Экзамен / 33
.docx33. Функции безопасности в беспроводных устройствах Wi-Fi.
Системы обеспечения сетевой безопасности
• Антивирусное программное обеспечение
• Управление доступом
• Межсетевые экраны
• Смарт-карты
• Биометрия
• Системы обнаружения вторжения
• Управление политиками
• Сканирование компьютерных систем на наличие уязвимых мест
• Шифрование
• Механизмы физической защиты
• Проверка сертификатов компьютерной безопасности
Концепция ААА
AAA (Authentication, Authorization, Accounting) — процедура описания процесса предоставления доступа и его контроля.
• Authentication (аутентификация) — сопоставление персоны (или запроса) существующей учётной записи в системе безопасности. Осуществляется по логину, паролю, сертификату, смарт-карте и т. д.
• Authorization (авторизация, проверка полномочий, проверка уровня доступа) — сопоставление учётной записи в системе (и персоны, прошедшей аутентификацию) и определённых полномочий (или запрета на доступ). Может быть как позитивной (пользователю разрешен доступ к ресурсу), так и негативной (пользователю запрещён доступ).
• Accounting (учёт) — слежение за потреблением ресурсов пользователем. В accounting включается так же и запись фактов получения доступа к системе
Подключение клиента: аутентификация
1. Сканирование:
• Пассивное – клиент прослушивает каналы для обнаружения сигнальных кадров от точек доступа и по SSID определяет доступные для подключения сети.
• Активное - клиент последовательно отправляет широковещательные кадры (на адрес FF:FF:FF:FF:FF:FF)пробного запроса (Probe request) в каждый из проверяемых каналов. Запрос содержит: SSID, поддерживаемые стандарты, скорости, типы шифрования.
2. Ответ точки доступа:
• Если значение SSID в поступившем запросе совпадает с ее собственным или нулевой длины (т.е. все SSID)
• Если получен Probe response, то на адрес клиента посылается ответ, содержащий SSID, скорость передачи, тип шифрования.
Функции безопасности должны быть сконфигурированы до начала
работы сети!
• Клиент узнает о поддерживаемых сетью мерах безопасности из кадров Beacon или Probe response
• Запрос на аутентификацию происходит после выбора точки доступа.
• Типы аутентификации:
– открытых систем (Open System authentication);
– с общим ключом (Shared Key authentication);
– на основе стандарта IEEE 802.1X-2004;
– на основе предварительно установленных ключей (Pre-Shared key,
PSK).
Выбор типа аутентификации и политик безопасности не стандартизирован и полностью возложен на администратора сети!
• Аутентификация открытых систем
Отсутствие требований к аутентификации (открытая небезопасная сеть).
Устаревший механизм.
Клиент посылает запрос на аутентификацию. Точка отвечает кадром аутентификации, но может отказать в аутентификации при несовпадении технических характеристик.
Может комбинироваться с другими методами аутентификации.
• Аутентификация с общим ключом
Используется совместно с WEP. После аутентификации требуется
процедура ассоциации. Устаревший метод с уязвимостями.
• Аутентификация на основе
стандарта IEEE 802.1X
IEEE 802.1X разработан для управления доступом на основе портов в сетях IEEE
802, использует идентификатор ассоциации как порт - описывает использование протокола EAP (Extensible Authentication Protocol) для поддержки аутентификации с помощью сервера аутентификации, - определяет процесс инкапсуляции данных ЕАР, передаваемых между клиентами и серверами аутентификации.
Источник:
Учебный курс D-Link «Основы беспроводных сетей Wi-Fi»
Ключи аутентификации:
• MK - симметричный мастер-ключ (Master Key)
• PMK - парный мастер-ключ (Pairwise Master Key) – генерируется на основе MK, служит для генерации группы ключей для процесса 4-стороннего рукопожатия (обмена парными ключами шифрования между точкой доступа и клиентом).
Не используется для шифрования или дешифрования данных!
• PTK - парный временный ключ (Pairwise Transient Key) – генерируется на
основе PMK, состоит из:
– EAPOL-KCK (EAP Over LAN Key Confirmation Key ): ключ подтверждения ключа
(0 -127бит), для зашиты целостности ключей, распределяемых между
клиентом и точкой доступа
– EAPOL-KEK (EAP Over LAN Key Encryption Key ): ключ шифрования ключа (128 –
255 бит), для шифрования группового временного ключа (GTK) и других
ключей, распределяемых между клиентом и точкой доступа
– TK (Temporal Key ): временные ключи (от 256 бит), используемые с TKIP или
CCMP для шифрования одноадресного пользовательского трафика.
• GTK - групповой временный ключ (Group Temporal Key) - генерируется
точкой доступа и передается ассоциированному клиенту для дешифровки
группового или широковещательного трафика
https://lk.sut.ru/cabinet/ini/subconto/sendto/101/2405962/6-bezopasnost.pdf