[De principiante a experto - Fundamentos de WLAN] Sección 8 - Acceso STA

109 0 0 0

La última vez, compartimos con usted cómo Fit AP se pone en línea en un AC. Independientemente de si un AP es un Fat AP o un Fit AP en línea, el AP se implementa para proporcionar un entorno de cobertura inalámbrica para el acceso de STA. Esto nos permite usar las STA para conectarnos a una WLAN a través de los AP dentro del área de cobertura de la WLAN. A continuación se describe cómo una STA se conecta a un AP en una WLAN.

El acceso al STA incluye tres pasos:

1. Escaneo: Un STA escanea redes inalámbricas.

2. Autenticación de enlace: la STA se autentica para que pueda establecer un enlace inalámbrico con un AP. Si la autenticación del enlace no tiene éxito, la STA no puede conectar el AP.

3. Asociación: Después de que la autenticación del enlace sea exitosa, la STA negocia los parámetros de servicio del enlace inalámbrico con el AP para establecer un enlace inalámbrico.

 

 

Una vez que se completan estos tres pasos, la STA puede conectarse al AP. La STA puede acceder a la red inalámbrica después de obtener una dirección IP, o puede acceder a la red después de pasar la autenticación de acceso y la negociación de claves.

La autenticación de acceso y la negociación de claves son opcionales y, por lo tanto, no están configuradas en todas las redes. Durante la asociación STA, la STA determina si realizar la autenticación de acceso y la negociación de clave de acuerdo con el paquete de respuesta de asociación recibido. Los detalles se describen en la sección sobre la asociación STA. En la práctica, se requiere autenticación de acceso y negociación de claves para garantizar la seguridad de la WLAN.

 

Paso1: Escaneo

Antes de que una STA se conecte a un AP, la STA necesita descubrir un AP escaneando redes inalámbricas.

 

Por ejemplo, cuando intentamos conectarnos a una red Wi-Fi utilizando teléfonos móviles, generalmente vemos una lista de redes inalámbricas que pueden ser descubiertas por los teléfonos móviles, como se muestra en la siguiente figura. Las cadenas mostradas son SSID que indican redes inalámbricas. Podemos tocar cualquiera de ellos para conectarse a esa red.

 

 

Como se ilustra en ese ejemplo, una STA necesita descubrir redes inalámbricas antes de conectarse a una red inalámbrica. El proceso para que una STA descubra una red se llama escaneo. Cuando Wi-Fi está habilitado en un teléfono móvil, el teléfono móvil se conecta automáticamente a una red a la que se ha conectado anteriormente. Esta función simplifica la operación para los usuarios que desean conectarse a redes inalámbricas usadas anteriormente. Sin embargo, esto no significa que el teléfono móvil no haya escaneado las redes inalámbricas. El escaneo es realizado automáticamente por el teléfono móvil y los resultados del escaneo se muestran automáticamente en él.

Una STA puede escanear redes inalámbricas de forma activa o pasiva. El modo de escaneo que utiliza una STA se determina según si la STA admite la exploración activa o pasiva.

En general, los teléfonos móviles o las computadoras con adaptadores de red inalámbrica admiten tanto el escaneo activo como el pasivo. Las redes inalámbricas descubiertas a través de la exploración activa o pasiva se muestran en los teléfonos móviles o computadoras para su selección. En la mayoría de los casos, los terminales VoIP escanean pasivamente las redes inalámbricas para ahorrar energía. El escaneo activo y el escaneo de paso se describen en las siguientes secciones.

Activando Escaneo:

En la exploración activa, una STA envía periódicamente paquetes de sondeo en canales compatibles para buscar redes inalámbricas circundantes. Los paquetes de sonda enviados por la STA se denominan tramas de solicitud de sonda. Una STA puede enviar dos tipos de tramas de Solicitud de Sonda: las que contienen un SSID y las que no.

1. Si una STA envía un marco de solicitud de sonda que no contiene un SSID, la STA intenta escanear todas las redes inalámbricas circundantes. Todos los puntos de acceso que reciben este cuadro de solicitud de prueba de difusión luego responden con un cuadro de respuesta de la sonda para notificar a la STA sus SSID. De esta manera, la STA descubre todas las redes inalámbricas circundantes. (Si el SSID que se oculta en las tramas Beacon está habilitado en un AP, el AP no responde a la trama de Solicitud de Sonda y la STA no puede obtener información de SSID usando este método).

 

Si una STA envía un marco de Solicitud de Sonda que contiene un SSID, la STA intenta buscar solo la red inalámbrica con el SSID especificado. Después de recibir el marco de Solicitud de Sonda, solo el AP con el SSID especificado responderá con un marco de Respuesta de Sonda.

 

Escaneo Pasivo

 

En la exploración pasiva, una STA no envía tramas de Solicitud de Sonda a los AP, y en su lugar recibe las tramas Beacon que un AP envía periódicamente.

Una trama de baliza enviada por un AP contiene información sobre el SSID del AP y la velocidad admitida. Un AP emite periódicamente cuadros Beacon. Por ejemplo, si el intervalo en el que un AP envía tramas Beacon es de 100 ms, el AP transmite tramas Beacon a un intervalo de 100 ms. Una STA escucha las tramas Beacon en los canales compatibles para obtener información sobre las redes inalámbricas circundantes. (Si el SSID que se oculta en las tramas Beacon está habilitado en un AP, el AP periódicamente envía tramas Beacon que contienen cadenas de caracteres SSID vacías y una STA no puede obtener información SSID de las tramas Beacon).

Después de que las redes inalámbricas son detectadas por un teléfono móvil, ya sea mediante escaneo activo o por transferencia, puede seleccionar una red inalámbrica para acceder. En este punto, comienza la autenticación de enlace.

Paso 2: Link Authentication

Una STA se conecta a un AP a través de un enlace inalámbrico. Solo las STA que se autentiquen con éxito pueden establecer enlaces inalámbricos con un AP. En este punto del proceso, algunas redes inalámbricas requieren autenticación de acceso, en cuyo caso las STA pueden acceder a las redes inalámbricas solo después de pasar la autenticación de acceso.

La autenticación de enlace puede recordarle otros modos de autenticación, como la autenticación 802.1x, la autenticación de clave precompartida (PSK) y la autenticación de sistema abierto. ¿Cuál es la relación entre la autenticación de enlace y estos modos de autenticación? Antes de responder a esta pregunta, hablemos brevemente sobre las políticas de seguridad.

Cada política de seguridad tiene una serie de mecanismos de seguridad, incluido el mecanismo de autenticación de enlace, que se utiliza para establecer un enlace inalámbrico; mecanismo de autenticación de usuario, utilizado cuando los usuarios intentan conectarse a una red inalámbrica; y mecanismo de encriptación de datos, utilizado durante la transmisión de datos del usuario. La siguiente tabla enumera los modos de autenticación de enlace, autenticación de acceso y cifrado de datos utilizados en varias políticas de seguridad.

 

 

Seguridad

Política

Link

Authentication

Acceso

Autenticación

Modo

Datos

Cifrado

Modo

Observaciones

Wired

Equivalent

Privacy (WEP)

Abierto

No involucrado

Sin cifrado o

Encriptación   WEP

Proporciona   baja seguridad.

Llave   compartida

autenticación

No involucrado

Encriptación   WEP

Proporciona   baja seguridad.

Wi-Fi protegido

Acceso

(WPA)/WPA2-

802.1X

Abierto

802.1x (EAP)

Clave temporal

Protocolo de   integridad (TKIP) o CBC-

MAC Protocolo

(CCMP)

Proporciona   alta seguridad y es

Aplicable a   grandes empresas.

WPA/WPA2-

PSK

Abierto

PSK

TKIP o CCMP

Provides high security and is

applicable to medium- or small

enterprises, or household users.

WAPI-CERT

Abierto

PSK

SMS4

Un nacional chino

estándar para

WLANs. Raramente utilizado y

aplicable a grandes dimensiones

Empresas y transportistas.

WLAN

Autenticación

y privacidad

Infraestructura (WAPI)-PSK

Abierto

WAPI certificado

autenticación

SMS4

A Chinese ational

standard for

WLANs. Rarely used and

applicable to small-sized

enterprises and household users.

 

 

  La autenticación de enlaces y la autenticación de acceso se realizan durante diferentes fases.

 

 

La tabla anterior muestra que las principales políticas de seguridad son WEP, WPA, WPA2 y WAPI. Estas políticas de seguridad utilizan solo dos modos de autenticación de enlace: autenticación de sistema abierto y autenticación de clave compartida.

La autenticación 802.1x y PSK son modos de autenticación de acceso. Aunque no figuran en la tabla anterior, la autenticación de la dirección MAC y la autenticación del Portal también son modos importantes de autenticación de acceso.

Para obtener detalles sobre las políticas de seguridad, la autenticación de direcciones MAC y la autenticación de Portal, consulte las secciones sobre seguridad de WLAN en los manuales de productos WLAN.

Ahora, continuemos hablando sobre los modos de autenticación de enlace, a saber, autenticación de sistema abierto y autenticación de clave compartida. ¿Cuáles son los procesos de autenticación para estos dos modos?

 

Autenticación de sistema abierto

 

La autenticación de sistema abierto indica que no hay autenticación, que también es un modo de autenticación. Usando este modo de autenticación, las STA se autentican con éxito siempre que envíen solicitudes de autenticación a un AP. No es un modo de autenticación seguro. Por lo tanto, la autenticación de sistema abierto siempre se usa junto con otros modos de autenticación de sistema de acceso para mejorar la seguridad.

 

Autenticación de clave compartida

 

La autenticación de clave compartida puede hacerle pensar en la Autenticación de clave precompartida (PSK). La autenticación de clave compartida es un modo de autenticación de enlace, mientras que PSK es un modo de autenticación de acceso de usuario. Los dos procesos de autenticación son similares.

La autenticación de clave compartida consta de cuatro pasos y requiere que una STA y un AP tengan la misma clave compartida. De lo contrario, la autenticación falla.

 

1. La STA envía una solicitud de autenticación al AP.

2. Después de recibir la solicitud, el AP genera un desafío y lo envía a la STA.

3. La STA utiliza la clave preconfigurada para cifrar el desafío y la envía al AP.

4. Después de recibir el desafío cifrado, el AP usa la clave preconfigurada para descifrar el desafío y compara el desafío descifrado con el desafío enviado a la STA. Si las claves preconfiguradas en la STA y AP son las mismas, la STA se autentica. De lo contrario, la STA no se autentica.

Una vez que la autenticación del enlace se realiza correctamente, la STA se asocia con el AP.

 

Paso 3: Asociación

La asociación siempre es iniciada por una STA. Asociación se refiere a la negociación de enlace entre una STA y un AP.

El proceso de asociación consta de dos pasos: solicitud de asociación y respuesta.

El paquete de Solicitud de Asociación enviado por la STA contiene los parámetros de la STA y los parámetros que la STA selecciona de acuerdo con la configuración del servicio, incluida la velocidad admitida, el canal, las capacidades de QoS, el módem de autenticación de acceso y el algoritmo de cifrado. Si un Fat AP recibe un paquete de solicitud de asociación de una STA, el Fat AP determina directamente si realizar la autenticación de acceso y responde con un paquete de respuesta de asociación. Si un Fit AP recibe un paquete de solicitud de asociación de una STA, el Fit AP encapsula el paquete en un paquete CAPWAP y envía el paquete CAPWAP a la AC. La CA determina si autenticar la STA, desencapsula el paquete de Respuesta de asociación recibido de la AC y envía el paquete de Respuesta de la Asociación a la STA. Durante este proceso, Fit AP solo reenvía los paquetes. Paquetes de asociación intercambiados entre el AP y la AC transmitidos a través de un túnel CAPWAP.

Una vez que se completa la asociación, se establece un enlace inalámbrico entre la STA y el AP. Si no se configura la autenticación de acceso, la STA puede acceder a la red inalámbrica después de obtener una dirección IP. Si la autenticación de acceso está configurada, la STA puede acceder a la red solo después de pasar la autenticación de acceso y la negociación de claves. (Si la autenticación de acceso falla, la STA solo puede acceder a los recursos de la red en la VLAN invitada o en la página de autenticación del Portal).

 

Otros Pasos

Los modos de autenticación de acceso incluyen autenticación 802.1x, autenticación PSK, autenticación de dirección MAC y autenticación de Portal. Estos modos de autenticación se pueden usar para autenticar las identidades de los usuarios para mejorar la seguridad de la red. La negociación de claves garantiza la seguridad de los datos del usuario. Después de una autenticación de acceso y negociación de clave exitosas, una STA puede navegar por Internet. Si está interesado en la autenticación de acceso, consulte las secciones sobre seguridad WLAN en los manuales de productos WLAN.

 

Finalmente, me gustaría compartir con ustedes una historia y analizarla usando lo que hemos aprendido hoy. Una pareja de recién casados visitó a la hermana de **. En la casa de la hermana, el ** se conectó directamente a la red Wi-Fi usando el teléfono móvil de ella ** sin ingresar la contraseña. Cuando sacó su propio teléfono móvil para conectarse a la red Wi-Fi, no pudo conectarse sin ingresar la contraseña. En este momento, supo que ella había estado en la casa de su amiga antes y comenzó a sospechar. Así es como ella sabía:

 

La red Wi-Fi se muestra en un teléfono móvil una vez que el teléfono móvil descubre la red Wi-Fi mediante el escaneo. El teléfono móvil del ** podría conectarse a la red Wi-Fi, mientras que el ** debe ingresar la contraseña para la conexión de red. Debido a que necesitaba ingresar una contraseña para acceder a la red Wi-Fi, sabía que la red está protegida por contraseña. Si un teléfono móvil se conectó a una red Wi-Fi en el pasado, generalmente el teléfono móvil guarda la información de conexión de la red, como la contraseña, para que el usuario del teléfono móvil no tenga que ingresar la contraseña nuevamente cuando se conecte a la red Wi-Fi. red en un momento posterior. Por lo tanto, el teléfono móvil del ** podría conectarse directamente a la red Wi-Fi en la casa de la hermana de su ** sin necesidad de ingresar la contraseña porque el teléfono móvil se ha conectado a la red anteriormente.

 

Sin embargo, no podemos determinar si la contraseña se utiliza para la autenticación de enlace o la autenticación de acceso. El cifrado de clave compartida se puede utilizar como un modo de autenticación de enlace. La autenticación 802.1x, PSK o Portal se puede usar como modo de autenticación de acceso. Tanto la autenticación de enlace como la de acceso requieren contraseñas. Por lo tanto, se puede utilizar una contraseña para la autenticación de enlaces o la autenticación de acceso. En nuestra vida diaria, la autenticación de sistema abierto se usa generalmente para la autenticación de enlace, y la autenticación de clave compartida rara vez se utiliza. Por lo tanto, existe una gran probabilidad de que la contraseña de la historia se esté utilizando para la autenticación de acceso.

.

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba