Μενού

IEEE 802.11 και 802.11i Ασύρματο LAN και πρότυπα ελέγχου ταυτότητας 802.1x

  • Κύριος
  • Αλλα
  • IEEE 802.11 και 802.11i Ασύρματο LAN και πρότυπα ελέγχου ταυτότητας 802.1x

ieee 802 11 802 11i wireless lan

Δοκιμάστε Το Όργανο Μας Για Την Εξάλειψη Των Προβλημάτων

Μια αναλυτική ματιά στα βελτιωμένα χαρακτηριστικά των πρωτοκόλλων ασφάλειας δικτύου: 802.11 και 802.11i Ασύρματο LAN και πρότυπα ελέγχου ταυτότητας 802.1x

Στο προηγούμενο σεμινάριό μας, διερευνήσαμε το πρωτόκολλα ασφάλειας δικτύου βασισμένα στην αρχιτεκτονική AAA και πρωτόκολλα IEEE 802.1x για έλεγχο ταυτότητας.

πώς να δημιουργήσετε ένα έργο σε έκλειψη

Σε αυτό το διαδοχικό μέρος, θα εμβαθύνουμε σε μερικά περισσότερα πρωτόκολλα ασφάλειας δικτύου μαζί με τα βελτιωμένα χαρακτηριστικά τους.

Προτεινόμενη ανάγνωση => Σειρά μαθημάτων για τα βασικά στοιχεία δικτύωσης υπολογιστών

Ας εξερευνήσουμε !!

ΠΡΩΤΟΚΟΛΛΟ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΒΑΣΗΣ ΔΙΚΤΥΟΥ ΜΕΡΟΣ-2

Τι θα μάθετε:

802.11 Έλεγχος ταυτότητας και συσχέτιση

Απαιτεί μια ασύρματη συσκευή όπως έναν κινητό σταθμό που ονομάζεται STA και ένα σημείο πρόσβασης (AP).

Η έννοια του ελέγχου ταυτότητας 802.11 βρίσκεται μεταξύ της δημιουργίας ταυτότητας και ελέγχου ταυτότητας μεταξύ του STA και του AP. Το AP μπορεί να είναι δρομολογητής ή διακόπτης. Δεν υπάρχει κρυπτογράφηση του μηνύματος που εμπλέκεται σε αυτήν τη διαδικασία.

Αυθεντικοποίηση

Υπάρχουν δύο τύποι ελέγχου ταυτότητας όπως αναφέρονται παρακάτω:

  • Άνοιγμα κλειδιού συστήματος
  • Κοινόχρηστο σύστημα κλειδιών

Άνοιγμα κλειδιού ελέγχου ταυτότητας:

Το αίτημα ελέγχου ταυτότητας αποστέλλεται από τον χρήστη πελάτη στο σημείο πρόσβασης που περιέχει το κλειδί ενσύρματου ισοδύναμου απορρήτου (WEP) για έλεγχο ταυτότητας. Σε απάντηση, το σημείο πρόσβασης (AP) στέλνει ένα μήνυμα επιτυχίας μόνο εάν το κλειδί WEP τόσο του πελάτη όσο και του AP ταιριάζουν μεταξύ τους, αν όχι κυκλοφορεί ένα μήνυμα αποτυχίας.

Έλεγχος ταυτότητας κοινόχρηστου κλειδιού:

Σε αυτήν τη μέθοδο, το AP μεταδίδει ένα μη κρυπτογραφημένο μήνυμα κειμένου πρόκλησης στον πελάτη που προσπαθεί να επικοινωνήσει με το σημείο πρόσβασης. Η συσκευή πελάτη που είναι ελκυστική για τον έλεγχο ταυτότητας κρυπτογραφεί το μήνυμα και το στέλνει πίσω στο AP.

Εάν βρεθεί κρυπτογράφηση του μηνύματος τότε, το AP επιτρέπει στη συσκευή πελάτη να πραγματοποιήσει έλεγχο ταυτότητας. Καθώς χρησιμοποιεί το κλειδί WEP σε αυτήν τη μέθοδο, το AP είναι ανοιχτό σε επιθέσεις ιών με την απλή αξιολόγηση του κλειδιού WEP και ως εκ τούτου είναι λιγότερο ασφαλές για τη διαδικασία ελέγχου ταυτότητας.

Βασική μέθοδος WPA (Προστατευμένη πρόσβαση Wi-Fi): Αυτή η μέθοδος παρέχει το βελτιωμένο επίπεδο λειτουργιών ασφαλείας δεδομένων για ασύρματες συσκευές. Αυτό συνδυάζεται επίσης με τη μέθοδο 802.11i. Στο WPA-PSK, δημιουργείται ένα κοινόχρηστο κλειδί πριν από την έναρξη της διαδικασίας ελέγχου ταυτότητας.

Τόσο ο Πελάτης όσο και το AP χρησιμοποιούν το PSK ως PMK, ζεύγος βασικού κλειδιού για έλεγχο ταυτότητας χρησιμοποιώντας μια μέθοδο ελέγχου ταυτότητας EAP.

Σχέση

Μετά την ολοκλήρωση της διαδικασίας ελέγχου ταυτότητας, ο ασύρματος πελάτης μπορεί να συσχετιστεί και να εγγραφεί με το σημείο πρόσβασης που μπορεί να είναι δρομολογητής ή διακόπτης. Μετά τη συσχέτιση, το AP αποθηκεύει όλες τις απαραίτητες πληροφορίες σχετικά με τη συσκευή με την οποία συσχετίζεται, έτσι ώστε τα πακέτα δεδομένων να μπορούν να προορίζονται με ακρίβεια.

Διαδικασία σύνδεσης:

  1. Όταν ολοκληρωθεί ο έλεγχος ταυτότητας, το STA στέλνει ένα αίτημα συσχέτισης στο AP ή το δρομολογητή.
  2. Στη συνέχεια, το AP θα επεξεργαστεί το αίτημα συσχέτισης και θα το εκχωρήσει βάσει του τύπου του αιτήματος.
  3. Όταν το AP επιτρέπει τη συσχέτιση, επανέρχεται στο STA με έναν κωδικό κατάστασης 0, που σημαίνει επιτυχής και με το AID (αναγνωριστικό συσχέτισης).
  4. Εάν ο συσχετισμός αποτύχει, τότε το AP επανέρχεται με το τέλος της διαδικασίας απόκρισης και με κωδικό κατάστασης αποτυχίας.

Πρωτόκολλο 802.11i

Το 802.11i χρησιμοποιεί ένα πρωτόκολλο ελέγχου ταυτότητας που χρησιμοποιήθηκε στο 802.1x με ορισμένες βελτιωμένες δυνατότητες όπως χειραψία τεσσάρων κατευθύνσεων και χειραψία κλειδιών ομάδας με κατάλληλα κρυπτογραφικά πλήκτρα.

Αυτό το πρωτόκολλο παρέχει επίσης δυνατότητες ακεραιότητας και εμπιστευτικότητας δεδομένων. Η έναρξη της λειτουργίας του πρωτοκόλλου πραγματοποιείται με τη διαδικασία ελέγχου ταυτότητας που έγινε από την ανταλλαγή EAP με την εταιρεία του διακομιστή ελέγχου ταυτότητας ακολουθώντας τους κανόνες του πρωτοκόλλου 802.1x.

Εδώ όταν γίνεται έλεγχος ταυτότητας 802.1x, αναπτύσσεται ένα μυστικό κλειδί που είναι γνωστό ως ζεύγος βασικού κλειδιού (PMK).

Χειραψία τεσσάρων κατευθύνσεων

Εδώ ο ελεγκτής είναι γνωστός ως σημείο πρόσβασης και ο αιτών είναι ο ασύρματος πελάτης.

Σε αυτήν τη χειραψία, τόσο το σημείο πρόσβασης όσο και ο ασύρματος πελάτης πρέπει να επαληθεύσουν ότι είναι εξοικειωμένοι μεταξύ τους με το PMK, χωρίς να το αποκαλύψουν. Τα μηνύματα μεταξύ αυτών των δύο μοιράζονται σε κρυπτογραφημένη μορφή και μόνο αυτά έχουν το κλειδί για την αποκρυπτογράφηση των μηνυμάτων.

Ένα άλλο κλειδί γνωστό ως ζεύγος-παροδικό κλειδί (PTK) χρησιμοποιείται στη διαδικασία ελέγχου ταυτότητας.

Αποτελείται από τα ακόλουθα χαρακτηριστικά:

  1. ΡΜΚ
  2. Σημείο πρόσβασης nonce
  3. Πελάτης σταθμός nonce (STA nonce)
  4. Διεύθυνση MAC σημείου πρόσβασης
  5. Διεύθυνση STA MAC

Η έξοδος στη συνέχεια τοποθετείται στην ψευδο-τυχαία συνάρτηση. Η χειραψία συνεισφέρει επίσης το χρονικό κλειδί ομάδας (GTK) για αποκρυπτογράφηση στο τέλος των δεκτών.

ερωτήσεις συνέντευξης για τις υπόλοιπες υπηρεσίες web java

Η διαδικασία χειραψίας έχει ως εξής:

  • Το AP κυκλοφορεί ένα σημείο πρόσβασης στο STA σε συνδυασμό με έναν μετρητή κλειδιού, ο αριθμός χρησιμοποιεί πλήρως το μήνυμα που αποστέλλεται και απορρίπτει την διπλή καταχώριση. Το STA είναι τώρα έτοιμο με τα χαρακτηριστικά που απαιτούνται για τη δημιουργία του PTK.
  • Τώρα το STA στέλνει STA nonce στο AP μαζί με τον κωδικό ακεραιότητας μηνυμάτων (MIC), συμπεριλαμβανομένου του ελέγχου ταυτότητας και του μετρητή κλειδιών, ο οποίος είναι ίδιος με τον αποστολέα του AP έτσι ώστε και οι δύο να ταιριάζουν.
  • Το AP επικυρώνει το μήνυμα εξετάζοντας το MIC, το AP Nonce και τον μετρητή κλειδιών. Εάν όλα είναι εντάξει, τότε κυκλοφορεί το GTK με άλλο MIC.
  • Το STA επικυρώνει το μήνυμα που λαμβάνεται εξετάζοντας όλους τους μετρητές και τελικά στέλνει ένα μήνυμα επιβεβαίωσης στο AP για επιβεβαίωση.

Επεξεργασία χειραψίας 4 κατευθύνσεων στο 802.11i

Ομαδική βασική χειραψία

Το GTK χρησιμοποιείται κάθε φορά που λήγει μια συγκεκριμένη περίοδος σύνδεσης και απαιτείται ενημέρωση για να ξεκινήσει με μια νέα περίοδο σύνδεσης στο δίκτυο. Το GTK χρησιμοποιείται για την προστασία της συσκευής από τη λήψη μηνυμάτων εκπομπής από τους άλλους πόρους άλλων AP.

Η χειραψία κλειδιού ομάδας αποτελείται από αμφίδρομη διαδικασία χειραψίας:

  1. Το σημείο πρόσβασης κυκλοφορεί ένα νέο GTK σε κάθε σταθμό πελάτη που υπάρχει στο δίκτυο. Το GTK κρυπτογραφείται χρησιμοποιώντας 16 byte του κλειδιού κρυπτογράφησης κλειδιού EAPOL (ΚΕΚ) που έχει εκχωρηθεί στον συγκεκριμένο σταθμό πελάτη. Αποτρέπει επίσης τη χειραγώγηση δεδομένων χρησιμοποιώντας MIC.
  2. Ο σταθμός πελάτη αναγνωρίζει το νέο GTK που έλαβε και στη συνέχεια προωθεί την απάντηση στο σημείο πρόσβασης.

Η αμφίδρομη χειραψία λαμβάνει χώρα με τον προαναφερόμενο τρόπο.

802.1Χ

Είναι ένα πρότυπο λιμένα για έλεγχο πρόσβασης στο δίκτυο. Παρέχει τη διαδικασία ελέγχου ταυτότητας σε συσκευές που θέλουν να επικοινωνήσουν με αρχιτεκτονική LAN ή WLAN.

Ο έλεγχος ταυτότητας 802.1X περιλαμβάνει τρεις συμμετέχοντες, δηλαδή έναν αιτούντα, έναν έλεγχο ταυτότητας και έναν διακομιστή ελέγχου ταυτότητας. Ο υποψήφιος θα είναι η τελική συσκευή όπως φορητός υπολογιστής, υπολογιστής ή tablet που θέλει να ξεκινήσει την επικοινωνία μέσω του δικτύου. Ο αιτών μπορεί επίσης να είναι μια εφαρμογή που βασίζεται σε λογισμικό που εκτελείται στον υπολογιστή-πελάτη κεντρικού υπολογιστή.

Ο αιτών παρέχει επίσης τα διαπιστευτήρια στον επικυρωτή. Ο έλεγχος ταυτότητας είναι το μηχάνημα όπως ένας διακόπτης Ethernet ή WAP και ο διακομιστής ελέγχου ταυτότητας είναι μια συσκευή κεντρικού υπολογιστή απομακρυσμένου άκρου που εκτελεί το λογισμικό και υποστηρίζει τα πρωτόκολλα ελέγχου ταυτότητας.

Ο επαληθευτής συμπεριφέρεται ως ασπίδα ασφαλείας στο φυλασσόμενο δίκτυο. Ο κεντρικός υπολογιστής-πελάτης που έχει ξεκινήσει την επικοινωνία δεν επιτρέπεται να έχει πρόσβαση στην προστατευμένη πλευρά του δικτύου μέσω του ελέγχου ταυτότητας, εκτός εάν η ταυτότητά του έχει επικυρωθεί και πιστοποιηθεί.

Χρησιμοποιώντας το 802.1X, ο αιτών παρέχει τα διαπιστευτήρια, όπως ψηφιακή υπογραφή ή όνομα χρήστη και κωδικό πρόσβασης, στον έλεγχο ταυτότητας και ο επικυρωτής το ανακατευθύνει στον διακομιστή ελέγχου ταυτότητας για έλεγχο ταυτότητας.

Εάν διαπιστωθεί ότι τα διαπιστευτήρια είναι bonafide, τότε η κεντρική συσκευή επιτρέπεται να έχει πρόσβαση στους πόρους που βρίσκονται στην προστατευμένη πλευρά του δικτύου.

Βήματα που εμπλέκονται στη διαδικασία ελέγχου ταυτότητας:

  • Αρχικοποίηση: Αυτό είναι το πρώτο βήμα. Όταν φτάσει ένα νέο αίτημα, η θύρα στον έλεγχο ταυτότητας ενεργοποιείται και τίθεται σε κατάσταση 'μη εξουσιοδοτημένης'.
  • Την έναρξη: Για να ξεκινήσει η διαδικασία ελέγχου ταυτότητας, ο έλεγχος ταυτότητας θα μεταδίδει τα πλαίσια ταυτότητας αιτήματος EAP σε κανονική χρονική περίοδο στη διεύθυνση MAC του τμήματος δεδομένων του δικτύου. Ο αιτών αναλύει τη διεύθυνση και την επαναφέρει και στέλνει το πλαίσιο ταυτότητας απόκρισης EAP που αποτελείται από ένα αναγνωριστικό του αιτούντος σαν ένα μυστικό κλειδί.
  • Διαπραγμάτευση: Σε αυτό το στάδιο, ο διακομιστής επανέρχεται με απάντηση στον έλεγχο ταυτότητας, έχοντας ένα αίτημα EAP που δηλώνει το σχήμα EAP. Το αίτημα EAP ενσωματώνεται στο πλαίσιο EAPOL από τον ελεγκτή και το στέλνει πίσω στον αιτούντα.
  • Αυθεντικοποίηση: Εάν ο διακομιστής ελέγχου ταυτότητας και ο υποψήφιος συναινέσουν στην ίδια μέθοδο EAP, τότε η αίτηση EAP και η ανταλλαγή μηνυμάτων απόκρισης EAP θα πραγματοποιηθούν μεταξύ του διακομιστή υποψηφίου και ελέγχου ταυτότητας έως ότου ο διακομιστής ελέγχου ταυτότητας απαντήσει με ένα μήνυμα επιτυχίας EAP ή ένα μήνυμα αποτυχίας EAP .
  • Μετά τον επιτυχή έλεγχο ταυτότητας, ο έλεγχος ταυτότητας θέτει τη θύρα σε κατάσταση 'εξουσιοδοτημένης'. Έτσι επιτρέπονται όλα τα είδη ροής κυκλοφορίας. Εάν η εξουσιοδότηση αποτύχει, τότε η θύρα θα διατηρηθεί σε «μη εξουσιοδοτημένη» κατάσταση. Κάθε φορά που αποστέλλεται ο κεντρικός υπολογιστής, μεταδίδει ένα μήνυμα αποσύνδεσης EAPOL στον έλεγχο ταυτότητας, το οποίο θέτει ξανά τη θύρα σε κατάσταση 'μη εξουσιοδοτημένης'

Διαδικασία ελέγχου ταυτότητας 802.1x

Διαδικασία ελέγχου ταυτότητας 802.1x

συμπέρασμα

Εδώ, σε αυτό το σεμινάριο, διερευνήσαμε τη λειτουργία των πρωτοκόλλων ελέγχου ταυτότητας 802.11, 802.11i και 802.1x.

Το σύστημα δικτύωσης γίνεται πιο ασφαλές, αναπτύσσοντας τη μέθοδο EAP για έλεγχο ταυτότητας και χρησιμοποιώντας αμοιβαίο έλεγχο ταυτότητας τόσο στο πρόγραμμα-πελάτη όσο και στο σημείο πρόσβασης χρησιμοποιώντας διαφορετικούς τύπους βασικών μεθόδων κρυπτογράφησης.

Εκπαιδευτικό πρόγραμμα PREV | ΕΠΟΜΕΝΟ Φροντιστήριο

Συνιστώμενη ανάγνωση

^