ieee 802 11 802 11i wireless lan
En grundig kig på de forbedrede funktioner i netværkssikkerhedsprotokoller: 802.11 og 802.11i trådløst LAN og 802.1x godkendelsesstandarder
I vores tidligere vejledning undersøgte vi netværkssikkerhedsprotokoller baseret på AAA-arkitektur og IEEE standard 802.1x-protokoller til godkendelse.
qa manager spørgsmål og svar
I denne sekventielle del dykker vi dybt ned i nogle flere netværkssikkerhedsprotokoller sammen med deres forbedrede funktioner.
Foreslået læsning => Series of Tutorials on Computer Networking Basics
Lad os udforske !!
Hvad du vil lære:
802.11 Godkendelse og tilknytning
Det kræver en trådløs enhed som en mobilstation kaldet STA og et adgangspunkt (AP).
Begrebet 802.11-godkendelse ligger imellem opbygning af identifikation og godkendelse mellem STA og AP. AP kan være en router eller switch. Der er ingen kryptering af meddelelsen involveret i denne proces.
Godkendelse
Der er to typer godkendelse som nævnt nedenfor:
- Åbn nøglesystemet
- Delt nøglesystem
Godkendelse af åben nøgle:
Godkendelsesanmodningen sendes fra klientbrugeren til adgangspunktet, der indeholder WEP-nøglen (wired equivalent privacy) til godkendelse. Som svar sender adgangspunktet (AP) kun en succesmeddelelse, hvis WEP-nøglen til både klienten og AP matcher hinanden, hvis ikke den cirkulerer en fejlmeddelelse.
I denne metode flyder AP en ukrypteret udfordringstekstbesked til klienten, der prøver at kommunikere med adgangspunktet. Klientenheden, der appellerer til godkendelsen, krypterer meddelelsen og sender den tilbage til AP.
Hvis kryptering af meddelelsen findes lige så, tillader AP adgangen til klientenheden at autentificere. Da den bruger WEP-nøgle i denne metode, er AP åben for virusangreb ved blot at evaluere WEP-nøglen, og derfor er den mindre sikret til godkendelsesprocessen.
WPA (Wi-Fi Protected Access) Nøglemetode: Denne metode bestemmer det forbedrede niveau af datasikkerhedsfunktioner for trådløse enheder. Dette er også ledsaget af 802.11i-metoden. I WPA-PSK genereres en præ-delt nøgle inden starten af godkendelsesprocessen.
Både klienten og AP bruger PSK som PMK, parvis masternøgle til godkendelse ved hjælp af en EAP-godkendelsesmetode.
Forening
Efter afslutningen af godkendelsesprocessen kan den trådløse klient tilknytte sig og tilmelde sig adgangspunktet, som kan være en router eller switch. Efter tilknytningen gemmer AP al den nødvendige information om den enhed, den er forbundet med, så datapakkerne kan bestemmes nøjagtigt.
Associeringsproces:
- Når godkendelse er udført, sender STA en anmodning om tilknytning til AP eller router.
- Derefter behandler AP foreningsanmodningen og imødekommer den på baggrund af anmodningstypen.
- Når AP tillader tilknytningen, vender den tilbage til STA med en statuskode 0, hvilket betyder vellykket og med AID (forenings-ID).
- Hvis tilknytningen mislykkes, vender AP tilbage til afslutningen af procedurens svar og med en fejlstatuskode.
802.11i-protokol
802.11i bruger en godkendelsesprotokol, der blev brugt i 802.1x med nogle forbedrede funktioner som et firevejs håndtryk og gruppetast håndtryk med passende kryptografiske nøgler.
Denne protokol giver også dataintegritet og fortrolighedsfunktioner. Starten af protokoloperationen finder sted med godkendelsesprocessen, som blev udført af EAP-udvekslingen med firmaet til godkendelsesserveren ved at følge reglerne i 802.1x-protokollen.
Her, når 802.1x-godkendelse er udført, udvikles en hemmelig nøgle, der er kendt som en parvis hovednøgle (PMK).
Fire-vejs håndtryk
Her er godkenderen kendt som adgangspunktet, og ansøgeren er den trådløse klient.
I dette håndtryk skal både adgangspunktet og den trådløse klient verificere, at de er fortrolige med hinandens PMK uden at afsløre det. Beskederne mellem disse to deles i krypteret form, og kun disse har nøglen til at dekryptere meddelelserne.
En anden nøgle kendt som en parvis-transient nøgle (PTK) bruges i godkendelsesprocessen.
Den består af følgende attributter:
- PMK
- Adgangspunkt nonce
- Client station nonce (STA nonce)
- Adgangspunkt MAC-adresse
- STA MAC-adresse
Outputtet plantes derefter ind i den pseudo-tilfældige funktion. Håndtrykket kapitulerer også gruppens tidsmæssige nøgle (GTK) til dekryptering ved modtagerens ende.
hvordan åbner man en xml-fil
Håndtryksprocessen er som følger:
- AP cirkulerer et adgangspunkt nonce til STA i forbindelse med en nøgletæller, antallet udnytter fuldstændigt den sendte besked og afviser den dobbelte post. STA er nu klar med de attributter, der kræves for at opbygge PTK.
- Nu sender STA STA nonce til AP sammen med meddelelsesintegritetskoden (MIC) inklusive godkendelse og nøgletælleren, som er den samme som sendt af AP, så begge vil matche.
- AP validerer meddelelsen ved at undersøge MIC, AP Nonce og nøgletælleren. Hvis alt findes ok, cirkulerer det GTK med en anden MIC.
- STA validerer den modtagne besked ved at undersøge alle tællerne og sender til sidst en kvitteringsmeddelelse til AP til bekræftelse.
Gruppetast håndtryk
GTK bruges hver gang, når en bestemt session er udløbet, og opdatering er nødvendig for at starte med en ny session i netværket. GTK bruges til at beskytte enheden mod modtagelse af udsendte slags meddelelser fra andre AP-ressourcer.
Gruppetasten håndtryk består af tovejs håndtryk proces:
- Adgangspunktet cirkulerer en ny GTK til hver klientstation, der er til stede i netværket. GTK krypteres ved hjælp af 16 bytes af EAPOL-nøglekrypteringsnøglen (KEK) allokeret til den pågældende klientstation. Det forhindrer også manipulation af data ved hjælp af MIC.
- Klientstationen kvitterer for den nye modtagne GTK og videresender derefter svaret til adgangspunktet.
Tovejs håndtryk finder sted på ovennævnte måde.
802.1X
Det er en portbaseret standard for netværksadgangskontrol. Den leverer godkendelsesprocessen til enheder, der ønsker at kommunikere i LAN- eller WLAN-arkitektur.
802.1X-godkendelsen inkluderer tre deltagere, dvs. en ansøger, en godkender og en godkendelsesserver. Ansøgeren vil være slutenheden som en bærbar computer, pc eller tablet, der ønsker at starte kommunikationen over netværket. Ansøgeren kan også være et softwarebaseret program, der kører på klientværts-pc'en.
Ansøgeren leverer også legitimationsoplysninger til godkenderen. Autentificatoren er maskinen som en Ethernet-switch eller WAP, og godkendelsesserveren er en ekstern slutværtsenhed, der kører softwaren og bakker godkendelsesprotokollerne.
Godkenderen opfører sig som et sikkerhedsskærm over for det beskyttede netværk. Værtsklienten, der har initieret kommunikationen, har ikke adgang til den beskyttede side af netværket via autentificatoren, medmindre dens identitet er valideret og godkendt.
Ved at bruge 802.1X leverer ansøgeren legitimationsoplysninger som digital signatur eller login-brugernavn og adgangskode til autentificatoren, og autentificatoren omdirigerer det til godkendelsesserveren til godkendelse.
Hvis legitimationsoplysningerne viser sig at være gode, har værtsenheden adgang til ressourcerne på den beskyttede side af netværket.
Trin involveret i godkendelsesprocessen:
- Initialisering: Dette er det første skridt. Når en ny ansøger ankommer, er porten på godkenderen indstillet og sat i en 'uautoriseret' tilstand.
- Indvielse: For at starte godkendelsesprocessen udsender godkenderen EAP-anmodningsidentitetsrammerne regelmæssigt til MAC-adressen på datasegmentet i netværket. Ansøgeren analyserer adressen og vender tilbage til den og sender EAP-svarsidentitetsrammen, som består af en identifikator for bønnen som en hemmelig nøgle.
- Forhandling: På dette tidspunkt vender serveren tilbage med et svar til godkenderen og har en EAP-anmodning, der angiver EAP-ordningen. EAP-anmodningen er indkapslet i EAPOL-rammen af godkenderen, og den sender den tilbage til ansøgeren.
- Godkendelse: Hvis godkendelsesserveren og ansøgeren giver samtykke til den samme EAP-metode, finder EAP-anmodningen og udvekslingen af EAP-svarmeddelelser sted mellem supplikanten og godkendelsesserveren, indtil godkendelsesserveren reagerer med en EAP-succesmeddelelse eller en EAP-fejlmeddelelse .
- Efter vellykket godkendelse sætter godkenderen porten i “autoriseret” tilstand. Således er alle former for trafikstrøm tilladt. Hvis godkendelsen mislykkes, holdes porten i en 'uautoriseret' tilstand. Når værtsklienten logger af, flyder den en EAPOL-afmeldingsmeddelelse til godkenderen, som igen sætter porten i en 'uautoriseret' tilstand.
802.1x godkendelsesproces
Konklusion
Her i denne vejledning udforskede vi arbejdet med 802.11, 802.11i og 802.1x godkendelsesprotokoller.
Netværkssystemet bliver mere sikkert ved at implementere EAP-metoden til autentificering og ved at bruge gensidig godkendelse både ved klienten og slutningen af adgangspunktet ved hjælp af forskellige typer krypteringsnøglemetoder.
PREV-vejledning | NÆSTE vejledning
Anbefalet læsning
- IPv4 vs IPv6: Hvad er den nøjagtige forskel
- Hvad er netværkssikkerhedsnøgle: Sådan finder du det til router, Windows eller Android
- Hvad er virtualisering? Eksempler på virtualiseringsnetværk, data, app og lagring
- Grundlæggende trin til fejlfinding af netværk og værktøjer
- Hvad er netværkssikkerhed: dens typer og styring
- Hvad er IP-sikkerhed (IPSec), TACACS og AAA-sikkerhedsprotokoller
- Hvad er HTTP (Hypertext Transfer Protocol) og DHCP-protokoller?
- Vigtige applikationslagsprotokoller: DNS-, FTP-, SMTP- og MIME-protokoller