Oprava překlepů
This commit is contained in:
@@ -4,7 +4,7 @@
|
||||
|
||||
{\Large\bfseries Abstrakt}
|
||||
|
||||
Tato bakalářská práce se zabývá automatizovaným nasazením, správou a monitoringem rozsáhlých Wi-Fi sítí. Uvádí základní pojmy z~počítačových sítí v~kontextu autorizacerizace uživatelů a přístupových Wi-Fi síťí. Popisuje sadu standardů Wi-Fi, jednotlivé standardy a autorizační metody. Následně je pomocí vybraného open-source softwaru implementována modelová přístupová Wi-Fi síť na základě deklarovaných požadavků. Tato modelová implementace je v~závěru vyhodnocena.
|
||||
Tato bakalářská práce se zabývá automatizovaným nasazením, správou a monitoringem rozsáhlých Wi-Fi sítí. Uvádí základní pojmy z~počítačových sítí v~kontextu autorizace uživatelů a přístupových Wi-Fi síťí. Popisuje sadu standardů Wi-Fi, jednotlivé standardy a autorizační metody. Následně je pomocí vybraného open-source softwaru implementována modelová přístupová Wi-Fi síť na základě deklarovaných požadavků. Tato modelová implementace je v~závěru vyhodnocena.
|
||||
|
||||
\vspace{4mm}
|
||||
|
||||
|
||||
@@ -64,7 +64,7 @@ Seznam balíků, které nejsou potřeba pro provoz zařízení v~režimu příst
|
||||
\item \verb|ppp-mod-pppoe| - rozšíření o~podporu PPPoE funkcionality.
|
||||
\end{itemize}
|
||||
|
||||
Protože budeme dle definovaných požadavků v~kapitole \ref{ch:pozadavky} používat k~autentifikaci a autorizaci WPA enterprise nahradíme balík \verb|wpad-basic-mbedtls| za jeho plnohodnotnou alternativu \verb|wpad-mbedtls|, který mimo jiné implementuje WPA-enterprise metody pro autorizaci a autentizací clientů.
|
||||
Protože budeme dle definovaných požadavků v~kapitole \ref{ch:pozadavky} používat k~autentizaci a autorizaci WPA enterprise nahradíme balík \verb|wpad-basic-mbedtls| za jeho plnohodnotnou alternativu \verb|wpad-mbedtls|, který mimo jiné implementuje WPA-enterprise metody pro autorizaci a autentizací clientů.
|
||||
|
||||
Balíky lze odebrat připsáním názvů balíků s~prefixem \verb|-|. Tedy: \texttt{-dnsmasq -firewall4 -kmod-nft-offload -luci -nftables -odhcpd-ipv6only -ppp -ppp-mod-pppoe -wpad-basic-mbedtls wpad-mbedtls}
|
||||
|
||||
@@ -175,7 +175,7 @@ Sekcí \verb|wireless_device_default| jsou nastaveny výchozí hodnoty pro všec
|
||||
|
||||
V~poslední sekci \verb|wireless_interfaces| jsou definovány dvě Wi-Fi sítě podle požadavků v~kapitole \ref{ch:pozadavky}. První síť má SSID \verb|eduroam| a k~zabezpečení využívá WPA2 Enterprise. Adresa autentizačního a autorizačního serveru je definovaná v~proměnné \verb|auth_server|, heslo je uloženo v~proměnné \verb|auth_secret|. Je zde umožněn roaming dle 802.1r. Jedním z~požadavků na modelovou implementaci je dynamické přidělování uživatelů do příslušných VLAN, tohoto je docíleno pomocí parametrů v~proměných \verb|dynamic_vlan|, \verb|vlan_tagged_interface|, \verb|vlan_bridge| a \verb|vlan_naming|, které ovlivňují chování démona \verb|hostapd|.
|
||||
|
||||
\verb|Hostapd| je nástroj určený ke správě a vytváření Wi-Fi sítí. Kromě toho zajišťuje autorizaci zařízení a funguje jako 802.1X autentifikátor, tedy zprostředkovává autentizaci mezi klientským zařízením a autorizačním serverem. V~OpenWrt je součástí balíčku \verb|wpad-mbedtls|, který jsme nainstalovali ve své plnohodnotné verzi při kompilaci.
|
||||
\verb|Hostapd| je nástroj určený ke správě a vytváření Wi-Fi sítí. Kromě toho zajišťuje autorizaci zařízení a funguje jako 802.1X autentizátor, tedy zprostředkovává autentizaci mezi klientským zařízením a autetizačním serverem. V~OpenWrt je součástí balíčku \verb|wpad-mbedtls|, který jsme nainstalovali ve své plnohodnotné verzi při kompilaci.
|
||||
Parametr \verb|dynamic_vlan| \verb|hostapd| definuje zda je clientské zařízení dynamicky přidělováno do vlan. Jsou definovány tři stavy. 0 - neprobíhá dynamické přiřazování vlan, 1 - VLAN není požadováno, použije se výchozí síťové rozhraní, 2 - VLAN je od RADIUS serveru požadována jinak clientské zařízení nepřipojí.
|
||||
Pokud je dynamické přidělování zapnuto \verb|hostapd| Wi-Fi clienty přiřazuje do adekvátních bridgů. K~tomu potřebuje znát prefix bridge, který je definovaný v~\verb|hostapd| parametru \verb|vlan_bridge|. \verb|vlan_naming| s~hodnotou 1 říká, že do bridge bude přirazeno ethernetové rozhraní ve formátu \verb|<vlan_tagged_interface>.<VLANtag>|, v~případě hodnoty 0 je přiřazeno rozhraní s~názvem \verb|vlan<vlantag>|. V~parametru \verb|vlan_tagged_interface| je tedy uvedeno ethernetové rozhraní propojující přístupový bod a router sítě.\citep{OpenWrtDoc8021X}
|
||||
|
||||
@@ -296,7 +296,7 @@ Logování na FreeRADIUS serveru zajišťuje modul linelog, který umožňuje za
|
||||
\lstinputlisting[caption={Soubor mods-available/linelog},]{linelog.txt}
|
||||
Konfigurace\footnote{\url{https://wiki.freeradius.org/guide/eduroam}} dostupná na webu freeradius.com ukazuje příklad s~několika instancemi modulu \verb|linelog|, které slouží k~logování příchozích RADIUS požadavků nebo odpovědi. Tyto instance jsou následně volány v~hlavním konfiguračním souboru FreeRADIUS \verb|sites-available/default| na příslušných místech v~rámci zpracování RADIUS požadavků. Zalogovány jsou lokální požadavky na autorizaci, odpovědi na autentizační požadavky, odpovědi na požadavky přijaté od jiných institucí a odeslané proxy požadavky směrem k~jiným institucím.
|
||||
\lstinputlisting[caption={Nastavení logování v~sites-available/default},]{default.txt}
|
||||
Výsledkem této konfigurace je detailnější log, včetně například atributů NAS-IP-Address, Operator-Name, Calling-Station-Id, tedy IP adresy autentifikátoru, název instituce, ze které přišel nebo kam se odesílá požadavek/odpověď a MAC adresa zařízení. Tyto záznamy je nutné dle Technických požadavků a doporučení
|
||||
Výsledkem této konfigurace je detailnější log, včetně například atributů NAS-IP-Address, Operator-Name, Calling-Station-Id, tedy IP adresy autentizátoru, název instituce, ze které přišel nebo kam se odesílá požadavek/odpověď a MAC adresa zařízení. Tyto záznamy je nutné dle Technických požadavků a doporučení
|
||||
pro členy federace eduroam.cz\footnote{\url{https://www.eduroam.cz/_media/cs/technicke_pozadavky_eduroam.pdf}} archivovat alespoň 6 měsíců.
|
||||
|
||||
Ze systémového logu RADIUS serveru lze tyto záznamy opět přeposlat na centrální logovací server.
|
||||
|
||||
@@ -173,17 +173,17 @@ Mezi dnes již málo používané aktivní síťové prvky lze zařadit:
|
||||
\label{fig:radius}
|
||||
\end{figure}
|
||||
|
||||
V~architektůře autentizace pomocí IEEE 802.1X jsou tři hlavní prvky. Prvním je samotný klient (tzv. suplikant), druhý je switch/přístupový bod (autentifikátor) a třetím je autentizační server.
|
||||
V~architektůře autentizace pomocí IEEE 802.1X jsou tři hlavní prvky. Prvním je samotný klient (tzv. suplikant), druhý je switch/přístupový bod (autentizátor) a třetím je autentizační server.
|
||||
|
||||
Suplikant komunikuje s~autentizačním serverem pomocí EAP (Extensible Authentication Protocol) zpráv, které jsou specifikovány RFC 2284. Pro přenos EAP v~prostředí Ethernetu slouží EAPoE (EAP over Ethernet), kde EAP rámce používají EtherType \verb|0x888E|. Komunikace mezi Suplikantem a autentifikátorem komunikace probíhá pouze na L2 vrstvě ISO/OSI modelu. Autentifikátor EAP zprávy od klienta (suplikanta) neinterpretuje, zabalí je do dalšího protokolu a přepošle je autentizačnímu serveru přes IP síť.
|
||||
Suplikant komunikuje s~autentizačním serverem pomocí EAP (Extensible Authentication Protocol) zpráv, které jsou specifikovány RFC 2284. Pro přenos EAP v~prostředí Ethernetu slouží EAPoE (EAP over Ethernet), kde EAP rámce používají EtherType \verb|0x888E|. Komunikace mezi Suplikantem a autentizátorem probíhá pouze na L2 vrstvě ISO/OSI modelu. autentizátor EAP zprávy od klienta (suplikanta) neinterpretuje, zabalí je do dalšího protokolu a přepošle je autentizačnímu serveru přes IP síť.
|
||||
|
||||
Autentifikátor komunikuje s~autentizačním serverem pomocí jednoho z~AAA protokolů. Authentication, Authorization, Accounting\footnote{autentizace, autorizace, účtování} protokoly se \textit{používájí pro zajištění zabezpečení síťové infrastruktury}. Mezi nejvíce používané patří RADIUS, TACACS, TACACS+, KERBEROS a DIAMETER.\citep{stankus_8021x}. Autentizační server ověřuje EAP zprávy a odpovídá autentifikátoru, který na základě těchto odpovědí upravuje přístupk suplikanta k~síti a přeposílá příslušné EAP odpovědi suplikantovi. Komunikace mezi Autentifikátorem a autentizačním serverem probíhá na úrovní aplikační vrstvy.
|
||||
Autentizátor komunikuje s~autentizačním serverem pomocí jednoho z~AAA\footnote{Authentication, Authorization, Accounting - autentizace, autorizace, účtování} protokolů. Tyto protokoly se \textit{používájí pro zajištění zabezpečení síťové infrastruktury}. Mezi nejvíce používané patří RADIUS, TACACS, TACACS+, KERBEROS a DIAMETER.\citep{stankus_8021x}. Autentizační server ověřuje EAP zprávy a odpovídá autentizátoru, který na základě těchto odpovědí upravuje přístupk suplikanta k~síti a přeposílá příslušné EAP odpovědi suplikantovi. Komunikace mezi Autentizátorem a autentizačním serverem probíhá na úrovní aplikační vrstvy.
|
||||
|
||||
Proces autorizace klienta pomocí RADIUS serveru je znázorněn na obrázku \ref{fig:radius}.Po připojení klienta (suplikanta) do sítě je veškerý síťový provoz na portu blokován, dokud není dokončena autentizace Autentifikátor akceptuje pouze EAPoL zprávy. Klient (suplikant) zahájí komunikaci s~autentifikátorem \textbf{EAPoL-Start}, kterou zahájí autentizační proces. Autentifikátor vyzve klienta (suplikant) zprávou \textbf{EAP-Request/Identity} ke sdělení identity. Klient odpoví zprávou \textbf{EAP-Response/Identity}, která obsahuje jeho identifikaci (například uživatelské jméno). Tuto zprávu autentifikátor předá autentizačnímu serveru jako \textbf{RADIUS Access-Request}. V~tomto protokolu je zapouzdřena EAP zpráva.\citep{cuhel_8021x}
|
||||
Proces autorizace klienta pomocí RADIUS serveru je znázorněn na obrázku \ref{fig:radius}.Po připojení klienta (suplikanta) do sítě je veškerý síťový provoz na portu blokován, dokud není dokončena autentizace Autentizátor akceptuje pouze EAPoL zprávy. Klient (suplikant) zahájí komunikaci s~autentizátorem \textbf{EAPoL-Start}, kterou zahájí autentizační proces. Autentizátor vyzve klienta (suplikant) zprávou \textbf{EAP-Request/Identity} ke sdělení identity. Klient odpoví zprávou \textbf{EAP-Response/Identity}, která obsahuje jeho identifikaci (například uživatelské jméno). Tuto zprávu autentizátor předá autentizačnímu serveru jako \textbf{RADIUS Access-Request}. V~tomto protokolu je zapouzdřena EAP zpráva.\citep{cuhel_8021x}
|
||||
|
||||
Autentizační server může odpovědět výzvou k~zadání dalšího ověření (hesla) pomocí \textbf{RADIUS Access-Challenge}, tento proces pokračuje dokud server neověří klientovu identitu. Po úspěšném ověření identity server odpoví zprávou \textbf{RADIUS Access-Challenge}, kterou autentifikátor předá jako \textbf{EAP-Success} a povolí klientovi přístup k~síti.\citep{lesek_8021x}
|
||||
Autentizační server může odpovědět výzvou k~zadání dalšího ověření (hesla) pomocí \textbf{RADIUS Access-Challenge}, tento proces pokračuje dokud server neověří klientovu identitu. Po úspěšném ověření identity server odpoví zprávou \textbf{RADIUS Access-Challenge}, kterou autentizátor předá jako \textbf{EAP-Success} a povolí klientovi přístup k~síti.\citep{lesek_8021x}
|
||||
|
||||
Identita uživatele je uložena v~databázi autorizačního serveru, v~externí databázi, v~systému pro správu identit, nebo na jiném autorizačním serveru.
|
||||
Identita uživatele je uložena v~databázi autentizačního serveru, v~externí databázi, v~systému pro správu identit, nebo na jiném autentizačním serveru.
|
||||
|
||||
EAP nezajišťuje šifrování ani ochranu přenášených dat. Toto mají na starosti konkrétní autentizační metody. Mezi nejrozšířenější metody patří:
|
||||
\begin{itemize}
|
||||
|
||||
Reference in New Issue
Block a user