Zabezpieczenia sieci bezprzewodowych, czyli dlaczego lokalne Wi-Fi z WPA/2 Enterprise?



Podobne dokumenty
Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Dr Michał Tanaś(

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006

Eduroam - swobodny dostęp do Internetu

Bezpieczeństwo bezprzewodowych sieci LAN

WLAN bezpieczne sieci radiowe 01

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Zdalne logowanie do serwerów

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

WLAN 2: tryb infrastruktury

Serwery autentykacji w sieciach komputerowych

Konfiguracja WDS na module SCALANCE W Wstęp

Marcin Szeliga Sieć

Wydział Elektryczny. Katedra Telekomunikacji i Aparatury Elektronicznej. Kierunek: Inżynieria biomedyczna. Instrukcja do zajęć laboratoryjnych

Bezpieczeństwo w

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Technologie informacyjne - wykład 9 -

Metody uwierzytelniania klientów WLAN

Technologie Architectura Elementy sieci Zasada działania Topologie sieci Konfiguracja Zastosowania Bezpieczeństwo Zalety i wady

Szyfrowanie WEP. Szyfrowanie WPA

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

Bezpieczeństwo sieci bezprzewodowych

WSIZ Copernicus we Wrocławiu

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

SSL (Secure Socket Layer)

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Wykorzystanie kontrolera sieci bezprzewodowej oraz serwera RADIUS

Kryteria bezpiecznego dostępu do sieci WLAN

WEP: przykład statystycznego ataku na źle zaprojektowany algorytm szyfrowania

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Bezpieczeństwo teleinformatyczne

Podstawy Secure Sockets Layer

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Topologie sieci WLAN. Sieci Bezprzewodowe. Access Point. Access Point. Topologie sieci WLAN. Standard WiFi IEEE Bezpieczeństwo sieci WiFi

Rozwiązywanie problemów z DNS i siecią bezprzewodową AR1004g v2

ZiMSK. Konsola, TELNET, SSH 1

SAGEM Wi-Fi 11g CARDBUS ADAPTER Szybki start

Zastosowania PKI dla wirtualnych sieci prywatnych

Bezprzewodowa technologia MAXg MAXymalny zasięg, wydajność, bezpieczeństwo i prostota w sieciach g

Bezpiecze nstwo systemów komputerowych Igor T. Podolak

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

Wprowadzenie do usługi eduroam

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Minisłownik pojęć sieciowych

Emil Wilczek. Promotor: dr inż. Dariusz Chaładyniak

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo systemów komputerowych.

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

System kontroli wersji - wprowadzenie. Rzeszów,2 XII 2010

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

ZADANIE.08. RADIUS (authentication-proxy, IEEE 802.1x) 2h

155,35 PLN brutto 126,30 PLN netto

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Sieć bezprzewodowa (ang. Wireless LAN) sieć lokalna zrealizowana bez użycia przewodów używa fal elektromagnetycznych (radiowych lub podczerwonych) do

Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client

Access Point WiFi Netis WF2220, 300 Mbps

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Program szkolenia: Bezpieczny kod - podstawy

2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)

Usługi sieciowe systemu Linux

Internet. dodatkowy switch. Koncentrator WLAN, czyli wbudowany Access Point

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

Podstawy bezpieczeństwa w sieciach bezprzewodowych

Typy zabezpieczeń w sieciach Mariusz Piwiński

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Projekt AMIplus Opis modelu komunikacji modułu wireless M-BUS wersja r.

Bezpieczeństwo bezprzewodowych sieci WiMAX

802.11N WLAN USB ADAPTER HIGH SPEED WIRELESS CONECTIVITY

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Konfiguracja sieci bezprzewodowych Z menu Network zlokalizowanego w górnej części strony wybieramy pozycję Wireless.

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Ćwiczenie dla dwóch grup. 1. Wstęp.

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

e-awizo SYSTEM POTWIERDZANIA DORĘCZEŃ POCZTY ELEKTRONICZNEJ

Protokoły zdalnego logowania Telnet i SSH

Authenticated Encryption

11. Autoryzacja użytkowników

Sieci bezprzewodowe z usługą zdalnego uwierzytelniania (RADIUS)

Sieci bezprzewodowe WiFi

ActiveXperts SMS Messaging Server

Warstwa łącza danych. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa. Sieciowa.

polski Skrócona instrukcja instalacji Niniejsza instrukcja instalacji przeprowadzi użytkownika przez proces instalacji bezprzewodowej karty sieciowej

Seria P-661HW-Dx Bezprzewodowy modem ADSL2+ z routerem

Uwagi dla użytkowników sieci bezprzewodowej

Bringing privacy back

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

WNL-U555HA Bezprzewodowa karta sieciowa n High Power z interfejsem USB

Bezpieczne Wi-Fi w szkole

AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku

Aby utworzyć WDS w trybie bridge należy wykonać poniższe kroki:

Instrukcja podłączania do sieci bezprzewodowej w budynkach Akademii Sztuk Pięknych im. J. Matejki w Krakowie:

Bezprzewodowa sieć korporacyjna UJCM_ZDM Ośrodek Komputerowy Uniwersytetu Jagiellońskiego Collegium Medicum

Transkrypt:

Zabezpieczenia sieci bezprzewodowych, czyli dlaczego lokalne Wi-Fi z WPA/2 Enterprise? Michał Wróblewski Eksplozja popularności sieci bezprzewodowych znacząco zmieniła nasze podejście do sposobu korzystania z Internetu. Naturalne stało się posiadanie bezprzewodowego dostępu do sieci w miejscach publicznych. Jeden tylko czynnik spowolnił ogólnodostępność tego rozwiązania: zabezpieczenie i kontrola dostępu do zasobów cyfrowych. Na tym, a w szczególności na architekturze WPA2, skupimy się w tym artykule. Dowiesz się: O historii standardu Wi-Fi od początku jej istnienia wraz z informacjami o zaletach i wadach poszczególnych rozwiązań Jaka jest charakterystyka dostępnych metod szyfrowania danych w sieciach Wi-Fi O opisie standardu 802.1x Podstawowych informacji o architekturze WPA/2 Enterprise 802.11i O wdrożeniach i spisie standardów, działających w przykładowej sieci Powinieneś wiedzieć: O podstawach kryptografii: architektura klucza publicznego, szyfry symetryczne O podstawach wiedzy o przesyłaniu danych w sieciach komputerowych Co to są urządzenia AP Wi-Fi O podstawowych zagadnieniach konfiguracyjnych z dziedziny Wi-Fi: konfiguracje dostępu i zabezpieczeń w AP 10/2008) Początki IEEE i pierwsze standardy 802.11 Organizacja IEEE (ang. Intitute of Electrical and Electronics Engineers) sięgająca datą powstania roku 1884, rozpoczęła pracę nad standardami komunikacji sieciowej we wczesnych latach 80. minionego wieku. Wtedy to powstał standard IEEE802.3 znany jako Ethernet sieć lokalna. W latach 90. rozpoczęto pracę nad standardem komunikacji bezprzewodowej, której efektem w 1997 roku był pierwszy oficjalny standard 802.11, dający użytkownikom sieci możliwość przesyłu danych na poziomie do 2Mbit/s w warstwie sprzętowej. Przepustowość 2Mbit/s dość szybko okazała się za mała, przez co zatwierdzony został w roku 1999 standard 802.11b, rozszerzający szerokość pasma przepływu danych do 11Mbit/s. Równolegle (ale już w paśmie 5GHz) zatwierdzony został standard 802.11a, poszerzający przepływność Wi-Fi do poziomu 54Mbit/s niestety niekompatybilny z istniejącymi urządzeniami 802.11b. Efektem oczywistej drogi rozwoju standardu 802.11 była w roku 2003 wersja g, łącząca zalety powszechnego okablowania i anten standardu b oraz osiągająca podobne prędkości, co standard a (czyli 54Mbit/s). Następnym i oficjalnie najnowszych standardem, jest 802.11n, teoretycznie zatwierdzony w roku 2009, mimo że wciąż trwają nad nim prace. 10

Zabezpieczenia sieci bezprzewodowych, czyli dlaczego lokalne Wi-Fi z WPA/2 Enterprise? Podstawowa kontrola dostępu MAC w sieciach Wi-Fi Kontrola dostępu w sieci bezprzewodowej osiągana jest poprzez ograniczanie możliwości komunikacji klientów sieci bezprzewodowej z Access Point-em (AP). Pominiemy temat sieci ad-hoc, gdyż ich poziom zabezpieczeń i użyteczność są mocno ograniczone i nie wymagają głębszych rozważań. AP jest stacją bazową w sieci bezprzewodowej. Każdy klient AP przesyła do niego dane, po czym AP decyduje, gdzie dalej te dane przesłać: do innych klientów bezprzewodowych, czy urządzeń przyłączonych do sieci przewodowej. Umiejscowienie tego urządzenia w topologii sieci umożliwia bardzo dokładne kontrolowanie, czy i jakiego typu dane są przez nie przesyłane. Niestety standard 802.11 nie opisuje mechanizmu zabezpieczeń, choć praktycznie każdy z producentów urządzeń AP oferuje kontrolę MAC (Media Access Control) unikatowego numeru karty sieciowej dla każdego urządzenia-klienta sieci Wi-Fi. Zwykle też można wybrać, czy tylko dana lista adresów jest wpuszczana czy odwrotnie: wszyscy oprócz podanych adresów mogą się podłączyć. Takie zabezpieczenie jest jednak bardzo proste do obejścia. Wystarczy podszyć się pod znany adres MAC, który łatwo można podsłuchać. Filtrowania MAC nie można rozważać, jako choćby częściowo wystarczającego do uznania sieci za bezpieczną. Początki szyfrowania w Wi-Fi: Wired Equivalent Privacy Standard zabezpieczania dostępu WiFi WEP Wired Equivalent Privacy został wprowadzony, by zapewnić odczytanie transmisji przesyłanej przez sieć Wi-Fi tylko autoryzowanym użytkownikom. Szyfrowanie w tym standardzie jest symetryczne i klucz musi być rozdystrybuowany ręcznie pomiędzy urządzeniami klienckimi oraz wprowadzony (najlepiej poprzez bezpieczne medium) do urządzenia AP. Założona długość klucza to 64 bity. Mimo to, większość producentów oferuje urządzenia, obsługujące standard WEP z kluczem 128 bitów. Użycie WEP'a jest zdecydowanie odradzane chyba, że nasze urządzenie nie obsługuje innego standardu zabezpieczeń Wi-Fi. WEP posiada szereg niedoskonałości i jest uważany za słabe zabezpieczenie. Słabości WEP bardzo dobrze opisują: [http://en.wikipedia.org/ wiki/wired_equivalent_privacy#flaws] oraz [http: //www.dummies.com/how-to/content/understandingwep-weaknesses.html]. Ewolucja uwierzytelniania i autoryzacji bezprzewodowej Wireless-Fidelity Alliance (pierwotnie WECA -Wireless Ethernet Compatibility Alliance) znana jest od roku 2002. Jednak grupa sięga swoją historią do roku 1999, kiedy to IEEE opublikowało standardy 802.11b oraz 802.11a. Nie bez powodu coraz wyraźniej stawiane było pytanie o kompatybilność, standaryzację i zastosowanie technologii w popularnym biznesie. Wi-Fi Alliance od początku zakładała sobie trzy cele: upowszechnianie technologii 802.11 wśród producentów bezprzewodowego sprzętu sieciowego, promowanie sprzętu 802.11 wśród użytkowników, zarówno domowych/soho (Small Office Home Office), jak i korporacyjnych oraz testy i certyfikacje kompatybilności sprzętu ze standardami 802.11. Wi-Fi Alliance, wychodząc naprzeciw rosnącym wątpliwościom, co do bezpieczeństwa sieci bezprzewodowych, przedstawiła w roku 2003 standard WPA, czyli Wi-Fi Protected Access standard, opisujący zarówno uwierzytelnienie (w standardzie PSK Preshared Key), jak i szyfrowanie sieci bezprzewodowej (TKIP Temporal Key Integrity Protocol). Współdzielenie hasła dostępu do sieci: Preshared Key PSK wykorzystuje ciąg znaków do generowania klucza szyfrującego. Zgodnie z nazwą, ten sam ciąg musi być wprowadzony zarówno w urządzeniu AP, jak również po stronie klienta. Czynnikiem odróżniającym go od WEPa jest fakt, że ów ciąg nie jest kluczem sam w sobie, ale służy za ziarno ( seed ) do generowania kluczy szyfrujących. PSK pełni zatem rolę dwojaką: uwierzytelnia użytkownika i jednocześnie bierze udział w szyfrowaniu. Ciekawostką jest popularny parametr Group Key Renewal określający interwał w sekundach między kolejnymi generowaniami kluczy szyfrujących. Wartość nie powinna być mniejsza od 300, gdyż zgodnie ze standardem może występować do 4 60-sekundowych przerw między kolejnymi próbami negocjacji sesji WPA między AP a klientem. Stąd zmiana klucza w tym czasie negatywnie wpływa na możliwość powiązania z AP. Szyfrowanie Temporal Key Integrity Protocol Szyfrowanie TKIP zastępuje WEP, mając nad nim kilka poziomów przewagi, TKIP używa dłuższego 128-bitowego klucza, co skutkuje liczbą kluczy możliwych do wygenerowania w zakresie kilkuset trylionów dla danego pakietu. Klucze TKIP są generowane dla każdego pakietu, a nie stałe dla wszystkich jak w WEP. Potwierdzanie autentyczności danych: algorytmy CRC vs. MIC Architektura WPA zamienia również funkcję kontrolującą poprawność pakietów - CRC (Cyclic Redundancy Check) na MIC (Message Integrity Check) zaprojektowaną tak, by zapobiec niechcianemu przechwyce- www.hakin9.org 11

niu, zmianie i ponownemu (celowemu) wysłaniu pakietu. CRC niewystarczająco zabezpieczało pakiet, umożliwiając zmianę zawartości, zarówno danych, jak i samej wartości CRC. W efekcie podstawiony pakiet doskonale imitował autentyczny. MIC bazuje na skomplikowanej funkcji matematycznej, w której klient i AP niezależnie wyliczają i sprawdzają wartości MIC. W przypadku niezgodności pakiet jest odrzucany. Więcej o WPA można znaleźć tutaj: [http: //www.home-wlan.com/wep-vs-wpa.html] oraz tutaj [http://en.wikipedia.org/wiki/wi-fi_protected_access ]. Zastosowania WPA/2-PSK (Preshared Key) Autoryzacja przez PSK w założeniu przeznaczona jest do sieci domowych lub małych biur, gdzie użytkownicy nie dysponują serwerem ze źródłem autoryzacji (bazą użytkowników i haseł). Protokół oczywiście też ma swoje wady, mimo założeń bezpiecznej architektury. Dzielą się one na dwie dziedziny: stopień skomplikowania ziarna do generatora oraz zarządzanie/dystrybucja generowanymi kluczami. Więcej na ten temat pod adresem [http:// www.informit.com/articles/article.aspx?p=369221]. WPA2 Personal Security W roku 2004 został zatwierdzony standard WPA2 Personal Security, czyli druga generacja WPA. Do generowania ziarna WPA2 dalej używa mechanizmu PSK, jednakże zmieniony został algorytm szyfrowania przesyłanych danych. AES-CCMP zastąpił TKIP. Nowe szyfrowanie dla Wi-Fi AES-CCMP Mechanizm AES-CCMP podobnie, jak protokół TKIP, zapewnia integralność i poufność danych, ale stosuje przy tym silniejszy algorytm szyfrujący. Protokół CCMP oparto na symetrycznym algorytmie blokowym AES (Advanced Encryption Standard) i na jego specjalnym trybie wiązania bloków CCM (tryb licznikowy Counter Mode wraz z CBC- MAC), w którym jest realizowana poufność i integralność. Klucz AES na potrzeby protokołu CCMP ma długość 128 bitów. CCMP podobnie, jak TKIP, wykorzystuje 48- Rysunek 1. bitowy wektor IV oraz odmianę funkcji MIC. Użycie algorytmu AES w tej architekturze powoduje, że nie ma potrzeby tworzenia oddzielnego unikatowego klucza dla każdego pakietu. W efekcie w CCMP nie przewidziano tej funkcji. CCMP wykorzystuje ten sam klucz, zarówno do szyfrowania danych, jak i tworzenia sumy kontrolnej. Suma kontrolna w CCMP jest uważana za znacznie silniejszą niż kod Michael zastosowany w TKIP. Więcej o algorytmie AES: [http://en.wikipedia.org/ wiki/advanced_encryption_standard ] i trybach pracy szyfrów blokowych [http://en.wikipedia.org/wiki/block_ cipher_modes_of_operation ]. Charakterystyka poziomów bezpieczeństwa Wi-Fi Oba standardy WPA oraz WPA2 oferują wysoki poziom bezpieczeństwa wysyłanych danych - dużo wyższy niż oryginalne mechanizmy opisane w standardach 802.11b oraz 802.11a. Jednakże dodatkowo można wzmocnić poziom bezpieczeństwa informacji w naszej sieci, uruchamiając do pomocy zewnętrzne źródło autoryzacji. Takie rozwiązanie stanowi już platformę zabezpieczeń klasy przemysłowej. Potrzeby ochrony informacji w przemysłowych sieciach bezprzewodowych możemy rozpatrywać w dwóch modelach: IEEE 802.11i oraz WPA/WPA2. Oba działają podobnie i rozwiązują problemy znalezione w istniejących zabezpieczeniach. Równolegle spełniają wyższe niż w zastosowaniach domowych standardy kontroli dostępu do informacji i zabezpieczania ich dystrybucji. Model Enterprise-class Wireless Networking (IEEE 802.11i) Standard IEEE 802.11i został stworzony po trzech latach pracy przez grupę TGi (podgrupę zadaniową IEEE), a zatwierdzony w czerwcu 2004. Standard poprawia dwie główne słabości WEP: szyfrowanie i uwierzytelnianie. Oryginalny algorytm PRNG RC4 zastąpiony został silniejszym szyfrem przetwarzającym 3-krotnie każdy blok (128-bitowy) niezaszyfrowanego tekstu. Dodatkowo, iteracje są przeprowadzane wielokrotnie, w zależności od rozmiaru klucza, a z każdą iteracją bity są zamieniane i ponownie rozmieszczane w bloku. Na końcu przeprowadzane jest specjalne mnożenie, bazujące na nowym ułożeniu bitów. Uwierzytelnianiem oraz zarządzaniem i dystrybucją kluczy w IEEE802.11i zajmuje się inne dzieło IEEE 802.1x - co ciekawe - pierwotnie zaprojektowany dla sieci przewodowych. 802.1x zapewnia znacznie wyższy poziom bezpieczeństwa, dopuszczając lub odrzucając klientów na poziomie portów w aktywnym urządzeniu sieciowym. 802.1x dopuszcza lub blokuje ruch na konkretnym porcie do momentu, kiedy klient poprawnie uwierzytelni się, korzystając z poświadczeń 12

Zabezpieczenia sieci bezprzewodowych, czyli dlaczego lokalne Wi-Fi z WPA/2 Enterprise? zgodnych z poświadczeniami zapisanymi na serwerze autoryzacyjnym. Zabezpieczanie na poziomie portu w kontekście sieci bezprzewodowych uniemożliwia generowanie (nadawanie i odbiór) ruchu sieciowego do momentu, gdy urządzenie się poprawnie zidentyfikuje. Proces autoryzacyjny składa się z 5 etapów (Rysunek 1). Urządzenie bezprzewodowe (Supplicant) żąda od AP (Authenticator) pozwolenia podłączenia się do sieci WLAN (Wireless Local Area Network). AP żąda od urządzenia podania poświadczeń identyfikujących klienta. Urządzenie bezprzewodowe, po podaniu przez klienta poświadczeń, przesyła je do AP, który z kolei przekazuje je do serwera uwierzytelniania. Poświadczenia trafiają do serwera w bezpiecznej formie zaszyfrowanej. Serwer uwierzytelniania akceptuje lub odrzuca poświadczenia, o czym informuje Access Point-a. Poprawnie uwierzytelniony klient może podłączyć się do sieci WLAN. Proces dokładnie opisany jest tutaj: [http:// en.wikipedia.org/wiki/ieee_802.1x] oraz tutaj [http:// en.wikipedia.org/wiki/extensible_authentication_protocol ]. Oprócz uwierzytelniania i szyfrowania danych, standard IEEE802.11i przewiduje zastosowanie dla mechanizmu buforowania kluczy (Key Caching), który to przechowuje informacje otrzymane od AP. W rezultacie, jeżeli klient wyjdzie z zasięgu danego AP, a następnie w niedługim czasie powróci, nie będzie musiał ponownie wprowadzać wszystkich swoich poświadczeń. Cały proces jest niewidoczny dla użytkownika. Szybsze łączenie ponowne, czy Preuwierzytelnianie w Wi-Fi Innym udogodnieniem jest pre-uwierzytelnienie (Preauthentication), które pozwala urządzeniu bezprzewodowemu na uwierzytelnione powiązanie z AP, zanim dany AP będzie posiadał to urządzenie w zasięgu. W tym przypadku urządzenie wysyła pakiet pre-uwierzytelniający (Pre-authentication Packet) do bieżącego powiązanego AP. AP przesyła pakiet do innego odległego AP lub grupy AP-ów. Pre-uwierzytelnianie umożliwia szybkie przełączanie (Roaming) między AP. Model WPA/WPA2 Enterpise Security Ten model w dużym stopniu przypomina architekturę 802.11i. Wi-Fi Alliance w trakcie prac grupy TGi nad 802.11i postanowiło nie czekać dłużej na rozwiązanie istniejących problemów (patrz: WEP) przez nowy standard i przedstawiło własną koncepcję - WPA Enterprise, a niewiele później WPA2 Enterprise. Wywodzący się z podobnych korzeni, różni się od 802.11i celem utrzymania możliwości współpracy z pierwszą generacją urządzeń wspierających WPA. Rysunek 2. www.hakin9.org 13

WPA2 pozwala na działanie obu algorytmów AES- CCMP i TKIP podczas, gdy IEEE802.11i dopuszcza pracę tylko AES-CCMP. WPA2 w wersji przemysłowej stosowane jest w sieciach o dużym zasięgu i dużej liczbie użytkowników. Wymaga serwera autoryzacyjnego (np. RADIUS - Remote Authentication Dial In User Service więcej tutaj [http://en.wikipedia.org/wiki/ RADIUS] ) dostarczającego funkcjonalności AAA (Authentication, Authorization and Accounting) Uwierzytelnienia, Autoryzacji i Raportowania. Obecność serwera uwierzytelniania pozwala każdemu z użytkowników z osobna posiadać własny unikatowy zestaw poświadczeń do tej samej sieci WLAN, a dostępy do zasobów i kontrola ważności kont przebiega w jednym miejscu na serwerze RADIUS. Za proces przekazania poświadczeń i wymiany kluczy z urządzeniami Wi-Fi w sieci WLAN odpowiada protokół EAP (enkapsulowany wewnątrz 802.1x). Od roku 2010 Wi-Fi Aliance oficjalnie wspiera i certyfikuje nie tylko EAP-TLS, bazujące na architekturze certyfikatów publicznych, ale również inne bezpieczne EAP wspierane przez popularne systemy operacyjne. Warto dodać, że EAP-TLS wymusza na administratorach nie tylko utrzymywanie serwera RADIUS, ale też własnego centrum certyfikacji CA (Certification Authority). Więcej tutaj: [http://en.wikipedia.org/wiki/wi-fi_protected_access#eap_extensions_under_wpa-_and_ WPA2-_Enterprise] Czy ktoś używa takich zabezpieczeń? Przykład wdrożenia Bezmiar technologii, obliczeń matematycznych i wiedzy z tej dziedziny rodzi pytanie: czy można taki system w stosunkowo łatwy sposób zintegrować z istniejącymi systemami w danym przedsiębiorstwie, w tym ze źródłami autoryzacji? Dodatkowo, czy z tak zaawansowanej kontroli dostępu można korzystać, nie tylko celem zwiększenia bezpieczeństwa, ale też by zbierać informacje statystyczne i np. usprawniać życie dla własnej wygody? Oczywiście! Politechnika Warszawska, Wydział Elektroniki i Technik Informacyjnych Tego typu pilotowe wdrożenie modelu WPA2 Enterprise Security miało miejsce na Wydziale Elektroniki i Technik Informacyjnych Politechniki Warszawskiej. Tam studenci, posługując się swoimi hasłami do istniejącego systemu wspólnego dla wszystkich poczty email rejestrują się w portalu dostępowym wydziału i ustawiają własne hasło do sieci WLAN klasy WPA/2 Enterprise. Każdy student w ten sposób dysponuje swoim zestawem poświadczeń, co w przypadku zgubienia hasła nie wpływa na innych członków społeczności. Kontrola po stronie serwera RADIUS pozwala np.: zastrzec maksymalną liczbę sesji dla jednego użytkownika do 2, albo zabronić łączenia się (uwierzytelniania) w innych niż wyznaczone godzinach lub po przekroczeniu zakresu ważności konta. Co najważniejsze, poprawne ustawienie serwera RADIUS dla celów raportowania, pozwala gromadzić w bazie danych dane statystyczne opisujące dokładnie, który użytkownik, z jakimi parametrami, na którym urządzeniu AP się łączył. Po przetworzeniu otrzymamy dane o najczęstszej liczbie logowań z podziałem na godziny czy obszary na terenie budynku (np. na podstawie numerów AP nałożonych na schemat). W ten sposób i niejako przy okazji, otrzymujemy całkowicie realne informacje, gdzie np. należy umieścić dodatkowe miejsca do siedzenia czy gniazdka zasilania, by łatwiej było studentom korzystać z dostępu do Internetu. W tym bardzo specyficznym środowisku, gdzie jest wielka różnorodność systemów operacyjnych urządzeń łączących się do sieci WLAN, zostały skonfigurowane i działają następujące protokoły: EAP-TTLS/PAP (np. Apple Mac OS X, Linux), PEAPv0/MSCHAPv2 (najczęściej np. Microsoft Windows XP, Vista, 7), PEAP-TLS (również systemy Microsoftu, też wymusza utrzymywanie własnego CA). Rozwiązanie zaprojektowane zostało w oparciu o oprogramowanie open source, czyli system operacyjny serwera Linux z usługami składowymi takimi, jak: freeradius2.0, apache2.2, php5, mysql5, ssl0.9.8. System pozwalający studentom ustawiać i zmieniać hasło dla sieci WLAN, napisany został w oparciu o język php. W dobie powszechnie dostępnego oprogramowania darmowego, które pozwala zbudować bezpieczną sieć WLAN w modelu WPA2 Enterprise, a dodatkowo umożliwia zbieranie cennych informacji o zachowaniach użytkowników, zastanawia pytanie: czemu tak rzadko rozważa się implementacje, jak opisywana powyżej? Koszt utrzymania infrastruktury jest niski, a zyski płynące z najwyższego poziomu zabezpieczeń i wygody sieci bezprzewodowych przewyższają nawet sieci przewodowe. Czemu więc nie rozważyć ich zastosowania tam, gdzie środowisko biurowe nie wymaga najwyższych transferów, a przede wszystkim dostępu? MICHAŁ WRÓBLEWSKI Jest inżynierem elektroniki i technik informacyjnych, administratorem sieci i serwerów w rmie OPCJA Kompleksowe Usługi Internetowe, specjalistą w dziedzinie projektowania i implementacji zabezpieczeń sieci oraz kształtowania i monitorowania ruchu sieciowego, a także autorem wdrożenia systemu modelu WPA2 Enterprise Security na Wydziale Elektroniki i Technik Informacyjnych Politechniki Warszawskiej. Kontakt: m.wroblewski@opcja.pl 14

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres