hogyan vezessünk be wireless lan-t?splash.eik.bme.hu/papers/wlan2.pdf · key (kck) – ptk bits...
Post on 11-Apr-2019
217 Views
Preview:
TRANSCRIPT
Jákó András Mohácsi János: WLAN tutorial
Hogyan vezessünk be Wireless LAN-t?
2. rész
Mohácsi János
mohacsi@niif.hu
NIIFI
Jákó András Mohácsi János: WLAN tutorial
Bevezető
Fizikai réteg
Biztonság
Közeghozzáférés
Eduroam
Agenda
Jákó András Mohácsi János: WLAN tutorial
Biztonsági feladatok• vezeték nélküli médium
– nincsenek jól definiált határai az átviteli közegnek
– illetéktelen hozzáférés, lehallgatás triviális
• titkosítás– a hálózati forgalom lehallgatásának, módosításának megelőzésére
• autentikáció– a hálózathoz való illetéktelen hozzáférés (csatlakozás) megelőzésére
– BSS-en belül, 2 állomás között
– infrastruktúra módban • csak az AP és más állomás között
• kötelező
– ad-hoc módban• nem kötelező
Jákó András Mohácsi János: WLAN tutorial
Biztonsági feladatok• vezeték nélküli médium
– nincsenek jól definiált határai az átviteli közegnek
– illetéktelen hozzáférés, lehallgatás triviális
• titkosítás– a hálózati forgalom lehallgatásának, módosításának megelőzésére
• autentikáció– a hálózathoz való illetéktelen hozzáférés (csatlakozás) megelőzésére
– BSS-en belül, 2 állomás között
– infrastruktúra módban • csak az AP és más állomás között
• kötelező
– ad-hoc módban• nem kötelező
Jákó András Mohácsi János: WLAN tutorial
AgendaBiztonság
802.11 titkosítás (WEP)
WEP problémák
Megoldás a WEP problémáira
802.11 autentikáció
802.11i
Jákó András Mohácsi János: WLAN tutorial
Wired Equivalent Privacy• adat keretek titkosítása
– adótól vevőig
– keretenként
• RC4 szimmetrikus kulcsú folyamkódoló
– a bemenetére adott rövid kulcsból hosszú véletlenszerű kulcsfolyamot generál determinisztikusan
– a nyílt szöveget a kulcsfolyammal XOR-olva kapjuk a titkosított szöveget
kulcs
kulcsfolyam
nyílt szöveg
titkos szöveg
RC4
Jákó András Mohácsi János: WLAN tutorial
Wired Equivalent Privacy (folyt.)• IV – Initialization Vector
– egy kulcsfolyam többszöri felhasználása veszélyes
– (kulcs, IV) az RC4 bemenete, így a kulcsfolyam más, ha az IV más
• ICV – Integrity Check Value
– 32 bites CRC hozzáadása titkosítás előtt
– titkosított keret észrevétlen módosítása ellen
kulcsfolyam
adat
adat
WEP kulcsIV
ICV
ICV
adat ICVIVMAC Hdr FCSRC4
Jákó András Mohácsi János: WLAN tutorial
WEP tulajdonságok• 24 bites IV
• 40 vagy 104 bites kulcs– a szabványban csak a 40 bites kulcs szerepel
– a 104 bites kulcsot rendszerint 128-nak írják a marketing anyagokban
• lehet a BSS-ben közös kulcsot használni– egyszerre négy közös kulcs adható meg
• adáskor az adó választ egyet
• a sorszámát beleírja a keret fejlécébe
• a közös kulcsok felülbírálhatók adó-vevő párhoz tartozó kulccsal– broadcast és multicast forgalom mindig közös kulcsokkal
• a kulcsmenedzsmentről nem szól a szabvány
Jákó András Mohácsi János: WLAN tutorial
AgendaBiztonság
802.11 titkosítás (WEP)
WEP problémák
Megoldás a WEP problémáira
802.11 autentikáció
802.11i
Jákó András Mohácsi János: WLAN tutorial
WEP problémák• IV ütközés azonos - IV-k azonos kulcsfolyamot
eredményeznek• nyílt szövegek egymással XOR-olt összege megkapható
azonos IV-vel titkosított keretek XOR-olásával• a nyílt és a hozzá tartozó titkosított keretpár - XOR-olásuk
megadja az adott IV-hez tartozó kulcsfolyamot• az ICV-nek használt CRC lineáris: a titkosított üzenet
bitjei a nyílt üzenet ismerete nélkül észrevétlenül módosíthatók
• Gyenge RC4 IV-k: bizonyos gyenge IV-k esetén a kulcsfolyam elejéből következtetni lehet kulcsbitekre
• Részletesen lásd: Jákó András Wireless LAN tutorial, NWS 2003
Jákó András Mohácsi János: WLAN tutorial
AgendaBiztonság
802.11 titkosítás (WEP)
WEP problémák
Megoldás a WEP problémáira
802.11 autentikáció
802.11i
Jákó András Mohácsi János: WLAN tutorial
Megoldás a WEP problémáira
• állomásonként különböző WEP kulcs használata
• WEP kulcs gyakori cseréje– 802.1x + RADIUS session timeout + reauthentication
• IV nem közvetlenül része az RC4 bemenetnek– TKIP per-packet keying
• kriptográfiailag erős integritásellenőrző kód CRC helyett– TKIP MIC
Jákó András Mohácsi János: WLAN tutorial
Temporal Key Integrity Protocol• per-packet keying
– hash függvény segítségével keretenként különböző RC4 bemenet• az RC4 teljes bemenete változik, nem csak az IV 24 bitje
– így is csak 224 különböző kulcsfolyam létezik egy WEP kulcshoz• a WEP kulcsot TKIP használatakor is cserélni kell rendszeresen
– a Fluhrer-Mantin-Shamir támadás így hatástalan
hash
kulcsfolyam
WEP kulcsIV
RC4
keret kulcsIV
kulcsfolyam
WEP kulcsIV
RC4
Jákó András Mohácsi János: WLAN tutorial
TKIP (folyt.)• 48 bites IV (24 helyett)• MIC – Message Integrity Check - Michael
– keretek sorszámozása visszajátszás ellen
– integritásellenőrző összeg kriptográfiailag erős hash függvénnyel• 32 bites MMH• DA, SA, seq, payload
payload ICVIVMAC Hdr FCSseqMIC
payload ICVseqSADA
hash
Jákó András Mohácsi János: WLAN tutorial
AgendaBiztonság
802.11 titkosítás (WEP)
WEP problémák
Megoldás a WEP problémáira
802.11 autentikáció
802.11i
Jákó András Mohácsi János: WLAN tutorial
Mi az az autentikált hálózati hozzáférés?
• Egy mechanizmus, amely segítségével a hálózathoz való hozzáférés korlátozott az arra jogosultaknak– Az azonosító tipikusan userID
• Mi a helyzet a több-felhasználós gépekkel?
• Ha autentikáltunk, akkor többnyire a session-t autorizálni is kell– autorizáció olyan dolgokat tartalmazhat mint VLANID, rate limit, ACL,
tunnelek, stb.
• A kapcsolat „ellopása” ellen szükséges a csomagonkénti autentikáció is– Minden csomag titkosítása az autenikációból nyert kulccsal (MIC)– a
csomagok hozzárendelődnek az autentikált állomáshoz
– Nincs MIC a PPP-ben és WEP-ben
Jákó András Mohácsi János: WLAN tutorial
Hálózat hozzáférési autentikációs alternativák
• Hálózat hozzáférési autentikáció már minden rétegben létezik– PHY
• Példa: 802.11b
• +: MAC vagy TCP/IP változtatás nem szükséges
• - Cons: firmware és NAS támogatás szükséges új autentikációs megoldásokhoz, nehéz integrálni az AAA-val
– MAC
• példa: PPP , 802.1X
• +: firmware változtatás nem szükséges új autentikációs megoldásokhoz, könnyű AAA integráció, nem szükséges a hálózathoz hozzáférést engedni az autentikácó előtt, bővíthető (RFC 3748)
• -: MAC layer-ben változtatni kell
Jákó András Mohácsi János: WLAN tutorial
Hálózat hozzáférési autentikációs alternativák/2
– IP• Példa: hotel hozzáférés ( ICMP re-direct autentikációs web server)• +: Semmilyen MAC vagy TCP/IP változtatás nem szükséges• -: Nem minden alkalmazással működik, nincsen kölcsönös autentikáció,
részleges hálózati hozzáférés szükséges az autentikáció előtt, a hozzáférés szabályozási szervert az első hop-on kell megtalálni, tipikusan nem bővíthető, titkosítási kulcsok nem származtathatók, nincs accounting (nincs logoff)
– UDP/TCP• Példa: Proprietary/szabványos token card protocols• +: Semmilyen MAC vagy TCP/IP változtatás nem szükséges –
implementálható a tisztán alkalmazásos rétegben• -: kliens szoftver szükséges, részleges hálózati hozzáférés szükséges az
autentikáció előtt, a hozzáférés szabályozási szervert meg kell találni, tipikusan nem bővíthető, nincs accounting (nincs logoff)
Jákó András Mohácsi János: WLAN tutorial
SSID
• csak kitöltött SSID mezőjű Association Request– broadcast (üres) SSID nem elég
• Beacon keretekből az SSID kihagyása– nem szabványos
– úgyis le lehet hallgatni az SSID-t más menedzsment keretekből
• az SSID nem autentikációra való
Jákó András Mohácsi János: WLAN tutorial
Nyílt autentikáció
• Open Authentication
• gyakorlatilag nincs autentikáció, csak formálisan
Open Authentication Req
Open Authentication Response: OK
Jákó András Mohácsi János: WLAN tutorial
MAC cím autentikáció• nyílt autentikáció kiegészítve a MAC cím ellenőrzéssel• megengedett MAC addressek listája
– lokálisan az access pointban– RADIUS/TACACS+ serveren
• Probléma: MAC cím hamisítható
RADIUS
Association Req
Association Response
RADIUS Access-Req
RADIUS Access-Accept
Open Authentication Req
Open Authentication Response: OK
Block client traffic
Unblock client traffic
Jákó András Mohácsi János: WLAN tutorial
Közös kulcsos autentikáció• Shared Key authentication• véletlen Challenge kódolása mindkét fél által ismert titkos kulccsal• kétirányú autentikáció újabb 4 üzenettel, a szerepek felcserélésével
lehetséges• Problémák: lehallgatás után támadható – brute force
WEP(Challenge)
Authentication Response
Authentication Req
Challenge
Jákó András Mohácsi János: WLAN tutorial
Mi is IEEE 802.1X?• IEEE szabvány autentikált és automatikusan létesítet LAN-okra
– 2001-ban fogadták el – utolsó változat 2004 , egyetemi igény (DHCP,PPPOE, VPN nem volt megfelelő) - 3Com, HP, és Microsoft
– EAP alapú, IETF RFC 2284
• autentikációs és kulcsmenedzsment keretrendszer
– IEEE 802.1X származtatja a kulcsot amit csomagonkénti autentikációra, integritás ellenőrzésre és titkosításra lehet használ
• Több fajta kulcs származtató megoldást lehet használni (TLS, SRP, stb.)
– IEEE 802.1X – képes autentikációra, vagy autentikációra és titkosításra
– Titkosítás egyedül nem támogatott
• Mi nem a 802.1X ?
– Nem vezeték nélküli megoldás (pl. Ethernet First Mile alkalmazás)
– PPP over Ethernet (PPPOE) – EAP a PPPoE-ben támogatott
– Nem titkosító – nem helyettesíti WEP, RC4, AES szabványt – kulcs származtatható
– Nem egyetlen autentikációs mód – több is támogatható egyszerre
Jákó András Mohácsi János: WLAN tutorial
IEEE 802.1x• EAPOL – EAP over LANs (néha EAPOW – de az nem definiált)
– EAP csomagok átvitele 802.3 LAN-ok adatkapcsolati rétege felett
• szereplők:– supplicant – hozzá akar férni a hálózathoz
– authenticator – ellenőrizni akarja a supplicant jogosultságát
– authentication server – az authenticator számára ellenőrzi a supplicant jogosultságát
RADIUS
authenticator auth. serversupplicant
EAPMAC EAPOL EAPUDP RADIUS
Jákó András Mohácsi János: WLAN tutorial
IEEE 802.1x (folyt.)• amíg a supplicant azonossága nincs igazolva, addig az
authenticator csak EAP forgalmat enged át a supplicant portján– WLAN esetén ez az Association ID-hez rendelt virtuális port
RADIUS
authenticator auth. serversupplicant
EAPMAC EAPOL EAPUDP RADIUS
EAP
adat
Jákó András Mohácsi János: WLAN tutorial
AgendaBiztonság
802.11 titkosítás (WEP)
WEP problémák
Megoldás a WEP problémáira
802.11 autentikáció
802.11i
Jákó András Mohácsi János: WLAN tutorial
802.11i komponensek
PHY
MAC
802.1X Uncontrolled
Port
802.1X Controlled
Port
Station Management Entity
802.1XAuthenticator/Supplicant
Data Linklayer
Physicallayer
PMD
802.11i állapotgépWEP/TKIP/CCMPTemporal key
PTK ← PRF(PMK)(PTK = KCK | KEK | TK)
Adat
Jákó András Mohácsi János: WLAN tutorial
802.11i működés
Titkosítás: TKIP és CCMP
Autentikació
802.11i kulcs menedzsment Session Key terítés
Biztonsági lehetőségek felmérése
Biztonsági egyeztetés
authenticator RADIUS
auth. server
supplicant
Autentikáció a supplicant (STA) és autentikációs szerver (AS) között történik
Jákó András Mohácsi János: WLAN tutorial
802.11i elemei
• Kulcs hierarchia– Pairwise Keys, – Group Keys
• EAP/802.1X/RADIUS• Működési fázisok
– Felmérés - Discovery– Autentikáció Authentication, – Kulcs menedzsment - Key Management, – Adat csere
Jákó András Mohácsi János: WLAN tutorial
802.11i elemei
• Kulcs hierarchia– Pairwise Keys, – Group Keys
• EAP/802.1X/RADIUS• Működési fázisok
– Felmérés - Discovery– Autentikáció Authentication, – Kulcs menedzsment - Key Management, – Adat csere
Jákó András Mohácsi János: WLAN tutorial
Felmérés• RSN-ben AP leírja, hogy mit támogat
– UCast,Mcast (WEP40,WEP104, TKIP, CCM)
– AKM –Authenticated Key Management (PSK, 802.1X)
Probe Request
Beacon vagy Probe Response + RSN IE (AP CCMP Mcast, CCMP Ucast, 802.1X Auth)
Hirdeti WLAN Biztonsági politikát
authenticatorsupplicant
authenticator
Jákó András Mohácsi János: WLAN tutorial
Egyeztetés• Supplicant kiválasztja a neki szimpatikus Unicast és Multicast titkosítót, autentikációs és
kulcs menedzsment megoldást a hirdetettek közül• Csak WEP képes eszközök nem ismerik fel az RSN-t• Az Egyeztetés bővíthető• Probléma: downgrade attack
Association Req + RSN IE (STA kiválasztja CCMP Mcast, CCMP Ucast,
802.1X Auth)
Association Response (success)
authenticatorsupplicant
Jákó András Mohácsi János: WLAN tutorial
802.11i elemei
• Kulcs hierarchia– Pairwise Keys, – Group Keys
• EAP/802.1X/RADIUS• Működési fázisok
– Felmérés - Discovery– Autentikáció Authentication, – Kulcs menedzsment - Key Management, – Adat csere
Jákó András Mohácsi János: WLAN tutorial
Kulcs menedzsment• Adott egy “jó” PMK (pairwise master key)
– PMK a STA-hoz és az AP-hez kötése (csak ők ismerik)
– Ellenőrzés, hogy tényleg az AP és STA PMK tulajdonos
– Egyedi session azonosító generálása – PTK
– Session kulcs szinkronizált terítése a kommunikálni szándékozó AP-nak és STA-nek
– Ellenőrzés a partnerek kommunikáció képesek
– Csoport Kulcs szétosztása
Jákó András Mohácsi János: WLAN tutorial
802.11i Pairwise Kulcs Hierarchia
Pairwise Master Key (PMK) : 256 bit hozzáférési token -egy a sessionre jellemző szimmetrikus kulcs, ami segítségével STA és
AP(s) hozzéférnek 802.11 csatornához
Pairwise Transient Key (PTK) = 802.11i-Hash(PMK, AP Nonce| STA Nonce | AP MAC Addr| STA MAC Addr)
MK az autentikációból: PMK=TLS-Hash(MasterKey, “client EAP encryption” | clientHello.random | serverHello.random)
Key Confirmation Key (KCK) – PTK
bits 0–127
Key Encryption Key (KEK) – PTK
bits 128–255
Temporal Key – PTK bits 256–n – can have cipher suite specific structure
Groupkey továbbítására használt
Titkosításra használt (mint WEP)
PMK meglétének ellenőrzésére használt
Sikeres autentikáció
Jákó András Mohácsi János: WLAN tutorial
802.11i elemei
• Kulcs hierarchia– Pairwise Keys, – Group Keys
• EAP/802.1X/RADIUS• Működési fázisok
– Felmérés - Discovery– Autentikáció Authentication, – Kulcs menedzsment - Key Management, – Adat csere
Jákó András Mohácsi János: WLAN tutorial
Hogy jön ide 802.1X?
802.1X (EAP-Request Identity)
802.1X (EAP-Response Identity)
EAP Transport (EAP-Response Identity)
EAP-specific (mutual) authentication
EAP Transport (EAP-Success, PMK)
802.1X (EAP-Success)
Derive Pairwise Master Key (PMK) Derive Pairwise Master Key (PMK)
802.1X háttér EAP Transport
802.11i Assumption
supplicant authenticator RADIUS
auth. server
Jákó András Mohácsi János: WLAN tutorial
802.1X üzenetek
• Authenticator csak közvetítőként funkcionál 802.1X autentikációban
• 802.1X kommunikáció adat csomagokat használ – csak 802.11 association után működik– problémás lehet AP roaming esetén
• Session paraméterek meghatározása az EAP-ra van bízva
• Minden 802.1X üzenet támadható ha vezeték nélküli hálón megy át.– Supplicant és Authenticator a biztonság érdekében a 4-utas
kézfogásra is épít és nem csak az EAP-Success-re
Jákó András Mohácsi János: WLAN tutorial
802.11i elemei
• Kulcs hierarchia– Pairwise Keys, – Group Keys
• EAP/802.1X/RADIUS• Működési fázisok
– Felmérés - Discovery– Autentikáció Authentication, – Kulcs menedzsment - Key Management, – Adat csere
Jákó András Mohácsi János: WLAN tutorial
Mi is az az EAP?• Extensible Authentication Protocol (RFC 3748)
– Flexibilis link layer biztonsági keretrendszer– Egyszerű enkapszulációs protokoll
• Nem függ az IP-től• ACK/NAK, nincs forgóablakos megoldás• Nincs tördelés támogatva
– Néhány link layer feltételezés• képes működni bármely link layerrel (PPP, 802, stb.)• Nem feltételez biztonságos link-et
– módszerek, hogy mégis biztonságos legyen
• nincsen sorrend csere• Képes működni link layeren melyen elveszhetnek csomagok
– Újra küldés az autentikátor feladata
• EAP metódusok IETF szabványon alapulnak
Jákó András Mohácsi János: WLAN tutorial
supplicant
EAP Operation
(EAP-Response Identity)
EAP-Response Identity
EAP-Success || PMK
EAP-Success
Master Session Kulcs származtatás (MSK)
Master Session Kulcs származtatás (MSK)
Data link Backend EAP Transport
Method specific EAP Request
Method specific EAP Response
Ismétlés sikerig, vagy hibáig
authenticator RADIUS
auth. server
Jákó András Mohácsi János: WLAN tutorial
EAP-TLS működés• EAP-TLS = RFC 2716• X.509 certificate alapú működés• Erős MK generálódik
EAP Request/TLS Start
EAP Response/TLS ClientHello(Random1)
EAP Request/TLS ServerHello(Random2) || Certificate [|| ServerKeyExchange] [|| CertificateRequest] || ServerHelloDone
EAP Response/TLS Certificate || ClientKeyExchange [|| CertificateVerify] || ChangeCipherSpec || Finished
EAP Response/Identity
EAP Request/TLS ChangeCipherSpec || Finished
EAP Success
EAP Response
supplicant
RADIUS
auth. server
MasterKey= TLS-PRF(PreMasterKey, “master secret” ||
random1|| random2)
MasterKey= TLS-PRF(PreMasterKey, “master secret” ||
random1|| random2)
PMK = TLS-PRF(MasterKey, “client EAP encryption” || random1|| random2)PMK = TLS-PRF(MasterKey,
“client EAP encryption” || random1|| random2)
Fontos a CA és a tanúsítvány ellenőrzés!
PMK
Jákó András Mohácsi János: WLAN tutorial
EAP/Identity Request EAP-Method in Tunnel
PEAP működés
EAP/Identity Request
EAP/Identity Response (user id@realm)
EAP/Identity Response (anonymous@realm)
EAP/Response/ Method Response
EAP/ Request / Method Challenge
EAP/ Success
STA azonosítja a AS-t: EAP-TLS Tunnel establishment
Tunnel Keys DerivedTunnel Keys Derived
Inner EAP Method Keys Derived & used
Inner Method Keys Derived
supplicant
RADIUS
auth. server
Jákó András Mohácsi János: WLAN tutorial
EAP-FAST működés
P0:PAC(Protected Access
Credential) key terítés
P1:Tunnel létrehozás
P2: Tényleges autentikáció
Jákó András Mohácsi János: WLAN tutorial
EAP-PEAP, EAP-TTLS• TLS
– server autentikációja digitális tanúsítvány alapján
– titkosított TLS csatorna a supplicant és az authentication server között
– a klienseknek nincs szükségük saját tanúsítványokra
• kliens autentikációja a biztonságos titkosított TLS csatornán– önmagában gyenge autentikációs módszer is megfelelő lehet
• kódolatlan jelszó
• MD5-challenge
• stb.
• EAP-PEAP – Protected EAP– kliens autentikációja: EAP-*
• EAP-TTLS – Tunneled TLS– kliens autentikációja: PAP, CHAP, MS-CHAP, EAP-*
Jákó András Mohácsi János: WLAN tutorial
EAP típusokTulajdonság EAP MD5 LEAP EAP TLS PEAP EAP TTLS
Biztonsági megoldás
Szabványos Vendor specifikus
Szabványos Szabványos
Szabványos
Tanúsítvány – Kliens
Nem ? Igen Nem Nem
Tanúsítvány – Szerver
Nem ? Igen Igen Igen
Azonosítás biztonsága
Semmilyen Gyenge Erős Erős Erős
Támogatott autentikációs adatbázis
Nyílt szövegű adatbázis
Active Directory,NT Domains
Active Directory, LDAP stb.
Active Directory, NT Domain, Token Systems, SQL, LDAP stb.
Active Directory, LDAP, SQL, Egyszerű jelszó fájl, Token Systems stb.
Dinamikus Kulcs Csere
Nem Igen Igen Igen Igen
Kölcsönös azonosítás
Nem Igen Igen Igen Igen
Jákó András Mohácsi János: WLAN tutorial
802.11i elemei
• Kulcs hierarchia– Pairwise Keys, – Group Keys
• EAP/802.1X/RADIUS• Működési fázisok
– Felmérés - Discovery– Autentikáció Authentication, – Kulcs menedzsment - Key Management, – Adat csere
Jákó András Mohácsi János: WLAN tutorial
Mi az a RADIUS?• Remote Access Dial In User Service• Támogatja az autentikácót, autorizációt és accountingot a hálózati
hozzáférések esetében– Fizikai port (analog, ISDN, IEEE 802)– Virtuális port (tunnel, wireless)
• Lehetővé teszi központi adminisztrációt és accountingot• IETF
– Draft standard• RFC 2865, RADIUS authentication/authorization• Update-ek: RFC 2868, RFC 3575
– Informational• RFC 2866, RADIUS accounting• RFC 2867-8, RADIUS Tunneling support• RFC 2869, RADIUS extensions• RFC 3162, RADIUS for IPv6
Jákó András Mohácsi János: WLAN tutorial
RADIUS Packet Format
• Code: identifies the type of RADIUS packet.– 1 for Access-Request, 2 for Access-Accept, 3 for Access-Reject, 11 for Access-
Challenge )
• Identifier: aids in matching requests and replies. • Length: indicates the length of the packet including the Code, Identifier, Length,
Authenticator and Attribute fields.• Authenticator: used to authenticate the reply from the RADIUS server, and is
used in the password hiding algorithm.• E.g.. MD5(Code+ID+Length+RequestAuth+Attributes+Secret)• Attributes: carry the specific authentication, authorization, information and
configuration details for the request and reply.
Code(1 octet=8 bits)
Identifier(1 octet)
Length(2 octets)
Attributes…
Authenticator(4 lines of 4 octets each = 16 octets)
Jákó András Mohácsi János: WLAN tutorial
RADIUS OperationRADIUS Operation
Dial In User NAS(RADIUS Client)
RADIUS Server
Dial In User
Databaseof Users
Dial In User
Credentials
Creden
tials
Credentials
Access-Request Find User
Access-Accept
Access-Reject
Access-Challenge
Service
Servi
ce
Service
Jákó András Mohácsi János: WLAN tutorial
Challenge Response: Example
Dial In User NAS(RADIUS Client)
RADIUS Server Databaseof Users
Access-Request
• The server sends back either an Access-Accept or Access-Reject based on The server sends back either an Access-Accept or Access-Reject based on whether the response matches the required value, or it can even send another whether the response matches the required value, or it can even send another Access-Challenge.Access-Challenge.
Find User
Access-Challenge
"Challenge 12345678, "Challenge 12345678, enter your response at the enter your response at the
prompt"prompt" New Access-Request
Access-Accept
Access-Reject
Credentials
• NAS prompts for the response and sends a NEW Access-Request to the server NAS prompts for the response and sends a NEW Access-Request to the server with the response (credentials) just entered by the user, encrypted.with the response (credentials) just entered by the user, encrypted.
• The server sends back an Access-Challenge packet with a Reply-Message along The server sends back an Access-Challenge packet with a Reply-Message along the lines of "Challenge 12345678, enter your response at the prompt" which the the lines of "Challenge 12345678, enter your response at the prompt" which the NAS displays to the user. NAS displays to the user.
• NAS sends an Access-Request packet to the RADIUS Server.NAS sends an Access-Request packet to the RADIUS Server.
Access-Challenge
Jákó András Mohácsi János: WLAN tutorial
Proxy RADIUS ScenarioProxy RADIUS ScenarioInternet
Dial In User NAS(RADIUS Client)
RADIUS Server(“Proxy”: actingas a Client toothers servers)
RADIUS Server(“Remote”: need
validate thesending client.)
Databaseof Users
Credentials Access-Request Access-Request Find User
Access-Accept
Access-Reject
Access-Challenge
Service
• A RADIUS communication among a NAS, a forwarding (Proxy) and a Remote RADIUS server:
1. A NAS sends its access-request to the forwarding server. 2. The forwarding server forwards the access-request to the remote server. 3. The remote server sends an access-accept, access-reject or access-challenge
back to the forwarding server. For this example, an access-accept is sent. 4. The forwarding server sends the access-accept to the NAS which delivers
the service to the user.
Access-Accept
11 22
33
44
Jákó András Mohácsi János: WLAN tutorial
Overview of RADIUS Features• AAA (Authentication, authorization, and accounting)
solution
• Third party s/w usually available as freeware
• Supported by Multiple vendors and their products
• De-facto AAA industry standard
• Easy to configure
• Restrict user logins based on no., time, days etc
• Can assign IP’s and routes, access list etc dynamically
• Detailed accounting record
• Uses UDP
Jákó András Mohácsi János: WLAN tutorial
Overview of RADIUS Features/2
• Truly Distributed
• Proxy facility is available i.e. Roaming
• Only the configured NAS will be able to get service
• Supports vendor specific attributes
• Groups, users and default entries are available in the users file.
• Supports SQl, LDAP and System authentication etc.
• Radius port authentication on UDP/1812 Accounting on UDP/1813
Jákó András Mohácsi János: WLAN tutorial
802.11i elemei
• Kulcs hierarchia– Pairwise Keys, – Group Keys
• EAP/802.1X/RADIUS• Működési fázisok
– Felmérés - Discovery– Autentikáció Authentication, – Kulcs menedzsment - Key Management, – Adat csere
Jákó András Mohácsi János: WLAN tutorial
4-utas kézfogás
EAPOL-Key(Reply Required, Unicast, ANonce)Véletlen ANonce
EAPOL-Key(Unicast, SNonce, MIC, STA RSN IE)
EAPOL-Key(Reply Required, Install PTK, Unicast, ANonce, MIC, AP RSN IE, GTK)
Véletlen SNonce, származtatott PTK = 802.11i-Hash(PMK, ANonce || SNonce || AP MAC Addr || STA MAC Addr)
EAPOL-Key(Unicast, MIC)
PMKPMK
supplicantauthenticatorHogyan garantált. hogy a kulcs a
szükséges helyen van – kulcscsere.
A 802.1x kulcs csere javítása 3 szereplősre
PTK származtatott nem a csatornán átvitt!
PTK kiszámolás
Jákó András Mohácsi János: WLAN tutorial
4-utas kézfogás /2
• ANonce, SNonce 256 bit véletlen számok
• A PTK – származtatott– Minden sessionnél más és más (ANonce, SNonce)
– A STA és AP-ra van szabva
• Egyelőre nem ismert egyszerű támadás ellene – ha tényleg véletlen számolhat használunk– DoS szerű támadás lehetséges volt – az első üzenetből
több érkezik – melyik a helyes?• Javítva : első üzenet PMK-val generált MIC-el védett
Jákó András Mohácsi János: WLAN tutorial
Csoport kulcs frissítés
EAPOL-Key(All Keys Installed, ACK, Group Rx, Key Id, Group , RSC, MIC, GTK)
Véletlen GNonce, és véletlen GTK választás
EAPOL-Key(Group, MIC)
GTK kikódolása
PTK PTK
supplicantauthenticator
GTK titkosítása KEK -el
Key Encryption Key: A PTK része
A multicast és broadcast üzenetek kódolásához használt kulcsok frissítése
Jákó András Mohácsi János: WLAN tutorial
802.11i elemei
• Kulcs hierarchia– Pairwise Keys, – Group Keys
• EAP/802.1X/RADIUS• Működési fázisok
– Felmérés - Discovery– Autentikáció Authentication, – Kulcs menedzsment - Key Management, – Adat csere
Jákó András Mohácsi János: WLAN tutorial
802.11i adatcsere (filtering)
Adatcsere (Titkosítás: TKIP és CCMP)
Autentikació
802.11i kulcs menedzsment
4 utas kézfogás, group kulcs frissítés
Session Key terítés
Biztonsági lehetőségek felmérése
Biztonsági egyeztetés
authenticator RADIUS
auth. server
supplicant
Pairwise kulccsal és
csoport kulccsal védett
csomagok továbbítása
Pairwise kulccsal és
csoport kulccsal védett
csomagok továbbítása
Jákó András Mohácsi János: WLAN tutorial
802.11i adatcsere/2• 802.11i 3 titkosítási protokollt definiál
– CCMP – AES 128 bites kulccsal Counter Mode Encryption CBC Mac-el
– WRAP – AES OCB módban – IPR probléma– TKIP – Michael-el MIC-el lásd előrébb – csak a régi eszközök
támogatása miatt....• Célok és megoldások
– Csak titkosított csomagok kerülnek kiküldésre– Az üzenet feladója autentikálható legyen- Hamisítás
megakadályozható– A csomagok sorszámozottak – visszajátszásos támadás nem
működik– Ne legyen szükség új session kulcs generálására- 48 bites csomag
sorszám (44+4)– QoS (IEEE 802.11TGe) támogatása
Jákó András Mohácsi János: WLAN tutorial
CCM
MAC header
Mask out duration + some part of frame &
sequence control
Additional Auth Datamessage
AES CTR
Packet numberNonce
QoS+DA
Temporal Key
MAC header CCMP header
AESCBCMAC
Encr. dataEIV MIC
Jákó András Mohácsi János: WLAN tutorial
AES Counter Mode – AES CTR
• Csak AES-t kódólót kell implementálni – dekódólót nem – dekódolás ugyanaz
• Counter = fv(Nonce)• Az utolsó blokk extra bitjei törlődnek
Counter (128bit)
Encrypted counter
1. nyílt blokk (128bit)1. titkos blokk (128bit)
AES
Counter+1 (128bit)
Encrypted counter
2. nyílt blokk (128bit)2. titkos blokk (128bit)
AES
Jákó András Mohácsi János: WLAN tutorial
AES Cipher Block Chaining MAC – AES CBC MAC
• Csak AES-t kódólót kell implementálni• Kulcs=fv(AAD, Temporal Key)• Az utolsó blokk fel van paddelve
128 bit
2. nyílt blokk (128bit)
AES
1. nyílt blokk (128bit)
AES
128 bit
3. nyílt blokk (128bit)
AES
128 bit MIC
Jákó András Mohácsi János: WLAN tutorial
802.11i jövő
• Fast-handoff – IEEE 802.11 TGr munkacsoport dolgozik rajta– 5. változatban tárgyalva 2007. március 20.
– Ha minden rendben megy szabvány 2008. március
Jákó András Mohácsi János: WLAN tutorial
Pre-authentication és autentikátor roaming (fast-handoff)
• Ha AP között mozgunk, akkor újra kéne autentikálnunk (802.1X, EAP, RADIUS, 4WHS...) - < 20 ms, a néhány másodperc helyett
• Elkerülendő 802.11 TGr munkacsoport dolgozik rajta – pre-authentication, proactive key distribution, PMK caching, PMK plumbing, PMK naming– Prestandard megoldások
RADIUS
auth. server
authenticator2
supplicantauthenticator1
802.11f szabvány az AP-k topológiájáról
Jákó András Mohácsi János: WLAN tutorial
Fast Secure Roaming - à la Cisco
• Cisco Centralise Key Management (CCKM)– Csak LEAP és EAP-FAST – elvileg lehetne bármilyen EAP
alapú protokoll
– Wireless Domain Service (WDS) server szükséges hozzá• Aironet 1230 AG Series APs
• Aironet 1200 Series APs
• Aironet 1130 AG Series APs
• Aironet 1100 Series APs
• Catalyst 6500 Series Wireless LAN Services Module (WLSM)
• Ezen keresztül mennek az EAP üzenetek WLCCP (Wireless Lan Context Control Protocol) csomagolásban – WDS mindent tud
Jákó András Mohácsi János: WLAN tutorial
Bevezető
Fizikai réteg
Biztonság
Közeghozzáférés
Eduroam
Agenda
Jákó András Mohácsi János: WLAN tutorial
Eduroam
• Föderációs infrastruktúra a hallgató, oktatói és kutatói mobilitás támogatására – Biztonságos és egyszerű Wireless LAN hozzáférés ha
más intézményben járunk• Magyarországi viszonylatban
• Európai viszonylatban
• Világ viszonylatban
Jákó András Mohácsi János: WLAN tutorial
Miért szeretjük a wireless hozzáférést?
dial-upISP
Intézmény A
WLAN
Intézmény B
WLAN
ADSLISP
GÉANT2 + BIX
WLANISP
GPRSISP
HBONE gerinc
Jákó András Mohácsi János: WLAN tutorial
Wifi veszélyei
• Mac cím és SSID felderítés– TCPdump
– Ethereal
• WEP cracking– Kismet
– Airsnort
• Közbeékelődő támadás
Jákó András Mohácsi János: WLAN tutorial
Követelmények egy modern wireless hozzáféréssel szemben
• A felhasználók egyértelmű azonosítása a hálózat szélén– Nem lehet a wireless kapcsolatot “ellopni”
• Lehetőség látogatók fogadására• Skálázható
– Anya intézményi felhasználói adminisztráció és autentikáció – nincs központi adatkezelő!!!
– Jó, ha tudjuk használni a már létező Radius infrastruktúrát
• Könnyen használható• Nyitott
– Minden operációs rendszerben támogatott– Szállító független
• Biztonságos• IPv6 támogatás• Eduroam kompatibilis
Jákó András Mohácsi János: WLAN tutorial
Miért nem nyitott hálózat + web gateway?
• Nyitott (kontrollált) hálózat, web gateway (W)LAN és az internet közé (session intercept)
• RADIUS használható
• Guest/roaming könnyű
• Böngésző nélkül nem megy
• Biztonsági problémák
Internet
Public Access Network
Public AccessController
AAAServer
WWW-browser
1.
2.
3.4.
5.
Jákó András Mohácsi János: WLAN tutorial
Miért nem nyílt hálózat + VPN Gateway?• Nyitott (kontrollált) hálózat + kliens a VPN koncentrátoron
autentikál és hozzá fér az Internethez
• Kliens software szükséges – melyik is?
• Nem biztos, hogy szabványos (hacsak nem IPsec vagy PPPoE)
• Nehezen skálázható – új résztvevő konfigurációjához az ACL-eket mindenütt át kell vezetni...
• VPN-koncentrátor drága mulatság
• Guest/roaming használat nehézkes – VPN VPN-ben? – működik ez?
• Debugolás? – minden titkosított...
Jákó András Mohácsi János: WLAN tutorial
Eduroam infrasruktúra komponensei
• IEEE 802.1x portalapú autentikáció
• Radius autentikációs szerver
• Acccess point
• Felhasználói adatbázis
• Hazai és nemzetközi föderációs rendszer – szabályrendszer
– közösség
Jákó András Mohácsi János: WLAN tutorial
IEEE 802.1x• Igazi port alapú Layer 2 azonosítás a kliens és a AP/switch
között
• Többféle autentikáció lehetséges (EAP-MD5, MS-CHAPv2, EAP-SIM, EAP-TLS, EAP-TTLS, PEAP)
• Szabványos
• Titkosítja a kommunikációt dinamikus kulcsokkal
• RADIUS támogatás
– Skálázható
• Dinamikus VLAN hozzárendelés támogatott
• Kliens szoftver szükséges (OS vagy 3rd -party)
• Vezeték nélküli és vezetékes hálózat is támogatott
Jákó András Mohácsi János: WLAN tutorial
802.1x és Wireless
• WPA és 802.11i ún. Enterprise módja implementálja a 802.1x-et
Jákó András Mohácsi János: WLAN tutorial
Wireless biztonság – hogy megy át az EAP?
EAP
Ethernet
EAPOL RADIUS (UDP/IP)
802.1
XAuth. Server
(RADIUS server)
Authenticator
(AccessPoint,
Switch)
Supplicant
(laptop,
desktop)
Ethernet
EAP
adat
Jákó András Mohácsi János: WLAN tutorial
Mi is az a Wireless Roaming?• Definició
– Képesség/lehetőség, hogy több vezetéknélküli internet szolgáltatót használjak, de csak eggyel vagyok szerződéses viszonyban.
• Követelmények– 802.1X képes kliens 802.11 vezetéknélküli kártyával
– Roaming képes autentikációs proxy és szerver – RADIUS ideális
• Roaming szabványok IETF ROAMOPS WG– RFC 2194, Roaming Implementations Review
– RFC 2477, Roaming Evaluation Criteria
– RFC 2486, Network Access Identifier
– RFC 2607, Proxies and Policy Implementation
Jákó András Mohácsi János: WLAN tutorial
Eduroam
• Föderációs infrastruktúra a hallgató, oktatói és kutatói mobilitás támogatására
• 2004-ben jött létre – Terena TF-mobility
• 2005-től GN2 JRA5 fejlesztések– Monitorozás
– Európai szolgáltatás
Jákó András Mohácsi János: WLAN tutorial
Nemzeti Eduroam policy-k
• Kölcsönös hozzáférés
• Tagok a Radius hierarchiába bekötött intézmények
• Az anyaintézmény (marad) felelős a felhasználóikért
• Az anyaintézmény felelős a helyes felhasználói nyilvántartásért
• Anya- és meglátogatott intézmény elegendő log adattal kell, hogy rendelkezzen
• A minimális biztonsági szintet garantálni kell
Jákó András Mohácsi János: WLAN tutorial
NIIF Eduroam Szolgáltatások - Policy• Oktatási/Kutatási intézmény közgyűtemény – NIIF tag
• WPA-Enterprise módú autentikáció - javasolt WPA2
• Radius szerver - amely segítségével azonosítja a felhasználókat - EAP/TTLS-t, PEAP-ot, vagy EAP-TLS-t használva.
• Az eduroam SSID-ot támogatása - ha lehetséges broadcastolva is.
• A WLAN-ból el lehet érni a hálózatot - mininum a következőket
– HTTP és HTTPS, DNS, ICMP (minden!), passive FTP,IPSec (ESP, AH, IKE), OpenVPN, SSH, POPs, IMAPs, NTP, submission (smtp/auth)
– IPv6 tunnel broker
• IPv6 támogatása
• Képesnek kell lennie debugolni és támogatni a saját felhasználóit
• Egy teszt account rendelkezésre álljon a teszteléshez és monitorozáshoz
• AUP-vel rendelkezik
Jákó András Mohácsi János: WLAN tutorial
Eduroam résztvevők - Magyarország• NIIF Intézet
• BME
• Debreceni Egyetem
• HIK
• Széchenyi István Egyetem
• KFKI
• Szegedi Tudomány Egyetem – hamarosan
• Gödöllői Egyetem -hamarosan
• ELTE?
Jákó András Mohácsi János: WLAN tutorial
Eduroam Magyarországon• Teszt üzem 2006 április
– EugridPMA meeting 2006 május
– TF-CSIRT meeting
– Németországi projekt megbeszélés
• Eduroam Pilot szolgáltatás– Több résztvevő 2006 ősze
– TF-CSIRT/FIRST meeting - > 90 felhasználó
• NIIF Eduroam szolgáltatás – 2007 májusától
Jákó András Mohácsi János: WLAN tutorial
Eduroam -NG• GEANT2 roaming szolgáltatás = eduroam-NG
• Támogatja a jelenlegi Eduroam rendszert RADIUS, 802.1X)
• Fő fejlesztési irányok– Dinamikus trust képzés
– Formálisabb federáció
– Integrált 802.11i és WPA/WPA2
– Skálázhatóság és monitorozás
– Attributum-alapú authorizálás
– Integráció a EduGain-el
Jákó András Mohácsi János: WLAN tutorial
Hogyan csatlakozzunk az Eduroam-hoz?
• Előfeltételek:– Működtessünk egy karbantartott felhasználói adatbázist
– Működtessünk helpdesk-et ahol a felhasználói és biztonsági problémákat tudjuk kezelni
– Legyen felhasználói szabályzatunk és/vagy AUP-nk
• Állítsunk fel helyi vezeték nélküli hálózati szolgáltatást amely a fenti felhasználói adatbázist használja felhasználói azonosításra (802.1x)
Jákó András Mohácsi János: WLAN tutorial
Hogyan csatlakozzunk az Eduroam-hoz? /2• Állítsuk be a helyi 802.1X infrastruktúrát, hogy
– A your-domain.cc-tld realmről érkező kéréseket helyikét dolgozza fel
– Továbbítsa a nem helyi kéréseket (proxy) a nemzeti szerverre
• Egyeztessünk az NIIF-el:– Nemzeti radius szerverek FQDN neveiről és IP címeiről
– RADIUS szerverek közötti shared secretről – biztonságos csatornán
– Intézményi vezetéknélküli/eduroam website URL-je
– test-accountról – biztonságos csatornán
– Adminisztrátor elérhetősége
• Írjuk/írassuk alá a föderációs szerződést
Jákó András Mohácsi János: WLAN tutorial
Virtuális AP-k
• Vagy több szolgáltató vagy több fajta szolgáltatás érhető el vezeték nélküli hálózaton– Ezért több AP-t installálni elég nagy pazarlás
• Pazarlás a rádiós erőforrásokkal– A rádiós erőforrások korlátozottak– b és g rendszerben csak 3 nem átlapolódó csatorna van
• Pazarlás a pénzzel– Célszerűbb 1 jól infrastruktúrát kiépíteni amin több
szolgáltatás működhet
Jákó András Mohácsi János: WLAN tutorial
Mit kell támogatnia egy virtuális AP-nek?
• Több SSID támogatás egy AP-n– Több SSIDs a Beacon-ben– Csak egyetlen SSID szükséges az Association és Reassociation kéréshez
• IEEE 802.1X– A felhasználók userid-vel azonosíthatók
• Network Access Identifier (NAI) támogatás - RFC 2486– Formátuma user@realm, ahol realm azonosítja az otthoni szervert
• SNMPv3 támogatás– Context használható a több virtuál MIB instance kezelésére
• RADIUS autentikáció és accounting– SSID bekerül Called-Station-Id attributumban
• RADIUS proxy támogatás – RADIUS alapú roaming ahogy az RFC 2607 leírja
Jákó András Mohácsi János: WLAN tutorial
Virtuális AP használat
Suppl. 1 RADIUS
auth. server
SSID1
SSID2
RADIUS
auth. server
Suppl. 2
authenticator
Jákó András Mohácsi János: WLAN tutorial
Hogyan válaszunk Access Pointot?• Alapvető
– 802.1x támogatás – WPA- Enterprise, WPA2-Enterprise – 802.11i, – Logolás, konfigurálhatóság, SNMPv2c
• Ha komolyan gondoljuk– 802.11 - rádió
• Több SSIDs támogatás a Beacon-ben• 802.11 MIB
– 802.1X - 802.1X MIB– SNMPv3– RADIUS Authentication and accounting
– Termination-Cause & Connect-Info
• Full support for draft-congdon-radius-8021x-16.txt
• Jó ha van– IEEE 802.11f IAPP– Dynamic VLAN support
Jákó András Mohácsi János: WLAN tutorial
AP Hálózattervezési alapelvek
• Válaszzuk szét a Wireless LAN-t külön VLAN(ok)-ba– Wireless-VLAN(ok) segíthetnek a vezeték nélküli LAN jobb felügyeletében
– nem keveredik a helyi, tanszéki, intézményi forgalommal
– Biztonsági szempontból előnyösebb mint a hely VLAN-ba berakni
• Alkalmazhatunk több különböző célú VLAN-t– Menedzsment
– Eduroam
– Intézményi
• Csak IP forgalmat engedélyezzünk a vezeték nélküli LAN-on• Gondolkodjunk el az AP tápellátásán- POE?,
Jákó András Mohácsi János: WLAN tutorial
AP konfiguráció - Cisco
• Security, Encryption Manager• Válaszuk VLAN-t állítsuk be
Encryption Mode-t és a kulcsot VLAN-hoz
• Válaszuk ki Cipher az Encryption Mode-ban
• Válaszuk ki AES CCMP + TKIP a Cipher-ek közül
• Töröljük Encryption keys mezőket
Jákó András Mohácsi János: WLAN tutorial
AP konfiguráció – Cisco /2
• Security, SSID Manager.• Válasszuk ki az eduroam SSID-t• Authentication Settings, Methods
Accepted.• Válasszuk kis open Authentication with
EAP.• Válaszuk ki Network EAP-ot• Authentication Settings, Server
Properties.• Válasszuk ki Customize.• Állítsuk be RADIUS szerver IP címét• Állítsuk be az AP és RADIUS szerver
között használt shared secretet.
Jákó András Mohácsi János: WLAN tutorial
AP konfiguráció – Cisco /3
RADIUSAP1(config)#aaa new-model
aaa group server radius rad_eap server 10.10.10.10 auth-port 1812 acct-port 1813
aaa authentication login eap_methods group rad_eap
aaa accounting network acct_methods start-stop group rad_acct
radius-server host 10.10.10.10 auth-port 1812 acct-port 1813 key X
WirelessAP1(config)#interface dot11Radio 0
AP1(config-if)#encryption mode ciphers tkip
AP1(config-if)#broadcast-key change 1800
AP1(config-if)#no ssid tsunami
AP1(config-if)#ssid eduroam
AP1(config-if-ssid)#authentication open eap eap_methods
AP1(config-if-ssid)#guest-mode
Jákó András Mohácsi János: WLAN tutorial
802.1x ~ RADIUS
• RADIUS autentikáció szükséges EAP-hoz• Szervernek támogatni kell a választott típust (EAP-TLS, EAP-TTLS,
PEAP)• Több szerver lehetséges, hogy redundáns legyen (accounting
trükkösebb)• Szerverek:
– Cisco ACS – egészen a 4.2-es változatig gyatra EAP támogatás– FreeRADIUS – manuál gyenge, de a levelezési listán mindenre válaszolnak– IAS 2003 – csak PEAP, viszont integrálva van a Microsoft Active Directory-
val– Radiator – nagyon jó támogatás– Infoblox– Funk Steel-belted– És még sok más
Jákó András Mohácsi János: WLAN tutorial
RADIUS szerepe• RADIUS lehetővé teszi az univerzálisan egy userID/password párost
(SSO)– Switch/access point képes ugyanabból az adatbázisból authentikálni– LDAP/password/SQL + egyéb felhasználói adatbázis
• RADIUS kulcsszerepet játszik 802.1X-ban• RADIUS lehetővé teszi felhasználónkénti tunnel beállításokat
– Flexibilisebb mint a statikus vagy realm alapú tunneling– De mi van nem tudunk tunnelt csinálni?– VLAN a RADIUS attributumok számára egy fajta tunnelig - felhasználónként
VLAN. – Roaming felhasználó otthoni RADIUS szervere azt mondja VLAN40 - van
értelme? Roaming felhasználó esetén a meglátogatott intézmény a tunnnel attributumokat jobb ha törli....
– Hogyan adjunk hozzáférést mégis speciális erőforrásokhoz - használjunk VPN-t
• Biztonságosabb is
• RADIUS lehetővé tesz accountingot és auditinget– Használjuk az accounting logot hibakereséshez - sokkal részletesebb, mint
autentikációs log
Jákó András Mohácsi János: WLAN tutorial
RADIUS Tunnel Attributumok• Autorizációnál használt:
– Tunnel-Private-Group-Id– Tunnel-Assignment-Id– Tunnel-Preference– Tunnel-Password
• Ne használjuk proxy esetén – védtelen!
• Autorizációnál és accountingnál is használt :– Tunnel-Type (PPTP, L2TP,VLAN, stb.)– Tunnel-Medium-Type (X.25, ATM, Frame Relay, IEEE 802, IP, stb.)– Tunnel-Client-Endpoint– Tunnel-Server-Endpoint
• Accountingnál használt :– Acct-Tunnel-Connection
• Dokumentumok– RFC 2867– RFC 2868
Jákó András Mohácsi János: WLAN tutorial
RADIUS konfiguráció
• Access point konfiguráció – IP cím + shared secret
• EAP mód konfiguráció– EAP-TTLS – tetszőleges jelszó adatbázis
– PEAP – a felhasználói név/jelszó adatbázisuknak vagy Microsoft AD-ben, vagy nyílt szövegben kell lennie
– Mind két esetben szükségünk van a RADIUS szerveren szerver tanusítványra (TLS!)
Jákó András Mohácsi János: WLAN tutorial
RADIUS konfiguráció
• NIIF Eduroam Proxy konfiguráció – 2 IP, + shared secret
• Realm-el ellátott (username@realm) azonosítók feldolgozásának konfigurálása– Saját realm
– Forward a NIIF Edurom proxy-nak
• Teszt/monitoring account konfigurálása
Jákó András Mohácsi János: WLAN tutorial
Elérhető supplicantek
• Win98, ME: Juniper(FUNK), Cisco(Meetinghouse)
• Win2k, XP: Juniper(FUNK), Cisco(Meetinghouse), MS, SecureW2
• MacOS: Apple, Meetinghouse
• Linux: Cisco(Meetinghouse), wpa_supplicant, Open1X
• BSD: wpa_supplicant
• PocketPC: Cisco(Meetinghouse), MS, SecureW2
• Palm: Cisco(Meetinghouse)
Jákó András Mohácsi János: WLAN tutorial
802.1x supplicant ~ EAP Compatibility
ingyenesXsupplicant
ingyeneswpa_supp
$$AEGIS (C)
$$Odyssey (J)
ingyenesSecureW2
beépítettOSX beépített
beépített
CHAP v2
Win beépített
LicenszTTLSPEAPTLSPckt PC
Linux
OS X
XP/2K
98/ME
Kliens
Reference: LIN 802.1x factsheet
Jákó András Mohácsi János: WLAN tutorial
802.1x supplicant~ Encryption Compatibility
ingyenesXsupplicant
ingyeneswpa_supp
$$AEGIS (C)
$$Odyssey (J)
ingyenesSecureW2
beépítettOSX beépített
beépítettWin beépített
LicenseWPA2WPAWEPClient
Reference: LIN 802.1x factsheet
Jákó András Mohácsi János: WLAN tutorial
802.1x supplicant – SecureW2
• SecureW2 Alfa & Ariss802.1x supplicant SecureW2 Windows platformra. The SecureW2 kliens elérhetővé teszi EAP-TTLS-t ami nem elérhető szabványos Microsoft 802.1X supplicanttel. Kliens elérhető Windows 2000, Windows XP, Windows Vista (béta) és Pocket PC 2003 platformra
• Forrása is elérhető
Jákó András Mohácsi János: WLAN tutorial
Monitorozás
• Associated station
• autentikációk száma – hibás autentikációk is!
• RADIUS proxy monitorozás
Jákó András Mohácsi János: WLAN tutorial
További információk
• http://www.eduroam.org
• http://www.eduroam.hu
• http://ipv6.niif.hu/m/IPv6_Wireless_LAN_technológia
• http://www.terena.org/activities/eduroamcamp/doc/RoamingCookbook-rp20070315.pdf
• http://www.drizzle.org/~aboba/IEEE
Kérdéseduroam@niif.hu
Jákó András Mohácsi János: WLAN tutorial
Wi-Fi• Wireless Fidelity
• a Wi-Fi Alliance tanusítványokat ad ki– IEEE 802.11a és 802.11b,g termékekre
– interoperabilitási tesztek alapján
• Biztonság– WPA – Wi-Fi Protected Access (PSK/Enterprise)
• biztonsági minősítés 802.11 termékekre
– WPA2 - IEEE 802.11i (PSK/Enterprise)
– EAP – EAP-TLS, PEAPv0, PEAPv1, EAP-TTLS
• QoS– WMM
• IEEE– 802.11d, 802.11h
Jákó András Mohácsi János: WLAN tutorial
Wireless shootout
• Las Vega – Mount Potosi– ~201 km 11Mbps
sebességgel
top related