Celý roamingový miniseriál jsme začali diskusí o bezpečnosti roamingu ve WLAN, takže se také dnes soustředíme především na bezpečnostní záležitosti, které je třeba řešit při připojení k hotspotům a mobilní síti.
AAA v hotspotech
Ve veřejných přístupových sítích se aplikuje bezpečnostní architektura AAA (Authentication, Authorization and Accounting) pro autentizaci, autorizaci a účtování. Autentizace ověřuje uživatele typicky na základě uživatelského jména a hesla pomocí autentizačního serveru. Autorizace se odehrává pro každou transakci a AP tak dostává informace o tom, která spojení může povolit a co uživatel smí dělat.
V rámci účtování je potřeba zaznamenat veškeré relace uživatelů, včetně jejich délek. Získaná data slouží nejen pro vyúčtování zpoplatněných služeb, ale také pro plánování kapacity sítě, bezpečnostní analýzu a audit. Systém účtování musí spolupracovat mezi různými bezdrátovými ISP (WISP) i mobilními provozovateli, protože uživatelé chtějí mít pokud možno jedinou dohodu s jedním poskytovatelem služby a od něj dostávat jeden účet za různé služby.
S WiFi aliancí spolupracuje otevřené konsorcium Internet Protocol Detail Record Organization (IPDR.org), jehož úkolem je podporovat jednotné účtování mezi různorodými provozovateli nejen bezdrátových sítí. Pro potřeby WLAN vznikl koncept přístupu k veřejným WLAN s univerzálním účtem WLANAS (WLAN Accounting and Settlement) na základě sjednocených prostředků výměny informací a finančního vyrovnání mezi roamingovými partnery.
Jako AAA server se typicky u hotspotů používá RADIUS (Remote Authentication Dial-In User Service). Ten je zde téměř důležitější než v podnikových sítích, protože ve veřejných přístupových sítích působí více subjektů a navíc uživatelé stále častěji žádají možnost roamingu mezi různými sítěmi a provozovateli.
Jakmile se ve veřejné WLAN uživatel autentizuje a autorizuje, musí se ochránit jeho komunikace před odposlechem. Utajení dat lze realizovat na různých úrovních. Na druhé vrstvě – mezi klientem a přístupovým bodem – lze šifrovat přenášená data pomocí WPA nebo pomocí 802.11i (více informací o bezpečnosti ve WLAN viz WLAN konečně bezpečné a Bezpečnost WLAN opět v řečech). Relační klíče pro jednotlivé uživatele se generují a distribuují během výměny autentizačních údajů s domácím AAA serverem. To eliminuje potřebu konfigurace MAC adres a klíče předem na přístupovém bodu.
Pro ochranu dat přenášených přes Internet jako veřejnou nezabezpečenou síť je třeba pro koncové zabezpečení využít vyšších úrovní zabezpečení. Nejčastěji se uplatní VPN, která umožní komunikaci přes Internet prostřednictvím zabezpečených tunelů mezi klientem a firemní sítí (branou VPN).
Bezpečnost přístupu k hotspotu
Přístup k WLAN není povolen, dokud neproběhne řádně a úspěšně vlastní autentizace. Nejčastěji používanou metodou pro přístup uživatelů k hotspotu je UAM (Universal Access Method), která klade na uživatele minimální nároky a je velice jednoduchá na implementaci. Výhodou logování přes web je jeho univerzalita, protože není závislé na zařízení.
Autentizace probíhá prostřednictvím klasického webového rozhraní, kdy uživatel zadá své uživatelské jméno a heslo, které se pro ověření předá AAA serveru. Nevýhodou jsou bezpečnostní slabiny tohoto přístupu, protože hrozí únos webové relace a nejsou chráněna data. Únos může znamenat také odhalení identifikačních údajů uživatele – webovému serveru navštívené sítě, falešnému AP nebo roamingovému partnerovi.
Proto je potřeba ochránit login nejlépe prostřednictvím jednorázového hesla (OTP, One Time Password) na stírací kartě nebo zaslaného ve zprávě SMS na mobilní telefon a ochránit login uživatele prostřednictvím HTTPS. Ochrana přenášených data není takto zajištěna, takže se doporučuje použít IP VPN. Webová autentizace je obecně řešením pro situace, kde zabezpečení spočívá na bedrech uživatele spíše než na správci sítě.
Autentizace podle 802.1×/EAP
Silnější autentizace uživatelů probíhá na základě 802.1×, konkrétně metod EAP (Extensible Authentication Protocol) pro vzájemnou autentizaci, případně založenou na certifikátech. V závislosti na možnostech použitého koncového zařízení a také na uživatelském profilu (pravidelný zákazník-předplatitel, nebo náhodný uživatel) lze využít různých metod autentizace. Služby dostupné pro uživatele jsou ihned po úspěšné autentizaci prostřednictvím EAP automaticky zpřístupněny.
Jednou z možností je řízení přístupu na bázi 802.1× s EAP na bázi SIM (Subscriber Identity Module) karty. Metoda EAP-SIM je výhodná pro služby veřejných WLAN prostřednictvím provozovatelů GSM sítí, kteří SIM karty běžně používají pro úschovu identifikačních údajů pro autentizaci uživatele daného zařízení. V tomto případě se posílají identifikační údaje uživatele na HLR (Home Location Register) prostřednictvím AAA serveru (viz obrázek). Tato metoda je využitelná v případě předplatitele služeb daného provozovatele a samozřejmě vyžaduje SIM kartu na koncovém zařízení. Umožňuje plně využít stávající (bezpečnostní) infrastrukturu sítě a podporuje roaming a bezpečnou autentizaci.
Autentizace pomocí SIM
Normalizovaná technologie čipových karet pro WLAN zatím neexistuje, ale pro účel vzájemné spolupráce bylo založeno průmyslové sdružení WLAN Smart Card Consortium, jehož členy jsou výrobci čipových karet, bezdrátových produktů a akademické instituce. Koncem roku 2003 konsorcium schválilo specifikaci WLAN-SIM V1.0, která definuje rozhraní pro autentizaci, distribuci relačních klíčů a management identity na základě 802.1× a EAP-SIM.
Pro prostředí UMTS se pracuje na metodě autentizace EAP-AKA (Authentication and Key Agreement) s využitím USIM (Universal SIM), „vylepšené“ SIM karty. AKA je založena na mechanizmu výzva-odpověď a symetrickém šifrování. Na rozdíl od GSM používá vzájemnou autentizaci a delší klíče.
Na světě je také nový návrh další metody EAP pro ověřování na základě obecně čipové karty, EAP-SC (Smart Card), který může podporovat i výše zmíněnou autentizaci pomocí SIM či USIM.
Jednotný rámec AAA
Cílem roamingu mezi veřejnými WLAN a mobilními sítěmi je umožnit uživateli, aby měl jedinou smlouvu se svým „domácím“ provozovatelem, na jehož AAA serveru jsou uloženy všechny potřebné údaje pro autentizaci (např. sdílené klíče), pro autorizaci a účtování a také profil uživatele (např. třída služeb, minimální šířka pásma). Tento jediný účet má uživateli zajistit volný pohyb mezi různými „cizími“ sítěmi (s jejichž provozovateli má provozovatel roamingové dohody) s možností přístupu k datovým a jiným službám, a to s jediným vyúčtováním. Cizí síť si musí před povolením přístupu uživatele vyžádat ověření jeho identity právě v domovské síti.
Vlastní roaming pak probíhá na základě využití protokolů pro AAA jako RADIUS nebo DIAMETER a sítí zprostředkovatelů AAA (broker, proxy).
Server AAA v navštívené síti vyšle požadavek na autentizaci uživatele AAA serveru domácí (mobilní) sítě. Požadavek se může předávat přes AAA proxy. Většina serverů RADIUS podporuje AAA proxy. Server autentizuje uživatele a dotáže se HLR na autentizaci pro mobilní síť. Pokud je autentizace v domácí síti úspěšná, AAA ve WLAN dostane informaci o možnosti povolit přístup uživatele do sítě. AAA v navštívené síti pak pošle informaci pro zúčtování do domácí sítě.
Oslovený RADIUS server zkontroluje doménovou část uživatelského jména klienta, který se chce připojit do sítě, v závislosti na doménovém jméně rozhodne, zda může autentizovat uživatele lokálně, nebo zda má předat prostřednictvím proxy požadavek na externí server. Specifický proxy (broker, clearing house) se stará o všechny zprávy AAA mezi WISP (přitom každý RADIUS server na cestě si uchovává vlastní zprávy). Po autentizaci uživatele na domácím serveru se odpověď dostane do RADIUS serveru navštívené sítě prostřednictvím clearing house proxy. Tento centrální proxy se kromě autentizace stará také o účtování.
Pěkné řešení mezinárodního roamingu v akademických sítích na bázi hierarchické struktury RADIUS serverů reprezentuje projekt eduRoam, jehož koordinátorem je sdružení CESNET a který slouží v pan-evropském měřítku těm, kdo jsou připojeni do sítě CESNET2.
Roaming budoucnosti
Roaming mezi veřejnými přístupovými WLAN a mobilními sítěmi je komplexní problematika, na jejímž řešení se stále pracuje. Pohodlná autentizace na základě SIM, umožňující jednotnou autentizaci a účtování (na základě jedné smlouvy a jednoho účtu u mobilního provozovatele, za telefonní i datové služby), není dosud ošetřen žádnou normou, ale tyto snahy podporují organizace jako SIM Alliance nebo Unlicensed Mobile Access (UMA).
ČLÁNKY DO MAILU