802.11i: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Slaasik (talk | contribs)
No edit summary
Slaasik (talk | contribs)
No edit summary
Line 11: Line 11:
IEEE 802.1X määratleb EAP (ingl k. ''Extensible Authentication Protocol'') kapseldamist üle IEEE 802 protokolli, see on ühtlasi tuntud ka kui "EAP üle kohtvõrgu" või EAPOL (ingl k. ''Extensible Authentication Protocol over LAN''). EAPOL oli algselt disainitud IEEE 802.3 jaoks, kuid hiljem selgus, et antud protokoll sobib ka teisele IEEE 802 kohtvõrgu tehnoloogiatele, näiteks nagu IEEE 802.11 ja FDDI (ingl k. ''Fiber Distributed Data Interface''). EAPOLi protokolli muudeti ka IEEE 802.1AE (MACSec) ja IEEE 802.1AR (ingl k. ''Secure Device Identity, DevID'')
IEEE 802.1X määratleb EAP (ingl k. ''Extensible Authentication Protocol'') kapseldamist üle IEEE 802 protokolli, see on ühtlasi tuntud ka kui "EAP üle kohtvõrgu" või EAPOL (ingl k. ''Extensible Authentication Protocol over LAN''). EAPOL oli algselt disainitud IEEE 802.3 jaoks, kuid hiljem selgus, et antud protokoll sobib ka teisele IEEE 802 kohtvõrgu tehnoloogiatele, näiteks nagu IEEE 802.11 ja FDDI (ingl k. ''Fiber Distributed Data Interface''). EAPOLi protokolli muudeti ka IEEE 802.1AE (MACSec) ja IEEE 802.1AR (ingl k. ''Secure Device Identity, DevID'')


802.1X autentimine koosneb kolmest osast. Paluja (ingl k. ''supplicant''), autentija (ingl k. ''authenticator''), autentimis server (ingl k. ''authentication server''). Palujaks on enamasti klient seade (näiteks sülearvuti) mis soovib ennast ühendada kohtvõrku või traadita kohtvõrku. Autentijaks on võrguseade, näiteks nagu ''switch'' või AP (ingl k. ''Wireless Access Point'') ja autentimis serveriks on ''host'' millel jookseb RADIUS ja EAPd toetav tarkvara.  
802.1X autentimine koosneb kolmest osast. Paluja (ingl k. ''supplicant''), autentija (ingl k. ''authenticator''), autentimisserver (ingl k. ''authentication server''). Palujaks on enamasti klient seade (näiteks sülearvuti) mis soovib ennast ühendada kohtvõrku või traadita kohtvõrku. Autentijaks on võrguseade, näiteks nagu ''switch'' või AP (ingl k. ''Wireless Access Point'') ja autentimisserveriks on ''host'' millel jookseb RADIUS ja EAPd toetav tarkvara.  




Tüüpiline autentimis protsess koosneb järgnevatest osadest:
Tüüpiline autentimis protsess koosneb järgnevatest osadest:
# Initsialiseerimine - Uue kliendi tuvastamisel, avatakse port antud port switchil kuhu soovitakse ühenduda ja pannakse see "volitamata" olekusse. Selles olekus lubatakse ainult 802.1X liiklust. Igasugune muu nagu DHCP ja HTTP liiklus blokeeritakse (ingl k. ''drop'').
# Initsialiseerimine - Uue kliendi tuvastamisel, avatakse port antud port switchil kuhu soovitakse ühenduda ja pannakse see "volitamata" olekusse. Selles olekus lubatakse ainult 802.1X liiklust. Igasugune muu nagu DHCP ja HTTP liiklus blokeeritakse (ingl k. ''drop'').
# Initsiatsioon - Autentimise initseerimiseks saadab autentija perioodiliselt ''EAP-Request Identity'' kaadreid spetsiaalsele ''Layer 2'' aadressile lokaalses võrgu segmendis. Paluja kuulab sellel aadressil ja antud kaadri kättesaamisel vastab ''EAP-Response Identity'' kaadriga mis sisaldab identifikaatorit nagu näiteks kasutaja ID. Autentija kapseldab selle identiteedi vastuse ''RADIUS Access-Request'' paketti ja edastab selle autentimis serverile. Paluja võib ka ise initseerida või ''restartida'' autentimis protsessi, saates EAPOL-Start kaadri autentijale, mis vastab sellele EAP-Request Identity kaadriga. :)
# Initsiatsioon - Autentimise initseerimiseks saadab autentija perioodiliselt ''EAP-Request Identity'' kaadreid spetsiaalsele ''Layer 2'' aadressile lokaalses võrgu segmendis. Paluja kuulab sellel aadressil ja antud kaadri kättesaamisel vastab ''EAP-Response Identity'' kaadriga mis sisaldab identifikaatorit nagu näiteks kasutaja ID. Autentija kapseldab selle identiteedi vastuse ''RADIUS Access-Request'' paketti ja edastab selle autentimisserverile. Paluja võib ka ise initseerida või ''restartida'' autentimis protsessi, saates EAPOL-Start kaadri autentijale, mis vastab sellele EAP-Request Identity kaadriga. :)
# Läbirääkimine (ingl k. ''Negotiation'') - (Tehniliselt EAP läbirääkimine) Autentimisserver saadab autentijale vastuse (kapseldatud ''RADIUS Access-Challenge'' paketis), mis sisaldab endas EAP päringut milles on spetsifitseeritud EAP meetod (Teatud EAP baasil autentimise tüüp, mida server soovib, et paluja teeks). Autentija kapseldab EAP päringu EAPOL kaadrisse ja saadab selle palujale. Siinkohal võib paluja vastata NAKiga (ingl k. ''Not-Acknowledged'') ja vastata EAP meetoditega mida ta soovib teha, või alustada päritud EAP meetodiga.

Revision as of 17:38, 22 May 2010

802.11i või IEEE 802.11i-2004 on parandus algsele IEEE 802.11 standardile. Selle algne visand sai kinnitatud 24. Juunil 2004. See standard spetsifitseerib traadita võrkude turva mehhanisme. Antud parandus asendas Autentimis ja privaatsus (ingl k. Authentication and privacy) punkti originaalses standardis, mis kirjeldas detailsemalt Turva punkti. Selle käigus tauniti murtud WEPi. See parandus lisati hiljem publitseeritud IEEE 802.11-2007 standardisse.

802.11i on loodi asendamaks WEPi (ingl. Wired Equivalent Privacy), millel esinesid väga kriitilised turvaaugud. WPA (ingl Wi-Fi Protected Access) käidi välja Wi-Fi allianssi poolt vahepealseks lahenduseks WEPi turvaaukude jaoks. WPA implementeeris alamosa 802.11i standardist. Wi-Fi allianss nimetab nende täielikku 802.11i standardit kui WPA2, samuti tuntud ka kui RSN (ingl k. Robust Security Network). 802.11i kasutab AESi (ingl k. Advanced Encryption Standard) blokk šihvrit, samal ajal kui WEP ja WPA kasutavad RC4 voo šihvrit.

Protokolli toimimine

IEEE 802.11i motifitseerib IEEE 802.11-1999 standardit, pakkudes RSNi mis sõltub IEEE 802.1X standardist, 4-Poolsest kätlustest ja grupi võtme kätlusest, et luua ja muuta sobivaid krüptograafilisi võtmeid. RSN on turvatud võrk, mis lubab luua ainult robustseid turvalise võrgu assotsiatsioone (RSNA ingl k. Robust Security Network Associations), mis teatud tüüpi assotsiatsoonid mida kasutavad paar STAsid, autentimis protseduur sisaldab või on seotud 4-Poolse kätlusega. Samuti pakub WPA2 kahte RSNA poolset andmete konfidentsiaalsust ja terviklust tagavat protokolli, TKIP ja CCMP, kus CCMP implementatsioon on kohustuslik.

802.1X

IEEE 802.1X määratleb EAP (ingl k. Extensible Authentication Protocol) kapseldamist üle IEEE 802 protokolli, see on ühtlasi tuntud ka kui "EAP üle kohtvõrgu" või EAPOL (ingl k. Extensible Authentication Protocol over LAN). EAPOL oli algselt disainitud IEEE 802.3 jaoks, kuid hiljem selgus, et antud protokoll sobib ka teisele IEEE 802 kohtvõrgu tehnoloogiatele, näiteks nagu IEEE 802.11 ja FDDI (ingl k. Fiber Distributed Data Interface). EAPOLi protokolli muudeti ka IEEE 802.1AE (MACSec) ja IEEE 802.1AR (ingl k. Secure Device Identity, DevID)

802.1X autentimine koosneb kolmest osast. Paluja (ingl k. supplicant), autentija (ingl k. authenticator), autentimisserver (ingl k. authentication server). Palujaks on enamasti klient seade (näiteks sülearvuti) mis soovib ennast ühendada kohtvõrku või traadita kohtvõrku. Autentijaks on võrguseade, näiteks nagu switch või AP (ingl k. Wireless Access Point) ja autentimisserveriks on host millel jookseb RADIUS ja EAPd toetav tarkvara.


Tüüpiline autentimis protsess koosneb järgnevatest osadest:

  1. Initsialiseerimine - Uue kliendi tuvastamisel, avatakse port antud port switchil kuhu soovitakse ühenduda ja pannakse see "volitamata" olekusse. Selles olekus lubatakse ainult 802.1X liiklust. Igasugune muu nagu DHCP ja HTTP liiklus blokeeritakse (ingl k. drop).
  2. Initsiatsioon - Autentimise initseerimiseks saadab autentija perioodiliselt EAP-Request Identity kaadreid spetsiaalsele Layer 2 aadressile lokaalses võrgu segmendis. Paluja kuulab sellel aadressil ja antud kaadri kättesaamisel vastab EAP-Response Identity kaadriga mis sisaldab identifikaatorit nagu näiteks kasutaja ID. Autentija kapseldab selle identiteedi vastuse RADIUS Access-Request paketti ja edastab selle autentimisserverile. Paluja võib ka ise initseerida või restartida autentimis protsessi, saates EAPOL-Start kaadri autentijale, mis vastab sellele EAP-Request Identity kaadriga. :)
  3. Läbirääkimine (ingl k. Negotiation) - (Tehniliselt EAP läbirääkimine) Autentimisserver saadab autentijale vastuse (kapseldatud RADIUS Access-Challenge paketis), mis sisaldab endas EAP päringut milles on spetsifitseeritud EAP meetod (Teatud EAP baasil autentimise tüüp, mida server soovib, et paluja teeks). Autentija kapseldab EAP päringu EAPOL kaadrisse ja saadab selle palujale. Siinkohal võib paluja vastata NAKiga (ingl k. Not-Acknowledged) ja vastata EAP meetoditega mida ta soovib teha, või alustada päritud EAP meetodiga.