ieee 802 11 802 11i wireless lan
O privire în profunzime asupra caracteristicilor îmbunătățite ale protocoalelor de securitate a rețelei: LAN wireless 802.11 și 802.11i și standarde de autentificare 802.1x
În tutorialul nostru anterior, am explorat protocoale de securitate a rețelei bazate pe arhitectura AAA și protocoale standard IEEE 802.1x pentru autentificare.
analiza cauzelor principale exemple de dezvoltare de software
În această parte secvențială, ne vom adânci în câteva protocoale de securitate a rețelei împreună cu caracteristicile lor îmbunătățite.
Citire sugerată => Seria de tutoriale despre noțiunile de bază despre rețeaua computerizată
Să explorăm !!
Ce veți învăța:
802.11 Autentificare și asociere
Este nevoie de un dispozitiv wireless, cum ar fi o stație mobilă numită STA și un punct de acces (AP).
Conceptul de autentificare 802.11 se află între construirea identificării și autentificării între STA și AP. AP-ul poate fi un router sau un switch. Nu există o criptare a mesajului implicat în acest proces.
Autentificare
Există două tipuri de autentificare menționate mai jos:
- Deschideți sistemul de chei
- Sistem de chei partajate
Autentificare cheie deschisă:
Cererea de autentificare este trimisă de la utilizatorul client la punctul de acces care conține cheia de confidențialitate echivalentă cu fir (WEP) pentru autentificare. Ca răspuns, punctul de acces (AP) trimite un mesaj de succes numai dacă cheia WEP atât a clientului, cât și a AP se potrivesc între ele, dacă nu, circulă un mesaj de eșec.
În această metodă, AP plutește un mesaj text necriptat de provocare către clientul care încearcă să comunice cu punctul de acces. Dispozitivul client care face apel la autentificare criptează mesajul și îl trimite înapoi către AP.
Dacă criptarea mesajului este găsită chiar atunci, AP permite dispozitivului client să se autentifice. Deoarece folosește cheia WEP în această metodă, AP-ul este deschis atacurilor de virus doar prin evaluarea cheii WEP și, prin urmare, este mai puțin securizat pentru procesul de autentificare.
Metoda cheie WPA (acces protejat Wi-Fi): Această metodă prevede nivelul îmbunătățit al caracteristicilor de securitate a datelor pentru dispozitivele fără fir. Acest lucru este, de asemenea, însoțitor de metoda 802.11i. În WPA-PSK, o cheie pre-partajată este generată înainte de începerea procesului de autentificare.
Atât Clientul, cât și AP folosesc PSK ca PMK, cheie master pereche pentru autentificare utilizând o metodă de autentificare EAP.
Asociere
După finalizarea procesului de autentificare, clientul wireless se poate asocia și înscrie singur cu punctul de acces care poate fi un router sau un switch. După asociere, AP salvează toate informațiile necesare cu privire la dispozitivul cu care este asociat, astfel încât pachetele de date să poată fi destinate cu precizie.
Procesul de asociere:
- Când se face autentificarea, STA trimite o cerere de asociere către AP sau router.
- Apoi AP va procesa cererea de asociere și o va acorda pe baza tipului de cerere.
- Când AP permite asocierea, revine la STA cu un cod de stare 0, ceea ce înseamnă că are succes și cu AID (ID-ul asocierii).
- Dacă asocierea eșuează, atunci AP se revine odată cu sfârșitul răspunsului procedurii și cu un cod de stare de eșec.
Protocolul 802.11i
802.11i folosește un protocol de autentificare care a fost utilizat în 802.1x cu unele caracteristici îmbunătățite, cum ar fi o strângere de mână în patru direcții și o strângere de mână de cheie de grup cu chei criptografice adecvate.
Acest protocol oferă, de asemenea, caracteristici de integritate și confidențialitate a datelor. Începerea operațiunii de protocol are loc cu procesul de autentificare care a fost realizat de schimbul EAP cu compania serverului de autentificare urmând regulile protocolului 802.1x.
Aici, când se face autentificarea 802.1x, se dezvoltă o cheie secretă cunoscută sub numele de cheie master pereche (PMK).
Strângere de mână în patru direcții
Aici autentificatorul este cunoscut sub numele de punct de acces, iar solicitantul este clientul wireless.
În această strângere de mână, atât punctul de acces, cât și clientul wireless trebuie să verifice că sunt familiarizați cu PMK, fără a-l dezvălui. Mesajele dintre aceste două sunt partajate într-o formă criptată și numai acestea au cheia pentru decriptarea mesajelor.
O altă cheie cunoscută sub numele de cheie tranzitorie pereche (PTK) este utilizată în procesul de autentificare.
Se compune din următoarele atribute:
- PMK
- Punct de acces nonce
- Stație client nonce (STA nonce)
- Adresa MAC a punctului de acces
- Adresa MAC STA
Ieșirea este apoi plantată în funcția pseudo-aleatorie. Strângerea de mână capitulează, de asemenea, cheia temporală de grup (GTK) pentru decriptare la sfârșitul receptorilor.
care sunt diferiții furnizori de e-mail
Procesul de strângere de mână este după cum urmează:
- AP circulă un punct de acces nonce către STA în asociere cu un contor de chei, numărul utilizează în totalitate mesajul trimis și respinge intrarea duplicat. STA este acum gata cu atributele necesare pentru a construi PTK.
- Acum, STA trimite STA nonce către AP împreună cu codul de integritate a mesajului (MIC), inclusiv autentificarea și contorul de chei, care este același cu cel trimis de AP, astfel încât ambele să se potrivească.
- AP validează mesajul examinând MIC, AP Nonce și contorul de chei. Dacă totul este găsit ok, atunci acesta circulă GTK cu un alt MIC.
- STA validează mesajul primit prin examinarea tuturor contoarelor și în cele din urmă trimite un mesaj de confirmare către AP pentru confirmare.
Strângere de mână tastă de grup
GTK este utilizat de fiecare dată când o anumită sesiune este expirată și este necesară actualizarea pentru a începe cu o nouă sesiune în rețea. GTK este folosit pentru a proteja dispozitivul împotriva recepționării mesajelor difuzate de la celelalte resurse ale altor AP.
Strângerea de mână a cheii de grup constă dintr-un proces de strângere de mână în două direcții:
- Punctul de acces circulă un nou GTK către fiecare stație client prezentă în rețea. GTK este criptat folosind 16 octeți ai cheii de criptare a cheii EAPOL (KEK) alocată acelei stații client. De asemenea, previne manipularea datelor prin utilizarea MIC.
- Stația clientă recunoaște noul GTK primit și apoi transmite răspunsul la punctul de acces.
Strângerea de mână în două direcții are loc în modul menționat mai sus.
802.1X
Este un standard bazat pe port pentru controlul accesului la rețea. Acesta prevede procesul de autentificare pentru dispozitivele care doresc să comunice în arhitectură LAN sau WLAN.
Autentificarea 802.1X include trei participanți, adică un solicitant, un autentificator și un server de autentificare. Solicitantul va fi dispozitivul final, cum ar fi un laptop, un PC sau o tabletă care dorește să inițieze comunicarea prin rețea. Solicitantul poate fi, de asemenea, o aplicație bazată pe software care rulează pe computerul gazdă client.
Solicitantul furnizează, de asemenea, acreditările autentificatorului. Autentificatorul este mașina ca un comutator Ethernet sau WAP, iar serverul de autentificare este un dispozitiv gazdă de la distanță care rulează software-ul și sprijină protocoalele de autentificare.
Autentificatorul se comportă ca un scut de siguranță pentru rețeaua protejată. Clientul gazdă care a inițiat comunicarea nu are voie să acceseze partea protejată a rețelei prin intermediul autentificatorului decât dacă identitatea sa a fost validată și autentificată.
Prin utilizarea 802.1X, solicitantul furnizează acreditări precum semnătura digitală sau numele de utilizator și parola de autentificare către autentificator, iar autentificatorul îl redirecționează către serverul de autentificare pentru autentificare.
Dacă acreditările se dovedesc a fi de bună credință, atunci dispozitivului gazdă îi este permis să acceseze resursele situate în partea protejată a rețelei.
Pașii implicați în procesul de autentificare:
- Inițializare: Acesta este primul pas. Când ajunge un nou solicitant, portul de pe autentificator este setat activat și este pus în stare „neautorizată”.
- Iniţiere: Pentru a porni procesul de autentificare, autentificatorul va transmite cadrele de identitate a cererii EAP în mod regulat pe interval de timp la adresa MAC a segmentului de date al rețelei. Solicitantul analizează adresa și o revine și trimite cadrul de identitate al răspunsului EAP care constă dintr-un identificator al solicitantului ca o cheie secretă.
- Negociere: În această etapă, serverul revine cu un răspuns către autentificator, având o cerere EAP care precizează schema EAP. Solicitarea EAP este încapsulată în cadrul EAPOL de către autentificator și o trimite înapoi către solicitant.
- Autentificare: Dacă serverul de autentificare și solicitantul acceptă aceeași metodă EAP, atunci solicitarea EAP și schimbul de mesaje de răspuns EAP vor avea loc între solicitant și serverul de autentificare până când serverul de autentificare răspunde cu un mesaj de succes EAP sau un mesaj de eșec EAP .
- După autentificarea cu succes, autentificatorul pune portul în starea „autorizată”. Astfel, sunt permise toate tipurile de trafic. Dacă autorizarea eșuează, atunci portul va fi păstrat într-o stare „neautorizată”. Ori de câte ori clientul gazdă se deconectează, acesta plutește un mesaj de deconectare EAPOL către autentificator, care pune din nou portul într-o stare „neautorizată”.
Proces de autentificare 802.1x
Concluzie
Aici, în acest tutorial, am explorat funcționarea protocoalelor de autentificare 802.11, 802.11i și 802.1x.
Sistemul de rețea devine mai sigur, prin implementarea metodei EAP pentru autentificare și prin utilizarea autentificării reciproce atât la client, cât și la punctul de acces, folosind diferite tipuri de metode de cheie de criptare.
Lectură recomandată
- IPv4 vs IPv6: Care este diferența exactă
- Ce este cheia de securitate a rețelei: cum să o găsiți pentru router, Windows sau Android
- Ce este virtualizarea? Exemple de virtualizare în rețea, date, aplicații și stocare
- Pași și instrumente de bază pentru depanarea rețelei
- Ce este securitatea rețelei: tipurile și gestionarea sa
- Ce este securitatea IP (IPSec), TACACS și protocoalele de securitate AAA
- Ce sunt protocolurile HTTP (Hypertext Transfer Protocol) și DHCP?
- Protocoale importante ale straturilor de aplicație: protocoale DNS, FTP, SMTP și MIME