Первая составляющая: базовая аутентификация

Первая составляющая: базовая аутентификация. Основой аутентификации стандарта 802.11 является служебный фрейм аутентифи¬кации стандарта 802.11. Этот служебный фрейм помогает реализовать алгоритмы от¬крытой аутентификации и аутентификации с совместно используемым ключом, хотя сам по себе фрейм не обладает способностью аутентифицировать клиента.

Поскольку о недостатках аутентификации стандарта 802.11 мы уже говорили, попробуем разо¬браться в том, что необходимо сделать для того, чтобы обеспечить проведение защи¬щенной аутентификации в беспроводных LAN. В стандарте 802.11 не определены основные компоненты, способные обеспечить эффективную аутентификацию (они перечислены ниже). • Централизованная аутентификация, ориентированная на пользователя. • Динамично шифруемые ключи. • Управление зашифрованными ключами. • Взаимная аутентификация.

Аутентификация, ориентированная на пользователя, чрезвычайно важна для обеспече¬ния защиты сети. Аутентификация, ориентированная на устройства, подобная открытой аутентификации и аутентификации с совместно используемым ключом, не способна вос¬препятствовать неавторизованным пользователям воспользоваться авторизованным уст¬ройством.

Из этого следует, что при потере или краже такого устройства или по окончании работы по найму администратор сети будет вынужден вручную изменять ключи всех точек доступа и клиентов сети стандарта 802.11. При централизованном, ориентированном на пользователя управлении через сервер аутентификации, авторизации и учета (authentication, authorization, and accounting, AAA), такой как. RADIUS, администратор мо¬жет запретить доступ к сети отдельным пользователям, а не их устройствам.

Требование проводить аутентификацию, ориентированную на пользователя, имеет положительный побочный эффект: наличие отдельных ключей шифрования для каж¬дого пользователя. Разновидности аутентификации, которые поддерживают создание динамических ключей шифрования, хорошо подходят для улучшения защиты беспро¬водных LAN и модели управления ими. Динамические ключи, индивидуальные для каждого пользователя, освобождают администратора сети от необходимости использо¬вания статически управляемых ключей.

Ключи шифрования динамически назначают¬ся и аннулируются, когда пользователь проходит процедуру аутентификации или вы¬ходит из сети. Для того чтобы удалить какого-либо пользователя из сети, достаточно аннулировать его учетную запись, и он потеряет возможность доступа к сети. Взаимная аутентификация — это аутентификация двухсторонняя. Ее "двухсторонняя" природа обусловлена тем, что не только сеть аутентифицирует клиента, но и клиент аутен¬тифицирует сеть. При открытой аутентификации и аутентификации с совместно используемым ключом точка доступа или сеть аутентифицирует клиента.

Последний не знает на¬верняка, что подключился именно к той сети, к какой нужно, поскольку в стандарте 802.11 не предусмотрен механизм, позволяющий клиенту аутентифицировать сеть. В ре¬зультате принадлежащая злоумышленнику точка доступа или клиентская станция может выдать себя за "законную" точку доступа и повредить данные на клиентской машине.

На рис. 15 представлены диаграммы, иллюстрирующие процессы односторонней и взаимной аутентификации. Рис. 15. Односторонняя и взаимная аутентификация Поставщики сетей стандарта 802.11 и IEEE осознают необходимость усиления и замены существующих механизмов обеспечения защиты — и аутентификации, и шифрования. Исследовательская группа I рабочей группы стандарта 802.11 сейчас работает над этим, и после того как изменения будут полностью подготовлены, спе¬цификации по защите будут утверждены как спецификации стандарта 802.11i. IEEЕ начал борьбу с дефектами механизма аутентификации стандарта 802.11 с принятия базовой аутентификации, соответствующей стандарту 802.1X. Стан¬дарт 802.1X представляет собой стандарт IEEE, который относится ко всем топо¬логиям канального уровня серии стандартов 802 и позволяет наращивать его механизмы аутентификации до таковых, обычно реализуемых на более высоких уровнях.

Стандарт 802.1X основан на принципах аутентификации, характерных для протокола типа "точка-точка" (Point-to-Point Protocol, PPP), и называется расширяемый протокол аутентификации (Extensible Authentication Protocol, EAP). Попросту говоря, стандарт 802.1X инкапсулирует сообщения для использования их на уровне 2. Стандарт 802.11i включает базовую аутентификацию стандарта 802.1X, требуя, чтобы она применялась для аутентификации пользователей.

На рис. 16 представлен стандарт 802.1X в части алгоритма аутентификации и топо¬логий канального уровня серии стандартов 802. Рис. 16. Стандарт 802.1X и топологии канального уровня Протокол ЕАР (RFC 2284) и стандарт 802.1X не регламентируют использование особого алгоритма аутентификации.

Администратор сети может применять соответст¬вующую протоколу ЕАР разновидность аутентификации — или 802.1X, или ЕАР. Единственное требование — чтобы как клиент стандарта 802.11 (здесь он называется просителем (supplicant)), так и сервер аутентификации поддерживали алгоритм ЕАР-аутентификации.

Такая открытая и расширяемая архитектура позволяет использовать базовую аутентификацию в различных условиях, и в каждой ситуации можно приме¬нять подходящую разновидность аутентификации. Ниже приведены примеры типов ЕАР-аутентификации. • ЕАР защиты транспортного уровня (EAP-transport layer security, EAP-PEAP). Ра¬ботает аналогично протоколу защищенных сокетов (secure sockets layer, SSL). Взаимная аутентификация выполняется с использованием цифровых сертификатов на стороне сервера для создания SSL-туннеля для клиента, осуществляющего защищенную аутентификацию в сети. • EAP-Message Digest 5 (EAP-MD5). Аналогично протоколу аутентификации с предварительным согласованием вызова (challenge handshake authentication protocol, CHAP), EAP-MD5 обеспечивает работу алгоритма односторонней аутентификации с использованием пароля. • EAP-Cisco. ЕАР-аутентификация типа EAP-Cisco, которую называют также LEAP, была первой, определенной для применения специально в беспроводных LAN. EAP-Cisco — это алгоритм взаимной аутентификации с использованием пароля.

Аутентификация по стандарту 802.1X требует наличия трех составляющих. • Проситель.

Размещается на стороне клиента беспроводной LAN. • Аутентификатор (authenticator). Размещается в точке доступа. • Сервер аутентификации. Размещается на сервере RADIUS. Эти составляющие представляют собой программные компоненты, устанавливае¬мые на устройствах сети. С точки зрения стандарта 802.11 аутентификатор создает логический порт для устройства клиента, основанный на идентификаторе ассоциации (AID). Этот логический порт имеет два тракта прохождения данных: неконтролируе¬мый и контролируемый.

Неконтролируемый тракт прохождения данных позволяет проходить через сеть всему трафику аутентификации стандарта 802.1X. Контролируе¬мый тракт прохождения данных блокирует обычный трафик сети до тех пор, пока не будет осуществлена успешная аутентификация клиента. На рис. 17 показаны логи¬ческие порты аутентификатора стандарта 802.1X Рис. 17. Логические порты аутентификатора стандарта 802. 1X