Kritična komponenta u zaštiti bežičnih mreža je osiguravanje da samo autentifikovani i autorizovani korisnici mogu da dobiju pristup mreži. 802.1X je IEEE standard-based Framework za autentifikovani pristup mreži, i za upravljanje ključevima za zaštitu saobraćaja.

 

Autentifikacione opcije za bežične mreže

Da bi osigurali da samo autorizovani korisnici imaju pristup bežičnoj mreži, moramo da konfigurišemo metod autentifikacije. Imamo tri najčešće opcije za autentifikaciju koje možemo da iskoristimo.

802.1X with PEAP: Windows Server 2003 nudi podršku za korišćenje 802.1X sa još jednim tipom autentifikacije koji je poznat pod imenom Protected Extensible Authentication Protocol (PEAP). PEAP je dizajniran da se brine o EAP informacijama o autentifikaciji u kanalu koji je osiguran korišćenjem TLS-a. PEAP zahteva samo Server-based sertifikat i ne zahteva sertifikate na klijentskim kompjuterima. PEAP takođe dinamički generiše ključeve za šifrovanje bežičnog saobraćaja u toku procesa autentifikacije. Microsoft nudi podršku u Microsoft Windows operativnim sistemima za korišćenje Microsoft Challenge Authentication Protocol Version 2 (MS-CHAPv2) da bi odradio zaštitu password autentifikacije unutar PEAP-a.

Ova opcija je dizajnirana za male i srednje organizacije koje ne koriste i kojima nisu potrebni sertifikati za svakog bežičnog klijenta. Ova solucija koristi prosta korisnička imena i lozinke prilikom autentifikacije korisnika u bežičnim mrežama. Da bi se zaštitio prenos podataka, ova opcija može da koristi ili WPA ili dinamički WEP.

802.1X with EAP-TLS: EAP-TLS koristi Certificate-based Transport Layer Security (TLS) za međusobnu autentifikaciju bežičnih klijenata i RADIUS-IAS servera koristeći jaku kriptografiju, i generisanje ključeva za šifrovanje koji se koriste za zaštitu bežičnog saobraćaja. Ovo je jedan od najpopularnijih i najsigurnijih EAP metoda za korišćenje za 802.1X. Ovaj metod zahteva korišćenje sertifikata javnih ključeva (Public key certificates) na klijentima i na RADIUS serveru za autentifikaciju. Ova solucija koristeći EAP-TLS with 802.1x će međusobno (mutually) autentifikovati klijente i servere i dinamički će generisati Wired Equivalent Privacy (WEP) ključeve za šifrovanje sa postavkama za WEP re-keying (ponovno izdavanje ključeva).

Ova opcija je dizajnirana za velike organizacije koje mogu da izgrade i da upravljaju sertifikatima. Ova solucija koristi Public Key Certificates za autentifikaciju korisnika i kompjutera u bežičnoj mreži.

Wi-Fi Protected Access with Pre-shared keys (WPA-PSK): Ova opcija je primarno dizajnirana za mala kancelarijska ili za kućna kancelarijska (SOHO) okruženja. WPA-PSK omogućava šifrovanje bežičnog saobraćaja u kojem su ključevi za šifrovanje automatski promenjeni (Re-keying) nakon određenog vremenskog perioda, ili nakon slanja određenog broja paketa. Ovaj metod koristi Shared Secret (tajnu reč) koja mora da se unese i na Wireless Access Point-u ili Ruteru i na WPA klijentima. Shared Secret se koristi za autentifikovanje bežičnih uređaja i za sigurno pregovaranje o ključevima za šifrovanje kompletnog mrežnog saobraćaja. WPA-PSK nudi jaku zaštitu za home-SOHO korisnike zato što prosec koji se koristi za generisanje ključeva za šifrovanje je veoma rigorozan i Re-keying se odrađuje veoma brzo.

 

Vodič za biranje odgovarajuće solucije za bežične mreže

Sledeća tabela predstavlja tipično okruženje izgradnje i karakteristike koje se implementiraju za svaku soluciju:

 

Kako radi 802.1 with PEAP and Passwords

Sledeći koraci opisuju kako 802.1X-PEAP autentifikacioni process radi:

  1. Kada je bežični klijent u dometu Access Pointa (AP), on će pokušati da se konektuje u WLAN koja je aktivna na bežičnom AP i koja je identifikovana svojim SSID-om. SSID je ime WLAN-a koje koristi klijent prilikom identifikacije tačnih postavki za korišćenje WLAN-a.
  2. Bežični AP je konfigurisan da dozvoli samo sigurne (802.1X-autentifikovane) konekcije. Kada klijent pokuša da se konektuje, AP dodeljuje Challenge klijentu. AP nakon toga setuje Restricted Channel, koji dozvoljava klijentu da komunicira samo sa RADIUS serverom (blokira pristup ostatku mreže). RADIUS server će prihvatati konekcije samo od AP-a kojem veruje (trusted AP), koji je konfigurisan kao RADIUS klijent na IAS Serveru i nudi Shared Secret RADIUS klijentu. Klijent pokušava da se autentifikuje preko RADIUS servera kroz Restricted Channel koristeći 802.1X. Kao deo PEAP pregovaranja, klijent uspostavlja TLS sesiju sa RADIUS serverom.
  3. RADIUS server proverava identitet klijenta poređenjem podataka koje je klijent ponudio sa podacima u direktorijumu. Ako je klijent uspešno autentifikovan, RADIUS server sakuplja sve informacije da bi mogao da odluči da li da autorizuje klijenta da koristi bežičnu mrežu WLAN.
  4. AP zatim prebacuje klijentu WLAN konekciju u interni LAN, dozvoljavajući klijentu da se konektuje na sisteme koji se nalaze u internoj mreži. Saobraćaj koji se šalje između klijenta i AP je šifrovan.
  5. Ako klijent zahteva IP adresu, on će sada moći da zahteva DHCP Lease (iznamljivanje IP adrese od DHCP servera) od servera koji se nalazi u LAN-u. Kada je IP adresa dodeljena, klijent može započeti normalnu komunikaciju sa sistemima koji se nalaze u ostaku mreže.

 

Ovaj process se odnosi i na korisničke i na kompjuterske naloge. Windows XP autentifikuje i korisnika i kompjuter potpuno nezavisno. Kada se kompjuter startuje, on koristi svoj domenski nalog i lozinku da bi se autentifikovao u bežičnoj mreži. Ovo znači da kompjuterom može da se upravlja korišćenjem grupnih polisa čak i kada nijedan korisnik nije ulogovan.

Kada se korisnik uloguje u kompjuter, isti autentifikacioni i autorizacioni proces stupa na scenu, ali ovoga puta sa korisničkim imenom i lozinkom. Korisnička sesija zamenjuje kompjutersku WLAN sesiju, što znači da dve sesije ne mogu biti aktivne u isto vreme. Ovo sprečava neautorizovane korisnike da koriste autorizovani kompjuter za pristup bežičnoj mreži.

 

Kako radi 802.1X-EAP-TLS autentifikacija

Sledeći koraci opisuju kako 802.1x-EAP-TLS autentifikacioni process radi:

  1. Bežični klijent mora da uspostavi odnos sa CA pre pokušaja pristupa u bežičnu mrežu. Ovo se odrađuje izdavanjem CA sertifikata klijentima.
  2. Kada je klijentski kompjuter u dometu bežičnog AP-a, on će pokušati da se konektuje u WLAN koja je aktivna na tom AP-u. WLAN je identifikovana preko SSID-a. Klijent detektuje WLAN SSID i koristi ga za određivanje tačnih postavki koje se koriste u WLAN-u. Bežični AP je konfigurisan da dozvoli samo sigurne (802.1X-autentifikovane) konekcije. Kada klijent pokuša da se konektuje, AP dodeljuje Challenge klijentu. AP nakon toga setuje Restricted Channel, koji dozvoljava klijentu da komunicira samo sa RADIUS serverom (blokira pristup ostatku mreže). RADIUS server će prihvatati konekcije samo od AP-a kojem veruje (trusted AP), koji je konfigurisan kao RADIUS klijent na IAS Serveru i nudi Shared Secret RADIUS klijentu. Klijent će dalje pokušati da se autentifikuje preko RADIUS servera koristeći Restricted Channel koristeći 802.1X. Kao deo EAP-TLS pregovaranja, klijent uspostavlja TLS sesiju sa RADIUS serverom.
  3. U toku ove razmene, saobraćaj koji se nalazi unutar TLS tunela mogu da vide samo klijent i RADIUS server i nikad nije izložen bežičnom AP-u.
  4. RADIUS server odrađuje proveru klijentih podataka o identitetu. Ako je klijent uspešno autentifikovan, RADIUS server sakuplja sve informacije koje mu dozvoljavaju da odluči da li da autorizuje klijenta da koristi WLAN. On koristi informacije iz direktorijuma (kao što je članstvo u grupama) i ograničenja koja su definisana u policama pristupa (Access Policy) i nakon detaljnog pregleda tih informacija donosi odluku da li da dozvoli ili da zabrani pristup klijentu.
  5. Ako je klijentu odobren pristup, RADIUS Server šalje klijentski Master Key ka bežičnom AP (Access Point). Klijent i AP sada dele zajedničke informacije o ključevima i mogu da ih iskoriste za šifrovanje i dešifrovanje WLAN saobraća koji prolazi između njih. Kada koristimo dinamički WEP za šifrovanje saobraćaja, Master ključevi moraju periodično da se menjaju da bi sprečili napade na WEP ključeve. Ovo radi RADIUS server primoravanjem klijenta da odradi ponovo autentifikaciju (Re-authenticate) i da generiše novi set ključeva. Ako je WPA korišćen za zaštitu komunikacije, master key informacije se koriste za dobijanje ključeva za šifrovanje, koji se menjaju za svaki paket koji se šalje. WPA ne mora često da primorava klijenta na re-autentifikaciju i generisanje novih ključeva.
  6. AP tada uspostavlja klijentsku WLAN konekciju ka internoj LAN, i dozvoljava klijentu neograničeni pristup sistemima koji se nalaze u internoj mreži. Saobraćaj koji se šalje između AP i klijenta je šifrovan.
  7. Ako klijent zahteva IP adresu, on će sada moći da zahteva DHCP Lease (iznamljivanje IP adrese od DHCP servera) od servera koji se nalazi u LAN-u. Kada je IP adresa dodeljena, klijent može započeti normalnu komunikaciju sa sistemima koji se nalaze u ostatku mreže.

 

Klijentski, serverski i hardverski zahtevi za implemntaciju 802.1X

Da bi mogli uspešno da implementiramo 802.1X, klijenti i server koji se koriste u 802.1X infrastrukturi moraju da ispunjavaju određene zahteve.

Klijentski kompjuteri: Microsoft nudi 802.1X klijente za Windows 95, Windows 98, Microsoft Windows NT 4.0 i Windows 2000 operativne sisteme.

802.1X podrška je uključena u Windows XP i Windows Server 2003 sisteme.

RADIUS-IAS i Certificate Serveri: 802.1X solucija zavisi od Windows Server 2003 Certificate Services i Windows Server 2003 Internet Authentication Service (IAS). Postoje karakteristike u Certificate Services i u IAS koje su dizajnirane eksplicitno za 802.1X-based WLANs. Neke od ovih karakteristika uključuju šablone sertifikata koji mogu da se edituju i postavke u Remote Access polisama koje omogućavaju jednostavnu izgradnju postavki koje su potrebne za 802.1X.

Čak i ako je preporučeno korišćenje Windows Server 2003, IEEE kompatibilni 802.1X server može se koristiti za RADIUS ili Certificate servis.

Wireless Access Points (AP): Bežični AP koji se koristi u 802.1X soluciji bi trebao, kao minimum da podržava 128.bit TKIP-MIC (WPA) ili AES-CCMP (WPA2) šifrovanje.

Dodatni servisi: Da bi ponudili autorizaciju i autentifikaciju, automatsko dodeljivanje IP adresa i razrešavanje imena za bežične korisnike, naša Wireless infrastruktura bi trebala da uključuje sledeće servise:

  • Active Directory
  • DHCP services
  • Domain Name System (DNS) Services
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Implementacija 802.1x autentifikacije 1
  • Implementacija 802.1x autentifikacije 2
  • Implementacija 802.1x autentifikacije 3