ieee 802 11 802 11i wireless lan
Podrobný pohľad na rozšírené funkcie protokolov zabezpečenia siete: Bezdrôtová sieť LAN 802.11 a 802.11i a overovacie štandardy 802.1x
V našom predchádzajúcom tutoriáli sme preskúmali sieťové bezpečnostné protokoly založené na architektúre AAA a štandardné protokoly IEEE 802.1x na autentifikáciu.
hp alm rozhovor otázky a odpovede
V tejto postupnej časti sa ponoríme hlboko do niektorých ďalších protokolov zabezpečenia siete spolu s ich vylepšenými funkciami.
Navrhované čítanie => Séria tutoriálov o základoch počítačových sietí
Poďme preskúmať !!
Čo sa dozviete:
Overovanie a asociácia 802.11
Vyžaduje bezdrôtové zariadenie ako mobilná stanica s názvom STA a prístupový bod (AP).
Koncept autentifikácie 802.11 spočíva v vytvorení identifikácie a autentifikácie medzi STA a AP. Prístupovým bodom môže byť smerovač alebo prepínač. Správa neobsahuje žiadne šifrovanie.
Overenie
Nižšie sú uvedené dva typy autentifikácie:
- Otvorte systém kľúčov
- Systém zdieľaného kľúča
Otvorený kľúč Overenie:
Požiadavka na autentizáciu sa odošle z užívateľského klienta na prístupový bod obsahujúci kľúč WEP (Wired ekvivalent privacy) na autentifikáciu. Na základe toho prístupový bod (AP) odošle správu o úspechu, iba ak sa kľúč WEP klienta a AP navzájom zhodujú, ak nie, obieha správu o zlyhaní.
V tejto metóde AP odošle nezašifrovanú textovú správu s výzvou klientovi, ktorý sa pokúša komunikovať s prístupovým bodom. Klientske zariadenie, ktoré žiada o autentifikáciu, zašifruje správu a odošle ju späť na AP.
Ak sa nájde šifrovanie správy, potom AP umožňuje klientskemu zariadeniu autentifikáciu. Pretože v tejto metóde používa kľúč WEP, prístupový bod je otvorený vírusovým útokom iba vyhodnotením kľúča WEP, a preto je pre proces autentifikácie menej zabezpečený.
Kľúčová metóda WPA (chránený prístup Wi-Fi): Táto metóda zaisťuje zvýšenú úroveň funkcií zabezpečenia údajov pre bezdrôtové zariadenia. Toto je tiež kompatibilné s metódou 802.11i. Vo WPA-PSK sa pred začiatkom procesu autentifikácie vygeneruje vopred zdieľaný kľúč.
Ako klient, tak aj AP používajú PSK ako párový hlavný kľúč PMK na autentifikáciu pomocou metódy autentifikácie EAP.
Združenie
Po dokončení procesu autentifikácie sa môže bezdrôtový klient spojiť a zaregistrovať k prístupovému bodu, ktorým môže byť smerovač alebo prepínač. Po asociácii AP uloží všetky potrebné informácie týkajúce sa zariadenia, s ktorým je spojená, aby bolo možné presne určiť dátové pakety.
Proces pridruženia:
- Po vykonaní autentifikácie pošle STA žiadosť o priradenie k AP alebo smerovaču.
- Potom AP spracuje žiadosť o združenie a udelí ju na základe typu žiadosti.
- Keď AP povolí asociáciu, vráti sa späť na STA so stavovým kódom 0, čo znamená úspešné, a s AID (asociačné ID).
- Ak je asociácia neúspešná, potom sa AP vráti s koncom odpovede na procedúru a so stavovým kódom poruchy.
Protokol 802.11i
802.11i používa autentifikačný protokol, ktorý bol použitý v štandarde 802.1x s niektorými vylepšenými funkciami, ako je štvorcestné podanie ruky a skupinové podanie ruky pomocou vhodných kryptografických kľúčov.
Tento protokol tiež poskytuje funkcie integrity a dôvernosti údajov. Operácia protokolu sa začína procesom autentifikácie, ktorý sa uskutočňoval výmenou EAP so spoločnosťou autentifikačného servera podľa pravidiel protokolu 802.1x.
Tu, keď sa vykoná autentifikácia 802.1x, sa vyvinie tajný kľúč, ktorý je známy ako párový hlavný kľúč (PMK).
Podanie ruky štyrmi spôsobmi
Autentifikátor je tu známy ako prístupový bod a žiadateľom je bezdrôtový klient.
Pri tomto podaní ruky je potrebné, aby prístupový bod aj bezdrôtový klient overili, že sú navzájom oboznámení, bez toho, aby to prezradili. Správy medzi týmito dvomi sa zdieľajú v šifrovanej podobe a iba tieto majú kľúč na dešifrovanie správ.
V procese autentifikácie sa používa ďalší kľúč známy ako párovo prechodný kľúč (PTK).
Skladá sa z nasledujúcich atribútov:
- PMK
- Prístupový bod nonce
- Klientská stanica nonce (STA nonce)
- MAC adresa prístupového bodu
- STA MAC adresa
Výstup sa potom vloží do pseudonáhodnej funkcie. Podanie ruky tiež kapituluje dočasný kľúč skupiny (GTK) na dešifrovanie na konci prijímača.
1nf 2nf 3nf bcnf s príkladom
Proces podania ruky je nasledovný:
- AP cirkuluje prístupový bod nonce k STA v spojení s počítadlom kľúčov, číslo úplne využíva odoslanú správu a odmieta duplicitný vstup. STA je teraz pripravená s atribútmi požadovanými na vybudovanie PTK.
- Teraz STA posiela STA nonce na AP spolu s kódom integrity správy (MIC), vrátane autentifikácie a počítadla kľúčov, ktorý je rovnaký ako odoslaný AP, takže sa obidve zhodujú.
- AP overí správu preskúmaním MIC, AP Nonce a počítadla kľúčov. Ak je všetko v poriadku, potom cirkuluje GTK s iným MIC.
- STA validuje prijatú správu preskúmaním všetkých počítadiel a nakoniec pošle potvrdzujúcu správu AP na potvrdenie.
Skupinové podanie ruky
GTK sa používa zakaždým, keď vyprší platnosť konkrétnej relácie, a na začatie novej relácie v sieti je potrebná aktualizácia. GTK sa používa na ochranu zariadenia pred prijímaním vysielaných správ z iných zdrojov iného AP.
Handshake skupinového kľúča pozostáva z procesu obojsmerného spojenia:
- Prístupový bod distribuuje nový GTK do každej klientskej stanice v sieti. GTK je šifrovaná pomocou 16 bajtov šifrovacieho kľúča kľúča EAPOL (KEK) prideleného konkrétnej klientskej stanici. Zabraňuje tiež manipulácii s údajmi pomocou MIC.
- Klientská stanica potvrdí nové prijaté GTK a potom pošle odpoveď ďalej prístupovému bodu.
Obojsmerné podanie ruky prebieha vyššie uvedeným spôsobom.
802.1X
Je to štandard založený na porte pre riadenie prístupu do siete. Poskytuje proces autentifikácie zariadeniam, ktoré chcú komunikovať v architektúre LAN alebo WLAN.
Autentifikácia 802.1X zahŕňa troch účastníkov, t. J. Žiadateľa, autentifikátor a autentifikačný server. Žiadateľom bude koncové zariadenie ako laptop, počítač alebo tablet, ktoré chce iniciovať komunikáciu cez sieť. Žiadateľom môže byť tiež softvérová aplikácia bežiaca na klientskom hostiteľskom počítači.
Žiadateľ tiež odovzdá poverovacie údaje autentifikátorovi. Autentifikátor je stroj ako ethernetový prepínač alebo WAP a autentifikačný server je zariadenie vzdialeného koncového hostiteľa, na ktorom je spustený softvér a ktoré podporuje autentifikačné protokoly.
Autentifikátor sa chová ako strážený štít chránenej siete. Hostiteľský klient, ktorý inicioval komunikáciu, nemá povolený prístup k stráženej strane siete prostredníctvom autentifikátora, pokiaľ nebola overená a overená jeho totožnosť.
Pomocou protokolu 802.1X dodáva žiadateľ autentifikačné údaje, ako je digitálny podpis alebo prihlasovacie meno a heslo, a autentifikátor ich presmeruje na autentifikačný server na autentifikáciu.
Ak sa zistí, že poverenia sú bonafidné, hostiteľskému zariadeniu je povolený prístup k zdrojom umiestneným na stráženej strane siete.
Kroky zapojené do procesu autentifikácie:
- Inicializácia: Toto je prvý krok. Keď dorazí nový žiadateľ, port autentifikátora je nastavený na povolený a prepnutý do stavu „neoprávnený“.
- Iniciácia: Na spustenie procesu autentifikácie bude autentifikátor vysielať rámce identity požiadavky EAP v pravidelnom časovom intervale na MAC adresu dátového segmentu siete. Žiadateľ analyzuje adresu a vráti ju späť a pošle rámec identity EAP odpovede, ktorý sa skladá z identifikátora žiadateľa ako tajný kľúč.
- Vyjednávanie: V tejto fáze sa server vráti s odpoveďou autentifikátorovi, ktorý má požiadavku EAP s uvedením schémy EAP. Žiadosť EAP je autentifikátorom zapuzdrená do rámca EAPOL a odošle ju späť žiadateľovi.
- Overenie: Ak autentifikačný server a žiadateľ súhlasia s rovnakou metódou EAP, potom medzi žiadateľom a autentifikačným serverom dôjde k výmene správy EAP a výmeny odpovedí EAP, kým autentifikačný server neodpovie správou o úspechu EAP alebo správou o zlyhaní EAP. .
- Po úspešnej autentifikácii autentifikátor uvedie port do „autorizovaného“ stavu. Preto sú povolené všetky druhy dopravného prúdu. Ak autorizácia zlyhá, bude port udržiavaný v „neautorizovanom“ stave. Kedykoľvek sa hostiteľský klient odhlási, odošle správu o odhlásení EAPOL autentifikátorovi, ktorá znovu uvedie port do „neautorizovaného“ stavu.
Proces autentifikácie 802.1x
Záver
Tu, v tomto výučbe, sme preskúmali prácu autentifikačných protokolov 802.11, 802.11i a 802.1x.
Sieťový systém sa stáva bezpečnejším nasadením metódy EAP na autentifikáciu a používaním vzájomnej autentifikácie na konci klienta aj prístupového bodu pomocou rôznych typov metód šifrovania.
Výukový program PREV | NEXT Tutorial
Odporúčané čítanie
- IPv4 vs IPv6: Aký je presný rozdiel
- Čo je bezpečnostný kľúč siete: Ako ho nájsť pre smerovač, Windows alebo Android
- Čo je to virtualizácia? Príklady virtualizácie sietí, dát, aplikácií a úložísk
- Základné kroky a nástroje na riešenie problémov so sieťou
- Čo je zabezpečenie siete: jej typy a správa
- Čo sú bezpečnostné protokoly IP (IPSec), TACACS a AAA
- Čo sú protokoly HTTP (Hypertext Transfer Protocol) a DHCP?
- Dôležité protokoly aplikačnej vrstvy: protokoly DNS, FTP, SMTP a MIME