Презентации / 6_7_ProfilingPosture_WirelessSecurityFull
.pdfФормирование ключей
Аутентификация |
Ассоциация |
Personal |
( |
стороннх4 рукопожат |
TK |
MIC |
802.1x/ |
клвыработка |
|
||
PSK |
|
|
|
|
Enterprise |
|
|
PTK |
|
ючей |
|
|
|
|
EAP/RADIUS |
ее ие |
KCK |
|
|
|
|
|
||
|
|
|
|
|
MSK |
) |
|
|
|
|
|
|
KEK |
GTK |
|
|
|
|
None
Веб Аутентификация / Портал
89
Формирование ключей PSK / PMK
90
https://www.youtube.com/watch?v=9_50DGXY70c&list=PLOJ90lZMljFeN3fidscJKrV |
|
_XhvRz_QSc&index=8 |
91 |
|
Аутентификация предустановленным ключом
2. Аутентификаци я SAE
1.политики безопасности точки
доступа через пассивный
Станция |
мониторинг с помощью beacon- |
Точка доступа |
|
фреймов |
|
IEEE 802.11 SAE аутентификация (Предварительное сообщение)
IEEE 802.11 SAE аутентификация (Предварительное сообщение)
IEEE 802.11 SAE Аутентификация (Подтверждающее сообщение)
IEEE 802.11 SAE аутентификация (Подтверждающее сообщение)
Pairwise Master Key – PMK (парный мастер-ключ )
3) 4-way handshake |
Pairwise Transient Key - PTK |
92
Аутентификация по протоколу EAP/ Архитектура IEEE 802.1x
EAP (Extensible Authentication Protocol - расширяемый протокол аутентификации)
EAPoL (EAP over Lan)
Клиент (Supplicant)
Начало
Запрос идентификации
Ответ идентификации
Запрос 1 Ответ 1
Запрос n
Ответ n
Успешно
Аутентификатор (Authenticator)
Ответ идентификации Запрос 1
Ответ 1
Запрос n Ответ n
Успешно
Сервер аутентификации (Authentication server)
94
Аутентификация по протоколу EAP/ Архитектура IEEE 802.1x
1) Станция узнает политики безопасности точки доступа через пассивный мониторинг с помощью beacon-фреймов, или
через активное прослушивание
Станция |
|
Точка доступа |
|
|
|
IEEE 802.11 Проверочный запрос
IEEE 802.11 Ответ на проверочный запрос (Параметры безопасности)
IEEE 802.11 Запрос открытой аутентификации
IEEE 802.11 Ответ на запрос открытой аутентификации
IEEE 802.11 Запрос соединения
IEEE 802.11 Ответ на запрос соединения
95
Аутентификация по протоколу EAP
§2)Если обнаруживается, что аутентификатор использует аутентификацию по протоколу 802.1x, клиент отправляет EAPoLStart (опционально) или аутентификатор отправляет Probe Request и начинается процесс установления соединения по протоколу EAP
Станция |
|
Аутентификатор |
|
Сервер |
|
|
аутентификации |
||
|
|
|
|
EAP Authentication protocol exchange
802.1x EAP Success
Контролируемый порт блокируется для станции
96
Аутентификация по протоколу EAP
§3)Клиент и аутентификатор проверяют подлинность друг друга и переходят к процессу, называемому четырехстороннее рукопожатие (4-way handshake) для
выработки ключей
97
Аутентификация по протоколу EAP
§4)Четырехстороннее рукопожатие
завершает процедуру аутентификации по протоколу 802.1x [19]. Процедура инициируется аутентификатором, при этом используется формат пакета EAPoLkey, и предназначена для выполнения следующих операций:
подтверждения того, что сторонам,
участвующие в процессе аутентификации известен текущий
парный мастер-ключ.
§выработка нового парного передаточного ключа из парного мастер-ключа.
§подтверждения соответствия сторон возможностям RSN
§соглашение о выборе шифровального набора (cipher suite)
– набора алгоритмов
предназначенных для обеспечения конфиденциальности, целостности и аутентичности данных.
98
Аутентификация по протоколу EAP
§4)Четырехстороннее рукопожатие завершает процедуру аутентификации по протоколу 802.1x [19]. Процедура инициируется аутентификатором, при этом используется формат пакета EAPoL-key, и предназначена для выполнения следующих операций: подтверждения того, что сторонам,
участвующие в процессе аутентификации известен текущий
парный мастер-ключ.
§выработка нового парного передаточного ключа PTK из парного мастер-ключа PMK.
§подтверждения соответствия сторон возможностям RSN
§соглашение о выборе шифровального набора (cipher suite) –
набора алгоритмов предназначенных для обеспечения конфиденциальности, целостности и аутентичности данных.
99