Sieci bezprzewodowe z usługą zdalnego uwierzytelniania (RADIUS)



Podobne dokumenty
Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006

Bezpieczeństwo teleinformatyczne

Bezpieczeństwo bezprzewodowych sieci LAN

Bezpieczeństwo w

WLAN bezpieczne sieci radiowe 01

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Bezpieczeństwo informacji w systemach komputerowych

ZiMSK. Konsola, TELNET, SSH 1

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Eduroam - swobodny dostęp do Internetu

Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Opis. systemu. zliczania. obiektów. ruchomych. wersja. dla salonów. i sieci salonów.

Sieci VPN SSL czy IPSec?

Emil Wilczek. Promotor: dr inż. Dariusz Chaładyniak

Protokoły zdalnego logowania Telnet i SSH

Konfiguracja programu pocztowego Outlook Express i toŝsamości.

WLAN 2: tryb infrastruktury

Zdalne logowanie do serwerów

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Konfiguracja WDS na module SCALANCE W Wstęp

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Dr Michał Tanaś(

Metody uwierzytelniania klientów WLAN

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Technologie Architectura Elementy sieci Zasada działania Topologie sieci Konfiguracja Zastosowania Bezpieczeństwo Zalety i wady

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

Wykorzystanie kontrolera sieci bezprzewodowej oraz serwera RADIUS

11. Autoryzacja użytkowników

Marcin Szeliga Sieć

Typy zabezpieczeń w sieciach Mariusz Piwiński

WSIZ Copernicus we Wrocławiu

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Konfiguracja ROUTERA TP-LINK TL-WR1043ND

Problemy z bezpieczeństwem w sieci lokalnej

Podstawy Secure Sockets Layer

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

ZyXEL G-570U Skrócona instrukcja obsługi

Zdalna obsługa transcievera. H A M R A D I O D E L U X E R e m o t e S e r v e r C o n f i g u r a t i o n

IV.3.b. Potrafisz samodzielnie dokonać podstawowej konfiguracji sieci komputerowej

Konfiguracja punktu dostępowego Cisco Aironet 350

Bramka IP 1 szybki start.

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

Aby utworzyć WDS w trybie bridge należy wykonać poniższe kroki:

BeamYourScreen Bezpieczeństwo

Wykorzystanie protokołu SCEP do zarządzania certyfikatami cyfrowymi w systemie zabezpieczeń Check Point NGX

Wymagania bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3-fazowych liczników energii elektrycznej. Wymaganie techniczne

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

SIECI KOMPUTEROWE PODSTAWOWE POJĘCIA

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

Bezpieczeństwo systemów komputerowych.

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Sieci bezprzewodowe WiFi

Bezpieczeństwo bezprzewodowych sieci WiMAX

Konfiguracja serwera FreeRADIUS

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Metody zabezpieczania transmisji w sieci Ethernet

PuTTY. Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Inne interesujące programy pakietu PuTTY. Kryptografia symetryczna

Internetowy moduł prezentacji WIZYT KLIENTA PUP do wykorzystania np. na stronie WWW. Wstęp

DESIGNED FOR ALL-WIRELESS WORLD

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

THOMSON SpeedTouch 780 WL

132 4 Konfigurowanie urządzeń sieci bezprzewodowych

Problemy z bezpieczeństwem w sieci lokalnej

SSL (Secure Socket Layer)

SPIS TREŚCI Błąd! Nie zdefiniowano zakładki.

WEP: przykład statystycznego ataku na źle zaprojektowany algorytm szyfrowania

Serwery autentykacji w sieciach komputerowych

Bezpieczne Wi-Fi w szkole

Zadania z sieci Rozwiązanie

Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej:

Funkcje warstwy sieciowej. Podstawy wyznaczania tras. Dostarczenie pakietu od nadawcy od odbiorcy (RIP, IGRP, OSPF, EGP, BGP)

SAGEM Wi-Fi 11g CARDBUS ADAPTER Szybki start

Bezpieczeństwo systemów informatycznych

SIECI KOMPUTEROWE Adresowanie IP

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

Przewodnik technologii ActivCard

Internet. dodatkowy switch. Koncentrator WLAN, czyli wbudowany Access Point

Bezpieczeństwo sieci bezprzewodowych

Konfiguracja standardowa (automatyczna) podłączenia dekodera do istniejącej sieci Wi-Fi

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

polski Skrócona instrukcja instalacji Niniejsza instrukcja instalacji przeprowadzi użytkownika przez proces instalacji bezprzewodowej karty sieciowej

Kryteria bezpiecznego dostępu do sieci WLAN

ZESPÓŁ SZKÓŁ NR 9. Projekt lokalnej sieci komputerowej zapewniającej dostęp do Internetu.

WPS. Typy WPS: Aby odpowiednio skonfigurować WPS należy wykonać poniższe kroki

Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Marcin Pilarski

Sterowniki urządzeń zewnętrznych w pracy lokalnej i sieciowej w programach firmy InsERT dla Windows

NXC-8160 Biznesowy kontroler sieci WLAN

MINI ROUTER BEZPRZEWODOWY W STANDARDZIE N

Konta uŝytkowników. Konta uŝytkowników dzielą się na trzy grupy: lokalne konta uŝytkowników, domenowe konta uŝytkowników, konta wbudowane

Aktywne elementy bezpieczeństwa w sieciach WLAN. Krzysztof Lembas InŜynier Konsultant

UWAGA! Router naleŝy uŝytkować tylko i wyłącznie z dołączonym do zestawu zasilaczem. UŜycie innych zasilaczy moŝe spowodować uszkodzenia routera.

Wydział Elektryczny. Katedra Telekomunikacji i Aparatury Elektronicznej. Kierunek: Inżynieria biomedyczna. Instrukcja do zajęć laboratoryjnych

ZyXEL G-570S Bezprzewodowy punkt dostępowy g. Szybki start. Wersja /2005. Polski

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

Transkrypt:

Sieci bezprzewodowe z usługą zdalnego uwierzytelniania (RADIUS) Paweł Zadrąg, Grzegorz Olszanowski Państwowa WyŜsza Szkoła Zawodowa w Chełmie Artykuł przedstawia metodę bezpiecznego i autoryzowanego nawiązywania połączania z siecią bezprzewodową opartą o serwer RADIUS. Artykuł ten przedstawia zagroŝenia na jakie moŝna napotkać korzystając z niezabezpieczonych lub źle zabezpieczonych sieci. Jak dobrze wiadomo technologia bezprzewodowa ciągle się rozwija, pobijając kolejne pułapy przepustowości. Największym atutem tej technologii jest mobilność. Będąc w zasięgu sieci bezprzewodowej moŝemy z niej korzystać praktycznie w kaŝdym miejscu. To właśnie ta cecha przyczyniła się do szerokiej popularyzacji swobodnego dostępu do internetu. Jednym z problemów technologii bezprzewodowej jest ogólno dostępne medium transmisyjne, tzn. praktycznie kaŝdy (posiadając oczywiście odpowiedni sprzęt) moŝe podsłuchiwać lub integrować w transmisję danych. W pierwszych latach istnienia technologii mało kto się tym problemem przejmował. Technologia zapewniała przecieŝ protokół WEP, który miał słuŝyć jako zwiększenie prywatności. Jak się jednak okazało protokół WEP niewiele miał wspólnego z prywatnością. Protokół WEP Oryginalna specyfikacja 802.11 definiowała jeden standard bezpieczeństwa w sieciach WLAN - WEP (Wired Equivalent Privacy). Główną funkcją WEP była ochrona ruchu radiowego przed podsłuchem pasywnym i nielegalnym podłączeniem się do zabezpieczonej tak sieci. W większości urządzeń włączenie WEP powoduje spadek wydajności transmisji o ok. 10-15%, co jest jedną z przyczyn (choć nie jedyną) jego małej popularności. Z technicznego punktu widzenia WEP wykorzystuje szyfr strumieniowy RC4 do ochrony poufności pakietów oraz CRC-32 do wykrywania, czy to przypadkowych, czy to celowych, modyfikacji strumienia danych. Znanym problemem w przypadku szyfrów strumieniowych (uwaŝanych za relatywnie wydajne) jest cecha, która powoduje, iŝ bardzo łatwo je zaimplementować w sposób błędny. Funkcja XOR będąca podstawą RC4 jest przemienna, co oznacza, Ŝe zaszyfrowanie dwóch tekstów tym samym kluczem pozwala, po połączeniu obu kryptogramów, na ograniczenie efektu szyfrowania i ułatwia odgadnięcie

klucza. Istota ataku polega tu na statystycznej analizie szyfrowanych treści, a więc, im ich więcej, tym lepiej. Do złamania WEP potrzeba mniej więcej gigabajta danych. Rys.1. Łamanie klucza WEP (ponad 7 sekund) Złamanie 128-bitowego klucza WEP na nowoczesnym dwurdzeniowym procesorze zajmuje niecałe 8 sekund, duŝo bardziej problematyczne jest zebranie wymaganych danych do przeprowadzenia skutecznego ataku. Protokół WPA ChociaŜ WEP, poprzednik WPA, nie posiadał Ŝadnego mechanizmu identyfikacji, to główne jego problemy płynęły ze słabości kryptograficznej mechanizmu szyfrującego, w jaki był wyposaŝony. Jak to ładnie ujęła w pisemnym wytłumaczeniu firma RSA Security, kluczowym problemem WEP jest to, Ŝe klucze, którymi szyfrowane są róŝne pakiety danych są do siebie zbyt podobne. Charakterystycznie własności protokołu WPA zwiększające bezpieczeństwo: zwiększony rozmiar wektora initalizacyjnego z 24 do 48 bitów, co zapewnia przynajmniej 900 lat unikalnych haseł w pojedynczej sieci; wyklucza to jednocześnie problem kolizji, zwiększony rozmiar klucza z 40 do 120 bitów i podmiana pojedynczego klucza statyczny kluczami generowanymi dynamicznie i rozprowadzanymi przez serwer identyfikacyjny,

kontrola integralności komunikatów (ang. Message Integrity Check - MIC) ma na celu uniemoŝliwienie napastnikowi przechwycenia pakietów z danymi, w tym celu modyfikuje się je i ponownie wysyła. Protokół WPA występuje w dwóch odmianach: standardowy WPA i WPA-PSK. Jedyną róŝnicą jest to Ŝe w przypadku tego drugiego stosuje się jeden wspólny klucz dla całej sieci, podczas gdy zwykły WPA przydziela dynamicznie klucz dla kaŝdego nowego punktu sieci. Protokół WPA w trybie korporacyjnym Jedyną róŝnica między WPA-PSK i "normalnym" WPA to miejsce, gdzie odbywa się identyfikacja oraz rodzaj stosowanych w tym celu znaków rozpoznawczych (uwierzytelnień). W trybie WPA-PSK identyfikacji dokonuje punkt dostępowy lub bezprzewodowy router. Rolę uwierzytelnień pełni współdzielony klucz ręcznie wprowadzany na obu końcach łącza (klient punkt bezprzewodowy). Identyfikacja WPA w trybie "korporacyjnym" dokonuje się w serwerze identyfikacyjnym przy wykorzystaniu rozmaitych uwierzytelnień w rodzaju: certyfikatów cyfrowych, unikalnych nazw uŝytkownika czy haseł, inteligentnych kart, lub innych identyfikatorów dla celów zabezpieczeń. Punkt dostępowy czy router słuŝy jedynie jako most w ruchu identyfikacyjnym między bezprzewodowymi i przewodowymi sieciami. Punktem uwierzytelniającym jest najczęściej serwer RADIUS. Aby wymusić identyfikację z poziomu uŝytkownika, WPA wykorzystuje protokół EAP, który z kolei opiera się na standardzie 802.1x kontroli dostępu do sieci. EAP zaprojektowano jako rozszerzalny, dzięki czemu moŝna z niego korzystać przy rozmaitych sposobach i protokołach identyfikacyjnych. Wykorzystanie konkretnej metody zaleŝy od stosowanego suplikanta, serwera identyfikacyjnego i, oczywiście, wybrana metoda musi być obsługiwana zarówno przez klienta jak i serwer! Konfiguracja serwera RADIUS w trybie korporacyjnym Serwer Radius zawiera bazę danych z informacjami o autoryzowanych uŝytkownikach.

W prostych sieciach bezprzewodowych danymi uwierzytelniającymi moŝe być sam adres MAC urządzenia sieciowego, w bardziej skomplikowanych konfiguracjach moŝe to być nazwa uŝytkownika i hasło albo certyfikat PKI. NAS to komputer lub inne urządzenie umoŝliwiające dostęp do zasobów. W przypadku próby dostępu do zasobu, NAS wysyła zapytanie (zawierające dane uwierzytelniające) do serwera RADIUS. W sieciach WLAN rolę NAS pełni punkt dostępowy pracujący na stacji bazowej. Serwer uwierzytelnia źródło wiadomości i sprawdza uprawnienia uŝytkownika. Następnie odsyła komunikat potwierdzający lub odrzucający prawo dostępu do zasobu. MoŜliwe jest takŝe Ŝądanie przesłania dodatkowych informacji przez klienta. Dodatkową cecha serwera RADIUS jest rejestrowanie kaŝdej próby (udanej lub teŝ nie) dostępu do zasobów. Rys.2. Schemat uwierzytelniania klientów za pomocą serwera RADIUS (źródło: http://www.cyberbajt.pl/cyber.php?get=raport,14,0,88) Pierwszą czynnością niezbędną dla prawidłowej konfiguracji uwierzytelniania jest konfiguracja urządzenia NAS. W większości przypadków wystarczy podać adres IP serwera RADIUS, port na którym nasłuchuje i hasło potrzebne do połączenia. Rys.3. Przykładowa konfiguracja urządzenia NAS (na przykładzie 3Com WL-524) Kolejną czynnością jest wybór i konfiguracja samego serwera RADIUS. Do dyspozycji

pozostaje co najmniej kilka rozwiązań róŝniących się od siebie moŝliwościami i ceną. Niniejszy artykuł opiera się na otwartej implementacji serwera RADIUS GNU Radius. Plik "clients" przechowuje informacje (numer IP) o NAS, które mogą korzystać z serwera RADIUS. Zawiera takŝe klucze słuŝące do autoryzacji NAS. numer_ip_nas klucz 192.168.1.250 haslo1 192.168.1.251 haslo2 Plik "config" plik słuŝący do ogólnej konfiguracji serwera RADIUS. Blok "option" definiuje globalne ustawienia serwera. Wystarczy tu tylko zmienić parametr source-ip, który definiuje nr IP interfejsu, z którego radius będzie otrzymywał komunikaty. option { source-ip 192.168.1.1; usr2delay 30; max-requests 1024; }; Blok "auth" słuŝy do konfiguracji autentyfikacji uŝytkowników. port - określa nr portu na którym nasłuchuje RADIUS. Warto zostawić standardowy port 1812, poniewaŝ niektóre urządzenia współpracują z radiusem tylko na tym porcie. listen - definiuje nr IP interfejsu, na którym serwer nasłuchuje Ŝądań autoryzacji auth { port 1812; listen 192.168.1.1; max-requests 127; request-cleanup-delay 2; detail yes; strip-names yes;

}; checkrad-assume-logged yes; Plik "naslist" zawiera listę NAS znanych dla serwera RADIUS. Pojedynczy rekord konfiguracji zawiera: NAS name - określa nazwę hosta lub jego numer IP Short name - definiuje nazwę pod jaką NAS będzie widoczny w logach Type - określa typ NAS, domyślnie "true" #NAS Name Short Name Type Checkrad flags 192.168.1.250 3Com1 true 192.168.1.251 3Com2 true Plik "users" lista profili uŝytkowników. Tutaj definiuje się adresy MAC urządzeń upowaŝnionych do dostępu do sieci bezprzewodowej. KaŜdego hosta definiuje się następująco: uzytkownik Auth-Type = Local, Password = hasło Service-Type = Outbound-User gdzie uzytkownik jest nazwą uŝytkownika. Podsumowanie Do niewątpliwych zalet rozwiązania korporacyjnego naleŝy zaliczyć: najwyŝsze bezpieczeństwo, autoryzacja poszczególnych uŝytkowników, scentralizowane zarządzanie (szczególnie w duŝych sieciach bezprzedowych) centralizacja (logowanie, dane statystyczne). Do wad tego rozwiązania naleŝą: trudność konfiguracji po stronie klienta, moŝliwość przeprowadzenia ataków typu DoS.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres