Export to PDFDifferences
This shows you the differences between two versions of the page.
|
amres_cbp_wiki:bpd_106_dodatakc_eap-ttls [2011/05/10 23:16] mara |
amres_cbp_wiki:bpd_106_dodatakc_eap-ttls [2011/05/15 21:10] (current) mara |
||
|---|---|---|---|
| Line 2: | Line 2: | ||
| ====== EAP-TTLS protokol ====== | ====== EAP-TTLS protokol ====== | ||
| + | EAP (//Extensible Authentication Protocol//) predstavlja //framework// protokol za autentifikaciju u okviru 802.1x standarda. EAP poruke se prenose po sloju iznad MAC sloja protokola PPP, Ethernet, Token Ring ili 802.11 wireless protokola. U EAP poruke pakuju se paketi protokola za autentifikaciju: TLS, TTLS ili PEAP. | ||
| - | EAP (Extensible Authentication Protocol) predstavlja framework protokol za proces autentifikacije u okviru 802.1x standarda. EAP poruke se prenose iznad MAC sloja PPP, Ethernet, Token Ring ili 802.11 Wireless protokola. One nose pakete protokola za autentifikaciju: TLS, TTLS ili PEAP. | + | Razmena poruka između klijent i server strane prilikom autentifikacije korišćenjem EAP-TTLS protokola na wireless mreži je prikazan na slici C.1. |
| - | Tok poruka između klijenta i servera prilikom autentifikacije korišćenjem EAP-TTLS protokola preko Wireless mreže je prikazan na slici 1. | + | |
| - | + | ||
| - | Slika 1. EAP-TTLS | + | {{:amres_cbp_wiki:interni_deo:sigurnost:2nd_bpd_images:slika_b.1_eap-ttls.jpg?400| Slika EAP-TTLS}} |
| - | * Klijent access point-u šalje zahtev za asocijacijom, čime želi da alocira resurse i da se sinhroniše sa AP-om, u toj poruci se prenose informacije o NIC kartici klijenta (koje protoke podržava) i SSID-u mreže na koju želi da se poveže. | + | ;#; |
| - | * AP šalje Association Response poruku u kojoj se nalazi prihvatanje ili odbijanje zahteva za asocijacijom. Ako odluči da prihvati zahtev, AP alocira memorijski prostor i generiše Association ID koji se prosleđuje u poruci. | + | //Slika C.1 Razmena poruka EAP-TTLS // |
| - | * Klijent šalje prvu EAP poruku kao zahtev za početkom EAP-TTLS autentifikacije. | + | ;#; |
| - | * AP šalje zahev za identitetom klijenta. | + | \\ |
| - | * Klijent šalje svoje kredencijale kao odgovor na prethodu poruku, ali ne šalje svoj pravi identitet jer konekcija nije joše zaštićena, tj ne koristi se nikakva enkripcija. Klijent šalje svoj tzv. spoljni (outer) identitet koji je obično u formi autonomous@ream, dakle ne šalje svoje pravo korisničko ime. | + | |
| - | * AP preuzima klijentovu EAP poruku, enkapsulira je u RADIUS protokol i prosleđuje serveru za autentifikaciju. | + | - Klijent zahteva asocijaciju na pristupnu tačku (AP - //access point//), čime želi da alocira resurse i da se sinhronizuje sa AP-om. U toj poruci šalje informacije o svojoj NIC (//Network Interface Card//) kartici (protoke koje ona podržava) i SSID (//Service Set Identifier//) mreže na koju želi da se poveže. |
| - | * Server šalje klijentu zahtev za identitetom i lozinkom, i uz to svoj sertifikat koji sadrži javni ključ servera i hash samog sertifikata kriptovan javnim ključem CA-a. | + | - AP odgovara //Association Response// porukom u kojoj prihvata ili odbija zahtev za asocijacijom. Ako odluči da prihvati zahtev, AP alocira memorijski prostor i generiše //Association ID//, koji prosleđuje u poruci. |
| - | * AP dekapsulira EAP poruku iz RADIUS-a i enkapsulira je u 802.11 protokol i posleđuje ka klijentu. | + | - Klijent šalje prvu EAP poruku, odnosno zahtev, čime počinje EAP-TTLS autentifikacija. |
| - | * Klijent proverava identitet servera na sledeći način: | + | - AP zaheva podatke o identitetu klijenta. |
| - | - klijent prvobitno sadrži javni ključ CA-a (koji je predefinisan u okviru softvera Supplicant na klijentu); | + | - Klijent šalje svoje kredencijale u odgovoru na prethodu poruku, ali ne šalje svoj pravi identitet, jer je veza sa AP još nezaštićena, tj. na njoj se ne koristi nikakva enkripcija za zaštitu podataka. Klijent šalje samo svoj tzv. spoljni (//outer//) identitet koji je obično u formi //autonomous@ream//. Dakle, ne šalje svoje pravo korisničko ime. |
| - | - klijent dekriptuje digitalni potpis sertifikata javnim ključem CA-a i dobija hash sertifikata; | + | - AP preuzima klijentovu EAP poruku, enkapsulira je u RADIUS protokol i prosleđuje RADIUS serveru za autentifikaciju. |
| - | - serverov sertifikat se zatim ubacuje u hash funkciju koja je navedena u sertifikatu i izlaz iz funkcije se upoređuje sa hash-om dobijenim dekriptovanjem digitalnog potpisa u okviru serverskog sertifikata; | + | - Server vraća poruku u kojoj od klijenta zahteva informaciju o identitetu i lozinku, i u njoj svoj sertifikat, koji sadrži javni ključ servera i //hash// samog sertifikata kriptovan javnim ključem tela koje je izdalo sertifikat (CA – //Certification Authority//). |
| - | - ako su ta dva hash-a jednaka, klijent može da veruje serveru i da koristi njegov javni kluč da kriptuje svoje kredencijale; \\ \\ ako je ishod prethodnog postupka pozitivan, klijent kriptuje svoje kredencijale (identitet i lozinku) koristeći javni kluč servera, na taj način praveći tunel između njega i servera. | + | - AP dekapsulira EAP poruku RADIUS servera, a zatim je enkapsulira u 802.11 protokol i posleđuje ka klijentu. |
| + | - Klijent proverava identitet servera na sledeći način: | ||
| + | - uz predpostavku da klijent poseduje javni ključ CA-a (predefinisan u okviru //Supplicant// softvera instaliranog na klijentu), klijent dekriptuje digitalni potpis sertifikata javnim ključem CA-a i dobija //hash// sertifikata; | ||
| + | - sertfikat servera se zatim ubacuje u //hash// funkciju koja je navedena u sertifikatu, a rezultat se upoređuje sa //hash//-om dobijenim dekriptovanjem digitalnog potpisa iz njegovog serverskog sertifikata. Ako su ta dva //hash//-a jednaka, klijent može da veruje serveru i da njegovim javnim ključem kriptuje svoje kredencijale; | ||
| + | - ako je ishod prethodnog postupka pozitivan, klijent vrši kriptovanje svojih kredencijala (identiteta i lozinke) koristeći javni ključ servera, na taj način praveći tunel između njega i servera. | ||
| + | - Server dekriptuje poruku svojim privatnim ključem i proverava kredencijale korisnika u bazi podataka. Ako je autentifikacija uspešna, server šalje Access accept poruku ka klijentu. | ||
| + | - AP prosleđuje poruku klijentu o uspešnoj autentifikaciji, čime je proces završen. | ||
| - | * Server dekriptuje poruku svojim privatnim ključem i proverava kredencijale korisnika u bazi podataka. | ||
| - | * Ako je autentifikacija uspešna, server šalje Access accept poruku ka klijentu. | ||
| - | * AP prosleđuje poruku o uspešnoj autentifikaciji ka klijentu i proces je završen. | ||
