| dc.description.abstract | I emnet TTM4137 Mobil sikkerhet er det utviklet en student lab [2] som muliggjør uttesting av sårbarhet i IEEE 802.11 teknologi. Denne oppgaven skal basere seg på dette og videreutvikle dette verktøyet slik at det egner seg for å gjøre undersøkelser av Robust Security Network (RSN) sikkerhetsarkitektur spesifisert i IEEE 802.11i. RSN innbefatter AES-CCMP krypto og et trenivå nøkkelhierarki. Oppgaven går ut på å sette seg inn i nett-teknologien, tilegne seg forståelse og ferdigheter i verktøyet, og sette opp og beskrive et testoppsett av styring av brukeraksess i RSN basert på IEEE 802.1X modellen med fokus på gjensidig autentisering ved hjelp av digitale sertifikater og EAP-TLS over RADIUS. Basert på denne uttestingen skal kandidaten gjøre sin vurdering av hvor godt denne løsningen vil fungere teknisk og organisatorisk for brukere med små mobile terminaler i praksis. Laben settes opp som vist i kapittel 3, og kjøres som vist i kapittel 4. Problemet med web-innmelding er at en Windows Mobile enhet må anskaffe sertifikatene fra en webserver. Kun Windows 2000/2003 Server er støttet, og webserveren må være Internet Information Services og CAen må være Microsoft Certificate Services. Vil en da benytte seg av en CA eller VPN-server som ikke er basert på Windows, må en da benytte seg av egne installasjonsprogrammer eller finne et som passer sine behov. Et slikt program er P12import – et velrenommert open source program utviklet av Jacco de Leeuw. Det kan lastes ned fra [20]. Et alternativ til sertifikatinnmelding er import av sertifikat. PKCS#12 er standardformatet for lagring av private nøkler og sertifikat. Formatet er støttet av mange tilbydere – inkludert Microsoft. De fleste VPN-klientene støtter PKCS#12. Import av PKCS#12 filer støttes kun i Microsofts Windows Mobile 6 og ikke på Pocket PC 2003 og Windows Mobile 5.0. Dermed trenger en et program egnet for import av sertifikater. Forsøk på å koble seg til laboppsettet i denne oppgaven med en Qtek9000 mislyktes grunnet enheten manglet støtte for RSN og EAP-TLS. Men siden enheten støtter TKIP, PEAP og IEEE 802.1X, kan laboppsettet modifiseres til å kjøre over TKIP og PEAP. Dette gir ikke gjensidig autentisering – noe som er et krav i problemstillingen, og ble dermed ikke gjennomført i denne oppgaven. For å koble til en handholdt enhet opp mot Trådløse Trondheim ved hjelp av IEEE 802.1X må en få utstedt et sertifikat fra Trådløse Trondheim. I oppgaveforfatterens forsøk med en Qtek9000 ble det utstedt et .der sertifikat som ble omgjort til et .cer sertifikat. Ved å installere dette og velge det fra profilen får en koblet til. Formatet på sertifikatet varierer fra enhet til enhet. Det er en forutsetning at brukeren befinner seg innenfor dekningsområdet til Trådløse Trondheim. En lignende gjennomgang er vist på [22] og i kapittel 4.2. I denne oppgaven har det blitt tatt for seg teorien som trengs for forståelsen av denne laben. Det har også blitt beskrevet i detalj hvordan en skal gå frem for å sette opp et trådløst nettverk basert på RSN, IEEE 802.1X og EAP-TLS med digitale sertifikater. Med opplysningene gitt i denne masteroppgaven skal det ikke være noen problem å sette opp sitt eget nettverk, uavhengig av størrelse. WPA er ikke perfekt – verden trenger ennå en metode som kan håndtere passordbeskyttet sertifikater uten å lagre passordet i klartekst. Men trådløse nettverksmetoder ser endelig ut til å bevege seg i en sikker retning. Når det gjelder problemstillingen rundt handholdte enheter hadde ikke kandidaten riktig utstyr tilgjengelig. Qtek9000, som blir brukt her, støttet verken RSN eller EAP-TLS. Den støttet riktig nok TKIP og PEAP, så med litt modifikasjoner av laboppsettet kan den kobles til laben. Men siden laben da er basert på PEAP er ikke gjensidig autentisering mulig, og hele problemstillingen til denne oppgaven må da modifiseres. Enheten kan benyttes til å koble til Trådløse Trondheim siden de baserer seg på PEAP (per dags dato). Det er muligheter for at de skal bytte denne metoden mot en annen. En må da få utstedt et IEEE 802.1X sertifikat fra Trådløse Trondheim som benyttes til å koble seg opp mot SSIDen ”ntnu1x”. Den ledende leverandøren av slike handholdte enheter – HTC, tidligere Qtek, har foreløpig ikke enheter som støtter RSN. Dermed må en vente til dette er utført før hele denne laben er gjennomførbar på en handholdt enhet. Utførelse med TKIP og EAP-TLS er derimot gjennomførbart – det finnes enheter som støtter de metodene. | nb_NO |
