- •Вопрос 2. Характеристика протоколов семейства ieee 802.11. Скорости и другие показатели. Единицы мВт, dBm, dBi и их преобразование. Допустимая мощность излучения по ieee 802.11 в рф. Правило 3-10.
- •Вопрос 3. Wlan Design. Расчет проекта беспроводной сети. Особенности дизайна для приложений Data / Voice / Video (по материалам практики).
- •Вопрос 6. Развертывание сети на базе Standalone ap. Рекомендации и ограничения решения. Особенности организации иб в домашних и малых корпоративных сетях.
- •Вопрос 8. Ieee 802.1x. Роль протоколов eaPoL, eap, radius. Web-аутентификация. Radius.
- •Вопрос 9. Использование radius для авторизации пользователей на оборудовании (По лр — беспроводной клиент на точке доступа, администратор на устройстве).
- •Вопрос 10. Ключевая иерархия в стандартах ieee 802.11. Генерация и назначение ключей. Назначение msk, kek, tk, psk, gtk. Рекомендуемые и устаревшие механизмы иб.
- •Вопрос 11. Классификация атак в беспроводных сетях. Описание атаки на wps, атаки MiTm.
- •Вопрос 12. Классификация методов защиты от атак на беспроводные сети.
- •Вопрос 13. Протоколы Wireless Security. Wep, wpa, wpa2, aes ccmp / tkip, wpa-psk/wpa-Enterprise и рекомендации по применению протоколов. Wpa-3. Режимы psk / Enterprise.
- •Вопрос 14. Антенны: изотропная, дипольная, патч. Классификация и типы антенн, их основные характеристики. Рекомендации по выбору антенн. Понятие eirp.
- •Вопрос 15. Wlc и wlan контроллеры. Решаемые задачи и назначение. Типовая схема беспроводной сети с централизованным управлением. Подключение элементов.
- •Вопрос 17. Сканеры сетей Wi-Fi. Выбор оптимального канала. Определение уровня принимаемого сигнала клиентом и точкой доступа, настройка мощности сигнала, dBm и dBi.
- •Вопрос 18. Доступные стандарты и каналы на 2.4гГц и 5гГц, рекомендации по выбору каналов, межканальная интерференция.
- •Вопрос 19. Типы беспроводных клиентов и их характеристики. Определение 2.4 и 5 гГц поддерживаемых каналов, ширины каналов, количества пространственных потоков. Поддержка mimo.
- •Вопрос 20. Механизмы обнаружения беспроводной сети — активное и пассивное. Этапы подключения к беспроводной сети. Psk и 802.1x аутентификация. 4-х стороннее рукопожатие.
- •Вопрос 24. Основы иб WiFi. Особенности wpa3. Режимы Personal и Enterprise. Protected Management Frames. Изоляция бк. Проверка поддержки wpa3 на клиентском устройстве, на точке доступа. Owe.
- •Вопрос 26. Классификация атак на беспроводные сети 802.11. Пути защиты от атак.
- •Вопрос 27. WIps и их функционал. Назначение сенсора и варианты исполнения. Атаки, от которых защищают wIps.
- •Вопрос 28. Беспроводные стандарты Bluetooth, ZigBee, rfid, nfc, LoRa, lte — основное назначение и характеристики, особенности, область покрытия, рабочие частоты и скорости. Область применения.
- •Вопрос 29. Иб: определение и цель защиты информации. Классификация нарушителей и их целей. Классификация угроз иб. Классификация источников угроз.
Вопрос 8. Ieee 802.1x. Роль протоколов eaPoL, eap, radius. Web-аутентификация. Radius.
IEEE 802.1X — протокол контроля доступа на уровне канала (портовая аутентификация), применяемый для проводных и беспроводных сетей. Он организует процесс аутентификации клиента (supplicant) через аутентификатор (authenticator, обычно точка доступа или коммутатор) к аутентификационному серверу (authentication server, чаще RADIUS).
Компоненты и роли:
EAPoL (EAP over LAN) — транспорт EAP-сообщений между supplicant и authenticator в локальной сети.
EAP (Extensible Authentication Protocol) — фреймворк для методов аутентификации (EAP-TLS, EAP-TTLS, PEAP и др.). EAP определяет, как происходит обмен идентификационными сообщениями и ключами.
RADIUS — протокол между authenticator (AP/коммутатор) и authentication server; передаёт запросы на аутентификацию и получает решения. RADIUS также передаёт атрибуты (VLAN, session-timeout и т.п.).
Web-аутентификация (captive portal) — альтернативный метод аутентификации, часто для гостевых сетей: пользователь перенаправляется на веб-страницу для ввода логина/пароля или принятия условий. Он удобен для гостей, но уступает 802.1X по безопасности (отсутствует сильная криптосвязка и управление ключами).
Практически: 802.1X + EAP-TLS (сертификаты) — наиболее безопасно для корпоративной среды; PEAP/TTLS позволяет использовать парольную аутентификацию внутри защищённого TLS-туннеля
Вопрос 9. Использование radius для авторизации пользователей на оборудовании (По лр — беспроводной клиент на точке доступа, администратор на устройстве).
RADIUS в типичном сценарии: AP (authenticator) перенаправляет EAPoL-запросы от клиента к RADIUS-серверу. RADIUS сервер проверяет учетные данные (через локальную базу, LDAP/AD, внешние базы) и возвращает Access-Accept/Reject и дополнительные атрибуты (VLAN assignment, ACLs, session timeout). После успешной аутентификации происходит генерация ключа (MSK/PMK), который используется для установления защищённого соединения между клиентом и AP (см. 4-х стороннее рукопожатие).
Авторизация администратора устройства обычно делается через отдельный AAA профиль: доступ по SSH/HTTPS к управлению контроллером/коммутатору защищается RADIUS/TACACS+, с применением строгих политик и 2-факторной аутентификации для привилегированных действий.
Вопрос 10. Ключевая иерархия в стандартах ieee 802.11. Генерация и назначение ключей. Назначение msk, kek, tk, psk, gtk. Рекомендуемые и устаревшие механизмы иб.
Иерархия ключей (обобщённо):
PSK (Pre-Shared Key) — статический ключ в режиме Personal (WPA/WPA2 Personal). PSK используется как PMK (Pairwise Master Key) при PSK-режиме.
При 802.1X/EAP: результат аутентификации — MSK (Master Session Key), который используется для получения PMK (Pairwise Master Key) — в некоторых реализациях MSK содержит PMK. PMK — корневой ключ, привязанный к сессии.
4-х стороннее рукопожатие (4-way handshake) использует PMK + случайные числа (ANonce/SNonce) и адреса для вывода PTK (Pairwise Transient Key). PTK содержит под-ключи:
KCK (Key Confirmation Key) — для проверки сообщений управления.
KEK (Key Encryption Key) — для защиты при передаче GTK и других секретов.
TK (Temporal Key) — ключ для шифрования данных (например, для CCMP/TKIP).
GTK (Group Temporal Key) — общий ключ для шифрования широковещательных/мульткастовых пакетов; доставляется защищённо контроллером/AP каждому клиенту (через KEK).
Рекомендуемые и устаревшие механизмы:
Устаревшие/небезопасные: WEP (криптоалгоритм с известными уязвимостями), TKIP (устаревший, разработан как временное решение для WPA — теперь приравнивается к устаревшему), PSK в открытых условиях без дополнительной защиты для крупных сетей (возможность offline dictionary brute-force).
Рекомендуемые: WPA2-Enterprise (802.1X + EAP-TLS) с AES-CCMP; WPA3 (SAE для Personal — защищён от offline атак и даёт forward secrecy), WPA3-Enterprise (192-bit security suite) — современнее и безопаснее. WPA2 с сильной 802.1X и EAP-TLS по-прежнему примин