naslovnica
aktualno
 
www.aaiedu.hr
schema.aaiedu.hr
pks.aaiedu.hr
developer.aaiedu.hr
 
 
 
 
 

 

Bežični 802.11n standard s mješovitim WPA i WPA2 okruženjem
(prosinac 2009.)

U čemu je novost?

Implementacijom novog 802.11n standarda uz veće brzine prijenosa uveden i je novi standard kriptiranja komunikacije - WPA2, umjesto do sada korištenog WPA standarda.

Mogućnost korištenja 802.11n standarda ovisi o korištenoj opremi: uređajima na pristupnoj točki (access point) i korisnikovom računalu.

Davateljima usluge pristupa po eduroam standardu preporučamo da, ako to njihova oprema omogućuje, realiziraju mješovito WPA i WPA2 okruženje (uz AES kripto-algoritam).

Za krajnje korisnike ova je promjena važna utoliko što podešavanje za korištenje 802.11n odnosno WPA2 standarda moraju obaviti sami (neće se dogoditi automatski). Osim toga, ukoliko se nađu na lokaciji koja još uvijek nema implementiran WPA2 standard morat će, ponovno, promijeniti postavke na WPA standard. Za kripto-algoritam preporučamo odabrati AES. Detaljnije upute o podešavanju računala potražite u odjeljku za krajne korisnike.


Za one koji žele znati više

Što je to WPA(2)?

Komunikacija klijenta (mrežnog bežičnog adptera) s pristupnim uređajem (AP-om) odvija se putem radio valova na predefiniranom setu radijskih frekfencija koje ovise o upotrebljenom standardu za bežičnu mrežnu komunikaciju (802.11a/b/g/n standard).

Prilikom uspostave incijalne povezanosti između klijenta i pristupnog uređaja uspostavlja se radio komunikacija predefiniranim protkolom. Danas prihvaćeni protokoli u radio komunikaciji su:

  • Open (otvorena i nezaštićena komunikacija)
  • WEP (Wired Equivalent Privacy s predefiniranim ili dinamičkim ključem)
  • WPA(2) (Wi-Fi Protected Access s TKIP i AES kripto algoritmima)

Open protokol se uobičajeno koristi za "otvoreni" i nezaštićeni pristup mreži. WEP protokol se koristio na starijim uređajima kako bi se zaštitila komunikacija između klijenta i pristupnog uređaja, ali je zamjenjen zbog višestruke ranjivosti i nepouzdanosti u radu s WPA protokolom.

WPA protokol donosi naprednu komunikaciju između klijenta i pristupnog uređaja, te podršku za jedan osnovni (TKIP) i jedan napredni (AES) kripto-algoritam, kojim se dodatno štiti komunikacijski kanal. Danas je minimalna preporuka za zaštićenu komunikaciju uporaba WPA protokola.

Kripto-algoritmi koje koristi WPA protokol su TKIP (Temporal Key Integrity Protocol) i AES (Advanced Encryption Standard). TKIP je nastao kao riješenje kompatibilno s starijm mrežnim adpterima prilikom prijelaza s WEP-a na WPA, dok se AES koristi u naprednije zaštićenim bežičnim mrežama.

Razlika između protokola WPA i WPA2 je u tome što je WPA2 naprednija inačica protokola WPA (vertikalno kompatibilna) i donosi poboljšanu zaštiu komunikacijskog kanala uz preporučano korištenje AES kripto-algoritma.

Kako je pronađen način za kompromitiranje komunikacije WPA protokolom uz korištenje TKIP kripto-algoritma, preporučamo prelazak na AES kripto algoritam i WPA2 komunikacijski protokol.

Posljedice rada u mješovitom okruženju

Prilikom korištenja jedinstvenog SSID-a, kao u eduroam okruženju, obzirom na preporuku uporabe WPA2 protokola, te AES kripto algoritma za nove instalacije i činjenice da već postoje mjesta s izvedenim bežičnim pristupa starije generacije WPA/TKIP pojavljuju se problemi povezani s operativnim sustavima i implmentiranom programskom podrškom za bežični mrežni adapter.

Problem se manifestiraju kroz nedostupnost kripto-protokola ili podrške za komunikacijski protokol (WPA2), funkcionalnosti programske podrške koja upravlja radom sustava (nemogućnost prepoznavanja komunikacijskog protokola, prevelika automatizacija, netransparentnost u radu) i nedostatak adekvatnih postavki za pristup bežičnoj mreži.

Osnovni skup problema, lagano se riješava implementacijom niže navedenih preporuka. Preostali problemi su vezani uz programsku podršku na nivou operativnog sustava koja upravlja spajanjem na bežičnu mrežu i nije u mogućnosti definirati visestruke profile za isti SSID (npr. Microsoft Windows prije Vista verzije), a svode se na činjenice da operativni sustav preferira jaču razinu zaštite, nije u mogućnosti vratiti se automatski na niži nivo zaštite i operacije obavlja bez adekvatnog obavještavanja korisnika.

Gore opisani problemi se očituju kada korisnik ima postavke za WPA protokol i prelazi na WPA2, kada prelazi s WPA2 na WPA, odnosno kada se mjenja kripto algoritam. U svima navedenim situacijama potrebno je provjeriti da li je komunikacijski protokol (WPA/WPA2), kripto protokol (TKIP/AES), te jesu li postavke autentikacije korisnika ispravno postavljenje prema statusu trenutno dostupnog pristupnog uređaja (AP-a). Problem se inače, prema korisniku, prikazuje kao nemogućnost spajanja na eduroam pristupni uređaj iako je SSID eduroam dostupan, odnosno kao nemogućnosti autentikacije korisnika (uobičajno javlja problem s certifikatom).

Preporuka

Osnovna preporuka je instalacija zadnje verzije programske podrške kako one vezane za mrežni bežični adapter (odgovarajući driver), tako i sam operativni sustav (program, supplicant).

Korištenje orginalne programske podrške proizvođača mrežnog adaptera, ako isti omogućuje spajanje na eduroam (EAP-TTLS/PAP).

Ispravno konfiguriranje parametara spajanja i autentikacije korisnika za sustav eduroam.

 

Što je eduroam?

Stanje sustava

Za krajnje korisnike

Za davatelje pristupa

Za matične ustanove

Programska podrška

Reference