Menu

IEEE 802.11 i 802.11i Wireless LAN oraz standardy uwierzytelniania 802.1x

  • Główny
  • Inny
  • IEEE 802.11 i 802.11i Wireless LAN oraz standardy uwierzytelniania 802.1x

ieee 802 11 802 11i wireless lan

Wypróbuj Nasz Instrument Do Eliminowania Problemów

Dogłębne spojrzenie na ulepszone funkcje protokołów bezpieczeństwa sieci: bezprzewodowa sieć LAN 802.11 i 802.11i oraz standardy uwierzytelniania 802.1x

W naszym poprzednim samouczku omówiliśmy protokoły bezpieczeństwa sieci oparte na architekturze AAA oraz standardowe protokoły IEEE 802.1x do uwierzytelniania.

co to jest dobry bloker reklam

W tej części sekwencyjnej zagłębimy się w kilka innych protokołów bezpieczeństwa sieci wraz z ich ulepszonymi funkcjami.

Sugerowany odczyt => Seria samouczków na temat podstaw sieci komputerowych

Odkryjmy!!

PROTOKÓŁ ZABEZPIECZENIA DOSTĘPU DO SIECI CZĘŚĆ 2

Czego się nauczysz:

Uwierzytelnianie i powiązanie w standardzie 802.11

Wymaga urządzenia bezprzewodowego, takiego jak stacja mobilna zwana STA i punkt dostępowy (AP).

Koncepcja uwierzytelniania 802.11 leży pomiędzy budowaniem identyfikacji i uwierzytelniania między STA a AP. Punkt dostępu może być routerem lub przełącznikiem. Nie ma szyfrowania wiadomości biorącej udział w tym procesie.

Poświadczenie

Istnieją dwa rodzaje uwierzytelniania, jak wspomniano poniżej:

  • System klucza otwartego
  • System klucza wspólnego

Uwierzytelnianie za pomocą klucza otwartego:

Żądanie uwierzytelnienia jest wysyłane od użytkownika klienta do punktu dostępu zawierającego przewodowy równoważny klucz prywatności (WEP) w celu uwierzytelnienia. W odpowiedzi punkt dostępowy (AP) wysyła komunikat o powodzeniu tylko wtedy, gdy klucz WEP klienta i punktu dostępowego są zgodne ze sobą, a jeśli nie, rozsyła komunikat o błędzie.

Uwierzytelnianie klucza wspólnego:

W tej metodzie punkt dostępu przesyła niezaszyfrowaną wiadomość tekstową z wezwaniem do klienta próbującego komunikować się z punktem dostępowym. Urządzenie klienckie, które apeluje o uwierzytelnienie, szyfruje wiadomość i odsyła ją z powrotem do AP.

Jeśli szyfrowanie wiadomości zostanie znalezione, punkt dostępu zezwala urządzeniu klienckiemu na uwierzytelnienie. Ponieważ w tej metodzie używa klucza WEP, punkt dostępowy jest otwarty na ataki wirusów, po prostu oceniając klucz WEP, a zatem jest mniej zabezpieczony w procesie uwierzytelniania.

Metoda klucza WPA (Wi-Fi Protected Access): Ta metoda zapewnia wyższy poziom zabezpieczeń danych urządzeń bezprzewodowych. Jest to również zgodne z metodą 802.11i. W przypadku WPA-PSK klucz współdzielony jest generowany przed rozpoczęciem procesu uwierzytelniania.

Zarówno klient, jak i punkt dostępu używają PSK jako PMK, klucza głównego pary do uwierzytelniania przy użyciu metody uwierzytelniania EAP.

Stowarzyszenie

Po zakończeniu procesu uwierzytelniania klient bezprzewodowy może skojarzyć się i zarejestrować się w punkcie dostępowym, którym może być router lub przełącznik. Po skojarzeniu punkt AP zapisuje wszystkie niezbędne informacje dotyczące urządzenia, z którym jest powiązany, dzięki czemu pakiety danych mogą być dokładnie przeznaczone.

Proces asocjacji:

  1. Po zakończeniu uwierzytelniania STA wysyła żądanie skojarzenia z punktem dostępu lub routerem.
  2. Następnie AP przetworzy żądanie asocjacji i przyzna je na podstawie typu żądania.
  3. Kiedy AP zezwala na skojarzenie, powraca do STA z kodem statusu 0, co oznacza pomyślne i z AID (ID asocjacji).
  4. Jeśli skojarzenie nie powiedzie się, punkt dostępowy powraca z końcem odpowiedzi procedury i kodem statusu błędu.

Protokół 802.11i

802.11i wykorzystuje protokół uwierzytelniania, który był używany w 802.1x z pewnymi ulepszonymi funkcjami, takimi jak uzgadnianie czterostronne i uzgadnianie klucza grupowego z odpowiednimi kluczami kryptograficznymi.

Protokół ten zapewnia również funkcje integralności i poufności danych. Rozpoczęcie działania protokołu następuje wraz z procesem uwierzytelnienia, którego dokonała wymiana EAP z firmą serwera uwierzytelniającego zgodnie z zasadami protokołu 802.1x.

Tutaj, po zakończeniu uwierzytelniania 802.1x, ewoluuje tajny klucz, który jest znany jako klucz główny (PMK).

Uzgadnianie czterostronne

W tym przypadku osoba uwierzytelniająca jest nazywana punktem dostępu, a suplikant jest klientem bezprzewodowym.

W tym uzgadnianiu zarówno punkt dostępu, jak i klient bezprzewodowy muszą sprawdzić, czy znają się nawzajem PMK, bez ujawniania go. Wiadomości między tymi dwoma są udostępniane w postaci zaszyfrowanej i tylko one mają klucz do odszyfrowania wiadomości.

W procesie uwierzytelniania używany jest inny klucz, nazywany kluczem przejściowym parami (PTK).

Składa się z następujących atrybutów:

  1. PMK
  2. Punkt dostępu nonce
  3. Stacja kliencka nonce (STA nonce)
  4. Adres MAC punktu dostępu
  5. Adres MAC STA

Wynik jest następnie umieszczany w funkcji pseudolosowej. Uzgadnianie również kapitalizuje grupowy klucz czasowy (GTK) do deszyfrowania po stronie odbiorników.

zwinne pytania do wywiadu i odpowiedzi dla doświadczonych

Proces uzgadniania wygląda następująco:

  • AP przesyła jednorazowy punkt dostępu do STA w połączeniu z licznikiem kluczy, numer całkowicie wykorzystuje wysłaną wiadomość i odrzuca zduplikowany wpis. STA jest teraz gotowa z atrybutami wymaganymi do zbudowania PTK.
  • Teraz STA wysyła STA nonce do AP wraz z kodem integralności wiadomości (MIC), łącznie z uwierzytelnianiem i licznikiem klucza, który jest taki sam, jak wysłany przez AP, więc oba będą zgodne.
  • Punkt dostępu weryfikuje wiadomość, sprawdzając MIC, AP Nonce i licznik kluczy. Jeśli wszystko jest ok, to krąży GTK z innym MIC.
  • STA zatwierdza otrzymaną wiadomość poprzez badanie wszystkich liczników i na koniec wysyła wiadomość z potwierdzeniem do AP w celu potwierdzenia.

Edycja 4-kierunkowego uzgadniania w standardzie 802.11i

Uzgadnianie klucza grupy

GTK jest używany za każdym razem, gdy dana sesja wygasa i wymagana jest aktualizacja, aby rozpocząć nową sesję w sieci. GTK służy do ochrony urządzenia przed odbieraniem komunikatów typu broadcast z innych zasobów innego AP.

Uzgadnianie klucza grupy składa się z dwukierunkowego procesu uzgadniania:

  1. Punkt dostępowy rozsyła nowy GTK do każdej stacji klienckiej obecnej w sieci. GTK jest szyfrowany przy użyciu 16 bajtów klucza szyfrowania klucza EAPOL (KEK) przydzielonego do tej konkretnej stacji klienckiej. Zapobiega również manipulacji danymi za pomocą MIC.
  2. Stacja kliencka potwierdza otrzymane nowe GTK, a następnie przekazuje odpowiedź do punktu dostępowego.

Uzgadnianie dwukierunkowe odbywa się w wyżej wymieniony sposób.

802.1X

Jest to oparty na portach standard kontroli dostępu do sieci. Zapewnia proces uwierzytelniania urządzeniom, które chcą komunikować się w architekturze LAN lub WLAN.

Uwierzytelnianie 802.1X obejmuje trzech uczestników, tj. Suplikanta, osobę uwierzytelniającą i serwer uwierzytelniania. Suplikant będzie urządzeniem końcowym, takim jak laptop, komputer stacjonarny lub tablet, które chce zainicjować komunikację w sieci. Suplikant może być również aplikacją opartą na oprogramowaniu działającą na komputerze-hoście klienta.

Suplikant dostarcza również poświadczenia osobie uwierzytelniającej. Autoryzatorem jest urządzenie takie jak przełącznik Ethernet lub WAP, a serwer uwierzytelniania to zdalne urządzenie końcowe, które uruchamia oprogramowanie i obsługuje protokoły uwierzytelniania.

Uwierzytelniający zachowuje się jak tarcza bezpieczeństwa chronionej sieci. Klient hosta, który zainicjował komunikację, nie może uzyskać dostępu do chronionej strony sieci za pośrednictwem uwierzytelniacza, chyba że jego tożsamość została zweryfikowana i uwierzytelniona.

Korzystając z protokołu 802.1X, suplikant dostarcza poświadczenia, takie jak podpis cyfrowy lub nazwa użytkownika i hasło logowania, do uwierzytelniającego, a strona uwierzytelniająca przekierowuje je do serwera uwierzytelniania w celu uwierzytelnienia.

Jeśli okaże się, że poświadczenia są wiarygodne, urządzenie hosta może uzyskać dostęp do zasobów znajdujących się po strzeżonej stronie sieci.

Kroki związane z procesem uwierzytelniania:

  • Inicjalizacja: To pierwszy krok. Kiedy przybywa nowy suplikant, port na wystawcy uwierzytelnienia jest włączany i przechodzi w stan „nieautoryzowany”.
  • Inicjacja: Aby rozpocząć proces uwierzytelniania, osoba uwierzytelniająca będzie rozgłaszać ramki tożsamości żądania EAP w regularnych odstępach czasu na adres MAC segmentu danych sieci. Suplikant analizuje adres, przywraca go i wysyła ramkę tożsamości odpowiedzi EAP, która składa się z identyfikatora suplikanta, takiego jak tajny klucz.
  • Negocjacja: Na tym etapie serwer powraca z odpowiedzią do osoby uwierzytelniającej, otrzymując żądanie EAP określające schemat EAP. Żądanie EAP jest umieszczane w ramce EAPOL przez osobę uwierzytelniającą i odsyła je z powrotem do suplikanta.
  • Poświadczenie: Jeśli serwer uwierzytelniania i suplikant wyrażą zgodę na tę samą metodę EAP, wówczas żądanie EAP i wymiana komunikatu odpowiedzi EAP będą odbywać się między suplikantem a serwerem uwierzytelniania, dopóki serwer uwierzytelniania nie odpowie komunikatem o powodzeniu protokołu EAP lub komunikacie o niepowodzeniu protokołu EAP .
  • Po pomyślnym uwierzytelnieniu, wystawca uwierzytelnienia przestawia port w stan „autoryzowany”. W ten sposób dozwolone są wszystkie rodzaje ruchu. Jeśli autoryzacja się nie powiedzie, port będzie utrzymywany w stanie „nieautoryzowanym”. Za każdym razem, gdy klient hosta się wylogowuje, przesyła komunikat wylogowania EAPOL do podmiotu uwierzytelniającego, który ponownie ustawia port w stan „nieautoryzowany”.

Proces uwierzytelniania 802.1x

Proces uwierzytelniania 802.1x

Wniosek

Tutaj, w tym samouczku, omówiliśmy działanie protokołów uwierzytelniania 802.11, 802.11i i 802.1x.

System sieciowy staje się bezpieczniejszy dzięki wdrożeniu metody EAP do uwierzytelniania i zastosowaniu wzajemnego uwierzytelniania zarówno po stronie klienta, jak i punktu dostępu, przy użyciu różnych typów metod kluczy szyfrowania.

POPRZEDNIA samouczek | NEXT Tutorial

rekomendowane lektury

^