ieee 802 11 802 11i wireless lan
Дубински поглед на побољшане карактеристике мрежних сигурносних протокола: 802.11 и 802.11и бежични ЛАН и 802.1к стандарди за потврду идентитета
У нашем претходном упутству истражили смо мрежни сигурносни протоколи засновани на ААА архитектури и ИЕЕЕ стандардни 802.1к протоколи за потврду идентитета.
разлика између ц и ц ++ кода
У овом секвенцијалном делу заронићемо дубоко у још неке мрежне сигурносне протоколе заједно са њиховим побољшаним функцијама.
Предложено читање => Серија лекција о основама рачунарских мрежа
Истражимо !!
Шта ћете научити:
802.11 Аутентификација и придруживање
Потребан је бежични уређај попут мобилне станице зване СТА и приступна тачка (АП).
Концепт аутентификације 802.11 лежи између стварања идентификације и аутентификације између СТА и АП. АП може бити рутер или прекидач. Не постоји шифровање поруке која је укључена у овај процес.
Аутентикација
Постоје две врсте аутентификације као што је наведено у наставку:
- Систем отворених кључева
- Систем заједничких кључева
Потврда идентитета помоћу отвореног кључа:
Захтев за потврду идентитета шаље се од клијентског корисника на приступну тачку која садржи ожичени еквивалентни кључ приватности (ВЕП) за потврду идентитета. Као одговор, приступна тачка (АП) шаље поруку о успеху само ако се ВЕП кључ и клијента и АП подударају, ако не, он циркулише поруку о неуспеху.
У овој методи, АП плута нешифрирану текстуалну поруку клијенту који покушава да комуницира са приступном тачком. Клијентски уређај који позива на потврду идентитета шифрира поруку и шаље је натраг у АП.
Ако се тада пронађе шифровање поруке, АП дозвољава клијентском уређају да се потврди идентитет. Како користи ВЕП кључ у овој методи, АП је отворен за нападе вируса само проценом ВЕП кључа и стога је мање заштићен за поступак потврде идентитета.
ВПА (Ви-Фи заштићени приступ) кључни метод: Овај метод обезбеђује побољшани ниво карактеристика података за бежичне уређаје. Ово је такође компатибилно са методом 802.11и. У ВПА-ПСК, унапред дељени кључ се генерише пре почетка поступка потврде идентитета.
И клијент и АП користе ПСК као ПМК, главни кључ у пару за потврду идентитета коришћењем ЕАП методе потврде идентитета.
Удружење
Након завршетка поступка потврде идентитета, бежични клијент се може повезати и регистровати са приступном тачком која може бити рутер или прекидач. Након повезивања, АП чува све потребне информације у вези са уређајем са којим је повезан, како би пакети података могли бити тачно одређени.
Процес придруживања:
- Када се аутентификација заврши, СТА шаље захтев за придруживање АП-у или рутеру.
- Тада ће АП обрадити захтев за придруживање и одобрити га на основу врсте захтева.
- Када АП дозволи придруживање, враћа се натраг на СТА са статусним кодом 0, што значи успешно и са АИД-ом (ИД придруживања).
- Ако повезивање не успе, АП се враћа са завршетком одговора на процедуру и са кодом статуса грешке.
802.11и протокол
802.11и користи протокол за потврду идентитета који је коришћен у 802.1к са неким побољшаним функцијама попут четворосмерног руковања и руковања групним кључем са одговарајућим криптографским кључевима.
Овај протокол такође пружа функције интегритета података и поверљивости. Почетак операције протокола одвија се у процесу аутентификације који је обављен од стране ЕАП размене са компанијом сервера за аутентификацију поштујући правила протокола 802.1к.
Овде се, када се врши аутентификација 802.1к, развија тајни кључ који је познат као упарени главни кључ (ПМК).
Четворосмерно руковање
Овде је аутентификатор познат као приступна тачка, а подносилац је бежични клијент.
У овом руковању, приступна тачка, као и бежични клијент, морају да потврде да су упознати са ПМК-ом, без откривања. Поруке између ове две особе деле се у шифрованом облику и само оне имају кључ за дешифровање порука.
У процесу потврде идентитета користи се још један кључ познат као парно-прелазни кључ (ПТК).
Састоји се од следећих атрибута:
- ПМК
- Приступна тачка нонце
- Клијентска станица нонце (СТА нонце)
- МАЦ адреса приступне тачке
- СТА МАЦ адреса
Излаз се затим поставља у псеудо-случајну функцију. Руковање такође капитулира временски кључ групе (ГТК) за дешифровање на крају пријемника.
бесплатни софтвер за прављење резервних копија за спољни чврсти диск
Процес руковања је следећи:
- АП циркулише приступну тачку одатле СТА-у, заједно са бројачем кључева, број у потпуности користи послату поруку и одбија дупликат. СТА је сада спреман са атрибутима потребним за изградњу ПТК-а.
- Сада СТА шаље АП-у никакав АП, заједно са кодом интегритета поруке (МИЦ), укључујући потврду идентитета и бројач кључева, који је исти као и АП који се подудара.
- АП потврђује поруку испитивањем МИЦ-а, АП Нонце-а и бројача кључева. Ако је све пронађено у реду, онда он дистрибуира ГТК са другим МИЦ-ом.
- СТА потврђује примљену поруку испитивањем свих бројача и на крају шаље потврду АП-у на потврду.
Групно руковање кључем
ГТК се користи сваки пут када одређеној сесији истекне и потребно је ажурирање да би се започело новом сесијом у мрежи. ГТК се користи за заштиту уређаја од примања врста емитованих порука са других ресурса других АП.
Групно руковање састоји се од двосмерног процеса руковања:
- Приступна тачка циркулише нови ГТК свакој клијентској станици присутној у мрежи. ГТК је шифрован коришћењем 16 бајтова кључа за шифровање ЕАПОЛ кључа (КЕК) додељеног тој одређеној клијентској станици. Такође спречава манипулацију подацима коришћењем МИЦ-а.
- Клијентска станица потврђује примљени нови ГТК, а затим прослеђује одговор приступној тачки.
Двосмерно руковање одвија се на горе поменути начин.
802.1Кс
То је стандард на бази порта за контролу приступа мрежи. Омогућава поступак потврде идентитета уређајима који желе да комуницирају у ЛАН или ВЛАН архитектури.
Провера идентитета 802.1Кс укључује три учесника, тј. Подносиоца захтева, аутентификатор и сервер за потврду идентитета. Подносилац захтева биће крајњи уређај попут лаптопа, рачунара или таблета који жели да започне комуникацију преко мреже. Подносилац захтева такође може бити апликација заснована на софтверу која се покреће на клијентском рачунару хосту.
Подносилац захтева такође доставља акредитиве аутентификатору. Аутентификатор је машина попут Етхернет прекидача или ВАП-а, а сервер за потврду идентитета је удаљени крајњи хост уређај који покреће софтвер и подржава протоколе за потврду идентитета.
Аутентификатор се понаша као заштитни штит заштићене мреже. Клијенту домаћину који је започео комуникацију није дозвољен приступ заштићеној страни мреже преко аутентификатора, осим ако његов идентитет није потврђен и потврђен.
Коришћењем 802.1Кс, подносилац захтева предаје поверљиве податке попут дигиталног потписа или корисничког имена и лозинке за пријављивање аутентификатору, а он их преусмерава на сервер за потврду идентитета ради потврде идентитета.
Ако се утврди да су акредитиви веродостојни, тада је главном уређају дозвољен приступ ресурсима који се налазе на заштићеној страни мреже.
Кораци укључени у поступак аутентификације:
- Иницијализација: Ово је први корак. Када стигне нови подносилац захтева, порт на аутентификатору се поставља и ставља у „неовлашћено“ стање.
- Покретање: Да би покренуо поступак потврде идентитета, аутентификатор ће емитовати оквире идентитета ЕАП захтева у редовном временском интервалу на МАЦ адресу сегмента података мреже. Подносилац захтева анализира адресу и враћа је и шаље ЕАП оквир идентитета одговора који се састоји од идентификатора подносиоца као тајни кључ.
- Преговарање: У овој фази, сервер се враћа са одговором аутентификатору, имајући ЕАП захтев који наводи ЕАП шему. ЕАП захтев енкапсулира у ЕАПОЛ оквир од стране аутентификатора и он га враћа подносиоцу захтева.
- Аутентикација: Ако се сервер за потврду идентитета и подносилац захтева сагласе са истим ЕАП методом, тада ће се извршити размена ЕАП захтева и ЕАП поруке одговора између подносиоца захтева и сервера за потврду идентитета док сервер за потврду идентитета не одговори ЕАП поруком о успеху или поруком о неуспеху ЕАП .
- Након успешне аутентификације, аутентификатор ставља порт у „овлашћено“ стање. Стога су дозвољене све врсте саобраћајних токова. Ако ауторизација не успе, лука ће се задржати у „неовлашћеном“ стању. Кад год се клијент домаћина одјави, плута поруку за одјаву ЕАПОЛ-а у аутентификатор, што поново доводи порт у „неовлашћено“ стање.
Процес аутентификације 802.1к
Закључак
Овде смо у овом упутству истражили рад протокола за потврду идентитета 802.11, 802.11и и 802.1к.
Систем умрежавања постаје сигурнији, применом ЕАП методе за потврду идентитета и коришћењем међусобне потврде идентитета на клијенту и на приступној тачки, користећи различите типове метода кључа за шифровање.
ПРЕВ Туториал |. | СЛЕДЕЋА Лекција
Препоручено читање
- ИПв4 вс ИПв6: У чему је тачна разлика
- Шта је мрежни безбедносни кључ: како га пронаћи за рутер, Виндовс или Андроид
- Шта је виртуелизација? Примери виртуелизације мреже, података, апликација и складиштења
- Основни кораци и алати за решавање проблема са мрежом
- Шта је мрежна сигурност: њени типови и управљање
- Шта су ИП Сецурити (ИПСец), ТАЦАЦС и ААА сигурносни протоколи
- Шта су ХТТП (Хипертект Трансфер Протоцол) и ДХЦП протоколи?
- Важни протоколи слоја апликација: ДНС, ФТП, СМТП и МИМЕ протоколи