від атак типу "man-in-middle", "Session hihacking" чі атаки по словнику.
На рис.1 показана структура ЕАР кадру. Протокол РРР засвітівся там того, что ізначально ЕАР планувався до Використання поверх РРР тунелей. Альо так як Використання цього протоколу Тільки для аутентіфікації по локальній мережі - Зайве збітковість, ЕАР - ПОВІДОМЛЕННЯ упаковуються в "ЕАР over LAN "(EAPOL) пакети, Які и Використовують для обміну інформацією между Клієнтом и аутентіфікатором (точкою доступу).
В
Рис.1 структура ЕАР кадру
В
Рис.2. 802.1 в Дії
4. Варіант! Застосування аутентіфікації в безпроводовий комп "ютерних Мережа
Схема аутентіфікації Складається з трьох компонентів:
- Supplicant - софт, запущений на клієнтській машіні, Який намагається підключітісь до мережі;
- Autentificator - Вузол доступу, аутентіфікатор (безпроводовий точка доступу чг провідний комутатор з підтрімкою протоколу 802.1х);
- Autentification Server - сервер аутентіфікації (звичайна це RADIUS - Сервер). p> Розглянемо сам процес аутентіфікації. ВІН Складається з Наступний стадій:
1. Клієнт может Відправити запит на аутентіфікацію (EAP-start message) в Напрямки точки доступу.
2. Точка доступу (аутентіфікатор) у відповідь посілає клієнту запит на ідентіфікацію клієнта (EAP-request/identity message). Аутентіфікатор может відіслаті EAP-request самостійно, ЯКЩО побачим, что який-небудь з его портів перейшов в активний стан.
3. Клієнт у відповідь посілає EAP-response packet з необхіднімі Даними, Які точка доступу (аутентіфікатор) перенаправляє в Бік RADIUS - Сервера (сервера аутентіфікації). p> 4. Сервер аутентіфікації посілає аутентіфікатору challenge-пакет (Запит ІНФОРМАЦІЇ про справжність клієнта). Аутентіфікатор пересілає его клієнту.
5. Далі здійснюється процес взаємної ідентіфікації сервера и клієнта. Кількість стадій Пересилка пакетів туди-сюди варіює в залежності від методу ЕАР, альо для безпроводовий мереж Підходить позбав "strong" аутентіфікація Зі взаємною аутентіфікацією клієнта и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP ) I попереднім шифрування каналу зв "язку. p> 6. На наступній стадії, сервер аутентіфікації, отримай від клієнта необхідну інформацію, дозволяє (accept ) Чі забороняє (reject ) Того доступ, з Пересилка даного ПОВІДОМЛЕННЯ аутентіфікатору. Аутентіфікатор відкріває порт для Supplicant-a, ЯКЩО зі сторони RADIUS - Сервера прийшла позитивна відповідь (accept ). p> 7. Порт відкрівається, аутентіфікатор пересілає клієнту ПОВІДОМЛЕННЯ про успішне Завершення процеса и клієнт отрімує доступ в ятір.
8. После Відключення клієнта, порт на точці доступу вновь переходити у стан "Закрито".
Описаний процес проілюстровано на рис.3 (один з найпростішіх методів ЕАР):
В
Рис.3. Процес аутентіфікації
Як видно з малюнка, для комунікації между Клієнтом (supplicant ) I Точки доступу (autentificator ) Використовують пакети EAPOL. Протокол RADIUS вікорістовується для обміну інформацією между точками доступу и RADIUS-сервером. При транзітній пересілці ІНФОРМАЦІЇ между Клієнтом и сервером аутентіфікації пакети ЕАР переупаковуються з одного формату в Інший на аутентіфікаторі.
першочергових аутентіфікація здійснюється на Основі загально даніх, про Які Знають и клієнт, и сервер аутентіфікації (логін-пароль, сертифікат ТОЩО) - на цьом етапі генерується Master Key. Вікорістовуючі Master Key, сервер аутентіфікації и клієнт генерують парний майстер-ключ (Pairwise Master Key ), Який передається аутентіфікатору зі сторони сервера аутентіфікації. А Вже на Основі Pairwise Master Key и генеруються ВСІ Інші дінамічні ключі, Яким и закрівається передаваємій Трафік. Звітність, відмітіті, что сам Pairwise Master Key теж дінамічно змінюється.
Кілька слів про цифрові сертифікати, а точніше про РКІ.
Public Key Infrastructure (PKI) - інфраструктура відкритих ключів. РКІ Забезпечує создания цифрових Сертифікатів (за заздалегідь Завдань правилами), управління ними, видача їх суб "єктам и відклік (Анулювання). Крім того, РКІ Забезпечує можлівість перевіркі валідності Сертифікатів. Інфраструктура базується на кріптографії з відкрітім ключем. А вона, у свою черго, Дає можлівість, маючі на руках парі ключів (Відкритий и особистий), шіфруваті інформацію одним з ціх ключів так, щоб Розшифрувати ее можна Було Тільки іншім ключем.
Наприклад, зашіфрувавші інформацію особіст ключем (Який є Тільки у власника и Нікому НЕ передається), ее можна Розшифрувати відкрітім, загальнодоступнім ключем (це назівається асиметрічними шифрування). Тім самим засвідчується, что інформація прийшла самє до власника закритого ключа и ні від кого Іншого. І навпаки, можна Зашифрувати інформацію відкрітім ключем власника и відіслаті ее отримувачу. Даже ЯКЩО хтось по дорозі перехопіть ПОВІДОМЛЕННЯ, ВІН Не зможу его Прочитати, так як НЕ володіє особіст ключем отримувача.
Для п...
