1-Rasm. WPA2 Enterprise Bu yerda qo‘shimcha turli protokollar to‘plami bilan ish olib boramiz. Mijoz tomonida maxsus dasturiy ta’minot qo‘yilgan bo‘lib, supplicant (odatda OT tarkibiy qismi) AAA server avtorizatsiya qismi bilan o‘zaro aloqa qiladi. Quyidagi misolda yengil kirish nuqtasi va kontroller asosida qurilgan unifitsiyalangan radiotarmoq ishi ko‘rsatilgan. «Miyali» kirish nuqtalarini ishlatilgan holatda mijoz va server o‘rtasidagi barcha vazifani kirish nuqtasi o‘ziga olishi mumkin. Bu holatda ma’lumotlar mijoz uzatish qurilmasi orqali 802.1x (EAPOL) protokoliga sifatida shakllantirilgan uzatiladi. Kontroller (qabul qilish qurilmasi)da esa ular RADIUS-paketlarga qayta aylantiriladi.
Tarmog‘ingizda EAP avtorizatsiya mexanizmidan foydalanish mijoz autentifikatsiyadan o‘tgandan so‘ng u mijozdan RADIUS-server infratuzilmasida avtorizatsiyadan o‘tishni talab etadi. WPA2 Enterprise dan foydalanish sizning tarmog‘ingizda RADIUS-serverini talab qiladi. Hozirgi kunda xavfsizlikni ta’minlash qobiliyatiga ko‘ra yuqori turuvchi quyidagi mahsulotlar bor:
• Microsoft Network Policy Server (NPS), oldin foydalanilgan IAS —MMC orqali sozlanadi, bu dastur bepul, ammo qattiq disk sotib olish zarur.
• Cisco Secure Access Control Server (ACS) 4.2, 5.3 veb-interfeys orqali sozlanadi, funksiyalari ko‘paytirilgan, taqsimlangan chidamli tizimlarni yaratish imkonini beradi, narxi qimmat.
• FreeRADIUS — bepul, matn sozlamalari orqali sozlanadi, boshqarishda va monitoringda qulay.
Bunda kontroller axborot almashishi jarayonini diqqat bilan kuzatib boradi va avtorizatsiyadan o‘tishni yoki undagi xatolikni kutadi. RADIUS-server muvaffaqiyatli o‘tishdan so‘ng RADIUS-serverga kirish nuqtasiga qo‘shimcha ko‘rsatkichlarni (abonentni qaysi tarmoqqa ulash, unga qanday IP-manzil berish, QoS darajasi) berish mumkin. Uzatish to‘xtagandan so‘ng RADIUS-server mijoz va kirish nuqtasiga shifrlash kalitlarini yaratish va almashtirishga yordam beradi.
EAP
EAP protokolining o‘zi konteyner hisoblanadi, ya’ni, avtorizatsiyadan o‘tish mexanizmi to‘liqligicha ichki protokollar hisobidan amalga oshadi.
Hozirgi kunda keng foydalanishga quyidagilar tatbiq qilingan:
2-Rasm. EAP avtorizatsiya protokoli • EAR-FAST http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol — EAP-FAST (Flexible Authentication via Secure Tunneling) — Cisco tashkiloti tomonidan yaratilgan; Foydalanuvchi va RADIUS-server o‘rtasida TLS tunneli ichida uzatiladigan login va parol orqali avtorizatsiya o‘tkazishni imkonini beradi;
• EAR-TLS (Transport Layer Security). Sertifikatlar orqali mijoz va server (foydalanuvchi va RADIUS-server) avtorizatsiyasi uchun ochiq kalitlar (PKI) infratuzilmasidan foydalanadi. Har bir simsiz aloqa qurilmasiga mijoz sertifikatini yozish va o‘rnatishni talab qiladi, shuning uchun, faqat boshqariluvchi koorporativ muxit uchun mos keladi. Agar mijoz — domen a’zosi bo‘lsa, Windows sertifikatlar serveri mijozga mustaqil ravishda sertifikat yaratish imkonini beruvchi vositalarga ega. Mijozni yopib qo‘yish uning sertifikatini bekor qilish (qayd yozuvini bekor) orqali amalga oshiriladi.
• EAR-TTLS (Tunneled Transport Layer Security) EAP-TLS protokoliga o‘xshash, lekin tennulni yaratishda mijoz sertifikati talab qilinmaydi. Bunday tunnelda brauzer SSL-ulanishiga o‘xshash qo‘shimcha avtorizatsiyani amalga oshiriladi.
• PEAP-MSCHAPv2 http://en.wikipedia.org/wiki/Protected_Extensible_ Authentication_Protocol — PEAPv0_ with_EAP-MSCHAPv2 (Protected EAP) — EAP-TTLS protokoliga server sertifikatini talab qiluvchi mijoz va server o‘rtasida shifrlangan TLS protokoliga o‘xshash tunnelini o‘rnatish bosqichi bilan bir xil.
• PEAP-GTC (Generic Token Card) — Protected EAP protokoliga o‘xshash, ammo bir martalik parollarda foydalanishni talab qiladi.
Yuqoridagi barcha usullar (EAP-FAST protokolidan tashqari) tasdiqlash markazi tomonidan berilgan server sertifikatini (RADIUS-serverda) bo‘lishini talab qiladi. Bu holatda tasdiqlash markazi sertifikati mijoz qurilmasida ro‘yxatdan o‘tgan bo‘lishi kerak. Qo‘shimcha sifatida EAP-TLS individual mijoz sertifakatini ham talab qiladi. Mijozning haqiqiyligini tekshirish raqamli imzo va mijoz tomonidan taqdim etilgan RADIUS-server sertifikatini PKI-infratuzilmasidan (Active Directory) olganligini taqqoslash orqali tekshiriladi.
EAP protokollaridan ixtiyoriy bittasini qo‘llash tarmoq ma’muri tomonidan bajarilishi zarur. Windows XPG`VistaG`7, iOS, Android OTga o‘rnatilgan standartlar kamida EAP-TLS va EAP-MSCHAPv2 protokollarini ishlata oladi. Windows osti Intel mijoz adarterlarini ProSet utilitasini (mavjud ro‘yxatni kengaytira oluvchi) taqdim etadi. Buni Cisco Any Connect Client amalga oshiradi. Open Authentication va No Encryption uchun hech narsa kerak emas, tarmoqqa ulanishni o‘zi kifoya. Radio muhit ochiqligi sababli signal barcha yo‘nalishlarda tarqaladi va uni to‘sib qolish qiyin masala. Ulanishga qo‘shilish mumkinligi mos mijoz adapterlari tufayli tarmoq trafigi hujum qiluvchiga o‘zini xuddi simli aloqa tarmog‘ida, NUV da, SPAN-port kommutatoridagidek xis qiladi. WEP protokoliga asoslangan shifrlash uchun TKIP yoki AES asoslangan shifrlash uchun to‘g‘ridan — to‘g‘ri deshifrlash nazariyada iloji bor, ammo amaliyotda buzish xolati uchramagan. Albatta, PSK kalit uchun yoki EAP protokolidan biriga parol tanlashni sinab ko‘rish mumkin. Berilgan hujumlarning qo‘llanilishi noma’lum. Bu jarayonda ijtimoiy injeneriya yoki kriptoanaliz usullaridan foydalanish mumkin.
EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 protokollari bilan himoyalangan tarmoqlarga kirishni amalga oshirish faqat foydalanuvchi login-parolini bilgan holda amalga oshirish mumkin. Parol terishga o‘xshash yoki MSCHAP kamchiligiga yo‘naltirilgan hujumlarnig ham ilofji yo‘q yoki EAP protokolining kanali «mijoz — server» shifrlangan tunnel bilan himoyalangan. Yopiq EAP-TLS tarmog‘iga kirish foydalanuvchi sertifikatini (yashirin kalit bilan) o‘g‘irlaganda yoki soxta sertifikat orqali amalga oshirilishi mumkin. Bunday xolat faqat tasdiqlash markazini buzgandan so‘nggina iloji bor. Kuchli kompaniyalarda bu markazlarni eng qimmat AT-manbasi sifatida asrashadi.
Modomiki, yuqorida sanab o‘tilgan usullar (PEAP-GTC dan tashqari) parollar va sertifikatlarni saqlash imkonini beradi. Mobil qurilmani o‘g‘irlanganda hujum qiluvchi tarmoq tomonidan barcha huquqlarga so‘zsiz ega bo‘ladi. Xavfdan himoyalanish chorasi sifatida qattiq diskni to‘liq shifrlash va qo‘rilmani yoqilganda parol so‘rovini qo‘yish orqali ta’minlash mumkin. Xulosa qilib, shuni aytish mumkinki simsiz tarmoqni to‘g‘ri va xatosiz loyihalashtirish, tarmoqni himoyalanganlik darajasini oshirish imkoniyatini beradi. Bunday tarmoqni buzish vositalari (chegaralangan darajada) mavjud emas.