ieee 802 11 802 11i wireless lan
Ein detaillierter Blick auf die erweiterten Funktionen von Netzwerksicherheitsprotokollen: 802.11- und 802.11i-WLAN- und 802.1x-Authentifizierungsstandards
In unserem vorherigen Tutorial haben wir das untersucht Netzwerksicherheitsprotokolle basierend auf der AAA-Architektur und IEEE-Standard 802.1x-Protokolle zur Authentifizierung.
oracle sql pl sql Interview Fragen
In diesem sequenziellen Teil werden wir uns eingehend mit einigen weiteren Netzwerksicherheitsprotokollen und ihren erweiterten Funktionen befassen.
Empfohlene Lektüre => Reihe von Tutorials zu Grundlagen des Computernetzwerks
Lass uns erforschen!!
Was du lernen wirst:
802.11 Authentifizierung und Zuordnung
Es erfordert ein drahtloses Gerät wie eine Mobilstation namens STA und einen Access Point (AP).
Das Konzept der 802.11-Authentifizierung liegt zwischen dem Aufbau der Identifikation und der Authentifizierung zwischen STA und AP. Der AP kann ein Router oder ein Switch sein. Es gibt keine Verschlüsselung der an diesem Prozess beteiligten Nachricht.
Authentifizierung
Es gibt zwei Arten der Authentifizierung, wie unten erwähnt:
- Schlüsselsystem öffnen
- Shared-Key-System
Open-Key-Authentifizierung:
Die Authentifizierungsanforderung wird vom Clientbenutzer an den Zugriffspunkt gesendet, der den WEP-Schlüssel (Wired Equivalent Privacy) zur Authentifizierung enthält. Als Antwort sendet der Access Point (AP) nur dann eine Erfolgsnachricht, wenn der WEP-Schlüssel sowohl des Clients als auch des AP miteinander übereinstimmt. Andernfalls wird eine Fehlermeldung weitergeleitet.
Bei dieser Methode sendet der AP eine unverschlüsselte Challenge-Textnachricht an den Client, der versucht, mit dem Zugriffspunkt zu kommunizieren. Das für die Authentifizierung ansprechende Clientgerät verschlüsselt die Nachricht und sendet sie an den AP zurück.
Wenn die Verschlüsselung der Nachricht richtig gefunden wird, ermöglicht der AP dem Clientgerät die Authentifizierung. Da bei dieser Methode der WEP-Schlüssel verwendet wird, ist der AP für Virenangriffe offen, indem nur der WEP-Schlüssel ausgewertet wird. Daher ist er für den Authentifizierungsprozess weniger sicher.
WPA-Schlüsselmethode (Wi-Fi Protected Access): Diese Methode bietet erweiterte Datensicherheitsfunktionen für drahtlose Geräte. Dies ist auch mit der 802.11i-Methode verbunden. In WPA-PSK wird vor dem Start des Authentifizierungsprozesses ein vorinstallierter Schlüssel generiert.
Sowohl der Client als auch der AP verwenden PSK als paarweisen PMK-Hauptschlüssel für die Authentifizierung mithilfe einer EAP-Authentifizierungsmethode.
Verband
Nach Abschluss des Authentifizierungsprozesses kann sich der drahtlose Client dem Zugriffspunkt zuordnen und registrieren, der ein Router oder Switch sein kann. Nach der Zuordnung speichert der AP alle erforderlichen Informationen zu dem Gerät, dem er zugeordnet ist, damit die Datenpakete genau bestimmt werden können.
Assoziationsprozess:
- Nach Abschluss der Authentifizierung sendet die STA eine Zuordnungsanforderung an den AP oder Router.
- Anschließend verarbeitet der AP die Zuordnungsanforderung und gewährt sie auf der Grundlage des Anfragetyps.
- Wenn der AP die Zuordnung zulässt, kehrt er mit dem Statuscode 0, dh erfolgreich, und mit der AID (Zuordnungs-ID) zur STA zurück.
- Wenn die Zuordnung fehlschlägt, wird der AP mit dem Ende der Prozedurantwort und mit einem Fehlerstatuscode zurückgesetzt.
802.11i-Protokoll
Der 802.11i verwendet ein Authentifizierungsprotokoll, das im 802.1x mit einigen erweiterten Funktionen wie einem Vier-Wege-Handshake und einem Gruppenschlüssel-Handshake mit geeigneten kryptografischen Schlüsseln verwendet wurde.
Dieses Protokoll bietet auch Funktionen für Datenintegrität und Vertraulichkeit. Der Start des Protokollvorgangs erfolgt mit dem Authentifizierungsprozess, der vom EAP-Austausch mit der Firma des Authentifizierungsservers unter Befolgung der Regeln des 802.1x-Protokolls durchgeführt wurde.
Wenn hier die 802.1x-Authentifizierung durchgeführt wird, wird ein geheimer Schlüssel entwickelt, der als paarweiser Hauptschlüssel (PMK) bezeichnet wird.
Vier-Wege-Handschlag
Hier ist der Authentifikator als Zugangspunkt bekannt und der Supplicant ist der drahtlose Client.
Bei diesem Handshake müssen sowohl der Access Point als auch der drahtlose Client überprüfen, ob sie mit dem PMK des jeweils anderen vertraut sind, ohne es preiszugeben. Die Nachrichten zwischen diesen beiden werden in verschlüsselter Form geteilt und nur diese haben den Schlüssel zum Entschlüsseln der Nachrichten.
Bei der Authentifizierung wird ein anderer Schlüssel verwendet, der als Pairwise-Transient Key (PTK) bezeichnet wird.
Es besteht aus folgenden Attributen:
- PMK
- Access Point Nonce
- Client Station Nonce (STA Nonce)
- MAC-Adresse des Zugriffspunkts
- STA MAC-Adresse
Die Ausgabe wird dann in die Pseudozufallsfunktion gepflanzt. Der Handshake kapituliert auch den Group Temporal Key (GTK) für die Entschlüsselung am Empfängerende.
Python mehrere if-Anweisungen in einer Zeile
Der Handshake-Prozess ist wie folgt:
- Der AP leitet einen Access Point Nonce in Verbindung mit einem Schlüsselzähler an die STA weiter. Die Nummer nutzt die gesendete Nachricht vollständig aus und lehnt den doppelten Eintrag ab. STA ist jetzt mit den Attributen bereit, die zum Aufbau des PTK erforderlich sind.
- Jetzt sendet STA STA nonce zusammen mit dem Nachrichtenintegritätscode (MIC) an den AP, einschließlich Authentifizierung und Schlüsselzähler, der mit dem vom AP gesendeten identisch ist, sodass beide übereinstimmen.
- AP validiert die Nachricht durch Untersuchen des MIC, des AP Nonce und des Schlüsselzählers. Wenn alles in Ordnung ist, zirkuliert die GTK mit einem anderen MIC.
- Die STA validiert die empfangene Nachricht, indem sie alle Zähler untersucht, und sendet schließlich eine Bestätigungsnachricht zur Bestätigung an den AP.
Gruppenschlüssel-Handshake
Die GTK wird jedes Mal verwendet, wenn eine bestimmte Sitzung abgelaufen ist und eine Aktualisierung erforderlich ist, um mit einer neuen Sitzung im Netzwerk zu beginnen. Die GTK wird verwendet, um das Gerät vor dem Empfang von Broadcast-Nachrichten von den anderen Ressourcen eines anderen AP zu schützen.
Der Gruppenschlüssel-Handshake besteht aus einem bidirektionalen Handshake-Prozess:
- Der Access Point leitet eine neue GTK an jede im Netzwerk vorhandene Client-Station weiter. Die GTK wird unter Verwendung von 16 Bytes des EAPOL-Schlüsselverschlüsselungsschlüssels (KEK) verschlüsselt, der dieser bestimmten Clientstation zugewiesen ist. Es verhindert auch die Manipulation von Daten mithilfe von MIC.
- Die Client-Station bestätigt die neu empfangene GTK und leitet die Antwort an den Access Point weiter.
Der Zwei-Wege-Handschlag erfolgt auf die oben erwähnte Weise.
802.1X
Es ist ein Port-basierter Standard für die Netzwerkzugriffskontrolle. Es stellt den Authentifizierungsprozess für Geräte bereit, die in einer LAN- oder WLAN-Architektur kommunizieren möchten.
Die 802.1X-Authentifizierung umfasst drei Teilnehmer, d. H. Einen Supplicant, einen Authentifikator und einen Authentifizierungsserver. Der Supplicant ist das Endgerät wie ein Laptop, PC oder Tablet, das die Kommunikation über das Netzwerk initiieren möchte. Der Supplicant kann auch eine softwarebasierte Anwendung sein, die auf dem Client-Host-PC ausgeführt wird.
Der Supplicant liefert auch die Anmeldeinformationen an den Authentifikator. Der Authentifikator ist das Gerät wie ein Ethernet-Switch oder WAP, und der Authentifizierungsserver ist ein Remote-End-Host-Gerät, auf dem die Software ausgeführt und die Authentifizierungsprotokolle gesichert werden.
Der Authentifikator verhält sich als Sicherheitsschild für das geschützte Netzwerk. Der Host-Client, der die Kommunikation initiiert hat, darf über den Authentifikator nicht auf die geschützte Seite des Netzwerks zugreifen, es sei denn, seine Identität wurde validiert und authentifiziert.
Bei Verwendung von 802.1X liefert der Supplicant die Anmeldeinformationen wie digitale Signatur oder Benutzername und Kennwort für die Anmeldung an den Authentifikator, und der Authentifikator leitet sie zur Authentifizierung an den Authentifizierungsserver weiter.
Wenn sich herausstellt, dass die Anmeldeinformationen fehlerfrei sind, kann das Host-Gerät auf die Ressourcen zugreifen, die sich auf der geschützten Seite des Netzwerks befinden.
Schritte im Authentifizierungsprozess:
- Initialisierung: Dies ist der erste Schritt. Wenn ein neuer Supplicant eintrifft, wird der Port am Authentifikator aktiviert und in den Status 'Nicht autorisiert' versetzt.
- Einleitung: Um den Authentifizierungsprozess zu starten, sendet der Authentifizierer die EAP-Anforderungsidentitätsrahmen in regelmäßigen Zeitintervallen an die MAC-Adresse des Datensegments des Netzwerks. Der Supplicant analysiert die Adresse und setzt sie zurück und sendet den EAP-Antwortidentitätsrahmen, der aus einer Kennung des Supplicant wie ein geheimer Schlüssel besteht.
- Verhandlung: In diesem Stadium wird der Server mit einer Antwort an den Authentifizierer zurückgesetzt, wobei eine EAP-Anforderung das EAP-Schema angibt. Die EAP-Anforderung wird vom Authentifizierer in den EAPOL-Frame eingekapselt und an den Supplicant zurückgesendet.
- Authentifizierung: Wenn der Authentifizierungsserver und der Supplicant der gleichen EAP-Methode zustimmen, werden die EAP-Anforderung und der EAP-Antwortnachrichtenaustausch zwischen dem Supplicant und dem Authentifizierungsserver durchgeführt, bis der Authentifizierungsserver mit einer EAP-Erfolgsnachricht oder einer EAP-Fehlernachricht antwortet .
- Nach erfolgreicher Authentifizierung versetzt der Authentifikator den Port in den Status 'Autorisiert'. Somit sind alle Arten von Verkehrsströmen zulässig. Wenn die Autorisierung fehlschlägt, wird der Port in einem 'nicht autorisierten' Zustand gehalten. Immer wenn sich der Host-Client abmeldet, sendet er eine EAPOL-Abmeldemeldung an den Authentifikator, wodurch der Port erneut in den Status 'Nicht autorisiert' versetzt wird.
802.1x-Authentifizierungsprozess
Fazit
In diesem Tutorial haben wir die Funktionsweise der Authentifizierungsprotokolle 802.11, 802.11i und 802.1x untersucht.
Das Netzwerksystem wird sicherer, indem die EAP-Methode zur Authentifizierung bereitgestellt und die gegenseitige Authentifizierung sowohl auf Client- als auch auf Access Point-Seite mithilfe verschiedener Arten von Verschlüsselungsschlüsselmethoden verwendet wird.
PREV Tutorial | NÄCHSTES Tutorial
Literatur-Empfehlungen
- IPv4 vs IPv6: Was ist der genaue Unterschied
- Was ist der Netzwerksicherheitsschlüssel? So finden Sie ihn für Router, Windows oder Android
- Was ist Virtualisierung? Beispiele für Netzwerk-, Daten-, App- und Speichervirtualisierung
- Grundlegende Schritte und Tools zur Fehlerbehebung im Netzwerk
- Was ist Netzwerksicherheit: Typen und Verwaltung
- Was ist IP-Sicherheit (IPSec), TACACS und AAA-Sicherheitsprotokolle?
- Was sind HTTP- (Hypertext Transfer Protocol) und DHCP-Protokolle?
- Wichtige Protokolle der Anwendungsschicht: DNS-, FTP-, SMTP- und MIME-Protokolle