Kontrola dostępu

Kontrolę dostępu do zasobów na poziomie warstwy trzeciej zapewniają przykładowo w wypadku rozwiązań Cisco - SSG (Service Selection Gateway) wraz z SESM (Subscriber Edge Service Manager).

Dostęp do zasobów sieci jest przydzielany użytkownikom na podstawie loginu i hasła, baza danych użytkowników znajduje się na serwerze uwierzytelniającym RADIUS (Remote Dial-In User Server) u operatora. Użytkownik, który się nie zalogował, może skorzystać z tzw. usług Open Garden, wszelkie inne żądania np. połączenia z Internetem, czy też inne płatne usługi Walled Garden są blokowane, a użytkownik przełączany jest na specjalną stronę, na której musi wpisać login i hasło.

Funkcję loginu i hasła może pełnić informacja otrzymana na karcie-zdrapce, którą użytkownik wykupi np. na lotnisku, odpowiedź na SMS, którym abonent może opłacić usługę lub zwykła karta SIM od operatora GSM, której wykorzystanie zostało opisane w dalszej części artykułu.

Zabezpieczenia sieci

Zastosowanie sieci bezprzewodowych wymaga wyeliminowania podstawowych problemów bezpieczeństwa tego typu połączeń: możliwości łatwego podsłuchania połączenia oraz nieautoryzowanego korzystania z punktu dostępowego. Publiczne sieci bezprzewodowe powinny być jednak dostępne dla wszystkich chętnych znajdujących się w ich zasięgu.

Dlatego w publicznych sieciach WLAN, w których nie jest stosowany standard 802.1x i protokół EAP (Extensible Authentication Protocol), nie jest również najczęściej możliwe szyfrowanie za pomocą WEP (Wired Equivalent Privacy). Jak wiadomo, standard WEP wymaga uzgodnienia klucza szyfrującego pomiędzy kartą klienta a punktem dostępowym, niemożliwego w wypadku użytkowników mobilnych, jeśli nie jest wykorzystywane dynamiczne ustalanie klucza szyfrującego. Ręczna konfiguracja ustawień karty bezprzewodowej przez użytkowników tak, aby współpracowały z punktem dostępowym, nie jest praktykowana - przecież nie każdy, kto chce mieć dostęp do sieci, musi znać sposób jej konfigurowania.

Modelowym rozwiązaniem jest zastosowanie standardu 802.1x i protokołu EAP, co pozwala na ustalenie kluczy WEP i ich częste zmiany podczas sesji bez udziału użytkownika.

Problematyczne jest jednak na razie wykorzystanie protokołu EAP w popularnych systemach operacyjnych. Jest on standardowo obsługiwany tylko przez Windows XP, pod koniec ubiegłego roku został opracowany klient do Windows 2000 z SP3 (Service Pack 3). W późniejszym czasie zostanie zaimplementowany w pozostałych wersjach systemu: 98, Me, NT i CE. Testowane są również otwarte rozwiązania przeznaczone do Linuksa. Zupełnie inaczej jest z protokołem LEAP (Lightweight and Efficient Application Protocol), implementowanym w sterownikach do sprzętu Cisco przeznaczonych do różnych systemów.

Wysoki poziom zabezpieczenia transmisji jest zapewniany również poprzez połączenia VPN. Niedawno wprowadzony system oznaczania hot spotów certyfikatem Wi-Fi Zone (na wzór certyfikatu Wi-Fi) wymusza na operatorach hot spotów, którzy chcą posługiwać się tym znakiem, zapewnienie usługi VPN z minimalną szybkością transmisji na poziomie 128 kb/s. W sieciach z takim emblematem muszą być także używane urządzenia zgodne z Wi-Fi.

EAP-SIM

Z uwagi na duże rozpowszechnienie kart SIM, których wydano na świecie ponad 720 milionów, i duże zainteresowanie technologią PWLAN przez operatorów GSM, postanowiono wykorzystać karty z telefonów komórkowych jako doskonałe narzędzie do uwierzytelniania i autoryzacji również w wypadku hot spotów. W sieciach telefonii komórkowej po podaniu PIN-u następuje uwierzytelnienie i autoryzacja dostępu do sieci, również sama sieć przedstawia się użytkownikowi.

Na podobnej zasadzie działa uwierzytelnienie klienta wykorzystującego publiczną sieć WLAN i kartę SIM. W tym wypadku standard 802.1x z protokołem EAP otrzymuje narzędzie uwierzytelniające w postaci karty SIM. Pełni ona taką samą funkcję, jak inne mechanizmy uwierzytelniania wykorzystywane przez EAP, np. TLS (Transport Layer Security) czy PEAP (Protected EAP Protocol). Karta SIM zapewnia również autoryzację użytkownika chcącego skorzystać z określonych usług.