Termíny

-

-

-

Více... »

Hledat
Pokročilé hledání




Zabezpečení bezdrátové sítě

Zabezpečení bezdrátové sítě

Zabezpečení bezdrátové sítě eduroam lze rozdělit do čtyř bodů:

  1. Šifrování přenosu mezi zařízením a přístupovým bodem – v síti eduroam se používá šifrování TKIP s výměnou klíčů dle standardu WPA. Při asociaci zařízení/notebooku s přístupovým bodem (AP), si mezi sebou dohodnou klíč pro šifrovanou komunikaci, který se pravidelně (v podstatě s každým přeposlaným paketem) mění. Tím se zabraňuje útoku známému z předchůdce – protokolu WEP, kde se klíč neměnil a kde bylo možné po odchycení relativně malého množství paketů zjistit použitý klíč. Šifrování s výměnou klíčů se používá po celou dobu spojení zařízení/notebooku s přístupovým bodem.
  2. Do bezdrátové sítě nelze připojit kohokoliv, je potřeba autorizace uživatelů. Ve větších sítích je pro více přístupových bodů (AP) jeden či několik autorizačních serverů, na kterých se ověřují uživatelská jména a hesla (popř. certifikáty). Proto se vytváří šifrovaný tunel mezi zařízením a autorizačním serverem, obvykle na základě protokolu 802.1x, který je založen na protokolu SSL. Uživatel nemusí znát autorizační server – ví o něm obvykle přístupový bod. V rozsáhlých sítích, jako je Eduroam, je více autorizačních serverů, které si mezi sebou předávají autorizační požadavky. Šifrovaný tunel se vytvoří od zařízení k autorizačnímu serveru, který je schopen požadavek vyřídit. Pokud se např. na VŠE připojí uživatel z Masarykovy univerzity v Brně (tj. přihlásí se s doménou @muni.cz), vytvoří se příslušný tunel od uživatelova notebooku k autorizačnímu serveru Masarykovy univerzity. Tento způsob vytváření tunelů umožňuje různé způsoby autorizace pro různé organizace zapojené v eduroam – někteří se mohou autorizovat jménem a heslem, jiní certifikátem. Po ukončení autorizace (výsledkem může být jak povolení přístupu, tak zamítnutí přístupu) se tento tunel ruší.
  3. Údaje posílané v šifrovaném tunelu mohou mít různý formát, nejčastěji se používá protokol PEAP. Existují i různé možnosti, jak v rámci tunelu poslat heslo – nejčastější varianta je EAP-MSCHAP v2.
  4. V bezdrátové síti může nastat jeden závažný problém – narušitel na vhodné místo umístí svůj přístupový bod (včetně autorizačního serveru), který bude též vysílat SSID eduroam. Uživatelé se k němu zkusí přihlásit, to se sice nepodaří, ale narušitel z pokusu získá uživatelské jméno a heslo. Aby se tomuto zabránilo, provádí se dva kroky:1) Uživatelé musí na svém zařízení/notebooku nastavit ručně některé parametry spojení    (použítí konkrétních protokolů pro jednotlivé části připojení).2) Uživatel by měl kontrolovat, zda autorizační server je pro něho důvěryhodný. Zde se využívají zkušenosti s certifikáty a certifikačními autoritami – při vytvoření šifrovaného 802.1x tunelu mezi zařízením a autorizačním serverem posílá autorizační server zpět svůj certifikát podepsaný certifikační autoritou. V konfiguraci na notebooku lze nastavit, že se při připojení bude důvěřovat pouze autorizačním serverům s certifikátem podepsaným od určené certifikační autority. Ve většině případů postačuje mít v počítači certifikát od globální certifikační autority GeoTrust Global CA. Certifikát GeoTrust Global CA je ve většině operačních systémů již nainstalován a není potřeba ho instalovat.
TCS

Translate »