Standardy bezdrátové sítě LAN IEEE 802.11 a 802.11i a ověřovací standardy 802.1x

ieee 802 11 802 11i wireless lan

Podrobný pohled na rozšířené funkce protokolů zabezpečení sítě: Bezdrátová síť LAN 802.11 a 802.11i a ověřovací standardy 802.1x

V našem předchozím tutoriálu jsme prozkoumali síťové bezpečnostní protokoly založené na architektuře AAA a IEEE standardní protokoly 802.1x pro autentizaci.

příklad testovacích případů pro webovou aplikaci

V této postupné části se ponoříme hlouběji do několika dalších protokolů zabezpečení sítě spolu s jejich vylepšenými funkcemi.

Doporučené čtení => Série tutoriálů o základech počítačových sítí

Pojďme prozkoumat !!

Co se naučíte:

• Ověřování a přidružení 802.11
  • Ověření
    • Otevřený klíč Ověření:
    • Ověření sdíleného klíče:
  • Sdružení
• Protokol 802.11i
  • Čtyřsměrné podání ruky
  • Skupinové stisknutí tlačítka
• 802.1X
  • Závěr
  • Doporučené čtení

Ověřování a přidružení 802.11

Vyžaduje bezdrátové zařízení, jako je mobilní stanice s názvem STA a přístupový bod (AP).

Koncept ověřování 802.11 spočívá v budování identifikace a ověřování mezi STA a AP. Přístupovým bodem může být směrovač nebo přepínač. U tohoto procesu neexistuje žádné šifrování zprávy.

Ověření

Níže jsou uvedeny dva typy ověřování:

• Otevřete systém klíčů
• Systém sdílených klíčů

Otevřený klíč Ověření:

Požadavek na ověření je odeslán z klienta na přístupový bod obsahující klíč WEP (Wired ekvivalent privacy) pro ověření. V reakci na to přístupový bod (AP) odešle zprávu o úspěchu, pouze pokud se klíč WEP klienta i AP navzájem shodují, pokud ne, obíhá zprávu o selhání.

Ověření sdíleného klíče:

V této metodě odesílá AP klientovi, který se pokouší komunikovat s přístupovým bodem, nezašifrovanou textovou zprávu s výzvou. Klientské zařízení, které žádá o ověření, zašifruje zprávu a odešle ji zpět na AP.

Pokud je právě nalezeno šifrování zprávy, AP umožňuje klientskému zařízení ověřit se. Jelikož v této metodě používá klíč WEP, je přístupový bod otevřený virovým útokům pouhým vyhodnocením klíče WEP, a proto je pro proces ověřování méně zabezpečený.

Klíčová metoda WPA (Wi-Fi Protected Access): Tato metoda zajišťuje zvýšenou úroveň funkcí zabezpečení dat pro bezdrátová zařízení. To je také kompatibilní s metodou 802.11i. Ve WPA-PSK se vygeneruje předsdílený klíč před zahájením procesu ověřování.

Klient i AP používají PSK jako párový hlavní klíč PMK pro ověřování pomocí metody ověřování EAP.

Sdružení

Po dokončení procesu ověřování se bezdrátový klient může přidružit a zaregistrovat k přístupovému bodu, kterým může být směrovač nebo přepínač. Po přidružení AP uloží všechny potřebné informace týkající se zařízení, se kterým je spojeno, aby bylo možné přesně určit datové pakety.

Proces přidružení:

1. Po dokončení ověřování pošle STA žádost o přidružení k AP nebo routeru.
2. Poté AP zpracuje žádost o přidružení a udělí ji na základě typu žádosti.
3. Když AP povolí přidružení, vrátí se zpět na STA se stavovým kódem 0, což znamená úspěšné a s AID (ID přidružení).
4. Pokud asociace selhala, AP se vrátí s koncem reakce procedury a se stavovým kódem poruchy.

Protokol 802.11i

802.11i používá ověřovací protokol, který byl použit v 802.1x s některými vylepšenými funkcemi, jako je čtyřcestné handshake a handshake skupinových klíčů s vhodnými kryptografickými klíči.

Tento protokol také poskytuje funkce integrity a důvěrnosti dat. Zahájení provozu protokolu probíhá procesem ověřování, který byl proveden výměnou EAP se společností ověřovacího serveru podle pravidel protokolu 802.1x.

Zde, když se provádí ověřování 802.1x, se vyvíjí tajný klíč, známý jako párový hlavní klíč (PMK).

Čtyřsměrné podání ruky

Zde je autentizátor známý jako přístupový bod a žadatelem je bezdrátový klient.

V tomto handshake musí přístupový bod i bezdrátový klient ověřit, že jsou navzájem seznámeni s PMK, aniž by to odhalili. Zprávy mezi těmito dvěma jsou sdíleny v šifrované podobě a pouze tyto mají klíč k dešifrování zpráv.

V procesu ověřování se používá další klíč, známý jako párově přechodný klíč (PTK).

Skládá se z následujících atributů:

1. PMK
2. Přístupový bod nonce
3. Klientská stanice nonce (STA nonce)
4. MAC adresa přístupového bodu
5. STA MAC adresa

Výstup je poté zasazen do pseudonáhodné funkce. Handshake také kapituluje dočasný klíč skupiny (GTK) pro dešifrování na konci přijímače.

jak otevírat soubory .jar s Java Windows 10

Proces podání ruky je následující:

• AP cirkuluje přístupový bod nonce do STA ve spojení s počítadlem klíčů, číslo zcela využívá odeslanou zprávu a odmítá duplicitní vstup. STA je nyní připravena s atributy požadovanými pro vybudování PTK.
• Nyní STA odesílá STA nonce do AP spolu s kódem integrity zprávy (MIC), včetně autentizace a počítadla klíčů, který je stejný jako odeslaný AP, takže oba budou odpovídat.
• AP ověří zprávu zkoumáním MIC, AP Nonce a počítadla klíčů. Pokud je vše v pořádku, pak cirkuluje GTK s jiným MIC.
• STA ověří přijatou zprávu zkoumáním všech čítačů a nakonec pošle potvrzovací zprávu AP k potvrzení.

Skupinové stisknutí tlačítka

GTK se používá pokaždé, když vyprší platnost konkrétní relace a pro zahájení nové relace v síti je nutná aktualizace. GTK se používá k ochraně zařízení před přijímáním vysílaných zpráv z jiných zdrojů jiného AP.

Handshake skupinového klíče se skládá z obousměrného procesu handshake:

1. Přístupový bod cirkuluje nový GTK ke každé klientské stanici přítomné v síti. GTK je šifrováno pomocí 16 bajtů šifrovacího klíče klíče EAPOL (KEK) přiděleného konkrétní klientské stanici. Zabraňuje také manipulaci s daty pomocí MIC.
2. Klientská stanice potvrdí nové přijaté GTK a poté předá odpověď přístupovému bodu.

Obousměrné podání ruky probíhá výše uvedeným způsobem.

802.1X

Jedná se o portový standard pro řízení přístupu k síti. Poskytuje proces ověřování zařízením, která chtějí komunikovat v architektuře LAN nebo WLAN.

Ověřování 802.1X zahrnuje tři účastníky, tj. Žadatele, ověřovatele a ověřovací server. Žadatelem bude koncové zařízení jako notebook, počítač nebo tablet, které chce zahájit komunikaci po síti. Žadatelem může být také softwarová aplikace spuštěná na hostitelském počítači klienta.

Žadatel také dodá pověření autentizátoru. Autentizátor je stroj jako ethernetový přepínač nebo WAP a autentizační server je zařízení vzdáleného koncového hostitele, na kterém je spuštěn software a zálohovány autentizační protokoly.

Autentizátor se chová jako ochranný štít hlídané sítě. Hostitelský klient, který zahájil komunikaci, nemá povolen přístup na chráněnou stranu sítě prostřednictvím autentizátoru, pokud nebyla ověřena a ověřena jeho identita.

Použitím protokolu 802.1X dodá žadatel pověření, jako je digitální podpis nebo přihlašovací uživatelské jméno a heslo, ověřovateli a ověřovatel jej přesměruje na ověřovací server k ověření.

Pokud se zjistí, že pověření jsou bonafide, pak je hostitelskému zařízení povolen přístup k prostředkům umístěným na hlídané straně sítě.

Kroky zapojené do procesu ověřování:

• Inicializace: Toto je první krok. Když dorazí nový žadatel, je port na autentizátoru nastaven na povolený a přepnut do stavu „neoprávněného“.
• Zahájení: Pro spuštění procesu ověřování bude autentizátor vysílat rámce identity požadavku EAP v pravidelných intervalech na MAC adresu datového segmentu sítě. Žadatel analyzuje adresu a vrátí ji a odešle rámec identity identity EAP, který se skládá z identifikátoru žadatele jako tajný klíč.
• Jednání: V této fázi se server vrátí s odpovědí autentizátoru a má požadavek EAP s uvedením schématu EAP. Požadavek EAP je zapouzdřen do rámce EAPOL autentizátorem a odešle jej zpět žadateli.
• Ověření: Pokud ověřovací server a žadatel souhlasí se stejnou metodou EAP, bude mezi žadatelem a ověřovacím serverem probíhat výměna zpráv EAP a EAP, dokud ověřovací server neodpoví zprávou o úspěchu EAP nebo zprávou o selhání EAP. .
• Po úspěšném ověření autentizátor uvede port do „autorizovaného“ stavu. Jsou tedy povoleny všechny druhy toku provozu. Pokud autorizace selže, bude port udržován v „neautorizovaném“ stavu. Kdykoli se hostitelský klient odhlásí, odešle zprávu s odhlášením EAPOL autentizátoru, který znovu uvede port do „neautorizovaného“ stavu.

Proces ověřování 802.1x

Závěr

Tady v tomto výukovém programu jsme prozkoumali fungování ověřovacích protokolů 802.11, 802.11i a 802.1x.

Síťový systém se stává bezpečnějším nasazením metody EAP pro ověřování a pomocí vzájemného ověřování na straně klienta i na konci přístupového bodu pomocí různých typů metod šifrovacího klíče.

Výukový program PREV | DALŠÍ výuka

Doporučené čtení

• IPv4 vs IPv6: Jaký je přesný rozdíl
• Co je klíč zabezpečení sítě: Jak jej najít pro router, Windows nebo Android
• Co je to virtualizace? Příklady virtualizace sítí, dat, aplikací a úložišť
• Základní kroky a nástroje pro řešení potíží se sítí
• Co je Zabezpečení sítě: její typy a správa
• Co jsou bezpečnostní protokoly IP (IPSec), TACACS a AAA
• Co jsou protokoly HTTP (Hypertext Transfer Protocol) a DHCP?
• Důležité protokoly aplikační vrstvy: protokoly DNS, FTP, SMTP a MIME