Menú

LAN sense fils IEEE 802.11 i 802.11i i estàndards d’autenticació 802.1x

  • Principal
  • Altres
  • LAN sense fils IEEE 802.11 i 802.11i i estàndards d’autenticació 802.1x

ieee 802 11 802 11i wireless lan

Proveu El Nostre Instrument Per Eliminar Problemes

Una mirada en profunditat a les funcions millorades dels protocols de seguretat de xarxa: LAN sense fils 802.11 i 802.11i i estàndards d'autenticació 802.1x

Al nostre tutorial anterior, vam explorar el protocols de seguretat de xarxa basats en l'arquitectura AAA i protocols d’autenticació estàndard IEEE 802.1x.

algorisme d'ordenació en pila c ++

En aquesta part seqüencial, aprofundirem en alguns protocols de seguretat de xarxa més juntament amb les seves funcions millorades.

Lectura suggerida => Sèrie de tutorials sobre conceptes bàsics de xarxes informàtiques

Explorem !!

PROTOCOL DE SEGURETAT D

Què aprendreu:

802.11 Autenticació i associació

Requereix un dispositiu sense fils com una estació mòbil anomenada STA i un punt d’accés (AP).

El concepte d’autenticació 802.11 es troba entre construir la identificació i autenticació entre el STA i l’AP. L’AP pot ser un enrutador o un commutador. No hi ha cap xifratge del missatge implicat en aquest procés.

Autenticació

Hi ha dos tipus d’autenticació que s’esmenten a continuació:

  • Sistema de claus obert
  • Sistema de claus compartides

Autenticació de clau oberta:

La sol·licitud d'autenticació s'envia des de l'usuari client al punt d'accés que conté la clau de privadesa equivalent per cable (WEP) per a l'autenticació. Com a resposta, el punt d’accés (AP) envia un missatge d’èxit només si la clau WEP del client i l’AP coincideixen entre si, si no, fa circular un missatge d’error.

Autenticació de clau compartida:

En aquest mètode, l’AP fa flotar un missatge de text de repte sense xifrar al client que intenta comunicar-se amb el punt d’accés. El dispositiu client atractiu per a l'autenticació xifra el missatge i el torna a enviar a AP.

Si es troba el xifratge del missatge aleshores, l’AP permet que el dispositiu client s’autentiqui. Com que utilitza la clau WEP en aquest mètode, l'AP està obert als atacs de virus només avaluant la clau WEP i, per tant, està menys segur per al procés d'autenticació.

Mètode de clau WPA (accés protegit per Wi-Fi): Aquest mètode proporciona el nivell millorat de funcions de seguretat de dades per a dispositius sense fils. Això també es pot acompanyar amb el mètode 802.11i. A WPA-PSK, es genera una clau compartida prèviament abans de l'inici del procés d'autenticació.

Tant el client com l'AP utilitzen PSK com a PMK, clau mestra parella per a l'autenticació mitjançant un mètode d'autenticació EAP.

Associació

Després de completar el procés d’autenticació, el client sense fils pot associar-se i inscriure’s amb el punt d’accés que pot ser un enrutador o un commutador. Després de l'associació, l'AP desa tota la informació necessària sobre el dispositiu al qual s'associa perquè es puguin destinar amb exactitud els paquets de dades.

Procés d'associació:

  1. Quan es fa l'autenticació, l'STA envia una sol·licitud d'associació a l'AP o al router.
  2. A continuació, l’AP processarà la sol·licitud d’associació i la concedirà en funció del tipus de sol·licitud.
  3. Quan l’AP permet l’associació, torna a l’STA amb un codi d’estat 0, que vol dir que és correcte i amb l’AID (ID d’associació).
  4. Si l'associació falla, l'AP reverteix amb el final de la resposta del procediment i amb un codi d'estat d'error.

Protocol 802.11i

El 802.11i utilitza un protocol d’autenticació que es va utilitzar al 802.1x amb algunes funcions millorades, com ara un encaix de mans de quatre vies i un encaix de mans de clau de grup amb claus criptogràfiques adequades.

Aquest protocol també proporciona funcions d’integritat i confidencialitat de les dades. L'inici de l'operació de protocol es realitza amb el procés d'autenticació que va fer l'intercanvi EAP amb l'empresa del servidor d'autenticació seguint les regles del protocol 802.1x.

Quan es realitza l'autenticació 802.1x, s'evoluciona una clau secreta coneguda com a clau mestra parella (PMK).

Encaix de mans de quatre vies

Aquí l'autenticador es coneix com a punt d'accés i el sol·licitant és el client sense fils.

En aquest apretament de mans, tant el punt d’accés com el client sense fils han de verificar que estiguin familiaritzats amb els altres PMK, sense revelar-ho. Els missatges entre aquests dos es comparteixen de forma xifrada i només aquests tenen la clau per desxifrar els missatges.

Al procés d’autenticació s’utilitza una altra clau coneguda com a clau transitòria per parelles (PTK).

Consta dels atributs següents:

  1. PMK
  2. Punt d'accés nonce
  3. Estació client nonce (STA nonce)
  4. Adreça MAC del punt d’accés
  5. Adreça MAC STA

La sortida es plantarà a la funció pseudo-aleatòria. L'aprimat de mans també capitula la clau temporal del grup (GTK) per al desxifratge al final dels receptors.

testers-inc iptv no funciona

El procés d’estrenyiment de mans és el següent:

  • L’AP fa circular un punt d’accés que no s’adapta a l’STA en associació amb un comptador de claus, el número utilitza totalment el missatge enviat i rebutja l’entrada duplicada. STA ja està llest amb els atributs necessaris per acumular el PTK.
  • Ara STA envia STA nonce a l’AP juntament amb el codi d’integritat del missatge (MIC), que inclou l’autenticació i el comptador de claus, que és el mateix que envia l’AP perquè coincideixin ambdues.
  • AP valida el missatge examinant el MIC, AP Nonce i el comptador de claus. Si es troba tot bé, fa circular el GTK amb un altre MIC.
  • El STA valida el missatge rebut examinant tots els comptadors i, finalment, envia un missatge de confirmació a l’AP per a la seva confirmació.

Encaix de mans de 4 vies a 802.11i editat

Grup de claus de mans

El GTK s'utilitza cada vegada que caduca una sessió concreta i cal actualitzar-la per començar amb una nova sessió a la xarxa. El GTK s’utilitza per protegir el dispositiu contra la recepció de missatges de difusió dels altres recursos d’altres AP.

L'aprimat de mans de la tecla de grup consisteix en un procés d'aplicació de mans bidireccional:

  1. El punt d'accés fa circular una nova GTK a totes les estacions de clients presents a la xarxa. El GTK es xifra mitjançant 16 bytes de la clau de xifratge de clau EAPOL (KEK) assignada a aquesta estació de client en particular. També evita la manipulació de dades mitjançant l’ús de MIC.
  2. L'estació client reconeix la nova GTK rebuda i després reenvia la resposta al punt d'accés.

L'aprimat de mans bidireccional es fa de la manera esmentada.

802.1X

És un estàndard basat en ports per al control d’accés a la xarxa. Subministra el procés d’autenticació als dispositius que vulguin comunicar-se en arquitectura LAN o WLAN.

L’autenticació 802.1X inclou tres participants, és a dir, un sol·licitant, un autenticador i un servidor d’autenticació. El sol·licitant serà el dispositiu final, com ara un ordinador portàtil, un PC o una tauleta que vulgui iniciar la comunicació a través de la xarxa. El sol·licitant també pot ser una aplicació basada en programari que s'executa al PC amfitrió del client.

El sol·licitant també subministra les credencials a l'autenticador. L'autenticador és la màquina com un commutador Ethernet o WAP i el servidor d'autenticació és un dispositiu d'amfitrió final remot que executa el programari i fa còpia de seguretat dels protocols d'autenticació.

L'autenticador es comporta com un escut de seguretat a la xarxa vigilada. El client amfitrió que ha iniciat la comunicació no té permís per accedir al costat protegit de la xarxa a través de l'autenticador tret que la seva identitat s'hagi validat i autenticat.

En utilitzar 802.1X, el sol·licitant subministra les credencials com a signatura digital o nom d’usuari i contrasenya d’inici de sessió a l’autenticador i l’autenticador el redirigeix ​​al servidor d’autenticació per a l’autenticació.

Si es troba que les credencials són de bona fe, al dispositiu amfitrió se li permet accedir als recursos situats al costat protegit de la xarxa.

Passos relacionats amb el procés d'autenticació:

  • Inicialització: Aquest és el primer pas. Quan arriba un nou sol·licitant, el port de l’autenticador s’activa i es posa en estat “no autoritzat”.
  • Iniciació: Per iniciar el procés d'autenticació, l'autenticador transmetrà els marcs d'identitat de sol·licitud EAP regularment a l'interval de temps a l'adreça MAC del segment de dades de la xarxa. El sol·licitant analitza l'adreça i la reverteix i envia el marc d'identitat de resposta EAP que consisteix en un identificador del sol·licitant com una clau secreta.
  • Negociació: En aquesta etapa, el servidor torna amb una resposta a l'autenticador, amb una sol·licitud EAP que indica l'esquema EAP. L'autenticador encapsula la sol·licitud EAP al marc EAPOL i la torna a enviar al sol·licitant.
  • Autenticació: Si el servidor d’autenticació i el sol·licitant consenten el mateix mètode EAP, la sol·licitud EAP i l’intercanvi de missatges de resposta EAP tindran lloc entre el sol·licitant i el servidor d’autenticació fins que el servidor d’autenticació respongui amb un missatge d’èxit EAP o un missatge de fallada EAP .
  • Després de l'autenticació correcta, l'autenticador posa el port en estat 'autoritzat'. Per tant, es permet tot tipus de flux de trànsit. Si falla l'autorització, el port es mantindrà en un estat 'no autoritzat'. Sempre que el client amfitrió tanca la sessió, flota un missatge de tancament d'EAPOL a l'autenticador, que torna a posar el port a un estat 'no autoritzat'.

Procés d'autenticació 802.1x

Procés d’autenticació 802.1x

Conclusió

Aquí, en aquest tutorial, hem explorat el funcionament dels protocols d’autenticació 802.11, 802.11i i 802.1x.

El sistema de xarxa es torna més segur mitjançant el desplegament del mètode EAP per a l'autenticació i mitjançant l'autenticació mútua tant al client com al punt d'accés mitjançant diferents tipus de mètodes de clau de xifratge.

PREV Tutorial | NEXT Tutorial

Lectura recomanada

^