Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5111 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Восточно-Казахстанский государственный технический университет им. Д. Серикбаева
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
TBS.docx
Скачиваний:
53
Добавлен:
02.05.2015
Размер:
619.66 Кб
Скачать
►Содержание►

Аутентификация с использованием открытого ключа шифрования

В дополнение к средствам защиты информации от хакеров станции могут использовать метод криптографии с открытым ключом для аутентификации их другими станциями или точками доступа (рис. 8.7). Это может оказаться необходимым до того, как точка доступа или контроллер позволит определенной станции начать взаимодействие с защищенной частью сети. Аналогичным образом и клиент может аутентифицировать точку доступа. Станция аутентифицирует сама себя путем шифрования строки текста в пакете с помощью секретного ключа. Приемная станция дешифрует текст

с помощью открытого ключа передающей станции. Если дешифрованный текст совпадает с каким-то предопределенным текстом, например, именем станции, приемная станция считает передавшую ей фрейм станцию легитимной. В данном случае шифрование определенной строки текста выполняет роль цифровой подписи.

Рис. 8.7. Криптография с открытым ключом позволяет осуществить аутентификацию

Стандарт 802.1 х

За счет использования стандарта 802.1х можно заложить основы для эффективной системы автоматической аутентификации и контроля трафика пользователей защищенной сети, а также применять динамически изменяемые ключи шифрования. Стандарт 802.1х применяет расширяемый протокол аутентификации (extensibleauthenticationprotocol, EAP) к проводной и беспроводной частям сети и поддерживает методы взаимной аутентификации, такие как "говорящая карта" (tokencard), Kerberos6, одноразовые пароли (one-timepasswords), сертификаты (certificates) и ау-

тентификацию с открытым ключом (publickeyauthentication).

Как осуществляется аутентификация по стандарту 802.1 х?

В соответствии со стандартом 802.1х связь начинается с того, что проситель (supplicant), т.е. беспроводное клиентское устройство, пытается соединиться с аутентификатором (беспроводной базовой станцией). Базовая станция отвечает просителю, предоставляя ему порт для передачи только ЕАР-пакетов серверу аутентификации, расположенному в проводной части базовой станции. Но блокирует весь остальной трафик, такой как пакеты HTTP, DHCP и РОРЗ, до тех пор, пока не удостоверится в идентичности клиента с помощью одного из.серверов аутентификации (например, сервера RADIUS). После успешной аутентификации базовая станция открывает порт клиента для всего остального трафика, учитывая при этом права доступа и руководствуясь указаниями сервера аутентификации.

Чтобы досконально разобраться в том, как осуществляется процесс аутентификации в соответствии со стандартом 802.1х, рассмотрим следующие этапы взаимодействия между различными участниками этого процесса:

1) клиент посылает стартовое ЕАР-сообщение, начинающее серию обменов сообщениями с целью аутентификации клиента. Это аналогично тому, как если бы группа посетителей подошла к центральным воротам тематического парка и руководитель группы (клиент) спросил у привратника, могут ли они войти;

2) базовая станция отвечает сообщением, содержащим запрос на ЕАР-идентификацию. Продолжая аналогию с тематическим парком, можно сказать, что привратник спрашивает у руководителя группы, как его зовут, и просит предъявить водительские права;

3) клиент посылает пакет с ЕАР-ответом, содержащий необходимые данные для сервера аутентификации. Руководитель группы в нашем примере должен сообщить свое имя и предъявить водительские права; привратник передает эти данные менеджеру экскурсий (серверу аутентификации), который и определяет, имеет ли группа право на экскурсию;

4) сервер аутентификации использует особый алгоритм аутентификации для

проверки идентичности клиента. Проверка может осуществляться с использованием цифровых сертификатов или других механизмов аутентификации ЕАР. В нашем примере это аналогично проверке подлинности водительских прав руководителя группы и сличению фотографии в правах с личностью руководителя. Предположим, что руководитель "авторизован", т.е. оказался тем, за кого он себя выдает;

5) сервер аутентификации посылает базовой станции сообщение с разрешением или отказом. В нашем примере разрешение означает, что менеджер экскурсий тематического парка дает команду привратнику пропустить группу;

6) базовая станция посылает клиенту пакет с сообщением об успешной аутентификации. Привратник сообщает руководителю, что его группа может войти в парк (но он не пропустит группу, если менеджер экскурсий запретит ей посещение парка);

7) если сервер аутентификации принимает клиента, базовая станция должна перевести выделенный ему порт в авторизованное состояние и обеспечить передачу дополнительного трафика. Это аналогично тому, как если бы привратник автоматически открыл ворота и пропустил в парк только членов группы, получившей право на экскурсию.

Основной протокол стандарта 802.1х обеспечивает эффективную аутентификацию независимо от того, применяете вы WEP-ключи стандарта 802.1х или не используете шифрование вообще. Однако большинство основных поставщиков беспроводных сетей предлагают патентованные версии управления динамическими ключами, используя стандарт 802.1х как механизм их распределения. Будучи сконфигурированным на реализацию обмена динамическими ключами, сервер аутентификации стандарта 802.11 может вернуть базовой станции ключи для сеанса связи, отправляя ей сообщение об успешной аутентификации клиента.

Базовая станция использует ключи сеанса связи для создания, подписания и шифрования с помощью ЕАР-ключей сообщений, посылаемых клиенту сразу же вслед за сообщением об успешной аутентификации. Клиент может использовать содержимое сообщения с ключами для определения подходящих ключей шифрования. В типичных ситуациях применения стандарта 802.1х клиент может автоматически и часто изменять ключи шифрования с целью минимизации риска того, что злоумышленник получит достаточно времени для взлома текущего ключа.

Типы аутентификации

Отметим, стандарт 802.1х не регламентирует сами механизмы аутентификации. При использовании этого стандарта необходимо выбрать тип ЕАР. Это может быть протокол защиты транспортного уровня (transportlayersecurity, EAP-TLS), ЕАР tunneledtransportlayersecurity (EAP-TTLS) или облегченная ЕАР-аутентификация Cisco (lightweight ЕАР, или LEAP), который и определяет, как будет проводиться аутентификация. Программное обеспечение, поддерживающее аутентификацию конкретного типа, размещается на сервере аутентификации и в операционных системах

или в прикладных программах клиентских устройств.

Политика безопасности

Одним из первых шагов, которые следует предпринять для обеспечения безопасности сети — это сформулировать эффективные принципы политики и соответствующий процесс законоприменения. Необходимо тщательно проанализировать требования, предъявляемые к безопасности сети, и обеспечить адекватный уровень защиты. Например, обязательное использование шифрования. WEP применим для дома или небольшого офиса, но для корпоративных приложений следует использовать более действенные методы, такие как WPA. Эффективные методы взаимной ау-

тентификации (LEAP или EAP-TLS) также будут полезны при выполнении корпоративных приложений.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности