Меню

IEEE 802.11 и 802.11i Wireless LAN и 802.1x стандарти за удостоверяване

  • Основен
  • Други
  • IEEE 802.11 и 802.11i Wireless LAN и 802.1x стандарти за удостоверяване

ieee 802 11 802 11i wireless lan

Опитайте Нашия Инструмент За Премахване На Проблемите

Поглед в дълбочина на подобрените характеристики на протоколите за мрежова сигурност: 802.11 и 802.11i Wireless LAN и 802.1x стандарти за удостоверяване

В предишния ни урок разгледахме протоколи за мрежова сигурност, базирани на архитектура AAA и IEEE стандарт 802.1x протоколи за удостоверяване.

най-добрият софтуер за клониране на hdd в ssd

В тази последователна част ще се потопим дълбоко в някои още протоколи за мрежова сигурност, заедно с техните подобрени функции.

Предложено четене => Поредица от уроци по основи на компютърните мрежи

Нека да изследваме !!

ПРОТОКОЛ ЗА СИГУРНОСТ ЗА ДОСТЪП НА МРЕЖА ЧАСТ-2

Какво ще научите:

802.11 Удостоверяване и асоцииране

Изисква безжично устройство като мобилна станция, наречена STA, и точка за достъп (AP).

Концепцията за удостоверяване 802.11 лежи между изграждането на идентификация и удостоверяване между STA и AP. AP може да бъде рутер или комутатор. Няма криптиране на съобщението, включено в този процес.

Удостоверяване

Има два типа удостоверяване, както е споменато по-долу:

  • Система с отворен ключ
  • Система от споделени ключове

Отворен ключ Удостоверяване:

Искането за удостоверяване се изпраща от потребителя на клиента до точката за достъп, съдържаща ключа за еквивалентна поверителност (WEP) за удостоверяване. В отговор точката за достъп (AP) изпраща съобщение за успех само ако WEP ключът и на клиента, и на AP съвпада помежду си, ако не, той циркулира съобщение за неуспех.

Споделено удостоверяване на ключ:

При този метод AP плава некриптирано текстово съобщение за предизвикателство към клиента, който се опитва да комуникира с точката за достъп. Клиентското устройство, което е привлекателно за удостоверяване, криптира съобщението и го изпраща обратно към AP.

Ако криптирането на съобщението е намерено точно тогава, AP позволява на клиентското устройство да се удостовери. Тъй като използва WEP ключ в този метод, AP е отворен за вирусни атаки само чрез оценка на WEP ключа и следователно е по-малко защитен за процеса на удостоверяване.

WPA (Wi-Fi защитен достъп) Ключов метод: Този метод осигурява подобреното ниво на функции за защита на данните за безжични устройства. Това също е съчетано с метода 802.11i. В WPA-PSK предварително споделен ключ се генерира преди началото на процеса на удостоверяване.

И клиентът, както и AP, използват PSK като PMK, главен ключ по двойки за удостоверяване чрез използване на метод за EAP удостоверяване.

Асоциация

След приключване на процеса на удостоверяване, безжичният клиент може да се асоциира и регистрира с точката за достъп, която може да бъде рутер или комутатор. След асоциирането, AP запазва цялата необходима информация относно устройството, с което е свързано, за да може пакетите с данни да бъдат точно определени.

Процес на асоцииране:

  1. Когато удостоверяването приключи, STA изпраща заявка за асоцииране към AP или рутера.
  2. Тогава AP ще обработи заявката за асоцииране и ще я предостави въз основа на вида на заявката.
  3. Когато AP разреши асоциирането, той се връща обратно към STA с код на състоянието 0, което означава успешно и с AID (идентификатор на асоциация).
  4. Ако свързването е неуспешно, AP се връща с края на отговора на процедурата и с код за състояние на грешка.

Протокол 802.11i

802.11i използва протокол за удостоверяване, който е бил използван в 802.1x с някои подобрени функции като четирипосочно ръкостискане и групово ръкостискане с подходящи криптографски ключове.

Този протокол също така предоставя функции за целостта и поверителността на данните. Началото на операцията по протокола става с процеса на удостоверяване, който е извършен от EAP обмен с компанията на сървъра за удостоверяване, следвайки правилата на протокола 802.1x.

Тук, когато се извършва удостоверяване 802.1x, се развива таен ключ, който е известен като двойков главен ключ (PMK).

Четирипосочно ръкостискане

Тук удостоверителят е известен като точка за достъп, а молителят е безжичният клиент.

При това ръкостискане, както точката за достъп, така и безжичният клиент трябва да проверят дали са запознати помежду си PMK, без да го разкриват. Съобщенията между тези две се споделят в криптирана форма и само те имат ключа за дешифриране на съобщенията.

Друг ключ, известен като двойно-преходен ключ (PTK), се използва в процеса на удостоверяване.

Състои се от следните атрибути:

  1. ПМК
  2. Точка за достъп nonce
  3. Клиентска станция nonce (STA nonce)
  4. MAC адрес на точката за достъп
  5. MAC адрес на STA

След това изходът се поставя в псевдослучайната функция. Ръкостискането също така капитулира временния ключ на групата (GTK) за дешифриране в края на приемника.

деклариране на масив от низове в java

Процесът на ръкостискане е както следва:

  • AP разпространява точка за достъп оттук до STA заедно с брояч на ключове, номерът изцяло използва изпратеното съобщение и отхвърля дублираното въвеждане. STA вече е готова с атрибутите, необходими за изграждане на PTK.
  • Сега STA изпраща STA nonce до AP заедно с кода за целостта на съобщението (MIC), включително удостоверяване и брояча на ключове, който е същият като изпратения от AP, така че и двете да съвпадат.
  • AP потвърждава съобщението, като изследва MIC, AP Nonce и брояча на ключове. Ако всичко е намерено добре, тогава той циркулира GTK с друг MIC.
  • STA потвърждава полученото съобщение, като изследва всички броячи и накрая изпраща съобщение за потвърждение до AP за потвърждение.

4 начина ръкостискане в редакция 802.11i

Групово ръкостискане

GTK се използва всеки път, когато дадена сесия изтече и е необходимо актуализиране, за да започне с нова сесия в мрежата. GTK се използва за защита на устройството срещу получаване на съобщения от други източници на други AP.

Ръкостискането с групов ключ се състои от двупосочен процес на ръкостискане:

  1. Точката за достъп разпространява нов GTK до всяка клиентска станция, присъстваща в мрежата. GTK се кодира чрез използване на 16 байта на ключа за шифроване на ключ EAPOL (KEK), разпределен за тази конкретна клиентска станция. Той също така предотвратява манипулиране на данни чрез използване на MIC.
  2. Клиентската станция потвърждава получената нова GTK и след това препраща отговора към точката за достъп.

Двупосочното ръкостискане се извършва по гореспоменатия начин.

802.1X

Това е стандарт на базата на портове за контрол на достъпа до мрежата. Той осигурява процес на удостоверяване на устройства, които искат да комуникират в LAN или WLAN архитектура.

Удостоверяването 802.1X включва трима участници, т.е. молител, удостоверител и сървър за удостоверяване. Молителят ще бъде крайното устройство като лаптоп, компютър или таблет, което иска да инициира комуникацията през мрежата. Молителят може да бъде и софтуерно базирано приложение, работещо на клиентския хост компютър.

Молителят също така предоставя удостоверенията на удостоверителя. Удостоверителят е машината като Ethernet превключвател или WAP, а сървърът за удостоверяване е отдалечено крайно хостово устройство, което изпълнява софтуера и архивира протоколите за удостоверяване.

Удостоверителят се държи като предпазен щит към охраняваната мрежа. Клиентът-хост, който е инициирал комуникацията, няма право да осъществява достъп до защитената страна на мрежата чрез удостоверителя, освен ако самоличността му не е потвърдена и удостоверена.

Използвайки 802.1X, молителят предоставя идентификационните данни като цифров подпис или потребителско име и парола за вход, на удостоверителя, а удостоверителят го пренасочва към удостоверителния сървър за удостоверяване.

Ако се установи, че идентификационните данни са добросъвестни, тогава на хост устройството е разрешен достъп до ресурсите, разположени в защитената страна на мрежата.

Стъпки, включени в процеса на удостоверяване:

  • Инициализация: Това е първата стъпка. Когато пристигне нова молба, портът на удостоверителя се активира и се поставя в „неоторизирано“ състояние.
  • Иницииране: За да стартира процеса на удостоверяване, удостоверителят ще излъчва рамки за идентичност на заявката за EAP на редовен интервал от време към MAC адреса на сегмента от данни на мрежата. Молителят анализира адреса и го връща и изпраща рамката за идентичност на EAP отговор, която се състои от идентификатор на молителя като таен ключ.
  • Преговори: На този етап сървърът се връща с отговор на удостоверителя, като има EAP заявка, посочваща EAP схемата. Заявката за EAP се капсулира в рамката на EAPOL от удостоверителя и я изпраща обратно на молителя.
  • Удостоверяване: Ако сървърът за удостоверяване и молителят се съгласят за един и същ метод на EAP, тогава заявката за EAP и обменът на съобщение за отговор на EAP ще се извършат между молителя и сървъра за удостоверяване, докато сървърът за удостоверяване не отговори с EAP съобщение за успех или съобщение за неуспех на EAP .
  • След успешно удостоверяване, удостоверителят поставя порта в „разрешено“ състояние. По този начин са разрешени всички видове трафик. Ако разрешението не успее, тогава пристанището ще се поддържа в „неоторизирано“ състояние. Всеки път, когато клиентът-хост излиза, той изпраща съобщение за излизане от EAPOL към удостоверителя, което отново поставя порта в „неоторизирано“ състояние.

802.1x процес на удостоверяване

802.1x процес за удостоверяване

Заключение

Тук, в този урок, изследвахме работата на протоколи за удостоверяване 802.11, 802.11i и 802.1x.

Мрежовата система става по-сигурна, чрез внедряване на метода EAP за удостоверяване и чрез използване на взаимно удостоверяване както в клиента, така и в точката на достъп, използвайки различни видове ключови методи за криптиране.

PREV Урок | СЛЕДВАЩ урок

Препоръчително четене

^