ртного
рівня (EAP-transport layer security, EAP-PEAP). Працює аналогічно протоколу захищених сокетів (secure sockets layer, SSL).
Взаємна аутентифікація виконується з використанням цифрових сертифікатів на стороні сервера для створення SSL-тунелю для клієнта, що здійснює захищену аутентифікацію в мережі.
EAP-Message Digest 5 (EAP-MD5). Аналогічно протоколу аутентифікації з попередніми узгодженням виклику (challenge handshake authentication protocol, CHAP), EAP - MD5 забезпечує роботу алгоритму односторонньої аутентифікації з використанням пароля.
EAP- Cisco . ЕАР-аутентифікація типу EAP- Cisco, яку називають також LEAP , була першою, визначеної для застосування спеціально в бездротових LAN . EAP -Cisco - це алгоритм взаємної аутентифікації з використанням пароля.
Аутентифікація за стандартом 802.1X вимагає наявності трьох складових.
Прохач. Розміщується на стороні клієнта бездротової LAN .
Аутентифікатор ( authenticator). Розміщується в точці доступу.
Сервер аутентифікації. Розміщується на сервері RADIUS.
Ці складові являють собою програмні компоненти, що встановлюються на пристроях мережі. З точки зору стандарту 802.11 аутентифікатор створює логічний порт для пристрою клієнта, заснований на ідентифікаторі асоціації (AID). Цей логічний порт має два тракту проходження даних: неконтрольований і контрольований. Неконтрольований тракт проходження даних дозволяє проходити через мережу всьому трафіку аутентифікації стандарту 802.1X. Контролюєть-мий тракт проходження даних блокує звичайний трафік мережі до тих пір, поки не буде здійснена успішна аутентифікація клієнта. На рис. 17 показані логи-етичні порти аутентифікатора стандарту 802.1X
В
Рис. 17. Логічні порти аутентифікатора стандарту 802. 1 X
Друга складова: алгоритм аутентифікації
Стандарт 802.11i і WPA забезпечують механізм, який підтримує роботу алгоритму аутентифікації з метою забезпечення зв'язку між клієнтом, точкою доступу і сервером аутентифікації з використанням механізму базової аутентифікації стандарту 802.1X. p> Ні стандарт 802.11i, ні WPA НЕ регламентують застосування особливого алгоритму аутентифікації, але обидва рекомендують використовувати алгоритм, який підтримував би взаємну аутентифікацію, генерацію динамічних ключів шифрування і аутентифікацію користувача. Прикладом такого алгоритму є алгоритм EAP-Cisco. Цей алгоритм, більш відомий як Cisco LEAP, являє собою простий і ефективний алгоритм, розроблений спеціально для використання в бездротових LAN.
Алгоритм EAP-Cisco є патентованим алгоритмом, який працює поверх алгоритму базової відкритої аутентифікації. З цієї причини деталі алгоритму EAP-Cisco, стосуються вмісту генеруються виклику і відповіді на виклик, а також розподілу ключів шифрування, не можуть бути розголошені. Алгоритм EAP-Cisco перевиконує вимоги, пропоновані до захищеної аутентифікації користувача в бездротової LAN, за рахунок застосування наступних заходів.
В· Аутентифікація, орієнтована на користувача.
В· Взаємна аутентифікація. p> В· Динамічні ключі шифрування. p> Якщо якому-небудь користувачеві потрібно заборонити доступ до мережі, достатньо видалити його обліковий запис на централізованому сервері аутентифікації. В результаті користувач не зможе успішно пройти процес аутентифікації, а його пристрій - згенерувати правильний динамічний ключ шифрування.
Третя складова: алгоритм захисту даних
Уразливість шифрування в WEP поставила виробників мереж стандарту 802.11 і дослідників IEEE в скрутне становище. Як можна поліпшити систему шифрування стандарту 802.11, не вдаючись до заміни всіх точок доступу і мережевих карт клієнтів?
IEEE відповів на це питання, запропонувавши є частиною стандарту 802.11i (і WPA) тимчасовий протокол інтеграції ключа (temporal key integrity protocol, TKIP).
Цей протокол використовує багато основні функції WEP, щоб виправдати інвестиції, зроблені клієнтами в обладнання та інфраструктуру стандарту 802.11, але ліквідує кілька слабких місць останнього, забезпечуючи ефективне шифрування фреймів даних. Основні вдосконалення, внесені протоколом TKIP, такі. p> В· Пофреймовое зміна ключів шифрування. WEP-ключ швидко змінюється, і для кожного кадру він інший. p> В· Контроль цілісності повідомлення (Message integrity check, MIC). Забезпечується ефективний контроль цілісності фреймів даних з метою запобігання проведення таємних маніпуляцій з фреймами і відтворення фреймів.
Атаки, використовують уразливість слабких IV, засновані на накопиченні декількох фреймів даних, що містять інформацію, зашифровану з викори...
