Файловый архив студентов. Файловый архив студентов.
1322 вуза, 5383 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Владимирский государственный университет им. Столетовых
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
с 6-го по 10-й семестры / 7 семестр / Сети ЭВМ и телекоммуникации / Задание на Курсовую Работу / D-Link Courses / Materials / WiFi / Безопасность.doc
Скачиваний:
66
Добавлен:
22.03.2015
Размер:
86.02 Кб
Скачать
►Содержание►

Проблемы идентификатора беспроводной локальной сети

Идентификатор SSID регулярно передается точками радиодоступа во фреймах beacon несмотря на то, то фреймы beacon играют чисто информационную роль в радиосети, т.е. совершенно "прозрачны" для абонента, сторонний наблюдатель в состоянии с легкостью определить SSID с помощью анализатора трафика протокола 802.11, например Sniffer Pro Wireless. Некоторые точки радиодоступа, в т.ч. Dlink, позволяют административно запретить широковещательную передачу SSID внутри фреймов beacon. Однако и в этом случае SSID можно легко определить путем захвата фреймов probe response, посылаемых точками радиодоступа. Идентификатор SSID не разрабатывался для использования в качестве механизма обеспечения безопасности. В добавок к этому, отключение широковещательной передачи SSID точками радиодоступа может серьёзно отразиться на совместимости оборудования беспроводных локальных сетей различных производителей при использовании в одной радиосети.

Аутентификация с общим ключом (слайд 23) требует настройки у абонента статического WEP-ключа для шифрования challenge text, отправленного точкой радиодоступа. Точка радиодоступа аутентифицирует абонента посредством дешифрования его ответа на challenge и сравнения его с отправленным оригиналом. Обмен фреймами, содержащими challenge text, происходит по открытому радиоканалу, а значит подвержен атакам со стороны стороннего наблюдателя (man-in-the-middle attack). Наблюдатель может принять как нешифрованный challenge text, так и тот же challenge text, но уже в шифрованном виде. Шифрование WEP производится путем выполнения побитовой операции XOR над текстом сообщения и ключевой последовательностью (key stream), в результате чего получается зашифрованное сообщение (ciphertext). Важно понимать, что выполнение побитовой операции XOR над зашифрованным сообщением и ключевой последовательностью имеет результатом текст исходного сообщения. Таким образом, наблюдатель может легко вычислить сегмент ключевой последовательности путем анализа фреймов в процессе аутентификации абонента.

Проблемы управления статическими wep ключами

Стандартом IEEE 802.11 не предусмотрены какие либо механизмы управления ключами шифрования. По определению, алгоритм WEP поддерживает лишь статические ключи, которые заранее распространяются тем или иным способом между абонентами и точками радиодоступа беспроводной локальной сети. Поскольку IEEE 802.11 аутентифицирует физическое устройство, а не его пользователя, утрата абонентского адаптера, точки радиодоступа или собственно секретного ключа представляют опасность для системы безопасности беспроводной локальной сети. В результате при каждом подобном инциденте администратор сети будет вынужден вручную произвести смену ключей у всех абонентов и в точках доступа. Эти административные действия приемлемы для небольшой беспроводной локальной сети, но совершенно неприемлемы для сетей, в которых абоненты исчисляются сотнями и тысячами, и/или распределены территориально. В условиях отсутствия механизмов генерации и распространения ключей администратор вынужден пристально охранять абонентские адаптеры и оборудование инфраструктуры сети. Проблемы, с которыми столкнулись разработчики и пользователи сетей на основе стандарта 802.11 вынудили искать новые решения защиты беспроводных сетей.

Спецификация WPA2 организации Wi-Fi Alliance (слайд 24) является значительным усовершенствованием механизма безопасности WEP (Wired Equivalent Privacy) исходного стандарта 802.11. Протокол WEP был уязвимым для атак и скверно реализовывался производителями, поэтому он так и не нашел применения в корпоративных сетях. Слабые места WEP и то, что их весьма просто использовать в вероломных целях, стимулировали разработку стандарта 802.11i, который был утвержден и опубликован в 2004 г. В рамках проекта стандарта 802.11i организация Wi-Fi Alliance разработала протокол WPA, а позднее — WPA2, обеспечивающий более высокий уровень безопасности, чем первая версия WPA.

WPA поддерживает использующий метод шифрования RC4 протокол TKIP (Temporal Key Integrity Protocol) и может быть программно реализован путем обновления драйвера или встроенного ПО. Частая ротация ключей и наличие счетчика пакетов предотвращают атаки с воспроизведением пакетов (packet replay) или их повторным вводом (packet re-injection). Протокол WPA обеспечивает контроль целостности данных, используя метод контрольной суммы MIC (Message Integrity Code), иногда называемый “Michael”. Данный метод подвержен атакам “грубой силы” (brute-force attacks), но при этом передача сетевого трафика на минуту автоматически приостанавливается и, если основанная на WPA точка доступа детектирует в течение 60 с более одной ошибки MIC протокола TKIP, сеансовые ключи переустанавливаются, снижая, таким образом, риск атак до минимума.

Между тем протокол WPA2 задействует новый метод шифрования (получивший название CCMP — Counter-Mode with CBC-MAC Protocol), основанный на более мощном, чем RC4, алгоритме шифрования AES (Advanced Encryption Standard).(слайд 25)

Контроль целостности данных ( MIC) повышает эффективность стандартной функции контроля целостности данных ICV (проверка признака целостности) в 802.11. MIC позволяет исключить следующие уязвимости:

-Повторное использование вектора инициализации и базового ключа—MIC добавляет к фрейму поле с порядковым номером (sequence number), а точка беспроводного доступа отбрасывает все фреймы с нарушенным порядком следования;

-Манипуляция битов—MIC добавляет к фрейму поле контроля целостности данных (вычисляется), не имеющее проблем, присущих вектору ICV.

Архитектура IEEE 802.1X (слайд 27) включат в себя следующие обязательные логические элементы:

-Клиент (Supplicant)—находится в операционной системе абонента.

-Аутентификатор (Authenticator)—находится в программном обеспечении точки

радиодоступа (или коммутатора в случае проводной локальной сети).

-Сервер аутентификации (Authentication Server)—находится на RADIUS-сервере.

Задачей сервера аутентификации является поддержка требуемых политикой сетевой безопасностью методов аутентификации. Аутентификатор, находясь в точке радиодоступа, создаёт логический порт для каждого клиента на основе его идентификатора ассоциирования (Association ID). Логический порт имеет два канала для обмена данными. Неконтролируемый канал беспрепятственно пропускает трафик из беспроводного сегмента в проводной и обратно, в то время как контролируемый канал требует успешной аутентификации для беспрепятственного прохождения фреймов. Клиент активизируется и ассоциируется с точкой радиодоступа (или физически подключается к сегменту в случае проводной локальной сети). Аутентификатор распознаёт факт подключения и активизирует логический порт для клиента, сразу переводя его в состояние “неавторизован“. В результате этого через клиентский порт возможен обмен лишь трафиком протокола IEEE 802.1X, для всего остального трафика порт заблокирован. После завершения аутентификации сервер отправляет сообщение RADIUS-ACCEPT или RADIUS-REJECT аутентификатору (в случае беспроводной ЛВС–точке радиодоступа). При получении сообщения RADIUS-ACCEPT аутентификатор переводит порт клиента в состояние “авторизован“, и начинается передача всего трафика абонента.

Алгоритм аутентификации Extensible Authentication Protocol (EAP) (расширяемый протокол аутентификации) (слайд 28) — поддерживает централизованную аутентификацию элементов инфраструктуры беспроводной локальной сети и её пользователей с возможностью динамической генерации ключей шифрования. В стандарте 802.1х аутентификация пользователей на канальном уровне выполняется по протоколу EAP и предназначен для использования в локальных сетях. EAP позволяет сетевому администратору задействовать множество алгоритмов аутентификации пользователей посредством сервера RADIUS.

Система сетевой безопасности стандарта WPA работает в двух режимах: PSK (Preshared Key) (SOHO) и Enterprise (корпоративный).(слайд 29,30)

Для развертывания системы, работающей в режиме PSK, необходим разделяемый пароль. Такую систему несложно устанавливать, но она защищает беспроводные локальные сети не столь надежно, как это делает система, функционирующая в режиме Enterprise с иерархией динамических ключей. Хотя протокол TKIP работает с тем же самым блочным шифром RC4, который предусмотрен спецификацией протокола WEP, технология WPA защищает данные надежнее последнего.

Режим WPA2 так же как WPA имеет 2 режима Enterprise Mode и Personal Mode (слайд 31)

13

Соседние файлы в папке WiFi
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности