802.11i

From ICO wiki
Revision as of 19:00, 22 May 2010 by Slaasik (talk | contribs)
Jump to navigationJump to search

802.11i või IEEE 802.11i-2004 on parandus algsele IEEE 802.11 standardile. Selle algne visand sai kinnitatud 24. Juunil 2004. See standard spetsifitseerib traadita võrkude turva mehhanisme. Antud parandus asendas Autentimis ja privaatsus (ingl k. Authentication and privacy) punkti originaalses standardis, mis kirjeldas detailsemalt Turva punkti. Selle käigus tauniti murtud WEPi. See parandus lisati hiljem publitseeritud IEEE 802.11-2007 standardisse.

802.11i on loodi asendamaks WEPi (ingl. Wired Equivalent Privacy), millel esinesid väga kriitilised turvaaugud. WPA (ingl Wi-Fi Protected Access) käidi välja Wi-Fi allianssi poolt vahepealseks lahenduseks WEPi turvaaukude jaoks. WPA implementeeris alamosa 802.11i standardist. Wi-Fi allianss nimetab nende täielikku 802.11i standardit kui WPA2, samuti tuntud ka kui RSN (ingl k. Robust Security Network). 802.11i kasutab AESi (ingl k. Advanced Encryption Standard) blokk šihvrit, samal ajal kui WEP ja WPA kasutavad RC4 voo šihvrit.

Protokolli toimimine

IEEE 802.11i motifitseerib IEEE 802.11-1999 standardit, pakkudes RSNi mis sõltub IEEE 802.1X standardist, 4-Poolsest kätlustest ja grupi võtme kätlusest, et luua ja muuta sobivaid krüptograafilisi võtmeid. RSN on turvatud võrk, mis lubab luua ainult robustseid turvalise võrgu assotsiatsioone (RSNA ingl k. Robust Security Network Associations), mis teatud tüüpi assotsiatsoonid mida kasutavad paar STAsid, autentimis protseduur sisaldab või on seotud 4-Poolse kätlusega. Samuti pakub WPA2 kahte RSNA poolset andmete konfidentsiaalsust ja terviklust tagavat protokolli, TKIP ja CCMP, kus CCMP implementatsioon on kohustuslik.

802.1X

IEEE 802.1X määratleb EAP (ingl k. Extensible Authentication Protocol) kapseldamist üle IEEE 802 protokolli, see on ühtlasi tuntud ka kui "EAP üle kohtvõrgu" või EAPOL (ingl k. Extensible Authentication Protocol over LAN). EAPOL oli algselt disainitud IEEE 802.3 jaoks, kuid hiljem selgus, et antud protokoll sobib ka teisele IEEE 802 kohtvõrgu tehnoloogiatele, näiteks nagu IEEE 802.11 ja FDDI (ingl k. Fiber Distributed Data Interface). EAPOLi protokolli muudeti ka IEEE 802.1AE (MACSec) ja IEEE 802.1AR (ingl k. Secure Device Identity, DevID)

802.1X autentimine koosneb kolmest osast. Paluja (ingl k. supplicant), autentija (ingl k. authenticator), autentimisserver (ingl k. authentication server). Palujaks on enamasti klient seade (näiteks sülearvuti) mis soovib ennast ühendada kohtvõrku või traadita kohtvõrku. Autentijaks on võrguseade, näiteks nagu switch või AP (ingl k. Wireless Access Point) ja autentimisserveriks on host millel jookseb RADIUS ja EAPd toetav tarkvara.


Tüüpiline autentimis protsess koosneb järgnevatest osadest:

  1. Initsialiseerimine - Uue kliendi tuvastamisel, avatakse port antud port switchil kuhu soovitakse ühenduda ja pannakse see "volitamata" olekusse. Selles olekus lubatakse ainult 802.1X liiklust. Igasugune muu nagu DHCP ja HTTP liiklus blokeeritakse (ingl k. drop).
  2. Initsiatsioon - Autentimise initseerimiseks saadab autentija perioodiliselt EAP-Request Identity kaadreid spetsiaalsele Layer 2 aadressile lokaalses võrgu segmendis. Paluja kuulab sellel aadressil ja antud kaadri kättesaamisel vastab EAP-Response Identity kaadriga mis sisaldab identifikaatorit nagu näiteks kasutaja ID. Autentija kapseldab selle identiteedi vastuse RADIUS Access-Request paketti ja edastab selle autentimisserverile. Paluja võib ka ise initseerida või restartida autentimis protsessi, saates EAPOL-Start kaadri autentijale, mis vastab sellele EAP-Request Identity kaadriga. :)
  3. Läbirääkimine (ingl k. Negotiation) - (Tehniliselt EAP läbirääkimine) Autentimisserver saadab autentijale vastuse (kapseldatud RADIUS Access-Challenge paketis), mis sisaldab endas EAP päringut milles on spetsifitseeritud EAP meetod (Teatud EAP baasil autentimise tüüp, mida server soovib, et paluja teeks). Autentija kapseldab EAP päringu EAPOL kaadrisse ja saadab selle palujale. Siinkohal võib paluja vastata NAKiga (ingl k. Not-Acknowledged) ja vastata EAP meetoditega mida ta soovib teha, või alustada päritud EAP meetodiga.
  4. Autentimine - Kui autentimisserver ja paluja nõustuvad EAP meetodi suhtes, siis vahetavad nad EAP Request ja Response pakette, mida tõlgib autentija, kuni autentimis server vastab kas EAP-Success sõnumiga (kapseldatud RADIUS Access-Accept paketis) või EAP-Failure sõnumiga (kapseldatud RADIUS Access-Reject paketis). Kui autentimine õnnestub, siis autentija seab porti staatuse "volitatud" olekusse ja normaalne liiklus on lubatud. Kui aga autentimine ebaõnnestub siis port jääb ikka "volitamata" olekusse, blokeerides jällegi kogu liikluse v.a. EAP liiklus.

Nelja-pidine kätlus (ingl k. Four-Way Handshake)

Autentimis protsess jätab 2 kaalutluspunkti: AP (ingl k. Access Point) peab ikkagi ennast autentima STAle (traadita kliendi seade) ja võtmed võrguliikluse krüpteerimiseks tuleb tuletada. Algeline EAP vahetus on andnud küll jagatud salajase PMK (ingl k. Pairwise Master Key) võtme