дключитися до неї можна тільки в тому випадку, якщо, по-перше, точно відомий її SSID, а по-друге, заздалегідь створений профіль підключення до цієї мережі.
Механізми роботи WPA
В
Технологія WPA була тимчасовою мірою до введення в експлуатацію стандарту 802.11i. Частина виробників до офіційного прийняття цього стандарту ввели в обіг технологію WPA2, в якій в тій чи іншій мірі використовуються технології з 802.11i. Такі як використання протоколу CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), натомість TKIP, в якості алгоритму шифрування там застосовується вдосконалений стандарт шифрування AES (Advanced Encryption Standard). А для управління і розподілу ключів як і раніше застосовується протокол 802.1x. br/>
Аутентифікація користувача
Як вже було сказано вище, протокол 802.1x може виконувати декілька функцій. У даному випадку нас цікавлять функції аутентифікації користувача і розподілу ключів шифрування. Необхідно відзначити, що аутентифікація відбувається В«на рівні портуВ» - тобто поки користувач не буде аутентифікований, йому дозволено посилати/приймати пакети, що стосуються тільки процесу його аутентифікації (облікових даних) і не більше того. І тільки після успішної аутентифікації порт пристрою (будь то точка доступу або розумний комутатор) буде відкритий і користувач отримає доступ до ресурсів мережі. p> Стандарт WPA використовує 802.1x та розширений протокол аутіфікаціі (Extensible Authentication Protocol, EAP) у якості основи для механізму аутентифікації.
Аутентифікація вимагає, щоб користувач пред'явив свідчення/мандат (credentials) того, що йому дозволено отримувати доступ в мережу. Для цього права користувача перевіряються за базі даних зареєстрованих користувачів. Для роботи в мережі користувач повинен обов'язково пройти через механізм аутентифікації. p> База даних і система перевірки в великих мережах звичайно належать спеціального сервера - найчастіше RADIUS (централізований сервер аутентифікації). p> Сервер RADIUS спочатку перевіряє аутентифицирующей інформацію користувача (на відповідність вмісту своєї бази даних про ідентифікатори і паролі користувачів) або його цифровий сертифікат, а потім активізує динамічну генерацію ключів шифрування точкою доступу і клієнтською системою для кожного сеансу зв'язку.
Однак, оскільки застосування WPA мається на увазі всіма категоріями користувачів бездротових мереж, стандарт має спрощ ВЁ нний режим, який не вимагає використання складних механізмів. p> Цей режим називається Pre-Shared Key (WPA-PSK) - при його використанні необхідно ввести один пароль на кожен вузол бездротової мережі (точки доступу, бездротові маршрутизатори, клієнтські адаптери, мости). До тих пір, поки паролі збігаються, клієнту буде дозволений доступ в мережу. p> Функції аутентифікації покладаються на протокол EAP, який сам по собі є лише каркасом для методів аутентифікації. Вся принадність протоколу в тому, що його дуже просто реалізувати на аутентифікаторі (точці доступу), так як їй не потрібно знати ніяких специфічних особливостей різних методів аутентифікації. Аутентифікатор служить лише передавальною ланкою між клієнтом і сервером аутентифікації. Методів ж аутентифікації, яких існує досить багато:
EAP методи аутентифікації:
Message Digest 5 (MD5) - процедура односторонньої аутентифікації саппліканта сервером аутентифікації, заснована на застосуванні хеш-суми MD5 імені користувача та пароля як підтвердження для сервера RADIUS. Даний метод не підтримує ні управління ключами, ні створення динамічних ключів. Тим самим виключається його застосування в стандарті 802.11i і WPA. p> Transport Layer Security (TLS) - процедура аутентифікації, яка передбачає використання цифрових сертифікатів Х.509 в рамках інфраструктури відкритих ключів (Public Key Infrastructure - PKI). EAP-TLS підтримує динамічне створення ключів і взаємну аутентифікацію між сапплікантом і сервером аутентифікації. Недоліком даного методу є необхідність підтримки інфраструктури відкритих ключів. p> Tunneled TLS (TTLS) - EAP розширює можливості EAP-TLS. EAP-TTLS використовує безпечне з'єднання, встановлене в результаті TLS-квітірованія для обміну додаткової інформацією між сапплікантом і сервером аутентифікації. p> Так само існують і інші методи:
EAP-SIM, EAP-AKA - використовуються в мережах GSM мобільного зв'язку
LEAP - пропреоретарний метод від Cisco systems
EAP-MD 5 - найпростіший метод, аналогічний CHAP (не стійка)
EAP-MSCHAP V2 - метод аутентифікації на основі логіна/пароля користувача в MS-мережах
EAP-TLS - аутентифікація на основі цифрових сертифікатів
EAP-SecureID - метод на основі одноразових паролів
Крім перерахованих вище, слід відзначити наступні два методи, EAP-TTLS і EAP-PEAP. На відміну від попередніх, ці два методи перед безпосередньою аутентифікацією користувача спочатку утворюють ...
