Bezprzewodowo i bezpiecznie

Wykorzystanie ustawień konfiguracyjnych klienta 802.1X może zapewnić bezpieczną komunikację bezprzewodową w urządzeniach mobilnych działających pod kontrolą systemów iOS i Android.

Warto omówić jak wygląda konfiguracja mechanizmów 802.1X w urządzeniach Android i Apple, nie tylko z wykorzystaniem nazwy użytkownika i hasła, ale także certyfikatów. Gdy do bezpiecznej sieci firmowej przyłączane są urządzenia Android, użytkownicy często pytani są o parametry, które nie do końca są zrozumiałe. Gdy łączymy urządzenia obsługiwane przez system iOS – iPad, iPhone, iPod – jest łatwiej, użytkownicy przeważnie są pytani wyłącznie o nazwę użytkownika i hasło. Nie muszą edytować zaawansowanych ustawień 802.1X w urządzeniu.

W przypadku certyfikatów możemy realizować uwierzytelnianie 802.1X dwoma sposobami. Pierwszy wykorzystuje certyfikat do weryfikacji tożsamości serwera uwierzytelniającego. Uwierzytelniania użytkownika realizowane jest tu w drugim etapie z wykorzystaniem nazwy użytkownika i hasła. Drugi sposób wykorzystuje certyfikat do weryfikacji tożsamości serwera uwierzytelniającego oraz certyfikat użytkownika do weryfikacji użytkownika.

Zobacz również:

Konfiguracja ustawień 802.1X w systemie Android

Gdy użytkownik systemu Android przyłącza się po raz pierwszy do firmowej i zabezpieczonej sieci Wi-Fi poprzez protokół 802.1X, zobaczy okno dialogowe z informacjami o ustawieniach uwierzytelniania. Ustawienia mogą wydawać się trudne do zrozumienia dla wielu użytkowników, ale zazwyczaj wymagane są dwa pola: „Identity (username)” oraz „Password”.

Jeżeli nie jest wybrana poprawna metoda EAP, koniecznie należy wskazać metodę wykorzystywaną przez serwer uwierzytelniający (PEAP, TLS, TTLS, FAST, LEAP). Następnie dla większości metod EAP, istnieje możliwość określenia certyfikatu, który powinien zostać zainstalowany. Dla metody TLS możemy także określić certyfikat użytkownika, który powinien zostać zainstalowany.

Konfiguracja 802.1X w Android – parametry

Uwierzytelnianie Faza 2 (Phase 2 Authentication) - określa zewnętrzną metodę uwierzytelniania, przykładowo MS-CHAPv2. Należy wybrać metodę wspieraną przez serwer uwierzytelniający. Jeżeli nie jesteśmy pewni, warto spróbować wybrać wartość „None”.

Tożsamość (Identity) – wskazujemy nazwę użytkownika, która może zawierać nazwę domeny, przykładowo adam@idg.com.pl, w zależności od poszczególnych sieci.

Anonimowa tożsamość (Anonymous Identity) – domyślnie użytkownik (Identity) jest wysyłany dwukrotnie do serwera uwierzytelniającego. Pierwszy raz, wysyłka nie jest szyfrowana i określana jest nazwą zewnętrznej tożsamości (Anonymous Identity). Za drugim razem, tożsamość jest wysyłana wewnątrz szyfrowanego tunelu, co określane jest nazwą wewnętrznej tożsamości. W większości przypadków niewykorzystywana jest wewnętrzna tożsamość w pierwszym i nieszyfrowanym przekazaniu tożsamości, co zapobiega podsłuchaniu i przechwyceniu danych uwierzytelniających. Istnieje możliwość, że serwer uwierzytelniający będzie wymagał przekazania poprawnej nazwy domeny. Rekomendowane jest wykorzystanie losowej nazwy użytkownika, takiej jak „anonymous” lub „anonymous@domain.com” , jeżeli wymagane jest podanie nazwy domeny.

Wprowadzenie hasła (Enter password) – miejsce w który wprowadzane jest hasło powiązane z nazwą użytkownika.

Zawsze istnieje możliwość edycji omówionych ustawień w przyszłości. Wystarczy wskazać nazwę sieci oraz wybrać opcję „Modify network config”.

Instalacja certyfikatów w Android

Jeżeli w sieci wykorzystywany jest model uwierzytelniania bazujący na certyfikatach - przykładowo TLS - pierwszą czynnością jaką należy podjąć jest instalacja cyfrowego certyfikatu serwera i/lub użytkownika. Warto wiedzieć jak zainstalować certyfikat w urządzeniach Android, nawet jeżeli nie jest wykorzystywana konfiguracja uwierzytelniania bazująca na certyfikatach. Dla większości metod uwierzytelniania, można opcjonalnie zainstalować certyfikat z Certificate Authority, który wykorzystywany jest do weryfikacji serwera uwierzytelniającego. Podobnie jak w systemie Windows, komunikacja zabezpieczona certyfikatami zapobiega atakom MITM (Man In The Middle). Cyfrowe certyfikaty to niewielkie pliki z rozszerzeniami przykładowo .p12, .pfx, .crt.


TOP 200