[WLAN d'entrée au maître -] Les bases de la politique de sécurité --WLAN

Une connexion Wi-Fi est presque partout, mais dans la plupart des cas, même si vous pouvez numériser le signal sans fil, aucun accès n'est pas certifié. Notre liste de SSID du réseau sans fil mobile ci-dessous, d'autres montrent « par la protection WPA2 », « protégé par 802.1X » et d'autres informations similaires, il est à cause de ces réseaux sans fil utilisent la question que nous voulons partager la politique de sécurité WLAN.

Tout d'abord, pourquoi la nécessité d'une politique de sécurité WLAN?

Comme la zone d'entrée a besoin de cartes d'accès, mot de passe sûr est nécessaire ...... notre vie, il y a trop d'endroits ont besoin de protection de la sécurité. WLAN en raison de sa flexibilité, la mobilité et d'autres avantages sont de plus en plus populaires, mais à cause de ses caractéristiques propres, vulnérables aux attaques, et l'utilisateur peut facilement des informations de fuite, améliorant ainsi la sécurité est devenue un sujet important de réseau local sans fil. Ainsi, la politique de sécurité WLAN est né.

Nous décrochez le téléphone pour ouvrir le réseau local sans fil, sélectionnez le SSID du réseau à accéder, entrez le mot de passe (certains peuvent aussi avoir besoin d'entrer un nom d'utilisateur tel que le mode d'authentification), la connexion est réussie, l'Internet. En attendant, l'application réussie du système politique de sécurité WLAN, contient un ensemble complet de mécanismes de sécurité, impliquant l'authentification de liaison, l'authentification d'accès, la négociation des clés et le cryptage des données.

authentification de lien pour le matériel de terminal, uniquement par l'authentification de liaison, le terminal peut se connecter AP. Si l'authentification du système ouvert, les utilisateurs ne doivent pas faire quoi que ce soit, afin de ne pas percevoir cette certification. Si l'authentification par clé partagée, la nécessité d'une série de clé d'authentification de liaison à l'avance dans la STA.

L'authentification d'accès nécessite généralement l'utilisateur d'entrer un mot de passe pour l'authentification et d'autres documents, comme on le comprendra en exigeant une authentification à l'aide d'une personne de dispositif d'authentification de lien. Si l'appareil est certifié par le lien, mais la personne n'est pas autorisée (aucun mot de passe), pas non plus sur le réseau. assure l'authentification d'accès que seules les personnes qui connaissent le mot de passe pour accéder au réseau sans fil.

Nos activités Internet généreront beaucoup d'échange de données et la transmission de cryptage des données avant la transmission, de sorte que les données ne peuvent pas être facilement volés ou falsifiés pendant la transmission, la sécurité de l'information et protection des renseignements personnels. Il est généralement utilisé pour chiffrer le terminal et le dispositif d'accès préalablement négocié par l'interaction dynamique. Pour le cryptage des données et des consultations de mot de passe sont effectuées automatiquement, les utilisateurs ne doivent pas nécessairement faire quoi que ce soit.

Avec cet ensemble de mécanismes de sécurité, WLAN aura une sécurité de base.

Deux, les politiques de sécurité WLAN qui ont?

la politique de sécurité WLAN inclut WEP, WPA, WPA2 et WAPI, le regard de déposons sur la politique de sécurité WLAN a connu comment genre d'évolution.

1, WEP

WEP (Wired Equivalent Privacy), à savoir, Wired Equivalent Privacy protocole est un protocole de sécurité du WLAN défini par la norme 802.11, en utilisant l'algorithme de chiffrement RC4. RC4 est une clé variable algorithme de chiffrement de flot de longueur, le système génère le vecteur initial 24, 40 disposés sur le service de réseau local sans fil et le client 104 bits ou clé de 128 bits, à la fois pour obtenir une somme de contrôle finale est utilisé pour chiffrer 64 bits, 128 bits ou 152.

stratégie de sécurité WEP implique l'authentification de la liaison et le chiffrement des données, il ne comporte pas d'authentification d'accès et un accord clé.

authentification lien

méthodes d'authentification des supports de liaison WEP deux: ouvert authentification du système et d'authentification clé partagée.

  • L'authentification ouverte du système, compris comme pratiquement pas d'authentification. Tout STA dit « demande de vérification » AP, AP réponses sont « validées ».

Par exemple, si vous souhaitez vous connecter à la recherche d'un réseau sans fil, si le réseau sans fil en utilisant l'authentification de système ouvert, vous n'avez pas besoin d'entrer des informations d'authentification, le système vous demandera déjà sur le réseau lié sans fil. 

  • Pour l'authentification par clé partagée, STA, et le même point d'accès à des clés pré-arrangé, clé de vérification AP sont les mêmes des deux côtés du processus d'authentification de lien. Si adapté, l'authentification est réussie, sinon, l'authentification échoue.

??????? 55b71efd2c443.png

Notez que, ici STA clé d'authentification configurée est utilisée uniquement pour le lien indépendant, et l'authentification d'accès. Tout utilisateur configuré avec l'utilisation correcte du secret partagé STA sur le réseau sans fil peut être associé. Toutefois, si le réseau sans fil est configuré avec l' authentification d'accès, l'utilisateur devra saisir le SSID du mot de passe d'accès ( en supposant que STA ne enregistre pas automatiquement SSID du mot de passe d'accès) à Internet.

( Si vous voulez plus d' informations sur l'authentification de lien, voir [WLAN d'entrée au maître - Principes de base] No. 8 procédure d'accès --STA .)

Le chiffrement des données

  • ? Si vous sélectionnezauthentification système ouvert, après un utilisateurconnecte, vous pouvez choisir de configurer le service pour crypterdonnées. Sélectionnez le cryptage, les besoins clés de chiffrement à configurer.

Par exemple, pour WLAN V200R005 version:

Exécuter WEP-authentification Open-méthode du système , organisé l' authentification du système ouvert, les données de paquets ne sont pas cryptées;

Exécutez WEP Méthode d' authentification ouverte à Système-  Data-Chiffrer , organisé ouvert l' authentification du système, et des paquets de données cryptées.

  • Si la clé est authentifié, l'utilisateur choisit de partager la ligne, en utilisant la clé partagée pour chiffrer le trafic de données .

les politiques de sécurité de chiffrement des données WEP, tous les utilisateurs utilisent la même clé de cryptage.

À l'heure actuelle dans l'application pratique, sélectionnez si vous utilisez WEP Ouvrir la méthode d'authentification de la politique de sécurité système, souvent utilisé en conjonction avec l'authentification Portal ou l'authentification MAC, le contrôle d'accès des utilisateurs, d'améliorer la sécurité du réseau.

(Ce numéro , nous regardons simplement l'authentification MAC Portal et la certification, plus de détails sur NAC, voir les rivières [commutateur] et des lacs dans les vingt-huit chapitres l'histoire d'un gardien (a) .)

Pour un terminal d'utilisateur ne peut pas être installé 802.1X client et 802.1X peut être effectuée sans avoir à installer un téléphone mobile composant client 802.1X l'authentification MAC est généralement utilisé. L'authentification est basée sur les ports MAC et les adresses MAC de l'autorité d'accès au réseau d'une méthode de contrôle d'authentification de l'utilisateur, l'utilisateur d'ajouter simplement l'adresse MAC de la STA dans le serveur d'authentification, les informations d'authentification sans avoir à entrer dans l'authentification peut être fait automatiquement.

l'authentification MAC peut être effectuée par le dispositif d'accès, il peut être effectué par un serveur d'authentification dédié. Et pour des raisons de sécurité, généralement celui-ci.

Ci-dessous, nous examinons le processus de certification MAC. (Note: Toutes les illustrations sont présentes l'architecture AC FIT AP, par exemple.)

55b71d55c32c5.png

?

Comme indiqué ci-dessus, le nom d'utilisateur AC et mot de passe (en général l'adresse MAC) envoyées au serveur d'authentification, si l'authentification est réussie, l'AC dans l'autorisation du port, la STA au port d'accès sur le réseau.

Si vous ne souhaitez que pour permettre aux utilisateurs de l'authentification d'accès via l'interface Web, vous pouvez utiliser la fonction d'authentification du portail. l'authentification du portail est également appelé l'authentification Web, vous devez saisir les informations d'authentification lorsque les utilisateurs accèdent au portail, puis compléter l'authentification de l'utilisateur par le serveur d'authentification. l'authentification du portail n'est pas nécessaire pour installer le client d'authentification, pour que le navigateur, que ce soit un ordinateur ou un téléphone mobile peut être utilisé pour respecter.

Je ne sais pas si vous avez remarqué, il y a beaucoup de cryptage de réseau sans fil est lui-même pas en public, mais lorsque vous visitez la page Web s'affiche vous demandant d'entrer un nom d'utilisateur et mot de passe, sinon certifié, vous ne pouvez accéder à la page spécifiée. Cela indique que ces réseaux sans fil utilisent l'authentification du portail.

Par exemple, ce qui suit est un réseau de campus pour authentifier les utilisateurs de Portal page d'authentification .

55b71dba9f75f.png

Dans WLAN WEP dans une certaine mesure, sur les premiers stades du développement pour protéger la sécurité des réseaux sans fil, mais il y a beaucoup de dangers cachés, tels que:

  • clé statique, à savoir l'accès à tous les mêmes STA les mêmes touches pour accéder au SSID du réseau sans fil. STA d'un compromis clé conduira à une fuite clé d'autres utilisateurs.
  • 24 bits vecteur d'initialisation est facile à réutiliser, et transmis en texte clair, si *** recueilli par le paquet sans fil contient des informations spécifiques sur le vecteur initial et parse il est susceptible de casser une clé complète.
  • algorithme de chiffrement RC4 WEP est utilisé pour prouver l'existence d'une atteinte à la sécurité.

mécanisme de cryptage WEP ou en termes de l'algorithme de chiffrement lui-même, sont vulnérables aux menaces de sécurité, il est de nombreuses lacunes font sur mesure 802.11 organisations ont commencé de nouvelles normes de sécurité.

2, WPA / WPA2

Afin de résoudre le problème de la politique de sécurité WEP, en l'absence d'un lancement officiel d'une plus grande politique de sécurité de sécurité, Wi-Fi Alliance a lancé la politique de sécurité WPA. WPA utilise l'algorithme de chiffrement Temporal Key Integrity Protocol TKIP (Temporal Key Integrity Protocol), fournit le mécanisme clé remis à zéro et d'améliorer la longueur de clé efficace, dans une large mesure de compenser les lacunes du WEP.

Ensuite, le corps des normes de sécurité 802.11i a lancé une version améliorée de WPA2. chaîne WPA2 utilisant le bloc cryptographique - un protocole d'information de code de contrôle de plausibilité CCMP (mode compteur avec protocole CBC-MAC) mécanisme de cryptage, le mécanisme de cryptage utilisé algorithme de chiffrement AES (Advanced Encryption Standard) est un chiffrement symétrique de bloc, TKIP que plus difficile à casser.

À l'heure actuelle, WPA et WPA2 peuvent utiliser des algorithmes de chiffrement TKIP ou AES pour obtenir une meilleure compatibilité, ils sont presque pas de différence en toute sécurité.

stratégie de sécurité WPA / WPA2 implique l'authentification de liaison, l'authentification d'accès, la négociation des clés et le cryptage des données.

authentification lien

support WPA / WPA2 uniquement d'authentification système ouvert (WEP parler avec la politique de sécurité ci-dessus dans l'authentification du système ouvert).

authentification d'accès

WPA / WPA2 propose deux modes d'authentification d'accès:

  • WPA / WPA2 Enterprise Edition: Dans un grand réseau d'entreprise, généralement l'authentification d'accès 802.1X. l'authentification 802.1X est basée sur un contrôle d'accès au réseau, l'interface utilisateur fournit les informations d'authentification désirées, telles que le nom d'utilisateur et mot de passe, via le serveur spécifique d'authentification d'utilisateur (généralement un serveur RADIUS) et le protocole d'authentification extensible EAP (Extensible Authentication Protocol) mettre en œuvre l'authentification de l'utilisateur.
WPA / WPA2 prend en charge EAP-TLS (Transport Layer Security) et EAP-PEAP (Protected EAP) d'authentification 802.1X. 

55b71fcaa90bb.png

?

55b71fd57e14e.png

?

EAP-TLS basée sur le PKI système de certificats, et EAP-PEAP ne nécessite pas le déploiement de PKI systèmes pour assurer la sécurité tout en réduisant les coûts, en réduisant la complexité. Les applications pratiques, on n'a pas besoin de connaître les détails du processus d'authentification, seulement besoin 802.1X sélectionnez client d'authentification, l'autre par le serveur d'authentification pour le traitement.

55b7203a595bf.png

  • WPA / WPA2 Personal Edition: pour les petites et réseau moyennes entreprises ou les utilisateurs à domicile, le déploiement d'un coût de serveur d'authentification dédié trop cher, l'entretien est également un mode très complexe, clé en utilisant souvent WPA / WPA2 pré-partagée, et de l'équipement réseau local sans fil à l'avance la fin de STA configuré avec la même clé pré-partagée, et si le message est décrypté par la négociation réussie de déterminer si une clé partagée pré-est des appareils pré-configurés et WLAN partagent la même configuration clé de STA, complétant ainsi l'authentification d'accès de la STA.

Accord clé

 

phase d'authentification d'accès génère un PCM de clé principale par paires (Pairwise Master Key) est généré par paires transitoire clé PTK (Pairwise Transient Key) et un groupe clé temporaire GTK (Group Temporal Key) selon la. Dans laquelle PTK utilisé pour chiffrer les paquets unicast, GTK pour chiffrer multidiffusion et les paquets de diffusion.

 

  • processus de négociation clé unicast est un processus de prise de contact à quatre voies.

 55b724211e5b4.png

  • processus de négociation de clé de multidiffusion est un second processus d'établissement de liaison est effectué après le processus de négociation de clé unicast.

 55b7245ee00ff.png

 

Le chiffrement des données

Une fois le processus décrit ci-dessus est important, aussi bien la transmission de données communication commence après le processus de cryptage. algorithme de cryptage TKIP ou AES, une clé de chiffrement en utilisant la phase de négociation clé clé négociée.

WPA / WPA2 WEP résoudre de nombreux problèmes, mais la seule façon d'obtenir l'identification des équipements STA WLAN, l'identité du périphérique WLAN ne peut pas être authentifié.

3 , OU

WAPI (WLAN authentification et de confidentialité Infrastructure), l'authentification WLAN et Infrastructure de confidentialité, est une norme de sécurité sans fil proposé par la Chine. WAPI utilisant des certificats numériques basés sur l'algorithme de chiffrement par bloc est la signature SMS4 et ECDSA Elliptic Curve Cryptosystem Symmetric cryptosystème à clé publique, respectivement, pour un dispositif sans fil, l'authentification de certificat cryptographique, la négociation des clés et la transmission des données. Par authentification bidirectionnelle, les certificats numériques, les informations d'identification et d'améliorer le protocole d'authentification, en fournissant plus forte que la sécurité WPA / WPA2.

la politique de sécurité WAPI implique l'authentification de liaison, l'authentification d'accès, la négociation des clés et le cryptage des données.

authentification lien

WAPI ne supporte que l'authentification du système ouvert.

authentification d'accès

l'authentification d'accès WAPI propose deux méthodes:

  • méthodes basées sur les certificats: dans les grands réseaux d'entreprise, généralement basées sur un certificat. STA avant l'identification et doit être pré-AC a son propre certificat, puis d'identifier l'identité des deux côtés par le serveur d'authentification.

 55b724c69b232.png

Comme on peut le voir sur la figure ci-dessus, WAPI fournit une authentification à deux voies, l'authentifie serveur d'authentification eux-mêmes non seulement pour la STA, aussi AC s'authentifient. STA AC contrôler l'accès du résultat de l'authentification par certificat selon STA, la STA détermine si l'accès aux services WLAN basés sur l'authentification par certificat AC. De cette manière, à la fois pour empêcher l'accès illégal au réseau WLAN STA, STA il n'y a pas peur d'accès illégal au dispositif de réseau local sans fil.
  • Sur la base de façon clé pré-partagée: pour un petit réseau et moyennes entreprises ou de l'utilisateur à domicile, le système est trop cher pour déployer le certificat, généralement basé sur l'expression orale authentification par clé pré-partagée (avec ce qui précède WPA / WPA2 Personal Edition authentification par clé pré-partagée )
 

 

étape de la négociation des clés

Une fois l'authentification réussie, l'équipement WLAN amorcera un processus de consultation avec STA clé, d'abord négocier le cryptage pour les paquets unicast clés unicast, puis négocier pour chiffrer les paquets de multidiffusion clé de multidiffusion.

55b7252040831.png
 

En plus de la négociation touche dynamique, WAPI fournit également le numéro de mécanisme et en fonction du temps ressaisir des paquets, STA éviter l'utilisation prolongée des mêmes problèmes clés de sécurité potentiels.

étape de chiffrement des données

Une fois le processus décrit ci-dessus est important, aussi bien la transmission de données communication commence après le processus de cryptage. algorithme de chiffrement SMS4, une clé de chiffrement en utilisant la clé phase de négociation pour négocier une clé.

En troisième lieu , le choix du réseau local sans fil politique de sécurité?

WLAN offre tant de la politique de sécurité, à la fin ce que fait ce choix? Le tableau suivant résume l'information sur les différents scénarios d'utilisation et la politique de sécurité et d'autres sécurité.

Politique de sécurité

authentification lien

authentification d'accès

algorithme de chiffrement

Scène recommandée

explication

WEP ouvert

L'authentification ouverte du système

Lui-même n'a pas d'authentification d'accès, l'authentification ou le portail supportant l'authentification d'adresse MAC

RC4 ou non

aéroports de mobilité de l'utilisateur, les gares, les centres d'affaires, des salles de conférence et autres lieux publics.

Peu sûr lorsqu'il est utilisé seul, un terminal sans fil peut accéder au réseau pour l'authentification ou configurer Portal authentification d'adresse MAC.

WEP-share-clé

Authentification par clé partagée

Ne pas impliquer

RC4

exigences de sécurité du réseau inférieur.

la sécurité WEP est faible, il est déconseillé.

WPA / WPA2-PSK

L'authentification ouverte du système

l'authentification PSK

TKIP ou AES

Les utilisateurs domestiques ou les réseaux d'entreprises petites et moyennes.

Coffre-fort à WEP- authentification par clé partagée, aucun serveur tiers, et à faible coût.

WPA / WPA2-802.1X

L'authentification ouverte du système

l'authentification 802.1X

TKIP ou AES

exigences de sécurité élevées des grands réseaux d'entreprise.

Coffre-fort, mais nécessite un serveur tiers, le coût élevé.

OÙ-PSK

L'authentification ouverte du système

l'authentification PSK

Sns4

Les utilisateurs domestiques ou les réseaux d'entreprises petites et moyennes.

Coffre-fort à WEP- authentification par clé partagée, aucun serveur tiers, et à faible coût. Seuls certains terminaux prennent en charge le protocole, il est rarement utilisé.

certificat WAPI-

L'authentification ouverte du système

certificat

Sns4

exigences de sécurité élevées des grands réseaux d'entreprise.

Coffre-fort, nous avons besoin d'un serveur tiers, le coût élevé. Seuls certains terminaux prennent en charge le protocole, il est rarement utilisé.

Comme on peut le voir dans le tableau, le besoin de scène, les exigences de sécurité, de coûts et d'autres aspects à considérer lors du choix d'une politique de sécurité globale.

En plus de la politique de sécurité, WLAN fournit également des mécanismes de sécurité supplémentaires, continuer à partager avec vous dans le suivi sera publié en feuilleton, restez à l'écoute!

 

Publié 24 articles originaux · louange gagné 30 · vues + 50000

Je suppose que tu aimes

Origine blog.csdn.net/yufen9987/article/details/104965990
conseillé
Classement