RADIUS serveri kasutamine wifi võrkudes: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Line 22: Line 22:
AAA-põhimõtte keskmes on ''Remote Authentication Dial In User Service'' ehk RADIUS teenuse kasutamine.[http://datatracker.ietf.org/wg/aaa/charter ] Selle korral rakendatakse turvasertifikaate (PKI-arhitektuuri [http://www.comms.scitech.sussex.ac.uk/fft/crypto/understanding_pki.pdf]) ja RADIUS teenust pakkuva serveri ülesanne on kontrollida, (a) kas kliendil on kehtiv sertifikaat, (b) millised on sellise kliendi pääsuõigused ettevõtte domeenis. <u>Seega võimaldab RADIUS server juhtida ettevõtte wifi turvapoliitikat.
AAA-põhimõtte keskmes on ''Remote Authentication Dial In User Service'' ehk RADIUS teenuse kasutamine.[http://datatracker.ietf.org/wg/aaa/charter ] Selle korral rakendatakse turvasertifikaate (PKI-arhitektuuri [http://www.comms.scitech.sussex.ac.uk/fft/crypto/understanding_pki.pdf]) ja RADIUS teenust pakkuva serveri ülesanne on kontrollida, (a) kas kliendil on kehtiv sertifikaat, (b) millised on sellise kliendi pääsuõigused ettevõtte domeenis. <u>Seega võimaldab RADIUS server juhtida ettevõtte wifi turvapoliitikat.


==RADIUS==  
==RADIUS serveri toimimine==  
 





Revision as of 19:02, 7 May 2010

ehitustööd käivad ...



Sissejuhatus

Wifi võrkude krüpteerimiseks ja isikutuvastamise tagamiseks kasutatav WPA-tehnoloogia jaguneb kaheks:

1) staatilise võtmega WPA ehk WPA-PSK;
2) WPA-EAS, mille puhul pääsupunkti ei seadistata staatilise võtmega.

WPA-PSK (või WPA2-PSK) on laialt levinud kodukasutajate seas, kuna marssruuteri ja võrgu seadistus on lihtne: pääsupunktile määratakse salajane parool. Pääsupunktiga saavad liituda kliendid, kellele on pääsupunkti salajane parool teada. Kliendi isikutuvastus toimub pääsupunkti salajase parooli alusel.

WPA-PSK tehnoloogial on samas mitu varjukülge.

Esiteks turvalisuse aspekt: kuna salajast parooli ei pruugita tihti vahetada, on potentsiaalsel ründajal aega tegelda ka keerulisema parooli lahtimurdmisega. Teine probleem seondub kasutajate haldamisega: kui võrgul on mitu kasutajat ja soovime ühe kasutaja välja arvata (või anda kellelegi ajutist ligipääsu), tuleb ühe isiku välistamiseks vahetada pääsupunkti parooli. Sellega kaasneb vajadus muuta pääsupunkti parooli sätteid kõigidel võrgu klientidel. Järelikult- vastupidiselt laialt levinud praktikale- ei tohiks äriettevõtted, kes jagavad klientidele ajutist juurdepääsu oma wifi võrku (nt konverentsi- või koosolekuruumides), kasutada WPA-PSK tehnoloogiat.

Eeltoodud kaalutlustel tasub ettevõtetel (ja suurematel koduvõrkudel) kasutada WPA-EAS tehnoloogiat. Selle tehnoloogia puhul ei kasutata kliendi tuvastamiseks pääsupunkti salajast parooli. Selle asemel rakendatakse nn. AAA-põhimõtet (akrnonüüm väljendist Authentication, Authorization, Accountability[1] ), mille kohaselt peab andmesideprotokoll võimaldama selget tuvastust, pääsukontrolli ja tegevuse jälgitavust.[2]

AAA-põhimõtte keskmes on Remote Authentication Dial In User Service ehk RADIUS teenuse kasutamine.[3] Selle korral rakendatakse turvasertifikaate (PKI-arhitektuuri [4]) ja RADIUS teenust pakkuva serveri ülesanne on kontrollida, (a) kas kliendil on kehtiv sertifikaat, (b) millised on sellise kliendi pääsuõigused ettevõtte domeenis. Seega võimaldab RADIUS server juhtida ettevõtte wifi turvapoliitikat.

RADIUS serveri toimimine