ѕодпишитесь на наш Telegram-канал Ѕудьте в курсе последних новостей 👇 😉 ѕодписатьс€
ѕоддержим в трудное врем€ —пециальное предложение на техническую поддержку вашей »“ - инфраструктуры силами наших экспертов ѕодобрать тариф
ѕоставка оборудовани€ √аранти€ и помощь с настройкой. —кидка дл€ наших читателей по промокоду WIKIMERIONET  упить
»нтерфейс статистики Merion Mertics показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер ѕопробовать бесплатно
¬недрение
офисной телефонии
Ўаг на пути к созданию доступных унифицированных коммуникаций в вашей компании ¬недрить
»нтеграци€ с CRM ѕомогаем навести пор€док с данными
и хранить их в единой экосистеме
ѕодключить
»“ Ѕезопастность ”мна€ информационна€ безопасность дл€ вашего бизнеса «аказать
ћерион Ќетворкс

9 минут чтени€

—уществует большое количество методов аутентификации клиентов беспроводных сетей при подключении. Ёти методы по€вл€лись по мере развити€ различных беспроводных технологий и беспроводного оборудовани€. ќни развивались по мере вы€влени€ слабых мест в системе безопасности. ¬ этой статье рассматриваютс€ наиболее распространенные методы проверки подлинности.


ќткрыта€ аутентификаци€

—тандарт 802.11 предлагал только два варианта аутентификации клиента: open authentication и WEP.

Open authentication-предполагает открытый доступ к WLAN. ≈динственное требование состоит в том, чтобы клиент, прежде чем использовать 802.11, должен отправить запрос аутентификации дл€ дальнейшего подключени€ к AP (точке доступа). Ѕолее никаких других учетных данных не требуетс€.

¬ каких случа€х используетс€ open authentication? Ќа первый взгл€д это не безопасно, но это не так. Ћюбой клиент поддерживающий стандарт 802.11 без проблем может аутентифицироватьс€ дл€ доступа к сети. ¬ этом, собственно, и заключаетс€ иде€ open authentication-проверить, что клиент €вл€етс€ допустимым устройством стандарта 802.11, аутентифициру€ беспроводное оборудование и протокол. јутентификаци€ личности пользовател€ проводитс€ другими средствами безопасности.

¬ы, веро€тно, встречали WLAN с open authentication, когда посещали общественные места. ¬ таких сет€х в основном аутентификаци€ осуществл€етс€ через веб-интерфейс.  лиент подключаетс€ к сети сразу же, но предварительно должен открыть веб-браузер, чтобы прочитать и прин€ть услови€ использовани€ и ввести основные учетные данные. — этого момента дл€ клиента открываетс€ доступ к сети. Ѕольшинство клиентских операционных систем выдают предупреждение о том, что ваши данные, передаваемые по сети, не будут защищены.


WEP

 ак вы понимаете, open authentication не шифрует передаваемые данные от клиента к точке доступа. ¬ стандарте 802.11 определен Wired Equivalent Privacy (WEP). Ёто попытка приблизить беспроводную св€зь к проводному соединению.

ƒл€ кодировани€ данных WEP использует алгоритм шифровани€ RC4. ƒанный алгоритм шифрует данные у отправител€ и расшифровывает их у получател€. јлгоритм использует строку битов в качестве ключа, обычно называемого WEP- ключом. ќдин кадр данных-один уникальный ключ шифровани€. –асшифровка данных осуществл€етс€ только при наличии ключа и у отправител€, и у получател€.

WEP- это метод безопасности с общим ключом. ќдин и тот же ключ должен быть как у отправител€, так и получател€. Ётот ключ размещаетс€ на устройствах заранее.

WEP-ключ также может использоватьс€ в качестве дополнительного метода аутентификации, а также инструмента шифровани€. ≈сли клиент отправл€ет неправильный ключ WEP, он не подключитс€ к точке доступа. “очка доступа провер€ет знание клиентом ключа WEP, посыла€ ему случайную фразу вызова.  лиент шифрует фразу вызова с помощью WEP и возвращает результат точке доступа (ј–). ј– сравнивает шифрование клиента со своим собственным, чтобы убедитьс€ в идентичности двух ключей WEP.

ƒлина WEP - ключей могут быть длиной 40 или 104 бита, представленные в шестнадцатеричной форме из 10 или 26 цифр.  ак правило, более длинные ключи предлагают более уникальные биты дл€ алгоритма, что приводит к более надежному шифрованию. Ёто утверждение не относитс€ к WEP. “ак как WEP был определен в стандарте 802.11 в 1999 году, и соответственно сетевые беспроводные адаптеры производились с использованием шифровани€, специфичного дл€ WEP. ¬ 2001 году были вы€влены слабые места WEP, и началась работа по поиску более совершенных методов защиты беспроводной св€зи.   2004 году поправка 802.11i была ратифицирована, и WEP официально устарел. Ўифрование WEP и аутентификаци€ с общим ключом WEP €вл€ютс€ слабыми методами защиты WLAN.


802.1x/EAP

ѕри наличии только open authentication и WEP, доступных в стандарте 802.11, требовалс€ более безопасный метод аутентификации. јутентификаци€ клиента обычно включает в себ€ отправку запроса, получение ответа, а затем решение о предоставлении доступа. ѕомимо этого, возможен обмен ключами сессии или ключами шифровани€ в дополнение к другим параметрам, необходимым дл€ клиентского доступа.  аждый метод аутентификации может иметь уникальные требовани€ как уникальный способ передачи информации между клиентом и точкой доступа.

¬место того чтобы встроить дополнительные методы аутентификации в стандарт 802.11, была выбрана более гибка€ и масштабируема€ структура аутентификации-разработан расшир€емый протокол аутентификации (EAP).  ак следует из его названи€, EAP €вл€етс€ расшир€емым и не состоит из какого-либо одного метода аутентификации. ¬место этого EAP определ€ет набор общих функций, которые примен€ют фактические методы аутентификации, используемые дл€ аутентификации пользователей.

EAP имеет еще одно интересное качество: он интегрируетс€ со стандартом управлени€ доступом на основе портов стандарта IEEE 802.1X.  огда порт стандарта 802.1X включен, он ограничивает доступ к сетевому носителю до тех пор, пока клиент не аутентифицируетс€. Ёто означает, что беспроводной клиент способен св€зыватьс€ с точкой доступа, но не сможет передавать данные в другую часть сети, пока он успешно не аутентифицируетс€.

Open authentication и WEP аутентификаци€ беспроводных клиентов выполн€етс€ локально на точке доступа. ¬ стандарте 802.1 x принцип аутентификации мен€етс€.  лиент использует открытую аутентификацию дл€ св€зи с точкой доступа, а затем фактический процесс аутентификации клиента происходит на выделенном сервере аутентификации. Ќа рисунке 1 показана трехсторонн€€ схема стандарта 802.1x, состо€ща€ из следующих объектов:

  •  лиент: клиентское устройство, запрашивающее доступ
  • јутентификатор: сетевое устройство, обеспечивающее доступ к сети (обычно это контроллер беспроводной локальной сети [WLC])
  • —ервер аутентификации (AS): устройство, принимающее учетные данные пользовател€ или клиента и разрешающее или запрещающее доступ к сети на основе пользовательской базы данных и политик (обычно сервер RADIUS)
ћетоды аутентификации клиентов беспроводных сетей

Ќа рисунке клиент подключен к точке доступа через беспроводное соединение. AP представл€ет собой јутентификатор. ѕервичное подключение происходит по стандарту open authentication 802.11. “очка доступа подключена к WLC, который, в свою очередь, подключен к серверу аутентификации (AS). ¬се в комплексе представл€ет собой аутентификацию на основе EAP.

 онтроллер беспроводной локальной сети €вл€етс€ посредником в процессе аутентификации клиента, контролиру€ доступ пользователей с помощью стандарта 802.1x, взаимодейству€ с сервером аутентификации с помощью платформы EAP.

ƒалее рассмотрим некоторые вариации протокола защиты EAP


LEAP

ѕервые попытки устранить слабые места в протоколе WEP компани€ Cisco разработала собственный метод беспроводной аутентификации под названием Lightweight EAP (LEAP). ƒл€ проверки подлинности клиент должен предоставить учетные данные пользовател€ и парол€.

—ервер проверки подлинности и клиент обмениваютс€ челендж сообщени€ми, которые затем шифруютс€ и возвращаютс€. Ёто обеспечивает взаимную аутентификацию. јутентификаци€ между клиентом и AS осуществл€етс€ только при успешной расшифровке челендж сообщений.

Ќа тот момент активно использовалось оборудование, работавшее с WEP- протоколом. –азработчики протокола LEAP пытались устранить слабые места WEP применением динамических, часто мен€ющихс€ ключей WEP. “ем не менее, метод, используемый дл€ шифровани€ челендж сообщений, оказалс€ у€звимым. Ёто послужило поводом признать протокол LEAP устаревшим. —уществуют организации, которые все еще используют данный протокол. Ќе рекомендуетс€ подключатьс€ к таким сет€м.


EAP-FAST

EAP-FAST (Flexible Authentication by Secure Tunneling) безопасный метод, разработанный компанией Cisco. ”четные данные дл€ проверки подлинности защищаютс€ путем передачи зашифрованных учетных данных доступа (PAC) между AS и клиентом. PAC- это форма общего секрета, который генерируетс€ AS и используетс€ дл€ взаимной аутентификации. EAP-FAST- это метод состо€щий из трех последовательных фаз:

  • ‘аза 0: PAC создаетс€ или подготавливаетс€ и устанавливаетс€ на клиенте.
  • ‘аза 1: после того, как клиент и AS аутентифицировали друг друга обсуждают туннель безопасности транспортного уровн€ (TLS).
  • ‘аза 2: конечный пользователь может быть аутентифицирован через туннель TLS дл€ дополнительной безопасности.

ќбратите внимание, что в EAP-FAST происход€т два отдельных процесса аутентификации-один между AS и клиентом, а другой с конечным пользователем. ќни происход€т вложенным образом, как внешн€€ аутентификаци€ (вне туннел€ TLS) и внутренн€€ аутентификаци€ (внутри туннел€ TLS).

ƒанный метод, основанный на EAP, требует наличие сервера RADIUS. ƒанный сервер RADIUS должен работать как сервер EAP-FAST, чтобы генерировать пакеты, по одному на пользовател€.


PEAP

јналогично EAP-FAST, защищенный метод EAP (PEAP) использует внутреннюю и внешнюю аутентификацию, однако AS предоставл€ет цифровой сертификат дл€ аутентификации себ€ с клиентом во внешней аутентификации. ≈сли претендент удовлетворен идентификацией AS, то они стро€т туннель TLS, который будет использоватьс€ дл€ внутренней аутентификации клиента и обмена ключами шифровани€.

÷ифровой сертификат AS состоит из данных в стандартном формате, идентифицирующих владельца и "подписанных" или подтвержденных третьей стороной. “реть€ сторона известна как центр сертификации (CA) и известна и довер€ет как AS, так и за€вител€м. ѕретендент также должен обладать сертификатом CA только дл€ того, чтобы он мог проверить тот, который он получает от AS. —ертификат также используетс€ дл€ передачи открытого ключа на видном месте, который может быть использован дл€ расшифровки сообщений из AS.

ќбратите внимание, что только AS имеет сертификат дл€ PEAP. Ёто означает, что клиент может легко подтвердить подлинность AS.  лиент не имеет или не использует свой собственный сертификат, поэтому он должен быть аутентифицирован в туннеле TLS с помощью одного из следующих двух методов:

  • MSCHAPv2;
  • GTC (универсальна€ маркерна€ карта): аппаратное устройство, которое генерирует одноразовые пароли дл€ пользовател€ или вручную сгенерированный пароль;

EAP-TLS

PEAP использует цифровой сертификат на AS в качестве надежного метода дл€ аутентификации сервера RADIUS. ѕолучить и установить сертификат на одном сервере несложно, но клиентам остаетс€ идентифицировать себ€ другими способами. Ѕезопасность транспортного уровн€ EAP (EAP-TLS) усиливает защиту, требу€ сертификаты на AS и на каждом клиентском устройстве.

— помощью EAP-TLS AS и клиент обмениваютс€ сертификатами и могут аутентифицировать друг друга. ѕосле этого строитс€ туннель TLS, чтобы можно было безопасно обмениватьс€ материалами ключа шифровани€.

EAP-TLS считаетс€ наиболее безопасным методом беспроводной аутентификации, однако при его реализации возникают сложности. Ќар€ду с AS, каждый беспроводной клиент должен получить и установить сертификат. ”становка сертификатов вручную на сотни или тыс€чи клиентов может оказатьс€ непрактичной. ¬место этого вам нужно будет внедрить инфраструктуру открытых ключей (PKI), котора€ могла бы безопасно и эффективно предоставл€ть сертификаты и отзывать их, когда клиент или пользователь больше не будет иметь доступа к сети. Ёто обычно включает в себ€ создание собственного центра сертификации или построение доверительных отношений со сторонним центром сертификации, который может предоставл€ть сертификаты вашим клиентам.