Miesięcznik informatyków i menedżerów IT sektora publicznego

Kamil Folga

Sieć bezprzewodowa pod nadzorem

WPA/WPA2 to standard w zakresie bezpieczeństwa sieci bezprzewodowej. Pokazujemy, jakie korzyści przynosi zastosowanie mechanizmu WPA/WPA2-Enterprise i jak przeprowadzić jego wdrożenie z wykorzystaniem darmowego oprogramowania.

Komponenty 802.1X/EAP
Komponenty 802.1X/EAP

Sieć bezprzewodowa w urzędzie najczęściej jest zabezpieczona hasłem WPA/WPA2, które znane jest wszystkim pracownikom. WPA/WPA2-Enterprise znacząco zwiększa poziom bezpieczeństwa sieci bezprzewodowej. Standard ten określany jest często jako EAP, 802.1X, implementacja RADIUS. Implementacja EAP/802.1X jest stosowana również w sieciach przewodowych, wtedy jednak uzyskanie dostępu do Sieci wymaga podania unikalnych danych logowania. Podobnie jest w przypadku trybu WPA/WPA2-Enterprise.

Personal czy Enterprise

Najprostsza konfiguracja WPA/WPA2 to tryb Personal, który określany jest też nazwą PSK (Pre-shared Key). WPA/WPA2-PSK wymaga od wszystkich użytkowników podania jednej frazy zabezpieczającej (hasła), pozwalającej połączyć się z siecią Wi-Fi. Wyższy poziom bezpieczeństwa zapewnia tryb Enter­prise, znany także jako mechanizm 802.1X/EAP. W tym przypadku niezbędny będzie zewnętrzny serwer uwierzytelniający RADIUS (Remote Authentication Dial In User Service). Każdy użytkownik będzie wówczas posiadał unikalne uprawnienia dostępu do sieci. Serwer RADIUS może przydzielić również dodatkowe opcje dla użytkownika, przykładowo numer VLAN.

Tryb Enterprise wymaga od użytkowników zalogowania się do sieci Wi-Fi przy użyciu nazwy użytkownika oraz hasła, a także – opcjonalnie – certyfikatu. Uprawnienia dostępu do sieci można zmienić w dowolnym czasie. Jeżeli pracownikowi kończy się umowa o pracę, wystarczy zablokować parametry autentykacji na serwerze RADIUS, aby nie miał możliwości korzystania z sieci Wi-Fi instytucji. Podobnie można postąpić w razie kradzieży urządzenia. W takim przypadku dla trybu Personal konieczna będzie zmiana hasła na każdym z komputerów przyłączających się do sieci. Tryb Enterprise zapewnia też dynamiczne klucze szyfrowania, co uniemożliwia przechwycenie danych transmitowanych w sieci.

Komponenty 802.1X/EAP

Schemat autentykacji 802.1X/EAP wykorzystywany przez WPA/WPA2-Enterprise składa się z trzech kluczowych komponentów:

  • suplikanta (supplicant) – użytkownik/klient żądający dostępu do sieci;
  • pośrednika uwierzytelnienia (authenticator) – przełącznik Ethernet lub punkt dostępowy Wi-Fi, przesyłający zapytania użytkownika/klienta do serwera uwierzytelniającego;
  • serwera uwierzytelniającego (authentication server) – serwer w sieci, który zarządza bazą danych uwierzytelnień oraz komunikuje się z pośrednikiem w celu potwierdzenia lub odrzucenia zapytań o dostęp.

W przypadku prostych sieci bezprzewodowych funkcje pośrednika oraz serwera uwierzytelniającego bardzo często są obsługiwane przez punkt dostępowy. W zaawansowanych rozwiązaniach używamy zewnętrznego serwera RADIUS jako serwera uwierzytelniającego. W sieciach przewodowych sytuacja jest podobna. Większość zarządzalnych przełączników ma wsparcie dla 802.1X/EAP. Przełącznik w tym trybie będzie realizował funkcje pośrednika, odbierając zapytania od użytkowników i jednocześnie komunikując się z serwerem, który zazwyczaj jest serwerem RADIUS.

Zanim przełącznik zezwoli na dowolny typ ruchu na danym porcie (lub punkt dostępowy umożliwi dostęp do sieci bezprzewodowej), urządzenie przyłączające się do sieci musi przejść proces uwierzytelnienia z wykorzystaniem protokołu EAP (Extensible Authentication Protocol). Urządzenie końcowe (supplicant) zazwyczaj uruchamia specjalny program, który przekazuje dane przez protokół EAP, wspierający różne metody poświadczeń, m.in. certyfikaty. Gdy przełącznik odbierze zapytanie EAP-Response/Identity, przekazuje zapytanie do serwera uwierzytelnienia. Serwer uwierzytelnienia ma bazę wszystkich uprawnień i informuje przełącznik lub punkt dostępowy o wyniku sprawdzenia uprawnień. Jeżeli próba zakończy się pozytywnie, przełącznik dopuści ruch na określonym porcie dla określonego hosta lub punkt dostępowy umożliwi klientowi przyłączenie się do sieci bezprzewodowej. W przeciwnym wypadku host nie uzyska dostępu do sieci.

Metody EAP

Protokół EAP został zdefiniowany w dokumencie RFC 3748. Istnieje kilkadziesiąt różnych metod uwierzytelniania EAP. Najpopularniejsze z nich to EAP-MD5 (Message-Digest 5), EAP-TLS (Transport Level Security), EAP-TTLS (Tunneled TLS), EAP-PEAP (Protected EAP).

Minimalny poziom zabezpieczenia zapewnia EAP-MD5, który realizuje uwierzytelnianie z wykorzystaniem użytkownika i hasła. Metoda ta jest jednak narażona na ataki i nie powinna być aktualnie stosowana. EAP-TLS opiera się o infrastrukturę klucza publicznego PKI. Metoda jest bezpieczna, przy czym obie strony muszą wykorzystywać certyfikaty. Powiązaną z metodą EAP-TLS jest EAP-TTLS, która ułatwia implementację, ponieważ nie wymaga ręcznej instalacji certyfikatu po stronie klienta do uwierzytelnienia – wystarczy nazwa użytkownika i hasło. Podobnie działa metoda EAP-PEAP, która stosowana jest w środowisku Microsoft. Zarówno w przypadku EAP-TTLS, jak i EAP-PEAP dane uwierzytelniające są zabezpieczone przez tunel TLS, zestawiony między klientem a serwerem uwierzytelniającym. W zależności od wykorzystywanych systemów operacyjnych oraz wymaganego poziomu zabezpieczeń stosujemy różne metody EAP.

[...]

Autor zawodowo zajmuje się informatyką ze specjalizacją w zakresie sieci bezprzewodowych oraz systemów transmisji głosu. Publikuje w magazynach komputerowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej