今天的CCNA课程还是延续了无线网这一块的内容,我个人评价是今天的课程极其的枯燥,完全都是概念性的东西,而且还不要求深究。不太确定CCNA考试中会有多少这部分的内容。但是考试大纲是只要求了解和描述即可。所以知道个大概就行。

我们知道,网络安全是在网络中非常重要的一个内容,对于无线网来说,这个重要性比有线网更加重。因为在有线网络里,连上线才可以传输数据,而且有各种设置。而在无线网络里,谁都可以搜索到该网络,如果不做任何安全设置,那么数据可以轻松的被截获或者更改。

因此,我们主要聚焦于三个方面,

Authentication 验证

所有的终端设备在和AP关联之前必须要经过身份验证,只有经过身份验证的可信任设备才可以访问公司的资源等。而非信任的可以单独设置一个guest wifi。 同样,终端设备也应该验证AP以避免有人通过malicious 恶意AP来截获数据。

有许多种验证的方式,比如 密码,用户名加密码,授权证书

Encryption 加密

在客户端和AP之间的数据必须要经过加密,因为该数据很容易被截获,如果不加密则很容易被其他人阅读。有许多在加密的协议,一般来说设备都使用同一种加密协议,但是使用不同的密钥 key。

Integrity 完整性

在客户端和AP之间的数据必须保证一致,保证完整性,保证不被第三放篡改。这里一般来说信息都要加上MIC即message intergrity check 来保证信息的一致性。

接下来我们细聊一下刚才提到的三点。

首先是Authentication Methods验证方法,我们刚才提到了验证方法有很多种。

最原始的802.11 标准只包括前两种验证方法

Open Authentication 开放验证

这种验证方式就是客户端发送一个验证请求,然后AP接受,不需要任何问任何问题。因此呢,该验证方式非常的不安全。一般来说,使用这种验证方式都会增加一个过程,比如在添加一个验证方式。常见的就是星巴克的wifi,可以直接连上,但是还得去WEB页面进行下一步的验证。

WEP(Wired Equivalent Privacy)有线等效加密

WEP比第一种要好一些,除了提供验证外,还对无线数据进行加密,加密算法使用RC4。这种加密方式要求客户端和AP使用一样的共享密钥,shared key。Key的长度在40 bits 到 104 bits之间。 接下来在key的基础上还需要添加一个24 bits的IV即initialization vector 形成一个 64bits到128bits之间的值。

但是WEP也有缺点,因为该加密算法很容易被爆破,因此WEP也是不安全的。

challenge phrase:这里指管理密码

上面的两种方式都是不安全的,因此呢,后面就有了新的验证方法。

EAP(Extensible Authentication Protocol)可扩展验证协议

严格来说,EAP是一种验证的框架,该框架定义了使用不同EAP方法(即下面四种,LEAP,EAP-FAST,PEAP,EAP-TLS)的一套验证功能的标准。EAP还和802.1X融合,提供了基于端口的网络接入控制。

这里简单讲一下802.1x,这是一种新的协议,用于限制用户的网络接入直到该用户被验证为止。该协议包括三个实体部分

Supplicant:就是打算接入网络的设备,比如终端

Authenticator:就是提供网络接入的设备,比如AP,比如交换机

Authentication Server:就是用来接受用户的认证请求并且给与许可或者拒绝的设备,比如RADIUS server

下面讲一下EAP的几个验证方法,

LEAP(Lightweight EAP)轻量化EAP

该协议是思科研发的,作为WEP的提升和补充。客户端必须提供username 和password。此外,客户端和服务器必须提供challenge phrase来互相验证。还有就是WEP keys是动态变化的,这样大大提高了安全性。但是呢,该协议仍然有一定的安全漏洞。因为KEY虽然是动态变化的,增加了爆破的难度,但是依然可能被爆破。

EAP-FAST(EAP Flexible Authentication via Secure Tunneling)

之后呢,思科又开放了新的协议,就是EAP-FAST,这包括三个部分

PAC 即 Protected Access Credential,在服务器和客户端之间生产该PAC。

然后在客户端和服务器之间建立一个安全通道

在通道里,客户端和服务器进行进一步的验证和授权等。

PEAP(Protoected EAP)

这一种协议和上述的EAP-FAST类似,只不过没有PAC,而是使用数字证书,然后客户端和服务器建立通道。

EAP-TLS(EAP Transport Layer Security)

最后一种是PEAP的升级版本,PEAP只需要给服务器配置证书,而EAP-ELS则是给所有客户端和服务器都配置证书。当然配置更加复杂, 也就更加安全。

除了验证以外,我们还可以深聊一下加密和数据的完整性方法。主要是以下三种

TKIP(Temporal Key Integrity Protocol)

这个其实可以理解为WEP的补充升级。最早期当WEP被发现很容易被爆破验证key后,很多的硬件设备已经被制造并且应用了。因此需要一个临时的解决方案来解决该问题。因此就有了TKIP,除了之前提到的MIC被添加到每一个数据中,来保证一致性。还增加了Key mixing 算法,然后给每一帧都生成不同的WEP密钥。之前还提到了 Initialization vector要被添加到key中,原本是24bits,现在改成48bits来增加爆破难度。在MIC中还增加了时间邮戳和TKIP 序列号来保证数据不被攻击(重复发送攻击)。

这是对WPA version1的升级补充。

CCMP(Counter/CBC-MAC Protocol)

在TKIP之后又开发出了CCMP,重新开发出了2个不同的算法。

AES(Advanced Encryption Standard)counter mode encryption,该算法用来加密,非常的复杂很难爆破,目前被广泛用于世界各地。

CBC-MAC(Cipher Block Chaining Message Authentication Code)该算法用来MIC确保信息的完整性。

这是对WPA version2的升级补充

GCMP(Galois/Counter Mode Protocol)

该协议是继续升级,比CCMP更加有效和安全。也是包括两种算法

AES Counter Mode encryption

GMAC(Golois Message Authentication Code)也是保证信息的完整性。

这是对WPA version3的升级补充。

刚才提到了WPA有三个版本,其实WPA就是wirless protect access,也是一种加密的方式,用来替代不可靠的WEP。所有的设备必须经过测试实验室的验证后才可以被称为WPA-Certified。

WPA分为个人模式和企业模式,个人模式则是输入密码,然后验证即可,常见的家庭或者小企业都是这种模式。企业模式则是用服务器来授权验证。

不同的WPA模式可以简单的理解为越来约复杂,越来越安全。

WPA支持TKIP

WPA2支持CCMP

WPA3支持GCMP,此外还支持其他的安全协议等,比如

PMF(Protected Management Frames)用来保护管理802.11的帧被监听和伪造 eavesdropping/forging

SAE(Simultaneous Authentication of Equals)用来保护个人模式下输入密码等四次握手协议的安全。

Forward secrecy用来组织数据被转发或者发送过程中被解密。

YouTube player

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

Day 57 Anki Flashcard下载:https://drive.google.com/file/d/1FTuTiS_FrgSTwb6gMWXdZFOMr6qWXj9a/view?usp=sharing


Chao

一个三天打鱼两天晒网的博主 拖延症严重患者 干啥啥不行,学啥啥不会

0 条评论

发表回复

Avatar placeholder