ieee 802 11 802 11i wireless lan
En grundig titt på de forbedrede funksjonene i nettverkssikkerhetsprotokoller: 802.11 og 802.11i trådløst LAN og 802.1x autentiseringsstandarder
I vår forrige opplæring utforsket vi protokoller for nettverkssikkerhet basert på AAA-arkitektur og IEEE standard 802.1x-protokoller for autentisering.
beste brannmur for Windows 7 64 bit
I denne sekvensielle delen vil vi dykke dypt inn i noen flere nettverkssikkerhetsprotokoller sammen med deres forbedrede funksjoner.
Foreslått lese => Series of Tutorials on Computer Networking Basics
La oss utforske !!
Hva du vil lære:
802.11 Autentisering og tilknytning
Det krever en trådløs enhet som en mobilstasjon kalt STA og et tilgangspunkt (AP).
Konseptet med 802.11-autentisering ligger mellom å bygge opp identifikasjonen og autentiseringen mellom STA og AP. AP kan være en ruter eller bryter. Det er ingen kryptering av meldingen som er involvert i denne prosessen.
Godkjenning
Det er to typer autentisering som nevnt nedenfor:
- Åpne nøkkelsystemet
- Delt nøkkelsystem
Åpen nøkkelgodkjenning:
Autentiseringsforespørselen sendes fra klientbrukeren til tilgangspunktet som inneholder WEP-nøkkelen (wired equivalent privacy) for autentisering. Som svar sender tilgangspunktet (AP) en suksessmelding bare hvis WEP-nøkkelen til både klienten og AP samsvarer med hverandre, hvis ikke sirkulerer den en feilmelding.
I denne metoden flyter AP en ukryptert utfordringstekstmelding til klienten som prøver å kommunisere med tilgangspunktet. Klientenheten som appellerer til autentisering, krypterer meldingen og sender den tilbake til AP.
Hvis kryptering av meldingen blir funnet riktig da, tillater AP klientenheten å autentisere. Siden den bruker WEP-nøkkel i denne metoden, er AP åpen for virusangrep ved å bare evaluere WEP-nøkkelen, og dermed er den mindre sikret for autentiseringsprosessen.
WPA (Wi-Fi Protected Access) nøkkelmetode: Denne metoden gir det forbedrede nivået av datasikkerhetsfunksjoner for trådløse enheter. Dette er også ledsaget av 802.11i-metoden. I WPA-PSK genereres en forhåndsdelt nøkkel før autentiseringsprosessen starter.
Både klienten og AP bruker PSK som PMK, parvis hovednøkkel for autentisering ved hjelp av en EAP-godkjenningsmetode.
assosiasjon
Etter at godkjenningsprosessen er fullført, kan den trådløse klienten knytte seg og registrere seg med tilgangspunktet som kan være en ruter eller bytte. Etter tilknytningen lagrer AP all nødvendig informasjon angående enheten den er tilknyttet, slik at datapakkene kan bestemmes nøyaktig.
Assosiasjonsprosess:
- Når autentisering er gjort, sender STA en forespørsel om tilknytning til AP eller ruteren.
- Deretter behandler AP foreningsforespørselen og innvilger den på grunnlag av typen forespørsel.
- Når AP tillater tilknytningen, går den tilbake til STA med en statuskode 0, som betyr vellykket og med AID (forenings-ID).
- Hvis tilknytningen mislyktes, går AP tilbake til slutten av prosedyresvaret og med en feilstatuskode.
802.11i-protokoll
802.11i bruker en autentiseringsprotokoll som ble brukt i 802.1x med noen forbedrede funksjoner som et fireveis håndtrykk og gruppetast håndtrykk med passende kryptografiske nøkler.
Denne protokollen gir også funksjoner for dataintegritet og konfidensialitet. Starten av protokolloperasjonen skjer med autentiseringsprosessen som ble utført av EAP-sentralen med selskapet til autentiseringsserveren ved å følge reglene i 802.1x-protokollen.
Her når 802.1x-autentisering er gjort, utvikles en hemmelig nøkkel som er kjent som en parvis hovednøkkel (PMK).
Fireveis håndtrykk
Her er autentisatoren kjent som tilgangspunktet og supplikanten er den trådløse klienten.
I dette håndtrykket må både tilgangspunktet og den trådløse klienten verifisere at de er kjent med hverandres PMK, uten å avsløre det. Meldingene mellom disse to deles i kryptert form, og bare disse har nøkkelen til å dekryptere meldingene.
En annen nøkkel kjent som en parvis transient nøkkel (PTK) brukes i autentiseringsprosessen.
Den består av følgende attributter:
- PMK
- Access point nonce
- Client station nonce (STA nonce)
- Tilgangspunkt MAC-adresse
- STA MAC-adresse
Resultatet blir deretter plantet inn i den pseudo-tilfeldige funksjonen. Håndtrykket kapitulerer også gruppens tidsmessige nøkkel (GTK) for dekryptering ved mottakersiden.
ytre sammenføyning mot full ytre sammenføyning
Håndtrykkprosessen er som følger:
- AP sirkulerer et tilgangspunkt nonce til STA i tilknytning til en nøkkelteller, antallet bruker fullstendig den sendte meldingen og avviser duplikatoppføringen. STA er nå klar med attributtene som kreves for å bygge opp PTK.
- Nå sender STA STA nonce til AP sammen med meldingsintegritetskoden (MIC), inkludert autentisering og nøkkeltelleren, som er den samme som sendes av AP, slik at begge vil matche.
- AP validerer meldingen ved å undersøke MIC, AP Nonce og nøkkeltelleren. Hvis alt blir funnet ok, sirkulerer det GTK med en annen MIC.
- STA validerer meldingen som mottas ved å undersøke alle tellerne og sender til slutt en bekreftelsesmelding til AP for bekreftelse.
Gruppetasthåndtrykk
GTK brukes hver gang en bestemt økt er utløpt og oppdatering er nødvendig for å starte med en ny økt i nettverket. GTK brukes til å beskytte enheten mot å motta kringkastede slags meldinger fra andre ressurser til annen AP.
Gruppetasten håndtrykk består av toveis håndtrykk prosess:
- Tilgangspunktet sirkulerer en ny GTK til hver klientstasjon som er tilstede i nettverket. GTK krypteres ved å bruke 16 byte av EAPOL-nøkkelkrypteringsnøkkel (KEK) tildelt den aktuelle klientstasjonen. Det forhindrer også manipulering av data ved å bruke MIC.
- Klientstasjonen bekrefter den nye mottatte GTK og videresender deretter svaret til tilgangspunktet.
Toveis håndtrykk foregår på ovennevnte måte.
802.1X
Det er en portbasert standard for nettverkstilgangskontroll. Den gir autentiseringsprosessen til enheter som ønsker å kommunisere i LAN- eller WLAN-arkitektur.
802.1X-godkjenningen inkluderer tre deltakere, dvs. en supplikant, en autentiseringsanordning og en autentiseringsserver. Ansøgeren vil være sluttenheten som en bærbar PC, PC eller nettbrett som ønsker å starte kommunikasjonen over nettverket. Ansøgeren kan også være et programvarebasert program som kjører på klientens verts-PC.
Saksøkeren leverer også legitimasjonen til autentisereren. Autentisatoren er maskinen som en Ethernet-svitsj eller WAP, og godkjenningsserveren er en ekstern sluttvertenhet som kjører programvaren og støtter godkjenningsprotokollene.
Autentisatoren oppfører seg som et sikkerhetsskjold for det beskyttede nettverket. Vertsklienten som har initiert kommunikasjonen har ikke tillatelse til å få tilgang til den beskyttede siden av nettverket via autentisereren med mindre identiteten er validert og autentisert.
Ved å bruke 802.1X leverer supporteren legitimasjonen som digital signatur eller påloggingsbrukernavn og passord, til autentisatoren, og autentisatoren omdirigerer den til autentiseringsserveren for autentisering.
Hvis legitimasjonen blir funnet å være god, har vertsenheten tilgang til ressursene på den beskyttede siden av nettverket.
Fremgangsmåten involvert i godkjenningsprosessen:
- Initialisering: Dette er det første trinnet. Når en fersk supplikant ankommer, er porten på autentisatoren satt aktivert og satt i en 'uautorisert' tilstand.
- Initiering: For å starte autentiseringsprosessen vil autentisatoren kringkaste identitetsrammer for EAP-forespørsel med jevne mellomrom til MAC-adressen til datasegmentet i nettverket. Ansøgeren analyserer adressen og tilbakestiller den og sender EAP-responsidentitetsrammen som består av en identifikator for supplikanten som en hemmelig nøkkel.
- Forhandling: På dette stadiet går serveren tilbake med et svar til autentisereren, og har en EAP-forespørsel om EAP-ordningen. EAP-forespørselen er innkapslet i EAPOL-rammen av autentisatoren, og den sender den tilbake til den som anmelder.
- Godkjenning: Hvis godkjenningsserveren og den som anmoder om samtykke til den samme EAP-metoden, vil EAP-forespørselen og EAP-svarmeldingsutvekslingen finne sted mellom supplikanten og autentiseringsserveren til autentiseringsserveren svarer med en EAP-suksessmelding eller en EAP-feilmelding .
- Etter vellykket autentisering setter autentisatoren porten til “autorisert” tilstand. Dermed er all slags trafikkflyt tillatt. Hvis autorisasjonen mislykkes, vil porten holdes i en 'uautorisert' tilstand. Hver gang vertskunden logger av, flyter den en EAPOL-avloggingsmelding til autentisatoren, som igjen setter porten til en 'uautorisert' tilstand.
802.1x autentiseringsprosess
Konklusjon
Her, i denne opplæringen, undersøkte vi arbeidet med 802.11, 802.11i og 802.1x autentiseringsprotokoller.
Nettverkssystemet blir sikrere ved å distribuere EAP-metoden for autentisering og ved å bruke gjensidig autentisering både på klienten og tilgangspunktet ved å bruke forskjellige typer krypteringsnøkkelmetoder.
PREV Opplæring | NESTE veiledning
Anbefalt lesing
- IPv4 vs IPv6: Hva er den nøyaktige forskjellen
- Hva er nettverkssikkerhetsnøkkel: Hvordan finne den for ruteren, Windows eller Android
- Hva er virtualisering? Nettverks-, data-, app- og lagringsvirtualiseringseksempler
- Grunnleggende trinn for feilsøking og verktøy
- Hva er nettverkssikkerhet: Dens typer og administrasjon
- Hva er IP-sikkerhet (IPSec), TACACS og AAA sikkerhetsprotokoller
- Hva er HTTP (Hypertext Transfer Protocol) og DHCP-protokoller?
- Viktige applikasjonslagsprotokoller: DNS-, FTP-, SMTP- og MIME-protokoller