| Стоимость "обучения" |
Преподаватель
Спонсор: D-Link
Вы можете этот курс.
Опубликован: 20.09.2007 | Уровень: специалист | Доступ: свободно
Лекция 9:
Аутентификация в беспроводных сетях
Аннотация: Основных стандартов аутентификации в беспроводных сетях несколько. Каждый из них имеет свои преимущества и недостатки. У каждого есть свой, довольно сложный, принцип работы. Характерно большое количество вспомогательных схем, скриншотов утилиты D-Link AirPlus XtremeG Wireless Utility с необходимыми настройками. Не бывает абсолютно защищенных стандартов, и поэтому уделено внимание вопросам уязвимости каждого механизма аутентификации. Очень интересная лекция, помогает читателю более глубоко понять алгоритмы работы тех или иных стандартов, избежать проблем несанкционированного доступа в будущем.
Ключевые слова: 802.11, WPA, WPA2, IEEE 802.11, SSID, mac address, probing, access point, радиоканал, reply, WEP, challenge, WEP-шифрование, sniffer, man-in-the-middle attack, ciphering, WECA, wireless ethernet, ieee 802.11i, temporal, TKIP, initialization vector, системы аутентификации, mic, уникальный ключ, аутентичность, PSK, RC4, robust, RSN, CBC, блочный шифр, message authentication, мастер-ключ, механизм безопасности, интерфейс ввода, authentication protocol, EAP, генерация ключей, аутентификатор, authentication server, безопасный метод, база данных пользователей, NDS, reject
Основными стандартами аутентификации в беспроводных сетях являются стандарты IEEЕ 802.11, WPA, WPA2 и 802.1x. Рассмотрим основы этих стандартов.
Стандарт IEEE 802.11 сети с традиционной безопасностью
Стандарт IEEE 802.11 с традиционной безопасностью (Tradition Security Network - TSN) предусматривает два механизма аутентификации беспроводных абонентов: открытую аутентификацию (Open Authentication) и аутентификацию с общим ключом (Shared Key Authentication). В аутентификации в беспроводных сетях также широко используются два других механизма, выходящих за рамки стандарта 802.11, а именно назначение идентификатора беспроводной локальной сети (Service Set Identifier - SSID) и аутентификация абонента по его MAC-адресу (MAC Address Authentication).
Идентификатор беспроводной локальной сети (SSID) представляет собой атрибут беспроводной сети, позволяющий логически отличать сети друг от друга. В общем случае абонент беспроводной сети должен задать у себя соответствующий SSID для того, чтобы получить доступ к требуемой беспроводной локальной сети. SSID ни в коей мере не обеспечивает конфиденциальность данных, равно как и не аутентифицирует абонента по отношению к точке радиодоступа беспроводной локальной сети. Существуют точки доступа, позволяющие разделить абонентов, подключаемых к точке на несколько сегментов, - это достигается тем, что точка доступа может иметь не один, а несколько SSID.
Принцип аутентификации абонента в IEEE 802.11
Аутентификация в стандарте IEEE 802.11 ориентирована на аутентификацию абонентского устройства радиодоступа, а не конкретного абонента как пользователя сетевых ресурсов. Процесс аутентификации абонента беспроводной локальной сети IEEE 802.11 состоит из следующих этапов ( рис. 9.1):
- Абонент (Client) посылает фрейм Probe Request во все радиоканалы.
- Каждая точка радиодоступа (Access Point - AP), в зоне радиовидимости которой находится абонент, посылает в ответ фрейм Probe Response.
- Абонент выбирает предпочтительную для него точку радиодоступа и посылает в обслуживаемый ею радиоканал запрос на аутентификацию (Authentication Request).
- Точка радиодоступа посылает подтверждение аутентификации (Authentication Reply).
- В случае успешной аутентификации абонент посылает точке радиодоступа фрейм ассоциации (Association Request).
- Точка радиодоступа посылает в ответ фрейм подтверждения ассоциации (Association Response).
- Абонент может теперь осуществлять обмен пользовательским трафиком с точкой радиодоступа и проводной сетью.
При активизации беспроводный абонент начинает поиск точек радиодоступа в своей зоне радиовидимости с помощью управляющих фреймов Probe Request. Фреймы Probe Request посылаются в каждый из радиоканалов, поддерживаемых абонентским радиоинтерфейсом, чтобы найти все точки радиодоступа с необходимыми клиенту идентификатором SSID и поддерживаемыми скоростями радиообмена. Каждая точка радиодоступа из находящихся в зоне радиовидимости абонента, удовлетворяющая запрашиваемым во фрейме Probe Request параметрам, отвечает фреймом Probe Response, содержащим синхронизирующую информацию и данные о текущей загрузке точки радиодоступа. Абонент определяет, с какой точкой радиодоступа он будет работать, путем сопоставления поддерживаемых ими скоростей радиообмена и загрузки. После того как предпочтительная точка радиодоступа определена, абонент переходит в фазу аутентификации.
Открытая аутентификация
Открытая аутентификация по сути не является алгоритмом аутентификации в привычном понимании. Точка радиодоступа удовлетворит любой запрос открытой аутентификации. На первый взгляд использование этого алгоритма может показаться бессмысленным, однако следует учитывать, что разработанные в 1997 году методы аутентификации IEEE 802.11 ориентированы на быстрое логическое подключение к беспроводной локальной сети. Вдобавок к этому многие IEEE 802.11-совместимые устройства представляют собой портативные блоки сбора информации (сканеры штрих-кодов и т. п.), не имеющие достаточной процессорной мощности, необходимой для реализации сложных алгоритмов аутентификации.
В процессе открытой аутентификации происходит обмен сообщениями двух типов:
- запрос аутентификации (Authentication Request);
- подтверждение аутентификации (Authentication Response).
Таким образом, при открытой аутентификации возможен доступ любого абонента к беспроводной локальной сети. Если в беспроводной сети шифрование не используется, любой абонент, знающий идентификатор SSID точки радиодоступа, получит доступ к сети. При использовании точками радиодоступа шифрования WEP сами ключи шифрования становятся средством контроля доступа. Если абонент не располагает корректным WEP-ключом, то даже в случае успешной аутентификации он не сможет ни передавать данные через точку радиодоступа, ни расшифровывать данные, переданные точкой радиодоступа ( рис. 9.2).
