ieee 802 11 802 11i wireless lan
Poglobljen pogled na izboljšane značilnosti omrežnih varnostnih protokolov: 802.11 in 802.11i Wireless LAN in 802.1x Authentication Standards
V prejšnji vadnici smo raziskali omrežni varnostni protokoli, ki temeljijo na arhitekturi AAA in IEEE standard 802.1x protokoli za preverjanje pristnosti.
vprašanja za intervju s selenom, ki jih postavljajo podjetja
V tem zaporednem delu se bomo poglobili v še nekatere omrežne varnostne protokole skupaj z njihovimi izboljšanimi funkcijami.
Predlagano branje => Serija vaj o osnovah računalniškega omrežja
Raziskujmo !!
Kaj se boste naučili:
802.11 Preverjanje pristnosti in povezovanje
Zahteva brezžično napravo, kot sta mobilna postaja STA in dostopna točka (AP).
Koncept preverjanja pristnosti 802.11 je med izgradnjo identifikacije in preverjanjem pristnosti med STA in AP. AP je lahko usmerjevalnik ali stikalo. Sporočilo ne vključuje šifriranja.
Preverjanje pristnosti
Kot je navedeno spodaj, obstajata dve vrsti preverjanja pristnosti:
- Sistem z odprtimi ključi
- Sistem skupnih ključev
Overitev z odprtim ključem:
Zahteva za preverjanje pristnosti se pošlje od uporabniškega odjemalca na dostopno točko, ki vsebuje ključ za ožičenje enakovredne zasebnosti (WEP) za overjanje. V odgovor dostopna točka (AP) pošlje sporočilo o uspehu le, če se ključ WEP odjemalca in AP ujemata, če ne, pa pošlje sporočilo o napaki.
Pri tej metodi AP odjemalcu pošlje nešifrirano besedilno sporočilo z izzivom, ki poskuša komunicirati z dostopno točko. Odjemalska naprava, ki je privlačna za preverjanje pristnosti, šifrira sporočilo in ga pošlje nazaj v AP.
Če v tem primeru najdete šifriranje sporočila, AP dovoli odjemalski napravi preverjanje pristnosti. Ker pri tej metodi uporablja ključ WEP, je dostopna točka za viruse tako, da samo ovrednoti ključ WEP in je zato manj varen za postopek preverjanja pristnosti.
Ključna metoda WPA (Wi-Fi Protected Access): Ta metoda zagotavlja izboljšano raven zaščite podatkov za brezžične naprave. To je združljivo tudi z metodo 802.11i. V WPA-PSK se ključ v skupni rabi ustvari pred začetkom postopka preverjanja pristnosti.
Tako odjemalec kot tudi AP uporabljata PSK kot PMK, parni glavni ključ za preverjanje pristnosti z uporabo metode overjanja EAP.
Združenje
Po končanem postopku preverjanja pristnosti se lahko brezžični odjemalec poveže in vpiše v dostopno točko, ki je lahko usmerjevalnik ali stikalo. Po povezavi AP shrani vse potrebne informacije v zvezi z napravo, s katero je povezana, tako da je mogoče natančno določiti podatkovne pakete.
Postopek pridružitve:
- Ko je overjanje končano, STA pošlje zahtevo za povezavo z dostopno točko ali usmerjevalnikom.
- Nato bo AP obdelal zahtevo za pridružitev in jo odobril na podlagi vrste zahteve.
- Ko AP dovoli pridružitev, se vrne na STA s kodo stanja 0, kar pomeni uspešno in z AID (ID ID).
- Če povezovanje ne uspe, se AP vrne s koncem odziva postopka in s kodo stanja okvare.
802.11i protokol
802.11i uporablja protokol za preverjanje pristnosti, ki je bil uporabljen v 802.1x z nekaterimi izboljšanimi funkcijami, kot sta štirismerno stiskanje in stiskanje skupinskih ključev z ustreznimi kriptografskimi ključi.
Ta protokol zagotavlja tudi funkcije celovitosti in zaupnosti podatkov. Začetek operacije protokola poteka s postopkom overjanja, ki ga je izvedla izmenjava EAP s podjetjem strežnika za preverjanje pristnosti po pravilih protokola 802.1x.
Tu se, ko je opravljena overitev 802.1x, razvije tajni ključ, ki je znan kot parni glavni ključ (PMK).
Štirismerni stisk roke
Tu je overitelj znan kot dostopna točka, prosilec pa je brezžični odjemalec.
Pri tem rokovanju morata tako dostopna točka kot tudi brezžični odjemalec preveriti, ali se PMK poznata, ne da bi to razkrili. Sporočila med njima sta v šifrirani obliki in le ti imajo ključ za dešifriranje sporočil.
V postopku preverjanja pristnosti se uporablja še en ključ, znan kot dvojni prehodni ključ (PTK).
Sestavljen je iz naslednjih lastnosti:
- PMK
- Dostopna točka nonce
- Odjemalska postaja nonce (STA nonce)
- Naslov MAC dostopne točke
- STA MAC naslov
Izhod je nato posajen v psevdonaključno funkcijo. Rokovanje tudi kapitulira časovni ključ skupine (GTK) za dešifriranje na koncu sprejemnika.
okretna vprašanja in odgovori za izkušene
Postopek rokovanja je naslednji:
- AP prek kroži dostopno točko brez povezave s STA, števec v celoti izkoristi poslano sporočilo in zavrne dvojnik. STA je zdaj pripravljen z atributi, potrebnimi za izgradnjo PTK.
- Zdaj STA pošlje STA nonce v dostopno točko skupaj s kodo integritete sporočil (MIC), vključno z avtentikacijo in števcem ključev, ki je enak tistemu, ki ga pošlje AP, tako da se oba ujemata.
- AP potrdi sporočilo s pregledom MIC, AP Nonce in števca ključev. Če je vse v redu, potem GTK pošlje z drugim MIC-om.
- STA potrdi prejeto sporočilo s pregledom vseh števcev in na koncu pošlje potrditveno sporočilo v potrditveno točko AP.
Stiskanje ključa skupine
GTK se uporablja vsakič, ko določena seja poteče in je treba posodobiti za začetek z novo sejo v omrežju. GTK se uporablja za zaščito naprave pred sprejemanjem vrste sporočil iz drugih virov drugih AP.
Rokovanje s ključem skupine je sestavljeno iz dvosmernega postopka rokovanja:
- Dostopna točka pošlje nov GTK vsaki odjemalski postaji, ki je prisotna v omrežju. GTK je šifriran z uporabo 16 bajtov ključa za šifriranje ključa EAPOL (KEK), dodeljenega tej določeni odjemalski postaji. Prav tako preprečuje manipulacijo podatkov z uporabo MIC.
- Odjemalska postaja potrdi prejeto novo GTK in odgovor posreduje dostopni točki.
Dvosmerno rokovanje poteka na zgoraj omenjeni način.
802,1X
To je standard za nadzor dostopa do omrežja na osnovi vrat. Omogoča postopek preverjanja pristnosti napravam, ki želijo komunicirati v arhitekturi LAN ali WLAN.
Preverjanje pristnosti 802.1X vključuje tri udeležence, tj. Prosilca, overitelja in strežnik za preverjanje pristnosti. Prosilec bo končna naprava, kot je prenosni računalnik, računalnik ali tablični računalnik, ki želi začeti komunikacijo prek omrežja. Prosilec je lahko tudi programska aplikacija, ki se izvaja na gostiteljskem računalniku odjemalca.
Prosilka tudi priskrbi poverilnice overitelju. Overitelj je naprava, na primer stikalo Ethernet ali WAP, strežnik za preverjanje pristnosti pa je oddaljena gostiteljska naprava, ki poganja programsko opremo in podpira protokole za preverjanje pristnosti.
Overitelj se obnaša kot zaščitni ščit za varovano omrežje. Gostiteljski odjemalec, ki je sprožil komunikacijo, ne sme dostopati do zaščitene strani omrežja prek avtentifikatorja, razen če je njegova identiteta potrjena in overjena.
Z uporabo 802.1X prosilec posreduje poverilnice, kot so digitalno podpisovanje ali uporabniško ime in geslo za prijavo, overitelju, overitelj pa jih preusmeri na overjevalni strežnik za preverjanje pristnosti.
Če se ugotovi, da so poverilnice verodostojne, potem gostiteljska naprava lahko dostopa do virov, ki se nahajajo na zaščiteni strani omrežja.
Koraki v postopku preverjanja pristnosti:
- Inicializacija: To je prvi korak. Ko prispe nov prosil, se vrata na avtentifikatorju omogočijo in preklopijo v »nedovoljeno« stanje.
- Začetek: Za zagon postopka preverjanja pristnosti bo overitelj redno oddajal okvire identitete zahtev EAP na naslov MAC podatkovnega segmenta omrežja. Prosilec analizira naslov in ga vrne ter pošlje okvir identitete odziva EAP, ki je sestavljen iz identifikatorja prosilca kot skrivni ključ.
- Pogajanja: Na tej stopnji se strežnik vrne z odgovorom na overitelj z zahtevo EAP, ki navaja shemo EAP. Zahtevo EAP avtentifikator vdela v okvir EAPOL in jo pošlje prosilcu.
- Preverjanje pristnosti: Če strežnik za preverjanje pristnosti in prosilca soglašata z isto metodo EAP, bo med zahtevo in strežnikom za preverjanje pristnosti potekala izmenjava zahtev za EAP in izmenjave sporočil EAP, dokler strežnik za preverjanje pristnosti ne odgovori s sporočilom o uspehu EAP ali sporočilom o napaki EAP. .
- Po uspešni avtentikaciji avtentifikator postavi vrata v 'pooblaščeno' stanje. Tako so dovoljene vse vrste prometnih tokov. Če avtorizacija ne uspe, bo pristanišče ohranjeno v 'nedovoljenem' stanju. Vsakič, ko se gostiteljski odjemalec odjavi, v avtentifikator priplavi sporočilo o odjavi EAPOL, ki vrata spet postavi v 'nepooblaščeno' stanje.
802.1x avtentikacijski postopek
Zaključek
Tu smo v tej vadnici raziskali delovanje protokolov za preverjanje pristnosti 802.11, 802.11i in 802.1x.
Omrežni sistem postane varnejši z uporabo metode EAP za preverjanje pristnosti in z uporabo medsebojnega preverjanja pristnosti tako na odjemalcu kot na koncu dostopne točke z uporabo različnih vrst metod šifrirnih ključev.
PREV Vadnica | NASLEDNJA Vadnica
Priporočeno branje
- IPv4 proti IPv6: Kakšna je natančna razlika
- Kaj je omrežni varnostni ključ: kako ga najti za usmerjevalnik, Windows ali Android
- Kaj je virtualizacija? Primeri virtualizacije omrežja, podatkov, aplikacij in shranjevanja
- Osnovni koraki in orodja za odpravljanje težav z omrežjem
- Kaj je omrežna varnost: njene vrste in upravljanje
- Kaj so varnostni protokoli IP (IPSec), TACACS in AAA
- Kaj so protokoli HTTP (Hypertext Transfer Protocol) in DHCP?
- Pomembni protokoli aplikacijskega sloja: protokoli DNS, FTP, SMTP in MIME