Экзамен / 33

33. Функции безопасности в беспроводных устройствах Wi-Fi.

Системы обеспечения сетевой безопасности

• Антивирусное программное обеспечение

• Управление доступом

• Межсетевые экраны

• Смарт-карты

• Биометрия

• Системы обнаружения вторжения

• Управление политиками

• Сканирование компьютерных систем на наличие уязвимых мест

• Шифрование

• Механизмы физической защиты

• Проверка сертификатов компьютерной безопасности

Концепция ААА

AAA (Authentication, Authorization, Accounting) — процедура описания процесса предоставления доступа и его контроля.

• Authentication (аутентификация) — сопоставление персоны (или запроса) существующей учётной записи в системе безопасности. Осуществляется по логину, паролю, сертификату, смарт-карте и т. д.

• Authorization (авторизация, проверка полномочий, проверка уровня доступа) — сопоставление учётной записи в системе (и персоны, прошедшей аутентификацию) и определённых полномочий (или запрета на доступ). Может быть как позитивной (пользователю разрешен доступ к ресурсу), так и негативной (пользователю запрещён доступ).

• Accounting (учёт) — слежение за потреблением ресурсов пользователем. В accounting включается так же и запись фактов получения доступа к системе

Подключение клиента: аутентификация

1. Сканирование:

• Пассивное – клиент прослушивает каналы для обнаружения сигнальных кадров от точек доступа и по SSID определяет доступные для подключения сети.

• Активное - клиент последовательно отправляет широковещательные кадры (на адрес FF:FF:FF:FF:FF:FF)пробного запроса (Probe request) в каждый из проверяемых каналов. Запрос содержит: SSID, поддерживаемые стандарты, скорости, типы шифрования.

2. Ответ точки доступа:

• Если значение SSID в поступившем запросе совпадает с ее собственным или нулевой длины (т.е. все SSID)

• Если получен Probe response, то на адрес клиента посылается ответ, содержащий SSID, скорость передачи, тип шифрования.

Функции безопасности должны быть сконфигурированы до начала

работы сети!

• Клиент узнает о поддерживаемых сетью мерах безопасности из кадров Beacon или Probe response

• Запрос на аутентификацию происходит после выбора точки доступа.

• Типы аутентификации:

– открытых систем (Open System authentication);

– с общим ключом (Shared Key authentication);

– на основе стандарта IEEE 802.1X-2004;

– на основе предварительно установленных ключей (Pre-Shared key,

PSK).

Выбор типа аутентификации и политик безопасности не стандартизирован и полностью возложен на администратора сети!

• Аутентификация открытых систем

Отсутствие требований к аутентификации (открытая небезопасная сеть).

Устаревший механизм.

Клиент посылает запрос на аутентификацию. Точка отвечает кадром аутентификации, но может отказать в аутентификации при несовпадении технических характеристик.

Может комбинироваться с другими методами аутентификации.

• Аутентификация с общим ключом

Используется совместно с WEP. После аутентификации требуется

процедура ассоциации. Устаревший метод с уязвимостями.

• Аутентификация на основе

стандарта IEEE 802.1X

IEEE 802.1X разработан для управления доступом на основе портов в сетях IEEE

802, использует идентификатор ассоциации как порт - описывает использование протокола EAP (Extensible Authentication Protocol) для поддержки аутентификации с помощью сервера аутентификации, - определяет процесс инкапсуляции данных ЕАР, передаваемых между клиентами и серверами аутентификации.

Источник:

Учебный курс D-Link «Основы беспроводных сетей Wi-Fi»

Ключи аутентификации:

• MK - симметричный мастер-ключ (Master Key)

• PMK - парный мастер-ключ (Pairwise Master Key) – генерируется на основе MK, служит для генерации группы ключей для процесса 4-стороннего рукопожатия (обмена парными ключами шифрования между точкой доступа и клиентом).

Не используется для шифрования или дешифрования данных!

• PTK - парный временный ключ (Pairwise Transient Key) – генерируется на

основе PMK, состоит из:

– EAPOL-KCK (EAP Over LAN Key Confirmation Key ): ключ подтверждения ключа

(0 -127бит), для зашиты целостности ключей, распределяемых между

клиентом и точкой доступа

– EAPOL-KEK (EAP Over LAN Key Encryption Key ): ключ шифрования ключа (128 –

255 бит), для шифрования группового временного ключа (GTK) и других

ключей, распределяемых между клиентом и точкой доступа

– TK (Temporal Key ): временные ключи (от 256 бит), используемые с TKIP или

CCMP для шифрования одноадресного пользовательского трафика.

• GTK - групповой временный ключ (Group Temporal Key) - генерируется

точкой доступа и передается ассоциированному клиенту для дешифровки

группового или широковещательного трафика

https://lk.sut.ru/cabinet/ini/subconto/sendto/101/2405962/6-bezopasnost.pdf