-ключі. Процес аутентифікації з спільно використовуваних ключем здійснюється наступним чином.
1. Клієнт посилає точці доступу запит на аутентифікацію з спільно використовуваних ключем.
2. Точка доступу відповідає фреймом виклику (challenge frame), що містить відкри-тий текст.
3. Клієнт шифрує виклик і посилає його назад точки доступу.
4. Якщо точка доступу може правильно розшифрувати цей фрейм і отримати свій вихідний виклик, клієнту надсилається повідомлення про успішну аутентифікації.
5. Клієнт отримує доступ до WLAN. p> Передумови, на яких заснована аутентифікація з спільно використовуваним ключем, точно такі ж, як і ті, які передбачалися при відкритої аутентифікації, що використовує WEP-ключі в якості засобу контролю доступу. Різниця між цими двома схемами полягає в тому, що клієнт не може асоціювати себе з точкою доступу при використанні механізму аутентифікації з спільно використовуваним ключем, якщо його ключі не налаштований належним чином. На рис. 9 схематично представлений процес аутентифікації з спільно використовуваних ключем.
В
Рис. 9. Процес аутентифікації з спільно використовуваних ключем
Аутентифікація з використанням МАС-адрес
Аутентифікація з використанням МАС-адрес не специфіковані стандартом 802.11. але забезпечується багатьма виробниками. У ході аутентифікації з використанням МАС-адрес перевіряється відповідність МАС-адреси клієнта локально сконфігурованої списку дозволених адрес або списку, що зберігається на зовнішньому аутентификационного сервері (рис. 10). Аутентифікація з використанням МАС-адрес посилює дію відкритої аутентифікації і аутентифікації з спільно використовуваних ключем, забезпечуваними стандартом 802.11, потенційно знижуючи тим самим імовірність того, що неавторизовані пристрої отримають доступ до мережі. Наприклад, адміністратор мережі може побажати обмежити доступ до певної точки доступу для трьох конкретних пристроїв. Якщо всі станції і всі точки доступу BSS використовують однакові WEP-ключі, при використанні відкритої аутентифікації і аутентифікації з спільно використовуваних ключем такий сценарій реалізувати важко. Щоб посилити дію механізму аутентифікації стандарту 802.11, він може застосувати аутентифікацію з використанням МАС-адрес.
В
Рис. 10. Процес аутентифікації з використанням МАС-адрес
Уразливість системи захисту стандарту 802.11
У попередньому розділі розповідалося про тому, як здійснюються аутентифікація та шифрування при використанні пристроїв стандарту 802.11. Не секрет, що система зашиті, специфіковані в стандарті 802.11, недосконала. Незабаром після затвердження стандарту 802.11 з'явилися статті, в яких вказувалися слабкі місця механізму аутентифікації стандарту 802.11 і шифрування за алгоритмом WEP. h2> Уразливість відкритої аутентифікації
При використанні механізму відкритої аутентифікації точка доступу не має можливості перевірити правомочність клієнта. Відсутність такої можливості є недоліком системи захисту, якщо в бездротової локальної мережі не використовується WEP-шифрування. Навіть при використанні і клієнтом, і точкою доступу статичного WEP механізм відкритої аутентифікації не надає коштів для визначення того, хто використовує пристрій WLAN. Авторизоване пристрій у руках неавторизованого користувача - це загроза безпеці, рівносильна повного відсутності будь-якого захисту мережі!
Уразливість аутентифікації з спільно використовуваним ключем
У разі аутентифікації з спільно використовуваних ключем необхідно, щоб клієнт використовував заздалегідь виділений для спільного використання ключ і шифрував текст дзвінка, отриманого від точки доступу. Точка доступу аутентифікує клієнта шляхом розшифровки зашифрованого за допомогою спільно використовуваного ключа відповіді і перевірки того, що отриманий текст дзвінка повністю відповідає відправленому.
Процес обміну текстом виклику здійснюється по бездротовому каналу зв'язку і є вразливим для атаки, можливою при знанні відкритого тексту. Ця вразливий-тість у разі аутентифікації з спільно використовуваних ключем обумовлена ​​математичними методами, що лежать в основі шифрування. Раніше в цій главі говорилося про те, що процес кодування полягає в перемішуванні відкритого тексту з ключовим потоком і отриманні в результаті зашифрованого тексту. Процес перемішування являє собою виконання двійковій математичної операції, яка називається "виключає АБО" (XOR). Якщо відкритий текст перемішати з відповідним зашифрованим текстом, в результаті виконання цієї операції буде отримана наступна пара: ключовий потік, використовуваний для WEP-ключа, і вектор ініціалізації (Рис. 11). p> Зловмисник може захопити як відкритий, так і зашифрований текст відповіді. Виконавши над цими значеннями операцію "виключає АБО", він може отримат...
