IEEE 802.11 och 802.11i trådlöst LAN och 802.1x autentiseringsstandarder

ieee 802 11 802 11i wireless lan

En djupgående titt på de förbättrade funktionerna i nätverkssäkerhetsprotokoll: 802.11 och 802.11i trådlöst LAN och 802.1x autentiseringsstandarder

I vår tidigare handledning undersökte vi protokoll för nätverkssäkerhet baserade på AAA-arkitektur och IEEE standard 802.1x-protokoll för autentisering.

mobiltelefon spionprogramvara för Android

I den här sekventiella delen kommer vi att dyka djupt in i några fler nätverkssäkerhetsprotokoll tillsammans med deras förbättrade funktioner.

Föreslagen läsning => Serie av handledning om grunderna för datanätverk

Låt oss utforska !!

Vad du kommer att lära dig:

• 802.11 Authentication and Association
  • Autentisering
    • Autentisering med öppen nyckel:
    • Autentisering av delad nyckel:
  • Förening
• 802.11i-protokollet
  • Fyrvägshandslag
  • Gruppnyckelhandslag
• 802.1X
  • Slutsats
  • Rekommenderad läsning

802.11 Authentication and Association

Det kräver en trådlös enhet som en mobilstation som heter STA och en åtkomstpunkt (AP).

Konceptet 802.11-autentisering ligger mellan att bygga upp identifiering och autentisering mellan STA och AP. AP kan vara en router eller switch. Det finns ingen kryptering av meddelandet som är involverat i denna process.

Autentisering

Det finns två typer av autentisering som nämns nedan:

• Öppna nyckelsystemet
• Delat nyckelsystem

Autentisering med öppen nyckel:

Verifieringsförfrågan skickas från klientanvändaren till åtkomstpunkten som innehåller WEP-nyckeln (wired equivalent privacy) för autentisering. Som svar skickar åtkomstpunkten (AP) ett framgångsmeddelande endast om WEP-nyckeln för både klienten och AP matchar med varandra, om inte den cirkulerar ett felmeddelande.

Autentisering av delad nyckel:

I den här metoden flyter AP ett okrypterat utmaningstextmeddelande till klienten som försöker kommunicera med åtkomstpunkten. Klientenheten som tilltalar autentiseringen krypterar meddelandet och skickar det tillbaka till AP.

Om kryptering av meddelandet hittas rätt tillåter AP klientenheten att autentisera. Eftersom den använder WEP-nyckel i denna metod är AP öppen för virusattacker genom att bara utvärdera WEP-nyckeln och därmed är den mindre säker för autentiseringsprocessen.

WPA (Wi-Fi Protected Access) nyckelmetod: Denna metod tillhandahåller en förbättrad nivå av datasäkerhetsfunktioner för trådlösa enheter. Detta är också åtföljbart med 802.11i-metoden. I WPA-PSK genereras en fördelad nyckel innan autentiseringsprocessen startar.

Både klienten och AP använder PSK som PMK, parvis huvudnyckel för autentisering med en EAP-autentiseringsmetod.

Förening

Efter att autentiseringsprocessen är klar kan den trådlösa klienten associera och registrera sig med åtkomstpunkten som kan vara en router eller switch. Efter associeringen sparar AP all nödvändig information angående enheten som den är associerad med så att datapaketen kan bestämmas exakt.

Associeringsprocess:

1. När autentisering är klar skickar STA en begäran om associering till AP eller router.
2. Då kommer AP att behandla associeringsbegäran och bevilja den utifrån typen av begäran.
3. När AP tillåter associering återgår den till STA med en statuskod 0, vilket betyder framgångsrik och med AID (associerings-ID).
4. Om associeringen misslyckas, återgår AP till slutet av procedursvaret och med en felstatuskod.

802.11i-protokollet

802.11i använder ett autentiseringsprotokoll som användes i 802.1x med några förbättrade funktioner som ett fyrvägshandskakning och gruppnyckelhandskakning med lämpliga kryptografiska nycklar.

Detta protokoll ger också funktioner för dataintegritet och sekretess. Starten av protokolloperationen sker med autentiseringsprocessen som utfördes av EAP-utbytet med företaget på autentiseringsservern genom att följa reglerna i 802.1x-protokollet.

Här när 802.1x-autentisering är klar utvecklas en hemlig nyckel som kallas en parvis huvudnyckel (PMK).

Fyrvägshandslag

Här är autentiseraren känd som åtkomstpunkt och anhängaren är den trådlösa klienten.

I det här handskakningen måste både åtkomstpunkten och den trådlösa klienten verifiera att de känner till varandras PMK utan att avslöja det. Meddelandena mellan dessa två delas i krypterad form och endast dessa har nyckeln för att dekryptera meddelandena.

En annan nyckel som kallas en parvis transient nyckel (PTK) används i autentiseringsprocessen.

Den består av följande attribut:

1. PMK
2. Åtkomstpunkt nonce
3. Client station nonce (STA nonce)
4. Accesspunkt MAC-adress
5. STA MAC-adress

Resultatet planteras sedan i den pseudoslumpmässiga funktionen. Handskakningen kapitulerar också gruppens temporala nyckel (GTK) för dekryptering vid mottagaränden.

hur man läser .dat-filer

Handskakningsprocessen är som följer:

• AP cirkulerar en åtkomstpunkt nonce till STA i förening med en nyckelräknare, numret utnyttjar totalt det skickade meddelandet och avvisar duplikatposten. STA är nu redo med attribut som krävs för att bygga upp PTK.
• Nu skickar STA STA nonce till AP tillsammans med meddelandets integritetskod (MIC), inklusive autentisering och nyckelräknaren, som är samma som skickas av AP så att båda kommer att matcha.
• AP validerar meddelandet genom att undersöka MIC, AP Nonce och nyckelräknaren. Om allt hittas ok, cirkulerar det GTK med en annan MIC.
• STA validerar det mottagna meddelandet genom att undersöka alla räknare och skickar slutligen ett bekräftelsemeddelande till AP för bekräftelse.

Gruppnyckelhandslag

GTK används varje gång en viss session har löpt ut och uppdatering krävs för att börja med en ny session i nätverket. GTK används för att skydda enheten mot att ta emot sändningsmeddelanden från andra AP-resurser.

Gruppnyckelhandskakningen består av tvåvägs handskakningsprocess:

1. Åtkomstpunkten cirkulerar en ny GTK till varje klientstation som finns i nätverket. GTK krypteras med 16 byte av EAPOL-nyckelkrypteringsnyckeln (KEK) som tilldelats den specifika klientstationen. Det förhindrar också manipulation av data med hjälp av MIC.
2. Klientstationen bekräftar den nya mottagna GTK och vidarebefordrar sedan svaret till åtkomstpunkten.

Tvåvägs handskakning sker på ovan nämnda sätt.

802.1X

Det är en hamnbaserad standard för nätverksåtkomstkontroll. Det tillhandahåller autentiseringsprocessen för enheter som vill kommunicera i LAN eller WLAN-arkitektur.

802.1X-autentiseringen innehåller tre deltagare, dvs en supplicant, en authenticator och en autentiseringsserver. Ansökaren kommer att vara slutenheten som en bärbar dator, PC eller surfplatta som vill initiera kommunikationen via nätverket. Ansökaren kan också vara en programvarubaserad applikation som körs på klientvärddatorn.

Ansökaren levererar också autentiseringsuppgifterna till autentiseraren. Autentiseraren är maskinen som en Ethernet-omkopplare eller WAP och autentiseringsservern är en fjärrvärdsenhet som kör programvaran och stöder autentiseringsprotokollet.

Autentiseraren fungerar som en säkerhetssköld för det skyddade nätverket. Värdklienten som har initierat kommunikationen får inte komma åt den skyddade sidan av nätverket via autentiseraren om inte dess identitet har validerats och autentiserats.

Genom att använda 802.1X levererar ansökaren referenser som digital signatur eller inloggningsnamn och lösenord till autentiseraren och autentiseraren omdirigerar den till autentiseringsservern för autentisering.

Om uppgifterna visar sig vara goda, får värdenheten åtkomst till resurserna på den skyddade sidan av nätverket.

Steg involverade i autentiseringsprocessen:

• Initiering: Detta är det första steget. När en ny anhängare anländer, är porten på autentiseraren aktiverad och sätts i ett 'obehörigt' tillstånd.
• Initiering: För att starta autentiseringsprocessen kommer autentiseraren att sända EAP-begäran identitetsramar regelbundet till MAC-adressen för datasegmentet i nätverket. Ansökaren analyserar adressen och återställer den och skickar EAP-svarsidentitetsramen som består av en identifierare av uppmanaren som en hemlig nyckel.
• Förhandling: I det här skedet återgår servern med ett svar till autentiseraren och har en EAP-begäran som anger EAP-schemat. EAP-begäran inkapslas i EAPOL-ramen av autentiseraren och den skickar den tillbaka till den som begär.
• Autentisering: Om autentiseringsservern och den sökande samtycker till samma EAP-metod, kommer EAP-begäran och EAP-svarsmeddelandeutbyte att ske mellan supplicanten och autentiseringsservern tills autentiseringsservern svarar med ett EAP-framgångsmeddelande eller ett EAP-felmeddelande .
• Efter framgångsrik autentisering sätter autentiseraren porten till 'auktoriserat' tillstånd. Således är alla typer av trafikflöden tillåtna. Om auktoriseringen misslyckas kommer porten att hållas i ett 'obehörigt' tillstånd. När värdklienten loggar ut flyter den ett EAPOL-avloggningsmeddelande till autentiseraren, vilket återigen sätter porten i ett 'obehörigt' tillstånd.

802.1x autentiseringsprocess

Slutsats

Här, i denna handledning, undersökte vi arbetet med 802.11-, 802.11i- och 802.1x-autentiseringsprotokoll.

Nätverkssystemet blir säkrare genom att distribuera EAP-metoden för autentisering och genom att använda ömsesidig autentisering både på klienten och vid åtkomstpunktens slut med olika typer av krypteringsnyckelmetoder.

PREV-handledning | NÄSTA självstudie

Rekommenderad läsning

• IPv4 vs IPv6: Vad är den exakta skillnaden
• Vad är nätverkssäkerhetsnyckel: Hur man hittar det för router, Windows eller Android
• Vad är virtualisering? Exempel på virtualisering av nätverk, data, app och lagring
• Grundläggande felsökningssteg och verktyg för nätverk
• Vad är nätverkssäkerhet: dess typer och hantering
• Vad är IP-säkerhet (IPSec), TACACS och AAA säkerhetsprotokoll
• Vad är HTTP (Hypertext Transfer Protocol) och DHCP-protokoll?
• Viktiga protokoll för applikationsskikt: DNS-, FTP-, SMTP- och MIME-protokoll