3/27/2010. Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών. Περιεχόμενα. ΑΑΑ εισαγωγή /1 IEEE

Transcript

1 Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών Ασύρματες Επικοινωνίες, Μέρος II Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιώς Slide: 1/44 Περιεχόμενα IEEE Μηχανισμοί πιστοποίησης ταυτότητας και εξουσιοδότησης Γενικά Το πρωτόκολλο RADIUS Το πλαίσιο αυθεντικοποίησης 802.1Χ Μοντέλο αυθεντικοποίησης βασισμένο στο Web Το μοντέλο εικονικής ιδιωτικής δικτύωσης Αυθεντικοποίηση συσκευών δικτύου Slide: 2/44 ΑΑΑ εισαγωγή /1 Οι έννοιες αυθεντικοποίηση ή πιστοποίηση ταυτότητας (Authentication), εξουσιοδότηση (Authorization) και λογιστική καταγραφή (Accounting) (AAA) μπορούν να συνοψισθούν ως: ένα πλαίσιο για τον έλεγχο πρόσβασης (access control) σε δικτυακούς πόρους, την επιβολή πολιτικών ασφαλείας, την ανάλυση της χρήσης των πόρων του δικτύου και καταγραφής της αντίστοιχης χρέωσης των συνδρομητών ενός παρόχου υπηρεσιών. Slide: 3/44 1

2 ΑΑΑ εισαγωγή /2 Η διαδικασία αυθεντικοποίησης παρέχει μια μέθοδο για την αναγνώριση των χρηστών ζητώντας κάποια διαπιστευτήρια (credentials) ακολούθως τα συγκρίνει με αυτά που διατηρεί σε μια βάση. Διάκριση μεταξύ αυθεντικοποίησης χρήστη (ανθρώπου) αυθεντικοποίηση συσκευής (υλικού) που ανήκει σε κάποιο χρήστη ή αποτελεί τμήμα του ίδιου του δίκτυο. Slide: 4/44 RADIUS /1 Remote Authentication Dial-in Service (RADIUS), Αναπτύχθηκε πριν από το πλαίσιο AAA, Πρωτόκολλο πιστοποίησης ταυτότητας χρησιμοποιείται ευρέως σε dial-up υπηρεσίες για IP συνδεσιμότητα Ένα πρωτόκολλο ασφαλείας λί χρησιμοποιεί τη λογική πελάτη εξυπηρετητή χρήση διαμεσολαβητών (proxies) για πιστοποίηση ταυτότητας απομακρυσμένων χρηστών (remote users) σε ετερογενή δίκτυα Λογισμικό RADIUS εξυπηρετητή (General Public License, GPL) FreeRADIUS ( Slide: 5/44 RADIUS /2 Αυθεντικοποίηση μέσω μιας σειράς προκλήσεων (challenges) απαντήσεων (responses) Μεταξύ πελάτη (client) και RADIUS Server για τον χρήστη. Π.χ., στην περίπτωση υπηρεσιών dial-up Ο πελάτης είναι συνήθως ένας NAS, NAS σημείο τερματισμού του τηλεφωνικού δικτύου NAS επιτελεί και λειτουργίες Remote Access Server (RAS). RADIUS server λαμβάνει τις αιτήσεις για πιστοποίηση ταυτότητας των χρηστών, αυθεντικοποιεί τους χρήστες και επιστρέφει στον πελάτη (NAS) όλες τις απαραίτητες παραμέτρους ο NAS είναι σε θέση να παρέχει υπηρεσίες. Slide: 6/44 2

3 RADIUS /3 Το RADIUS δεν αποτελεί μέρος του προτύπου Χρησιμοποιείται στην επικοινωνία μεταξύ APs, (συμπεριφέρονται ως NASs) Εξυπηρετητών αυθεντικοποίησης (RADIUS) Στα πλαίσια του 802.1Χ το RADIUS είναι το πρωτόκολλο που χρησιμοποιείται περισσότερο παρέχει υπηρεσίες ταυτοποίησης ταυτότητας των χρηστών σε ασύρματα περιβάλλοντα. Slide: 7/44 RADIUS /4 Βασικά χαρακτηριστικά για το RADIUS (RFC 2138) : Μοντέλο πελάτη / εξυπηρετητή: Ο πελάτης αποστέλλει τις πληροφορίες των χρηστών σε συγκεκριμένους RADIUS εξυπηρετητές Οι RADIUS εξυπηρετητές λαμβάνουν τις αιτήσεις για σύνδεση, αυθεντικοποιούν τους χρήστες και επιστρέφουν τις αναγκαίες πληροφορίες στους πελάτες προκειμένου αυτοί να προσφέρουν υπηρεσίες στους χρήστες. Κάθε RADIUS εξυπηρετητής μπορεί να λειτουργήσει ως διαμεσολαβητής πελάτης σε άλλους RADIUS ή παρόμοιους εξυπηρετητές. Ασφάλεια Δικτύου: Η επικοινωνία μεταξύ του πελάτη και του RADIUS εξυπηρετητή αυθεντικοποιείται κάνοντας χρήση συμμετρικών κλειδιών (κοινών μυστικών), τα συνθηματικά των χρηστών που μεταδίδονται πάντα κρυπτογραφημένα. Slide: 8/44 RADIUS /5 Ευέλικτοι μηχανισμοί αυθεντικοποίησης: Υποστηρίζει ποικιλία μεθόδων πιστοποίησης ταυτότητας για τους χρήστες. Π.χ., PAP, CHAP, LDAP, TLS, κλπ. Επεκτασιμότητα: Οι συναλλαγές μεταξύ του πελάτη και του RADIUS εξυπηρετητή γίνονται με τη χρήση τριπλετών μεταβλητού μήκους Γνωστές με τον όρο Attribute Length Value (AVL) 3-tuplets. Νέες ιδιότητες (attributes) μπορούν να προστεθούν όποτε απαιτείται Χωρίς να καμία διαταραχή της λειτουργικότητας Slide: 9/44 3

4 RADIUS /6 Κάθε πακέτο RADIUS έχει τη μορφή που περιγράφεται στο σχήμα Ενθυλακώνεται μέσα σε UDP ροή δεδομένων με κατεύθυνση μια από τις πόρτες 1812 (προσπέλαση, access), 1813 (λογιστική ή καταγραφή, accounting), 1814 (διαμεσολάβηση, proxying). Slide: 10/44 RADIUS /7 Το πεδίο «κώδικας» που έχει μήκος 1 byte προσδιορίζει τον τύπο του πακέτου RADIUS. πακέτο με απροσδιόριστο τύπο απορρίπτει Slide: 11/44 RADIUS /8 Το πεδίο «αναγνωριστικό» συσχετίζει μια RADIUS απάντηση με την αντίστοιχη αίτηση Το πεδίο «μήκος» προσδιορίζει το συνολικό μήκος του RADIUS πακέτου Το πεδίο «πιστοποιητής ταυτότητας» τύπο του πακέτου. Για access request ή accounting request τυχαίος αριθμός (nonce) για κάθε αίτηση. Ο τυχαίος αριθμός συμμετέχει στην παραγωγή της ιδιότητας user password. Σε κάθε RADIUS υλοποίηση, ο NAS και ο RADIUS εξυπηρετητής κατέχουν ένα κοινό μυστικό. Slide: 12/44 4

5 RADIUS /9 Τα περιεχόμενα των πεδίων ιδιοτήτων σχετίζονται με τον τύπο του εκάστοτε πακέτου. Οι έξι διαφορετικοί τύποι ιδιοτήτων καθώς και μερικά παραδείγματα παρατίθενται στον παρακάτω πίνακα. Slide: 13/44 Πλαίσιο αυθεντικοποίησης 802.1Χ /1 Το IEEE 802.1Χ παρέχει υπηρεσίες ελέγχου πρόσβασης στο σημείο όπου ο χρήστης συνδέεται στο δίκτυο. Περιλαμβάνει τρεις βασικές δικτυακές οντότητες (Port Access Entities, PAEs): Τον αιτούμενο (supplicant), επιθυμεί πρόσβαση στο δίκτυο π.χ. φορητός υπολογιστής ή Personal Digital Assistance (PDA). κάθε συσκευή που επιχειρεί σύνδεση στο δίκτυο, π.χ., ένα AP, ένας δρομολογητής, κλπ. Τον πιστοποιητή ταυτότητας (authenticator), ελέγχει την πρόσβαση στο δίκτυο μέσω της θύρας (port) εισόδου στο δίκτυο Slide: 14/44 Πλαίσιο αυθεντικοποίησης 802.1Χ /2 Τον εξυπηρετητή αυθεντικοποίησης (Authentication Server, AS) Λαμβάνει αποφάσεις για πρόσβαση στο δίκτυο και εξουσιοδότηση. Οι περισσότεροι πάροχοι χρησιμοποιούν RADIUS server για AS, το 802.1Χ επιτρέπει τη χρήση άλλων πρωτοκόλλων, όπως το Diameter Ο AS μπορεί να συνυπάρχει με τον authenticator. Σε μικρά ασύρματα δίκτυα όπου ο AS υλοποιείται στο AP Έτσι καταργείται η απαίτηση για πρωτόκολλα όπως το RADIUS και το Diameter. Slide: 15/44 5

6 Πλαίσιο αυθεντικοποίησης 802.1Χ /3 Το 802.1X αρχικά αναπτύχθηκε για την προστασία των θυρών σε ενσύρματα περιβάλλοντα Π.χ., η αίθουσα αναμονής ενός ξενοδοχείου, χώροι συνεδρίων, κλπ. Το 802.1X ταιριάζει απόλυτα στη φύση των ασύρματων δικτύων, Οι θύρες εισόδου στο δίκτυο είναι προσπελάσιμες από τον καθένα που βρίσκεται στην εμβέλεια του Πρώτη η Cisco ενσωμάτωσε το 802.1X στα προϊόντα της Στη συνέχεια, υιοθετήθηκε από το υπο-πρότυπο IEEE i (Robust Security Network, RSN) και τη Wi-Fi Alliance (Wi-Fi Protected Access). Slide: 16/44 Πλαίσιο αυθεντικοποίησης 802.1Χ /4 Slide: 17/44 Το πρωτόκολλο EAP /1 Το Extensible Authentication Protocol (EAP) (RFC 3748) Αρχικά αναπτύχθηκε για πιστοποίηση ταυτότητας σε συνδέσεις μέσω τηλεφωνικών γραμμών (dial-up) Παροχή υπηρεσιών αυθεντικοποίησης στο πρωτόκολλο PPP. Τα επικοινωνούντα μέρη (peers) ανταλλάσσουν πληροφορίες σχετικά με τη μέθοδο πιστοποίησης ταυτότητας Π.χ., TLS, Tunneled TLS (TTLS), Kerberos, CHAP, κλπ Ή κάποια εντελώς νέα. Το EAP είναι πλήρως επεκτάσιμο Μέχρι σήμερα έχουν καθοριστεί 40 περίπου διαφορετικές μέθοδοι Το πρότυπο 802.1X χρησιμοποιεί το EAP για την επικοινωνία μεταξύ του supplicant, του authenticator και του AS. Slide: 18/44 6

7 Το πρωτόκολλο EAP /2 Το RFC 2284 ορίζει τεσσάρων ειδών μηνύματα για το EAP: Αίτηση (Request): Χρησιμοποιείται για την αποστολή μηνυμάτων από τον authenticator στον supplicant. Απάντηση (Response): Χρησιμοποιείται για την αποστολή μηνυμάτων μ από τον supplicant στον authenticator. Επιτυχία (Success): Αποστέλλεται από τον authenticator ως ένδειξη επιτυχίας της διαδικασίας πιστοποίησης ταυτότητας και συνεπώς απόκτησης πρόσβασης στο δίκτυο. Αποτυχία (Failure): Αποστέλλεται από τον authenticator ως ένδειξη αποτυχίας της διαδικασίας πιστοποίησης ταυτότητας και συνεπώς άρνησης πρόσβασης στο δίκτυο. Slide: 19/44 Το πρωτόκολλο EAP /3 Μορφή ενός πακέτου EAP Κωδικός τύπος του μηνύματος EAP. Αναγνωριστικό μια τιμή στο διάστημα 0-255, αυξάνεται κατά 1 για κάθε νέο πακέτο που αποστέλλεται. χρησιμοποιείται για το ταίριασμα των απαντήσεων με τις αιτήσεις. Μαζί με τη θύρα αναγνωρίζει μοναδικά κάθε συναλλαγή πιστοποίησης ης ταυτότητας. Μήκος συνολικό μήκος του EAP πακέτου, Δεδομένα τα δεδομένα της αίτησης ή απάντησης. Slide: 20/44 Το πρωτόκολλο EAP /4 Τα πακέτα success / failure είναι πολύ μικρά σε μέγεθος, δεν περιέχουν δεδομένα Τα πακέτα request και response περιέχουν δεδομένα που αφορούν την εκάστοτε μέθοδο αυθεντικοποίησης Το πεδίο τύπος γνωστοποιεί κάθε φορά τη μέθοδο πιστοποίησης ταυτότητας που χρησιμοποιείται. π.χ. SSL, TLS, Tunneled TLS (TTLS), Kerberos, CHAP, κλπ Slide: 21/44 7

8 Το πρωτόκολλο EAP /5 Μια υλοποίηση EAP αποτελείται από τέσσερα διακριτά μέρη: (α) Το χαμηλότερο επίπεδο (lower layer) υπεύθυνο για την αποστολή και τη λήψη EAP πλαισίων. (β) το επίπεδο EAP (EAP layer) δέχεται και παραδίδει πακέτα EAP μέσω του lower layer, Αναγνώριση διπλοτύπων (duplicate detection) και επανεκπομπή (retransmission) δέχεται και παραδίδει EAP μηνύματα από και προς τα επίπεδα EAP peer και authenticator. (γ) Επίπεδα EAP peer and authenticator: EAP peer η EAP authenticator ανάλογα με το πεδίο τύπος Slide: 22/44 Το πρωτόκολλο EAP /6 (δ) Επίπεδα μεθόδων EAP (EAP method layers): Οι μέθοδοι EAP υλοποιούν τους αλγορίθμους πιστοποίησης ταυτότητας και δημιουργίας κλειδιών συνόδου δέχονται και αποστέλλουν EAP μηνύματα μέσω των επιπέδων EAP peer και authenticator. Slide: 23/44 Μέθοδος EAP-TLS /1 Το πρωτόκολλο EAP εκτελείται πάνω από το επίπεδο 2 του OSI, (EAPOL) πάνω από το IP (ενθυλακωμένο) (EAP-TLS) ανεξάρτητα από την τεχνολογία πρόσβασης δικτύου, ή το μέσο μεταφοράς (transport medium) Στο ασύρματο δίκτυο το EAP εκτελείται μεταξύ του supplicant και του AP πάνω από το επίπεδο MAC, μεταξύ του AP και του RADIUS εξυπηρετητή πάνω από το IP ενθυλακωμένο σε RADIUS πακέτα Slide: 24/44 8

9 Μέθοδος EAP-TLS /2 Το EAP επιτρέπει στο δίκτυο να μην εκχωρήσει διεύθυνση IP στο supplicant πριν αυτός πιστοποιηθεί Ο authenticator (π.χ. το AP) μεταβιβάζει με διαφανή τρόπο τα μηνύματα μεταξύ των δύο άκρων (supplicant authentication server) Aναμένει για κάποιο μήνυμα EAP-Success / EAP-Fail πριν επιτρέψει ή όχι στο STA να συνδεθεί στο δίκτυο. H μέθοδος EAP-TLS αποτελεί το μοντέλο πάνω στο οποίο βασίζονται όλες οι υπόλοιπες TLS-προσανατολισμένες μέθοδοι PEAP TTLS. Slide: 25/44 Μέθοδος EAP-TLS /3 Slide: 26/44 Μέθοδος PEAP /1 To PEAP αναπτύχθηκε για την προστασία της συνόδου EAP Το EAP δεν παρέχει κανένα μηχανισμό ασφαλείας Τα μηνύματα EAP-Identity μεταδίδονται απροστάτευτα Ένας επιτιθέμενος μπορεί να εξακριβώσει την ταυτότητα του χρήστη (User ID) που προσπαθεί να συνδεθεί. το πιστοποιητικό του χρήστη (βήμα #4) Τα μηνύματα EAP-success / EAP-Fail μεταδίδονται επίσης απροστάτευτα είναι ευαίσθητα σε αλλοιώσεις (spoofing) επιθέσεις πλημμύρας (flooding attacks με μηνύματα Fail) DoS attacks. επιθέσεις υποβίβασης (downgrade attacks) τα δύο μέρη επιλέγουν αδύναμες κρυπτογραφικές σουίτες Slide: 27/44 9

10 Μέθοδος PEAP /2 Το PEAP προσπαθεί να καλύψει τις παραπάνω αδυναμίες Δημιουργεί ένα προστατευμένο κανάλι μέσα από το οποίο εκτελείται η διαδικασία EAP. Το PEAP εκτελείται σε δύο διακριτές φάσεις : Φάση Ι: Το TLS χρησιμοποιείται για να δημιουργηθεί ένα ασφαλές κανάλι επικοινωνίας μεταξύ του supplicant και του AS. Μόνο ο AS αυθεντικοποιείται στο supplicant αποστέλλοντας το πιστοποιητικό του Ιδιαίτερη σημασία στα ασύρματα δίκτυα, όπου η εγκατάσταση πλαστών AΡs είναι πολύ ευκολότερη σε σχέση με τα περισσότερα ενσύρματα περιβάλλοντα. Slide: 28/44 Μέθοδος PEAP /3 Φάση ΙΙ: Διαμέσου του ασφαλούς καναλιού επικοινωνίας (φάση Ι), ο supplicant αυθεντικοποιείται στον AS. Δεν απαιτεί τη χρήση της μεθόδου EAP-TLS. Αντίθετα, μπορεί να χρησιμοποιηθεί οποιαδήποτε κοινή μέθοδος μεταξύ των δύο μερών, όπως EAP-MD5, MSCHAPv2, One Time Password (EAP-OTP), Generic Token Card (EAP-GTC), κλπ. Ιδιαίτερα χρήσιμο για τα ασύρματα τοπικά δίκτυα, γιατί Οι χρήστες δεν κατέχουν συνήθως ψηφιακά πιστοποιητικά Δεν είναι εύκολη η εγκατάσταση PKI. Slide: 29/44 Μέθοδος PEAP /4 Slide: 30/44 10

11 Μέθοδος PEAP /5 Μια επίθεση τύπου man in the middle εναντίον του PEAP Ο επιτιθέμενος εγκαθιδρύει δύο ανώνυμα τούνελ Το πρώτο μεταξύ του ίδιου και του STA υποδυόμενος το AP Το δεύτερο μεταξύ του ίδιου και του AP υποδυόμενος το STA. Εκμεταλλεύεται το γεγονός ότι στην (φάση Ι) ο supplicant δεν αυθεντικοποιείται O STA ξεκινάει τη δεύτερη φάση του PEAP με το AP, Αποστέλλει την πραγματική ταυτότητά του στον επιτιθέμενο. Ο επιτιθέμενος έχει τη δυνατότητα να επεμβαίνει στα μηνύματα EAP Slide: 31/44 Μέθοδος EAP-TTLS /1 Το TTLS βασίζεται στην ίδια φιλοσοφία με το PEAP. Δύο διακριτές φάσεις Η πρώτη εγκαθιστά ένα ασφαλές κανάλι μεταξύ του supplicant και του AS, Η δεύτερη πιστοποιεί ασφαλώς την ταυτότητα του πελάτη (supplicant) Στο TTLS έχουμε δύο διαφορετικούς εξυπηρετητές. Ο TTLS AAA server αντιστοιχεί σε ένα τοπικό RADIUS εξυπηρετητή (π.χ., στο τοπικό hot-spot) Ο Home AAA Server αναφέρεται στον εξυπηρετητή που είναι εγκατεστημένος στο οικείο δίκτυο του χρήστη. Slide: 32/44 Φάση Ι: Μέθοδος EAP-TTLS /2 Χρησιμοποιεί το πρωτόκολλο TLS για να εγκαταστήσει ένα ασφαλές κανάλι μεταξύ των TTLS AAA server και supplicant. Μόνο ο TTLS εξυπηρετητής είναι υποχρεωμένος να πιστοποιήσει την ταυτότητά του στο supplicant. Αποστέλλοντας το ψηφιακό πιστοποιητικό που κατέχει. Αντίθετα, ο supplicant δεν πρέπει να αποκαλύψει την ταυτότητά του στον TTLS εξυπηρετητή. Αποστέλλει, ένα αναγνωριστικό του Η πραγματική ταυτότητα του χρήστη θα αποσταλεί αργότερα μέσω του προστατευμένου καναλιού της φάσης ΙΙ. Slide: 33/44 11

12 Supplicant (Client) EAPOL-Start EAP-Response Identity (Προσωρινή ταυτότητα, Temp. ID [EAP-Type=TTLS (TLS Client_hello)] [EAP-TYPE=TTLS (TLS Client_key_exchange, TLS change_cipher_spec, TLS finished)] [EAP-TYPE=TTLS (User Name π.χ. CHAP Password, CHAP Challenge, Data Cipher Suite)] [EAP-Type=TTLS [no data] Access Point EAP-Request- Identity RADIUS Access Request (Temp. ID) EAP Request /TTLS Start #1 EAP Response / TTLS #2 EAP Request /TTLS #3 EAP Response / TTLS #4 TTLS ΑΑΑ (RADIUS) Server EAP-Start Request Client Identity RADIUS Access Request (Temp. ID) [EAP-Type=TTLS, Start bit set, no data] [EAP-Type=TTLS (TLS server_hello, TLS server Certificate, TLS server_key_exchange, TLS certificate request, TLS server_hello_done)] [EAP-Type=TTLS (TLS EAP Request / TTLS change_cipher_spec, #5 TLS finished)] Εγκαθίδρυση προστατευμένου καναλιού TLS EAP Response / TTLS (User ID) #6 EAP Request / TTLS #9 EAP Response TTLS #10 EAP Request / TTLS #11 Λήξη προστατευμένου καναλιού TLS EAP Success #7 RADIUS Access Request [User Name, CHAP password, CHAP challenge] [EAP-Type=TTLS [Data Cipher Suite] Data Cipher Suite [EAP-TYPE=TTLS (Data Cipher Suite, κλειδιά συνόδου, EAP success)] Οικείο δίκτυο (Home Network) RADIUS Server #8 RADIUS Access Accept 3/27/2010 Μέθοδος EAP-TTLS /4 Φάση ΙΙ: Το προστατευμένο TLS κανάλι χρησιμοποιείται Για την ανταλλαγή πληροφοριών αυθεντικοποίησης Συμφωνία κλειδιού συνόδου μεταξύ του Home AAA εξυπηρετητή και του supplicant Υποστηρίζει πολλαπλές μεθόδους αυθεντικοποίησης μεταξύ των δύο μερών: : EAP-MD5, MSCHAP, MSCHAPv2, One Time Password (EAP-OTP), Generic Token Card (EAP-GTC), κλπ. Στο παράδειγμα του σχήματος χρησιμοποιείται το πρωτόκολλο πρόκλησης απάντησης (Challenge Response, CHAP) με χρήση συνθηματικών. Προαιρετική χρήση ψηφιακών πιστοποιητικών από την πλευρά του πελάτη (supplicant) Slide: 34/44 EAP-TTLS /5 Η εξασφάλιση της επικοινωνίας μεταξύ TTLS και Home RADIUS server πρέπει παρέχεται με χωριστό μηχανισμό (π.χ. TLS, Ipsec, κλπ) κλπ). Slide: 35/44 Άλλες γνωστές μέθοδοι Μέθοδος EAP-AKA: χρησιμοποιείται σε ετερογενή περιβάλλοντα δικτύωσης WLAN-3GPP. EAP-Flexible Authentication via Secure Tunneling (EAP-FAST). Light EAP (LEAP). Kerberos. Slide: 36/44 12

13 Μοντέλο αυθεντικοποίησης βασισμένο στο Web /1 Το μοντέλο εκμεταλλεύεται την de-facto ύπαρξη του SSL στους φυλλομετρητές (browsers) Ό χρήστης προσπαθεί να συνδεθεί σε κάποιο hot-spot Ο Web εξυπηρετητής ανακατευθύνει την αίτησή του σε μια τυπική ιστοσελίδα σύνδεσης (login page) Εκεί ο χρήστης μπορεί να εισάγει τα διαπιστευτήριά του το όνομα χρήστη και το συνθηματικό του ακολούθως να αποκτά πρόσβαση στο δίκτυο. Σε περίπτωση επίσης που ο χρήστης δεν έχει λογαριασμό του δίνεται η επιλογή να δημιουργήσει Slide: 37/44 Μοντέλο αυθεντικοποίησης βασισμένο στο Web /2 Τα βασικά πλεονεκτήματα του εν λόγω μοντέλου απλότητα στην εγκατάσταση και διαχείρισή του η φιλικότητα προς το χρήστη. δεν απαιτεί ιδιαίτερο εξοπλισμό σε υλικό (hardware) και λογισμικό στους παρόχους υπηρεσιών WLAN. Απαιτεί κάποια προτυποποίηση μεθόδων και διαδικασιών μεταξύ των παρόχων υπηρεσιών ώστε: οι χρήστες που περιάγονται από hot-spot σε hot-spot να απολαμβάνουν τις ίδιες περίπου υπηρεσίες να χρεώνονται με ενιαίο τρόπο. Slide: 38/44 Μοντέλο αυθεντικοποίησης βασισμένο στο Web /3 Public Access Control - PAC Slide: 39/44 13

14 Μοντέλο αυθεντικοποίησης βασισμένο στο Web /4 Mειονεκτήματα H αποκάλυψη των διαπιστευτηρίων (όνομα χρήστη, συνθηματικό) στον τοπικό Web εξυπηρετητή του δικτύου εξυπηρέτησης (serving network) Πολιτικές ασφαλείας πολλών εταιρειών δεν το επιτρέπουν Τα διαπιστευτήρια των χρηστών εύκολα μπορεί να αποκαλυφθούν σε ένα επιτιθέμενο που ελέγχει ένα πλαστό (rogue) AP. Ακόμα και αν οι χρήστες ελέγχουν το ψηφιακό πιστοποιητικό που τους αποστέλλει ο τοπικός Web εξυπηρετητής Slide: 40/44 Μοντέλο εικονικής ιδιωτικής δικτύωσης /1 Χρήση του γνωστού πρωτοκόλλου IP Secure (IPsec) Ανάπτυξη εικονικών ιδιωτικών δικτύων Παρέχουν στους χρήστες υπηρεσίες πιστοποίησης ταυτότητας. Υπηρεσίες εμπιστευτικότητας μεταξύ των Ues και των APs Το IPsec είναι ένα ώριμο πρωτόκολλο ασφάλειας, Παρέχει ισχυρούς μηχανισμούς ασφάλειας στο IP επίπεδο, Λειτουργεί ανεξάρτητα από τους μηχανισμούς και τα χαρακτηριστικά ασφάλειας του δευτέρου επιπέδου. Slide: 41/44 Μοντέλο εικονικής ιδιωτικής δικτύωσης /2 Το μοντέλο VPN μπορεί να αναπτυχθεί Μεταξύ του STA και AP (STA-to-AP), Μεταξύ συσκευών που εξασφαλίζουν ασύρματη γεφύρωση (wireless bidi bridging) μεταξύ διαφορετικών κυψελών (Network-to-Network) μεταξύ των τερματικών των χρηστών (STA-to-STA). Slide: 42/44 14

15 Μοντέλο εικονικής ιδιωτικής δικτύωσης /3 Ανασφαλής σύνδεση VPN πύλη Ασφαλές τοπικό δίκτυο στο κτίριο Α Ασφαλές τοπικό δίκτυο στο κτίριο Β VPN πύλη A. Network-to-Network VPN Ανασφαλής σύνδεση VPN πύλη Ασφαλές τοπικό δίκτυο στο κτίριο Α B. Host-to-Network VPN Slide: 43/44 Μοντέλο εικονικής ιδιωτικής δικτύωσης /4 Βήματα εγκατάστασης VPN : Κάθε STA εφοδιάζεται με μια προσωρινή διεύθυνση IP το VPN λογισμικό εγκαθιδρύει ένα προστατευμένο με IPsec VPN τούνελ με τον υπεύθυνο VPN εξυπηρετητή από την πλευρά του δικτύου Ο VPN εξυπηρετητής μπορεί να βρίσκεται ενσωματωμένος μέσα στο AP ή πίσω από αυτό λειτουργώντας ανεξάρτητα. Η υπηρεσία αυθεντικοποίησης παρέχεται ως μέρος της εγκαθίδρυσης του IPsec VPN καναλιού Πρωτόκολλο Internet Key Exchange (IKE). Η κίνηση δεδομένων στο ασύρματο τμήμα του δικτύου (STA, AP) διοχετεύεται μέσω του VPN τούνελ. Slide: 44/44 15