Menu

IEEE 802.11 e 802.11i LAN sem fio e padrões de autenticação 802.1x

  • Principal
  • Outro
  • IEEE 802.11 e 802.11i LAN sem fio e padrões de autenticação 802.1x

ieee 802 11 802 11i wireless lan

Experimente Nosso Instrumento Para Eliminar Problemas

Uma análise aprofundada dos recursos aprimorados dos protocolos de segurança de rede: LAN sem fio 802.11 e 802.11i e padrões de autenticação 802.1x

Em nosso tutorial anterior, exploramos o protocolos de segurança de rede baseados na arquitetura AAA e protocolos 802.1x padrão IEEE para autenticação.

qual é o melhor bloqueador de anúncios para cromo

Nesta parte sequencial, vamos nos aprofundar em mais alguns protocolos de segurança de rede junto com seus recursos aprimorados.

Leitura sugerida => Série de tutoriais sobre noções básicas de rede de computadores

Vamos explorar!!

PROTOCOLO DE SEGURANÇA DE ACESSO À REDE PARTE 2

O que você aprenderá:

Autenticação e associação 802.11

Requer um dispositivo sem fio como uma estação móvel chamada STA e um ponto de acesso (AP).

O conceito de autenticação 802.11 está entre a construção da identificação e autenticação entre o STA e o AP. O AP pode ser um roteador ou switch. Não há criptografia da mensagem envolvida neste processo.

Autenticação

Existem dois tipos de autenticação, conforme mencionado abaixo:

  • Sistema de chave aberta
  • Sistema de chave compartilhada

Autenticação de chave aberta:

A solicitação de autenticação é enviada do usuário cliente para o ponto de acesso que contém a chave de privacidade equivalente com fio (WEP) para autenticação. Em resposta, o ponto de acesso (AP) envia uma mensagem de sucesso somente se a chave WEP do cliente e do AP corresponderem uma à outra, caso contrário, ele fará circular uma mensagem de falha.

Autenticação de chave compartilhada:

Neste método, o AP flutua uma mensagem de texto de desafio não criptografada para o cliente que tenta se comunicar com o ponto de acesso. O dispositivo cliente que está apelando para a autenticação criptografa a mensagem e a envia de volta ao AP.

Se a criptografia da mensagem for encontrada, o AP permite que o dispositivo cliente seja autenticado. Como ele usa a chave WEP neste método, o AP está aberto a ataques de vírus apenas avaliando a chave WEP e, portanto, é menos seguro para o processo de autenticação.

Método de chave WPA (Wi-Fi Protected Access): Este método fornece o nível aprimorado de recursos de segurança de dados para dispositivos sem fio. Isso também é compatível com o método 802.11i. No WPA-PSK, uma chave pré-compartilhada é gerada antes do início do processo de autenticação.

Tanto o cliente quanto o AP usam PSK como PMK, chave mestra de pares para autenticação usando um método de autenticação EAP.

Associação

Após a conclusão do processo de autenticação, o cliente sem fio pode se associar e se inscrever com o ponto de acesso, que pode ser um roteador ou switch. Após a associação, o AP salva todas as informações necessárias sobre o dispositivo ao qual está associado para que os pacotes de dados possam ser destinados com precisão.

Processo de Associação:

  1. Quando a autenticação é feita, o STA envia um pedido de associação ao AP ou roteador.
  2. Em seguida, o AP processará o pedido de associação e o concederá com base no tipo de pedido.
  3. Quando o AP permite a associação, ele retorna ao STA com um código de status 0, o que significa sucesso e com o AID (ID de associação).
  4. Se a associação falhar, o AP reverte com o fim da resposta do procedimento e com um código de status de falha.

Protocolo 802.11i

O 802.11i usa um protocolo de autenticação que foi usado no 802.1x com alguns recursos aprimorados, como um handshake de quatro vias e um handshake de chave de grupo com chaves criptográficas adequadas.

Este protocolo também fornece recursos de integridade e confidencialidade de dados. O início da operação do protocolo ocorre com o processo de autenticação que foi feito pela troca EAP com a empresa do servidor de autenticação seguindo as regras do protocolo 802.1x.

Aqui, quando a autenticação 802.1x é feita, uma chave secreta conhecida como chave mestra de pares (PMK) é desenvolvida.

Aperto de mão de quatro vias

Aqui, o autenticador é conhecido como ponto de acesso e o suplicante é o cliente sem fio.

Neste handshake, tanto o ponto de acesso quanto o cliente wireless precisam verificar se estão familiarizados com o PMK um do outro, sem revelá-lo. As mensagens entre os dois são compartilhadas de forma criptografada e apenas eles têm a chave para descriptografar as mensagens.

Outra chave conhecida como chave transitória em pares (PTK) é usada no processo de autenticação.

Consiste nos seguintes atributos:

  1. PMK
  2. Ponto de acesso nonce
  3. Estação cliente nonce (STA nonce)
  4. Endereço MAC do ponto de acesso
  5. Endereço STA MAC

A saída é então plantada na função pseudo-aleatória. O handshake também capitula a chave temporal de grupo (GTK) para descriptografia na extremidade do receptor.

perguntas da entrevista sobre serviços web rest java

O processo de handshake é o seguinte:

  • O AP circula um ponto de acesso nonce para a STA em associação com um contador de chaves, o número utiliza totalmente a mensagem enviada e rejeita a entrada duplicada. STA agora está pronto com os atributos necessários para construir o PTK.
  • Agora o STA envia o STA nonce ao AP junto com o código de integridade da mensagem (MIC), incluindo a autenticação e o contador de chave, que é o mesmo enviado pelo AP para que ambos coincidam.
  • O AP valida a mensagem examinando o MIC, o AP Nonce e o contador principal. Se tudo estiver ok, então ele circula o GTK com outro MIC.
  • A STA valida a mensagem recebida examinando todos os contadores e, finalmente, envia uma mensagem de reconhecimento ao AP para confirmação.

Handshake de 4 vias em 802.11i editado

Aperto de mão de chave de grupo

O GTK é usado sempre que uma determinada sessão expira e é necessária uma atualização para iniciar uma nova sessão na rede. O GTK é usado para proteger o dispositivo contra o recebimento de mensagens do tipo broadcast de outros recursos de outro AP.

O handshake de chave de grupo consiste em um processo de handshake bidirecional:

  1. O ponto de acesso circula um novo GTK para cada estação cliente presente na rede. O GTK é criptografado usando 16 bytes da chave de criptografia de chave EAPOL (KEK) alocada para aquela estação cliente específica. Também evita a manipulação de dados usando MIC.
  2. A estação cliente reconhece o novo GTK recebido e então encaminha a resposta para o ponto de acesso.

O handshake bidirecional ocorre da maneira mencionada acima.

802.1X

É um padrão baseado em porta para controle de acesso à rede. Ele fornece o processo de autenticação para dispositivos que desejam se comunicar na arquitetura LAN ou WLAN.

A autenticação 802.1X inclui três participantes, ou seja, um suplicante, um autenticador e um servidor de autenticação. O suplicante será o dispositivo final, como um laptop, PC ou tablet, que deseja iniciar a comunicação pela rede. O suplicante também pode ser um aplicativo baseado em software executado no PC host do cliente.

O suplicante também fornece as credenciais ao autenticador. O autenticador é a máquina como um switch Ethernet ou WAP e o servidor de autenticação é um dispositivo host final remoto que está executando o software e apoiando os protocolos de autenticação.

O autenticador se comporta como uma proteção de segurança para a rede protegida. O cliente host que iniciou a comunicação não tem permissão para acessar o lado protegido da rede por meio do autenticador, a menos que sua identidade tenha sido validada e autenticada.

Ao usar 802.1X, o suplicante fornece as credenciais como assinatura digital ou nome de usuário e senha de login ao autenticador, e o autenticador o redireciona para o servidor de autenticação para autenticação.

Se as credenciais forem genuínas, o dispositivo host terá permissão para acessar os recursos situados no lado protegido da rede.

Etapas envolvidas no processo de autenticação:

  • Inicialização: Este é o primeiro passo. Quando um novo suplicante chega, a porta no autenticador é definida como habilitada e colocada em um estado “não autorizado”.
  • Iniciação: Para iniciar o processo de autenticação, o autenticador transmitirá os quadros de identidade da solicitação EAP em um intervalo de tempo regular para o endereço MAC do segmento de dados da rede. O suplicante analisa o endereço e o reverte e envia o quadro de identidade de resposta EAP que consiste em um identificador do suplicante como uma chave secreta.
  • Negociação: Nesta fase, o servidor volta a responder ao autenticador, tendo um pedido EAP informando o esquema EAP. A solicitação EAP é encapsulada no quadro EAPOL pelo autenticador e a envia de volta ao suplicante.
  • Autenticação: Se o servidor de autenticação e o suplicante consentirem no mesmo método EAP, a solicitação EAP e a troca de mensagens de resposta EAP ocorrerão entre o suplicante e o servidor de autenticação até que o servidor de autenticação responda com uma mensagem de sucesso de EAP ou de falha de EAP .
  • Após a autenticação bem-sucedida, o autenticador coloca a porta no estado “autorizado”. Assim, todos os tipos de fluxo de tráfego são permitidos. Se a autorização falhar, a porta será mantida em um estado “não autorizado”. Sempre que o cliente host está fazendo logoff, ele envia uma mensagem de logoff EAPOL para o autenticador, o que novamente coloca a porta em um estado “não autorizado”.

Processo de autenticação 802.1x

Processo de autenticação 802.1x

Conclusão

Aqui, neste tutorial, exploramos o funcionamento dos protocolos de autenticação 802.11, 802.11i e 802.1x.

O sistema de rede se torna mais seguro, implantando o método EAP para autenticação e usando autenticação mútua tanto no cliente quanto no ponto de acesso usando diferentes tipos de métodos de chave de criptografia.

PREV Tutorial | PRÓXIMO Tutorial

Leitura recomendada

^