Transcript of Počítačové sítě II, lekce 6: sítě WLAN II
Jií Peterka
Poítaové sít II
verze 4.0, lekce 6, slide 2 Wi-Fi, certifikace • WLAN
(Wireless LAN) je obecné oznaení pro všechny bezdrátové sít
LAN
– dnes nejrozšíenjší jsou takové sít, které vychází ze
standard IEEE 802.11
• ale existují i jiné bezdrátové sít LAN, nap. HiperLAN, HomeRF
…….
• Wi-Fi (od: Wireless Fidelity) je „nálepka“, vyjadující získání
certifikace o:
– dodrení standard IEEE 802.11
• „nálepku“ Wi-Fi udluje sdruení Wi-Fi Alliance
• díve: sdruení WECA (Wireless Ethernet Compatibility
Alliance)
– udluje ji konkrétním produktm od konkrétních
výrobc
• poté, co tyto produkty úspšn projdou testováním v nezávislých
odborných laboratoích
– které Wi-Fi Alliance autorizuje (a které testují podle její
metodiky a kritérií)
• výsledky testování lze nalézt v databázi Wi-Fi Alliance
(http://www.wi-fi.org/product-finder)
– certifikuje se vi rzným profilm (programm), které se týkají
dílích standard
– a tím i konkrétních schopností, funkcí, vlastností
atd.
• nap. podpory standard 802.11b/g/n/ac, WPA, WPA2 atd.
právo nosit „nálepku Wi-Fi“ !!!
daný produkt certifikován
Poítaové sít II
verze 4.0, lekce 6, slide 4 systémová architektura
802.11 • má následující prvky:
– (koncové) stanice: STA
– pístupový bod: AP (Access Point)
• uzly, vystupující v roli pístupových bod
– buka: BSS (Basic Services Set)
• základní jednotka infrastruktury
• v reimu infrastruktury má 1 pístupový bod (AP) a nkolik
stanic (STA)
– distribuní systém: DS (Distribution System)
• zajišuje vzájemné propojení dvou i více bunk (BSS)
– sí: ESS (Extended Services Set)
• nkolik bunk (BSS), propojených mezi sebou pomocí
distribuního systému (DS)
– portál
BSS
Poítaové sít II
verze 4.0, lekce 6, slide 5 BSS, Basic Services Set
(buka) • jde o základní prvek infrastruktury sítí dle
standardu IEEE 802.11
– odpovídá segmentu u „drátových“ sítí
• pesnji: kolizní domén v Ethernetu – všechny uzly v BSS
spolen sdílí dostupnou kapacitu!!
• je podobná buce v mobilních sítích
– funguje v reimu infrastruktury
více stanic (STA)
postavení
AP, které se dotazuje jednotlivých stanic
• stanice v BSS spolu nekomunikují pímo,
ale jen pes AP !!!
nco poslat jiné stanici (STA2) ve stejné
BSS, pošle to nejprve pístupovému
bodu (AP), a ten to následn pedá
druhé stanici (STA2)
komunikace (a to od/k pístupovému
bodu)
AP
Poítaové sít II
verze 4.0, lekce 6, slide 6 ESS, Extended Services Set
(sí) • ESS je „vyšší“ prvek infrastruktury sítí dle standardu
IEEE 802.11
– odpovídá síti (u „drátových“ sítí)
• celku, propojenému na úrovni linkové vrstvy (L2)
• má vlastní identifikátor: SSID (32-znakový
etzec)
– všechny stanice (STA) v ESS jsou „jakoby: na jedné
hromad“
• mohou si myslet, e patí „do stejného oblaku“ a mají pímé (L2)
spojení mezi sebou
– obdobn, jako uzly „drátových“ sítí
– ve skutenosti je to ale jinak:
• jednotlivé stanice (STA) patí do konkrétních bunk
(BSS)
– kadá stanice me „patit“ jen do jedné buky (BSS)
• v kadé buce je jeden pístupový bod (AP)
– a kadá stanice v BSS komunikuje jen s tímto pístupovým
bodem
• jednotlivé BSS jsou vzájemn propojeny (do výsledného ESS)
prostednictvím distribuního systému (DS)
Poítaové sít II
verze 4.0, lekce 6, slide 7 identifikátory •
SSID (32 znak) je „jméno sít“
• nkdy oznaováno té jako ESSID
– identifikátor ESS
– pro všechny BSS v ESS
– tento identifikátor nastavuje správce
sít, podle svého uváení
• identifikátor BSS
• BSSID zobrazují jen specializované programy
• DS (distribuní systém) je nutný kvli tomu, aby bylo
moné:
– napojit buku (BSS) na „okolí“
• aby buka nebyla zcela izolovaná od vnjšího svta
– existují i izolované buky (bez napojení na okolí): IBSSS
(Independent BSS), viz dále
– „spojit“ více bunk (BSS) do jedné sít (ESS)
• a bylo moné vytváet iluzi, e všechny stanice v síti (ESS) jsou
“jakoby na jedné hromad“
– realizovat agendu, spojenou se strukturou sítí a
píslušností jednotlivých stanic
(STA) do konkrétních bunk (BSS)
• které buky tvoí sí? Které uzly jsou jejich pístupovými
body?
• kdy zde „nejsou dráty“, jak se pozná, do které buky patí
konkrétní stanice?
– zajišovat penos dat v rámci bunk, mezi bukami i z/do
sít
• standardy IEEE nedefinují zpsob implementace DS !!!!
– ale definují sluby, které má DS
zajišovat !!!
• Station Services (SS)
• týkají se vazby mezi AP a STA v rámci buky
– Authentication (autentizace)
– Deauthentication (de-autentizace)
– MAC Service Data Unit (MSDU) Delivery
• vlastní penos dat mezi STA a AP
• Distribution System Services (DSS)
– Association (asociace STA k AP)
– Reassociation (další asociace …)
– Disassociation (zrušení asociace)
ESS
eduroam
Poítaové sít II
verze 4.0, lekce 6, slide 9 DSS: Association, Deassociation •
pro je nutná asociace (a de-asociace)?
– u „drátových“ sítí o píslušnosti uzlu ke
konkrétnímu segmentu i síti rozhoduje jeho pipojení
(„vedení drátu“)
– mezi pístupovým bodem (AP) a stanicemi (STA)
nevedou ádné dráty ….
stanicí (STA) a pístupovým bodem (AP) konkrétní
buky
• stanice (STA) musí být v dosahu signálu pístupového
bodu (AP) konkrétní buky (BSS)
– dosah se oznauje jako BSA (Basic Set Area)
1. stanice poádá pístupový bod o „lenství“ v BSS
• STA pošle AP ádost o asociaci (DSS: Association)
2. pístupový bod ádosti o asociaci vyhoví
• AP pošle STA kladné vyrozumní o asociaci
• obdobn probíhá i vyazení z buky
• pomocí ádosti o zrušení asociace (DSS: Deassociation)
BSS
1
BSA
BSSBSA
2
• dsledek:
– distribuní systém (DS) si musí vést uritou formu evidence
(databázi) toho, „kde se
která stanice nachází “
DSS: Reassociation • pipomenutí:
• propojených pomocí distribuního systému (DS)
– stanice (STA) se asociuje vdy k „nejlepší“ buce
(BSS)
• otázka:
• napíklad kdy se stanice (STA) pemístí a bude mít
lepší podmínky pro komunikaci s jiným
pístupovým bodem (AP) v jiné buce tée sít?
– pak by mlo dojít ke zmn asociace
• pomocí sluby DSS: Reassociation
ESS
eduroam
• kdy me pístupový bod (AP) vyhovt ádosti o asociaci?
– kdy ví, kdo (která stanice, STA) ho o asociaci
ádá!
• teprve pak se me rozhodovat
– zda novou stanici „pustí“ do své buky, i nikoli
• proto je nutná autentizace
• coby ovení identity té stanice, která se chce asociovat
• stanice (STA) musí být v dosahu signálu (BSA) pístupového bodu
(AP) konkrétní buky (BSS)
1. stanice pošle pístupovému bodu ádost o (svou) autentizaci (SS:
Authentication)
• spolu s dalšími údaji, které osvdují identitu stanice
– nap. sdílený klí
• pokud se mu podailo úspšn autentizovat stanici
– nebo odpoví záporn, pokud autentizace nebyla
úspšná
• pvodní standard 802.11 definoval 2 varianty
autentizace
• novjší standardy monosti autentizace rozšiují (MAC address,
802.1X, WPA, WPA2, viz dále)
– Open System Authentication
• a nic neposuzuje, na nic se neptá
– Shared Key Authentication
– implementováno pomocí technologie
autentizuje se pouze stanice
vi AP, naopak nikoli !!
verze 4.0, lekce 6, slide 12 SS: Delivery a Privacy
• další sluby ze skupiny SS (Station Services)
– Delivery: penos dat mezi stanicí (STA)
a pístupovým bodem (AP)
Unit)
rámc
802.11
(802.3), ale nejsou totoné – viz dále
• nap. obsahují a 4 MAC adresy (zatímco
rámce 802.3 obsahují jen 2 MAC adresy)
– Privacy: (volitelné) zajištní dvrnosti
– obsahu MAC rámc (MSDU)
technologii WEP (Wired Equivalent
• novjší standardy nabízí další,
Adr 1
verze 4.0, lekce 6, slide 13 DSS: Distribution • sluba
Delivery
– je souástí slueb SS (Station Services)
• protoe se týká penosu dat jen v rámci buky (BSS)
– mezi stanicí (STA) a pístupovým bodem (AP)
• nemusí ešit „kde se kdo nachází “
• sluba Distribution
• proto ji musí ešit, „kde se kdo nachází “
– potebuje mít informace o tom, kde se nachází zdrojová i
cílová stanice (STA)
• a z toho si odvodit, pes které pístupové body (AP) musí data
projít
– takovéto informaci má a udruje distribuní systém
(DS)
• získává je na základ asociací/deasociací/reasociací
• k pístupovým bodm v jednotlivých bukách
Poítaové sít II
verze 4.0, lekce 6, slide 14 Jak je realizován distribuní
systém?
• pipomenutí:
– standardy IEEE 802.11 nedefinují, jak má být distribuní
systém (DS) implementován
• ale definují sluby, které má distribuní systém
zajišovat
– funkce DSS: Association, Reassociation, Disassociation,
Distribution, Integration
• v praxi (obvykle):
– distribuní systém (DS) je realizován propojením pístupových
bod (AP) pomocí
klasického „drátového“ Ethernetu (dle IEEE 802.3)
• pedstava: pístupový bod má 2 rozhraní a „mezi nimi“ se chová jako
pepína
– jedno rozhraní je bezdrátové (802.11), druhé je „drátové“
(802.3)
• dsledek: pokud MAC rámec prochází skrz pístupový bod, je pekládán
z/do „bezdrátového“
formátu (dle 802.11) a „drátového“ formátu (dle 802.3)
– zatímco vloený obsah (LLC rámec) zstává beze
zmny
– sluby distribuního systému (DSS) zajišují jednotlivé
pístupové body (AP)
• ve vzájemné souinnosti
– mezi sluby distribuního systému (DSS, DS Services) patí
sluba Delivery
• pro (bezdrátový) penos mezi stanicí a pístupovým bodem (v rámci
buky)
– vyuívá MAC rámce 802.11
• které se liší od rámc 802.11
• dsledek:
– musí existovat další sluba distribuního systému (DSS):
Integration
• umouje provázat (propojit) bezdrátové sít dle IEEE 802.11 s
jinými sítmi
– hlavn se sítmi IEEE 802.3 („drátovým“ Ethernetem)
– integrovat je do jednoho celku
• hlavní úkol sluby: pevod mezi MAC rámci 802.11 a jinými (obvykle
MAC rámci 802.3)
802.11 802.11 802.3
Poítaové sít II
verze 4.0, lekce 6, slide 16 MAC rámce 802.11 •
bezdrátové sít dle standardu IEEE 802.11 pouívají 3 druhy MAC rámc
1. ídící MAC rámce (Control Frames), slouí potebám ízení
pístupu
• rámce pro zprávy RTS/CTS (ešení problému pedsunuté a skryté
stanice)
• rámce pro zprávy ACK (potvrzování pijatých datových
rámc)
2. MAC rámce pro správu (Management Frames)
• Beacon rámce ("maják")
– vyuívá je pístupový bod (AP) k inzerování své pítomnosti a
svých parametr
• Probe, Probe Response
– rámce pro zjišování pítomnosti a schopnosti uzl (stanic i
pístupových bod)
• Authentication, De-authentication
• Association Request/Response
• Re-association Request/Response
– rámce pro ádost/odpov na asociaci stanice (STA) s
pístupovým bodem (AP) v jiné
buce (BSS) tée sít (ESS)
• Disassociation
– rámec pro ádost o ukonení asociace stanice (STA) s AP
3. datové MAC rámce
– pro vlastní penos dat
verze 4.0, lekce 6, slide 17 formát MAC rámc
802.11
• Frame Control:
– „hlavní ást“ hlaviky MAC rámce, obsahuje údaje o typu
rámce
• Type: zda jde o ídící rámec (00), rámec pro správu (01) nebo
datový rámec (10)
• Subtype: detailnjší rozlišení typu rámce pro jednotlivé
kategorie
– 0000: Association Request (ádost o asociaci), 0001:
Association Response (odpov)
– 0100: Probe Request („dotaz“, viz dále), 0101: Probe
Response
– 1000: Beacon („vysílání majáku“, viz dále)
– 1011: Authentication (ádost o autentizaci), 1100:
Deauthentication
– …….
– 1011: zpráva RTS (Request to Send), 1100: zpráva CTS (Clear
to Send)
– 1101: zpráva ACK (potvrzení doruených dat)
– ……..
– …….
Type=00
Type=01
Type=10
verze 4.0, lekce 6, slide 18 formát MAC rámc
802.11
• píznaky „To DS“ a „From DS“
– týkají se toho, zda (datový) MAC rámec smuje z/do
distribuního systému
• a podle toho jsou nastaveny i MAC adresy v MAC rámci
– musí rozlišit 3 adresy: STA, AP a uzlu v DS
Type
2b 4b 1b 1b
verze 4.0, lekce 6, slide 19 formát MAC rámc
802.11
• otázka (na fungování sluby Integration):
– jak se pekládají MAC adresy pi pevodu „bezdrátového“
datového MAC rámce 802.11
na „drátový“ rámec 802.3?
2b 4b 1b 1b
verze 4.0, lekce 6, slide 20 bezdrátový distribuní
systém • odboení:
– k emu je v „bezdrátovém“ MAC rámci (rámci IEEE 802.11) 4.
MAC adresa?
• pro pípad pouití bezdrátového distribuního systému
• WDS: Wireless Distribution System, nkdy té: Wireless Bridge, WDS
Bridge, …..
– jde o ešení pro bezdrátové propojení dvou drátových
segment
– pístupový bod (AP) ale
Poítaové sít II
verze 4.0, lekce 6, slide 21 odboení: reim ad-hoc • buka
bezdrátové sít (BSS) nemusí fungovat jen dosud popisovaným
zpsobem
– v reimu infrastruktury: s píst. bodem (AP) a napojením na
distribuní systém (DS)
• toto je obvyklé ešení – pro „plánované“ bezdrátové
sít
– takové bezdrátové sít, které si nkdo dopedu vytvoí (nap.
doma, v kancelái, škole, …),
a pak je opakovan pouívá
• typicky: jejich pístupové body (AP) jsou umístny pevn (nepemisují
se), a jsou propojeny mezi
sebou a napojeny na pevné (drátové) sít pomocí distribuních systém
(DS)
• alternativa:
– buka (BSS) me fungovat v reimu ad-hoc, jako tzv.
Independent BSS (IBSS)
• nemá ádný pístupový bod
• a komunikují mezi sebou pímo
– buka je izolovaná od okolního svta
• není napojena na ádný distribuní systém
• proto pro všechny MAC rámce platí:
– typické vyuití:
• nap. penos soubor mezi tablety, tisk na tiskárn apod.
IBSS
0 0
Poítaové sít II
verze 4.0, lekce 6, slide 22 ídící rámce a rámce pro
správu
• tyto MAC rámce (dle 802.11) „nepechází“ do distribuního systému
(DS)
– penáší se jen mezi stanicemi (STA) a pístupovými body
(AP)
• pípadn jen mezi stanicemi (STA) v rámci bunk, fungujících v reimu
ad-hod (IBSSS)
– proto pro tyto rámce musí být nastaveno
• ídící rámce slouí potebám ízení pístupu
– pro zprávy RTS/CTS, pro potvrzen ACK atd.
• rámce pro správu zajišují „agendu fungování buky“
– ve smyslu „domluvy“ mezi stanicemi (STA) a pístupovými body
(AP)
• mj. pro poteby autentizace (deautentizace), asociace (reasociace,
de-asociace) atd.
– ale také v podob:
Probe Request, a vyzývá tím pístupové
body (i jiné stanice) k urité reakci
• testuje jejich existenci a dostupnost
– ostatní uzly na tyto rámce odpovídají
• existují „odpovdní“ rámce: Probe
bod, aby inzeroval svou existenci a své
parametry
a o dostupných monostech penosu
– na tento druh rámc se neodpovídá
• neexistuje rámec pro odpov
• otázka:
– jak se konkrétní stanice (STA) dozví o tom, které sít a
buky jsou v jejím dosahu?
• vetn jejich parametr: jmen sítí a bunk, podporovaných rychlostí,
zpsob zabezpeení ….
• monosti:
Probe Request ) na konkrétních kanálech
– musí to být frekvenní kanály, které je
moné (povolené) vyuívat
• viz licenní/bezlicenní pásma
aby se ozvaly (formou rámc Probe Response)
– v odpovdi pístupové body (AP) sdlují
poadované informace o sob
zvoleném kanále
kanály
Beacon, z nich se dozví vše potebné
• k emu (a jak) stanice vyuívá informace získané
skenováním?
– pro výbr sít (ESS) a pecházení mezi sítmi
(„roaming“)
• toto není souástí (základních) standard IEEE 802.11
!!!!
– eší to uivatel, nebo aplikaní SW na jeho
stanici
Poítaové sít II
verze 4.0, lekce 6, slide 24 postup pihlašování k síti
• jak se stanice (STA) dozví, ke kterému pístupovému bodu (AP) se
má,
resp. me asociovat?
– provede pasivní nebo aktivní skenování
– aktivn: pomocí rámc Probe Request , pasivn ekáním na
Beacon i Probe Response
• dozví se o existenci sítí (získá jejich SSID) i jednotlivých
pístupových bod
– i „sílu“ jejich signálu, poadavky na zabezpeení, i další
parametry ….
– svému uivateli me sestavit seznam dostupných
sítí
• i s píslušnými parametry
• volbu sít provede uivatel
– „run“ vybere sí
– pokud je v takto zvolené sítí více pístupových bod (AP),
stanice mezi nimi sama
vybere ten, který je (podle ní) nejlépe dostupný
• k takto zvolenému pístupovému bodu se stanice nejprve autentizuje
(„802.11 autentizace“)
– stanice (STA) vyšle k pístupovému bodu MAC rámec
Authentication
• identitou stanice je její MAC adresa (48-bitová Ethernet
adresa)
• autentizaním údajem bu není nic (Open System Authentication),
nebo WEP klí
– pístupový bod odpoví, opt pomocí MAC rámce
Authentication
• následn se stanice k pístupovému bodu asociuje
– stanice pošle Association Request , pístupový bod
odpoví pomocí Association Response
Authentication
Authentication
Poítaové sít II
verze 4.0, lekce 6, slide 25 zabezpeení sítí dle
802.11 • dosud popisované zabezpeení
– vychází ze standard IEEE 802.11 z roku 1999 (IEEE
802.11-1999), zahrnuje
1. autentizaci: jde o autentizaci stanice (nikoli uivatele), eší se
sdílením WEP klíe
2. dvrnost (šifrování) dat: eší se pomocí algoritmu WEP (Wired
Equivalent Privacy)
• WEP pouívá šifru RC4 a pvodn pracoval s klíi o velikosti 64 bit
– 40 bit základu klíe (proto: WEP-40), 24 bit inicializaní
vektor
• bylo to dáno hlavn exportním omezením šifrovacích technologií ze
strany USA
• 40-bitové základy pro 64-bitové WEP klíe se zadávaly jako
posloupnost 10 hexadecimálních
ísel (0-9,A-F), tj. 10x4 bity, nebo jako 5 ASCII znak (5x8
bit)
• pozdji (bez exportních omezení) se pouíval WEP s klíem 128
bit
– 104 bit základu klíe (WEP-104), 24 bit inicializaní
vektor
• 104-bit základu se zadávalo jako 26 hexadecimálních
ísel
• toto zabezpeení se velmi brzy ukázalo jako píliš
slabé!!!
– WEP-u lze zadat a 4 rzné klíe, ale pepínat mezi nimi musí
sám uivatel
• WEP jinak pracuje stále se stejným klíem
– co významn usnaduje prolomení WEP-u
• pi dostaten dlouhém odposlechu
verze 4.0, lekce 6, slide 26 IEEE 802.11i
• v roce 2004 byl pijat standard IEEE 802.11i (týkající se
bezpenosti)
– jako doplnk pvodního standardu IEE 802.11 (z roku 1999),
který:
• mní tu ást pvodního standardu, která definovala oblasti
autentizace a dvrnosti
(privacy)
– hlavn: slabý a zranitelný WEP nahrazuje silnjšími
metodami
• a umouje autentizovat i konkrétní uivatele (a ne pouze stanice
jako takové)
• konkrétn:
bit a šifruje bloky o velikosti 128 bit
• „master key“, ze kterého CCMP odvozuje
šifrovací klíe, má 256 bit
– zajišuje:
• nov jiné 2 monosti:
umouje autentizovat konkrétní
sdíleného klíe
verze 4.0, lekce 6, slide 27 WPA (Wi-Fi Protected
Access)
• jde o (doasné) ešení, které vytvoila Wi-Fi Alliance v roce
2003
– není to standard IEEE 802.11
– vychází z pracovní verze standardu IEEE 802.11i (ten byl
dokonen a v roce 2004)
• „WPA vzniklo z nedokavosti – práce na standardu
nepokraovaly dostaten rychle, a Wi-Fi
Alliance se nemohla dokat …. proto vydala nehotové ešení ….
jako WPA ….. „
• hlavní odlišnosti (oproti finální verzi standardu
802.11i):
– místo protokolu CCMP pouívá protokol
TKIP
doasné šifrovací klíe, a rychle je stídá
• aby se ztíila monost odposlechu klíe,
a tím monost prolomení šifrování
– pro zajištní integrity penášených
zpráv (rámc) pouívá algoritmus
• dnes je WPA pekonané
slabý a zranitelný
– pesto je WPA dodnes implementováno ve vtšin
Wi-Fi zaízení
Poítaové sít II
verze 4.0, lekce 6, slide 28 WPA 2 (Wi-Fi Protected Access
2) • WPA2 je „finálním“ ešením (z roku 2006)
– opírá se o (finální verzi) standardu IEEE 802.11i
• formáln: nejde o standard, ale o celý „bezpenostní
rámec“
• a také o trademark: obchodní znaku/chránnou známku
– stejn jako u WPA: od Wi-Fi Alliance
• konkrétní zaízení jsou certifikována na podporu WPA i
WPA2
• hlavní rozdíl (oproti WPA):
– protokol TKIP byl nahrazen „bytelnjším“ protokolem
CCMP
• tak, jak to poaduje (finální verze standardu 802.11i) protokol
CCMP zajišuje:
– protokol CCMP zajišuje
• šifrování penášených dat, a tím jejich dvrnost (u WPA toto
zajišoval protokol TKIP)
• ochranu penášených dat proti zmn, resp. zajištní integrity (toto
u WPA dlal Michael MIC)
• existuje i tzv. smíšený reim (WPA/WPA2 mixed mode)
– týká se pístupových bod (AP)
• umouje, aby v jedné buce (BSS) koexistovaly stanice fungující dle
WPA i stanice WPA2
– princip fungování smíšeného reimu:
• pístupový bod „inzeruje“ (ve svých beacon rámcích), jaké
šifrování podporuje
– TKIP, CCMP i jiné
verze 4.0, lekce 6, slide 29 autentizace dle IEEE
802.11i
• pvodní standard (IEEE 802.11-1999):
• autentizovala se pouze stanice
– identifikovala se pomocí své MAC adresy, autentizovala
nijak / pomocí sdíleného WEP klíe
• všechny stanice se autentizovaly stejn (pomocí stejných WEP
klí)
• nedal se brát zetel na to, kdo je uivatelem stanice
• WEP byl píliš slabý a zranitelný (navíc se pouíval souasn i pro
šifrování)
• ani samotný postup autentizace (penos autent . údaj,
komunikace obou stran) nebyl ideální
• nový standard (IEEE 802.11i-2004) mní celou koncepci
autentizace
– zavádí dva rzné reimy autentizace
• WPA(2) Enterprise (pro firmy, …)
• uivatel poskytne pístupovému bodu
(AP) své autentizaní údaje,
identitu stanice u autentizaního
• vhodné pro domácnosti, ….
pístupovému bodu (AP) prokazují
znalostí stejného (pedem na-)
Poítaové sít II
verze 4.0, lekce 6, slide 30 IEEE 802.1x • jde o samostatný
standard od IEEE (pracovní skupiny 802.1)
– umouje autentizaci zaízení, která se chtjí „pihlásit“ do
(drátových) sítí LAN, i
do (bezdrátových) sítí WLAN
• dokáe brát ohled na konkrétní uivatele
– pouité identifikaní a autentizaní údaje mohou patit
uivateli (a ne stanici jako takové)
• dokáe soustedit (lokalizovat) „rozhodování“ do jednoho
místa
– posuzování a hodnocení identifikaních a autentizaních údaj
(tzv. credentials) zajišuje
jeden spolený server
– je nezávislý na konkrétních zpsobech a metodách
identifikace a autentizace
• neíká, jaké konkrétní údaje mají slouit pro identifikaci a
autentizaci (ani koho …..)
– ani jak mají být vyhodnocovány a posuzovány
– terminologie:
• suplikant : „ten, kdo ádá o pístup / pihlašuje se“ (stanice,
resp. SW bící na stanici)
• autentizátor: „ten, kdo pidluje pístup ….“ (pístupový uzel /
AP)
• autentizaní server: „ten, kdo o pístupu rozhoduje“ (spolený
autentizaní server)
Q
A
suplikant
autentizátor
verze 4.0, lekce 6, slide 31 EAP (Extensible Authentication
Protocol)
• standard IEEE 802.1x pedpokládá, e:
– existuje mechanismus (protokol) pro vzájemnou komunikaci
mezi všemi 3 prvky
• mezi suplikantem, autentizátorem a autentizaním
serverem
– aby si mohli vzájemn pedávat poadované údaje, ádosti i
odpovdi
• takovým protokolem je protokol EAP (Extensible
Authentication Protocol)
– píklad dialogu:
– pošle mu ádost EAP-Request/Identity
– pošle mu odpov EAP-Response/Identity
– pokud neodmítne adatele (suplikanta) ji na základ jeho
identity
• autentizaní server pošle suplikantovi ádost o poskytnutí
autentizaních
údaj
• autentizaní server posoudí poskytnuté údaje a rozhodne o povolení
pístupu
– vrátí zprávu EAP-Success (nebo EAP-Failure)
Poítaové sít II
verze 4.0, lekce 6, slide 32 EAP, EAPOL, RADIUS a IEEE
802.1x
• EAP je obecné ešení, pvodn vyvinuté pro protokol PPP
– umouje i „opaný smr“ autentizace: aby stanice (STA) vdla, k
emu se pihlašuje
• aby se jí identifikoval a autentizoval pístupový bod (AP /
Autentizátor)
– a stanice (resp. její uivatel) vdli, komu poskytují své
identifikaní a autentizaní údaje
• EAPOL (EAP over LAN) je konkrétní variantou EAP
– urenou pro nasazení a fungování v prostedí sítí LAN (nad
Ethernetem i Wi-Fi)
• zprávy EAP se vkládají do ethernetových linkových
rámc
– u „drátových“ sítí Ethernet s EtherType=888EH
• standard IEEE 802.1x pouívá práv EAPOL
– resp. EAPoW (EAP over Wireless), pro vkládání do
MAC rámc 802.11
• RADIUS (Remote Authentication Dial In User Service)
– je obvyklým ešením pro autentizaní server (v rámci IEEE
802.1x)
• má vlastní protokol pro komunikaci se svými klienty
– zde: pro komunikaci autentizaního serveru s
autentizátorem (AP)
• zprávy EAP se vkládají do zpráv protokolu RADIUS
– RADIUS spadá do kategorie ešení pro AAA:
• Authorization
• Authentication
• Accounting
• EAP je pouze obecným rámcem pro autentizaci
– nedefinuje konkrétní metody a postupy
autentizace
• ty definují a jeho rozšíení (proto také: „Extensible“
Authentication Protocol)
– rozšíení protokolu EAP se týkají:
• celkové metody
suplikantem a autentizaním serverem
• je nutný SSL certifikát autentizaního
serveru
– EAP-TTLS
– PEAP: Protected EAP
– EAP-SIM, EAP-AKA
– ……
• 2-fázový handshake
– CHAP (Challenge Handshake
– MS-CHAP-V2
• píklady:
aut. server se prokazuje SSL certifikátem,
Poítaové sít II
verze 4.0, lekce 6, slide 34 píklad: pístup k sítí
Eduroam
nutno zadat pouze tehdy,
pokud certifik át serveru
ješt není povaován za