Контроль целостности сообщения
Для усиления малоэффективного механизма, основанного на использовании контрольного признака целостности (ICV) стандарта 802.11, будет применяться контроль целостности сообщения (MIC). Благодаря MIC могут быть ликвидированы слабые места защиты, способствующие проведению атак с использованием поддельных фреймов и манипуляцией битами.. IEEE предложила специальный алгоритм, получивший название Michael (Майкл), чтобы усилить роль ICV в шифровании фреймов данных стандарта 802.11.
MIC имеет уникальный ключ, который отличается от ключа, используемого для шифровании фреймов данных. Этот уникальный ключ перемешивается с назначенным MAC-адресом и исходным MAC-адресом фрейма, а также со всей незашифрованной частью фрейма. На рисунке 3.11.8 показана работа алгоритма Michael MIC.
Рисунок 3.11.8 – Работа алгоритма Michael MIC
Механизм шифрования TKIP в целом осуществляется следующим образом:
С помощью алгоритма пофреймового назначения ключей генерируется пофреймовый ключ (рисунок 3.11.9).
Алгоритм MIC генерирует MIC для фрейма в целом.
Фрейм фрагментируется в соответствии с установками MAC относительно фрагментации.
Фрагменты фрейма шифруются с помощью пофреймового ключа.
Осуществляется передача зашифрованных фрагментов.
Рисунок 3.11.9 – Механизм шифрования TKIP
Аналогично процессу шифрования по алгоритму TKIP, процесс дешифрования по этому алгоритму выполняется следующим образом (рисунок 3.11.10).
Предварительно вычисляется ключ 1-й фазы.
На основании IV, полученного из входящего фрагмента фрейма WEP, вычисляется пофреймовый ключ 2-й фазы.
Если полученный IV не тот, какой нужно, такой фрейм отбрасывается.
Фрагмент фрейма расшифровывается и осуществляется проверка признака целостности (ICV).
Если контроль признака целостности дает отрицательный результат, такой фрейм отбрасывается.
Расшифрованные фрагменты фрейма собираются, чтобы получить исходный фрейм данных.
Приемник вычисляет значение MIC и сравнивает его со значением, находящимся в поле MIC фрейма.
Если эти значения совпадают, фрейм обрабатывается приемником.
Если эти значения не совпадают, значит, фрейм имеет ошибку MIC и приемник принимает меры противодействия MIC.
Меры противодействия MIC состоят в выполнении приемником следующих задач:
Приемник удаляет существующий ключ на ассоциирование.
Приемник регистрирует проблему как относящуюся к безопасности сети.
Ассоциированный клиент, от которого был получен ложный фрейм, не может быть ассоциирован и аутентифицирован в течение 60 секунд, чтобы замедлить атаку.
Клиент запрашивает новый ключ.
WPA может работать в двух режимах: Enterprise (корпоративный) и Pre-Shared Key (персональный).
В первом случае, хранение базы данных и проверка аутентичности по стандарту 802.1x в больших сетях обычно осуществляются специальным сервером, чаще всего RADIUS (Remote Authentication Dial-In User Service).
Рисунок 3.11.10 – Механизм дешифровки TKIP
Во втором случае подразумевается применение WPA всеми категориями пользователей беспроводных сетей, т.е. имеет упрощенный режим, не требующий сложных механизмов. Этот режим называется WPA-PSK и предполагает введение одного пароля на каждый узел беспроводной сети (точку доступа, беспроводной маршрутизатор, клиентский адаптер, мост). До тех пор пока пароли совпадают, клиенту будет разрешен доступ в сеть. Можно заметить, что подход с использованием пароля делает WPA-PSK уязвимым для атаки методом подбора, однако этот режим избавляет от путаницы с ключами WEP, заменяя их целостной и четкой системой на основе цифро-буквенного пароля.
Таким образом, WPA/TKIP – это решение, предоставляющее больший по сравнению с WEP уровень безопасности, направленное на устранение слабостей предшественника и обеспечивающее совместимость с более старым оборудованием сетей 802.11 без внесения аппаратных изменений в устройства.
Рассмотрение пофреймового назначения ключей и MIC касалось в основном ключа шифрования и ключа MIC. Но ничего не было сказано о том, как ключи генерируются и пересылаются от клиента к точке доступа и наоборот. В разделе, посвящённому Enterprise-режиму, мы рассмотрим предлагаемый стандартом 802.11i механизм управления ключами.
- 4 Конспекты лекций к дисциплине «Беспроводные технологии передачи измерительной информации»
- Глоссарий
- Общие принципы построения сетей
- Методы передачи дискретных данных на физическом уровне
- Линии связи
- Аппаратура линий связи
- Характеристики линий связи
- Типы кабелей
- Кабели типа Витая пара (twisted pair, tp)
- Волоконно–оптический кабель
- Методы передачи дискретных данных на физическом уровне
- Аналоговая модуляция
- Методы аналоговой модуляции
- Цифровое физическое кодирование
- Логическое кодирование
- Скрэмблирование
- Методы передачи данных канального уровня
- Асинхронные протоколы
- Синхронные символьно-ориентированные и бит-ориентированные протоколы
- Бит–ориентированные протоколы
- Протоколы с гибким форматом кадра
- Передача с установлением соединения и без установления соединения
- Обнаружение и коррекция ошибок
- Методы обнаружения ошибок
- Методы восстановления искаженных и потерянных кадров
- Компрессия данных
- Методы коммутации
- Коммутация каналов
- Коммутация каналов на основе частотного мультиплексирования
- Коммутация каналов на основе разделения времени
- Общие свойства сетей с коммутацией каналов
- Коммутация пакетов
- Виртуальные каналы в сетях с коммутацией пакетов
- Пропускная способность сетей с коммутацией пакетов
- Коммутация сообщений
- Беспроводные сети wifi
- Основные элементы сети wifi
- Основы передачи данных в беспроводных сетях
- Сигналы для передачи информации
- Передача данных
- Модуляция сигналов
- Пропускная способность канала
- Методы доступа к среде в беспроводных сетях
- Технология расширения спектра
- Кодирование и защита от ошибок
- Методы коррекции ошибок
- Методы автоматического запроса повторной передачи
- Архитектура стандарта 802.11
- Стек протоколов ieee 802.11
- Уровень доступа к среде стандарта 802.11
- Распределенный режим доступа dcf
- Централизованный режим доступа pcf
- Кадр mac-подуровня
- Реализация стандартов ieee 802.11
- Ieee 802.11
- Передача в диапазоне инфракрасных волн
- Беспроводные локальные сети со скачкообразной перестройкой частоты (fhss)
- Беспроводные локальные сети, использующие широкополосную модуляцию dsss с расширением спектра методом прямой последовательности
- Ieee 802.11b
- Ieee 802.11a
- Ieee 802.11g
- Ieee 802.11d
- Ieee 802.11e
- Ieee 802.11f
- Ieee 802.11h
- Ieee 802.11i
- Ieee 802.11n
- Режимы и особенности их организации
- Режим Ad Hoc
- Инфраструктурный режим
- Режимы wds и wds With ap
- Режим повторителя
- Режим клиента
- Организация и планирование беспроводных сетей
- Угрозы и риски безопасности беспроводных сетей
- Основы криптографии
- Базовые термины и их определения
- Криптография
- Протоколы безопаснисти беспроводных сетей
- Механизм шифрования wep
- Потоковое шифрование
- Блочное шифрование
- Вектор инициализации (Initialization Vector, IV)
- Обратная связь
- Уязвимость шифроваия wep
- Пассивные сетевые атаки
- Активные сетевые атаки
- Аутенфикация в беспроводных сетях
- Стандарт ieee 802.11 сети с традиционной безопасностью
- Принцип аутентификации абонента в ieee 802.11
- Открытая аутентификация
- Аутентификация с общим ключом
- Аутентификация по mac-адресу
- Уязвимость механизмов аутентификации 802.11
- Проблемы идентификатора беспроводной лвс
- Уязвимость открытой аутентификации
- Уязвимость аутентификации с общим ключом
- Уязвимость аутентификации по mac-адресу
- Спецификация wpa
- Пофреймовое изменение ключей шифрования
- Контроль целостности сообщения
- Стандарт сети 802.11i с повышенной безопасностью (wpa2)
- Стандарт 802.1x/eap (enterprise-Режим)
- Архитектура ieee 802.1x
- Механизм аутентификации
- Технологии целостности и конфиденциальности передаваемых данных
- Развертывание беспроводных виртуальных сетей
- Топология сеть-сеть
- Топология хост-сеть
- Топология хост-хост
- Распространенные туннельные протоколы
- Протокол ipSec
- Протокол рртр
- Протокол l2tp
- Системы обнаружения вторжения в беспроводные сети
- Общая характеристика Personal Area Network
- Стандарт технологии bluetooth (ieee 802.15.1)
- Общие сведения
- Архитектура bluetooth Метод частотных скачков
- Понятие пикосети
- Адрес Bluetooth-устройства (bd_addr)
- Состояния Bluetooth
- Физические каналы
- Процедура опроса
- Типы трафика
- Транспортная архитектура
- Режимы работы Bluetooth
- Форматы пакетов bluetooth
- Типы пакетов
- Стек протоколов bluetooth
- Модели использования
- Профили Bluetooth
- Методы безопасности
- Уровни надежности устройства.
- Перспективы развития технологии: bluetooth 4.0.
- Беспроводная сенсорная сеть zigbee®
- Общие сведения
- Топология беспроводных персональных сетей
- Адресация в персональных сетях ZigBee
- Современные реализации сетей на основе технологии ZigBee Ведущие производители оборудования ZigBee
- Пример реализации сенсорной сети
- Библиографическое описание