Презентации / 6_7_ProfilingPosture_WirelessSecurityFull
.pdf
Data broadcast / unicast Все используют одинаковый ключ ?
???
§Регламентирующие стандарты и применяемые механизмы и алгоритмы
информационной безопасности
§Иерархия ключей
§Алгоритмы формирования ключей
§Применяемые алгоритмы шифрования
§Протоколы инкапсуляции
100
Протоколы инкапсуляции
§Протоколы инкапсуляции, основное назначение которых обеспечить конфиденциальность и целостность передаваемой информации:
§WEP (Wired Equivalent Privacy) – первый протокол инкапсуляции стандарта 802.11, принятый в 1999 году Институтом инженеров электротехники и электроники.
§TKIP (Temporary Key Integrity Protocol) – протокол
целостности временного ключа.
§CCMP (Counter Mode with Cipher Block Chaining Message Authentication Protocol) – протокол инкапсуляции,
который использует алгоритм блочного шифрования AES в режиме счетчика для шифрования данных и AES в режиме сцепления блоков для выработки кода аутентичности сообщения.
101
TKIP
§TKIP, также, как и WEP использует RC4 для шифрования, но в отличие от него в TKIP присутствует ряд улучшений [10]:
§пофреймовое изменение ключей шифрования. WEP-ключ быстро изменяется, и для каждого фрейма он другой;
§контроль целостности сообщения. Обеспечивается эффективный контроль целостности фреймов данных с целью предотвращения скрытых манипуляций с фреймами и воспроизведения фреймов;
§усовершенствованный механизм управления ключами
Адрес передатчика |
Фаза 1 |
|
|
Временный ключ |
Смешивания |
TTAK |
Фаза 2 |
|
ключей |
|
Смешивания |
TKIP Sequence Counter |
|
|
ключей |
|
|
|
|
Адрес назначения |
|
|
|
Адрес источника |
Michael |
Plaintext |
Фрагментация |
Priority |
MIC |
||
Plaintext MSDU |
|
|
|
MIC Key |
|
|
|
Инкапсуляция WEP
MPDU
102
CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol)
§CCMP - протокол инкапсуляции, который создавался в рамках поправки к стандарту 802.11i для замены TKIP, как более надёжный вариант [10]. CCMP является обязательным для применения в стандарте WPA2, и
необязательным в стандарте WPA. CCMP использует
блочный шифр Advanced Encryption Standard (AES) вместо потокового шифра RC4 в WPE и TKIP. Для шифрования данных CCMP использует шифр AES в режиме счетчика (Counter Mode) и для обеспечения целостности и аутентичности сообщений AES в режиме сцепления блоков
(Cipher Block Chaining)
103
Структурная схема протокола инкапсуляции
CCMP
|
Создание |
|
|
AAD |
|
поле A2, priority |
Создание |
Шифрован |
|
Nonce |
|
|
ие CCM |
|
|
|
|
|
Данные |
|
Временный ключ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Увеличение PN |
|
|
Номер пакета |
|
|
|
|
|
|
|
|
|||
|
|
на единицу |
|
Формирование |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
заголовка CCMP |
|
|
|
|
|
|
Зашифрованный MPDU
104
Структурная схема протокола декапсуляции
CCMP
Создание
AAD
Зашифрованный MIC
MPDU |
поле A2, priority |
Создание |
Nonce
Данные
Временный ключ
Шифрование
CCM
Конкантенация
Проверка номера 
пакета
105
Security Policy Logic
124
ИТОГ
§Регламентирующие стандарты и применяемые механизмы и алгоритмы
информационной безопасности
§Иерархия ключей
§Алгоритмы формирования ключей
Data broadcast / unicast Все используют одинаковый ключ ?
???
IEEE 802.11,
WPA2 PSK/Enterprise
RC4
§ Применяемые алгоритмы шифрования AES Режим счетчика(Counter mode)
AES Режим сцепления блоков (CBC)
§ Протоколы инкапсуляции |
WEP |
|
TKIP |
|
|
|
CCMP |
125 |
|
|
Подключение к сети
Аутентификация Ассоциация
OPEN |
(выделение ID |
|
на точке |
||
SHARED |
||
доступа) |
||
|
Дополнительные
механизмы ИБ?
|
х4 |
Personal |
рукопожстороннее ключейвыработка( |
|
|
PSK |
|
Enterprise |
|
802.1x/ |
атие ) |
EAP/RADIUS |
None
Веб Аутентификация / Портал
126
Security Policy Logic
§ 802.11 Аутентификация (Layer 2)
Аутентификация
a)Shared key Authentication — аутентификация с общим ключом. Доступ разрешается лишь тем клиентам, которые прошли проверку, используя общий ключ. (WEP, WPA-PSK, WPA2-PSK
b)Enterprise Authentication — аутентификация по EAP
(Extensible Authentication Protocol), индивидуальным ключом для каждого пользователя. Доступ разрешается лишь тем клиентам, которые прошли проверку, используя индивидуальный ключ или сертификат. Используется
RADIUS сервер. (WPA-Enterprise, WPA2-Enterprise)
§DHCP (запрет статических IP, привязка IP-MAC, Option 82 в DHCP запросе) (Layer 3)
§Web аутентификация
127