Internet fogalmakKiberbiztonságO betűs definíciókTechnológiai rövidítések

Open System Authentication (OSA): a hitelesítési folyamat magyarázata és működése

Az Open System Authentication (OSA) egy egyszerű hitelesítési módszer, melyet főként vezeték nélküli hálózatokban használnak. A folyamat során a kliens eszköz azonosítja magát az elérési ponthoz, hogy csatlakozhasson. A cikk bemutatja az OSA működését és lépéseit, segítve a könnyebb megértést.
ITSZÓTÁR.hu
By ITSZÓTÁR.hu
30 Min Read
Gyors betekintő

Az Open System Authentication (OSA), vagy magyarul Nyílt Rendszer Hitelesítés, a vezeték nélküli hálózatok, különösen az IEEE 802.11 szabvány által definiált Wi-Fi környezetben alkalmazott legegyszerűbb hitelesítési mechanizmus. Lényegében ez egy olyan eljárás, amely során a kliens eszköz, például egy laptop vagy okostelefon, és a vezeték nélküli hozzáférési pont (AP) anélkül létesít kapcsolatot, hogy bármilyen titkosított kulcsot vagy hitelesítő adatot cserélnének a hitelesítési fázisban. Ez a módszer a Wi-Fi technológia kezdeti időszakából származik, amikor a hangsúly elsősorban a vezeték nélküli kapcsolódás kényelmén volt, és a biztonsági szempontok még nem élveztek akkora prioritást, mint napjainkban. Az OSA alapvető működése a nevében is rejlik: egy nyílt, ellenőrzés nélküli rendszer, ahol a hozzáférési pont lényegében elfogadja bármelyik kliens kérését a hálózathoz való csatlakozásra, feltéve, hogy az ismerte a hálózat nevét, azaz az SSID-t (Service Set Identifier).

Ez az egyszerűség azonban jelentős biztonsági hiányosságokat rejt magában, ami miatt a modern hálózatokban ritkán, vagy csak nagyon specifikus, magasabb szintű biztonsági rétegekkel kombinálva alkalmazzák. Az OSA valójában nem nyújt valódi hitelesítést abban az értelemben, hogy az AP ellenőrizné a kliens identitását, vagy a kliens az AP hitelességét. Csupán egy formális lépésről van szó, amely a 802.11-es specifikációban a csatlakozási folyamat részeként szerepel. A kliens egyszerűen elküld egy hitelesítési kérést, amire az AP egy hitelesítési válaszal reagál, és ezzel a hitelesítés sikeresnek minősül. Nincs titkosítás, nincs kihívás-válasz protokoll, és nincs megosztott kulcs ellenőrzése ebben a szakaszban.

A 802.11 szabvány és a hitelesítési keretek

Az IEEE 802.11 szabvány, amely a vezeték nélküli helyi hálózatok (WLAN) alapját képezi, számos menedzsment keretet definiál a hálózati működés koordinálására. Ezek a keretek felelnek a hálózat felderítéséért, a csatlakozásért, a leválasztásért és a különböző állapotinformációk cseréjéért. A hitelesítési folyamat két kulcsfontosságú menedzsment keretre épül: az Authentication Request (hitelesítési kérés) és az Authentication Response (hitelesítési válasz) keretekre. Az OSA esetében ezek a keretek tartalmazzák a hitelesítési algoritmus számát (amely az OSA esetében 0), a hitelesítési tranzakció sorszámát, és az állapotkódot.

A folyamat rendkívül egyszerű. Amikor egy kliens eszköz csatlakozni kíván egy Wi-Fi hálózathoz, először megkeresi a rendelkezésre álló hálózatokat. Ezt megteheti passzívan, a hozzáférési pontok által sugárzott beacon keretek (jelző keretek) figyelésével, amelyek tartalmazzák az SSID-t és a hálózat paramétereit, vagy aktívan, probe request keretek (szonda kérések) küldésével, amelyekre a hozzáférési pontok probe response keretekkel (szonda válaszokkal) reagálnak. Miután a kliens azonosította a kívánt hálózatot, megkezdődik a hitelesítési fázis.

Az OSA esetében a kliens elküld egy Authentication Request keretet a hozzáférési pontnak. Ebben a keretben jelzi, hogy az Open System Authentication módszert kívánja használni. A hozzáférési pont, amennyiben támogatja ezt a módszert és a hálózati konfigurációja lehetővé teszi, egyszerűen egy Authentication Response kerettel válaszol, amelyben jelzi a hitelesítés sikerességét. Ez a „sikeresség” azonban nem a kliens identitásának ellenőrzését jelenti, hanem csupán azt, hogy az AP elfogadja a kliens azon szándékát, hogy csatlakozzon hozzá. Az AP nem végez semmilyen kriptográfiai ellenőrzést, és nem igényel semmilyen titkos kulcsot a klienstől.

„Az Open System Authentication a 802.11 világában egy formális kézfogás, ahol az egyik fél kinyújtja a kezét, a másik pedig habozás nélkül megrázza, anélkül, hogy bármilyen azonosítót ellenőriznének.”

A hitelesítési folyamat lépésről lépésre

Az Open System Authentication folyamatának megértéséhez érdemes részletesebben áttekinteni a 802.11-es kapcsolatfelvétel lépéseit, amelyekbe az OSA beilleszkedik. Ez a folyamat három fő szakaszra osztható: felderítés (discovery), hitelesítés (authentication) és társítás (association).

  1. Felderítés (Discovery):

    A kliens eszköz először megkeresi a rendelkezésre álló Wi-Fi hálózatokat. Ez két módon történhet:

    • Passzív szkennelés: A kliens figyeli a hozzáférési pontok által rendszeresen sugárzott beacon kereteket. Ezek a keretek tartalmazzák a hálózat nevét (SSID), a támogatott adatátviteli sebességeket, a biztonsági beállításokat (pl. WEP, WPA2), és egyéb hálózati paramétereket.
    • Aktív szkennelés: A kliens probe request kereteket küld ki, amelyekben egy adott SSID-t keres, vagy üres SSID-vel általános lekérdezést végez. A hozzáférési pontok probe response keretekkel válaszolnak, amelyek hasonló információkat tartalmaznak, mint a beacon keretek.

    Miután a kliens azonosította a csatlakozni kívánt hálózatot, és meggyőződött arról, hogy az támogatja az Open System Authenticationt, megkezdődik a következő fázis.

  2. Hitelesítés (Authentication – OSA):

    Ez az a szakasz, ahol az Open System Authentication valójában lezajlik. A kliens elküldi a hozzáférési pontnak az Authentication Request menedzsment keretet.

    • Kliens -> AP: Authentication Request: Ez a keret tartalmazza a kliens MAC címét, a kiválasztott hitelesítési algoritmust (Open System, azaz 0), és a tranzakció szekvenciaszámát (általában 1). Nincsenek benne titkosított adatok vagy kulcsok.
    • AP -> Kliens: Authentication Response: A hozzáférési pont fogadja a kérést, és mivel az OSA nem igényel hitelesítő adatokat, azonnal küld egy Authentication Response keretet. Ez a keret is tartalmazza az AP MAC címét, a hitelesítési algoritmust, a tranzakció szekvenciaszámát (általában 2), és egy állapotkódot. Sikeres hitelesítés esetén az állapotkód 0 (sikeres).

    Ezzel a hitelesítési fázis lezárul. Fontos megjegyezni, hogy ebben a lépésben a kliens még nem tud adatforgalmat küldeni a hálózaton keresztül, csupán „hitelesítette” magát az AP számára.

  3. Társítás (Association):

    A sikeres hitelesítés után a kliensnek még társulnia kell a hozzáférési ponttal. Ez a lépés létfontosságú ahhoz, hogy a kliens adatforgalmat bonyolíthasson a hálózaton. A társítás során az AP erőforrásokat foglal le a kliens számára, és nyilvántartja annak jelenlétét a hálózaton.

    • Kliens -> AP: Association Request: A kliens elküldi az Association Request menedzsment keretet. Ez a keret tartalmazza a kliens MAC címét, a kívánt SSID-t, a támogatott adatátviteli sebességeket, és egyéb paramétereket, például a képességeket (pl. energiatakarékos mód támogatása).
    • AP -> Kliens: Association Response: A hozzáférési pont fogadja a kérést, és ha elfogadja a társítást (pl. van elegendő kapacitása, és a kliens paraméterei kompatibilisek), akkor egy Association Response kerettel válaszol. Ez a keret tartalmazza az AP MAC címét, az állapotkódot (sikeres esetén 0), és egy Association ID-t (AID). Az AID egy egyedi azonosító, amelyet az AP rendel a klienshez, és amelyet a további kommunikáció során használ.

    Amint a kliens megkapja az Association Response keretet sikeres állapotkóddal, a kapcsolat teljesen létrejött, és a kliens elkezdhet adatforgalmat küldeni és fogadni a hálózaton keresztül. Ezen a ponton azonban még mindig nincs titkosítás az adatforgalomra, hacsak a hálózat nem használ egy további biztonsági réteget, például WEP-et, WPA-t vagy WPA2-t.

Az Open System Authentication legfőbb jellemzője tehát, hogy a hitelesítési lépés során nincs titkosított adatcsere és nincs titkos kulcs ellenőrzés. Ez teszi rendkívül gyorssá és egyszerűvé, de egyúttal rendkívül sérülékennyé is. A folyamat befejezése után a hálózati kommunikáció védelme teljesen a későbbi titkosítási protokollokra (ha vannak ilyenek) van bízva.

Az Open System Authentication történelmi háttere és a WEP kapcsolata

Az Open System Authentication a 802.11 szabvány eredeti specifikációjának része volt, amelyet 1997-ben ratifikáltak. Abban az időben a vezeték nélküli hálózatok még gyerekcipőben jártak, és a fő cél a vezetékes Ethernet hálózatokhoz hasonló, de mobilis hozzáférést biztosító technológia megteremtése volt. A biztonsági szempontok másodlagosak voltak, vagy legalábbis más módon próbálták megoldani őket. Az OSA mellett az eredeti 802.11 szabvány egy másik hitelesítési módszert is definiált, a Shared Key Authentication (SKA)-t, vagy Megosztott Kulcsos Hitelesítést.

A Shared Key Authentication célja az volt, hogy egyfajta „biztonságosabb” alternatívát nyújtson az OSA-val szemben, azáltal, hogy megköveteli egy előre megosztott titkos kulcs használatát. Ennek során a hozzáférési pont egy kihívás-válasz protokoll (challenge-response) keretében küldött egy véletlenszerű szöveget a kliensnek, amelyet a kliensnek titkosítania kellett a megosztott kulccsal, majd visszaküldenie. Az AP ellenőrizte a titkosított válasz helyességét, és ha az megfelelt, a hitelesítés sikeresnek minősült.

Azonban a Shared Key Authentication is súlyos biztonsági hiányosságokkal küzdött. A titkosításra a WEP (Wired Equivalent Privacy) protokollt használták, amelyről hamar kiderült, hogy rendkívül sérülékeny. A WEP statikus kulcsokat használt, és a titkosítási mechanizmusa lehetővé tette a kulcsok viszonylag könnyű feltörését. Sőt, a kihívás-válasz protokoll maga is gyengítette a biztonságot, mivel a támadók passzívan rögzíthették a titkosított kihívás-válasz párokat, és azokból visszafejthették a WEP kulcsot. Ennek következtében a Shared Key Authentication valójában kevésbé volt biztonságos, mint az Open System Authentication WEP-pel kombinálva, mivel az utóbbi nem szolgáltatott olyan adatokat, amelyek a kulcs feltörését megkönnyítették volna.

Ez a paradox helyzet vezetett ahhoz, hogy az Open System Authentication vált az elterjedtebb hitelesítési módszerré a WEP-et használó hálózatokban. Az AP egyszerűen elfogadta a kliens csatlakozási kérését, és a WEP titkosítás az adatforgalom szintjén lépett életbe. A WEP azonban, függetlenül attól, hogy OSA-val vagy SKA-val használták, alapvetően hibás volt, és nem nyújtott megfelelő védelmet. Ez a felismerés indította el a vezeték nélküli biztonság fejlesztését, ami végül a WPA és WPA2 szabványokhoz vezetett.

„A WEP és az Open System Authentication házassága egy olyan korszak terméke volt, ahol a kényelem megelőzte a valódi biztonságot, és a sebezhetőségek csak később váltak nyilvánvalóvá.”

Biztonsági kockázatok és sebezhetőségek

Az OSA nem titkosít, ezért könnyen sebezhető támadásokra.
A nyílt rendszerű hitelesítés nem titkosítja az adatokat, ezért érzékeny a lehallgatásra és illetéktelen hozzáférésre.

Az Open System Authentication alapvető tulajdonsága, hogy nem ellenőrzi a kliens identitását, súlyos biztonsági kockázatokat hordoz magában. Mivel nincs szükség semmilyen hitelesítő adatra a csatlakozáshoz, gyakorlatilag bárki, aki ismeri a hálózat SSID-jét, csatlakozhat az AP-hoz. Ez számos támadási felületet nyit meg.

Illetéktelen hozzáférés

A legnyilvánvalóbb kockázat az illetéktelen hozzáférés. Egy támadó egyszerűen csatlakozhat a hálózathoz, és ha nincsenek további biztonsági intézkedések (pl. IP-cím alapú szűrés, portszűrés, titkosítás), akkor hozzáférhet a hálózati erőforrásokhoz, például fájlmegosztásokhoz, nyomtatókhoz vagy belső rendszerekhez. Ez különösen veszélyes vállalati környezetben, ahol érzékeny adatok tárolódhatnak a hálózaton. Egy nyílt hálózat lehetővé teszi a belső hálózati topológia felderítését, a szolgáltatások azonosítását és további támadások előkészítését.

Adatforgalom lehallgatása

Ha az Open System Authenticationt nem kombinálják semmilyen titkosítási protokollal (mint például a WEP, WPA, WPA2 vagy WPA3), akkor az adatforgalom plain text formában, titkosítás nélkül halad át a levegőben. Ez azt jelenti, hogy bárki, aki elegendő technikai tudással és megfelelő eszközzel rendelkezik (például egy Wi-Fi analízáló szoftverrel), könnyedén lehallgathatja az összes forgalmat. Ebbe beletartozhatnak érzékeny információk, mint például felhasználónevek, jelszavak, e-mailek, böngészési előzmények és egyéb személyes adatok. Ez a kockázat különösen nagy nyilvános Wi-Fi hálózatokon, ahol a felhasználók gyakran nincsenek tudatában az ilyen típusú sebezhetőségeknek.

Man-in-the-Middle (MITM) támadások

Az OSA-val konfigurált hálózatok rendkívül sebezhetőek a Man-in-the-Middle (MITM) támadásokkal szemben. Egy támadó könnyedén létrehozhat egy hamis hozzáférési pontot (rogue AP), amelynek SSID-je megegyezik a legitim hálózatéval. Mivel az OSA nem ellenőrzi az AP hitelességét a kliens számára, a kliens gyanútlanul csatlakozhat a hamis AP-hoz. A támadó ezután átirányíthatja a forgalmat a legitim AP-hoz, miközben minden adatot lehallgat és manipulál. Ez lehetővé teheti a jelszavak ellopását, a weboldalak meghamisítását vagy a rosszindulatú kódok befecskendezését a felhasználó forgalmába.

DDoS támadások

Mivel az AP nem hitelesíti a klienst, egy támadó nagyszámú hamis hitelesítési és társítási kérést küldhet, vagy hamis MAC-címekkel eláraszthatja az AP-t. Ez denial-of-service (DoS) támadáshoz vezethet, amely túlterheli az AP-t, és megakadályozza a legitim felhasználók csatlakozását vagy a hálózat használatát. Bár ez nem specifikusan az OSA hibája, az OSA hiányos hitelesítése megkönnyíti az ilyen típusú támadások végrehajtását.

Ezek a kockázatok rávilágítanak arra, hogy miért nem tekinthető az Open System Authentication önmagában biztonságos megoldásnak a mai hálózati környezetben. A modern Wi-Fi szabványok, mint a WPA2 és WPA3, éppen ezeket a hiányosságokat orvosolják robusztusabb hitelesítési és titkosítási mechanizmusokkal.

A Wi-Fi biztonság evolúciója: WPA, WPA2 és WPA3

Az Open System Authentication és a WEP nyilvánvaló hiányosságai sürgették a vezeték nélküli biztonsági szabványok fejlesztését. Ennek eredményeként jött létre a Wi-Fi Protected Access (WPA) és annak továbbfejlesztett változatai, a WPA2 és WPA3. Ezek a protokollok alapjaiban változtatták meg a Wi-Fi hálózatok biztonságát, robusztus hitelesítési és titkosítási mechanizmusokat vezetve be.

Wi-Fi Protected Access (WPA)

A WPA az IEEE 802.11i szabvány előzetes implementációja volt, amelyet a Wi-Fi Alliance hozott létre, hogy gyorsan orvosolja a WEP sebezhetőségeit, amíg a teljes 802.11i szabvány el nem készült. A WPA főbb fejlesztései a következők voltak:

  • TKIP (Temporal Key Integrity Protocol): Ez a protokoll a WEP titkosítási mechanizmusát használta, de dinamikusan változó titkosítási kulcsokat vezetett be minden adatcsomaghoz, és egy üzenet integritási ellenőrzést (MIC) is tartalmazott a csomagok manipulációjának megakadályozására. Bár a TKIP sem volt tökéletes, jelentősen növelte a WEP-hez képest a biztonságot.
  • 802.1X hitelesítés: A WPA támogatta a 802.1X szabványt, amely egy Extensible Authentication Protocol (EAP) alapú keretrendszert biztosít a felhasználói hitelesítéshez. Ez lehetővé tette a központosított hitelesítést RADIUS szerverek segítségével, ami sokkal erősebb biztonságot nyújtott, mint a PSK (Pre-Shared Key) mód.

A WPA átmeneti megoldás volt, és bár javította a biztonságot, a TKIP-ben később felfedeztek sebezhetőségeket, amelyek arra ösztönöztek, hogy egy még erősebb szabványra legyen szükség.

Wi-Fi Protected Access II (WPA2)

A WPA2 a teljes IEEE 802.11i szabvány implementációja, és 2004-ben jelent meg. Ez a szabvány jelentős előrelépést hozott a vezeték nélküli biztonság terén, és hosszú ideig a de facto iparági szabvány maradt. Főbb jellemzői:

  • AES-CCMP (Advanced Encryption Standard – Counter Mode with Cipher Block Chaining Message Authentication Code Protocol): A WPA2 kötelezővé tette az AES titkosítási algoritmus használatát CCMP módban. Az AES egy sokkal erősebb és robusztusabb titkosítási algoritmus, mint a WEP vagy a TKIP, és széles körben elismert a magas biztonsági szintje miatt. A CCMP biztosítja mind az adatforgalom titkosítását, mind az integritás ellenőrzését.
  • Két üzemmód:
    • WPA2-Personal (PSK): Ez az otthoni és kis irodai hálózatok számára készült. Egyetlen, előre megosztott jelszót (PSK) használ, amelyet mind a kliens, mind az AP ismer. A jelszóból egy Pairwise Master Key (PMK) generálódik, amelyből aztán dinamikusan generálódnak a munkamenet kulcsok a négyutas kézfogás (4-Way Handshake) során. Bár a PSK egyszerűbb, a jelszó erőssége kritikus a biztonsághoz.
    • WPA2-Enterprise (802.1X): Ez a vállalati környezetek számára készült, ahol magasabb szintű biztonság és központi felhasználókezelés szükséges. Ez az üzemmód 802.1X hitelesítést használ, amely egy RADIUS szerverhez (például FreeRADIUS, Microsoft NPS) csatlakozik a felhasználó hitelesítésére. A hitelesítés történhet felhasználónév/jelszó, tanúsítványok vagy egyéb EAP módszerek (pl. PEAP, EAP-TLS, EAP-TTLS) segítségével. Ez a legbiztonságosabb Wi-Fi hitelesítési módszer.

A WPA2 jelentősen csökkentette a Wi-Fi hálózatok sebezhetőségét, és a legtöbb modern eszköz támogatja. Az Open System Authentication gyakorlatilag csak akkor használható biztonságosan, ha WPA2 vagy WPA3 titkosítással párosul, de valójában az OSA már nem a hitelesítési mechanizmus, hanem csak a 802.11 szabvány szerinti első lépés, mielőtt a WPA2/3 hitelesítés (pl. 4-utas kézfogás) megkezdődik.

Wi-Fi Protected Access III (WPA3)

A WPA3 a legújabb generációs Wi-Fi biztonsági szabvány, amelyet 2018-ban vezettek be. Célja a WPA2-ben felfedezett kisebb sebezhetőségek orvoslása és a biztonság további javítása, különösen a nyilvános hálózatokon. Főbb újításai:

  • SAE (Simultaneous Authentication of Equals): Ez az új hitelesítési mechanizmus felváltja a WPA2 PSK módjában használt négyutas kézfogást. Az SAE ellenállóbb a jelszó-találgatásos (dictionary) támadásokkal szemben, és biztosítja az előremenő titkosságot (Forward Secrecy). Ez azt jelenti, hogy még ha a támadó később feltöri a hálózati kulcsot, sem tudja visszafejteni a korábbi kommunikációt.
  • WPA3-Enterprise 192 bites biztonsági mód: A vállalati környezetek számára a WPA3 egy továbbfejlesztett módot kínál, amely 192 bites titkosítási algoritmusokat használ, magasabb szintű adatvédelmet biztosítva a kritikus hálózatok számára.
  • Enhanced Open: Ez a funkció a nyílt, jelszó nélküli Wi-Fi hálózatok számára nyújt alapvető titkosítást a Opportunistic Wireless Encryption (OWE) protokoll segítségével. Bár nem nyújt hitelesítést, minden egyedi kapcsolathoz egyedi titkosítási kulcsot generál, megakadályozva a passzív lehallgatást. Ez jelentős előrelépés a teljesen titkosítatlan nyílt hálózatokhoz képest.
  • Wi-Fi Easy Connect: Egyszerűbbé teszi az IoT eszközök csatlakoztatását a hálózathoz QR-kódok vagy NFC segítségével, miközben biztosítja a biztonságos konfigurációt.

A WPA3 egyértelműen a jövő szabványa, amely még magasabb szintű védelmet nyújt a vezeték nélküli kommunikáció számára. Az Open System Authentication önálló hitelesítési mechanizmusként teljesen elavulttá vált a WPA3 megjelenésével, és a modern Wi-Fi hálózatok már nem is használják önmagában, csupán a 802.11-es keretrendszer részeként, mielőtt a WPA3-as titkosítás és hitelesítés megkezdődne.

Az Open System Authentication szerepe a modern hálózatokban

Bár az Open System Authentication önmagában rendkívül sebezhető, és a modern Wi-Fi hálózatokban már nem a fő hitelesítési mechanizmus, bizonyos kontextusokban még mindig találkozhatunk vele, vagy annak technikai alapjaival. Fontos megérteni, hogy a 802.11 szabvány szerint az OSA egy alapszintű „hitelesítési” módszer, amelyet szinte minden AP és kliens támogat. Gyakran ez az első lépés a kapcsolatfelvételi folyamatban, még akkor is, ha a hálózat valójában WPA2 vagy WPA3 titkosítást és erősebb hitelesítést használ.

Amikor egy kliens csatlakozik egy WPA2-PSK vagy WPA3-SAE hálózathoz, az első Authentication Request/Response keretek továbbra is Open System módban cserélődnek. Ezután következik a WPA2/WPA3 specifikus négyutas kézfogás (4-Way Handshake) vagy SAE kézfogás, amely valójában a kriptográfiai kulcsok generálásáért és a felek hitelesítéséért felel. Tehát az OSA ebben az esetben csupán egy formális előkészítő lépés, és nem az érdemi biztonsági intézkedés.

Vannak azonban olyan esetek, ahol az Open System Authentication önmagában, titkosítás nélkül is alkalmazható, bár ezek a helyzetek ritkábbak és specifikusabbak:

  • Nyilvános, nyílt Wi-Fi hálózatok: Egyes kávézók, repülőterek vagy könyvtárak még mindig kínálnak teljesen nyílt Wi-Fi hozzáférést, ahol nincs jelszó, és a kapcsolat titkosítatlan. Ezek a hálózatok jellemzően Open System Authenticationt használnak. Bár kényelmesek, rendkívül kockázatosak a felhasználók számára, hacsak nem használnak VPN-t vagy egyéb end-to-end titkosítást az adatforgalmuk védelmére.
  • Vendéghálózatok captive portállal: Sok helyen nyílt Wi-Fi hálózatot biztosítanak, de a hozzáféréshez egy webes felületen (captive portal) keresztül kell bejelentkezni, ahol el kell fogadni a feltételeket, vagy meg kell adni egy felhasználónevet/jelszót. Ezek a hálózatok gyakran Open System Authenticationt használnak a Wi-Fi rétegen, de a tényleges „hitelesítés” és hozzáférés-ellenőrzés a webes rétegen történik. Az adatforgalom azonban itt is titkosítatlan lehet a captive portalon túli részen, ha nincs VPN.
  • Legacy eszközök és speciális IoT alkalmazások: Ritka esetekben, különösen régebbi ipari berendezések vagy nagyon egyszerű, erőforrás-korlátozott IoT eszközök esetén, amelyek nem támogatják a modernebb titkosítási protokollokat, előfordulhat az Open System Authentication használata. Ezekben az esetekben a biztonságot más rétegeken (pl. fizikai biztonság, vezetékes hálózat elszigetelése, VPN) kell biztosítani.
  • Hálózati diagnosztika és tesztelés: A hálózati szakemberek néha szándékosan konfigurálnak nyílt hálózatokat diagnosztikai célokra vagy tesztkörnyezetekben, ahol a biztonsági kockázat minimális.

Fontos hangsúlyozni, hogy a fenti esetekben az Open System Authentication soha nem elegendő önmagában a biztonságos kommunikációhoz. Mindig szükség van további biztonsági rétegekre, mint például a VPN (Virtual Private Network), HTTPS/TLS az alkalmazási rétegben, vagy szigorú hálózati szegmentáció és tűzfal szabályok. A VPN különösen fontos a nyílt Wi-Fi hálózatokon, mivel az összes adatforgalmat titkosítja az eszköz és a VPN szerver között, megakadályozva a lehallgatást.

Technikai mélység: Menedzsment keretek és az állapotátmenetek

Az Open System Authentication működésének mélyebb megértéséhez érdemes behatóbban vizsgálni a 802.11 menedzsment keretek szerkezetét és a kliens-AP állapotátmeneteket. A 802.11 szabvány egy jól definiált állapotgépet (state machine) ír le, amelyen a kliens eszköz áthalad, amikor csatlakozik egy hozzáférési ponthoz.

802.11 Menedzsment Keretek

A 802.11 szabvány három fő kerettípust definiál: adatkeretek (Data Frames), vezérlőkeretek (Control Frames) és menedzsment keretek (Management Frames). Az OSA és a kapcsolódás szempontjából a menedzsment keretek a legfontosabbak.

Keret Típus Al-típus Leírás
Management (0) Association Request (0) A kliens kérése az AP-hoz való társulásra.
Management (0) Association Response (1) Az AP válasza a társítási kérésre.
Management (0) Authentication (11) A kliens hitelesítési kérése az AP-hoz.
Management (0) Authentication (12) Az AP hitelesítési válasza a kliensnek.
Management (0) Beacon (8) Az AP által sugárzott keret, amely hálózati információkat tartalmaz.
Management (0) Probe Request (4) A kliens kérése a hálózatok felderítésére.
Management (0) Probe Response (5) Az AP válasza a probe requestre.

Az Authentication keret (al-típus 11 és 12) a következő mezőket tartalmazza, amelyek különösen relevánsak az OSA szempontjából:

  • Authentication Algorithm Number (2 bájt): Ez a mező jelöli a használt hitelesítési algoritmust. Open System Authentication esetén az értéke 0. Shared Key Authentication esetén 1.
  • Authentication Transaction Sequence Number (2 bájt): Ez a mező a hitelesítési tranzakció sorszámát jelöli. Az Open System Authentication egy kétlépéses folyamat: a kliens küld egy kérést (1), az AP válaszol (2).
  • Status Code (2 bájt): Ez a mező jelzi a tranzakció eredményét. A 0 érték sikeres műveletet jelent.

Az Association Request/Response keretek (al-típus 0 és 1) tartalmazzák a kliens képességeit, a támogatott sebességeket, az SSID-t és más releváns paramétereket. Az Association Response keret egy Association ID (AID)-t is visszaad, amely egyedi azonosító a kliens számára az AP kontextusában.

A 802.11 Állapotgép

A kliens eszköz a következő állapotokon megy keresztül, amikor csatlakozik egy 802.11-es hálózathoz:

  1. Állapot 1: Unauthenticated, Unassociated (Nem hitelesített, Nem társított)

    Ez az alapértelmezett állapot, amikor a kliens még nem csatlakozott semmilyen hálózathoz. Ebből az állapotból a kliens felderíti a hálózatokat (beacon, probe request/response).

  2. Állapot 2: Authenticated, Unassociated (Hitelesített, Nem társított)

    Miután a kliens sikeresen végrehajtotta a hitelesítési folyamatot (pl. Open System Authentication), ebbe az állapotba kerül. Az AP elismeri a kliens jelenlétét, de még nem foglalt le erőforrásokat számára az adatforgalomhoz.

    Átmenet: A kliens elküldi az Authentication Request keretet, az AP válaszol az Authentication Response kerettel. Ha az állapotkód sikeres, az átmenet megtörténik.

  3. Állapot 3: Authenticated, Associated (Hitelesített, Társított)

    Ez az a végleges állapot, amelyben a kliens teljes mértékben csatlakozik a hálózathoz, és adatforgalmat bonyolíthat. Az AP erőforrásokat foglalt le a kliens számára, és az AID-n keresztül azonosítja.

    Átmenet: A kliens elküldi az Association Request keretet, az AP válaszol az Association Response kerettel. Ha az állapotkód sikeres, az átmenet megtörténik. Ha a hálózat WPA2/WPA3 titkosítást használ, a négyutas/SAE kézfogás ezen a ponton zajlik, a kulcsok cseréjével és a titkosított kommunikáció megkezdésével.

Az Open System Authentication tehát az Állapot 1-ből az Állapot 2-be való átmenetért felelős. Fontos látni, hogy ez csupán egy protokoll szintű lépés, amely a 802.11 keretrendszer része. Az igazi biztonság és hitelesítés a WPA2/WPA3 protokollok által biztosított magasabb szintű mechanizmusoktól függ, amelyek az Állapot 3 elérése után lépnek életbe, vagy a 4-utas kézfogás révén az Állapot 2 és 3 közötti átmenet során biztosítják a kulcselosztást.

Az Open System Authentication konfigurálása és működése

Az Open System Authentication egyszerű, nyílt hálózati hozzáférést biztosít.
Az Open System Authentication egyszerű, nem titkosított hitelesítési mód, amely nem nyújt valódi biztonságot a hálózaton.

Az Open System Authentication konfigurálása egy hozzáférési ponton rendkívül egyszerű, éppen a mechanizmus hiányos jellege miatt. Nincs szükség bonyolult beállításokra, kulcsok megadására vagy RADIUS szerverek integrálására.

Hozzáférési pont (AP) konfiguráció

Egy tipikus hozzáférési pont webes felületén vagy parancssori felületén (CLI) a következő lépésekkel lehet beállítani egy Open System Authentication alapú, titkosítás nélküli hálózatot:

  1. SSID beállítása: Adja meg a hálózat nevét (pl. „Nyilt_WIFI” vagy „Guest_Network”).
  2. Biztonsági mód kiválasztása: Itt kell kiválasztani a „Nyílt Rendszer” (Open System) vagy „Nincs hitelesítés” (No Authentication) opciót. Ez automatikusan kikapcsolja a titkosítást is, hacsak nincs külön opció a titkosítás engedélyezésére (pl. WEP, bár ezt már nem szabad használni).
  3. Csatorna és egyéb rádióbeállítások: Állítsa be a kívánt Wi-Fi csatornát és a rádiófrekvenciás beállításokat (2.4 GHz vagy 5 GHz).

Miután ezeket a beállításokat elmentette, a hozzáférési pont elkezdi sugározni az SSID-t (amennyiben az SSID sugárzás engedélyezve van), és bármely kliens eszköz, amely a hatótávolságon belül van, csatlakozhat hozzá a fent leírt hitelesítési és társítási folyamaton keresztül.

Kliens eszköz csatlakozása

A kliens eszközök (laptopok, okostelefonok, tabletek) számára az Open System Authentication hálózatokhoz való csatlakozás a legegyszerűbb.

  1. Hálózatok keresése: A kliens Wi-Fi adaptere felderíti a rendelkezésre álló hálózatokat.
  2. Hálózat kiválasztása: Amikor a felhasználó kiválasztja az Open System hálózatot, a rendszer nem fog jelszót kérni.
  3. Automatikus csatlakozás: A kliens automatikusan elküldi az Authentication Request és Association Request kereteket, és amint megkapja a sikeres válaszokat az AP-tól, csatlakozik a hálózathoz.

Ez a „jelszó nélküli” élmény a legfőbb ok, amiért az Open System hálózatokat, vagy az azok alapjaira épülő captive portalos hálózatokat még mindig használják nyilvános helyeken. A felhasználói élmény egyszerűsége azonban a biztonság rovására megy, ha nincsenek további védelmi mechanizmusok.

A Wi-Fi biztonság jövője és az Open System Authentication elhagyása

A vezeték nélküli technológia folyamatosan fejlődik, és ezzel együtt a biztonsági szabványok is. A WPA3 bevezetése egyértelműen jelzi az iparág elkötelezettségét a robusztusabb és ellenállóbb Wi-Fi biztonság iránt. Az Open System Authentication, mint önálló hitelesítési mechanizmus, egyre inkább a múlté lesz, és a modern hálózatokban csak a 802.11-es protokoll egy alapvető, formális lépéseként él tovább, amelyet azonnal felülírnak a fejlettebb WPA2/WPA3 biztonsági protokollok.

A jövőbeli Wi-Fi hálózatok valószínűleg egyre inkább a WPA3-Enhanced Open módra fognak támaszkodni a jelszó nélküli, nyilvános hálózatok esetében is, ahol az OWE biztosítja az alapvető titkosítást. Ez egy kritikus lépés afelé, hogy még a legegyszerűbb nyilvános Wi-Fi hálózatok is védelmet nyújtsanak a passzív lehallgatás ellen, ami az Open System Authentication legnagyobb hiányossága volt. A WPA3-SAE és a WPA3-Enterprise 192 bites módja pedig a privát és vállalati hálózatok számára biztosítja a legmagasabb szintű védelmet.

A felhasználók és a hálózati rendszergazdák számára egyaránt létfontosságú, hogy megértsék az Open System Authentication korlátait és veszélyeit. Soha nem szabad kizárólag erre a módszerre támaszkodni a hálózati biztonság tekintetében. Mindig a legújabb és legbiztonságosabb titkosítási és hitelesítési protokollokat kell alkalmazni, amelyek elérhetőek, mint például a WPA3. Ahol ez nem lehetséges, ott további rétegzett biztonsági intézkedéseket kell bevezetni, mint például a VPN-ek és az alkalmazás-szintű titkosítás. A kényelem és a könnyű használat fontos, de a biztonság sosem lehet másodlagos.

TAGGED:
Share This Article
Leave a comment

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük