Cila metodë eap për të zgjedhur. Skema e vërtetimit

Ekzistojnë tre pjesëmarrës kryesorë në procesin e vërtetimit:

• Authenticator - një pjesëmarrës në procesin që kërkon vërtetim (pika e hyrjes WiFi, ndërprerësi, etj.).
• Një nyje ose klient (peer anglez) është një pjesëmarrës në procesin që do të vërtetohet (kompjuter, laptop, telefon, etj.).
• Një server vërtetimi është një pjesëmarrës në një proces i aftë për ta vërtetuar atë sipas disa të dhënave nga një nyje.

Në disa raste, serveri i vërtetimit dhe vërtetuesi mund të jenë e njëjta pajisje, për shembull, pajisjet shtëpiake duke përdorur metodën EAP-PSK. Në përgjithësi, procesi i vërtetimit është si më poshtë:

1. Autentifikuesi dërgon një kërkesë EAP për të filluar vërtetimin e klientit. Kërkesa në fushën Lloji përmban informacion se cila metodë do të përdoret (EAP-TLS, EAP-PSK, etj.). Autentifikuesi nuk e dërgon domosdoshmërisht këtë kërkesë, për shembull, nëse vërtetimi në portin me të cilin është lidhur klienti nuk kërkohet, në këtë rast, për të filluar procedurën e vërtetimit, klienti duhet të dërgojë një paketë me fushën e Kodit që korrespondon me Lloji i inicimit.
2. Klienti i dërgon një përgjigje EAP autentikuesit në rast të një kërkese të vlefshme nga vërtetuesi. Përgjigja përmban një fushë Lloji që korrespondon me fushën Lloji në kërkesë.
3. Autentifikuesi dërgon një kërkesë në serverin e vërtetimit, duke përcjellë informacione se cila metodë e vërtetimit përdoret.
4. Serveri i autentifikimit i kërkon klientit informacionin e nevojshëm përmes autentifikuesit, në këtë moment vërtetuesi në të vërtetë funksionon si proxy.
5. Klienti i përgjigjet serverit me informacionin e kërkuar. Artikujt 4 dhe 5 përsëriten derisa serveri i vërtetimit të vendosë të lejojë aksesin, refuzimin ose gabimin.
6. Serveri i vërtetimit i dërgon një paketë vërtetuesit që tregon suksesin ose dështimin e vërtetimit.
7. Autentifikuesi i dërgon klientit EAP një paketë me një kod që korrespondon me përgjigjen e serverit të vërtetimit (EAP-Success ose EAP-Failure).

Tabela përmbledhëse e kodit të paketës EAP:

Metodat

KËRBIME

Protokolli i lehtë i autentifikimit të zgjerueshëm(eng. Protokolli i lehtë i autentifikimit të zgjerueshëm ), një metodë e zhvilluar nga Cisco përpara ratifikimit të standardit të sigurisë IEEE 802.11i. Cisco ka lëshuar protokollin përmes CCX (Cisco Certified Extensions) si pjesë e 802.1X dhe Dynamic WEP për shkak të mungesës së një standardi të veçantë të industrisë në industri. Sistemet operative të familjes Windows nuk kanë mbështetje të integruar për LEAP, por mbështetja për protokollin është e përhapur në programet e klientëve të palëve të treta (më shpesh të bashkuara me pajisje me valë). Mbështetja e Windows LEAP mund të shtohet duke instaluar softuerin e klientit Cisco që mbështet LEAP dhe EAP-FAST. Shumë prodhues të tjerë të pajisjeve WLAN gjithashtu mbështesin LEAP për shkak të përhapjes së tij të lartë.

LEAP përdor një version të modifikuar të protokollit MS-CHAP - një protokoll vërtetimi dobët i sigurt, në të cilin informacioni i përdoruesit dhe fjalëkalimi komprometohet lehtësisht; Në fillim të vitit 2004, Joshua Wright shkroi një shfrytëzim të LEAP të quajtur ASLEAP. Hakerimi bazohet në faktin se, së pari, të gjithë elementët e kërkesës dhe përgjigjes, përveç hash-it të fjalëkalimit, transmetohen të pakriptuar ose llogariten lehtësisht bazuar në të dhënat që dërgohen në rrjet. Kjo do të thotë se një sulmues njerëzor në mes të marrjes së hash-it të fjalëkalimit do të mjaftonte për të ri-autorizuar. Së dyti, krijimi i çelësit është potencialisht i dobët. Mbushja zero prej 5 bajte do të thotë që çelësi i fundit ka një hapësirë ​​2 16 të çelësave. Së fundi, i njëjti tekst burim është i koduar me dy çelësa (kur dërgoni hash në server dhe kur përgjigjeni), që do të thotë se një kompleksitet prej 2 56 është i mjaftueshëm për të thyer të dy çelësat. Pasi sulmuesi ka të gjithë çelësat, ai merr një hash të fjalëkalimit, i cili është i mjaftueshëm për ri-autentikim (më shumë në MS-CHAP).

Kjo metodë mbështetet në të gjitha sistemet operative të familjes Windows (duke filluar nga Windows 2000 SP4), Linux dhe Mac OS X (duke filluar nga versioni 10.3).

Ndryshe nga shumë implementime të tjera TLS, si HTTPS, shumica e implementimeve EAP-TLS kërkojnë një certifikatë të parainstaluar X.509 nga klienti, duke e bërë të pamundur çaktivizimin e kërkesës, megjithëse standardi nuk e detyron këtë. Kjo mund të kishte parandaluar përhapjen e pikave të aksesit me valë "të hapura", por të koduara. Në gusht 2012, hostapd dhe wpa_supplicant shtuan mbështetjen për UNAUTH-TLS, metodën origjinale të vërtetimit të EAP, dhe më 25 shkurt 2014, shtuan mbështetjen për WFA-UNAUTH-TLS, një metodë vërtetimi që vërteton vetëm serverin. Kjo do të lejojë punën mbi EAP-TLS në të njëjtën mënyrë si mbi HTTPS, ku pika e aksesit me valë lejon një lidhje falas (d.m.th., nuk kërkon vërtetimin e klientit), por në të njëjtën kohë kodon trafikun (IEEE 802.11i-2004, që është, WPA2) dhe lejon vërtetimin e kalimit nëse është e nevojshme. Standardet përmbajnë gjithashtu propozime për përdorimin e IEEE 802.11u në pikat e hyrjes për të sinjalizuar disponueshmërinë e një metode EAP-TLS që vërteton vetëm serverin duke përdorur standardin IETF EAP-TLS dhe jo një metodë EAP të palës së tretë.

Kërkimi i një certifikate të para-instaluar nga ana e klientit është një nga arsyet pse EAP-TLS është shumë i sigurt dhe një shembull i sakrifikimit të komoditetit në favor të sigurisë. Për të thyer EAP-TLS, nuk mjafton të komprometohet fjalëkalimi i përdoruesit; për një sulm të suksesshëm, sulmuesi do të duhet gjithashtu të mbajë certifikatën e klientit për përdoruesin. Siguria më e mirë mund të arrihet duke ruajtur certifikatat e klientit në kartat inteligjente.

EAP-TTLS

Siguria e shtresës së transportit të tunelit, një metodë EAP që zgjeron aftësitë e metodës TLS. Është zhvilluar nga Funk Software dhe Certicom dhe mbështetet mjaft mirë në shumicën e platformave (Windows që nga versioni 8 dhe Windows Mobile që nga versioni 8.1).

Klienti mund (por nuk duhet) të vërtetohet nga serveri duke përdorur një certifikatë PKI të nënshkruar nga CA. Moskërkesa e vërtetimit të klientit thjeshton shumë procedurën e konfigurimit, pasi nuk ka nevojë të gjenerohet dhe instalohet një certifikatë individuale për secilën prej tyre.

Pasi serveri të vërtetohet nga klienti duke përdorur një certifikatë të nënshkruar nga Autoriteti i Certifikimit dhe, sipas dëshirës, ​​nga klienti-server, serveri mund të përdorë lidhjen e sigurt (tunelin) që rezulton për të vërtetuar më tej klientin. Tuneli lejon përdorimin e protokolleve të vërtetimit të krijuar për kanale të mbrojtura nga sulmet MITM dhe përgjimet. Me metodën EAP-TTLS, asnjë informacion i përdorur për vërtetim nuk transmetohet në tekst të qartë, duke e bërë edhe më të vështirë thyerjen.

EAP-PSK

Çelësi i përbashkët paraprak, një metodë e përcaktuar në RFC 4764 që përdor një çelës të negociuar paraprakisht për vërtetimin e ndërsjellë dhe shkëmbimin e çelësave të sesionit. Metoda është projektuar për të punuar në rrjete të pasigurta si IEEE 802.11, dhe në rast të vërtetimit të suksesshëm, ajo siguron një lidhje të sigurt të dyanshme midis klientit dhe pikës së aksesit.

EAP-PSK është dokumentuar në një RFC eksperimentale dhe ofron një metodë EAP të lehtë dhe të shtrirë që nuk përdor enkriptim asimetrik. Kjo metodë kërkon katër mesazhe (minimumi i mundshëm) për vërtetim të ndërsjellë.

Shkruaj një koment për "EAP"

Shënime (redakto)

Fragment nga EAP

Të nesërmen, pasi i tha lamtumirë vetëm një numri, pa pritur që zonjat të largoheshin, Princi Andrei shkoi në shtëpi.
Ishte tashmë fillimi i qershorit kur Princi Andrey, duke u kthyer në shtëpi, hyri përsëri në atë korije me thupër, në të cilën ky lis i vjetër, i gërvishtur e goditi aq çuditërisht dhe në mënyrë të paharrueshme. Këmbanat e vogla po binin edhe më të mbytur në pyll se një muaj e gjysmë më parë; gjithçka ishte plot, me hije dhe e trashë; dhe bredha të reja, të shpërndara në pyll, nuk shkelën bukurinë e përgjithshme dhe, duke imituar karakterin e përgjithshëm, u gjelbëruan butësisht me fidaneve të rinj me gëzof.
E gjithë dita ishte e nxehtë, ku mblidhej një stuhi, por vetëm një re e vogël spërkati mbi pluhurin e rrugës dhe mbi gjethet me lëng. Ana e majtë e pyllit ishte e errët, në hije; e djathta, e lagur, me shkëlqim, shkëlqente në diell, duke u lëkundur pak nga era. Gjithçka ishte në lulëzim; bilbilat kërcitnin dhe rrotulloheshin tani afër, tani larg.
"Po, këtu, në këtë pyll, ishte kjo pemë lisi me të cilën u pajtuam," mendoi Princi Andrey. "Por ku është ai," mendoi përsëri Princi Andrey, duke parë anën e majtë të rrugës dhe pa e ditur, duke mos e njohur, admiroi lisin për të cilin po kërkonte. Lisi i vjetër, i gjithë i transformuar, i shtrirë si një tendë me gjelbërim të ëmbël e të errët, i shkrirë, duke u lëkundur paksa në rrezet e diellit të mbrëmjes. Asnjë gisht i gërvishtur, pa plagë, pa mosbesim dhe pikëllim të vjetër - asgjë nuk ishte e dukshme. Gjethet me lëng dhe të rinj kaluan nëpër lëvoren e fortë shekullore pa nyje, saqë ishte e pamundur të besohej se i kishte prodhuar ky plak. "Po, kjo është e njëjta pemë lisi," mendoi Princi Andrey, dhe papritmas një ndjenjë e paarsyeshme, pranverore gëzimi dhe rinovimi e pushtoi. Të gjitha momentet më të mira të jetës së tij iu kujtuan papritur në të njëjtën kohë. Dhe Austerlitz me një qiell të lartë, dhe fytyrën e vdekur, qortuese të gruas së tij, dhe Pierre në traget, dhe një vajzë e emocionuar nga bukuria e natës, dhe kjo natë dhe hëna - dhe e gjithë kjo papritmas erdhi tek ai.
"Jo, jeta nuk ka mbaruar në moshën 31 vjeç, papritmas, më në fund, pa ndryshim, vendosi Princi Andrey. Jo vetëm që di gjithçka që është në mua, por është e nevojshme që të gjithë ta dinë këtë: si Pierre ashtu edhe kjo vajzë që donte të fluturonte në qiell, është e nevojshme që të gjithë të më njohin, në mënyrë që jeta ime të mos vazhdojë për vetëm unë, në mënyrë që ata të mos jetojnë aq të pavarur nga jeta ime që të reflektohet tek të gjithë dhe që të gjithë të jetojnë me mua së bashku!"

Pas kthimit nga udhëtimi i tij, Princi Andrew vendosi të shkonte në Petersburg në vjeshtë dhe doli me arsye të ndryshme për këtë vendim. Një seri e tërë arsyesh të arsyeshme, logjike pse duhej të shkonte në Shën Petersburg dhe madje të shërbente, çdo minutë ishte gati për shërbimet e tij. Edhe tani ai nuk e kuptonte se si mund të dyshonte ndonjëherë në nevojën për të marrë pjesë aktive në jetë, ashtu si një muaj më parë nuk e kuptonte se si mund t'i vinte mendimi për t'u larguar nga fshati. I dukej e qartë se të gjitha përvojat e tij në jetë duhet të ishin të kota dhe të pakuptimta, nëse ai nuk do t'i zbatonte ato në punë dhe do të merrte përsëri një pjesë aktive në jetë. Ai as nuk e kuptoi se si, në bazë të të njëjtave argumente të dobëta racionale, ishte më parë e qartë se ai do ta kishte poshtëruar veten nëse tani, pas mësimeve të jetës së tij, do të besonte përsëri në mundësinë e të qenit i dobishëm dhe në mundësinë e lumturi dhe dashuri. Tani mendja ime po sugjeronte diçka krejtësisht të ndryshme. Pas këtij udhëtimi, Princi Andrei filloi të mërzitej në fshat, profesionet e tij të mëparshme nuk e interesonin, dhe shpesh, i ulur vetëm në dhomën e tij, ai ngrihej, shkonte në pasqyrë dhe e shikonte fytyrën për një kohë të gjatë. Pastaj u kthye dhe shikoi portretin e Lizës së ndjerë, e cila, me kaçurrela të rrahura a la grecque [në greqisht], e shikoi me butësi dhe gëzim nga një kornizë e artë. Ajo nuk i foli më burrit të saj fjalët e tmerrshme të dikurshme, e shikoi thjesht dhe e gëzuar me kureshtje. Dhe Princi Andrew, me duart e palosur mbrapa, eci nëpër dhomë për një kohë të gjatë, tani i vrenjtur, tani duke buzëqeshur, duke ndryshuar mendjen për ato mendime të paarsyeshme, të pashprehura, sekrete si krim, mendime të lidhura me Pierre, me famë, me një vajzë në dritare, me një lis, me bukurinë femërore dhe dashurinë që i ndryshoi gjithë jetën. Dhe në këto momente, kur dikush erdhi tek ai, ai ishte veçanërisht i thatë, ashpërsisht vendimtar dhe veçanërisht logjik i pakëndshëm.
"Mon cher, [e dashur,]," thoshte Princesha Marya, duke hyrë në një moment të tillë, "Nikolushka nuk mund të shkojë për shëtitje tani: është shumë ftohtë.
"Po të ishte ngrohtë," iu përgjigj motrës së tij Princi Andrey veçanërisht thatë në momente të tilla, "ai do të kishte shkuar me një këmishë, dhe meqenëse është ftohtë, ai duhet të veshë rroba të ngrohta, të cilat u shpikën për këtë. Kjo është ajo që rrjedh nga fakti se është ftohtë, dhe jo vetëm të rrish në shtëpi kur fëmija ka nevojë për ajër, - tha me logjikë të veçantë, sikur të ndëshkonte dikë për gjithë këtë punë të fshehtë, të palogjikshme, të brendshme që po i ndodhte. . Princesha Marya mendoi në këto raste se si kjo punë mendore i tha burrat.

Princi Andrew mbërriti në Shën Petersburg në gusht 1809. Ishte koha e apogjeut të lavdisë së të riut Speransky dhe energjisë së grushteve të shtetit që ai bëri. Pikërisht në këtë gusht, perandori, hipur në një karrocë, u hodh jashtë, plagosi këmbën dhe qëndroi në Peterhof për tre javë, duke parë çdo ditë dhe ekskluzivisht me Speransky. Në këtë kohë, jo vetëm që po përgatiteshin dy dekrete kaq të famshme dhe alarmante të shoqërisë për shkatërrimin e nëpunësve gjyqësorë dhe për provimet për gradat e vlerësuesve kolegjialë dhe këshilltarëve të shtetit, por edhe një kushtetutë e tërë shtetërore, e cila duhej të ndryshonte drejtësinë ekzistuese. rendi administrativ dhe financiar i qeverisë në Rusi nga këshilli i shtetit deri te bordi volos. Tani ato ëndrra të paqarta, liberale, me të cilat Perandori Aleksandër hipi në fron, dhe të cilat ai u përpoq t'i realizonte me ndihmën e ndihmësve të tij Czartorizhsky, Novosiltsev, Kochubei dhe Strogonov, të cilët ai vetë i quajti me shaka comite du salut publique, u realizuan dhe u realizuan. [komiteti i sigurisë publike.]
Tani të gjithë së bashku u zëvendësuan nga Speransky për pjesën civile dhe Arakcheev për ushtrinë. Princi Andrew, menjëherë pas mbërritjes së tij, si odë, u shfaq në oborr dhe në dalje. Cari, pasi e takoi dy herë, nuk e nderoi me asnjë fjalë të vetme. Princi Andrey gjithmonë mendonte më parë se ishte antipatik ndaj sovranit, se sovranit nuk i pëlqente fytyra dhe gjithë qenia e tij. Në shikimin e thatë dhe të largët me të cilin e shikoi perandori, Princi Andrei gjeti konfirmimin e këtij supozimi edhe më shumë se më parë. Oborrtarët i shpjeguan princit Andrey mosvëmendjen e sovranit ndaj tij me faktin se Madhëria e Tij ishte e pakënaqur me faktin që Bolkonsky nuk kishte shërbyer që nga viti 1805.
"Unë vetë e di se ne nuk jemi të fuqishëm në simpatitë dhe antipatitë tona", mendoi Princi Andrew, dhe për këtë arsye nuk ka nevojë të mendoj t'i paraqes personalisht sovranit shënimin tim mbi rregulloret ushtarake, por çështja do të flasë vetë. Ai ia kaloi shënimin e tij një fushmarshalli të vjetër, një shoku i babait të tij. Marshalli i fushës, pasi i caktoi një orë, e priti butësisht dhe i premtoi t'i raportonte sovranit. Disa ditë më vonë iu njoftua Princit Andrei se ai duhej të raportonte te Ministri i Luftës, Konti Arakcheev.
Në orën nëntë të mëngjesit, në ditën e caktuar, Princi Andrei u shfaq në dhomën e pritjes së Kontit Arakcheev.
Personalisht, Princi Andrei nuk e njihte Arakcheev dhe kurrë nuk e pa atë, por gjithçka që dinte për të i nguli pak respekt për këtë njeri.
“Ai është një ministër lufte, një i besuar i sovranit të perandorit; askush nuk duhet të kujdeset për pronat e tij personale; ai u udhëzua të merrte parasysh shënimin tim, prandaj ai është i vetmi dhe mund ta bëjë atë, "mendoi Princi Andrey, duke pritur midis shumë personave të rëndësishëm dhe të parëndësishëm në pritjen e Kontit Arakcheev.
Princi Andrew gjatë shërbimit të tij, kryesisht adjutant, pa shumë persona të rëndësishëm në krye dhe personazhet e ndryshëm të këtyre recepsionistëve ishin shumë të qartë për të. Konti Arakçeev kishte një karakter recepsionist shumë të veçantë. Personat e parëndësishëm që prisnin radhën e tyre për një audiencë në dhomën e pritjes së Kontit Arakçeev kishin një ndjenjë turpi dhe nënshtrimi; Sa më shumë zyrtarë, shprehej një ndjenjë e përgjithshme e ngathtësisë, e fshehur nën maskën e sharjes dhe talljes me veten, me pozicionin dhe me fytyrën e pritur. Disa ecnin lart e poshtë me mendime, të tjerët qeshën duke pëshpëritur dhe Princi Andrey dëgjoi sobriket [pseudonimi tallës] i forcave të Andreich dhe fjalët: "xhaxhai do të pyesë", duke iu referuar kontit Arakcheev. Një gjeneral (person i rëndësishëm), me sa duket i ofenduar nga fakti që i duhej të priste kaq gjatë, u ul duke lëvizur këmbët dhe duke buzëqeshur me përbuzje me veten e tij.
Por, sapo u hap dera, vetëm një gjë u shpreh menjëherë në të gjitha fytyrat - frika. Princi Andrew i kërkoi oficerit në detyrë që të raportonte përsëri për veten e tij, por ata e shikuan atë me një tallje dhe thanë se radha e tij do të vinte në kohën e duhur. Pas futjes dhe nxjerrjes së disa personave nga adjutanti nga zyra e ministrit, nga dera e tmerrshme u fut një oficer, i cili goditi Princin Andrei me pamjen e tij të poshtëruar dhe të frikësuar. Audienca e oficerit zgjati shumë. Papritur nga pas derës u dëgjuan zhurmat e një zëri të pakëndshëm dhe oficeri i zbehtë, me buzët që dridheshin, doli që andej dhe duke kapur kokën, kaloi nëpër dhomën e pritjes.
Pas kësaj, Princi Andrey u çua te dera, dhe shërbyesi me një pëshpëritje tha: "në të djathtë, në dritare".
Princi Andrei hyri në një zyrë modeste, të rregullt dhe në tavolinë pa një burrë dyzet vjeçar me bel të gjatë, kokë të gjatë e të shkurtuar dhe rrudha të trasha, me vetulla të vrenjtura mbi katrorin e tij me sy të gjelbër të shurdhër dhe një të kuqe të varur. hundë. Arakcheev ktheu kokën drejt tij, duke mos e parë atë.
- Çfarë po kërkoni? - pyeti Arakçeev.
"Unë nuk ... ju lutem, Shkëlqesia juaj," tha Princi Andrew qetësisht. Sytë e Arakçeevit u kthyen nga ai.
- Uluni, - tha Arakçeev, - Princi Bolkonsky?
“Unë nuk po kërkoj asgjë, por perandori ka denjuar t'i dërgojë Shkëlqesisë suaj shënimin që kam dorëzuar...
"Nëse e sheh, e dashura ime, unë lexova shënimin tënd," e ndërpreu Arakçeev, duke thënë vetëm fjalët e para me dashamirësi, përsëri pa e parë në fytyrën e tij dhe duke rënë gjithnjë e më shumë në një ton përçmues murmuritës. - A propozoni ligje të reja ushtarake? Ka shumë ligje, nuk ka kush të përmbushë të vjetrat. Në ditët e sotme të gjitha ligjet janë shkruar, është më e lehtë të shkruash sesa të bësh.
- Erdha me urdhër të Perandorit për të pyetur Shkëlqesinë tuaj, çfarë lëvizjeje keni ndërmend t'i bëni notës së dorëzuar? - tha Princi Andrey me mirësjellje.
- Unë vendosa një rezolutë në shënimin tuaj dhe ia dërgova komisionit. Unë nuk e aprovoj, - tha Arakçeev, duke u ngritur dhe duke marrë letrën nga tavolina e shkrimit. - Këtu! - i dha Princit Andrey.
Në letrën përballë saj, me laps, pa shkronja të mëdha, pa drejtshkrim, pa shenja pikësimi, shkruhej: "ishte kompozuar më parë në mënyrë të pajustifikueshme si një imitim i kopjuar nga rregulloret ushtarake franceze dhe nga artikulli ushtarak që tërhiqej pa nevojë".
- Në cilin komision u transferua shënimi? - pyeti Princi Andrey.
- Në komisionin e rregulloreve ushtarake, dhe unë i kam paraqitur regjistrimin e nderit tuaj si anëtar. Vetëm pa rrogë.
Princi Andrew buzëqeshi.
“Nuk dua.
"Pa rrogë, një anëtar," përsëriti Arakcheev. - Kam nderin. Hej, telefono! Kush tjeter? - bërtiti ai, duke iu përkulur Princit Andrey.

Ndërsa priste njoftimin për pranimin e tij në komitet, Princi Andrey rinovoi njohjet e tij të vjetra, veçanërisht me ata persona që, ai e dinte, ishin në pushtet dhe mund të ishin të nevojshëm për të. Ai ndjeu tani në Petersburg një ndjenjë të ngjashme me atë që përjetoi në prag të betejës, kur u torturua nga kurioziteti i shqetësuar dhe tërhiqej në mënyrë të papërmbajtshme në sferat më të larta, ku po përgatitej e ardhmja, nga e cila varej fati i miliona njerëzve. . Ai ndjeu nga zemërimi i të moshuarve, nga kurioziteti i të pa iniciuarve, nga kufizimi i nismëtarëve, nga nxitimi, shqetësimi i të gjithëve, nga numri i panumërt i komisioneve, komisioneve, ekzistencën e të cilave ai përsëri e mësonte çdo ditë, se tani, në 1809, po përgatitej këtu në Petersburg, një lloj beteje e madhe civile, nga e cila komandanti i përgjithshëm ishte i panjohur për të, misterioz dhe i dukej një gjeni, personi - Speransky. Dhe më e paqarta për të çështja e transformimit, dhe Speransky, figura kryesore, filloi ta interesonte me aq pasion sa çështja e rregulloreve ushtarake shumë shpejt filloi të kalonte në një vend dytësor në mendjen e tij.

Shumë njerëz sot kanë një ruter Wi-Fi në shtëpi. Në fund të fundit, është shumë më e lehtë të lidhësh me internetin me valë një laptop, një tablet dhe një smartphone, nga të cilët ka më shumë se njerëz në çdo familje. Dhe ai (ruteri) është në thelb një portë për në universin e informacionit. Lexoni derën e përparme. Dhe nga kjo derë varet nëse ju vjen një mysafir i paftuar pa lejen tuaj. Prandaj, është shumë e rëndësishme t'i kushtoni vëmendje konfigurimit të saktë të ruterit në mënyrë që rrjeti juaj pa tel të mos jetë i prekshëm.

Nuk kam nevojë të kujtohem se fshehja e SSID-së së një pike aksesi nuk ju mbron. Kufizimi i aksesit nga adresa MAC nuk është efektiv. Prandaj, vetëm metoda moderne të kriptimit dhe një fjalëkalim kompleks.

Pse kriptoni? Kush ka nevojë për mua? Nuk kam asgjë për të fshehur

Nuk është aq e frikshme nëse vjedhin kodin PIN nga karta e kreditit dhe tërheqin të gjitha paratë prej saj. Për më tepër, nëse dikush do të përdorë internetin me shpenzimet tuaja, duke ditur fjalëkalimin e Wi-Fi. Dhe nuk është aq e frikshme nëse ata publikojnë fotot tuaja nga partitë e korporatave ku jeni në një gjendje të shëmtuar. Është shumë më fyese kur ndërhyrës hyjnë në kompjuterin tuaj dhe fshijnë fotot se si e nxorët djalin tuaj nga spitali, si ai hodhi hapat e tij të parë dhe shkoi në klasën e parë. Rezervimet janë një temë më vete, ato sigurisht që duhen bërë ... Por reputacioni juaj mund të rikthehet me kalimin e kohës, paratë mund të fitohen, por fotografitë që janë të dashura për ju janë zhdukur. Mendoj se secili ka diçka që nuk dëshiron ta humbasë.
Ruteri juaj është pajisja kufitare midis privates dhe publikes, ndaj konfiguroni atë në maksimum. Për më tepër, nuk është aq e vështirë.

Teknologjitë dhe algoritmet e enkriptimit

E heq teorinë. Nuk ka rëndësi se si funksionon, gjëja kryesore është të jesh në gjendje ta përdorësh atë.
Teknologjitë e sigurisë me valë kanë evoluar në rendin e mëposhtëm kronologjik: WEP, WPA, WPA2. Metodat e kriptimit RC4, TKIP, AES gjithashtu kanë evoluar.
Më e mira për sa i përket sigurisë sot është paketa WPA2-AES. Kjo është mënyra se si duhet të përpiqeni të konfiguroni Wi-Fi. Duhet të duket diçka si kjo:

WPA2 është kërkuar që nga 16 marsi 2006. Por ndonjëherë mund të gjeni pajisje që nuk e mbështesin atë. Në veçanti, nëse keni Windows XP të instaluar në kompjuterin tuaj pa Service Pack 3, WPA2 nuk do të funksionojë. Prandaj, për arsye të përputhshmërisë, në ruterat mund të gjeni cilësimet WPA2-PSK -> AES + TKIP dhe një shtëpi tjetër.
Por nëse keni një flotë moderne pajisjesh, atëherë është më mirë të përdorni WPA2 (WPA2-PSK) -> AES, si opsioni më i sigurt sot.

Cili është ndryshimi midis WPA (WPA2) dhe WPA-PSK (WPA2-PSK)

Standardi WPA ofron Extensible Authentication Protocol (EAP) si bazë për mekanizmin e vërtetimit të përdoruesit. Një kusht i domosdoshëm për vërtetimin është prezantimi nga përdoruesi i një certifikate (e quajtur ndryshe mandat) që konfirmon të drejtën e tij për të hyrë në rrjet. Për këtë të drejtë, përdoruesi kontrollohet në një bazë të dhënash të veçantë të përdoruesve të regjistruar. Pa vërtetim, përdoruesi do të ndalohet të shfletojë rrjetin. Baza e të dhënave të përdoruesve të regjistruar dhe sistemi i verifikimit në rrjetet e mëdha zakonisht ndodhen në një server të veçantë (më shpesh RADIUS).
Modaliteti i thjeshtuar i çelësit paraprak të përbashkët (WPA-PSK, WPA2-PSK) ju lejon të përdorni një fjalëkalim të vetëm që ruhet drejtpërdrejt në ruter. Nga njëra anë, gjithçka është thjeshtuar, nuk ka nevojë të krijoni dhe mirëmbani një bazë përdoruesi, nga ana tjetër, të gjithë regjistrohen me të njëjtin fjalëkalim.
Në shtëpi, është më e këshillueshme të përdorni WPA2-PSK, domethënë mënyrën e thjeshtuar të standardit WPA. Siguria e Wi-Fi nuk vuan nga ky thjeshtim.

Fjalëkalimi i hyrjes në Wi-Fi

Gjithçka është e thjeshtë këtu. Fjalëkalimi për pikën tuaj të aksesit me valë (ruteri) duhet të jetë më shumë se 8 karaktere dhe të përmbajë shkronja në shkronja të ndryshme, numra, shenja pikësimi. Dhe ai nuk duhet të lidhet me ju në asnjë mënyrë. Kjo do të thotë që ju nuk mund të përdorni si fjalëkalim datat e lindjes, emrat, numrat e makinave, numrat e telefonit etj.
Meqenëse është pothuajse e pamundur të thyesh WPA2-AES kokë më kokë (kishte vetëm disa raste të simuluara në kushte laboratorike), metodat kryesore të plasaritjes së WPA2 janë sulmet në fjalor dhe forca brutale (kërkimi vijues i të gjitha opsioneve të fjalëkalimit). Prandaj, sa më kompleks të jetë fjalëkalimi, aq më pak shanse kanë sulmuesit.

... në BRSS, dollapët automatikë u përhapën në stacionet hekurudhore. Një shkronjë dhe tre numra u përdorën si një kombinim i bravës. Sidoqoftë, pak njerëz e dinë që versioni i parë i dollapëve përdorte 4 shifra si një kombinim kodesh. Cili është ndryshimi, do të duket? Në fund të fundit, numri i kombinimeve të kodeve është i njëjtë - 10,000 (dhjetë mijë). Por siç ka treguar praktika (veçanërisht Departamenti i Hetimit Kriminal të Moskës), kur një personi iu kërkua të përdorte një kombinim 4-shifror si fjalëkalim për një dollap me kyç, shumë njerëz përdorën vitin e tyre të lindjes (për të mos harruar). Ajo që kriminelët kibernetikë nuk e përdorën pa sukses. Në fund të fundit, dy shifrat e para në datën e lindjes së shumicës absolute të popullsisë së vendit ishin të njohura - 19. Mbetet me sy për të përcaktuar moshën e përafërt të mbajtësit të bagazheve, dhe secili prej nesh mund ta bëjë këtë me një saktësi prej +/- 3 vjet, dhe në pjesën e mbetur marrim (më saktë, sulmuesit) më pak 10 kombinime për zgjedhjen e një kodi aksesi në një dollap automatik të ruajtjes ...

Fjalëkalimi më i popullarizuar

Përtacia dhe papërgjegjshmëria njerëzore i bëjnë të gjitha. Këtu është një listë e fjalëkalimeve më të njohura:

1. 123456
2. qwerty
3. 111111
4. 123123
5. 1a2b3c
6. Data e lindjes
7. Numri i celularit

Rregullat e sigurisë së fjalëkalimit

1. Secilit të tijën. Kjo do të thotë, fjalëkalimi i ruterit nuk duhet të jetë i njëjtë me ndonjë nga fjalëkalimet tuaja të tjera. Për shembull, nga posta. Bëjeni rregull që të gjitha llogaritë të kenë fjalëkalimet e tyre dhe të gjitha janë të ndryshme.
2. Përdorni fjalëkalime të forta që nuk mund të merren me mend. Për shembull: 2Rk7-kw8Q11vlOp0

Fjalëkalimi Wi-Fi ka një plus të madh. Nuk keni nevojë ta mësoni përmendësh. Mund të shkruhet në një copë letër dhe të ngjitet në fund të ruterit.

Zona e Wi-Fi për mysafirët

Nëse ruteri juaj ju lejon të organizoni një zonë mysafirësh. Sigurohuni që ta bëni atë. Natyrisht duke e mbrojtur atë me WPA2 dhe një fjalëkalim të fortë. Dhe tani, kur miqtë vijnë në shtëpinë tuaj dhe kërkojnë internet, nuk keni pse t'u tregoni fjalëkalimin kryesor. Për më tepër, zona e mysafirëve në ruterë është e izoluar nga rrjeti kryesor. Dhe çdo problem me pajisjet e mysafirëve tuaj nuk do të ndikojë në rrjetin tuaj të shtëpisë.

ANDREY PLATONOV

Ndërtimi i një rrjeti të sigurt pa tel: WPA-Enterprise, 802.1x EAP-TLS

Ka mbi njëqind artikuj mbi pasigurinë e rrjeteve pa tel. Për më tepër, shumë janë plotësisht identikë dhe të padobishëm: ata thonë se WEP është i keq, se adresat MAC mund të ndryshohen lehtësisht, dhe në fund ata shkruajnë: "Ka vetëm një rrugëdalje dhe shpëtim. Ju duhet të përdorni WPA." Dhe pika. Ky material përmban pikërisht atë që dëshironi të dëgjoni pas "pikës" - një udhëzues praktik për organizimin e një rrjeti pa tel të sigurtë mirë.

Wi-Fi i sigurt i pasigurt

Sot bëhet e qartë se, pavarësisht nga të gjitha problemet që lidhen me sigurinë, besueshmërinë dhe kompleksitetin e funksionimit, zgjidhjet me valë të familjes 802.11a / b / g janë bërë megjithatë një pjesë integrale e infrastrukturës së shumë rrjeteve të korporatave, shtëpive dhe madje edhe operatorëve. Kjo është pjesërisht sepse shumica e këtyre problemeve janë tani një gjë e së kaluarës në zhvillimin e sotëm Wi-Fi. Rrjetet pa tel në të gjitha aspektet janë bërë shumë më të zgjuara dhe më të shpejta: u shfaq QoS, antena inteligjente (teknologji MIMO), shpejtësitë reale arritën 40 Mbps (për shembull, teknologjitë SuperG, SuperAG nga Atheros). Përveç kësaj, ndryshime të mëdha kanë ndodhur në grupin e teknologjive që sigurojnë sigurinë e rrjeteve pa tela. Le të flasim për këtë në më shumë detaje.

Në ditët kur Wi-Fi ishte vetëm për elitën, enkriptimi WEP dhe filtrat MAC përdoreshin për të mbrojtur rrjetet pa tel. E gjithë kjo shpejt u bë e pamjaftueshme, WEP u njoh si i pasigurt për shkak të natyrës statike të çelësave të enkriptimit dhe mungesës së mekanizmave të vërtetimit, filtrat MAC nuk ofronin as siguri të veçantë. Filloi zhvillimi i një standardi të ri IEEE 802.11i, i cili ishte krijuar për të zgjidhur të gjitha problemet urgjente të sigurisë. Në gjysmë të rrugës për 802.11i, një grup teknologjish u shfaq nën emrin e përgjithshëm WPA (Wi-Fi Protected Access) - pjesë e standardit 802.11i ende të papërgatitur. WPA përfshin mjete për vërtetimin e përdoruesit, enkriptimin duke përdorur çelësat dinamikë WEP (TKIP / MIC). Më pas 802.11i përfundoi më në fund dhe lindi WPA2. Për të gjitha sa më sipër, është shtuar mbështetje për kriptim më të fortë AES (Advanced Encryption Standard), i cili funksionon në lidhje me protokollin e sigurisë CCMP (Counter with Cipher Block Chaining Message Code Authentication Code - ky është një analog më i avancuar i TKIP në WPA ). WPA2 gradualisht filloi të shfaqet në modelet e reja të pikave të hyrjes (për shembull, D-Link DWL-3200AP), por deri më tani është mjaft ekzotik. Të gjitha produktet që mbështesin WPA2 janë të pajtueshme me pajisjet që mbështesin WPA.

Të dy WPA dhe WPA2 përfshijnë kontrolle të avancuara të aksesit me valë bazuar në standardin IEEE 802.1x. Arkitektura 802.1x përdor disa porta logjike të kërkuara:

• Klienti. Klienti është Supplicant - programi në kompjuterin e klientit që kontrollon procesin e vërtetimit.
• Vërtetuesi. Është një pikë aksesi që vepron si ndërmjetës midis klientit dhe serverit të vërtetimit. Një ndërprerës me tela mund të jetë gjithashtu një vërtetues, pasi 802.1x përdoret në një sërë rrjetesh.
• Serveri i Autentifikimit - Serveri RADIUS.

IEEE 802.1x lejon një shumëllojshmëri metodash dhe algoritmesh vërtetimi. Kjo është e mundur falë Protokollit të Zgjeruar të Autentifikimit (EAP), në të cilin atributet që korrespondojnë me një metodë të caktuar vërtetimi janë "mbivendosur". Prandaj, ka shumë shije të 802.1x EAP: EAP-MD5, EAP-PEAP, EAP-LEAP, EAP-SIM, etj. Ky artikull do të përshkruajë zbatimin e vërtetimit në një rrjet pa tel bazuar në certifikatat dixhitale - 802.1x EAP- TLS. Kjo metodë përdoret më shpesh në rrjetet pa tela të korporatave dhe ka një shkallë mjaft të lartë sigurie. Për më tepër, EAP-TLS ndonjëherë është një nga metodat kryesore të mbrojtjes në rrjetet e ofruesve me valë.

802.1x Autentifikimi EAP-TLS

EAP-TLS bazohet në SSL v3.0, por ndryshe nga vërtetimi tradicional SSL (për shembull, kur krijoni një lidhje të sigurt http - HTTPS), EAP-TLS vërteton klientin dhe serverin reciprokisht. Klienti (kërkuesi) dhe serveri RADIUS duhet të mbështesin metodën e vërtetimit EAP-TLS; pika e hyrjes duhet të mbështesë vërtetimin 802.1x / EAP dhe nuk ka nevojë të dijë se cila metodë vërtetimi përdoret në një rast të veçantë. Figura më poshtë përshkruan procesin e vërtetimit në një rrjet me valë duke përdorur EAP-TLS.

Këtu është e përshtatshme të përfundojmë një digresion të vogël lirik dhe teorik, i cili është i nevojshëm për të marrë një ide të përafërt të asaj që qëndron në thellësi të një rrjeti të sigurt pa tel. Më pas, do të propozohet një zbatim praktik i koncepteve të përshkruara më sipër. Një kompjuter që ekzekuton FreeBSD 5.3 me paketën FreeRADIUS do të përdoret si server RADIUS. Për të organizuar infrastrukturën PKI (Infrastruktura e Çelësave Publike), do të përdoret paketa OpenSSL. I gjithë rrjeti pa tel do të bazohet në pajisje pa tel D-Link të lira dhe të besueshme. Supozohet se Windows XP SP2 është i instaluar në makinat e klientit. ky sistem operativ ka një superlikant të integruar dhe një përditësim i fundit nga Microsoft shton mbështetjen për WPA2.

Instaloni dhe konfiguroni OpenSSL dhe FreeRADIUS

Supozon se FreeBSD 5.3 ka të instaluar një NIC, koleksioni i porteve është përditësuar, Midnight Commander është i pranishëm dhe kompjuteri është i lidhur me internetin. Në vijim, do të supozojmë se rrjeti pa tel është i vendosur në një rrjet të korporatës me një maskë prej 192.168.0.0/24.

Për të filluar, disa fjalë rreth konfigurimit të një rrjeti pa tel, dhe më pas do të japim një shembull të konfigurimit të D-Link DWL-2100AP për të siguruar ndërveprimin me një server RADIUS.

Një rrjet pa tel brenda zyrës zakonisht përbëhet nga disa pika aksesi (i gjithë mbulimi është i ndarë në qeliza të vogla) që janë të lidhura me një ndërprerës me tela. Shpesh, për të ndërtuar një WLAN, përdoren çelësa me mbështetje të integruar të Power over Ethernet (802.3af) në porte (për shembull, D-Link DES-1316K). Me ndihmën e tyre, është e përshtatshme të furnizoni me energji pikat e hyrjes të shpërndara nëpër zyrë. Pikat e vendosura aty pranë janë të akorduara në kanale që nuk mbivendosen me rreze, në mënyrë që të mos ndërhyjnë me njëra-tjetrën. Në brezin 2.4 GHz, në të cilin funksionojnë pajisjet 802.11b / g, ekzistojnë 3 kanale jo të mbivendosura për pajisjet me 11 kanale, dhe 4 kanale jo të mbivendosura për pajisjet në të cilat mund të zgjidhni 13 kanale (sinjali me brez të gjerë të aksesit pika zë 3 kanale të diapazonit). Pikat e aksesit D-Link DWL-2100AP dhe DWL-2700AP mund të sintonizohen në cilindo nga 13 kanalet, përveç kësaj, mund të aktivizoni funksionin e sintonizimit automatik në një kanal bosh. Kështu që ne do ta bëjmë.

Nëse ka abonentë celularë në rrjet që lëvizin në të gjithë zonën e mbulimit, mund të vendosni të gjitha pikat me të njëjtin emër të rrjetit pa tel - SSID, atëherë pajtimtari do të lidhet automatikisht me një pikë të re nëse lidhja me të mëparshmen është humbur. Në këtë rast, ai do të ri-autentikohet, i cili, në varësi të kërkuesit, do të zgjasë disa sekonda ose më shumë. Kështu realizohet roaming më i thjeshtë jo inteligjent brenda rrjetit. Një opsion tjetër: nëse secila pikë ka SSID-në e vet, atëherë mund të konfiguroni disa profile të rrjetit pa tel në vetitë e lidhjes me valë dhe të kontrolloni opsionin "lidhu me çdo rrjet të disponueshëm" atje. Kështu, nëse lidhja humbet, klienti do të lidhet me një pikë të re.

Ne konfigurojmë DWL-2100AP për të bashkëvepruar me RADIUS.

• Shkojmë në ndërfaqen në internet të pikës së hyrjes (si ta bëjmë këtë, është shkruar në udhëzimet për pikën), ndryshojmë menjëherë fjalëkalimin e paracaktuar në skedën TOOLS / ADMIN /.
• Në skedën HOME / LAN, caktoni adresën IP në pikën e hyrjes, e cila u vendos në clients.conf: 192.168.0.220.

• Në skedën HOME / WIRELESS, ne bëjmë gjithçka siç tregohet në fig. 3; në fushën "Radius Secret", specifikoni fjalëkalimin që korrespondon me këtë pikë në clients.conf (ne specifikuam "12345").

Pjesa tjetër e pikave të hyrjes janë konfiguruar në të njëjtën mënyrë, vetëm ato do të kenë adresa IP të ndryshme, kanale (nëse vendosen manualisht), si dhe vlerën e fushës "Radius Secret".

Ne krijojmë certifikata

Së pari, disa fjalë të përgjithshme për atë që është PKI. Kjo është një lloj infrastrukture, çdo subjekt i së cilës ka një certifikatë dixhitale unike që vërteton identitetin e tij; ndër të tjera, një certifikatë dixhitale përmban një çelës privat. Mesazhet e koduara me të mund të deshifrohen duke ditur çelësin publik përkatës. Në të kundërt, mesazhet e enkriptuara me çelës publik mund të deshifrohen vetëm duke përdorur çelësin privat. Çdo subjekt PKI ka një çelës publik dhe privat.

Subjekti PKI mund të jetë ose kompjuteri i një përdoruesi ose PDA, ose çdo element tjetër i infrastrukturës së rrjetit - një ruter, një server në internet, madje edhe një server RADIUS, që është rasti në rastin tonë. Në krye të gjithë këtij sistemi është autoriteti kryesor AK (Autoriteti i Certifikatës), supozohet se të gjithë i besojnë dhe të gjithë e njohin atë - ai është i angazhuar në nënshkrimin e certifikatave (që vërteton se bartësi i certifikatës është me të vërtetë ai që pretendon të jetë ). Ndihmohet nga shërbime speciale për pranimin e kërkesave për certifikata dhe lëshimin e tyre; numrat e të gjitha certifikatave të lëshuara dhe të revokuara ruhen në një regjistër të veçantë. Në realitet, e gjithë kjo fermë në dukje e madhe përshtatet në një kompjuter dhe një person mund ta menaxhojë lehtësisht atë.

Për të krijuar certifikata, ne do të përdorim skriptet që vijnë me FreeRADIUS.

• Së pari, ne do të krijojmë CA-në tonë - për këtë do të na duhet të gjenerojmë një nënshkrim dixhital, i cili do të nënshkruajë të gjitha certifikatat e lëshuara prej tij, si dhe çelësin publik.
• Më pas do të krijojmë një certifikatë serveri, do ta instalojmë në RADIUS.
• Dhe së fundi, ne do të gjenerojmë certifikata për instalim në kompjuterët e klientit.

Krijoni drejtorinë / usr / local / etc / raddb / CA, kopjoni skedarin CA.all dhe skedarin xpextensions nga dosja /usr/ports/net/freeradius/work/freeradius-1.0.2/scripts/ atje. CA.all është një skript interaktiv që gjeneron certifikata CA, klient dhe server. Xpextensions është një skedar që përmban çelësa të veçantë të Microsoft "Extended Key Usage" që kërkohen për EAP-TLS për të punuar me sistemet Windows.

Hapni skedarin CA.all:

• në rreshtin 1 do të korrigjojmë shtegun - duhet të duket kështu:

SSL = / usr / lokal / openssl

• në rreshtin 32 korrigjojmë shtegun - duhet të duket kështu:

jehonë “newreq.pem” | /usr/local/openssl/ssl/misc/CA.pl -newca

Kopjo CA.all në skedarin CA_users.all. Pastaj hapim të fundit dhe lëmë tekstin nga rreshtat 48 deri në 64, fshijmë pjesën tjetër të rreshtave - pjesa tjetër është seksioni CA.all, në të cilin gjenerohen certifikatat e klientit. Do të përdoret shumë herë, kështu që është i përshtatshëm për ta ndarë atë në një skenar të veçantë. Hapni CA.all, fshini rreshtat nga 48 në 64 prej tij - gjithçka që u zgjodh në një skenar të veçantë dhe ruajeni.

Shënim: skedarët CA.all dhe CA_users.all - përmbajnë frazën e fshehtë të kalimit "whatever", e cila përdoret si një masë sigurie shtesë gjatë lëshimit dhe revokimit të certifikatave. Një person që nuk e njeh këtë frazë nuk do të jetë në gjendje të nënshkruajë ose të revokojë certifikatën. Në parim, përveç operatorit CA, askush tjetër nuk do të ketë nevojë për të. Për të rritur sigurinë, duhet të zëvendësoni të gjitha fjalët "çfarëdo qoftë" në skriptet CA.all dhe CA_users.all me fjalëkalimin tuaj. Do të duhet gjithashtu të futet në eap.conf në rreshtin "private_key_password = çfarëdo". Në vijim, do të supozoj se e kemi lënë të pandryshuar kudo fjalëkalimin "çfarëdo". Ne do ta prezantojmë atë duke krijuar certifikata të klientit dhe serverit, si dhe duke i revokuar ato.

Krijo certifikatë CA dhe server

Hap CA.all. Gjëja e parë që gjeneron në mënyrë interaktive është certifikata rrënjë CA (cacert.pem), një çift çelësash publik/privat (cakey.pem), një çelës publik i certifikatës rrënjësore PKCS # 12 (root.der), më pas një certifikatë serveri (cert_srv. pem ) të cilin do ta instalojmë në RADIUS. Të gjithë skedarët e listuar (dhe madje disa që nuk janë të listuar) do të shfaqen në dosjen CA.

Krijo një CA (ai do të quhet "Administrator"):

Krijo një certifikatë për RADIUS:

Kopjoni skedarët /raddb/CA/cert_srv.pem dhe /raddb/CA/demoCA/cacert.pem në dosjen / raddb / certs - instaloi certifikatat në serverin RADIUS.

Ne krijojmë certifikata klientësh

Për të gjeneruar certifikata të klientit, ne përdorim skriptin tonë CA_users.all. Për shembull, le të krijojmë një certifikatë për user1:

• Hapni CA_users.all, zëvendësoni të gjitha fjalët cert-clt * Në të me user1. * (Kjo është e nevojshme për të dalluar me emrin e skedarit se cila certifikatë është e destinuar për cilin përdorues, përndryshe një certifikatë do të krijohet me të njëjtin skedar emri ( cert-clt. *) Do të krijojmë disa certifikata njëherësh për user1, user2,3,4,5). Përndryshe, mund të përdorni emrat përshkrues të skedarëve që përmbajnë certifikatën, për shembull, SergeyPetrov, IvanIvanov, etj.
• Fjalëkalimi - "çfarëdo" në rreshtat 3, 4 zëvendësohet me një të vërtetë, siç tregohet në listë:

CA_users.all file

1 | openssl req -new -keyout newreq.pem -out newreq.pem -ditë 730 -passin pass: whatever -passout pass: whatever

2 | openssl ca -policy policy_anything -out newcert.pem -passin pass: whatever -key whatever -extensions xpclient_ext \

Extfile xpextensions -infiles newreq.pem

3 | openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -out user1.p12 -clcerts -passin pass: whatever - passout pass: user1_password

4 | openssl pkcs12 -in user1.p12 -out user1.pem -passin pass: user1_password -passout pass: user1_password

5 | openssl x509 -inform PEM -outform DER -in user1.pem -out user1.der

Për shembull, ne futim "user1_password" - ky fjalëkalim do të kërkohet kur instaloni certifikatën në kompjuterin e përdoruesit, ai duhet të mbahet mend. Ky, siç thashë, është një mjet shtesë vërtetimi për veprimet që lidhen me lëshimin e një certifikate.

• Ne ruajmë dhe ekzekutojmë skriptin, marrim tre skedarë user1.der, user1.pem, user1.p12 - kjo e fundit është një certifikatë në formatin PKСS # 12 për instalim në një klient Windows.

Ekzekutoni CA_users.all të modifikuar. Krijo një certifikatë për përdoruesin 1:

Emri i shtetit (kodi me 2 shkronja): RU

Tani ne krijojmë një fjalëkalim për user2:

• Hapni CA_users.all, zëvendësoni user1. * Në të me user2. *
• Zëvendësoni fjalëkalimin "user1_password" me "user2_password" (mos harroni ta mbani mend atë në mënyrë që të mund ta instaloni certifikatën më vonë).
• Ne ruajmë dhe ekzekutojmë skriptin - marrim skedarin user2.p12.

Krijo një certifikatë për përdoruesin 2:

Ne ruajmë çdo certifikatë në një disketë të veçantë, shkruajmë fjalëkalimin e instalimit ("userX_password") në të, shkruajmë çelësin publik root.der në të njëjtën disketë (është i njëjtë për të gjithë) dhe ia lëshojmë përdoruesit. Përdoruesi instalon certifikatën në kompjuterin e tij (më shumë për këtë më vonë) dhe e vendos disketën në kasafortë.

Instalimi i certifikatave në kompjuterin e klientit

Pra, përdoruesi (le të themi atë që emërtuam user1) mori një floppy disk, përmbajtja e së cilës janë dy skedarë root.der dhe user1.p12. Gjithashtu në disketë është shkruar fjalëkalimi "user1_password".

Le të fillojmë duke instaluar root.der

• klikoni dy herë në skedarin root.der;
• klikoni "Instaloni certifikatën";
• klikoni "Next";
• zgjidhni opsionin "Vendosni të gjitha certifikatat në dyqanin e mëposhtëm", ​​klikoni "Browse" (Fig. 4);

• zgjidhni "Trusted Root Certification Authorities", kliko "OK" (Fig. 5);

• klikoni "Next", pastaj "Finish";
• lëshohet një paralajmërim sigurie: “Nuk është e mundur të verifikohet që certifikata i përket” Administratorit…. Të instalohet kjo certifikatë? shtypim "Po";
• shfaqet mesazhi "Importi u krye me sukses." klikoni "OK" dy herë.

Instaloni certifikatën e përdoruesit user1.p12.

• Klikoni dy herë në skedarin user1.p12, klikoni "Next" dy herë.

• Këtu duhet të futni fjalëkalimin që kemi vendosur për certifikatën user1. Në shembullin tonë, kjo është "user1_pass-word" (ose çfarëdo që të dalësh me), ajo shkruhet në mënyrë konvencionale në një disketë me një certifikatë. Futni atë dhe klikoni "Next".
• Klikoni "Next", pastaj "Finish" - shfaqet mesazhi "Importi u krye me sukses", klikoni "OK".

Shënim: të gjitha certifikatat që kemi instaluar mund të shikohen përmes MMC duke përdorur snap-in Certifikatat -> Përdoruesi aktual (Personal -> Certifikatat).

Konfigurimi i përshtatësve me valë D-Link DWL-G650 (DWL-G520 / DWL-G120) dhe një kërkues

D-Link DWL-G650 është një përshtatës CardBus, DWL-G520 është një përshtatës PCI dhe DWL-G120 është një përshtatës USB. Ato janë konfiguruar plotësisht identike. Le të shohim procedurën duke përdorur DWL-G650 si shembull.

• Ne nxjerrim përshtatësin nga kutia, e lëmë mënjanë; instaloni drejtuesit nga disku i përfshirë. Pas instalimit të drejtuesit, ne heqim programin vendas për konfigurimin e përshtatësit nga fillimi, sepse do të përdorim shërbimin e konfigurimit të harduerit me valë të integruar në Windows XP për këto qëllime. Ne futim përshtatësin në kompjuter.
• Klikoni një herë me butonin e majtë të miut në ikonën e kryqëzuar të lidhjes me valë (në tabaka e sistemit), më pas zgjidhni artikullin "Ndrysho parametrat shtesë" (Fig. 7).

• Zgjidhni skedën "Wireless Networks", zgjidhni rrjetin tonë wireless atje (megacompany_DWL-2100AP), shkoni te "Properties" (Fig. 8).

• Në skedën "Lidhjet" në menunë rënëse "Kriptimi i të dhënave", zgjidhni protokollin TKIP. Kalojmë në skedën "Authentication" (Fig. 9).

• Këtu lëmë gjithçka të pandryshuar, shkoni te "Properties" të EAP (Fig. 10).

• I vendosim çelësat siç tregohet në fig. 11, në dritaren "Trusted Root Certification Authorities", zgjidhni CA-në tonë - do të quhet Administrator (nëse gjithçka është bërë saktësisht siç përshkruhet në seksionin "Krijimi i certifikatave").

• Për çdo rast, klikoni "Shiko certifikatën" dhe studioni se kush është ofruesi i certifikatës. Ne sigurohemi që ky të jetë "Administrator" i AK-së tonë të korporatës që kemi krijuar (Fig. 12).

• Klikoni "OK", kjo përfundon konfigurimin e kartës së rrjetit dhe superlikantit.

Ne kontrollojmë punën e WPA-Enterprise në rrjetin tonë

Tani ka ardhur koha e shumëpritur për të testuar të gjitha cilësimet në funksionim. Nisni FreeRADIUS në modalitetin e korrigjimit me komandën "radiusd -X" dhe shikoni në ekran:

rrezja # radiusd –X

Në fund janë rreshtat:

Epo, ose në rastin më të keq, shkruhet pse FreeRADIUS nuk filloi - mos e humbni shpresën nëse kjo ndodh. Ju duhet të studioni me kujdes mesazhin e gabimit dhe të kontrolloni të gjitha cilësimet.

Klikoni në ikonën e lidhjes së rrjetit pa tel, më pas në rrjetin me valë të quajtur "mega-company_DWL-2100AP". Më pas e kthejmë shikimin drejt monitorit, në të cilin funksionon radiusd dhe shfaqet procesi i vërtetimit të suksesshëm (nuk do të tregojmë të gjithë daljen e serverit, sepse është mjaft i madh, do të japim vetëm rreshtat fillestarë dhe përfundimtarë).

Fillimi i tërheqjes:

Fundi i tërheqjes:

Autentifikimi ishte i suksesshëm, kompjuteri merr një adresë IP nga serveri DHCP dhe tani mund të punojë në rrjetin me valë. Nga rruga, nëse disa certifikata të klientit janë instaluar në kompjuter (kjo ndodh gjithashtu), atëherë superlicant do të ofrojë të zgjedhë cilën të përdorë për vërtetim specifik.

Revokimi i certifikatave

Duket se gjithçka është tashmë e qartë - tashmë është ndërtuar një rrjet i sigurt pa tel, por në fakt ekziston një aspekt më i rëndësishëm që do të shqyrtojmë tani. Supozoni se dëshironi të mohoni hyrjen në rrjetin pa tel për një nga kompjuterët (për shembull, laptopin personal të një prej punonjësve), në të cilin kemi instaluar më parë certifikatën. Arsyet mund të jenë më të zakonshmet - shkarkimi i një punonjësi, reduktimi, etj. Për të zgjidhur këtë problem, duhet të shënoni në regjistër (/usr/local/etc/raddb/CA/demoCA/index.txt), i cili ruan një listë e të gjitha certifikatave të nënshkruara, certifikata e përdoruesit që duam të refuzojmë hyrjen në rrjet, si e revokuar. Pas kësaj, duhet të krijoni (ose të përditësoni, nëse tashmë ekziston) një listë e revokimit të certifikatave (CRL - Lista e revokimit të certifikatave). Dhe më pas konfiguroni RADIUS në mënyrë që gjatë vërtetimit të përdoruesve t'i referohet kësaj liste dhe të kontrollojë nëse certifikata e paraqitur e klientit është në të.

Në eksperimentet tona të mëparshme, ne krijuam dy certifikata për përdoruesin1 (Andrey Ivanov) dhe përdoruesin2 (Mikhail Ivanov). Për shembull, le të mohojmë aksesin në rrjetin pa tel për këtë të fundit. Le të kalojmë nëpër tre hapat e ardhshëm.

Hapi 1

Ne e shënojmë certifikatën user2 në regjistër si të revokuar: duke qenë në / usr / local / etc / raddb / CA japim komandën:

radius # openssl ca -revoke user2.pem

OpenSSL betohet, por bën atë që duam. Gjatë ekzekutimit të komandës, duhet të futni frazën e fshehtë të kalimit ("çfarëdo qoftë"). Në këtë rast, në /raddb/CA/demoCA/index.txt, certifikata do të shënohet si e revokuar, të cilën mund ta verifikojmë duke parë këtë skedar. Shkronja "R" shfaqet pranë hyrjes që korrespondon me certifikatën e revokuar.

Hapi 2

Krijo një listë revokimi (CRL). Nëse tashmë ekziston, do të përditësohet. Duke qenë në / usr / local / etc / raddb / CA, ne japim komandën:

radius # openssl ca -gencrl -out ca.crl

Përsëri, gjatë ekzekutimit të komandës, duhet të vendosni fjalëkalimin sekret "çfarëdo". Si rezultat, skedari ca.crl shfaqet në drejtorinë / raddb / CA / - kjo është lista e revokimeve. Brenda, duket si një kriptim, mund ta shikoni kështu:

radius # openssl crl -in ca.crl -tekst –noout

Ne shohim në të një certifikatë të revokuar me numrin serial D734AD0E8047BD8D (aka user2, aka Mikhail Ivanov).

Vini re se një veti e rëndësishme e CRL është data e skadimit të saj. Duhet të përditësohet jo më vonë se data e skadimit (Përditësimi: 26 qershor 23:33:19 2005 GMT). Data e skadimit të CRL mund të vendoset në skedarin openssl.cnf (kishim default_crl_days = 30).

Hapi 3

Ne e lidhim listën e rishikimeve me FreeRADIUS:

• kopjoni skedarin /raddb/CA/ca.crl në / raddb / certs / (mbi ca.crl të vjetër, nëse është atje);
• shkoni te / raddb / certs / dhe ngjitni ca.crl te skedari cacert.pem:

cat cacert.pem ca.crl> ca.pem

• bëni ndryshime të vogla në seksionin e skedarit TLS /raddb/eap.conf

# këtu kemi ndryshuar cacert.pem në ca.pem

CA_file = $ (raddbdir) /certs/ca.pem

CA_rruga = $ (raddbdir) / certifikatat #shtoni këtë rresht

check_crl = po # dhe kjo rresht

Le të përpiqemi të vërtetojmë kompjuterin me certifikatën user2 në rrjet. Autentifikimi dështon dhe përdoruesi1 hyn lirisht në rrjetin pa tel, sipas nevojës.

Tani rrjeti i sigurt wireless mund të konsiderohet i ndërtuar.

Numri i njerëzve që përdorin në mënyrë aktive internetin po rritet me hapa të mëdhenj: në punë për të adresuar qëllimet dhe administratën e korporatës, në shtëpi, në vende publike. Rrjetet dhe pajisjet Wi-Fi po fitojnë popullaritet, duke ju lejuar të hyni lirisht në internet.

Rrjeti Wi-Fi ka një fjalëkalim me kabllo, pa e ditur të cilin do të jetë pothuajse e pamundur të lidheni me një rrjet specifik, përveç rrjeteve publike (kafene, restorante, qendra tregtare, pika aksesi në rrugë). "Praktikisht" nuk duhet kuptuar në kuptimin e drejtpërdrejtë: ka mjaft mjeshtër që janë në gjendje të "hapin" rrjetin dhe të kenë akses jo vetëm në burimin e ruterit, por edhe në të dhënat e transmetuara brenda një rrjeti të caktuar.

Por në këtë fjalë hyrëse, ne folëm për lidhjen me wi-fi - vërtetimi përdoruesi (klienti) kur pajisja e klientit dhe pika e aksesit zbulojnë njëra-tjetrën dhe konfirmojnë se mund të komunikojnë me njëri-tjetrin.

Opsionet e vërtetimit:

• Hapur- një rrjet i hapur në të cilin të gjitha pajisjet e lidhura autorizohen menjëherë
• Të përbashkëta- origjinaliteti i pajisjes së lidhur duhet të verifikohet me një çelës / fjalëkalim
• EAP- autenticiteti i pajisjes së lidhur duhet të verifikohet duke përdorur protokollin EAP nga një server i jashtëm

Kriptimi i ruterit: metodat dhe karakteristikat e tyre

Enkriptimi- ky është një algoritëm fërkimit (përleshje - për të kriptuar, përzier) të dhënat e transmetuara, ndryshimi dhe gjenerimi i çelësit të kriptimit

Lloje të ndryshme të enkriptimit janë zhvilluar për pajisjet wifi, duke bërë të mundur mbrojtjen e rrjetit nga hakerimi dhe të dhënat nga aksesi publik.

Sot dallohen disa opsione enkriptimi. Le të shqyrtojmë secilën prej tyre në më shumë detaje.

Llojet e mëposhtme dallohen dhe janë më të zakonshmet:

• HAPUR;
• WPA, WPA2;

Lloji i parë, i referuar si OPEN, përmban të gjithë informacionin e kërkuar për njohjen në emër. Ky modalitet nuk do të lejojë enkriptimin e të dhënave ose mbrojtjen e pajisjeve të rrjetit, sepse pika e hyrjes do të jetë, me kusht që të zgjidhet ky lloj, e hapur përgjithmonë dhe e disponueshme për të gjitha pajisjet që do ta zbulojnë atë. Disavantazhet dhe dobësitë e këtij lloji të "kriptimit" janë të dukshme.

Nëse rrjeti është i hapur, nuk do të thotë se kushdo mund të punojë me të. Për të përdorur një rrjet të tillë dhe për të transferuar të dhëna në të, duhet të përputheni me metodën e përdorur të enkriptimit. Dhe një kusht tjetër për përdorimin e një rrjeti të tillë është mungesa e një filtri MAC që përcakton adresat MAC të përdoruesve në mënyrë që të njohë se cilat pajisje janë të ndaluara ose lejohen të përdorin këtë rrjet.

WEP

Lloji i dytë, i njohur si WEP, daton në vitet '90 të shekullit të kaluar, duke qenë paraardhësi i të gjitha llojeve të mëpasshme të kriptimit. Kriptimi Wep sot është më i dobëti nga të gjitha opsionet ekzistuese të mbrojtjes. Shumica e ruterave modernë, të ndërtuar nga ekspertë dhe duke marrë parasysh interesat e privatësisë së përdoruesit, nuk mbështesin enkriptimin wep.

Ndër minuset, përkundër faktit se ekziston të paktën një lloj mbrojtjeje (në krahasim me OPEN), veçohet mosbesueshmëria: është për shkak të mbrojtjes afatshkurtër, e cila aktivizohet në intervale të caktuara. Pas kësaj periudhe, fjalëkalimi për rrjetin tuaj mund të jetë lehtësisht brut-force, dhe çelësi wep do të thyhet deri në 1 minutë. Kjo është për shkak të bitness të çelësit wep, i cili, në varësi të karakteristikave të pajisjeve të rrjetit, është nga 40 në 100 bit.

Dobësia kryesore Wep qëndron në faktin se pjesë të fjalëkalimit transmetohen së bashku me paketat e të dhënave. Përgjimi i paketave për një specialist - haker ose cracker - është një detyrë e lehtë për t'u kryer. Është gjithashtu e rëndësishme të kuptohet fakti që mjetet softuerike moderne janë të afta të përgjojnë paketat e të dhënave dhe janë krijuar posaçërisht për këtë.

Kështu, enkriptimi wep është mënyra më e pabesueshme për të mbrojtur rrjetin tuaj dhe pajisjet e rrjetit.

WPA, WPA2

Varietetet e tilla janë më moderne dhe perfekte nga pikëpamja e organizimit të mbrojtjes për momentin. Nuk ka analoge me to. Mundësia për të vendosur çdo gjatësi të përshtatshme për përdoruesin dhe kombinimi alfanumerik i çelësit wpa e bën jetën mjaft të vështirë për ata që duan të përdorin në mënyrë të paautorizuar një rrjet specifik ose të përgjojnë të dhëna nga ky rrjet.

Këto standarde mbështesin algoritme të ndryshme të kriptimit që mund të transmetohen pas ndërveprimit të protokolleve TKIP dhe AES. Lloji i enkriptimit aes është një protokoll më i avancuar se tkip, dhe mbështetet dhe përdoret në mënyrë aktive nga shumica e ruterave modernë.

Kriptimi Wpa ose wpa2 është lloji i preferuar për përdorim shtëpiak dhe korporativ. Kjo e fundit bën të mundur përdorimin e dy mënyrave të vërtetimit: kontrollimi i fjalëkalimeve për hyrjen e përdoruesve të caktuar në rrjetin e përgjithshëm kryhet, në varësi të cilësimeve të specifikuara, në modalitetin PSK ose Enterprise.

PSK supozon akses në pajisjet e rrjetit dhe burimet e internetit duke përdorur një fjalëkalim të vetëm, i cili duhet të futet kur lidhet me ruterin. Ky është opsioni i preferuar për një rrjet shtëpiak, lidhja e të cilit kryhet brenda një zone të vogël me pajisje të caktuara, për shembull: celular, kompjuter personal dhe laptop.

Për kompanitë me staf solid, PSK nuk është një mënyrë e përshtatshme vërtetimi, kështu që u zhvillua mënyra e dytë, Enterprise. Përdorimi i tij bën të mundur përdorimin e një sërë çelësash që do të ruhen në një server të veçantë të dedikuar.

WPS

Vërtet moderne dhe, bën të mundur lidhjen me një rrjet pa tel me shtypjen e një butoni. Nuk ka kuptim të mendosh për fjalëkalime ose çelësa, por ia vlen të theksohen dhe të merren parasysh një sërë mangësish serioze në lidhje me aksesin në rrjetet me WPS.

Lidhja përmes kësaj teknologjie kryhet duke përdorur një çelës që përfshin 8 karaktere. Dobësia e llojit të kriptimit është si më poshtë: ka një gabim serioz që lejon sulmuesit ose hakerët të kenë akses në rrjet nëse të paktën 4 shifra nga një kombinim tetëshifror janë në dispozicion të tyre. Në të njëjtën kohë, numri i përpjekjeve për të gjetur një fjalëkalim është rreth disa mijëra, por për softuerin modern ky numër është qesharak. Nëse matim në kohë procesin e detyrimit të WPS, atëherë procesi do të zgjasë jo më shumë se një ditë.

Vlen të përmendet fakti se kjo dobësi është në fazën e përmirësimit dhe mund të korrigjohet, prandaj, në modelet e mëvonshme të pajisjeve me modalitetin WPS, filluan të futen kufizime në numrin e përpjekjeve të hyrjes, gjë që e ndërlikoi ndjeshëm detyrën e të paautorizuar akses për ata që janë të interesuar për këtë.

Sidoqoftë, për të rritur nivelin e përgjithshëm të sigurisë, përdoruesit me përvojë rekomandojnë që të braktisni rrënjësisht teknologjinë e konsideruar.

Duke përmbledhur

Metoda më moderne dhe vërtet e besueshme e organizimit të mbrojtjes së rrjetit dhe të dhënave të transmetuara brenda tij është WPA ose analoge e saj WPA2.

Opsioni i parë preferohet për përdorim në shtëpi nga një numër i caktuar i pajisjeve dhe përdoruesve.

E dyta, e cila ka një funksion vërtetimi me modalitet të dyfishtë, është më i përshtatshëm për kompanitë e mëdha. Përdorimi i tij justifikohet me faktin se pas shkarkimit të punonjësve nuk ka nevojë të ndryshohen fjalëkalimet dhe çelësat, sepse një numër i caktuar fjalëkalimesh dinamike ruhen në një server të dedikuar posaçërisht, në të cilin kanë akses vetëm punonjësit aktualë të kompanisë.

Duhet të theksohet se WPA2 preferohet nga shumica e përdoruesve të energjisë edhe për përdorim shtëpiak. Nga pikëpamja e organizimit të mbrojtjes së pajisjeve dhe të dhënave, kjo metodë e enkriptimit është më e avancuara që ekziston sot.

Sa i përket popullaritetit në rritje të WPS, braktisja e tij do të thotë në një masë të caktuar sigurimin e pajisjeve të rrjetit dhe të dhënave të informacionit të transmetuara me ndihmën e tij. Derisa teknologjia të zhvillohet mjaftueshëm dhe të mos ketë të gjitha avantazhet, për shembull, WPA2, rekomandohet të përmbaheni nga përdorimi i saj, pavarësisht nga lehtësia e dukshme e përdorimit dhe komoditeti. Në fund të fundit, siguria e rrjetit dhe grupet e informacionit të transmetuara brenda tij është një prioritet për shumicën e përdoruesve.

Në kontakt me

Le të hedhim një vështrim në disa metoda të vërtetimit WLAN, përkatësisht vërtetimin e hapur, PSK dhe EAP.

Hap Autentifikimin

Si parazgjedhje, nuk kërkohet vërtetim për pajisjet me valë. Të gjitha pajisjet lejohen të krijojnë lidhje pavarësisht nga lloji dhe përkatësia e tyre. Quhet autentikimi i hapur... Vërtetimi i hapur duhet të përdoret vetëm në rrjetet publike me valë si shkollat ​​dhe kafenetë e internetit (restorante). Mund të përdoret në rrjetet ku vërtetimi do të kryhet me mjete të tjera pas lidhjes me rrjetin.

Çelësi i përbashkët paraprak (PSK)

Kur përdorni modalitetin PSK pika e aksesit dhe klienti duhet të përdorin një çelës të përbashkët ose një kod kalimi. Pika e aksesit dërgon një varg të rastësishëm bajtesh te klienti. Klienti e merr këtë varg, e kodon atë (ose e gërsheton) duke përdorur çelësin dhe e dërgon përsëri në pikën e hyrjes. Pika e aksesit merr vargun e koduar dhe përdor çelësin e tij për ta deshifruar atë. Nëse vargu i deshifruar i marrë nga klienti përputhet me vargun origjinal të dërguar te klienti, atëherë klientit i jepet leja për të krijuar lidhjen.

Në këtë rast, kryhet vërtetimi njëkahësh, d.m.th. pika e hyrjes kontrollon detajet e nyjës së lidhur. PSK nuk nënkupton vërtetimin e pikës së aksesit nga hosti, as nuk vërteton përdoruesin që lidhet me hostin.

Protokolli i Zgjerueshëm i Autentifikimit (EAP)

EAP siguron vërtetim të ndërsjellë ose të dyanshëm si dhe vërtetim të përdoruesit. Nëse softueri EAP është i instaluar në klient, klienti komunikon me një server të brendshëm vërtetimi të tillë si Vërtetimi i përdoruesit me telefon në distancë (RADIUS). Ky server i brendshëm funksionon në mënyrë të pavarur nga pika e hyrjes dhe mban një bazë të dhënash të përdoruesve që kanë leje për të hyrë në rrjet. Me EAP, përdoruesi, jo vetëm hosti, duhet të sigurojë një emër përdoruesi dhe fjalëkalim, të cilat më pas verifikohen në bazën e të dhënave të serverit RADIUS. Nëse kredencialet e dhëna janë të vlefshme, përdoruesi konsiderohet i vërtetuar.