інформацію наведено в розділі Аутентифікація LEAP. В
Протокол безпеки в змішаних середовищах 802.11b і 802.11g.
Режим роботи, коли деякі точки доступу, наприклад, Cisco 350 або Cisco 1200 підтримують середовища, в яких не всі клієнтські станції підтримують WEP-шифрування, називається змішаним режимом (Mixed-Cell). Коли деякі бездротові мережі працюють у режимі "Вибіркового шифрування", клієнтські станції, що підключилися до мережі в режимі WEP-шифрування, відправляють всі повідомлення в зашифрованому вигляді, а станції, підключилися до мережі в стандартному режимі, передають всі повідомлення нешифрованими. Ці точки доступу передають широкомовні повідомлення нешифрованими, але дозволяють клієнтам використовувати режим WEP-шифрування. Коли "Змішаний режим" дозволений в профілі, ви можете підключитися до точки доступу, яка налаштована для "додаткового шифрування".
CKIP
Cisco Key Integrity Protocol (CKIP) - це власний протокол захисту Cisco для шифрування в середовищі 802.11. Протокол CKIP використовує такі особливості для удосконалення захисту 802.11 в режимі "Infrastructure":
В
Швидкий роумінг (CCKM)
Коли бездротова ЛЗ налаштована для виконання швидкого повторного підключення, клієнт з активною підтримкою протоколу LEAP може переміщатися від однієї точки доступу до інший без втручання головного сервера. Використовуючи централізоване управління Cisco (Cisco Centralized Key Management - CCKM), точка доступу, сконфигурированная для забезпечення роботи бездротової служби доменів (Wireless Domain Services - WDS), замінює сервер RADIUS і аутентифікує клієнта без істотних затримок, які можливі для голосових або інших, залежних від часі додатків.
В
Управління радіообміну
Якщо ця функція включена, адаптер WiFi забезпечує інформацію управління радіообміну для режиму Cisco infrastructure. Якщо програма Cisco Radio Management використовується в мережі "Infrastructure", вона конфігурує параметри радіообміну, визначає рівень перешкод і фіктивні точки доступу.
EAP-FAST
EAP-FAST, подібно EAP-TTLS і PEAP, використовує туннелирование для захисту мережевого трафіку. Головною відмінністю є те, що EAP-FAST не використовує сертифікати для аутентифікації. Аутентифікація в середовищі EAP-FAST являє собою єдиний комунікаційний обмін, ініційований клієнтом, коли ідентифікація EAP-FAST запрошені сервером. Якщо клієнт не має попередньо опублікованого ключа PAC (Protected Access Credential), він може запитати аутентифікаційний обмін EAP-FAST для динамічного отримання ключа від сервера. p> EAP-FAST має два методи доставки ключа PAC: доставка вручну за допомогою внеполосного механізму та автоматичного входу.
Механізми доставки вручну представляються будь-яким способом передачі, які найбільш захищені та обрані адміністратором.
Автоматичний вхід являє собою тунелювати шифрований канал, необхідний для забезпечення безпечної аутентифікації клієнта і доставки клієнту ключа PAC. Цей механізм не такий захищений, як метод аутентифікації вручну, але більш надійний, ніж аутентифікація LEAP. p> Метод EAP-FAST можна розділити на дві частини: вхід і аутентифікація. Фаза входу являє собою початкову доставку клієнту ключа PAC. Ця частина потрібна клієнтові і користувачеві тільки один раз. br/>
Шифрування
Детальний розгляд алгоритмів шифрування, а також методи генерації сесійних ключів шифрування, мабуть, виходять за рамки даного матеріалу, тому розгляну їх лише коротенько. p> Первісна аутентифікація виробляється на основі загальних даних, про які знають і клієнт, і сервер аутентифікації (як то логін/пароль, сертифікат і т.д.) - на цьому етапі генерується Master Key. Використовуючи Master Key, сервер аутентифікації і клієнт генерують Pairwise Master Key (парний майстер ключ), який передається аутентифікатору з боку сервера аутентифікації. А вже на основі Pairwise Master Key і генеруються всі інші динамічні ключі, яким і закривається переданий трафік. Необхідно відзначити, що сам Pairwise Master Key теж підлягає динамічної зміні. p> Незважаючи на те, що попередник WPA, протокол WEP, не мав будь-яких механізмів аутентифікації взагалі, ненаджность WEP полягає в криптографічного слабкості алгоритму шифрування, ключова проблема WEP криється в занадто подібні ключах для різних пакетів даних. p> Частини TKIP, MIC і 802.1X рівняння WPA грають свою роль у посиленні шифрування даних мереж з WPA:
TKIP збільшує розмір ключа з 40 до 128 біт і замінює один статичний ключ WEP ключами, які автоматично створюються і розповсюджуються сервером аутентифікації. TKIP використовує ієрархію ключів і методологію управління ключами, яка прибирає передбачуваність, Використовувати зломщиками для зняття захисту ключа WEP. p> Для цього TKIP посилює структуру 802.1X/EAP. Сервер аутентифікації, після прийняття мандата користувача (credential), використовує 802.1X для створення унікального основного ключа (двостор...
