ідно зробити для того, щоб забезпечити проведення захищеної аутентифікації в бездротових LAN.
У стандарті 802.11 не визначені основні компоненти, здатні забезпечити ефективну аутентифікацію (вони перераховані нижче).
Централізована аутентифікація, орієнтована на користувача.
Динамічно шіфруемие ключі.
Управління зашифрованими ключами.
Взаємна аутентифікація.
Аутентифікація, орієнтована на користувача, надзвичайно важлива для забезпечення захисту мережі. Аутентифікація, орієнтована на пристрої, подібна відкритої аутентифікації і аутентифікації з спільно використовуваних ключем, не спроможна перешкодити неавторизованим користувачам скористатися вповноваженим пристроєм. З цього випливає, що при втраті або крадіжці такого пристрою або після закінчення роботи за наймом адміністратор мережі буде змушений вручну змінювати ключі всіх точок доступу і клієнтів мережі стандарту 802.11. При централізованому, орієнтованому на користувача управлінні через сервер аутентифікації, авторизації та обліку (authentication, authorization, and accounting, AAA), такий як. RADIUS, адміністратор може заборонити доступ до мережі окремим користувачам, а не їх пристроям.
Вимога проводити аутентифікацію, орієнтовану на користувача, має позитивний побічний ефект: наявність окремих ключів шифрування для кожного користувача. Різновиди аутентифікації, які підтримують створення динамічних ключів шифрування, добре підходять для поліпшення захисту бездротових LAN і моделі управління ними. Динамічні ключі, індивідуальні для кожного користувача, звільняють адміністратора мережі від необхідності використання статично керованих ключів. Ключі шифрування динамічно призначаються і анулюються, коли користувач проходить процедуру аутентифікації або виходить з мережі. Для того щоб видалити будь-якого користувача з мережі, досить анулювати його обліковий запис, і він втратить можливість доступу до мережі.
Взаємна аутентифікація - це аутентифікація двостороння. Її "Двостороння" природа зумовлена ​​тим, що не тільки мережа аутентифікує клієнта, але і клієнт аутентифікує мережу. При відкритій аутентифікації і аутентифікації з спільно використовуваних ключем точка доступу або мережу аутентифікує клієнта. Останній не знає напевно, що підключився саме до тієї мережі, до якої потрібно, оскільки в стандарті 802.11 не передбачений механізм, що дозволяє клієнту аутентифікувати мережу. В результаті належить зловмиснику точка доступу або клієнтська станція може видати себе за "законну" точку доступу і пошкодити дані на клієнтській машині. На рис. 15 представлені діаграми, що ілюструють процеси односторонньою і взаємної аутентифікації.
В
Рис. 15. Одностороння і взаємна аутентифікація
Постачальники мереж стандарту 802.11 і IEEE усвідомлюють необхідність посилення і заміни існуючих механізмів забезпечення захисту - і аутентифікації, і шифрування. Дослідницька група I робочої групи стандарту 802.11 зараз працює над цим, і після того як зміни будуть повністю підготовлені, специфікації по захисту будуть затверджені як специфікації стандарту 802.11i.
IEEЕ почав боротьбу з дефектами механізму аутентифікації стандарту 802.11 з прийняття базової аутентифікації, що відповідає стандарту 802.1X. Стандарт 802.1X представляє собою стандарт IEEE, який відноситься до всіх топологиям канального рівня серії стандартів 802 і дозволяє нарощувати його механізми аутентифікації до таких, зазвичай реалізуються на більш високих рівнях. Стандарт 802.1X заснований на принципах аутентифікації, характерних для протоколу типу "Точка-точка" (Point-to-Point Protocol, PPP), і називається розширюваний протокол аутентифікації (Extensible Authentication Protocol, EAP). Попросту кажучи, стандарт 802.1X інкапсулює повідомлення для використання їх на рівні 2. Стандарт 802.11i включає базову аутентифікацію стандарту 802.1X, вимагаючи, щоб вона застосовувалася для аутентифікації користувачів. На рис. 16 представлений стандарт 802.1X в частині алгоритму аутентифікації і топологій канального рівня серії стандартів 802.
В
Рис. 16. Стандарт 802.1 X і топології канального рівня
Протокол ЕАР (RFC 2284) і стандарт 802.1X не регламентують використання особливого алгоритму аутентифікації. Адміністратор мережі може застосовувати відповідну протоколу ЕАР різновид аутентифікації - Або 802.1X, або ЕАР. Єдине вимога - щоб як клієнт стандарту 802.11 (тут він називається прохачем (supplicant)), так і сервер аутентифікації підтримували алгоритм ЕАР-аутентифікації. Така відкрита і розширювана архітектура дозволяє використовувати базову аутентифікацію в різних умовах, і в кожній ситуації можна застосовувати підходящу різновид аутентифікації.
Нижче наведені приклади типів ЕАР-аутентифікації.
В· ЕАР захисту транспо...
