WPA предусматривает наличие трех участников процесса аутентификации:
- сервер аутентификации (Authentication Server, AS);
- точка доступа (Access Point, AP);
- рабочая станция (Station, STA).
- Master Key (MK), симметричный ключ, воплощающий решение STA и AS о взаимной аутентификации. Для каждой сессии создается новый MK.
- Pairwise Master Key (PMK), обновляемый симметричный ключ, создаваемый на основе MK, владение которым означает разрешение (авторизацию) на доступ к среде передачи данных в течение данной сессии; для каждой пары STA и AP в каждой сессии создается новый PMK.
- Pairwise Transient Keys (PTK), коллекция операционных ключей, которые используются для привязки PMK к данным STA и AP, распространения GTK и шифрования данных.
- Group Transport Keys (GTK), коллекция групповых ключей, служащих для защиты широковещательного сетевого трафика.
- Первая фаза – обнаружение. В этой фазе STA находит AP, с которой может установить связь, и получает от нее используемые в данной сети параметры безопасности. Так STA узнает идентификатор сети (SSID) и методы аутентификации, доступные в данной сети. Затем STA выбирает метод аутентификации и между STA и AP устанавливается соединение. После этого STA и AP готовы к началу второй фазы – фазы аутентификации 802.1x.
- Во второй фазе – фазе аутентификации 802.1x выполняется взаимная аутентификация STA и AS, создаются MK и PMK. В данной фазе STA и AP блокируют весь трафик, кроме трафика 802.1x.
- В третьей фазе AS перемещает PMK на AP. Теперь STA и AP владеют действительными ключами PMK.
- Четвертая фаза – управление ключами 802.1x, в которой происходит генерация, привязка и верификация ключа PTK.
- Пятая фаза – шифрование и передача данных. Для шифрования используется соответствующая часть PTK.
- В режиме Enterprise успешно решаемы проблемы, касающиеся распределения статических ключей и управления ими, а его интеграция с большинством корпоративных сервисов аутентификации обеспечивает контроль доступа на основе учетных записей. Для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль; аутентификация же осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг соединения и направляют аутентификационные пакеты на соответствующий сервер аутентификации (как правило, это локальный сервер RADIUS). Базой для режима Enterprise служит стандарт 802.1X, поддерживающий основанную на контроле портов аутентификацию пользователей и машин, пригодную как для проводных коммутаторов, так и для беспроводных точек доступа. К счастью, в тонкости корпоративного режима работы приходится вникать только системным администраторам сетей, требующих высокого уровня безопасности.
- Режим Personal позволяет обойтись без сервера аутентификации. При этом на AP и STA вручную вводится ключевая фраза PSK (Pre-Shared Key). Ключ PSK, а также идентификатор сети SSID и длина последнего вместе образуют математический базис для формирования PMK. Дальше генерация PTK происходит описанным выше порядком. Потенциальная уязвимость режима Personal возникает из-за того, что в реальных сетях ключевая фраза практически никогда не меняется и одинакова для всех пользователей сети. Злоумышленник может узнать ключевую фразу, например, от легального пользователя.
Комментариев нет:
Отправить комментарий