HOT SPOTS czyli publiczne sieci WLAN
- Paweł Szczepaniak,
- 01.03.2003
Kontrola dostępu
Kontrolę dostępu do zasobów na poziomie warstwy trzeciej zapewniają przykładowo w wypadku rozwiązań Cisco - SSG (Service Selection Gateway) wraz z SESM (Subscriber Edge Service Manager).
Dostęp do zasobów sieci jest przydzielany użytkownikom na podstawie loginu i hasła, baza danych użytkowników znajduje się na serwerze uwierzytelniającym RADIUS (Remote Dial-In User Server) u operatora. Użytkownik, który się nie zalogował, może skorzystać z tzw. usług Open Garden, wszelkie inne żądania np. połączenia z Internetem, czy też inne płatne usługi Walled Garden są blokowane, a użytkownik przełączany jest na specjalną stronę, na której musi wpisać login i hasło.
Funkcję loginu i hasła może pełnić informacja otrzymana na karcie-zdrapce, którą użytkownik wykupi np. na lotnisku, odpowiedź na SMS, którym abonent może opłacić usługę lub zwykła karta SIM od operatora GSM, której wykorzystanie zostało opisane w dalszej części artykułu.
Zabezpieczenia sieci
Wdrożenie na lotnisku
Dlatego w publicznych sieciach WLAN, w których nie jest stosowany standard 802.1x i protokół EAP (Extensible Authentication Protocol), nie jest również najczęściej możliwe szyfrowanie za pomocą WEP (Wired Equivalent Privacy). Jak wiadomo, standard WEP wymaga uzgodnienia klucza szyfrującego pomiędzy kartą klienta a punktem dostępowym, niemożliwego w wypadku użytkowników mobilnych, jeśli nie jest wykorzystywane dynamiczne ustalanie klucza szyfrującego. Ręczna konfiguracja ustawień karty bezprzewodowej przez użytkowników tak, aby współpracowały z punktem dostępowym, nie jest praktykowana - przecież nie każdy, kto chce mieć dostęp do sieci, musi znać sposób jej konfigurowania.
Modelowym rozwiązaniem jest zastosowanie standardu 802.1x i protokołu EAP, co pozwala na ustalenie kluczy WEP i ich częste zmiany podczas sesji bez udziału użytkownika.
Problematyczne jest jednak na razie wykorzystanie protokołu EAP w popularnych systemach operacyjnych. Jest on standardowo obsługiwany tylko przez Windows XP, pod koniec ubiegłego roku został opracowany klient do Windows 2000 z SP3 (Service Pack 3). W późniejszym czasie zostanie zaimplementowany w pozostałych wersjach systemu: 98, Me, NT i CE. Testowane są również otwarte rozwiązania przeznaczone do Linuksa. Zupełnie inaczej jest z protokołem LEAP (Lightweight and Efficient Application Protocol), implementowanym w sterownikach do sprzętu Cisco przeznaczonych do różnych systemów.
Wysoki poziom zabezpieczenia transmisji jest zapewniany również poprzez połączenia VPN. Niedawno wprowadzony system oznaczania hot spotów certyfikatem Wi-Fi Zone (na wzór certyfikatu Wi-Fi) wymusza na operatorach hot spotów, którzy chcą posługiwać się tym znakiem, zapewnienie usługi VPN z minimalną szybkością transmisji na poziomie 128 kb/s. W sieciach z takim emblematem muszą być także używane urządzenia zgodne z Wi-Fi.
EAP-SIM
Wykorzystywane w hot spots punkty dostępowe <b>Cisco Aironet 1200</b> są przygotowane do równoległej pracy w standardzie 802.11a (5 GHz). Pozwalają również na wymianę karty radiowej standardu b na opracowywany właśnie standard g, pracujący w częstotliwości 2,4 GHz.
Na podobnej zasadzie działa uwierzytelnienie klienta wykorzystującego publiczną sieć WLAN i kartę SIM. W tym wypadku standard 802.1x z protokołem EAP otrzymuje narzędzie uwierzytelniające w postaci karty SIM. Pełni ona taką samą funkcję, jak inne mechanizmy uwierzytelniania wykorzystywane przez EAP, np. TLS (Transport Layer Security) czy PEAP (Protected EAP Protocol). Karta SIM zapewnia również autoryzację użytkownika chcącego skorzystać z określonych usług.