Bezpieczeństwo sieci - warstwa łącza danych

Widzieliśmy, że szybki rozwój Internetu wywołał poważne obawy o bezpieczeństwo sieci. Opracowano kilka metod zapewniania bezpieczeństwa w warstwie aplikacji, transportowej lub sieciowej sieci.

Wiele organizacji stosuje środki bezpieczeństwa w wyższych warstwach OSI, od warstwy aplikacji aż po warstwę IP. Jednak jednym z obszarów pozostających ogólnie bez opieki jest utwardzanie warstwy łącza danych. Może to otworzyć sieć na różne ataki i przejęcia.

W tym rozdziale omówimy problemy związane z bezpieczeństwem w warstwie łącza danych i metody ich zwalczania. Nasza dyskusja będzie koncentrować się na sieci Ethernet.

Kwestie bezpieczeństwa w warstwie łącza danych

Warstwa łącza danych w sieciach Ethernet jest wysoce podatna na kilka ataków. Najczęstsze ataki to -

ARP Spoofing

Protokół rozpoznawania adresów (ARP) to protokół używany do mapowania adresu IP na fizyczny adres maszyny rozpoznawalny w lokalnej sieci Ethernet. Gdy host musi znaleźć fizyczny adres Media Access Control (MAC) dla adresu IP, rozgłasza żądanie ARP. Drugi host, który jest właścicielem adresu IP, wysyła odpowiedź ARP z adresem fizycznym.

Każdy komputer hosta w sieci utrzymuje tabelę zwaną „pamięcią podręczną ARP”. Tabela zawiera adresy IP i powiązane adresy MAC innych hostów w sieci.

Ponieważ ARP jest protokołem bezstanowym, za każdym razem, gdy host otrzyma odpowiedź ARP od innego hosta, nawet jeśli nie wysłał żądania ARP, akceptuje ten wpis ARP i aktualizuje pamięć podręczną ARP. Proces modyfikowania pamięci podręcznej ARP hosta docelowego za pomocą sfałszowanego wpisu znanego jako zatruwanie ARP lub spoofing ARP.

Fałszowanie ARP może pozwolić atakującemu na podszywanie się pod legalnego hosta, a następnie przechwytywanie ramek danych w sieci, modyfikowanie ich lub zatrzymywanie. Często atak jest używany do przeprowadzania innych ataków, takich jak man-in-the-middle, przechwytywanie sesji lub odmowa usługi.

Zalanie MAC

Każdy przełącznik w sieci Ethernet ma tabelę pamięci adresowalnej zawartości (CAM), w której są przechowywane adresy MAC, numery portów przełączników i inne informacje. Stół ma stały rozmiar. W ataku MAC Flooding atakujący zalewa przełącznik adresami MAC za pomocą sfałszowanych pakietów ARP, aż tablica CAM zostanie zapełniona.

Po zalaniu CAM przełącznik przechodzi w tryb koncentratora i zaczyna nadawać ruch, który nie ma wejścia CAM. Atakujący, który jest w tej samej sieci, otrzymuje teraz wszystkie ramki przeznaczone tylko dla określonego hosta.

Kradzież portów

Przełączniki Ethernet mają możliwość uczenia się i wiązania adresów MAC z portami. Gdy przełącznik odbiera ruch z portu z adresem źródłowym MAC, wiąże numer portu i ten adres MAC.

Atak polegający na kradzieży portów wykorzystuje tę zdolność przełączników. Atakujący zalewa przełącznik sfałszowanymi ramkami ARP z adresem MAC docelowego hosta jako adresem źródłowym. Switch jest oszukiwany, wierząc, że docelowy host znajduje się na porcie, do którego faktycznie jest podłączony atakujący.

Teraz wszystkie ramki danych przeznaczone dla docelowego hosta są wysyłane do portu przełącznika atakującego, a nie do hosta docelowego. W ten sposób atakujący otrzymuje teraz wszystkie ramki, które w rzeczywistości były przeznaczone tylko dla hosta docelowego.

Ataki DHCP

Protokół dynamicznej konfiguracji hosta (DHCP) nie jest protokołem łącza danych, ale rozwiązania ataków DHCP są również przydatne w celu udaremnienia ataków warstwy 2.

Protokół DHCP służy do dynamicznego przydzielania adresów IP komputerom na określony czas. Możliwe jest zaatakowanie serwerów DHCP, powodując odmowę usługi w sieci lub podszywając się pod serwer DHCP. W przypadku ataku polegającego na blokowaniu DHCP atakujący żąda wszystkich dostępnych adresów DHCP. Skutkuje to odmową usługi dla legalnego hosta w sieci.

W ataku polegającym na fałszowaniu protokołu DHCP osoba atakująca może wdrożyć fałszywy serwer DHCP, aby udostępniać adresy klientom. W tym przypadku osoba atakująca może udostępnić komputerom hosta domyślną bramę różową z odpowiedziami DHCP. Ramki danych z hosta są teraz kierowane do bramki rouge, w której atakujący może przechwycić cały pakiet i odpowiedzieć na rzeczywistą bramę lub je upuścić.

Inne ataki

Oprócz powyższych popularnych ataków istnieją inne ataki, takie jak rozgłaszanie w warstwie 2, odmowa usługi (DoS), klonowanie adresów MAC.

W ataku rozgłoszeniowym osoba atakująca wysyła sfałszowane odpowiedzi ARP do hostów w sieci. Te odpowiedzi ARP ustawiają adres MAC bramy domyślnej na adres rozgłoszeniowy. Powoduje to, że cały ruch wychodzący jest rozgłaszany, umożliwiając podsłuchiwanie przez atakującego w tej samej sieci Ethernet. Ten rodzaj ataku wpływa również na przepustowość sieci.

W atakach DoS opartych na warstwie 2 osoba atakująca aktualizuje pamięci podręczne ARP hostów w sieci o nieistniejące adresy MAC. Adres MAC każdej karty sieciowej w sieci powinien być unikalny w skali globalnej. Można go jednak łatwo zmienić, włączając klonowanie adresów MAC. Osoba atakująca wyłącza hosta docelowego poprzez atak DoS, a następnie wykorzystuje adresy IP i MAC docelowego hosta.

Atakujący przeprowadza ataki w celu przeprowadzenia ataków wyższego poziomu, aby zagrozić bezpieczeństwu informacji przesyłanych w sieci. Potrafi przechwycić wszystkie ramki i byłby w stanie odczytać dane ramki. Atakujący może działać jako pośrednik i modyfikować dane lub po prostu upuścić ramkę prowadzącą do DoS. Może przechwycić trwającą sesję między docelowym hostem a innymi maszynami i całkowicie przekazać złe informacje.

Zabezpieczanie sieci Ethernet LAN

Omówiliśmy niektóre powszechnie znane ataki w warstwie łącza danych w poprzedniej sekcji. Opracowano kilka metod łagodzenia tego typu ataków. Niektóre z ważnych metod to -

Bezpieczeństwo portu

Jest to funkcja zabezpieczeń warstwy 2 dostępna w inteligentnych przełącznikach Ethernet. Polega na powiązaniu fizycznego portu przełącznika z określonym adresem / adresami MAC. Każdy może uzyskać dostęp do niezabezpieczonej sieci, po prostu podłączając hosta do jednego z dostępnych portów przełącznika. Ale bezpieczeństwo portu może zabezpieczyć dostęp do warstwy 2.

Domyślnie zabezpieczenia portów ograniczają liczbę wejściowych adresów MAC do jednego. Można jednak zezwolić więcej niż jednemu autoryzowanemu hostowi na połączenie z tego portu poprzez konfigurację. Dozwolone adresy MAC dla każdego interfejsu można skonfigurować statycznie. Wygodną alternatywą jest włączenie „trwałego” uczenia się adresów MAC, w którym adresy MAC będą dynamicznie uczone przez port przełącznika, aż do osiągnięcia maksymalnego limitu portu.

Aby zapewnić bezpieczeństwo, reakcję na zmianę określonych adresów MAC na porcie lub nadmiarowe adresy na porcie można kontrolować na wiele różnych sposobów. Port można skonfigurować tak, aby wyłączał lub blokował adresy MAC, które przekraczają określony limit. Zalecaną najlepszą praktyką jest wyłączenie portu. Bezpieczeństwo portów zapobiega zalewaniu adresów MAC i atakom klonowania.

DHCP Snooping

Widzieliśmy, że spoofing DHCP to atak polegający na tym, że osoba atakująca nasłuchuje żądań DHCP z hosta w sieci i odpowiada na nie fałszywą odpowiedzią DHCP, zanim autoryzowana odpowiedź DHCP dotrze do hosta.

Snooping DHCP może zapobiec takim atakom. Snooping DHCP to funkcja przełącznika. Przełącznik można skonfigurować w celu określenia, które porty przełącznika mogą odpowiadać na żądania DHCP. Porty przełącznika są identyfikowane jako zaufane lub niezaufane.

Tylko porty, które łączą się z autoryzowanym serwerem DHCP, są skonfigurowane jako „zaufane” i mogą wysyłać wszystkie typy komunikatów DHCP. Wszystkie inne porty na przełączniku są niezaufane i mogą wysyłać tylko żądania DHCP. Jeśli odpowiedź DHCP pojawi się na niezaufanym porcie, port zostanie zamknięty.

Zapobieganie spoofingowi ARP

Metoda zabezpieczenia portów może zapobiegać atakom polegającym na zalewaniu adresów MAC i klonowaniu. Jednak nie zapobiega to fałszowaniu ARP. Zabezpieczenie portu sprawdza poprawność adresu źródłowego MAC w nagłówku ramki, ale ramki ARP zawierają dodatkowe pole źródłowe MAC w ładunku danych, a host używa tego pola do zapełnienia swojej pamięci podręcznej ARP. Poniżej wymieniono niektóre metody zapobiegania fałszowaniu ARP.

  • Static ARP- Jedną z zalecanych czynności jest użycie statycznych wpisów ARP w tablicy ARP hosta. Statyczne wpisy ARP to trwałe wpisy w pamięci podręcznej ARP. Jednak ta metoda jest niepraktyczna. Ponadto nie pozwala na użycie niektórych protokołów dynamicznej konfiguracji hosta (DHCP), ponieważ statyczny adres IP musi być używany dla wszystkich hostów w sieci warstwy 2.

  • Intrusion Detection System- Metodą obrony jest wykorzystanie systemu wykrywania włamań (IDS) skonfigurowanego do wykrywania dużych ilości ruchu ARP. Jednak IDS jest podatne na zgłaszanie fałszywych alarmów.

  • Dynamic ARP Inspection- Ta metoda zapobiegania fałszowaniu ARP jest podobna do szpiegowania DHCP. Używa zaufanych i niezaufanych portów. Odpowiedzi ARP są dozwolone w interfejsie przełącznika tylko na zaufanych portach. Jeśli odpowiedź ARP dotrze do przełącznika na niezaufanym porcie, zawartość pakietu odpowiedzi ARP jest porównywana z tabelą powiązań DHCP w celu zweryfikowania jej dokładności. Jeśli odpowiedź ARP jest nieprawidłowa, odpowiedź ARP jest odrzucana, a port jest wyłączany.

Zabezpieczanie protokołu drzewa opinającego

Spanning Tree Protocol (STP) to protokół zarządzania łączami warstwy 2. Głównym celem protokołu STP jest zapewnienie, że nie ma pętli przepływu danych, gdy sieć ma nadmiarowe ścieżki. Ogólnie rzecz biorąc, nadmiarowe ścieżki są budowane w celu zapewnienia niezawodności sieci. Ale mogą tworzyć śmiertelne pętle, które mogą prowadzić do ataku DoS w sieci.

Protokół drzewa opinającego

Aby zapewnić pożądaną nadmiarowość ścieżek, a także uniknąć stanu pętli, protokół STP definiuje drzewo obejmujące wszystkie przełączniki w sieci. Protokół STP wymusza na niektórych nadmiarowych łączach danych stan zablokowania i utrzymuje inne łącza w stanie przekazywania.

Jeżeli łącze w stanie przekazywania ulegnie awarii, protokół STP rekonfiguruje sieć i redefiniuje ścieżki danych, aktywując odpowiednią ścieżkę rezerwową. STP działa na mostach i przełącznikach rozmieszczonych w sieci. Wszystkie przełączniki wymieniają informacje w celu wyboru przełącznika głównego i późniejszej konfiguracji sieci. Jednostki danych protokołu mostu (BPDU) przenoszą te informacje. Dzięki wymianie jednostek BPDU wszystkie przełączniki w sieci wybierają most / przełącznik główny, który staje się punktem centralnym w sieci i kontroluje łącza blokowane i przekazywane.

Ataki na STP

  • Przejęcie mostu głównego. Jest to jeden z najbardziej uciążliwych typów ataków w warstwie 2. Domyślnie przełącznik LAN przyjmuje wszystkie jednostki BPDU wysłane z sąsiedniego przełącznika po wartości nominalnej. Nawiasem mówiąc, protokół STP jest zaufany, bezstanowy i nie zapewnia żadnego mechanizmu uwierzytelniania dźwięku.

  • W trybie ataku na roota atakujący przełącznik wysyła jednostkę BPDU co 2 sekundy z tym samym priorytetem co bieżący most główny, ale z nieco niższym liczbowo adresem MAC, co zapewnia zwycięstwo w procesie wyboru mostu głównego. Przełącznik atakującego może rozpocząć atak DoS albo przez niepoprawne potwierdzanie innych przełączników powodujących zalanie BPDU, albo przez poddawanie przełączników nadmiernego przetwarzania BPDUS przez jednoczesne twierdzenie, że jest rootem i wycofywanie się w krótkich odstępach czasu.

  • DoS przy użyciu Flood of Configuration BPDU. Atakujący przełącznik nie próbuje przejąć uprawnień roota. Zamiast tego generuje dużą liczbę jednostek BPDU na sekundę, co prowadzi do bardzo wysokiego wykorzystania procesora na przełącznikach.

Zapobieganie atakom na STP

Na szczęście środek zaradczy przeciwko przejęciu roota jest prosty i bezpośredni. Dwie funkcje pomagają pokonać atak przejęcia roota.

  • Root Guard- Root Guard ogranicza porty przełącznika, z których można negocjować most główny. Jeśli port z włączoną ochroną roota odbiera jednostki BPDU, które są lepsze od tych, które wysyła bieżący most główny, wtedy ten port jest przenoszony do stanu niespójności root i żaden ruch danych nie jest przesyłany przez ten port. Root Guard jest najlepiej wdrażany w przypadku portów łączących się z przełącznikami, od których nie oczekuje się, że przejmą rolę mostu głównego.

  • BPDU-Guard- Ochrona BPDU służy do ochrony sieci przed problemami, które mogą być spowodowane odbieraniem jednostek BPDU na portach dostępu. To są porty, które nie powinny ich odbierać. Ochronę BPDU najlepiej jest wdrażać w kierunku portów skierowanych do użytkownika, aby zapobiec włożeniu nielegalnego przełącznika przez atakującego.

Zabezpieczanie wirtualnej sieci LAN

W sieciach lokalnych wirtualne sieci lokalne (VLAN) są czasami konfigurowane jako środek bezpieczeństwa w celu ograniczenia liczby hostów podatnych na ataki warstwy 2. Sieci VLAN tworzą granice sieci, przez które ruch rozgłoszeniowy (ARP, DHCP) nie może przekroczyć.

Wirtualna sieć lokalna

Sieć wykorzystującą przełączniki obsługujące funkcje VLAN można skonfigurować w celu zdefiniowania wielu sieci VLAN w ramach jednej fizycznej infrastruktury LAN.

Popularną formą sieci VLAN jest sieć VLAN oparta na portach. W tej strukturze VLAN porty przełącznika są pogrupowane w sieci VLAN za pomocą oprogramowania do zarządzania przełącznikami. W ten sposób pojedynczy przełącznik fizyczny może działać jako wiele przełączników wirtualnych.

Zastosowanie sieci VLAN zapewnia izolację ruchu. Dzieli dużą sieć rozgłoszeniową warstwy 2 na mniejsze sieci logiczne warstwy 2, zmniejszając w ten sposób zakres ataków, takich jak spoofing ARP / DHCP. Ramki danych jednej sieci VLAN mogą przechodzić z / do portów należących tylko do tej samej sieci VLAN. Przekazywanie ramek między dwiema sieciami VLAN odbywa się za pośrednictwem routingu.

Sieci VLAN zazwyczaj obejmują wiele przełączników, jak pokazano na powyższym schemacie. Łącze między portami trunkingowymi przenosi ramki wszystkich sieci VLAN zdefiniowanych przez wiele przełączników fizycznych. Dlatego ramki VLAN przekazywane między przełącznikami nie mogą być prostymi ramkami w formacie Ethernet IEEE 802.1. Ponieważ te ramki poruszają się po tym samym łączu fizycznym, muszą teraz przenosić informacje o identyfikatorze sieci VLAN. Protokół IEEE 802.1Q dodaje / usuwa dodatkowe pola nagłówka do zwykłych ramek Ethernet przekazywanych między portami magistrali.

Gdy pole następujące po dwóch polach adresów IP ma wartość 0x8100 (> 1500), ramka jest identyfikowana jako ramka 802.1Q. Wartość 2-bajtowego identyfikatora protokołu tagu (TPI) to 81-00. Pole TCI składa się z 3-bitowych informacji o priorytecie, 1-bitowego wskaźnika kwalifikującego się do odrzucenia (DEI) i 12-bitowego identyfikatora VLAN. To 3-bitowe pole priorytetu i pole DEI nie są istotne dla sieci VLAN. Bity priorytetu służą do zapewniania jakości usług.

Gdy ramka nie należy do żadnej sieci VLAN, istnieje domyślny identyfikator sieci VLAN, z którym ramka jest uważana za powiązaną.

Atak na sieci VLAN i środki zapobiegawcze

Podczas ataku z przeskokiem VLAN osoba atakująca w jednej sieci VLAN może uzyskać dostęp do ruchu w innych sieciach VLAN, które normalnie nie byłyby dostępne. Pominąłby urządzenie warstwy 3 (router) podczas komunikacji z jednej sieci VLAN do drugiej, w ten sposób zniwecząc cel utworzenia sieci VLAN.

Przeskakiwanie do sieci VLAN można przeprowadzić na dwa sposoby; przełączać podszywanie się i podwójne tagowanie.

Switch Spoofing

Może się to zdarzyć, gdy port przełącznika, do którego jest podłączony atakujący, jest w trybie „trunkingu” lub „automatycznej negocjacji”. Atakujący działa jako przełącznik i dodaje nagłówki enkapsulacji 802.1Q ze znacznikami VLAN dla docelowych zdalnych sieci VLAN do swoich wychodzących ramek. Przełącznik odbierający interpretuje te ramki jako pochodzące z innego przełącznika 802.1Q i przekazuje ramki do docelowej sieci VLAN.

Dwa środki zapobiegające atakom polegającym na fałszowaniu przełączników to ustawienie portów brzegowych w trybie dostępu statycznego i wyłączenie automatycznej negocjacji na wszystkich portach.

Podwójne tagowanie

W tym ataku osoba atakująca podłączona do natywnego portu VLAN przełącznika umieszcza dwa znaczniki VLAN w nagłówku ramki. Pierwszy znacznik dotyczy natywnej sieci VLAN, a drugi docelowej sieci VLAN. Gdy pierwszy przełącznik odbiera ramki atakującego, usuwa pierwszy znacznik, ponieważ ramki natywnej sieci VLAN są przekazywane bez znacznika przez port trunk.

  • Ponieważ drugi znacznik nigdy nie został usunięty przez pierwszy przełącznik, przełącznik odbierający identyfikuje pozostały znacznik jako miejsce docelowe sieci VLAN i przekazuje ramki do hosta docelowego w tej sieci VLAN. Atak z podwójnym tagowaniem wykorzystuje koncepcję natywnej sieci VLAN. Ponieważ VLAN 1 jest domyślną siecią VLAN dla portów dostępu i domyślną natywną siecią VLAN na łączach, jest to łatwy cel.

  • Pierwszym środkiem zapobiegawczym jest usunięcie wszystkich portów dostępu z domyślnej sieci VLAN 1, ponieważ port atakującego musi być zgodny z portem natywnej sieci VLAN przełącznika. Drugim środkiem zapobiegawczym jest przypisanie natywnej sieci VLAN na wszystkich łączach przełącznika do jakiejś nieużywanej sieci VLAN, powiedzmy o identyfikatorze VLAN 999. I wreszcie, wszystkie przełączniki są skonfigurowane do przeprowadzania jawnego znakowania natywnych ramek VLAN na porcie trunk.

Zabezpieczanie bezprzewodowej sieci LAN

Bezprzewodowa sieć lokalna to sieć węzłów bezprzewodowych na ograniczonym obszarze geograficznym, takim jak budynek biurowy lub kampus szkolny. Węzły są zdolne do komunikacji radiowej.

Bezprzewodowa sieć LAN

Bezprzewodowa sieć LAN jest zwykle implementowana jako rozszerzenie istniejącej przewodowej sieci LAN, aby zapewnić dostęp do sieci z mobilnością urządzeń. Najpowszechniej stosowane technologie bezprzewodowych sieci LAN są oparte na standardzie IEEE 802.11 i jego poprawkach.

Dwa główne komponenty bezprzewodowej sieci LAN to:

  • Access Points (APs)- To są stacje bazowe dla sieci bezprzewodowej. Nadają i odbierają częstotliwości radiowe, aby komunikować się z klientami bezprzewodowymi.

  • Wireless Clients- Są to urządzenia komputerowe wyposażone w kartę interfejsu sieci bezprzewodowej (WNIC). Laptopy, telefony IP, PDA to typowe przykłady klientów bezprzewodowych.

Wiele organizacji wdrożyło bezprzewodowe sieci LAN. Te sieci rozwijają się fenomenalnie. Dlatego kluczowe znaczenie ma zrozumienie zagrożeń w bezprzewodowych sieciach LAN i poznanie wspólnych środków zapobiegawczych w celu zapewnienia bezpieczeństwa sieci.

Ataki w bezprzewodowej sieci LAN

Typowe ataki przeprowadzane w bezprzewodowej sieci LAN to:

  • Eavesdropping - Atakujący pasywnie monitoruje sieci bezprzewodowe w poszukiwaniu danych, w tym danych uwierzytelniających.

  • Masquerading - Atakujący podszywa się pod autoryzowanego użytkownika i uzyskuje dostęp oraz przywileje w sieciach bezprzewodowych.

  • Traffic Analysis - Atakujący monitoruje transmisje za pośrednictwem sieci bezprzewodowych w celu identyfikacji wzorców komunikacji i uczestników.

  • Denial of Service - Osoba atakująca uniemożliwia lub ogranicza normalne użytkowanie lub zarządzanie bezprzewodową siecią LAN lub urządzeniami sieciowymi.

  • Message Modification/Replay - Atakujący zmienia wiarygodną wiadomość wysłaną za pośrednictwem sieci bezprzewodowych lub odpowiada na nią, usuwając ją, dodając do niej, zmieniając lub zmieniając jej kolejność.

Środki bezpieczeństwa w bezprzewodowej sieci LAN

Środki bezpieczeństwa zapewniają środki do odparcia ataków i zarządzania zagrożeniami dla sieci. Są to zarządzanie siecią, jej obsługa i środki techniczne. Poniżej opisujemy środki techniczne przyjęte w celu zapewnienia poufności, dostępności i integralności danych przesyłanych przez bezprzewodowe sieci LAN.

W bezprzewodowych sieciach LAN wszystkie punkty dostępowe powinny być skonfigurowane tak, aby zapewniały bezpieczeństwo poprzez szyfrowanie i uwierzytelnianie klienta. Rodzaje schematów używanych w bezprzewodowej sieci LAN w celu zapewnienia bezpieczeństwa są następujące:

Wired Equivalent Privacy (WEP)

Jest to algorytm szyfrowania wbudowany w standard 802.11 w celu zabezpieczenia sieci bezprzewodowych. Szyfrowanie WEP wykorzystuje szyfr strumieniowy RC4 (Rivest Cipher 4) z 40-bitowymi / 104-bitowymi kluczami i 24-bitowym wektorem inicjalizacji. Może również zapewniać uwierzytelnianie punktu końcowego.

Jest to jednak najsłabszy mechanizm bezpieczeństwa szyfrowania, ponieważ w szyfrowaniu WEP odkryto szereg błędów. WEP również nie ma protokołu uwierzytelniania. Dlatego nie zaleca się używania WEP.

Protokół 802.11i

W tym protokole możliwe są liczne i silniejsze formy szyfrowania. Został opracowany, aby zastąpić słaby schemat WEP. Zapewnia mechanizm dystrybucji kluczy. Obsługuje jeden klucz na stację i nie używa tego samego klucza dla wszystkich. Używa serwera uwierzytelniającego niezależnego od punktu dostępu.

IEEE802.11i nakazuje użycie protokołu o nazwie Counter mode z CBC-MAC Protocol (CCMP). CCMP zapewnia poufność i integralność przesyłanych danych oraz autentyczność nadawcy. Jest on oparty na szyfrze blokowym Advanced Encryption Standard (AES).

Protokół IEEE802.11i ma cztery fazy działania.

  • STA i AP komunikują się i odkrywają wzajemne możliwości bezpieczeństwa, takie jak obsługiwane algorytmy.

  • STA i AS wzajemnie się uwierzytelniają i razem generują klucz główny (MK). AP działa jak „przejście”.

  • STA wyprowadza Pairwise Master Key (PMK). AS pobiera ten sam PMK i wysyła do AP.

  • STA i AP używają PMK do uzyskiwania klucza czasowego (TK), który ma być używany do szyfrowania wiadomości i integralności danych.

Inne standardy

  • Wi-Fi Protected Access(WPA) - Ten protokół implementuje większość standardu IEEE 802.11i. Istniał przed IEEE 802.11i i używa algorytmu RC4 do szyfrowania. Posiada dwa tryby pracy. W trybie „Enterprise” WPA używa protokołu uwierzytelniania 802.1x do komunikacji z serwerem uwierzytelniającym, dlatego klucze pre-master (PMK) są specyficzne dla stacji klienckiej. W trybie „osobistym” nie korzysta ze standardu 802.1x, a PMK jest zastępowany kluczem współdzielonym, używanym w środowiskach bezprzewodowych sieci LAN małych biur domowych (SOHO).

    WPA obejmuje również kontrolę integralności wiadomości dźwiękowej, zastępującą cykliczną kontrolę nadmiarową (CRC), która była używana w standardzie WEP.

  • WPA2- WPA2 zastąpił WPA. WPA2 implementuje wszystkie obowiązkowe elementy schematu IEEE 802.11i. W szczególności obejmuje obowiązkową obsługę CCMP, trybu szyfrowania opartego na AES z silnymi zabezpieczeniami. Tak więc, jeśli chodzi o ataki, WPA2 / IEEE802.11i zapewnia odpowiednie rozwiązania do obrony przed słabymi punktami WEP, atakami typu man-in-the-middle, fałszowaniem pakietów i atakami typu replay. Jednak atak DoS nie jest właściwie adresowany i nie ma solidnych protokołów, które zatrzymywałyby takie ataki, ponieważ takie ataki są skierowane na warstwę fizyczną, np. Ingerowanie w pasmo częstotliwości.

Podsumowanie

W tym rozdziale rozważaliśmy ataki i techniki łagodzenia skutków przy założeniu przełączanej sieci Ethernet z protokołem IP. Jeśli w Twojej sieci nie jest używany protokół Ethernet jako protokół warstwy 2, niektóre z tych ataków mogą nie mieć zastosowania, ale istnieje prawdopodobieństwo, że taka sieć jest podatna na różnego rodzaju ataki.

Bezpieczeństwo jest tak silne, jak najsłabsze ogniwo. Jeśli chodzi o sieci, warstwa 2 może być bardzo słabym ogniwem. Wspomniane w tym rozdziale środki bezpieczeństwa warstwy 2 znacznie przyczyniają się do ochrony sieci przed wieloma typami ataków.