та стандарти автентифікації 802.1x

ieee 802 11 802 11i wireless lan

Спробуйте Наш Інструмент Для Усунення Проблем

Поглиблений огляд вдосконалених функцій протоколів мережевої безпеки: бездротова локальна мережа 802.11 та 802.11i та стандарти автентифікації 802.1x

У нашому попередньому підручнику ми досліджували протоколи мережевої безпеки, засновані на архітектурі AAA та стандартні протоколи 802.1x IEEE для автентифікації.

який найкращий сервер електронної пошти

У цій послідовній частині ми заглибимось у глибше ще деякі протоколи мережевої безпеки разом із їх розширеними функціями.

Пропоноване читання => Серія навчальних посібників з основ комп’ютерних мереж

Давайте досліджувати !!

ПРОТОКОЛ БЕЗПЕКИ ДОСТУПУ МЕРЕЖІ ЧАСТИНА 2

Що ви дізнаєтесь:

802.11 Аутентифікація та асоціація

Для цього потрібен бездротовий пристрій, такий як мобільна станція, яка називається STA, і точка доступу (AP).

Концепція автентифікації 802.11 лежить між створенням ідентифікації та автентифікацією між STA та AP. Точка доступу може бути маршрутизатором або комутатором. У цьому процесі не відбувається шифрування повідомлення.

Аутентифікація

Існує два типи автентифікації, як зазначено нижче:

  • Система відкритих ключів
  • Спільна система ключів

Відкритий ключ Аутентифікація:

Запит на автентифікацію надсилається користувачем-клієнтом до точки доступу, що містить дротовий еквівалентний ключ конфіденційності (WEP) для автентифікації. У відповідь точка доступу (AP) надсилає повідомлення про успіх лише в тому випадку, якщо ключ WEP як клієнта, так і AP збігаються між собою, якщо ні, він циркулює повідомлення про помилку.

Спільна аутентифікація ключа:

У цьому методі точка доступу передає незашифроване текстове повідомлення клієнту, який намагається зв’язатися з точкою доступу. Клієнтський пристрій, який звертається за аутентифікацією, шифрує повідомлення та відправляє його назад до точки доступу.

Якщо тоді було знайдено шифрування повідомлення, AP дозволяє клієнтському пристрою пройти автентифікацію. Оскільки в цьому методі використовується ключ WEP, точка доступу відкрита для атак вірусів, просто оцінивши ключ WEP, а отже, вона менш захищена для процесу автентифікації.

Ключовий метод WPA (захищений доступ до Wi-Fi): Цей метод забезпечує підвищений рівень захисту даних для бездротових пристроїв. Це також супутньо методу 802.11i. У WPA-PSK попередньо спільний ключ генерується перед початком процесу автентифікації.

І клієнт, і точка доступу використовують PSK як PMK, парний головний ключ для автентифікації за допомогою методу автентифікації EAP.

Асоціація

Після завершення процесу автентифікації бездротовий клієнт може зв’язатись і зареєструватися з точкою доступу, яка може бути маршрутизатором або комутатором. Після асоціації точка доступу зберігає всю необхідну інформацію щодо пристрою, з яким він пов’язаний, щоб можна було точно призначити пакети даних.

Процес асоціації:

  1. Після завершення автентифікації STA надсилає запит на асоціацію до точки доступу або маршрутизатора.
  2. Потім AP обробляє запит на асоціацію та надає його на основі типу запиту.
  3. Коли точка доступу дозволяє асоціацію, вона повертається назад до STA з кодом стану 0, що означає успішність та з AID (ідентифікатор асоціації).
  4. Якщо асоціація не вдалася, то AP повертається із закінченням відповіді на процедуру та з кодом стану помилки.

Протокол 802.11i

802.11i використовує протокол автентифікації, який використовувався в 802.1x, з деякими розширеними функціями, такими як чотиристороннє рукостискання та рукостискання групових ключів з відповідними криптографічними ключами.

Цей протокол також забезпечує функції цілісності та конфіденційності даних. Початок роботи протоколу відбувається з процесом автентифікації, який було здійснено обміном EAP з компанією сервера аутентифікації, дотримуючись правил протоколу 802.1x.

Тут, коли аутентифікація 802.1x виконується, еволюціонує секретний ключ, який відомий як парний головний ключ (PMK).

Чотиристороннє рукостискання

Тут аутентифікатор відомий як точка доступу, а запитувачем є бездротовий клієнт.

У цьому рукостисканні як точка доступу, так і бездротовий клієнт повинні перевірити, що вони знайомі між собою PMK, не розкриваючи цього. Повідомлення між ними передаються у зашифрованому вигляді, і лише вони мають ключ для розшифровки повідомлень.

Інший ключ, відомий як парно-перехідний ключ (PTK), використовується в процесі аутентифікації.

Він складається з наступних атрибутів:

  1. ПМК
  2. Точка доступу nonce
  3. Клієнтська станція nonce (STA nonce)
  4. MAC-адреса точки доступу
  5. MAC-адреса STA

Потім результат виводиться у псевдовипадкову функцію. Рукостискання також капітулює тимчасовий ключ групи (GTK) для дешифрування на кінці приймача.

запитання та відповіді на інтерв’ю в мережі pdf

Процес рукостискання такий:

  • AP розповсюджує точку доступу звідси на STA разом із лічильником ключів, номер повністю використовує надіслане повідомлення та відхиляє повторюваний запис. STA тепер готовий з атрибутами, необхідними для нарощування PTK.
  • Тепер STA надсилає STA nonce до точки доступу разом із кодом цілісності повідомлень (MIC), включаючи аутентифікацію та лічильник ключів, який такий самий, як і відправлений AP, щоб обидва збігалися.
  • AP перевіряє повідомлення, перевіряючи MIC, AP Nonce та лічильник ключів. Якщо все знайдено нормально, тоді він циркулює GTK з іншим мікрофоном.
  • STA перевіряє отримане повідомлення, перевіряючи всі лічильники, і, нарешті, відправляє повідомлення про підтвердження в AP для підтвердження.

4 способи рукостискання в редакції 802.11i

Групове рукостискання

GTK використовується кожного разу, коли закінчується термін дії певного сеансу, і для оновлення потрібно почати з нового сеансу в мережі. GTK використовується для захисту пристрою від отримання повідомлень типу трансляції з інших ресурсів інших точок доступу.

Рукостискання групового ключа складається з двостороннього процесу рукостискання:

  1. Точка доступу циркулює новий GTK до кожної клієнтської станції, присутньої в мережі. GTK шифрується за допомогою 16 байт ключа шифрування ключа EAPOL (KEK), призначеного для цієї конкретної клієнтської станції. Це також запобігає маніпулюванню даними за допомогою MIC.
  2. Клієнтська станція підтверджує отриманий новий GTK, а потім пересилає відповідь точці доступу.

Двостороннє рукостискання відбувається вищезгаданим способом.

802,1X

Це стандарт на основі порту для контролю доступу до мережі. Він передбачає процес автентифікації для пристроїв, які хочуть спілкуватися в архітектурі LAN або WLAN.

Аутентифікація 802.1X включає трьох учасників, тобто заявника, аутентифікатор та сервер автентифікації. Подавач буде кінцевим пристроєм, таким як ноутбук, ПК або планшет, який хоче ініціювати зв'язок через мережу. Подавач може також бути програмним додатком, що працює на клієнтському хост-ПК.

Прохач також надає вірчі дані автентифікатору. Аутентифікатор - це машина, подібно комутатору Ethernet або WAP, а сервер автентифікації - віддалений кінцевий хост-пристрій, на якому запущено програмне забезпечення та підтримуються протоколи автентифікації.

Аутентифікатор поводиться як захисний щит для охоронюваної мережі. Клієнт-хост, який ініціював зв'язок, не має доступу до захищеної сторони мережі через аутентифікатор, якщо його ідентифікація не перевірена та не автентифікована.

Використовуючи 802.1X, подавач подає такі дані, як цифровий підпис чи ім’я користувача та пароль для входу, автентифікатору, а автентифікатор перенаправляє їх на сервер автентифікації для автентифікації.

Якщо облікові дані виявляються добросовісними, тоді хост-пристрою дозволяється отримувати доступ до ресурсів, розташованих на стороні мережі, що охороняється.

Етапи процесу аутентифікації:

  • Ініціалізація: Це перший крок. Коли приходить свіжий заявник, порт автентифікатора встановлюється увімкненим і переводиться в “несанкціонований” стан.
  • Початок: Для запуску процесу автентифікації аутентифікатор регулярно передаватиме рамки ідентифікаційних запитів EAP на регулярний інтервал часу на MAC-адресу сегмента даних мережі. Суплікант аналізує адресу та повертає її назад і надсилає кадр ідентифікатора відповіді EAP, який складається з ідентифікатора заявника, як секретний ключ.
  • Переговори: На цьому етапі сервер повертається з відповіддю на автентифікатор, маючи запит EAP із зазначенням схеми EAP. Запит EAP інкапсулюється в кадр EAPOL автентифікатором і відправляє його назад заявнику.
  • Аутентифікація: Якщо сервер автентифікації та суплікант погоджуються на один і той же метод EAP, тоді запит EAP та обмін повідомленнями відповіді EAP будуть відбуватися між суплікантом та сервером автентифікації, поки сервер автентифікації не відповість повідомленням про успішне EAP або повідомлення про помилку EAP .
  • Після успішної автентифікації аутентифікатор переводить порт у “авторизований” стан. Таким чином дозволяються всі види транспортних потоків. Якщо авторизація не вдасться, порт буде утримуватися в 'несанкціонованому' стані. Щоразу, коли хост-клієнт виходить із системи, він передає повідомлення про вихід EAPOL до автентифікатора, який знову переводить порт у „несанкціонований” стан.

Процес автентифікації 802.1x

Процес автентифікації 802.1x

Висновок

У цьому посібнику ми дослідили роботу протоколів автентифікації 802.11, 802.11i та 802.1x.

Мережева система стає більш безпечною, застосовуючи метод EAP для автентифікації та використовуючи взаємну автентифікацію як на клієнті, так і на кінці точки доступу, використовуючи різні типи методів ключа шифрування.

НАЗАД Підручник | НАСТУПНИЙ підручник

Рекомендована література

^