Σχέδιο ελέγχου ταυτότητας. EAP (Extensible Authentication Protocol) Κρυπτογράφηση Eap

Ας δούμε διάφορες μεθόδους ελέγχου ταυτότητας ασύρματου LAN, και συγκεκριμένα: ανοιχτός έλεγχος ταυτότητας, PSK και EAP.

Ανοίξτε τον έλεγχο ταυτότητας

Από προεπιλογή, δεν απαιτείται έλεγχος ταυτότητας ασύρματης συσκευής. Όλες οι συσκευές επιτρέπεται να δημιουργούν συνδέσεις ανεξάρτητα από τον τύπο ή την ιδιοκτησία τους. Ονομάζεται ανοιχτός έλεγχος ταυτότητας. Ο ανοιχτός έλεγχος ταυτότητας θα πρέπει να χρησιμοποιείται μόνο σε δημόσια ασύρματα δίκτυα, όπως σχολεία και internet cafe (εστιατόρια). Μπορεί να χρησιμοποιηθεί σε δίκτυα όπου ο έλεγχος ταυτότητας θα εκτελεστεί με άλλα μέσα αφού συνδεθεί στο δίκτυο.

Προ-κοινόχρηστο κλειδί (PSK)

Όταν χρησιμοποιείτε τη λειτουργία PSKτο σημείο πρόσβασης και ο πελάτης πρέπει να χρησιμοποιούν κοινό κλειδί ή κωδικό πρόσβασης. Το σημείο πρόσβασης στέλνει μια τυχαία συμβολοσειρά byte στον πελάτη. Ο πελάτης παίρνει αυτήν τη συμβολοσειρά, την κρυπτογραφεί (ή την ανακατεύει) χρησιμοποιώντας το κλειδί και την στέλνει πίσω στο σημείο πρόσβασης. Το σημείο πρόσβασης λαμβάνει την κρυπτογραφημένη συμβολοσειρά και χρησιμοποιεί το κλειδί του για να την αποκρυπτογραφήσει. Εάν η αποκρυπτογραφημένη συμβολοσειρά που λήφθηκε από τον πελάτη ταιριάζει με την αρχική συμβολοσειρά που στάλθηκε στον πελάτη, τότε δίνεται η άδεια στον πελάτη να δημιουργήσει μια σύνδεση.

Σε αυτή την περίπτωση, εκτελείται μονόδρομος έλεγχος ταυτότητας, δηλ. το σημείο πρόσβασης ελέγχει τις λεπτομέρειες του συνδεδεμένου κόμβου. Το PSK δεν περιλαμβάνει τον κόμβο που επαληθεύει την ταυτότητα του σημείου πρόσβασης, ούτε επαληθεύει την ταυτότητα του χρήστη που συνδέεται με τον κόμβο.

Επεκτάσιμο πρωτόκολλο ελέγχου ταυτότητας (EAP)

ΕΑΠπαρέχει αμοιβαίο ή αμφίδρομο έλεγχο ταυτότητας, καθώς και έλεγχο ταυτότητας χρήστη. Εάν το λογισμικό EAP είναι εγκατεστημένο στην πλευρά του πελάτη, ο υπολογιστής-πελάτης επικοινωνεί με έναν διακομιστή ελέγχου ταυτότητας back-end, όπως η υπηρεσία απομακρυσμένου ελέγχου ταυτότητας μέσω κλήσης χρήστη (RADIUS). Αυτός ο διακομιστής υποστήριξης λειτουργεί ανεξάρτητα από το σημείο πρόσβασης και διατηρεί μια βάση δεδομένων με χρήστες που είναι εξουσιοδοτημένοι να έχουν πρόσβαση στο δίκτυο. Όταν χρησιμοποιείτε το EAP, ο χρήστης, όχι μόνο ο κεντρικός υπολογιστής, πρέπει να παρέχει ένα όνομα χρήστη και έναν κωδικό πρόσβασης, τα οποία στη συνέχεια ελέγχονται στη βάση δεδομένων του διακομιστή RADIUS. Εάν τα διαπιστευτήρια που παρέχονται είναι έγκυρα, ο χρήστης θεωρείται ότι έχει πιστοποιηθεί.

7 Πρωτόκολλο EAP

Το πρωτόκολλο EAP (Extensible Authentication Protocol) είναι μια επέκταση του πρωτοκόλλου PPP. Περιέχει έναν τυπικό μηχανισμό για την υποστήριξη μιας σειράς μεθόδων ελέγχου ταυτότητας, συμπεριλαμβανομένων των διακριτικών, του πρωτοκόλλου Kerberos, των δημόσιων κλειδιών και των ιδιωτικών κλειδιών S/Key. Αυτός ο μηχανισμός υποστηρίζεται πλήρως τόσο από διακομιστές τηλεφώνου Windows NT όσο και από πελάτες δικτύου μέσω τηλεφώνου. Το πρωτόκολλο EAP είναι ένα εξαιρετικά σημαντικό στοιχείο των ασφαλών VPN, παρέχοντας προστασία από επιθέσεις ισχύος, εικασία κωδικού πρόσβασης λεξικού και απόπειρες εικασίας κωδικού πρόσβασης.

Η χρήση του EAP επεκτείνει τις δυνατότητες του VPN που βασίζεται στον διακομιστή απομακρυσμένης πρόσβασης της Υπηρεσίας Απομακρυσμένης Πρόσβασης των Windows NT, επιτρέποντας τον έλεγχο ταυτότητας χρησιμοποιώντας μονάδες τρίτων κατασκευαστών. Η εφαρμογή αυτού του πρωτοκόλλου στο περιβάλλον των Windows NT ήταν η απάντηση της Microsoft σε πολυάριθμα αιτήματα από χρήστες που δεν θέλουν να εγκαταλείψουν τις συνήθεις λειτουργίες ασφαλείας υλικού τους.

Το EAP προτάθηκε από την Ειδική Ομάδα Τεχνικής Βοήθειας Διαδικτύου ως επέκταση της ΣΔΙΤ. Περιέχει πρόσθετους μηχανισμούς ελέγχου ταυτότητας που είναι απαραίτητοι για την επαλήθευση των συνδέσεων PPP. Το κύριο καθήκον του EAP είναι η δυναμική σύνδεση μονάδων ελέγχου ταυτότητας τόσο στην πλευρά του πελάτη όσο και του διακομιστή μιας τέτοιας σύνδεσης. Αυτό το πρωτόκολλο είναι πολύ ευέλικτο, παρέχοντας μοναδικό και μεταβλητό έλεγχο ταυτότητας. Μια πρακτική εφαρμογή του EAP περιλαμβάνεται στα Microsoft Windows 2000.

7.1 Διασφάλιση ασφάλειας σε επίπεδο συναλλαγής

Ένα πολύ υψηλό επίπεδο ασφάλειας VPN διασφαλίζεται με τη χρήση καρτών μικροεπεξεργαστή και διακριτικών ελέγχου ταυτότητας. Οι κάρτες μικροεπεξεργαστή είναι μικροσκοπικές συσκευές μεγέθους πιστωτικής κάρτας με ενσωματωμένη CPU και μικρή ποσότητα μνήμης RAM. Αυτό συνήθως περιλαμβάνει πληροφορίες αναγνώρισης χρήστη (όπως πιστοποιητικά δημόσιου κλειδιού), κλειδιά κρυπτογράφησης και ρυθμίσεις λογαριασμού. Ορισμένες από τις κάρτες μικροεπεξεργαστή περιέχουν επίσης έναν αλγόριθμο κρυπτογράφησης, χάρη στον οποίο τα κλειδιά κρυπτογράφησης δεν μεταδίδονται ποτέ έξω. Στα συστήματα ασφαλείας απομακρυσμένης πρόσβασης, οι κάρτες μικροεπεξεργαστών χρησιμοποιούνται σπάνια σήμερα, αφού μόνο λίγα πακέτα αυτού του τύπου τις υποστηρίζουν. Η κατάσταση θα αλλάξει με την εμφάνιση των Windows 2000. Αυτό το λειτουργικό σύστημα θα επιτρέψει τη χρήση τέτοιων καρτών για μια μεγάλη ποικιλία τύπων ελέγχου ταυτότητας, συμπεριλαμβανομένων των RAS, L2TP και PPTP.

Τα διακριτικά ελέγχου ταυτότητας παράγονται από διάφορους κατασκευαστές, καθένας από τους οποίους έχει τον δικό του αλγόριθμο λειτουργίας. Αλλά όλα αυτά δεν είναι τίποτα περισσότερο από μια δημιουργία κωδικών πρόσβασης υλικού. Ορισμένα κουπόνια είναι εξοπλισμένα με μια μινιατούρα οθόνη υγρών κρυστάλλων και πληκτρολόγιο, που στην εμφάνιση θυμίζουν αριθμομηχανές. Αφού ο χρήστης εισάγει τον ψηφιακό του αριθμό αναγνώρισης, εμφανίζεται ένας μυστικός ψηφιακός κωδικός στην οθόνη ενδείξεων, ο οποίος λειτουργεί ως κωδικός πρόσβασης. Συνήθως, ο μυστικός κωδικός είναι μοναδικός και δεν επαναλαμβάνεται ποτέ ακόμη και σε μια δεδομένη συσκευή. Τα διακριτικά ελέγχου ταυτότητας είναι πολύ χρήσιμα για πρόσβαση μέσω τηλεφώνου (για παράδειγμα, όταν εργάζεστε με μια υπηρεσία απομακρυσμένης πρόσβασης), καθώς και για τον έλεγχο ταυτότητας κεντρικούς υπολογιστές. Η χρήση δικτύου τέτοιων διακριτικών, κατά κανόνα, βασίζεται σε τεχνολογίες πελάτη-διακομιστή (ή κατασκευασμένο σύμφωνα με άλλα σχήματα με χρήση κωδικών πρόσβασης) και επομένως δεν αποκλείει την υποκλοπή μεταδιδόμενων μυστικών πληροφοριών.

Η υποστήριξη για διακριτικά ελέγχου ταυτότητας, καθώς και πιστοποιητικά δημόσιου κλειδιού χρήστη, θα παρέχεται από το συνθετικό πρωτόκολλο EAP-TLS (Extended Authentication Protocol-Transaction Layer Security). Έχει ήδη υποβληθεί στην Task Force Τεχνολογίας Διαδικτύου ως προσχέδιο προδιαγραφής για μια βελτιωμένη μέθοδο ελέγχου ταυτότητας χρησιμοποιώντας πιστοποιητικά δημόσιου κλειδιού. Όταν εργάζεστε στο πλαίσιο του σχήματος EAP-TLS, ο πελάτης στέλνει ένα πιστοποιητικό χρήστη στον διακομιστή απομακρυσμένης πρόσβασης και σε αντάλλαγμα λαμβάνει ένα πιστοποιητικό διακομιστή από αυτόν. Το πρώτο από αυτά παρέχει αξιόπιστο έλεγχο ταυτότητας του χρήστη στον διακομιστή και το δεύτερο διασφαλίζει ότι ο πελάτης έχει έρθει σε επαφή με ακριβώς τον διακομιστή που χρειάζεται. Για την επαλήθευση της αυθεντικότητας των δεδομένων που λαμβάνονται, και οι δύο συμμετέχοντες σε μια τέτοια ανταλλαγή βασίζονται σε μια αλυσίδα αξιόπιστων αρχών πιστοποίησης.

Το πιστοποιητικό χρήστη μπορεί να αποθηκευτεί απευθείας στον υπολογιστή-πελάτη από τον οποίο εκτελείται η απομακρυσμένη πρόσβαση ή σε μια εξωτερική κάρτα μικροεπεξεργαστή. Και στις δύο περιπτώσεις, το πιστοποιητικό μπορεί να χρησιμοποιηθεί μόνο μετά την αναγνώριση του χρήστη, η οποία γίνεται με την ανταλλαγή ορισμένων πληροφοριών (αριθμός αναγνώρισης, συνδυασμός ονόματος χρήστη και κωδικού πρόσβασης κ.λπ.) μεταξύ του χρήστη και του υπολογιστή πελάτη. Αυτή η προσέγγιση συμμορφώνεται πλήρως με την αρχή της προστασίας λογισμικού και υλικού που προτείνουν οι περισσότεροι ειδικοί στον τομέα της ασφάλειας των επικοινωνιών.

Το EAP-TLS είναι ουσιαστικά μια παραλλαγή του πρωτοκόλλου EAP που εφαρμόζεται στα Windows 2000. Όπως και το MS-CHAP, χρησιμοποιείται για τη λήψη ενός κρυπτοκλειδιού, το οποίο χρησιμοποιείται από το πρωτόκολλο MPPE για την κρυπτογράφηση όλων των επόμενων δεδομένων.

7.2 Έλεγχος ταυτότητας με χρήση της υπηρεσίας RADIUS

Το RADIUS (Remote Authentication Dial-in User Service) είναι ένας κεντρικός διακομιστής με βάση δεδομένων ελέγχου ταυτότητας και χρησιμεύει ως συμπλήρωμα σε άλλα πρωτόκολλα ελέγχου ταυτότητας αιτημάτων. Αυτή η υπηρεσία βασίζεται στο πρωτόκολλο UDP, το οποίο υποστηρίζει τα πρωτόκολλα PPP, PAP και CHAP, καθώς και τη λειτουργία σύνδεσης για συστήματα Unix και έναν αριθμό άλλων μηχανισμών ελέγχου ταυτότητας. Εκτός από τον άμεσο σκοπό της, η υπηρεσία RADIUS σάς επιτρέπει επίσης να υπολογίζετε τον προϋπολογισμό του VPN.

Μόλις λάβει ένα αίτημα σύνδεσης χρήστη από την υπηρεσία ελέγχου ταυτότητας δικτύου NAS, ο διακομιστής RADIUS συγκρίνει τα δεδομένα που έλαβε με πληροφορίες από τη βάση δεδομένων του. Υπάρχει επίσης μια κεντρική αποθήκευση ρυθμίσεων σύνδεσης για όλους τους εγγεγραμμένους χρήστες. Εάν είναι απαραίτητο, ο διακομιστής δεν περιορίζεται σε μια απλή απάντηση στο αίτημα (ΝΑΙ/ΟΧΙ), αλλά αναφέρει στο NAS μια σειρά από πληροφορίες σχετικά με έναν συγκεκριμένο χρήστη. Συγκεκριμένα, μπορεί να καθορίσει τον μεγαλύτερο χρόνο συνεδρίας, την εκχωρημένη στατική διεύθυνση IP και πληροφορίες για να καλέσει ξανά τον χρήστη.

Η υπηρεσία RADIUS δεν μπορεί μόνο να έχει πρόσβαση στη βάση δεδομένων της για να επεξεργαστεί αιτήματα ελέγχου ταυτότητας, αλλά και να την παρέχει σε άλλους διακομιστές βάσης δεδομένων. Συγκεκριμένα, μπορεί να χρησιμοποιηθεί από έναν κοινόχρηστο διακομιστή σύνδεσης ανοικτού δικτύου ή έναν κύριο ελεγκτή τομέα. Ο τελευταίος συχνά φιλοξενείται στον ίδιο υπολογιστή με τον διακομιστή RADIUS, αν και αυτό δεν απαιτείται. Μεταξύ άλλων, ο διακομιστής RADIUS μπορεί να λειτουργήσει ως διακομιστής μεσολάβησης πελάτη για έναν απομακρυσμένο διακομιστή RADIUS.

7.3 Λογιστική για τον προϋπολογισμό VPN με χρήση της υπηρεσίας RADIUS

Η υπηρεσία RADIUS επιτρέπει την κεντρική διαχείριση και τον προϋπολογισμό πολλών διακομιστών σήραγγας. Οι περισσότεροι διακομιστές RADIUS μπορούν να ρυθμιστούν ώστε να καταγράφουν αιτήματα ελέγχου ταυτότητας σε ένα ειδικό αρχείο διαπιστευτηρίων. Οι προδιαγραφές παρέχουν ένα σύνολο τυπικών μηνυμάτων με τα οποία η υπηρεσία NAS ειδοποιεί τον διακομιστή RADIUS να μεταδίδει τον λογαριασμό χρήστη στην αρχή κάθε κλήσης, στο τέλος της ή να τον επαναλαμβάνει κατά τη διάρκεια της συνεδρίας επικοινωνίας σε καθορισμένα χρονικά διαστήματα. Και οι τρίτοι προγραμματιστές προσφέρουν μια σειρά από πακέτα χρέωσης και ελέγχου που δημιουργούν διάφορα αναλυτικά έγγραφα με βάση τους λογαριασμούς RADIUS.

7.4 Πρωτόκολλο EAP και RADIUS

Για να κάνετε κοινή χρήση του EAP με έναν διακομιστή RADIUS, πρέπει να κάνετε προσαρμογές τόσο στην υπηρεσία NAS όσο και στην υπηρεσία RADIUS. Σε ένα παραδοσιακό σύστημα ελέγχου ταυτότητας, αυτές οι υπηρεσίες παράγουν μια ενιαία συναλλαγή που αποτελείται από μια πρόκληση και μια απάντηση. Ωστόσο, με τον έλεγχο ταυτότητας EAP, το NAS δεν μπορεί να συλλέξει ανεξάρτητα τις πληροφορίες πελάτη που απαιτούνται για τον έλεγχο ταυτότητας στον διακομιστή RADIUS. Για να επιλύσει αυτό το ζήτημα, ο διαχειριστής του συστήματος μπορεί να ρυθμίσει τις παραμέτρους του NAS για να προωθήσει το αναγνωριστικό στον πελάτη, συμπεριλαμβάνοντάς το στο μήνυμα EAP. Θα απαντήσει αναφέροντας το όνομα χρήστη και τις πληροφορίες τομέα στην υπηρεσία ελέγχου ταυτότητας δικτύου. Η υπηρεσία NAS τα περιλαμβάνει στο αίτημα έναρξης EAP και τα προωθεί ως τέτοια στον διακομιστή RADIUS. Η υπόλοιπη διαδικασία ελέγχου ταυτότητας προχωρά ως συνήθως: η υπηρεσία RADIUS στέλνει μηνύματα EAP στον πελάτη μέσω της υπηρεσίας NAS και απαντά σε αυτά μέχρι να αποτύχει (ή αποτύχει) ο έλεγχος ταυτότητας.

Το όνομά του και τον κωδικό πρόσβασής του και δίνει άδεια πρόσβασης στον διακομιστή αδειών, ο οποίος, με τη σειρά του, δίνει το πράσινο φως για χρήση των απαραίτητων πόρων δικτύου. Ωστόσο, αυτό το μοντέλο δεν απαντά στο ερώτημα της αξιοπιστίας της προστασίας πληροφοριών, καθώς, αφενός, ο χρήστης δεν μπορεί να στείλει τον κωδικό πρόσβασής του στον διακομιστή αναγνώρισης μέσω του δικτύου και, αφετέρου, την άδεια πρόσβασης σε υπηρεσίες στο δίκτυο ...

Το πρωτόκολλο VPN είναι ένα πρωτόκολλο σήραγγας από σημείο σε σημείο (PPTP). Αναπτύχθηκε από την 3Com και τη Microsoft για να παρέχει ασφαλή απομακρυσμένη πρόσβαση σε εταιρικά δίκτυα μέσω Διαδικτύου. Το PPTP χρησιμοποιεί υπάρχοντα ανοιχτά πρότυπα TCP/IP και βασίζεται σε μεγάλο βαθμό στο παλαιού τύπου πρωτόκολλο PPP point-to-point. Στην πράξη, το RRR παραμένει το ίδιο...

Υπάρχουν τρεις κύριοι συμμετέχοντες στη διαδικασία ελέγχου ταυτότητας:

• Επαληθευτής - ένας συμμετέχων στη διαδικασία που απαιτεί έλεγχο ταυτότητας (σημείο πρόσβασης WiFi, διακόπτης κ.λπ.).
• Κόμβος ή πελάτης (Αγγλικά peer) - ένας συμμετέχων στη διαδικασία που θα πιστοποιηθεί (υπολογιστής, φορητός υπολογιστής, τηλέφωνο κ.λπ.).
• Ο διακομιστής ελέγχου ταυτότητας είναι ένας συμμετέχων στη διαδικασία που μπορεί να τον ελέγξει με βάση ορισμένα δεδομένα από τον κόμβο.

Σε ορισμένες περιπτώσεις, ο διακομιστής ελέγχου ταυτότητας και ο έλεγχος ταυτότητας μπορεί να είναι η ίδια συσκευή, για παράδειγμα οικιακές συσκευές που χρησιμοποιούν τη μέθοδο EAP-PSK. Γενικά, η διαδικασία ελέγχου ταυτότητας πραγματοποιείται ως εξής:

1. Ο έλεγχος ταυτότητας στέλνει ένα αίτημα EAP για να ξεκινήσει ο έλεγχος ταυτότητας του πελάτη. Το αίτημα στο πεδίο Τύπος περιέχει πληροφορίες σχετικά με τη μέθοδο που θα χρησιμοποιηθεί (EAP-TLS, EAP-PSK, κ.λπ.). Ο authenticator δεν στέλνει απαραίτητα αυτό το αίτημα, για παράδειγμα, εάν δεν απαιτείται έλεγχος ταυτότητας στη θύρα στην οποία είναι συνδεδεμένος ο πελάτης, οπότε ο πελάτης πρέπει να στείλει ένα πακέτο με ένα πεδίο Code που αντιστοιχεί στον τύπο Initiate για να ξεκινήσει η διαδικασία ελέγχου ταυτότητας .
2. Ο πελάτης στέλνει μια απάντηση EAP στον έλεγχο ταυτότητας εάν το αίτημα από τον έλεγχο ταυτότητας είναι έγκυρο. Η απάντηση περιέχει ένα πεδίο Τύπος που ταιριάζει με το πεδίο Τύπος στο αίτημα.
3. Ο έλεγχος ταυτότητας στέλνει ένα αίτημα στον διακομιστή ελέγχου ταυτότητας, μεταβιβάζοντας πληροφορίες σχετικά με τη μέθοδο ελέγχου ταυτότητας που χρησιμοποιείται.
4. Ο διακομιστής ελέγχου ταυτότητας ζητά τις απαραίτητες πληροφορίες από τον πελάτη μέσω του εργαλείου ελέγχου ταυτότητας, οπότε ο έλεγχος ταυτότητας λειτουργεί αποτελεσματικά ως διακομιστής μεσολάβησης.
5. Ο πελάτης απαντά στον διακομιστή με τις ζητούμενες πληροφορίες. Τα βήματα 4 και 5 επαναλαμβάνονται έως ότου ο διακομιστής ελέγχου ταυτότητας αποφασίσει να επιτρέψει την πρόσβαση, να την αρνηθεί ή να κάνει ένα σφάλμα.
6. Ο διακομιστής ελέγχου ταυτότητας στέλνει ένα πακέτο στον έλεγχο ταυτότητας που υποδεικνύει την επιτυχία ή την αποτυχία του ελέγχου ταυτότητας.
7. Ο έλεγχος ταυτότητας στέλνει στον πελάτη EAP ένα πακέτο με έναν κωδικό που αντιστοιχεί στην απόκριση του διακομιστή ελέγχου ταυτότητας (EAP-Success ή EAP-Failure).

Συνοπτικός πίνακας κωδικών πακέτων EAP:

Μέθοδοι

ΠΗΔΑΩ

Ελαφρύ επεκτάσιμο πρωτόκολλο ελέγχου ταυτότητας(Αγγλικά) Ελαφρύ επεκτάσιμο πρωτόκολλο ελέγχου ταυτότητας ), μια μέθοδος που αναπτύχθηκε από τη Cisco πριν από την επικύρωση του προτύπου ασφαλείας 802.11i από την IEEE. Η Cisco έχει διανείμει το πρωτόκολλο μέσω CCX (Cisco Certified Extensions) ως μέρος του πρωτοκόλλου 802.1X και του δυναμικού WEP λόγω της έλλειψης ξεχωριστού βιομηχανικού προτύπου στον κλάδο. Τα λειτουργικά συστήματα Windows δεν διαθέτουν ενσωματωμένη υποστήριξη για το πρωτόκολλο LEAP, αλλά η υποστήριξη για το πρωτόκολλο είναι ευρέως διαδεδομένη σε προγράμματα-πελάτες τρίτων κατασκευαστών (τις περισσότερες φορές περιλαμβάνονται με ασύρματο εξοπλισμό). Η υποστήριξη LEAP στα Windows μπορεί να προστεθεί εγκαθιστώντας το λογισμικό πελάτη Cisco, το οποίο παρέχει υποστήριξη για τα πρωτόκολλα LEAP και EAP-FAST. Πολλοί άλλοι κατασκευαστές εξοπλισμού WLAN υποστηρίζουν επίσης το LEAP λόγω της ευρείας χρήσης του.

Το LEAP χρησιμοποιεί μια τροποποιημένη έκδοση του πρωτοκόλλου MS-CHAP, ένα ασθενώς ασφαλές πρωτόκολλο ελέγχου ταυτότητας στο οποίο οι πληροφορίες χρήστη και κωδικού πρόσβασης παραβιάζονται εύκολα. στις αρχές του 2004, γράφτηκε ένα exploit του πρωτοκόλλου LEAP που ονομάζεται ASLEAP από τον Joshua Wright. Το hack βασίζεται στο γεγονός ότι, πρώτον, όλα τα στοιχεία της πρόκλησης και της απάντησης, εκτός από τον κατακερματισμό του κωδικού πρόσβασης, μεταδίδονται μη κρυπτογραφημένα ή υπολογίζονται εύκολα με βάση τα δεδομένα που αποστέλλονται μέσω του δικτύου. Αυτό σημαίνει ότι για έναν εισβολέα man-in-the-middle, η απόκτηση του κατακερματισμού του κωδικού πρόσβασης θα είναι αρκετή για να επανασυνδεθεί. Δεύτερον, η παραγωγή κλειδιών είναι δυνητικά αδύναμη. Η συμπλήρωση 5 byte με μηδενικά σημαίνει ότι το τελευταίο κλειδί έχει χώρο κλειδιού 2 16 . Τέλος, το ίδιο απλό κείμενο κρυπτογραφείται χρησιμοποιώντας δύο κλειδιά (κατά την αποστολή του κατακερματισμού στον διακομιστή και κατά την απάντηση), πράγμα που σημαίνει ότι μια δυσκολία 2 56 είναι αρκετή για να σπάσει και τα δύο κλειδιά. Μόλις ο εισβολέας έχει όλα τα κλειδιά, λαμβάνει έναν κατακερματισμό του κωδικού πρόσβασης, ο οποίος επαρκεί για επανέλεγχο (περισσότερες λεπτομέρειες στο MS-CHAP).

Η ενσωματωμένη υποστήριξη για αυτήν τη μέθοδο είναι διαθέσιμη σε όλα τα λειτουργικά συστήματα της οικογένειας των Windows (ξεκινώντας από τα Windows 2000 SP4), Linux και Mac OS X (από την έκδοση 10.3).

Σε αντίθεση με πολλές άλλες υλοποιήσεις TLS, όπως το HTTPS, οι περισσότερες υλοποιήσεις EAP-TLS απαιτούν προεγκατεστημένο πιστοποιητικό X.509 στον υπολογιστή-πελάτη, χωρίς να παρέχεται επιλογή απενεργοποίησης της απαίτησης, αν και το πρότυπο δεν το απαιτεί απαραίτητα. Αυτό μπορεί να απέτρεψε τον πολλαπλασιασμό «ανοιχτών» αλλά κρυπτογραφημένων σημείων ασύρματης πρόσβασης. Τον Αύγουστο του 2012, το hostapd και το wpa_supplicant πρόσθεσαν υποστήριξη για το UNAUTH-TLS, την εγγενή μέθοδο ελέγχου ταυτότητας του EAP, και στις 25 Φεβρουαρίου 2014, πρόσθεσαν υποστήριξη για το WFA-UNAUTH-TLS, μια μέθοδο ελέγχου ταυτότητας μόνο για διακομιστή. Αυτό θα σας επιτρέψει να εργάζεστε μέσω EAP-TLS με τον ίδιο τρόπο όπως μέσω HTTPS, όπου το σημείο ασύρματης πρόσβασης επιτρέπει δωρεάν σύνδεση (δηλαδή, δεν απαιτεί έλεγχο ταυτότητας πελάτη), αλλά ταυτόχρονα κρυπτογραφεί την κίνηση (IEEE 802.11i- 2004, δηλαδή WPA2) και επιτρέπει τον έλεγχο ταυτότητας πέρασμα εάν είναι απαραίτητο. Τα πρότυπα περιέχουν επίσης προτάσεις για τη χρήση του IEEE 802.11u σε σημεία πρόσβασης για να σηματοδοτήσει τη διαθεσιμότητα μιας μεθόδου EAP-TLS που επαληθεύει μόνο τον διακομιστή χρησιμοποιώντας το πρότυπο πρωτόκολλο IETF EAP-TLS και όχι μια μέθοδο EAP τρίτων κατασκευαστών.

Η απαίτηση για προεγκατεστημένο πιστοποιητικό στην πλευρά του πελάτη είναι ένας από τους λόγους για την υψηλή ασφάλεια της μεθόδου EAP-TLS και ένα παράδειγμα «θυσίας» της ευκολίας υπέρ της ασφάλειας. Για να χακάρετε το EAP-TLS, δεν αρκεί να θέσετε σε κίνδυνο τον κωδικό πρόσβασης του χρήστη· για να επιτεθεί επιτυχώς, ο εισβολέας θα πρέπει επίσης να έχει στην κατοχή του το πιστοποιητικό πελάτη που αντιστοιχεί στον χρήστη. Η καλύτερη ασφάλεια μπορεί να επιτευχθεί με την αποθήκευση πιστοποιητικών πελατών σε έξυπνες κάρτες.

EAP-TTLS

Ασφάλεια επιπέδου μεταφοράς με σήραγγεςμια μέθοδο EAP που επεκτείνει τις δυνατότητες της μεθόδου TLS. Αναπτύχθηκε από τη Funk Software και την Certicom και υποστηρίζεται αρκετά καλά στις περισσότερες πλατφόρμες (Windows από την έκδοση 8 και Windows Mobile από την έκδοση 8.1).

Ο πελάτης μπορεί (αλλά δεν απαιτείται) να πιστοποιηθεί από τον διακομιστή χρησιμοποιώντας ένα πιστοποιητικό PKI υπογεγραμμένο από την Αρχή Πιστοποίησης. Ο προαιρετικός έλεγχος ταυτότητας πελάτη απλοποιεί σημαντικά τη διαδικασία εγκατάστασης, καθώς δεν υπάρχει ανάγκη δημιουργίας και εγκατάστασης μεμονωμένου πιστοποιητικού για καθένα από αυτά.

Μόλις ο διακομιστής πιστοποιηθεί από τον πελάτη χρησιμοποιώντας ένα πιστοποιητικό υπογεγραμμένο από την αρχή έκδοσης πιστοποιητικών και προαιρετικά από τον πελάτη-διακομιστή, ο διακομιστής μπορεί να χρησιμοποιήσει την ασφαλή σύνδεση (σήραγγα) που προκύπτει για περαιτέρω έλεγχο ταυτότητας του πελάτη. Το τούνελ επιτρέπει τη χρήση πρωτοκόλλων ελέγχου ταυτότητας σχεδιασμένων για κανάλια που προστατεύονται από επιθέσεις MITM και από υποκλοπές. Κατά τη χρήση της μεθόδου EAP-TTLS, καμία από τις πληροφορίες που χρησιμοποιούνται για τον έλεγχο ταυτότητας δεν μεταδίδεται σε καθαρό κείμενο, γεγονός που καθιστά ακόμη πιο δύσκολο το χακάρισμα.

ΕΑΠ-ΠΣΚ

Προ-κοινόχρηστο κλειδί, μια μέθοδος που ορίζεται στο RFC 4764 που χρησιμοποιεί ένα προσυμφωνημένο κλειδί για αμοιβαίο έλεγχο ταυτότητας και ανταλλαγή κλειδιών περιόδου λειτουργίας. Η μέθοδος έχει σχεδιαστεί για να λειτουργεί σε μη ασφαλή δίκτυα όπως το IEEE 802.11 και, εάν επαληθευτεί με επιτυχία, παρέχει μια ασφαλή αμφίδρομη σύνδεση μεταξύ του πελάτη και του σημείου πρόσβασης.

Το EAP-PSK τεκμηριώνεται σε ένα πειραματικό RFC και παρέχει μια ελαφριά και επεκτάσιμη μέθοδο EAP που δεν χρησιμοποιεί ασύμμετρη κρυπτογράφηση. Αυτή η μέθοδος απαιτεί τέσσερα μηνύματα (τον ελάχιστο δυνατό αριθμό) για αμοιβαίο έλεγχο ταυτότητας.

Γράψτε μια αξιολόγηση για το άρθρο "EAP"

Σημειώσεις

Απόσπασμα που περιγράφει το ΕΑΠ

- Σόνια! Σόνια! – ακούστηκε ξανά η πρώτη φωνή. - Λοιπόν, πώς μπορείς να κοιμηθείς! Κοίτα τι ομορφιά είναι! Ω, τι υπέροχο! «Ξύπνα, Σόνια», είπε σχεδόν με δάκρυα στη φωνή της. - Εξάλλου, μια τόσο όμορφη βραδιά δεν έχει συμβεί ποτέ, ποτέ.
Η Σόνια απάντησε απρόθυμα κάτι.
- Όχι, κοίτα τι φεγγάρι είναι!... Ω, τι υπέροχο! Ελα εδώ. Αγαπητέ, αγαπητέ μου, έλα εδώ. Λοιπόν, βλέπεις; Θα έκανα οκλαδόν, έτσι, θα έπιανα τον εαυτό μου κάτω από τα γόνατα - πιο σφιχτά, όσο πιο σφιχτά γίνεται - πρέπει να ζοριστείς. Σαν αυτό!
- Έλα, θα πέσεις.
Υπήρξε ένας αγώνας και η φωνή της Sonya ήταν δυσαρεστημένη: «Είναι δύο η ώρα».
- Α, απλά μου τα καταστρέφεις όλα. Λοιπόν, πήγαινε, πήγαινε.
Και πάλι όλα σιώπησαν, αλλά ο πρίγκιπας Αντρέι ήξερε ότι εκείνη καθόταν ακόμα εδώ, άκουγε μερικές φορές ήσυχες κινήσεις, μερικές φορές αναστεναγμούς.
- Ω Θεέ μου! Θεέ μου! τι είναι αυτό! – ούρλιαξε ξαφνικά. - Κοιμήσου έτσι! – και χτύπησε το παράθυρο.
«Και δεν τους νοιάζει η ύπαρξή μου!» σκέφτηκε ο πρίγκιπας Αντρέι καθώς άκουγε τη συνομιλία της, για κάποιο λόγο περίμενε και φοβόταν ότι θα έλεγε κάτι γι' αυτόν. - «Και εκεί είναι πάλι! Και πόσο επίτηδες!» σκέφτηκε. Στην ψυχή του προέκυψε ξαφνικά μια τέτοια απροσδόκητη σύγχυση νεανικών σκέψεων και ελπίδων, που αντέβαινε σε όλη του τη ζωή, που, αισθανόμενος ανίκανος να καταλάβει την κατάστασή του, αποκοιμήθηκε αμέσως.

Την επόμενη μέρα, έχοντας αποχαιρετήσει μόνο έναν αριθμό, χωρίς να περιμένει να φύγουν οι κυρίες, ο πρίγκιπας Αντρέι πήγε σπίτι.
Ήταν ήδη αρχές Ιουνίου όταν ο πρίγκιπας Αντρέι, επιστρέφοντας στο σπίτι, οδήγησε ξανά σε εκείνο το άλσος με σημύδες, στο οποίο αυτή η παλιά, γρυλισμένη βελανιδιά τον είχε χτυπήσει τόσο παράξενα και αξέχαστα. Οι καμπάνες χτυπούσαν ακόμα πιο πνιχτά στο δάσος από ό,τι πριν από ενάμιση μήνα. Όλα ήταν γεμάτα, σκιερά και πυκνά. και τα νεαρά έλατα, διάσπαρτα σε όλο το δάσος, δεν διατάραξαν τη συνολική ομορφιά και, μιμούμενοι τον γενικό χαρακτήρα, ήταν τρυφερά πράσινα με αφράτους νεαρούς βλαστούς.
Έκανε ζέστη όλη μέρα, κάπου μαζευόταν μια καταιγίδα, αλλά μόνο ένα μικρό σύννεφο πιτσίλιζε στη σκόνη του δρόμου και στα χυμώδη φύλλα. Η αριστερή πλευρά του δάσους ήταν σκοτεινή, στη σκιά. το δεξί, υγρό και γυαλιστερό, άστραφτε στον ήλιο, ταλαντευόταν ελαφρά στον αέρα. Όλα ήταν ανθισμένα. τα αηδόνια φλυαρούσαν και κυλούσαν, τώρα κοντά, τώρα μακριά.
«Ναι, εδώ, σε αυτό το δάσος, υπήρχε αυτή η βελανιδιά με την οποία συμφωνήσαμε», σκέφτηκε ο πρίγκιπας Αντρέι. «Πού είναι», σκέφτηκε ξανά ο πρίγκιπας Αντρέι, κοιτάζοντας την αριστερή πλευρά του δρόμου και χωρίς να το ξέρει, χωρίς να τον αναγνωρίσει, θαύμασε τη βελανιδιά που έψαχνε. Η γέρικη βελανιδιά, τελείως μεταμορφωμένη, απλώθηκε σαν σκηνή με πλούσια, σκούρα πρασινάδα, λικνιζόταν ελαφρά, ταλαντευόταν ελαφρά στις ακτίνες του απογευματινού ήλιου. Ούτε γρυλισμένα δάχτυλα, ούτε πληγές, καμία παλιά δυσπιστία και θλίψη - τίποτα δεν φαινόταν. Ζουμερά, νεαρά φύλλα έσπασαν τον σκληρό φλοιό εκατοντάδων ετών χωρίς κόμπους, οπότε ήταν αδύνατο να πιστέψουμε ότι αυτός ο γέρος τα είχε δημιουργήσει. «Ναι, αυτή είναι η ίδια βελανιδιά», σκέφτηκε ο πρίγκιπας Αντρέι και ξαφνικά τον κυρίευσε ένα παράλογο, ανοιξιάτικο αίσθημα χαράς και ανανέωσης. Όλες οι καλύτερες στιγμές της ζωής του επέστρεψαν ξαφνικά ταυτόχρονα. Και ο Άουστερλιτς με τον ψηλό ουρανό, και το νεκρό, κατακριτέο πρόσωπο της γυναίκας του, και τον Πιέρ στο πλοίο, και το κορίτσι ενθουσιασμένο από την ομορφιά της νύχτας, και αυτή τη νύχτα και το φεγγάρι - και όλα αυτά ξαφνικά ήρθαν στο μυαλό του .
«Όχι, η ζωή δεν τελείωσε στα 31, αποφάσισε ξαφνικά ο πρίγκιπας Αντρέι, οριστικά. Όχι μόνο ξέρω ό,τι υπάρχει μέσα μου, είναι απαραίτητο να το ξέρουν όλοι: τόσο ο Πιέρ όσο και αυτό το κορίτσι που ήθελε να πετάξει στον ουρανό, είναι απαραίτητο να με γνωρίσουν όλοι, για να μην συνεχιστεί η ζωή μου μόνο για μένα Για να μην ζουν τόσο ανεξάρτητα από τη ζωή μου, να επηρεάζει τους πάντες και να ζουν όλοι μαζί μου!».

Επιστρέφοντας από το ταξίδι του, ο πρίγκιπας Αντρέι αποφάσισε να πάει στην Αγία Πετρούπολη το φθινόπωρο και σκέφτηκε διάφορους λόγους για αυτήν την απόφαση. Μια ολόκληρη σειρά από εύλογα, λογικά επιχειρήματα γιατί έπρεπε να πάει στην Αγία Πετρούπολη και μάλιστα να υπηρετήσει ήταν έτοιμα κάθε λεπτό στην υπηρεσία του. Ακόμα και τώρα δεν καταλάβαινε πώς θα μπορούσε ποτέ να αμφιβάλλει για την ανάγκη να συμμετέχει ενεργά στη ζωή, όπως πριν από ένα μήνα δεν καταλάβαινε πώς μπορούσε να του είχε περάσει η σκέψη να φύγει από το χωριό. Του φαινόταν ξεκάθαρο ότι όλες οι εμπειρίες του στη ζωή θα ήταν μάταιες και δεν θα είχαν νόημα αν δεν τις είχε εφαρμόσει στη δράση και δεν έπαιρνε ξανά ενεργό μέρος στη ζωή. Δεν καταλάβαινε καν πώς, βάσει των ίδιων φτωχών εύλογων επιχειρημάτων, ήταν προηγουμένως προφανές ότι θα είχε ταπεινώσει τον εαυτό του αν τώρα, μετά τα μαθήματα ζωής του, πίστευε ξανά στη δυνατότητα να είναι χρήσιμος και στη δυνατότητα ευτυχία και αγάπη. Τώρα το μυαλό μου πρότεινε κάτι τελείως διαφορετικό. Μετά από αυτό το ταξίδι, ο πρίγκιπας Αντρέι άρχισε να βαριέται στο χωριό, οι προηγούμενες δραστηριότητές του δεν τον ενδιέφεραν και συχνά, καθισμένος μόνος στο γραφείο του, σηκώθηκε, πήγε στον καθρέφτη και κοίταξε το πρόσωπό του για πολλή ώρα. Έπειτα γύρισε μακριά και κοίταξε το πορτρέτο της νεκρής Λίζας, η οποία, με τις μπούκλες της να χτυπήσει το a la grecque [στα ελληνικά], τον κοίταξε τρυφερά και χαρούμενα από τη χρυσή κορνίζα. Δεν έλεγε πια τα ίδια τρομερά λόγια στον άντρα της· απλά και χαρούμενα τον κοίταξε με περιέργεια. Και ο πρίγκιπας Αντρέι, σφίγγοντας τα χέρια του πίσω, περπάτησε στο δωμάτιο για πολλή ώρα, τώρα συνοφρυωμένος, τώρα χαμογελώντας, αναθεωρώντας αυτές τις παράλογες, ανέκφραστες στα λόγια, μυστικές ως έγκλημα σκέψεις που συνδέονται με τον Πιέρ, με τη φήμη, με το κορίτσι στο παράθυρο , με τη βελανιδιά, με τη γυναικεία ομορφιά και την αγάπη που άλλαξαν όλη του τη ζωή. Και αυτές τις στιγμές, όταν κάποιος ερχόταν κοντά του, ήταν ιδιαίτερα στεγνός, αυστηρά αποφασιστικός και ιδιαίτερα δυσάρεστα λογικός.
«Mon cher, [αγαπητέ μου,]», έλεγε η πριγκίπισσα Marya όταν έμπαινε μέσα σε μια τέτοια στιγμή, «Nikolushka δεν μπορεί να πάει βόλτα σήμερα: κάνει πολύ κρύο».
«Αν ήταν ζεστό», απάντησε ο πρίγκιπας Αντρέι στην αδερφή του ιδιαίτερα στεγνά σε τέτοιες στιγμές, «τότε θα πήγαινε μόνο με ένα πουκάμισο, αλλά επειδή κάνει κρύο, πρέπει να του φορέσουμε ζεστά ρούχα, που εφευρέθηκαν για αυτόν τον σκοπό». Αυτό προκύπτει από το ότι κάνει κρύο και όχι σαν να μένει στο σπίτι όταν το παιδί χρειάζεται αέρα», είπε με ιδιαίτερη λογική, σαν να τιμωρούσε κάποιον για όλη αυτή τη μυστική, παράλογη εσωτερική δουλειά που του συνέβαινε. Η πριγκίπισσα Μαρία σκέφτηκε σε αυτές τις περιπτώσεις πώς αυτή η διανοητική εργασία στεγνώνει τους άντρες.

Ο πρίγκιπας Αντρέι έφτασε στην Αγία Πετρούπολη τον Αύγουστο του 1809. Αυτή ήταν η εποχή του απόγειου της δόξας του νεαρού Σπεράνσκι και της ενέργειας των επαναστάσεων που έκανε. Αυτόν ακριβώς τον Αύγουστο, ο κυρίαρχος, ενώ επέβαινε σε μια άμαξα, έπεσε έξω, τραυμάτισε το πόδι του και παρέμεινε στο Πέτερχοφ για τρεις εβδομάδες, βλέποντας καθημερινά και αποκλειστικά με τον Σπεράνσκι. Εκείνη την εποχή δεν ετοιμάζονταν μόνο δύο τόσο διάσημα και ανησυχητικά διατάγματα για την κατάργηση των βαθμίδων των δικαστηρίων και για τις εξετάσεις για τις τάξεις των συλλογικών αξιολογητών και των πολιτειακών συμβούλων, αλλά και ένα ολόκληρο πολιτειακό σύνταγμα, το οποίο υποτίθεται ότι άλλαζε το υπάρχον δικαστικό. διοικητική και οικονομική διάταξη της κυβέρνησης της Ρωσίας από το κρατικό συμβούλιο στο διοικητικό συμβούλιο. Τώρα πραγματοποιούνταν και ενσαρκώθηκαν εκείνα τα ασαφή, φιλελεύθερα όνειρα με τα οποία ο αυτοκράτορας Αλέξανδρος ανέβηκε στο θρόνο, και τα οποία προσπάθησε να πραγματοποιήσει με τη βοήθεια των βοηθών του Chartorizhsky, Novosiltsev, Kochubey και Strogonov, τους οποίους ο ίδιος χαριτολογώντας αποκαλούσε comite du salut publique. [επιτροπή δημόσιας ασφάλειας.]
Τώρα όλοι έχουν αντικατασταθεί από τον Speransky από την πολιτική πλευρά και τον Arakcheev από τη στρατιωτική πλευρά. Ο πρίγκιπας Αντρέι, αμέσως μετά την άφιξή του, ως καμαριάρχης, ήρθε στην αυλή και έφυγε. Ο Τσάρος, αφού τον συνάντησε δύο φορές, δεν τον τίμησε με ούτε μια λέξη. Πάντα φαινόταν στον πρίγκιπα Αντρέι ότι ήταν αντιπαθητικός με τον κυρίαρχο, ότι ο ηγεμόνας ήταν δυσάρεστο με το πρόσωπό του και ολόκληρη την ύπαρξή του. Στο στεγνό, απόμακρο βλέμμα με το οποίο τον κοίταξε ο κυρίαρχος, ο πρίγκιπας Αντρέι βρήκε την επιβεβαίωση αυτής της υπόθεσης ακόμη περισσότερο από πριν. Οι αυλικοί εξήγησαν στον πρίγκιπα Αντρέι την έλλειψη προσοχής του κυρίαρχου προς αυτόν από το γεγονός ότι η Αυτού Μεγαλειότητα ήταν δυσαρεστημένη με το γεγονός ότι ο Μπολκόνσκι δεν είχε υπηρετήσει από το 1805.
«Γνωρίζω ο ίδιος πόσο δεν έχουμε κανέναν έλεγχο των συμπαθειών και των αντιπαθειών μας», σκέφτηκε ο πρίγκιπας Αντρέι, και επομένως δεν χρειάζεται να σκεφτώ να παρουσιάσω προσωπικά τη σημείωσή μου για τους στρατιωτικούς κανονισμούς στον κυρίαρχο, αλλά το θέμα θα μιλήσει από μόνο του. ” Μετέφερε το σημείωμά του στον παλιό στρατάρχη, φίλο του πατέρα του. Ο στρατάρχης, αφού του είχε ορίσει μια ώρα, τον δέχτηκε ευγενικά και υποσχέθηκε να αναφερθεί στον κυρίαρχο. Λίγες μέρες αργότερα ανακοινώθηκε στον πρίγκιπα Αντρέι ότι έπρεπε να εμφανιστεί ενώπιον του Υπουργού Πολέμου, Κόμη Arakcheev.
Στις εννέα το πρωί, την καθορισμένη ημέρα, ο πρίγκιπας Αντρέι εμφανίστηκε στην αίθουσα υποδοχής του κόμη Arakcheev.
Ο πρίγκιπας Αντρέι δεν γνώριζε προσωπικά τον Arakcheev και δεν τον είχε δει ποτέ, αλλά όλα όσα ήξερε γι 'αυτόν τον ενέπνεαν με ελάχιστο σεβασμό για αυτόν τον άνθρωπο.
«Είναι ο υπουργός Πολέμου, ο έμπιστος του Αυτοκράτορα. Κανείς δεν πρέπει να ενδιαφέρεται για τις προσωπικές του ιδιότητες. του δόθηκε εντολή να εξετάσει το σημείωμά μου, επομένως μόνος του μπορεί να το κάνει», σκέφτηκε ο πρίγκιπας Αντρέι, περιμένοντας ανάμεσα σε πολλά σημαντικά και ασήμαντα πρόσωπα στην αίθουσα υποδοχής του Κόμη Arakcheev.
Ο πρίγκιπας Αντρέι, κατά τη διάρκεια της θητείας του ως επί το πλείστον βοηθού, είδε πολλά υιοθετημένα σημαντικά πρόσωπα και οι διαφορετικοί χαρακτήρες αυτών των υιοθετημένων του ήταν πολύ ξεκάθαροι. Ο κόμης Arakcheev είχε έναν πολύ ιδιαίτερο χαρακτήρα στην αίθουσα υποδοχής του. Μια αίσθηση ντροπής και ταπεινότητας ήταν γραμμένη στα ασήμαντα πρόσωπα που περίμεναν στην ουρά για ένα κοινό στην αίθουσα υποδοχής του Κόμη Arakcheev. στα πιο επίσημα πρόσωπα εκφραζόταν ένα κοινό αίσθημα αδεξιότητας, που κρυβόταν κάτω από το πρόσχημα της σαχλαμάρας και της γελοιοποίησης του εαυτού, της θέσης και του αναμενόμενου προσώπου. Κάποιοι περπατούσαν σκεπτόμενοι πέρα ​​δώθε, άλλοι γέλασαν ψιθυριστά και ο πρίγκιπας Αντρέι άκουσε τον λυγμό [εικαστικό παρατσούκλι] των δυνάμεων του Αντρέιτς και τις λέξεις: «Θα ρωτήσει ο θείος», αναφερόμενος στον Κόμη Arakcheev. Ένας στρατηγός (ένα σημαντικό πρόσωπο), προφανώς προσβεβλημένος που έπρεπε να περιμένει τόσο πολύ, κάθισε σταυρώνοντας τα πόδια του και χαμογελώντας περιφρονητικά στον εαυτό του.
Αλλά μόλις άνοιξε η πόρτα, όλα τα πρόσωπα εξέφρασαν αμέσως μόνο ένα πράγμα - φόβο. Ο πρίγκιπας Αντρέι ζήτησε από τον αξιωματικό υπηρεσίας να αναφέρει για τον εαυτό του μια άλλη φορά, αλλά τον κοίταξαν με χλεύη και είπαν ότι θα έρθει η σειρά του στην κατάλληλη στιγμή. Αφού εισήγαγε και βγήκε πολλά άτομα από τον βοηθό από το γραφείο του υπουργού, ένας αξιωματικός μπήκε από την τρομερή πόρτα, χτυπώντας τον πρίγκιπα Αντρέι με την ταπεινωμένη και φοβισμένη εμφάνισή του. Το ακροατήριο του αξιωματικού κράτησε πολύ. Ξαφνικά ακούστηκαν κραυγές μιας δυσάρεστης φωνής πίσω από την πόρτα και ένας χλωμός αξιωματικός, με χείλη που έτρεμαν, βγήκε από εκεί, άρπαξε το κεφάλι του και περπάτησε από το χώρο υποδοχής.
Μετά από αυτό, ο πρίγκιπας Αντρέι οδηγήθηκε στην πόρτα και ο υπάλληλος είπε ψιθυριστά: «στα δεξιά, στο παράθυρο».
Ο πρίγκιπας Αντρέι μπήκε σε ένα σεμνό, τακτοποιημένο γραφείο και στο γραφείο είδε έναν σαραντάχρονο άνδρα με μακριά μέση, μακρύ, κοντό κομμένο κεφάλι και χοντρές ρυτίδες, με συνοφρυωμένα φρύδια πάνω από καστανά, θαμπά πράσινα μάτια και μια κρεμασμένη κόκκινη μύτη . Ο Αράκτσιεφ γύρισε το κεφάλι του προς το μέρος του, χωρίς να τον κοιτάξει.
-Τι ζητας? – ρώτησε ο Arakcheev.
«Δεν... παρακαλώ, εξοχότατε», είπε ήσυχα ο πρίγκιπας Αντρέι. Τα μάτια του Arakcheev στράφηκαν προς το μέρος του.
«Κάτσε», είπε ο Αράκτσιεφ, «Πρίγκιπα Μπολκόνσκι;»
«Δεν ζητάω τίποτα, αλλά ο Αυτοκράτορας δέχθηκε να διαβιβάσει το σημείωμα που υπέβαλα στην Εξοχότητά σας...»
«Παρακαλώ δες, αγαπητέ μου, διάβασα το σημείωμά σου», διέκοψε ο Αράκτσεφ, λέγοντας μόνο τις πρώτες λέξεις με στοργή, χωρίς πάλι να τον κοιτάξεις στο πρόσωπο και να πέφτει όλο και περισσότερο σε έναν γκρινιάρη περιφρονητικό τόνο. – Προτείνετε νέους στρατιωτικούς νόμους; Υπάρχουν πολλοί νόμοι και δεν υπάρχει κανείς να επιβάλει τους παλιούς. Σήμερα όλοι οι νόμοι είναι γραμμένοι· είναι πιο εύκολο να γράφεις παρά να το κάνεις.
«Ήρθα με τη θέληση του Αυτοκράτορα για να μάθω από την Εξοχότητά σας ποια πορεία σκοπεύετε να δώσετε στο υποβληθέν σημείωμα;» - είπε ευγενικά ο πρίγκιπας Αντρέι.
«Έχω προσθέσει ένα ψήφισμα στο σημείωμά σας και το διαβίβασα στην επιτροπή». «Δεν το εγκρίνω», είπε ο Arakcheev, σηκώνοντας και βγάζοντας ένα χαρτί από το γραφείο. - Εδώ! – το έδωσε στον πρίγκιπα Αντρέι.
Στο χαρτί απέναντί ​​του, με μολύβι, χωρίς κεφαλαία γράμματα, χωρίς ορθογραφία, χωρίς σημεία στίξης, έγραφε: «αβάσιμα συντεθειμένο ως απομίμηση αντιγραμμένο από τους γαλλικούς στρατιωτικούς κανονισμούς και από το στρατιωτικό άρθρο χωρίς να χρειάζεται υποχώρηση».
– Σε ποια επιτροπή στάλθηκε το σημείωμα; - ρώτησε ο πρίγκιπας Αντρέι.
- Στην επιτροπή στρατιωτικών κανονισμών, και υπέβαλα πρόταση να εγγραφεί η τιμή σας ως μέλος. Απλά χωρίς μισθό.
Ο πρίγκιπας Αντρέι χαμογέλασε.
- Δεν θέλω.
«Χωρίς μισθό ως μέλος», επανέλαβε ο Arakcheev. - Έχω την τιμή. Γεια, τηλεφώνησέ με! Ποιος άλλος? - φώναξε, υποκλινόμενος στον πρίγκιπα Αντρέι.

Εν αναμονή της ειδοποίησης της εγγραφής του ως μέλους της επιτροπής, ο πρίγκιπας Αντρέι ανανέωσε παλιές γνωριμίες, ειδικά με εκείνα τα πρόσωπα που, όπως γνώριζε, ήταν σε ισχύ και θα μπορούσαν να του χρειαστούν. Τώρα έζησε στην Αγία Πετρούπολη ένα συναίσθημα παρόμοιο με αυτό που είχε βιώσει την παραμονή της μάχης, όταν βασανιζόταν από μια ανήσυχη περιέργεια και ακαταμάχητα τον τραβούσε σε ανώτερες σφαίρες, όπου προετοιμαζόταν το μέλλον, όπου η μοίρα του εκατομμύρια εξαρτήθηκαν. Ένιωθε από την πικρία των ηλικιωμένων, από την περιέργεια των αμύητων, από την εγκράτεια των μυημένων, από τη βιασύνη και την ανησυχία όλων, από τον αμέτρητο αριθμό επιτροπών, επιτροπών, την ύπαρξη των οποίων μάθαινε ξανά κάθε μέρα. , που τώρα, το 1809, ετοιμαζόταν εδώ στην Αγία Πετρούπολη, κάποιου είδους τεράστια εμφύλια μάχη, ο αρχιστράτηγος της οποίας ήταν ένα πρόσωπο άγνωστο σε αυτόν, μυστηριώδες και που του φαινόταν ιδιοφυΐα - ο Σπεράνσκι. Και το πιο αόριστα γνωστό θέμα της μεταμόρφωσης, και ο Σπεράνσκι, η κύρια φιγούρα, άρχισε να τον ενδιαφέρει τόσο παθιασμένα που το θέμα των στρατιωτικών κανονισμών πολύ σύντομα άρχισε να περνάει σε δευτερεύουσα θέση στο μυαλό του.

Σήμερα θα εμβαθύνουμε λίγο στο θέμα της ασφάλειας ασύρματης σύνδεσης. Ας μάθουμε ποιος είναι ο τύπος κρυπτογράφησης WiFi - ονομάζεται επίσης "έλεγχος ταυτότητας" - και ποιο είναι καλύτερο να επιλέξετε. Πιθανότατα έχετε συναντήσει συντομογραφίες όπως WEP, WPA, WPA2, WPA2/PSK. Και επίσης μερικές από τις ποικιλίες τους - Personal ή Enterprice και TKIP ή AES. Λοιπόν, ας ρίξουμε μια πιο προσεκτική ματιά σε όλα αυτά και ας καταλάβουμε ποιον τύπο κρυπτογράφησης να επιλέξουμε για να εξασφαλίσουμε μέγιστη ταχύτητα χωρίς να θυσιάζουμε την ταχύτητα.

Γιατί χρειάζεται να κρυπτογραφήσετε το WiFi;

Σημειώνω ότι είναι επιτακτική ανάγκη να προστατεύσετε το WiFi σας με κωδικό πρόσβασης, ανεξάρτητα από τον τύπο κρυπτογράφησης που θα επιλέξετε. Ακόμη και ο πιο απλός έλεγχος ταυτότητας θα αποφύγει αρκετά σοβαρά προβλήματα στο μέλλον.

Γιατί το λέω αυτό; Το θέμα εδώ δεν είναι καν ότι η σύνδεση πολλών λάθος πελατών θα επιβραδύνει το δίκτυό σας - αυτές είναι μόνο οι αρχές. Ο κύριος λόγος είναι ότι εάν το δίκτυό σας δεν προστατεύεται με κωδικό πρόσβασης, τότε ένας εισβολέας μπορεί να προσκολληθεί σε αυτό, ο οποίος θα εκτελέσει παράνομες ενέργειες κάτω από τον δρομολογητή σας και, στη συνέχεια, θα πρέπει να λογοδοτήσετε για τις ενέργειές του, οπότε λάβετε πολύ σοβαρά υπόψη την προστασία του wifi .

Τύποι κρυπτογράφησης δεδομένων WiFi και ελέγχου ταυτότητας

Έτσι, είμαστε πεπεισμένοι για την ανάγκη κρυπτογράφησης του δικτύου wifi, τώρα ας δούμε ποιοι τύποι υπάρχουν:

Τι είναι η προστασία WEP wifi;

Το WEP (Wired Equivalent Privacy) είναι το πρώτο πρότυπο που αναδύθηκε, αλλά η αξιοπιστία του δεν ανταποκρίνεται πλέον στις σύγχρονες απαιτήσεις. Όλα τα προγράμματα που έχουν ρυθμιστεί για να παραβιάζουν ένα δίκτυο Wi-Fi χρησιμοποιώντας μεθόδους ωμής βίας στοχεύουν κυρίως στην επιλογή ενός κλειδιού κρυπτογράφησης WEP.

Τι είναι ένα κλειδί ή κωδικός πρόσβασης WPA;

Το WPA (Wi-Fi Protected Access) είναι ένα πιο σύγχρονο πρότυπο ελέγχου ταυτότητας που σας επιτρέπει να προστατεύετε αξιόπιστα το τοπικό σας δίκτυο και το Διαδίκτυο από παράνομη διείσδυση.

Τι είναι το WPA2-PSK – Προσωπικό ή Εταιρικό;

Το WPA2 είναι μια βελτιωμένη έκδοση του προηγούμενου τύπου. Η παραβίαση του WPA2 είναι σχεδόν αδύνατο, παρέχει τον μέγιστο βαθμό ασφάλειας, επομένως στα άρθρα μου λέω πάντα χωρίς εξήγηση ότι πρέπει να το εγκαταστήσετε - τώρα ξέρετε γιατί.

Τα πρότυπα ασφαλείας WiFi WPA2 και WPA έχουν δύο ακόμη ποικιλίες:

• Προσωπικό, που ορίζεται ως WPA/PSK ή WPA2/PSK. Αυτός ο τύπος είναι ο πιο ευρέως χρησιμοποιούμενος και βέλτιστος για χρήση στις περισσότερες περιπτώσεις - τόσο στο σπίτι όσο και στο γραφείο. Στο WPA2/PSK ορίζουμε έναν κωδικό τουλάχιστον 8 χαρακτήρων, ο οποίος αποθηκεύεται στη μνήμη της συσκευής που συνδέουμε στο router.
• Το Enterprise είναι μια πιο περίπλοκη διαμόρφωση που απαιτεί να είναι ενεργοποιημένη η λειτουργία RADIUS στο δρομολογητή. Λειτουργεί σύμφωνα με την αρχή, δηλαδή, εκχωρείται ένας ξεχωριστός κωδικός πρόσβασης για κάθε μεμονωμένο συνδεδεμένο gadget.

Τύποι κρυπτογράφησης WPA - TKIP ή AES;

Έτσι, αποφασίσαμε ότι το WPA2/PSK (Personal) είναι η καλύτερη επιλογή για την ασφάλεια δικτύου, αλλά έχει δύο ακόμη τύπους κρυπτογράφησης δεδομένων για έλεγχο ταυτότητας.

• TKIP - σήμερα αυτός είναι ένας ξεπερασμένος τύπος, αλλά εξακολουθεί να χρησιμοποιείται ευρέως, καθώς πολλές συσκευές για έναν ορισμένο αριθμό ετών το υποστηρίζουν μόνο. Δεν λειτουργεί με τεχνολογία WPA2/PSK και δεν υποστηρίζει 802.11n WiFi.
• Το AES είναι ο πιο πρόσφατος και πιο ασφαλής τύπος κρυπτογράφησης WiFi.

Τι τύπο κρυπτογράφησης πρέπει να επιλέξω και να ορίσω το κλειδί WPA στο δρομολογητή WiFi μου;

Τακτοποιήσαμε τη θεωρία - ας προχωρήσουμε στην πράξη. Δεδομένου ότι κανείς δεν χρησιμοποιεί τα πρότυπα WiFi 802.11 "B" και "G", τα οποία έχουν μέγιστη ταχύτητα έως και 54 Mbit/s, σήμερα ο κανόνας είναι 802.11 "N" ή "AC", τα οποία υποστηρίζουν ταχύτητες έως και 300 Mbit /s και υψηλότερη, τότε δεν έχει νόημα να εξετάσετε την επιλογή χρήσης προστασίας WPA/PSK με τον τύπο κρυπτογράφησης TKIP. Επομένως, όταν ρυθμίζετε ένα ασύρματο δίκτυο, ορίστε το ως προεπιλογή

Ή, ως έσχατη λύση, καθορίστε το "Auto" ως τον τύπο κρυπτογράφησης που εξακολουθεί να παρέχει τη σύνδεση συσκευών με μια παλιά μονάδα WiFi.

Σε αυτήν την περίπτωση, το κλειδί WPA, ή απλά ο κωδικός πρόσβασης για τη σύνδεση στο δίκτυο, πρέπει να έχει από 8 έως 32 χαρακτήρες, συμπεριλαμβανομένων των αγγλικών πεζών και κεφαλαίων γραμμάτων, καθώς και διαφόρων ειδικών χαρακτήρων.

Ασύρματη ασφάλεια στον δρομολογητή TP-Link

Τα παραπάνω στιγμιότυπα οθόνης δείχνουν τον πίνακα ελέγχου ενός σύγχρονου δρομολογητή TP-Link στη νέα έκδοση υλικολογισμικού. Η ρύθμιση της κρυπτογράφησης δικτύου εδώ βρίσκεται στην ενότητα "Σύνθετες ρυθμίσεις – Ασύρματη λειτουργία".

Στην παλιά «πράσινη» έκδοση, οι διαμορφώσεις δικτύου WiFi που μας ενδιαφέρουν βρίσκονται στο μενού «Ασύρματη λειτουργία - Ασφάλεια». Αν τα κάνετε όλα όπως στην εικόνα, θα είναι υπέροχο!

Εάν παρατηρήσατε, υπάρχει επίσης ένα τέτοιο στοιχείο όπως "Περίοδος ενημέρωσης κλειδιού ομάδας WPA". Το γεγονός είναι ότι για να παρέχεται μεγαλύτερη ασφάλεια, το πραγματικό ψηφιακό κλειδί WPA για την κρυπτογράφηση της σύνδεσης αλλάζει δυναμικά. Εδώ ορίζετε την τιμή σε δευτερόλεπτα μετά τα οποία πραγματοποιείται η αλλαγή. Συνιστώ να το αφήσετε μόνο του και να το αφήσετε στην προεπιλογή - το διάστημα ενημέρωσης διαφέρει από μοντέλο σε μοντέλο.

Μέθοδος ελέγχου ταυτότητας σε δρομολογητή ASUS

Στους δρομολογητές ASUS, όλες οι παράμετροι WiFi βρίσκονται σε μία σελίδα "Ασύρματο δίκτυο".

Προστασία δικτύου μέσω δρομολογητή Zyxel Keenetic

Ομοίως για το Zyxel Keenetic - ενότητα "Δίκτυο WiFi - Σημείο πρόσβασης"

Λοιπόν, σήμερα καταλάβαμε τους τύπους κρυπτογράφησης WiFi και όρους όπως WEP, WPA, WPA2-PSK, TKIP και AES και μάθαμε ποιο είναι καλύτερο να επιλέξουμε. Διαβάστε επίσης για άλλες επιλογές ασφάλειας δικτύου σε ένα από τα προηγούμενα άρθρα μου, στο οποίο μιλάω για διευθύνσεις MAC και IP και άλλες μεθόδους ασφαλείας.

Βίντεο σχετικά με τη ρύθμιση του τύπου κρυπτογράφησης στο δρομολογητή

ΑΝΤΡΕΪ ΠΛΑΤΟΝΟΦ

Δημιουργία ασφαλούς ασύρματου δικτύου: WPA-Enterprise, 802.1x EAP-TLS

Υπάρχουν εκατό άρθρα σχετικά με την ανασφάλεια των ασύρματων δικτύων. Επιπλέον, πολλοί είναι εντελώς πανομοιότυποι και άχρηστοι: λένε ότι το WEP είναι κακό, ότι οι διευθύνσεις MAC μπορούν εύκολα να αντικατασταθούν και εν κατακλείδι γράφουν: «Υπάρχει μόνο μια διέξοδος και η σωτηρία. Πρέπει να χρησιμοποιήσετε το WPA." Και περίοδος. Αυτό το υλικό περιέχει ακριβώς αυτό που θέλατε να ακούσετε μετά την «περίοδο» - έναν πρακτικό οδηγό για την οργάνωση ενός καλά ασφαλούς ασύρματου δικτύου.

Ασφαλές Μη ασφαλές Wi-Fi

Σήμερα γίνεται φανερό ότι, παρά όλα τα προβλήματα που σχετίζονται με την ασφάλεια, την αξιοπιστία και τη λειτουργική πολυπλοκότητα, οι ασύρματες λύσεις της οικογένειας 802.11a/b/g έχουν γίνει ωστόσο αναπόσπαστο μέρος της υποδομής πολλών εταιρικών, οικιακών και ακόμη και δικτύων χειριστή. Αυτό συνέβη εν μέρει επειδή τα περισσότερα από αυτά τα προβλήματα στο τρέχον στάδιο ανάπτυξης του Wi-Fi ανήκουν στο παρελθόν. Τα ασύρματα δίκτυα έχουν γίνει πολύ πιο έξυπνα και πιο γρήγορα από κάθε άποψη: έχουν εμφανιστεί QoS, έξυπνες κεραίες (τεχνολογία MIMO), οι πραγματικές ταχύτητες έχουν φτάσει τα 40 Mbit/s (για παράδειγμα, τεχνολογίες SuperG, SuperAG από την Atheros). Επιπλέον, σημαντικές αλλαγές έχουν συμβεί στο φάσμα των τεχνολογιών που διασφαλίζουν την ασφάλεια των ασύρματων δικτύων. Ας μιλήσουμε για αυτό με περισσότερες λεπτομέρειες.

Την εποχή που το Wi-Fi ήταν μόνο για την ελίτ, η κρυπτογράφηση WEP και τα φίλτρα MAC χρησιμοποιούνταν για την προστασία των ασύρματων δικτύων. Όλα αυτά γρήγορα έγιναν ανεπαρκή· το WEP αναγνωρίστηκε ως μη ασφαλές λόγω της στατικής φύσης των κλειδιών κρυπτογράφησης και της έλλειψης μηχανισμών ελέγχου ταυτότητας· τα φίλτρα MAC επίσης δεν παρείχαν μεγάλη ασφάλεια. Ξεκίνησε η ανάπτυξη ενός νέου προτύπου, του IEEE 802.11i, το οποίο σχεδιάστηκε για να λύνει όλα τα πιεστικά προβλήματα ασφαλείας. Στα μισά του δρόμου για το 802.11i, εμφανίστηκε ένα σύνολο τεχνολογιών με τη γενική ονομασία WPA (Wi-Fi Protected Access) - μέρος του προτύπου 802.11i που δεν είναι ακόμη έτοιμο. Το WPA περιλαμβάνει εργαλεία για έλεγχο ταυτότητας και κρυπτογράφηση χρήστη με χρήση δυναμικών κλειδιών WEP (TKIP/MIC). Στη συνέχεια ολοκληρώθηκε τελικά το 802.11i και γεννήθηκε το WPA2. Σε όλα τα παραπάνω, έχει προστεθεί υποστήριξη για πιο ισχυρή κρυπτογράφηση AES (Advanced Encryption Standard), η οποία λειτουργεί σε συνδυασμό με το πρωτόκολλο ασφαλείας CCMP (Counter with Cipher Block Chaining Message Code Authentication Protocol - αυτό είναι ένα πιο προηγμένο ανάλογο του TKIP στο WPA). Το WPA2 άρχισε σταδιακά να εμφανίζεται σε νέα μοντέλα σημείων πρόσβασης (για παράδειγμα, D-Link DWL-3200AP), αλλά προς το παρόν είναι μάλλον εξωτικό. Όλα τα προϊόντα που υποστηρίζουν WPA2 είναι συμβατά με το υλικό που υποστηρίζει WPA.

Τόσο το WPA όσο και το WPA2 περιλαμβάνουν προηγμένα στοιχεία ελέγχου πρόσβασης ασύρματου δικτύου με βάση το πρότυπο IEEE 802.1x. Η αρχιτεκτονική 802.1x χρησιμοποιεί αρκετά απαιτούμενα λογικά στοιχεία:

• Πελάτης. Ο ρόλος του πελάτη είναι το Supplicant, ένα πρόγραμμα στον υπολογιστή-πελάτη που ελέγχει τη διαδικασία ελέγχου ταυτότητας.
• Επαληθευτής. Αυτό είναι ένα σημείο πρόσβασης που λειτουργεί ως ενδιάμεσος μεταξύ του πελάτη και του διακομιστή ελέγχου ταυτότητας. Ο έλεγχος ταυτότητας μπορεί επίσης να είναι ένας ενσύρματος διακόπτης, επειδή Το 802.1x χρησιμοποιείται σε διάφορα δίκτυα.
• Διακομιστής ελέγχου ταυτότητας – διακομιστής RADIUS.

Το IEEE 802.1x επιτρέπει τη χρήση διαφόρων μεθόδων και αλγορίθμων ελέγχου ταυτότητας. Αυτό είναι δυνατό χάρη στο EAP (Extensible Authentication Protocol), το οποίο περιέχει χαρακτηριστικά που αντιστοιχούν σε μια συγκεκριμένη μέθοδο ελέγχου ταυτότητας. Επομένως, υπάρχουν πολλές ποικιλίες 802,1x EAP: EAP-MD5, EAP-PEAP, EAP-LEAP, EAP-SIM, κ.λπ. Αυτό το άρθρο θα περιγράψει την εφαρμογή ελέγχου ταυτότητας σε ένα ασύρματο δίκτυο που βασίζεται σε ψηφιακά πιστοποιητικά - 802,1x EAP- TLS. Αυτή η μέθοδος χρησιμοποιείται συχνότερα σε εταιρικά ασύρματα δίκτυα και έχει αρκετά υψηλό βαθμό ασφάλειας. Επιπλέον, το EAP-TLS είναι μερικές φορές μία από τις κύριες μεθόδους ασφαλείας στα δίκτυα ασύρματων παρόχων.

Έλεγχος ταυτότητας 802.1x EAP-TLS

Το EAP-TLS βασίζεται στο πρωτόκολλο SSL v3.0, αλλά σε αντίθεση με τον παραδοσιακό έλεγχο ταυτότητας με χρήση του πρωτοκόλλου SSL (για παράδειγμα, κατά την οργάνωση μιας ασφαλούς σύνδεσης HTTP - HTTPS), στο EAP-TLS πραγματοποιείται αμοιβαίος έλεγχος ταυτότητας πελάτη και διακομιστή. Ο πελάτης (παρακαλούμενος) και ο διακομιστής RADIUS πρέπει να υποστηρίζουν τη μέθοδο ελέγχου ταυτότητας EAP-TLS. το σημείο πρόσβασης πρέπει να υποστηρίζει έλεγχο ταυτότητας 802.1x/EAP και δεν χρειάζεται απαραίτητα να γνωρίζει ποια μέθοδος ελέγχου ταυτότητας χρησιμοποιείται σε μια συγκεκριμένη περίπτωση. Το παρακάτω σχήμα δείχνει τη διαδικασία ελέγχου ταυτότητας σε ασύρματο δίκτυο χρησιμοποιώντας EAP-TLS.

Εδώ είναι σκόπιμο να ολοκληρώσουμε μια σύντομη λυρική και θεωρητική παρέκβαση, η οποία είναι απαραίτητη για να έχουμε μια πρόχειρη ιδέα για το τι βρίσκεται στα βάθη ενός ασφαλούς ασύρματου δικτύου. Στη συνέχεια, θα προταθεί η πρακτική εφαρμογή των εννοιών που περιγράφηκαν παραπάνω. Ένας υπολογιστής που εκτελεί το FreeBSD 5.3 με το πακέτο FreeRADIUS θα χρησιμοποιηθεί ως διακομιστής RADIUS. Για την οργάνωση της υποδομής PKI (Public Key Infrastructure), θα χρησιμοποιηθεί το πακέτο OpenSSL. Ολόκληρο το ασύρματο δίκτυο θα κατασκευαστεί με βάση τον φθηνό και αξιόπιστο ασύρματο εξοπλισμό D-Link. Υποτίθεται ότι το Windows XP SP2 είναι εγκατεστημένο σε υπολογιστές-πελάτες, επειδή αυτό το λειτουργικό σύστημα έχει ενσωματωμένο υποστηρικτή και η πρόσφατα κυκλοφόρησε ενημέρωση από τη Microsoft προσθέτει υποστήριξη για το WPA2.

Εγκαταστήστε και διαμορφώστε το OpenSSL και το FreeRADIUS

Υποτίθεται ότι το σύστημα FreeBSD 5.3 έχει εγκατεστημένη μία κάρτα δικτύου, η συλλογή των θυρών έχει ενημερωθεί, το Midnight Commander είναι παρόν και ο ίδιος ο υπολογιστής είναι συνδεδεμένος στο Διαδίκτυο. Στο μέλλον, θα υποθέσουμε ότι το ασύρματο δίκτυο αναπτύσσεται σε εταιρικό δίκτυο με μάσκα 192.168.0.0/24.

Πρώτα, λίγα λόγια για τη ρύθμιση ενός ασύρματου δικτύου και, στη συνέχεια, θα δώσουμε ένα παράδειγμα διαμόρφωσης του D-Link DWL-2100AP για να διασφαλίσουμε την αλληλεπίδραση με έναν διακομιστή RADIUS.

Ένα ασύρματο δίκτυο εντός γραφείου αποτελείται συνήθως από πολλά σημεία πρόσβασης (όλη η κάλυψη χωρίζεται σε μικρά κελιά), τα οποία συνδέονται με έναν ενσύρματο διακόπτη. Συχνά, για τη δημιουργία ενός WLAN, χρησιμοποιούνται διακόπτες με ενσωματωμένη υποστήριξη για Power over Ethernet (802.3af) στις θύρες (για παράδειγμα, D-Link DES-1316K). Με τη βοήθειά τους, είναι βολικό να τροφοδοτείτε με ρεύμα τα σημεία πρόσβασης που είναι διάσπαρτα σε όλο το γραφείο. Τα κοντινά σημεία είναι συντονισμένα σε μη επικαλυπτόμενα κανάλια εύρους έτσι ώστε να μην παρεμβαίνουν μεταξύ τους. Στη ζώνη των 2,4 GHz, στην οποία λειτουργεί εξοπλισμός 802,11b/g, υπάρχουν 3 μη επικαλυπτόμενα κανάλια διαθέσιμα για εξοπλισμό με 11 κανάλια και 4 μη επικαλυπτόμενα κανάλια για εξοπλισμό με 13 επιλέξιμα κανάλια (το σήμα ευρείας ζώνης του AP καταλαμβάνει 3 κανάλια εύρος). Τα σημεία πρόσβασης D-Link DWL-2100AP και DWL-2700AP μπορούν να διαμορφωθούν σε οποιοδήποτε από τα 13 κανάλια, επιπλέον, μπορείτε να ενεργοποιήσετε τη λειτουργία αυτόματου συντονισμού σε ένα ελεύθερο κανάλι. Αυτό θα κάνουμε.

Εάν υπάρχουν συνδρομητές κινητής τηλεφωνίας στο δίκτυο που μετακινούνται σε όλη την περιοχή κάλυψης, μπορείτε να δώσετε σε όλα τα σημεία το ίδιο όνομα ασύρματου δικτύου - SSID, τότε ο συνδρομητής θα συνδεθεί αυτόματα σε ένα νέο σημείο εάν χαθεί η σύνδεση με το προηγούμενο. Παράλληλα, θα υποβληθεί σε επαναλαμβανόμενο έλεγχο ταυτότητας, ο οποίος, ανάλογα με τον υποψήφιο, θα διαρκέσει αρκετά δευτερόλεπτα ή και περισσότερο. Έτσι υλοποιείται η απλούστερη μη έξυπνη περιαγωγή εντός του δικτύου. Μια άλλη επιλογή: εάν κάθε σημείο έχει το δικό του SSID, τότε μπορείτε να διαμορφώσετε πολλά προφίλ ασύρματου δικτύου στις ιδιότητες της ασύρματης σύνδεσης και να ελέγξετε την επιλογή "σύνδεση σε οποιοδήποτε διαθέσιμο δίκτυο" εκεί. Έτσι, εάν η σύνδεση χαθεί, ο πελάτης θα συνδεθεί σε ένα νέο σημείο.

Διαμορφώνουμε το DWL-2100AP ώστε να αλληλεπιδρά με το RADIUS.

• Πηγαίνουμε στη διεπαφή ιστού του σημείου πρόσβασης (το πώς να το κάνουμε αυτό είναι γραμμένο στις οδηγίες για το σημείο), αλλάζουμε αμέσως τον προεπιλεγμένο κωδικό πρόσβασης στην καρτέλα TOOLS/ADMIN/.
• Στην καρτέλα HOME/LAN, εκχωρήστε στο σημείο πρόσβασης τη διεύθυνση IP που καθορίστηκε στο clients.conf: 192.168.0.220.

• Στην καρτέλα HOME/WIRELESS κάνουμε τα πάντα όπως φαίνεται στο Σχ. 3; στο πεδίο "Radius Secret" υποδεικνύουμε τον κωδικό πρόσβασης που αντιστοιχεί σε αυτό το σημείο στο clients.conf (καθορίσαμε "12345").

Τα υπόλοιπα σημεία πρόσβασης διαμορφώνονται με τον ίδιο τρόπο, μόνο που θα έχουν διαφορετικές διευθύνσεις IP, κανάλια (εάν έχουν οριστεί χειροκίνητα), καθώς και την τιμή του πεδίου "Radius Secret".

Δημιουργούμε πιστοποιητικά

Αρχικά, λίγα γενικά λόγια για το τι είναι το PKI. Πρόκειται για μια συγκεκριμένη υποδομή, κάθε θέμα της οποίας έχει ένα μοναδικό ψηφιακό πιστοποιητικό που αποδεικνύει την ταυτότητά του. Μεταξύ άλλων, το ψηφιακό πιστοποιητικό περιέχει ένα ιδιωτικό κλειδί. Τα μηνύματα που είναι κρυπτογραφημένα με αυτό μπορούν να αποκρυπτογραφηθούν εάν γνωρίζετε το αντίστοιχο δημόσιο κλειδί. Αντίθετα, τα μηνύματα που είναι κρυπτογραφημένα με δημόσιο κλειδί μπορούν να αποκρυπτογραφηθούν μόνο χρησιμοποιώντας το ιδιωτικό κλειδί. Κάθε θέμα PKI έχει ένα δημόσιο και ένα ιδιωτικό κλειδί.

Ένα θέμα PKI μπορεί να είναι ένας υπολογιστής χρήστη ή ένα PDA, ή οποιοδήποτε άλλο στοιχείο της υποδομής δικτύου - ένας δρομολογητής, ένας διακομιστής web, ακόμη και ένας διακομιστής RADIUS, κάτι που συμβαίνει στην περίπτωσή μας. Επικεφαλής ολόκληρου αυτού του συστήματος είναι ο κύριος φορέας CA (Αρχή Πιστοποιητικών), υποτίθεται ότι όλοι τον εμπιστεύονται και όλοι τον γνωρίζουν - ασχολείται με την υπογραφή πιστοποιητικών (που πιστοποιεί ότι ο κάτοχος του πιστοποιητικού είναι πραγματικά αυτός που ισχυρίζεται ότι είναι ). Επικουρείται από ειδικές υπηρεσίες για τη λήψη αιτημάτων για πιστοποιητικά και την έκδοσή τους. οι αριθμοί όλων των εκδοθέντων και ανακληθέντων πιστοποιητικών αποθηκεύονται σε ειδικό μητρώο. Στην πραγματικότητα, όλος αυτός ο φαινομενικά μεγάλος εξοπλισμός χωράει σε έναν υπολογιστή και μπορεί εύκολα να τον διαχειριστεί ένα άτομο.

Για να δημιουργήσουμε πιστοποιητικά θα χρησιμοποιήσουμε τα σενάρια που συνοδεύουν το FreeRADIUS.

• Αρχικά, ας δημιουργήσουμε τη δική μας ΑΠ - για αυτό θα χρειαστεί να δημιουργήσουμε μια ψηφιακή υπογραφή που θα υπογράφει όλα τα πιστοποιητικά που της έχουν εκδοθεί, καθώς και το δημόσιο κλειδί.
• Στη συνέχεια θα δημιουργήσουμε ένα πιστοποιητικό διακομιστή και θα το εγκαταστήσουμε στο RADIUS.
• Τέλος, θα δημιουργήσουμε πιστοποιητικά για εγκατάσταση σε υπολογιστές-πελάτες.

Δημιουργήστε έναν κατάλογο /usr/local/etc/raddb/CA, αντιγράψτε το αρχείο CA.all και το αρχείο xpextensions εκεί από το φάκελο /usr/ports/net/freeradius/work/freeradius-1.0.2/scripts/. Το CA.all είναι ένα διαδραστικό σενάριο που δημιουργεί πιστοποιητικά CA, πελάτη και διακομιστή. Το Xpextensions είναι ένα αρχείο που περιέχει ειδικά κλειδιά Microsoft "Extended Key Usage" - είναι απαραίτητα για το EAP-TLS για να λειτουργεί με συστήματα Windows.

Ανοίξτε το αρχείο CA.all:

• στη γραμμή 1 διορθώνουμε τη διαδρομή - θα πρέπει να μοιάζει με αυτό:

SSL=/usr/local/openssl

• στη γραμμή 32 διορθώνουμε τη διαδρομή - θα πρέπει να μοιάζει με αυτό:

ηχώ “newreq.pem” | /usr/local/openssl/ssl/misc/CA.pl -newca

Αντιγράψτε το CA.all στο αρχείο CA_users.all. Στη συνέχεια, ανοίγουμε την τελευταία και αφήνουμε το κείμενο από τη γραμμή 48 έως τη γραμμή 64, διαγράφουμε τις υπόλοιπες γραμμές - οι υπόλοιπες είναι η ενότητα CA.all, στην οποία δημιουργούνται πιστοποιητικά πελάτη. Θα χρησιμοποιηθεί επανειλημμένα, επομένως είναι βολικό να το χωρίσετε σε ξεχωριστό σενάριο. Ανοίξτε το CA.all, διαγράψτε τις γραμμές από το 48 έως το 64 από αυτό - ό,τι διαχωρίστηκε σε ξεχωριστό σενάριο και αποθηκεύστε το.

Σημείωση: Τα αρχεία CA.all και CA_users.all περιέχουν τη μυστική φράση πρόσβασης "whatever", η οποία χρησιμοποιείται ως πρόσθετο μέτρο ασφαλείας κατά την έκδοση και την ανάκληση πιστοποιητικών. Ένα άτομο που δεν γνωρίζει αυτή τη φράση δεν θα μπορεί να υπογράψει ή να ανακαλέσει το πιστοποιητικό. Καταρχήν, κανείς άλλος δεν θα το χρειαστεί εκτός από τον χειριστή της ΑΠ. Για να αυξήσετε την ασφάλεια, πρέπει να αντικαταστήσετε όλες τις λέξεις "whatever" που βρίσκονται στο σενάριο CA.all και CA_users.all με τον κωδικό πρόσβασης που δημιουργήσατε. Θα πρέπει επίσης να εισαχθεί στο eap.conf στη γραμμή "private_key_password = οτιδήποτε". Στη συνέχεια, υποθέτω ότι αφήσαμε αμετάβλητο τον κωδικό πρόσβασης "whatever". Θα το εισάγουμε κατά τη δημιουργία πιστοποιητικών πελάτη και διακομιστή, καθώς και κατά την ανάκλησή τους.

Δημιουργήστε ένα πιστοποιητικό CA και διακομιστή

Εκκινήστε το CA.all. Το πρώτο πράγμα που δημιουργεί διαδραστικά είναι το πιστοποιητικό CA root (cacert.pem), το ζεύγος δημόσιου ιδιωτικού κλειδιού (cakey.pem), το δημόσιο κλειδί του πιστοποιητικού ρίζας σε μορφή PKCS#12 (root.der) και μετά το πιστοποιητικό διακομιστή (cert_srv.pem ), το οποίο θα ορίσουμε σε RADIUS. Όλα τα αρχεία που περιλαμβάνονται στη λίστα (ακόμα και μερικά που δεν περιλαμβάνονται στη λίστα) θα εμφανιστούν στο φάκελο CA.

Δημιουργήστε μια ΑΠ (θα ονομάζεται "Διαχειριστής"):

Όνομα οργανωτικής μονάδας (π.χ. τμήμα) :megacompany.central.office Κοινό Όνομα (π.χ. ΤΟ ΟΝΟΜΑ ΣΑΣ): Διαχειριστής

Δημιουργήστε ένα πιστοποιητικό για RADIUS:

Όνομα οργανισμού (π.χ. εταιρεία): MegaCompany Co. Ε.Π.Ε. Όνομα οργανωτικής μονάδας (π.χ. τμήμα) :RADIUS Κοινό Όνομα (π.χ., ΤΟ ΟΝΟΜΑ ΣΑΣ) :RADIUS Διεύθυνση ηλεκτρονικού ταχυδρομείου: [email προστατευμένο]

Αντιγράψτε τα αρχεία /raddb/CA/cert_srv.pem και /raddb/CA/demoCA/cacert.pem στο φάκελο /raddb/certs - εγκαταστήστε τα πιστοποιητικά στον διακομιστή RADIUS.

Δημιουργία πιστοποιητικών πελατών

Για να δημιουργήσουμε πιστοποιητικά πελάτη, χρησιμοποιούμε το σενάριο CA_users.all. Για παράδειγμα, ας δημιουργήσουμε ένα πιστοποιητικό για τον χρήστη user1:

• Ανοίξτε το CA_users.all, αντικαταστήστε όλες τις λέξεις cert-clt.* σε αυτό με user1.* (αυτό είναι απαραίτητο για να διακρίνετε από το όνομα αρχείου ποιο πιστοποιητικό προορίζεται για ποιον χρήστη, διαφορετικά ένα πιστοποιητικό με το ίδιο όνομα αρχείου θα είναι δημιουργήθηκε ( cert-clt.*). Θα δημιουργήσουμε πολλά πιστοποιητικά ταυτόχρονα για το user1, user2,3,4,5). Ως επιλογή, μπορείτε να χρησιμοποιήσετε περιγραφικά ονόματα αρχείων που περιέχουν το πιστοποιητικό, για παράδειγμα, SergeyPetrov, IvanIvanov κ.λπ.
• Ο κωδικός πρόσβασης – «ό,τι κι αν είναι» στις γραμμές 3, 4 αντικαθίσταται με πραγματικό, όπως φαίνεται στην καταχώριση:

Αρχείο CA_users.all

1| openssl req -new -keyout newreq.pem -out newreq.pem -days 730 -passin pass:whatever -passout pass:whatever

2| openssl ca -policy policy_anything -out newcert.pem -passin pass:whatever -key whatever -extensions xpclient_ext \

Extfile xpextensions -infiles newreq.pem

3| openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -out user1.p12 -clcerts -passin pass:whatever -passout pass:user1_password

4| openssl pkcs12 -in user1.p12 -out user1.pem -passin pass:user1_password -passout pass:user1_password

5| openssl x509 -inform PEM -outform DER -in user1.pem -out user1.der

Για παράδειγμα, πληκτρολογήστε "user1_password" - αυτός ο κωδικός πρόσβασης θα ζητηθεί κατά την εγκατάσταση του πιστοποιητικού στον υπολογιστή του χρήστη, πρέπει να τον θυμάστε. Αυτό, όπως ήδη είπα, είναι ένα πρόσθετο μέσο ελέγχου ταυτότητας για ενέργειες που σχετίζονται με την έκδοση πιστοποιητικού.

• Αποθηκεύουμε και εκτελούμε το σενάριο, λαμβάνουμε τρία αρχεία user1.der, user1.pem, user1.p12 - το τελευταίο είναι ένα πιστοποιητικό σε μορφή PKСS#12 για εγκατάσταση σε πελάτη Windows.

Εκκινούμε το τροποποιημένο CA_users.all. Δημιουργήστε ένα πιστοποιητικό για το χρήστη1:

Όνομα χώρας (κωδικός 2 γραμμάτων): RU

Όνομα πολιτείας ή επαρχίας (πλήρες όνομα): Μόσχα Όνομα τοποθεσίας (π.χ. πόλη): Μόσχα Όνομα οργανισμού (π.χ. εταιρεία): MegaCompany Co. Ε.Π.Ε. Κοινό Όνομα (π.χ. ΤΟ ΟΝΟΜΑ ΣΑΣ): Andrey Ivanov Διεύθυνση ηλεκτρονικού ταχυδρομείου: [email προστατευμένο] Εισαγάγετε τα ακόλουθα "επιπλέον" χαρακτηριστικά να σταλεί μαζί με το αίτημα πιστοποιητικού σας Ένας κωδικός πρόσβασης πρόκλησης :whatever Προαιρετικό όνομα εταιρείας: (πατήστε enter)

Τώρα δημιουργούμε έναν κωδικό πρόσβασης για τον χρήστη user2:

• Ανοίξτε το CA_users.all, αντικαταστήστε το user1.* με το user2.*
• Αντικαταστήστε τον κωδικό πρόσβασης "user1_password" με "user2_password" (μην ξεχάσετε να τον θυμάστε για να εγκαταστήσετε το πιστοποιητικό αργότερα).
• Αποθηκεύουμε και εκτελούμε το σενάριο - παίρνουμε το αρχείο user2.p12.

Δημιουργήστε ένα πιστοποιητικό για το user2:

Όνομα χώρας (κωδικός 2 γραμμάτων): RU Όνομα πολιτείας ή επαρχίας (πλήρες όνομα): Μόσχα Όνομα τοποθεσίας (π.χ. πόλη) :Μόσχα Όνομα οργανισμού (π.χ. εταιρεία): MegaCompany Co. Ε.Π.Ε. Όνομα Οργανωτικής Μονάδας (π.χ. τμήμα): Τμήμα Πληροφορικής Κοινό Όνομα (π.χ. ΤΟ ΟΝΟΜΑ ΣΑΣ): Μιχαήλ Ιβάνοφ Διεύθυνση ηλεκτρονικού ταχυδρομείου: [email προστατευμένο] Εισαγάγετε τα ακόλουθα "επιπλέον" χαρακτηριστικά να σταλεί μαζί με το αίτημα πιστοποιητικού σας Ένας κωδικός πρόσβασης πρόκλησης :whatever Προαιρετική επωνυμία εταιρείας:

Αποθηκεύουμε κάθε πιστοποιητικό σε ξεχωριστή δισκέτα, γράφουμε τον κωδικό εγκατάστασης (“userX_password”) σε αυτήν, γράφουμε το δημόσιο κλειδί root.der στην ίδια δισκέτα (είναι το ίδιο για όλους) και το δίνουμε στον χρήστη. Ο χρήστης εγκαθιστά το πιστοποιητικό στον υπολογιστή του (αυτό θα συζητηθεί λίγο αργότερα) και βάζει τη δισκέτα στο χρηματοκιβώτιο.

Εγκατάσταση πιστοποιητικών στον υπολογιστή-πελάτη

Έτσι, ο χρήστης (ας υποθέσουμε αυτόν που ονομάσαμε user1) έλαβε μια δισκέτα, τα περιεχόμενα της οποίας είναι δύο αρχεία root.der και user1.p12. Ο κωδικός «user1_password» είναι επίσης γραμμένος στη δισκέτα.

Ας ξεκινήσουμε εγκαθιστώντας το root.der

• κάντε διπλό κλικ στο αρχείο root.der.
• κάντε κλικ στο "Εγκατάσταση πιστοποιητικού"
• κάντε κλικ στο «Επόμενο»·
• επιλέξτε την επιλογή "Τοποθέτηση όλων των πιστοποιητικών στον ακόλουθο χώρο αποθήκευσης", κάντε κλικ στο "Αναζήτηση" (Εικ. 4).

• επιλέξτε "Trusted Root Certification Authorities", κάντε κλικ στο "OK" (Εικ. 5).

• Κάντε κλικ στο «Επόμενο» και μετά στο «Τέλος».
• εκδίδεται μια προειδοποίηση ασφαλείας: "Δεν είναι δυνατό να επαληθευτεί ότι το πιστοποιητικό ανήκει στον "Διαχειριστή...". Πρέπει να εγκαταστήσω αυτό το πιστοποιητικό; κάντε κλικ στο «Ναι»·
• Εμφανίζεται το μήνυμα "Η εισαγωγή ολοκληρώθηκε με επιτυχία", κάντε κλικ στο "OK" δύο φορές.

Εγκαταστήστε το πιστοποιητικό χρήστη user1.p12.

• Κάντε διπλό κλικ στο αρχείο user1.p12 και κάντε κλικ στο «Επόμενο» δύο φορές.

• Εδώ πρέπει να εισαγάγετε τον κωδικό πρόσβασης που ορίσαμε για το πιστοποιητικό user1. Στο παράδειγμά μας, αυτό είναι "user1_pass-word" (ή ό,τι άλλο καταλήξετε), είναι συμβατικά γραμμένο σε μια δισκέτα με ένα πιστοποιητικό. Εισαγάγετε το και κάντε κλικ στο "Επόμενο".
• Κάντε κλικ στο «Επόμενο», μετά στο «Τέλος» - εμφανίζεται το μήνυμα «Η εισαγωγή ολοκληρώθηκε με επιτυχία», κάντε κλικ στο «ΟΚ».

Σημείωση: Όλα τα πιστοποιητικά που έχουμε εγκαταστήσει μπορούν να προβληθούν μέσω MMC χρησιμοποιώντας το συμπληρωματικό πρόγραμμα "Πιστοποιητικά -> Τρέχων χρήστης (Προσωπικά -> Πιστοποιητικά)".

Διαμόρφωση ασύρματων προσαρμογέων D-Link DWL-G650 (DWL-G520/DWL-G120) και ενός ικετευτικού

Το D-Link DWL-G650 είναι προσαρμογέας CardBus, το DWL-G520 είναι προσαρμογέας PCI και το DWL-G120 είναι προσαρμογέας USB. Έχουν διαμορφωθεί εντελώς πανομοιότυπα. Ας δούμε τη διαδικασία χρησιμοποιώντας το DWL-G650 ως παράδειγμα.

• Βγάζουμε τον αντάπτορα από το κουτί και τον αφήνουμε στην άκρη. Εγκαθιστούμε τα προγράμματα οδήγησης από το δίσκο που συνοδεύει το κιτ. Μετά την εγκατάσταση του προγράμματος οδήγησης, αφαιρούμε το εγγενές βοηθητικό πρόγραμμα για τη ρύθμιση του προσαρμογέα από την εκκίνηση, επειδή θα χρησιμοποιήσουμε την υπηρεσία διαμόρφωσης ασύρματου υλικού που είναι ενσωματωμένη στα Windows XP για αυτούς τους σκοπούς. Τοποθετήστε τον προσαρμογέα στον υπολογιστή.
• Κάντε αριστερό κλικ μία φορά στο διαγραμμένο εικονίδιο ασύρματης σύνδεσης (στο δίσκο συστήματος) και μετά επιλέξτε «Αλλαγή πρόσθετων ρυθμίσεων» (Εικ. 7).

• Επιλέξτε την καρτέλα «Ασύρματα Δίκτυα», επιλέξτε το ασύρματο δίκτυό μας εκεί (megacompany_DWL-2100AP), μεταβείτε στις «Ιδιότητες» (Εικ. 8).

• Στην καρτέλα "Συνδέσεις", στο αναπτυσσόμενο μενού "Κρυπτογράφηση δεδομένων", επιλέξτε το πρωτόκολλο TKIP. Μεταβείτε στην καρτέλα «Authentication» (Εικ. 9).

• Εδώ αφήνουμε τα πάντα αμετάβλητα, πηγαίνουμε στις «Ιδιότητες» του ΕΑΠ (Εικ. 10).

• Ρυθμίζουμε τους διακόπτες όπως φαίνεται στο Σχ. 11, στο παράθυρο "Trusted Root Certification Authorities", επιλέξτε την ΑΠ μας - θα ονομάζεται Διαχειριστής (αν όλα γίνονται ακριβώς όπως περιγράφονται στην ενότητα "Δημιουργία πιστοποιητικών").

• Σε κάθε περίπτωση, κάντε κλικ στην «Προβολή πιστοποιητικού» και μάθετε ποιος είναι ο πάροχος του πιστοποιητικού. Βεβαιωνόμαστε ότι αυτός είναι ο «Διαχειριστής» της ΑΠ της εταιρείας μας που δημιουργήσαμε (Εικ. 12).

• Κάντε κλικ στο "OK", ολοκληρώνεται η διαμόρφωση της κάρτας δικτύου και του αιτούντος.

Έλεγχος της λειτουργίας του WPA-Enterprise στο δίκτυό μας

Τώρα έχει έρθει η πολυαναμενόμενη ώρα να ελέγξουμε όλες τις ρυθμίσεις σε λειτουργία. Εκκινούμε το FreeRADIUS σε λειτουργία εντοπισμού σφαλμάτων με την εντολή "radiusd -X" και βλέπουμε στην οθόνη:

ακτίνα# ακτίνα –Χ

Έναρξη - ανάγνωση αρχείων διαμόρφωσης ... reread_config: ανάγνωση radiusd.conf

Στο τέλος υπάρχουν οι γραμμές:

Ακρόαση κατά τον έλεγχο ταυτότητας 192.168.0.222:1812 Ακρόαση κατά τον έλεγχο ταυτότητας 192.168.0.222:1813 Ακρόαση κατά τον έλεγχο ταυτότητας 192.168.0.222:1814 Έτοιμο για επεξεργασία αιτημάτων.

Λοιπόν, ή στη χειρότερη περίπτωση, γράφεται γιατί το FreeRADIUS δεν ξεκίνησε - μην απελπίζεστε αν συμβεί αυτό. Πρέπει να μελετήσετε προσεκτικά το μήνυμα σφάλματος και να ελέγξετε όλες τις ρυθμίσεις.

Κάντε κλικ στο εικονίδιο σύνδεσης ασύρματου δικτύου και, στη συνέχεια, στο ασύρματο δίκτυο με το όνομα "mega-company_DWL-2100AP". Στη συνέχεια στρέφουμε το βλέμμα μας στην οθόνη στην οποία εκτελείται το radiusd και εμφανίζεται η διαδικασία επιτυχούς ελέγχου ταυτότητας (δεν θα εμφανίσουμε ολόκληρη την έξοδο διακομιστή, επειδή είναι αρκετά μεγάλη, θα εμφανίσουμε μόνο τις γραμμές αρχής και τέλους).

Έναρξη εξόδου:

rad_recv: Πακέτο Access-Request από τον κεντρικό υπολογιστή 192.168.0.220:1044, id=0, μήκος=224 Message-Authenticator = 0x Service-Type = Framed-User Όνομα χρήστη = "Andrey Ivanov" Πλαισιωμένο-MTU = 1488 Called-Station-Id = "00-11-95-8E-BD-30:megacompany_DWL-2100AP" Calling-Station-Id = "00-0D-88-88-D5-46" NAS-Identifier = "Σημείο πρόσβασης D-Link"

Τέλος εξόδου:

Όνομα χρήστη = "Andrey Ivanov" Ολοκληρωμένο αίτημα 4 Μετάβαση στο επόμενο αίτημα Ξυπνώντας σε 6 δευτερόλεπτα... Περπάτημα ολόκληρης της λίστας αιτημάτων --- Αίτημα εκκαθάρισης 0 ID 0 με χρονική σήμανση 4294d303 Αίτημα εκκαθάρισης 1 ID 1 με χρονική σήμανση 4294d303 Αίτημα εκκαθάρισης 2 ID 2 με χρονική σήμανση 4294d303 Αίτημα εκκαθάρισης 3 ID 3 με χρονική σήμανση 4294d303 Αίτημα εκκαθάρισης 4 ID 4 με χρονική σήμανση 4294d303 Τίποτα να κάνω. Κοιμόμαστε μέχρι να δούμε ένα αίτημα.

Ο έλεγχος ταυτότητας ήταν επιτυχής, ο υπολογιστής λαμβάνει μια διεύθυνση IP από τον διακομιστή DHCP και μπορεί πλέον να λειτουργεί στο ασύρματο δίκτυο. Παρεμπιπτόντως, εάν στον υπολογιστή είναι εγκατεστημένα πολλά πιστοποιητικά πελάτη (αυτό συμβαίνει επίσης), ο αιτών θα προσφερθεί να επιλέξει ποιο θα χρησιμοποιήσει για έναν συγκεκριμένο έλεγχο ταυτότητας.

Ανάκληση πιστοποιητικών

Φαίνεται ότι όλα είναι ήδη ξεκάθαρα - ένα ασφαλές ασύρματο δίκτυο έχει ήδη δημιουργηθεί, αλλά στην πραγματικότητα απομένει μια ακόμη σημαντική πτυχή, την οποία θα εξετάσουμε τώρα. Ας υποθέσουμε ότι πρέπει να αρνηθούμε την πρόσβαση στο ασύρματο δίκτυο σε έναν από τους υπολογιστές (για παράδειγμα, τον προσωπικό φορητό υπολογιστή ενός υπαλλήλου μας), στον οποίο είχαμε εγκαταστήσει προηγουμένως ένα πιστοποιητικό. Οι λόγοι μπορεί να είναι οι πιο ασήμαντοι - η απόλυση ενός υπαλλήλου, η μείωση κ.λπ. Για να λύσετε αυτό το πρόβλημα, πρέπει να σημειώσετε στο μητρώο (/usr/local/etc/raddb/CA/demoCA/index.txt), το οποίο αποθηκεύει μια λίστα με όλα τα υπογεγραμμένα πιστοποιητικά, το πιστοποιητικό χρήστη για το οποίο θέλουμε να αρνηθούμε την πρόσβαση στο δίκτυο ως ανάκληση. Μετά από αυτό, πρέπει να δημιουργήσετε (ή να ενημερώσετε, εάν έχετε ήδη) μια λίστα ανάκλησης πιστοποιητικού (CRL - Λίστα ανάκλησης πιστοποιητικών). Στη συνέχεια, ρυθμίστε τις παραμέτρους του RADIUS με τέτοιο τρόπο ώστε κατά τον έλεγχο ταυτότητας χρηστών, να έχει πρόσβαση σε αυτήν τη λίστα και να ελέγχει εάν το παρουσιαζόμενο πιστοποιητικό πελάτη βρίσκεται σε αυτήν.

Στα προηγούμενα πειράματά μας, δημιουργήσαμε δύο πιστοποιητικά για το user1 (Andrey Ivanov) και το user2 (Mikhail Ivanov). Για παράδειγμα, ας αρνηθούμε την πρόσβαση στο ασύρματο δίκτυο στο τελευταίο. Ας κάνουμε τα επόμενα τρία βήματα.

Βήμα 1

Επισημαίνουμε το πιστοποιητικό user2 ως ανακληθέν στο μητρώο: ενώ στο /usr/local/etc/raddb/CA εκδίδουμε την εντολή:

radius# openssl ca -revoke user2.pem

943:error:0E06D06C:Ρουτίνες αρχείου ρύθμισης παραμέτρων:NCONF_get_string:χωρίς τιμή: Ανάκληση Πιστοποιητικού D734AD0E8047BD8F.

Το OpenSSL παραπονιέται, αλλά κάνει αυτό που χρειαζόμαστε. Κατά την εκτέλεση της εντολής, πρέπει να εισαγάγετε μια μυστική φράση πρόσβασης ("whatever"). Σε αυτήν την περίπτωση, στο /raddb/CA/demoCA/index.txt το πιστοποιητικό θα επισημανθεί ως ανάκληση, το οποίο μπορούμε να επαληθεύσουμε κοιτάζοντας αυτό το αρχείο. Απέναντι από την καταχώριση που αντιστοιχεί στο ανακληθέν πιστοποιητικό βρίσκεται το γράμμα «R».

Βήμα 2

Δημιουργήστε μια λίστα ανάκλησης (CRL). Εάν υπάρχει ήδη, θα ενημερωθεί. Ενώ βρίσκεστε στο /usr/local/etc/raddb/CA, εκδώστε την εντολή:

radius# openssl ca -gencrl -out ca.crl

Χρήση διαμόρφωσης από το /etc/ssl/openssl.cnf 963:error:0E06D06C:Ρουτίνες αρχείου διαμόρφωσης:NCONF_get_string:χωρίς τιμή: /usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/conf/conf_lib.c: 329:group=CA_default name=unique_subject Εισαγάγετε τη φράση πρόσβασης για το ./demoCA/private/cakey.pem: DEBUG: unique_subject = "ναι"

Και πάλι, καθώς εκτελείται η εντολή, πρέπει να εισαγάγετε τον μυστικό κωδικό "whatever". Ως αποτέλεσμα, εμφανίζεται ένα αρχείο ca.crl στον κατάλογο /raddb/CA/ - αυτή είναι η λίστα ανάκλησης. Στο εσωτερικό του μοιάζει με κρυπτογράφηση, μπορείτε να το δείτε ως εξής:

radius# openssl crl -in ca.crl -text –noout

Λίστα ανάκλησης πιστοποιητικού (CRL): Έκδοση 1 (0x0) Εκδότης: /C=RU/ST=Moskow/L=Moskow/O=MegaCompany Co. Ltd./OU=megacompany.central.office/CN=Administrator/ [email προστατευμένο] Τελευταία ενημέρωση: 27 Μαΐου 23:33:19 2005 GMT Επόμενη ενημέρωση: 26 Ιουνίου 23:33:19 2005 GMT Πιστοποιητικά που έχουν ανακληθεί: Σειριακός αριθμός: D734AD0E8047BD8D Ημερομηνία ανάκλησης: 27 Μαΐου 23:13:16 2005 GMT Αλγόριθμος υπογραφής: md5WithRSAEncryption D4:22:d6:a3:b7:70:0e:77:cd:d0:e3:73:c6:56:a7:9d:b2:d5: 0a:e1:23:ac:29:5f:52:b0:69:c8:88:2f:98:1c:d6:be:23:b1: B9:ea:5a:a7:9b:fe:d3:f7:2e:a9:a8:bc:32:d5:e9:64:06:c4: 91:53:37:97:fa:32:3e:df:1a:5b:e9:fd:95:e0:0d:35:a7:ac: 11:c2:fe:32:4e:1b:29:c2:1b:21:f8:99:cd:4b:9f:f5:8a:71: B8:c9:02:df:50:e6:c1:ef:6b:e4:dc:f7:68:da:ce:8e:1d:60: 69:48:ad:

Βλέπουμε σε αυτό ένα ανακληθέν πιστοποιητικό με αύξοντα αριθμό D734AD0E8047BD8D (γνωστός και ως χρήστης2, γνωστός και ως Mikhail Ivanov).

Λάβετε υπόψη ότι μια σημαντική ιδιότητα ενός CRL είναι η περίοδος ισχύος του. Πρέπει να ενημερωθεί το αργότερο μέχρι τη λήξη του (Ενημέρωση: 26 Ιουνίου 23:33:19 2005 GMT). Η περίοδος ισχύος CRL μπορεί να οριστεί στο αρχείο openssl.cnf (είχαμε default_crl_days = 30).

Βήμα 3

Σύνδεση της λίστας ανάκλησης στο FreeRADIUS:

• αντιγράψτε το αρχείο /raddb/CA/ca.crl στο /raddb/certs/ (πάνω από το παλιό ca.crl, αν υπάρχει).
• μεταβείτε στο /raddb/certs/ και επικολλήστε το ca.crl στο αρχείο cacert.pem:

γάτα cacert.pem ca.crl > ca.pem

• κάντε μικρές αλλαγές στην ενότητα αρχείου TLS /raddb/eap.conf

# εδώ αλλάξαμε το cacert.pem σε ca.pem

CA_file = $(raddbdir)/certs/ca.pem

CA_path = $(raddbdir)/certs #προσθέστε αυτή τη γραμμή

check_crl = ναι # και αυτή η γραμμή

Ας προσπαθήσουμε να ελέγξουμε την ταυτότητα ενός υπολογιστή με το πιστοποιητικό user2 στο δίκτυο. Ο έλεγχος ταυτότητας αποτυγχάνει, αλλά ο χρήστης1 εισέρχεται εύκολα στο ασύρματο δίκτυο, κάτι που έπρεπε να αποδειχθεί.

Τώρα το ασφαλές ασύρματο δίκτυο μπορεί να θεωρηθεί κατασκευασμένο.