Počítačové sítě II, lekce 6: sítě WLAN II

 
 Jií Peterka 
 
 
Poítaové sít II 
verze 4.0, lekce 6, slide 2  Wi-Fi, certifikace • WLAN (Wireless LAN) je obecné oznaení pro všechny bezdrátové sít LAN 
 – dnes nejrozšíenjší jsou takové sít, které vychází ze standard IEEE 802.11 
• ale existují i jiné bezdrátové sít LAN, nap. HiperLAN, HomeRF ……. 
• Wi-Fi (od: Wireless Fidelity) je „nálepka“, vyjadující získání certifikace o: 
 – dodrení standard IEEE 802.11 
• „nálepku“ Wi-Fi udluje sdruení Wi-Fi Alliance
• díve: sdruení WECA (Wireless Ethernet Compatibility Alliance)
 – udluje ji konkrétním produktm od konkrétních výrobc 
• poté, co tyto produkty úspšn projdou testováním v nezávislých odborných laboratoích 
 – které Wi-Fi Alliance autorizuje (a které testují podle její metodiky a kritérií) 
• výsledky testování lze nalézt v databázi Wi-Fi Alliance (http://www.wi-fi.org/product-finder)
 – certifikuje se vi rzným profilm (programm), které se týkají dílích standard 
 – a tím i konkrétních schopností, funkcí, vlastností atd. 
• nap. podpory standard 802.11b/g/n/ac, WPA, WPA2 atd.
 
právo nosit „nálepku Wi-Fi“ !!! 
 
daný produkt certifikován 
Poítaové sít II 
verze 4.0, lekce 6, slide 4  systémová architektura 802.11  • má následující prvky:
 – (koncové) stanice: STA
 – pístupový bod: AP (Access Point)
• uzly, vystupující v roli pístupových bod 
 – buka: BSS (Basic Services Set)
• základní jednotka infrastruktury 
• v reimu infrastruktury má 1 pístupový bod (AP) a nkolik
stanic (STA)
 – distribuní systém: DS (Distribution System)
• zajišuje vzájemné propojení dvou i více bunk (BSS) 
 – sí: ESS (Extended Services Set)
• nkolik bunk (BSS), propojených mezi sebou pomocí
distribuního systému (DS) 
 – portál 
BSS
Poítaové sít II 
verze 4.0, lekce 6, slide 5  BSS, Basic Services Set (buka)  • jde o základní prvek infrastruktury sítí dle standardu IEEE 802.11 
 – odpovídá segmentu u „drátových“ sítí
• pesnji: kolizní domén v Ethernetu – všechny uzly v BSS spolen sdílí dostupnou kapacitu!! 
• je podobná buce v mobilních sítích 
 – funguje v reimu infrastruktury 
více stanic (STA) 
postavení
AP, které se dotazuje jednotlivých stanic
• stanice v BSS spolu nekomunikují pímo,
ale jen pes AP !!!
nco poslat jiné stanici (STA2) ve stejné
BSS, pošle to nejprve pístupovému
bodu (AP), a ten to následn pedá
druhé stanici (STA2) 
komunikace (a to od/k pístupovému
bodu)
AP
Poítaové sít II 
verze 4.0, lekce 6, slide 6  ESS, Extended Services Set (sí)  • ESS je „vyšší“ prvek infrastruktury sítí dle standardu IEEE 802.11 
 – odpovídá síti (u „drátových“ sítí)
• celku, propojenému na úrovni linkové vrstvy (L2) 
• má vlastní identifikátor: SSID (32-znakový etzec) 
 – všechny stanice (STA) v ESS jsou „jakoby: na jedné hromad“
• mohou si myslet, e patí „do stejného oblaku“ a mají pímé (L2) spojení mezi sebou 
 – obdobn, jako uzly „drátových“ sítí
 – ve skutenosti je to ale jinak: 
• jednotlivé stanice (STA) patí do konkrétních bunk (BSS) 
 – kadá stanice me „patit“ jen do jedné buky (BSS) 
• v kadé buce je jeden pístupový bod (AP) 
 – a kadá stanice v BSS komunikuje jen s tímto pístupovým bodem 
• jednotlivé BSS jsou vzájemn propojeny (do výsledného ESS)
prostednictvím  distribuního  systému (DS) 
 
Poítaové sít II 
verze 4.0, lekce 6, slide 7  identifikátory  • SSID (32 znak) je „jméno sít“ 
• nkdy oznaováno té jako ESSID
 – identifikátor ESS 
 – pro všechny BSS v ESS 
 – tento identifikátor nastavuje správce
sít, podle svého uváení 
• identifikátor BSS 
• BSSID zobrazují jen specializované programy
 
• DS (distribuní systém) je nutný kvli tomu, aby bylo moné: 
 – napojit buku (BSS) na „okolí“ 
• aby buka nebyla zcela izolovaná od vnjšího svta
 – existují i izolované buky (bez napojení na okolí): IBSSS (Independent BSS), viz dále 
 – „spojit“ více bunk (BSS) do jedné sít (ESS) 
• a bylo moné vytváet iluzi, e všechny stanice v síti (ESS) jsou “jakoby na jedné hromad“ 
 – realizovat agendu, spojenou se strukturou sítí a píslušností jednotlivých stanic
(STA) do konkrétních bunk (BSS) 
• které buky tvoí sí? Které uzly jsou jejich pístupovými body? 
• kdy zde „nejsou dráty“, jak se pozná, do které buky patí konkrétní stanice?  
 – zajišovat penos dat v rámci bunk, mezi bukami i z/do sít 
• standardy IEEE nedefinují zpsob implementace DS !!!!  
 – ale definují sluby, které má DS zajišovat  !!!
• Station Services (SS)
• týkají se vazby mezi AP a STA v rámci buky 
 –  Authentication (autentizace)
 –  Deauthentication (de-autentizace)
 –  MAC Service Data Unit (MSDU) Delivery
• vlastní penos dat mezi STA a AP 
• Distribution System Services (DSS)
 –  Association (asociace STA k AP)
 –  Reassociation (další asociace …) 
 –  Disassociation (zrušení asociace) 
ESS
eduroam
Poítaové sít II 
verze 4.0, lekce 6, slide 9  DSS: Association, Deassociation • pro je nutná asociace (a de-asociace)?
 – u „drátových“ sítí o píslušnosti uzlu ke
konkrétnímu segmentu i síti rozhoduje jeho pipojení
(„vedení drátu“) 
 – mezi pístupovým bodem (AP) a stanicemi (STA)
nevedou ádné dráty …. 
stanicí (STA) a pístupovým bodem (AP) konkrétní
buky 
• stanice (STA) musí být v dosahu signálu pístupového
bodu (AP) konkrétní buky (BSS) 
 – dosah se oznauje jako BSA (Basic Set Area) 
1. stanice poádá pístupový bod o „lenství“ v BSS 
• STA pošle AP ádost o asociaci (DSS: Association)
2. pístupový bod ádosti o asociaci vyhoví
• AP pošle STA kladné vyrozumní o asociaci 
• obdobn probíhá i vyazení z buky 
• pomocí ádosti o zrušení asociace (DSS: Deassociation)
BSS
1
BSA
BSSBSA
2
• dsledek: 
 – distribuní systém (DS) si musí vést uritou formu evidence (databázi) toho, „kde se
která stanice nachází “ 
DSS: Reassociation • pipomenutí: 
• propojených pomocí distribuního systému (DS) 
 – stanice (STA) se asociuje vdy k „nejlepší“ buce
(BSS)
• otázka: 
• napíklad kdy se stanice (STA) pemístí a bude mít
lepší podmínky pro komunikaci s jiným
pístupovým bodem (AP) v jiné buce tée sít?
 – pak by mlo dojít ke zmn asociace 
• pomocí sluby DSS: Reassociation
ESS
eduroam
• kdy me pístupový bod (AP) vyhovt ádosti o asociaci? 
 – kdy ví, kdo (která stanice, STA) ho o asociaci ádá! 
• teprve pak se me rozhodovat  
 – zda novou stanici „pustí“ do své buky, i nikoli  
• proto je nutná autentizace 
• coby ovení identity té stanice, která se chce asociovat
• stanice (STA) musí být v dosahu signálu (BSA) pístupového bodu (AP) konkrétní buky (BSS) 
1. stanice pošle pístupovému bodu ádost o (svou) autentizaci (SS: Authentication)
• spolu s dalšími údaji, které osvdují identitu stanice 
 – nap. sdílený klí 
• pokud se mu podailo úspšn autentizovat stanici 
 – nebo odpoví záporn, pokud autentizace nebyla úspšná 
• pvodní standard 802.11 definoval 2 varianty autentizace 
• novjší standardy monosti autentizace rozšiují (MAC address, 802.1X, WPA, WPA2, viz dále)  
 – Open System Authentication
• a nic neposuzuje, na nic se neptá 
 – Shared Key Authentication
 – implementováno pomocí technologie
autentizuje se pouze stanice
vi AP, naopak nikoli !!  
verze 4.0, lekce 6, slide 12   SS: Delivery a Privacy
• další sluby ze skupiny SS (Station Services)
 – Delivery: penos dat mezi stanicí (STA)
a pístupovým bodem (AP) 
Unit)
rámc 
802.11
(802.3), ale nejsou totoné – viz dále 
• nap. obsahují a 4 MAC adresy (zatímco
rámce 802.3 obsahují jen 2 MAC adresy) 
 – Privacy: (volitelné) zajištní dvrnosti
 – obsahu MAC rámc (MSDU) 
technologii WEP (Wired Equivalent
• novjší standardy nabízí další,
Adr 1
verze 4.0, lekce 6, slide 13   DSS: Distribution • sluba Delivery
 – je souástí slueb SS (Station Services)
• protoe se týká penosu dat jen v rámci buky (BSS)
 – mezi stanicí (STA) a pístupovým bodem (AP) 
• nemusí ešit „kde se kdo nachází “ 
• sluba Distribution
• proto ji musí ešit, „kde se kdo nachází “ 
 – potebuje mít informace o tom, kde se nachází zdrojová i cílová stanice (STA) 
• a z toho si odvodit, pes které pístupové body (AP) musí data projít  
 – takovéto informaci má a udruje distribuní systém (DS) 
• získává je na základ asociací/deasociací/reasociací 
• k pístupovým bodm v jednotlivých bukách 
 
Poítaové sít II 
verze 4.0, lekce 6, slide 14   Jak je realizován distribuní systém? 
• pipomenutí: 
 – standardy IEEE 802.11 nedefinují, jak má být distribuní systém (DS) implementován 
• ale definují sluby, které má distribuní systém zajišovat  
 – funkce DSS: Association, Reassociation, Disassociation, Distribution, Integration
• v praxi (obvykle):
 – distribuní systém (DS) je realizován propojením pístupových bod (AP) pomocí
klasického „drátového“ Ethernetu (dle IEEE 802.3) 
• pedstava: pístupový bod má 2 rozhraní a „mezi nimi“ se chová jako pepína 
 – jedno rozhraní je bezdrátové (802.11), druhé je „drátové“ (802.3) 
• dsledek: pokud MAC rámec prochází skrz pístupový bod, je pekládán z/do „bezdrátového“
formátu (dle 802.11) a „drátového“ formátu (dle 802.3) 
 – zatímco vloený obsah (LLC rámec) zstává beze zmny 
 – sluby distribuního systému (DSS) zajišují jednotlivé pístupové body (AP) 
• ve vzájemné souinnosti 
 – mezi sluby distribuního systému (DSS, DS Services) patí sluba Delivery
• pro (bezdrátový) penos mezi stanicí a pístupovým bodem (v rámci buky) 
 – vyuívá MAC rámce 802.11 
• které se liší od rámc 802.11 
• dsledek: 
 – musí existovat další sluba distribuního systému (DSS): Integration
• umouje provázat (propojit) bezdrátové sít dle IEEE 802.11 s jinými sítmi 
 – hlavn se sítmi IEEE 802.3 („drátovým“ Ethernetem)
 – integrovat je do jednoho celku
• hlavní úkol sluby: pevod mezi MAC rámci 802.11 a jinými (obvykle MAC rámci 802.3) 
802.11 802.11 802.3
Poítaové sít II 
verze 4.0, lekce 6, slide 16   MAC rámce 802.11  • bezdrátové sít dle standardu IEEE 802.11 pouívají 3 druhy MAC rámc  
1. ídící MAC rámce (Control Frames), slouí potebám ízení pístupu 
• rámce pro zprávy RTS/CTS (ešení problému pedsunuté a skryté stanice) 
• rámce pro zprávy ACK (potvrzování pijatých datových rámc) 
2. MAC rámce pro správu (Management Frames)
• Beacon rámce ("maják")
 – vyuívá je pístupový bod (AP) k inzerování své pítomnosti a svých parametr 
• Probe, Probe Response
 – rámce pro zjišování pítomnosti a schopnosti uzl (stanic i pístupových bod) 
• Authentication, De-authentication
• Association Request/Response
• Re-association Request/Response
 – rámce pro ádost/odpov na asociaci stanice (STA) s pístupovým bodem (AP) v jiné
buce (BSS) tée sít (ESS) 
• Disassociation
 – rámec pro ádost o ukonení asociace stanice (STA) s AP
3. datové MAC rámce 
 – pro vlastní penos dat  
verze 4.0, lekce 6, slide 17   formát MAC rámc 802.11 
• Frame Control:
 – „hlavní ást“ hlaviky MAC rámce, obsahuje údaje o typu rámce 
• Type: zda jde o ídící rámec (00), rámec pro správu (01) nebo datový rámec (10) 
• Subtype: detailnjší rozlišení typu rámce pro jednotlivé kategorie 
 – 0000: Association Request (ádost o asociaci), 0001: Association Response (odpov) 
 – 0100: Probe Request („dotaz“, viz dále), 0101: Probe Response
 – 1000: Beacon („vysílání majáku“, viz dále) 
 – 1011: Authentication (ádost o autentizaci), 1100: Deauthentication
 – ……. 
 – 1011: zpráva RTS (Request to Send), 1100: zpráva CTS (Clear to Send)
 – 1101: zpráva ACK (potvrzení doruených dat) 
 – …….. 
 – ……. 
Type=00
Type=01
Type=10
verze 4.0, lekce 6, slide 18   formát MAC rámc 802.11 
• píznaky „To DS“ a „From DS“ 
 – týkají se toho, zda (datový) MAC rámec smuje z/do distribuního systému 
• a podle toho jsou nastaveny i MAC adresy v MAC rámci
 – musí rozlišit 3 adresy: STA, AP a uzlu v DS 
Type
2b 4b 1b 1b
verze 4.0, lekce 6, slide 19   formát MAC rámc 802.11 
• otázka (na fungování sluby Integration):
 – jak se pekládají MAC adresy pi pevodu „bezdrátového“ datového MAC rámce 802.11
na „drátový“ rámec 802.3?
2b 4b 1b 1b
verze 4.0, lekce 6, slide 20   bezdrátový distribuní systém  • odboení: 
 – k emu je v „bezdrátovém“ MAC rámci (rámci IEEE 802.11) 4. MAC adresa? 
• pro pípad pouití bezdrátového distribuního systému 
• WDS: Wireless Distribution System, nkdy té: Wireless Bridge, WDS Bridge, ….. 
 – jde o ešení pro bezdrátové propojení dvou drátových segment 
 – pístupový bod (AP) ale
Poítaové sít II 
verze 4.0, lekce 6, slide 21   odboení: reim ad-hoc • buka bezdrátové sít (BSS) nemusí fungovat jen dosud popisovaným
zpsobem
 – v reimu infrastruktury: s píst. bodem (AP) a napojením na distribuní systém (DS) 
• toto je obvyklé ešení – pro „plánované“ bezdrátové sít 
 – takové bezdrátové sít, které si nkdo dopedu vytvoí (nap. doma, v kancelái, škole, …),
a pak je opakovan pouívá 
• typicky: jejich pístupové body (AP) jsou umístny pevn (nepemisují se), a jsou propojeny mezi
sebou a napojeny na pevné (drátové) sít pomocí distribuních systém (DS) 
• alternativa:
 – buka (BSS) me fungovat v reimu ad-hoc, jako tzv. Independent BSS (IBSS)
• nemá ádný pístupový bod 
• a komunikují mezi sebou pímo 
 – buka je izolovaná od okolního svta
• není napojena na ádný distribuní systém 
• proto pro všechny MAC rámce platí: 
 – typické vyuití: 
• nap. penos soubor mezi tablety, tisk na tiskárn apod.
IBSS
0 0
Poítaové sít II 
verze 4.0, lekce 6, slide 22    ídící rámce a rámce pro správu 
• tyto MAC rámce (dle 802.11) „nepechází“ do distribuního systému (DS) 
 – penáší se jen mezi stanicemi (STA) a pístupovými body (AP) 
• pípadn jen mezi stanicemi (STA) v rámci bunk, fungujících v reimu ad-hod (IBSSS)
 – proto pro tyto rámce musí být nastaveno 
• ídící rámce slouí potebám ízení pístupu 
 – pro zprávy RTS/CTS, pro potvrzen ACK atd. 
• rámce pro správu zajišují „agendu fungování buky“ 
 – ve smyslu „domluvy“ mezi stanicemi (STA) a pístupovými body (AP) 
• mj. pro poteby autentizace (deautentizace), asociace (reasociace, de-asociace) atd.
 – ale také v podob: 
Probe Request, a vyzývá tím pístupové
body (i jiné stanice) k urité reakci
• testuje jejich existenci a dostupnost
 – ostatní uzly na tyto rámce odpovídají 
• existují „odpovdní“ rámce: Probe
bod, aby inzeroval svou existenci a své
parametry
a o dostupných monostech penosu 
 – na tento druh rámc se neodpovídá 
• neexistuje rámec pro odpov 
 
 
• otázka: 
 – jak se konkrétní stanice (STA) dozví o tom, které sít a buky jsou v jejím dosahu? 
• vetn jejich parametr: jmen sítí a bunk, podporovaných rychlostí, zpsob zabezpeení …. 
• monosti: 
Probe Request ) na konkrétních kanálech
 – musí to být frekvenní kanály, které je
moné (povolené) vyuívat
• viz licenní/bezlicenní pásma
aby se ozvaly (formou rámc Probe Response)
 – v odpovdi pístupové body (AP) sdlují
poadované informace o sob 
zvoleném kanále 
kanály 
Beacon, z nich se dozví vše potebné 
• k emu (a jak) stanice vyuívá informace získané skenováním? 
 – pro výbr sít (ESS) a pecházení mezi sítmi („roaming“) 
• toto není souástí (základních) standard IEEE 802.11 !!!! 
 – eší to uivatel, nebo aplikaní SW na jeho stanici 
 
 
Poítaové sít II 
verze 4.0, lekce 6, slide 24   postup pihlašování k síti  • jak se stanice (STA) dozví, ke kterému pístupovému bodu (AP) se má,
resp. me asociovat? 
 – provede pasivní nebo aktivní skenování 
 – aktivn: pomocí rámc Probe Request , pasivn ekáním na Beacon i Probe Response
• dozví se o existenci sítí (získá jejich SSID) i jednotlivých pístupových bod 
 – i „sílu“ jejich signálu, poadavky na zabezpeení, i další parametry ….  
 – svému uivateli me sestavit seznam dostupných sítí 
• i s píslušnými parametry 
• volbu sít provede uivatel 
 – „run“ vybere sí 
 – pokud je v takto zvolené sítí více pístupových bod (AP), stanice mezi nimi sama
vybere ten, který je (podle ní) nejlépe dostupný 
• k takto zvolenému pístupovému bodu se stanice nejprve autentizuje („802.11 autentizace“) 
 – stanice (STA) vyšle k pístupovému bodu MAC rámec Authentication
• identitou stanice je její MAC adresa (48-bitová Ethernet adresa) 
• autentizaním údajem bu není nic (Open System Authentication), nebo WEP klí 
 – pístupový bod odpoví, opt pomocí MAC rámce Authentication
• následn se stanice k pístupovému bodu asociuje 
 – stanice pošle Association Request , pístupový bod odpoví pomocí Association Response
Authentication
Authentication
Poítaové sít II 
verze 4.0, lekce 6, slide 25   zabezpeení sítí dle 802.11  • dosud popisované zabezpeení 
 – vychází ze standard IEEE 802.11 z roku 1999 (IEEE 802.11-1999), zahrnuje
1. autentizaci: jde o autentizaci stanice (nikoli uivatele), eší se sdílením WEP klíe 
2. dvrnost (šifrování) dat: eší se pomocí algoritmu WEP (Wired Equivalent Privacy)
• WEP pouívá šifru RC4 a pvodn pracoval s klíi o velikosti 64 bit  
 – 40 bit základu klíe (proto: WEP-40), 24 bit inicializaní vektor 
• bylo to dáno hlavn exportním omezením šifrovacích technologií ze strany USA 
• 40-bitové základy pro 64-bitové WEP klíe se zadávaly jako posloupnost 10 hexadecimálních
ísel (0-9,A-F), tj. 10x4 bity, nebo jako 5 ASCII znak (5x8 bit) 
• pozdji (bez exportních omezení) se pouíval WEP s klíem 128 bit 
 – 104 bit základu klíe (WEP-104), 24 bit inicializaní vektor 
• 104-bit základu se zadávalo jako 26 hexadecimálních ísel 
• toto zabezpeení se velmi brzy ukázalo jako píliš slabé!!! 
 – WEP-u lze zadat a 4 rzné klíe, ale pepínat mezi nimi musí sám uivatel
• WEP jinak pracuje stále se stejným klíem 
 – co významn usnaduje prolomení WEP-u
• pi dostaten dlouhém odposlechu
 
verze 4.0, lekce 6, slide 26   IEEE 802.11i
• v roce 2004 byl pijat standard IEEE 802.11i (týkající se bezpenosti)  
 – jako doplnk pvodního standardu IEE 802.11 (z roku 1999), který:
• mní tu ást pvodního standardu, která definovala oblasti autentizace a dvrnosti
(privacy)
 – hlavn: slabý a zranitelný WEP nahrazuje silnjšími metodami
• a umouje autentizovat i konkrétní uivatele (a ne pouze stanice jako takové) 
• konkrétn: 
bit a šifruje bloky o velikosti 128 bit 
• „master key“, ze kterého CCMP odvozuje
šifrovací klíe, má 256 bit
 – zajišuje: 
• nov jiné 2 monosti: 
umouje autentizovat konkrétní
sdíleného klíe
verze 4.0, lekce 6, slide 27   WPA (Wi-Fi Protected Access)
• jde o (doasné) ešení, které vytvoila Wi-Fi Alliance v roce 2003
 – není to standard IEEE 802.11
 – vychází z pracovní verze standardu IEEE 802.11i (ten byl dokonen a v roce 2004) 
• „WPA vzniklo z nedokavosti –  práce na standardu nepokraovaly dostaten rychle, a Wi-Fi
 Alliance se nemohla dokat …. proto vydala nehotové ešení …. jako WPA ….. „ 
• hlavní odlišnosti (oproti finální verzi standardu 802.11i): 
 – místo protokolu CCMP pouívá protokol
TKIP
doasné šifrovací klíe, a rychle je stídá 
• aby se ztíila monost odposlechu klíe,
a tím monost prolomení šifrování 
 – pro zajištní integrity penášených
zpráv (rámc) pouívá algoritmus
• dnes je WPA pekonané 
slabý a zranitelný
 – pesto je WPA dodnes implementováno ve vtšin
Wi-Fi zaízení 
Poítaové sít II 
verze 4.0, lekce 6, slide 28   WPA 2 (Wi-Fi Protected Access 2) • WPA2 je „finálním“ ešením (z roku 2006) 
 – opírá se o (finální verzi) standardu IEEE 802.11i
• formáln: nejde o standard, ale o celý „bezpenostní rámec“ 
• a také o trademark: obchodní znaku/chránnou známku 
 – stejn jako u WPA: od Wi-Fi Alliance
• konkrétní zaízení jsou certifikována na podporu WPA i WPA2 
• hlavní rozdíl (oproti WPA): 
 – protokol TKIP byl nahrazen „bytelnjším“ protokolem CCMP 
• tak, jak to poaduje (finální verze standardu 802.11i) protokol CCMP zajišuje: 
 – protokol CCMP zajišuje 
• šifrování penášených dat, a tím jejich dvrnost (u WPA toto zajišoval protokol TKIP) 
• ochranu penášených dat proti zmn, resp. zajištní integrity (toto u WPA dlal Michael MIC) 
• existuje i tzv. smíšený reim (WPA/WPA2 mixed mode)
 – týká se pístupových bod (AP) 
• umouje, aby v jedné buce (BSS) koexistovaly stanice fungující dle WPA i stanice WPA2 
 – princip fungování smíšeného reimu: 
• pístupový bod „inzeruje“ (ve svých beacon rámcích), jaké šifrování podporuje 
 – TKIP, CCMP i jiné 
 
 
verze 4.0, lekce 6, slide 29   autentizace dle IEEE 802.11i
• pvodní standard (IEEE 802.11-1999):
• autentizovala se pouze stanice
 – identifikovala se pomocí své MAC adresy, autentizovala nijak / pomocí sdíleného WEP klíe 
• všechny stanice se autentizovaly stejn (pomocí stejných WEP klí) 
• nedal se brát zetel na to, kdo je uivatelem stanice 
• WEP byl píliš slabý a zranitelný (navíc se pouíval souasn i pro šifrování) 
• ani samotný postup autentizace (penos autent . údaj, komunikace obou stran) nebyl ideální 
• nový standard (IEEE 802.11i-2004) mní celou koncepci autentizace 
 – zavádí dva rzné reimy autentizace 
• WPA(2) Enterprise (pro firmy, …) 
• uivatel poskytne pístupovému bodu
(AP) své autentizaní údaje,
identitu stanice u autentizaního
• vhodné pro domácnosti, …. 
pístupovému bodu (AP) prokazují
znalostí stejného (pedem na-)
Poítaové sít II 
verze 4.0, lekce 6, slide 30   IEEE 802.1x • jde o samostatný standard od IEEE (pracovní skupiny 802.1)  
 – umouje autentizaci zaízení, která se chtjí „pihlásit“ do (drátových) sítí LAN, i
do (bezdrátových) sítí WLAN 
• dokáe brát ohled na konkrétní uivatele 
 – pouité identifikaní a autentizaní údaje mohou patit uivateli (a ne stanici jako takové) 
• dokáe soustedit (lokalizovat) „rozhodování“ do jednoho místa 
 – posuzování a hodnocení identifikaních a autentizaních údaj (tzv. credentials) zajišuje
jeden spolený server 
 – je nezávislý na konkrétních zpsobech a metodách identifikace a autentizace 
• neíká, jaké konkrétní údaje mají slouit pro identifikaci a autentizaci (ani koho …..)  
 – ani jak mají být vyhodnocovány a posuzovány 
 – terminologie:
• suplikant : „ten, kdo ádá o pístup / pihlašuje se“ (stanice, resp. SW bící na stanici)
• autentizátor: „ten, kdo pidluje pístup ….“ (pístupový uzel / AP) 
• autentizaní server: „ten, kdo o pístupu rozhoduje“ (spolený autentizaní server) 
Q
A
suplikant
autentizátor 
verze 4.0, lekce 6, slide 31   EAP (Extensible Authentication Protocol)
• standard IEEE 802.1x pedpokládá, e: 
 – existuje mechanismus (protokol) pro vzájemnou komunikaci mezi všemi 3 prvky 
• mezi suplikantem, autentizátorem a autentizaním serverem 
 – aby si mohli vzájemn pedávat poadované údaje, ádosti i odpovdi 
• takovým protokolem je protokol EAP (Extensible Authentication Protocol)
 – píklad dialogu: 
 – pošle mu ádost EAP-Request/Identity
 – pošle mu odpov EAP-Response/Identity
 – pokud neodmítne adatele (suplikanta) ji na základ jeho identity  
• autentizaní server pošle suplikantovi ádost o poskytnutí autentizaních
údaj 
• autentizaní server posoudí poskytnuté údaje a rozhodne o povolení pístupu 
 – vrátí zprávu EAP-Success (nebo EAP-Failure)
 
 
 
Poítaové sít II 
verze 4.0, lekce 6, slide 32   EAP, EAPOL, RADIUS a IEEE 802.1x
• EAP je obecné ešení, pvodn vyvinuté pro protokol PPP 
 – umouje i „opaný smr“ autentizace: aby stanice (STA) vdla, k emu se pihlašuje 
• aby se jí identifikoval a autentizoval pístupový bod (AP / Autentizátor)
 – a stanice (resp. její uivatel) vdli, komu poskytují své identifikaní a autentizaní údaje 
• EAPOL (EAP over LAN) je konkrétní variantou EAP 
 – urenou pro nasazení a fungování v prostedí sítí LAN (nad Ethernetem i Wi-Fi)
• zprávy EAP se vkládají do ethernetových linkových rámc 
 – u „drátových“ sítí Ethernet s EtherType=888EH
• standard IEEE 802.1x pouívá práv EAPOL 
 –  resp. EAPoW (EAP over Wireless), pro vkládání do MAC rámc 802.11 
• RADIUS (Remote Authentication Dial In User Service)
 – je obvyklým ešením pro autentizaní server (v rámci IEEE 802.1x) 
• má vlastní protokol pro komunikaci se svými klienty
 – zde: pro komunikaci autentizaního serveru s autentizátorem (AP)
• zprávy EAP se vkládají do zpráv protokolu RADIUS 
 – RADIUS spadá do kategorie ešení pro AAA: 
• Authorization
• Authentication
• Accounting
• EAP je pouze obecným rámcem pro autentizaci 
 – nedefinuje konkrétní metody a postupy autentizace 
• ty definují a jeho rozšíení (proto také: „Extensible“ Authentication Protocol)
 – rozšíení protokolu EAP se týkají:
• celkové metody
suplikantem a autentizaním serverem 
• je nutný SSL certifikát autentizaního
serveru
 – EAP-TTLS
 – PEAP: Protected EAP
 – EAP-SIM, EAP-AKA
 – …… 
• 2-fázový handshake
 – CHAP (Challenge Handshake
 – MS-CHAP-V2
• píklady: 
 
aut. server se prokazuje SSL certifikátem,
 
 
Poítaové sít II 
verze 4.0, lekce 6, slide 34   píklad: pístup k sítí Eduroam
nutno zadat pouze tehdy,
pokud certifik át  serveru
ješt není povaován za