Wireless LAN a Műegyetemen



Hasonló dokumentumok
Wireless LAN a Műegyetemen. Jákó András jako.andras@eik.bme.hu BME EISzK

Az intézményi hálózathoz való hozzáférés szabályozása

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

Eduroam Az NIIF tervei

Vezetéknélküli technológia

IPv6 bevezetés a Műegyetem hálózatán. Jákó András

A WiFi hálózatok technikai háttere

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Netis vezeték nélküli, N típusú Router Gyors Telepítési Útmutató

WLAN router telepítési segédlete

KÖZPONTOSÍTOTT EAP ALAPÚ HITELESÍTÉS VEZTÉK NÉLKÜLI HÁLÓZATOKBAN CENTRALIZED EAP BASED AUTHENTICATION FOR WIRELESS NETWORKS

IT hálózat biztonság. A WiFi hálózatok biztonsága

WLAN router telepítési segédlete

WLAN router telepítési segédlete

WLAN router telepítési segédlete

Gyors üzembe helyezési kézikönyv

Netis Vezetékes ADSL2+, N Modem Router Gyors Telepítési Útmutató

Netis vezeték nélküli, N típusú, router

Hálózati informatikus Mérnökasszisztens

Gyors telepítési kézikönyv

Gyors Telepítési Útmutató N típusú, Vezeték Nélküli, ADSL2+ Modem DL-4305, DL-4305D

Vezeték nélküli hálózat

DWL-G520 AirPlus Xtreme G 2,4GHz Vezeték nélküli PCI Adapter

IP: /24 Jelszó: Titok123 SSID: Otthoni Titkosítás: WPA-PSK TKIP Kulcs: Titkos1234. Hálózati ismeretek

Hálózati alapismeretek

Fábián Zoltán Hálózatok elmélet

Gyors üzembe helyezési kézikönyv

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

Jogában áll belépni?!

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B

Tájékoztató. Használható segédeszköz: -

Thomson Speedtouch 780WL

Használati útmutató a Székács Elemér Szakközépiskola WLAN hálózatához

Tájékoztató. Használható segédeszköz: -

1. Rendszerkövetelmények

A MAC-cím (Media Access Control) egy hexadecimális számsorozat, amellyel még a gyártás során látják el a hálózati kártyákat. A hálózat többi eszköze

Tudnivalók az NYMESEK vezeték nélküli hálózatáról. Beállítási útmutató WIFI felhasználóink számára

Netis 150Mbps vezeték nélküli, N típusú Hordozható Router Gyors Telepítési Útmutató

Wi-Fi Direct útmutató

Megjegyzés vezeték nélküli LAN felhasználóknak

DWL-G650 AirPlus Xtreme G 2.4GHz Vezeték nélküli Cardbus Adapter

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Wi-Fi Direct útmutató

Felhasználói kézikönyv

FELHASZNÁLÓI KÉZIKÖNYV. WF-2322 Vezetéknélküli Hozzéférési Pont

Hama WLAN USB Stick 54 Mb/s. Használati útmutató

Vállalati WIFI használata az OTP Banknál

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B

Hálózati projektor használati útmutató

Hálózat szimuláció. Enterprise. SOHO hálózatok. Más kategória. Enterprise. Építsünk egy egyszerű hálózatot. Mi kell hozzá?

Oktatás. WiFi hálózati kapcsolat beállítása Windows XP és Windows 7-es számítógépeken. SZTE Egyetemi Számítóközpont

Kompromisszum nélküli wireless megoldások

Fábián Zoltán Hálózatok elmélet

Netis PON Terminál Kezelési Útmutató


Az alábbi útmutató ahhoz nyújt segítséget, hogy hogyan üzemelje be a TP-Link TL-WR740N eszközt.

6.óra Hálózatok Hálózat - Egyedi számítógépek fizikai összekötésével kapott rendszer. A hálózat működését egy speciális operációs rendszer irányítja.

Advanced PT activity: Fejlesztési feladatok

SZÁMÍTÓGÉP HÁLÓZATOK: HÁLÓZATI OPERÁCIÓS RENDSZEREK A GYAKORLATBAN: ESETTANULMÁNYOK

S, mint secure. Nagy Attila Gábor Wildom Kft.

Router konfigurációs útmutató

ISIS-COM Szolgáltató Kereskedelmi Kft. MIKROHULLÁMÚ INTERNET ELÉRÉSI SZOLGÁLTATÁS

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

VIDEÓ INTERNET PROTOKOLL VIP RENDSZER

Az alábbi állítások közül melyek a forgalomirányító feladatai és előnyei?

NWA1100. Rövid kezelési útmutató g Üzleti WLAN access pont ALAPÉRTELMEZETT BEJELENTKEZÉSI ADATOK.

INTERNET!SZOLGÁLTATÁS! Műszaki!Feltételek!!!!!!!! Érvényes!2015.!12.!01/től!visszavonásig! ÁSZF!4.!sz.!melléklet!

Tájékoztató. Használható segédeszköz: -

Kábel nélküli hálózatok. Agrárinformatikai Nyári Egyetem Gödöllő 2004

IPv6 Elmélet és gyakorlat

HÁLÓZATI BEÁLLÍTÁS. Videorögzítőkhöz

WiFi biztonság A jó, a rossz és a csúf

IP Telefónia és Biztonság

Számítógép hálózatok gyakorlat

Magyar Gyors felhasználói útmutató A GW-7100PCI driver telepítése Windows 98, ME, 2000 és XP operációs rendszerek alatt

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

Kapcsolat útmutató. Támogatott operációs rendszerek. A nyomtató telepítése. Kapcsolat útmutató

NIIF eduroam szabályzat

Moodle -egy ingyenes, sokoldalú LMS rendszer használata a felsőoktatásban

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

A Li-Fi technológia. Bagoly Zsolt. Debreceni Egyetem Informatika Kar február 13.

Vezeték nélküli hálózati szolgáltatás igénybevétele a Kaposvári Egyetemen. Felhasználói leírás v1.3

Version /27/2013 Használati útmutató

Számítógép hálózatok gyakorlat

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Előadás témája: DVR-ek és hálózati beállításuk Szentandrási-Szabó Attila Műszaki és kereskedelmi igazgató

Cisco Catalyst 3500XL switch segédlet

Hotspot környezetek gyakorlata

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

Tájékoztató a Budapesti Gazdasági Főiskolán üzemelő vezeték nélküli (WiFi) hálózat használatához

FELHASZNÁLÓI KÉZIKÖNYV

INTERNET!SZOLGÁLTATÁS! Műszaki!Feltételek!!!!!!! Érvényes!2014.!08.!10től!visszavonásig! ÁSZF!4.!sz.!melléklet!

Laborgyakorlat: Egy vezeték nélküli NIC beszerelése

5.1 Környezet Hálózati topológia

Eduroam változások - fejlesztések, fejlődések. Mohácsi János NIIF Intézet HBONE Workshop 2015

Vezeték nélküli eszközök (csak egyes típusokon) Felhasználói útmutató

Hálózati ismeretek. Az együttműködés szükségessége:

ROUTER beállítás otthon

PTE-PROXY VPN használata, könyvtári adatbázisok elérhetősége távolról

Átírás:

Biztonsági problémák Wireless LAN a Műegyetemen A vezeték nélküli helyi hálózatok a médium alapvető tulajdonságaiból adódóan más biztonsági jellemzőkkel bírnak, mint vezetékes társaik. A legfontosabb különbségek e tekintetben abból adódnak, hogy a jel térben hová jut el vezetékes és vezeték nélküli hálózatokban. Mind réz, mind optikai vezetékekben a jelterjedés gyakorlatilag a kábelben vagy legalábbis a kábel vonalán történik. Ezzel szemben a vezeték nélküli helyi hálózatokban a rádiófrekvenciás jel minden irányban terjedhet, amerre azt a tereptárgyak lehetővé teszik, illetve a visszaverődések, elhajlások által elősegítik. Természetesen az alkalmazott antennák karakterisztikája is nagy mértékben befolyásolja a jelek terjedését. A hálózati forgalom pontosabban az átvitt jelek lehallgatásának lehetőségét tekintve ez azt jelenti, hogy vezetékes hálózatok esetén mindenképen a kábel közelébe kell jutni ahhoz, hogy lehallgathassuk a hálózatot. Réz kábelek esetén a lehallgatás gyakorlatilag triviális a vezetékekhez történő galvanikus csatlakozással, de rendszerint lehetséges a vezetékekhez való közvetlen hozzáférés nélkül is, az azok körüli elektromágneses tér analizálása alapján. Optikai hálózatok lehallgatásához pedig feltétlenül szükséges a közvetlen hozzáférés az optikai szálakhoz. Szemben ezekkel a vezeték nélküli hálózatok lehallgatásához elegendő, ha a támadó a kommunikáló lokális hálózati eszközöktől távolabb az adott szituációtól függően akár 50-100 méterre helyezi el a lehallgatáshoz használt eszközt. Szintén lényeges különbség a lehallgatás bonyolultságát illetően, hogy míg a vezetékeken átvitt jelek lehallgatásához valamilyen többé-kevésbé speciális eszközre van szükség, addig a vezeték nélküli közegen átvitt jelek egy egyszerű hálózati kártyával vehetők sok esetben. A pusztán passzív lehallgatás mellett a hálózatra aktív állomásként való csatlakozásról hasonlók mondhatók el. Vezetékes hálózatok esetén a csatlakozáshoz szükséges a hálózati vezetékhez való hozzáférés, legyen az akár optikai, akár réz vezeték. Pl. egy csavart érpáros Ethernet LAN esetén praktikusan egy működő fali csatlakozó aljzatot vagy switch portot kell találnia annak, aki csatlakoztatni akarja a gépét a hálózathoz. Vezeték nélküli hálózat esetén egyéb intézkedés hiányában egyszerűen elég annyi, hogy az állomás a hálózat hatósugarába kerüljön. Ez a médium korábban említett tulajdonságai miatt rendszerint nehezen ellenőrizhető, és még nehezebben akadályozható meg. A (passzív) lehallgatás és a hálózathoz való illetéktelen (aktív) hozzáférés problémája tehát egyaránt létezik vezetékes és vezeték nélküli helyi hálózatoknál is, de a vezeték nélküli hálózatok esetén ezek a problémák rendszerint sokkal gyakoribbak. Természetesen mindkét médium fajta esetén lehetőség van ezen problémák kiküszöbölésére vagy a kockázatoknak megfelelő mértékű enyhítésére, adminisztratív és műszaki eljárásokkal, intézkedésekkel. Műegyetemi jellemzők és peremfeltételek A Műegyetemen megkezdtük a vezeték nélküli hálózati infrastruktúra kialakítását. A hozzáférést az egyetem olyan területein tettük lehetővé, ahol a hallgatók szabadidejüket töltik. A továbbiakban viszont gyakorlatilag az egyetem összes olyan területén tervezzük wireless LAN kiépítését, ahol elképzelhető hordozható számítógép (laptop, tablet PC, PDA) vagy más vezeték nélküli hálózati végberendezés használata, és ami közterület, azaz ott tartózkodhat az egyetem bármely hallgatója vagy munkatársa.

Ebben a környezetben a lehallgatás és a hálózathoz való illetéktelen hozzáférés különböző természetű problémaként jelentkezik. A lehallgatás veszélye a felhasználókat fenyegeti, hiszen az esetlegesen lehallgatható hálózati forgalomban a felhasználók által vagy a számukra küldött érzékeny információk szerepelhetnek. Az illetéktelen hozzáférés veszélye viszont az üzemeltetőt, ebben az esetben a BME EISZK-t fenyegeti, hiszen az ő felelőssége, hogy a hálózati infrastruktúra szolgáltatásait csak az arra jogosult felhasználók vehessék igénybe. A biztonsági megoldások kiválasztásánál az alábbi feltételeket kell figyelembe vennünk: A módszer felhasználókat közvetlenül érintő része nem lehet gyártó specifikus, hanem lehetőleg szabványosnak vagy kvázi szabványosnak, és az eszközök széles körén implementáltnak kell lennie. Ugyanis nem áll módunkban egy adott gyártót vagy terméket kötelezően előírni a felhasználók számára. Feltétlenül működnie kell a felhasználók gépén Windows 2000, Windows XP, valamint Linux operációs rendszerrel. Lehetőleg működnie kell Windows 98, Windows ME, Windows Mobile, Mac OS X és Net/Open/FreeBSD operációs rendszerrel. A felhasználók számának tekintetében a módszernek skálázhatónak kell lennie. A vezeték nélküli hálózat használatára jogosultak köre esetünkben az összes műegyetemi polgár (hallgatók, oktatók, és az egyetem más alkalmazottai), illetve esetenként az egyetem vendégei. Ez a tízezres nagyságrendet jelenti, pillanatnyilag kb. 15-20000 potenciális felhasználót. A módszernek alkalmasnak kell lennie vendég felhasználók fogadására. Azaz könnyen kell tudni biztosítani hozzáférést ideiglenesen az egyetem vendégei számára, illetve a vendégeknek nem szabad, hogy túl komplikált legyen a hálózat használatba vétele saját számítógépükkel. A módszernek mind az üzemeltető, mind a felhasználók számára megfizethetőnek kell lennie. Lehallgatás A fentiek alapján a lehallgatás problémájára a következőket mondhatjuk el: A vezeték nélküli hálózat felhasználóinak saját érdeke, hogy a hálózaton átvitt érzékeny információikat megfelelő módon védjék lehallgatás ellen. Az esetek döntő többségében a felhasználók kezében vannak az ehhez szükséges eszközök. A megoldást rendszerint kriptográfiai eljárások használata jelenti. A hálózat üzemeltetőjének nem feladata a felhasználók hálózati forgalmának lehallgatás elleni védelme. Természetesen amennyiben lehetősége van rá, akkor jó, ha az üzemeltető megszűnteti vagy enyhíti a lehallgatás veszélyét. A hálózat üzemeltetőjének feladata a felhasználók tájékoztatása a lehallgatás veszélyéről a lehetőségeknek megfelelően, hiszen ebben az esetben a felhasználók nagy része nem rendelkezik a szükséges ismeretekkel. Ezen túl elmondható az is, hogy a hálózat üzemeltetőjének több okból érdeke is a felhasználók tájékoztatása a lehallgatás veszélyéről csak úgy, mint a védelem a lehallgatás ellen. Egyrészt ugyanis az érzékeny információk lehallgatásából később adódhatnak más biztonsági incidensek a hálózaton, amivel az üzemeltetőnek is foglalkoznia kell. Másrészt a lehallgatás számtalan olyan esemény forrása lehet, amely a felhasználó megelégedettségét csökkenti, többek közt az üzemeltetővel is.

Védelem a lehallgatás ellen Sajnos a jelen műszaki lehetőségek mellett a lehallgatás ellen leginkább a felhasználók tudnak csak védekezni, és mi, a hálózat üzemeltetői keveset tudunk ehhez hozzátenni. A felhasználóknak lehetősége van biztonságos, a hálózati forgalmat titkosító protokollokat használniuk (pl. ssh, scp, SFTP, HTTPS, IPSec ESP), amelyek gyakorlatilag minimálisra csökkentik az érzékeny információk lehallgatásának veszélyét. Ezzel szemben az üzemeltetőnek nincs igazán jó lehetősége a lehallgatás elleni védelemre. Védelem az adatkapcsolati rétegben A vezeték nélküli szakaszon, az adatkapcsolati rétegben az alábbi lehetőségek vannak a lehallgatás elleni védekezésre: WEP (Wired Equivalent Privacy): Az IEEE 802.11 szabványban szereplő WEP eljárást egyrészt azért nem tudjuk alkalmazni, mert a közös kulcs miatt esetünkben nem védene a potenciális támadók nagy része ellen. Hiszen a WEP eredeti, jelenleg szabványos változata úgy használ szimmetrikus kulcsú titkosítást, hogy a kulcsot az összes felhasználónak ismernie kell. Viszont ahogy sok más esetben is, nálunk is szükség lenne a felhasználók egymás elleni védelmére is. Másrészt a WEP-nek több jól ismert hibája is van, amelyeknek következtében gyakorlatilag semmiféle védelmet nem nyújt a lehallgatás ellen azon támadók számára sem, akik nem ismerik a közös kulcsot. Ezen problémák kiküszöbölésére a WLAN eszközök gyártói a WEP különféle kisebb módosításait dolgozták ki, de ezek nem szabványos megoldások, hanem gyártó-specifikusak, így a mi esetünkben nem alkalmazhatók. IEEE 802.11i: Közben az IEEE is elkezdte a 802.11 szabvány módosítását ezen problémák kiküszöbölésére, ezzel foglalkozik a 802.11i munkacsoport. A 802.11i szabvány még nem készült el. WPA (Wireless Protected Access): Mivel a 802.11i-re még várni kell, a Wi- Fi Alliance 2002-ben kidolgozta a WPA ajánlást, amely a WEP hibáinak kiküszöbölésére szolgál, és a 802.11i draft bizonyos elemeiből áll. A WPA lényege, hogy egyrészt kvázi szabvány lévén lehetővé teszi a biztonságos vezeték nélküli hálózatok interoperábilis implementálását, másrészt a szabványos 802.11 eszközökön általában hardware módosítás nélkül, csupán software-ben is megvalósítható. A WPA meg is felelne a céljainknak, de sajnos egyelőre még csak viszonylag kevés termékben implementálták, ezért nem követelhetjük meg a felhasználóinktól. Védelem a hálózati rétegben Lehetőség van arra is, hogy a lehallgatás elleni védelmet remote access IPSec VPN kialakításával valósítsuk meg. Ez lehet szintén központilag kötelezővé tett védelem, amikor a felhasználónak mindenképp IPSec titkosítást kell használnia a teljes hálózati forgalmához. Itt a titkosítás nem az adatkapcsolati, hanem a hálózati rétegben történik. A távoli VPN felhasználók tehát a wireless LAN felhasználói, a védett hálózat pedig ami a VPN gateway mögött található az Internet. A vezeték nélküli hálózatról csak IPSec forgalmat engedünk a vezetékes hálózatba, és azon belül is csak a VPN gatewayhez, így a felhasználók az Internetet csak úgy tudják elérni, ha a forgalmukat a saját gépüktől először IPSec titkosítással a VPN átjáróhoz küldik, ami majd visszafejti a titkosított csomagokat, és továbbítja azokat a tényleges cél cím felé. Ezt a megoldást azért nem alkalmazzuk a Műegyetem vezeték nélküli hálózatán, mert egyrészt nehéz lenne olyan VPN software-t találni az egyetem számára megfizethető áron, amiben minden számunkra fontos operációs rendszerre van

könnyen használható VPN kliens. Másrészt ha egy felhasználó a műegyetemi vezeték nélküli hálózatról VPN kliens segítségével szeretne bejelentkezni valamilyen távoli védett hálózatra, akkor két VPN kliensnek kellene egyszerre működnie a számítógépén úgy, hogy az egyik IPSec tunnel belsejében menjen a másik IPSec tunnel, ami az esetek többségében feltehetőleg problematikus lenne. Illetéktelen hozzáférés A hálózathoz történő illetéktelen csatlakozásokat meg kell akadályoznunk. Egyrészt azért, mert az érvényes felhasználási szabályzatok ezt megkövetelik. Másrészt pedig azért, mert a hálózat üzemeltetője bizonyos felelősséggel tartozik azért, ami a hálózatán történik, és ezek az események igen könnyen kézben tarthatatlanná válnak, ha a hálózatot bárki idegen is használhatja. A hálózathoz való csatlakozást tehát autentikációnak kell megelőznie, és az azonosításnak lehetőleg személy szerintinek kell lennie. 802.11 shared key A vezeték nélküli hálózathoz való illetéktelen hozzáférés megelőzésére az IEEE 802.11 szabvány a WEP algoritmuson alapuló osztott kulcsos autentikációt írja le. Ez a módszer sajnos a mi esetünkben nem alkalmazható, hiszen az összes felhasználónk által ismert közös kulcs feltehetőleg a legkisebb mértékben sem maradhatna a Műegyetem titka, így az annak az ismeretén alapuló autentikáció teljesen értelmetlenné válna. MAC address A WLAN access pointok többsége, így az általunk használt típusok is lehetőséget nyújtanak arra, hogy ha egy állomás csatlakozni akar hozzájuk, akkor először egy RADIUS servernek küldjék el az állomás MAC címét, és a RADIUS server válasza alapján engedjék vagy ne engedjék az állomást csatlakozni a hálózathoz. Ehhez természetesen szükség van arra, hogy nyilvántartsuk a vezeték nélküli hálózat használatára jogosultak WLAN interface kártyáinak MAC címét. A módszer nagy előnye, hogy bármilyen operációs rendszerrel és WLAN interface kártyával működik, hiszen az autentikációban a felhasználó gépe csak teljesen passzívan vesz részt. Azaz a felhasználó gépének semmit sem kell az autentikáció érdekében tennie, mivel az access point a RADIUS server segítségével dönti el annak adatbázisa alapján, hogy beengedi-e a hálózatba az adott gépet. Hátránya a MAC address alapú autentikációnak viszont, hogy nem annyira biztonságos, hiszen az interface kártyák MAC címe rendszerint software-es úton módosítható. Ha tehát egy amúgy jogosulatlan felhasználó tudomására jut egy regisztrált MAC cím, akkor a saját WLAN interface kártyájába azt a címet programozva megszemélyesítheti a jogosult felhasználót, és így hozzáférést kaphat a vezeték nélküli hálózathoz. Regisztrált MAC címet pedig könnyen megtudhat a támadó, pl. úgy, hogy lehallgatja a vezeték nélküli hálózatot. (Az így lehallgatott címet persze csak akkor használhatja sikeresen, ha az adott helyen a cím jogos tulajdonosa éppen nem használja a hálózatot, hiszen különben a MAC címek ütközése hibát eredményezne.) 802.1x Az IEEE 802.1x szabványban leírt EAPoL (Extensible Authentication Protocol over LAN) lehetővé teszi, hogy a (mind vezetékes, mind vezeték nélküli) lokális hálózathoz csatlakozni kívánó végberendezések azonosságát ellenőrizzük, mielőtt a hálózathoz való hozzáférésüket engedélyezzük. Az alkalmazott EAP típus többféle lehet, mint ahogy azt a neve is mutatja. Az EAP-TLS, az EAP-TTLS, a

LEAP és a PEAP azok az EAP típusok, amelyek lehetővé teszik, hogy a felhasználókat azonosítjuk. Az EAP-TLS protokollnál a felhasználó azonosítása nyilvános kulcsú tanúsítvány alapján történik. Így minden felhasználó számára külön tanúsítványt kellene készíteni, ami a mi esetünkben túl nagy adminisztrációs feladat lenne. A PEAP minden egyéb szempontból megfelelne, de sajnos a Windows rendszerekben implementált változata csak az MSCHAPv2 protokollt tudja a második fázisban használni, így a felhasználók jelszavának vagy kódolatlanul, vagy NT hashelt formában kell meglenniük a RADIUS server felhasználói adatbázisában. A mi esetünkben csak a UNIX hashelt változata áll rendelkezésre a felhasználók jelszavainak, ezért nem tudunk PEAP autentikációt használni. A LEAP nem szabványos, hanem Cisco specifikus megoldás. Ugyan több nem Cisco termékben is implementálták, de ennek ellenére még mindig messze nem olyan széles körben támogatott protokoll, hogy azt használni tudnánk. Az EAP-TTLS bizonyult a ma létező EAP típusok közül a mi esetünkben a legjobban használhatónak. Ez ugyan az EAP-TLS-szel és a PEAP-vel ellentétben nem része a Windows operációs rendszereknek, de létezik ingyenes EAP-TTLS software Windows 2000 és XP operációs rendszerekre. FreeBSD-re, MacOS X-re és Linuxra szintén van ingyenes, nyílt forráskódú EAP-TTLS software. Az EAP- TTLS autentikáció második fázisában használható PAP, így megfelelőek a nálunk rendelkezésre álló UNIX hashelt felhasználói jelszavak. A fentiek alapján az EAP-TTLS meg is felelne a céljainknak. De sajnos a tapasztalatok azt mutatják, hogy bizonyos esetekben (Windows XP esetén gyakran, Windows 2000 esetén ritkábban) az EAP-TTLS supplicant, az operációs rendszer, valamint a WLAN interface kártya drivere nem képes megfelelően együttműködni, ezért a felhasználó nem tud csatlakozni a vezeték nélküli hálózathoz. Továbbá kisebb problémát jelent az is, hogy Pocket PC-re nincs ingyenesen használható EAP-TTLS software. PPPoE A vezeték nélküli hálózaton használhatunk PPP over Ethernetet, annak ellenére, hogy az IEEE 802.11 hálózat nem Ethernet. Ebben az esetben a PPPoE célja kizárólag az lenne, hogy a PPP-ben meglévő autentikációs módszerek valamelyikét használjuk a WLAN felhasználók azonosítására. Ehhez az IPSec VPNhez hasonlóan természetesen arra van szükség, hogy a vezeték nélküli hálózatról csak a PPPoE forgalmat engedjük ki ahhoz a routerhez, amelyik a PPP tunnelt végződteti. Ennek a megoldásnak nagy előnye, hogy gyakorlatilag minden számunkra lényeges operációs rendszerre létezik PPPoE kliens software, amiely vagy már eleve az operációs rendszer része, vagy ingyenesen letölthető. További előny, hogy a PPPoE használata nem jelent szinte semmi többletterhelést a felhasználó gépén. A mi esetünkben viszont lényeges hátránya a PPPoE autentikációnak, hogy mivel a felhasználók jelszavának csak a UNIX hashelt változata áll rendelkezésünkre, ezért kénytelenek lennénk a PPP autentikációs eljárásai közül a PAP-et használni. Ez viszont azt eredményezné, hogy a jelszavak kódolatlanul jutnának el a felhasználó gépétől a routerig, így a vezeték nélküli szakaszon igen könnyen lehallgathatók lennének. IPSec A remote access IPSec VPN megoldást ami már a lehallgatás elleni védekezési lehetőségként is felmerült természetesen a felhasználók autentikálására is

lehetne használni. A problémák az IPSec VPN ilyen célú alkalmazásakor is azonosak a lehallgatás elleni védelemről szóló fejezetben leírtakkal. Plug & play Kidolgoztunk egy módszert annak érdekében, hogy a felhasználóinkat a lehető leghatékonyabban tudjuk tájékoztatni a műegyetemi vezeték nélküli hálózat használatához szükséges beállításokról. Így ha valaki default WLAN beállításokkal elindítja a számítógépét ott, ahol van vezeték nélküli hálózat, és egy web browserrel megpróbál betölteni bármilyen oldalt, akkor helyette a műegyetemi WLAN használatáról szóló információs oldalra jut, ahol egyrészt részletes útmutatást talál arról, hogy mit kell beállítania a gépén, másrészt megtalálja és letöltheti a WLAN használatához esetlegesen szükséges további programokat. Ez a rendszer gyakorlatilag 3 fő elemből épül fel: Az általunk használt access pointok képesek egyszerre több SSID-t használni, így létre lehet hozni wireless VLAN-okat. A beacon keretekben természetesen csak az egy SSID-t tud egyszerre hirdetni az access point. Két VLAN-t használunk: Az egyik az Internet elérésére szolgál, ennek a használatához szükségesek a megfelelő autentikációs és egyéb beállítások. A másik VLAN a tájékoztatásra szolgál, ez használható autentikáció és titkosítás nélkül, és ennek az SSID-ját hirdeti az access point. Aki tehát nem állít be SSID-t, titkosítást és autentikációt, azaz a gépén default WLAN beállítások vannak, az ebbe a VLAN-ba fog kerülni. Ebből a tájékoztatásra szolgáló VLAN-ból csak a DHCP server, két DNS server és egy webserver érhető el. A DNS server gyakorlatilag bármilyen domain névhez az előbb említett webserver IP címét adja vissza válaszul. A webserver minden ismeretlen URL kérése esetén redirect üzenettel válaszol, és a tájékoztató oldalra irányítja át a felhasználó web browserét. Az így kapott segítség alapján a felhasználó be tudja állítani a számítógépén a megfelelő paramétereket ahhoz, hogy a másik wireless VLAN-hoz csatlakozhasson, és azon keresztül teljes körű hozzáférést kapjon az Internethez. A tapasztalatok alapján ez a módszer igen jól működik Windows 2000, Linux és FreeBSD operációs rendszerekkel, de a Windows XP sajnos túl okosnak hiszi magát, és gyakran felülbírálja a felhasználó által megadott WLAN paramétereket, ezért azzal nem mindig használható a fent leírt rendszer. Konklúzió Mivel jelenleg nem tudunk a céljainknak megfelelő módszert a forgalom lehallgatása elleni központi védelemre, ezért ezt a feladatot kénytelenek vagyunk a felhasználóinkra bízni. Az autentikációs módszerek közül a megfelelően biztonságos, és sok egyéb tekintetben is szimpatikus EAP-TTLS protokoll sajnos nem alkalmazható, mert sok esetben felhasználó oldali software problémák miatt nem működik. Ezért kizárásos alapon kénytelenek vagyunk a kevésbé biztonságos MAC address alapú autentikációt használni. A következő lépés feltehetőleg a WPA és valamilyen jelszavas EAP használata lesz, de erre még várni kell, mivel jelenleg csak nagyon kevés termékben van implementálva ez a funkcionalitás. A plug & play című fejezetben leírt rendszer alkalmazása egyelőre még kétséges, erről a közeljövőben a további tapasztalatok alapján fogunk dönteni.

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés