|
⇤ ← Versija 1 nuo 2016-04-25 09:28:36
Dydis: 20124
Komentaras:
|
← Versija 2 nuo 2016-04-25 09:41:51 ⇥
Dydis: 18315
Komentaras:
|
| Pašalinimai yra pažymėti taip. | Pridėjimai yra pažymėti taip. |
| Eilutė 1: | Eilutė 1: |
| {| class="prettytable" |- | [[image:Picture 17|https://upload.wikimedia.org/wikipedia/commons/thumb/8/85/Elektronika.jpg/400px-Elektronika.jpg]] |- | |- | Arnoldas TAMOŠIŪNAS |- | '''bELAIDŽIŲ TINKLŲ SAUGUMAS''' |- | '''WIRELESS NETWORK SECURITY''' |- | Duomenų apsauga kompiuterių sistemose – Namų darbas |- | |- | |- | |- | |- | |} <center></center> <center>'''''''''TURINYS'''</center> '''1.''' '''WPA saugumo standartas 4 '''2.''' '''Vartotojo autentifikavimas 5 2.1. EAP autentifikavimo metodai 5 2.2. Autentifikavimo schema 6 2.3. Autentifikavimo tipai 7 2.4. Autentifikavimo protokolai 8 2.5. Šifravimas 9 '''Literatūros ir informacinių šaltinių sąrašas 11 =WPA saugumo standartas= |
'''WPA saugumo standartas''' |
| Eilutė 85: | Eilutė 17: |
| Jeigu tinkle nėra ''RADIUS-server'', tai autentifikavimo serverio rolę vykdo pats prieigos taškas,- taip vadinamas WPA-PSK rėžimas (''pre-shared key'', bendras raktas). Šiame režime visų prieigos taškų nustatymuose iš anksto aprašomas bendras raktas. Jis aprašomas ir kliento bevieliuose įrenginiuose. Toks apsaugos metodas taip pat neblogai apsaugotas (WEP atžvilgiu), labai nepatogus valdymo atžvilgiu. PSK-raktą reikia aprašyti visuose bevieliuose įrenginiuose. Kitaip tariant, WPA-PSK rėžimas tinka namų tinklui ir galimai mažam ofisui, bet ne daugiau. Ir tik po sėkmingos autentifikavimo prievadas bus pilnai atidarytas ir vartotojas gaus p<nowiki>rieiga prie visų tinklo resursų [1].</nowiki> | Jeigu tinkle nėra ''RADIUS-server'', tai autentifikavimo serverio rolę vykdo pats prieigos taškas,- taip vadinamas WPA-PSK rėžimas (''pre-shared key'', bendras raktas). Šiame režime visų prieigos taškų nustatymuose iš anksto aprašomas bendras raktas. Jis aprašomas ir kliento bevieliuose įrenginiuose. Toks apsaugos metodas taip pat neblogai apsaugotas (WEP atžvilgiu), labai nepatogus valdymo atžvilgiu. PSK-raktą reikia aprašyti visuose bevieliuose įrenginiuose. Kitaip tariant, WPA-PSK rėžimas tinka namų tinklui ir galimai mažam ofisui, bet ne daugiau. Ir tik po sėkmingos autentifikavimo prievadas bus pilnai atidarytas ir vartotojas gaus prieiga prie visų tinklo resursų [1]. |
| Eilutė 87: | Eilutė 19: |
| =Vartotojo autentifikavimas= | '''Vartotojo autentifikavimas''' |
| Eilutė 93: | Eilutė 25: |
| Vis dėl to, kai WPA yra naudojamas visomis vartotojų kategorijomis, šis standartas turi supaprastintą režimą, kuris nereikalauja sudetingų mechanizmų. Šis režimas vadinamas ''Pre-Shared Key'' (WPA-PSK) – kuri naudojant būtina įvesti vieną slaptažodį kiekvienam bevielio tinklo mazgui (prieigos taškai, bevieliai maršrutizatoriai, kliento adapteriai, tiltai). Iki to laiko, kol slaptažodžiai sutampa, klientui bus skirta prieiga prie tinklo.<nowiki> [1,2]</nowiki> | Vis dėl to, kai WPA yra naudojamas visomis vartotojų kategorijomis, šis standartas turi supaprastintą režimą, kuris nereikalauja sudetingų mechanizmų. Šis režimas vadinamas ''Pre-Shared Key'' (WPA-PSK) – kuri naudojant būtina įvesti vieną slaptažodį kiekvienam bevielio tinklo mazgui (prieigos taškai, bevieliai maršrutizatoriai, kliento adapteriai, tiltai). Iki to laiko, kol slaptažodžiai sutampa, klientui bus skirta prieiga prie tinklo. [1,2] |
| Eilutė 97: | Eilutė 29: |
| ==EAP autentifikavimo metodai== | '''EAP autentifikavimo metodai''' |
| Eilutė 117: | Eilutė 49: |
| EAP-''SecureID'' – metodas vienkartiniu slaptažodžiu pagrindu<nowiki> [2]</nowiki> | EAP-''SecureID'' – metodas vienkartiniu slaptažodžiu pagrindu [2] |
| Eilutė 123: | Eilutė 55: |
| ==Autentifikavimo schema== | '''Autentifikavimo schema''' |
| Eilutė 142: | Eilutė 74: |
| * Komunikacijai tarp kliento ir prieigos taško naudojami EAPOL paketai. RADIUS protokolas naudojamas informacijos apsikeitimui tarp prieigos taško ir RADIUS serverio. Prie tranzitinio informaciojos persiuntimo tarp kliento ir autentifikavimo serverio EAP paketai perpakuojami iš vieno formato į kitą, prieigos taške. <nowiki>[3]</nowiki> ==Autentifikavimo tipai== |
* Komunikacijai tarp kliento ir prieigos taško naudojami EAPOL paketai. RADIUS protokolas naudojamas informacijos apsikeitimui tarp prieigos taško ir RADIUS serverio. Prie tranzitinio informaciojos persiuntimo tarp kliento ir autentifikavimo serverio EAP paketai perpakuojami iš vieno formato į kitą, prieigos taške.[3] '''Autentifikavimo tipai''' |
| Eilutė 155: | Eilutė 87: |
| '''EAP-AKA – '''Autentifikavimo metodas EAP – AKA (''Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement'') – tai EAP mechanizmas, naudojamas autentifikavimui ir raktų dalinimo seansui, naudojamas USIM identifikacijos modulio (''Subscriber Identity Module'') universalios telekomunikacinės sistemos UMTS (''Universal Mobile Telecommunications System'') abonentu. USIM kortelė – tai speciali kortelė, skirta vartotojo autentiškumui mobiliajame tinkle patikrinimui.<nowiki> [4]</nowiki> ==Autentifikavimo protokolai== |
'''EAP-AKA – '''Autentifikavimo metodas EAP – AKA (''Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement'') – tai EAP mechanizmas, naudojamas autentifikavimui ir raktų dalinimo seansui, naudojamas USIM identifikacijos modulio (''Subscriber Identity Module'') universalios telekomunikacinės sistemos UMTS (''Universal Mobile Telecommunications System'') abonentu. USIM kortelė – tai speciali kortelė, skirta vartotojo autentiškumui mobiliajame tinkle patikrinimui.[4] '''Autentifikavimo protokolai''' |
| Eilutė 171: | Eilutė 102: |
| ==Šifravimas== | '''Šifravimas''' |
| Eilutė 181: | Eilutė 112: |
| Svarbu paminėti, kad šifravimo mechanizmai, naudojami ''WPA'' ir ''WPA-PSK'' yra vienodi. Vienintelis ''WPA-PSK'' skirtumas yra tame, kad ten autentifikavimas vykdomas pagal kažkokį slaptažodį o ne vartotojo mandatą. Kai kurie tikrai pastebės, kad prieiga naudojant slaptažodį ''WPA-PSK'' padaro pažeidžiamu parinkimo metodu atakomis. Bet aš norėjau pabrėžti, kad ''WPA-PSK'' nuima painiavą su ''WEP ''raktais, pakeičiant juos integruota, aiškia sistema skaitmenų-raidžių slaptažodžio pagrindu. ''Robert Moskowitz ''iš ''ICSA Labs'' pastebėjo, kad raktinė frazė ''WPA'' gali būti nulaužta. Taip yra todėl, kad hakeris gali įpareigoti prieigos tašką regeneruoti apsikeitimą raktais mažiau nei per 60 sekundžių. Ir net jeigu apsikeitimas raktais labai saugus momentinėms atakoms, jį galima bus išsaugoti ir naudoti ''OFFLINE ''perrinkimui. Dar vienas klausimas yra tame, kad ''EAP'' perduoda duomenis atviru tekstu. Iš pradžių ''EAP'' sesijos šifravimui buvo naudojamas ''Transport Layer Security ''(TLS), bet jo darbui kiekviename kliente reikalaujamas sertifikatas. ''TTLS'' dalinai išsprendė šią problemą. Čia, pradedant su ''Service Pack 2, ''darbe su bevieliais tinklais leidžia naudoti autentifikavimą su ''Login/Password '' (t.y PEAP) ir autentifikavimą su skaitmeniniu sertifikatu (EAP-TLS).<nowiki> [4]</nowiki> <center>''''''Literatūros ir informacinių šaltinių sąrašas'''</center> # ''The evolution of wireless security in 802.11 networks: WEP, WPA and 802.11 standards''<nowiki> [interaktyvus]. 2003. WONG; STANLEY; </nowiki><nowiki>[žiūrėta </nowiki>2016 m. balandžio 22 d.]. Prieiga per internetą:<'' http://www. sans. org/rr/whitepapers/wireless/1109. php''> # LASHKARI; HABIBI, A;DANESH ,M;SAMADI, B. 2009. ''A survey on wireless security protocols (WEP, WPA and WPA2/802.11 i)'', ''Computer Science and Information Technology'': 48-52p. # BAEK; SMITH, K; SEAN, W. 2004. ''A Survey of WPA and 802.11 i RSN Authentication Protocols'', ''Dartmouth Computer Science Technical Report 2004.'' # ALLIANCE; WI-FI. 2003. ''Wi-Fi Protected Access: Strong, standards-based, interoperable security for today’s Wi-Fi networks, White paper, University of Cape Town: 492-495.'' |
Svarbu paminėti, kad šifravimo mechanizmai, naudojami ''WPA'' ir ''WPA-PSK'' yra vienodi. Vienintelis ''WPA-PSK'' skirtumas yra tame, kad ten autentifikavimas vykdomas pagal kažkokį slaptažodį o ne vartotojo mandatą. Kai kurie tikrai pastebės, kad prieiga naudojant slaptažodį ''WPA-PSK'' padaro pažeidžiamu parinkimo metodu atakomis. Bet aš norėjau pabrėžti, kad ''WPA-PSK'' nuima painiavą su ''WEP ''raktais, pakeičiant juos integruota, aiškia sistema skaitmenų-raidžių slaptažodžio pagrindu. ''Robert Moskowitz ''iš ''ICSA Labs'' pastebėjo, kad raktinė frazė ''WPA'' gali būti nulaužta. Taip yra todėl, kad hakeris gali įpareigoti prieigos tašką regeneruoti apsikeitimą raktais mažiau nei per 60 sekundžių. Ir net jeigu apsikeitimas raktais labai saugus momentinėms atakoms, jį galima bus išsaugoti ir naudoti ''OFFLINE ''perrinkimui. Dar vienas klausimas yra tame, kad ''EAP'' perduoda duomenis atviru tekstu. Iš pradžių ''EAP'' sesijos šifravimui buvo naudojamas ''Transport Layer Security ''(TLS), bet jo darbui kiekviename kliente reikalaujamas sertifikatas. ''TTLS'' dalinai išsprendė šią problemą. Čia, pradedant su ''Service Pack 2, ''darbe su bevieliais tinklais leidžia naudoti autentifikavimą su ''Login/Password '' (t.y PEAP) ir autentifikavimą su skaitmeniniu sertifikatu (EAP-TLS). [4] |
WPA saugumo standartas
WPA – tai šiuolaikinis standartas, apie kurį susitarė įrangos gamintojai, kol neatsirado IEEE 802.11i. Trumpai tariant WPA = 802.1x+EAP+TKIP+MIC, kur:
WPA-apsaugotos prieigos prie bevielių tinklų technologija (Wi-Fi Protected Access),
EAP-išplečiamas autentifikavimo protokolas (Extensible Authentification Protocol),
TKIP-laikinos raktų visumos protokolas (Temporal Key Integrity Protocol),
MIC- kriptografinės patikros technologija, patikrinti paketų pilnumą. (Message Integrity Code).
RADIUS protokolas – protokolas skirtas dirbti kartu su autentifikavimo serveriu. Šiuo atveju bevieliai taškai veikia enterprise režimu.
Jeigu tinkle nėra RADIUS-server, tai autentifikavimo serverio rolę vykdo pats prieigos taškas,- taip vadinamas WPA-PSK rėžimas (pre-shared key, bendras raktas). Šiame režime visų prieigos taškų nustatymuose iš anksto aprašomas bendras raktas. Jis aprašomas ir kliento bevieliuose įrenginiuose. Toks apsaugos metodas taip pat neblogai apsaugotas (WEP atžvilgiu), labai nepatogus valdymo atžvilgiu. PSK-raktą reikia aprašyti visuose bevieliuose įrenginiuose. Kitaip tariant, WPA-PSK rėžimas tinka namų tinklui ir galimai mažam ofisui, bet ne daugiau. Ir tik po sėkmingos autentifikavimo prievadas bus pilnai atidarytas ir vartotojas gaus prieiga prie visų tinklo resursų [1].
Vartotojo autentifikavimas
Kaip jau buvo minėta ankščiau 802.1x protokolas gali vykdyti kelias funkcijas. Šiuo atveju mus interesuoja vartotojo autentifikavimo funkcijos ir šifravimo raktų paskirstymas. Būtina paminėti, kad autentifikavimas vykdoma „prievado lygyje“ – tai yra, kol vartotojas nebus autentifikuotas, jam leidžiama siųsti ir gauti paketus susijusius tik su juo autentifikavimas ir ne daugiau. Ir tik po sėkmingo autentifikavimo įrenginio prievadas (tai prieigos taškas arba išmanusis komutatorius) bus atidarytas ir vartotojas gaus prieigą prie tinklo resursų.
WPA standartas naudoja 802.1x ir išplėstą autentifikavimo protokolą (Extensible Authentification Protocol, EAP) kaip autentifikavimo mechanizmo pagrindus. Autentifikavimas reikalauja, kad vartotojas pateiktų pažymą (credentials) apie tai, kad jam leidžiama gauti prieiga prie tinklo. Todėl šio vartotojo teisės tikrinamos registruotų vartotojų duomenų bazėje. Darbui tinkle vartotojas būtinai turi pereiti per autentifikavimo mechanizmą. Duomenų bazė ir patikrinimo sistema dideliuose tinkluose dažniausiai priklauso specialiam serveriui – dažniausiai tai būna RADIUS (centralizuotas autentifikavimo serveris). RADIUS serveris pradžioje patikrina vartotojo autentifikavimo informaciją arba jo skaitmeninį sertifikatą, o vėliau aktyvuoja dinaminį raktų šifravimo prieigos tašku generavimą ir kliento sistemą kiekvienam ryšio seansui.
Vis dėl to, kai WPA yra naudojamas visomis vartotojų kategorijomis, šis standartas turi supaprastintą režimą, kuris nereikalauja sudetingų mechanizmų. Šis režimas vadinamas Pre-Shared Key (WPA-PSK) – kuri naudojant būtina įvesti vieną slaptažodį kiekvienam bevielio tinklo mazgui (prieigos taškai, bevieliai maršrutizatoriai, kliento adapteriai, tiltai). Iki to laiko, kol slaptažodžiai sutampa, klientui bus skirta prieiga prie tinklo. [1,2]
Autentifikavimo funkcijos priskiriamos EAP protokolui, kuris yra tik autentifikavimo metodo karkasu. Visas protokolo grožis tame, kad jį labai paprasta realizuoti autentifikavimo taške, taip kaip jam nereikia žinoti jokių specialių, kitokių autentifikavimo metodų ypatybių. Autentifikavimo taškas reikalingas tik kaip perdavimo ryšys tarp kliento ir autentifikavimo serverio. Autentifikavimo metodu yra visai nemažai.
EAP autentifikavimo metodai
Message Digest 5 (MD5) – vienpusės supplicant autentifikavimo, autentifikavimo serveriu procedūra, sukurta panaudojant vartotojo vardo ir slaptažodžio MD5 hash sumą kaip patvirtinimą serveriui RADIUS. Šis metodas nepalaiko nei valdymo raktais nei dinaminių raktų sukūrimo. Tuo pačiu atmetama galimybė jį panaudoti 802.11i ir WPA.
Transport Layer Security (TLS) – autentifikavimo procedūra, kuri daro prielaidą, skaitmeninių sertifikatų X.509 panaudojimui, atvirų raktų infrastruktūros rėmuose (Public Key Infrastructure –PKI). EAP-TLS palaiko dinaminį raktų sukūrimą ir abipusį autentifikavimą tarp supplicant ir autentifikavimo serverio. Šio metodo trukumu yra atvirų raktų infrastruktūros palaikymo būtinybė. Tunneled TLS (TTLS) – EAP plečiantis galimybes EAP-TLS. EAP – TTLS naudoja saugų sujungimą, nustatytą TLS- kvantavimo rezultate papildomos informacijos apsikeitimui tarp supplicant ir autentifikavimo serverio. Taip pat egzistuoja ir kiti metodai: EAP-SIM, EAP-AKA – naudojamas GSM ryšio tinkluose. LEAP – nuosavybės metodas nuo EAP-MD5 – paprasčiausias metodas, analoginis CHAP metodui. EAP-MSCHAP V2 – autentifikavimo metodas EAP-TLS – autentifikavimas skaitmeniniu sertifikatu pagrindu EAP- Išskyrus aukščiau išvardintų, reikėtų išvardinti dar du metodus, EAP-TTLS ir EAP-PEAP. Skirtingai nuo ankstesnių, šie du metodai prieš tiesioginį vartotojo autentifikavimą, pirmiau sudaro TLS tunelį tarp kliento ir autentifikavimo serverio. O, šio tunelio viduje atliekamas pats autentifikavimas, su naudojimu kaip standartinio EAP (MD5, TLS), arba senų ne EAP metodų (PAP, CHAP, MS-CHAP, MS-CHAP v2), paskutinieji veikia tik su EAP-TTLS (PEAP naudojamas tik su EAP metodais). Išankstinis tuneliavimas padidina autentifikavimo saugumą, apsaugodamas nuo tokių atakų tipų: PPP protokolas yra todėl, kad pradžioje EAP buvo planuojamas naudojimui virš PPP tunelių. O taip kaip šio protokolo naudojimas tik autentifikavimui lokaliame tinkle – perdėtas perteklius, EAP-žinutės pakuojamos į Autentifikavimo schema Ji susideda iš trijų komponentų: Authentication Server – autentifikavimo serveris (paprastai tai Dabar peržiūrėsime patį autentifikavimo procesą. Jis susideda iš kelių stadijų: * Klientas gali nusiųsti užklausą autentifikavimui ( TLS - Autentifikavimo metodo tipas, naudojantis EAP protokolą ir saugumo protokolą, vadinamas Transporto lygio apsaugos protokolu (Transport Layer Security – TLS). EAP-TLS naudoja sertifikatus slaptažodžio pagrindu. EAP-TLS autentifikavimas palaiko dinaminį valdymą WEP raktu. TLS protokolas reikalingas apsaugai ir bendravimo autentifikavimui bendro naudojimo tinkluose, duomenų šifravimo keliu. Kvitavimo protokolas TLS leidžia klientui ir serveriui iki duomenų siuntimo įgyvendinti tarpusavio autentifikavimą ir sukurti algoritmą ir šifravimo raktus. TTLS – Šie nustatymai apibrėžia protokolą ir identifikacinę informaciją, naudojamą vartotojo autentifikavimui. TTLS ( PEAP – tai naujas autentifikavimo protokolas EAP (Extensible Authentication Protocol –EAP) IEEE 802.1x standarto, sukurtas apsaugos sistemos pagerinimui EAP – LEAP – autentifikavimo protokolo versija. LEAP EAP-SIM – EAP-SIM protokolas (Extensible Authentication Protocol Method for GSM subscriber Identity) – tai autentifikavimo ir seanso raktų dalinimo mechanizmas. Jis naudoja vartotojo SIM sistemos globalaus pozicionavimo mobilioms komunikacijoms GSM sistemai. EAP-SIM autentifikavimas naudoja dinaminį WEP raktą, sukurtą specialiai seansui, gautą duomenų šifravimui nuo kliento adapterio arba RADIUS serverio. EAP-SIM reikalingas specialus vartotojo patikrinimo kodas arba PIN, sąveikos su SIM kortelę apsaugai. SIM kortelė – tai speciali išmanioji kortelė, kuri naudojama skaitmeniniuose bevieliuose tinkluose GSM standartu. EAP-AKA – Autentifikavimo metodas EAP – AKA ( PAP – PAP ( CHAP – CHAP ( MS-CHAP (MD4) – MS-CHAP-v2 – Suteikia papildomą slaptažodžio keitimo galimybę, neprieinamą GTC (GENERIC Token Card) – Suteikia galimybę naudoti specialias vartotojo kortelės autentifikavimui. Pagrindinė funkcija įkurta autentifikavimui skaitmeninio sertifikato į TLS – šis protokolas reikalingas autentifikavimo komunikacijai ir apsaugai bendro naudojimo tinkluose, duomenų šifravimo keliu. Šifravimas Pirminis autentifikavimas vykdomas bendrų duomenų pagrindu, apie kuriuos žino klientas ir autentifikavimo serveris (prisijungimo vardas/slaptažodis, sertifikatas ir t.t) – šiame etape generuojamas Todėl Žinučių visumos patikrinimas ( Svarbu paminėti, kad šifravimo mechanizmai, naudojami
Authenticator – prieigos mazgas, autentifikatorius (bevielis prieigos taškas arba komutatorius su 802.1x protokolo palaikymu)