pixx/WifiBP
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

add 802.1X

Browse Source
This commit is contained in:
David Zálešák
2024-11-26 13:29:32 +01:00
parent 9baab5be9d
commit 305ee0c918
6 changed files with 84 additions and 11 deletions
Download Patch File Download Diff File Expand all files Collapse all files

20
bibliografie.bib
View File

@@ -137,7 +137,7 @@
urldate = {2024-9-24} urldate = {2024-9-24}
} }
@online{freeccna_vlan, @online{freeccna_vlan,
author = {FreeCCNAStudyGuide}, author = {FreeCCNAStudyGuide.com},
title = {7-4 VLAN Trunking: ISL and 802.1Q}, title = {7-4 VLAN Trunking: ISL and 802.1Q},
url = {https://www.freeccnastudyguide.com/study-guides/ccna/ch7/7-4-vlan-trunking-isl-802-1q/}, url = {https://www.freeccnastudyguide.com/study-guides/ccna/ch7/7-4-vlan-trunking-isl-802-1q/},
urldate = {2024-9-21} urldate = {2024-9-21}
@@ -158,4 +158,22 @@
title = {Advanced VLANs}, title = {Advanced VLANs},
url = {https://erg.abdn.ac.uk/users/gorry/course/lan-pages/vlan-advanced.html}, url = {https://erg.abdn.ac.uk/users/gorry/course/lan-pages/vlan-advanced.html},
urldate = {2024-9-20} urldate = {2024-9-20}
}
@online{stankus_8021x,
author = {Martin Stankuš},
title = {Autentizace, autorizace a accounting v prostředí IEEE 802.1X},
url = {http://www.cs.vsb.cz/grygarek/SPS/projekty0607/RADIUS-Stankus.pdf},
urldate = {2024-10-11}
}
@online{networkencyclopedia_eap,
autor = {networkencyclopedia.com},
title = {Decoding EAP Protocol: A Guide to Extensible Authentication},
url = {https://networkencyclopedia.com/decoding-eap-protocol-a-guide-to-extensible-authentication/},
urldate = {2024-10-11}
}
@online{eduroam_realm,
autor = {eduroam.cz},
title = {Realm},
url = {https://www.eduroam.cz/cs/spravce/pripojovani/realm},
urldate = {2024-11-8}
} }

44
chapters/site.tex
View File

@@ -106,6 +106,8 @@ Aby bylo možné jednotlivé zařízení přiřazovat do různých logických s
\textbf{Access port}\footnote{přístupová port} je port sloužící k~připojení jednotlivých zařízení. Provoz je bez IEEE~802.1Q tagu, tag bývá přiřazen na přepínači. \textbf{Access port}\footnote{přístupová port} je port sloužící k~připojení jednotlivých zařízení. Provoz je bez IEEE~802.1Q tagu, tag bývá přiřazen na přepínači.
Vlán portu muže být přidělena staticky, podle MAC adresy zařízení, podle IP adresy zařízení nebo z~autorizačního serveru.\citep{samuraj_vlan}
\iffalse \iffalse
\section{Taxonomie počítačových sítí} \section{Taxonomie počítačových sítí}
@@ -135,7 +137,7 @@ Aby bylo možné jednotlivé zařízení přiřazovat do různých logických s
% ================================================================================================================== % ==================================================================================================================
\section{Základní síťové prvky} \section{Základní síťové prvky}
Počítačové sítě jsou tvořeny technickými prostředky (síťovými prvky). \textbf{Pasivní síťové prvky} nemanipulují s~přenášenými daty a nezasahují do přenášených dat. Nevyžadují externí napájení. Aktivní síťové prvky vyžadují externí napájení a manipulují s~přenášenými daty a mohou do nich i zasahovat. \textbf{Aktivní síťové prvky} nabízejí různou funkcionalitu podle které se dále rozlišují. Počítačové sítě jsou tvořeny technickými prostředky (síťovými prvky). \textbf{Pasivní síťové prvky} nemanipulují s~přenášenými daty a nezasahují do přenášených dat. Nevyžadují externí napájení. Aktivní síťové prvky vyžadují externí napájení a manipulují s~přenášenými daty a mohou do nich i zasahovat. \textbf{Aktivní síťové prvky} nabízejí různou funkcionalitu, podle které se dále rozlišují.
\textbf{Aktivní síťové prvky:} \textbf{Aktivní síťové prvky:}
\begin{itemize} \begin{itemize}
@@ -162,11 +164,47 @@ Mezi dnes již málo používané aktivní síťové prvky lze zařadit:
% ================================================================================================================== % ==================================================================================================================
\section{802.1X} \section{802.1X}
802.1X je standard vydaný IEEE\footnote{Institute of Electrical and Electronics Engineers} který v~obecné rovině zavádí a popisuje možnosti řízení přístupu k~přenosovému médiu. Nedefinuje žádné komunikační protokoly a celou problematiku popisuje pouze v~obecné rovině. 802.1X je standard vydaný organizací IEEE\footnote{Institute of Electrical and Electronics Engineers} pro zabezpečení přístupu do sítě. Tento standard zvyšuje bezpečnost tím, že zajišťuje autorizaci uživatelů sítě. Přístup je kontrolován na linkové vrstvě ISO/OSI modelu.
\begin{figure}
\centering
\includegraphics[width=0.8\textwidth]{images/radius.png}
\caption{Průběh 802.1X / RADIUS autentizace.\citep{stankus_8021x}}
\label{fig:radius}
\end{figure}
V~architektůře autentizace pomocí IEEE 802.1X jsou tři hlavní prvky. Prvním je samotný klient (tzv. suplikant), druhý je switch/přístupový bod (autentifikátor) a třetím je autentizační server.
Suplikant komunikuje s~autentifikátorem pomocí EAP (Extensible Authentication Protocol) zpráv, které jsou specifikovány RFC 2284. Pro přenos EAP v~prostředí Ethernetu slouží EAPoE (EAP over Ethernet), kde EAP rámce používají EtherType \verb|0x888E|.
Autentifikátor komunikuje s~autentizačním serverem pomocí jednoho z~AAA protokolů (Authentication, Authorization, Accounting - autentizace, autorizace, účtování), které se \textit{používájí se pro zajištění zabezpečení síťové infrastruktury}. Mezi nejvíce používané patří RADIUS, TACACS, TACACS+,
KERBEROS a DIAMETER.\citep{stankus_8021x}
Po připojení klienta (suplikanta) do sítě je veškerý síťový provoz na portu blokován, dokud není dokončena autentizace Autentifikátor akceptuje pouze EAPoL zprávy. Klient (suplikant) zahájí komunikaci s~autentifikátorem \textbf{EAPoL-Start}, kterou zahájí autentizační proces. Autentifikátor vyzve klienta (suplikant) zprávou \textbf{EAP-Request/Identity} ke sdělení identity. Klient odpoví zprávou \textbf{EAP-Response/Identity}, která obsahuje jeho identifikaci (například uživatelské jméno). Tuto zprávu autentifikátor předá autentizačnímu serveru jako \textbf{RADIUS Access-Request}.
Autentizační server může odpovědět výzvou k~zadání dalšího ověření (hesla) pomocí \textbf{RADIUS Access-Challenge}, tento proces pokračuje dokud server neověří klientovu identitu. Po úspěšném ověření identity server odpoví zprávou \textbf{RADIUS Access-Challenge}, kterou autentifikátor předá jako \textbf{EAP-Success} a povolí klientovi přístup k~síti. Tento proces je znázorněn na obrázku \ref{fig:radius}.
Identita uživatele může být uložena v~databázi autorizačního serveru, v~externí databázi, v~systému pro správu identit, nebo na jiném autorizačním serveru.
EAP nezajišťuje šifrování ani ochranu přenášených dat. Toto mají na starosti konkrétní autentizační metody. Mezi nejrozšířenější metody patří:
\begin{itemize}
\item \textbf{EAP-TLS}: používá pro vzájemnou autentizaci certifikáty klienta a serveru.
\item \textbf{PEAP}: Vytváří šifrovaný tunel TLS, uvnitř tunelu probíhá sekundární autentizace npř. pomocí MS-CHAPv2. Vyžaduje certifikát pouze na straně serveru.
\item \textbf{EAP-TTLS}: Funguje podobně jako PEAP, nabízí více možností sekundární autentizace (PAP, CHAP, nebo MS-CHAPv2).\citep{networkencyclopedia_eap}
\end{itemize}
% ------------------------------------------------------------------------------------------------------------------ % ------------------------------------------------------------------------------------------------------------------
\subsection{eduroam} \subsection{eduroam}
eduroam je mezinárodní projekt s~cílem umožnit studentům a pracovníkům vzdělávacích a výzkumných institucí jednoduchý, bezpečný a spolehlivý přístup k~veřejné síti Internet v~parcipiující institucích kdekoli na světě. Přístup k~internetu je zařízením umožněň pomocí Wi-Fi nebo ethernetovéh rozhraní. eduroam využívá specifikace 802.1X pro udělení či zamítnutí přístupu. Parcipiující instituce využívají jednotný identifikátor Wi-Fi sítě \verb|eduroam| nebo \verb|eduroam-| dopněný názvem instutuce. eduroam je mezinárodní projekt s~cílem umožnit studentům a pracovníkům vzdělávacích a výzkumných institucí jednoduchý, bezpečný a spolehlivý přístup k~veřejné síti Internet v~parcipiující institucích kdekoli na světě. Parcipiující instituce využívají jednotný identifikátor Wi-Fi sítě \verb|eduroam|. Přístup k~internetu je zařízením umožněň pomocí Wi-Fi nebo ethernetového rozhraní. eduroam využívá specifikace 802.1X pro udělení či zamítnutí přístupu.
\begin{figure}
\centering
\includegraphics[width=0.5\textwidth]{images/hierachicka_infrastruktura.png}
\caption{Hierachické uspořádání autentizačních serverů.\citep{eduroam_realm}}
\label{fig:eduroam}
\end{figure}
K~tomu využívá hierachické uspořádání auntetizačních serverů RADIUS (obrázek \ref{fig:eduroam}), kde každá spravující své identity provozuje svůj autentizační server.
Tímto se snaží napodobit roaming (přepnutí ze síťě jednoho operátora do sítě jiného operátora) v~celulárních síťích. Tímto se snaží napodobit roaming (přepnutí ze síťě jednoho operátora do sítě jiného operátora) v~celulárních síťích.

BIN
images/hierachicka_infrastruktura.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 42 KiB

BIN
images/radius.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 74 KiB

8
pdfa.xmpi
View File

@@ -73,15 +73,15 @@
</rdf:Description> </rdf:Description>
<rdf:Description rdf:about="" xmlns:xmp="http://ns.adobe.com/xap/1.0/"> <rdf:Description rdf:about="" xmlns:xmp="http://ns.adobe.com/xap/1.0/">
<xmp:CreatorTool>LaTeX with hyperref</xmp:CreatorTool> <xmp:CreatorTool>LaTeX with hyperref</xmp:CreatorTool>
<xmp:ModifyDate>2024-11-26T08:03:57+01:00</xmp:ModifyDate> <xmp:ModifyDate>2024-11-26T13:22:02+01:00</xmp:ModifyDate>
<xmp:CreateDate>2024-11-26T08:03:57+01:00</xmp:CreateDate> <xmp:CreateDate>2024-11-26T13:22:02+01:00</xmp:CreateDate>
<xmp:MetadataDate>2024-11-26T08:03:57+01:00</xmp:MetadataDate> <xmp:MetadataDate>2024-11-26T13:22:02+01:00</xmp:MetadataDate>
</rdf:Description> </rdf:Description>
<rdf:Description rdf:about="" xmlns:xmpRights = "http://ns.adobe.com/xap/1.0/rights/"> <rdf:Description rdf:about="" xmlns:xmpRights = "http://ns.adobe.com/xap/1.0/rights/">
</rdf:Description> </rdf:Description>
<rdf:Description rdf:about="" xmlns:xmpMM="http://ns.adobe.com/xap/1.0/mm/"> <rdf:Description rdf:about="" xmlns:xmpMM="http://ns.adobe.com/xap/1.0/mm/">
<xmpMM:DocumentID>uuid:E471EDA9-0143-B4EC-2929-27CBFE26697B</xmpMM:DocumentID> <xmpMM:DocumentID>uuid:E471EDA9-0143-B4EC-2929-27CBFE26697B</xmpMM:DocumentID>
<xmpMM:InstanceID>uuid:9DF46316-4E62-6B0D-DAA9-0A6990456471</xmpMM:InstanceID> <xmpMM:InstanceID>uuid:C2CA260C-3F5A-FA78-EB59-6D5940A1A772</xmpMM:InstanceID>
</rdf:Description> </rdf:Description>
</rdf:RDF> </rdf:RDF>
</x:xmpmeta> </x:xmpmeta>

23
prace.bbl
View File

@@ -1,15 +1,25 @@
\begin{thebibliography}{22} \begin{thebibliography}{25}
\providecommand{\natexlab}[1]{#1} \providecommand{\natexlab}[1]{#1}
\providecommand{\url}[1]{\texttt{#1}} \providecommand{\url}[1]{\texttt{#1}}
\expandafter\ifx\csname urlstyle\endcsname\relax \expandafter\ifx\csname urlstyle\endcsname\relax
\providecommand{\doi}[1]{doi: #1}\else \providecommand{\doi}[1]{doi: #1}\else
\providecommand{\doi}{doi: \begingroup \urlstyle{rm}\Url}\fi \providecommand{\doi}{doi: \begingroup \urlstyle{rm}\Url}\fi
\bibitem[edu()]{eduroam_realm}
\emph{Realm} [online].
\newblock Dostupn{\'{e}}~z:
\url{{https://www.eduroam.cz/cs/spravce/pripojovani/realm}}.
\bibitem[ijs()]{ijs2_ethernet} \bibitem[ijs()]{ijs2_ethernet}
\emph{Ethernet} [online]. \emph{Ethernet} [online].
\newblock Dostupn{\'{e}}~z: \newblock Dostupn{\'{e}}~z:
\url{{http://ijs2.8u.cz/index.php?option=com_content&view=article&id=20&Itemid=125}}. \url{{http://ijs2.8u.cz/index.php?option=com_content&view=article&id=20&Itemid=125}}.
\bibitem[net()]{networkencyclopedia_eap}
\emph{Decoding EAP Protocol: A Guide to Extensible Authentication} [online].
\newblock Dostupn{\'{e}}~z:
\url{{https://networkencyclopedia.com/decoding-eap-protocol-a-guide-to-extensible-authentication/}}.
\bibitem[Appnel()]{ZenofAnsible} \bibitem[Appnel()]{ZenofAnsible}
{\sc Appnel}, T. {\sc Appnel}, T.
\newblock \emph{The Zen of Ansible} [online]. \newblock \emph{The Zen of Ansible} [online].
@@ -41,8 +51,8 @@
\newblock Dostupn{\'{e}}~z: \newblock Dostupn{\'{e}}~z:
\url{{https://erg.abdn.ac.uk/users/gorry/course/lan-pages/vlan-advanced.html}}. \url{{https://erg.abdn.ac.uk/users/gorry/course/lan-pages/vlan-advanced.html}}.
\bibitem[FreeCCNAStudyGuide()]{freeccna_vlan} \bibitem[FreeCCNAStudyGuide.com()]{freeccna_vlan}
{\sc FreeCCNAStudyGuide}. {\sc FreeCCNAStudyGuide.com}.
\newblock \emph{7-4 VLAN Trunking: ISL and 802.1Q} [online]. \newblock \emph{7-4 VLAN Trunking: ISL and 802.1Q} [online].
\newblock Dostupn{\'{e}}~z: \newblock Dostupn{\'{e}}~z:
\url{{https://www.freeccnastudyguide.com/study-guides/ccna/ch7/7-4-vlan-trunking-isl-802-1q/}}. \url{{https://www.freeccnastudyguide.com/study-guides/ccna/ch7/7-4-vlan-trunking-isl-802-1q/}}.
@@ -121,6 +131,13 @@
\newblock Dostupn{\'{e}}~z: \newblock Dostupn{\'{e}}~z:
\url{{https://nramkumar.org/tech/blog/2024/06/21/monitoring-and-visualization-options-for-openwrt/}}. \url{{https://nramkumar.org/tech/blog/2024/06/21/monitoring-and-visualization-options-for-openwrt/}}.
\bibitem[Stankuš()]{stankus_8021x}
{\sc Stankuš}, M.
\newblock \emph{Autentizace, autorizace a accounting v prostředí IEEE 802.1X}
[online].
\newblock Dostupn{\'{e}}~z:
\url{{http://www.cs.vsb.cz/grygarek/SPS/projekty0607/RADIUS-Stankus.pdf}}.
\bibitem[Wikipedie()]{wiki_tcpip} \bibitem[Wikipedie()]{wiki_tcpip}
{\sc Wikipedie}. {\sc Wikipedie}.
\newblock \emph{TCP/IP} [online]. \newblock \emph{TCP/IP} [online].