V operačním systému ANDROID 9.x jsou k dispozici tyto následující autentizační metody.
PEAP
Nejrozšířenější autentizační metodou v podnikových WiFi sítích je metoda PEAP (Protected EAP). PEAP vynucuje nasazení serverového certifikátu (slouží klientům k ověření identity autentizačního serveru). Je nutné dbát na důslednou konfiguraci klientů. Každý klient musí mít povinně nařízenou kontrolu serverového certifikátu. Pokud klient kontrolu neprovádí serverového certifikátu, může být náchylný na útok (např. útočník v dosahu klienta zprovozní síť se stejným SSID a vlastním autentizačním serverem - po připojení klienta k této podvrhnuté síti pak hrozí kompromitace uživatelských údajů - tento útok je označován jako AP impersonalizace).
EAP-TLS
EAP-Transport Layer Security (EAP-TLS), definovaný v RFC 5216.
Nepoužívá se moc často, přesto se jedná o nejbezpečnější autentizační metodu.
Autentizační metoda EAP-TLS vynucuje použití klientských certifikátů. Je zajišťuje vysoká úroveň zabezpečení. Klientský certifikát může být nainstalován přímo v operačním systému klienta nebo může být z důvodu vyššího zabezpečení uložen na čipové kartě. Proti této metodě nejsou známé žádné útoky spočívající v odposlechu komunikace či AP impersonalizace. Jedinou možností kompromitace uživatelského účtu je získání klientského certifikátu.
EAP-Tunneled Transport Layer Security (EAP-TTLS) je to rozšíření TLS.
EAP-TTLS nabízí velmi dobré zabezpečení. Klient si může zaregistrovat svůj privátní klíč u certifikační autority. Zjednoduší se pak nastavovací proceduru (certifikát se nemusí instalovat pro každého klienta). Poté co je server pro klienta bezpečně ověřen certifikační autoritou (CA), případně i klient je ověřen certifikátem u serveru, vytvoří se zabezpečené připojení ("tunel") pro autentizaci klienta. A následně se provádí autentizace pomocí ověřovacího protokolu. Přenos pak probíhá přes zabezpečený tunel (všechny údaje jsou zašifrované). To zabrání odposlouchávacím a man-in-the-middle útokům.
EAP-TTLS nabízí velmi dobré zabezpečení. Klient si může zaregistrovat svůj privátní klíč u certifikační autority. Zjednoduší se pak nastavovací proceduru (certifikát se nemusí instalovat pro každého klienta). Poté co je server pro klienta bezpečně ověřen certifikační autoritou (CA), případně i klient je ověřen certifikátem u serveru, vytvoří se zabezpečené připojení ("tunel") pro autentizaci klienta. A následně se provádí autentizace pomocí ověřovacího protokolu. Přenos pak probíhá přes zabezpečený tunel (všechny údaje jsou zašifrované). To zabrání odposlouchávacím a man-in-the-middle útokům.
PWD (EAP-PSK)
EAP-PSK, definováno v RFC 4764, je metoda pro vzájemnou autentizaci relace s použitím Pre-Shared Key (PSK). Pokud je autentizace úspěšná, zprostředkuje zabezpečený komunikační kanál. Tato metoda je určená pro autentizaci přes nezabezpečené sítě jako IEEE 802.11
EAP-PSK, definováno v RFC 4764, je metoda pro vzájemnou autentizaci relace s použitím Pre-Shared Key (PSK). Pokud je autentizace úspěšná, zprostředkuje zabezpečený komunikační kanál. Tato metoda je určená pro autentizaci přes nezabezpečené sítě jako IEEE 802.11
EAP-SIM
EAP pro GSM Subscriber Identity slouží k ověřování a distribuci klíče v Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM). EAP-SIM je definovaný v RFC 4186.
AKA
EAP for UMTS Authentication and Key Agreement slouží k ověřování a distribuci klíče v Universal Mobile Telecommunications System (UMTS) Universal Subscriber Identity Module (USIM). EAP-AKA je definovaný v RFC 4187.
AKA`
Rozšíření AKA.
Žádné komentáře:
Okomentovat