Hlavní navigace

Bezpečnost WLAN a roaming

2. 9. 2004
Doba čtení: 6 minut

Sdílet

Bezdrátové sítě již posílily svou bezpečnost díky nedávno schválené normě IEEE 802.11i, o níž jsme již na Lupě psali. Dnes se podíváme, jak souvisí nová specifikace a její vylepšení s řešením rychlého a hlavně bezpečného roamingu (přecházení) uživatelů mezi přístupovými body, a zda je dostačující třeba pro hlasové služby.
V článku WLAN konečně bezpečné jsme se podívali na zoubek bezpečnosti bezdrátových lokálních sítí ve světle nově schválené normy IEEE 802.11i, bezpečnostního doplňku stávajících typů WLAN podle 802.11a/b/g. Porovnávali jsme vlastnosti dočasného řešení WiFi Alliance WPA (WiFi Protected Access) a nového WPA2, které je založeno právě na 802.11i. Aliance bude testovat zařízení právě podle vybraného souboru povinných prvků z normy.

Norma sama ovšem nabízí řadu dalších prvků volitelných, jako předběžnou autentizaci (pre-authentication), která umožňuje rychlý a bezpečný roaming mezi přístupovými body s minimalizací zpoždění, což bude potřeba např. pro hlasové služby pro WLAN. Podobně může zkrátit prodlevu při autentizaci uživatele tzv. key-caching, kdy uživatel při opětovném připojení k přístupovému bodu nemusí znovu zadávat své údaje a je připojen bez jakýchkoli úkonů z jeho strany.

Dnes se podíváme podrobněji právě na tyto dva prvky v normě, které nebudou povinně podporovány v budoucích produktech certifikovaných podle WPA2, protože pro mnohé budou zajímavé pro roaming mezi přístupovými body v souvislosti s aplikacemi citlivými na zpoždění, typicky pro hlasové služby. A podíváme se také na další aktivity, které se snaží o minimalizaci zpoždění při předávání uživatelů mezi přístupovými body při zachování maximální bezpečnosti.

Nejprve však několik vět o roamingu, protože se budeme soustřeďovat jen na velmi malou část tohoto komplexního problému. Především se omezíme na otázky roamingu mezi bezdrátovými sítěmi stejného typu (WLAN) a ponecháme stranou složitější problematiku roamingu mezi heterogenními sítěmi bezdrátovými lokálními a mobilními (např. WLAN-GSM/GPRS).

Roaming

Roaming probíhá typicky na druhé nebo třetí vrstvě síťové architektury. Roaming na druhé vrstvě znamená, že se uživatel přesunuje od jednoho přístupového bodu k druhému v rámci téže IP (pod)sítě. Řeší se tedy především „fyzické“ předání uživatele mezi dvěma přístupovými body. Pokud se ovšem uživatel přesouvá do jiné IP sítě, musí se kromě vlastního předání mezi přístupovými body také zapojit síťová vrstva, protože uživatel nemůže nadále navenek používat původní IP adresu. K tomu je potřeba nový síťový protokol. Mobile IP řeší tento problém pomocí tzv. domácí adresy, která je neměnná, a cizí adresy, kterou si klient půjčuje v navštívených sítích.

Přístupové body WLAN podporují roaming na druhé vrstvě, kdy se uživatelé automaticky připojují a opětovně připojují (re-associate) k různým přístupovým bodům při pohybu mezi sousedními WLAN. Roaming mezi dvěma sousedními přístupovými body (viz obrázek „Roaming na druhé a třetí vrstvě“) může proběhnout zcela transparentně, pokud se uživatel dostane mimo dosah daného přístupového bodu (signál slábne), klient si automaticky vyhledá kvalitnější signál. Klient skenuje kanály 802.11 a pokud najde více přístupových bodů díky vysílání probes, nejprve vyloučí ty s neznámým SSID (Service Set IDentifier) a nastavením šifrování. Klient si pak sestaví seznam vhodných přístupových bodů, z nichž jeden si vybere pro přidružení. Jakmile si vybere nový přístupový bod, opětovně se autentizuje a přidruží k němu. Jestliže podporuje 802.1×, pak ještě proběhne autentizace klienta.

Roaming vždy iniciuje samotný klient, typicky v případě snížení přenosové rychlosti (pakety se běžně přenášejí maximální zkonfigurovanou rychlostí na přístupovém bodu), více chybějících hlášení od WLAN (beacon; interval jejich periodického vysílání specifikuje samotná zpráva), nebo při více neúspěšných pokusech o odeslání dat.

1326

Roaming na druhé a třetí vrstvě.

IAPP

Pro komunikaci mezi přístupovými body se používá protokol IAPP (Inter-Access Point Protocol) normalizovaný v IEEE 802.11f (IEEE Trial-Use Recommended for Multi-Vendor Access Point Interoperability via an Inter-Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation) z roku 2003. Nový přístupový bod musí informovat původní přístupový bod (na základě jeho MAC adresy najde jeho IP adresu – pomocí lokální tabulky nebo RADIUS serveru) o novém klientovi. MAC adresu původního přístupového bodu nese v sobě zpráva reassociation (běžná zpráva association v sobě žádnou MAC adresu přístupového bodu nemá).

Prostřednictvím spojení (tunelu chráněného IPSec na základě distribuce klíče pomocí RADIUS) informuje původní přístupový bod o reasociaci, aby si MAC adresu klienta vymazal ze své asociační tabulky. Nový přístupový bod také informuje mosty a přepínače připojené k lokálnímu segmentu, aby si aktualizovaly své tabulky a rámce pro stanici už posílaly na nový AP.

Key-caching

Předávání uživatelů mezi přístupovými body (často tam a zpět) může mít negativní dopad nejen na některé aplikace, ale i na autentizační server. Metoda ukládání klíčů do cache (key-caching) snižuje zátěž autentizačního serveru a současně urychluje přepojení klienta. Klient a přístupový bod si musí udržet bezpečnostní relaci při roamingu tak, aby při opětovném přidružení k přístupovému dobu bylo možné relaci opět nastartovat.

Ukládání klíčů do cache umožňuje uložit informaci na síť, takže po odpojení a opětovném připojení k přístupovému bodu nemusí uživatel znovu zadávat své údaje. Technicky se používá pojmenování bezpečnostní relace (security association) PMK (Pairwise Master Key), kdy při návratu k přístupovému bodu pošle v žádosti o přidružení (association) klient jméno klíče (jedno nebo více). Pokud přístupový bod odpoví pozitivně na žádost o přidružení, pokračuje se standardní výměnou čtyř zpráv (4-way handshake) v rámci EAPOL (Extensible Authentication Protocol over LANs), kde první zpráva v této komunikaci obsahuje jméno bezpečnostní relace PMK. V rámci výměny zpráv se mj. ověří, zda klient a přístupový bod mají stejnou bezpečnostní relaci PMK.

1323

Key-caching

Caching klíčů podle údajů některých výrobců dokáže snížit zpoždění při předávání klienta mezi dvěma přístupovými body z 800 ms na pouhých 25 ms, což je výrazný přínos pro aplikace citlivé na zpoždění jako VoWLAN (Voice over WLAN).

Pre-authentication

Key-caching redukuje dobu potřebnou pro připojení k síti, pokud klient již někdy byl přidružen k přístupovému dobu. Autentizace předem (pre-authentication) pak řeší vytvořené bezpečnostní relace PMK, kdy klient ještě k danému přístupovému bodu nikdy přidružen nebyl.

Při prvním přidružení klienta k síti musí proběhnout úplná autentizace. Pokud si je uživatel vědom potřeby roamingu, může provést autentizaci předběžnou u přístupového bodu, který hodlá použít v nedalekém budoucnu. Autentizace předem je podobná 802.1×: autentizace probíhá prostřednictvím nového přístupového bodu (v roli autentizátora) a příslušné pakety putují přes stávající přístupový bod k novému.

1324

Pre-authentication

Závěrem úspěšného provedení předběžné autentizace je ustavení bezpečnostní relace PMK mezi klientem a novým přístupovým bodem. Tím proces končí a už se neprovádí výměna čtyř zpráv. Při roamingu k novému přístupovému bodu pak klient provádí výše popsaný postup v rámci key-caching, který právě zahrnuje čtyřcestnou výměnu zpráv.

Pre-authentication umožňuje navázat bezpečnostní relaci před vlastním přidružením klienta k přístupovému bodu. Klient tím snižuje dobu, po kterou je vlastně od sítě při předávání mezi přístupovými bodu odpojen. Předběžná autentizace samozřejmě ale znamená zátěž pro autentizační server. Navíc jsme stále na druhé vrstvě, takže autentizaci předem nelze zrealizovat přes různé IP sítě.

Rychlý a bezpečný roaming

Roaming ve WLAN na podporu hlasových služeb je náročnější než u jiných – typicky datových – aplikací, protože musí být dostatečně rychlý a současně bezpečný. Dokončovaná norma 802.11e pro zaručení QoS (Quality of Service) nezahrnuje řešení pro rychlý roaming v souvislosti s moderními bezpečnostními mechanizmy 802.11i, proto vznikla v březnu 2004 nová pracovní skupina IEEE 802.21 (Media Independent Handoff) pro rychlý a bezpečný roaming (Fast, Secure Roaming) mezi potenciálně různými médii. Úkolem připravované normy je zachovat vysokou bezpečnost komunikace a přitom urychlit předávání uživatelů pro zachování kvality telefonních hovorů na úrovni podnikového VoIP (omezit přerušení volání a zpoždění při předávání na minimum).

CIF24

Pro srovnání WPA s autentizací PSK (Pre-Shared Key) prodlužuje předávání uživatelů na 70 ms (zašifrovaný tunel prostřednictvím jednoho přístupového bodu se musí rozbít a vytvořit nový do jiné WLAN). Pro hlasové služby by bylo potřeba se dostat pod 50 ms, aby kvalita hovoru vnímaná uživatelem nebyla narušená.

Na rychlém roamingu se ovšem pracuje také v rámci podvýboru pro WLAN, kde vzniká norma IEEE 802.11r (Fast Roaming Fast Handoff) pro rychlejší předávání uživatelů (reasociaci) mezi přístupovými body téže WLAN.

Zajímá vás roaming v souvislosti s WLAN?

Autor článku

Ing. Rita Pužmanová, CSc., MBA je nezávislá síťová specialistka. Okusila český, španělský i kanadský vzdělávací systém. Vedla kurzy v 7 zemích a ve 4 jazycích, školila on-line pro UCLA.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).