Ob. 21)Zabezpečení-lokálních sítí LAN
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu PDF.
Integrita
K zajištění integrity (neměnnosti) dat při přenosu, provádí WEP výpočet kontrolního součtu datové
části rámce využitím CRC (Cyclic Redundancy Check), jehož výsledkem je hodnota označovaná
ICV
(Integrity Check Value). Tento ICV se následně připojuje na konec příslušného rámce a šifrování
probíhá rovnou pro data společně s připojeným ICV. Takovýto rámec se na přijímací straně
dešifruje a provede se kontrola ICV, v případě nesouhlasu s hodnotou uvedenou v rámci dojde k
jeho zahození.
+ nejméně výpočetně náročný
-
krátký a statický( neměnný v čase) šifrovací klíč; neexistence mechanismu pro automatickou
výměnu klíče; existence pouze slabých klíčů; slabá a pouze jednostranná možnost
autentizace
WAP
Z anglického překladu (WiFi Protected Access). Představoval mezikrok mezi starým a
nebezpečným protokolem WEP a zcela novým komplexním doporučením IEEE 802.11i. Řešil
problémy WEP při současném zachování zpětné kompatibility s již existujícími zařízeními.
WPAje nemožné používat zároveň s WEP. V síti mohou být přítomna buď zařízení
zabezpečená pomocí WPA nebo WEP. Z toho vyplývá, že pokud chcete v síti použít zabezpečení
WPA, je nutné aby veškerá zařízení vsíti tento standard podporovala.
Základními vlastnostmi WPA jsou:
-
autentizace pomocí IEEE 802.1x nebo pomocí PSK (Pre-Shared Key)
-
šifrování pomocí protokolu TKI PTemporal Key Integrity Protocol)
-
zajištění integrity dat pomocí algoritmuMIC(Message Integrity Code)
-
kompatibilita se stávajícími zařízeními (podporu WPA lze přidat pouhou změnou ve firmwaru
zařízení)
Integrita
Oběvuje se další nový protokol nový protokol
MIC pro zajištění integrity přenášených dat. Ten je
vypočten z užitečných dat, zdrojové adresy, cílové adresy a hodnoty pole priorita. MIC slouží k
ochraně dat proti úmyslné modifikaci a vícenásobnému použití zpráv (replay attack).
Autentizace
PKS
V případě PSK je jak na AP, tak i na klientech umístěn 256bitový klíč, který v průběhu další
výměny plní funkci PMK (Pairwise Master Key). PMK se obvykle nezadává přímo, ale místo něj se
zadá heslo (passphrase) délky 8-63 znaků, které se převádí na PMK pomocí vztahu:
PMK = PBKDF2(HMAC-SHA1, passphrase, ssid, 4096, 256)
kde PBKDF2 (Password-Based Key Derivation Function) je funkce definovaná v RFC2898.
Protože kromě hesla je dalším parametrem i SSID sítě,je z bezpečnostního hlediska
vhodné zvolit si pokud možno unikátní SSID, aby byla omezena možnost využití před počítaných
slovníků na útoky typu rainbow attack.Číslo 4096 zde udává počet iterací funkce HMAC-SHA1 a
256 je délka výstupu. Z klíče PMK je v průběhu čtyřcestné výměny (4-way handshake) odvozen
PTK.Celý proces je znázorněn na obrázku. Stanice i AP vygenerují náhodná čísla ANonce a
SNonce, která jsou spolu s PMK a MAC adresami obou zařízení použita k odvození PTK.
PTK=PRF-512(PMK,„PairwiseKeyExpansion“,MIN(MACadresa-stanice,MACadresa-AP)||MAX(MACadresa-s