RADIUS serveri kasutamine wifi võrkudes
...ehitustööd käivad...
SissejuhatusKäesolev artikkel annab ülevaate Remote Authentication Dial In User Service ehk RADIUS-teenusest, mille kasutamisega panustatakse traadita võrkude turvalisusse. Wifi võrkude krüpteerimiseks ja isikutuvastamise tagamiseks kasutatav WPA-tehnoloogia jaguneb kaheks:
1) staatilise võtmega WPA ehk WPA-PSK; WPA-PSK (või WPA2-PSK) on laialt levinud kodukasutajate seas, kuna marssruuteri ja võrgu seadistus on lihtne: pääsupunktile määratakse salajane parool. Pääsupunktiga saavad liituda kliendid, kellele on pääsupunkti salajane parool teada. Kliendi isikutuvastus toimub pääsupunkti salajase parooli alusel. WPA-PSK tehnoloogial on samas mitu varjukülge. Esiteks turvalisuse aspekt: kuna salajast parooli ei pruugita tihti vahetada, on potentsiaalsel ründajal aega tegelda ka keerulisema parooli lahtimurdmisega. Teine probleem seondub kasutajate haldamisega: kui võrgul on mitu kasutajat ja soovime ühe kasutaja välja arvata (või anda kellelegi ajutist ligipääsu), tuleb ühe isiku välistamiseks vahetada pääsupunkti parooli. Sellega kaasneb vajadus muuta pääsupunkti parooli sätteid kõigidel võrgu klientidel. Järelikult- vastupidiselt laialt levinud praktikale- ei tohiks äriettevõtted, kes jagavad klientidele ajutist juurdepääsu oma wifi võrku (nt konverentsi- või koosolekuruumides), kasutada WPA-PSK tehnoloogiat. Eeltoodud kaalutlustel tasub ettevõtetel (ja suurematel koduvõrkudel) kasutada WPA-EAS tehnoloogiat. Selle tehnoloogia puhul ei kasutata kliendi tuvastamiseks pääsupunkti salajast parooli. Selle asemel rakendatakse nn. AAA-põhimõtet (akrnonüüm väljendist Authentication, Authorization, Accountability[1] ), mille kohaselt peab andmesideprotokoll võimaldama selget tuvastust, pääsukontrolli ja tegevuse jälgitavust.[2] AAA-põhimõtte keskmes on RADIUS teenuse kasutamine.[3] Selle korral rakendatakse turvasertifikaate (PKI-arhitektuuri [4]) ja RADIUS teenust pakkuva serveri ülesanne on kontrollida, (a) kas kliendil on kehtiv sertifikaat, (b) millised on sellise kliendi pääsuõigused ettevõtte domeenis. Seega võimaldab RADIUS server juhtida ettevõtte wifi turvapoliitikat. Kuidas RADIUS server toimib?WPA-EAS arhitektuuris on RADIUS-serveril keskne roll kasutajate sisselogimisandmete (kasutajanimi, parool või seetifikaat) haldamisel. Ei kasutatuta jagatud võtit, samuti ei saa ükski klientarvuti pöörduda otse RADIUS-serveri poole. Selle asemel suhtleb klientarvuti võrguseadmega (marssruuter, VPN-server, modem), edastades sellele oma sisselogimisandmed. Võrguseade on eelnevalt seadistatud RADIUS-serveri kliendina: ta vahetab RARIUS-serveriga krüpteeritud sümmeetrilist võtit. Võrguseade edastab RADIUS-serverile kasutajaarvuti sisselogimisandmed. RADIUS-server kontrollib, millise domeeni liige kasutajaarvuti on. Seejärel RADIUS-server kontrollib, kas kasutaja sisselogimisandmed sisalduvad RADIUS-serveri andmebaasis. Sisselogimisandmete loetelu võib sisalduda ka muus serveris (nt domeenikontrolleris või SQL andmebaasis). Viimasel juhul RADIUS-server edastab sisselogimisandmed sellisele serverile. ... Allikas: http://www.aradial.com/images/hotspots.jpg
|