Ответы к вопросам по безопасности мобильных приложений. 1. Основные понятия и определения безопасности мобильных приложений 2
Скачать 80.07 Kb.
|
22. Методы аутентификации в беспроводных сетях и устройств1. Открытая аутентификация (англ. Open Authentication): Рабочая станция делает запрос аутентификации, в котором присутствует только MAC-адрес клиента. Точка доступа отвечает либо отказом, либо подтверждением аутентификации. Решение принимается на основе MAC-фильтрации, то есть по сути это защита беспроводной Wi-Fi сети на основе ограничения доступа, что не безопасно. Используемые шифры: без шифрования, статический WEP, CKIP. 2. Аутентификация с общим ключом (англ. Shared Key Authentication): Необходимо настроить статический ключ шифрования алгоритма WEP (англ. Wired Equivalent Privacy). Клиент делает запрос у точки доступа на аутентификацию, на что получает подтверждение, которое содержит 128 байт случайной информации. Станция шифрует полученные данные алгоритмом WEP (проводится побитовое сложение по модулю 2 данных сообщения с последовательностью ключа) и отправляет зашифрованный текст вместе с запросом на ассоциацию. Точка доступа расшифровывает текст и сравнивает с исходными данными. В случае совпадения отсылается подтверждение ассоциации, и клиент считается подключенным к сети. Схема аутентификации с общим ключом уязвима к атакам «Man in the middle». Алгоритм шифрования WEP — это простой XOR ключевой последовательности с полезной информацией, следовательно, прослушав трафик между станцией и точкой доступа, можно восстановить часть ключа. Используемые шифры: без шифрования, динамический WEP, CKIP. 3. Аутентификация по MAC-адресу: Данный метод не предусмотрен в IEEE 802.11, но поддерживается большинством производителей оборудования, например D-Link и Cisco. Происходит сравнение МАС-адреса клиента с таблицей разрешённых MAC-адресов, хранящейся на точке доступа, либо используется внешний сервер аутентификации. Используется как дополнительная мера защиты. IEEE начал разработки нового стандарта IEEE 802.11i, но из-за трудностей утверждения, организация WECA (англ. Wi-Fi Alliance) совместно с IEEE анонсировали стандарт WPA (англ. Wi-Fi Protected Access). В WPA используется TKIP (англ. Temporal Key Integrity Protocol, протокол проверки целостности ключа), который использует усовершенствованный способ управления ключами и покадровое изменение ключа. 4. Wi-Fi Protected Access (WPA) После первых успешных атак на WEP было принято разработать новый стандарт 801.11i. Но до него был выпущен «промежуточный» стандарт WPA, который включал в себя новую систему аутентификации на базе 801.1x и новый метод шифрования TKIP. Существуют два варианта аутентификации: с помощью RADIUS сервера(WPA-Enterprise) и с помощью предустановленного ключа (WPA-PSK) Используемые шифры: TKIP (стандарт), AES-CCMP (расширение), WEP (в качестве обратной совместимости). 5. WI-FI Protected Access2 (WPA2, 801.11I) WPA2 или стандарт 801.11i — это финальный вариант стандарта безопасности беспроводных сетей. В качестве основного шифра был выбран стойкий блочный шифр AES. Система аутентификации по сравнению с WPA претерпела минимальные изменения. Также как и в WPA, в WPA2 есть два варианта аутентификации WPA2-Enterprise с аутентификацией на RADIUS сервере и WPA2-PSK с предустановленным ключом. Используемые шифры: AES-CCMP (стандарт), TKIP (в качестве обратной совместимости). 6. Cisco Centralized Key Managment (CCKM) Вариант аутентификации от фирмы CISCO. Поддерживает роуминг между точками доступа. Клиент один раз проходит аутентификацию на RADIUS-сервере, после чего может переключаться между точками доступа. Используемые шифры: WEP, CKIP, TKIP, AES-CCMP. Источник: https://ru.wikipedia.org/wiki/Защита_в_сетях_Wi-Fi#Методы_ограничения_доступа. 23. Методы шифрования в беспроводных сетях и устройствWEP-шифрование (Wired Equivalent Privacy) Аналог шифрования трафика в проводных сетях. Используется симметричный потоковый шифр RC4 (англ. Rivest Cipher 4), который достаточно быстро функционирует. На сегодняшний день WEP и RC4 не считаются криптостойкими. Есть два основных протокола WEP: 40-битный WEP (длина ключа 64 бита, 24 из которых — это вектор инициализации, который передается открытым текстом); 104-битный WEP (длина ключа 128 бит, 24 из которых — это тоже вектор инициализации); Вектор инициализации используется алгоритмом RC4. Увеличение длины ключа не приводит к увеличению надежности алгоритма. Основные недостатки: использование для шифрования непосредственно пароля, введенного пользователем; недостаточная длина ключа шифрования; использование функции CRC32 для контроля целостности пакетов; повторное использование векторов инициализации и др. TKIP-шифрование (англ. Temporal Key Integrity Protocol) Используется тот же симметричный потоковый шифр RC4, но является более криптостойким. Вектор инициализации составляет 48 бит. Учтены основные атаки на WEP. Используется протокол Message Integrity Check для проверки целостности сообщений, который блокирует станцию на 60 секунд, если были посланы в течение 60 секунд два сообщения не прошедших проверку целостности. С учётом всех доработок и усовершенствований TKIP все равно не считается криптостойким. CKIP-шифрование (англ. Cisco Key Integrity Protocol) Имеет сходства с протоколом TKIP. Создан компанией Cisco. Используется протокол CMIC (англ. Cisco Message Integrity Check) для проверки целостности сообщений. WPA-шифрование Вместо уязвимого RC4, используется криптостойкий алгоритм шифрования AES (англ. Advanced Encryption Standard). Возможно использование EAP (англ. Extensible Authentication Protocol, расширяемый протокол аутентификации). Есть два режима: Pre-Shared Key (WPA-PSK) — каждый узел вводит пароль для доступа к сети; Enterprise — проверка осуществляется серверами RADIUS. WPA2-шифрование (IEEE 802.11i) Принят в 2004 году, с 2006 года WPA2 должно поддерживать все выпускаемое Wi-Fi оборудование. В данном протоколе применяется RSN (англ. Robust Security Network, сеть с повышенной безопасностью). Изначально в WPA2 используется протокол CCMP (англ. Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счетчика). Основой является алгоритм AES. Для совместимости со старым оборудованием имеется поддержка TKIP и EAP (англ. Extensible Authentication Protocol) с некоторыми его дополнениями. Как и в WPA есть два режима работы: Pre-Shared Key и Enterprise. WPA и WPA2 имеют следующие преимущества: ключи шифрования генерируются во время соединения, а не распределяются статически; для контроля целостности передаваемых сообщений используется алгоритм Michael; используется вектор инициализации существенно большей длины. Источник: https://ru.wikipedia.org/wiki/Защита_в_сетях_Wi-Fi#Методы_ограничения_доступа. |