počítačové sítě ii, lekce 6: sítě wlan ii
DESCRIPTION
Verze 4.0 mé kurzovní přednášky na MFF UK Praha (kód předmětu NSWI021), připravená pro letní semestr školního roku 2014/2015. Zdroj s možností tisku na http://www.earchiv.cz/l226/index.php3TRANSCRIPT
Jií Peterka
Poítaové sít II
verze 4.0, lekce 6, slide 2 Wi-Fi, certifikace • WLAN (Wireless LAN) je obecné oznaení pro všechny bezdrátové sít LAN
– dnes nejrozšíenjší jsou takové sít, které vychází ze standard IEEE 802.11
• ale existují i jiné bezdrátové sít LAN, nap. HiperLAN, HomeRF …….
• Wi-Fi (od: Wireless Fidelity) je „nálepka“, vyjadující získání certifikace o:
– dodrení standard IEEE 802.11
• „nálepku“ Wi-Fi udluje sdruení Wi-Fi Alliance
• díve: sdruení WECA (Wireless Ethernet Compatibility Alliance)
– udluje ji konkrétním produktm od konkrétních výrobc
• poté, co tyto produkty úspšn projdou testováním v nezávislých odborných laboratoích
– které Wi-Fi Alliance autorizuje (a které testují podle její metodiky a kritérií)
• výsledky testování lze nalézt v databázi Wi-Fi Alliance (http://www.wi-fi.org/product-finder)
– certifikuje se vi rzným profilm (programm), které se týkají dílích standard
– a tím i konkrétních schopností, funkcí, vlastností atd.
• nap. podpory standard 802.11b/g/n/ac, WPA, WPA2 atd.
právo nosit „nálepku Wi-Fi“ !!!
daný produkt certifikován
Poítaové sít II
verze 4.0, lekce 6, slide 4 systémová architektura 802.11 • má následující prvky:
– (koncové) stanice: STA
– pístupový bod: AP (Access Point)
• uzly, vystupující v roli pístupových bod
– buka: BSS (Basic Services Set)
• základní jednotka infrastruktury
• v reimu infrastruktury má 1 pístupový bod (AP) a nkolik
stanic (STA)
– distribuní systém: DS (Distribution System)
• zajišuje vzájemné propojení dvou i více bunk (BSS)
– sí: ESS (Extended Services Set)
• nkolik bunk (BSS), propojených mezi sebou pomocí
distribuního systému (DS)
– portál
BSS
Poítaové sít II
verze 4.0, lekce 6, slide 5 BSS, Basic Services Set (buka) • jde o základní prvek infrastruktury sítí dle standardu IEEE 802.11
– odpovídá segmentu u „drátových“ sítí
• pesnji: kolizní domén v Ethernetu – všechny uzly v BSS spolen sdílí dostupnou kapacitu!!
• je podobná buce v mobilních sítích
– funguje v reimu infrastruktury
více stanic (STA)
postavení
AP, které se dotazuje jednotlivých stanic
• stanice v BSS spolu nekomunikují pímo,
ale jen pes AP !!!
nco poslat jiné stanici (STA2) ve stejné
BSS, pošle to nejprve pístupovému
bodu (AP), a ten to následn pedá
druhé stanici (STA2)
komunikace (a to od/k pístupovému
bodu)
AP
Poítaové sít II
verze 4.0, lekce 6, slide 6 ESS, Extended Services Set (sí) • ESS je „vyšší“ prvek infrastruktury sítí dle standardu IEEE 802.11
– odpovídá síti (u „drátových“ sítí)
• celku, propojenému na úrovni linkové vrstvy (L2)
• má vlastní identifikátor: SSID (32-znakový etzec)
– všechny stanice (STA) v ESS jsou „jakoby: na jedné hromad“
• mohou si myslet, e patí „do stejného oblaku“ a mají pímé (L2) spojení mezi sebou
– obdobn, jako uzly „drátových“ sítí
– ve skutenosti je to ale jinak:
• jednotlivé stanice (STA) patí do konkrétních bunk (BSS)
– kadá stanice me „patit“ jen do jedné buky (BSS)
• v kadé buce je jeden pístupový bod (AP)
– a kadá stanice v BSS komunikuje jen s tímto pístupovým bodem
• jednotlivé BSS jsou vzájemn propojeny (do výsledného ESS)
prostednictvím distribuního systému (DS)
Poítaové sít II
verze 4.0, lekce 6, slide 7 identifikátory • SSID (32 znak) je „jméno sít“
• nkdy oznaováno té jako ESSID
– identifikátor ESS
– pro všechny BSS v ESS
– tento identifikátor nastavuje správce
sít, podle svého uváení
• identifikátor BSS
• BSSID zobrazují jen specializované programy
• DS (distribuní systém) je nutný kvli tomu, aby bylo moné:
– napojit buku (BSS) na „okolí“
• aby buka nebyla zcela izolovaná od vnjšího svta
– existují i izolované buky (bez napojení na okolí): IBSSS (Independent BSS), viz dále
– „spojit“ více bunk (BSS) do jedné sít (ESS)
• a bylo moné vytváet iluzi, e všechny stanice v síti (ESS) jsou “jakoby na jedné hromad“
– realizovat agendu, spojenou se strukturou sítí a píslušností jednotlivých stanic
(STA) do konkrétních bunk (BSS)
• které buky tvoí sí? Které uzly jsou jejich pístupovými body?
• kdy zde „nejsou dráty“, jak se pozná, do které buky patí konkrétní stanice?
– zajišovat penos dat v rámci bunk, mezi bukami i z/do sít
• standardy IEEE nedefinují zpsob implementace DS !!!!
– ale definují sluby, které má DS zajišovat !!!
• Station Services (SS)
• týkají se vazby mezi AP a STA v rámci buky
– Authentication (autentizace)
– Deauthentication (de-autentizace)
– MAC Service Data Unit (MSDU) Delivery
• vlastní penos dat mezi STA a AP
• Distribution System Services (DSS)
– Association (asociace STA k AP)
– Reassociation (další asociace …)
– Disassociation (zrušení asociace)
ESS
eduroam
Poítaové sít II
verze 4.0, lekce 6, slide 9 DSS: Association, Deassociation • pro je nutná asociace (a de-asociace)?
– u „drátových“ sítí o píslušnosti uzlu ke
konkrétnímu segmentu i síti rozhoduje jeho pipojení
(„vedení drátu“)
– mezi pístupovým bodem (AP) a stanicemi (STA)
nevedou ádné dráty ….
stanicí (STA) a pístupovým bodem (AP) konkrétní
buky
• stanice (STA) musí být v dosahu signálu pístupového
bodu (AP) konkrétní buky (BSS)
– dosah se oznauje jako BSA (Basic Set Area)
1. stanice poádá pístupový bod o „lenství“ v BSS
• STA pošle AP ádost o asociaci (DSS: Association)
2. pístupový bod ádosti o asociaci vyhoví
• AP pošle STA kladné vyrozumní o asociaci
• obdobn probíhá i vyazení z buky
• pomocí ádosti o zrušení asociace (DSS: Deassociation)
BSS
1
BSA
BSSBSA
2
• dsledek:
– distribuní systém (DS) si musí vést uritou formu evidence (databázi) toho, „kde se
která stanice nachází “
DSS: Reassociation • pipomenutí:
• propojených pomocí distribuního systému (DS)
– stanice (STA) se asociuje vdy k „nejlepší“ buce
(BSS)
• otázka:
• napíklad kdy se stanice (STA) pemístí a bude mít
lepší podmínky pro komunikaci s jiným
pístupovým bodem (AP) v jiné buce tée sít?
– pak by mlo dojít ke zmn asociace
• pomocí sluby DSS: Reassociation
ESS
eduroam
• kdy me pístupový bod (AP) vyhovt ádosti o asociaci?
– kdy ví, kdo (která stanice, STA) ho o asociaci ádá!
• teprve pak se me rozhodovat
– zda novou stanici „pustí“ do své buky, i nikoli
• proto je nutná autentizace
• coby ovení identity té stanice, která se chce asociovat
• stanice (STA) musí být v dosahu signálu (BSA) pístupového bodu (AP) konkrétní buky (BSS)
1. stanice pošle pístupovému bodu ádost o (svou) autentizaci (SS: Authentication)
• spolu s dalšími údaji, které osvdují identitu stanice
– nap. sdílený klí
• pokud se mu podailo úspšn autentizovat stanici
– nebo odpoví záporn, pokud autentizace nebyla úspšná
• pvodní standard 802.11 definoval 2 varianty autentizace
• novjší standardy monosti autentizace rozšiují (MAC address, 802.1X, WPA, WPA2, viz dále)
– Open System Authentication
• a nic neposuzuje, na nic se neptá
– Shared Key Authentication
– implementováno pomocí technologie
autentizuje se pouze stanice
vi AP, naopak nikoli !!
verze 4.0, lekce 6, slide 12 SS: Delivery a Privacy
• další sluby ze skupiny SS (Station Services)
– Delivery: penos dat mezi stanicí (STA)
a pístupovým bodem (AP)
Unit)
rámc
802.11
(802.3), ale nejsou totoné – viz dále
• nap. obsahují a 4 MAC adresy (zatímco
rámce 802.3 obsahují jen 2 MAC adresy)
– Privacy: (volitelné) zajištní dvrnosti
– obsahu MAC rámc (MSDU)
technologii WEP (Wired Equivalent
• novjší standardy nabízí další,
Adr 1
verze 4.0, lekce 6, slide 13 DSS: Distribution • sluba Delivery
– je souástí slueb SS (Station Services)
• protoe se týká penosu dat jen v rámci buky (BSS)
– mezi stanicí (STA) a pístupovým bodem (AP)
• nemusí ešit „kde se kdo nachází “
• sluba Distribution
• proto ji musí ešit, „kde se kdo nachází “
– potebuje mít informace o tom, kde se nachází zdrojová i cílová stanice (STA)
• a z toho si odvodit, pes které pístupové body (AP) musí data projít
– takovéto informaci má a udruje distribuní systém (DS)
• získává je na základ asociací/deasociací/reasociací
• k pístupovým bodm v jednotlivých bukách
Poítaové sít II
verze 4.0, lekce 6, slide 14 Jak je realizován distribuní systém?
• pipomenutí:
– standardy IEEE 802.11 nedefinují, jak má být distribuní systém (DS) implementován
• ale definují sluby, které má distribuní systém zajišovat
– funkce DSS: Association, Reassociation, Disassociation, Distribution, Integration
• v praxi (obvykle):
– distribuní systém (DS) je realizován propojením pístupových bod (AP) pomocí
klasického „drátového“ Ethernetu (dle IEEE 802.3)
• pedstava: pístupový bod má 2 rozhraní a „mezi nimi“ se chová jako pepína
– jedno rozhraní je bezdrátové (802.11), druhé je „drátové“ (802.3)
• dsledek: pokud MAC rámec prochází skrz pístupový bod, je pekládán z/do „bezdrátového“
formátu (dle 802.11) a „drátového“ formátu (dle 802.3)
– zatímco vloený obsah (LLC rámec) zstává beze zmny
– sluby distribuního systému (DSS) zajišují jednotlivé pístupové body (AP)
• ve vzájemné souinnosti
– mezi sluby distribuního systému (DSS, DS Services) patí sluba Delivery
• pro (bezdrátový) penos mezi stanicí a pístupovým bodem (v rámci buky)
– vyuívá MAC rámce 802.11
• které se liší od rámc 802.11
• dsledek:
– musí existovat další sluba distribuního systému (DSS): Integration
• umouje provázat (propojit) bezdrátové sít dle IEEE 802.11 s jinými sítmi
– hlavn se sítmi IEEE 802.3 („drátovým“ Ethernetem)
– integrovat je do jednoho celku
• hlavní úkol sluby: pevod mezi MAC rámci 802.11 a jinými (obvykle MAC rámci 802.3)
802.11 802.11 802.3
Poítaové sít II
verze 4.0, lekce 6, slide 16 MAC rámce 802.11 • bezdrátové sít dle standardu IEEE 802.11 pouívají 3 druhy MAC rámc
1. ídící MAC rámce (Control Frames), slouí potebám ízení pístupu
• rámce pro zprávy RTS/CTS (ešení problému pedsunuté a skryté stanice)
• rámce pro zprávy ACK (potvrzování pijatých datových rámc)
2. MAC rámce pro správu (Management Frames)
• Beacon rámce ("maják")
– vyuívá je pístupový bod (AP) k inzerování své pítomnosti a svých parametr
• Probe, Probe Response
– rámce pro zjišování pítomnosti a schopnosti uzl (stanic i pístupových bod)
• Authentication, De-authentication
• Association Request/Response
• Re-association Request/Response
– rámce pro ádost/odpov na asociaci stanice (STA) s pístupovým bodem (AP) v jiné
buce (BSS) tée sít (ESS)
• Disassociation
– rámec pro ádost o ukonení asociace stanice (STA) s AP
3. datové MAC rámce
– pro vlastní penos dat
verze 4.0, lekce 6, slide 17 formát MAC rámc 802.11
• Frame Control:
– „hlavní ást“ hlaviky MAC rámce, obsahuje údaje o typu rámce
• Type: zda jde o ídící rámec (00), rámec pro správu (01) nebo datový rámec (10)
• Subtype: detailnjší rozlišení typu rámce pro jednotlivé kategorie
– 0000: Association Request (ádost o asociaci), 0001: Association Response (odpov)
– 0100: Probe Request („dotaz“, viz dále), 0101: Probe Response
– 1000: Beacon („vysílání majáku“, viz dále)
– 1011: Authentication (ádost o autentizaci), 1100: Deauthentication
– …….
– 1011: zpráva RTS (Request to Send), 1100: zpráva CTS (Clear to Send)
– 1101: zpráva ACK (potvrzení doruených dat)
– ……..
– …….
Type=00
Type=01
Type=10
verze 4.0, lekce 6, slide 18 formát MAC rámc 802.11
• píznaky „To DS“ a „From DS“
– týkají se toho, zda (datový) MAC rámec smuje z/do distribuního systému
• a podle toho jsou nastaveny i MAC adresy v MAC rámci
– musí rozlišit 3 adresy: STA, AP a uzlu v DS
Type
2b 4b 1b 1b
verze 4.0, lekce 6, slide 19 formát MAC rámc 802.11
• otázka (na fungování sluby Integration):
– jak se pekládají MAC adresy pi pevodu „bezdrátového“ datového MAC rámce 802.11
na „drátový“ rámec 802.3?
2b 4b 1b 1b
verze 4.0, lekce 6, slide 20 bezdrátový distribuní systém • odboení:
– k emu je v „bezdrátovém“ MAC rámci (rámci IEEE 802.11) 4. MAC adresa?
• pro pípad pouití bezdrátového distribuního systému
• WDS: Wireless Distribution System, nkdy té: Wireless Bridge, WDS Bridge, …..
– jde o ešení pro bezdrátové propojení dvou drátových segment
– pístupový bod (AP) ale
Poítaové sít II
verze 4.0, lekce 6, slide 21 odboení: reim ad-hoc • buka bezdrátové sít (BSS) nemusí fungovat jen dosud popisovaným
zpsobem
– v reimu infrastruktury: s píst. bodem (AP) a napojením na distribuní systém (DS)
• toto je obvyklé ešení – pro „plánované“ bezdrátové sít
– takové bezdrátové sít, které si nkdo dopedu vytvoí (nap. doma, v kancelái, škole, …),
a pak je opakovan pouívá
• typicky: jejich pístupové body (AP) jsou umístny pevn (nepemisují se), a jsou propojeny mezi
sebou a napojeny na pevné (drátové) sít pomocí distribuních systém (DS)
• alternativa:
– buka (BSS) me fungovat v reimu ad-hoc, jako tzv. Independent BSS (IBSS)
• nemá ádný pístupový bod
• a komunikují mezi sebou pímo
– buka je izolovaná od okolního svta
• není napojena na ádný distribuní systém
• proto pro všechny MAC rámce platí:
– typické vyuití:
• nap. penos soubor mezi tablety, tisk na tiskárn apod.
IBSS
0 0
Poítaové sít II
verze 4.0, lekce 6, slide 22 ídící rámce a rámce pro správu
• tyto MAC rámce (dle 802.11) „nepechází“ do distribuního systému (DS)
– penáší se jen mezi stanicemi (STA) a pístupovými body (AP)
• pípadn jen mezi stanicemi (STA) v rámci bunk, fungujících v reimu ad-hod (IBSSS)
– proto pro tyto rámce musí být nastaveno
• ídící rámce slouí potebám ízení pístupu
– pro zprávy RTS/CTS, pro potvrzen ACK atd.
• rámce pro správu zajišují „agendu fungování buky“
– ve smyslu „domluvy“ mezi stanicemi (STA) a pístupovými body (AP)
• mj. pro poteby autentizace (deautentizace), asociace (reasociace, de-asociace) atd.
– ale také v podob:
Probe Request, a vyzývá tím pístupové
body (i jiné stanice) k urité reakci
• testuje jejich existenci a dostupnost
– ostatní uzly na tyto rámce odpovídají
• existují „odpovdní“ rámce: Probe
bod, aby inzeroval svou existenci a své
parametry
a o dostupných monostech penosu
– na tento druh rámc se neodpovídá
• neexistuje rámec pro odpov
• otázka:
– jak se konkrétní stanice (STA) dozví o tom, které sít a buky jsou v jejím dosahu?
• vetn jejich parametr: jmen sítí a bunk, podporovaných rychlostí, zpsob zabezpeení ….
• monosti:
Probe Request ) na konkrétních kanálech
– musí to být frekvenní kanály, které je
moné (povolené) vyuívat
• viz licenní/bezlicenní pásma
aby se ozvaly (formou rámc Probe Response)
– v odpovdi pístupové body (AP) sdlují
poadované informace o sob
zvoleném kanále
kanály
Beacon, z nich se dozví vše potebné
• k emu (a jak) stanice vyuívá informace získané skenováním?
– pro výbr sít (ESS) a pecházení mezi sítmi („roaming“)
• toto není souástí (základních) standard IEEE 802.11 !!!!
– eší to uivatel, nebo aplikaní SW na jeho stanici
Poítaové sít II
verze 4.0, lekce 6, slide 24 postup pihlašování k síti • jak se stanice (STA) dozví, ke kterému pístupovému bodu (AP) se má,
resp. me asociovat?
– provede pasivní nebo aktivní skenování
– aktivn: pomocí rámc Probe Request , pasivn ekáním na Beacon i Probe Response
• dozví se o existenci sítí (získá jejich SSID) i jednotlivých pístupových bod
– i „sílu“ jejich signálu, poadavky na zabezpeení, i další parametry ….
– svému uivateli me sestavit seznam dostupných sítí
• i s píslušnými parametry
• volbu sít provede uivatel
– „run“ vybere sí
– pokud je v takto zvolené sítí více pístupových bod (AP), stanice mezi nimi sama
vybere ten, který je (podle ní) nejlépe dostupný
• k takto zvolenému pístupovému bodu se stanice nejprve autentizuje („802.11 autentizace“)
– stanice (STA) vyšle k pístupovému bodu MAC rámec Authentication
• identitou stanice je její MAC adresa (48-bitová Ethernet adresa)
• autentizaním údajem bu není nic (Open System Authentication), nebo WEP klí
– pístupový bod odpoví, opt pomocí MAC rámce Authentication
• následn se stanice k pístupovému bodu asociuje
– stanice pošle Association Request , pístupový bod odpoví pomocí Association Response
Authentication
Authentication
Poítaové sít II
verze 4.0, lekce 6, slide 25 zabezpeení sítí dle 802.11 • dosud popisované zabezpeení
– vychází ze standard IEEE 802.11 z roku 1999 (IEEE 802.11-1999), zahrnuje
1. autentizaci: jde o autentizaci stanice (nikoli uivatele), eší se sdílením WEP klíe
2. dvrnost (šifrování) dat: eší se pomocí algoritmu WEP (Wired Equivalent Privacy)
• WEP pouívá šifru RC4 a pvodn pracoval s klíi o velikosti 64 bit
– 40 bit základu klíe (proto: WEP-40), 24 bit inicializaní vektor
• bylo to dáno hlavn exportním omezením šifrovacích technologií ze strany USA
• 40-bitové základy pro 64-bitové WEP klíe se zadávaly jako posloupnost 10 hexadecimálních
ísel (0-9,A-F), tj. 10x4 bity, nebo jako 5 ASCII znak (5x8 bit)
• pozdji (bez exportních omezení) se pouíval WEP s klíem 128 bit
– 104 bit základu klíe (WEP-104), 24 bit inicializaní vektor
• 104-bit základu se zadávalo jako 26 hexadecimálních ísel
• toto zabezpeení se velmi brzy ukázalo jako píliš slabé!!!
– WEP-u lze zadat a 4 rzné klíe, ale pepínat mezi nimi musí sám uivatel
• WEP jinak pracuje stále se stejným klíem
– co významn usnaduje prolomení WEP-u
• pi dostaten dlouhém odposlechu
verze 4.0, lekce 6, slide 26 IEEE 802.11i
• v roce 2004 byl pijat standard IEEE 802.11i (týkající se bezpenosti)
– jako doplnk pvodního standardu IEE 802.11 (z roku 1999), který:
• mní tu ást pvodního standardu, která definovala oblasti autentizace a dvrnosti
(privacy)
– hlavn: slabý a zranitelný WEP nahrazuje silnjšími metodami
• a umouje autentizovat i konkrétní uivatele (a ne pouze stanice jako takové)
• konkrétn:
bit a šifruje bloky o velikosti 128 bit
• „master key“, ze kterého CCMP odvozuje
šifrovací klíe, má 256 bit
– zajišuje:
• nov jiné 2 monosti:
umouje autentizovat konkrétní
sdíleného klíe
verze 4.0, lekce 6, slide 27 WPA (Wi-Fi Protected Access)
• jde o (doasné) ešení, které vytvoila Wi-Fi Alliance v roce 2003
– není to standard IEEE 802.11
– vychází z pracovní verze standardu IEEE 802.11i (ten byl dokonen a v roce 2004)
• „WPA vzniklo z nedokavosti – práce na standardu nepokraovaly dostaten rychle, a Wi-Fi
Alliance se nemohla dokat …. proto vydala nehotové ešení …. jako WPA ….. „
• hlavní odlišnosti (oproti finální verzi standardu 802.11i):
– místo protokolu CCMP pouívá protokol
TKIP
doasné šifrovací klíe, a rychle je stídá
• aby se ztíila monost odposlechu klíe,
a tím monost prolomení šifrování
– pro zajištní integrity penášených
zpráv (rámc) pouívá algoritmus
• dnes je WPA pekonané
slabý a zranitelný
– pesto je WPA dodnes implementováno ve vtšin
Wi-Fi zaízení
Poítaové sít II
verze 4.0, lekce 6, slide 28 WPA 2 (Wi-Fi Protected Access 2) • WPA2 je „finálním“ ešením (z roku 2006)
– opírá se o (finální verzi) standardu IEEE 802.11i
• formáln: nejde o standard, ale o celý „bezpenostní rámec“
• a také o trademark: obchodní znaku/chránnou známku
– stejn jako u WPA: od Wi-Fi Alliance
• konkrétní zaízení jsou certifikována na podporu WPA i WPA2
• hlavní rozdíl (oproti WPA):
– protokol TKIP byl nahrazen „bytelnjším“ protokolem CCMP
• tak, jak to poaduje (finální verze standardu 802.11i) protokol CCMP zajišuje:
– protokol CCMP zajišuje
• šifrování penášených dat, a tím jejich dvrnost (u WPA toto zajišoval protokol TKIP)
• ochranu penášených dat proti zmn, resp. zajištní integrity (toto u WPA dlal Michael MIC)
• existuje i tzv. smíšený reim (WPA/WPA2 mixed mode)
– týká se pístupových bod (AP)
• umouje, aby v jedné buce (BSS) koexistovaly stanice fungující dle WPA i stanice WPA2
– princip fungování smíšeného reimu:
• pístupový bod „inzeruje“ (ve svých beacon rámcích), jaké šifrování podporuje
– TKIP, CCMP i jiné
verze 4.0, lekce 6, slide 29 autentizace dle IEEE 802.11i
• pvodní standard (IEEE 802.11-1999):
• autentizovala se pouze stanice
– identifikovala se pomocí své MAC adresy, autentizovala nijak / pomocí sdíleného WEP klíe
• všechny stanice se autentizovaly stejn (pomocí stejných WEP klí)
• nedal se brát zetel na to, kdo je uivatelem stanice
• WEP byl píliš slabý a zranitelný (navíc se pouíval souasn i pro šifrování)
• ani samotný postup autentizace (penos autent . údaj, komunikace obou stran) nebyl ideální
• nový standard (IEEE 802.11i-2004) mní celou koncepci autentizace
– zavádí dva rzné reimy autentizace
• WPA(2) Enterprise (pro firmy, …)
• uivatel poskytne pístupovému bodu
(AP) své autentizaní údaje,
identitu stanice u autentizaního
• vhodné pro domácnosti, ….
pístupovému bodu (AP) prokazují
znalostí stejného (pedem na-)
Poítaové sít II
verze 4.0, lekce 6, slide 30 IEEE 802.1x • jde o samostatný standard od IEEE (pracovní skupiny 802.1)
– umouje autentizaci zaízení, která se chtjí „pihlásit“ do (drátových) sítí LAN, i
do (bezdrátových) sítí WLAN
• dokáe brát ohled na konkrétní uivatele
– pouité identifikaní a autentizaní údaje mohou patit uivateli (a ne stanici jako takové)
• dokáe soustedit (lokalizovat) „rozhodování“ do jednoho místa
– posuzování a hodnocení identifikaních a autentizaních údaj (tzv. credentials) zajišuje
jeden spolený server
– je nezávislý na konkrétních zpsobech a metodách identifikace a autentizace
• neíká, jaké konkrétní údaje mají slouit pro identifikaci a autentizaci (ani koho …..)
– ani jak mají být vyhodnocovány a posuzovány
– terminologie:
• suplikant : „ten, kdo ádá o pístup / pihlašuje se“ (stanice, resp. SW bící na stanici)
• autentizátor: „ten, kdo pidluje pístup ….“ (pístupový uzel / AP)
• autentizaní server: „ten, kdo o pístupu rozhoduje“ (spolený autentizaní server)
Q
A
suplikant
autentizátor
verze 4.0, lekce 6, slide 31 EAP (Extensible Authentication Protocol)
• standard IEEE 802.1x pedpokládá, e:
– existuje mechanismus (protokol) pro vzájemnou komunikaci mezi všemi 3 prvky
• mezi suplikantem, autentizátorem a autentizaním serverem
– aby si mohli vzájemn pedávat poadované údaje, ádosti i odpovdi
• takovým protokolem je protokol EAP (Extensible Authentication Protocol)
– píklad dialogu:
– pošle mu ádost EAP-Request/Identity
– pošle mu odpov EAP-Response/Identity
– pokud neodmítne adatele (suplikanta) ji na základ jeho identity
• autentizaní server pošle suplikantovi ádost o poskytnutí autentizaních
údaj
• autentizaní server posoudí poskytnuté údaje a rozhodne o povolení pístupu
– vrátí zprávu EAP-Success (nebo EAP-Failure)
Poítaové sít II
verze 4.0, lekce 6, slide 32 EAP, EAPOL, RADIUS a IEEE 802.1x
• EAP je obecné ešení, pvodn vyvinuté pro protokol PPP
– umouje i „opaný smr“ autentizace: aby stanice (STA) vdla, k emu se pihlašuje
• aby se jí identifikoval a autentizoval pístupový bod (AP / Autentizátor)
– a stanice (resp. její uivatel) vdli, komu poskytují své identifikaní a autentizaní údaje
• EAPOL (EAP over LAN) je konkrétní variantou EAP
– urenou pro nasazení a fungování v prostedí sítí LAN (nad Ethernetem i Wi-Fi)
• zprávy EAP se vkládají do ethernetových linkových rámc
– u „drátových“ sítí Ethernet s EtherType=888EH
• standard IEEE 802.1x pouívá práv EAPOL
– resp. EAPoW (EAP over Wireless), pro vkládání do MAC rámc 802.11
• RADIUS (Remote Authentication Dial In User Service)
– je obvyklým ešením pro autentizaní server (v rámci IEEE 802.1x)
• má vlastní protokol pro komunikaci se svými klienty
– zde: pro komunikaci autentizaního serveru s autentizátorem (AP)
• zprávy EAP se vkládají do zpráv protokolu RADIUS
– RADIUS spadá do kategorie ešení pro AAA:
• Authorization
• Authentication
• Accounting
• EAP je pouze obecným rámcem pro autentizaci
– nedefinuje konkrétní metody a postupy autentizace
• ty definují a jeho rozšíení (proto také: „Extensible“ Authentication Protocol)
– rozšíení protokolu EAP se týkají:
• celkové metody
suplikantem a autentizaním serverem
• je nutný SSL certifikát autentizaního
serveru
– EAP-TTLS
– PEAP: Protected EAP
– EAP-SIM, EAP-AKA
– ……
• 2-fázový handshake
– CHAP (Challenge Handshake
– MS-CHAP-V2
• píklady:
aut. server se prokazuje SSL certifikátem,
Poítaové sít II
verze 4.0, lekce 6, slide 34 píklad: pístup k sítí Eduroam
nutno zadat pouze tehdy,
pokud certifik át serveru
ješt není povaován za