ieee 802 11 802 11i wireless lan
네트워크 보안 프로토콜의 향상된 기능에 대한 심층 분석 : 802.11 및 802.11i 무선 LAN 및 802.1x 인증 표준
이전 튜토리얼에서 우리는 AAA 아키텍처 기반 네트워크 보안 프로토콜 인증을위한 IEEE 표준 802.1x 프로토콜.
최고의 비디오 다운로더는 무엇입니까
이 순차적 부분에서는 향상된 기능과 함께 더 많은 네트워크 보안 프로토콜에 대해 자세히 알아볼 것입니다.
추천 읽기 => 컴퓨터 네트워킹 기본에 대한 일련의 자습서
탐험하자 !!
학습 내용 :
802.11 인증 및 연결
STA 및 액세스 포인트 (AP)라는 이동국과 같은 무선 장치가 필요합니다.
802.11 인증의 개념은 STA와 AP 간의 식별 및 인증 구축 사이에 있습니다. AP는 라우터 또는 스위치 일 수 있습니다. 이 프로세스와 관련된 메시지의 암호화는 없습니다.
입증
아래에 언급 된 두 가지 유형의 인증이 있습니다.
- 오픈 키 시스템
- 공유 키 시스템
오픈 키 인증 :
인증 요청은 클라이언트 사용자로부터 인증을위한 WEP (Wired Equivalent Privacy) 키를 포함하는 액세스 포인트로 전송됩니다. 이에 대한 응답으로 액세스 포인트 (AP)는 클라이언트와 AP의 WEP 키가 일치하는 경우에만 성공 메시지를 전송하고 그렇지 않은 경우 실패 메시지를 순환시킵니다.
이 방법에서 AP는 액세스 포인트와 통신을 시도하는 클라이언트에게 암호화되지 않은 챌린지 텍스트 메시지를 플로팅합니다. 인증에 호소하는 클라이언트 장치는 메시지를 암호화하여 AP로 다시 보냅니다.
메시지 암호화가 바로 발견되면 AP는 클라이언트 장치의 인증을 허용합니다. 이 방법에서 WEP 키를 사용하기 때문에 AP는 WEP 키를 평가하는 것만으로도 바이러스 공격에 노출되므로 인증 프로세스에 대한 보안이 떨어집니다.
WPA (Wi-Fi 보호 액세스) 키 방법 : 이 방법은 무선 장치에 대해 향상된 수준의 데이터 보안 기능을 제공합니다. 이것은 802.11i 방법과도 함께 사용할 수 있습니다. WPA-PSK에서는 인증 프로세스가 시작되기 전에 미리 공유 된 키가 생성됩니다.
클라이언트와 AP 모두 PSK를 PMK로 사용하며 EAP 인증 방법을 사용한 인증을위한 쌍별 마스터 키입니다.
협회
인증 프로세스가 완료된 후 무선 클라이언트는 라우터 또는 스위치가 될 수있는 액세스 포인트에 자신을 연결하고 등록 할 수 있습니다. 연결 후 AP는 연결된 장치에 대한 모든 필요한 정보를 저장하여 데이터 패킷을 정확하게 지정할 수 있도록합니다.
연결 프로세스 :
- 인증이 완료되면 STA는 AP 또는 라우터에 대한 연결 요청을 보냅니다.
- 그런 다음 AP는 연결 요청을 처리하고 요청 유형에 따라이를 승인합니다.
- AP가 연결을 허용하면 상태 코드 0 (성공을 의미하고 AID (연결 ID))을 사용하여 STA로 다시 돌아갑니다.
- 연결이 실패하면 AP는 절차 응답의 끝과 실패 상태 코드로 되돌아갑니다.
802.11i 프로토콜
802.11i는 802.1x에서 사용 된 인증 프로토콜을 사용하여 4 방향 핸드 셰이크 및 적절한 암호화 키를 사용한 그룹 키 핸드 셰이크와 같은 일부 향상된 기능을 사용합니다.
이 프로토콜은 데이터 무결성 및 기밀성 기능도 제공합니다. 프로토콜 동작의 시작은 802.1x 프로토콜의 규칙에 따라 인증 서버의 회사와 EAP 교환을 통해 수행 된 인증 프로세스로 이루어집니다.
여기서 802.1x 인증이 완료되면 PMK (pairwise master key)라고하는 비밀 키가 진화합니다.
4 방향 핸드 셰이크
여기서 인증자는 액세스 포인트로 알려져 있으며 신청자는 무선 클라이언트입니다.
이 핸드 셰이크에서 액세스 포인트와 무선 클라이언트는 공개하지 않고 서로 PMK에 대해 잘 알고 있는지 확인해야합니다. 이 둘 사이의 메시지는 암호화 된 형식으로 공유되며 이들 만 메시지를 해독 할 수있는 키가 있습니다.
PTK (pairwise-transient key)라고하는 또 다른 키가 인증 프로세스에 사용됩니다.
다음 속성으로 구성됩니다.
- PMK
- 액세스 포인트 임시 값
- 클라이언트 스테이션 임시 값 (STA 임시 값)
- 액세스 포인트 MAC 주소
- STA MAC 주소
그런 다음 출력은 의사 랜덤 함수에 심어집니다. 핸드 셰이크는 수신자 측에서 복호화를 위해 그룹 임시 키 (GTK)를 제한합니다.
유닉스 쉘 스크립팅 인터뷰 질문과 경험을위한 답변
핸드 셰이크 프로세스는 다음과 같습니다.
- AP는 키 카운터와 관련하여 액세스 포인트 임시 값을 STA에 순환시키고 번호는 전송 된 메시지를 완전히 활용하고 중복 항목을 거부합니다. STA는 이제 PTK를 구축하는 데 필요한 속성을 사용할 준비가되었습니다.
- 이제 STA는 인증 및 키 카운터를 포함하는 메시지 무결성 코드 (MIC)와 함께 STA nonce를 AP로 보냅니다.이 코드는 둘 다 일치하도록 AP에서 보낸 것과 동일합니다.
- AP는 MIC, AP Nonce 및 키 카운터를 검사하여 메시지의 유효성을 검사합니다. 모든 것이 정상이면 GTK를 다른 MIC로 순환시킵니다.
- STA는 모든 카운터를 검사하여 수신 된 메시지의 유효성을 검사하고 마지막으로 확인을 위해 확인 메시지를 AP로 보냅니다.
그룹 키 핸드 셰이크
GTK는 특정 세션이 만료되고 네트워크에서 새 세션으로 시작하기 위해 업데이트가 필요할 때마다 사용됩니다. GTK는 다른 AP의 다른 리소스에서 브로드 캐스트 종류의 메시지를 수신하지 못하도록 장치를 보호하는 데 사용됩니다.
그룹 키 핸드 셰이크는 양방향 핸드 셰이크 프로세스로 구성됩니다.
- 액세스 포인트는 네트워크에있는 모든 클라이언트 스테이션에 새로운 GTK를 순환시킵니다. GTK는 특정 클라이언트 스테이션에 할당 된 16 바이트의 EAPOL 키 암호화 키 (KEK)를 사용하여 암호화됩니다. 또한 MIC를 사용하여 데이터 조작을 방지합니다.
- 클라이언트 스테이션은 수신 된 새 GTK를 확인한 다음 응답을 액세스 포인트로 전달합니다.
양방향 핸드 셰이크는 위에서 언급 한 방식으로 발생합니다.
802.1X
네트워크 액세스 제어를위한 포트 기반 표준입니다. LAN 또는 WLAN 아키텍처에서 통신하려는 장치에 인증 프로세스를 제공합니다.
802.1X 인증에는 세 명의 참가자 (예 : 신청자, 인증 자 및 인증 서버)가 포함됩니다. 신청자는 네트워크를 통해 통신을 시작하려는 랩톱, PC 또는 태블릿과 같은 최종 장치입니다. 신청자는 클라이언트 호스트 PC에서 실행되는 소프트웨어 기반 응용 프로그램 일 수도 있습니다.
신청자는 또한 인증 자에게 자격 증명을 제공합니다. 인증자는 이더넷 스위치 또는 WAP와 같은 기계이고 인증 서버는 소프트웨어를 실행하고 인증 프로토콜을 지원하는 원격 종단 호스트 장치입니다.
인증자는 보호되는 네트워크에 대한 안전 보호막 역할을합니다. 통신을 시작한 호스트 클라이언트는 ID가 확인되고 인증되지 않는 한 인증자를 통해 네트워크의 보호 된쪽에 액세스 할 수 없습니다.
802.1X를 사용하여 신청자는 디지털 서명 또는 로그인 사용자 이름 및 암호와 같은 자격 증명을 인증 자에게 제공하고 인증자는 인증을 위해이를 인증 서버로 리디렉션합니다.
자격 증명이 보나 피드 인 것으로 확인되면 호스트 장치는 네트워크의 보호되는쪽에있는 리소스에 액세스 할 수 있습니다.
인증 프로세스에 관련된 단계 :
- 초기화 : 이것이 첫 번째 단계입니다. 새로운 신청자가 도착하면 인증 자의 포트가 활성화되고 '승인되지 않은'상태가됩니다.
- 개시: 인증 프로세스를 시작하기 위해 인증자는 정기적 인 시간 간격으로 EAP 요청 ID 프레임을 네트워크 데이터 세그먼트의 MAC 주소로 브로드 캐스트합니다. 신청자는 주소를 분석하여 되돌려 서 신청자의 식별자로 구성된 EAP 응답 식별 프레임을 비밀 키처럼 보냅니다.
- 협상: 이 단계에서 서버는 EAP 체계를 나타내는 EAP 요청이있는 인증 자에 대한 응답으로 되돌아갑니다. EAP 요청은 인증 자에 의해 EAPOL 프레임으로 캡슐화되고 요청자에게 다시 전송됩니다.
- 입증: 인증 서버와 신청자가 동일한 EAP 방법에 동의하면 인증 서버가 EAP 성공 메시지 또는 EAP 실패 메시지로 응답 할 때까지 신청자와 인증 서버간에 EAP 요청 및 EAP 응답 메시지 교환이 발생합니다. .
- 인증이 성공하면 인증자는 포트를 '인증 됨'상태로 설정합니다. 따라서 모든 종류의 트래픽 흐름이 허용됩니다. 인증이 실패하면 포트는 '승인되지 않은'상태로 유지됩니다. 호스트 클라이언트가 로그 오프 할 때마다 인증 자에게 EAPOL 로그 오프 메시지를 띄워 포트를 '권한이없는'상태로 만듭니다.
802.1x 인증 프로세스
결론
이 튜토리얼에서는 802.11, 802.11i 및 802.1x 인증 프로토콜의 작동을 살펴 보았습니다.
네트워킹 시스템은 인증을 위해 EAP 방법을 배포하고 서로 다른 유형의 암호화 키 방법을 사용하여 클라이언트와 액세스 포인트 끝에서 상호 인증을 사용함으로써 더욱 안전 해집니다.
추천 도서
- IPv4 vs IPv6 : 정확한 차이점은 무엇입니까
- 네트워크 보안 키란 무엇입니까 : 라우터, Windows 또는 Android에서 찾는 방법
- 가상화 란 무엇입니까? 네트워크, 데이터, 앱 및 스토리지 가상화 예
- 기본 네트워크 문제 해결 단계 및 도구
- 네트워크 보안이란 무엇입니까? 유형 및 관리
- IPSec (IP 보안), TACACS 및 AAA 보안 프로토콜이란?
- HTTP (Hypertext Transfer Protocol) 및 DHCP 프로토콜이란 무엇입니까?
- 중요한 응용 프로그램 계층 프로토콜 : DNS, FTP, SMTP 및 MIME 프로토콜