Беспроводные сети

WEP

WEP-шифрование (Wired Equivalent Privacy) использует специальное преобразование данных для предотвращения несанкционированного доступа к данным беспроводной сети. WEP-шифрование использует ключ шифрования для кодирования данных перед их отправкой. Только компьютеры, использующие этот же ключ, могут получить доступ к сети и расшифровать переданные другими компьютерами данные. WEP-шифрование обеспечивает два уровня защиты, используя 64-битный ключ (иногда представляется как 40-битный) или 128-битный ключ (также известен как 104-битный). Если вы используете шифрование, все устройства в беспроводной сети должны использовать одинаковые ключи шифрования.

С WEP-шифрованием данных станция  беспроводной сети может иметь в  конфигурации до четырех ключей (значения индекса ключа: 1, 2, 3 и 4). Когда точка  доступа (ТД) или станция беспроводной сети передает шифрованное сообщение, использующее ключ, хранящийся в указанном  индексе ключа, переданное сообщение  будет указывать на индекс ключа, использованного для шифрования сообщения. Принимающая ТД или станция  беспроводной сети может найти ключ, хранящийся в индексе и использовать его для дешифрования сообщения.

Поскольку алгоритм WEP-шифрования уязвим к атакам из сети, необходимо рассмотреть возможность использования защиты WPA-персональная или WPA2-персональная.

WPA-персональная

Режим персональной защиты WPA используется в домашних условиях или сетях  малого бизнеса. Для персональной защиты WPA необходимо вручную сконфигурировать предварительно опубликованный общий  ключ (PSK) в точке доступа или  клиентах. Аутентификация в сервере  не используется. Этот пароль, введенный  в точке доступа, должен использоваться в этом компьютере и на всех беспроводных устройствах сети для подключения  к этой точке доступа. Защита зависит  от надежности и секретности пароля. Длинный пароль обеспечивает более  надежную сетевую защиту, чем короткий. Если ваша беспроводная точка доступа  или маршрутизатор поддерживают WPA и WPA2-персональную аутентификацию, тогда вы должны использовать ее в точке доступа, а также назначить длинный и надежный пароль. Для защиты WPA-персональная доступны алгоритмы шифрования данных TKIP и AES-CCMP.

WPA2-персональная

Для персональной защиты WPA2 необходимо вручную сконфигурировать предварительно опубликованный общий ключ (PSK) в  точке доступа или клиентах. Аутентификация в сервере не используется. Этот пароль, введенный в точке доступа, должен использоваться в этом компьютере и на всех беспроводных устройствах  сети для подключения к этой точке  доступа. Защита зависит от надежности и секретности пароля. Длинный  пароль обеспечивает более надежную сетевую защиту, чем короткий. WPA2 - это усовершенствование защиты WPA, а также полное внедрение стандарта IEEE 802.11i. Защита WPA2 имеет обратную совместимость  с защитой WPA. Для защиты WPA2-персональная доступны алгоритмы шифрования данных TKIP и AES-CCMP.

 

Фильтрация MAC-адресов:

Данный метод не входит в стандарт IEEE 802.11. Фильтрацию можно осуществлять тремя способами:

• Точка доступа позволяет получить доступ станциям с любым MAC-адресом;
• Точка доступа позволяет получить доступ только станциям, чьи MAC-адреса находятся в доверительном списке;
• Точка доступа запрещает доступ станциям, чьи MAC-адреса находятся в “чёрном списке”;

Наиболее надежным с точки зрения безопасности является второй вариант.

 

 

 

 

 

 

 

 

 

 

Аутентификация 802.1X (корпоративная  защита)

Обзор

Аутентификация по стандарту 802.1x - это процесс, независимый от аутентификации по стандарту 802.11. Стандарт 802.11 обеспечивает основы для различных видов аутентификации и протоколов манипулирования ключами. В стандарте 802.1X присутствуют различные  типы аутентификации, каждый из которых  обеспечивает свой подход к установлению подлинности, но все они используют один протокол 802.11 и структуру для  взаимодействия между клиентом и  точкой доступа. В большинстве протоколов после выполнения процесса аутентификации стандарта 802.1X приемная сторона (клиент) получает ключ, который она использует для шифрования данных. При аутентификации по стандарту 802.1X используется метод  установления подлинности между  клиентом и сервером (например, удаленная  аутентификация RADIUS - Remote Authentication Dial-In User Service), к которому подключена точка доступа. Процесс аутентификации использует идентификационную информацию, например, пароль пользователя, который не передается через беспроводную сеть. Большинство видов аутентификации 802.1X поддерживают динамические ключи для пользователя, сеанса и для усиления защиты ключа. Аутентификация 802.1X имеет преимущества перед использованием существующего протокола аутентификации EAP (Extensible Authentication Protocol).

Аутентификация стандарта 802.1x для  беспроводных сетей имеет три  главных компонента:

• Аутентификатор (точка доступа)
• Запросчик (программное обеспечение клиента)
• Сервер аутентификации

Защита аутентификации стандарта 802.1X инициирует запрос на аутентификацию от клиента беспроводной сети в точку  доступа, которая устанавливает  его подлинность через протокол EAP в соответствующем сервере RADIUS. Этот сервер RADIUS может выполнить  аутентификацию пользователя (с помощью  пароля или сертификата) или компьютера (с помощью адреса MAC). Теоретически, клиент беспроводной сети не может  войти в сеть до завершения транзакции. (Не все методы аутентификации используют сервер RADIUS.

Существует несколько аутентификационных алгоритмов, используемых со спецификацией 802.1X. Примеры: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) и протокол аутентификации EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Эти методы используются при идентификации клиента беспроводной локальной сети в сервере RADIUS. Во время аутентификации в сервере RADIUS пользователи проходят проверку в специализированных базах данных. Аутентификация RADIUS основана на наборе стандартов, предназначенных для аутентификации, авторизации и ведения учетных записей (Authentication, Authorization и Accounting - AAA). Сервер RADIUS содержит прокси-процесс для проверки клиентов в многосерверной среде. Стандарт IEEE 802.1X предоставляет механизм для управления и аутентифицированного доступа к беспроводным сетям на основе портов 802.11 и проводных сетей Ethernet. Управление сетевым доступом, основанным на использовании портов, подобно инфраструктуре локальной сети, управляемой с помощью коммутаторов, которая идентифицирует устройство, подключенное к порту ЛС, и запрещает доступ к этому порту, если процесс аутентификации был неудачен.

 

 

 

 

Что такое RADIUS?

RADIUS (Remote Authentication Dial-In User Service) - это сервис протокола клиент-сервер для авторизации, аутентификации и ведения учетных записей (Authorization, Authentication и Accounting - AAA), который используется для регистрации клиентов в сервере сетевого доступа по коммутируемой линии. Обычно сервер RADIUS используется поставщиками услуг доступа в Интернет (Internet Service Providers - ISP) для выполнения задач AAA. Далее описаны фазы AAA:

• Фаза аутентификации (Authentication): Проверяется имя пользователя и пароль в базе данных. После проверки идентификационной информации начинается процесс авторизации.
• Фаза авторизации (Authorization): Определяется, было ли дано разрешение на запрос доступа к ресурсам. Назначается IP-адрес для клиента, выполняющего доступ по коммутируемой линии (Dial-Up).
• Фаза ведения учетной записи (Accounting): Выполняется сбор информации об используемых ресурсах для оценки, аудита, учета времени сеанса или учета стоимости затрат.

Как работает аутентификация 802.1X

Далее представлено упрощенное определение  работы аутентификации стандарта 802.1X:

1. Клиент направляет сообщение с "запросом на доступ" в точку доступа. Точка доступа запрашивает идентификационную информацию клиента.
2. Клиент отвечает пакетом со своей идентификационной информацией, которая переправляется в сервер аутентификации.
3. Сервер аутентификации отправляет пакет подтверждения в точку доступа.
4. Точка доступа переводит порт клиента в авторизованное состояние, после чего возможна отправка данных.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Сетевая аутентификация

WPA-предприятие

Корпоративный режим аутентификации предназначен для использования  в масштабах предприятий или  сетях государственных учреждений. WPA-предприятие проверяет пользователей  сети, используя сервер RADIUS или другой сервер аутентификации. Чтобы обеспечить конфиденциальность и защиту в сети, WPA использует 128-битные ключи шифрования и динамические ключи, создаваемые для каждого. Тип аутентификации выбирается в соответствии с аутентификационным протоколом, используемым сервером 802.1X.

WPA2-предприятие

Аутентификация WPA2-предприятие предназначена  для использования в масштабах  предприятий или сетях государственных  учреждений. WPA2-предприятие проверяет  пользователей сети, используя сервер RADIUS или другой сервер аутентификации. Чтобы обеспечить конфиденциальность и защиту в сети, WPA2 использует 128-битные ключи шифрования и динамические ключи, создаваемые для каждого. Тип аутентификации выбирается в соответствии с аутентификационным протоколом, используемым сервером 802.1X. Корпоративный режим предназначен для использования в масштабах предприятий или сетях государственных учреждений. WPA2 - это усовершенствование защиты WPA, а также полное внедрение стандарта IEEE 802.11i.

Шифрование данных

AES - CCMP

Advanced Encryption Standard - Counter CBC-MAC Protocol (улучшенный стандарт шифрования - протокол Counter CBC-MAC). Это новый метод защиты при беспроводной передаче данных, определенный в стандарте IEEE 802.11i. Протокол AES-CCMP обеспечивает более надежный метод шифрования в сравнении с TKIP. Выберите AES-CCMP в качестве метода шифрования, когда необходима повышенная безопасность данных. Протокол AES-CCMP доступен для сетевой аутентификации WPA/WPA2-персональная/предприятие. Протокол блочного шифрования с кодом аутентичности сообщения (MIC) и режимом сцепления блоков и счётчика.

TKIP

Протокол TKIP (Temporal Key Integrity Protocol) использует функцию смешения содержимого ключа для каждого пакета, проверку целостности сообщений и механизм манипуляций с ключом. Протокол TKIP доступен для сетевой аутентификации WPA/WPA2-персональная/предприятие.

 

 

 

 

 

 

 

Типы аутентификации

TLS

Тип метода аутентификации, использующий протокол EAP и протокол безопасности, именуемый протоколом защиты транспортного  уровня (Transport Layer Security - TLS). EAP - использует асимметричную криптографию для обмена ключами, симметричное шифрование для конфиденциальности и коды аутентичности сообщений для сохранения целостности сообщений. Аутентификация EAP-TLS поддерживает динамическое управление WEP-ключом. Протокол TLS необходим для защиты и аутентификации коммуникаций в сетях общего пользования путем шифрования данных. Протокол квитирования TLS позволяет клиенту и серверу до посылки данных провести взаимную аутентификацию и выработать алгоритм и ключи шифрования.

TTLS

Эти настройки определяют протокол и идентификационную информацию, используемую для аутентификации пользователя. В аутентификации TTLS (Tunneled Transport Layer Security) клиент использует EAP-TLS для проверки подлинности сервера и создания канала между сервером и клиентом, шифрованного с помощью TLS. Клиент может использовать другой аутентификационный протокол. Обычно протоколы на основе паролей используются через необъявляемый, защищенный TLS-шифрованный канал. В настоящее время TTLS поддерживает все методы, применяемые в ЕАР, а также некоторые более старые методы (PAP, CHAP, MS-CHAP и MS-CHAP-V2). TTLS легко расширяется для работы с новыми протоколами посредством установки новых атрибутов для описания новых протоколов.

PEAP

PEAP - это новый аутентификационный протокол EAP (Extensible Authentication Protocol - EAP) стандарта IEEE 802.1X, разработанный для улучшения системы защиты EAP-Transport Layer Security (EAP-TLS) и поддержки различных методов аутентификации, включающих пароли пользователей, одноразовые пароли и карты доступа (Generic Token Cards).

LEAP

Версия протокола аутентификации Extensible Authentication Protocol (EAP). LEAP (Light Extensible Authentication Protocol) представляет собой специальный расширяемый протокол аутентификации, разработанный Cisco, который отвечает за обеспечение процедуры аутентификации "запрос/ответ" и назначение динамического ключа.

EAP-SIM

Протокол EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) - это механизм аутентификации и распространения ключей сеанса. Он использует модуль идентификации подписчика SIM (Subscriber Identity Module) системы глобального позиционирования для мобильных коммуникаций GSM (Global System for Mobile Communications). Аутентификация EAP-SIM использует динамический WEP-ключ, созданный специально для сеанса, полученный для шифрования данных от адаптера клиента или сервера RADIUS. Для EAP-SIM необходим специальный код проверки пользователя или PIN для обеспечения взаимодействия с SIM-картой (Subscriber Identity Module). SIM-карта - это специальная смарт-карта, которая используется в беспроводных цифровых сетях стандарта GSM (Global System for Mobile Communications). Описание протокола EAP-SIM представлено в документации RFC 4186.

 

EAP-AKA

Метод аутентификации EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) - это механизм EAP, используемый для аутентификации и сеанса распространения ключей, используемый подписчиком модуля идентификации USIM (Subscriber Identity Module) универсальной мобильной телекоммуникационной системы UMTS (Universal Mobile Telecommunications System). Карта USIM - это специальная смарт-карта, предназначенная для проверки подлинности пользователей в сотовых сетях.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Протоколы аутентификации