Лекция 8 - Безопасная передача данных в беспроводных сетях
.pdfПодключение клиента: аутентификация
1.Сканирование:
•Пассивное – клиент прослушивает каналы для обнаружения сигнальных кадров от точек доступа и по SSID определяет доступные для подключения сети.
•Активное - клиент последовательно отправляет широковещательные кадры (на адрес FF:FF:FF:FF:FF:FF)пробного запроса (Probe request) в
каждый из проверяемых каналов. Запрос содержит: SSID, поддерживаемые стандарты, скорости, типы шифрования.
2.Ответ точки доступа:
•Если значение SSID в поступившем запросе совпадает с ее собственным или нулевой длины (т.е. все SSID)
•Если получен Probe response, то на адрес клиента посылается ответ, содержащий SSID, скорость передачи, тип шифрования.
Функции безопасности должны быть сконфигурированы до начала работы сети!
•Клиент узнает о поддерживаемых сетью мерах безопасности из кадров Beacon или Probe response
•Запрос на аутентификацию происходит после выбора точки доступа.
•Типы аутентификации:
–открытых систем (Open System authentication);
–с общим ключом (Shared Key authentication);
–на основе стандарта IEEE 802.1X-2004;
–на основе предварительно установленных ключей (Pre-Shared key, PSK).
Выбор типа аутентификации и политик безопасности не стандартизирован и полностью возложен на администратора сети!
• Аутентификация открытых систем
Отсутствие требований к аутентификации (открытая небезопасная сеть). Устаревший механизм.
Клиент посылает запрос на аутентификацию. Точка отвечает кадром аутентификации, но может отказать в аутентификации при несовпадении технических характеристик.
Может комбинироваться с другими методами аутентификации.
• Аутентификация с общим ключом
Используется совместно с WEP. После аутентификации требуется процедура ассоциации. Устаревший метод с уязвимостями.
•Аутентификация на основе стандарта IEEE 802.1X
IEEE 802.1X разработан для управления доступом на основе портов в сетях IEEE 802, использует идентификатор ассоциации как порт
-описывает использование протокола EAP (Extensible Authentication Protocol) для поддержки аутентификации с помощью сервера аутентификации,
-определяет процесс инкапсуляции данных ЕАР, передаваемых между клиентами и серверами аутентификации.
Источник:
Учебный курс D-Link «Основы беспроводных сетей Wi-Fi»
Ключи аутентификации:
•MK - симметричный мастер-ключ (Master Key)
•PMK - парный мастер-ключ (Pairwise Master Key) – генерируется на основе MK, служит для генерации группы ключей для процесса 4-стороннего рукопожатия (обмена парными ключами шифрования между точкой доступа и клиентом). Не используется для шифрования или дешифрования данных!
•PTK - парный временный ключ (Pairwise Transient Key) – генерируется на основе PMK, состоит из:
–EAPOL-KCK (EAP Over LAN Key Confirmation Key ): ключ подтверждения ключа
(0 -127бит), для зашиты целостности ключей, распределяемых между клиентом и точкой доступа
–EAPOL-KEK (EAP Over LAN Key Encryption Key ): ключ шифрования ключа (128 –
255 бит), для шифрования группового временного ключа (GTK) и других ключей, распределяемых между клиентом и точкой доступа
–TK (Temporal Key ): временные ключи (от 256 бит), используемые с TKIP или CCMP для шифрования одноадресного пользовательского трафика.
•GTK - групповой временный ключ (Group Temporal Key) - генерируется точкой доступа и передается ассоциированному клиенту для дешифровки группового или широковещательного трафика
Источник:
Учебный курс D-Link «Основы беспроводных сетей Wi-Fi»
GTK
Источник:
Учебный курс D-Link «Основы беспроводных сетей Wi-Fi»
•Аутентификация на основе предварительно установленных ключей
(PSK)
Самый распространенный тип доступа – по паролю.
PSK = F(пароль, SSID, длина_SSID, итерации_хэширования, длина_ключа)
Пароль: 8-63 ASCII-символов или 64 шестнадцатеричных символов.
Алгоритм проверки:
1.Сканирование
2.Обмен кадрами аутентификации
3.Обмен сообщением Commit (содержит PSK)
4.Подтверждение (при совпадении PSK)
5.Генерация PMK из PSK
6.4-сторонее рукопожатие и генерация PTK
7.Генерация и обмен GTK
KRACK — Key
Reinstallation Attack. Привело к пересмотру политики безопасности и разработке WPA3
Протоколы шифрования
вIEEE 802.11
•В беспроводной сети передавать и получать данные может любая станция, находящаяся в пределах радиосвязи других устройств, что приводит к возможности нарушения конфиденциальности.
История:
•В 2000 году Wi-Fi Alliance запустил программу сертификации, определяющую требования к безопасности беспроводных сетей и включающую поддержку WEP.
•В 2003 году Wi-Fi Alliance представил программу сертификации Wi-Fi Protected Access (WPA).
•В 2004 году был ратифицирован IEEE 802.11i - набор расширенных функций безопасности.
•В 2004 году Wi-Fi Alliance представил программу сертификации WPA2
•2007 году Wi-Fi Alliance представил дополнительную программу сертификации Wi-Fi Protected Setup (WPS) для автоматической конфигурации WPA2
•2018 год – WPA3: расширение функций в области IoT, некоторых методов подбора пароля, усовершенствование ключа. Плохая совместимость вниз.
1.WEP (Wired Equivalent Privacy) – это алгоритм обеспечения конфиденциальности и целостности данных, использует алгоритм, основанный на алгоритме симметричного потокового шифрования
RC4 (Rivest’s Cipher v.4, код Ривеста).
•Представляет собой электронную кодовую книгу, в которой каждый блок открытого текста заменяется блоком шифрованного текста.
•Шифрование начинается после того, как секретные ключи распространяются между взаимодействующими устройствами.
•Один и тот же ключ используется как для шифрования, так и для дешифрования.
•Ключ WEP может быть вычислен с использованием кадров, пассивно собранных в беспроводной локальной сети.
Рекомендации:
-Не использовать WEP
-Если оборудование не поддерживает более современные методы, то использовать 128-битный ключ и менять его раз в месяц.